C-SOX风险控制数据库-公司层面控制标准化

子子流流程程 目目标标 编编号号 控控制制目目标标 风风险险 编编号号 风风险险描描述述 风风险险 评评级级 1.1-1.1-股股东东大大会会 T1明确股东大会 的职责权限、 议事规则和工 作程序 R1公司没有明确股东大会的职责权 限、议事规则和工作程序 中 1.2-1.2-董董事事会会和和专专业业委委员员会会 T2明确董事会任 职条件、职责 、权限、议事 规则和工作程 序 R2公司没有通过章程、决议等方式 ，明确董事会任职条件、职责、 权限、议事规则和工作程序 中 T3确保董事会的 产生程序合法 合规，人员构 成、知识结构 、能力素质应 当满足履行职 责的要求 R3董事会人员构成（包括独立董事 ）不合理，无法发挥董事会监督 职能，包括： 1）知识结构和能力素质无法适 应公司经营性质； 2）董事会没有独立于企业管理 层，不利于必要和及时的对管理 层调查和提出问题。 中 T4明确专门委员 会的任职条件 、职责权限和 议事规则 R4公司董事会尚未设有专门委员会 ，或虽然设立了相关委员会但是 尚未通过设置章程等方式，明确 各个专门委员会的任职条件、职 责权限和议事规则（比如：人事 任免、薪酬、独立性、专业胜任 等要求） 中 T5确保董事会和 专业委员会正 常履职 R5董事会和各个专业委员会没有正 常履职，与外审缺乏定期沟通机 制来讨论财务报告流程/内部控 制系统有效性，或未能每年审阅 内/外部审计师的工作范围 高 T6确保治理结构 、内部机构设 置和运行机制 等有效运行 R6公司没有定期梳理治理结构，关 注董事、监事、经理及其他高级 管理人员的任职资格和履职情况 ，也没有评价董事会、监事会和 经理层的运行效果，无法及时发 现现有治理结构存在的问题，并 采取有效措施加以持续改进。 高 1.3-1.3-监监事事会会 T7明确监事会任 职条件、职责 、权限、议事 规则和工作程 序 R7监事会的组成、任职条件、职责 权限和议事规则没有明确或不符 合法律法规要求，导致监事会不 具备独立性或缺乏履行职责的必 要权限 中 T8确保监事会正 常履职 R8监事会没有定期按照议事规则举 行会议或出席董事会/股东会议 ，并保留恰当的会议纪要，未能 适当的履职 中 1.4-1.4-经经营营管管理理层层 T9确保经营管理 层的产生程序 应当合法合规 ，人员构成、 知识结构、能 力素质应当满 足履行职责的 要求 R9经营管理层架构由一人或者少数 人支配，未能由企业各个部门人 员组成，拥有多方面的能力和经 验，导致管理架构不适当 高 T10明确经营管理 层任职条件、 职责、权限、 议事规则和工 作程序 R10经营管理层的任职条件、工作程 序、议事规则、职责权限没有明 确，导致管理层无法正常履职 中 T11确保经营管理 层正常履职 R11公司经营管理层没有按照公司法 、章程和内部管理制度的要求， 开展各项经营活动，并向董事会 （包括审计委员会）负责汇报 中 T12明确内部管理 制度和流程， 确保其全面有 效的实施 R12管理层尚未建立适当的内部管理 制度和流程，或对内部制度、政 策、管理流程的执行、监督、培 训、宣传不到位，导致公司日常 控制和管理缺乏统一、权威标准 ，或相关的管理制度无法有效落 实 高 1.5-1.5-对对子子公公司司的的监监督督和和管管理理 T13明确子公司投 资管控制度， 并确保对子公 司的监督管理 R13公司对于子公司的监督不到位， 未能够履行出资人义务。 （1）对子公司治理结构、组织 架构的管理 （2）对子公司发展战略的管理 （3）对子公司投资的管理 （4）对子公司人力资源的管理 （5）对子公司财务的管理 （6）对子公司产权/股权及重大 资产的管理 （7）对子公司生产和安全的管 理 （8）对子公司企业风险管控的 管理 （9）对子公司反腐倡廉的管理 （10）对子公司企业文化的管理 （11）对子公司内部控制的监督 管理 高 企企业业内内部部控控制制基基本本规规范范、应应用用指指引引和和解解读读相相关关要要 求求 基基本本规规范范第第十十一一条条：企业应当根据国家有关法律 法规和企业章程，建立规范的公司治理结构和议 事规则，明确决策、执行、监督等方面的职责权 限，形成科学有效的职责分工和制衡机制。 股东（大）会享有法律法规和企业章程规定的合 法权利，依法行使企业经营方针、筹资、投资、 利润分配等重大事项的表决权。 董事会对股东（大）会负责，依法行使企业 的经营决策权。 监事会对股东（大）会负责，监督企业董事、经 理和其他高级管理人员依法履行职责。经理层负 责组织实施股东（大）会、董事会决议事项，主 持企业的生产经营管理工作。 解解读读：企业应当根据国家有关法律法规的规定， 按照决策机构、执行机构和监督机构相互独立、 权责明确、相互制衡的原则，明确董事会、监事 会和经理层的职责权限、任职条件、议事规则和 工作程序等。 基基本本规规范范第第十十一一条条：企业应当根据国家有关法律 法规和企业章程，建立规范的公司治理结构和议 事规则，明确决策、执行、监督等方面的职责权 限，形成科学有效的职责分工和制衡机制。 股东（大）会享有法律法规和企业章程规定的合 法权利，依法行使企业经营方针、筹资、投资、 利润分配等重大事项的表决权。 董事会对股东（大）会负责，依法行使企业 的经营决策权。 监事会对股东（大）会负责，监督企业董事、经 理和其他高级管理人员依法履行职责。经理层负 责组织实施股东（大）会、董事会决议事项，主 持企业的生产经营管理工作。 应应用用指指引引组组织织架架构构- -第第四四条条：企业应当根据国家有 关法律法规的规定，明确董事会、监事会和经理 层的职责权限、任职条件、议事规则和工作程序 ，确保决策、执行和监督相互分离，形成制衡。 董事会对股东（大）会负责，依法行使企业的经 营决策权。企业应当在董事会下设立战略、审计 、薪酬与考核等专门委员会，明确各专门委员会 的职责权限、任职资格、议事规则和工作程序， 为董事会科学决策提供支持。 监事会对股东（大）会负责，监督企业董事、经 理和其他高级管理人员依法履行职责。 经理层对董事会负责，主持企业的生产经营管理 工作。经理和其他高级管理人员的职责分工应当 明确。 解解读读：董事会是否按时定期或不定期召集股东大 会并向股东大会报告；是否严格认真地执行了股 东大会的所有决议；是否合理地聘任或解聘经理 及其他高级人员等。 应应用用指指引引第第四四条条：董事会、监事会和经理层的产 生程序应当合法合规，其人员构成、知识结构、 能力素质应当满足履行职责的要求。 解解读读：上市公司董事会应当设立独立董事，独立 董事应独立于所受聘的公司及其主要股东。独立 董事不得在上市公司担任除独立董事外的其他任 何职务。独立董事应按照有关法律法规和公司章 程的规定，认真履行职责，维护公司整体利益， 尤其要关注中小股东的合法权益不受损害。独立 董事应独立履行职责，不受公司主要股东、实际 控制人以及其他与上市公司存在利害关系的单位 或个人的影响。 上市公司应当设立董事会秘书，董事会秘书为上 市公司的高级管理人员，直接对董事会负责，并 由董事长提名，董事会负责任免。在上市公司实 务中，董事会秘书是一个重要的角色，其负责公 司股东大会和董事会会议的筹备，文件保管以及 公司股东资料的管理，办理信息披露事务等事宜 。 基基本本规规范范第第十十三三条条：企业应当在董事会下设立审 计委员会。审计委员会负责审查企业内部控制， 监督内部控制的有效实施和内部控制自我评价情 况，协调内部控制审计及其他相关事宜等。 审计委员会负责人应当具备相应的独立性、 良好的职业操守和专业胜任能力。 应应用用指指引引组组织织架架构构- -第第四四条条：企业应当根据国家有 关法律法规的规定，明确董事会、监事会和经理 层的职责权限、任职条件、议事规则和工作程序 ，确保决策、执行和监督相互分离，形成制衡。 董事会对股东（大）会负责，依法行使企业的经 营决策权。企业应当在董事会下设立战略、审计 、薪酬与考核等专门委员会，明确各专门委员会 的职责权限、任职资格、议事规则和工作程序， 为董事会科学决策提供支持。 监事会对股东（大）会负责，监督企业董事、经 理和其他高级管理人员依法履行职责。 经理层对董事会负责，主持企业的生产经营管理 工作。经理和其他高级管理人员的职责分工应当 明确。 解解读读：上市公司董事会下设的审计委员会、薪酬 与考核委员会中，独立董事应当占多数并担任负 责人，审计委员会中至少还应有一名独立董事是 会计专业人士。 解解读读：在董事会各专业委员会中，审计委员会对 内部控制的建立健全和有效实施尤其发挥着重要 作用。审计委员会对董事会负责并代表董事会对 经理层进行监督，侧重加强对经理层提供的财务 报告和内部控制评价报告的监督，同时通过指导 和监督内部审计和外部审计工作，提高内部审计 和外部审计的独立性，在信息披露、内部审计和 外部审计之间建立起了一个独立的监督和控制机 制。 应应用用指指引引组组织织架架构构- -第第九九条条：企业应当根据组织架 构的设计规范，对现有治理结构和内部机构设置 进行全面梳理，确保本企业治理结构、内部机构 设置和运行机制等符合现代企业制度要求。 企业梳理治理结构，应当重点关注董事、监事、 经理及其他高级管理人员的任职资格和履职情况 ，以及董事会、监事会和经理层的运行效果。治 理结构存在问题的，应当采取有效措施加以改进 。 企业梳理内部机构设置，应当重点关注内部机构 设置的合理性和运行的高效性等。内部机构设置 和运行中存在职能交叉重叠或运行效率低下的， 应当及时解决。 应应用用指指引引组组织织架架构构- -第第四四条条： 董事会、监事会和经理层的产生程序应当合法合 规，其人员构成、知识结构、能力素质应当满足 履行职责的要求。 解解读读：监事会是否按照规定对董事、高级管理人 员行为进行监督；在发现违反相关法律法规或损 害公司利益时，是否能够对其提出罢免建议或制 止纠正其行为等。 应应用用指指引引组组织织架架构构- -第第四四条条： 董事会、监事会和经理层的产生程序应当合法合 规，其人员构成、知识结构、能力素质应当满足 履行职责的要求。 应应用用指指引引组组织织架架构构- -第第四四条条： 董事会、监事会和经理层的产生程序应当合法合 规，其人员构成、知识结构、能力素质应当满足 履行职责的要求。 解解读读：经理层是否认真有效地组织实施董事会决 议；是否认真有效地组织实施董事会制定的年度 生产经营计划和投资方案；是否能够完成董事会 确定的生产经营计划和绩效目标等。 基基本本规规范范第第十十二二条条： 董事会负责内部控制的建立 健全和有效实施。监事会对董事会建立与实施内 部控制进行监督。经理层负责组织领导企业内部 控制的日常运行。 企业应当成立专门机构或者指定适当的机构 具体负责组织协调内部控制的建立实施及日常工 作。 基基本本规规范范第第二二十十八八条条： 企业应当结合风险评估结果，通过手工控制与自 动控制、预防性控制与发现性控制相结合的方法 ，运用相应的控制措施，将风险控制在可承受度 之内。 控制措施一般包括：不相容职务分离控制、 授权审批控制、会计系统控制、财产保护控制、 预算控制、运营分析控制和绩效考评控制等。 应应用用指指引引组组织织架架构构- -第第十十条条： 企业拥有子公司 的，应当建立科学的投资管控制度，通过合法有 效的形式履行出资人职责、维护出资人权益，重 点关注子公司特别是异地、境外子公司的发展战 略、年度财务预决算、重大投融资、重大担保、 大额资金使用、主要资产处置、重要人事任免、 内部控制体系建设等重要事项。 本本地地化化控控制制说说明明 标标准准化化控控制制 控控制制 编编号号 股东（大）会由全体股东组成，是公司的权力机构。股东（大）会应 依照公司法行使下列职权： 1、决定公司经营方针和投资计划； 2、选举和更换非由职工代表担任的董事、监事，决定有关董事、监事 的报酬事项； 3、审议批准董事会、监事会或监事的报告； 4、审议批准公司年度财务预算、决算方案； 5、审议批准公司利润分配和弥补亏损方案； 6、对公司增加或者减少注册资本作出决议； 7、对发行公司债券作出决议； 8、对公司合并、分立、变更公司形式、解散和清算等事项作出决议； 9、修改公司章程； 10、公司章程规定的其他职权。 股东（大）会应当每年召开一次年会，按照公司章程的规定或依据公 司股东、董事、监事会或监事的提议召开临时股东大会。股东大会作 出决议，必须经出席会议的股东所持表决权过半数通过。但涉及修改 公司章程、增加或者减少注册资本的决议，公司合并、分立、解散或 者变更公司形式的决议，必须经出席会议的股东所持表决权的三分之 二以上通过。涉及公司转让、受让重大资产或者对外提供担保等事项 必须经股东大会作出决议的，董事会应当及时召集股东大会会议，由 股东大会进行表决。股东大会选举董事、监事，可以根据公司章程的 规定或者股东大会的决议，实行累积投票制。 股东大会应及时将决议做成会议记录，主持人、出席会议的董事应当 在会议记录上签名。会议记录与出席股东的签名册及代理出席的委托 书一并保存。 股份有限公司设董事会，其成员为五人至十九人。董事会成员中可以 有公司职工代表。董事会中的职工代表由公司职工通过职工代表大会 、职工大会或者其他形式民主选举产生。董事会设董事长一人，可以 设副董事长。董事长和副董事长由董事会以全体董事的过半数选举产 生。 董事任期由公司章程规定，但每届任期不超过三年。董事任期届满， 连选可以连任。 董事会董事会对股东会负责，行使下列职权： 1、召集股东会会议，并向股东会报告工作； 2、执行股东会的决议； 3、决定公司的经营计划和投资方案； 4、制订公司的年度财务预算、决算方案； 5、制订公司的利润分配和弥补亏损方案； 6、制订公司增加或者减少注册资本以及发行公司债券的方案； 7、制订公司合并、分立、变更公司形式、解散的方案； 8、决定公司内部管理机构的设置； 9、决定聘任或者解聘公司经理及其报酬事项，根据经理的提名决定聘 任或者解聘公司副经理、财务负责人及其报酬事项； 10、制定公司的基本管理制度； 11、公司章程规定的其他职权。 董事会每 年度至少召开两次会议，每次会议应当于会议召开十日前通知全体董 事和监事。董事会会议应有过半数的董事出席方可举行。董事会做出 决议必须经全体董事的过半数通过。 董事会决议的表决，实行一人一票制。 董事会应当对会议所议事项的决定作成会议记录，出席会议的董事应 当在会议记录上签名。董事应当对董事会的决议承担责任。 1、企业应当结合本身的业务特点和内部控制的要求，提名并任命知识 结构和能力素质适合公司经营性质和管理要求的董事会人员。 就就任任职职资资格格而而言言，应从行为能力、道德诚信、经营管理素质以及任职 程序做综合考量； 就就履履职职情情况况而而言言，应从合规方面、业绩方面和履行忠实、勤勉义务方 面进行考评。 2、上市公司董事会应当设立独立董事。独立董事应由与其所受聘的的 公司及其主要股东不存在可能妨碍其进行独立客观判断的人员担任并 且独立董事不得在公司内担任任何其他职务。独立董事对上市公司及 全体股东负有诫信与勤勉义务，按照公司法和公司章程的规定独 立行使职责维护公司整体利益，尤其要关注中小股东的合法权益不受 损害。 3、上市公司应当设立董事会秘书，及由其负责管理的信息披露事务部 门（董秘办）。董秘的职责包括：负责公司信息对外披露的相关事务 ；组织筹备董事会会议和股东大会会议，负责董事会会议记录工作并 签字；负责公司信息披露的保密工作；负责公司文件保管和股东资料 管理等工作职责。 公司董事会应当根据本公司治理需要，按照股东大会的有关决议设立 战略决策、审计、提名、薪酬与考核等专门委员会，其中： 战战略略决决策策委委员员会会主要负责制定公司长期发展战略，监督、核实公司重 大投资决策等； 审审计计委委员员会会主要负责检 查公司会计政策、财务状况和财务报告程序，与公司外部审计机构进 行交流，对内部审计人员及其工作进行考核，对公司的内部控制进行 考核，检查、监督公司存在或潜在的各种风险，检查公司遵守法律、 法规的情况等。审计委员会对董事会负责并代表董事会对经理层进行 监督，侧重于对经理层提供的财务报告和内部控制评价报告进行监督 ，通过指导与监督内外部审计工作，提高内外部审计的独立性，在信 息披露和内外部审计之间建立起独立的监督控制机制。 提提名名委委员员会会主要负责分析董事会的构成情况，明确对董事的要求，制 定董事选择的标准和程序，搜寻合格的董事侯选人，对股东、监事会 提名的董事侯选人进行形式审核，确定董事侯选人提交股东大会表决 等； 薪薪酬酬与与考考核核委委员员会会主要负责制定董事、监事与高级管理人员考核的标 准并进行考核，负责制定、审查董事、监事、高级管理人员的薪酬政 策与方案等。 上述董事会各专业委员会，审计委员会、薪酬与考核委员会中独立董 事应当占多数并担任负责人，审计委员会中至少还应有一名独立董事 是会计专业人士。 为确保审计委员会履行职责，审计委员会成员应具备下列条件：1、独 立性，独立董事占多数或全部；2、专业性，具备职责必须的财务、审 计、法律、市场等知识经验，善于沟通协调并有足够的精力和时间；3 ，道德性，具有良好职业操守，较强责任感和怀疑精神。 审计委员会应对董事会负责并代表董事会对经理层进行监督，侧重于 加强对经理层提供的财务报告和内部控制评价报告的监督，同时通过 指导和监督内部审计和外部审计工作，提高内部审计和外部审计的独 立性，在信息披露、内部审计和外部审计之间建立独立的监督和控制 机制。 企业应根据自身组织架构的设计规范定期对现有治理结构和内部机构 设置进行全面梳理，并在对治理结构和内部机构进行全面梳理的基础 上定期对组织架构的设计和运行效率与效果进行综合评价，发现可能 存在的缺陷并及时优化调整，确保公司的组织架构始终处于高效运行 状态。 1、对公司治理结构的梳理应从任职资格、道德诚信、经营管理素质、 任职程序等方面考核董事、监事、经理和其他高管的任任职职资资格格；从合 规性、业绩以及履行忠实、勤勉义务等方面考核履履职职情情况况；从股东大 会及董事会的召开和股东大会和董事会决议的执行和监督情况考核董 事会、监事会和经理层的运运行行效效果果。 2、对公司内部机构的梳理应从企业内部机构的设置是否适应内外部环 境的变化，是否以企业发展目标为导向，是否满足专业化与协作，各 机构和岗位权责不得交叉重叠或缺失等方面考察内内部部机机构构设设置置的的合合理理 性性； 3、从职责分工效率，权力制衡效率和信息沟通效率考察公司内内部部机机构构 运运行行的的高高效效性性。 4、对母子公司组织架构的梳理要重点关注母子公司在业务、资产、财 务、人员和机构等五方面的独立性。 股份有限公司设立监事会，其成员不得少于三人。监事会应当包括股 东代表和适当比例的公司职工代表，其中职工代表的比例不得低于三 分之一，具体比例由公司章程规定。 监事会设主席一人，可设立副主席。监事会主席和副主席由全体监事 过半数选举产生。监事会主席召集和主持监事会会议。但董事、高级 管理人员不得兼任监事。 监事的任期每届为三年。监事任期届满，连选可以连任。 监事会行使 下列职权： 1、检查公司财务； 2、对董事、高级管理人员执行公司职务的行为进行监督，对违反法律 、行政法规、公司章程或者股东会决议的董事、高级管理人员提出罢 免的建议； 3、当董事、高级管理人员的行为损害公司的利益时，要求董事、高级 管理人员予以纠正； 4、提议召开临时股东会会议，在董事会不履行公司法规定的召集和主 持股东会会议职责时召集和主持股东会会议； 5、向股东会会议提出提案； 6、依法对违法、违规的董事、高级管理人员提起诉讼； 7、公司章程规定的其他职权。 监事会行使职权所必需的费用，由公司承担。 根据公司法的规定，监事会每六个月至少召开一次会议。监事可 以提议召开临时监事会会议。监事会的议事方式和表决程序依据公司 章程规定。 监事会应当对所议事项的决定做成会议记录，出席会议的监事应当在 会议记录上签名。 企业应当结合本身的业务特点和内部控制的要求提名并任命知识结构 和能力素质适合公司经营性质和管理要求的董事会、监事会和经理层 人员。 董事、监事、高级管理人员应当遵守法律、行政法规和公司章程，对 公司负有忠实义务和勤勉的义务。 董事、监事、高级管理人员执行公司职务时违反法律、行政法规或者 公司章程的规定，给公司造成损失的，应当承担赔偿责任。 公司设立中层以上经营管理人员（包括重大项目负责人和关键管理岗 位人员），应由董事会决定聘任或者解聘。 经理对董事会负责，行使下列职权： 1、主持公司的生产经营管理工作，组织实施董事会决议； 2、组织实施公司年度经营计划和投资方案； 3、拟订公司内部管理机构设置方案； 4、拟订公司的基本管理制度； 5、制定公司的具体规章； 6、提请聘任或者解聘公司副经理、财务负责人； 7、决定聘任或者解聘除应由董事会决定聘任或者解聘以外的负责管理 人员； 8、董事会和公司章程授予的其他职权。 公司董事会可以决定由董事会成员兼任经理。经理可列席董事会会议 。 经营管理层应按照公司法、公司章程和内部管理制度的有关要求，开 展各项经营管理活动，认真有效地组织实施董事会制定的年度生产经 营计划和投资方案，保证完成董事会确定的生产经营目标等，并定期 向董事会（包括审计委员会）汇报。 企业应当成立专门机构或者指定适当的机构具体负责组织协调内部管 理控制的建立实施及日常工作。结合企业自身的风险评估结果，通过 手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用 相应的控制措施，将风险控制在可承受的范围之内。 控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统 控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。 为确保集团公司对其下属子公司合法有效的监督管理机制，集团公司 与子公司应实现业务、资产、财务、人员和机构等五个方面的独立性 ，避免同业竞争及关联交易。 1、子公司应拥有独立的产供销系统，独立开展经营业务。集团公司不 得通过保留采购和销售机构、垄断业务渠道等方式干预子公司业务经 营； 2、子公司对自身所有的资产拥有完整、独立的所有权，子公司资产与 集团公司及其关联方的其他资产应严格区分，完全独立管理和运营； 3、子公司拥有自身独立的劳动、人事及工资管理体系并与集团公司实 现分离； 4、子公司应当保持独立的财会部门，建立独立的会计核算体系和财务 管理制度。子公司应当保留独立的银行账户并能独立做出财务决策， 集团公司不得直接干预其资金的使用； 5、子公司的权力机构（股东会、董事会、独董、监事会、经理层）依 照公司法和公司章程独立行使职权并与控股股东完全分开，不得出现 混合经营、合署办公等情形。 集团公司可以通过委派股东代表或推举董事、参与决定子公司章程等 合法有效的形式履行出资人职责、维护出资人权益，对子公司的生产 经营管理行使相应的控制权力。 特别是当子公司的发展战略、年度财务预决算、重大投融资、重大担 保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建 设等事项关系到企业集团整体利益时，集团公司作为出资人必须对子 公司实施控制。 控控制制描描述述相相关关制制度度/ /规规章章 控控制制责责任任部部门门/ /责责 任任人人 （如如：职职位位 / /系系统统/ /第第三三方方名名 称称） 控控制制生生效效 日日期期 是是否否为为关关 键键控控制制 本本地地化化控控制制说说明明 控控制制详详细细说说明明信信息息系系统统穿穿行行测测试试审审阅阅发发现现及及改改进进建建议议 控控制制频频率率 预预防防型型/ /发发现现 型型控控制制 控控制制类类型型：手手工工 控控制制/ /系系统统控控制制/ / 手手工工依依赖赖系系统统控控 制制 支支持持本本控控 制制的的信信息息 系系统统 关关键键报报告告 测测试试样样本本文文档档 名名称称 索索引引号号 发发现现问问题题描描述述 审审阅阅发发现现及及改改进进建建议议 风风险险及及影影响响 审审阅阅发发现现及及改改进进建建议议 整整改改建建议议 管管理理层层反反 馈馈 整整改改负负责责 人人 审审阅阅发发现现及及改改进进建建议议 预预计计整整改改完完成成时时间间 审审阅阅发发现现及及改改进进建建议议 子子流流程程 目目标标编编 号号 控控制制目目标标 风风险险 编编号号 风风险险描描述述 风风险险 评评级级 2.1-2.1-组组织织机机构构、岗岗位位职职责责（包包括括权权限限分分配配）的的设设置置和和审审批批 T1明确设置内部 机构、职责权 限，并将权利 与责任落实到 各责任单位 R1企业的组织层级及架构设置不合 理、职责界定不清晰可能导致机 构重叠、职能交叉、推诿扯皮， 运行效率低下,对企业的运营造 成不利影响。 高 T2科学合理的设 置内部机构， 明确各职位的 名称、职责、 岗位要求和工 作内容，避免 业务重复或职 能交叉，形成 各司其职、各 负其责、相互 制约、相互协 调的工作机制 R2公司内部纵向管理层之间，董事 会、经理层、其他高级管理人员 以及一般管理人员之间的职责分 工不明确。 中 R3内部职能机构没有进行合理分解 ，明确各个岗位的人员编制、工 作职责、岗位要求、工作内容、 职责权限，也没有系统、定期的 分析和梳理各项业务流程中所涉 及的不相容职务，明确不相容岗 位。 高 R4分子公司部门设置、岗位设置和 授权不合理 高 R5组织内权限（授权）的分配和设 计无法与公司规模、业务性质、 组织机构和部门设置相匹配，影 响企业经营运作效率，并带来潜 在的越权操作等违规风险。 高 T3确保企业员工 了解和掌握组 织架构设计及 权责分配情况 ，正确履行职 责 R6组织机构设置、岗位设置、职责 分工和权限分配方案未能有效传 达给公司内部适当级别的管理人 员和员工，导致相关方案未能有 效落实，员工对职责和权限分配 不清楚 中 2.2-2.2-组组织织机机构构、岗岗位位职职责责（包包括括权权限限分分配配）的的运运行行效效果果评评价价和和更更新新 T4明确组织架构 设计与运行的 效率和效果的 定期评估制度 ，保证组织架 构的科学性、 合理性和有效 性 R7发生重组、收购、兼并等项业务 时，没有及时对职能机构、岗位 、人员、资产等事务作出有效安 排 中 T2科学合理的设 置内部机构， 明确各职位的 名称、职责、 岗位要求和工 作内容，避免 业务重复或职 能交叉，形成 各司其职、各 负其责、相互 制约、相互协 调的工作机制 R8组织架构、岗位职责、授权指引 的定期评估机制不健全，无法及 时识别异常，导致公司组织架构 、岗位职责和权限分配无法反映 公司实际状况，适应公司的业务 发展。 中 T4明确组织架构 设计与运行的 效率和效果的 定期评估制度 ，保证组织架 构的科学性、 合理性和有效 性 企企业业内内部部控控制制基基本本规规范范、应应用用指指引引和和解解读读相相关关要要求求 基基本本规规范范- -第第十十四四条条： 企业应当结合业务特点和内部控制要求设置内部机构 ，明确职责权限，将权利与责任落实到各责任单位。 企业应当通过编制内部管理手册，使全体员工掌握内内 部部机机构构设设置置、岗岗位位职职责责、业业务务流流程程等情况，明确权责 分配，正确行使职权。 应应用用指指引引组组织织架架构构- -第第六六条条：企业应当按照科学、精 简、高效、制衡的原则，综合考虑企业性质、发展战 略、文化理念和管理要求等因素，合理设置内部职能 机构，明确各机构的职责权限，避免业务重复或职能 交叉，形成各司其职、各负其责、相互制约、相互协 调的工作机制。 应应用用指指引引组组织织架架构构- -第第七七条条：企业应当对各机构的职 能进行科学合理的分解，确定各具体职位的名称、职 责、岗位要求和工作内容等，明确各个岗位的职责权 限和相互关系。 企业在确定职权和岗位分工过程中，应当体现不相容 职务相互分离的要求。不相容职务通常包括：可行性 研究与决策审批；决策审批与执行；执行与监督检查 等。 解解读读：在内部机构设计过程中，应当体现不相容岗位 相分离原则，努力识别出不相容职务，并根据相关的 风险评估结果设立内部牵制机制，特别是在涉及重大 或高风险业务处理程序时，必须考虑建立各层级、各 部门、各岗位之间的分离和牵制，对因机构人员较少 且业务简单而无法分离处理某些不相容职务时，企业 应当制定切实可行的替代控制措施。 应应用用指指引引组组织织架架构构- -第第七七条条：企业应当对各机构的职 能进行科学合理的分解，确定各具体职位的名称、职 责、岗位要求和工作内容等，明确各个岗位的职责权 限和相互关系。 企业在确定职权和岗位分工过程中，应当体现不相容 职务相互分离的要求。不相容职务通常包括：可行性 研究与决策审批；决策审批与执行；执行与监督检查 等。 应应用用指指引引组组织织架架构构- -第第五五条条：企业的重大决策、重大 事项、重要人事任免及大额资金支付业务等，应当实 行集体决策审批或者联签制度，任何个人不得单独进 行决策或者擅自改变集体决策意见。 重大决策、重大事项、重要人事任免及大额资金支付 业务的具体标准由企业自行确定。 解解读读：企业内部各级员工必须获得相应的授权，才能 实施决策或执行业务，严禁越权办理。按照授权对象 和形式的不同，授权分为常规授权和特别授权。常规 授权一般针对企业日常经营管理过程中发生的程序性 和重复性工作，可以在由企业正式颁布的岗（职）位 说明书中予以明确，或通过制定专门的权限指引予以 明确。特别授权一般是由董事会给经理层或经理层给 内部机构及其员工授予处理某一突发事件（如法律纠 纷）、作出某项重大决策、代替上级处理日常工作的 临时性权力。 应应用用指指引引组组织织架架构构- -第第八八条条：企业应当制定组织结构 图、员工手册、业务流程图、岗（职）位说明书和权 限指引等内部管理制度或相关文件，使企业员工了解 和掌握组织架构设计及权责分配情况，正确履行职责 。 应应用用指指引引组组织织架架构构- -第第十十一一条条： 企业应当定期对组 织架构设计与运行的效率和效果进行全面评估，发现 组织架构设计与运行中存在重要缺陷的，应当进行优 化调整。 企业组织架构调整应当充分听取董事、监事、高级管 理人员和其他员工的意见，按照规定的权限和程序进 行决策审批并及时将调整结果以适当的形式通告给企 业全体员工。 解解读读：企业在对治理结构和内部机构进行全面梳理的 基础上，还应当定期对组织架构设计和运行的效率与 效果进行综合评价，其目的在于发现可能存在的缺陷 ，及时优化调整，使公司的组织架构始终处于高效运 行状态。 控控制制说说明明 标标准准化化控控制制 控控制制 编编号号 在设计企业的组织层级和架构时，必须考虑内部控制的要求，合理确定治理层 及内部各部门之间的权利和责任并建立恰当的报告关系。 企业组织层级和架构的设计遵循以下原则： 1、必须遵循公司法等法律法规的要求，严格规范出资人（主要指股东） 、董事会、监事会、经理层的权利和义务，及其相关的聘任条件和议事程序等 。制订公司章程合理解决各方利益的分配问题，保证企业高效运转； 2、应以企业的发展目标和战略规划作为组织架构设计的中心和出发点，并赋 予内部各业务和执行部门相应的职能，形成企业的核心竞争力； 3、组织架构的设计要充分考虑企业内部控制的需要，在确定组织层级和管理 跨度时，保证下级组织及其业务能够纳入上级组织所控制的范围之内，横向各 层级之间可以相互监督、互相制约； 4、企业的组织架构要适应企业的市场环境、行业特征、经营规模等，同时也 应遵循成本效益原则根据企业内外部环境的变化及时进行优化调整。 具体的操作方法包括：1、建立完善的法人治理结构，保证股东大会、董事会 、监事会、经理层和全体员工履行职责，对各层级的授权情况做出书面正式记 录；2、对内部的组织机构设置、各职能部门职责权限、运行流程等作出明确 的书面规定和说明；3、根据公司发展战略和内外部环境的变化及时作出调整 ；4、设立适当的信息沟通渠道保证信息在各层级和业务间传递，为员工履行 职权提供信息；5、建立关键岗位员工轮换制度和强制休假制度；6、做出岗 位职责描述说明；7、对权限设置和履行情况进行监督审核，对越权和缺位行 为予以纠正处理。 企业在确定职权和岗位分工时要着重体现不相容职务相互分离的控制要求。不 相容职务通常包括：可行性研究与决策审批；决策审批与执行；执行与监督检 查等。 应重点关注董事会成员和经理层人员交叉任职或重叠现象，遵循制衡性原则要 求对交叉任职所导致的权利泛滥、随意使用甚至可能造成的重大欺诈或舞弊行 为采取额外的监督措施予以控制。 企业应当对内部各职能机构的职责进行科学合理的分解，确定具体的岗位名称 、职责和工作要求等，明确各个岗位的权限和相互关系，在确定职权和岗位分 工时应着重体现不相容职务相互分离的控制要求。 具体操作方法应包括： 1、制定企业组织结构图、业务流程图、岗（职）位说明书等内部管理制度或 相关文件； 2、对员工进行岗前、岗中培训使员工了解并掌握企业组织架构设计和权责分 配情况，正确履行其相应职责； 3、针对企业权限体系的分配问题制定相应的权限指引，使不同层级的员工明 确如何行使职权并承担相应责任，有利于事前风险控制和事后的考核评价。 按照科学、精简、高效、透明、制衡的原则，综合考虑本企业的性质、发展战 略、文化理念和管理要求等因素，合理设置企业内部职能机构，明确下属分子 公司各自的职责权限，避免职能交叉、缺失或权责过于集中的现象。形成各司 其职、各负其责、相互制约、相互协调的工作机制。 各分子公司之间应设置各自独立的部门和岗位，禁止出现重合部门和交叉任职 的现象。 组织内权权限限的的设设计计应重点考虑下列因素： 1、授权线路必须清晰、简明、具有连贯性。避免出现权力交叉、冲突、越级 越权或权力真空的现象； 2、授权范围必须明确清楚并与各相关业务处理的程序相匹配，所有业务必须 由被授权人处理并保留可查证的书面证据； 3、所有授权必须是书面的，并且附有必要的描述（如权限指引、特别授权表 等）； 4、授权只能逐级由上往下对下属授权。特殊情况需要对间接下属授权的必须 有书面理由并经授权者的直接上级批准。 5、授权范围只能涉及完成被授予处理事项所必需的权利，授权范围最大不得 超过授权者本人处理同样工作的权利； 6、企业经理层人员的授权应当符合公司章程以及相关董事会的决议； 7、授权人或授权单位在授权前必须注意避免与被授权人发生潜在的利益冲突 ，必要时应当采取回避措施或者其它替代控制措施； 8、授权一般应予以公开，需要对外保密的应当指定专人登记备查。 授授权权审审批批形形式式分为常规授权和特别授权。常常规规授授权权是企业在日常经营管理活动 中按照既定的职责和程序进行的授权，用以规范经济业务的权力、条件和有关 责任者，其时效性一般较长；特特别别授授权权是企业对办理例外的、非常规性交易事 件的权力、条件和责任的应急授权。与常规授权不同，特别授权的对象是某些 例外的经济业务，只涉及特定的经济业务处理的具体条件及有关具体人员。 企业的授授权权审审批批体体系系应明确：1、授权审批的范围；2、授权审批的层次；3、 授权审批的程序；4、授权审批的责任。 为确保员工了解和掌握组织架构设计及权责分配情况，正确履行职责，企业应 当： 1、制定企业组织结构图、业务流程图、岗（职）位说明书等内部管理制度或 相关文件； 2、对员工进行岗前、岗中培训使员工了解并掌握企业组织架构设计和权责分 配情况，正确履行其相应职责； 3、针对企业权限体系的分配问题制定相应的权限指引，使不同层级的员工明 确如何行使职权并承担相应责任，有利于事前风险控制和事后的考核评价。 涉及到“三重一大”问题时，即企业的重大决策、重大事项、重要人事任免及 大额资金支付业务等，必须按照规定的权限和程序实行集体决策审批或者联签 制度，任何个人不得单独进行决策或者擅自改变集体决策意见。企业在具体操 作中可以参照部分行业标杆的优秀管理经验总结，有效避免一言堂、一支 笔现象。 企业在对治理结构和内部机构进行全面梳理的基础上，应当定期对组织架构设 计和运行的效率与效果进行综合评价，发现可能存在的缺陷并及时做出优化调 整。 企业对组织架构设计与运行的效率和效果的评估内容包括但不限于： 1、组织架构的设计是否合理有效，职责分工是否健全； 2、各项工作中的业务处理与记录程序是否规范、经济，其执行是否有效。 3、各项业务工作中的授权、批准、执行、记录、核对、报告等手续是否完备 。 4、各岗位的职权划分是否符合不相容岗位相互分离的原则，其职权履行是否 得到有效控制； 5、是否有严格的岗位责任制度和奖惩制度； 6、授权是否具有相应的指引和必要的控制措施，其措施是否有效执行。 对于存在缺陷的组织机构应做出优化调整，一般包括：、股权结构的调整； 、公司治理结构的调整；、内部机构的调整。 控控制制描描述述 控控制制说说明明 控控制制详详细细说说明明 相相关关制制度度/ /规规章章 控控制制责责任任部部门门/ /责责任任人人 （如如 ：职职位位/ /系系统统/ /第第三三方方名名称称） 控控制制生生效效日日 期期 是是否否为为关关键键 控控制制 控控制制频频率率 控控制制说说明明 信信息息系系统统穿穿行行测测试试审审阅阅发发现现及及改改进进建建议议 预预防防型型/ /发发现现 型型控控制制 控控制制类类型型： 手手工工控控制制/ /系系 统统控控制制/ /手手工工 依依赖赖系系统统控控 制制 支支持持本本控控制制 的的信信息息系系统统 关关键键报报告告 测测试试样样本本文文档档 名名称称 索索引引号号 控控制制详详细细说说明明 发发现现问问题题描描述述 审审阅阅发发现现及及改改进进建建议议 风风险险及及影影响响 审审阅阅发发现现及及改改进进建建议议 整整改改建建议议管管理理层层反反馈馈整整改改负负责责人人 审审阅阅发发现现及及改改进进建建议议 预预计计整整改改完完成成时时间间 审审阅阅发发现现及及改改进进建建议议 子子流流程程 目目标标编编 号号 控控制制目目标标 风风险险编编 号号 风风险险描描述述 风风险险评评 级级 3.1-3.1-人人力力资资源源政政策策管管理理（制制定定、发发布布、实实施施和和更更新新） T1明确企业人力资 源政策，并将权 利与责任落实到 各责任单位 R1企业没有制定合理的人力资源 政策（包括：员工的聘用、培 训、辞退与辞职；员工的薪酬 、考核、晋升与奖惩；关键岗 位员工的强制休假制度和定期 岗位轮换制度；掌握国家秘密 或重要商业秘密的员工离岗的 限制性规定），导致公司在人 力资源管理的实际操作中缺乏 规范 高 R2人力资源政策无法通过有效的 签发流程和宣传机制，传达至 各分散区域或国外的员工，从 而影响相关政策实施效率和效 果 中 3.2-3.2-人人力力资资源源规规划划和和计计划划管管理理（包包括括员员工工能能力力规规划划） T2确保制定科学可 行的人力资源的 总体规划和年度 计划 R3没有结合公司战略规划和经营 目标，定期编制适当的、符合 公司战略规划需要的人力资源 的总体规划和年度计划，或相 关计划未经过适当授权审批， 导致人才储备的数量和结构均 无法满足公司战略和经营发展 要求 高 T3明确人力资源定 期评估机制 R4缺少人力资源定期评估机制， 导致人力资源规划不合理，人 力资源政策不完善，不能适应 公司的发展。 中 T4明确人力资源能 力框架及招聘标 准 R5公司尚未制定人员的能力框架 （包括管理人员和其他员工） 及招聘标准（如：是否满足德 才兼备的原则），导致企业员 工缺乏足够的能力以胜任赋予 其的工作职责或适应公司业务 的性质和复杂程度。 中 3.3-3.3-员员工工培培训训和和继继续续教教育育 T5明确员工培训制 度，保证员工持 续的提升知识、 技能 R6公司没有建立完善的员工岗前 、在职培训制度，缺乏定期、 持续的培训计划，导致未能与 员工有效沟通与其岗位相关的 职责内容、内控操作和其他作 业要求，无法保证员工持续的 提升知识、技能 中 T6确保员工培训的 有效施行 R7各项培训工作未能按照计划执 行，导致员工的知识、能力更 新无法和公司业务发展保持一 致，并得到持续的提升 低 3.4-3.4-员员工工薪薪酬酬管管理理和和绩绩效效激激励励 T7明确人力资源激 励约束机制，设 置科学的业绩考 核指标体系 R8没有按照效率优先，兼顾公平 的原则，制定与业绩考核挂钩 的薪酬制度，包括： 1）未按相关规定组成薪酬委员 会(它的职责是监督高级管理人 员的薪酬，聘用和终止高级管 理人员的雇佣。如批准所有管 理层与业绩挂钩的奖励计划、 确定首席内部审计师的薪酬， 以及任免事宜。) 2）未建立对于董事、监事、高 级管理人员的绩效评价标准和 程序； 3）存在不切实际的业绩目标， 尤其是短期业绩指标压力，造 成管理层的激励不平衡。 高 R9没有按照效率优先，兼顾公平 的原则，制定与业绩考核挂钩 的薪酬制度。 1)对员工的奖励，比如奖金和 股份，无法培养整个企业良好 的道德风气（奖励不是给予那 些达到目标的员工，而应该给 予那些改进企业现有政策、流 程和控制的员工）； 2）存在不切实际的业绩目标， 尤其是短期业绩指标压力，造 成激励不平衡。 3）人力资源绩效激励约束制度 不合理、关键岗位人员管理不 完善或者缺乏科学的考核指标 体系和考核标准，可能导致人 才流失、经营效率低下或关键 技术泄密 高 3.5-3.5-员员工工轮轮岗岗和和退退出出机机制制 T8明确管理人员和 关键岗位人员轮 岗制度 R10缺乏恰当的轮岗机制，未明确 关键岗位轮岗的范围、频率等 事宜，无法有效防范舞弊行为 发生，并激励员工有序流动。 高 T7明确人力资源激 励约束机制，设 置科学的业绩考 核指标体系 T9明确员工退出（ 辞职、辞退、退 休等）机制、退 出条件和程序 R11人力资源退出机制不当，可能 导致法律诉讼、企业声誉或经 济损失。 中 T10明确关键岗位人 员离职、工作交 接和离任审计程 序 R12没有根据有关法律法规的规定 ，对于董事、监事、高级管理 人员、关键岗位人员离职进行 离任审计 低 企企业业内内部部控控制制基基本本规规范范、应应用用指指引引和和解解读读相相关关 要要求求 基基本本规规范范第第十十六六条条：企业应当制定和实施有利 于企业可持续发展的人力资源政策。人力资源 政策应当包括下列内容： （一）员工的聘用、培训、辞退与辞职。 （二）员工的薪酬、考核、晋