内控手册（模板）,行业动态,内控管理师（ICM）官网

2.2.4满足外部监管与提升内部管理相结合

2.3适用范围

2.4内部控制体系框架的主要内容

2.4.1内部环境

2.4.2风险评估

2.4.3控制活动

2.4.4信息与沟通

2.4.5内部监督

3内部环境

3.1概念

3.2构成要素

3.2.1治理结构

3.2.2机构设置及权责分配

3.2.3内部审计

3.2.4人力资源政策

3.2.5企业文化

4风险评估

4.1概述

4.1.1风险

4.1.2风险评估

4.2构成要素

4.2.1风险评估的原则

4.2.2建立风险评估的基础

4.3公司层面与业务流程层面风险评估及应对

4.3.1公司层面

4.3.2业务流程层面

5控制活动

5.1概述

5.1.1概念

5.1.2控制活动的分类

5.2控制活动的实施

5.2.1控制要点

5.2.2主要控制措施和程序

5.3控制活动有效性评价

5.4流程体系文件建模规范

5.5权限指引

6信息与沟通

6.1概念

6.2构成要素

6.2.1信息采集

6.2.2信息系统

6.2.3反舞弊机制

6.3内部控制与全面风险管理信息平台

7内部监督

7.1概念

7.2构成要素

7.2.1日常监督

7.2.3缺陷跟踪

7.2.4内部控制评价

附件一：公司层面风险排序情况

附件二：流程框架

附件三：主要业务流程

附件四：权限指引表

正文

(略)

随着公司规模不断扩大、经营领域不断拓展，以及外部市场竞争日益加剧，监管机构对公司监管力度的不断加强，对公司管理工作提出了更高的要求。为提升公司风险管理水平，进一步加强内部控制，实现健康、良性发展，特编制《内部控制手册》（以下简称“本手册”），作为建立、执行、评价及维护内控管理体系的指导和依据。

通过编制本手册，建立一套科学、系统的内部控制体系建设方法和规范，为公司内部控制体系建设、运行和维护提供指引，并作为建立、运行及评价内部控制体系的依据，以确保公司上下从思想上、认识上对内部控制体系保持高度统一，最终实现行为上的统一。

1.1.3.1管理积淀与管理创新相结合

本手册是在总结公司多年的管理经验及借鉴其他优秀公司管理经验基础上编制而成，是管理经验的沉淀和提炼。同时将先进的内控管理和流程管理理念融合在一起，在推动公司业务标准化、规范化运作的基础上，为公司后续内控管理体系的优化奠定基础。

1.1.3.2贯彻风险预控的管理理念

本手册贯彻以风险为导向的内部控制理念，强调事前和过程控制，在构建良好的内部工作环境基础上把管理风险做为内部控制的目标，实现风险预控和标准化管理。

1.1.3.3对现有管理体系的融入与整合

本手册以内部管控为主线，将管理理念和企业文化贯穿于其中，要求公司各部门从风险的视角出发，将内部控制的原则和方法紧密结合到制度和流程建设中，形成公司相互融合、协调一致的有机整体。

1.1.3.4具有广泛的适用性和前瞻性

本手册以财政部等五部委《企业内部控制基本规范》及配套指引为指导，在借鉴国际较为成熟的内部控制和风险管理框架的基础上，立足中国国情，并充分考虑了公司的实际情况，为各项业务活动提供了具体的操作指引，在覆盖现有业务活动的同时，也能适应未来一定时期内业务发展的需要。

1.1.3.5具有强制性和约束性

本手册明确了公司建立内部控制体系及框架所需遵循的标准，规范了管理层及员工管理与业务控制活动，不仅适用于公司治理层面的控制，同时适用于经营管理层面的控制，具有广泛的约束性，一经批准发布，公司各部门必须严格执行。

内控部对本手册进行规范管理，保证其有效、完整、统一和适用。

本手册由内控部组织编写，经董事会审定、批准，公司行文发布。

本手册须按发放范围统一发放。发放范围（一般包括总经理、副总经理、体系覆盖范围及特殊使用者）由内控部提出，经总经理批准执行。

本手册的维护是一项长期性、经常性的重要工作，需要各部门高度重视，积极参与，大力配合。

内控部应及时监控本手册的执行情况，并采取有效措施确保内部控制管理体系的有效运行。

2内部控制体系基本框架

通过确定内部控制体系建设目标，明晰内部控制体系建设的范围和内容，为公司建设“以风险为导向，以内部控制为手段”的内部控制管理体系提供指引，以建立统一、规范、有效的内部控制体系，增强公司风险防范能力，为公司战略发展提供有力保障。

框架明确了公司内部控制管理的工作任务和基本标准，是制定内控与风险管理工作规划的主要依据。框架确定的工作目标和内容将在今后分年度逐步建立健全。

本手册参考了国内、国际先进的内部控制与企业风险管理理论、国内外大型企业的风险管理与内部控制实践，立足于公司自身的战略目标和管理特点，力求与现有的管理程序相衔接，充分考虑实际管理工作的可行性与可操作性。

本手册的内容涵盖了内部控制体系的各个要素和环节，对公司各职能部门及各子公司建设和运行内部控制体系，提出了一套完整的方法论和指导原则，同时针对风险识别、风险评估、风险控制、内部控制评价等常规性工作，制定了具体的操作指引和工作模版。

本手册与公司现行的管理制度体系相结合，力求与其他制度相融合，对于已不适用的其他各项管理制度，应对照本手册的规范要求及时修改、完善。

公司内部控制工作既要为战略目标的实现提供有力保障，又要满足财政部、证监会的监管要求。本手册的编制以满足外部监管要求为出发点，以提升公司内部控制水平为落脚点，兼顾了内外部的风险管理与内部控制要求。

本手册适用于公司各部门及下属子公司。

2.4.1内部工作环境

内部工作环境是内部控制体系建设的基础，是有效实施内部控制的保障，直接影响着内部控制的贯彻执行、公司经营目标及整体战略目标的实现。内部工作环境确定了公司对内部控制体系建设的总体态度，是内部控制所有其他组成要素的基础。

公司内部工作环境包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等内容。

风险是指未来的不确定性对公司实现其目标的影响。风险评估是及时识别、分析和评估影响公司目标实现的各种不确定因素并制定应对策略的过程，是实施内部控制的重要环节。在风险评估中，既要识别和分析对实现目标具有阻碍作用的风险，也要发现对实现目标具有积极影响的机遇。

公司应制定完善的风险评估规范，明确风险评估的范围、程序和方法，规范风险评估工作。风险评估工作由内控部组织有关职能部门和业务单位实施。

公司应根据内部控制目标，将控制措施与风险应对策略相结合，针对各类风险或每一项重大风险所涉及的各项管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。

内部监督是对公司内部控制建立与实施情况进行监督检查，评价内部控制有效性并及时加以改进的过程，包括日常监督、专项监督、内部控制评价和缺陷跟踪等。

3内部工作环境

内部工作环境确定了公司对内部控制体系建设的总体态度，是内部控制体系建设的基础，是有效实施内部控制的保障，直接影响着内部控制的贯彻执行、公司经营目标及整体战略目标的实现。

内部工作环境包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等内容。

治理结构是建立并实施内部控制的基础，是影响内部工作环境的重要因素。公司应按照《公司法》要求，结合公司实际，建立规范的法人治理结构（包括董事会、监事会和经理层），并制定相应的议事规则。

3.2.1.1独立性

董事会和监事会应独立于管理层，可以对管理层的决策提出建设性的必要质疑，具体包括：对管理层的决定（如经营决策、重大交易）进行推断并提出质疑，对前期经营结果进行质询（如预算执行差异）；有权询问和详查公司的经营活动，提出不同观点，并在认为必要时采取适当的行动。

主要控制措施和程序

公司应当根据国家有关法律法规和公司章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

1.公司董事会和监事会的构成及独立性应当符合《公司法》要求。董事会对股东负责，依法行使公司的经营决策权。监事会对股东负责，监督公司董事、经理和其他高级管理人员依法履行职责。

公司目前的具体实施措施为：

（1）公司根据《公司法》制定了《XXXXWL有限公司章程》（以下简称“《公司章程》”）、《XXXXWL有限公司董事会议事规则》(以下简称“《董事会议事规则》”)和《XXXXWL有限公司监事会议事规则》(以下简称“《监事会议事规则》”)。根据《公司章程》及《董事会议事规则》，公司董事会由九名董事（其中三人为独立董事）组成。董事会设董事长一人，副董事长一人。独立董事中应至少包括一名会计专业人士（会计专业人士是指具有高级职称或注册会计师资格的人士）。董事会在上下半年要各召开至少一次定期会议，董事长、三分之一以上董事、总经理或者监事会，可以提议召开董事会临时会议。董事长应当自接到提议后10日内，召集和主持董事会会议，董事会形成董事会会议决议及会议纪要，出席会议的董事、列席会议的董事会秘书应在会议记录上签名。

（2）根据《公司章程》及《监事会议事规则》，监事会设监事会办公室，处理监事会日常事务。监事会主席兼任监事会办公室负责人，保管监事会印章。监事会定期会议应当每六个月召开一次，监事可以提议召开临时监事会会议。监事会会议应当有过半数的监事出席方可举行。监事会会议由监事会主席召集和主持。监事会会议对所议事项形成监事会会议决议及会议纪要，出席会议的监事应在会议记录上签名。

2.公司应当建立外部董事制度。

独立董事的工作制度由董事会另行制定。

3.2.1.2董事、监事的知识和经验

3.2.1.3及时、充分地获得信息

及时、充分地为董事会和监事会提供信息，以便其及时监督管理层的目标和战略、公司的财务状况和经营成果，以及重大协议的条款等，具体包括：董事会定期收到关键信息，例如，财务报告、主要的市场变化趋势、重大合同和谈判信息；董事相信其得到了适当的信息。

3.2.1.4获知和调查不正当行为

董事会应对敏感信息、不正当行为调查和评价（例如，重大的法律诉讼、监管机构调查、贪污、挪用公款、滥用公司财产、违反内部人员交易法规、非法支付等）的充分性和及时性，具体包括：存在告知董事会重大问题的程序；信息得到及时沟通。

3.2.1.5建立适当的高层基调

高层基调主要是指公司管理层的诚信和道德价值观等。建立适当的高层基调具体包括：董事会应充分参与、评价高层基调的有效性；董事会应采取行动以保证适当的高层基调；董事会应明确强调管理层应该遵守的行为准则。

3.2.1.6监督管理层对审计发现的跟进

董事会依据其发现，须采取适当的措施，包括专项调查。具体包括：向管理层就需采取的具体行动下达指令；如果需要，进行监督和跟踪处理。

3.2.2.1建立适应信息流通和公司管控模式的组织结构

适当构建公司的组织结构，以便其具备提供管理活动必要信息流的能力，具体包括：充分考虑公司经营业务的性质，公司的组织结构适当集中或分散；组织结构须有利于信息的上传、下达和各业务活动间的流动。

（1）公司按照《公司法》的要求，结合公司实际，建立了规范的治理结构（包括股东大会、董事会、监事会和总经理负责的管理机构），即建立起所有权、经营权分离，决策权、执行权、监督权分离，董事会、监事会并存的法人制衡管理机制。

按照《中华人民共和国公司法》和《XXXXWL有限公司章程》，公司建立了较为完善的法人治理结构。股东大会是公司的权力机构，股东通过董事会对公司进行管理和监督。董事会是公司的决策机构，对股东大会负责，对公司经营活动中的重大决策问题进行审议并做出决定，或提交股东审议，负责内部控制的建立健全和有效实施。监事会是公司的监督机构，负责对公司董事、经理的行为及公司的经营、财务活动进行监督，对董事会建立与实施内部控制进行监督。经理层负责组织实施董事会决议事项，主持企业的生产经营管理工作，负责组织领导企业内部控制的日常运行。董事会下设董事会办公室，负责处理董事会日常事务。公司经理层由董事会聘任，在董事会的领导下全面负责公司的日常经营管理活动，组织实施董事会决议。

（2）公司编制了组织结构图，使员工了解和掌握组织架构设计。

2.公司的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。

重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由公司自行确定。

（1）公司在《公司章程》中对董事会的职权进行了规定，当发生重大决策、重大事项、重要人事任免时需要董事会会议讨论通过。

（2）公司在《内控制度》中对股东大会有权决定的金额等级进行了规定，当发生以下大额资金支付业务时需要股东大会会议讨论通过。

3.公司应当按照科学、精简、高效、透明、制衡的原则，综合考虑公司性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。

公司依照《公司章程》并结合实际工作需要设立职能部门，制定并实施了《各部门职责范围》，明确了部门名称及部门的职责权限。

3.2.2.2关键管理人员的职责界定，确保其对自身职责的准确理解

明确关键管理人员的工作职责和权限分配，并将公司业务活动的职责和期望明确传达给负责这些活动的管理人员。

1.公司应当对关键管理人员制定岗位职责规范。

（1）公司在《公司章程》中明确了董事长的职权及董事、监事、董事会秘书、经理层的权利和义务。

（2）公司的各职能部门根据《各部门职责范围》中明确的部门职责，对其进行科学的分解，明确了岗（职）位职责、业务流程等，明确了各部门经理的职责。

2.公司实施岗位绩效考核，与其收入挂钩。

公司制定了《工作标准化管理考核标准》、《绩效考核管理制度》及《2012年驾驶员绩效考核办法》。该办法对经营业绩考核组织、考核频次、考核指标体系、考核结果评级、考核程序等进行了规范。

3.2.2.3关键管理人员的知识和经验

1.公司制定了《干部选拔任用管理办法》，规定了中级管理人员的任职资格和条件。选拔任用（聘任）的管理人员，必须具备具有大局观念，能分析和解决实际问题，讲正气、讲工作，能以身作则；具有开拓创新的精神，能够把公司的工作要求落到实处，讲实话、办实事、求实效；具有奉献精神、有工作经验、有组织领导能力、有大专以上文化水平和相应的专业知识；办事公道、清正廉洁，能集思广益、团结员工，化解各种工作矛盾，有较强的沟通能力。

2.各部门相应制定了岗位职责及任职条件，规定了关键岗位职员的任职条件。

3.2.2.4适当的汇报机制

3.2.2.5组织结构的变化

根据公司内外部环境的变化情况及时调整组织结构，具体包括：组织结构会在何种程度上随环境的变化而变化，例如，管理人员定期根据变化的业务或行业环境来评价公司的组织结构。

公司制定了组织机构调整流程，该流程主要规范了公司组织机构变更制定与审批程序。公司内控部组织机构管理岗编制机构调整方案，经由内控部经理、各部门分管副总、分管内控部副总、总经理办公会、发展战略委员会、董事会审批后以公文形式下发。

3.2.2.6足够的员工

1.公司确定人员编制，以核准的工作量和工作任务为前提，以科学先进的定岗定编标准为依据，先定任务、定职责、定岗位，后定编制，并按编制配备人员，确保公司任用足够数量的员工和管理人员，保证各项业务工作顺利进行。

3.公司制定了《人力资源规划管理制度》，该制度主要规范了公司人力资源规划编制与审批的管理程序，公司定期分析员工队伍结构和人力资源总量分布，确定人力资源需求量，结合公司人员流动状况，确定并编制《年度人力资源计划》等。

公司根据经营目标、职能和监管要求，制定了各部门职责范围，对行政部、内控部、审计部、人力资源部、财务部、资产管理部、安环部、采购部、WL部、调运一部、调运二部、工会等部门职能予以描述和规范，以利于员工理解自己部门的工作职责，提高部门间工作协作的效率和效果。

公司制定了组织机构调整流程，该流程主要规范了部门职能的编制与审批程序。公司内控部组织机构管理岗组织编制，经由内控部经理、各部门分管副总、分管内控部副总、总经理办公会、发展战略委员会、董事会审批后以公文形式下发。

3.2.2.8数据处理和会计岗位等员工的技能

数据处理和会计职能部门的员工须具备与公司规模、业务活动和系统相适应的技能水平，具体包括：公司拥有数量充足、经验丰富的员工以完成其职责。

1.公司配置充足的财务和信息系统的管理人员，所配置人员须具备胜任工作需求的基本技能，能够满足公司经营业务活动的需要。

（1）公司各部门颁布实施《各部门职责范围》，明确组织机构和数据处理及会计等岗位的设置标准，确保信息和财务系统的岗位人员配备的适当性。

（2）公司设置了专职的信息管理员，负责信息管理、信息系统的管理和维护。

2.公司应加强数据处理和会计职能部门的员工培训，确保其具有专业的技术能力。

人力资源部为员工培训的主管部门，组织多种形式不同层次的培训。坚持岗前培训与在职培训相结合。各部门要针对自己的业务、管理等具体情况确定月度培训内容。各部门要提高培训层次，不能仅停留在只完成工作的层面上，要以培训促进、提高经营管理水平，提升员工整体素质为目的。根据公司的发展情况和工作需要制定有针对性的培训计划，采取多种形式对全体员工进行培训。培训后要落实培训成果，以达到提高员工的综合素质和业务技能，适应公司发展需要的培训目的。

XXXXWL有限公司组织结构参见下图。

内部审计是公司内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进公司目标的实现。

公司内部审计应保证良好的有效性，具体包括：执行内部审计活动人员的能力与水平是否合适；内控审计部负责人按规定或要求向董事会报告工作；内部审计的职责和权限分配恰当；内部审计的范围、责任和计划恰当。

1.审计人员能力

公司应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。

（1）公司颁布并实施了《XXXXWL有限公司内部审计管理制度》，明确规定了审计机构、审计人员专业能力、审计部门履行的职责、审计部门履行职责的权限、内部审计制度和内部审计工作程序。

（2）公司在内部审计制度中明确规定内部审计人员应该具有的资质和执业能力，制定内部审计职业道德规范，要求审计人员在办理审计事项时必须遵守。

2.审计部门的地位及与董事会的沟通

公司设审计部门,在公司董事会的领导下，依照国家法律、法规，独立行使内部审计监督权，向董事会负责并报告工作。在审计业务方面，直接接受公司董事长的领导，并对董事长负责。

（1）公司制定并实施了《XXXXWL有限公司内部审计管理制度》，制度中规定了审计部门按中国内部审计准则及中国内部审计协会制订的其他规定实施以下各项专项的审计：（一）年度经营及财务情况审计；（二）固定资产投资项目审计；（三）管理审计及内部控制审计；（四）重要财务经营活动和重点项目审计；（五）各级经营负责人任期和离任经营责任审计；（六）关联交易审计；（七）重大问题及非常事件审计；（八）公司内部经营违法行为、舞弊事件审计。

内控审计部对审计中发现的违反国家法律法规和公司管理规定的事项提出审计建议，做出审计决定，并对审计建议、审计决定的落实情况进行跟踪监督。必要时对责任单位、责任人按有关规定提出追究责任的建议；对发现的公司内部控制缺陷，及时提出改进建议，形成审计报告等。

人力资源政策是影响公司内部环境的关键因素，引导员工达到公司期望的职业道德水平和胜任能力。它包括聘用、定岗、培训、辞退、辞职、薪酬、考核、评价、晋升、奖惩等活动。

3.2.4.1制定适当的人力资源引进和开发的制度及程序

适当的招聘、培训和员工薪酬的政策及程序，具体包括：现有人力资源政策和程序可以确保招聘并发展有能力的、可信的人员，能够支持有效的内部控制体系；对合适人员招聘和培训的水平是适当的；当正式的政策和实行文件不存在时，管理层应相互沟通期望雇用什么类型的人才或直接参与招聘活动。

3.2.4.2制定适当的人力资源使用和退出制度及程序

适当的晋升和退出的政策及程序，具体包括：完善的人力资源激励约束机制和科学的业绩考核指标体系，与业绩考核挂钩的薪酬制度，各级管理人员和关键岗位员工定期轮岗制度，健全的员工退出（辞职、解除劳动合同、退休等）机制。

1．公司制定了《绩效考核管理制度》和《工作标准化管理考核标准》，该制度对公司各部门员工业绩的考核内容、考核指标、考核方法和考核程序等进行了相应的规范。

2．公司绩效考核采取分管领导、中层干部、部门员工三级考核的模式。对分管领导按年度绩效、安全管理、日常工作管理、员工队伍稳定及业务素质、业务发展五个方面进行考核；对中层干部按年度绩效、安全管理、日常工作管理、员工队伍稳定及业务素质四个方面进行考核。对部门员工的考核根据内控部、人力资源部、行政部、财务部、安环部五个职能部门的监督考核与部门效益奖金系数挂钩的考核方式。

3.2.4.3检查候选人的背景

核查候选人的背景，特别要考虑公司不能接受的行为或活动，具体包括：对频繁更换工作或职业背景相差很大的候选人须仔细核查；聘用政策须包括对犯罪记录的调查；候选人以前的某些行为和活动是否与公司的行为准则相抵触。

3.公司制定了《人事管理制度》，确保人事档案的接收、借阅及转出合法合规。如需借阅档案，档案借阅人填写《档案借阅申请》，经借阅部门经理、人力资源部经理审批后办理借阅手续。员工离职时，人力资源部取出应转走的档案，在档案底账上注销。

3.2.4.4确保关键岗位队伍稳定

确保关键部门人员（例如，经营、财务等部门）的更换频率适当，具体包括：避免关键岗位员工存在过高的更换频率；针对关键岗位人员设置了离岗限制性规定；储备适量的关键岗位人员。

1．通过绩效考核机制，保持员工回报的合理性。

2．建立竞争机制，激发员工的工作积极性，提高员工工作效率和公司经营效益，培养员工敬业素质。

3．公司人力资源部拟订培训规划和年度计划、费用预算；负责建设、完善以及调配培训资源；组织实施公司管理培训、专业培训项目；落实上岗培训、轮岗培训、专题培训、进修培训、辅导员制度等。

4．公司制定了《晋升管理制度》，为了提升员工个人素质和能力，调动全体员工的主动性和积极性，达到发现人才、培养人才、留住人才的目的，营造公平、公正、公开的竞争机制，规范员工的晋升、晋级工作流程。

企业文化是指公司在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。企业文化主要包括积极向上的价值观和社会责任感、诚实守信、爱岗敬业、开拓创新和团队协作精神、现代管理理念和风险意识；董事、监事、部门负责人及其他高级管理人员应当在企业文化建设中发挥主导作用；公司员工应当遵守员工行为守则；全体认真履行岗位职责。

3.2.5.1企业文化规范的建立与贯彻

管理层应当根据发展战略和实际情况，总结优良传统，挖掘文化底蕴，提炼核心价值，确定文化建设的目标和内容，形成企业文化规范，使其构成员工行为守则的重要组成部分。管理层应当促进文化建设在内部各层级的有效沟通，加强企业文化的宣传贯彻，确保全体员工共同遵守。管理层还应当加强对员工的文化教育和熏陶，全面提升员工的文化修养和内在素质。

3.2.5.2诚信和道德价值观规范的制定和执行

管理层应向员工传达诚信与道德价值观规范，并且必须完全执行；员工应该了解和理解这些规定；管理层应在言谈和行动中表现出对诚信与道德价值观规范一丝不苟地遵循。

3.2.5.3公司及战略层面的风险考量

公司风险管理理念和风险偏好影响公司的管理理念与经营风格，具体包括：设定公司的风险偏好和整体风险承受度；公司战略的期望收益应与公司的风险偏好和风险承受度相协调；管理层必须让所有员工了解公司的管理理念，并通过以身作则的行动做出榜样；建立与公司管理理念和经营风格相适应的风险文化。

公司根据自身发展现状，结合产业特征，分析外部环境与内部环境，并在充分征求专家领导和业务部门意见的基础上，编制《战略规划报告》，明确公司的发展思路、发展目标、发展重点和发展步骤等战略问题，并报告经董事会批准。

3.2.5.4业务层面风险的接受程度

1．公司制定并实施了《银行存款控制制度》，该制度对公司银行账户的开设、变更与注销的管理进行了规范，有利于确保资金安全，提高资金使用效率。制度中规定：企业银行账户开户工作统一由财务部负责，日常管理也由财务部指定专人负责管理；企业银行账户应依据国家有关规定开立，并用于办理结算业务、资金信贷和现金收付，具体可设基本存款账户、一般存款账户、临时存款账户与专用存款账户；资金管理人员开设企业银行账户时要根据审批程序进行，需有各级管理人员的审批意见，不得私自以企业名义开设账户。

2．公司制定并实施了《现金管理控制制度》，该制度规范了企业的现金管理，防范在现金管理中出现舞弊、腐败等行为，确保企业的现金安全。本制度适用于现金收付业务办理、库存现金管理等。企业所有经济往来，除本制度规定的范围可以使用现金外，其他均应当通过开户银行进行转账结算。企业的现金管理按照账款分开的原则，由专职出纳人员负责。出纳与会计岗位不能由同一人兼任，出纳也不得兼管现金凭证的填制及稽核工作。

3．公司制定并实施了《预算管理办法》，该制度规范了预算管理组织机构、预算的形式和内容、预算的编制程序和方法、预算的执行与控制、预算调整、预算外事项管理、预算分析、预算考核。有效控制公司生产经营活动，优化资源配置，提高企业资产运营效率及经济效益。

3.2.5.5管理层对数据处理、会计职能的态度

1.公司制定并实施了财务部岗位职责，明确了财务部门的岗位职责。

3．公司财务部按照《会计法》、《企业会计准则》的要求，制定适合本公司的财务会计制度，并根据政策和准则的变化及时修订。公司会计政策前后各期保持一致，而且公司所有的合并报表的会计政策均保持一致。

4．财务报告制度的建立。公司应当按照国家统一的会计准则制度规定，根据登记完整、核对无误的会计账簿记录和其他有关资料编制财务报告，做到内容完整、数字真实、计算准确，不得漏报或者随意进行取舍。

3.2.5.6高层管理人员相互交流的频率

高层管理人员和各级业务部门管理层相互交流的频率，特别是在双方处于不同的地域时，具体包括：高级管理人员经常走访分支机构及不同地区的下属单位；经常召开公司或区域性的管理层会议。

3.2.5.7加强法制建设

公司应注重法律风险防范机制的建立和健全，加强法制教育，提高公司内部各级人员（包括董事、监事、经理及其他高级管理人员和全体员工），尤其是公司经营者的法律意识，全面开展法律宣传与培训工作，充分发挥法律事务科在公司法制教育中的作用；建立健全法律顾问制度和重大法律纠纷案件备案制度，为公司经营活动提供法律保障。

公司各级经营管理人员应重视法律事务科的意见，确保决策的合法性，维护公司的合法权益。

风险评估采用定性与定量相结合的方法。定性方法包括问卷调查、部门研讨、专家咨询、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和实地调研等；定量方法包括统计推论、事件树分析等。

从可能性和影响程度等方面对风险的重要性进行评估，综合评估结果，确定重大风险和管理优先顺序。

风险评估的实施程序为目标设定、风险辨识、风险评价、风险应对。

4.1.1.1概念

风险是指未来的不确定性对公司实现其目标的影响，所有公司，无论规模、结构和行业性质，都面临着诸多来自内部和外部的风险，影响公司既定目标的实现。

4.1.1.2风险的类型

按照不同的分类标准可以将公司面临的风险做如下区分：

1.对公司目标实现的影响：针对公司制定的目标，可以根据对不同目标实现产生影响的因素，将公司风险分为战略风险、财务风险、法律风险、市场风险、运营风险等。

3.是否为公司带来盈利：以能否为公司带来盈利等机会为标志，可以将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。

4.以应对风险的层面为标准：根据对风险做出应对策略所在层面的不同，可以将风险分为公司层面风险和业务活动层面风险。

4.1.2.1概念

4.1.2.2风险评估的范围

公司针对战略目标、经营目标、报告目标、合规目标和资产安全目标五个控制目标开展内外部风险评估。

4.2.1.1体现从实际出发，坚持理论与实际相结合的原则

内控体系的成功实施取决于能否将公司风险控制在与总体目标相适应并可承受的范围内，公司需要结合所处行业的特征、公司本身的业务模式和公司发展的具体阶段，识别公司层面及业务层面风险，并从实际出发，借助先进的评估方法及模型对风险进行打分评级，建立公司风险数据库。

4.2.1.2满足提高管理水平与监管要求相结合的原则

4.2.1.3考虑实效性、渐进性原则

构建内控体系是一项复杂的系统工程，需要通盘考虑、统筹规划，重点突出，注重实效，循序渐进。公司应该从战略、环境、组织、流程、资源五个层面系统、客观地进行风险识别和评估，并随着公司业务发展、外部环境变化定期、持续地进行，如针对管理及业务拓展过程中出现的新情况，循序渐进的进行风险识别及风险评估，并根据评估结果适时更新公司层面风险库，为建立切实有效的内控与风险管理体系打好基础。

4.4.2建立风险评估的基础

在公司内部建立通用的风险管理语言和标准，包括建立公司风险的定义、风险评估的定义、构建风险类型、明确风险偏好和风险承受度的概念、确定评估风险的标准。

公司的风险评估程序应当按照目标设定、风险识别、风险分析和风险应对等程序进行，应该考虑影响公司控制目标实现的内部因素和外部因素，并对这些风险因素进行分析，为风险应对提供依据。

3.针对业务流程的每一个关键控制点识别相应的重大或重要风险。

4.2.3.1目标设定

1.目标的类型

(1)战略目标：战略目标是对公司战略经营活动预期取得的主要成果的期望值。战略目标统领经营目标、报告目标、合规目标和资产安全目标。

(2)经营目标：公司经营目标是在一定时期公司生产经营活动预期要达到的成果。可以用业绩和利润来描述。

(3)报告目标：报告的目标是向报告使用者提供与公司财务状况、经营成果和现金流量等有关的决策信息。报告分为内部报告和外部报告，既有财务信息，又有非财务信息。

2.初始信息收集

4.2.3.2风险识别

风险识别的步骤：

1.从目标设置与层层分解确立关键业务事项。

3.从内部环境和外部环境两个角度，考虑和寻找在实现目标过程中的内外部风险。

4.从公司目标出发针对关键业务或事项，整合识别出影响公司目标实现的风险。

4.2.3.3风险分析

4.2.3.4风险应对

风险应对是指选择和运用具体措施对风险进行管理的过程，主要是在风险分析评价完成后，公司确定如何应对风险，并将方案付诸实施。风险应对的目的是将剩余风险控制在风险承受度以内。风险管理的最终目的是利用公司现有的资源对公司所面临的风险，分不同情况采取措施进行应对。

风险应对策略主要有以下几种基本类型：

风险降低——是公司在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。

风险分担——是公司准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。

风险承受——是公司对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。

在考虑做出风险应对的过程中，管理层需要评估风险应对策略对风险可能性和影响的效应以及成本和收益，并选择一种风险应对方案。

4.3.1.1控制要点

3．针对业务流程的控制目标识别业务层面的相应风险因素。

公司层面风险应对主要采取分解落实方法，将其与流程层面风险进行对应，通过流程层面风险应对策略来降低公司层面风险，对于那些无法通过现有控制措施进行控制的风险，即为剩余风险，公司要确保剩余风险低于公司风险容忍度。

需要说明的是，由于公司所处的环境不断变化，所面临的风险也会不断变化公司应该根据业务发展情况持续地监督并更新公司层面风险库。

4.3.1.2公司层面风险库

公司层面风险库及风险排序结果参见附件一

4.3.1公司层面风险分析

4.4.2.1公司层面风险分析的主要内容

公司层面风险分析是以公司层面风险识别为基础，通过调查问卷的形式而开展的，使公司中高层对风险的理解和认识趋于一致。

4.4.2.2公司层面风险分析的标准、范围、参与人员及方式

1.公司层面风险分析的评分标准

风险问卷调查对风险发生可能性和风险影响重大性评分，分为5个级别，具体评分标准请见表2和表3。

表2风险发生可能性评分标准

注：举例中的对可能性判定标准的描述仅供您参考，可以根据自己对风险发生可能性的判定标准对问卷中风险发生的可能性进行判断。

表3风险影响重大性评分标准

注：举例中的对影响重大性判定因素及标准的列举仅供您参考，可以根据自己对风险影响重大性的考虑因素和判定标准对问卷中风险发生影响重大性进行判断。

2.公司层面风险分析的范围

依据内部控制的要求，评估范围包括公司所有部门，涵盖各项重要经营活动及其重要业务流程。

参与问卷调查的被调查人员包括公司领导、各部门负责人。参与调查问卷的部门包括：WL部、调运一部、调运二部、采购部、安环部、内控部、行政部、财务部、资产管理部、人力资源部、工会等部门，以及LKXX北奔重卡汽车销售有限公司、LK市XX起重吊装有限公司、LK市港恒仓储有限公司、LK市XX驾驶员培训有限公司等。

（3）公司层面重大风险的确定

问卷调查的评分结果经过德尔菲调研和离散度测试等定性和定量分析方法进行验证，使公司的中高层最终对风险的理解和认识趋于一致，并根据调查评分结果按照分值由高到低排序，形成管理层深入讨论的讨论基础，并最终确定公司层面重大风险。

公司层面前八大风险的排序示例详见表4。

表4公司层面风险排序

通过问卷调查评分确定的公司层面前八大风险的可能性和影响程度在风险地图中的展示结果详见图5。

图5风险地图

4.3.2.1控制要点

公司进行业务流程层面风险识别时应首先明确流程控制目标并从识别流程中的事项入手，分析来自内、外部的影响因素，考虑各事项之间的相互关系，运用风险技术工具及技术方法，对流程层面风险加以识别。

业务流程层面风险评估具体步骤包括：搭建流程体系框架、绘制流程图、编写流程描述文件；确定流程控制目标、识别风险点和控制活动。

控制活动是指公司根据风险评估结果，采取相应的控制措施，将风险控制在可承受度之内。

5.1.2.1按控制活动的目标可以分为以下几类：

1.战略目标控制活动：指能够满足战略目标实现的控制活动。

2.经营目标控制活动：指能够满足经营活动效率与效果目标的控

制活动。

3.报告目标控制活动：指能够满足报告目标的控制活动。

4.合规性目标控制活动：指能够满足合规性目标的控制活动。

5.资产安全目标控制活动：指能够满足资产安全目标的控制活

动。

5.1.2.2按控制活动的内容分类

按控制活动的内容划分，控制活动可分为公司层面控制和业务活动层面控制。

1.公司层面控制是指那些对于公司的整个内部控制体系具有广泛影响的控制，如道德准则建立传达、人力资源管理以及控制自我评估等。管理层确保在公司内部各个领域获得适当、有效控制的重要机制。

5.1.2.3按控制活动的作用分类

按控制活动的作用划分，控制活动可分为预防性控制和发现性控制。

1.预防性控制是指为防止错误和非法行为的发生，或尽量减少其发生机会所进行的一种控制。

2.发现性控制是指为及时查明已发生的错误和非法行为，或增强发现错误和非法行为机会的能力所进行的各项控制。

5.1.2.4按控制活动的手段分类

按控制活动的手段划分，控制活动可分为人工控制（手工控制）和自动控制。

1.人工控制（手工控制）是以人工方式执行的控制。

2.自动控制是由计算机等系统自动执行的控制。

1.针对公司的每一项业务活动都有必要和恰当的政策和程序。

2.已确定的流程及控制行为得到恰当的执行，包括：

(1)规定的流程和控制程序是否已实施，是否正确地按照设

计意图执行。

(2)出现例外或发生需要跟踪的情况时，是否采取了恰当、

及时的措施。

(3)监督人员是否有审核流程和控制行动的职能。

公司应建立健全内控控制机构，明确其职责分工、控制方法、控制设计程序、控制实施与监督、控制措施的更新与维护等。

5.2.2.1规范业务流程，制定业务活动层面风险控制措施

1.确定公司业务流程体系框架。业务流程体系框架为公司流程梳理工作提供基础架构。公司应针对自身业务和管理实际情况，借鉴国内外行业先进经验，建立适合自身的三级业务流程体系框架，确保公司内控与风险管理体系建设能够有的放矢，并与公司的日常经营管理活动相融合。

业务流程体系框架参见附件二

3.建立关键控制和一般控制。建立完善的关键控制和一般控制确认方法，确定所有业务流程的关键控制和一般控制并建立控制文档。

公司确认关键控制的目的是：将确认的关键控制作为控制活动的重点，对其实行全面、严格的管理，以防范重大风险；为公司管理层测试内部控制体系的完整性和有效性提供统一的范围和标准；为外部审计师评估和内部测试提供基础性测试资料等。

4.发现与建议。发现与建议中集中列示风险控制矩阵中识别的缺陷和提出的改进建议，并根据控制文档内容对应到相应的责任人。各责任人可根据缺陷内容描述做出是否符合实际情况的说明，如不符合则出示不符合的证据；对于确认的缺陷，责任人做出是否采纳改进建议的说明，如不采纳则说明不采纳的原因。

5.2.2.2建立并实施经营管理活动分析评价制度

各级管理层应开展经营管理活动分析，对经营管理情况实施审核和监督。

公司应根据内部监督的政策和程序，定期对控制活动的有效性进行评价，查找控制缺陷，并进行改进和完善，确保控制活动的持续有效性。

为了统一和规范风险控制文档的编制，公司制定“流程体系文件建模规范”，明确流程体系文件中各栏目的格式标准、描述要求以及填写规范等。

流程体系文件主要包括流程图、流程描述、风险控制矩阵等三张表单。

(1)流程图。流程图是以可视的方式，运用特定符号展示某一运

(2)流程描述。流程描述是对流程图的一个补充，其明确阐述了

流程描述参见附件三

(3)发现与建议。发现与建议集中列示风险控制矩阵中识别的缺陷和提出的改进建议，并根据控制文档内容对应到相应的责任人。各责任人可根据缺陷内容描述做出是否符合实际情况的说明，如不符合则出示不符合的证据；对于确认的缺陷，责任人做出是否采纳改进建议的说明，如不采纳则说明不采纳的原因。

权限指引表参见附件四

1.内部信息主要包括：财务信息、经营信息、规章制度信息、综合信息等。主要获取渠道有：各职能部门的调研报告；财务会计资料；经营管理资料；专项信息；信息员搜集、反映的情况；群众来信来访、员工直接向上级沟通的信息；内部刊物；办公网络；各种会议提案、记录、纪要等。

2.外部信息主要包括：国家法律法规，国内外监管机构信息，以及客户、供应商、竞争对手的信息等。主要获取渠道有：国家部委和外部监管方的文件；期刊杂志；社会中介机构；网络媒体；公司采购及业务部门收集的市场调查信息；外部来信来访；业务往来单位；行业协会组织等多种渠道。

6.2.1.1获取信息并向管理层报告

6.2.1.2及时向适当的人员汇报足够的信息

6.2.1.3建立信息技术总体规划

公司应指定专门部门负责识别和跟踪不断产生的信息需求；信息的需求和优先次序由具有完全责任的管理层来决定；订立与战略决策相联系的长期信息技术总体规划。

6.2.1.4管理层对信息系统的支持态度

管理层应为建立或改进信息系统提供足够的、必要的资源，并采取相应的控制措施。

6.2.1.5公司目前的具体实施措施

第一、内部政策信息收集与传递

1.公司的战略性经营目标

（1）公司中长期战略规划原则上每三年进行一次全新编制，每年滚动调整一次，年度经营计划每年编制一次，在本财政年度结束前完成，采取“自上而下与自下而上相结合”的编制方式。内控部每年9月份根据公司内外部经营环境变化与自身发展定位，提出中长期战略规划报告和年度经营计划的主要原则与具体编制要求，提交总经理办公会审议下发，启动中长期战略规划报告和年度经营计划的论证、编制工作。各职能部门根据公司中长期战略规划报告和年度经营计划的主要原则与具体编制要求，结合本部门实际情况，组织编制本部门的中长期战略规划和年度经营计划，并于内部初步评议后提交内控部。内控部会同其他职能部门等对提交的中长期战略规划报告和年度经营计划进行分析审核，对各类规划方案进行汇总平衡，编制公司中长期总体战略规划报告和年度经营计划，提交总经理办公会审批。内控部根据审批意见，编制公司中长期战略规划和年度经营计划最终报告，下发到所属各部门遵照执行。

（2）公司制定了《工作标准化管理考核标准》，该办法对经营业绩考核组织、考核频次、考核指标体系、考核结果评级、考核程序等进行了规范。

2.财务政策及程序

公司应制定和完善统一的财务、会计、资产和资金等方面的管理制度、办法和工作规范，并贯彻执行。

（2）公司编制了《会计核算制度》，以规范公司的财务会计政策及核算体系。

3.人力资源政策

公司应通过部门岗位职责描述，对各岗位职责进行规范，使员工理解自己的职责和工作程序。

公司应通过宣传和制定并执行绩效考核办法，敦促员工正常履行自己的职责。

（2）公司的各部门根据《各部门职责范围》中明确的部门职责，对其进行科学的分解，明确了岗（职）位职责、业务流程等，明确了各部门经理的职责。

（3）公司制定了组织机构调整流程，该流程主要规范了部门职能的编制与审批程序。公司内控部组织机构管理岗组织编制，经由内控部经理、各部门分管副总、分管内控部副总、总经理办公会、发展战略委员会、董事会审批后以公文形式下发。

（4）在绩效考核方面，公司实施岗位绩效考核，与其收入挂钩。公司制定了《工作标准化管理考核标准》，该办法对经营业绩考核组织、考核频次、考核指标体系、考核结果评级、考核程序等进行了规范。

（5）公司制定了《晋升管理制度》，为了提升员工个人素质和能力，调动全体员工的主动性和积极性，达到发现人才、培养人才、留住人才的目的，营造公平、公正、公开的竞争机制，规范员工的晋升、晋级工作流程。

第二、其他内部信息的收集与传递

1.财务信息

公司制定了《财务报告制度》，根据财务监督工作的需要，公司向上级监管部门报送的年度财务报告应当做到“统一编报口径、统一编报格式、统一编报要求”。按照要求报送纸质文件和电子文档的财务报表、报表附注、财务情况说明书、审计报告等资料。公司财务报告应当加盖公司公章，并由公司的法定代表人、分管财务副总或主管会计工作的负责人、财务部负责人、编制人签名并盖章。

2.投资信息

3.规章制度信息

公司针对运营管理中的各项业务制定了各项规章制度。内控部在形成制度正式文稿之前征求职能部门和下属单位的意见，在广泛吸收意见的基础上完善，最后由内控部签发执行。

第三、信息报告

1.公司制定了《安全管理制度》，该制度主要对公司各部门应对紧急、异常情况的控制及处理方式方法等进行了规范。

2.公司制定了《XX运输事故综合应急救援预案》，该制度对事故报告、调查、处理和验证等事故处理机制和程序进行了规范。

4.公司制定了《公司行政监察制度》，行政监察工作建立举报制度和申诉制度。审计部负责对公司各部门（单位）及员工遵守法律、法规、政策和执行公司规章制度的情况进行监察。审计部对公司负责并报告工作。

5.公司制定了《投资管理制度》，该制度规定了各职能部门根据公司中长期战略规划报告和年度经营计划的主要原则与具体编制要求，结合本部门实际情况，组织编制本部门的中长期战略规划和年度经营计划，并于内部初步评议后提交内控部。内控部会同其他职能部门等对提交的中长期战略规划报告和年度经营计划进行分析审核，对各类规划方案进行汇总平衡，编制公司中长期总体战略规划报告和年度经营计划，提交总经理办公会审批。内控部根据审批意见，编制公司中长期战略规划和年度经营计划最终报告，下发到所属各部门遵照执行。

6.2.2沟通

有效沟通的建立需要从沟通环境、沟通渠道、沟通方式及沟通反馈等多方面着手。有效沟通的特点表现为：沟通频率高、方式随意；沟通深入且平等；具有沟通所需的物质条件；完善的沟通制度和系统；全方位的信息共享。

建立横向和纵向相互通畅、贯穿整个公司的信息沟通渠道，确保公司目标、风险策略、风险现状、控制措施、员工职责、经营状况、市场变化等各种信息在公司内部得到有效传递。

6.2.2.1向员工传达其职责和控制责任的有效性

公司采取的沟通方式应能实现沟通的目的；员工应清楚他们的行为要达到的目标，以及他们的工作对于实现这些目标的作用；员工应清楚自己的职责与他人的职责的相互影响。

6.2.2.2内部沟通充分

内部沟通的充分性，信息的完整性和及时性，以及使人们有效履行职责的信息充足性。

6.2.2.3沟通渠道畅通有效

6.2.2.5管理层对于外部信息采取及时和适当的应对措施

公司应及时调查投资者、股东反馈的信息并予以应对；对与客户进行交易的财务数据应严格把关，如果发现错误应及时纠正；保证公司所获取的信息并非失真信息；对于投诉信息，公司管理层应认真对待。

6.2.2.6公司目前的具体实施措施

第一、明确的职责和有效的控制

1.公司制定了《人力资源规划管理制度》，该制度主要规范了公司人力资源规划编制与审批的管理程序。公司定期分析员工队伍结构和人力资源总量分布，确定人力资源需求量，结合公司人员流动状况，确定并编制《年度人力资源规划》等。

2.公司人力资源部应组织新员工的培训，各部门应定期组织员工开展岗位培训，使员工清楚其行为要达到的目标及自己的职责与他人的职责如何相互影响。

3.在绩效考核方面，公司制定了《绩效考核管理制度》和《工作标准化管理考核标准》，对公司各部门员工业绩的考核内容、考核指标、考核方法和考核程序等进行了相应的规范。人力资源部应根据公司制定的各种绩效考核办法组织对员工的绩效考核，并及时将考核结果反馈被考核人，有效检查员工对其职责的理解和有效性控制。

4.公司根据经营目标、职能和监管要求，颁布并实施了《各部门职责范围》，对行政部、内控部、审计部、人力资源部、财务部、资产管理部、安环部、采购部、WL部、调运一部、调运二部、工会等部门职能予以描述和规范，以利于员工理解自己部门的工作职责，提高部门间工作协作的效率和效果。

5.公司制定了《薪酬管理办法》，该办法规定了人力资源部为公司薪酬管理主管部门，负责公司薪酬分配制度、办法的制定和薪酬分配的宏观管理，各分公司在各自职责范围内做好薪酬级别确定的具体工作。薪酬由岗位工资、计件工资、提成工资、安全效益奖、年功津贴、法定节假日加班工资、其它津贴等构成。根据岗位工作责任、工作量、劳动强度、工作风险、管理难度等划分为五类岗，每岗分为三个级别，由低到高合理拉开岗位工资标准。

第二、报告指标体系

1.公司制定了《财务报告制度》，为保证公司年度财务状况及经营成果的真实性，公司于月度、季度和年度上报财务报表至公司财务部。根据财务监督工作的需要，公司向上级监管部门报送的年度财务报告应当做到“统一编报口径、统一编报格式、统一编报要求”。按照要求报送纸质文件和电子文档的财务报表、报表附注、财务情况说明书、审计报告等资料。公司财务报告应当加盖公司公章，并由公司的法定代表人、分管财务副总或主管会计工作的负责人、财务部负责人、编制人签名并盖章。

3．公司制定了《投资管理制度》，该制度规定了各职能部门根据公司中长期战略规划报告和年度经营计划的主要原则与具体编制要求，结合本部门实际情况，组织编制本部门的中长期战略规划和年度经营计划，并于内部初步评议后提交内控部。内控部会同其他职能部门等对提交的中长期战略规划报告和年度经营计划进行分析审核，对各类规划方案进行汇总平衡，编制公司中长期总体战略规划报告和年度经营计划，提交总经理办公会审批。内控部根据审批意见，编制公司中长期战略规划和年度经营计划最终报告，下发到所属各部门遵照执行。

6.2.3信息系统

信息系统是指公司利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化平台。

6.2.3.1信息系统总体控制

信息系统总体控制适用于公司在信息技术的开发、实施、运行、维护及管理等方面的控制，它可以更好地保护公司的信息资产，可以提高信息系统对业务的支撑力度，增强公司信息系统的运行效力。

信息系统总体控制通常包括内部环境、招标管理、项目建设、项目验收、系统运维、信息系统安全管理、信息技术标准管理等。

6.2.3.2信息系统应用控制

信息系统总体控制和应用控制是相互关联的。信息系统总体控制是应用控制的基础，应用系统控制依赖于信息系统总体控制，信息系统总体控制和应用控制共同保证信息处理的完整性和准确性。

6.2.3.3公司目前的具体实施措施

6.2.4反舞弊机制

舞弊是一种采取不正当和欺骗的手段，有意识地违反既定的公众认可的规则以损害或谋取组织经济利益的行为。

公司应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。

公司应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为公司有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。

反舞弊机制不仅需要满足合法性要求，而且应该具有预防性和及时性，受到公司管理层的直接监督和重视。它强调审计、监察等部门的作用，主要包括进行舞弊风险识别、分析、评估并测试反舞弊控制设计和执行的有效性、执行舞弊违规调查并提出整改意见等工作。

公司应当将下列情形作为反舞弊工作的重点：

1.管理层应当设计、实施有效的公司反舞弊控制和程序，针对各类舞弊行为，采取适当的措施。

2.董事会和监事会应对公司反舞弊的控制和程序进行监督。

3.建立并推行诚信与道德价值观。

4.建立举报热线和检举揭发机制及举报人保护制度。

5.招聘和晋升时进行背景调查。

6.建立舞弊调查程序并实施恰当的补救措施。

7.风险分析中应包含舞弊风险的内容。

8.为减少已识别的舞弊风险，应该设计并实施有效的控制活动。

10.管理层对反舞弊控制和程序的效果进行持续监控和定期评估。

公司目前的具体实施措施

公司制定了《内部审计管理制度》，该制度规定了审计部门按中国内部审计准则及中国内部审计协会制订的其他规定实施舞弊事件审计。

公司监事会按照《中华人民共和国公司法》及《公司监事会议事规则》、《公司章程》等，对公司高级管理人员执行公司职务的行为进行监督，并及时报告公司高级管理人员的诚信及勤勉尽责表现。

内控与风险管理信息平台是一个可支撑公司对各部门和下属各单位的业务流程管理、绩效考核、流程预警、数字预警、风险快报、手册信息化管理、以及内控测试等满足内部控制和全面风险管理要求的信息系统，实现内控与风险管理流程、业务流程语言、设计规范、管理制度、控制措施、风险管理报告等的统一管理，建成满足内部控制和全面风险管理，具有开放性、可拓展性的信息系统。

内部监督是公司对内部控制建立与实施情况进行监督检查，评价内部控制的有效性的持续过程，包括日常监督、专项监督、缺陷跟踪和内部控制评价等要素。

日常监督是指公司对建立与实施内部控制的情况进行常规、持续的监督检查。它是在公司的日常经营过程中进行的，包括日常的管理和监督活动，以及员工在履行职责时所采取的检查内部控制执行质量的行为。

1.内控与风险管理体系运行与维护管理。

2.获得内部控制与风险管理执行的证据。

3.外部反映对内部信息的印证。

4.会计记录和实物资产的定期核对。

5.内部审计建议的响应。

6.公司管理层及有关部门获知内部控制与风险管理的程度。

7.定期询问员工。

8.内部审计活动的有效性。

（2）公司财务部通过财务分析等形式，汇集各方面信息，分析异常变动的原因，使潜在问题得到反映，从而对财务报表质量进行监控。

（5）公司制定了《预算管理办法》，该办法对财务预算编制、审批、执行、控制分析、调整、监督及考核进行了规范。公司制定了《财务报告制度》，该制度对公司财务报表的构成、编制、报送及报表分析进行了规范。

（6）公司制定了《固定资产管理制度》，明确固定资产定期盘点的具体要求及岗位设置。资产管理部、财务部及各部门应定期核对固定资产台账，确保账账相符。固定资产至少每年终了实地盘点一次，盘点工作由资产管理部门与财务部门共同进行，具体职能部门负责实施。盘点应编制固定资产盘点清册，经盘点人员和使用部门负责人签字，对出现的盘盈、盘亏现象，分别由使用部门负责查明原因，并填写盘盈、盘亏清单，经管理部门、财务部门会签。盘盈的净收入和盘亏的净损失，按公司签报审批程序及权限批准后，财务部门负责作账务处理。

（8）公司制定了合理化建议采纳流程，该流程体现了管理层对公司员工提出的合理化建议的重视，明确了相应的责任部门、范围、征集方式、评审办法、奖励措施等内容。

（9）公司确立重要业务流程及对应的控制措施，各单位在日常工作中，就本单位员工是否执行了控制活动进行监督检查。

7.2.2专项监督

专项监督是指在公司发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性地监督检查。

尽管日常监督程序可以提供内部控制其他要素是否有效的重要信息，但公司有必要组织专项监督以直接检查内部控制体系的有效性，这种做法可评估日常监督程序是否有效。

7.2.2.1评价过程

7.2.2.2评价结果

专项监督评价人员根据评价结果，编制缺陷报告，上报公司内控部和审计委员会。审计委员会将评价结果通报被评价单位或部门，并跟踪整改。

公司制定了《内部审计管理制度》，制度中明确规定，公司根据实际情况以及公司或股东利益的实际需要，审计部按中国内部审计准则及中国内部审计协会制订的其他规定实施以下各项专项的审计：（一）年度经营及财务情况审计；（二）固定资产投资项目审；（三）管理审计及内部控制审计；（四）重要财务经营活动和重点项目审计；（五）各级经营负责人任期和离任经营责任审计；（六）关联交易审计；（七）重大问题及非常事件审计；（八）公司内部经营违法行为、舞弊事件审计。

7.2.3.1概念

当某项控制的设计或运行不能使管理层或员工在正常行使其职责过程中及时防止或发现错报时，表明存在内部控制缺陷。

7.2.3.2缺陷认定

1.缺陷类型：

⑴按产生的性质分成设计缺陷和运行缺陷。

⑵缺陷按照程度不同分为重大缺陷、重要缺陷和一般缺陷。

2.缺陷分析：

对于内部控制评价过程中所发现的问题，公司应首先根据该事项的内容与性质判断其是否说明内部控制存在缺陷。对于实际存在的缺陷，公司应进一步分析其产生的性质，并确认该缺陷属于设计层面或执行层面。公司还应从定量与定性等方面进行衡量，确认该缺陷的影响程度。

7.2.3.3缺陷跟踪

缺陷跟踪是将内部控制自下而上报告的行为。缺陷跟踪的内容包括：汇集和报告发现的内部控制缺陷、汇报机制的适当性、跟进评估的适当性等。

内部控制评价是指通过对各控制点的实际执行情况进行有效性检测，以确定各业务流程中的控制点是否依照公司各职能部门的内部控制规定执行，并向适当的管理层报告评价结果及失效控制点的整改建议，监督整改落实情况，为编制内部控制评价报告提供依据。

7.2.4.1内部控制评价的原则

1.全面性原则。评价工作应当包括内部控制的设计与运行，涵盖公司及其所属单位的各种业务和事项。

3.客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

7.2.4.2内部控制评价的适用范围

内部控制评价是指由公司董事会和管理层实施的，对公司内部控制有效性进行评价，形成评价结论，出具评价报告的过程。

7.2.4.3内部控制评价的基本内容

内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当。

内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。

公司应当根据《企业内部控制基本规范》及其应用指引的有关规定，建立与实施内部控制，并以此为依据和标准组织开展内部控制评价工作。

7.2.4.4内部控制评价的基本方法

企业内部控制评价，一般包括年度评价和专项评价。其中，年度评价是指公司根据内部控制目标，对公司某一年度建立与实施内部控制的有效性进行的评价；专项评价是指公司在特定时点对特定范围的内部控制的有效性进行的评价。

公司应当按照制定评价方案、实施评价活动、编制评价报告等程序开展内部控制评价。具体来说：

1.公司内部控制评价机构应当根据公司整体控制目标，制定内部控制评价工作方案，明确评价目的、范围、组织、标准、方法、进度安排和费用预算等内容，报管理层和董事会审批。

2.内部控制评价范围的确定应当遵循风险导向、自上而下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。

7.2.3.5内部控制评价的评分标准

内部控制评价的评分标准，是指采取评分制，对公司内部控制的过程和结果分别设置一定的标准分值，并根据评价得分确定被评价机构的内部控制等级。

公司应当结合自身的业务特点和实际情况，参照行业标准或规范，制定适合的内部控制评分标准。

7.2.3.6内部控制评价等级

内部控制评价等级，是指根据综合评价总分确定被评价机构的内控与风险管理体系评价等级，并按评分标准对被评价机构内部控制项目逐项计算得分，确定评价等级。

7.2.3.7内部控制评价结果的应用

1.公司应当定期对内部控制整体有效性进行评价、出具评价报告，并向董事会、监事会和管理层报告内部控制设计与运行环节存在的主要问题以及将要采取的整改措施。

3.公司应当结合年末控制缺陷的整改结果，编制年度内部控制评价报告。

4.公司应当在评价报告中明确财务报表日之后截至内部控制评价日发生的、可能影响财务报告控制目标有效性的所有重大变化。

7.2.3.8内部控制评价流程及说明

公司建立了内部控制评价流程和控制文档，以规范其评价活动。具体来说，内部控制评价流程根据实施主体的不同分为内部控制自我评价和内部控制独立评价。

公司内控部负责组织内部控制自我评价的实施，对应的流程图与流程描述如下：

公司可以委托专业内部控制和企业风险管理咨询机构实施内部控制独立评价，能够帮助公司管理层更加快捷、有效地对公司内部控制的有效性进行评价。