内部控制体系基本框架
目次
1 总则......................................
1.1 编制目的 ??????????????? 1.2 编制依据 ??????????????? 1.3 编制原则 ???????????????
1.4 主要应用 ??????????????????????????? 1.5 主要内容 ???????????????????????????? 1.6 控制的原则 ??????????????????????????? 1.7 控制的职责 ??????????????????????????? 2 框架基础??????????????????????????????
2.1 公司愿景???????????????????????????? 2.2 公司使命???????????????????????????? 2.3 公司战略???????????????????????????? 2.4 经营理念???????????????????????????? 2.5 企业文化???????????????????????????? 2.6 核心价值观??????????????????????????? 2.7 公司与政府的关系???????????????????????? 2.8 公司与投资方的关系??????????????????????? 2.9 公司与员工的关系???????????????????????? 3 控制环境??????????????????????????????
3.1 公司治理架构?????????????????????????? 3.2 管理理念及经营风格??????????????????????? 3.3 组织结构???????????????????????????? 3.4 诚信与道德价值观???????????????????????? 3.5 权责分配体系?????????????????????????? 3.6 人力资源政策及实施??????????????????????? 4 风险管理??????????????????????????????
4.1 风险管理内容?????????????????????????? 4.2 风险管理目的?????????????????????????? 4.3 风险管理信息的采集?????????????????????? 4.4 风险评估??????????????????????????? 4.5 风险管理策略????????????????????????? 4.6 风险应对措施????????????????????????? 4.7 风险管理的监督与改进????????????????????? 5 控制活动????????????????????????????? 5.1 实施控制活动的基本要求???????????????????? 5.2 建立预算管理和经营活动分析评价制度?????????????? 5.3 期末财务报告流程??????????????????????? 5.4 建立控制活动体系??????????????????????? 6 信息与沟通???????????????????????????? 6.1 信息?????????????????????????????
6.2 沟通????????????????????????????? 6.3 信息披露??????????????????????????? 7 监督??????????????????????????????? 7.1 持续监督??????????????????????????? 7.2 独立评估??????????????????????????? 7.3 缺陷报告???????????????????????????
7.4 内部审计与监督????????????????????????
1 总则
介绍了内部控制体系基本框架(简称本框架)的编制目的、编制原则、主要应用及内部控制五大要素在公司运营中的主要内容,同时也提出了构建内部控制体系的总体要求。 1.1 编制目的
本框架列示了公司对建立一个有效内部控制系统所必须的基本控制原则、政策和标准。提供各部门完善内部控制的基本依据,同时也是为了提高管理层及员工对管理职责的认知和接受程度,从而更好地建立和保持与这些标准一致的控制系统和程序。这些控制标准允许各部门在设计与公司现有的政策和程序相一致的控制系统时进行灵活运用。
本框架是一个较为理想的框架,可能公司的内部控制现状均与之有一定差距,但公司董事会、管理层以及各级员工希望通过理解和贯彻本框架的要求,梳理管理流程、规范管理行为,逐步建立健全风险管理体系,增强风险防范能力,来实现提升公司整体管理水平的目的。 1.2 编制依据
1.2.1 公司治理和管理的内在要求。 1.2.2 本框架依据美国《萨班斯法案》、COSO(Committee of Sponsoring Organizations of the Treadway Commission即反虚假财务报告委员会的发起人组织委员会)《内部控制——整体框架》、COSO《企业风险管理——整合框架》及《中华人民共和国公司法》、《中华人民共和国合同法》、《中华人民共和国会计法》等国家法律法规编制。 1.3 编制原则
1.3.1 合法性原则
以国内及上市地法律法规为准绳,结合公司实际进行内控体系设计。 1.3.2 完整性原则
以《中华人民共和国公司法》、《中华人民共和国合同法》、《中华人民共和国会计法》等国家法律法规及美国《萨班斯法案》、COSO内部控制框架五要素为指引,全面开展内控体系建设,并覆盖各项业务和部门,构建公司有机的内部控制框架。 1.3.3 继承性原则
与公司管理制度体系相结合,在公司现有管理体系的基础上,建立内部控制管理体系。 1.3.4 有效性原则
在内控体系设计过程中考虑了实施的可行性,根据公司运行的实际需要进行体系设计。 1.4 主要应用
本框架是公司构建良好的控制系统所遵循的基本控制原则和理论基础,它适用于任何业务部门和业务流程,公司及所属各部门应依据本框架所介绍的控制标准建立有关系统和程序,并定期进行审查以确保其足够性和有效性。
公司内控部有职责就有关控制事项向各职能部门提出意见,希望并鼓励各部门向其寻求意见。
管理人员应就任何与控制标准有关的例外情况,与内控部进行书面沟通。如果业务流程产生了重大变化,或由于出现其他情况而使本框架的某一个或多个程序与实际情况不相符合时,请通知内控部。如果需要,公司内控部将对例外情况进行调研、备案,并协调解决方法,适时地建议职能部门采用替代的控制程序。 1.5 主要内容
本框架以COSO框架与《萨班斯法案》规定为指引进行内控体系建设,从控制环境、风险评估、控制活动、信息与沟通和监督等五个要素开始,对每一个要素再细分为若干个子要素,全面、系统地阐述了内控体系建设的目标、方法和标准,以全面、有效地指导公司内控体系建设工作。
1.5.1 控制环境 1.5.1.1 释义
控制环境是指对建立、加强或削弱特定政策、程序的效率和效果有重大影响的各种因素。有些是有形的因素,如组织机构、授权、组织业务活动;还有一些是无形的因素,比如员工的能力和诚信、高层管理人员的道德影响力、公司管理层与所属人员沟通和推行政策的方式以及影响公司业务的各种外部关系等。 1.5.1.2 控制环境的作用
营造良好的控制环境是公司生存发展的必要条件。 公司管理层所建立的总体控制环境,对公司内部控制的选择和控制效率都具有非常重要的影响。
一个健全的管理系统可以帮助创建良好的控制环境,从而进行有效的控制。这种环境的特点是关注控制的存在,确保控制的执行,对执行控制持有正确的态度。
恶劣的控制环境可能会使一些内部控制失效,达不到任何目的,不利于企业目标的实现。 1.5.2 风险评估 1.5.2.1 释义
风险是未来的不确定性对公司实现其经营目标的影响,所有公司无论规模、结构和行业性质,都面临着诸多来自内部和外部的风险,影响公司既定目标的实现。
风险评估是指对相关风险进行识别和分析,是发现和分析那些影响目标实现的风险的过程,是确定如何管理和控制风险的基础。
为提升公司管理水平和创造股东价值为目的,董事会与管理层将精力主要放在可能产生重大风险环节上,而不是所有细小环节上,应将风险管理作为内部控制的主要内容。 1.5.2.2 风险评估的目的
由于外部宏观环境(如经济状况、行业状况、法规)和公司内部经营状况会不断发生变化,要发现并处理这些变化对有关风险的影响,必须建立健全一套风险评估制度体系和持续改进的运作机制,以有效地识别、分析和管理影响目标实现的相关风险,提高公司抵御各种风险的能力。
1.5.3 控制活动 1.5.3.1 释义
控制活动是确保管理层指令得以执行的政策和程序,政策和程序是两个不同层面上的构成要素,是针对风险采取的控制措施;同时,控制活动是由董事会、管理层、业务执行部门及公司所属各单位分层次实施的,以实现公司营运的效率和效果、财务报告的可靠性、遵守适用的法律法规的目标。控制活动贯穿于公司的各个层次和部门,一般包括诸如职责分派、授权、批准、记录、查证核对、分析审核经营业绩、资产保护等活动。 1.5.3.2 控制活动主要工作内容
建立健全控制活动制度体系。
建立健全经营活动分析及其管理活动分析制度,并按照制度规定开展分析评价活动; 控制现状描述与分析,对关键业务流程进行风险控制分析,编制分析文档并修改、完善、补充相关制度;
建立关键控制,进行流程分析,建立完善的关键控制的确认标准(内部控制体系评价标准),确定所有业务流程的关键控制;
规范期末财务、工程投资、生产运营报告流程,完善相关期末报告制度。 1.5.4 信息与沟通 1.5.4.1 释义
信息与沟通是指相关信息以某种形式并在某个时段被识别、获得和沟通,以促使员工采
取一定的措施或行动履行自己的职责。信息与沟通连接了内部控制体系整体框架的其他要素,是有效实施内部控制的保障,直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。 1.5.4.2 目的
公司管理的最重要的内容之一就是决策,管理行为的重点就是采集、加工决策所需的信息。信息与沟通包括两个方面,一是有一套能够支持信息确认、信息获取和信息交流的系统,使员工能够按照一定的形式和时间行使职责以及正确编制财务和非财务报告;二是在公司各个层面对相关信息进行有效的沟通和将其传达给相关的各方,冲突必须得到有效管理和控制,以利于实现公司预定目标。
1.5.4.3 公司系统内部信息与沟通基础工作
组织结构要有利于信息的传递和交流;
要建立能有效解决横向部门、上下级之间的冲突与矛盾解决机制; 信息沟通应能有效促进公司经营目标的实现。 1.5.4.4 信息与沟通必须做好的工作
从制度上保证信息沟通体系的建立。建立健全信息沟通渠道及沟通方式;完善与信息沟通相关的管理制度,包括:沟通的种类、沟通的渠道、相关部门的职责等。
利用计算机信息基础,提高信息与沟通的管理水平。结合公司信息化建设,逐步在整个公司系统形成集中、统一、完整的计算机应用系统,分级实施,为公司实现网络化经营提供统一平台,提高信息处理和沟通的及时性、高效性,确保生产经营数据的真实性、完整性。
完善对外披露事项的管理制度,包括重大事项判定标准、报告程序及规范披露事项的收集、汇总和披露程序等方面。 1.5.5 监督 1.5.5.1 释义
为了使内部控制系统有效运行,就需要对内部控制系统的建立和实施开展恰当的监督,通过监督活动,评价内部控制系统的效果和质量。包括持续监督、独立评估和内控缺陷报告等。
1.5.5.2 内容
持续监督。建立完善的内控体系维护机制、管理制度及内控测试标准,持续监控内控体系的有效性。
独立评估。相关部门定期监督、评估内控体系的有效性。独立评估的范围和频率主要依赖于风险评估和持续监督的有效性。
缺陷报告。建立健全缺陷报告管理机制,制定缺陷确认标准,明确向相关管理人员和董事会上报内控风险的程序。内部控制的缺陷应自下而上进行报告,重要事项应报知高层管理人员和董事会。 1.6控制的原则
1.6.1 管理权利的分散化
在现有的机构和人员条件内,每个部门都应该在营运范围内尽量发挥其管理职责和授权,并对结果负完全责任,不应该过于突出某一个部门的作用或地位,而导致公司总体控制的不平衡发展。
1.6.2 职责的划分
对财务资产及有形资产的保管与会计职责进行划分。任何一个部门或员工都不应该具有控制任何一个重大交易或一组重大交易的权利。 1.6.3 文件记录
所有营运程序、业务活动和交易都要保留文件证据,目的是为了确定审批和查证职责、