|
内 部 控 制 手 册(试行) V1.0 ××××股份有限公司 2023年1月1日 目 录 发布令 第一章 总则 第一条 前言 第二条 内控手册编制目的和原则 第三条 内控手册结构和组成 第四条 内控手册编制依据 第五条 内控手册的适用范围和管理 第二章 内部控制体系的管理架构、职责和权限 第六条 管理架构 第七条 职责和权限 第三章 公司层面的内部控制 第一节 公司层面的内部控制包括内容 第二节 内部环境 第八条 组织架构 第九条 权责分配 第十条 发展战略 第十一条 人力资源 第十二条 社会责任 第十三条 企业文化 第三节 风险评估 第十四条 控制目标 第十五条 控制要求 第四节 信息与沟通 第十六条控制目标 第十七条 控制要求 第五节 内部监督 第十八条 控制目标 第十九条 控制要求 第四章 业务层面的内部控制 第二十条 业务层面控制的方法 第二十一条 控制活动分类 第二十二条 业务流程图 第二十三条 风险控制矩阵 第五章 权限管理 第二十四条 权限说明 附件1:公司业务分类全景图 颁布令 为了进一步规范公司的内部控制,提高公司经营管理水平和风险防范能力,促进公司可持续发展,确保公司各项管理工作处在规范、有序、受控状态下运行,企管部组织编制了《内部控制手册》(试行),本手册相关内容经董事会审议批准,自发布之日起正式实施。 本手册为公司内部控制体系建设、运行、维护等方面提供了指引,是公司管理经验的沉淀和提炼,是公司建设和实施内部控制体系的纲领性文件,全体员工必须认真贯彻实施,并严格遵照执行。各部门和分子公司在使用过程中发现问题,及时向企管部反馈和咨询。 本手册自2023年1月1日起执行。 董事长:××× 2023年1月1日 第一章 总则 第一条 前言 为规范公司经营管理行为,提高公司的内部管理水平和风险防范能力,促进建立健全以风险管理为导向的各项管理制度,保障公司合法有效地实现发展目标,符合外部监管要求,提升内部控制的健全性和有效性,切实落实内控责任,企管部组织编制形成《内部控制手册(试行)》(以下简称“内控手册”)。 第二条 内控手册编制的目的和原则 通过内部控制体系的建立与实施,进一步优化公司内部业务流程,完善公司经营管理制度,保证公司的经营管理合法合规、资产安全、财务报告及相关信息的真实完整,提高经营效率和效果,最终促进公司发展战略的实现。 本内控手册作为建立、实施内部控制的重要依据,确保各级人员从思想上提高内控意识,内控手册遵循下述原则: 合规性原则:内部控制必须符合国家的法律、法规和政策;符合上交所有关上市公司的要求。 全面性原则:内部控制应当贯穿决策、执行和监督全过程,覆盖公司总部及所属分子公司的各种业务和事项,涉及全体员工。既要对其负责的工作实施控制,又要受到其他人员或制度的监督与制约。 系统性原则:公司构建系统的内部控制,确保各部门和各岗位均能按特定的目标相互协调发挥作用,最终实现公司内部控制的总体目标。 重要性原则:内部控制应当在全面控制的基础上,关注公司战略决策、重要业务事项和高风险领域。 制衡性原则:内部控制应当在治理结构、架构设置及权责分配、业务流程等方面相互制约、相互监督,使一个岗位或一个部门对一项或多项存在较大风险的经济业务活动没有完全的处理权,必须经过不相容的其他岗位或部门的验证、核对和制约。 适应性原则:内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。 成本效益原则:内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。努力降低控制成本,改进控制方法和手段,提高效率。 第三条 手册的结构和组成 以财政部《企业内部控制基本规范》为基础,制定了一系列内部控制制度和流程,进一步明确了公司内部控制的要求、将内控责任分层次落实到部门、岗位,形成了全面、系统的内部控制体系。具体内容包括总则、管理架构、职责和权限、公司层面的控制、业务层面的控制、权限管理及附件共五个章节。 第四条 内控手册编制依据 内控手册以财政部等五部委发布的《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》为依据,以××××股份有限公司的实际业务流程为基础编制而成。 第五条 内控手册的适用范围和管理 内控手册适用于公司各部门、分子公司。对公司领导、公司职能部门、各分子公司全体员工具有约束力。 内控手册是公司的重要文件,属公司机密,应对外保密,未经允许,不得复印和对外泄露,否则应承担相应的责任。 内控手册经公司总经理办公会审核,董事会审议批准后,由董事长签发执行。 企管部负责内控手册的修订、维护与发放工作,根据公司内外环境变化适时更新。 第二章 内部控制体系的管理架构、职责和权限 第六条 管理架构 我公司内部控制体系工作,在公司董事长的领导下形成决策、管理、执行、监督四个层次的管理架构: 一、决策机构:内控体系建设工作领导小组是公司内部控制工作的决策机构。 二、管理机构:企管部作为公司内部控制体系日常管理部门和内部控制体系建设工作小组的办事机构。 三、执行机构:公司各部门及分子公司作为执行层,按照内部控制体系的统一要求,具体组织落实。 四、监督机构:审计部行使监督职能,负责对体系运行状况实施监督。 第七条 职责和权限 一、内控体系建设工作领导小组 (一)审定内部控制体系总体方案、阶段重点工作计划、内部控制体系评价方案。 (二)协调解决内部控制体系建设工作中的重大问题。 (三)审定需要提交董事会解决的重大事项。 二、企管部 (一)负责制定公司内部控制体系建设方案、阶段重点工作计划并组织实施。 (二)负责建立内部控制评价体系,组织完善内部控制管理相关制度和流程,组织建立风险数据库并进行维护更新。 三、审计部 (一)负责对已建立并实施的内部控制体系进行评价和验收工作。 (二)负责按照内部控制评价体系,定期组织开展自我评价,并出具自我评价报告。 第三章 公司层面的内部控制 第一节 公司层面内部控制包括内容 公司层面控制是存在于公司整体层面,对业务层面的控制产生普遍影响,体现的是公司治理、发展战略、企业文化、内部监督、人力资源政策、职责权力、风险管理等内容。公司层面控制主要分为内部环境、风险评估、信息与沟通及内部监督四大部分,每一部分又分为若干细项。 内部环境是建立与实施内部控制的基础,具体内容包括组织架构、权责分配、发展战略、人力资源、社会责任、企业文化、内部审计等。 风险评估是在风险识别的基础上,采用定性与定量方法,对风险发生可能性和风险影响程度进行评估,最终确定风险等级的过程。具体内容包括风险管理组织体系、风险识别、风险分析、风险评价、风险应对、风险预警、风险报告等。 信息与沟通指信息在公司内部各层级、各部门之间以及公司与外部投资者、客户、供应商、监管者等之间的传递。包括信息收集机制、信息沟通机制、内部报告、保密管理、反舞弊、信息技术等。 内部监督是公司对内部控制建立与实施情况进行监督检查,评价内部控制设计和运行的有效性,发现内部控制缺陷,提出改进措施并监督整改情况的过程。主要包括对建立并实施内部控制的情况进行常规、持续的日常监督检查;在各类事项发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的专项监督检查。 第二节 公司层面内部控制各项详述 第八条 组织架构 一、控制目标 (一)持续优化治理结构、管理体制和运行机制,促进公司实现发展战略。 (二)建立完善的组织架构,明确决策、执行和监督等方面的职责权限,形成科学决策、良性运行的机制,提高公司经营效率,有效防范和化解各种舞弊风险。 二、控制要求 (一)公司治理结构 1.公司章程明确规定了出资人、董事会、总经理及经营管理机构、监事的职权、性质、议事规则及授权。 2.相关制度:《公司章程》、《股东大会议事规则》、《董事会议事规则》、《监事会议事规则》、《董事会秘书工作细则》、《独立董事工作制度》、《发展战略委员会实施细则》、《审计委员会实施细则》、《提名委员会实施细则》、《薪酬与考核委员会实施细则》、《总经理工作细则》。 (二)内部组织机构 1.公司合理设置内部组织机构,明确各机构的职责权限,避免职能交叉、缺失,形成各司其职、各负其责、相互制约、相互协调的工作机制。 2.组织架构的调整 在对治理结构和内部机构全面梳理的基础上,对组织架构设计与运行的效率和效果进行全面评价,发现可能存在的缺陷,及时对组织架构进行必要的优化调整。在对组织架构进行调整时,公司充分听取董事、监事、高级管理人员和其他员工的意见。 3.岗位设置 公司关键岗位的设置应当体现不相容职务分离原则,使不同岗位真正起到相互制约、相互监督的作用。 4.对子公司的管控 公司根据各子公司的战略定位不同和成熟程度,承担包括战略管理、投资管理、计划管理、预算管理、财务管理、人力资源管理、法律事务管理、关系协调等方面的主要职能,充分发挥各子公司的专长和优势。 6.相关制度:《对外投资管理办法》、《分子公司成立和运行管控办法》、《子公司管理制度》、《不相容岗位分离制度》、《组织机构调整流程》。 第九条 权责分配 一、控制目标 1.确保经营过程中的决策和业务执行经过适当的授权,避免越权决策或权力交叉、冲突及权力真空。 2.确保经营过程中的重大决策、重大事项、重要人事任免及大额资金使用经过集体决策,避免权力集中化,实现权利责任的相互制约和监督。 二、控制要求 (一)权责分配原则 1.公司的权责体系遵循以下原则:公开原则、合规原则、职责匹配原则、逐级授权原则、适当原则、回避原则、不相容职务分离原则。 2.公司实行分级授权制度,严格授权管理,通过颁布授权表,针对各项业务和事项明确总部和分子公司各层级的授权原则与权限划分标准。 (二)被授权人员应严格按照授权表规范行使权力,不得超越授权级别,也不得将权力违反规定授予他人或不履行被授予的权利责任。 (三)相关制度 《业务授权表》、《财务授权表》、《人事授权表》、《部门职能矩阵表》、《各部门部门使命及核心职能》、《职位说明书》。 第十条 发展战略 一、控制目标 1.确保公司战略规划具备可行性,能够帮助公司进行准确的发展定位,赢得竞争优势。 2.确保公司战略规划得到有效实施,促进公司增强核心竞争力和可持续发展能力。 二、控制要求 1.发展战略的制定 发展战略的主要内容应包括:现状总结及发展基础、发展环境、公司发展目标、分类推进重要平台建设和发展规划实施的保障措施等。 2.发展战略的实施 公司的战略管理体系通过总战略、中长期发展规划(3-5年规划)、年度经营计划、全面预算、绩效管理等机制来支撑。 3.发展战略的监控 企管部负责监控公司的年度经营计划的完成情况;财务部负责监控公司的全面预算的完成情况。发展战略委员会对战略执行能力和执行效果进行分析评价,对公司战略目标和规划的重大执行偏差提出意见。 4.发展战略的动态调整 发展战略委员会根据公司战略执行情况,定期对发展战略的可行性和适宜性进行评估,并提出修正和调整意见,实现发展战略的动态调整。 5.相关制度 《发展战略委员会实施细则》。 第十一条 人力资源 一、控制目标 1.加强人力资源规划,合理配置人力资源,优化人力资源整体布局,充分发挥人力资源对实现企业发展战略的重要作用。 2.加强人力资源培养开发和队伍建设,充分调动全体员工的积极性,有效发挥员工潜能和创造性,不断提升员工的服务效能。 二、控制要求 1.人力资源的引进和开发 公司秉承“选人要正、用人要公、育人要勤、管人要严”的人才队伍建设理念,高度重视人才的选拔与培养。公司为每位员工开辟了适合其自身发展的职业发展通道,建立了完整全面的培训体系。 2.人力资源的使用和退出 在用人上,公司坚持尊重人才、尊重创造的理念,采用“能者上、庸者下”的用人机制,在干部任命上均采用公平竞争的竞聘的方式,并通过建立内部竞聘微信群等途径,实时公开招聘信息,优先进行内部竞聘,以此来建立公平公正的竞争机制和良好的文化环境,充分调动每一位员工的积极性、主动性和创造性,让员工爱其职而尽其能,做到人适其事,事适其人,人尽其才,才尽其用。公司根据国家法律法规,并结合公司实际情况,制定了员工选聘和退出制度,明确员工选聘、入职、转正、调岗、辞职、辞退等人力资源的使用和退出程序。 3.相关制度 《绩效管理办法》、《入职培训管理办法》、《试用期员工管理办法》、《员工技能培训管理办法》、《薪酬管理办法》、《定岗定编定员定薪管理办法》、《员工选拔任用管理办法》、《员工职业通道和晋升管理办法》、《年度人力资源规划流程》、《员工辞退流程》、《员工转正流程》、《员工辞职流程》、《员工退休流程》。 第十二条 社会责任 一、控制目标 1.实现经济效益与社会效益,短期利益与长远利益,自身发展与社会发展相互协调。 2.保障员工合法权益,构建和谐的劳动关系,实现公司与员工共同发展。 3.在改善环境污染方面积极贡献力量,搭建清洁低碳、安全高效的现代能源体系。 二、控制要求 1.安全管理 公司坚持“安全高于一切”的安全理念,认真贯彻“安全第一,预防为主,综合治理”的指导方针,安全工作实行分级管理,各负其责。 公司根据国家有关安全生产的规定,结合公司实际情况,建立严格的安全生产管理制度和应急预案,建立健全检查监督机制,强化安全生产责任追究制度,确保各项安全措施落实到位。 2.环境保护和弘扬社会美德 公司以“务实、创新、厚德、奉献”的企业精神为指导思想,在发展企业的同时以回报社会为己任,利用自身的行业优势,推进能源革命,加快能源技术创新。同时,××人推陈创新,感恩回馈,弘扬××精神,传递正能量,为××品牌屹立不倒注入不竭动力。 3.保护员工合法权益 公司建立了职工代表大会和工会组织,维护员工合法权益,积极开展员工职业教育培训,创造平等发展机会。 4.相关制度 《安全管理制度汇编》、《安全技术操作规程》、《××应急救援预案》、《××应急救援预案》、《安全事故处理流程》、《日常安全检查流程》、《××××股份有限公司员工手册》、《职工代表大会流程》。 第十三条 企业文化 一、控制目标 完善企业文化体系,建立独具公司特色、体现公司核心竞争力、优秀的企业文化,为内部控制有效性提供有力保证,提高公司全体员工的凝聚力、激发员工热情,提升公司的美誉度,增进公众的认同感。 二、控制要求 1.企业文化的建设 公司企业文化体系由四个层级构成,分别是价值观和核心理念的精神层面、制度文化的制度层面、行为文化的行为层面和形象文化的物质层面。 制度文化建设是企业文化建设的重要内容,是实现价值观和核心理念,约束和影响行为文化、形象文化的内在保障,起到承上启下的作用。 公司规范使用统一的公司名称和LOGO,严格按照有关规定规范使用,充分发挥公司品牌的市场影响力和辐射力。 通过文化宣传、制度培训、专题活动、网络媒介、文体活动等多种形式广泛宣传公司企业文化内涵,引导员工自觉实践企业文化理念,将企业文化植根于员工的脑海,并转化为员工的行动。 2.企业文化的评估 通过员工满意度测评、企业文化调查问卷等多种方式,对企业文化管理现状进行评价,分析其适应性、灵活性、参与性、一致性、稳定性和差异性,评价差异结果的动因,从而优化改进企业文化体系。 3.相关制度 《××××股份有限公司员工手册》、《网络宣传媒体管理办法》、《廉政建设管理制度》、《创新管理办法》、《规章制度管理办法》、《职能部门月度监督检查方案》。 第三节 风险评估 第十四条 控制目标 1.逐步建立健全公司全面风险管理体系,不断提升公司风险识别、评估、应对和监控风险能力。 2.建立健全应急预警和报告体系,完善突发事件和危机处理机制,避免发生重大损失。 3.培育风险管理文化,提升员工风险意识和风险应对能力。 第十五条 控制要求 1.各部门根据发展目标和发展战略,分解制定年度经营管理目标,识别影响目标实现的相关风险。 2.我们将公司面临的风险分为五类:战略风险、财务风险、运营风险、市场风险、法律风险。 3.企管部组织开展风险评估工作,负责建立风险评估工作标准、程序和方法,组织协调和指导各部门、各子公司开展风险评估工作。 4.各职能部门和子公司对收集的风险信息进行分类整理和分析汇总,并按风险评价标准,对风险发生的可能性和影响程度进行评估,确定风险评级,形成风险数据库。 5.公司根据自身实际情况、结合外部环境和风险图谱以及综合平衡成本与收益,针对不同风险采取不同的风险应对策略,确定相应的应对措施并有效实施和日常监控、预警。 6.相关制度 《风险评估管理办法》。 第四节 信息与沟通 第十六条 控制目标 1.及时、准确地收集信息,确保信息在公司内部和外部的有效传递,促进内部控制有效运行。 2.保证信息系统安全稳定运行。 3.建立应急预警和报告体系,完善突发事件和危机处理机制。 第十七条 控制要求 1.各部门和分子公司负责人每日填写微信日报表,提报总经办,同时发送中层干部管理微信群。 2.公司采取官方网站、内网、微信公众号、OA、电子邮件、办公QQ、电话、××月报、例行会议、临时会议、员工手册、培训、微信群等多种方式,实现所需的内部信息、外部信息在公司内部及时准确传递,重要信息及时上报公司领导,确保公司领导和员工之间的有效沟通。 3.各部门和分子公司建立了各类经营台账,为统计分析和经营决策提供科学依据。 4.公司倡导员工合理化建议、小改小革等创新活动,在职工代表大会上听取员工对公司经营管理等各个方面的意见和建议,并对合理化建议进行奖励、落实和公布。 5.针对生产安全事故、信息系统安全事件等明确规定了报告程序。 6.相关制度 《××应急救援预案》、《××应急救援预案》、《安全管理制度汇编》、《工作汇报制度》、《公文管理办法》、《会议管理办法》、《档案管理办法》、《保密管理办法》、《印章管理办法》、《信息化安全管理办法》、《信息安全事件管理规定》、《网络宣传媒体管理办法》、《创新管理办法》、《职工代表大会流程》、《信息披露审批流程》、《年报信息披露重大差错责任追究制度》。 第五节 内部监督 第十八条 控制目标 通过开展日常监督、专项监督和内控自评,提高内部控制设计和执行的有效性,推动公司内部控制体系的持续优化和完善。 第十九条 控制要求 1.公司各职能部门每月对其他职能和分子公司进行监督检查,检查结果每月进行公布。 2.审计部按照年度内审计划开展各项审计工作,以及各类专项审计。 3.各部门和分子公司每半年自主开展内控自查,及时发现管理中存在的问题并进行整改。 4.由公司领导组织开展,审计部和企管部负责具体实施的每年一次的内控自评,涵盖各部门、分子公司和所有业务流程,重点关注重要业务事项和高风险领域。 5.相关制度 《内部控制评价管理办法》、《职能部门月度监督检查方案》、《财务审计管理办法》、《工程项目内部审计管理办法》、《经营审计管理办法》、《专项审计管理办法》、《离任审计管理办法》。 第四章 业务层面的内部控制 第二十条 业务层面控制的方法 依据风险评估结果,通过手工控制与系统控制、预防性控制与发现性控制相结合的方法制订相应的控制措施,划分成多个控制活动,采用风险控制矩阵的形式来描述这些控制措施对风险点的控制,并纳入到日常的各类控制活动中,通过风险控制矩阵,对各项业务进行具体控制。 第二十一条 控制活动分类 公司控制活动共分为11个大类,包括:资金活动、采购业务、资产管理、销售业务、工程项目、业务外包、财务报告、全面预算、合同管理、内部信息传递和信息系统。 根据业务需要和实际情况又细分为多个业务流程,包括:资金管理流程、银行筹资流程、短期投资流程、收入确认流程、成本确认流程、费用管理流程、财务报告流程、全面预算流程、信息系统流程、采购与付款流程、内部信息传递流程、生产与仓储流程、销售与收款流程、业务外包流程、合同管理、工程项目、等业务流程,对公司主要的业务层面控制进行了详细描述。 第二十二条 业务流程图 业务流程图以图表的形式将业务活动的步骤、涉及部门和岗位、每个步骤的内容、输入输出、风险点和控制点进行识别和记录,清晰的体现了各项关键控制措施之间的逻辑关系,以及各相关部门、各审批岗位在关键控制措施中的角色。 第二十三条 风险控制矩阵 风险控制矩阵包括:风险点、控制点、控制措施、控制目标(资产安全、效率效果、财务报告、合法合规、发展战略)、控制频率(每年、半年、季度、每月、每周、每日、业务发生时)、内控要素(内部环境、风险评估、控制活动、信息与沟通、内部监督)、控制类型(手工、系统、混合)、控制方法(不相容职务分离、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制、信息化系统、人员素质等)、控制部门、控制岗位、对应的流程、控制文档、影响会计报表项目、制度相关信息等内容。 第五章 权限管理 第二十四条 权限说明 权限划分是公司内部控制的重要组成部分,具体描述公司授权体系(业务授权、人事授权和财务授权)如何构成、应用和监控的,公司内各级批准权限是如何界定的。公司设置科学、明确的权限指引表或授权表,明确各项重大决策、经营活动的审批权限,确保决策的科学性以及经营的效率和效果。 针对各业务的关键环节和经营活动,按照权责匹配的原则,明确公司各层级的集体决策和个人审批权限,详细权限说明见下表。
附件1:公司业务分类全景图
|
||||||||||||||||||
|
|
