1、(一)内部环境。内部环境是指公司实施内部控制的基础,一般包括治理结构、机构设置、权责分配、内部审计、人力资源政策、企业文化等。(二)风险评估。风险评估是指公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。(三)控制活动。控制活动是指公司根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。(四)信息与沟通.信息与沟通是指公司及时、准确地收集、传递与内部控制相关的信息,确保信息在公司内部、公司与外部之间进行有效沟通.(五)内部监督.内部监督是指公司对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,并应当及时加以改进。第二章
2、职责分工与授权批准第六条 公司指定内部审计部门(以下称“监督检查部门”)负责内部控制的日常监督检查工作,配备专门的内部控制监督检查人员。第七条 建立健全内部控制并保持其有效运作,是被检查单位的责任,监督检查部门的责任是对内部控制是否存在和其有效性进行测试与评价。第八条 内部控制监督检查是指监督检查人员在实施检查过程中对被检查单位内部控制制度的健全性、合理性及内部控制过程的有效性所进行的测试与评价活动,目的是合理保证被检查单位实现以下目标:(一)遵守国家有关法律法规和公司内部控制制度。(二)信息的真实、可靠。(三)资产的安全、完整.(四)经济有效地使用资源。(五)提高经营效率和效果。(六)实现经
3、营目标。 第九条 监督检查部门向董事会及其审计委员会报告内部控制监督检查有关工作情况,同时通报监事会。公司董事会及其审计委员会对内部控制监督检查工作进行指导,审阅监督检查部门提交的内部控制监督检查评价报告.第十条 内部控制监督检查既可以作为独立的审计项目实施,也可以作为实施其他审计项目的重要程序。第三章 内部控制检查评价程序、方法和内容第十一条 公司对内控制度的执行情况进行定期和不定期的检查.监督检查部门通过对内控制度执行情况的检查监督,以发现内控制度是否存在缺陷和实施中是否存在问题,评估其执行的效果和效率,并及时报告,同时应督促相关部门、单位及时予以改进,确保内控制度的有效实施。第十二条 监
4、督检查部门应每半年度结束后两个月内对公司的内部控制进行一次定期的持续性检查监督,至少包括重要业务、财务事项,收购和出售资产、关联交易、从事衍生品交易、提供财务资助、为他人提供担保、募集资金使用、委托理财等重大事项。各部门、分公司、子公司应每半年度结束后半个月内进行自查,并向公司监督检查部门汇报自查情况。监督检查部门还将不定期地对公司的内部控制开展各项专项检查、抽查等监督检查工作。第十三条 监督检查部门开展内部控制检查监督工作前,应事先报告公司董事会审计委员会,并制定详细的工作计划。第十四条 监督检查部门开展内部控制检查监督工作时,可以采取现场谈话和问卷调查、财务审计、文件审核、合同协议审查或书
5、面报告等方式进行。第十五条 公司各部门、分公司、子公司的负责人应负责组织相关人员按监督检查部门的要求,及时向监督检查部门提供所需的原始凭证、报表、操作规程、合同协议和书面报告等文件资料,接受监督检查部门的谈话、调查、审查等。第十六条 公司的控制环境主要包括公司的经济性质和经营类型、管理层的经营理念、组织文化、法人治理结构和议事规则、组织结构、职责分工及人员配置、人力资源政策及其执行.公司的监督检查部门对控制环境重点审查以下方面:(一)组织的管理哲学和经营风格.(二)诚信原则和道德价值观.(三)经营活动的复杂程度。(四)管理权限的集中程度。(五)管理层对逾越既定控制程序的态度。(六)法人治理结构
6、的健全性和有效性。(七)组织结构和职责划分的合理性。(八)组织各阶层人员的知识与技能。(九)权责匹配程度以及人力资源政策.(十)员工业绩考核与激励机制的有效性.(十一)员工聘用程序及培训制度的有效性. (十二)员工对企业文化内容的理解和认同程度.第十七条 公司的风险评估主要包括识别和分析影响组织目标实现的各类风险、对业务流程进行风险评估、及时调整风险应对策略,建立风险管理体系。公司的监督检查部门对风险评估重点审查以下方面:(一)确定风险、评估风险的重要性。(二)可能引发风险的内外因素。(三)风险发生的可能性和预计带来的后果,对抗可能发生风险的能力。(四)风险管理机制的健全性和有效性。第十八条
7、公司的控制活动主要包括不相容职务分离、授权审批、明确业务流程、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制、独立业务审核.公司的监督检查部门对控制活动重点审查以下方面:(一)不相容职务相分离。(二)货币资金、实物管理的关键控制点,会计记录与实物保管相互制约.(三)销售政策的健全性和有效性,采购各环节的相互制约机制.(四)成本费用控制政策的健全性和有效性.(五)预算管理体系的健全性.(六)投资决策程序的有效性,投资风险分析估计。(七)产品研发决策程序的健全有效性,研发风险的评估。(八)筹资活动控制的有效性。(九)实施绩效考评的有效性.第十九条 公司的信息与沟通主要包括建立信息
8、与沟通制度,明确内部控制相关信息的收集、处理和传递程序,及时、准确、完整地记录所有信息、保证管理信息系统的安全可靠及有序运行,建立反舞弊机制。公司的监督检查部门对信息与沟通重点审查以下方面:(一)各部门间信息的传递方式。(二)各类经济业务的会计处理程序和所依据信息的来源.(三)管理信息系统控制流程获取及处理信息的能力以及信息传递渠道畅通情况。(四)信息处理的及时性、适当性,信息系统的安全可靠性.(五)明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限。第二十条 公司的内部监督主要包括董事会、监事会及管理层对内控制度的监督检查(内部控制的自我评估)、内部控制监督检查部门实施的独
9、立的监督和检查。公司的监督检查部门对内部监督重点审查以下方面:(一)对内部控制及经营活动监督、检查和评价而实施再控制情况。(二)内部控制自我评估系统缺陷处理情况。(三)内部审计的设置和工作情况.第二十一条 公司内部控制监督检查应关注的其他内容(一)所在行业状况及近期的经营变化。(二)管理当局的诚信、能力及发生舞弊的可能性。(三)管理当局评价内部控制有效性的方法和证据.(四)对重要性水平、固有风险及其他与确定内部控制重大缺陷有关的因素的初步判断。(五)交易的性质和金额。第二十二条 公司的内部控制监督检查部门对内部控制实施监督检查时,可对全部内部控制要素实施测试评价,也可对部分内部控制要素实施测试
10、评价。第二十三条 公司监督检查部门对内部控制监督检查时应遵循以下步骤:(一)对内部控制进行调查了解,描述内部控制,初步评价内部控制风险。(二)对内部控制的执行情况进行符合性测试及实质性测试。(三)内部控制综合评价。第二十四条 调查内部控制主要包括以下活动:(一)查阅各项管理制度和相关文件.(二)询问管理人员和其他有关人员。(三)检查经营管理过程中形成的文件和记录。(四)观察业务活动和内部控制的实际运行情况。调查时,应当考虑被检查单位业务规模、复杂程度、控制类型和控制程序等,恰当地确定调查范围;关注控制环节、控制执行记录和控制程序运用的连续性。第二十五条 描述内部控制,采用文字记录、调查表、业务
11、流程图的形式将调查的内部控制运行情况加以记录、描述,以供测试和评价;根据现有内部控制描述有关业务的流程和控制点,与理想模式比较,结合专业判断,着重描述应设立的控制点,特别是关键控制点设立情况。第二十六条 了解内部控制设置情况后,应当初步评价内部控制风险,确定符合性测试的范围。(一)分析可能发生错弊的业务环节和活动领域。(二)初步评价相关内部控制的合理性和运行的有效性。(三)确定内部控制风险水平。第二十七条 进行符合性测试。(一)按照业务流程检查各项内部控制规定是否得到执行。(二)选择有关经济业务,检查流程中的关键控制点是否真正发挥作用。(三)重新执行有关内部控制。符合性测试可运用检查、询问、现
12、场观察、穿行测试等方法。监督检查人员应当根据内部控制的性质及其执行的时间和频率,合理确定符合性测试的性质、时间和范围。第二十八条 对内部控制执行情况进行符合性测试后,综合分析被检查单位内部控制的健全性和有效性,提出内部控制测试评价结果,并据此确定实质性测试的范围、重点和方法。第二十九条 测试内部控制的健全性。依据授权原则、效益性原则,检查评价内部控制健全性,并考虑以下因素:(一) 控制措施是否存在.(二) 控制程序是否具备可操作性。(三) 是否存在失控环节,失控的性质和原因、影响。(四) 内部控制的局限性。第三十条 测试内部控制的有效性。在健全性测试基础上进行符合有效性测试,可采取检查、监盘、
13、观察、计算、分析性复核、查询及函证等方法,测试有关经济业务活动的运行与相关内部控制的符合程度,评价内部控制措施是否得到贯彻执行;是否达到预期目标;是否存在不遵循内部控制制度处理业务的重大事项;有无因制度失控而造成重大经济损失或资产严重流失等事项.第三十一条 在检查评价内部控制健全性和有效性时,应当考虑内部控制的固有限制。(一)内部控制的设置和运行受制于成本效益原则。(二)内部控制一般仅针对常规业务活动而设置。(三)即使是设置完善的内部控制,也可能因有关人员的疏忽、误解和判断错误、相互勾结、内外恶意串通而失效。(四)内部控制可能因执行人员滥用职权或屈从于外部压力而失效。(五)内部控制可能因经营环
14、境、业务性质的改变而削弱或失效。第三十二条 综合评价内部控制。评价内部控制设置的适用性、健全性、合理性以及控制的有效性,能否保证经营目标的实现和规范化管理。(一)评价内部控制的适用性、科学性,即内部控制是否有利于促进公司发展,有利于推进管理创新和技术创新,增强企业的核心竞争力。(二)披露各项控制措施存在的缺陷,对相应的业务系统内部控制的影响,揭示面临的风险和可能产生的后果。(三)对内部控制的健全性、有效性进行整体的分析与评价,针对内部控制存在的缺陷、薄弱环节,提出加强和完善的建议.第三十三条 遵循全面性原则、重要性原则、合法性原则、制衡性原则、适时性原则、成本效益原则。在评价特定内部控制未得到
15、遵循的风险时,监督检查人员应当考虑以下因素:(一)交易数量和性质发生的变化,以及对特定内部控制的设计和执行产生的不利影响。(二)内部控制发生的变化.(三)特定内部控制的复杂程度。(四)特定内部控制对其他内部控制有效性的依赖程度。(五)执行或监控内部控制的关键人员发生变动.第三十四条 监督检查人员对内部控制进行评价时应选择适当的标准:选择组织已有的标准,如果认为已有标准不合适,应向适当的管理层报告;如果管理层没有制定合适的标准,监督检查人员可以基于组织利益最大化的原则选择适当的评价标准。第三十五条 监督检查人员应将对被检查单位内部控制调查、测试和评价的过程及结果与被检查单位进行沟通,征求被检查单
16、位的意见。第四章 评价报告程序、方法和内容第三十六条 监督检查部门应对公司内部控制运行情况进行检查监督,并将检查中发现的内部控制缺陷和异常事项、改进建议及解决进展情况等形成内部控制评价报告,向董事会及其审计委员会报告并通报监事会。公司监督检查部门如发现公司存在重大异常情况,可能或已经遭受重大损失时,应立即报告公司董事会及其审计委员会并通报监事会。公司董事会应提出切实可行的解决措施。第三十七条 监督检查部门应在每次的定期检查后及每一次的不定期检查后向公司董事会审计委员会报告内部检查工作情况和发现的问题,并于年度结束后四个月内向董事会及其审计委员会提交年度内部控制评价报告,上述报告同时通报监事会.
17、第三十八条 内部控制评价报告中至少应包括检查中发现的内控制度不健全、不完善之处,内部控制缺陷及实施中存在的问题,针对存在的问题建议采取的改进措施,也可以对公司内控制度下一步发展方向提出建议,以及监督检查部门认为应当写明的其他任何事项.第三十九条 监督检查人员对于检查中发现的内部控制缺陷及实施中存在的问题,应在内部控制检查监督工作报告中据实反映,并在向审计委员会报告后进行后续追踪检查,以确定相关部门已及时采取适当的改进措施,并撰写落实情况报告,对被检查单位的整改措施进行评价.监督检查人员针对检查中发现的内部控制缺陷及实施中存在的问题,应提出追究相关责任单位或者责任人有关责任的建议;对内部控制比较
18、健全有效的单位,提出表扬和奖励的建议。公司应将内部控制检查所发现的内部控制缺陷及实施中存在的问题列为各部门、分公司及子公司绩效考核的重要项目之一。第四十条 公司董事会审计委员会对内部控制检查监督工作进行指导,并审阅监督检查部门提交的内部控制监督检查评价报告。第四十一条 董事会可根据内部控制检查监督评价报告及相关信息,评价公司内部控制的建立和实施情况,形成内部控制自我评估报告。公司董事会在审议年度财务报告等事项的同时,可依据相关规定对公司内部控制自我评估报告形成决议,同时监事会也应对此报告进行审议。第四十二条 公司内部控制自我评估报告至少应包括如下内容:(一)内控制度是否建立健全;(二)内控制度
19、是否有效实施运行,是否存在缺陷;(三)内部控制检查监督工作的情况,尤其是本制度中重点关注的控制活动的自查和评估情况;(四)内控制度及其实施过程中出现的重大风险及其处理情况(如有);(五)对本年度内部控制检查监督工作计划完成情况的评价;(六)对内部控制整体情况的自我评价;(七)完善内控制度的有关措施及下一年度内部控制的有关工作计划.第四十三条 年度终了,监督检查机构应对本年度内部控制检查过程中发现的内部控制的缺陷及异常事项、相应的处理建议及整改情况进行总结,在监督检查机构工作报告里专题陈述。第四十四条 监督检查部门的工作资料,包括内部控制检查监督评价报告、工作底稿及相关资料,保存时间不少于十年。
20、第四十五条 注册会计师在对公司进行年度审计时,应参照有关主管部门的规定,就公司内部控制情况出具评价意见,如注册会计师对公司内部控制有效性表示异议的,董事会、监事会应针对该评价意见涉及事项进行核实做出专项说明,专项说明至少应包括以下内容:(一)异议事项的基本情况;(二)该事项对公司内部控制有效性的影响程度;(三)公司董事会、监事会对该事项的意见;(四)消除该事项及其影响的可能性;(五)消除该事项及其影响的具体措施。第五章 责任追究及奖惩第四十六条 被检查单位应对内部控制的健全性和有效性负责,对所提供资料的真实性、完整性负责.由于被检查单位内部控制程序出现严重缺陷和出现重大违反国家财经法纪的行为,
21、及相关人员失职导致内部控制存在重大缺陷或存在重大风险,给公司造成严重影响或损失的,由监督检查部门建议,追究被检查单位相关责任人的责任。第四十七条 由于监督检查部门失职,导致内部控制缺陷及实施中存在的问题未被发现或提出,给公司造成严重影响或损失的,由董事会审计委员会建议,追究监督检查部门相关责任人的责任。但执行了内部审计具体准则第17号中第四章规定程序而未能发现的,应予免除责任.第四十八条 被检查单位拒绝、阻碍内部控制检查,或拒绝、拖延提供相关资料或证明材料,提供虚假资料的,公司应当及时予以处理,给予通报批评、警告、辞退、索赔及追究有关责任人责任;涉嫌犯罪的,依法移交司法机关处理.第四十九条 监
22、督检查人员滥用职权、玩忽职守、徇私舞弊、贪污受贿、泄露秘密的,对严重内控缺陷、重大违纪、违法事项故意不披露的,以及由于未履行职责出现重大审计事项错漏、应当给予通报批评、警告、辞退及追究相关责任的处理;涉嫌犯罪的,依法移交司法机关处理。第五十条 监督检查机构和人员为公司避免或挽回重大经济损失,提出的管理建议被采纳后取得显著经济效益,公司应给予适当的表彰和奖励。第五十一条 公司所有员工均有权随时以书信形式、电子邮件、传真或口头等方式向公司董事会及其审计委员会或监督检查部门反映公司内部控制存在的缺陷及实施中存在的问题,针对存在的问题建议采取的改进措施,以及对公司内控制度下一步发展方向提出建议.同时,公司将视具体情形,对提供建议的员工予以奖励和鼓励。第六章 附 则第五十二条 本制度适用于公司及所属公司,包括公司总部、各分公司及全资子公司、控股子公司.第五十三条 公司及所属公司可以参照本制度制定相关实施细则或具体执行办法,实施细则或执行办法不得违反本制度相关规定。实施细则或执行办法经公司总经理办公会批准后执行,并上报公司备案。第五十四条 本制度由公司董事会负责解释和修订。第五十五条 本制度自公司董事会审议批准之日起执行,修改时亦同。
