内部控制体系运行管理办法

内部控制体系运行管理办法（试行） 中铁 XX 局内部控制体系运行管理办法（试行）第一章 总 则 第一条 为了加强对公司内部控制体系的 运行管理，根据局的相关要求并结合公司实际，特制定本办法。 第二条 本办法所称内部控制是指由公司董事会、监事会、经理层 和全体员工实施的、旨在实现控制目标的过程。 内部控制体系是指为实现内部控制目标和防范风险，保证内部控制工作有效运行的组织结构、管理制度和业务流程等。 第三条 内部控制体系运行管理包括以下内容： （一）内部控制体系的日常维护； （二）内部控制体系的有效运行； （三）内部控制体系的监督评价； （四）内部控制体系的持续改进。 所属各单位要按照公司内部控制体系的相关 第四条 公司各部门、 要求开展各项工作，并及时反馈信息，确保内部控制体系的有效运行和 持续改进。 组织机构及管理 管理职责 第二章 组织机构及管理职责 监 第五条 公司董事会负责内部控制体系的建立健全和有效实施。 事会对董事会建立与实施内部控制情况进行监督。 （由公司内控审计监察部 第六条 公司董事会审计委员会负责审查 具体负责） 、监督企业内部控制体系的有效实施，开展内部控制的自我 评价，协调审计单位对公司内部控制实施情况的审计及其他相关事宜。 2 由公司总经理任组长， 分管内控、 第七条 公司设立内控领导小组， 审计、财务工作的公司领导任副组长，企业发展部、内控审计监察部、 财务部、董监办、公司办、人资部、市场开发部、工程部、技开部、安 质部、合同部、机电部、物资部、法律事务部、宣传部、组织部、工会 办、团委、行管部、社管部、试验检测中心等部门负责人任组员。领导 小组负责组织领导内部控制体系的日常运行， 定期听取内控工作进展情 况报告，对内控体系运行中的重要事项进行决策。 由公司总会计师 第八条 公司内控领导小组下设内控评价工作组， 任组长，内控审计监察部部长任副组长，组员由内控审计监察部、财务 部、企业发展部等相关部门业务管理人员组成，内控评价工作组负责全 公司内控体系运行的专项监督与评价工作。 主要 第九条 局企业发展部是内部控制体系运行的归口管理部门， 职责是： （一）负责组织内部控制体系的日常维护管理和不断改进完善； （二）负责组织执行层面的各项管理制度、业务管理流程的评审； （三）负责组织公司层面重大、重要风险的定期评估，建立风险库 和风险事件库，并编写全面风险管理报告 ； （四）负责组织内部控制相关知识培训； （五）负责指导监督内部控制体系的建立和完善。 第十 条 公司内控审计监察部是内部控制体系评价的归口管理部 门。主要职责是： （一）负责组织实施内部控制体系评价，负责内部控制评价方案的 制定； 3 （二）负责开展内部控制专项监督检查工作； （三）负责拟定年度内部控制体系评价方案，内部控制评价记录、 实施证据等相关资料的收集汇总； （四）负责组织编写中铁 XX 局内部控制自我评价报告 。 第十一条 公司机关各部门、 第十一 各分公司是内部控制体系运行的执行 机构，主要职责是： （一）在日常经营管理活动中，负责职责范围内的管理制度、业务 流程的执行，并提出改进意见和建议； （二）结合各项业务活动和监督检查工作，开展内部控制体系的日 常监督检查； （三） 负责职责范围内的业务流程及相关制度执行情况的自我监督 与评价； （四）协助参与公司内部控制评价，提供评价所需证据资料； （五）负责职责范围内缺陷确认，并按期完成整改及监督整改； （六）负责编写职责范围内内部控制自我评价报告 。 第十二 第十二条 公司各部门、分公司、项目部要确定具体的内控工作负 责人，明确管理职责，开展内部控制体系运行管理工作。 第三章 日常维护 第十三 条 内部控制体系的日常维护是从内部控制体系的设计和 运行两方面，不断改进和完善内部控制体系文件、各项管理制度以及改 进控制活动的过程。 第十四 第十四条 当发生下列事项时，应修改和完善内部控制体系文件： 4 （一）国家法律法规、行业从业规定、监管部门、股份公司和局要 求等发生变化； （二） 企业内部控制基本规范配套指引发生变化； 、 （三）公司战略调整、业务范围、组织机构、管理职责等内部环境 发生调整变化； （四）内部控制监督评价以及外部监督发现存在缺陷； （五）公司董事会、监事会和经理层提出要求； （六）机关各部门在日常管理活动中发现问题； （七）发生内部控制重大失控事件； （八）其他。第十五 条 公司各部门发现需要增加新的业务流程或某项管理制 度和业务流程存在缺陷时，应及时提出改进完善意见和建议，并记录整 理，同时提交局企业发展部重新发布。 第十六 第十六条 局企业发展部负责内控手册的修改完善，各归口部 门负责管理制度和业务流程的修改、增加并交企业发展部汇总，企业发 展部应及时将修改完善后的内控体系文件发布实施。 监督与评价的原则、依据、 第四章 监督与评价的原则、依据、内容和方法 第十七 第十 七条 内部控制体系监督是指对建立与实施内部控制的情况 进行常规、持续的监督检查的过程。 第十八条 第十八 内部控制体系评价是指从整体上对内部控制建立和实 施的有效性进行全面评价，形成评价结论，出具评价报告的过程。 第十九条 内部控制体系监督评价应遵循以下原则： （一）全面性原则。包括内部控制的设计与实施，涵盖公司各项业 5 务。 （二）重要性原则。在全面评价的基础上，关注重要业务单位、重 要业务事项和高风险领域。 （三）客观性原则。准确提示经营管理的风险状况，如实反映内部 控制设计及运行的有效性和存在的缺陷。 （四）风险导向性原则。以风险评估为基础，根据风险发生的可能 性和对整体或单个控制目标造成的影响程度， 确定监督评价的重点业务 单元、重要业务领域或流程环节。 （五）一致性原则。采用统一可比的方法和标准，保证监督评价结 果的可比性。 （六）成本效益性原则。以适当的成本实现科学有效的监督评价。 第二十条 内部控制体系监督评价的主要依据： 二十条 （一）国家相关法律法规、 企业内部控制基本规范及企业内 部控制评价指引 中央企业全面风险管理指引 和 以及行业从业规定、 监管部门相关规定等； （二） 中铁 XX 局内部控制手册 ； （三）公司各项管理制度； （四）业务管理流程及说明、控制文档、风险矩阵、风险库、缺陷 跟踪报告等； （五）各项管理技术规范等其他有关规定。 第二十一 实现控制目标相 第二十一条 内部控制体系监督与评价的内容是： 关的内部环境、风险评估、控制活动、信息与沟通、内部监督等要素。 第二十二 并综合运 第二十二条 内部控制监督与评价的总体方法是抽样法， 6 用个别访谈法、调查问卷法、比较分析法、专题讨论会等方法，针对业 务流程，按照业务发生频率及固有风险的高低，抽样一定比例的业务样 本，对业务样本的符合性进行判断，对业务流程的有效性实施监督与评 价。 第二十三条 根据业务频次抽样量参考如下标准： 第二十三序号 1 2 3 4 5 6 业务发生频率 每年一次 每年一次以上至每季度一次 每季度一次以上至每月一次 每月一次以上至每周一次 每周一次以上至每天一次 每天多次 抽样数量不少于 1笔 2笔 4笔 12笔 20笔 30笔 第五章 监督实施 第二十四 实施本系统及职责 第二十四条 公司各部门按照监督工作的要求， 范围内的内部控制体系运行情况日常监督， 每半年形成一次本系统内部 控制工作监督情况通报 ，提交公司内控审计监察部，内控审计监察 部应做好相关资料和记录的收集汇总。 第二十五 第二十五条 内部控制体系监督工作应关注： （一）政策影响、管理薄弱、业务复杂、高危作业等重点部门、单 位和项目。 （二）战略规划、重大决策、财务预算、安全质量、环境保护、海 外经营、成本控制、合同管理、法律事务、项目管理、社会责任、信息 化安全等高风险业务领域，不相容职权分离、反舞弊等高风险环节。 （三）重要业务流程的关键控制点的控制措施制定及执行情况。 （四）企业发展战略、组织结构、经营活动、业务流程、关键岗位 7 等发生较大调整或变化，风险评估结果等。 第六章 评价实施 第二十六 于每 第二十六条 公司内部控制体系评价通常情况每年进行一次， 年 12 月 10 日前完成对本年度内部控制体系的评价。 第二十七条 内部评价基本程序是：制定评价工作方案，组成评价 第二十七 工作组，收集整理监督资料，实施评价和提出初步缺陷意见，召开评价 会议，缺陷认定，汇总评价结果，编写、审批自我评价报告等。 第二十八条 公司内部控制评价工作组在内控领导小组的领导下， 开展内部控制体系专项监督与评价工作。 第二十九条 评价工作组结合监督工作情况， 依据第二十二条的规 定抽查内部控制运行相关资料， 必要时进行现场测试或要求提供补充资 料。判断内部控制的设计与运行是否有效，并按照中铁 XX 局内部控 制评价基本评分标准 （附件 1）进行综合评分。评价的结果纳入公司 绩效考核。 第三十条 评价内部控制有效性，应当充分考虑下列因素： （一）是否针对重大、重要风险设置了合理的细化控制目标； （二）是否针对细化控制目标设置了对应的控制流程； （三）相关控制活动是否有效运行； （四）相关控制活动是否得到了持续改进； （五）实施相关控制活动的人员是否具备必需的权限和能力等。第三十一条 公司内控审计监察部于每年 12 月 5 前组织召开内部 控制评价会议，公司内控体系领导小组成员，各部门负责人及工作组成 员参加会议。会议主要议程： 8 （一）听取各部门内部控制体系运行及监督情况汇报； （二）听取公司内部控制评价情况的汇报； （三）讨论确认存在的缺陷； （四）对存在的缺陷整改提出措施、落实责任、明确整改时限等。 第三十二条 公司内控审计监察部根据年度监督评价结果， 第三十二 组织编 写中铁 XX 局内部控制自我评价报告 ，并提交公司总经理办公会和董事会审议，经董事会审批后，于每年 12 月 10 日前上报股份公司审计 部。 第三十三 第三十三条 内部控制评价以每年的 11 月 30 日为评价基准日。 第七章 缺陷认定第三十四条 内部控制缺陷发现以监督为主，评价发现为辅。内部控制缺陷分为财务报告和非财务报告缺陷，包括设计缺陷、运行缺陷。 分为重大缺陷、重要缺陷和一般缺陷。缺陷认定一般标准见附件 2。第三十五条 内部控制缺陷认定实行逐级审批确认。一般缺陷由公司各部门在监督工作过程中确认； 重要缺陷和重大缺陷由内部控制评价 工作组复核讨论并提出意见，重要缺陷报公司内控领导小组研究并确认；重大缺陷提交公司董事会审议确认。 第三十六条 公司内控审计监察部负责对已确认缺陷汇总、统计、 分析，提出整改意见和建议，经分管领导批准，通报全公司。 第三十七条 公司各部门、 分公司应对确认的缺陷拟定整改计划和方案，明确负责人和相关人员，规定整改时限，做好整改及监督整改工作。并将整改结果及时反馈公司内控审计监察部，必要时评价工作组对 整改情况进行抽查，跟踪整改。 第八章 奖罚 第三十八条 内控评价工作组根据内部控制评价结果定期对各部 门、分公司内控体系的建立与运行情况进行通报。对得分较高的部门和 单位予以表扬，对较差的部门和单位提出批评，对存在的缺陷要求限期 整改。并将评价结果纳入各部门、各单位的年度绩效考核。凡外部审计 中发现重大缺陷，由相关部门和单位的负责人负领导责任，公司将对相 关部门和单位的负责人给予相应处罚。 第九章 附则 自 第三十九条 本办法自公司内控体系文件审议通过之日起生效， 发布之日起执行，同时报股份公司备案。 第四十条 本办法由局企业发展部负责解释。 10 附件 1: 中铁 XX 局内部控制评价基本评分标准评价项 目及权 重 分项 权 重 分 值 评价标准 评分原则 建立了以部门（或各单位）主要负责人为第 一责任人的内控体系， 设置了部门 （或单位） 的内部控制协调人， 并参与内部控制管理的 5 相关工作，编写了职责范围内的内部控制 内部控 制体系 管理情 况 内 部 控 制 设 计 合 理 性 评价 （30 分） 对流程/业务进行抽样评价， 10 按照违规率评分： 5% （含） 以下， 得分 80% （含） 以上； 5%（不含）10%（含） ，得分 50%（含）80%（不含） ； 结合内外部环境等变化， 对本单位或本部门 的制度与流程进行了及时更新和维护。 10%（不含）20%（含） ，得 5 分 50%（不含）以下； 20%（不含）以上，得分 0。 执 行 有 效 性 评 价 风险管 理情况 定期或不定期组织开展了系统的风险评估 20 工作，识别了重大、重要风险，建立了风险 5 库，评估结果客观、真实。 11 自我评价报告 。 10 每出现 1 个未达标部门/单 位，扣 1 分。尚未建立内部 控制体系，此项得分为 0。 部门及岗位的内部控制责任明确， 岗位人员 及权责设置合理 5 本单位、本部门各项业务管理活动，都有明 确的制度规定，管理职责到位。 工作流程有清晰的描述， 制定了规范的业务 业务管 理体系 20 情况 流程，并识别了关键控制点，明确了控制措 5 施。 每出现 1 个未达标业务， 1 扣 分，扣完为止。 评价项 目及权 重 （70 分） 分项 权 重 评价标准 分 值 评分原则 把重大风险与业务流程关键控制点对接， 有 效执行重大、重要风险控制措施，重大、重 5 要风险可控。 定期收集风险事件和损失事件， 对本部门或 归口管理业务领域内发生的重大风险事件， 建立风险事件库， 及时向领导及相关部门沟 通。 重大风险控制措施实施有效， 避免重大风险 损失、重大违规事件的发生。对发生的重大 事件，及时采取应急控制措施，有效控制事 5 态恶化，并针对类似事件，组织制定了应急 预案。 5 每发生一次重大风险损失事 件或重大违规事件扣 10 分。 未采取措施扣 3 分，未制定 预案扣 2 分。 对流程进行抽样检查，按照 违规率评分： 根据本单位的业务流程及控制措施， 在业务 流程执 行情况 40 管理活动中，严格执行业务流程，确保各项 管理制度有效落实，管理权限有效执行，管 理程序符合规定。 40 5% （含） 以下， 得分 80% （含） ； 5%（不含）10%（含） ，得分 50%（含）80%（不含） ； 10%（不含）20%（含） ，得 分 50%（不含）以下； 20%（不含）以上，得分 0。 缺陷整 改情况