内部控制体系基本框架

《内部控制体系基本框架》由会员分享，可在线阅读，更多相关《内部控制体系基本框架（25页珍藏版）》请在装配图网上搜索。

1、部控制体系根本框架目次总:IB么11编制目的12编制依据13编制原那么14主要应用15主要容16控制的原那么17控制的职责2框架根底2. 1 公司愿景2. 2 公司使命2. 3 公司战略2. 4 经营理念2. 5 企业文化2. 6 核心价值观2. 7 公司与政府的关系3. 8 公司与投资方的关系4. 9公司与员工的关系3 控制环境3. 1 公司治理架构3. 2管理理念及经营风格3. 3 组织构造3. 4 诚信与道德价值观3. 5 权责分配体系5. 6 人力资源政策及实施4风险管理4. 1 风险管理容4. 2风险管理目的4. 3风险管理信息的采集4. 4 风险评估4. 5 风险管理策略4. 6

2、风险应对措施6. 7 风险管理的监视与改良5控制活动5. 1 实施控制活动的根本要求5. 2建立预算管理和经营活动分析评价制度5. 3期末财务报告流程7. 4 建立控制活动体系6信息与沟通8. 1 信息6. 2 沟通6. 3信息披露7监视7. 1持续监视7. 2独立评估7. 3缺陷报告8. 4部审计与监视1 总那么介绍了部控制体系根本框架（简称本框架）的编制目的、编制原那么、主要应用及部控制五大要素在公司运营中的主要容，同时也提出了构建部控制体系的总体要求。1 1 编制目的本框架列示了公司对建立一个有效部控制系统所必须的根本控制原那么、政策和标准。提供各部门完善部控制的根本依据， 同时也是为了

3、提高管理层及员工对管理职责的认知和承受程度， 从而更好地建立和保持与这些标准一致的控制系统和程序。 这些控制标准允许各部门在设计与公司现有的政策和程序相一致的控制系统时进展灵活运用。本框架是一个较为理想的框架， 可能公司的部控制现状均与之有一定差距， 但公司董事会、管理层以及各级员工希望通过理解和贯彻本框架的要求，梳理管理流程、规管理行为，逐步建立健全风险管理体系，增强风险防能力，来实现提升公司整体管理水平的目的。1 2 编制依据1 2 1 公司治理和管理的在要求。1 2 2 本框架依据美国?萨班斯法案?、 COSO mittee of Sponsoring Organizations of

4、theTreadway mission 即反虚假财务报告委员会的发起人组织委员会?部控制整体框架?、COSO?企业风险管理一一整合框架？及？中华人民国公司法？、神华人民国合同法？、？中华人民国会计法?等国家法律法规编制。1 3 编制原那么1 3 1 合法性原那么 以国及上市地法律法规为准绳，结合公司实际进展控体系设计。1 3 2 完整性原那么以 ？中华人民国公司法？、 ？中华人民国合同法？、 ？中华人民国会计法？等国家法律法规及美国？萨班斯法案？、 COSO 部控制框架五要素为指引，全面开展控体系建立，并覆盖各项业务和部门，构建公司有机的部控制框架。1 3 3 继承性原那么 与公司管理制度体系

5、相结合，在公司现有管理体系的根底上，建立部控制管理体系。1 3 4 有效性原那么 在控体系设计过程中考虑了实施的可行性，根据公司运行的实际需要进展体系设计。1 4 主要应用本框架是公司构建良好的控制系统所遵循的根本控制原那么和理论根底， 它适用于任何业务部门和业务流程， 公司及所属各部门应依据本框架所介绍的控制标准建立有关系统和程序，并定期进展审查以确保其足够性和有效性。公司控部有职责就有关控制事项向各职能部门提出意见，希望并鼓励各部门向其寻求意见。管理人员应就任何与控制标准有关的例外情况， 与控部进展书面沟通。 如果业务流程产生了重大变化，或由于出现其他情况而使本框架的某一个或多个程序与实际

6、情况不相符合时，请通知控部。如果需要，公司控部将对例外情况进展调研、备案，并协调解决方法，适时地建议职能部门采用替代的控制程序。1 5 主要容本框架以 COSO 框架与？萨班斯法案？规定为指引进展控体系建立，从控制环境、 风险评估、 控制活动、 信息与沟通和监视等五个要素开场， 对每一个要素再细分为假设干个子要素，全面、 系统地阐述了控体系建立的目标、 方法和标准，以全面、有效地指导公司控体系建立 工作。1 5 1 控制环境1 5 1 1 释义控制环境是指对建立、 加强或削弱特定政策、 程序的效率和效果有重大影响的各种因素。有些是有形的因素，如组织机构、授权、组织业务活动；还有一些是无形的因素

7、，比方员工的能力和诚信、 高层管理人员的道德影响力、 公司管理层与所属人员沟通和推行政策的方式以及影响公司业务的各种外部关系等。1 5 1 2 控制环境的作用营造良好的控制环境是公司生存开展的必要条件。公司管理层所建立的总体控制环境， 对公司部控制的选择和控制效率都具有非常重要的影响。一个健全的管理系统可以帮助创立良好的控制环境， 从而进展有效的控制。 这种环境的特点是关注控制的存在，确保控制的执行，对执行控制持有正确的态度。恶劣的控制环境可能会使一些部控制失效，达不到任何目的，不利于企业目标的实现。1 5 2 风险评估1 5 2 1释义风险是未来的不确定性对公司实现其经营目标的影响， 所有公

8、司无论规模、 构造和行业性质，都面临着诸多来自部和外部的风险，影响公司既定目标的实现。风险评估是指对相关风险进展识别和分析， 是发现和分析那些影响目标实现的风险的过程，是确定如何管理和控制风险的根底。为提升公司管理水平和创造股东价值为目的， 董事会与管理层将精力主要放在可能产生重大风险环节上，而不是所有细小环节上，应将风险管理作为部控制的主要容。1 5 2 2 风险评估的目的由于外部宏观环境（如经济状况、行业状况、法规）和公司部经营状况会不断发生变化，要发现并处理这些变化对有关风险的影响， 必须建立健全一套风险评估制度体系和持续改良的运作机制， 以有效地识别、 分析和管理影响目标实现的相关风险

9、， 提高公司抵御各种风险的能力。1 5 3 控制活动1 5 3 1释义控制活动是确保管理层指令得以执行的政策和程序， 政策和程序是两个不同层面上的构成要素，是针对风险采取的控制措施；同时，控制活动是由董事会、管理层、业务执行部门及公司所属各单位分层次实施的， 以实现公司营运的效率和效果、 财务报告的可靠性、 遵守适用的法律法规的目标。控制活动贯穿于公司的各个层次和部门，一般包括诸如职责分派、授权、批准、记录、查证核对、分析审核经营业绩、资产保护等活动。1 5 3 2 控制活动主要工作容建立健全控制活动制度体系。建立健全经营活动分析及其管理活动分析制度，并按照制度规定开展分析评价活动；控制现状描

10、述与分析， 对关键业务流程进展风险控制分析， 编制分析文档并修改、 完善、补充相关制度；建立关键控制， 进展流程分析， 建立完善的关键控制确实认标准（部控制体系评价标准），确定所有业务流程的关键控制；规期末财务、工程投资、生产运营报告流程，完善相关期末报告制度。1 5 4 信息与沟通1 5 4 1释义信息与沟通是指相关信息以某种形式并在某个时段被识别、 获得和沟通， 以促使员工采取一定的措施或行动履行自己的职责。信息与沟通连接了部控制体系整体框架的其他要素，是有效实施部控制的保障， 直接影响着公司部控制的贯彻执行、 公司经营目标及整体战略目标的实现。1 5 4 2 目的公司管理的最重要的容之一

11、就是决策， 管理行为的重点就是采集、 加工决策所需的信息。信息与沟通包括两个方面， 一是有一套能够支持信息确认、 信息获取和信息交流的系统， 使员工能够按照一定的形式和时间行使职责以及正确编制财务和非财务报告； 二是在公司各个层面对相关信息进展有效的沟通和将其传达给相关的各方，冲突必须得到有效管理和控制，以利于实现公司预定目标。1 5 4 3 公司系统部信息与沟通根底工作组织构造要有利于信息的传递和交流；要建立能有效解决横向部门、上下级之间的冲突与矛盾解决机制；信息沟通应能有效促进公司经营目标的实现。1 5 4 4 信息与沟通必须做好的工作从制度上保证信息沟通体系的建立。 建立健全信息沟通渠道

12、及沟通方式； 完善与信息沟通相关的管理制度，包括：沟通的种类、沟通的渠道、相关部门的职责等。利用计算机信息根底， 提高信息与沟通的管理水平。 结合公司信息化建立， 逐步在整个公司系统形成集中、 统一、完整的计算机应用系统，分级实施，为公司实现网络化经营提供统一平台，提高信息处理和沟通的及时性、高效性，确保生产经营数据的真实性、完整性。完善对外披露事项的管理制度， 包括重大事项判定标准、 报告程序及规披露事项的收集、汇总和披露程序等方面。1 5 5监视1 5 5 1释义为了使部控制系统有效运行， 就需要对部控制系统的建立和实施开展恰当的监视， 通过监视活动，评价部控制系统的效果和质量。包括持续监

13、视、独立评估和控缺陷报告等。1 5 5 2 容持续监视。 建立完善的控体系维护机制、 管理制度及控测试标准， 持续监控控体系的有效性。独立评估。 相关部门定期监视、 评估控体系的有效性。 独立评估的围和频率主要依赖于风险评估和持续监视的有效性。缺陷报告。 建立健全缺陷报告管理机制， 制定缺陷确认标准， 明确向相关管理人员和董事会上报控风险的程序。 部控制的缺陷应自下而上进展报告， 重要事项应报知高层管理人员和董事会。1 6控制的原那么1 6 1 管理权利的分散化在现有的机构和人员条件， 每个部门都应该在营运围尽量发挥其管理职责和授权， 并对结果负完全责任， 不应该过于突出某一个部门的作用或地位

14、， 而导致公司总体控制的不平衡开展。1 6 2 职责的划分对财务资产及有形资产的保管与会计职责进展划分。 任何一个部门或员工都不应该具有控制任何一个重大交易或一组重大交易的权利。1 6 3 文件记录所有营运程序、业务活动和交易都要保存文件证据，目的是为了确定审批和查证职责、提供准确及时的会计记录和报告，提供记录，用于分析和回忆。1 6 4 监管与检查对管理人员和其他员工的工作进展系统、 详细的监管和检查， 有助于确保员工对控制程序的了解和执行。1 6 5 时效性记录、报告和检查是评估业绩过程的一局部，这些工作应该及时地按照方案进展。1 6 6 与风险相关控制程序的设计反映出风险的性质和程度，控

15、制的本钱应该与产生的效益相关。1 6 7 尽量减少控制的相互依赖部控制的每个方面都应该精心组织， 如果任何一个局部出现重大失误， 应该确保不会严重削弱整个系统中其他控制局部的效率。1 7控制的职责1 7 1管理层进展适当、 有效的控制是各部门的重要职责之一， 从最根底的主管开场， 向上一直到公司的管理层，公司控在一种分散化的机构框架中进展。各级管理人员都有职责就控制理念和控制要求与其机构所属的员工进展沟通， 这些管理人员还负责在其机构的营运系统和工作程序中采取充分的控制措施。执行公司政策和程序、 找出需要改变的控制是日常业务主管人员的职责； 公司管理层在各部门的协助下负责对控制系统实施总体监视

16、。1 7 2 部审计公司部审计对部控制系统运作的足够性和有效性进展独立、客观的监视和评价。公司建立了一套报告关系， 确保部审计人员在选择检查围或评估有关工作时， 不受某些机构可能给予的压力的影响，这些报告关系包括直接或间接地与公司高级管理人员沟通。各级管理层有义务对所有在部审计中发现的问题和提出的意见进展评估并采取适当的行为，特别注意对部控制中的缺乏进展纠正。1 7 3 外部审计外部审计人员主要是对公司的综合财务报揭露表意见。审查过程中， 他们有义务报告与其审查的财务报告和资料相关的任何重大部会计控制缺陷。由于外部审计人员对部控制的审查可能局限于一般承受的审计标准， 所以公司的管理人员不能用外

17、部审计人员的审查来完全替代各部门对控制职能的评价。外部审计人员可以对所有他们认为与执行审计工作有关的营运、 记录、 人员和有形财产进展检查。1 7 4 各级员工各级员工都应参与公司控制系统并遵循公司的政策和程序。 在执行工作过程中， 所有员 工都应对现行政策和程序不相符合的情况或交易保持警觉和提出质疑。2 框架根底在控制的过程中， 将公司管理层的目标和要求明确地传到达公司组织的各个方面是非常重要的， 在本局部列出了公司的根本政策， 为确保公司的持续开展提供良好的控制根底和前提条件。2 1公司愿景建立世界一流企业，创立世界一流品牌。2 2 公司使命建立资源节约型、环境友好型企业，为社会提供纯天然

18、、零热量、高品质的“第三代XX 糖源。2 3 公司战略“建立世界一流企业，创立世界一流品牌既是GLG 全体员工的共同愿景，也是企业的战略定位。依靠忠诚的员工队伍， 凭借自身拥有的目前世界最全的集种苗研发、 种植、工业加工、国际市场营销网络于一体的产业链， 依托科学的管理、先进的设备，我们完全可以做到全球产量最大、质量最高、本钱最低，我们坚信，有了这样的核心竞争力，不断加强管理、技术和文化的创新，在注重开展质量、躲避经营风险的前提下，打造以“文化独特化，利益一体化，责任社会化，管理现代化，经营国际化，品牌群众化，产品差异化，优势显著化，竞争正规化为特质的世界一流企业、一流品牌的目标一定能够早日实

19、现。2 4 经营理念诚信为本，规经营，业绩优良，回报股东。作为上市公司，依法合规经营，以诚信的理念和心态主动沟通，真诚面对股东，面对社会，实现对股东的承诺。2 5 企业文化GLG 集团认为：企业文化是企业的灵魂，完美的企业必须有强大的企业文化主导。志在成为世界甜菊糖行业“巨无霸的 GLG 集团应该具备有GLG 特色的企业文化。GLG 文化传承中华民族优秀的传统文化，吸收、借鉴西方现代文明以及人类一切优秀文明成果，崇尚人文关心，追求和谐包容。GLG 倡导“ XX 有意义的人生，奉行“学、诚、勤，和、信、廉，提倡“充满激情而又严谨的工作； GLG 主“学习是一种生活方式，努力打造学习型团队。鼓励员

20、工不断超越自我，追求出色。人文化成，文化兴企。 GLG 将通过企业文化的固化、细化，完善包括精神文化、制度文化、物质文化在的企业文化体系，建立企业文化的各种载体，打造企业文化“软实力，为企业的快速、 XX 、可持续开展提供不竭的动力，并最终造就一大批出色的 GLG 人。2 6 核心价值观忠诚 提升 和谐 诚信在 GLG 文化里， “忠诚首先表现为每一个GLG 员工作为一个社会公民的道德底线：自尊、自重、自爱，奉公守法，遵守公俗良序；其次， “忠诚是作为一个职业人最根本的职业精神。它要求GLG 的每一个成员都必须自觉维护企业利益和企业荣誉：有强烈的责任感，尽职尽责，能充分承当本职工作的经济责任、

21、社会责任和道德责任，公私清楚，不做任何与履行职责相悖的事， 不做有损企业形象和企业信誉的事。 坚决反对和杜绝一切贪污腐败的行为。与此同时， GLG 以构建和谐价值链为己任，与行业、产业的上下游企业和全体员工共同提升。“和谐是GLG 始终不渝追求的目标和集团持续快速XX 开展的保障。 GLG 谋求建立“共融、共享、共赢、共荣的和谐企业，我们要在继承中创新、在创新中开展，不断追求高尚、 不断追求完美、 不断追求人生的更高境界、 不断创造集团更美好的未来。 “和谐 GLG 根本是价值理念高度认同， 不管形势如何变化都始终予以坚持； 和谐的关键是集团高层公正正派， 各级领导在人品上率先垂；和谐的根底是

22、团队动作协调、上下目标统一、企业均衡开展；和谐的保障是工作流程简约而不简单、决策严谨而不繁琐、执行高效而不盲动；和谐的真谛是原那么上坚决、利益上互让、性格上包容。GLG 提倡以实事的精神指导自己的一切行为，坚持说老实话、办老实事、做老实人，以诚待人，光明磊落。言必信，行必果。正确处理义利关系，坚持守法经营，讲究诚信，坚决反对任何吹牛浮夸、弄虚作假的行为。2 7 公司与政府的关系企业与政府是现代社会中两种最有影响力的组织。 GLG 集团认为，企业与政府是主体平等、相互依存的鱼水关系、手足关系， GLG 集团依照法治原那么、高效原那么、平等保护原那么、经济原那么，在与政府权利、义务对等的前提下，依

23、法进展经营活动，同时，注重加强企业的社会形象管理，努力创设有利于企业开展的良好的外部环境。2 8 公司与投资方的关系公司对所有的股东负责， 在董事会领导和监视下进展生产经营活动， 从而向投资方进展合理的回报，实现共同利益与公司持续开展的有机结合。2 9 公司与员工的关系2 9 1 GLG 认为，员工和企业是休戚相关的利益共同体。对 GLG 绝对忠诚是员工的神圣义务； GLG 为忠于公司、 恪尽职守的员工的提升和个人价值的实现提供良好的平台； GLG努力构建和谐企业，建立和谐友爱的 GLG 大家庭；遵守诚信是GLG 集团基业长青的保证。2 9 2 GLG 所有员工在人格上人人平等，在开展时机面前

24、人人平等； GLG 倡导简单而真 诚的人际关系。3 控制环境控制环境是整个部控制框架的根底， 直接影响到部控制的贯彻和执行， 影响企业经营目标和整体战略目标的实现。 公司要公布纪律守那么和政策声明， 支持控环境的构建， 应包含 以下子要素。3 1 公司治理架构公司治理是指股东、 董事会、董事会辖下管理委员会、管理层之间形成的权责分配、约束与鼓励、 权力制衡关系。虽然部控制的贯彻落实是属于部管理措施问题， 但是， 部控制机制设计那么属于公司治理围。3 1 1 股权构造公司应向公众充分披露公司股权构造， 包括披露股东背后的相关利益方， 使股权构造保持透明清晰；大股东不损害小股东的利益；母公司或控股

25、公司股东不通过公司章程外的手段来影响经营者或独立董事的行为；管理层和部持股者不能损害股东的利益。3 1 2 相关利益方的平衡关系每个股东都能按照程序规定参加股东大会，并获得充足的信息；由全体股东参与的股东大会可以控制决策过程；股东应有权益不受到削弱。3 1 3 财务透明度和信息披露财务报表和信息披露容质量能被公众认可；向公众披露的信息及时、清晰完整、容易获取；在公司章程、规章制度中有明确阐述。3 1 4 董事会构造及运作董事会能公正代表股东的利益；董事会选举过程透明，董事本人不参与；董事的薪酬制定程序规，有明确的连任政策；董事会下设立适当的专业委员会，并在董事会闭会期间监视公司的经营状况。3

26、2 管理理念及经营风格管理理念及经营风格表现为管理者的各种偏好， 对公司的部控制效率和效果有深远的影响， 也对员工的道德行为、 行为方式有直接影响， 部控制的有效性无法超越管理者的管理哲学及经营风格， 主要有对承受风险的态度、 是否重视对关键岗位人员的监测或轮换、 对会计账目以及财务报告真实性、可靠性、平安性的态度等。3 2 1 承受风险的程度对高风险领域的投资行为按照制度规定的程序进展分析论证；力求公司的债务和权益比始终保持同行领先水平；在介人新业务前，应在进展仔细的风险和收益分析后才采取行动；制定风险偏好标准和风险容忍度。3 2 2 重视关键岗位人员轮换使用建立物资、会计、技改、工程等岗位

27、人员的轮换制度，并按照规定执行；管理层和监视层人员不应存在过高的更换频率；对关键岗位的员工应有相应的制度或措施保证由于突然离职或意外情况的发生使公司的业务不受影响。3 2 3 管理者对数据的态度管理当局质疑各种根底数据统计、 财务报告的真实性和可靠性， 而且制定制度规数据处理；管理层要重视综合统计分析报告和财务报告；管理层重视预算执行偏差分析报告；重要资产，如包括知识产权和信息被严格地保护，防止未经授权的接触。3 3 组织构造3 3 1 建立原那么组织机构以精简、 高效和应变为原那么而建立， 通过构造优化提高员工的整体素质， 并 且要与公司开展战略规划相匹配。同时考虑以下几个方面：(1)有利于

28、强化责任，确保公司目标和战略的实现；(2)有利于简化流程，快速响应顾客的需求和市场的变化；(3)有利于提高协作效率，降低本钱；(4)有利于信息的交流，促进创新和优秀人才的脱颖而出；(5)有利于培养领导干部，使公司可持续开展。3 3 2 开展原那么组织构造的演变不应当是一种自发的过程， 其开展具有阶段性。 组织构造在一定时期的相对稳定， 是稳定政策、 稳定干部队伍、 稳定员工思想和提高管理水平的条件，是提高效率和效果的保证。3 3 3 权责分配组织构造能满足公司的规划、执行、 控制、 监视活动，日常经营层的设立应满足需要的职能部门， 对重大的投资、财务预决算等决策做好前期工作， 报专业委员会审查

29、， 对具有投资价值的战略工程、再报董事会或股东大会通过。3 3 4 信息沟通和汇报组织机构设置的横向扁平宽度和垂直层次要合理， 使信息沟通和汇报能满足公司日常管理；各业务流程必须在部门之间、上下级单位之间适当分割，使方案、授权、审批、执行、控制、考核评价、监视职能适当别离和牵制，管理业务信息顺畅，兼顾效率和效果。3 3 5 组织构造变化的适应性组织构造会随着环境的变化而变化。 具体包括： 管理人员定期根据变化的业务或行业环境来评价公司的组织构造。3 3 6 员工人数足够配备足够数量的员工， 特别是管理人员。 使管理人员拥有足够的时间来有效地履行职责。同时保证管理人员能够将工作分派给其下属， 防

30、止出现大量加班来完本钱可以由多名员工完成的工作。3 4 诚信与道德价值观3 4 1 道德准那么的制定及推行管理层应该向员工传达诚信与道德标准， 并且必须不折不扣地执行。 员工应该知晓和理解这些规定。管理层应该在言谈和行动的方式中表现出对道德标准一丝不苟的遵循。3 4 2 容道德标准是全面的， 针对利益冲突、 非法或其他不当付款、反不正当竞争准那么、 幕交易等。公司对道德标准进展有效地宣传推广， 建立包括详尽的道德指导并在公司上下沟通程度的指导， 管理层通过一言一行， 在公司围传达一种对诚信与道德观的遵循， 对存在问题的迹象适当地关注。员工知晓什么行为是可承受的， 什么是不可以承受的， 以及当遇

31、到不当行为时应该采取的行动，让员工感觉到被敦促做正确的事情的压力。3 4 3 与利益相关方的关系管理层与员工、供给商、客户、投资者、债权人、保险公司、竞争对象和审计师等进展交往时，是否采用高的道德标准，并且要求其他人同样遵守道德标准。具体包括：与客户、供给商、员工和其他相关方的日常业务建立在老实和公允的根底上。3 4 4 违规处理针对违反政策和道德标准的情况采取适当的措施，具体包括：(1)管理层对违规行为应进展回应。(2)对违规行为会进展纪律处分，处理的原那么和结果应在公司上下进展传达并保持一贯性。(3)员工确信如果违规要承当后果。3 4 5 管理层对干预或逾越既定控制的态度管理层干预是指为了

32、合法的目的而偏离既定的规章和程序的行为。 当出现特殊的和非标准的交易和事件时， 管理层的干预是合理的， 因为没有一个公司在设计部控制时能够考虑所有因素，当特殊情况出现，现有的部控制不适用时，需要管理层采取干预进展处理。而管理层的越权行为那么是指为了不合法的目的而不遵守既定的规定和程序，这是部控制制止的。3 4 6 实现目标的压力绩效目标的制定应是合理的， 绩效考核导向是与公司战略目标和阶段目标相一致的， 特 别是短期目标，工资与绩效目标实现的挂钩程度是合理的。具体包括：(1)不存在偏激的奖惩制度，影响员工对道德标准的遵守。(2)升职和工资不能仅基于短期绩效目标的实现程度。(3)实施控制以减少以

33、其他形式存在的诱惑。3 5 权责分配体系公司部机构之间、 各经办人员之间的科学分工与牵制是控环境的软要素， 做到不相容职务别离，要通过建立制度和工作程序来规完成。以下不相容职务要别离：(1)授权审批职务与执行业务职务要别离；(2)业务经办职务与审核监视职务要别离；(3)业务经办职务与会计记录职务要别离；(4)财产保管职务与会计记录职务要别离；(5)业务经办职务与财产保管职务要别离。3 6 人力资源政策及实施人力资源政策及实务是挽留和补充人才， 保证企业方案实施和目标实现的关键因素， 控 体系要求人力资源政策及实务的标准要求要涵盖人事管理、薪酬管理、候选人考察、违规行为处理及培训管理等方面。3.

34、 6. 1人力资源政策和指引应建立人力资源政策与指引，并由公司管理层审批。现有人力资源政策和程序可以招聘并开展有能力、可信的人员，能够支持有效的部控制系统，并对招聘和培训适宜人员的关注程度是适当的。4. 6. 2员工责任和目标员工应意识到他们的工作职责和公司对他们的期望。5. 6. 3违规行为的纠正措施管理层对工作失职的行为应采取适当的措施，对违反政策的行为有适当的纠正措施。6. 6. 4道德标准的遵从人力资源政策与相应的道德标准一致，诚信和道德价值是员工评价的一项标准。7. 6. 5核查候选人或继任者的背景对频繁更换工作和职业背景相差很大的候选人要仔细核查，雇佣政策要包括对犯罪记录的调查。4

35、风险管理8. 1风险管理容风险管理不是孤立分配给风险管理部门的任务和责任，董事会、公司管理层、公司各职能部门、公司下属各单位都要把风险管理的各项工作融人到企业管理和各项业务流程及其管 理制度中去，重点要做好战略开展、投资收购、财务管理及报告、平安生产、环境和职业 XX、燃料管理、金融产品的交易、法律事务、部审计等的风险管理工作。(1)风险评估的前提条件是设立目标。设立目标是管理过程重要的一局部，它是风险管 理的要素之一，是部控制得以实施的先决条件。(2)识别与上述目标相关的风险。(3)评估上述被识别风险的后果和可能性，划分重要业务单位、流程、资产设备等，一 旦确定了主要的风险因素，管理层就可以

36、考虑它们的重要程度，并尽可能将这些风险因素与业务活动联系起来。(4)针对风险的结果，考虑适当的控制活动。4. 2风险管理目的从组织构造上看，形成三道风险屏障，公司各业务职能部门和公司所属各单位形成第一 道屏障，控职能部门和公司管理层形成第二道屏障，控职能部门和董事会下设的投资及风险控制委员会、审核委员会形成第三道屏障；从管理流程来看，风险管理成为控体系及其制度 体系的主要支撑，形成公司良好的风险管理文化。公司各项管理活动和风险管理应该关联容的参考标准见下表。公司各项管理活动和风险管理应该关联容的参考标准序号管理活动风险管理关联容1确定战略在战略规划过程中运用企业风险管理方法2选择公司和所属公司

37、 的开展目标和阶段性 实施目标在建立目标过程中运用企业风险管理方法3识别风险和分析风险在公司层面和所属公司层面上建立定量的风险偏好和设定风险容忍 度，定义潜在事件；评估风险影响和可能性4管理风险定义、评估风险，列示出重大关键事务排序，制定风险应对措施5控制活动考虑风险管理6信息与沟通考虑风险管理7监视监控公司和所属公司的风险管理要素是否存在及发生的实际作用4. 3风险管理信息的采集公司实行全面风险管理，应持续不断地收集与本公司风险和风险管理相关的部、外部初始信息，包括历史数据和未来预测数据，把收集初始信息的职责分工落实到有关职能管理部门和下属业务单位，必要时，按照效益大于本钱的原那么也可以把某

38、项信息采集工作外包。4. 3. 1战略风险信息采集至少收集以下战略信息，并包含因战略风险导致企业受损失的 案例：(1)国外宏观经济政策以及经济运行情况、本行业状况、国家产业政策；(2)科技进步、技术创新的有关容；(3)市场对本企业产品的需求；(4)与公司战略合作伙伴的关系，未来寻求战略合作伙伴的可能性；(5)本公司主要客户、供给商及竞争对手的有关情况；(6)与主要竞争对手相比，本公司实力与差距；(7)本公司开展战略和规划、投融资方案、年度经营目标、经营战略，以及编制这些战略、规划、方案、目标的有关依据；(8)本公司对外投融资流程中曾发生或易发生错误的业务流程或环节。4. 3. 2财务风险信息采

39、集至少收集以下财务信息(其中有行业平均指标或先进指标的，也应尽可能收集)，并包含因财务风险导致公司危机的案例：(1)负债、或有负债、负债率、偿债能力；(2)现金流、应收账款及其占销售收入的比重、资金周转率；(3)产品存货及其占销售本钱的比重、应付账款及其占购货额的比重；(4)生产本钱和管理费用、财务费用、营业费用；(5)盈利能力；(6)本钱核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节；(7)与本公司相关的行业会计政策、会计估算、与国际会计制度的差异与调节信息；(8)环保费用、政策优惠费用。4. 3. 3市场风险信息采集在市场风险方面，公司应广泛收集国外公司无视市场风险、缺乏

40、应对措施导致公司蒙受损失的案例，并至少收集与本公司相关的以下重要信息：(1)产品的价格及供需变化；(2)原材料、辅助材料等物资供给的充足性、稳定性和价格变化；(3)税收政策和利率、汇率、股票价格指数的变化；(4)潜在竞争者、竞争者及其主要产品情况。4. 3. 4运营风险信息采集在运营风险方面，应至少收集与本公司、本行业相关的以下信息：(1)资产构造、产品构造、设备先进程度、设备 XX状态、能耗；(2)新工程的市场营销策略，包括产品定价与销售渠道，市场营销环境状况等；(3)公司组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识构造、专业经历；(4)质量、平安、环保、信息

41、平安等管理中曾发生或易发生失误的业务流程或环节，相应的经历反响；(5)因公司、外部人员的道德风险致使公司遭受损失或业务控制系统失灵；(6)对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改良能力；(7)公司风险管理的现状和能力；(8)给公司造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险。4 3 5 法律风险信息采集公司应广泛收集国外公司无视法律法规风险、缺乏应对措施导致公司蒙受损失的案例，并至少收集与本公司相关的以下信息：(1)国外与本公司相关的政治、法律环境；(2)影响公司的新法律法规和政策；(3)员工道德操守的遵从性；(4)本公司签订的重大协议和有关贸易合同；(5)本公司

42、发生重大法律纠纷案件的情况；(6)公司和竞争对手的知识产权情况。4 3 6 对收集的初始信息应进展必要的筛选、提炼、比照、分类、组合，以便进展风险评估。4 4 风险评估公司对采集的风险管理信息和公司各项业务管理及其重要业务流程进展风险评估， 风险评估包括风险辨识、 风险分析、 风险评价三个根本环节， 风险评估结果要在各项业务管理中充分应用。风险评估的控标准参考如下：(1)公司层面应综合考虑组合风险，全面评估风险，风险评估应由公司组织有关职能部门和业务单位实施，也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。(2)风险辨识是指查找公司各业务单元、各项重要经营活动及其重要业务流程中有

43、无风险， 有哪些风险。 风险分析是对辨识出的风险及其特征进展明确的定义描述， 分析和描述风险发生可能性的上下、风险发生的条件。风险评价是评估风险对公司实现目标的影响程度、风险的价值等。(3)进展风险辨识、分析、评价，应将定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比拟、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论、计算机模拟、失效模式与影响分析、事件树分析等方法。(4)进展风险定量评估时，应统一制定各风险的度量单位和风险度量模型，并通过测试等方法，确保评估系统的假设前提、 参数、数据来源和定量评估程序的合理性和准确性。要

44、根据环境的变化， 定期对假设前提和参数进展复核和修改， 并将定量评估系统的估算结果与实际效果比照，据此对有关参数进展调整和改良。(5)风险分析应包括风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进展统一集中管理。(6)公司在评估多项风险时，应根据对风险发生可能性的上下和对目标的影响程度的评估，绘制风险坐标图，对各项风险进展比拟，初步确定对各项风险的管理优先顺序和策略。(7)公司应对风险管理信息实行动态管理，定期或不定期实施风险辨识、分析、评价，以便对新的风险和原有风险的变化重新评估。4 5 风险管理策略风险管理策略，指公司根据自身条件和

45、外部环境，围绕公司开展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承当、风险躲避、风险转移、风险转换、风险对冲、 风险补偿、 风险控制等适合的风险管理工具的总体策略， 并确定风险管理所需人力和财力资源的配置原那么。4 5 1 风险管理的应对策略选择公司应考虑所有评估出的高风险(比例应占10 -20 )的风险反响方案，为风险反响方案的选择提供广泛的空间，特别是对战略、财务、生产运营和法律风险，应采取风险承当、风险躲避、风险转换、风险控制等方法。4 5 2 制定风险预警线(容忍程度 )(1)公司应根据不同业务特点统一确定风险偏好和风险承受度，即公司愿意承当哪些风险， 明确风险的最低

46、限度和不能超过的最高限度， 并据此确定风险的预警线及相应采取的对年策。(2)确定风险偏好和风险承受度，要正确认识和把握风险与收益的平衡，防止和纠正无视风险，片面追求收益而不讲条件、围，认为风险越大、收益越高的观念和做法；同时，也要防止单纯为躲避风险而放弃开展机遇。4 5 3 风险管理实施保障(1)公司应根据风险与收益相平衡的原那么，进一步确定风险管理的优选顺序。(2)明确风险管理本钱的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。4 5 4 优化改良公司应定期总结和分析已制定的风险管理策略的有效性和合理性， 结合实际不断修订和完善。 其中， 应重点检查依据风险偏好、 风险承受度和

47、风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。4 6 风险应对措施公司应根据风险管理策略， 针对各类风险或每一项重大风险制定风险管理解决方案。 方案一般应包括风险解决的具体目标， 所需的组织领导， 所涉及的管理及业务流程， 所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如关键风险指标管理、损失事件管理等)。公司制定风险管理解决的外包方案， 应注重本钱与收益的平衡、 外包工作的质量、 自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等， 并制定相应的预防和控制措施。公司制定风险解决的控方案， 应满足合规的要求， 坚持经营战略与风险

48、策略一致、 风险控制与运营效率及效果相平衡的原那么， 针对重大风险所涉及的各管理及业务流程， 制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。4 6 1 关键岗位授权和审批(1)建立关键岗位授权制度。对控所涉及的各岗位明确规定授权的对象、条件、围和额度等，任何组织和个人不得超越授权做出风险性决定。(2)建立控批准制度。对控所关注的重要事项，明确规定批准的程序、条件、围和额度、必备文件以及有权批准的部门和人员及其相应责任。4 6 2 控报告建立控报告制度。明确规定报告人与承受报告人，报告的时间、容、频率、传递路线、负责处理报告的部门和人员

49、等。4 6 3 明确控责任建立控责任制度。 按照权利、 义务和责任相统一的原那么， 明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度。4 6 4 审计监视建立控审计监视制度。结合控的有关要求、方法、 标准与流程，明确规定审计监视的对象、容、方式和负责审计监视的部门等。4 6 5 考核评价建立考核评价制度。条件具备时应把各业务单位风险管理执行情况与绩效薪酬挂钩。4 6 6 风险预警建立重大风险预警制度。 对重大风险进展持续不断的监测， 及时发布预警信息， 制定应 急预案，并根据情况变化调整控制措施。4 6 7 法律风险防(1)建立健全以总法律参谋制度为核心的公司法律参谋制度。(2)大

50、力加强公司法律风险防机制建立，形成由公司决策层主导、公司总法律参谋牵头、公司法律参谋提供业务保障、全体员工共同参与的法律风险责任体系。(3)完善公司重大法律纠纷案件的备案管理制度。4 6 8 业务流程分割对控关注的高风险业务流程切割， 分配给不同的主体承办， 建立重要岗位权力制衡制度，明确规定不相容职责的别离。主要包括授权批准、战略、投资、付款、合同采购、工程等业务经办、会计记录、财产保管和稽核检查等职责。对控所关注的重要岗位可设置一岗双人、双职、 双责， 相互制约； 明确该岗位的上级部门或人员对其应采取的监视措施和应负的监视责任；将该岗位作为部审计的重点等。4 6 9 风险应急预案应制定定期

51、对高风险工程、重要管理岗位、资金流通环节、平安 XX 环境保护、灾害事故、生产危机、群体事件、资本市场公众信任危机等的应急预控方案。针对以上所列应急预控方案，在必要时组织应对演练，并落实责任分工。4 7 风险管理的监视与改良公司应以重大风险、 重大事件和重大决策、 重要管理及业务流程为重点， 对风险管理初始信息、 风险评估、 风险管理策略、 关键控制活动及风险管理解决方案的实施情况进展监视，采用适当的方法对风险管理的有效性进展检验，根据变化情况和存在的缺陷及时加以改良。选定某一风险反响方案后， 管理者应在残存风险的根底上重新评估风险， 即从公司总体的角度、 或者组合风险的角度重新计量风险。 各

52、行政部门、 职能部门或者业务部门的管理者应采取一定的措施对该部门的风险进展复合式评估并选择相应的风险反响方案。4 7 1 风险管理信息沟通渠道公司应建立贯穿于整个风险管理根本流程， 连接各上下级、 各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监视与改良奠定根底。4 7 2 风险管理自我评估公司各有关部门和业务单位应定期对风险管理工作进展自查和检验， 及时发现缺陷并改良，其检查、检验报告应及时报送公司风险管理职能部门。4 7 3 风险管理控评估监视公司风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进展检查和检验， 要根据本手册对风险管理

53、策略进展评估， 对跨部门和业务单位的风险管理解决方案进展评价， 提出调整或改良建议， 出具评价和建议报告， 及时报送公司总经理或其委托分管风险管理工作的高级管理人员。5 控制活动5 1 实施控制活动的根本要求5 1 1 控制活动的分类部控制的组合方式或者分类形式，按照控制目标为标志，划分为会计控制和管理控制。5 1 1 1 会计控制局部，包括为保证与财务记录的完整性、客观性以及保证到达授权、会计核算和资产保护的目的而制定的控制标准。会计控制的重要性：(1)公司管理控制系统是一个完整的系统，包括公司运作的各个方面，因此，这个系统包括多种类型的控制， 但各主要要素之间的关系十分密切。 一方面， 会

54、计控制依赖于系统许多其他局部的运作。另一方面，许多营运控制也依赖于确保财务信息准确的会计控制。(2)许多控制行为都是围绕财务管理而建立的，或者最终与财务管理相关联，所以会计控制在部控制系统中扮演着十分重要的角色，对公司的经济资源进展控制。5 1 1 2 管理控制是公司管理层为实现其经营目标，保证国家法律和公司各项政策、程序的贯彻实施， 保护公司财产的完整以及财务和其他各种经济信息的准确、 及时、 可靠，保证平安生产，通过建立及不断优化组织机构， 合理分责和授权，在必要的制度、程序和外部审计的监视下，使各功能单位相互协调、相互制约，有效运作的一种手段。5 1 2 控制目标控制目标既是管理经济活动

55、的根本要求， 又是实施部控制的最终目的， 也是评价部控制的最高标准。 在实际工作中， 管理人员和审计人员总是根据控制目标建立和评价部控制系统。因此， 设计部控制， 首先应该根据经济活动的容特点和管理要求提炼部控制目标， 然后据以选择具有相应功能的部控制要素，组成该控制系统。5 1 3 实施有效的控制活动控制活动是公司为实现其经营目标而执行过程的一局部。 通常包括两个要素： 确定应该做什么的一个政策和影响该政策的一系列程序。每个主体都有其自己的一套目标和执行目标的方法， 因此， 其子目标、 构造和相关的控制活动也会不同。 即使两个公司有同样的目标和构造， 由于每个公司的管理人员都不同， 不同的管

56、理人员在影响部控制时使用不同的个人判断，他们的控制活动也很可能不同。而且，控制活动还会受公司所处的环境和行业、公司的复杂性、公司的历史和文化的影响。实施有效控制活动应至少做好以下工作：(1)职责分派：一项经济业务的发生，其授权、批准、执行、记录等从头到尾由一个部门或一个人办理时， 其发生错误或非法行为的概率趋于增大， 因此两项及以上的功能必须分派。(2)适当授权：授权分类有一般授权和特殊授权两种；授权构造包含围、权限、程序、责任 4 项容； 授权主要类别有资金审批授权、 合同签订授权、 业务处理授权、 价格制订授权、资产与信息接触授权。 特别指出授权与批准的区别： 授权是对一般交易或特殊交易的

57、政策性制度决策；批准是对公司授权制度的具体执行。(3)接触控制：要对实物与信息的接触控制，一般具体地指实物资产、会计文件、人事文件、经营战略规划、技术及商务、计算机设备、程序和数据等。(4)文档记录：重要过程要被记录，形成文档(纸质和电子)，具体表现形式应根据业务容不同而不同，可以是会议纪要、 会计账簿等。 形成文档需要进展控制描述， 也就是将实施的控制活动以文字形式表达出来。 一个较完整的控制描述应当包括以下五个要点： 谁做( 岗位)?做什么?怎样做?何时做?留下什么证据(记录、表单、报告等)?(5)经营活动分析评价：要建立经营管理活动分析评价制度，定期开展经济活动分析和管理活动分析，分析评

58、价运行的效率和效果、财务报表的可靠性、法律法规的遵循性。(6)预算管理和绩效评价：根据战略规划，制定中长期开展方案，实施全面预算管理。在控制活动中， 公司及所属各单位要全面突出强化预算管理体系， 实行责任本钱核算与分析。应事先核定各单位及各部门的本钱构成和业绩目标， 并给出预算指标， 定期根据本钱容进展本钱的计算和绩效分析与考核， 这对完成绩效考核、 降低管理本钱， 提高管理效率有重要的作用。(7)独立稽核：要实施有效的审计、监视，确保数据真实可行，能有效支持生产经营的管理和决策。 重点强调与财务报表和附注的真实性和准确性有关的控制； 防止舞弊、 欺诈行为的控制；资产平安的控制。(8)确定重要

59、或关键控制点：找出重点工作，并对关键控制点进展定期评价，提高经营效率和效果。5 2 建立预算管理和经营活动分析评价制度在控制活动中， 公司以及各单位要突出强化全面预算管理体系， 实行责任本钱核算与分析， 开展经营活动分析。 在公司层面的控制中， 实施全面预算管理和经营活动分析是最重要的一种控制， 所以要建立全面预算管理和经营活动分析评价制度， 形成闭环控制。 经济活动分析侧重于行业、战略、燃料、产出、投入、利润、基建投资、财务情况分析，即阶段性经营成果和影响成果的因素分析。 重点对财务报表中影响利润指标的价格因素、 销量因素、 本钱因素及其他费用的变化进展分析，同时对财务报表的真实性进展核实等

60、。5 3 期末财务报告流程考虑到其对于财务报告工作和财务报表的重要性， 期末财务报告流程始终是一个重要的业务流程。 因此， 在对于财务报告的部控制进展整体评估时， 针对期末财务报告流程的控制设计和运行有效性进展评估是一个重要的步骤。5 3 1 期末财务报告流程的容期末财务报告流程主要包括以下几个方面的容：(1)用于保证交易总额数据及时准确输入总账系统的程序；(2)用于初始化、授权、记录和处理总账系统中的分录的流程；(3)其他用于记录对年度和季度会计报表进展的经常性和非经常性调整的程序，例如：合并调整，报告的合并以及分类等；(4)用于编制期末财务报表前的关账流程；(5)编制年度和季度会计报表和相关信息披露的程序。5 3 2 期末财务报告流程的评估围期末财务报告流程的评估围主要包括：(1)公司出具年度和季度会计报表时所涉及的自动和人工数据输入、执行的程序以及输出程序；(2)信息技术在期末财务报告流程的每个局部的有效利用程度；(3)管理层的参与人员；(4)涉及的经营单位的数量；(5)调整账目类型；(6)包括管理层、董事会以