内部控制手册编制使用说明

1、内部控制手册编制使用说明1、编制内部控制手册的背景为规范江苏亨通光电股份有限公司（以下简称“股份公司”）的管理，贯彻 中华人民共和国公司法、中华人民共和国证券法、中华人民共和国会 计法以及其他有关法律、法规，满足国内外资本市场对上市公司的监管要求， 股份公司特制订内部控制手册，作为建立、执行、评价及验证内部控制的依 据。完整的内部控制体系和完善的内部控制制度，是约束、规范企业管理行为的 准则，是减少风险的重大措施。实施内部控制可以及时发现和纠正各种错弊及不 法行为，有利于保证资产安全、完整，保证经营成果与财务状况真实、可靠。其 必要性表现为：一是建立现代企业管理制度, 强企业管理，提高企业经营

2、业绩,完善法人治理结构，实现经营机制的转换，加 改善企业财务状况。遵循财政部、证监会、审计署、银监会、保监企业内部控制配套指引，以及美国二是贯彻我国有关法律法规， 会等五部委企业内部控制基本规范、 萨班斯-奥克斯法案等国内外资本市场监管需求，提高会计信息质量。三是积极参与竞争、努力降低风险。随着市场竞争日趋激烈和信息技术高度 发展，以及全球经济一体化的进程加速， 股份公司所面临的风险也逐渐加大。 建 立健全有效的内部控制制度，是防范风险、提高经营效率和效果的重要措施。四是建立统一规范的内部控制制度，使股份公司各项规章制度成为系统性、 可操作性和包容性很强的内部管理制度，更为有效的体现股份公司管

3、理理念。2、内部控制手册遵循的基本原则一是合规性原则。合规性是指企业内部控制制度必须符合国家的法律、法规和政策；符合股份公司上市地证券监管机构有关上市公司的法律、法规和要求。二是全面性和系统性原则。内部控制手册涉及股份公司经营活动的各个 方面，其内部监督和控制贯穿于经营管理活动的全过程并涉及全体员工。股份公司的每一个员工既是内部控制的主体， 又是内部控制的客体；既要对其负责的作 业实施控制，又要受其他人员或制度的监督和制约。内部控制手册使股份公司内部各部门、各岗位形成较为系统的既互相制约又具有纵横交错关系的统一整 体，确保各部门和各岗位均能按特定的目标相互协调的发挥作用，最终实现股份公司内部控

4、制的总体目标。三是内部牵制及不相容原则。内部牵制是指部门与部门、员工与员工以及各 岗位之间所建立的互相验证、互相制约的关系，属于企业内部控制制度一个重要 组成部分。其主要特征是将有关责任进行分配，使单独的一个人或一个部门对任何一项或多项经济业务活动没有完全的处理权， 必须经过不相容的其他部门或人 员的验证、核对和制约。四是权责明确、奖惩结合原则。根据各部门和岗位的职能与性质，明确各部 门及人员应承担的责任并赋予相应的权限，根据操作规则和处理程序，确定追究、 查处责任的措施与奖惩办法等，使权有所属，利有所享，避免发生越权或互相推 诿的现象。五是成本效益原则。在内部控制活动中贯穿成本效益原则， 就

5、是要力争以最 少的控制或最低管理成本获取最大的经济利益。要实行有选择的控制：要努力降 低控制成本，尽量精简机构和人员，改进控制方法和手段，提高效率。六是可操作性原则。内部控制手册必须符合股份公司实际，无论在业务 流程控制点的设置，还是授权项目权限的确定，都要考虑实际管理工作中是否可 行，保证其可操作性。七是包容性原则。内部控制手册是依据股份公司现行各项管理制度，为 控制风险而编制的一系列流程控制体系，内容涵盖投资、生产、经营、财务、监 督检查等方方面面。内部控制手册力求避免与其他制度相矛盾，尽可能包容 现有的各项制度，对确实有冲突的其他各项管理制度，应及时修改、完善，并以 内部控制手册规定为准

6、。八是信息反馈原则。确定与控制工作有关的人员在信息传递中的任务与责 任，规定信息的传递程序、收集方法和时间要求等事项，建立严密的纪录、报告 等信息反馈系统。3、内部控制手册的适用范围内部控制手册适用于股份公司及其下属公司（下属公司是指股份公司投 资（控股）和托管公司）。股份公司投资（控股）和托管公司应当参照股份公司 内部控制手册，结合自身特点，按照“业务必须覆盖股份公司内部控制手 册中对应的所有规定内容，权限比照股份公司”的原则，制定内控手册，履行 本公司审批程序后，报股份公司内控部备案。4、内部控制定义内部控制是为了适应国内外证券机构监管要求， 提高风险管理能力和经营管 理要求，由股份公司董

7、事会、管理层及其全体员工实施的，为经营活动的效率与 效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证 的过程。内部控制主要由内部环境、风险评估、控制活动、信息沟通及监督检查 等五个要素构成：内部环境是影响、制约内部控制建立与执行的各种内部因素的总称， 是实施 内部控制的基础。内部环境主要包括治理结构、 组织机构设置和权职分配、 企业 文化、人力资源、内部审计机制、反舞弊机制等。风险评估是及时识别、科学分析和评估影响股份公司目标实现的各种不确定 因素并制定应对策略的过程。风险评估主要包括风险识别、风险衡量、风险应对 和风险报告。控制活动是指根据风险评估结果、 结合风险应对策

8、略，采用恰当的 控制措施以确保内部控制目标得以实现的政策和程序， 是实施内部控制的具体方 式，控制措施的选择应当结合企业具体业务和事项的特点与要求，主要包括权责分离控制、授权与审批控制、预算控制、财产保护控制、分析与报告控制、绩效 考核控制、信息技术控制等。信息沟通是指及时、准确、完整地收集与股份公司经营管理相关的各种信息， 并使这些信息以适当的方式在有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制以及 内部与外部有关方面的沟通机制等。监督检查是对内部控制的有效性进行检查评价， 形成书面报告并作出相应处 理的过程，是实施内部控制的重

9、要保证。2010年五部委颁布企业内部控制规范配套指引，分18项应用指引, 1项评价指引，1项审计指引，是对企业内部控制基本规范的进一步细化指 导。5、内部控制组织机构按照企业内部控制基本规范和企业内部控制配套指引的要求，为确 保公司内部控制规范体系建设工作顺利开展， 公司内部各项内控制度得到贯彻执 行，以实现股东利益最大化经营宗旨， 促进公司的全面可持续发展，公司成立了 内部控制规范实施工作领导小组和工作小组， 以及内部控制规范评价组，组织公 司对内控机制建设的工作部署，落实公司制定的内控机制基本制度和工作标准， 按内控要求对公司内控体系的布局进行整体规划，监督内控机制工作的整体进 程，确保内

10、控机制健康运行。内控领导小组由公司董事长担任负责人， 工作组职责：组织公司对内控机制 建设的工作部署，落实公司制定的内控机制的基本制度和工作标准， 按内控要求 对公司内控体系的布局进行整体规划， 监督内控机制工作的整体进程，确保内控 机制有效运行等。内控建设工作组由股份公司总经理牵头， 小组职责：落实公司内控领导小组 要求，按职责分工开展相关工作，落实公司制定的各项内控制度，负责日常工作 的风险防控等。协调召开内控建设工作会议，负责协调督办各子公司及各部门开 展内控工作等。内控评价工作组由股份公司监事及审计部门组成， 小组职责：落实公司内控 工作领导小组要求，按职责分工开展内控评价相关工作，

11、督促落实公司制定的各 项内控制度，负责日常工作的风险防控检查等。内部控制工作各组按照公司内部控制工作要求，按职责分工开展相关工作， 落实公司制定的各项内控制度，负责日常工作的风险防控等。内控部及审计部作 为内控规范的牵头部门，联合公司各职能部门、各子公司协同开展组织内控建设 和自我评价。内控部作为股份公司内部控制工作日常管理机构， 具体负责组织内 部控制执行情况监督检查，内部控制评价，内部控制手册更新及培训等工作。6、内部控制手册使用指南本手册包括五部分，即江苏亨通光电股份有限公司内部控制手册编制 使用说明、内部控制手册、授权指引、不相容职务分离、风险 评估。江苏亨通光电股份有限公司内部控制手

12、册编制使用说明即本文内容，对使用要求、生内部控制手册编制背景、遵循原则、适用范围、内部控制定义、内部控制组 织机构、使用指南、贯彻实施的责任和要求、编写与管理、发放、 效、维护、更新作出阐述；较为全面地阐述18个子项，内部控制手册，描述了内部控制体系组织结构与职责，了内部控制体系的建设目标，以五部委企业内部控制应用指引从控制环境、风险评估、控制活动、信息与沟通和内部监督等五个方面对内控关 注要点及相应措施进行了较为全面、系统的阐述。授权指引，描述了公司管理、决策、一切控制活动授权审批的范围、层 次、程序、责任，对内控关注要点的审批权限进行了阐述；不相容职务分离，描述了公司内部机构、岗位的设置及

13、其职责权限的合 理划分，确保不同岗位形成各司其职、各负其责、相互制约的工作机制，并汇编 了公司所有不相容职务。风险评估，描述了公司风险控制目标和风险评估的基本概念以及风险的 分类，风险管理制度从确定风险评估目标、 风险评估机制、建立并完善风险管理 体系三个方面对内控关注要点及相应措施进行了阐述，并汇编了公司一切活动的 风险内容及评估。7、内部控制手册贯彻实施的责任和要求手册建立了一套科学、系统的内部控制体系建设方法和标准， 是公司建 设并实施内部控制体系的纲领性文件。 为保证内部控制体系“设计有效、执行有 力”，各部门、各公司要认真组织实施，严格遵照执行。要充分认识内部控制体 系建设工作的长期

14、性和艰巨性，把建立和有效运行内部控制体系作为重要工作， 建立长效机制，指定管理部门或管理岗位，履行内部控制职能，切实做到实施有 力。为推动手册的贯彻执行，提高手册的使用效果，股份公司及各子公 司每年至少举办一次手册使用培训，要有计划地做好培训，将内控工作要求 传达到每个员工、每个岗位，确保执行到位。各公司要按照五部委企业内部控制基本规范、企业内部控制配套指引 及股份公司内部控制手册编制规范的要求，修订、完善和细化本公司的手册。各公司内控负责人要对本公司内部控制体系运行情况进行检查和督促，内控部将定期组织考核并进行通报。8、内部控制手册编写与管理手册由内控部组织编写，内控委员会审定，股份公司行文

15、发布。内控部 对手册进行规范管理，以保证其有效、完整、统一和适用。9、内部控制手册发放手册须按发放范围统一发放。发放范围由内控部提出，经管理层批准执 行。一般包括公司高管、股份公司相关职能部门等。手册包括纸质版和电子版两种，电子版的配发范围为股份公司高管； 纸 质版的配发范围为公司各职能部门及特殊使用者。10、内部控制手册使用要求本手册是公司重要文件，属公司机密。各单位应按相关要求正确使用， 未经允许，不得复印，不得对外泄露。在使用过程中遇到疑难问题，及时向内控 部咨询。11、内部控制手册生效、维护、更新手册的维护是一项长期性、经常性的重要工作，需要各部门及公司高度 重视，积极参与，大力配合。

16、各公司应指定内控管理人负责本单位手册的日 常管理和维护。对手册日常使用过程中发现的问题，应认真记录并及时反馈 给内控部。内控部应及时掌握手册的执行情况，并米取有效措施确保内部控 制管理体系的有效运行。手册的修订由内控部负责。每年内控部将根据国内和上市地新出台的相 关法律法规的要求、内外部审计对公司内部控制的评价、 公司内控管理中出现的 新问题以及反馈的意见及建议等，对手册进行修订，更新后的内部控制手 册经董事长审批后正式生效，并由内控部下发到各部门和各公司， 更新后的电 子版本将存档于股份公司网络中心， 并按照资料异地备份要求，存档于七都网络 部。内控手册全册目录 第一部分江苏亨通光电股份有限

17、公司内控手册编制使用说明1、编制内部控制手册的背景2、内部控制手册遵循的基本原则3、内部控制手册的适用范围4、内部控制定义5、内部控制组织机构6、内部控制手册使用指南7、内部控制手册贯彻实施的责任和要求8、内部控制手册编写与管理9、内部控制手册发放10、内部控制手册使用要求11、内部控制手册生效、维护、更新第二部分内部控制体系手册1、组织架构治理结构1.2内部机构1.3制度建设1.4子公司管控1.5三重一大事件1.6职务授权及代理人制度2、发展战略2.1发展战略2.2经营计划 2.3内控监察3、人力资源3.1人力资源规划3.2员工招聘3.2员工培训3.4薪酬管理3.5绩效考核3.6员工管理13

18、、无形资产管理4、社会责任4.1安全生产4.2环境控制管理4.3社会责任4.4自然灾害4.5突发公共事件5、企业文化 5.1企业文化 &筹资管理 6.1融资管理 6.2募集资金管理7.1投资管理8.2票据管理 9、采购管理 9.1供应商管理 9.2招投标管理 9.3设备采购管理 9.4备品备件管理 9.5原材料采购 9.6危化品米购 9.7应付款管理 9.8采购定价 9.9进口管理 9.10物流管理 10、存货管理 10.1原材料管理 10.2存货管理 10.3危化品管理 10.4废弃物资处置 11、生产管理 11.1生产管理 11.2仓储运输管理 12、固定资产管理 12.1固定资产

19、管理 12.2设备资产管理13.1无形资产管理 14、营销管理 14.1销售预测管理 14.2订单与合同管理 14.3客户开发管理 14.4信用管理 14.5售后管理 14.6价格管理 14.7应收款管理 14.8出口管理 14.9办事处管理 14.10市场管理 15、研发管理 15.1产品管理 15.2研发项目管理 15.3专利管理 16、工程项目管理 16.1工程项目管理 17、担保管理 17.1担保管理19.1关联交易18、业务外包管理18.1业务外包19、财务报告19.2会计核算 19.3财务报告与分析 19.4信息披露 20、成本费用管理 20.1成本费用管理 21、全面预算管理 2

20、1.1全面预算 22、合同管理 22.1档案管理 22.2印章管理 22.3合同管理 22.4法律纠纷 23、信息系统 23.1企业内部信息沟通 23.2审计监察 23.3信息系统开发 23.2信息系统运行、安全、维护 第三部分授权指引1、组织架构2、发展战略3、人力资源4、暂无5、企业文化6、筹资管理7、投资管理1、组织架构2、暂无3、人力资源8、资金管理9、采购管理-物料采购10、存货管理 11、生产管理 12、固定资产管理 13、无形资产管理 14、营销管理 15、研发管理 16、工程项目管理 17、担保管理 18、业务外包管理 19、财务报告与信息披露 20-1、费用管理 20-2、费

21、用管理-税务管理 21、全面预算管理 22、合同管理 23、信息系统 第四部分不相容职务分离、组织架构及部门职责 二、不相容职务分离表4、暂无5、企业文化6、筹资管理7、投资管理8、资金管理9、采购管理10、存货管理 11、生产管理 12、固定资产管理14-1、13、无形资产管理营销管理14-2、营销管理-商务管理15、研发管理 16、工程项目管理 17、担保管理 18、业务外包管理20-1、19、财务报告与披露费用管理20-2、费用管理-税务管理21、全面预算管理 22、暂无 23、信息系统 第五部分风险评估、江苏亨通光电股份有限公司风险管理制度第一章总则第二章风险管理及职责分工第三章风险评

22、估第四章风险管理解决方案第五章风险管理的监督与改进第六章、亨通光电内部控制风险评估根据五部委要求，2012年1月1日深沪两市主板上市公司开始执行内部控 制规范指引，包括18项应用指引，1项评价指引，1项审计指引，合计20项。 2013年上市公司年报必须披露年度内部控制自我评价报告及事务所出具关于内 部控制的审计报告。这就表示，上市公司必须在 2012年1月1日之前，完成制 定内部控制体系文件，在2012年的整年度必须有控制轨迹。根据公司9月份内部控制工作计划，结合目前的工作进展，公司的内部控制 体系文件即将完成，正在进行最后的检查。同时，对于内部控制手册的前言进行 编辑。按照内部控制概念在中国

23、的推广，分为小、中、大口径内部控制。目前大部 分公司所操作的均定位于中小口径内部控制。 也就是说，一是由财务人员主导的 小口径内部控制，从财务审计出发制定最具体最基本的内部控制制度。二是从企业财务管理角度出发制定最有直接效果、 能有控制企业运行的内部控制制度，即 财务部牵头的中口径内部控制。我们公司最初定位是由财务总监来牵头， 理论上 讲这是属于符合上市公司要求的中口径内部控制。后决定成立内控部来专门操 作，那么就上升为大口径内部控制。所谓大口径内部控制，即把18项应用指引的内部环境类5项指引全部涵盖进来。内部环境类5项指引：组织架构、发展战略、人力资源、社会责任、企业文 化。美资企业将内部控

24、制统称为公司治理，即包含了所有包括内部环境类的内部 控制。欧洲标准将内部控制分为公司治理和小内控概念。在国外，内部控制是由CEC和CFC执行并负责，由于COS（严格的罚责制度，在美国上市的公司，执行 COS是最严厉且最有效的。目前国内只出了指引类规范，对于内部控制没有上 升到法律高度，并且由于国内大部分公司由不位列领导班子成员的财务总监或者 不管实际经营的董事长挂帅，将没有办法实现执行完全的内部控制。 因此专家预 言，本次内部控制力度深度将有限。HT本次内部控制，情况也是如此。董事会牵头，内控部执行。在已经执行 的这段时间里，我一直贯穿一个原则，即与各公司目前所运行的ISO9000或者其 他质

25、量体系文件，尽量不冲突，对于各部门制度，尽量只是补充未尽事宜，不做 颠覆性更改，因此，预计在以后的实践中，推行不会造成很大困扰。问题在于，一是公司总经理必须表态支持，分派给他该做的工作需要完成； 二是内控部需要有责罚权限。不光是指导执行，还必须有考核权力和责罚措施。 三是企业必须只执行一套规范体系，所以对于当前HT来说，质量部与内控部必须合作，在一定程度上使得执行标准通用化。四信息化管理，目前HT正在上财务系统乃至于推广全面预算，但是这些没有规定内控部门参加，在以后的信息化 管理过程中，内控部将缺失财务信息流的了解。同时，这套软件据说是要全公司、 各部门运行的，那么内控部将变成旁观者而无从下手

26、观察与监控。五是好的管理制度一定是要有验证轨迹的，那么在我们制出的这么多流程中，如何让验证轨迹 成为不可绕过得环节，也需要领导层将内部控制提升到一定高度和层面上来宣 讲。由于ISO有先入为主的优势，所以内部控制在 HT推行2个月多的时间，遇 到最多的问题，便是询问内部控制与现行体系的不同， 我一向的解释是，所有执 行层面的内容都基本是一样的，仅仅是考核侧重点不一样，ISO强调的是以最流畅的流程做出最有效的工作，而内部控制规范要求的则是在所有企业活动中， 确保风险得到最有效的掌控，前者排在第一的目的是经营效率，后者排在首位的 目的是资产安全。HT股份公司的子（12家）、孙（3家）公司众多，另有编

27、制为事业部的 4 个，不涉及HT集团下属各企业，那么哪些可以做为独立的内部控制建设单位， 判断标准就是如果拥有独立的产、供、销和现金流，那么就可以视为一个内控体， 目前HT,除事业部编制的4个，其余都可以分开进行，但是我一直希望推行的， 是请各子公司先行检查已经在运营的制度流程， 在母公司内部控制手册完成的情 况下，借鉴大部分我们可以暂称为一级管理架构的内容，根据本身的经营特色， 查漏补缺，优化提高，从而形成子公司内部控制手册。这样做的益处很多，最大 的好处就是在内部控制评价和审计的时候， 我将非常熟悉各流程和制度，并且通 过多家的比对，能够总结出最适合和优化的流程。内部控制规范重点和难处有两

28、方面，一是成本与效益原则。基本所有的HT公司都已经通过并正在执行质量体系并且运行良好，如果不是因为上交所的强制 规定，那么我们在现阶段不执行内部控制规范， 也不会影响公司的运营。推行内 部控制规范，我们需要聘请外部机构协助编制内部控制手册，必须组织人员进行内部控制自我评价，必须聘请事务所进行内部控制审计，这些将是不菲的开支。 在初期，我们就决定自己来做内部控制手册，所有的前期费用预算是50万，包括人员出差培训。不请外部机构介入编制，主要是考虑到HT作为民营企业，有若干具备HT特色的经营理念和运作流程，只有了解HT和这个行业规则的人员才 能更好的编制内部控制手册。事实上，在2个多月的时间里面，我

29、确实得到了各 部门各单位的大力配合，因为领导层的推行和我本身对公司和行业的熟悉。内部控制第二大难处便是利益的调整。控制的目的是为了把所有的运营风险 都变为可掌控，那么怎么掌控呢？对于一线操作型员工，我们只需要控制动作， 这个不难，作业指导书完全可以解决问题。但是对于知识型员工，我们所要控制 的便是动机。人的因素是最难掌控的，我们不可能打保票说，这个人为公司忠诚 的服务了 10年，那么他将继续保持忠诚，对于一个岗位，现位人员是胜任的， 那么新一位接替者，我们怎样才能保证他也是胜任的，在 HT, 向有师傅带徒 弟的传统，这是很难改变的习惯，甚至一些领导因为太有资历了，念念不忘的训 导下属的话语，也

30、离不了师傅要带好徒弟。可是这之中的风险根本不是人为可控 的，所有人都明白这个道理，包括那些要求下属无私教导的领导也明白这个道理。 中国老话讲，教会徒弟，饿死师傅，我辛苦打下的江山，凭什么毫无保留传授给 你一个小辈，然后哪天替了我？而内部控制最主要的便是流程控制，我不清楚流程，不清楚每项工作的具体操作步骤和深浅把握，我怎么编制这个流程图怎么掌 控这个风险。目前所有的流程图，其实并不能称之为真正的流程图， 我们仅仅是 做了一个规范的动作流程图，我们没有就每一个项目进行详细解释： 做什么、怎 么做、风险在那里、怎么控制。最初决定画流程图的时候，领导就跟我讲，我们 一定要画最简单的流程图，那么我就可以

31、理解为我们需要通行的动作流程图， 而 不是管理流程图。而内部控制其实质上需要的是管理流程图，这是最核心和最可 实现掌控的一个控制轨迹。比较幸运的是在制作内部控制手册的时候， 我还是有2份蓝本可借鉴。这个 过程也是我从不明白为什么别人要这么做， 框架要那么搭，现在是一步一步明白 过来。虽然先期没有明白别人这样做的理由， 但是我还是照了葫芦画了样子， 所 以一通百通，我自认为是每天做了一步，又深入了一步，就像走小巷子，源源不 绝的让我发现其中可联系可探索的方面。这 那 路通在我的风险图中，我埋下了简便的索引号，因而在编制风险库的时候，可以 让我很快的顺藤摸瓜，找出必须control的风险。在编制授

32、权审批表的时候， 没有编号，但是给了具体的一级目录和项目目录，可以单独入册。即便今后，如 果我们要做最完美的管理流程图，那么我立刻就可以编制出管理流程图各子项目 的action,权责分离表一样如此，我可以立刻根据目录编查出separation，个CAS便可以分类会合到管理流程图中来，形成合格的内部控制管理流程图。 么为什么现在不编呢，因为我还没有做到使得我的流程图在各项目中运行。. 了，但是没有车子走过，就不知道路的质量。我预计用半年的时间，对本部各部 门进行实践检验并优化流程，届时，我将开始管理流程图编制。现在HT正推行ERP系统，在计划安排中是没有内控部的，我希望在未来可 以把ERP作为内

33、部控制推行的媒介，事实上，很多成熟的公司都在推行海星状管 理模式。所谓海星状管理模式，即是中心的大部分都是共享的，只有小部分的必 须对外的如地域性销售，地域性的生产，他必须是单独的，不能统一规范的。对 于财务类、人事类、采购、信息这些方面，都是可以集团共享的，节约了资源， 同时也增强了内部控制。都是通过信息化传递和管理，那么人为因素将越来越小， 也防止了舞弊的发生。事务所接受企业委托进行内部控制审计， 根据五部委企业内部控制审计指 引，仅要求对企业财务报告内部控制的有效性进行审计，出具审计报告。对于 审计过程中发现的企业非财务报告内部控制缺陷， 负有提示义务。在企业内部控 制自我评价要求中则需

34、要全面性检查。这个要求与我当时对于内部控制手册建设 时，要求立信仅对财务部分参与不谋而合，后来事务所没有后续跟进编写工作， 但是若仅就财务报告内容负责的话，那么我就有充分的信心，事务所将出具有利 于公司的审计报告，因为他同时担任了股份公司乃至集团的年报、 季报财务报告 的审计工作，所以轻车熟路且必须负责。18项内部控制应用指引，公司层面 5项，控制活动类9项，控制手段类4 项，这个后4项事实上是内置于前14项的工具。所以在我的手册中，没有严格 的用部门或者18项指引来区分内容，因为后四项完全是内置于前 14项，后来 拿出来单独成册， 仅仅是对于共性问题的阐述。在治理结构中，要做到决策权、监督权

35、、执行权三权分离，那么我们就要设 置授权审批控制和不相容职务分工控制。 在目前形成的内部控制手册中，对于授 权审批仅做了一般授权，对于特殊授权没有专门阐述，这是需要将来补充的缺陷。 在不相容职位分离分册中，加入公司内部机构设置、部门职责描述、岗位职 责权限描述，形成比较系统清晰的职务阐述。这个发现，让我豁然开朗，长期以 来困扰我的关于内部机构即内部组织架构到底应该按在手册的哪一部分，总是权衡不下的问题。在现行内控手册中，风险描述出现两次，显得手册特别冗长，如何解决这个 也是我一直思考的，今天也一并考虑清楚。在未来手册执行过程中，所有的书面 流程图将被实物流程一一验证，那么在内部控制手册中出现的

36、风险描述将被 关键控制点取代，每一个流程中出现的步骤将成为现成的控制点， 从而简化风险 描述的多项内容合并成关键控制点描述，这个也将在风险控制措施里面体现出 来，将来我的控制点也需要根据手册目录进行重新编号。未来识别、总结、合并 同类项风险将是一个比较大工程。今日工作备忘:编制内部控制手册目录发现问题和缺陷。 一是第二部分内部控制手册名称重 复，应该找一个更适合内容的文件名称；二是在手册纳入的部门职责是以内部控 制的职责来描述，还是广义的部门职责；三是在第五部分风险管理制度中， 还需 要添加数项专项制度，这个也需要后续逐渐添加，本次手册发行因为来不及做， 不预备加入这个部分；四是手册还需要添加

37、第六部分，即内部控制自我评价相关 内容、监督和内部控制激励。由此看来，后续工作任重而道远，事项急缓排序:、内部控制自我评价系列内容;、风险评估内容完善;三、手册流程图与实务流程图的验证、调整;四、根据实务流程图提炼关键控制点;五、控制措施在实际部门制度中的查漏补缺。今日学习心得:企业内部控制大多数人的认识就是对于内部所有活动的控制，也就是内部牵制，这个理解事实上是偏颇的，内部牵制是企业实施内部控制的一方面，另外一方面，则是对于企业的外部环境的控制。 五部委所规定的内部控制不是企业的物 理边界，而是一种经济边界。所谓企业的经济边界则取决于企业的目标，即企业的定位和要求。企业的控制环境有内部环境和

38、外部环境，企业所面对的风险也是 包括了内、外部的风险。所谓企业环境的 3C,即customer客户、competitor 竞争者、company公司。我们不能说仅仅解决物理上的企业内部控制，企业就能 得到健康持续发展。如科技进步这个外部环境很可能就决定了企业的生死。柯达胶卷就是一个人尽皆知的例子。这个风险他们本身有没有及时意识到，有没有制 定有效的内部控制措施。显然不能说柯达是没有做好内部控制的， 但是这个控制 缺陷也是致命的。他们没有考虑时代的技术进步而转型，所以就从最显赫的江湖 地位退后至一个属于生产小众消费物品的公司。内部控制评价与内部控制审计的不同在于： 一方面评价是对于企业内部控制

39、全面性的评价，审计是主要以财务报表内部控制的有效性进行审计； 另一方面出 具自我评价报告需要有后续的改进措施、 实施反馈并进一步优化，而审计报告不 需要。在企业内部控制审计指引中规定注册会计师应当对财务报告内部控制的 有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的 重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段” 予以披露。就我的理解来看，财务报表审计与内部控制审计两者最容易理解的区 别就是，财务报表审计是审计一个结果，是要求对于财务报表是否符合相关法律 法规、公司制度规定等进行认定，而内部控制审计则包含三方面， 一是对内部控 制有没有进行设计，二

40、是设计的内部控制是不是有效，三是内部控制的设计有没 有得到执行。也就是说财务报表审计很直接的就结果给予判断， 而内部控制的审 计是审计一个过程，内部控制审计是不断的维持现状、打破现状的管理效果螺旋 式上升的过程审计。内部控制审计方法包括穿行测试即对于某一项活动有始至终的所有内容进 行符合性检查、控制测试则是对于同一活动检查控制手段是否一致、一贯，执行是否有效。在家族式公司里面，有些内部控制是不符合通常意义上的职位分离、 授权审批等要求的，但是他的控制有可能是更加有效的，称之为替代性内部控制。内部控制做了这几个月来，其实纯粹是庞大的文字游戏，我天天翻来覆去， 已经开始厌倦。可以想见，未来如果这样

41、发下去，几百张纸头，上千条风险事项,肯定没有人能够坚持从头至尾阅读， 不用说一一执行，所以说到底内部控制最后 还是如何落地的问题。书面应内部控制工作的基调取决于老板的管理格调，并且老板对于公司经营的风险 接受度，也就是老板的行事风格，决定了内部控制对于风险的管控风格。 付检查，还是真正让内部控制发挥类似体系制约式的控制作用，条款是粗放还是 细致，这些与制定内部控制体系的人在实践中并没有多少关系。内部控制出现大国企的 没的执行缺陷，绝大多数并不是属于大多数人群的员工，而是领导层。象我们这样 的民营企业，说到底内部控制首当其冲应该控制谁， 是老板。但是有老板愿意让 你控制么？虽然讲起来，公司是上市公司，是公众的公司，但是在这样一个成立 已经20年，有着根深蒂固的老板就是天的公司里面，你来讲内部控制是对老板 的控制，保准你不能在公司看到明天的太阳。 人家讲笑话说，如果你有在公司里 面对待领导的态度对待你的父母，那么社会就真的大和谐了。待过民企、 人都清楚，这是天方夜谭。老板是谁，老板是你的衣食父母，不是生身父母， 有血缘关系，你必须兢兢业业，惶恐伺候。我需所以在我们的内部控制中，我最应该警醒的不是我的文件做得怎么样， 要就各个事项去提醒谁。老板是什么人，他看到想到的绝对比我所能想象的要多 得多，只不过他不愿意去说，或者觉得没有必要去解决，或者解决不了。也许无 伤大雅，也