内部控制管理办法及内部控制标准.docx

内部控制管理办法及内部控制标准管理原则XX股份的内部控制建设和评价遵循应以下六个原则：1.4.1.合法合规原则：内部控制满足企业内部控制基本规范规定，符合国家法律法规和相关政策的要求。1.4.2.全面性原则：内部控制应当贯穿决策、执行和监督全过程，覆盖公司及所属单位的各种业务和事项，并涵盖内部控制五项要素。1.4.3.重要性原则：内部控制应当在全面控制的基础上，以风险评估为基础，确定重点关注的业务单元、重要业务领域或流程环节。1.4.4.一致性原则：采用基本一致的内部控制标准和评价方法，保证建设实施的规范性和监督检查的可比性。1.4.5.成本效益原则：以适当的成本实现有效的控制，降低控制成本，改进控制方法和手段，提高效率。1.4.6.统一管理，分级负责原则：在XX股份总部的统一领导下，按照集中、分层、分类管理的模式，各部门、各业务单位在其职责范围内负责落实具体内部控制工作，确保XX股份内部控制整体目标的实现。1.5.术语定义1.5.1.本办法所称的内部控制是由公司董事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制五项要素主要包括内部环境、风险评估、控制活动、信息与沟通、内部监督等。1.5.2.内部控制的目标是合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进公司实现发展战略。1.5.3.内部控制标准，是针对公司面临的可控风险而提出的控制性要求，是各部门和各业务单位在日常管理、业务活动中须遵照执行的基本标准和自我检查的基本依据，也是内部控制评价的依据。内部控制标准需通过制度、流程的设计和具体执行予以落实。1. 5.4.内部控制评价，指公司对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。2.组织机构与职责2. 1.组织机构XX股份内部控制管理组织体系包括董事会、总经理办公会、风险管理委员会、内控评价委员会、风险管理部、审计部、各职能部门、各业务中心和下属业务单位。董事会负责公司内部控制的建立健全和有效实施，可委托下设的审计委员会负责审查公司内部控制、监督内部控制的有效实施和内部控制自我评价情况、协调内部控制审计及其他相关事宜等。总经理办公会负责组织领导公司内部控制的日常运行。风险管理委员会是负责公司内部控制建设的专业委员会，向总经理办公会负责并报告工作。内控评价委员会负责组织公司内部控制评价工作，向总经理办公会负责并报告工作。风险管理委员会与内控评价委员会相互独立又相互配合。风险管理委员会负责内部控制建设和日常运行工作，确定内部控制标准。内控评价委员会负责评价内部控制健全性和运行有效性，督促管理层解决内部控制存在的问题,并将整改情况反馈至风险管理委员会。风险管理部是内部控制建设工作的归口管理部门，负责XX股份内部控制体系建设工作的组织协调和管理。审计部是内部控制评价工作的归口管理部门，负责XX股份内部控制体系评价工作的组织协调和管理。XX股份总部职能部门、业务中心和下属业务单位是内部控制运行的执行机构，负责本部门、本中心、本单位内部控制的建设、实施、维护工作。2. 2.总经理办公会的内部控制管理主要职责是：2. 2.1.审核XX股份内部控制建设总体目标和规划，并报董事会批准。2. 2.2.审核XX股份内部控制管理组织机构设置及职责方案，并报董事会批准。2. 2.3.审核并批准XX股份内部控制评价方案。2. 2.4.审核XX股份内部控制自评价报告，并报董事会批准。2. 2.5.了解、掌握XX股份内部控制管理工作进展情况。2. 2.6.决策XX股份内部控制管理的其他重大事项。2. 3.风险管理委员会的内部控制管理主要职责是：2. 3.1.审核XX股份内部控制建设总体目标和规划。2. 3.2.审核股份有限公司内部控制管理办法。2. 3.3.审核并批准XX股份内部控制标准修订内容。2. 3.4.组织、协调本办法、内部控制标准和规划的落实，推动XX股份内部控制体系的良好运行。2. 3.5.对审计部拟提交的XX股份内部控制自评价报告提出意见。2. 3.6.协调XX股份内部控制体系建设相关的重大事项。2. 3.7.指导协调XX股份下属业务单位的内部控制管理工作，并监督其执行效果。2. 3.8.完成董事会、总经理办公会交办的其他相关工作。2. 4.内控评价委员会的内部控制管理主要职责是：2.4. 1.审核股份有限公司内部控制评价办法。2. 4.2.审核XX股份内部控制评价方案。2. 4.3.协调内部控制评价过程中的重大事项。2. 4.4.了解、掌握内部控制评价情况，确认内部控制缺陷，并向总经理办公会汇报。2. 4.5.审核内部控制缺陷整改计划，并监督整改落实情况。2. 4.6.审核XX股份内部控制自评价报告，并征求风险管理委员会的意见。2. 4.7.指导协调XX股份下属业务单位的内部控制评价工作。2. 4.8.完成董事会、总经理办公会交办的其他相关工作。2.5. 风险管理部的内部控制管理主要职责是：2. 5.1.负责对XX股份内部控制体系建设进行规划，并组织实施。2. 5.2.负责发起修订股份有限公司内部控制管理办法。2. 5.3.组织审核职能部门、业务中心、下属业务单位提交的内部控制标准更新申请，协调相关部门对跨专业的内部控制标准的更新提出专业意见。2. 5.4.负责推动本办法及xx股份内部控制标准的落实工作。2. 5.5.根据XX股份年度风险评估结果，确定年度内部控制工作重点。2. 5.6.负责组织内部控制相关知识培训。2. 5.7.负责指导、监督XX股份内部控制建设和管理工作。2.6. 审计部的内部控制管理主要职责是：2. 6.1.负责制定、修订股份有限公司内部控制评价办法。2. 6.2.组织、协调业务中心和下属业务单位审计部门对XX股份内部控制评价办法的更新提出专业意见。2. 6.3.负责拟定XX股份年度内部控制评价方案，并组织实施。2. 6.4.负责汇总分析内部控制评价结果，跟踪内部控制缺陷的整改落实情况。2. 6.5.负责内部控制缺陷的认定，组织编写XX股份内部控制自评价报告。2. 6.6.负责指导、监督和检查XX股份下属业务单位开展的内部控制评价工作。2. 6.7.配合、协调和沟通外部审计师内部控制审计工作事宜。2. 7.职能部门的内部控制管理主要职责是：2. 7.1.按照XX股份内部控制建设与评价工作的总体布署，确定本部门内部控制管理工作。2. 7.2.负责依据XX股份内部控制标准和管理实际，对本部门职责范围内的制度进行梳理，落实内部控制基本要求，建立内控标准和制度对应关系,并检查相关制度执行情况。2. 7.3.按照XX股份风险评估工作要求进行风险评估，根据评估结果和实际经营变化情况，对本部门职责范围内的内部控制标准提出更新申请，并报风险管理部审核。2. 7.4.负责开展本部门职责范围内的内部控制自我检查工作，配合审计部开展内部控制评价工作。2. 7.5.负责落实本部门职责范围内的内部控制缺陷整改工作，并检查整改效果。2. 7.6.指导、监督和检查下级专业部门的内部控制管理工作。2. 8.各业务中心和下属业务单位的内部控制管理主要职责是：2. 8.1.按照XX股份总部的统一布署，建立和完善本单位的内部控制体系建设和评价工作。2. 8.2.依据XX股份总部内部控制管理组织机构设置和职责要求，设置本单位的内部控制管理组织体系。2. 8.3.落实XX股份内部控制管理办法，做好内部控制相关制度的承接工作，建立内部控制标准和制度对应关系。2. 8.4.依据XX股份内部控制标准，梳理本单位相关业务流程和制度,并检查相关制度执行情况。2. 8.5.按照XX股份年度内部控制评价工作要求，组织、协调本单位年度内部控制评价工作，并落实本单位内部控制缺陷整改工作。2. 8.6.组织、协调本单位内部控制其他管理工作，并做好监督检查。3.内部控制体系框架建立健全有效的内部控制体系是XX股份全面风险管理体系的重要组成部分，内部控制是风险管理的一种手段和方式，通过内部控制将可控风险控制在可接受的程度内。XX股份的内部控制体系以企业内部控制基本规范及其配套指引为依据，以管理和业务流程为主线，按照以下五项基本要素建立健全内部控制体系。3. 1.内部环境：内部环境是公司内部控制体系的基础，支配企业全体员工的内控意识，影响全体员工实施控制活动和履行控制责任的态度、认识和行为，涵盖公司治理架构、机构设置、权责分配、管理层经营理念、员工职业道德、企业文化等。3. 2.风险评估：指按照一定程序和方法辨识和分析与目标实现有关的风险过程，制定相关控制措施。3. 3.控制活动：运用相应的控制措施，将风险控制在可接受的程度之内，包括岗位职责分离、授权审批、验证核对、绩效考核、预算管理等。3. 4.信息与沟通：及时、准确、完整地收集、加工、整理决策所需的内部控制相关信息并有效传递，是管理活动的重要组成部分。3. 5.内部监督：公司对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，改善内部控制体系。上述内容以“xx股份内部控制标准”的形式体现。内部控制标准的框架参见附件一“XX股份内部控制标准框架表”。内部控制标准具体内容参见附件二“XX股份内部控制标准”。4.内部控制体系的日常运行管理4.1. 内部控制集中、分层、分类管理内部控制体系的日常运行按照“集中、分层、分类”的管理模式，从内部控制体系的设计和执行两方面，不断改进和完善。4. 1.1.集中管理XX股份总部统一领导内部控制体系建设和评价工作，制定和推动实施内部控制建设蓝图，统一制定和维护内部控制标准和内部控制评价方法，统一组织内部控制评价工作等。4. 1.2.分类管理(1)根据XX股份总部各职能管理部门的职责，对内部控制标准的内容实行分类管理。内部控制标准的具体内容分为若干类别，每一类别有一个主要负责部门。XX股份总部内部控制标准框架内容与主要负责部门的对应关系，参见附件三“xx股份总部内控主责部门列表”。(2) XX股份总部各内部控制标准的主要负责部门，主导与本部门所负责的内部控制标准相关的内部控制制度流程的设计、执行工作和内部控制标准实施情况的自我检查工作。(3)各业务中心、下属业务单位应参照XX股份总部分类管理方式,并结合本单位的具体业务和管理工作，建立内部控制标准框架内容与主要负责部门的对应关系，落实相关工作。4. 1.3.分层管理(1)各层级的组织都应按照上级组织的要求，开展本层级的内部控制体系建设工作。(2)各级风险管理部门负责牵头组织本层级的内部控制标准的实施和维护工作。(3)各级审计部门负责完成本层级的内部控制自评价工作，在XX股份审计部的统一安排下开展相应的内部控制抽查工作。4. 2.内部控制标准的维护4. 2.1.内部控制标准的维护流程4. 2.1.1.当发生下列事项时，应修订和完善内部控制标准：(1)国家相关法律法规、规章制度、行业从业规定、监管部门要求等发生变化。(2)战略调整、组织机构、管理职责等内部环境发生调整变化。(3)新业务的实施、业务管理要求发生变化。(4)根据风险评估结果，重大风险和重要风险发生变化。(5)发生内部控制重大失控事件。(6)其他事项。4. 2.1.2.内部控制标准的修改申请、审核、批准、更新程序。(1)提出修改申请：在4.2.L1所述事项发生时，XX股份总部相关职能部门、各业务中心及直属单位内控主责部门应在其管理范围内及时向XX股份风险管理部提出修改申请。修改申请应对修改事项、修改原因和修改意见进行说明解释。修改申请单格式参见附件四。 每年，XX股份风险管理部发布内部控制标准修改意见征询函，XX股份总部相关职能部门、各业务中心及直属单位内控主责部门应按要求报送修改意见及相关说明。(2)审核、批准修改申请： 每年，XX股份风险管理部牵头组织相关内控主责部门，对报送的内部控制标准修改意见的合理性和必要性进行审核，并报XX股份风险管理委员会审核和批准。（3）更新与发布：在XX股份风险管理委员会审核和批准后，XX股份风险管理部负责内部控制标准的统一更新与发布。涉及管理制度的修改或补充由制度归口部门负责，并按股份有限公司制度管理办法执行。 .2.2.特殊情况（1）各业务中心、下属业务单位可根据本单位需要，对XX股份发布的内部控制标准进行细化，细化的内部控制标准应向XX股份风险管理部备案。（2）针对特殊业务，内部控制标准若不适用于该业务实际情况，该单位风险管理部门可组织协调本单位相关专业部门，制定满足特殊业务需求的内部控制标准，并向XX股份风险管理部备案。（3）针对特定经营单位（如小规模、或条件限制），内部控制标准若不适用于该单位实际情况，该单位可作出相应解释说明，选择备选方案，并向XX股份风险管理部备案。（4）对采取备选方案的单位，XX股份风险管理部不定期地跟踪检查其内部控制执行情况。4.3.实施内部控制标准与其他工作的结合4.3.1.与风险管理工作的结合（1）XX股份风险管理部根据XX股份年度风险评估结果，针对重大风险和重要风险，确定下一年度XX股份内部控制管理重点和监督的重点领域、业务流程。(2)各层级单位的风险管理部门按照XX股份相关要求，根据本单位年度风险评估结果，确定本单位下一年度内部控制管理重点和监督的重点领域、业务流程。4. 3.2.与内部控制评价工作的结合(1)根据上一年度内部控制评价工作发现的内部控制缺陷，XX股份风险管理部应协同总部相关职能部门，定期跟踪检查涉及部门和下属业务单位的整改落实情况，以及下一年度的内部控制工作重点和要求。(2)各层级单位的风险管理部门按照XX股份相关要求，协同本单位相关部门，定期跟踪检查本单位内部控制缺陷整改落实情况。(3)对于属于需修订内部控制标准的，应按照内部控制标准维护流程对内部控制标准进行修订完善。5.内部控制监督与评价5. 1.内部控制监督5. 1.1.XX股份风险管理部及各职能部门在各自职责范围内开展内部控制监督工作，监督工作由日常监督和专项监督构成。日常监督是指对建立与实施内部控制的情况进行常规、持续的监督检查。专项监督是指在公司发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。5.1.2. 监督内容为实现控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等要素。5.1.3.监督的工作应关注：（1）政策影响、管理薄弱、业务复杂、高危作业等重点部门、单位和项目。（2）重要业务流程的关键内部控制要求的控制措施制定及执行情况、不相容职权分离、反舞弊等。（3）公司组织结构、经营活动、业务流程、关键岗位等发生较大调整或变化。（4）内部控制的组织建设情况、组织协调能力等。（5）内部控制评价发现的重大和重要内部控制缺陷的整改情况。5.1. 4.应综合运用个别访谈法、比较分析法、调查问卷法、抽样法、专题讨论会等，对内部控制建立和运行情况进行监督。135.1.5. 各业务中心、直属单位应按照XX股份统一要求，监督本单位内部控制建立和运行情况。5.1.6. 监督工作应明确监督的重点、范围、程序及方法等。监督结果应定期形成书面监督工作总结报告，说明监督的内容、范围、方式、检查的情况、意见说明等。监督工作总结报告应向XX股份风险管理部和审计部备案。5.2.内部控制评价5.2.1.内部控制评价工作参照股份有限公司内部控制评价办法执行。5.3.激励与约束措施5.3.1.内部控制考核结合内部控制建设、监督和内部控制评价工作，对内部控制工作进行考核。内部控制考核工作应充分体现过程控制。5.3.1.1.考核主体由XX股份风险管理部和审计部联合组织相关职能部门，对内部控制工作进行考核。5.3.1.2.考核对象对各业务中心、直属单位的内部控制工作进行考核。5.3.1.3.考核周期内部控制考核为年度考核，于每年末开始，至次年初结束。5.3.1.4.考核内容内部控制考核是对被考核单位的内部控制工作组织、制度健全性、制度执行有效性、内部控制评价等情况的综合考核，考核按照附件五内部控制考核基本评分标准进行综合评价。考核结果由高到低分为A、B、C、D四个等级。考核结果与对应评分级别如下：评价类型评价级别考核得分优秀A85分-100分良好B70-84分合格C60分-69分较差D60分以下5. 3.1.5.考核的结果与反馈（1）内部控制工作考核结果上报XX股份风险管理委员会审核、总经理办公会批准。内部控制工作考核结果可纳入股份公司年度业绩考核工作中。（2）考核结果作为XX股份对各业务中心、直属单位进行管理授权、资源配置等的重要依据。（3）考核结果按照分级管理原则，逐级反馈。反馈内容包括考核分数、结果等级、改进意见和工作期望等。6. 3.2.处罚被确认存在重大舞弊行为导致公司利益受损，以及其他内部控制重大缺陷、导致外部审计师对公司内部控制有效性出具否定意见的，由XX股份管理层做出处罚决定。7. .附则6.1.本办法由XX股份风险管理部、审计部负责解释。6.2.本办法自颁布之日起实施，在下一次修订前有效。