电网公司内控体系创先工作方案

广东电网公司内控体系 创先工作方案 内控体系 工作 组 二 九 年 四 月 三日 广东电网公司内控体系创先工作方案 1 目 录 一、广东电网公司内控体系现状及存在的问题 . 2 二、公司内控体系构建框架 . 3 三 、公司内控体系创先工作目标 . 5 （一）工作目标 . 5 （二）关键指标 . 5 （三）分阶段工作目标 . 5 四、内控体系创先工作内容 . 6 （一）内控基础环境建设 . 6 （二）内控管理运作机制建设 . 15 （三）建设内控管理信息系统 . 17 五、内控体系创先主要工作实施计划 . 19 附录：公司内控体系与 COSO 内控框架体系的关系 . 20 广东电网公司内控体系创先工作方案 2 广东电网公司 内控体系 创先工作方案 一、 广东电网公司内控体系现状及存在的问题 内部控制管理是企业为防范控制经营风险、确保健康可持续发展而 进行的管理活动 ，是企业经营管理的重要组成部分。从目前现状来看， 公司内部控制 管理初见成效 ，主要体现在： 1.各业务管理领域 基本 建立了内部控制制度； 2.主要 业务 管理领域不同程度地实施了风险控制活动； 3.设置 了 审计、监察等专职部门，对主要业务领域初步实施了内控制度 监督评价惩处 ； 4.各级人员 对 加强内部控制和风险管理的 重要性认识不断 提升 。 但是，对照国内外先进的内部控制管 理理论和实践，公司仍然存在明显的差距， 没有形成完善的内控体系，突出表现在内控基础 尚 不牢 固 ，内控运作机制不健全，没有实现信息化 支持 等，内控管理仍处于较低水平。 1.内控基础 尚 不牢 固 。具体体现在：缺乏系统的内控政策和制度；没有形成完善的内控管理组织体系和明确的管理职责；缺乏内控管理绩效考核指标和流程体系；没有对管理流程进行系统的风险分析和预控；尚未形成重视内部控制的企业文化。 2.内控 管理 运作机制不健全 。具体体现在： （ 1）业务管理领域缺乏明确的风险自我控制机制，目前只停留在零散内控管理阶段，管理水平和内控效果 参差不齐。 （ 2）公司缺乏 风险战略 管理机制。未设立 风险战略 管理机构，无法统筹管理各部门内控管理工作，无法对全局性重大风险进行综合分析控制。 3.内控管理信息化水平较低，内控效率不高，无法实现在线精细化管控。 总之，公司内控管理现状与创建省级电网公司的战略目标极不适应，内控管理的缺陷制约了公司的健康、可持续发展。因此，借鉴国内外最佳实践，构建完善、高效的内控体系，迅速提升内控管理水平势在必行。 广东电网公司内控体系创先工作方案 3 二 、 公司内控体系 构建框架 目前国际知名大企业基本上都基于 COSO 内控框架，建立了比较 完善 的内部控制体系。而国内企业 内控体系建设尚处于起步阶段，国家层面的内控规范 指引还处于征求意见阶段，绝大部分企业都没有形成完备的内控体系。因此， 公司 内控管理 创先的 努力方向 是 ： 基于 国内外先进 内控 体系框架 ， 建立符合公司实际情况、 满足公司管理需要的内控体系 ，并使之不断完善，实现内控管理领先 。 根据 COSO 内控框架和国家有关内控规范， 公司内控体系 框架 如下： 图 1 内控体系 框架图 各级业务职能部门 各级业务职能部门各级业务职能部门 各级业务职能部门业务风险自我控制风险战略管理内控基础环境基础内控管理信息系统内控管理运作机制内控目标目标和导向关键绩效指标内控监督评价惩处外部环境评价监督反馈内控信息沟通 该体系包括以下主要内容： 内控目标和关键绩效指标体系 ：内控体系的目标和导向。 内控基础环境 ：内控管理运作机制的组织、制度 和流程 基础 ，主要包括内控组织体系及管理职责，内控管理政策、制度和流程，内控绩效考核指标体系和流程， 廉洁文化 ， 内控文化等。 内控管理运作机制 ：内控管理的 核心 ，是基于内控管理基础环境的风险全过程管理机制。风险战略管理机制是统领，业务风险 自我控制 、内控 监督评价 惩处广东电网公司内控体系创先工作方案 4 和信息沟通机制是支撑。 风险战略 管 理 机制 ：对公司经营风险进行战略综合管控，对全局性重大风险进行统筹管控和协调，对各部门各单位内控管理进行协调和考核。 业务风险 自我 控制机制 ：在风险战略管理机制的统领下，由业务部门对其所负责的业务流程实施风险识别、评估、控制 及其评价为主要环节的自我控制机制。 内控 监督评价 惩处 机制 ：在风险战略管理机制的统领下，由内控监督评价部门 对各业务部门的风险自我控制进行全过程监督，对其控制绩效进行评价，提出内控改进建议，并对 违规违纪 行为进行 纠正和 惩处。 内控信息 沟通机制 ：公司内控管理各部门之间、上下级之间以及公司内部管理部门与外部环境之间的信息传递 /沟通机制，是内控管理运作的信息纽带和保障。 内控管理信息系统 1：对内控管理运作机制的 信息化支撑 ，将风险战略管理、业务风险 自我控制 、内控 监督评价 惩处、内控信息沟通等内控管理运作机制流程固化于内控 管理信息系统，并与业务管理信息系统高度集成，实现风险在线、精细化、全过程管理。 1 作为基础与保障的一部分，需要在第一阶段内控体系建设基本完成后进行规划 广东电网公司内控体系创先工作方案 5 三、 公司内控体系创先工作目标 （一）工作 目标 根据 国内外内控最佳实践，构建完善的以风险管理为核心的 内控 体系 ，主要包括 ： 构建以 风险战略 管理为统领，由业务 风险 自我控制管理、内控 监督评价惩处 管理、内控信息沟通管理 为支撑的 内控 管理 运作 机制 ； 构建以在线、精细监控为目标的 内控管理信息系统 ；建设以系统的内控制度流程、健全的组织体系、完善的绩效考核体系和积极的内控企业文化为主的 内控基础环境 。 最终实现基于流程的风险精细化全过程管理， 确保公司经营 符合国家法律、法规、政策和制度，公司内部各项管理制度有效并执行到位 ， 有效防范和控制各种经营风险，保障公司健康、可持续发展。 （二） 关键 绩效 指标 内控管理关键 绩效 指标由定量指标和定性指标组成。 定量指标包括： 内部控制实现率： 遵循内控管理制度的实际业务量占实际业务总量的百分比。主要针对可量化内控业务。公司（单位）级实现率由各业务内控实现率加权平均计算。业务级实现率按照业务流程实现率加权平均计算。权重按照重要性排序。海量业务实现率通过抽样测试，按照统计方法计算。 违规违纪 率 ： 违规违纪 员工 人 数占员工总 人 数的千分比 定性指标包括： 内控管理制度完整性 ：内控管理制度对实际内控 管理 运作流程的 支持 程度，分为完整、一般、不完整三个档次。 （ 三 ）分阶段工作目标 公司内控管理 分 三个阶段 逐步实现创先目标 ： 第一阶段： 2010 年底之前，基本 建立完整 的内控体系 。 引入国内外内控体系最佳实践，通过完善内控组织体系和内控管理制度流程构建坚实的内控基础环境，通过建立以风险战略管理为统领的业务风险自我控制、内控监督评价 与惩处、信息沟通机制构建完备的内控运作机制，形成公司初步完整 的内控体系。 广东电网公司内控体系创先工作方案 6 公司系统单位分层面目标： 2009 年底前，公司创先第 一、二层面完成目标。 2010 年 6 月底前，公司创先第三、四层面完成目标。 2010 年 12 月底前，公司创先第五层面完成目标。 第二阶段： 2011 年底之前，逐步建立内控管理信息系统，实现基于流程的在线、精细化内控管理，内控管理水平实现国内领先 。 公司系统单位分层面目标： 2010 年底前，公司创先第一、二层面完成目标。 2011 年 6 月底前，公司创先第三、四层面完成目标。 2011 年 12 月底前，公司创先第五层面完成目标。 第三阶段： 2013 年底之前，不断优化内控管理体系和管控流程，深化内控管理内容， 形成 持续改进 的内 控体系 ，内控管理达到世界先进水平。 公司系统单位分层面目标： 2011 年底前，公司创先第一层面完成目标。 2012 年 6 月底前，公司创先第二、三层面完成目标。 2012 年 12 月底前，公司创先第四层面完成目标。 2013 年底前，公司创先第五层面完成目标 四、 内控体系创先工作 内容 按照广东电网公司内控体系框架，内控体系建设主要 内容 包括： 内控基础环境建设 内控管理运作机制建设 内控管理信息系统建设 （一）内控基础环境建设 广东电网公司内控体系创先工作方案 7 1完善组织机构并明确管理职责，形成完整的内控管理组织体系 。 设置风险战略管理机构，实现 风险战略和内控统筹管理 风险战略管理机构对公司层面重要风险进行战略管控，并统筹协调 各业务部门的风险自我控制 管理 和监督部门的 监督评价惩处管理。具体设置如下： 设立省公司 内部控制委员会 ，委员会 对公司领导班子负责， 由公司领导担任委员会主任，相关业务部门和监督部门负责人、外聘内控专家等担任委员。 内部控制委员会 下设办公室 ，与审计部合署办公，负责内部控制委员会 日常事务办理 。 设立市级供电局 内部控制委员会 ，负责 本单位 风险战略和内控统筹 管理（具体组成参照省公司）。 广东电网公司内控管理组织架构如下图： 广东电网公司内控体系创先工作方案 8 图 2 公司内控管理组织架构图 公 公 公 公 公 公公 公 公 公 公 公 公公 公 公公 公 公 公公 公 公 公公 公 公公 公公 公 公公公 公 公公 公 公 公 公公 公 公公 公 公 )业务部门监督评价部门 公 公 公 公 公 公公 公 公 公 公 公 公公 公 公公 公 公 公公 公 公 公公 公 公公 公 公公 公公 公 公公公 公 公 公 公公 公 公 公公 公 公 公业务部门监督评价部门 公 公 公 公 公 公公 公 公公 公 公 公公 公 公 公 公 公 公 公 公公 公 公 公公 公 公 公业务部门监督评价部门 广东电网公司内控体系创先工作方案 9 内控管理组织机构的主要内控管理职责 安排 如下： 机构 名称 管理 定位 主要职责 内 部 控 制委员会 战略综合管理 对全局性重大风险进行战略统筹管理； 管理和协调公司各部门内控管理工作； 审批业务部门的风险自我控制计划，并考核其控制绩 效 ； 审批监督部门的内控监督评价计划 和结果 ，并考核其管理绩效。 业务部门 业务内控管理 负责对本部门的全部业务进行风险全过程管理和控制； 向内部控制委员会报 告风险自我控制计划和自我控制绩效自评结果； 接受监督部门监督，及时提供有关信息； 及时改进内控管理缺陷和不足。 监 督 评 价部门 （监察部 和 审 计部） 监督评价 与惩处职能 组织指导业务部门开展风险自我控制工作（审计部、监察部）； 对业务部门管理制度、流程、行为合法合规性 进行 监督和评价，并提出改进建议，查处 违规 违纪事件及行为（监察部）； 对业务部门风险自我控制工作进行监督和评价，提出改进意见（审计部）； 向内部控制委员会报告监督评价惩处情况和改进意见（审计部、监察部）。 广东电网公司内控体系创先工作方案 10 2 系统分析内控管理制度和流程， 制定 公司 统一、规范的内部控制指引。 内部控制指引包括公司内控管理政策、各部门职责以及系统的内控管理制度、详细的业务管理流程 风险分析 及其关键风险点控制等，是内控管理 运作机制的制度 依据 和流程保障 。 此项工作应与公司 流程再造、信息化 等创先工作同步配合。 基本程序 如下： 在省公司内部控制委员会的指导下，由省公司监督部门会同各业务部门，提出公司全系统的内控管理政策制度体系、流程运作框架体系和流程风险分析控制规范，经 内部控制委员会 批准后，形成内部控制指引纲要。 各单位、各部门按照内部控制指引 纲要的体系和要求，梳理现行内控制度和流程，删减无效制度和流程，补充完善不足制度和流程，分析流程关键风险点并提出控制措施，形成内控制度流程体系报告初稿。 各单位、各部门内控制度流程体系报告初稿分别送监督部门、上级业务部门审核评估，再报业务分管领导和内部控制委员会审批。 监督部门汇总编制经审批的内控制度和流程，并报上级内部控制委员会。 省公司监督部门汇总编制全公司各单位、各部门内控制度和流程，形成全公司系统的 内部控制指引 。 信息部门设计 内部控制指引数据库，并与业务管理信息系统集成，实现内部控制制度的在 线查询和动态更新。 根据信息化进展， 内部控制指引由定期更新逐步实现动态更新，更新流程参照以上所述。 业务流程风险分析：（内 部 控 制 指引组成部分，因其重要性作专项说明） 广东电网公司内控体系创先工作方案 11 业务流程风险分析是在流程优化和再造分析的过程中，对每个业务运作流程进行 详细 分析，识别关键风险点，并提出风险管控措施。具体步骤如下： 工作步骤 负责部门 工作内容 1明确分析要求、标准和规范 内部控制委员会、 监督部门 业务部门 监督部门会同业务部门编制流程风险分析要求、标准和规范报告，并报内部控制委员会审定。 2分析流程风险，识别关键控制点 业务部门 在流程优化和再造分析的过程中，评估分析本 部门各 业务流程中的风险事项 。 根据评估 分析 结果 ， 确定 各 风险 事项的关键 管控点 提出关键控制点的风险管控措施。 3评估改进 业务部门 监督部门 各业务部门汇总流程风险分析结果，送监督部门评估审核。监督部门提出改进建议。 业务部门根据监督部门改进建议修改或补充。 4审批 分管领导 内部控制委员会 业务部门将改进后的流程分析汇总报告报公司 分管 领导审核。 公司 分管 领导同意后报内部控制委员会审批。 经内部控制委员会批准后的流程风 险分析报告编入内部控制指引。 按照上述流程分析方法，通过对主要业务流程的初步梳理，并征询有关部门意见， 初步形成 以下 部分 分析结果： 管理业务 主要业务流程 关键控制点 财务 管理 预算管理 财务预算制定是否符合流程规定，执行是否刚性 不相容岗位分设 出纳与会计等不相容职务岗位是否分设 资金管理 是否制定资金内部控制制度与流程，资金支付审批制度是否健全，执行是否有效 资金收、支、存、管是否按规定核算与核对 现金开支的范围是否合规 生产技术管理 大修技改管理 大修技改 工作的管理分工和权责划分是否明晰，有无控制盲区 大修技改有关制度是否健全、是否适用 技改规划编制是否科学，立项是否严谨，计划的制定和执行是否严格 大修技改工程结（决）算审查是否合规有效等。 招标管理、物资管理、施工管理、项目的验收与投运是否按照制度要求和规定程序执行 电力营销管理 业扩报装 业扩报装是否按规定流程的执行 抄表收费 抄表员是否按规定定期轮换岗位 广东电网公司内控体系创先工作方案 12 抄、核、收不相容职务是否分离 抄表周期是否按规定进行，有无随意调整情况 是否建立抄表异 常报告或备案制度，对异常的电量、电费数据是否到用电现场复核并修正 电费对账 市供电局是否建立财务、营销月度对账例会制度，会议纪要是否按规定时间报省公司营销部，对账结果是否正确 客户信用评估及预购电 是否建立客户信用评估管理和预购电制度 计量器具采购与仓储 电能计量器具采购是否经过招投标，出入库管理是否规范 电网 发展规划 管理 年度电网基建计划制定 年度电网基建计划是否按规定制定，是否存在可行性研究报告未经审查批复而列入年度基建计划的项目 工程前期工作 工程前期工作计划或调整计 划是否按规定上报与下达，是否存在计划外开展的工程前期项目 前期费用的计列与拨付是否合规；基本建设项目的紧急立项及停缓建是否执行了必要的审核审批程序 小型基建管理 小型基建是否有项目建议书及可行性研究报告，并按分级管理权限报批，建设标准是否超出规定 工程建设管理 工程建设招投标 对工程建设招标范围是否有严格界定，是否存在应招标未招标情况 对招标资质审查的审查是否符合规定，是否存在不经过审查直接确定入围的情况 是否严格执行招标、评标、定标分离制度，评标过程是否公正、公开 信息管理等其余 11个管理业务 广东电网公司内控体系创先工作方案 13 建立内控管理绩效评价体系 内控管理绩效考核体系是内部控制指引的一个组成部分。因其对内控管理的特殊作用，在此作专项说明。 主要工作内容 包括 ： 建立内控管理绩效评价指标体系 ：将 内控管理关键绩效 层层分解 ，建立对各部门和各层级的绩效考核指标体系。 具体如下图所示： 建立内控管理绩效评价制度和管理流程：由监督部门会同业务部门拟定，经内部控制委员会批准后执行。 将内控管理绩效纳入公司统一的绩效考核体系：将内控管理关键绩效指标纳入公司统一绩效考核 指标体系，并按照公司绩效考核管理制度进行内控绩效考核。 图 3 内控 管理 关键指标体系示意图 公 公 公 公公 公 公 公公 公 公 公公 公 公 公公 公 公 公公 公 公 公公 公公 公 公 公公 公 公 公公公公公公公 公 公 公公 公 公 公公公公公公公公公公 公 公公 公 公 公 公 公 公 公 公 公公 公 公 公公 公 公 公公 公 公 公公 公 公 公公 公 公 公公 公公 公 公 公公 公 公 公 公 公公 公 公 公公 公 公 公公 公 公 公 公 公公 公 公 公公 公 公 公公 公 公 公公 公 公 公公 公 公 公公 公公 公 公 公公 公 公 公 公 公公 公 公 公公 公 公 公公 公 3 . 公 公 公 公 公 公 公 1 . 公 公 公 公 公 2 . 公 公 公 公 公 公 公公 公公 公 公 公 广东电网公司内控体系创先工作方案 14 3内控文化建设 配合公司企业文化创先工作，大力宣传内控创先，加强员工 内控理念与廉洁自律教育，加强内控人员 培养与培训，完善员工手册，培养 “一切风险皆受控”的 内控理念 ，树立 “清白做人、干净干事”的廉洁理念 ，形成“依法经营， 廉洁从业， 防范风险”内控文化氛围。 广东电网公司内控体系创先工作方案 15 （二）内控管理运作机制建设 1建立风险战略管理机制 风险 战略管理机制是由内部控制委员会 根据 内部控制指引 ，按照 风险战略管理制度和流程，对公司主要风险进行战略统筹管理的全过程，以及对公司各部门内控工作进行协调和考核。 （ 1） 根据公司 发展 战略目标，统筹考量公司面临的主要内外部风险，并进行 战略统筹管理 。 主要工作包括： 指导业务部门和监督 评价 部门进行 经营环境分析 和经营风险分析，并形成经营风险分析报告。 基于经营环境 和风险 分析报告， 对主要经营风险做出管控部署，并形成主要经营风险管控方案，报公司领导班子审批。 组织各部门实施经批准后的主要经营风险管控方案。 对主要经营风险 管控效果进行评价。 （ 2） 组织协调内控管理工作，并评价考核管理绩效。 主要包括： 审批业务部门风险自我控制工作计划和监督部门内控 监督评价 工作计划； 协调跨部门风险控制工作； 对业务部门风险自我控制管理绩效进行评价考核。 对监督部门内控监督管理绩效进行评价考核。 对各基层单位内控管理绩效进行评价考核。 2建立业务风险自我控制机制 业务风险自我控制机制 是业务部门 根据内部控制指引，按照 业务风险自我控制制度和流程，结合业务管理实际情况，对所负责的业务流程进行风险全过程自我控制管理 。 业务风险自我控制全过程如下 ： 风险识别 ：运用 风险识别工具和方法， 分析外部经营环境和内部管理条件的变化 ，对业务涉及的风险事项进行识别 和分析。 风险评估 ：运用 风险评估方法和工具，评估各风险事项 的影响效果； 根据评估结果，确定应当关注的重大和主要风险业务活动 /流程 ； 广东电网公司内控体系创先工作方案 16 风险应对 ：根据 公司的战略 发展要求和风险管理政策， 对重 要 风险制定应对策略 ，并 设计相应 管控方案。方案主要 包括所涉及的管理及业务流程、风险控制的具体目标、所需的组织、负责人、资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具等 。 方案审核 ： 重要风险管控方案汇总 报送监督部 门评估审核后，上报公司分 管领导和 内部控制委员会 审批后执行。 风险控制 ： 业务部门根据风险管控方案，实施风险管控 。 自我评估 ：业务部门定期对本部门风险管控有效性进行自我评估，分析管控缺陷 ，并形成自评报告 ，分别报送监督部门和内部控制委员会 。 持续改进 ：业务部门对管控缺陷制定改进方案， 经监督部门评估审核后，报分管领导和 内部控制委员会 批准后实施，使本部门风险管控持续改进。 3建立内控 监督评价 惩处机制 内控 监督评价 惩处机制 是 内控 监督评价部门 根据 内部控制指引 ，按照 内控 监督评价惩处 制度和管理流程， 对各业务部门的风险 自我控制 管理 进行全过程监督，对其控制绩效进行评价，提出内控改进建议 ，查处违规 违纪 行为 。 主要工作内容： 对业务部门风险识别分析工作进行监督 。根据业务特点和流程的完善程度，对运用风险识别工具、方法、手段的正确性和恰当性，程序的合规合理性，以及工作总体效率效果进行检查、分析和评价。 对业务部门风险管控方案进行评估，提出完善建议 。重点关注方案是否有针对性地提出了本部门所面临的各种风险的应对措施，是否具有可操作性，目标是否明确且切合实际，控制活动设计是否有利于管控目标的实现，管控责任是否分解和落实到岗，是否符合成本 效益原则等。 对业务部门风险管控过程进行监督 。审查业务部门风险管控方案是否落实到制度和流程，管控职责是否明确，管控过程是否合规有效。 对业务部门风险管控效果进行进行 监督评价惩处 ，提出改进建议，反馈业务管理部门，并报内部控制委员会。根据对业务部门风险管理全过程的分析和评估，结合风险管控的最终效果，形成业务部门风险控制的完广东电网公司内控体系创先工作方案 17 整性评价，并针对存在的不足，提出风险控制的改进建议，涉及违规 违纪 ，提出惩处意见，一并纳入业务部门风险内控 监督评价惩处 报告，送本单位内部控制委员会审定。 对业务部门风险管控改进工作进行监督。 检 查业务部门是否认真落实改进措施，是否举一反三，实施更全面、更深入的整改和提升举措。根据检查情况形成业务部门风险管控改进情况的 监督评价惩处 报告并提交内部控制委员会。 4建立内控管理信息沟通机制 及时充分的信息沟通是 实现 有效内控管理的重要保障。 内控管理各部门按照内部控制指引中的内控信息沟通管理制度和流程，在公司内外部之间及内部各 部门之间、上下级之间全方位 进行 内控信息传递 /沟通。 主要 工作内容： 明确 各内控管理部门的内控 信息需求 。由各部门根据管理职责提出内控信息需求内容和频率，并提出相应信息来源部门和渠道 。 经内部控制委员会协调和统筹，明确各类内控 信息产生 的负责部门、信息内容、提交对象、频率和渠道等。 信息 使用 部门明确各类内控信息的使用权限、存档保管等。 通过建立内控管理 信息系统 实现内控信息的 在线 共享和高速传递。 （三）建设内控管理信息系统 内控管理信息系统是实现在线、全面、精细化内控管理的根本保障，是 内控管理实现国内、国际领先的重要标志 。 公司 在 内部控制委员会 的领导协调下，由监督 评价 部门和信息部门组织，各业务部门深度参与，按照公司信息化创先工作部署，逐步建设高效集成的内控管理信息系统。主要工作包括： 业务管理部门通过流程梳理和风险分析，明确业务运作流程和关键风险控制点，在此基础上 明确业务风险的控制流程和信息需求 。 监督 评价 部门针对业务流程风险控制关键点及其风险控制流程和信息 ，广东电网公司内控体系创先工作方案 18 明确监督管理流程和信息需求。 内部控制委员会 明确 内控战略管理流程和 信息需求 。 信息部门根据明确了的内控管理流程和信息需求， 设计 建设 集成的管理信息系统，满足 各 部门各层级内控管理需要。 广东电网公司内控体系创先工作方案 19 五、 内控体系 创先主要工作 实施计划 任务 效果 责任部门 /人员 完成时间 第一阶段：初步建立完善的内控体系 1.宣贯动员 提高内控意识，制定内控建 设工作计划 公司内控体系工作组 2009 年 7 月 15 日前 2.对标 学习借鉴先进内控管理实践 公司内控体系工作组、咨询公司（需要时） 2009 年、 2010 年 3.成立机构 成立内部控制委员会 公