内部控制管理手册

PAGE352013—07—01实施内部控制管理手册目录引言 第一章总则 一、手册编制的目的和意义 二、手册的适用范围 三、手册编制的依据 四、手册编制的原则 五、手册编制的特征 六、手册的管理 七、手册的维护与监督 第二章内部控制基本原则 一、合法合规性原则 二、全面性和重要性结合原则 三、统一性和分级管理相结合原则 四、制衡性和效率相结合原则 五、动态适应原则 六、关联性和独立性相结合原则 七、成本效益原则 八、信息及时反馈原则 第三章组织机构及职责 一、中化二建集团有限公司内部控制组织机构及职责 第四章内部控制执行与考核 一、执行 二、评价与考核 第五章内部控制基本框架 一、内部环境 二、风险评估 三、控制活动 四、信息与沟通 五、内部监督 附件：1.中化二建集团有限公司岗位说明书2.中化二建集团有限公司风险管理手册3.中化二建集团有限公司内控制度汇编 4.中化二建集团有限公司流程文件汇编 5.权限指引 引言中化二建集团有限公司(以下简称公司，英文ChinaChemicalEngineeringSecondConstructionCompration,缩写CCESCC)是中国化学工程股份有限公司的全资子公司，座落在具有“龙城”之称的山西省会城市—太原。由原中国化学工程第二建设公司整体改制而组建，是中国一级大型工程总承包综合性施工企业。具有化工石油、房屋建筑、机电设备安装、市政、冶炼工程施工总承包一级资质；管道、地基与基础、环保、机电、消防工程专业承包一级资质。享有对外经营权，可开展国外工程总承包。公司成立于1953年，拥有岩土勘察、地基处理、建筑、安装、电仪、无损检测、检验试验、防腐保温、大型机械施工、大件吊装、房地产开发和物流等13个专业子公司。公司现有职工5855人，其中工程类和经营技术管理人员达到2540人，高级专业技术职务353个，教授级高工32，中级专业技术职务481人，注册一级建造师132人，二级注册建造师145人，技术工人2221，技师203人，高级技师36人。机械装备精良，设备总功率达70576千瓦，装备固定资产规模23092.86万元。为进一步完善现代企业制度和法人治理结构，梳理和优化内部控制体系，提高公司内部控制管理水平，形成常态的规范化管理，提高风险防范能力，全面贯彻财政部、证监会、审计署、银监会、保监会等五部委颁布的《企业内部控制基本规范》及《企业内部控制配套指引》，编制《内部控制管理手册》，作为建立、执行、评价及验证内部控制的依据，确保公司各项工作在合规的基础上规范、有序运行，最大限度地减少或规避风险，提高公司的经营管理水平，保证公司协调、持续、快速发展。

第一章总则一、手册编制的目的和意义伴随着中国经济的快速发展，公司的资产规模不断扩大、经营领域不断拓展、市场竞争日趋激烈，国务院国资委、中国证监会等外部监管机构的管控力度也在不断加强，为进一步强化企业内部控制，提升风险管理水平，实现持续、健康发展，公司编制了《内部控制管理手册》（以下简称《手册》），作为公司建立、执行、评价及维护内部控制体系的指导和依据。本手册在中国化学工程股份公司《内部控制管理手册》的总体引领下，总结公司多年的管理经验并借鉴其他优秀企业管理经验基础上编制而成，将先进的内部控制、风险管理和流程管理理念融为一体，是管理经验的沉淀和提炼，旨在推动公司业务标准化、规范化运作的基础上，为进一步优化内部控制体系奠定基础。通过本《手册》的编制和实施对完善企业内部控制制度，建立一套科学、系统的内部控制体系建设的方法和规范，为公司内部控制体系建立、运行、监督、评价和维护提供指引和依据，进一步规范公司内部各个管理层次相关业务流程，分解和落实责任，控制企业风险，确保公司内部控制体系在意识和行为上统一，确保企业资产安全高效运行具有较强的现实意义。二、手册的适用范围本《内部控制管理手册》所描述的内部控制体系覆盖并适用于：（一）本公司所有部门和所属单位。（二）本公司内部控制体系所涉及的所有业务和管理活动。对公司所属管理层及员工具有约束力，各相关人员应当遵循手册中对其工作职责的定义及描述，保持内部控制的有效性，保证公司战略目标的实现。三、手册编制的依据本手册的编制遵循：（一）财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》(以下简称《基本规范》)以及《企业内部控制应用指引》（以下简称《应用指引》）、《企业内部控制评价指引》（以下简称《评价指引》）和《企业内部控制审计指引》（以下简称《审计指引》）；（二）国务院国资委发布的《中央企业全面风险管理指引》（以下简称《风险管理指引》）；（三）上交所发布的《上市公司内部控制指引》；（四）GB/T19001-2008质量管理体系、GB/T24001-2004环境管理体系和GB/T28001-2011职业健康安全管理体系；（五）《COSO内部控制整体框架》和《COSO企业风险管理整体框架》；（六）中国化学工程股份公司《内部控制管理手册》；（七）公司相关管理规定。四、手册编制的原则（一）先进性与实用性相结合本手册参考国内、国际先进的内部控制与企业风险管理理论、国内外大型企业集团的风险管理与内部控制实践，立足于公司自身的战略目标和管理特点，力求与现有的管理程序相衔接，充分考虑实际管理工作的可行性与可操作性。（二）方法论与操作性相结合本手册的内容涵盖内部控制体系的各个要素和环节，对公司及各分子公司和项目部建立和运行内部控制体系提出了一套完整的方法论和指导原则，针对风险识别、风险评估、风险控制、内部控制评价等基础工作，制定了相应的操作指引和工作模板。（三）继承性与包容性相结合本手册与公司现行的管理制度体系相结合，力求与其他制度相融合，对于已不适用的管理制度，应对照本手册的规范要求及时修改、完善。（四）满足外部监管与提升内部管理相结合公司的内部控制既要为战略目标实现提供合理保障，又要满足国务院国资委、财政部、证监会、总公司等监管部门的监管要求。本手册的编制以满足外部监管要求为出发点，以提升公司内部控制水平为落脚点，兼顾内外部的风险管理与内部控制的要求。五、手册编制的特征（一）贯彻风险预控的管理理念本手册贯彻以风险为导向的内部控制理念，强调事前控制和过程控制，在构建良好的内部环境基础上把管理风险作为内部控制的驱动，将业务活动所对应的风险以风险控制文档的形式进行提炼，实现风险预控和标准化管理。（二）现有管理体系的融入与整合本手册以风险管控为主线，将管理理念和企业文化贯穿其中，要求公司及各分子公司和项目部从风险的视角出发，将内部控制的原则、方法与管理制度、流程建设紧密结合，与公司现有的管理体系相融合，形成相互勾稽、优势互补、协调一致的内部控制有机整体。（三）具有广泛适用性和前瞻性本手册借鉴国际通行的风险管理与内部控制框架中的基本要素，建立各项业务流程，规范内部控制行为，提供操作指引，在覆盖公司现有业务活动的同时，对未来一定时期公司业务发展的需求提供指南。（四）具有强制性和约束性本手册明确公司建立内部控制体系及框架所遵循的标准，规范各层级的管理与业务控制活动，既适用公司治理层的控制，又适用经营管理层面的控制，具有广泛的约束性，经批准发布，公司及各分子公司和项目部必须严格执行。（五）局限性本手册所涉及的范围与内容基于现行的内部控制措施、相关交易和资料信息。提供在某一时段上有关现状、风险及内部控制的信息。对内外等未知因素变化可能造成的影响，本手册无法预测和涵盖。公司将及时对手册进行动态的维护和更新。六、手册的管理（一）管理与保密1、管理规划信息部对《手册》进行规范管理，以保证其有效、完整、统一和适用。2、保密本手册是公司的重要文件，属公司机密，应对外保密，各部门、单位应按照综合管理部要求正确使用，未经允许，不得复印，不得对外泄露。（二）编写与发布本手册由规划信息部负责组织编写，内控建设工作领导小组审核，经总经理办公会审议后报董事会审批，发布执行。（三）发放与使用本手册须按发放范围统一发放。发放范围由内控建设工作小组提出，经内控建设工作领导小组批准发放。发放范围一般包括内控体系覆盖范围及特殊使用者。编制使用指南，并对本手册的使用进行相关培训，把内控工作要求传达到每个岗位、每个员工，确保执行到位。本《手册》是公司重要文件，属公司商业秘密。使用者应按照规定妥善保管和使用，未经允许，不得复印，不得对外泄露。在使用过程中遇到疑难问题，及时向规划信息部咨询。《手册》包括纸质版和电子版两种。电子版的配发范围为业务流程管理信息系统的覆盖范围；纸质版的配发范围为公司所属单位及特殊使用者。任何人因使用不当造成不良后果，应负相应责任，各部门、单位领导应负管理责任。七、手册的维护与监督本手册的修订、换版等日常维护由规划信息部牵头负责。规划信息部应根据相关法律法规的规定、中国化学工程股份有限公司要求、内外部审计对内部控制的评价、内控管理中出现的问题、各部门和子公司反馈的意见及建议等，组织开展手册修订工作，董事会批准发布执行。各分子公司或职能部室在日常使用过程中发现的问题，应及时反馈给公司规划信息部。规划信息部应及时掌握本手册的使用情况，并组织采取有效措施维护本手册的实用性。

第二章内部控制基本原则一、合法合规性原则严格遵照国家的法律、法规和政策，遵照中华人民共和国财政部等五部委制定的《基本规范》和配套指引，符合国务院国有资产监督管理委员会制定的《风险管理指引》的原则要求。二、全面性和重要性结合原则涵盖各级组织、机构和岗位人员的各项业务活动过程，同时，在全面控制的基础上重点加强重大事项、重要业务、重要岗位和高风险领域的风险管理及内部控制。三、统一性和分级管理相结合原则根据业务实际，强调建立公司统一的内部控制体系，实施分级管理。四、制衡性和效率相结合原则按照公司的管控定位，兼顾运营效率和质量，在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的运行机制。五、动态适应原则适应公司的经营规模、业务范围及面临的风险和管理基础，并随之作动态调整，不断提升管理水平。六、关联性和独立性相结合原则内控建设的各个环节要有机结合、相互联系、相互促进，同时，内控建设和评价要分别开展，外部中介机构审计和内部评价部门评价要分别进行，专职机构和岗位人员在评价及报告时应当客观、独立。七、成本效益原则内部控制应当权衡实施成本和预期收益，以适当的成本实现有效的控制。八、信息及时反馈原则内部控制应当做到信息反馈及时，实现自我调节功能。

第三章组织机构及职责一、中化二建集团有限公司内部控制组织机构及职责（一）董事会董事会是内部控制的决策机构，负责内部控制的建立健全和有效实施，其在内控体系建设中的具体职责如下：1.审批内控体系建设组织机构设置方案；2.审批内控体系建设的有关发展规划、工作方案等；3.审批内部控制管理手册、内控流程文件汇编、权限指引等内控体系建设成果文件；4.审批内部控制评价报告；5.决定其他重大事项。（二）监事会监事会是内控体系建设的监督机构，对同级董事会建立与实施内部控制进行监督。（三）经营层经营层是内部控制体系建设和实施的直接领导的执行机构，包括领导机构和工作机构两个层面，具体组成及职责如下：1内控建设工作领导小组（1）组成组长：刘建亭（董事长总经理）副组长：王贵良（党委书记董事）张永义（副总经理）（执行组长）成员：聂名东（董事党委副书记纪委书记工会主席）李宝平（董事总会计师）冯军伦（副总经理）梁孝平（副总经理）李成北（副总经理兼总经济师）张敏（副总经理）胡富申（副总经理兼总工程师）金鑫（副总经理）张继忠（监事会主席）（2）具体职责①组织领导内控体系建设工作；②审核内控体系建设的有关发展规划、工作方案等；③审核内部控制管理手册、内控流程文件汇编、权限指引等内控体系建设成果文件；④审核内部控制评价报告；⑤协调处理内控体系建设中的其他重大事项。2内控建设工作办公室（1）组成办公室主任：张永义（兼）副主任：杨明峰（规划信息部主任）赵武红（总法律顾问）成员：梁建生（总经理办公室主任）李满才（经营管理部主任）李永生（工程开发部主任）师海燕（财务部主任）张建明（纪委副书记）闫双军（党委工作部部长）杨庆文（人力资源部主任）郝天寿（质量安全部主任）吉世宝（武装保卫部主任）韩冬生（团委书记）马建瑞（国际工程部主任）陈银川（工程管理部主任）张玄亨（机械动力部主任）董宁师（工程技术部主任） 耿宽富（工会副主席）内控建设工作办公室的办事机构设在规划信息部。（2）具体职责①拟订内控体系建设的有关发展规划、工作方案等；②组织开展内控体系建设的相关培训；③编制内控体系建设相关文件的模板；④审查内控体系建设的有关成果文件；⑤督促、指导各部门、各分子公司的相关工作；⑥通报内控体系建设工作进展情况；⑦办理内控体系建设的其他事项。（五）牵头部门规划信息部作为内控建设工作小组的办事机构，负责牵头办理内控建设工作小组负责的有关事务。（六）评价部门纪检、监察审计部是内部控制体系的评价部门，负责组织评价工作，其具体职责包括：1组织制定内部控制评价制度；2拟订内部控制评价工作方案；3组织各部门与各子公司内部控制自我评价和测试工作；4对于评价过程中发现的重大问题，及时与相关管理层沟通，并认定内部控制缺陷，拟定整改方案；5汇总内部控制自我评价底稿和报告、内部控制工作小组测试评价工作底稿和评价报告；6编制内部控制评价报告，及时向董事会或经理层报告；7督促落实内部控制缺陷整改；8负责内部控制评价相关记录或者资料的归档工作；9办理内部控制评价相关的其他事项。（七）各职能部门各职能部门负责相关业务领域的内控体系建设与实施工作，具体职责如下：①搜集风险信息，进行风险评估，研究风险应对策略，编制风险数据库；②梳理业务流程，设置风险控制点，明确关键控制措施，按照模板编制流程文件；③对照内控相关规范、指引，制订、修订本部门职责范围内的规章制度；④梳理部门、岗位的职责权限，编制岗位说明书；⑤与本部门职责有关的内控体系建设的其他工作。

第四章内部控制执行与考核一、执行（一）公司所属各部室、各分子公司和项目部都应当遵循《手册》。（二）组织财务、审计等内外部专业人员参与内部控制监督评价，采取定性和定量相结合的方法，提高监督评估结果的准确性。（三）内部控制牵头部门、评价部门在进行内部控制监督检查及评价时有权查阅、复制有关资料，要求调查和评价对象做出说明和解释，并对相关信息保密。（四）充分利用信息技术，提高内部控制水平。（五）公司内部控制工作要点和计划一经下达，各分子公司应当组织实施。（六）公司各部门应按照规定格式及内容要求报送年度《内部控制自我评价报告》，客观反映内部控制情况。二、评价与考核公司所属各部室、各分子公司和项目部的内部控制评价结果将纳入绩效考核体系。

第五章内部控制基本框架根据《基本规范》的内容，企业内部控制主要包括内部环境、风险评估、控制活动、信息与沟通和内部监督五要素，公司以此为依据，在现有管理体系框架的基础上，结合《COSO企业风险管理整体框架》和中国化学工程股份公司《内部控制手册》的主要内容，汲取国内外其他公司内部控制体系建设的先进经验，根据公司管理实际编制内部控制体系框架。旨在通过确定内部控制体系建设目标，明晰内部控制体系建设的范围和内容，为公司建设以风险管理为核心内容的内部控制体系提供指引，建立统一、规范、有效的内部控制体系，增强公司风险防范能力，为公司发展提供有效保障。一、内部环境（一）概念内部环境确立公司风险管理的总体态度，是内部控制体系的基础，是有效实施风险管理的保障，直接影响内部控制体系的执行、公司经营目标及整体战略目标的实现。内部环境包括治理结构、机构设置及权责分配、发展战略目标、内部审计、人力资源政策、企业文化、社会责任等。（二）关注要点1治理结构健全法人治理结构，设立董事会及其下属专门委员会，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。2组织机构（1）结合业务特点和内部控制要求设置内部机构，明确职责权限，将权力和责任落实到各责任单位。（2）通过科学的组织机构设置支持公司战略及管控要求。3发展战略规划（1）在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定战略规划和发展目标。（2）对战略规划进行宣贯，向全体员工传达。（3）根据战略规划制定年度工作目标计划，编制全面预算，并加强对战略实施的监控。4内部审计（1）设置独立的内部审计机构，配置充分和能够胜任的人员。（2）赋予内部审计机构足够权利，使之与其承担的责任相匹配，维护其独立性。5人力资源（1）制定和实施有利于企业可持续发展的人力资源政策，包括人员聘用、培训等一系列内容（2）重视职业道德修养和专业胜任能力。6企业文化加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。7社会责任重视质量安全管理，注重环境保护，强调社会责任意识，树立良好企业形象。以上关注重点的设定遵照《基本规范》第十一条、第十二条、第十三条、第十四条、第十五条、第十八条、第十九条，以及《应用指引第1号-组织架构》、《应用指引第2号-发展战略》、《应用指引第3号-人力资源》、《应用指引第4号-社会责任》、《应用指引第5号-企业文化》、《评价指引》。（三）控制措施1治理结构（1）依法成立董事会=1\*GB3①根据《公司法》制定《中化二建集团有限公司章程》（以下简称《公司章程》）、《董事会议事规则》。根据《公司章程》，公司董事会由5名董事组成，其中4名公司董事，1名外部董事。董事会设董事长1名，由董事会以全体董事的过半数选举产生，任期三年，可以连选连任。股份公司董事会下设专门委员会，公司董事会及专门委员会严格按照《董事会议事规则》开展工作。=2\*GB3②《公司章程》规定董事的任职资格。公司慎重地选择董事及各专门委员会成员的人选，在股东大会上通过投票表决选举产生董事。董事具有丰富的行业知识、管理经验，独立董事具有较高的威望和资历。（2）明确独立董事工作规则公司依照相关法律法规和《公司章程》，制定《独立董事工作规则》、《独立董事年报工作规则》，明确独立董事的工作职责，建立公司相关方与独立董事的汇报、沟通机制。（3）董事会秘书公司依照《公司法》、《证券法》、《上海证券交易所股票上市规则》等法律、法规、规范性文件以及《公司章程》，制定《董事会秘书工作规则》，规定董事会秘书的任职资格，明确董事会秘书的主要职责，确保董事会秘书履行职责。（4）定期召开董事会会议董事会每年至少召开两次会议，由董事长召集，于会议召开10日以前书面通知全体董事和监事。《公司章程》《董事会议事规则》规定，董事长、代表十分之一以上表决权的股东、三分之一以上董事联名、二分之一以上独立董事、经理或者证券监管部门，可以提议召开董事会临时会议。董事长应当自接到提议后10日内，召集和主持董事会会议。

（5）依法成立监事会=1\*GB3①根据《公司法》及《公司章程》制定《监事会议事规则》。监事会由3名成员组成，其中股东代表监事2名，职工代表监事1人。设监事会主席1人，由全体监事过半数选举产生。监事会依照《监事会议事规则》履行对公司财务状况、董事会履职情况、公司董事和高级管理人员执行公司职务行为进行监督。=2\*GB3②监事会每6个月至少召开一次会议，由监事会主席负责召集，于会议召开10日以前书面通知全体监事。监事可以提议召开临时监事会会议。（6）董事会和监事会保持独立性董事会和监事会独立于管理层，对管理层的决策提出意见和建议，并听取经理层汇报，监督董事会决策的贯彻落实，有权询问和详查公司的经营活动，并在认为必要时采取适当的行动。（7）保持与内、外部审计师的沟通=1\*GB3①纪检、监察审计部门应保证单独与总会计师、会计人员、内部审计师和外部审计师会面的频率和时间，研究讨论财务报告流程、内部控制，以及对管理层绩效的合理性等问题。=2\*GB3②监事会应每年审核内部和外部审计师的工作范围。2组织机构（1）建立科学制衡的职能机构通过建立分工合理、权责明确、报告关系清晰的组织结构，明确内部控制管理决策机构、管理机构、执行机构和监督机构的责任和义务，确保内部控制管理职责明确、权限清晰，确保内部控制体系得到有效运行。（2）编制岗位说明书=1\*GB3①通过内部控制体系建设工作，梳理现行岗位分工情况，并编制岗位说明书。=2\*GB3②定期组织员工开展岗位培训，使员工清楚其行为要达到的目标及自己的职责与他人的职责如何相互影响。=3\*GB3③公司制定《业绩考核办法》，对各级员工的业绩进行考核，并及时将考核结果反馈被考核人，检查各级员工对职责的理解和绩效设计的有效性。岗位说明书详见附件1：《中化二建集团有限公司岗位说明书》。（3）完善权限体系制定权限指引，从授权范围、对象、形式、权限管理等方面规范审批程序和权限，严禁越级、越权办理事务。权限指引详见附件4：《中化二建集团有限公司流程文件汇编》。（4）“三重一大”管理=1\*GB3①为完善对重大决策、重大事项、重要人事任免及大额资金支付业务（“三重一大”）的管理，中国化学工程股份有限公司制定了《重大事项管理规定》，公司严格执行，并且编制了补充规定；公司根据《关于进一步推进国有贯彻落实“三重一大”决策制度的意见》的指导思想、基本原则、基本程序的具体内容，按照中国化学工程股份有限公司的要求，结合公司实际，对《党委会议事规则》、《党政联席会议事规则》、《总经理办公会议事规则》、《职工代表大会议事规则》、《董事会议事规则》、《监事会议事规则》共六个议事规则进行了修订，明确规定了各类会议决策范围、事项和权限。=2\*GB3②《公司章程》、《董事会议事规则》、《监事会议事规则》、《总经理工作细则》以及董事会各专门委员会议事规则等制度，规定了需由董事会、总经理办公会等集体决策机构决定的事项及相关的决策、执行程序，是公司重大决策机制的重要补充。（5）分级请示报告机制通过分级管理的组织结构和员工岗位的职责描述对报告关系进行清晰的定义。职能部门向上级请示、报告工作，要先按照公司领导的工作分工向分管领导请示、报告，再根据请示报告类别，按照职务层级或业务层级管理体制向对口的上级请示、报告。正常情况下不得越级请示、报告工作。制定规范的政策与办法，建立报告途径。采取集中管控方式，有利于统一行动和对环境的变化迅速做出反应。3战略管理（1）战略制定管理=1\*GB3①董事会对公司战略和中长期发展规划方案进行研究、提出建议，并对其实施进行评价、监控。=2\*GB3②规划信息部依照《发展战略和规划管理办法》，负责管理战略目标、战略规划与业务计划的制定与调整程序，以及战略的实施与评价管理办法的实施。=3\*GB3③在综合分析内外部因素对发展战略的影响的基础上制定发展战略，同时组织企业内外管理专家对战略规划草案进行评审。=4\*GB3④公司发展战略规划经总经理办公会和职工代表大会审议通过后，报经董事会和中国化学工程股份有限公司批准实施。=5\*GB3⑤各分、子公司依照公司审议通过的战略规划编制本公司的年度经营工作计划,并将年度经营工作计划报送公司审查。（2）战略实施管理=1\*GB3①对战略规划进行充分宣贯，使战略规划传达至所有员工。=2\*GB3②战略规划根据外部环境和内部情况的变化和发展每年滚动，编制《三年滚动规划》落实中长期发展战略。=3\*GB3③年度工作计划和预算管理是实施战略和规划的重要手段，各部门、各分子公司制定年度工作计划，并根据年度工作计划编制年度预算。年度工作计划应贯彻落实发展战略和规划中提出的当年的目标、任务和措施。=4\*GB3④将战略规划和年度工作计划实施情况作为业绩考核的内容之一，予以奖惩。（3）战略调整管理=1\*GB3①实行战略质询制度。董事会原则上每年对企业发展战略和规划实施情况进行质询，每半年对年度工作计划实施情况进行质询，根据质询结果对各部门、各分子公司的战略规划实施情况进行评估，并对实施工作提出要求。=2\*GB3②发展战略和规划的修改、调整由董事会决定。专项规划以及年度工作计划的修订、调整须报公司批准。4内部审计（1）内部审计独立性=1\*GB3①设置纪检、监察审计部，纪检、监察审计部根据授权可以参加或列席公司有关经营和财务管理决策会议，获知公司管理的薄弱环节、重大经营管理活动等，编制年度审计计划。②纪检、监察审计部可对审计中发现的违反国家法律法规和公司管理规定的事项提出审计建议，做出审计决定，并对审计建议、审计决定的落实情况进行跟踪监督。必要时对责任单位、责任人按有关规定提出追究责任的建议；对发现的公司内部控制缺陷，及时提出改进建议。（2）审计人员能力明确规定内部审计人员应该具有的资质和执业能力，制定内部审计职业道德规范，要求审计人员在办理审计事项时必须遵守。（3）与董事会的沟通根据公司内部审计制度，纪检、监察审计部定期或应要求向董事会、监事会、总经理办公会等报告工作，重要审计发现要及时报告并提出处理意见。5人力资源（1）人力资源规划根据公司的总体战略规划，在对人力资源现状进行统计和评估的基础上，人力资源部制定人力资源规划，并每年进行评估和调整，以防止人力资源缺乏或过剩、结构不合理、开发机制不健全带来的风险，使之能够有效地支持公司发展。（2）人才引进机制=1\*GB3①根据人力资源的结构层次，公司根据不同类别人员的特点、岗位职责和知识技能实施分类引进机制和管理方法，指导和规范人才引进。=2\*GB3②选拔任用或招聘关键岗位的人员时，通过核查人事档案、与其任职单位沟通考察等方式对其诚信与道德价值观、技能资格水平等多方面进行综合考察和重点审核。对频繁更换工作和职业背景相差较大的候选人，进行了仔细核查。=3\*GB3③公司通过组织开展竞聘或招聘活动，对关键岗位和紧缺人才进行选拔。招聘程序一般包括资格初审、专业知识和素质测评、用人部门审核、分管领导审核等程序。（3）人力资源开发机制=1\*GB3①公司制定《员工培训管理办法》等相关规章制度，并下达培训工作计划，有针对性地组织业务和知识培训，确保员工技术素质和业务能力达到岗位要求。=2\*GB3②注重对经营管理者的培养，通过针对性培训、轮岗交流、基层锻炼等形式提高管理者素质。=3\*GB3③重视人才储备，制定各类专家级拔尖人才评选管理办法，规范公司内部专家的选拔，为公司建立高素质的人才储备库。（4）人力资源的使用公司严格执行国家《劳动合同法》，建立劳动用工的管理制度，规范劳动合同管理，确保合法合规。（5）绩效考核针对高级管理人员、中层管理人员、基层人员分别制定考核制度，形成较为系统、规范的绩效考核评价体系，对员工履行职责、完成任务的情况实施全面、客观、公正、准确的考核，并以此作为确定员工薪酬、奖惩及任用的依据。（6）薪酬体系=1\*GB3①公司依照《劳动法》，以按劳分配、效率优先、兼顾公平的原则设置薪酬体系，以体现公平性和竞争性。=2\*GB3②人力资源部负责研究公司职工的薪酬分配政策和方案，根据其所在岗位的主要范围、职责、重要性以及其他相关岗位的薪酬水平制定薪酬计划或方案。薪酬分配方案需经职工代表大会讨论通过。=3\*GB3③建立完善的以年薪、期薪、岗薪为基本内容，以绩效考核为发放依据的薪酬体系。（7）关键岗位队伍的稳定机制=1\*GB3①界定关键管理人员的职责。通过制定岗位职责规范，将业务活动的职责和期望传达给负责这些关键活动的管理人员，同时实施岗位绩效考核，与收入分配挂钩。=2\*GB3②公司制定后备干部培训计划，并根据公司的需要和不断变化的情况进行调整和实施。（8）人员退出机制遵照《劳动法》，结合管控目的，制定《劳动合同管理办法》以及人员退出的操作与审核机制。6企业文化（1）文化建设与品牌维护=1\*GB3①外使用统一的注册品牌商标。制定明确的企业精神、企业使命、企业宗旨、企业愿景、企业价值理念，并通过网络、培训和宣传册等方式进行公司内外的宣导，强调管理层在企业文化管理中的责任。不定期对品牌的使用和企业文化的建设情况进行监督和考核。=2\*GB3②树立品牌形象，注重品牌维护，担负社会责任，引领企业持续健康的发展。（2）诚信与道德价值规范的建立、宣传和考核=1\*GB3①制定诚信与道德价值观规范，并使其与《公司章程》、企业精神与宗旨、企业核心经营管理理念一起成为公司全体员工的主要道德准则,并建立企业文化建设相关制度，积极宣传诚信与道德价值观规范。通过以隔级面谈等方式对遵守情况进行预防和监督。=2\*GB3②对公司员工遵守诚信与道德价值观规范的情况进行监督。员工违反诚信与道德价值观规范的任何行为，除依照国家法律、上市地监管规则进行处理外，还可根据公司有关制度规定对其处分直至解除劳动合同。7社会责任为引领企业持续健康的发展，实现企业的价值理念，注重社会责任的履行，建立了企业社会责任管理体系。（1）安全质量管理=1\*GB3①全员推行安全生产管理人员和项目经理安全管理岗位资格考核。逐步加大安全质量投入、教育、管理和督查工作力度，严格安全考核和奖惩。=2\*GB3②推行总部对施工现场安全质量督察，改善方式方法和考核指标，加深施工现场实际管控考核内容，全面加强风险性较大工程安全专项方案执行力度。③加强项目经理安全生产继续教育管理，严肃考核评价制度。（2）环境保护=1\*GB3①建立能源环境管理体系，通过规范能源统计管理，加大监督检查力度，控制全年能耗水平，在节约能源，提高能源使用效率的同时，保障达到能耗下降目标。=2\*GB3②建立自上而下,全面监控的绿色环保管理体系。在自然生态保护上，要求项目开工前就项目环境影响展开评价，充分论证环保方案，制定详尽的生态保护方案。施工过程不断完善绿色采购制度，防范生态破坏事件的发生。=3\*GB3③建立节能减排和环境保护考核指标体系，加强监督检查，严格考核标准。二、风险评估（一）概念风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略的过程，是风险管理的基础。（二）关注重点1信息收集（1）围绕公司战略目标和相关目标以及风险管理要求，各部门、各分子公司广泛、持续收集与公司风险及风险管理相关的内部、外部信息。公司对收集的数据、信息和变化情况进行必要的筛选、提炼、对比、分类、组合，形成与公司风险管理相关的信息资料库并不断更新，以便进行风险评估。（2）明确规定风险评估信息收集的具体要求，建立风险评估信息收集机制。2风险识别通过日常和定期的评估程序与方法加以识别内部控制实施过程中的风险，将各类风险进行分类整理，形成企业的风险数据库。3风险评估分析组成风险评估专业团队，严格按照规范程序，在风险识别的基础上，运用定性和定量的方法，对风险发生的可能性和影响程度进行分析、评价，并按照风险排序标准和方法，确定风险重要性等级清单，识别出公司重大风险，确定风险管理的优先顺序。4风险应对（1）针对风险发生的原因、风险重要性水平，考虑风险之间的关系，运用风险组合观，选择风险应对方案。风险应对方案包括回避风险、减少风险、分担风险、接受风险。（2）在评估了相关风险之后，管理层根据风险类型及成本等因素确定如何应对风险，制定风险反应方案。以上关注重点的设定遵照《基本规范》第二十条、第二十二条、第二十三条、第二十四条、第二十五条以及《全面风险管理指引》。（三）控制措施1确定风险评估的目标和范围针对战略目标、经营目标、合规性目标及资产安全目标，分别开展战略风险、财务风险、运营风险、市场风险、法律风险的评估。2制定风险评估的原则（1）体现从实际出发，坚持与理论相结合的原则。（2）满足提高管理水平与监管要求相结合的原则。（3）考虑实效性、渐进性原则。3明确风险评估程序（1）风险识别=1\*GB3①工作目标收集各种风险信息，包括所辖范围内所有相关的风险信息，并建立公司的风险信息数据库，定期对其进行维护，作为风险评估和制定风险战略的基础。=2\*GB3②工作流程A公司制订风险管理相关制度，规范风险识别工作流程，明确部门和岗位的职责权限。B相关部门广泛、持续不断地收集与全面风险管理相关的内部、外部初始信息，包括历史数据和未来预测，把收集初始信息的职责分工落实到各有关职能部门及分、子公司，收集的风险信息包括战略风险信息、财务风险信息、市场风险信息、运营风险信息、法律风险信息等。C内控建设工作办公室对各部门及分子公司提交的风险信息进行汇总分析后，设计调查问卷并下发，或者召开专门讨论会议。D内控建设工作办公室统计分析调查问卷或会议纪要，并组织对管理层进行访谈，了解公司风险管理体系建设情况、公司重大风险和重大事件、公司存在的经营管理方面的各类风险等信息。E内控建设工作办公室根据风险事件识别汇总表，确定公司风险数据库；内控建设领导小组对该数据库进行审核，检查风险数据库是否全面完整，是否覆盖公司战略、财务、市场、运营、法律等各个方面，风险描述是否准确清晰。=3\*GB3③工作方法A风险信息收集收集各种风险信息是贯穿公司风险管理全过程、各部门和各分、子公司的一项重要日常工作，是实施风险识别和制定风险战略的基础。公司对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险识别。风险信息可关注战略风险、财务风险、市场风险、运营风险、法律风险五个方面的内容。B进行风险识别进行风险识别一般可以采用问卷调查法、研讨会法、流程图法、情景分析法、风险结构分解法等工作方法识别出企业面临的各项风险。=4\*GB3④风险识别成果文件通过风险识别，收集各种风险信息，形成股份公司的风险数据库，包括风险分类框架及风险事件库。具体见附件2：《中化二建集团有限公司风险管理手册》。（2）风险评估=1\*GB3①工作目标通过对识别出的风险定性和定量分析以及对风险事件进行评估，确定公司应关注的重大风险。=2\*GB3②工作流程A内控建设工作办公室编制风险评估标准，根据风险分类框架和风险事件库设计风险评估调查问卷。B内控建设领导小组对风险评估标准及评估问卷进行审核，检查风险评估标准是否准确，评估问卷设计是否合理。C相关部门及分、子公司人员填写调查问卷。D内控建设工作办公室对相关部门及分、子公司人员填写的风险评估问卷进行统计分析。E内控建设工作办公室根据对风险发生可能性的高低和对目标的影响程度的评估，编制风险重要性等级清单和绘制风险图谱，对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略。F内控建设领导小组对内控建设工作办公室编制的风险重要性等级清单和风险图谱等进行审核。G董事会对重大风险排序表和风险图谱等进行审议、审批。=3\*GB3③工作方法A风险分析风险分析是对风险识别所得到的各个风险事件的属性信息，根据风险评估的具体目标，运用定性和定量相结合的方法，结合统计学原理，进行整理和综合性分析，最终确定各个风险的发生可能性和影响程度等属性特征，为绘制风险图谱和进行风险评价提供依据。风险事件发生的可能性分为5个等级，分别赋予1分至5分，表示可能性依次增加，1分表示该风险事件一般情况下不会发生，5分表示该风险事件常常会发生；风险事件的影响程度分为5个等级，分别赋予1分至5分，表示影响程度依次加强，1分代表影响程度很低，基本可以忽略，5分代表影响程度非常高。B风险评价计算出风险影响程度、发生可能性的分值后，将各属性的分值分为高、中、低三个等级。选择影响程度和发生可能性两个指标作为坐标轴，按照高、中、低两两组合的原理，形成风险重要性等级矩阵。C风险重要性等级清单和风险图谱通过风险识别、风险分析和风险评价这三部分工作，对公司的风险进行识别和评估，进而将公司全部风险进行排序，编制公司风险重要性等级清单，绘制风险图谱。=4\*GB3④风险评估工具和成果文件A采用定量与定性相结合的方法对公司风险事件进行评估，在内控建设工作办公室的组织下向公司评估人员发放风险评估调查表。B从风险发生的可能性和影响程度两个方面进行风险评估，确定具体的评估标准。C组织评估员工进行风险评估，根据管理情况，设置各类人员的风险评估权重。在对评估结果进行确认的过程中，充分考虑公司高管层的意见，对评估结果进行有针对性的调整。D运用计算公式加权平均，对每一风险事件的发生可能性和影响程度分值进行计算。在加权平均时，需要考虑不同人员分值的权重。E将加权平均得到的最终分值按照风险重要性等级矩阵，进行划分，并形成风险重要性等级清单。F为方便标注，将所有风险事件重新进行编号，形成风险图谱编号对照表，根据风险评估结果，绘制风险图谱。相关风险评估工具和成果文件详见附件2：《中化二建集团有限公司风险管理手册》（3）风险应对=1\*GB3①公司层面风险的应对依照《基本规范》、《配套指引》及国资委《风险管理指引》，在公司层面风险评估的基础上，确定公司层面重大（高等级）风险，并制定重大（高等级）风险管理策略和解决方案。公司层面的风险应对策略具体参见附件2：《中化二建集团有限公司风险管理手册》。=2\*GB3②流程层面风险的应对流程层面的风险应对基于对各模块各业务流程的梳理及流程风险点的识别。各部门对照《配套指引》和相关制度，对本领域流程进行梳理，找出风险点，形成流程层面的风险数据库，并在此基础上，找出风险点对应的控制措施，组成风险控制矩阵（样例见下表），形成对流程层面风险的有效控制。流程层面的风险的应对详见附件4：《中化二建集团有限公司流程文件汇编》。风险控制矩阵（样例）目标编号控制目标风险编号风险描述对应控制措施编号控制措施描述T1R1C1.1C1.2C2.1三、控制活动（一）概念控制活动是企业根据风险评估结果，采取相应的控制措施确保风险应对方案得以贯彻执行的政策和程序。控制活动存在于公司各部门，包括授权、批准、会计、资产保全、预算、运营、绩效考核评价、重大风险控制等活动。（二）关注重点1不相容职务分离公司贯彻“责任分离、相互制约、不相容岗位分离”的原则，通过岗位职责分工，流程控制、定期复查等必要程序，对安全质量环保、人力资源、资金管理、资产管理、财务管理、采购等各环节产生的凭证和记录进行有效控制。2授权审批制定常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。3会计系统控制严格依照会计准则、制定会计核算与管理制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实、完整。4财产保护控制建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，限制未经授权的人员接触和处置财产。5预算控制明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。6运营分析控制建立运营情况分析制度，运用综合信息和多种合理有效的分析方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。7绩效考评控制建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各部门和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等依据。8重大风险预警和突发事件应急处理建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员，规范处置程序，确保突发事件得到及时妥善处理。以上关注重点的设定遵照《基本规范》第二十八条、第二十九条、第三十条、第三十一条、第三十二条、第三十三条、第三十四条、第三十五条、第三十七条，《应用指引第1号-组织架构》、《应用指引第6号-资金活动》、《应用指引第7号-采购业务》、《应用指引第8号-资产管理》、《应用指引第9号-销售业务》、《应用指引第10号-研究与开发》、《应用指引第11号-工程项目》、《应用指引第12号-担保业务》、《应用指引第13号-业务外包》、《应用指引第14号-财务报告》、《应用指引第15号-全面预算》、《应用指引第16号-合同管理》。（三）控制措施1内控体系建立（1）完善制度体系框架各部门对照《应用指引》，对现有制度文件进行梳理，提出新增和修订制度计划，规划信息部根据汇总各部门的制度建设计划，形成本年度的制度建设清单。（2）制定、修订制度各部门根据年度制度建设清单及时间要求，按照公司《规章制度管理办法》规定的程序开展新建或修订等制度建设工作，规划信息部在此基础上开展制度汇编工作。2012年最新的制度文件汇编详见附件3：《中化二建集团有限公司内控制度汇编》。（3）建立流程体系框架通过建立流程体系文件进行风险和控制的配比分析，发现现有控制措施可以进一步完善和提升的环节，补充和完善现有控制措施，以达到防范风险的目的。梳理流程，编制流程清单。（4）编制流程文件=1\*GB3①通过编制流程体系文件来描述业务流程控制现状，并分析流程控制目标以及风险，通过和业务流程的控制措施进行匹配，判断控制措施的合理性、完整性、有效性，寻找控制缺陷并提出改进建议。流程体系文件主要包括流程图、流程步骤说明、风险控制矩阵、风险数据库以及控制文档五张表单。=2\*GB3②流程体系文件用于确认、记录每个流程及活动中存在的风险和已建立的控制措施，并与相应的制度和控制实施证据相对应。流程体系文件重点强调目标、风险、控制措施的一致性以及针对重大风险制定的关键控制措施的有效性。2012年最新的流程文件汇编详见附件4：《中化二建集团有限公司流程文件汇编》。（5）识别关键控制和一般控制=1\*GB3①关键控制，是在相关流程中影响力和控制力相对较强的一项或多项控制，其控制作用是必不可少和不可替代的。如果缺少该项控制，将在很大程度上直接导致相关风险的产生。其它控制为一般控制。=2\*GB3②建立风险数据库，通过对风险类别的识别以及相关部门、人员对风险发生可能性和影响程度的进行打分评级，确定风险等级，寻找影响公司目标实现的重大风险（高等级风险），并针对这些重大风险，识别其所对应的关键控制。=3\*GB3③公司建立控制文档用于确认流程活动中的一般流程步骤、一般控制和关键控制，明确其控制类型、控制方式、控制频率，并对应到活动实施证据和责任部门、责任岗位，为内部控制评价提供合理依据。（6）内部控制合规工作=1\*GB3①审批权限A制定《权限指引表》，并及时进行维护和更新。该指引涵盖了对授权人和受托人履行授权的行为进行监督、检查以及对不当行为的处理办法。B公司对业务活动的权限，根据不同的业务性质，在各部门、下属单位之间有所划分；根据业务活动的重要性程度，按不同层次进行审批。C公司通过对岗位职责描述的规范、完善，明确各个岗位的任职条件及在处理有关业务时所具备的权限。=2\*GB3②会计系统控制A制定涵盖建造合同、固定资产、流动资产、关联交易、会计核算、财务报告的处理程序等统一的会计政策。B财务资产部各岗位均编制岗位说明书，以明确岗位任职资质和相关权责。C在会计记账、结账、财务报表的编制与审批、财务报表分析和财务预警管理等流程设置了合理的分工和控制，以发挥会计的监督职能。=3\*GB3③财产保护控制对财产安全设置了相关的政策、流程和控制措施。组织实施定期盘点、对账等制度，确保财产的安全和记录的完整与真实。同时，制定财产使用和处置的授权程序以及对不当行为的处罚规定。=4\*GB3④预算控制制定《预算管理办法》明确预算管理职责和责任，对采购、收入、成本、费用等均实行预算控制，通过目标测定、财务预算、预算执行与调整、预算考核和监察等措施，完善内部控制体系。=5\*GB3⑤运营分析控制A公司要求各级管理层开展经营管理活动分析，对经营管理情况实施会议评审和监督。B公司制定相关的财务分析程序，明确财务分析的职责、内容、具体方法和程序。通过财务分析对公司的偿债能力、资本结构的合理性作出判断，对公司在行业中的竞争能力和持续发展能力作出预警。=6\*GB3⑥绩效考评控制制定《绩效考核管理办法》，实行全员绩效考核。=7\*GB3⑦重大风险预警和突发事件应急处理机制建立重大风险预警和突发事件应急处理机制，以利于及时有效地应对重大风险和突发事件。（7）缺陷跟踪=1\*GB3①公司在业务流程的梳理工作和业务实施中，对发现和建议以控制文档对应内容落实到相应的责任人，并就每一个发现设定具体的修正时间表和跟进计划。=2\*GB3②各责任人可根据缺陷内容描述做出是否符合实际情况的说明，如不符合则出示不符合的证据；对于确认的缺陷，责任人做出是否采纳改进建议的说明，如不采纳则说明不采纳的原因。=3\*GB3③公司设定缺陷认定的标准作为内部控制评估的依据。2内部控制体系的监督与评价根据内部监督的政策和程序，定期对控制活动的有效性进行评价，查找控制缺陷，并进行改进和完善，确保控制活动的持续有效性。具体措施见“内部监督”部分。四、信息与沟通（一）概念信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。（二）关注重点1信息收集与沟通（1）将内部控制相关的信息在企业内部各管理级次、责任单位、业务环节间，以及企业与外部投资者、债权人、客户、供应商、中介结构和监管部门等有关方面进行沟通和反馈，并就信息沟通中发现的问题，及时报告并加以解决。（2）建立内部报告机制。2信息系统建立规范的信息系统管理制度，全面推进信息系统开发建设，深化应用，保障信息系统的安全性、可靠性和合理性。3反舞弊建立反舞弊机制，明确反舞弊工作的重要领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。以上关注重点的设定遵照《基本规范》第三十八条、第三十九条、第四十一条、第四十二条、第四十三条和《应用指引第17号-内部信息传递》、《应用指引第18号-信息系统》、《评价指引》。（三）控制措施1信息收集与沟通（1）内外部信息收集与传递持续识别、收集、整理与归纳来自内部与外部、经营与管理的各种信息，针对不同的信息来源和信息类型，明确各种信息的收集人员、收集方式、传递程序、报告途径和加工与处理要求，确保经营管理各种信息资源得到及时、准确、完整收集。（2）内外部信息沟通=1\*GB3①公司建立横向和纵向相互通畅、贯穿整个公司的信息沟通渠道，确保公司目标、风险策略、风险现状、控制措施、员工职责、经营状况、市场变化等各种信息在公司内部得到有效传递。=2\*GB3②建立适当的渠道，与相关方如供应商、客户、律师、股东、监管机构、外部审计师等，就相关信息进行必要的外部沟通。（3）重大事项的报告=1\*GB3①总经理办公室是公司重大事项内部报告工作的归口管理部门，具体承担重大事项内部报告的相关工作。=2\*GB3②制定相关制度和办法，形成重大信息传递机制。建立自然灾害、安全、质量事故的应急预案，当出现上述突发事件时事发单位将启动应急预案，相关信息将快速传递至公司机关总部，突发事件将得到及时决策和应对。（4）信息报告=1\*GB3①例行报告A各级人员按照分级管理的组织结构和岗位职责，定期向上级反映其管辖部门或其所在岗位的工作情况。B公司各部门通过专题会议、工作例会等向上级报告工作；通过定期召开安全生产或安全质量环保会议,向上级报告安全质量环保控制情况；通过定期或不定期召开采购招投标会议，并将招投标结果向上级汇报等。=2\*GB3②实时报告形成重大信息传递机制，发生紧急情况时通过电话、办公网络、面谈等形式进行交流和沟通。=3\*GB3③专题报告公司根据业务需要，成立各类领导小组或工作组就某一事项及时向上级领导汇报情况。=4\*GB3④综合报告公司各部门定期向上级领导全面汇报本部门的工作情况，主要包括工作总结、计划安排等内容；各分子公司向公司职能管理部门定期报送各类管理报表、汇报工作总结及来年工作要点。（6）信息保密=1\*GB3①制定《保密工作管理规定》，通过制度保证保密工作的落实。=2\*GB3②董事会在聘任董事会秘书时应与其签订保密协议，要求其承诺任期内及离任后持续履行保密义务直至有关信息公开披露为止。=3\*GB3③为维护信息披露的公开、公平、公正原则，制定相关制度及管理办法，通过明确保密信息定义、保密信息处理规范以及对违规行为的处罚程序，旨在加强内部信息的保密工作。=4\*GB3④与公司合作的中介机构也要求按照《公司章程》及有关管理制度签订《保密协议》。2息系统管理（1）信息系统归口管理=1\*GB3①公司成立信息化工作领导小组，负责领导公司信息化建设工作，决策信息化建设重大事项。=2\*GB3②规划信息部作为公司信息化建设的归口管理部门，负责企业信息化建设，指导、监督总部各部门开展工作，建立纵向汇报、沟通和监控机制。（2）信息系统总体控制=1\*GB3①建立信息化发展规划A信息化工作领导小组根据公司整体发展战略，审批确定信息化发展总体目标和战略规划，明确专门部门负责识别不断提出的信息需求。B明确年度目标，制定年度计划，每年组织评估和调整。C各分子公司根据信息技术总体规划制定本企业的信息技术规划。=2\*GB3②信息系统开发管理A信息化工作领导小组会同具体业务部门，提出项目领导组和实施组的组成方案。项目领导组由分管信息技术的公司领导、具体业务部门分管领导，规划信息部、具体业务部门和项目建设单位负责人组成；项目实施组由规划信息部、具体业务部门、项目建设单位和公司内信息化专家联合组成。项目启动需经公司领导审批。B公司就系统开发的现状调研、方案设计、系统配置和测试、数据准备和培训、系统上线建立相应的控制措施和操作程序，以保证项目有效实施，符合管理目标。=3\*GB3③信息系统变更管理制定信息系统变更审批、授权、测试、实施和报告等方面规范和控制程序。=4\*GB3④信息系统日常管理公司对信息系统的日常管理涵盖了对机房环境、网络设备、服务器、各信息系统的定期巡检和监控，制定定期的数据备份和恢复策略，就日常和突发事件处理分别制定了应对程序，并在系统升级、技术支持和停机检修方面做了相关的规定。=5\*GB3⑤信息系统安全A公司建立信息安全组织架构，并建立完善的汇报机制。在设立信息安全管理负责人，负责本单位的信息系统安全建设、信息安全培训和信息安全的维护和检测。B公司建立信息安全管理机制，为员工提供相关培训。公司的信息系统安全控制工作主要涵盖了数据中心的访问控制、系统帐号的管理、密码管理、日志管理及防病毒软件、防火墙、内网监控、入侵检测等安全设备的使用和维护。=6\*GB3⑥信息系统风险评估规划信息部负责组织对公司各信息系统进行风险评估，按照国家有关部门的要求做好信息系统等级保护工作。。=7\*GB3⑦信息系统总体控制执行监控在公司范围内建立信息技术总体控制执行情况的测试、监督和审查制度，并根据执行情况作相应改进。（3）信息系统权限管理公司根据实际情况，对用户权限进行合理设置，为定期的测试提供规范和依据。（4）内部控制与风险管理信息化建设引入内部控制与风险管理信息平台，通过整体水平控制、流程预警、数字预警和风险快报等功能，实现对公司风险管理和内部控制情况的实时监督和评价。利用信息技术实现风险管理与内部控制的日常化、标准化和动态化，将风险管理与内部控制作为一项长期和日常的工作落到实处，建立公司风险管理和内部控制的长效机制。3反舞弊（1）反舞弊举报工作的受理程序建立信访举报处理机制，由党委工作部和纪检、监察审计部负责受理来信来访和电话举报等在各个方面的违规和舞弊行为线索的管理，并进行相应的调查和处理。重点关注：=1\*GB3①在财务报告和信息披露方面弄虚作假；未经授权、滥用职权或者采取其他不法方式侵占、挪用企业资产。=2\*GB3②在开展业务活动中非法使用企业资产牟取不当利益；=3\*GB3③企业高级管理人员舞弊给企业内部控制和经营管理可能造成的重大影响；=4\*GB3④员工单独或者串通舞弊给企业造成损失。（2）反舞弊情况剖析=1\*GB3①