内部控制体系基本框架

内部控制体系基本框架

目次

1 总则．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．

1．1 编制目的 „„„„„„„„„„„„„„„

1．2 编制依据 „„„„„„„„„„„„„„„

1．3 编制原则 „„„„„„„„„„„„„„„

1．4 主要应用 „„„„„„„„„„„„„„„„„„„„„„„„„„„

1．5 主要内容 „„„„„„„„„„„„„„„„„„„„„„„„„„„„

1．6 控制的原则 „„„„„„„„„„„„„„„„„„„„„„„„„„„

1．7 控制的职责 „„„„„„„„„„„„„„„„„„„„„„„„„„„ 2 框架基础„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„

2．1 公司愿景„„„„„„„„„„„„„„„„„„„„„„„„„„„„

2．2 公司使命„„„„„„„„„„„„„„„„„„„„„„„„„„„„

2．3 公司战略„„„„„„„„„„„„„„„„„„„„„„„„„„„„

2．4 经营理念„„„„„„„„„„„„„„„„„„„„„„„„„„„„

2．5 企业文化„„„„„„„„„„„„„„„„„„„„„„„„„„„„

2．6 核心价值观„„„„„„„„„„„„„„„„„„„„„„„„„„„

2．7 公司与政府的关系„„„„„„„„„„„„„„„„„„„„„„„„

2．8 公司与投资方的关系„„„„„„„„„„„„„„„„„„„„„„„

2．9 公司与员工的关系„„„„„„„„„„„„„„„„„„„„„„„„ 3 控制环境„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„

3．1 公司治理架构„„„„„„„„„„„„„„„„„„„„„„„„„„

3．2 管理理念及经营风格„„„„„„„„„„„„„„„„„„„„„„„

3．3 组织结构„„„„„„„„„„„„„„„„„„„„„„„„„„„„

3．4 诚信与道德价值观„„„„„„„„„„„„„„„„„„„„„„„„

3．5 权责分配体系„„„„„„„„„„„„„„„„„„„„„„„„„„

3．6 人力资源政策及实施„„„„„„„„„„„„„„„„„„„„„„„ 4 风险管理„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„

4．1 风险管理内容„„„„„„„„„„„„„„„„„„„„„„„„„„

4．2 风险管理目的„„„„„„„„„„„„„„„„„„„„„„„„„„

4．3 风险管理信息的采集„„„„„„„„„„„„„„„„„„„„„„

4．4 风险评估„„„„„„„„„„„„„„„„„„„„„„„„„„„

4．5 风险管理策略„„„„„„„„„„„„„„„„„„„„„„„„„

4．6 风险应对措施„„„„„„„„„„„„„„„„„„„„„„„„„

4．7 风险管理的监督与改进„„„„„„„„„„„„„„„„„„„„„ 5 控制活动„„„„„„„„„„„„„„„„„„„„„„„„„„„„„

5．1 实施控制活动的基本要求„„„„„„„„„„„„„„„„„„„„

5．2 建立预算管理和经营活动分析评价制度„„„„„„„„„„„„„„

5．3 期末财务报告流程„„„„„„„„„„„„„„„„„„„„„„„

5．4 建立控制活动体系„„„„„„„„„„„„„„„„„„„„„„„ 6 信息与沟通„„„„„„„„„„„„„„„„„„„„„„„„„„„„

6．1 信息„„„„„„„„„„„„„„„„„„„„„„„„„„„„„

6．2 沟通„„„„„„„„„„„„„„„„„„„„„„„„„„„„„

6．3 信息披露„„„„„„„„„„„„„„„„„„„„„„„„„„„ 7 监督„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„

7．1 持续监督„„„„„„„„„„„„„„„„„„„„„„„„„„„

7．2 独立评估„„„„„„„„„„„„„„„„„„„„„„„„„„„

7．3 缺陷报告„„„„„„„„„„„„„„„„„„„„„„„„„„„

7．4 内部审计与监督„„„„„„„„„„„„„„„„„„„„„„„„

1 总则

介绍了内部控制体系基本框架(简称本框架) 的编制目的、编制原则、主要应用及内部控制五大要素在公司运营中的主要内容，同时也提出了构建内部控制体系的总体要求。

1．1 编制目的

本框架列示了公司对建立一个有效内部控制系统所必须的基本控制原则、政策和标准。提供各部门完善内部控制的基本依据，同时也是为了提高管理层及员工对管理职责的认知和接受程度，从而更好地建立和保持与这些标准一致的控制系统和程序。这些控制标准允许各部门在设计与公司现有的政策和程序相一致的控制系统时进行灵活运用。

本框架是一个较为理想的框架，可能公司的内部控制现状均与之有一定差距，但公司董事会、管理层以及各级员工希望通过理解和贯彻本框架的要求，梳理管理流程、规范管理行为，逐步建立健全风险管理体系，增强风险防范能力，来实现提升公司整体管理水平的目的。

1．2 编制依据

1．2．1 公司治理和管理的内在要求。

1．2．2 本框架依据美国《萨班斯法案》、COSO （Committee of Sponsoring Organizations of the Treadway Commission即反虚假财务报告委员会的发起人组织委员会）《内部控制——整体框架》、COSO 《企业风险管理——整合框架》及《中华人民共和国公司法》、《中华人民共和国合同法》、《中华人民共和国会计法》等国家法律法规编制。

1．3 编制原则

1．3．1 合法性原则

以国内及上市地法律法规为准绳，结合公司实际进行内控体系设计。

1．3．2 完整性原则

以《中华人民共和国公司法》、《中华人民共和国合同法》、《中华人民共和国会计法》等国家法律法规及美国《萨班斯法案》、COSO 内部控制框架五要素为指引，全面开展内控体系建设，并覆盖各项业务和部门，构建公司有机的内部控制框架。

1．3．3 继承性原则

与公司管理制度体系相结合，在公司现有管理体系的基础上，建立内部控制管理体系。

1．3．4 有效性原则

在内控体系设计过程中考虑了实施的可行性，根据公司运行的实际需要进行体系设计。

1．4 主要应用

本框架是公司构建良好的控制系统所遵循的基本控制原则和理论基础，它适用于任何业务部门和业务流程，公司及所属各部门应依据本框架所介绍的控制标准建立有关系统和程序，并定期进行审查以确保其足够性和有效性。

公司内控部有职责就有关控制事项向各职能部门提出意见，希望并鼓励各部门向其寻求意见。

管理人员应就任何与控制标准有关的例外情况，与内控部进行书面沟通。如果业务流程产生了重大变化，或由于出现其他情况而使本框架的某一个或多个程序与实际情况不相符合时，请通知内控部。如果需要，公司内控部将对例外情况进行调研、备案，并协调解决方法，适时地建议职能部门采用替代的控制程序。

1．5 主要内容

本框架以COSO 框架与《萨班斯法案》规定为指引进行内控体系建设，从控制环境、风险评估、控制活动、信息与沟通和监督等五个要素开始，对每一个要素再细分为若干个子要素，全面、系统地阐述了内控体系建设的目标、方法和标准，以全面、有效地指导公司内控体系建设工作。

1．5．1 控制环境

1．5．1．1 释义

控制环境是指对建立、加强或削弱特定政策、程序的效率和效果有重大影响的各种因素。有些是有形的因素，如组织机构、授权、组织业务活动；还有一些是无形的因素，比如员工的能力和诚信、高层管理人员的道德影响力、公司管理层与所属人员沟通和推行政策的方式以及影响公司业务的各种外部关系等。

1．5．1．2 控制环境的作用

营造良好的控制环境是公司生存发展的必要条件。

公司管理层所建立的总体控制环境，对公司内部控制的选择和控制效率都具有非常重要的影响。

一个健全的管理系统可以帮助创建良好的控制环境，从而进行有效的控制。这种环境的特点是关注控制的存在，确保控制的执行，对执行控制持有正确的态度。

恶劣的控制环境可能会使一些内部控制失效，达不到任何目的，不利于企业目标的实现。

1．5．2 风险评估

1．5．2．1 释义

风险是未来的不确定性对公司实现其经营目标的影响，所有公司无论规模、结构和行业性质，都面临着诸多来自内部和外部的风险，影响公司既定目标的实现。

风险评估是指对相关风险进行识别和分析，是发现和分析那些影响目标实现的风险的过程，是确定如何管理和控制风险的基础。

为提升公司管理水平和创造股东价值为目的，董事会与管理层将精力主要放在可能产生重大风险环节上，而不是所有细小环节上，应将风险管理作为内部控制的主要内容。

1．5．2．2 风险评估的目的

由于外部宏观环境(如经济状况、行业状况、法规) 和公司内部经营状况会不断发生变化，要发现并处理这些变化对有关风险的影响，必须建立健全一套风险评估制度体系和持续改进的运作机制，以有效地识别、分析和管理影响目标实现的相关风险，提高公司抵御各种风险的能力。

1．5．3 控制活动

1．5．3．1 释义

控制活动是确保管理层指令得以执行的政策和程序，政策和程序是两个不同层面上的构成要素，是针对风险采取的控制措施；同时，控制活动是由董事会、管理层、业务执行部门及公司所属各单位分层次实施的，以实现公司营运的效率和效果、财务报告的可靠性、遵守适用的法律法规的目标。控制活动贯穿于公司的各个层次和部门，一般包括诸如职责分派、授权、批准、记录、查证核对、分析审核经营业绩、资产保护等活动。

1．5．3．2 控制活动主要工作内容

建立健全控制活动制度体系。

建立健全经营活动分析及其管理活动分析制度，并按照制度规定开展分析评价活动； 控制现状描述与分析，对关键业务流程进行风险控制分析，编制分析文档并修改、完善、补充相关制度；

建立关键控制，进行流程分析，建立完善的关键控制的确认标准(内部控制体系评价标准) ，确定所有业务流程的关键控制；

规范期末财务、工程投资、生产运营报告流程，完善相关期末报告制度。

1．5．4 信息与沟通

1．5．4．1 释义

信息与沟通是指相关信息以某种形式并在某个时段被识别、获得和沟通，以促使员工采

取一定的措施或行动履行自己的职责。信息与沟通连接了内部控制体系整体框架的其他要素，是有效实施内部控制的保障，直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。

1．5．4．2 目的

公司管理的最重要的内容之一就是决策，管理行为的重点就是采集、加工决策所需的信息。信息与沟通包括两个方面，一是有一套能够支持信息确认、信息获取和信息交流的系统，使员工能够按照一定的形式和时间行使职责以及正确编制财务和非财务报告；二是在公司各个层面对相关信息进行有效的沟通和将其传达给相关的各方，冲突必须得到有效管理和控制，以利于实现公司预定目标。

1．5．4．3 公司系统内部信息与沟通基础工作

组织结构要有利于信息的传递和交流；

要建立能有效解决横向部门、上下级之间的冲突与矛盾解决机制；

信息沟通应能有效促进公司经营目标的实现。

1．5．4．4 信息与沟通必须做好的工作

从制度上保证信息沟通体系的建立。建立健全信息沟通渠道及沟通方式；完善与信息沟通相关的管理制度，包括：沟通的种类、沟通的渠道、相关部门的职责等。

利用计算机信息基础，提高信息与沟通的管理水平。结合公司信息化建设，逐步在整个公司系统形成集中、统一、完整的计算机应用系统，分级实施，为公司实现网络化经营提供统一平台，提高信息处理和沟通的及时性、高效性，确保生产经营数据的真实性、完整性。

完善对外披露事项的管理制度，包括重大事项判定标准、报告程序及规范披露事项的收集、汇总和披露程序等方面。

1．5．5 监督

1．5．5．1 释义

为了使内部控制系统有效运行，就需要对内部控制系统的建立和实施开展恰当的监督，通过监督活动，评价内部控制系统的效果和质量。包括持续监督、独立评估和内控缺陷报告等。

1．5．5．2 内容

持续监督。建立完善的内控体系维护机制、管理制度及内控测试标准，持续监控内控体系的有效性。

独立评估。相关部门定期监督、评估内控体系的有效性。独立评估的范围和频率主要依赖于风险评估和持续监督的有效性。

缺陷报告。建立健全缺陷报告管理机制，制定缺陷确认标准，明确向相关管理人员和董事会上报内控风险的程序。内部控制的缺陷应自下而上进行报告，重要事项应报知高层管理人员和董事会。

1．6控制的原则

1．6．1 管理权利的分散化

在现有的机构和人员条件内，每个部门都应该在营运范围内尽量发挥其管理职责和授权，并对结果负完全责任，不应该过于突出某一个部门的作用或地位，而导致公司总体控制的不平衡发展。

1．6．2 职责的划分

对财务资产及有形资产的保管与会计职责进行划分。任何一个部门或员工都不应该具有控制任何一个重大交易或一组重大交易的权利。

1．6．3 文件记录

所有营运程序、业务活动和交易都要保留文件证据，目的是为了确定审批和查证职责、

提供准确及时的会计记录和报告，提供记录，用于分析和回顾。

1．6．4 监管与检查

对管理人员和其他员工的工作进行系统、详细的监管和检查，有助于确保员工对控制程序的了解和执行。

1．6．5 时效性

记录、报告和检查是评估业绩过程的一部分，这些工作应该及时地按照计划进行。

1．6．6 与风险相关

控制程序的设计反映出风险的性质和程度，控制的成本应该与产生的效益相关。

1．6．7 尽量减少控制的相互依赖

内部控制的每个方面都应该精心组织，如果任何一个部分出现重大失误，应该确保不会严重削弱整个系统中其他控制部分的效率。

1．7 控制的职责

1．7．1 管理层

进行适当、有效的控制是各部门的重要职责之一，从最基础的主管开始，向上一直到公司的管理层，公司内控在一种分散化的机构框架中进行。

各级管理人员都有职责就控制理念和控制要求与其机构内所属的员工进行沟通，这些管理人员还负责在其机构的营运系统和工作程序中采取充分的控制措施。

执行公司政策和程序、找出需要改变的控制是日常业务主管人员的职责；公司管理层在各部门的协助下负责对控制系统实施总体监督。

1．7．2 内部审计

公司内部审计对内部控制系统运作的足够性和有效性进行独立、客观的监督和评价。 公司建立了一套报告关系，确保内部审计人员在选择检查范围或评估有关工作时，不受某些机构可能给予的压力的影响，这些报告关系包括直接或间接地与公司高级管理人员沟通。

各级管理层有义务对所有在内部审计中发现的问题和提出的意见进行评估并采取适当的行为，特别注意对内部控制中的不足进行纠正。

1．7．3 外部审计

外部审计人员主要是对公司的综合财务报告发表意见。

审查过程中，他们有义务报告与其审查的财务报告和资料相关的任何重大内部会计控制缺陷。

由于外部审计人员对内部控制的审查可能局限于一般接受的审计标准，所以公司的管理人员不能用外部审计人员的审查来完全替代各部门对控制职能的评价。

外部审计人员可以对所有他们认为与执行审计工作有关的营运、记录、人员和有形财产进行检查。

1．7．4 各级员工

各级员工都应参与公司控制系统并遵循公司的政策和程序。在执行工作过程中，所有员工都应对现行政策和程序不相符合的情况或交易保持警惕和提出质疑。

2 框架基础

在控制的过程中，将公司管理层的目标和要求明确地传达到公司组织的各个方面是非常重要的，在本部分列出了公司的基本政策，为确保公司的持续发展提供良好的控制基础和前提条件。

2．1 公司愿景

建设世界一流企业，创建世界一流品牌。

2．2 公司使命

建设资源节约型、环境友好型企业，为社会提供纯天然、零热量、高品质的“第三代健康糖源”。

2．3 公司战略

“建设世界一流企业，创建世界一流品牌”既是GLG 全体员工的共同愿景，也是企业的战略定位。依靠忠诚的员工队伍，凭借自身拥有的目前世界最全的集种苗研发、种植、工业加工、国际市场营销网络于一体的产业链，依托科学的管理、先进的设备，我们完全可以做到全球产量最大、质量最高、成本最低，我们坚信，有了这样的核心竞争力，不断加强管理、技术和文化的创新，在注重发展质量、规避经营风险的前提下，打造以 “文化独特化，利益一体化，责任社会化，管理现代化，经营国际化，品牌大众化，产品差异化，优势显著化，竞争正规化”为特质的世界一流企业、一流品牌的目标一定能够早日实现。

2．4 经营理念

诚信为本，规范经营，业绩优良，回报股东。作为上市公司，依法合规经营，以诚信的理念和心态主动沟通，真诚面对股东，面对社会，实现对股东的承诺。

2．5 企业文化

GLG 集团认为：企业文化是企业的灵魂，完美的企业必须有强大的企业文化主导。志在成为世界甜菊糖行业“巨无霸”的GLG 集团应该具备有GLG 特色的企业文化。

GLG 文化传承中华民族优秀的传统文化，吸收、借鉴西方现代文明以及人类一切优秀文明成果，崇尚人文关怀，追求和谐包容。

GLG 倡导“健康有意义的人生”，奉行“学、诚、勤，和、信、廉”，提倡“充满激情而又严谨的工作”；GLG 主张“学习是一种生活方式”，努力打造学习型团队。鼓励员工不断超越自我，追求杰出。

人文化成，文化兴企。GLG 将通过企业文化的固化、细化，完善包括精神文化、制度文化、物质文化在内的企业文化体系，建立企业文化的各种载体，打造企业文化“软实力”，为企业的快速、健康、可持续发展提供不竭的动力，并最终造就一大批杰出的GLG 人。

2．6 核心价值观

忠诚 提升 和谐 诚信

在GLG 文化里，“忠诚”首先表现为每一个GLG 员工作为一个社会公民的道德底线：自尊、自重、自爱，奉公守法，遵守公俗良序；其次，“忠诚”是作为一个职业人最基本的职业精神。它要求GLG 的每一个成员都必须自觉维护企业利益和企业荣誉：有强烈的责任感，尽职尽责，能充分承担本职工作的经济责任、社会责任和道德责任，公私分明，不做任何与履行职责相悖的事，不做有损企业形象和企业信誉的事。坚决反对和杜绝一切贪污腐败的行为。与此同时，GLG 以构建和谐价值链为己任，与行业、产业的上下游企业和全体员工共同提升。

“和谐”是GLG 始终不渝追求的目标和集团持续快速健康发展的保障。GLG 谋求建设“共融、共享、共赢、共荣”的和谐企业，我们要在继承中创新、在创新中发展，不断追求高尚、不断追求完美、不断追求人生的更高境界、不断创造集团更美好的未来。“和谐GLG ”根本是价值理念高度认同，不论形势如何变化都始终予以坚持；和谐的关键是集团高层公道正派，各级领导在人品上率先垂范；和谐的基础是团队动作协调、上下目标统一、企业均衡发展；和谐的保障是工作流程简约而不简单、决策严谨而不繁琐、执行高效而不盲动；和谐的真谛是原则上坚定、利益上互让、性格上包容。

GLG 提倡以实事求是的精神指导自己的一切行为，坚持说老实话、办老实事、做老实人，以诚待人，光明磊落。言必信，行必果。正确处理义利关系，坚持守法经营，讲究诚信，

坚决反对任何吹牛浮夸、弄虚作假的行为。

2．7 公司与政府的关系

企业与政府是现代社会中两种最有影响力的组织。GLG 集团认为，企业与政府是主体平等、相互依存的鱼水关系、手足关系，GLG 集团依照法治原则、高效原则、平等保护原则、经济原则，在与政府权利、义务对等的前提下，依法进行经营活动，同时，注重加强企业的社会形象管理，努力创设有利于企业发展的良好的外部环境。

2．8 公司与投资方的关系

公司对所有的股东负责，在董事会领导和监督下进行生产经营活动，从而向投资方进行合理的回报，实现共同利益与公司持续发展的有机结合。

2．9 公司与员工的关系

2．9．1 GLG认为，员工和企业是休戚相关的利益共同体。对GLG 绝对忠诚是员工的神圣义务；GLG 为忠于公司、恪尽职守的员工的提升和个人价值的实现提供良好的平台； GLG 努力构建和谐企业，建设和谐友爱的GLG 大家庭；恪守诚信是GLG 集团基业长青的保证。

2．9．2 GLG 所有员工在人格上人人平等，在发展机会面前人人平等；GLG 倡导简单而真诚的人际关系。

3 控制环境

控制环境是整个内部控制框架的基础，直接影响到内部控制的贯彻和执行，影响企业经营目标和整体战略目标的实现。公司要颁布纪律守则和政策声明，支持内控环境的构建，应包含以下子要素。

3．1 公司治理架构

公司治理是指股东、董事会、董事会辖下管理委员会、管理层之间形成的权责分配、约束与激励、权力制衡关系。虽然内部控制的贯彻落实是属于内部管理措施问题，但是，内部控制机制设计则属于公司治理范围。

3．1．1 股权结构

公司应向公众充分披露公司股权结构，包括披露股东背后的相关利益方，使股权结构保持透明清晰；

大股东不损害小股东的利益；

母公司或控股公司股东不通过公司章程外的手段来影响经营者或独立董事的行为； 管理层和内部持股者不能损害股东的利益。

3．1．2 相关利益方的平衡关系

每个股东都能按照程序规定参加股东大会，并获得充足的信息；

由全体股东参与的股东大会可以控制决策过程；

股东应有权益不受到削弱。

3．1．3 财务透明度和信息披露

财务报表和信息披露内容质量能被公众认可；

向公众披露的信息及时、清晰完整、容易获取；

在公司章程、规章制度中有明确阐述。

3．1．4 董事会结构及运作

董事会能公正代表股东的利益；

董事会选举过程透明，董事本人不参与；

董事的薪酬制定程序规范，有明确的连任政策；

董事会下设立适当的专业委员会，并在董事会闭会期间监督公司的经营状况。

3．2 管理理念及经营风格

管理理念及经营风格表现为管理者的各种偏好，对公司的内部控制效率和效果有深远的影响，也对员工的道德行为、行为方式有直接影响，内部控制的有效性无法超越管理者的管理哲学及经营风格，主要有对接受风险的态度、是否重视对关键岗位人员的监测或轮换、对会计账目以及财务报告真实性、可靠性、安全性的态度等。

3．2．1 接受风险的程度

对高风险领域的投资行为按照制度规定的程序进行分析论证；

力求公司的债务和权益比始终保持同行领先水平；

在介人新业务前，应在进行仔细的风险和收益分析后才采取行动；

制定风险偏好标准和风险容忍度。

3．2．2 重视关键岗位人员轮换使用

建立物资、会计、技改、工程等岗位人员的轮换制度，并按照规定执行；

管理层和监督层人员不应存在过高的更换频率；

对关键岗位的员工应有相应的制度或措施保证由于突然离职或意外情况的发生使公司的业务不受影响。

3．2．3 管理者对数据的态度

管理当局质疑各种基础数据统计、财务报告的真实性和可靠性，而且制定制度规范数据处理；

管理层要重视综合统计分析报告和财务报告；

管理层重视预算执行偏差分析报告；

重要资产，如包括知识产权和信息被严格地保护，防止未经授权的接触。

3．3 组织结构

3．3．1 建立原则

组织机构以精简、高效和应变为原则而建立，通过结构优化提高员工的整体素质，并且要与公司发展战略规划相匹配。同时考虑以下几个方面：

(1)有利于强化责任，确保公司目标和战略的实现；

(2)有利于简化流程，快速响应顾客的需求和市场的变化；

(3)有利于提高协作效率，降低成本；

(4)有利于信息的交流，促进创新和优秀人才的脱颖而出；

(5)有利于培养领导干部，使公司可持续发展。

3．3．2 发展原则

组织结构的演变不应当是一种自发的过程，其发展具有阶段性。组织结构在一定时期内的相对稳定，是稳定政策、稳定干部队伍、稳定员工思想和提高管理水平的条件，是提高效率和效果的保证。

3．3．3 权责分配

组织结构能满足公司的规划、执行、控制、监督活动，日常经营层的设立应满足需要的职能部门，对重大的投资、财务预决算等决策做好前期工作，报专业委员会审查，对具有投资价值的战略项目、再报董事会或股东大会通过。

3．3．4 信息沟通和汇报

组织机构设置的横向扁平宽度和垂直层次要合理，使信息沟通和汇报能满足公司日常管理；

各业务流程必须在部门之间、上下级单位之间适当分割，使计划、授权、审批、执行、控制、考核评价、监督职能适当分离和牵制，管理业务信息顺畅，兼顾效率和效果。

3．3．5 组织结构变化的适应性

组织结构会随着环境的变化而变化。具体包括：管理人员定期根据变化的业务或行业环境来评价公司的组织结构。

3．3．6 员工人数足够

配备足够数量的员工，特别是管理人员。使管理人员拥有足够的时间来有效地履行职责。 同时保证管理人员能够将工作分派给其下属，避免出现大量加班来完成本可以由多名员工完成的工作。

3．4 诚信与道德价值观

3．4．1 道德准则的制定及推行

管理层应该向员工传达诚信与道德标准，并且必须不折不扣地执行。员工应该知晓和理解这些规定。管理层应该在言谈和行动的方式中表现出对道德标准一丝不苟的遵循。

3．4．2 内容

道德标准是全面的，针对利益冲突、非法或其他不当付款、反不正当竞争准则、内幕交易等。

公司对道德标准进行有效地宣传推广，建立包括详尽的道德指导并在公司上下沟通程度的指导，管理层通过一言一行，在公司范围内传达一种对诚信与道德观的遵循，对存在问题的迹象适当地关注。

员工知晓什么行为是可接受的，什么是不可以接受的，以及当遇到不当行为时应该采取的行动，让员工感觉到被同仁敦促做正确的事情的压力。

3．4．3 与利益相关方的关系

管理层与员工、供应商、客户、投资者、债权人、保险公司、竞争对象和审计师等进行交往时，是否采用高的道德标准，并且要求其他人同样遵守道德标准。具体包括：与客户、供应商、员工和其他相关方的日常业务建立在诚实和公允的基础上。

3．4．4 违规处理

针对违反政策和道德标准的情况采取适当的措施，具体包括：

(1)管理层对违规行为应进行回应。

(2)对违规行为会进行纪律处分，处理的原则和结果应在公司上下进行传达并保持一贯性。

(3)员工确信如果违规要承担后果。

3．4．5 管理层对干预或逾越既定控制的态度

管理层干预是指为了合法的目的而偏离既定的规章和程序的行为。当出现特殊的和非标准的交易和事件时，管理层的干预是合理的，因为没有一个公司在设计内部控制时能够考虑所有因素，当特殊情况出现，现有的内部控制不适用时，需要管理层采取干预进行处理。而管理层的越权行为则是指为了不合法的目的而不遵守既定的规定和程序，这是内部控制禁止的。

3．4．6 实现目标的压力

绩效目标的制定应是合理的，绩效考核导向是与公司战略目标和阶段目标相一致的，特别是短期目标，工资与绩效目标实现的挂钩程度是合理的。具体包括：

(1)不存在偏激的奖惩制度，影响员工对道德标准的遵守。

(2)升职和工资不能仅基于短期绩效目标的实现程度。

(3)实施控制以减少以其他形式存在的诱惑。

3．5权责分配体系

公司内部机构之间、各经办人员之间的科学分工与牵制是内控环境的软要素，做到不相容职务分离，要通过建立制度和工作程序来规范完成。以下不相容职务要分离：

(1)授权审批职务与执行业务职务要分离；

(2)业务经办职务与审核监督职务要分离；

(3)业务经办职务与会计记录职务要分离；

(4)财产保管职务与会计记录职务要分离；

(5)业务经办职务与财产保管职务要分离。

3．6 人力资源政策及实施

人力资源政策及实务是挽留和补充人才，保证企业计划实施和目标实现的关键因素，内

控体系要求人力资源政策及实务的标准要求要涵盖人事管理、薪酬管理、候选人考察、违规行为处理及培训管理等方面。

3．6．1 人力资源政策和指引

应建立人力资源政策与指引，并由公司管理层审批。

现有人力资源政策和程序可以招聘并发展有能力、可信的人员，能够支持有效的内部控

制系统，并对招聘和培训合适人员的关注程度是适当的。

3．6．2 员工责任和目标

员工应意识到他们的工作职责和公司对他们的期望。

3．6．3 违规行为的纠正措施

管理层对工作失职的行为应采取适当的措施，对违反政策的行为有适当的纠正措施。

3．6．4 道德标准的遵从

人力资源政策与相应的道德标准一致，诚信和道德价值是员工评价的一项标准。

3．6．5 核查候选人或继任者的背景

对频繁更换工作和职业背景相差很大的候选人要仔细核查，雇佣政策要包括对犯罪记录

的调查。

4 风险管理

4．1 风险管理内容

风险管理不是孤立分配给风险管理部门的任务和责任，董事会、公司管理层、公司各职

能部门、公司下属各单位都要把风险管理的各项工作融人到企业管理和各项业务流程及其管理制度中去，重点要做好战略发展、投资收购、财务管理及报告、安全生产、环境和职业健康、燃料管理、金融产品的交易、法律事务、内部审计等的风险管理工作。

(1)风险评估的前提条件是设立目标。设立目标是管理过程重要的一部分，它是风险管

理的要素之一，是内部控制得以实施的先决条件。

(2)识别与上述目标相关的风险。

(3)评估上述被识别风险的后果和可能性，划分重要业务单位、流程、资产设备等，一

旦确定了主要的风险因素，管理层就可以考虑它们的重要程度，并尽可能将这些风险因素与业务活动联系起来。

(4)针对风险的结果，考虑适当的控制活动。

4．2 风险管理目的

从组织结构上看，形成三道风险屏障，公司各业务职能部门和公司所属各单位形成第一

道屏障，内控职能部门和公司管理层形成第二道屏障，内控职能部门和董事会下设的投资及风险控制委员会、审核委员会形成第三道屏障；从管理流程来看，风险管理成为内控体系及其制度体系的主要支撑，形成公司良好的风险管理文化。

公司各项管理活动和风险管理应该关联内容的参考标准见下表。

公司各项管理活动和风险管理应该关联内容的参考标准

4．3 风险管理信息的采集

公司实行全面风险管理，应持续不断地收集与本公司风险和风险管理相关的内 部、外

部初始信息，包括历史数据和未来预测数据，把收集初始信息的职责分工落实到有关职能管理部门和下属业务单位，必要时，按照效益大于成本的原则也可以把某项信息采集工作外包。

4．3．1 战略风险信息采集至少收集以下战略信息，并包含因战略风险导致企业受损失的案例：

(1)国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策；

(2)科技进步、技术创新的有关内容；

(3)市场对本企业产品的需求；

(4)与公司战略合作伙伴的关系，未来寻求战略合作伙伴的可能性；

(5)本公司主要客户、供应商及竞争对手的有关情况；

(6)与主要竞争对手相比，本公司实力与差距；

(7)本公司发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制这些战

略、规划、计划、目标的有关依据；

(8)本公司对外投融资流程中曾发生或易发生错误的业务流程或环节。

4．3．2 财务风险信息采集至少收集以下财务信息(其中有行业平均指标或先进指标 的，也应尽可能收集) ，并包含因财务风险导致公司危机的案例：

(1)负债、或有负债、负债率、偿债能力；

(2)现金流、应收账款及其占销售收入的比重、资金周转率；

(3)产品存货及其占销售成本的比重、应付账款及其占购货额的比重；

(4)生产成本和管理费用、财务费用、营业费用；

(5)盈利能力；

(6)成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节；

(7)与本公司相关的行业会计政策、会计估算、与国际会计制度的差异与调节信息；

(8)环保费用、政策优惠费用。

4．3．3 市场风险信息采集在市场风险方面，公司应广泛收集国内外公司忽视市场风险、缺乏应对措施导致公司蒙受损失的案例，并至少收集与本公司相关的以下重要信息：

(1)产品的价格及供需变化；

(2)原材料、辅助材料等物资供应的充足性、稳定性和价格变化；

(3)税收政策和利率、汇率、股票价格指数的变化；

(4)潜在竞争者、竞争者及其主要产品情况。

4．3．4 运营风险信息采集在运营风险方面，应至少收集与本公司、本行业相关的以下信息：

(1)资产结构、产品结构、设备先进程度、设备健康状态、能耗；

(2)新项目的市场营销策略，包括产品定价与销售渠道，市场营销环境状况等；

(3)公司组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验；

(4)质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节，相应的经验反馈；

(5)因公司内、外部人员的道德风险致使公司遭受损失或业务控制系统失灵；

(6)对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力；

(7)公司风险管理的现状和能力；

(8)给公司造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险。

4．3．5 法律风险信息采集公司应广泛收集国内外公司忽视法律法规风险、缺乏应对措施导致公司蒙受损失的案例，并至少收集与本公司相关的以下信息：

(1)国内外与本公司相关的政治、法律环境；

(2)影响公司的新法律法规和政策；

(3)员工道德操守的遵从性；

(4)本公司签订的重大协议和有关贸易合同；

(5)本公司发生重大法律纠纷案件的情况；

(6)公司和竞争对手的知识产权情况。

4．3．6 对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估。

4．4 风险评估

公司对采集的风险管理信息和公司各项业务管理及其重要业务流程进行风险评估，风险评估包括风险辨识、风险分析、风险评价三个基本环节，风险评估结果要在各项业务管理中充分应用。

风险评估的内控标准参考如下：

(1)公司层面应综合考虑组合风险，全面评估风险，风险评估应由公司组织有关职能部门和业务单位实施，也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。

(2)风险辨识是指查找公司各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对公司实现目标的影响程度、风险的价值等。

(3)进行风险辨识、分析、评价，应将定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论、计算机模拟、失效模式与影响分析、事件树分析等方法。

(4)进行风险定量评估时，应统一制定各风险的度量单位和风险度量模型，并通过测试等方法，确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。要根据环境的变化，定期对假设前提和参数进行复核和修改，并将定量评估系统的估算结果与实际效果对比，据此对有关参数进行调整和改进。

(5)风险分析应包括风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行统一集中管理。

(6)公司在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图，对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略。

(7)公司应对风险管理信息实行动态管理，定期或不定期实施风险辨识、分析、评价，以便对新的风险和原有风险的变化重新评估。

4．5 风险管理策略

风险管理策略，指公司根据自身条件和外部环境，围绕公司发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。

4．5．1 风险管理的应对策略选择

公司应考虑所有评估出的高风险(比例应占10％-20％) 的风险反应方案，为风险反应方案的选择提供广泛的空间，特别是对战略、财务、生产运营和法律风险，应采取风险承担、风险规避、风险转换、风险控制等方法。

4．5．2 制定风险预警线(容忍程度)

(1)公司应根据不同业务特点统一确定风险偏好和风险承受度，即公司愿意承担哪些风险，明确风险的最低限度和不能超过的最高限度，并据此确定风险的预警线及相应采取的对策。

(2)确定风险偏好和风险承受度，要正确认识和把握风险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件、范围，认为风险越大、收益越高的观念和做法；同时，也要防止单纯为规避风险而放弃发展机遇。

4．5．3 风险管理实施保障

(1)公司应根据风险与收益相平衡的原则，进一步确定风险管理的优选顺序。

(2)明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。

4．5．4 优化改进

公司应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。

4．6 风险应对措施

公司应根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如关键风险指标管理、损失事件管理等) 。

公司制定风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防和控制措施。

公司制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。

4．6．1 关键岗位授权和审批

(1)建立关键岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围

和额度等，任何组织和个人不得超越授权做出风险性决定。

(2)建立内控批准制度。对内控所关注的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任。

4．6．2 内控报告

建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等。

4．6．3 明确内控责任

建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度。

4．6．4 审计监督

建立内控审计监督制度。结合内控的有关要求、方法、标准与流程，明确规定审计监督的对象、内容、方式和负责审计监督的部门等。

4．6．5 考核评价

建立考核评价制度。条件具备时应把各业务单位风险管理执行情况与绩效薪酬挂钩。

4．6．6 风险预警

建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施。

4．6．7 法律风险防范

(1)建立健全以总法律顾问制度为核心的公司法律顾问制度。

(2)大力加强公司法律风险防范机制建设，形成由公司决策层主导、公司总法律顾问牵头、公司法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。

(3)完善公司重大法律纠纷案件的备案管理制度。

4．6．8 业务流程分割

对内控关注的高风险业务流程切割，分配给不同的主体承办，建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括授权批准、战略、投资、付款、合同采购、工程等业务经办、会计记录、财产保管和稽核检查等职责。对内控所关注的重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点等。

4． 6．9 风险应急预案

应制定定期对高风险项目、重要管理岗位、资金流通环节、安全健康环境保护、灾害事故、生产危机、群体事件、资本市场公众信任危机等的应急预控方案。

针对以上所列应急预控方案，在必要时组织应对演练，并落实责任分工。

4．7 风险管理的监督与改进

公司应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用适当的方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。

选定某一风险反应方案后，管理者应在残存风险的基础上重新评估风险，即从公司总体的角度、或者组合风险的角度重新计量风险。各行政部门、职能部门或者业务部门的管理者应采取一定的措施对该部门的风险进行复合式评估并选择相应的风险反应方案。

4．7．1 风险管理信息沟通渠道

公司应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。

4．7．2 风险管理自我评估

公司各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改

进，其检查、检验报告应及时报送公司风险管理职能部门。

4．7．3 风险管理内控评估监督

公司风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验，要根据本手册对风险管理策略进行评估，对跨部门和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送公司总经理或其委托分管风险管理工作的高级管理人员。

5 控制活动

5．1 实施控制活动的基本要求

5．1．1 控制活动的分类

内部控制的组合方式或者分类形式，按照控制目标为标志，划分为会计控制和管理控制。

5．1．1．1 会计控制部分，包括为保证与财务记录的完整性、客观性以及保证达到授权、会计核算和资产保护的目的而制定的控制标准。

会计控制的重要性：

(1)公司管理控制系统是一个完整的系统，包括公司运作的各个方面，因此，这个系统包括多种类型的控制，但各主要要素之间的关系十分密切。一方面，会计控制依赖于系统内许多其他部分的运作。另一方面，许多营运控制也依赖于确保财务信息准确的会计控制。

(2)许多控制行为都是围绕财务管理而建立的，或者最终与财务管理相关联，所以会计控制在内部控制系统中扮演着十分重要的角色，对公司的经济资源进行控制。

5．1．1．2 管理控制是公司管理层为实现其经营目标，保证国家法律和公司各项政策、程序的贯彻实施，保护公司财产的完整以及财务和其他各种经济信息的准确、及时、可靠，保证安全生产，通过建立及不断优化组织机构，合理分责和授权，在必要的制度、程序和内外部审计的监督下，使各功能单位相互协调、相互制约，有效运作的一种手段。

5．1．2 控制目标

控制目标既是管理经济活动的基本要求，又是实施内部控制的最终目的，也是评价内部控制的最高标准。在实际工作中，管理人员和审计人员总是根据控制目标建立和评价内部控制系统。因此，设计内部控制，首先应该根据经济活动的内容特点和管理要求提炼内部控制目标，然后据以选择具有相应功能的内部控制要素，组成该控制系统。

5．1．3 实施有效的控制活动

控制活动是公司为实现其经营目标而执行过程的一部分。通常包括两个要素：确定应该做什么的一个政策和影响该政策的一系列程序。

每个主体都有其自己的一套目标和执行目标的方法，因此，其子目标、结构和相关的控制活动也会不同。即使两个公司有同样的目标和结构，由于每个公司的管理人员都不同，不同的管理人员在影响内部控制时使用不同的个人判断，他们的控制活动也很可能不同。而且，控制活动还会受公司所处的环境和行业、公司的复杂性、公司的历史和文化的影响。 实施有效控制活动应至少做好以下工作：

(1)职责分派：一项经济业务的发生，其授权、批准、执行、记录等从头到尾由一个部门或一个人办理时，其发生错误或非法行为的概率趋于增大，因此两项及以上的功能必须分派。

(2)适当授权：授权分类有一般授权和特殊授权两种；授权结构包含范围、权限、程序、责任4项内容；授权主要类别有资金审批授权、合同签订授权、业务处理授权、价格制订授权、资产与信息接触授权。特别指出授权与批准的区别：授权是对一般交易或特殊交易的政策性制度决策；批准是对公司授权制度的具体执行。

(3)接触控制：要对实物与信息的接触控制，一般具体地指实物资产、会计文件、人事文件、经营战略规划、技术及商务机密、计算机设备、程序和数据等。

(4)文档记录：重要过程要被记录，形成文档(纸质和电子) ，具体表现形式应根据业务内容不同而不同，可以是会议纪要、会计账簿等。形成文档需要进行控制描述，也就是将实施的控制活动以文字形式体现出来。一个较完整的控制描述应当包括以下五个要点：谁做(岗位)? 做什么? 怎样做? 何时做? 留下什么证据(记录、表单、报告等)?

(5)经营活动分析评价：要建立经营管理活动分析评价制度，定期开展经济活动分析和管理活动分析，分析评价运行的效率和效果、财务报表的可靠性、法律法规的遵循性。

(6)预算管理和绩效评价：根据战略规划，制定中长期发展计划，实施全面预算管理。在控制活动中，公司及所属各单位要全面突出强化预算管理体系，实行责任成本核算与分析。应事先核定各单位及各部门的成本构成和业绩目标，并给出预算指标，定期根据成本内容进行成本的计算和绩效分析与考核，这对完成绩效考核、降低管理成本，提高管理效率有重要的作用。

(7)独立稽核：要实施有效的审计、监督，确保数据真实可行，能有效支持生产经营的管理和决策。重点强调与财务报表和附注的真实性和准确性有关的控制；防止舞弊、欺诈行为的控制；资产安全的控制。

(8)确定重要或关键控制点：找出重点工作，并对关键控制点进行定期评价，提高经营效率和效果。

5．2 建立预算管理和经营活动分析评价制度

在控制活动中，公司以及各单位要突出强化全面预算管理体系，实行责任成本核算与分析，开展经营活动分析。在公司层面的控制中，实施全面预算管理和经营活动分析是最重要的一种控制，所以要建立全面预算管理和经营活动分析评价制度，形成闭环控制。经济活动分析侧重于行业、战略、燃料、产出、投入、利润、基建投资、财务情况分析，即阶段性经营成果和影响成果的因素分析。重点对财务报表中影响利润指标的价格因素、销量因素、成本因素及其他费用的变化进行分析，同时对财务报表的真实性进行核实等。

5．3 期末财务报告流程

考虑到其对于财务报告工作和财务报表的重要性，期末财务报告流程始终是一个重要的业务流程。因此，在对于财务报告的内部控制进行整体评估时，针对期末财务报告流程的控制设计和运行有效性进行评估是一个重要的步骤。

5．3．1 期末财务报告流程的内容

期末财务报告流程主要包括以下几个方面的内容：

(1)用于保证交易总额数据及时准确输入总账系统的程序；

(2)用于初始化、授权、记录和处理总账系统中的分录的流程；

(3)其他用于记录对年度和季度会计报表进行的经常性和非经常性调整的程序，例如：合并调整，报告的合并以及分类等；

(4)用于编制期末财务报表前的关账流程；

(5)编制年度和季度会计报表和相关信息披露的程序。

5．3．2 期末财务报告流程的评估范围

期末财务报告流程的评估范围主要包括：

(1)公司出具年度和季度会计报表时所涉及的自动和人工数据输入、执行的程序以及输出程序；

(2)信息技术在期末财务报告流程的每个部分的有效利用程度；

(3)管理层的参与人员；

(4)涉及的经营单位的数量；

(5)调整账目类型；

(6)包括管理层、董事会以及审核委员会的相关各方所实施的针对期末报告流程的监督的性质和程度；

(7)针对报表合并流程的控制；

(8)监督会计政策的选择和确定以及监督确保其实施的一致性的方法；

(9)报表合并流程中手工编制的表格和手工整理编辑的数据的使用情况。

5．3．3 会计政策选取、处理及报告

会计政策的选择和使用，以及确保会计政策在整个公司系统传达和执行的及时性、准确性和一致性，是期末报告流程的一个重要控制活动。公司应完善会计政策选取、有关会计处理和报告事项的管理制度，包括会计政策的制定、审批、传达、实施和监督的过程和相应的控制。

以下控制活动与选择和使用恰当的会计政策有密切关系，需要管理层在期末报告流程中予以重视：

(1)通过以下方式监督标准制定机构的活动和工作：通讯简报、数据库和网站；参与行业和专业委员会及会议；

(2)执行程序来确保新的会计政策能及时的应用并在整个公司范围内得到有效传达；

(3)确保有针对高风险账户和交易的相关政策；

(4)制定和记录会计政策；

(5)选用具备恰当经验和技能的人员；

(6)为负责政策实施的人员提供相关培训；

(7)关键的会计政策需要董事会的批准。

5．4 建立控制活动体系

在整个内部控制活动过程中，应建设并完善以下各项制度和标准：

(1)风险控制分析文档编制标准和模板；

(2)关键控制确认标准及审定程序；

(3)关键控制程序文件；

(4)涵盖上述标准的控制活动管理制度。

随着公司经营活动外部环境和内部管理的变化，风险评估的结果也会不断更新，当然控制活动就要随之发生变化。这就需要由相关部门针对新增或变动的风险进行判断：是否有新增的控制活动，已有的控制活动是否有变化，这些控制活动中哪些是关键控制。然后将这些新增或变化后的控制活动记录在风险控制文档中，并将识别出的关键控制加入风险控制文档，再体现在公司的制度文件中。这样，不断地更新和完善风险控制文档和关键控制文档就可以逐步建立起科学的控制活动制度体系。

6 信息与沟通

6．1 信息

这里所说的信息是指来源于公司外部及内部，与公司经营相关的财务及非财务的 信息。包括从外部获取的行业、经济、监管信息以及内部产生的经营管理、财务等方面的信息。内部控制重点关注财务和内控相关信息。信息必须及时、准确地传递给需要的人，以帮助其行使各自的控制和其他职能。

6．1．1 内控关注要点

6．1．1．1 获取信息并向管理层报告

主要关注下列活动：

(1)完善获取相关外部信息的机制，如有关市场状况、竞争对手的动态、立法或监管的发展以及经济变化。

(2)对于实现公司目标的重要内部信息得到确认并定期汇报。

(3)各级管理人员得到了他们履行职责所需要的信息。

6．1．1．2 及时向适当的人员汇报足够的信息

主要关注下列活动：

(1)各级管理人员能够及时得到分析信息以便判断需要采取什么措施。

(2)向不同级别的管理人员汇报不同程度的信息。

(3)对信息进行适当的汇总，可以满足进一步详查的需要，而不仅仅是数据的堆砌。

(4)及时获取和传递信息，以利于有效监控有关事件和活动(内部的和外部的) 并对经济、行业因素和控制问题进行迅速反应。

6．1．1．3 建立信息系统的战略规划

主要关注下列活动：

(1)各部门各单位负责识别不断产生的信息需求。

(2)信息的需求和优先次序由具有充分责任的高级管理层来决定。

(3)建立长远信息技术计划，并与战略决策相联系。

6．1．1．4 管理层对信息系统的支持态度

为建立或改进信息系统提供了足够的、必要的资源(管理人员、分析员、具备必要能力的编程人员) 。

6．1．2 控制目标

完善能够识别、获得、处理和报告各种信息的体系。相关的信息包括从外部获取的行业、经济、监管信息，以及内部生产、经营、管理信息。

6．1．3 控制措施

6．1．3．1 完善信息系统总体控制体系

信息系统的总体控制是公司内部控制的一个重要组成部分。完善的总体控制能够确保由应用系统支持的自动控制和流程是可以依赖的，由应用系统生成的数据和报告是可靠的。

6．1．3．2 归集描述并执行公司有关制度

公司内部控制关注的相关信息涵盖的范围以及管理规范内容包括：信息的种类、获取的渠道、信息的加工处理、信息需求的确定、相关部门的职责等。

(1)内部信息：

1) 内部信息范围：财务政策信息(财务、会计、价格、资产、资金、关联交易等方面) 、经营类信息、规章制度类信息、标准化信息、其他重要综合信息。

2) 内部信息主要来源：公司各部门调研报告；财务管理报告；信息员搜集、反映；群众来信来访；内部刊物、资料；公司局域网；各种会议决议、记录、纪要等。

(2)外部信息：

1) 外部信息的范围：国家法律法规，外部监管部门的要求，行业信息，客户和供应商的信息，其他信息。

2) 外部信息的来源：外部监管方和上级的公文；公司采购、销售部门收集的市场和价格信息；从互联网、报刊杂志、广播、电视等多种渠道获取的信息；驻外办事处提供的信息、外部来信来访；去外地出差、开会、交流获得的资料、信息等。

6．2 沟通

沟通是指信息在公司内部各层次、各部门，在公司与客户、供应商、监管者和股东等外部环境之间的流动。有效的沟通必须广泛的进行，自上而下、自下而上地贯穿整个组织。所有人员都要从高级管理层获得明确的信息，必须认真对待控制责任。必须了解各自在内部控

制体系中担任的角色，以及个人行为与他人工作的相互关系。必须有自下而上传递重要信息的渠道和方法。同时，也要与客户、供应商、监管者和股东等外部人员建立有效的沟通。

6．2．1 内控关注要点

6．2．1．1 向员工传达其职责和控制责任的有效性

主要关注下列活动：

(1)沟通方式(正式和非正式的培训、会议和工作中的监督) 应能实现沟通的目的。

(2)员工应清楚他们的行为要达到的目标，以及他们的工作对于实现这些目标有什么作用。

(3)员工应清楚自己的职责与他人的职责如何相互影响。

6．2．1．2 公司内部是否充分交流

主要关注下列活动：

(1)营销部门应向工程、生产和营销人员反映客户需求。

(2)财务部门应定期将应收账款余额反馈给上级领导和营销部门。

(3)生产和营销部门(人员) 应能了解竞争对手的信息。

6．2．1．3 沟通渠道应开放有效

主要关注下列活动：

(1)应存在与所有有关方面的反馈机制(例如，客户满意度调查表、供应商管理评审报告) 。

(2)建议、投诉和收到的其他情况应建立记录并得到有效处理。

(3)必要的信息应向上级汇报并采取相应的跟进措施。

6．2．1．4 外部相关方了解公司道德标准的程度

主要关注下列活动：

(1)与外部的重要信息交流应由与该信息重要性程度相称的管理层人员进行(如：高级管理人员定期向外部书面解释公司的道德标准) 。

(2)供应商、客户和其他方面应清楚公司在与其往来的活动中的标准和期望。

(3)在与外部的日常交往中应强调这些标准。

(4)其他公司员工的不当行为应向适当人员汇报。

6．2．1．5 管理层收到外部信息后应采取及时和适当的应对措施

主要关注下列活动：

(1)人员应善于接受他人就产品、服务或其他方面反映的问题，并且对此进行调查并采取适当的行动。

(2)在账单中出现的错误应得到了及时的纠正，并且就产生错误的根源进行了调查和纠正。

(3)应有适当的人员(独立于进行原始交易的人) 处理收到的投诉。

(4)应采取适当的行为，并与原始信息提供者进行跟踪沟通。

(5)高级管理层应清楚投诉的性质以及数量。

6．2．2 控制目标

将信息提供给相关人员，以便于其履行职责，使沟通贯穿于信息处理的整个过程，有效的沟通不仅在整个公司内进行，也包括与外部进行的沟通。

6．2．3 控制措施

执行公司有关制度，对公司主要信息沟通渠道以及管理规范进行全面描述，内容包括：沟通的种类、沟通的渠道、相关部门的职责等。

6．2．3．1 内部沟通

内部沟通是指公司内部上下级之间、横向部门之间的沟通，责任部门有：

(1)人力资源部门：负责制定部门、岗位职责并宣贯，使员工清楚地知道本岗位履行内

部控制的职责。负责制定和贯彻道德准则，使员工清楚什么样的行为是被期望的，相信上级确实想了解问题并愿意解决问题。

(2)业务部门：负责编制业务流程和业务标准并宣贯，使员工清楚本岗位负责的内部控制如何运行及怎样与他人的工作相联系。

(3)内控部：设置检举揭发网页和受理电话，鼓励公司内部员工和合作各方检举任何所获知或遇到的违规行为，对检举揭发事件进行调查核实并提出处理意见。

(4)董事会办公室：负责安排管理层和董事会及相关委员会的沟通，包括会议安排，董事会意见反馈。

(5)各级部门和人员：按照规定从纵向和横向与相关部门和人员沟通。

6．2．3．2 外部沟通

(1)外部沟通主要是指与客户和供应商、外部监管者和外部审计师的沟通。

(2)与客户、供应商的沟通。市场营销部门、公司所属全资或控股公司的采购、销售部门通过供需见面会或订货会、谈判、签定合同等形式与客户及供应商进行沟通，是双方相互了解对产品或服务的设计、质量、市场需求及公司道德准则等。

(3)与外部监管者的沟通。公司各部门和公司所属全资或控股公司在各自职责范围内通过公文、会议等形式与外部监管者进行沟通，及时搜集跟踪法律法规、监管要求等的变化。

(4)与外部审计师的沟通。审核委员会、内控部、财务部门与外部审计师进行会晤和讨论。

(5)与资本市场的沟通。董事会和资本运营部门每年披露公司财务年报。向股东提供书面公司财务年报。

6．2．3．3 沟通的方式

沟通可以采用诸如内控手册、员工纪律守则、利益冲突守则、业务培训、备忘录、公文、会议、录像录音带等形式，又可采用口头传递消息的方式。另一种有影响力的沟通手段是管理层在领导下属工作时的言行。

6．3 信息披露

公司制定信息披露制度和管理程序文件，可成立信息披露委员会或其他委员会和工作小组，要明确其构成和职责，以负责监督披露控制和程序的操作方面的事务，并整合信息数据收集程序中产生的信息。

披露委员会向包括首席执行官和执行董事在内的高级管理层汇报工作。披露委员会和首席执行官一起讨论和审核定期报告、程序和结论的讨论稿，并回答问题、指出重点披露内容和其他事项，以及讨论和审核披露委员会对披露控制和披露程序的评估；披露委员会应得到公司的所有重大新情况的全面通告，以便对该等事件进行评估和讨论，并就重大事件的公开信息发布时间做出决定。

披露委员会应通过指定专人负责相关披露报告中某些章节(如诉讼、法规、竞争、财产、管理层对财务状况酶营业绩的讨论及分析、板块业务等章节) 的起草审阅来分配起草／审阅责任。

7 监督

7．1 持续监督

7．1．1 释义

持续监督是在公司日常经营过程中进行的，包括常规的管理、监管行为，以及全体员工在履行其职责时所采取评估内部控制执行质量的行为。

7．1．2 内控关注要点

持续监督主要关注以下几个方面：

(1)在日常活动中获得内控执行的证据；

(2)外部反映对内部信息的印证程度；

(3)定期核对财务系统数据与实物资产；

(4)对内外部审计师关于加强内控的措施做出响应；

(5)培训、会议等对内控有效性的反馈；

(6)定期询问员工是否理解并执行了公司的道德准则，员工是否执行了内控活动；

(7)内审活动的有效性。

7．1．3 对持续监督的基本要求

为了保证内控体系长期有效运行，需要建立一个稳定的运作机制。

7．1．3．1 定期收集汇总各部门各单位的信息、问题，监督各方面工作的进展。例如，通过经济活动分析等方式，汇集各方面的信息，分析异常变动发生的原因，使潜在的问题及时得到反映，从而对财务报表的质量进行监控。

7．1．3．2 自我监督：各级职能部门对所分管控制活动的执行情况进行自我监督、检查，确保控制得到有效执行，同时对发现的问题做出响应。

自我监督检查常见的方式：

(1)各职能部门对本部门编制的报表进行审核、分析，验证数据的准确性；

(2)每月核对账务，如银行对账、内部往来对账等，编制余额调节表，对差异进行分析，调整账务。

7．1．3．3 业务接口监督：各业务部门对与自己业务接口部门的相关控制活动进行审核监督，以保证接口部分的数据衔接准确无差异。常见的方式有：将业务部门专业口报出的数据与财务数据进行核对。

7．1．3．4 对下监督：业务主管部门对下属单位的内部控制活动的执行情况进行检查。 业务部门对所分管业务中遇到的问题提出解决办法，并发布管理文件或修订完善制度来规范下属单位的工作，对其执行情况进行抽查和全面检查。

7．1．3．5 各专业部门从外部单位获取相关信息，验证内部控制的有效性。可以采取：

(1)与外部单位的往来账项函证，以此来确认账务数据与函证的一致性；

(2)召开客户座谈会，检查客户的投诉记录，来获取有关内部控制存在缺陷的信息，进而改善内部控制状况；

(3)公司接受外部监管者的检查监督并及时获取反馈信息，例如：接受国家审计机关的监督指导，国税、地税检查。

7．1．3．6 根据公司资产管理制度规定，各单位制定各自的资产管理制度和财产清查制度，定期对固定资产、存货、现金、汇票等进行盘点。

7．1．3．7 有效开展内部审计工作，公司管理层响应内、外部审计师的内控建议。

7．1．3．8 各有关部门及管理层通过培训、会议、调研、举报等方式从基层了解到控制实施情况及控制缺陷的反馈情况。

7．1．3．9 职能部门定期对员工道德准则的执行情况进行检查，并广泛了解道德准则的涵盖范围。

7．1．3．10 审核委员会要发挥应有的作用。审核委员会关注公司内部控制体系的完善，对内控体系的建立和运行进行监督，并对内控体系的进一步完善给予改进建议。

7．1．3．11 必须建立相应的管理制度，明确内控体系修订完善的责任主体和相关程序，建立一套制度体系来保障体系有效运行，包括激励机制、考核机制、运行机制、保障监督机制等，需要明确相关的责任主体和考评监督机制。

7．1．3．12 建立与外部审计师的沟通接口的协调机制：按照监管的要求，外部审计师每

年对公司内控体系的运行状况和管理层对内控运行状况的评价进行独立的审计。

7．2 独立评估

7．2．1 释义

持续监督经常可以提供内部控制是否有效运行的信息，但是从全面的观点看，公司有必要直接检视内部控制系统的设计和运行的有效性。这种旨在关注内控系统设计和运行的有效性而进行的评估过程就是独立评估。

管理层为了合理地确认内控系统的有效性所必须进行的独立评估的频率，取决于管理层的判断。在做出决定时管理层应考虑：变化发生的性质和程度及与变化相关的风险；实施内控的人员能力和经验；持续性监督的结果。

7．2．2 独立评估基本要求

7．2．2．1 独立评估要有内控测试的方案、标准、关键控制点清单、测试范围等工作依据。

7．2．2．2 公司内控部门开展内控专项审计或评估工作，在内控专项审计中，主要是通过将被审计单位或审计事项的内部控制运行情况通过文字叙述或流程图等书面形式重新描述出来，进行测试和评价。

7．2．2．3 为适应公司整个内控体系框架的要求，内控部门代表管理层对公司内控的运行情况进行系统评价。

7．2．2．4 建立和完善独立评估管理体系。内控部门建立和完善独立评估的管理制度，明确独立评估的责任主体和相关内容。明确独立评估的判断标准(什么条件下进行独立评估) 、判断主体(谁来判断) 、范围和频率等相关内容。

7．3 缺陷报告

7．3．1 释义

这里的“缺陷’’被广泛定义为内控系统中值得注意的问题。缺陷可能代表一个假想的、潜在的或实际的缺点，或一个强化内控系统的机会。向恰当的当事人提供有关内部控制缺陷的必要信息，对内部控制制度的持续有效运行十分关键。

7．3．2 汇集和报告发现的内控缺陷

7．3．2．1 内控关注要点

缺陷报告主要关注下列活动的缺陷：

(1)来源于内部或外部(如：客户、供应商、审计师、监管机构) ；

(2)通过持续监督或独立评估的结果。

7．3．2．2 基本要求

各级财务部门在组织财务税收检查时对发现的内控缺陷采取措施。

公司内控部门及所属各单位的内控部门，通过制定审计计划和执行审计项目，对发现的控制漏洞及时上报，并形成的审计报告上报所属单位的最高管理层，并要求被审计单位进行整改，提高控制与管理水平。

纪检监察信访机制、效能监察工作以及重大事故的调查工作，能够汇集和发现公司包括内控缺陷在内的问题。

7．3．3 汇报机制的适当性

7．3．3．1 内控关注要点

主要关注下列活动：

(1)将控制缺陷向直接负责人和至少再高一个级别的人汇报；

(2)特殊类型的缺陷向高级管理层和董事会汇报。

7．3．3．2 基本要求

财务汇报：财务部门经理和分管财务领导出席审核委员会例会，在例会上进行汇报，包括财务分析．(对比预算、对比上期) 的内容公司所属各单位向首席执行官和公司财务部门报

告工作。

审计汇报：加强内控部门和审核委员会的沟通，审核委员会要加强对财务报告、内部审计的监督，提出管理方法和改进措施。

公司内控部对董事会及管理层负责并报告工作。公司所属各单位的内控职能部门，在本单位总经理和公司内控部的领导下，组织领导本单位的内控工作，向本单位总经理和公司内控部报告工作。

7．3．4 跟踪评估的适当性

7．3．4．1 内控关注要点

主要关注下列活动：

(1)识别出的错误交易或行为得到纠正；

(2)针对问题的根本原因进行调查；

(3)实施跟进，以确保必要的纠正措施得到实施。

7．3．4．2 基本要求

(1)管理层的响应：公司管理层对监管部门就监管过程中发现的有关违反法规、财经纪律等内部控制缺陷采取措施。

(2)监察跟进评估：监察职能部门对监察信访机制、效能监察工作以及重大事故的调查工作中汇集和发现公司包括内控缺陷在内的问题，进行适当的处理，实施改进措施。

(3)审计跟进评估：公司审核委员会定期询问管理层以前发现的问题是否整改；审计机构根据审计报告出具审计意见书，下达审计决定，提出管理建议书等，并向被审计单位提出分析建议和忠告，以督促其认真履行职责；对有争议的审计处理进行审计复议；内部审计机构负责监督检查内部审计意见采纳及审计决定执行情况；对重要的审计项目，应进行后续审计。

7．4 内部审计与监督

7．4．1 释义

审计监督是一种独立的经济监督与评价活动，包括内部审计和外部审计。公司内部审计是对公司内部控制系统的所有制度、标准和程序的足够性和有效性进行监督和评价。

7．4．2 内部审计监督在内部控制中的定位

内部审计监督担当起监督、评价、鉴证公司内部控制系统的职责和任务。在三个职能中，监督是基本职能，与鉴证职能相比较，评价职能更为重要和经常履行。

相对于外部审计来说，内部审计更熟悉本公司的生产经营状况，有独立于生产、财务、会计、营销、基建、战略等职能部门和各业务单位，不参与具体的经营管理活动，对这些部门和业务单位的业务活动及其内部控制系统的建立与运行进行分析、监督与评价，并客观公正地提出建议，作为公司领导进行决策的参考依据之一。

7．4．3 内部审计的职责和权限

7．4．3．1 释义

内部审计机构的重要职责之一就是对公司的内部控制系统监督和评价并接受审核委员会领导并向其负责和报告工作。

7．4．3．2 建立内部审计操作程序和措施

明确内部审计的任务、实施原则、方法、步骤以及审计工作的管理方式及要求，以实现内部审计工作的规范化。

明确公司各部门的职责，同时使各部门了解内部审计的重要性、内部审计的职责和实施方式，以便更好地支持和配合审计工作，完善内部控制系统，提高公司管理水平，共同为实现公司的总目标而努力。

确保内部审计活动运用系统化和规范化的方法开展，并通过加强培训和管理，增强审计

人员的规范化的意识，使之自觉执行审计制度和程序。

确保内部审计活动以评价和改进风险管理、控制和治理过程的充分性、有效性和履行职责的质量为主要审计活动，把总体控制系统与公司的长远目标相联系起来，把一旦达不到目标与可能发生的风险联系起来。

7．4．3．3 内审职能部门履行财务审计的职责

对公司、职能部门、各业务单位的预算执行情况进行审计；

评价财务会计内控制度及其执行；

对违反有关财经法规和制度的问题进行专项审计；

对营销、采购的价格和渠道、结算进行审计监督等。

7．4．3．4 内审职能部门履行效益审计的职责

对绩效考核所确定的各职能部门、各业务单位、相关人员的经济责任指标及其奖惩办法进行审计评价，并提出完善措施。

对绩效考核所确定的各职能部门、各业务单位、相关人员的经济责任指标及其奖惩办法履行过程和结果进行监督和评价，所提出的审计报告应作为人力资源部门考核的依据之一。

对公司及其所属单位的生产、经营效益进行检查和评价，并提出改进建议和措施。

7．4．3．5 内审职能部门履行工程项目的职责

接受审核委员会和公司管理层委托，对申报的工程项目必要性、可行性进行审计评价和论证，并提出审计意见；

接受审核委员会和公司管理层委托，对申报的工程项目预算的合理性和先进性进行审计监督和评价；

接受审核委员会和公司管理层委托，对申报的工程项目竣工决算进行审计监督和评价； 对工程项目的管理、支出、内控体系进行审计监督。

7．4．3．6 履行内控监督和评价的权限

有权要求被审计单位和部门按时报送计划、决算、预算、报表和有关文件、资料等有关审计材料；

有权审查凭证、账簿、报表、决算、资产和财产、财务会计软件、相关资料；

有权参加管理层召开的与审计有关的会议，并可以发表有关于审计方面的意见； 有权对涉及审计的有关事项向公司内部有关单位和个人进行调查，并获取有关资料； 对正在发生的违规和违反制度行为，经首席执行官同意，有权作出制止决定；

有权对打击、报复、陷害行为进行揭露，并建议首席执行官对其恰当处理；

有权对阻挠、妨碍审计工作的行为以及拒绝提供资料的，经首席执行官批准，采取必要的临时措施，并提出追究责任意见；

有权针对审计中发生的问题，提出改进意见和纠正措施；

有权对审计中发生的重大问题、严重违法和违规行为的直接责任人员，提出处理意见。

7．4．3．7 实施重点业务循环中内控的监督与评价

按照重要优先的原则，选择对公司战略发展和当前经营效果最具影响而且风险程度较高的重点业务开展监督与评价。

7．4．3．8 内部审计与外部审计的协调

(1)内部审计与外部审计的区别：政府审计和注册会计师审计属于外部审计的范畴，内部审计在评价组织内控系统的健全性和有效性时需要与外部审计协调一致，以便使内外审计互相补充，形成完整的审计监督体系。

从一定的角度讲，内部审计对内部控制系统的建立和运行的监督与评价比外部审计更具实效，内部审计本身也是内部控制系统的一个组成部分，对于完善内部控制系统起着特殊的作用，内部审计和外部审计相辅相成，共同促进公司内部控制系统的完善和有效运行。

(2)需要做好以下协调工作：内部审计通过自身对公司内部管理和生产运营风险的熟悉优势，为外部审计提出审计工作重点，共同完善审计方案；

内部审计应要求外部审计做好财务基础审计，要求全面而且有一定的深度，为下一步内控评价奠定基础；

内部审计要对外部审计的阶段性工作结果向有关方面反馈，提高审计效率； 内部审计要通过外部审计来验证内审的质量和效果，也起到鉴证作用。