内部控制管理手册(样)概要

1、内部控制管理手册 * 公司分册*公司分公司二一六年一月一日*公司内部控制管理手册 * 公司分册发布令为全面贯彻实施股份公司内部控制管理手册 ，根据 内部控制管理手册 编制规范要求， 结合本公司管理实际， 编制了内部控制管理手册 * 公司分册 ，经股份公司 审查批准，现予发布。股份公司内部控制管理手册是建设并实施内部控制 管理体系的纲领性文件， * 公司分册是股份公司内部 控制管理手册的组成部分。全体员工必须认真贯彻，严格 遵照执行。本手册自二O六年一月一日起执行。总经理： 二O六年一月一日目录公司简介 （1）分册说明 .（2）1 实施方案 （4）1.1 内部控制体系实施方案 （4）1.2 组织

2、结构、职责与权限 （4）2 控制环境 （9）2.1 组织结构图 （9）2.2权限指引表 .（10）2.3 控制环境涉及的制度索引 .（20）3 风险评估 .（23）3.1 基本业务流程目录 .（23）3.2 重要业务流程目录 （28）4 控制活动 .（31）4.1 风险控制管理文件 .（31）4.2 控制活动涉及的制度索引 .（704）5 信息与沟通 .（713）5.1 信息流汇总表 .（713）5.2 业务活动与应用系统索引目录 .（716）5.3 关键应用系统调研问卷 .（720）5.4 用户与通用角色对照表（FMIS6.0、资产5.0） . （ 722）5.5 FMIS6.0-报表数据权

3、限 .（724）5.6 FMIS6.0-责任中心-科目 .（782）5.7 财务关联信息系统清单 .（783）5.8 财务关联信息系统流程图 .（784）5.9 电子表格汇总表 .（800）5.10信息与沟通涉及的制度索引 .（802）6 监督 .（804）6.1 监督涉及的制度索引 .（804）公司简介（略）公司中文名称： * 公司 * 公司 公司英文名称： 公司法定责任人： 公司法定地址： 邮政编码： 电话： 传真：分册说明关于内部控制管理手册 （* 公司分册）编写目的及意义内部控制管理手册 （* 公司分册） 是在全面贯彻执行股份公司 内部控制管理分册 基础上的补充、细化，是股份公司内部控

4、制管理手册的组成部分。本分册是结合 * 公 司实际， 完善内部风险控制， 建立统一、 规范和有效运行的内部控制体系并满足国内及上市 地相关法律法规要求而编写。本分册对于指导 * 公司内部控制体系建设，促进各项经营管 理活动进一步规范、有序运行，增强风险防范能力等，都有极其重要的意义。内部控制管理手册 （ * 公司分册） 确保公司上下从思想上、 认识上对内部控制体系 保持高度统一， 并进一步实现行为上的统一。 建立一套统一、 完备，内容涵盖公司经营管理 各个领域的内部控制体系，确保公司各项工作统一、规范、有序运行，最大限度的减少或规 避风险，促进公司完善现代公司制度，规范公司管理行为，保证资产的

5、安全、完整，会计资 料的真实、准确，进一步提高公司的经营管理水平，保证公司协调、持续、快速发展。适用范围 本分册所描述的内部控制体系覆盖适用于：1）* 公司所有部门和所属单位：2）* 公司内部控制体系所涉及的所有业务和管理活动。贯彻实施的责任和要求 分册按照股份公司内部控制体系建设方法和标准，建立了 * 公司内部控制体系，是公 司建设并实施内部控制体系的纲领性文件。为保证内部控制体系“设计有效、执行有力” ， 公司所属单位要认真组织实施，严格遵照执行。各所属单位要充分认识内部控制体系建设工作的长期性和艰巨性， 把有效运行内部控制 体系作为本单位的重要工作，建立长效机制， 指定专职归口部门， 履

6、行内部控制职能， 切实 做到实施有力。为推动分册的贯彻执行，提高分册的使用效果，企管法规处每年至少举行一次 分册 使用培训。 各所属单位要有计划地做好本单位的培训， 将内控工作要求传达到每个 员工、每个岗位，确保执行到位。各所属单位内控部门要对本单位内部控制体系运行情况进行检查和督促， 公司企管法规 处将定期组织考核并进行通报。使用指南内容指引 本分册包括实施方案、 控制环境、 风险评估、 控制活动、 信息与沟通及监督等六个部分， 主要内容如下：实施方案：内部控制体系实施方案，组织结构、职责与权限。 控制环境：组织结构图，权限指引表，控制环境涉及的制度索引。风险评估：基本业务流程目录，重要业务

7、流程目录。 控制活动：风险控制管理文件（含流程图、 RCD 、程序文件），控制活动涉及的制度索 引。信息与沟通：信息流汇总表，业务活动与应用系统索引目录，关键应用系统调研问卷， 用户与通用角色对照表（FMIS6.0、资产），FMIS6.0-报表数据权限，FMIS6.0-责任中心-科 目，财务关联信息系统清单，财务关联信息系统手工操作，财务关联信息系统流程图， 电子 表格汇总表，信息与沟通涉及的制度索引。监督：监督涉及的制度索引。使用要求本分册是公司重要文件， 属公司机密， 应对外保密， 机关本部及所属单位应按照内控项 目建设委员会要求正确使用，未经允许，不得复印，不得对外泄露。机关本部及所属单

8、位在使用过程中遇到疑难问题，应及时向内控项目组咨询。管理与维护为了对内控管理分册进行规范的管理，保证内控管理分册有效、完整、统一、适用，特 作如下规定： 分册的编写与发布内部控制管理手册 （ * 公司分册） 由公司企管法规处组织编写， 内控项目建设委员 会审定，股份公司内控部审批，总经理签署发布。分册的发放（ 1） 内控管理分册须按发放范围统一发放。 发放范围由企管法规处提出， 经内控项目 建设委员会批准执行。发放范围一般为公司领导、机关本部各处室、所属省（市）分公司及 控股公司等。（ 2） 内控管理分册包括纸质版和电子版两种。 电子版的配发范围为公司办公自动化系 统覆盖范围， 根据控制级别的

9、不同和岗位的不同设置阅读权限； 纸质版的配发范围为系统覆 盖范围之外的场所及特殊使用者。分册的维护内控管理分册的维护工作是一项长期性、 经常性的重要工作， 需要机关各部门、 所属单 位高度重视，积极参与，大力配合。公司企管法规处负责内部控制管理手册 （ * 公司分册）修订、维护工作。 各所属单位应指派专人负责内部控制管理手册 （ * 公司分册）的日常管理和维护。 在分册日常使用过程中发现的问题，应认真记录并及时反馈给企管法规处。每年， 企管法规处将根据公司内控管理中出现的新问题， 机关各部门、 所属单位反馈的 建议， 股份公司新出台的相关要求， 以及内、 外部检查对内部控制的评价等，对内控管理

10、分 册进行修订，经内控项目建设委员会审定，股份公司内控部审批，总经理签署批准执行。企管法规处应及时掌握分册的执行情况，并采取有效措施确保内控管理体系的有效运 行。本分册由公司企管法规处负责解释。1 实施方案1.1 内部控制体系实施方案1.1.1 内部控制体系建设目标总体目标： 遵循股份公司内控体系建设方法和标准，按照统一性、 广泛性、有效性和承 继性总体建设思路， 制定内控体系建设实施方案， 为公司内控体系建设工作提供指引。 根据 体系建设实施方案， 补充修订相关管理制度， 为完善和优化内部控制， 建立统一、 规范和有 效运行的内部控制体系，增强风险防范能力提供有力保证。2005 年内控体系建

11、设工作目标：按照股份公司内控建设部署，建立内部控制体系基础 框架， 补充、修订相应制度，重点关注与对外披露财务信息密切相关的流程和关键控制，达 到满足管理层测试和外部审计的基本要求。1.1.2 内控建设指导思想以股份公司内部控制体系框架为依据， 充分认识内控体系建设工作的严肃性、 重要性和 紧迫性，依托已有的管理优势，以股份公司内部控制管理手册发布为契机，以提高企业 自身管理水平的需求为动力， 全力进行内控体系的建立和完善工作， 使之成为一个长期有效 运行的体系， 从而为通过管理层测试和外部审计提供有力设计、 执行保障， 树立和维护股份 公司在国际资本市场诚信、稳健和安全的良好形象。1.1.3

12、 实施方案的主要内容公司以股份公司内部控制体系框架为指引， 进行本公司的内部控制体系建设， 具体内容 如下：1.1.3.1 控制环境控制环境是内部控制体系的基础， 是有效实施内部控制的保障， 直接影响着公司内部控 制的贯彻执行、 公司经营目标及整体战略目标的实现。 控制环境包括职业道德、 员工的胜任 能力、 管理理念和经营风格、组织结构、 权利和责任的分配、 人力资源政策与措施以及反舞 弊等内容。1）职业道德：涵盖公司各个层面的员工职业道德规范。2）员工的胜任能力：建立并不断补充完善员工岗位职责描述，健全全员职业培训和技 能考核机制。3）管理理念和经营风格：规范的制度，明确的职责，反映公司管理

13、理念和经营风格。2005 年工作目标是：（ 1）执行股份公司职业道德规范。（ 2）完成公司中层以上管理人员、财务、审计、资产管理等岗位的岗位描述，建立一套 岗位培训制度。4）组织结构：优化组织结构，明确部门权责，并细化落实至各个岗位；规范组织机构 编制管理工作。5）权利和责任的分配： 建立完善的公司授权管理制度体系， 建立完善的授权管理文件。6）人力资源政策与措施：建立完善的公司任用选拔、管理考核和激励监督等方面的政2005 年工作目标是：（ 1） 明确组织机构和职能，规范组织机构编制管理工作。（ 2） 根据关键控制，依据现有的制度编制权限指引表。（ 3） 汇编现有的招聘、培训、考核、薪酬、晋

14、升等人力资源制度。7）反舞弊：完善反舞弊机制，设立举报热线和检举程序，开展舞弊调查并进行整改， 执行股份公司舞弊风险评估和控制体系。1.1.3.2 风险评估风险评估是识别及分析影响公司目标实现的风险的过程， 是风险管理的基础。 在风险评 估中，应识别和分析对实现目标具有阻碍作用的风险。2005 年主要是在描述业务流程的基础上，建立风险数据库和风险评估制度体系。从以 下几个方面开展风险评估工作：1）描述业务流程：遵照股份公司制定的标准对公司业务进行梳理，确定公司所有业务 流程目录；建立业务流程描述标准和模板， 利用流程目录和流程图对主要业务进行直观描述。2）确定重要会计科目和披露事项：遵照股份公

15、司制定的标准执行。3）确定重要业务流程：依据股份公司确定的重要业务流程，确定公司重要业务流程。4）对业务流程进行风险评估：遵照股份公司制定的标准，完善公司重要业务流程风险 数据库。5）财务报表认定：确认和记录与重要会计科目、披露事项相关的财务报表认定，包括 存在与发生、完整性、估价与分摊、 权利与义务和表达与披露等五个方面， 遵照股份公司制 定的标准执行。6）建立风险评估管理体系：遵照股份公司风险识别、风险评估方法，建立公司风险评 估管理体系。在内部控制工作逐步加强并完善的基础上，公司将依据股份公司内部控制体系建设标 准、方法开展风险评估工作：1）描述所有业务流程：完善业务流程描述标准，利用流

16、程目录和流程图对所有业务进 行直观描述。2）对所有业务流程进行风险评估：遵照股份公司制定的标准，执行股份公司确定的风 险数据库， 通过对业务风险、 固有风险和舞弊风险等进行评估， 建立公司全部业务流程风险 数据库，对影响战略目标、经营目标、报告目标和合规性目标的风险进行评估，对全部业务 进行风险分析。3）建立健全风险管理体系：遵照股份公司风险识别、风险评估方法，建立公司风险评 估管理体系， 建立健全清晰的风险管理组织架构， 明晰的政策和规范的程序， 先进实用的管 理方法， 高效、全面的风险报告系统， 提高风险管理水平， 把风险控制在可以接受的范围内。1.1.3.3 控制活动控制活动是确保管理层

17、的指令得到贯彻执行的必要措施， 存在于整个机构内所有级别和 职能部门。 包括批准、 授权、 查证、核对、经营业绩评价、 资产保全措施和职责分工等活动。1）建立健全经营管理活动分析评价制度，开展日常经营管理活动分析评价。2）控制现状描述与分析：遵照股份公司风险控制管理文件编制标准和模板，对所有业 务流程进行风险控制分析，编制风险控制管理文件并完善相关制度。2005 年工作目标是：对确定的重要业务流程进行风险控制分析，编制重要业务流程风 险控制管理文件，并与控制制度相对应，查找制度缺失和差异，补充修改相关管理制度。3）建立关键控制： 遵照股份公司关键控制的确认标准， 确定所有业务流程的关键控制，

18、建立规范的关键控制管理文件。2005 年工作目标是：遵照股份公司关键控制的确认标准，确定公司重要业务流程的关 键控制；建立关键控制管理文件，通过培训推广应用；按照公司制定的关键控制管理文件， 分析控制差异和控制缺陷，进行补充完善。4）财务会计报告流程：遵照股份公司标准，建立健全财务会计报告流程，完善财务会 计报告相关制度。5）建立健全控制活动制度体系。1.1.3.4 信息与沟通信息与沟通是公司经营管理所需的信息被识别、 获得并以一定形式及时地传递， 以便员 工履行职责。 公司不仅包括内部产生的信息， 还包括与公司经营决策和对外报告相关的外部 信息。 畅通的沟通渠道和机制使公司的员工能及时取得他

19、们在执行、管理、控制公司经营过程中所需的信息，并交换这些信息。1）遵照股份公司制定的标准，建立信息系统控制体系，确保生产经营数据的真实性、 完整性。2005 年的工作目标是：（1）建立信息系统总体控制体系建立包括信息系统的控制环境、 新系统的开发和实施、 现有系统的变更和维护、 系统的 操作和运行、 程序和数据的接触安全、 与应用系统相关的电子表格的控制等六方面内容的信 息系统总体控制体系。按照股份公司测试标准对 GCC 执行有效性进行测试。完善和修正 GCC 体系调整和完善体系控制。（2）统一应用系统软件完成财务、资产、资金等三个管理系统的软件统一。（3）建立信息系统应用控制体系 应用系统控

20、制测试是依据股份公司风险控制文档中的关键控制结合各应用系统模块的 输入、处理、 输出、接触性控制， 检查应用系统控制设计的规范性和执行的有效性进行测试。2005 年的工作目标是： 根据业务流程，进行应用系统的风险分析，确定应用系统描述信息技术控制活动。 根据股份公司测试标准，对应用系统控制业务执行的有效性进行检查。 对测试结果进行分析评价，提出改进方案。在控制缺陷修正后，重新修订应用系统 控制文档体系并重新测试。2）建立信息沟通体系：建立健全信息沟通渠道及沟通方式；建立完善与信息沟通相关 的管理规范，包括：信息沟通的种类、信息沟通的渠道、相关部门的职责等。 2005 年工作 目标是：描述信息沟

21、通现状，建立信息沟通制度索引。3）完善披露事项的管理制度：遵照股份公司相关制度执行。1.1.3.5 监督监督是对内部控制体系有效性进行评估的持续过程， 包括持续监督、 独立评估和缺陷报 告等。公司监督严格执行股份公司内部控制管理手册监督分册规范。1）持续监督。遵照股份公司内部控制体系管理制度和内控测试标准，持续监控内部控 制体系的有效性。2）独立评估。按照股份公司要求、标准及工作部署，相关部门定期评估内部控制体系 的有效性。3）缺陷报告。建立健全缺陷报告管理机制，遵照股份公司缺陷认定规范，明确内控缺 陷上报的程序。2005 年工作目标是遵照股份公司内部控制体系管理制度及内控测试标准，对内部控制

22、 体系的有效性进行监控。1.2组织结构、职责与权限1.2.1目的通过建立分工合理、 职责明确、 报告关系清晰的组织结构，明确内控管理决策机构、管 理机构、 执行机构和监督机构的责任和义务， 确保本公司内部控制的职责、 权限及其相互关 系得到规定和沟通，使本公司内部控制体系得到有效运行。1.2.2 机构公司内控管理体系实行总经理领导下的委员会决策和部门分工负责制。 公司成立以总经 理为主任、 总会计师和副总经理为副主任， 机关各处 （室） 长为成员的内控项目建设委员会， 内控项目建设委员会是本公司内控管理的决议决策机构。 委员会下设内控项目组， 负责公司 内控管理的日常工作。内控管理体系的组织架

23、构包括：1）决策机构：内控项目建设委员会负责公司与内控有关的重大事项的决定。2）管理机构：公司企管法规处是公司内部控制体系日常管理部门。3）执行机构：机关职能处室、所属单位具体执行内控管理的政策、制度，报告内部控 制体系实施运行情况。4）监督机构：审计、监察部门行使监督职能，负责对体系运行情况实施测试监督。 为加强对内部控制体系管理工作的组织和领导， 所属单位成立相应的内控项目建设委员 会。内控项目建设委员会由各单位有关领导和部门负责人组成， 由总经理担任内控项目建设 委员会主任。内控项目建设委员会下设办公室。1.2.3 职责与权限1.2.3.1 内控项目建设委员会的职责内控项目建设委员会主任由公司总经理担任。 内控项目建设委员会负责内部控制体系的 建立、实施和运行改进。内控项目建设委员会的具体职责包括：1）审定内部控制体系实施工作计划。2）指导和督促公司内部控制体系建设和运行工作的组织和实施，对内部控制体系建设工作进行安排部署。3) 负责提供内部控制体系建设所需的资源，协调解决内部控制体系建设工作中的重大 问题。4) 检查