XX局内控与管理手册(一)Word格式文档下载.doc
《XX局内控与管理手册(一)Word格式文档下载.doc》由会员分享,可在线阅读,更多相关《XX局内控与管理手册(一)Word格式文档下载.doc(58页珍藏版)》请在冰点文库上搜索。
4、风险评估的基本程序 109
5、公司层面风险应对策略 123
6、业务流程层面风险应对策略 132
第一轮调查问卷 133
第二轮调查问卷 133
第一轮风险问卷调查评分结果 133
附录四:
第二轮风险问卷调查评分结果 139
第四部分控制活动分册
1、概述 148
2、控制活动的实施 149
3、控制活动有效性评价 153
4、流程体系文件建模规范 153
5、流程清单 158
6、权限指引表
第五部分信息与沟通分册
1、概述 193
2、信息采集 195
3、沟通 204
4、信息系统 210
5、反舞弊机制 225
第六部分内部监督分册
1、内部监督概述 235
2、日常监督 235
3、专项监督 239
4、缺陷跟踪 241
5、内部控制评价 245
附录一内控评价报告模板 254
附录二上交所《董事会关于公司内部控制的自我评估报告》模板
4
第一部分
体系框架分册
体系框架分册目录
1手册使用说明 8
1.1.编制目的、意义及原则 8
1.1.1手册编制的目的与意义 8
1.1.2手册编制的原则 8
1.2手册结构 8
1.2.1手册结构及内容概要 8
1.2.2手册的特征 10
1.3手册使用说明 11
1.3.1使用要求 11
1.3.2管理与维护 11
1.3.3编写与发布 11
1.3.4发放 11
1.3.5维护 11
2内部控制体系基本框架 12
2.1总则 12
2.1.1框架编制的目的 12
2.1.2框架编制的依据 12
2.1.3框架编制的思路与方法 12
2.1.4体系框架的实施 12
2.2 编制原则 12
2.2.1先进性与实用性相结合 12
2.2.2方法论与操作性相结合 13
2.2.3继承性与包容性相结合 13
2.2.4满足外部监管与提升内部管理相结合 13
2.3参考标准 13
2.3.1财政部等五部委《企业内部控制基本规范》及配套指引 13
2.3.2国资委《中央企业全面风险管理指引》 15
2.3.3上交所、联交所内部控制相关的指引与守则 15
2.3.4COSO《内部控制整体框架》及《企业风险管理整合框架》 16
2.4适用范围 18
2.5内部控制体系框架的主要内容 18
2.5.1内部环境 18
2.5.2风险评估 20
2.5.3控制活动 21
2.5.4信息与沟通 22
2.5.5内部监督 23
3内部环境 24
3.1概念 24
3.2构成要素 24
3.2.1治理结构 24
3.2.2机构设置及权责分配 26
3.2.3内部审计 27
3.2.4人力资源政策 28
3.2.5企业文化 29
4风险评估 30
4.1概述 30
4.1.1风险 31
4.1.2风险评估 31
4.2构成要素 32
4.2.1风险评估的原则 32
4.2.2建立风险评估的基础 32
4.2.3关注要点 32
4.3公司层面与业务流程层面风险评估及应对 35
4.3.1公司层面 35
4.3.2业务流程层面 37
5控制活动 38
5.1概述 38
5.1.1概念 38
5.1.2控制活动的分类 38
5.2控制活动的实施 39
5.2.1控制要点 39
5.2.2主要控制措施和程序 39
5.3控制活动有效性评价 41
5.4流程体系文件建模规范 41
5.5权限指引 45
6信息与沟通 46
6.1概念 46
6.2构成要素 46
6.2.1信息采集 46
6.2.2沟通 47
6.2.3信息系统 48
6.2.4反舞弊机制 49
6.3.内部控制与全面风险管理信息平台 50
7内部监督 50
7.1概念 50
7.2构成要素 50
7.2.1日常监督 50
7.2.2专项监督 51
7.2.3缺陷跟踪 51
7.2.4内部控制评价 52
1流程编号 56
2流程步骤编号 56
3流程控制目标编号 56
4风险编号 57
5控制措施编号 57
6缺陷编号 57
1范围 58
2规范性引用文件 58
3术语和定义 58
4编制要求 58
5体例格式 59
6管理与维护 59
1手册使用说明
1.1.编制目的、意义及原则
1.1.1手册编制的目的与意义
随着公司规模不断扩大、经营领域不断拓展和市场竞争日益加剧,以及国家各部委、外部监管机构对公司管控力度的不断加强,为进一步加强公司内部控制,提升公司风险管理水平,实现公司健康、良性发展,公司特编制《内控与风险管理手册》(以下简称“本手册”),作为公司建立、执行、评价及维护内控与风险管理体系的指导和依据。
通过编制《手册》,建立一套科学、系统的内部控制体系建设的方法和规范,为公司内部控制体系建设、运行和维护提供指引,并作为建立、运行及评价内部控制体系的依据,从而确保公司上下思想上、认识上对内部控制体系保持高度统一,最终实现行为上的统一。
1.1.2手册编制的原则
《内控与风险管理手册》是以财政部等五部委《企业内部控制基本规范》及配套指引、国资委《中央企业风险管理指引》、上交所和联交所的相关指引以及COSO《内部控制整合框架》和COSO《企业风险管理整合框架》为基础,结合XX局集团有限公司实际情况编制而成的。
1.2手册结构
1.2.1手册结构及内容概要
本手册包括六个分册,即《体系框架分册》、《内部环境分册》、《风险评估分册》、《控制活动分册》、《信息与沟通分册》及《内部监督分册》。
1.2.1.1《体系框架分册》
描述了内部控制体系组织结构与职责,较为全面地阐述了内部控制体系的建设目标,并以财政部等五部委《企业内部控制基本规范》为指引,参考《企业内部控制配套指引》,从内部环境、风险评估、控制活动、信息与沟通和内部监督五个方面对内控关注要点及相应措施进行了较为全面、系统的阐述。
1.2.1.2《内部环境分册》
描述了内部环境的概念,并从描述内部环境的概念及要素,从治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化五个方面对内部环境各要素关注要点、控制措施进行阐述。
1.2.1.3《风险评估分册》
描述风险和风险评估的基本概念,从风险评估原则、基本程序、公司层面风险评估及应对、流程层面风险评估及应对四个方面对风险评估关注要点及相应措施进行阐述,并汇编公司层面和流程层面风险评估的相关成果及文档。
1.2.1.4《控制活动分册》
描述控制活动的概念及分类,从控制活动实施、控制活动有效性评价和权限指引三个方面对控制活动的关注要点及相应措施进行阐述,并汇编控制活动的相关文档及资料。
1.2.1.5《信息与沟通分册》
描述了信息与沟通的概念及要素,从信息采集、信息沟通、信息系统、反舞弊机制以及内部控制与全面风险管理信息平台五个方面对内控关注要点及相应措施进行了阐述,并汇编了关键控制信息。
1.2.1.6《内部监督分册》
描述了内部监督的概念及要素,并从日常监督、专项监督、缺陷跟踪和内部控制评价四个方面对内控关注要点及相应措施进行了阐述,并汇编了相关模板。
以上六本手册相对自成一体,并与公司企业文化和制度体系相辅相成,共同构成了支撑公司有效运营的内控与风险管理体系。
1.2.2手册的特征
1.2.2.1管理积淀与管理创新相结合
本手册是在总结公司多年的管理经验及借鉴其他优秀公司管理经验基础上编制而成,是管理经验的沉淀和提炼。
同时将先进的风险管理和流程管理理念融合在一起,在推动公司业务标准化、规范化运作的基础上,为后续公司内控管理体系的优化奠定基础。
1.2.2.2贯彻风险预控的管理理念
本手册贯彻以风险为导向的内部控制理念,强调事前和过程控制,在构建良好的内部环境基础上把管理风险作为内部控制的目标,将业务活动所对应的风险以风险控制矩阵(RCM)的形式进行提炼,实现风险预控和标准化管理。
1.2.2.3对现有管理体系的融入与整合
本手册以风险管控为主线,将管理理念和企业文化贯穿于其中,要求XX局集团有限公司及各子、分公司从风险的视角出发,将内部控制的原则和方法紧密结合到制度和流程建设中,形成公司相互融合、协调一致的有机整体。
1.2.2.4具有广泛适用性和前瞻性
本手册以财政部等五部委《企业内部控制基本规范》及配套指引为指导,在借鉴国际较为成熟的内部控制和风险管理框架的基础上,立足中国国情,并充分考虑了公司的实际情况,为各项业务活动提供了具体的操作指引,在覆盖现有业务活动的同时,也能适应未来一定时期业务发展的需要。
1.2.2.5具有强制性和约束性
本手册明确了公司建立内部控制体系及框架所需遵循的标准,规范了管理层及员工的管理与业务控制活动,不仅适用于公司治理层面的控制,同时适用于经营管理层面的控制,具有广泛的约束性,一经批准发布,XX局集团有限公司及各子、分公司必须严格执行。
1.3手册使用说明
1.3.1使用要求
本手册是公司重要文件,属公司机密。
使用者应按相关保密要求正确使用,未经批准,不得复制,不得对外泄露。
在使用过程中遇到疑难问题,及时向企业管理部咨询。
1.3.2管理与维护
企业管理部对本手册进行规范管理,以保证其有效、完整、统一和适用。
1.3.3编写与发布
本手册由企业管理部组织编写,经董事会批准,XX局集团有限公司行文发布。
1.3.4发放
本手册须按发放范围统一发放。
发放范围(一般包括总经理、副总经理、体系覆盖范围及特殊使用者)由企业管理部提出,经总经理批准执行。
1.3.5维护
本手册的维护是一项长期性、经常性的重要工作,需要各单位高度重视,积极参与,大力配合。
本手册的修订、维护由企业管理部负责。
每年企业管理部将根据相关法律法规的要求、内外部审计对公司内部控制的评价、公司内控管理中出现的新问题、各部门、子、分公司反馈的意见及建议等,对本手册进行修订,经总经理批准执行。
各子、分公司应指定专职管理部门负责本单位手册的日常管理和维护。
对本手册日常使用过程中发现的问题,应认真记录并及时反馈企业管理部。
企业管理部应及时掌握本手册的执行情况,并采取有效措施确保内部控制管理体系的有效运行。
2内部控制体系基本框架
2.1总则
2.1.1框架编制的目的
通过确定内部控制体系建设目标,明晰内部控制体系建设的范围和内容,为公司建设“以风险为导向,以内部控制为手段”的内控与风险管理体系提供指引,以建立统一、规范、有效的内部控制体系,增强公司风险防范能力,为公司战略发展提供合理保障。
2.1.2框架编制的依据
财政部等五部委《企业内部控制基本规范》及配套指引;
国资委《中央企业全面风险管理指引》;
上交所《上市公司内部控制指引》;
联交所《企业管治常规守则》和《内部监控与风险管理的基本架构》;
COSO《内部控制整体框架》及COSO《企业风险管理整合框架》及公司相关管理规定。
2.1.3框架编制的思路与方法
在现有内控体系框架的基础上,根据财政部等五部委《企业内部控制基本规范》及配套指引的主要内容和要求,参照国资委《中央企业全面风险管理指引》的基本要求,结合上交所、联交所以及COSO《内部控制整体框架》和《企业风险管理整合框架》的先进理论,汲取国内外其他公司内部控制体系建设的先进经验,根据公司管理实际编制内部控制体系框架。
2.1.4体系框架的实施
框架明确了公司内控与风险管理的工作任务和基本标准,是制定内控与风险管理工作规划的主要依据。
框架确定的工作目标和内容将在今后分年度逐步建立健全。
2.2 编制原则
2.2.1先进性与实用性相结合
本手册参考了国内、国际先进的内部控制与企业风险管理理论、国内外大型企业集团的风险管理与内部控制实践,立足于XX局集团有限公司自身的战略目标和管理特点,力求与现有的管理程序相衔接,充分考虑实际管理工作的可行性与可操作性。
2.2.2方法论与操作性相结合
本手册的内容涵盖了内部控制体系的各个要素和环节,对中国XX局集团有限公司及各子、分公司建设和运行内部控制体系提出了一套完整的方法论和指导原则,同时针对风险识别、风险评估、风险控制、内部控制评价等常规性工作,制定了具体的操作指引和工作模版。
2.2.3继承性与包容性相结合
本手册与公司现行的管理制度体系相结合,力求与其他制度相融合,对于已不适用的其他各项管理制度,应对照本手册的规范要求及时修改完善。
2.2.4满足外部监管与提升内部管理相结合
公司的内部控制工作既要为战略目标实现提供合理保障,又要满足财政部、国资委、证监会的监管要求。
本手册的编制以满足外部监管要求为出发点,以提升公司内部控制水平为落脚点,兼顾了内外部的风险管理与内部控制要求。
2.3参考标准
为了确保内部控制体系建设的规范化、标准化及合规化,本手册的编制参考了目前国内、国际通行的内部控制与风险管理标准,包括财政部等五部委《企业内部控制基本规范》及配套指引、国资委《中央企业全面风险管理指引》、上交所、联交所的内部控制相关指引与守则、COSO《内部控制整体框架》和COSO《企业风险管理整合框架》等。
2.3.1财政部等五部委《企业内部控制基本规范》及配套指引
2008年6月,财政部会同证监会、审计署、银监会、保监会制定并发布了《企业内部控制基本规范》(以下简称《基本规范》),对上市公司内部控制与风险管理工作开展提出了明确要求,并鼓励非上市的大中型企业执行,旨在加强和规范公司内部控制,提高公司经营管理水平和风险防范能力,促进公司可持续发展,维护社会主义市场经济秩序和社会公众利益。
《基本规范》在形式上借鉴了COSO报告的五要素框架,同时在内容上体现了风险管理八要素框架的实质,构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。
其中:
内部环境:
内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
风险评估:
风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
控制活动:
控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。
信息与沟通:
信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。
内部监督:
内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,并及时加以改进。
2010年4月,财政部等五部委又联合颁布了《企业内部控制配套指引》,并自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上交所、深交所主板上市的公司施行;
在此基础上,择机在中小板和创业板上市公司施行;
同时,鼓励非上市大中型企业提前执行。
配套指引的制定发布,标志着以防范风险和控制舞弊为中心、以控制标准和评价标准为主体,结构合理、层次分明、衔接有序、方法科学、体系完备的企业内部控制规范体系基本建成。
企业内部控制配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》。
其中,《企业内部控制应用指引》是对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引。
应用指引可以划分为三类,即内部环境类指引、控制活动类指引、控制手段类指引,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项,在配套指引乃至整个内部控制规范体系中占居主体地位。
企业内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引。
企业内部控制审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。
三者之间既相互独立,又相互联系,形成一个有机整体,连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。
2.3.2国资委《中央企业全面风险管理指引》
2006年6月,国资委根据《企业国有资产监督管理暂行条例》(国务院令第378号)关于“国有及国有控股企业应当加强内部监督和风险控制”的要求,出台了《中央企业全面风险管理指引》(简称《指引》),旨在进一步加强和完善国有资产监管工作,深化国有企业改革,加强风险管理,促进企业持续、稳定、健康发展。
《指引》对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理信息系统等方面进行了详细阐述,要求各中央企业把风险管理作为企业各项管理工作的主线,将风险管理要求融入企业管理和业务流程中去,尽快建立和完善全面风险管理体系。
《指引》指出,全面风险管理,是企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,建立健全全面风险管理体系,包括风险管理策略、风险管理组织体系、风险管理信息系统和内部控制系统,从而为实现风险管理总体目标提供合理保证的过程和方法。
2.3.3上交所、联交所内部控制相关的指引与守则
2.3.3.1上交所《上市公司内部控制指引》
2006年6月,上海证券交易所(简称“上交所”)根据证监会《关于提高上市公司质量意见》等法律法规,制定发布了《上市公司内部控制指引》,明确要求在本所上市的公司应当建立健全内部控制制度,保证内控制度的完整性、合理性及实施的有效性,以提高公司经营的效率与效果,增强公司信息披露的可靠性,确保公司行为合法合规;
同时要求公司董事会应在年度报告披露时披露年度内部控制自我评估报告,并根据实际执行情况披露会计师事务所对内部控制自我评估报告的核实评价意见。
2.3.3.2联交所《企业管治常规守则》及《内部监控与风险管理的基本架构》
2004年11月,香港联合交易所(简称“联交所”)公布了《企业管治常规守则》(简称《守则》),提出了上市公司的管治原则、守则条文和建议最佳常规等,并要求上市公司按规定披露内部控制等信息。
《守则》第C.2条列出了有关内部监控的条文,以及建议在《企业管治报告》中披露上市公司内部监控资料的规定。
2005年,联交所邀请香港会计师公会(简称“公会”)制定进一步指引,以协助上市公司了解及实施《守则》内有关内部监控的规定,并制订其内部监控程序。
公会接受联交所邀请,制订了《内部监控与风险管理的基本架构》(简称《内部监控架构》),为上市公司提供内部监控基本架构的一般指引及建议。
《内部监控架构》采用了《COSO内部控制整合框架》所提供的模式、定义及概念性架构,明确内部监控系统是为企业实现营运的效益及效率、财务汇报的可靠性、遵守适用的法律规则三个目标而提供合理保证的程序,并提出完善内部监控系统的五个互相关连的要素:
监控环境、风险评估、监控活动、资讯及沟通、监察。
2.3.4COSO《内部控制整体框架》及《企业风险管理整合框架》
COSO是美国虚假财务报告委员会下属的发起人委员会(TheCommitteeofSponsoringOrganizationsofTheNationalCommissionofFraudulentFinancialReporting)的英文缩写。
COSO是自愿性的私人组织,致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。
1985年,由美国注册会计师协会(AICPA)、会计协会(AAA)、财务经理协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建了反虚假财务报告委员会。
该委员会旨在探讨财务报告中舞弊产生的原因,并寻求解决措施。
两年后,该委员会提出了很多有价值的建议。
基于该委员会的建议,其赞助机构成立了COSO委员会,专门研究内部控制问题。
反虚假财务报告委员会于1987年签署了报告,号召研究并制定一个统一的内部控制框架。
1992年9月,COSO委员会提出了报告《内部控制整体框架》(1994年进行了增补),即COSO内部控制框架。
COSO内部控制框架被广泛地选择作为构建和完善内部控制体系的标准,是因为:
虽然COSO内部控制框架并非唯一的内部控制框架,但却是美国证券交易委员会唯一推荐使用的内部控制框架,《萨班斯—奥克斯利法案》第404条款的“最终细则”也明确表明COSO内部控制框架可以作为评估公司内部控制的标准。
COSO内部控制框架提出五个互相关联的组成要素,根据公司的规模和结构,公司可采用不同的方式来实施这些组成要素,但是所有公司都必须涉及这五个组成要素。
因此,在对内部控制进行评估时,管理层必须考虑以下每个组成要素:
控制环境:
控制环境是内部控制体系的基础,是有效实施内部控制的保障,直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。
控制环境确定了公司的总体态度,是内部控制所有其他组成要素的基础。
控制环境包括职业道德、员工的胜任能力、管理理念和经营风格、组织结构、权利和责任的分配、人力资源政策与措施以及董事会与审计委员会以及反舞弊等内容。
风险评估是识别及分析影响公司目标实现的风险的过程,是风险管理的基础。
在风险评估中,应识别和分析对实现目标具有阻碍作用的风险。
控制活动是确保管理层的指令得到贯彻执行的必要措施,存在于整个机构内所有级别和职能部门。
包括批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等活动。
信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式及时地传递,以便员工履行职责。
信息不仅包括内部产生的信息,还包括与公司经营决策和对外报告相关的外部信息。
畅通的沟通渠道和机制使公司的员工能及时取得他们在执行、管理和控制公司经营过程中所需的信息,并交换这些信息。
监督检查:
监督检查是对内部控制体系有效性进行评估的持续过程,包括持续监控、独立评价和缺陷报告等。
在2001年以后,特别是安然事件发生以后,企业风险管理成为焦点而受到突出关注,需要一个强有力的框架以有效地识别、评估和管理风险。
2004年9月,COSO委员会发布《企业风险管理整合框架》,在内部控制的基础上,扩展、提供了一个更强有力的框架,更广泛地专注企业的全面风险管理。
该框架不会取代内控框架
升级会员 