公司内部控制管理手册参考文献.docx

-1-XXXX有限公司内部控制管理手册2014年8月-2-目录第一章总则第一条概述第二条内部控制手册适用范围第三条内部控制目标第四条内部控制原则第二章内部控制组织架构及职责权限第五条内部控制组织架构第六条内部控制组织机构及职责第三章内部控制整体框架和流程控制第七条内部控制整体框架的五要素第八条流程控制要点第九条流程控制关键控制点第四章内部控制评估工作程序第十条内部控制要素第十一条评估范围的设定第十二条内部控制设计有效性评估第十三条内部控制运行有效性评估第十四条内部控制缺陷评价及整改跟进第十五条内部控制描述方法第十六条内部控制测试方法第十七条内部控制流程文档签署确认第十八条出具内部控制评估报告第十九条内部控制流程文档的更新第五章内部控制管理考核与激励第二十条内部控制管理考核责任主体第二十一条内部控制管理考核原则第二十二条内部控制管理考核方法第六章附则第二十三条内部控制手册维护第二十四条解释与生效-3-第一章总则第一条概述为了加强和规范XXXX有限公司（以下简称“集团公司”）的内部控制，进一步提高集团公司经营管理水平和风险防范能力，促进集团公司实现总体发展战略目标，根据中华人民共和国财政部等五部委颁布的企业内部控制基本规范（以下简称基本规范）与相关配套指引的要求，并结合集团公司的实际情况，制定本管理手册。第二条内部控制管理手册适用范围(一)本管理手册是集团建设并实施内部控制体系的纲领性文件，集团公司及其独资、控股、托管企业、事业部和直属单位（以下简称投资企业）要认真组织实施，严格遵照执行。集团公司参股企业可参照执行。(二)集团公司各职能部门和各投资企业要充分认识内部控制体系建设工作的长期性和艰巨性，把建立和有效运行内部控制体系作为本部门/企业的重要工作，建立长效机制，指定专职管理岗位或专职管理部门，履行内部控制职能，切实做到实施有力。(三)集团公司各职能部门和各投资企业要按照本管理手册编制规范（见附件1）的要求，制定、完善和细化本部门/企业的内部控制实施细则。第三条内部控制目标-4-根据基本规范要求，内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。要完成如下目标：(一)合理确保财务报告及相关信息真实完整，确保集团公司上下从思想上、认识上对财务报告相关内部控制保持高度统一，并进一步实现行为上的统一。(二)建立一套内容涵盖集团公司经营管理各个领域的内部控制机制，确保集团公司各项工作统一、规范、有序运行，最大限度地减少或规避风险，保证集团公司协调、持续、快速发展，促进集团公司实现发展战略。(三)促进集团公司完善和规范管理行为，保证资产的安全、完整及会计资料的真实、准确，以进一步提高集团公司的经营管理水平和经营效率。(四)建立一套科学、系统的内部控制体系建设方法和规范，为集团公司内部控制体系建设、运行和评价提供指引，并作为建立、执行、评价及验证内部控制的依据。以建立统一、规范、有效运行的内部控制体系，进一步完善和优化集团公司的内部控制，增强集团公司的风险防范能力。第四条内部控制原则集团公司开展内部控制体系建设工作应遵循以下工作原则：(一)全面性原则：内部控制应当贯穿决策、执行和监督全过程，覆盖集团公司及其投资企业的各种业务和事项。(二)重要性原则：内部控制应当在全面控制的基础上，关注-5-重要业务事项和高风险领域。(三)制衡性原则：内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。(四)适应性原则：内部控制应当与集团公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。(五)成本效益原则：内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。第二章内部控制组织架构及职责权限第五条内部控制组织架构(一)集团公司内部控制是由董事会、监事会、管理层和全体员工实施的、旨在实现控制目标的过程。因此，内部控制体系建设工作不仅是集团公司管理层的责任，而且是集团公司上下全体员工都需要参与的一项工作。(二)集团公司内部控制体系工作，在董事会领导下形成决策、管理、执行、监督四个层次的管理架构。第六条内部控制组织机构及职责(一)董事会董事会是内部控制的决策机构，负责内部控制的建立健全和有效实施，具体职责包括：-6-1.审批内控体系建设组织机构设置方案。2.审批内控体系建设的有关发展规划、工作方案等。3.审批内部控制管理手册等内控体系建设成果文件。4.审批内部控制评价报告。5.决定其他重大事项。董事会下设审计委员会，具体职责包括：1.指导公司内部控制机制建设。2.监督内部控制的有效实施和内部控制自我评价情况。3.协调内部控制审计。4.董事会授予的其他权限等。(二)监事会监事会是内部控制的监督机构，负责对同级董事会建立与实施内部控制进行监督。(三)管理层管理层是内部控制体系建设和实施的直接领导和执行机构，包括领导机构和工作机构两个层面，具体组成及职责如下：1.内控建设工作领导小组(1)组成组长：集团公司总经理副组长：分管集团公司计划财务部、规划发展部、资产运营部和纪检监察部的集团公司领导成员：集团公司各职能部门负责人(2)具体职责-7-组织领导内控体系建设工作。审核内控体系建设的有关发展规划、工作方案等。审核内部控制管理手册、内控流程文件汇编、权限指引等内控体系建设成果文件。审核内部控制评价报告。协调处理内控体系建设中的其他重大事项。2.内控建设工作小组(1)组成组长：纪检监察部负责人副组长：计划财务部、资产运营部、规划发展部、人力资源部、党群工作部负责人成员：集团公司各职能部门相关人员内控建设工作小组的办事机构设在纪检监察部（风控室）。(2)具体职责拟订内控体系建设的有关发展规划、工作方案等。组织开展内控体系建设的相关培训。编制内控体系建设相关文件的模板。审查内控体系建设的有关成果文件。督促、指导各部门、各投资企业相关工作。通报内控体系建设工作进展情况。办理内控体系建设的其他事项。(四)评价部门集团公司纪检监察部（审计室）是内部控制体系的评价部门，-8-负责组织评价工作，其具体职责包括：1.组织制定内部控制评价制度。2.拟订内部控制评价工作方案。3.组织各职能部门与各投资企业内部控制自我评价和测试工作。4.对于评价过程中发现的重大问题，及时与相关管理层沟通，认定内部控制缺陷，拟定整改方案，并对整改情况出具审核意见。5.汇总内部控制自我评价底稿和报告、内部控制工作小组测试评价工作底稿和评价报告。6.编制内部控制评价报告，及时向董事会（审计委员会）或管理层报告。7.督促落实内部控制缺陷整改。8.负责内部控制评价相关记录或者资料的归档工作。9.办理内部控制评价相关的其他事项。(五)各职能部门和各投资企业各职能部门和各投资企业是内部控制的执行主体。各职能部门和各投资企业应设立内控建设工作领导小组和内控建设职能岗位/部门/,负责本部门（相关业务领域）和本企业的内控体系建设与实施工作，其具体职责包括：1.收集、整理、统计、分析其职能或业务领域内的各类与风险和内部控制相关的风险信息，进行风险评估，研究风险应对策略，编制风险数据库。-9-2.梳理业务流程，设置风险控制点，明确关键控制措施，按照模板编制流程文件（内控实施细则）。3.对业务流程的实际操作进行日常控制监测，以公司内控目标为准则，识别偏离目标的原因或现行体系与其环境适应性方面的差距，找出改进的机会，制定行动方案付诸实施。4.对照内控相关规范、指引，制订、修订本部门/企业职责范围内的规章制度。5.对认定的内部控制缺陷，拟定整改方案。6.配合公司内部控制与风险评估每年至少一次的检查与测试工作。7.组织本部门（相关业务领域）/企业员工学习内控知识和相关的法律法规等要求，必要时将相关要求转化到管理文件中。8.梳理部门（相关业务领域）/企业岗位的职责权限，编制岗位说明书。9.组织本部门（相关业务领域）/企业的内部控制自我评价工作。10.与本部门（相关业务领域）/企业有关的内控体系建设的其他工作。第三章内部控制的整体框架和流程控制第七条内部控制整体框架的五要素按照基本规范及相关配套指引中的要求，并结合国际公-10-认的COSO内部控制评估整合框架，集团公司内部控制的整体框架包含以下五大要素：(一)内部环境是集团公司实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。(二)风险评价是集团公司及时识别、系统分析经营活动与实现内部控制目标相关的风险，合理确定风险应对策略。(三)控制活动是集团公司根据风险评价结果，采用相应的控制措施，将风险控制在可承受度之内。(四)信息与沟通是集团公司及时、准确地收集、传递与内部控制相关的信息，确保信息在集团内部、集团与外部之间进行有效沟通。(五)内部监督是集团公司对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。第八条流程控制要点流程控制主要是指对业务流程及关键控制点的风险描述、操作程序描述以及控制活动。集团公司各职能部门和各投资企业要按照企业内部控制应用指引第1号组织架构等18项应用指引的具体规定开展内部控制建设和实施工作。重点要把握业务流程及关键控制点的控制活动的几个要点：-11-控制流程一级流程关键控制点主要责任部门备注组织架构组织架构组织架构设计与运行董事会办公室资产经营部人力资源部治理结构与议事规则董事会专门委员会重大事项决策组织架构调整投资企业管控发展战略发展战略发展战略制定董事会办公室规划发展部发展战略实施发展战略评估与调整人力人力人力资源引进与开发人力资源部(一)不相容职务分离控制。通过岗位职责分工，在业务流程中涉及到的授权、签发、核准、执行和记录等五个步骤中，确保每一步都有相对独立的人员或部门分别实施或执行。(二)授权审批。业务活动的权限，根据不同的业务性质，不同的岗位以及业务活动的重要性程度，按不同层次进行审批。(三)记录的完整性。对控制活动中的行为要进行记录，确保原始材料真实可查。(四)监督和改进。要定期和不定期对各业务流程和关键控制点进行梳理和监督检查，对存在的缺陷进行调整和改进。第九条流程控制关键控制点以基本规范五要素为指引，按照企业内部控制应用指引，参照国内大中型企业内部控制的做法，集团公司确定了基本的业务流程及关键控制点，集团公司各职能部门和各投资企业要围绕（但不限于）此业务流程及关键控制点，建立本部门/企业的内部控制实施细则。流程控制关键控制点及责任部门-12-控制流程一级流程关键控制点主要责任部门备注资源资源人力资源战略规划人力需求分析管理职位分析招聘管理员工培训人力资源的使用与退出绩效考核与薪酬管理重大福利政策管理员工离职人力资源分析与评估社会责任安全生产和产品质量安全生产、环保控制规划发展部人力资源部安全生产、环保管理员工安全培训安全生产、环保事故应急预警及报告机制安全、环保事故调查与处理产品质量控制企业文化企业文化企业文化建设党群工作部企业文化宣传企业文化与业务融合企业文化评估与创新资金活动筹资筹资业务控制计划财务部筹资方案审批筹资合同订立筹集资金的使用与管理本金、利息和股利支付会计控制投资投资业务控制规划发展部计划财务部投资评估分析与决策审批投资评价与执行管理投资项目处置投资后评价会计控制资金营运资金营运控制计划财务部资金支付业务与账户管理现金及银行存款管理资金结算管理-13-控制流程一级流程关键控制点主要责任部门备注票据与印章管理并购交易控制衍生工具控制采购业务采购采购计划与审批计划财务部资产运营部供应商选择与评价采购价格管理采购合同订立采购验收与入账采购付款控制采购业务后评估资产管理存货存货管理计划财务部资产运营部存货采购外购存货验收存货领用存货盘点与减值固定资产固定资产管理资产运营部固定资产取得与验收固定资产使用与维护固定资产盘点与减值固定资产抵押固定资产处置会计控制资产管理无形资产无形资产管理资产运营部计划财务部无形资产投资预算无形资产交付验收无形资产处置会计控制关联交易关联交易管理计划财务部重大关联交易审核会计控制销售业务销售销售审批与定价计划财务部资产运营部销售业务审批客户开发与信用管理销售定价业务管理合同管理销售发货与收款-14-控制流程一级流程关键控制点主要责任部门备注客户服务赊销业务管控研究与开发研究与开发立项与研究规划发展部资产运营部研发项目过程管理开发与保护工程项目工程项目工程立项与决策审批规划发展部计划财务部纪检监察部工程设计工程招标工程造价合同管理工程建设工程验收项目后评估担保业务对外担保调查评估与审批计划财务部担保执行与监控担保终止业务外包业务外包承包方选择规划发展部计划财务部资产运营部业务外包实施承包商履约能力评估财务报告财务报告财务报告编制计划财务部会计政策变更及会计估计调整日常账务处理重大事项会计处理资产清查、债权债务核实、减值测试单体报表编制合并报表编制财务报告对外提供财务分析全面预算全面预算预算编制计划财务部预算执行预算调整预算考核合同管理合同管理合同编制与审核资产运营部规划发展部纪检监察部集团办公室合同订立合同履行合同变更解除-15-控制流程一级流程关键控制点主要责任部门备注合同纠纷处理合同印章管理与合同归档合同管理后评估内部信息传递内部信息传递内部报告形成与审核董事会办公室集团办公室内部控制评价部门信息收集整理与分析管理内部报告使用信息披露与保密反舞弊管理机制信息系统信息系统信息系统战略规划资产运营部信息系统开发信息系统运行与维护信息系统安全信息系统应用控制第四章内部控制评估工作程序第十条内部控制要素集团公司内部控制是由集团公司董事会、监事会、管理层、全体员工实施的、旨在实现控制目标的过程，其包括每个重要及子流程的交易发起、审批授权、记录、处理和报告的过程。集团公司的内部控制要素包括：(一)发起因一项交易的发生而产生的应承担的权力或义务、增加的资产或负债，即交易记录的起点。(二)审批授权在交易执行或记录之前，有独立的审批授权，对业务的执行进行授权批准。(三)记录每项交易一旦发起，必须在交易的过程中将相关的控制过程及关键控制点进行记录。-16-(四)处理必须正确执行交易过程中的信息，以确保交易记录的准确性。(五)报告营运过程中产生信息的汇报过程。第十一条评估范围的设定内部控制评估范围的设定应从内部控制的目标出发，即：合理保证集团公司经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果及促进集团公司实现发展战略，参照基本规范与相关配套指引的要求，并结合公司的实际经营状况和业务特点，采用以风险为导向的工作方法，将对集团公司经营运作有重大影响的关键风险点及业务流程纳入评估范围。内部控制评估的方式、范围、程序和频率，由集团公司根据经营业务调整、经营环境变化及业务发展状况等确定。具体来说，可通过以下方式设定评估范围：(一)全面了解集团公司的业务范围。首先识别属于集团公司范畴内的经营业务，并对其进行分类归纳和评估，应着重考察金额重大（如交易金额较大）或者性质重大（如交易数量频繁、易受人为操纵或损失、存在关联方交易或牵涉复杂的财务报表披露要求等）的业务。(二)考虑相关业务的风险水平。对上述重要或特殊业务进行风险评估，考察其在日常交易中可能存在重大风险，关注其对集团公司经营管理效率、合法合规、资产安全以及财务报告、相关信息真实完整等的影响。结合考虑风险评估的结果和专业判断，对具有重大风险影响的业务纳入评估范围。-17-(三)细分业务流程。结合集团公司的实际业务情况，对纳入评估范围的业务进行流程分解，按业务内容划分成若干业务子流程，从而方便了解相应的具体控制活动，并进行设计及控制有效性测试等。第十二条内部控制设计有效性评估(一)内部控制设计的有效性是指为实现控制目标所必需的内部控制程序都存在并且设计恰当，能够为控制目标的实现提供合理保证。(二)通过与流程负责人或相关系统负责人访谈以了解各重要流程的内部控制活动，并通过穿行测试确认内部控制的真实性，用以评价现有内部控制在设计上控制措施能否达到预期的控制目标。（具体测试方法详见本管理手册第十六条）(三)若发现有任何不足之处，将相关缺陷记录至缺陷报告，然后逐一评价其发生的可能性和潜在的影响。第十三条内部控制运行有效性评估(一)除以上评价内部控制在设计上的有效性外，还应对内部控制在运行上的有效性进行测试，内部控制运行的有效性是指在内部控制设计有效的前提下，内部控制能够按照设计的内部控制程序正确地执行，从而为控制目标的实现提供合理保证，包括控制措施是否按设计得到一贯有效的执行和控制执行人员是否具备相应的职权或资格等。(二)内部控制运行的有效性离不开设计的有效性。如果内部控制在设计上是无效的，那么，即使这些内部控制制度能够得到-18-一贯的执行，也不能认为其运行是有效的。(三)内部控制测试仅针对关键控制进行。关键控制是指对公司日常经营运作具有深入的影响的控制，关键控制的失败将直接影响到公司战略、运营、合规、财务和资产安全控制目标的实现。(四)通过执行内部控制测试（包括信息系统应用控制）验证关键控制是否在固定期间内得到一贯有效的执行。评价现有内部控制措施在操作上能否达到预期的控制目标。若发现有任何不足之处，将相关缺陷记录至缺陷报告，然后逐一评价其影响。第十四条内部控制缺陷评价及整改跟进在执行内部控制设计有效性和运行有效性评价后，需把识别到的内部控制缺陷按照其类型进行分析。(一)内部控制缺陷主要分为设计缺陷和运行缺陷：1.设计缺陷：指的是内部控制措施在设计上本身就存在漏洞或控制缺失，控制措施无法将风险降低到可接受的最低水平。2.运行缺陷：指的是控制措施在设计上本身是有效的，但控制执行人并未按规定将控制活动一贯的有效执行。(二)内部控制缺陷按其后果的严重性和发生的可能性还可以分为三大类：重大缺陷、重要缺陷和一般缺陷。1.重大缺陷：是指一个或多个控制缺陷的组合，可能导致集团公司严重偏离控制目标的情形。结合集团公司风险评价的结果，仅高风险领域的关键控制点的内部控制缺陷才可能产生重-19-大缺陷。2.重要缺陷：是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致集团公司偏离控制目标的情形。3.一般缺陷：是指除重大缺陷、重要缺陷之外的其他控制缺陷。(三)内部评价部门应当分析内部控制缺陷的性质和产生的原因，提出整改方案，并与各流程负责人进行确认后，采取适当的形式及时向董事会、管理层或审计委员会报告，并考虑是否有必要就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。(四)内部控制评价部门应当跟踪内部控制缺陷整改情况，在各流程负责人针对内控缺陷完成初步整改后，检查相关的支持性文件，判断整改措施是否得到恰当实行，是否能满足风险控制的要求。第十五条内部控制描述方法在内部控制评估工作过程中，凡是与集团公司经营运作密切相关并产生重大影响的控制都需要进行详细的记录。(一)在编写流程描述时，对于每个控制点的描述应包括以下六个要素内容：1.谁是该控制的执行者。2.控制在什么时间发生。3.控制涉及的操作对象，控制活动客体，表单或文档名称。-20-4.控制体现在什么地方。5.该控制的目的。6.如何执行控制活动，具体操作和控制执行过程。例如：财务管理部负责人（谁）每月末（什么时间）将本月实际资金收支与预算进行比较分析（如何实施），并在分析报告上签字（什么地方），以确保当月资金计划的执行无重大错误和遗漏（目的）。(二)在记录被纳入工作范围的流程时，可以通过以下方式识别流程层面的主要控制点：1.审阅现行的管理制度。2.询问有关责任人控制情况。3.进行穿行测试。4.将内部控制设计与基本规范和其它内部控制资料进行比较和差异分析。(三)使用标准的工作底稿模版记录内部控制描述（详见附件2）。在工作过程中，将现有的过程、政策、方法、操作守则、业务流程和业务负责人等内容进行详细记录。第十六条内部控制测试方法在进行测试时，通常在制定风险控制矩阵（RCM）对主要业务涉及到的风险进行评估的基础上，运用穿行测试和控制测试分别检验和评价有关内部控制在设计上和操作上的有效性。(一)风险控制矩阵：即将业务流程中所涉及的风险和对应的内部控制进行梳理、汇总和匹配，从而帮助发现设计性控制缺陷-21-的一种矩阵式表格。（风险控制矩阵的模板请参见附件2）通过在风险控制矩阵中列示业务流程中所面临的主要风险点，并将公司已有的控制活动按重要性进行划分，记录具体的控制活动内容、控制负责人、控制类型和涉及的会计科目认定等内容，可明确地将主要风险点和具体的控制活动匹配起来，评估控制活动的设计是否合理和是否满足风险控制的要求，从而帮助发现是否存在设计性控制缺陷。(二)穿行测试：即对完整业务流程轨迹按交易流程进行模拟跟踪，需要审阅及复印交易所涉及的实际交易单据、凭证、对账单及其它有关文件。每年都需要对项目范围内的主要流程进行穿行测试。测试人员通常可以在了解交易流程及识别内部控制点编制内部控制评价文档的同时进行穿行测试。在穿行测试中，应在每类重大交易中选择一笔交易，从其业务起点追溯至业务的终结。通过流程穿行测试可以验证并确认内部控制的可行性及有效性，所取得的样本将留作今后评价阶段的书面证据。应选取一个比较完整的样本，从业务流程的开始至结束进行测试，尽量确保针对流程各个环节获取的文档能保持勾稽关系。在考虑内部控制设计的有效性时，测试人员需判断其内部控制设计是否可以防范/规避有关风险（例如，需要处理什么风险？控制如何进行？控制频率是否足够？员工技能或经验是否满足有效操作？）。-22-种类定义询问与对有关控制具有认识的人员进行访谈。（例如：询问有关控制活动，并从访谈中得到证据以证明有关跟进工作行之有效）观察观察控制的执行。（例如：观察盘点）审阅与检查检查控制执行的记录或文件。（例如：检查银行调节表作为有效操作的证据）重新执行对相应的控制进行重新演算，确保其正确操作。（例如：重新执行工资的计算过程，确保结果一致）系统查询恢复系统资料，比较结果以确认系统控制能正常操作。（例如：自动产生例外报告，设立逻辑性系统准入控制，确保职责分工及适当授权）内部控制实施的频率每年样本数量范围每年（一般为年终）1个每季度1个每月1个每周2个每天5个反复持续进行(一天内发生多次)5个(三)控制测试：即记录主要内部控制的执行情况，涉及管理层审核、职责与权限的划分、授信对账及差错报告等重要内部控制点，需审阅（包括在计算机系统中审阅）有关文件及单据。1.在评价内部控制的运行的有效性时，需要执行控制测试。可以采取以下的测试方法验证相关内部控制是否有效运行：2.控制测试需根据内部控制实施的频率遵循一定的抽样基准，具体为：-23-内部控制实施的频率每年样本数量范围不定时2个系统应用控制1个（不包括信息控制技术的一般控制）注：在抽样时可多抽取发生时间接近财务年度期末的样本。3.如发现内部控制的有效性出现问题，需向流程负责人了解有没有补偿控制。如果有补偿控制，测试员须要针对补偿控制进行测试。以下为发现内部控制缺陷时的相关处理程序：(1)将不能通过测试的情况分类(一般缺陷、重要缺陷或重大缺陷)。(2)根据项目管理框架报告有关情况、对公司的影响、短期及长期的解决方案。(3)以风险为出发点，从内部控制缺陷发生可能性和影响程度两个方面来确定哪些内部控制缺陷构成了重大缺陷或重要缺陷。4.保持足够的书面文档支持内部控制评价工作的进行非常重要，因此测试人员必须完成测试记录，内容包括：(1)测试负责人员和测试日期。(2)样品数量和抽取方法(从哪段时段/对象总体中抽取样本，用什么方法等）。(3)测试结论（是否通过测试）。第十七条内部控制流程文档签署确认每年在完成年度内部控制评估文档编制工作后，内部控制评价部门需要将内部控制评估文档及相关内部控制缺陷报告发-24-给各流程负责人签署确认，以确保内部控制流程描述与实际情况相符。由内部控制评价部门负责统筹整个内部控制流程文档签认的全过程，包括签署确认的时间安排、内部控制流程文档的下发、文档收回等。经流程负责人签署确认的流程文档需妥善保管，作为集团公司展开内部控制评估项目的书面证据。第十八条出具内部控制评估报告每年内部控制评价部门应按照基本规范与相关配套指引的要求，在完成内部控制评估工作后，汇总内部控制评估工作的结果和整改完成情况，编制内部控制评估报告。内部控制评估报告至少应当包括下列内容：(一)内部控制评估工作的总体情况。(二)内部控制评估的依据和范围。(三)内部控制评估的程序和方法。(四)内部控制缺陷及其认定情况。(五)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。(六)内部控制有效性的结论。若存在一个或多个内部控制重大缺陷，应当做出内部控制无效的结论。内部控制评估报告应当报审计委员会或内控建设工作领导小组审核，并经董事会审批。第十九条内部控制流程文档的更新(一)各部门/企业应有责任将年度内发生的流程变化信息，包-25-括任何并购活动的产生、组织架构和重要职位变动、业务流程变更、新业务增加等及时向内控建设工作小组报备。(二)各部门/企业应在变化发生后填写流程变化报备表（详见附件3），并将报备表提交内控建设工作小组进行备案。内控建设工作小组关注流程内容变化的性质和重要性，并对内部控制有效性进行评价后决定是否需要更新和修订内部控制流程文档的内容。第五章内部控制管理考核与激励第二十条内部控制管理考核责任主体内部控制管理考核每年一次。由内部控制评价部门在审计委员会或内控建设工作领导小组的指导下负责组织，考核结果上报董事会或管理层审议。第二十一条内部控制管理考核原则内部控制管理的考核应当遵循可控性、责权利对等、分级考核、公平公正以及不重复考核等原则，确保考核结果的合理性和准确性。(一)可控制性原则：是指用于考核各部门/企业执行情况的内部控制管理考核指标是该部门/企业可以掌控的，因此不达标的部门/企业，由部门/企业负责人负主责。(二)责权利对等原则：是指考核部门要把考核指标落实到责任部门/企业，确定各部门/企业考核责任的同时要赋予其相应的-26-权利。(三)分级考核的原则：是指集团公司考核各部门/企业负责人，各部门/企业负责人考核各内部控制执行岗位/相关部门。(四)公平公正原则：是指在考核时要严格依据内部控制管理考核制度和考核指标，通过严格的记分方法，客观地评价各职能部门的内部控制管理情况，做到对各部门/企业的评价公平公正。(五)不重复考核的原则：是指对于集团公司的年度绩效考核已考核的内容，在此处不重复考核。第二十二条内部控制管理考核方法每年年末，在审计委员会或内控建设工作小组的指导下，内部控制评价部门组织对各部门/企业的内部控制管理工作进行考核，对职能部门/企业的内部控制管理状况和控制措施的执行情况进行通报和督促整改，发生损失时追究相关负责人的责任，待条件成熟时可考虑采用与绩效考核和薪酬分配挂钩的方法。第六章附则第二十三条内部控制手册维护(一)本管理手册的修订等日常维护由集团公司内控建设工作小组牵头负责。(二)各投资企业应指定专门管理部门负责本企业内部控制实施