公司内部控制管理手册

上海XX股份有限公司

内部控制手册

V2.0

2015年11月

文档名上海XX股份有限公司内部控制手册第1页

目录

1.1《内部控制手册》概要.............................................................1

1.1.1编制《内部控制手册》的意义.................................................1

1.1.2编制《内部控制手册》的目的及原则............................................1

1.1.3《内部控制手册》的定位和适用范围.............................................2

1.2《内部控制手册》相关概念阐释.....................................................2

1.2.1内部控制定义................................................................2

1.2.2内部控制体系................................................................2

控制环境...........................................................................2

风险评估...........................................................................2

控制活动...........................................................................3

信息与沟通.........................................................................3

监督与检查.........................................................................4

1.3《内部控制手册》的编制和更新流程................................................4

1.3.1流程的更新与编制...........................................................4

1.3.2《内部控制手册》的更新要求.................................................4

1.3.3控制活动的定期审核和更新....................................................4

2.1公司层面........................................................................5

2.1.1组织架构....................................................................5

主要规范内容........................................................................5

职责与授权..........................................................................5

风险控制矩阵........................................................................6

2.1.2发展战略....................................................................10

主要规范内容.......................................................................10

职责与授权.........................................................................10

业务流程...........................................................................11

2.1.3人力资源....................................................................16

职责与授权........................................................................16

2.1.4社会责任....................................................................23

主要规范内容......................................................................23

业务流程..........................................................................24

2.1.5企业文化....................................................................32

主要规范内容.......................................................................32

职责与授权.........................................................................32

2.1.6信息系统...........................................................................36

职责与授权.......................................................................36

2.2业务活动层面...........................................................................46

2.2.1资金活动...........................................................................46

主要规范内容......................................................................46

职责与授权........................................................................46

业务流程..........................................................................49

2.2.2采购业务...........................................................................62

职责与授权........................................................................62

2.2.3资产管理...........................................................................79

主要规范内容......................................................................79

2.2.33业务流程..........................................................................83

2.23.4风险控制矩阵......................................................................86

2.2.4销售业务..........................................................................100

主要规范内容.....................................................................100

职责与授权.......................................................................100

2.2.5研究与开发........................................................................111

主要规范内容.....................................................................111

2.2.53业务流程.........................................................................112

2.2.6工程项目..........................................................................122

主要规范内容.....................................................................122

职责与授权.......................................................................122

2.2.7业务外包..........................................................................134

主要规范内容.....................................................................134

职责与授权.......................................................................134

2.2.8财务报告..........................................................................141

职责与授权.......................................................................141

2.2.9全面预算..................................................................156

主要规范内容.........................................................................156

职责与授权...........................................................................156

2.2.93业务流程.............................................................................158

风险控制矩阵.........................................................................160

2.2.10合同管理.................................................................172

主要规范内容......................................................................172

职责与授权.........................................................................172

业务流程...........................................................................173

风险控制矩阵......................................................................176

2.2.11内部信息传递.............................................................181

主要规范内容......................................................................181

职责与授权.........................................................................181

风险控制矩阵......................................................................182

第1章总则

1.1《内部控制手册》概要

1.1.1编制《内部控制手册》的意义

为进一步提升上海XX股份有限公司（以下简称“公司”）风险防范能力，提高公司的运行效率，全面贯

彻财政部、证监会、审计署、银监会、保监会等五部委颁布的《企业内部控制基本规范》及配套指引的要

求，公司特编制《内部控制手册》。

公司《内部控制手册》（以下简称“手册”）是以五部委颁布的《企业内部控制基本规范》及配套指

引为依据，并结合XX的实际情况编制而成。

编制公司《内部控制手册》对完善企业内部控制制度，进一步规范内部各个管理层次相关业务流程，

分解和落实责任，控制企业风险，保证财务报告真实性，确保企业资产安全高效运行具有较强的现实意义。

1.1.2编制《内部控制手册》的目的及原则

本手册所指内部控制，是由公司管理层和全体员工实施的，旨在实现控制目标的过程。公司的内部控

制目标包括：

•促进公司发展战略目标的实现；

・规范公司经营和管理活动，提高公司经营管理水平，提升公司运营效率和效果；

・保证公司内外部利益相关人之间真实、可靠的经营和财务信息沟通；

•保证公司经营、管理活动遵守有关法律法规；

・保证公司不因受到灾害性风险或人为失误而遭受重大资产损失。

公司的《内部控制手册》借鉴国家通行的内部控制框架，在编制和实施过程中，遵循以下原则：

・合规性原则：满足外部审计机构依据监管部门法律法规对公司进行内部控制体系审计鉴证的基本

要求；

・全面性和系统性原则：手册涉及公司经营管理活动的各个方面，其内部监督和控制贯穿于经营管

理活动的全过程和全体员工。

・可操作性原则：手册必须符合公司实际，无论是业务流程控制点的设置，还是授权项目权限的确

定，都要考虑实际管理工作中是否可行，保证其可操作性。

・包容性原则：手册是依据公司现行的各项管理制度规定，为规范公司具体业务操作、控制业务风

险、达至业务目标而编制的一系列业务流程控制文件，内容涵盖公司各业务和管理的各方面，与

公司其他管理制度和体系不能相互抵触或产生矛盾，并且应当根据公司业务和管理的实际状况，

及时修改、完善。

・成本效益原则：内部控制活动始终贯彻成本效益原则，要力争以最小的控制或管理成本获取最大

的经济效益，要实行有选择的控制，努力降低控制成本，改进控制方法和手段，提高效率。

文档名上海XX股份有限公司内部控制手册第1页

1.1.3《内部控制手册》的定位和适用范围

《内部控制手册》提供了一套科学、系统的内部控制体系建设方法和标准，是公司建设并实施内部控

制体系的纲领性文件。《内部控制手册》所建立的内部控制体系覆盖并适用于公司的业务及管理活动。

手册是公司重要文件，属公司机密。各单位按照相关要求正确使用，未经允许，不得复印，不得对外

泄露。在使用过程中如遇到疑难问题，及时向审计部咨询。

1.2《内部控制手册》相关概念阐释

1.2.1内部控制定义

内部控制是受企业董事会、管理层和其他职员的共同作用，旨在为实现经营效果和效率、财务报告的

可靠性以及对适用法律法规的遵循而提供合理保证的一种过程。

通过上述内部控制概念表述，内部控制是一种动态的过程而不仅是静态的制度，企业的员工不仅应照

章办事，还应在各项管理经营活动中实现效果和效率。体现了现代意义上的实时和全过程控制的观念。

1.2.2内部控制体系

公司的内部控制体系依据财政部等五部委《企业内部控制基本规范》的企业内部控制整体框架而制定,

包括以下五方面的内容：

・控制环境

•风险评估

•控制活动

・信息与沟通

・监督检查

控制环境

控制环境是内部控制体系的基础，是有效实施内部控制的保障，直接影响着公司内部控制的贯彻执行、

公司经营目标及整体战略目标的实现•控制环境确定了公司对于内部控制的总体基调，是内部控制所有其

他组成要素的基础。公司的控制环境主要包括：

・企业文化

・员工的诚信和道德价值观

・管理层所确定的管理哲学和风格

・组织结构和职责分工

风^#估

风险评估是识别和分析影响公司目标实现的风险的过程，是风险管理的基础。在风险评估中，识别和

分析对实现公司既定目标具有影响的风险，并对存在的风险予以持续识别、评估、应对和监控。

公司的风险管理的基本机制和措施主要包括：

・各部门管理者进行风险的自我评估

・员工对识别出风险的及时报告机制

公司提倡各部门管理者进行相关风险的自我评估。通过复核企业主要经营目标，识别在达成经营目标

过程中存在的风险，对内部控制防范风险的效力进行评估。

公司定期开展公司整体层面的风险自我评估，并针对评估的结果组织相关部门制定风险应对方案。此

外，当发生以下情况之一时，也应及时组织进行风险评估：

・新业务介入时；

•新系统应用时；

•业务经营目标修改时；

•业务流程发生较大变化时；

•组织机构变革时；

・法律法规、监管要求发生变化时；

・同行业发生新的案例时；

・其他认为需要时。

公司内各部门也应当根据自身需要，定期开展该项工作，作为本部门风险管理工作之一。同时针对评

估的结果制定相应风险应对方案。

公司鼓励员工对其发现的特别的风险直接汇报给审计部或公司管理层，并由审计部对风险进行识别与

评估。

对于员工报告的重大风险，管理层、审计部及时对风险进行重要性分析之后做出反应，并予以处理解

决。

控制活动

结合风险评估结果，公司主要通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运

用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控

制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

公司各项控制活动体现在各业务和管理流程的控制点上。公司通过编制《内部控制手册》的方式，来

综合考虑各类控制活动的合理搭配设计，并且通过要求各部门贯彻该内控标准，来达成对合理设计的各项

控制活动的遵循。公司通过编制《内部控制手册》的方式，来综合考虑各类控制活动的合理搭配设计，并

且通过要求各部门贯彻该内控标准，来达成对合理设计的各项控制活动的遵循。

信息与沟通

信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式及时地传递，以便员工履行职责。

信息不仅包括内部生产的信息，还包括与公司经营和对外报告相关的外部信息。

公司的各类与经营活动相关的信息应当以一定的格式和时间间隔进行确认和传递，以保证公司的员工

能够执行各自的职责。因此，公司建立相应的内部信息与沟通机制以提高信息沟通的效果和效率。其主要

组成一般包括：管理层的议事机制、信息的报告机制等。

监督与检查

监督检查是企业对其内部控制的健全性、合理性和有效性进行监督、检查与评估，形成书面报告并做

出相应处理的过程，是实施内部控制的重要保证。主要包括对建立并执行内部控制的整体情况进行持续性

的监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，提交相应的检查报告，提出有针对•

性的改进措施等。

1.3《内部控制手册》的编制和更新流程

内控手册是根据公司的实际业务流程进行编制，应根据公司发展的实际和要求的变化进行维护更新。

1.3.1流程的更新与编制

内部控制流程规范文件由公司相关业务和管理部门负责起草编撰，对本部门的内部控制情况进行细化

和进一步的具体识别、改进和记录，并经过各个部门管理层的充分交流后，经过适当审批后予以实施。

1.3.2《内部控制手册》的更新要求

公司内控手册原则上是刚性的，需要贯彻执行，但可以在以下的情况下予以更新：

1）对应的业务流程己经发生了变化，包括如组织架构和岗位设置的重大变更等，使得部分控制点需要

调整才能达到有效控制目的；

2）设定的职位名称已经发生了调整，岗位在满足不相容职责分离原则上，进行了调整，需要修改相关

流程描述的；

3）公司出现新业务，且无法参照现有控制手册执行的，可编写新的控制流程文档，并补充到公司的内

控手册中；

4）其他公司认为需要变更的情况，经内部审阅后必须经公司审计部审核。

1.3.3控制活动的定期审核和更新

内部控制是以合理保证公司既定目标的实现为准绳，内部控制手册应执行全面的定期更新制度，原则

上每年更新一次。

具体更新流程为各职能部门的负责人对本部门的内部控制情况进行复核，根据流程变更和内部控制变

化的情况对内部控制手册提出更新的要求。由各部门内控执行人员对内部控制手册更新或新增后，首先由

部门经理对内部控制手册审核通过，对于跨部门的内部控制流程，由所涉及部门的经理共同确定，而后将

内部控制手册提交主管副总审核，而后由公司内控小组复核更新的内容并提供意见，本手册的最终修订必

须经公司总经理办公会批准后生效下发实施。

第2章公司层面控制

2.1公司层面

2.1.1组织架构

主要规范内容

组织架构是指公司按照国家有关法律法规、股东（大）会决议和公司章程，结合本企业实际，明确股

东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和

相关要求的制度安排。

职责与授权

1组织架构

2职责分配

.股东大会是公司最高权力机构，负责审批董事会上报关于内部控制事项的报告。

・董事会负责内部控制的建立健全和有效实施。

.监事会对董事会建立与实施内部控制进行监督。

•公司总经理负责组织内部人员或聘请外部专家对组织结构现状进行评估，并根据调整的权限完成组织

结构调整初步方案或最终方案。

.审计部对内部控制的有效性进行监督检查。审计部对监督检查中发现的内部控制缺陷，应当按照企业

内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、

监事会报告。

风险控制矩阵

1治理结构的设计与运行

风险控制活动相关该控制活动相关

风险描述控制编号控制活动描述控制相关制度

编号部门和人员的表单和单据

R01-01-01董事会、监事会、经理层C01-01-01公司制定《组织架构》内控文件，明确董事会及其各董事会不适用组织架构

的职责权限不明晰，未制专门委员会、监事会和经理层的权限职责；制定《三监事会董事会议事规则

定相应的议事规则及工会议事规则》明确议事规则和工作程序。总经理监事会议事规则

作程序股东大会议事规则

R01-01-02董事会、监事会、经理层C01-01-02公司制度规定董事会、监事会和经理层的任职资格，董事不适用公司章程

相关人员不能满足履职其人员构成、知识结构、能力素质应满足履职要求任监事

要求职资格。高级管理层

R01-01-03未建立公司治理的良性CO1-01-03董事会、董事会所属委员会、监事会需依照公司章程，董事会不适用董事会审计委员会工作

运行机制遵守按照相关制度和规定各司其责。监事会细则

审计委员会董事会薪酬与考核委员

薪酬与考核委会工作细则

员会董事会提名委员会工作

提名委员会细则

董事会战略委员会工作

细则

文档名上海XX股份有限公司内部控制手册第6页

风险控制活动相关该控制活动相关

风险描述控制编号控制活动描述控制相关制度

编号部门和人员的表单和单据

R01-01-04董事会、监事会、经理层CO1-01-04-董事会对公司内部控制的建立健全、有效实施及其检董事会不适用内部控制管理办法

没有致力于内控建设和01杳监督负责.审计委员会协助董事会对公司的内部控监事会

执行制进行检查监督及评价，对内部控制检查监督工作报审计委员会

管委会/董事会不能以自告进行审查，并定期向董事会做出报告。监事会负责

己的正直、理念、常识和对董事会建立与实施内部控制进行监督。

不可置疑的独立性对管

理层提出有建设性的意

见，或者对公司的活动和

事务提供前瞻性的和互

动的监督

C01-01-04-财务部会同综合部、审计部联合推进公司内部控制持财务部不适用内部控制管理办法

02续改善工作，负责督促和指导各单位的内部控制建设综合部

和改善，以评审促改进，并确保其有效运行，持续改审计部

善。

2内部机构的设置与运行

风险控制活动相关该控制活动相关

风险描述控制编号控制活动描述控制相关制度

编号部门和人员的表单和单据

组织机构设置不科学、精C01-02-01公司已经制定了组织架构图，各主要部门的组织结构不适用不适用组织架构

简、高效、透明、权责匹比较清晰，职责比较明确。

配、相互制衡

R01-02-02缺乏有效的权限设置，令C01-02-02公司在岗位设置时，充分考虑不相容职责分离的要求，不适用岗位职务描述表组织架构及职能方案

公司的员工处理不应由针对业务流程图、岗（职）位说明书和权限指引等制定

他们负责的工作或在其管理制度或相关文件。

应该承担责任时推卸相

风险控制活动相关该控制活动相关

风险描述控制编号控制活动描述控制相关制度

编号部门和人员的表单和单据

关责任。若公司没能很好

地界定或落实各员工的

职责范围，可能会导致员

工做出了未经授权、违法

或不道德的行为

R01-02-03C01-02-03公司制订了规则制度，明确规定了股东大会对董事会，董事会不适用公司章程

董事会对董事长的授权原则和授权范围；以及明确了股东大会董事会议事规则

董事会、监事会和经理层的职责权限、任职条件、议监事会议事规则

事规则和工作程序。根据企业自身情况对重大决策和股东大会议事规则

大额资金支付业务设定定义和标准；在销售、采购、内部信息报告制度

投资管理制度、财务付款制度中体现出对“三重一大”重大事项通报制度

实施集体决策审批或者联签制度的要求和规定：建立领导人员管理办法

对重大事件按照规定的权限和程序进行集体决策审批

或联签制度。

R01-02-04对子公司没有控制力CO1-02-04公司对子公司高级管理人员实行委派，从财务上严格不适用不适用组织架构

控制子公司的活动（子公司无投资决策权，筹资活动

需通过母公司财务总监批准），并以合同形式考核各子

公司业绩。

3组织架构的评估调整

风险控制活动相关该控制活动相关

风险描述控制编号控制活动描述控制相关制度

编号部门和人员的表单和单据

R01-03-01组织机构不适应企业发C01-03-01企业应当定期对组织架构设计与运行的效率和效果进踪令部组织架构评价与调整制

展行全面评估，发现组织架构设计与运行中存在缺陷的，

应当进行优化调整。

定期听取董事、监事、高级管理人员和其他员工的意r

风险控制活动相关该控制活动相关

风险描述控制编号控制活动描述1控制相关制度

编号部门和人员的表单和单据

见，按照规定的权限和程序审批通过后予以调整，并

及时将调整结果以适当的形式通告企业全体员工。常

见的组织架构调整包括：股权结构调整、治理结构调

整、内部机构调整。

4管理层领导力

风险控制活动相关该控制活动相关

风险描述控制编号控制活动描述11控制相关制度

编号部门和人员的表单和单据

CO1-04-01公司在高级管理层及业务团队管理层之间建立适当有办公室不适用

序的交流沟通机制，确保信息的双向顺畅。通过合适

的方式定期收集员工对管理层的反馈意见，并在管理

层面进行沟通。

CO1-04-02公司高级管理层定期开展生产经营分析会，了解业务高级管理层不适用

发展情况，并确保信息的双向沟通。业务团队管理

层

2.1.2发展战略

主要规范内容

主要是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的长远发展目

标与战略规划。

职责与授权

1战略委员会：

.对公司长期发展战略规划进行研究并提出建议；

・负责股份公司战略规划；

・对战略实施的监控。

2业务发展部

・负责组织各部门进行发展战略的编制、调整和执行。

・负责对战略核心项目的调研、论证。

・负责战略执行的日常监督和评估。

文档名上海XX股份有限公司内部控制手册第10页

业务流程

风险控制矩阵

1发展战略的制定

风险控制活动相关该控制活动相关

风险描述控制编号控制活动描述控制相关制度

编号部门和人员的表单和单据

R02-01-0I发展战略的制定没有充C02-01-01公司根据发展目标，在分析外部环境和内部条件的现业务发展部不适用XX发展规划管理制度

分的依据状及发展趋势的基础上，为公司长期生存和发展做出

的未来一定时期内方向性、整体性和全局性的定位、

发展目标和实施方案。

R02-01-02公司没有设立负责战略C02-01-02公司设立董事会战略委员会，由董事会按照股东大会董事会不适用上海XX股份有限公司董

规划制定及决策的相关决议设立的专门工作机构，主要负责对公司长期发展战略委员会事会战略委员会工作细

机构战略和重大投资决策进行研究并提出建议。公司在董则

事会工作细则中对战略委员会的职责及议事规则等进

行了规定。主要包括公司的发展战略，重要的投融资

方案以及其他对公司发展产生重要影响的方面。

文档名上海XX股份有限公司内部控制手册第12页

风险控制活动相关该控制活动相关

风险描述控制编号控制活动描述控制相关制度

编号部门和人员的表单和单据

R02-01-03战略规划的制定没有结C02-01-03委员会的主要职责权限：审核公司总经理提出的年度战略委员会不适用上海XX股份有限公司董

合企业的实际情况，流于经营计划，并提出建议及提交董事会审议决定；对公董事会办公室事会战略委员会工作细

形式司中长期发展战略规划进行研究，并提出建议及提交业务发展部则

董事会审议决定；根据公司中长期发展战略对公司重

大新增投融资项目的立项、可行性研究等事宜进行研

究、审议，并提出建议及提交董事会审议决定；对《公

司章程》规定须经董事会批准的重大资本运作进行研

究，并提出建议及提交董事会审议决定；对公司合并、

分立、增资、减资、清算以及其它影响公司发展的重

大事项进行研究，并提出建议及提交董事会审议决定；

对以上事项的实施进行检查督导；董事会授权的其它

事宜。

议事规则：委员会会议分为例会和临时会议。会议议

题和会议通知由主任委员拟订，并通过董事会办公室

工作人员送达委员会全体成员。委员会会议应由三分

之二以上（含本数）的委员出席方可举行；会议以现

场召开为原则。现场召开的委员会会议以举手方式进

行表决；在采取通讯表决方式时，委员应当将其对审

议事项的书面意见和投票意向在签字确认后传真至董

事会办公室。委员会会议通过的议案和表决结果，应

以书面形式报公司董事会。

R02-01-04发展战略过于激进，脱离C02-01-04-公司综合考虑自身实际情况、市场地位、市场未来行业务发展部不适用XX发展规划管理制度

企业实际能力或偏离主01情等因素，确定公司未来的发展目标。

业，可能导致企业过度扩

张，甚至经营失败。

风险控制活动相关该控制活动相关

风险描述控制编号