内部控制基本制度(试行)

内部控制基本制度(试行)1.总则1.1目的依据为建立健全公司内部控制体系，提升风险管理能力，保障公司战略目标落地，依据《中华人民共和国公司法》《企业内部控制基本规范》及其配套指引、《上市公司治理准则》等法律法规，结合公司实际经营情况，制定本制度。1.2适用范围本制度适用于公司总部及下属全资子公司、控股子公司（以下统称“各单位”）。各单位可根据自身业务特点制定内部控制实施细则，报公司内控管理部门备案后执行。1.3内部控制定义本制度所称内部控制，是指由公司董事会、监事会、经理层及全体员工共同实施的，旨在实现控制目标的过程，通过对内部环境、风险评估、控制活动、信息与沟通、内部监督五大要素的系统性管控，防范化解经营风险、合规风险、财务风险等各类风险。2.内部控制目标与原则2.1内部控制目标2.1.1战略目标：支撑公司“聚焦核心主业、拓展新兴领域、打造行业标杆”的中长期战略落地，确保各项业务活动与公司战略方向一致。2.1.2经营目标：提升运营效率与效益，降低运营成本，优化资源配置，实现年运营效率提升不低于5%、重点业务成本下降不低于3%的年度经营管控目标。2.1.3合规目标：严格遵守法律法规、监管规定及公司内部规章制度，杜绝重大违法违规行为，合规性检查通过率达100%。2.1.4资产安全目标：保障公司货币资金、固定资产、无形资产等各类资产的安全完整，防范资产流失，资产盘点差错率控制在0.1%以内。2.1.5信息真实目标：确保财务报告及各类管理信息真实、准确、完整、及时，为决策提供可靠依据，年度财务报告审计无重大调整事项。2.2内部控制原则2.2.1全面性原则：覆盖公司所有业务领域、管理流程及部门岗位，贯穿决策、执行、监督全流程，既包括对具体业务的控制，也涵盖对治理层、管理层及员工的行为约束。2.2.2重要性原则：聚焦高风险领域与关键业务环节（如重大投资、大额资金运作、核心技术研发等），针对单笔金额超过500万元的投资、1000万元的资金支付等事项，实施专项管控。2.2.3制衡性原则：明确不相容岗位分离要求（如授权审批与业务执行、业务执行与监督评价、会计记录与财产保管、筹资计划编制与审批等），确保权责对等、相互制约，关键岗位轮岗周期不超过5年。2.2.4适应性原则：随公司战略调整、业务拓展、内外部监管要求变化及时优化内部控制体系，每年至少开展1次内部控制适应性评估，针对行业政策变化、新业务上线等情况动态调整控制措施。2.2.5成本效益原则：在控制有效性与实施成本间寻求平衡，优先选择成本投入小于风险损失的控制方案，避免过度管控导致运营效率下降。3.内部控制组织架构及职责3.1董事会（内部控制决策机构）3.1.1审批公司内部控制基本制度及重大内部控制政策；3.1.2审批年度内部控制工作计划、内部控制评价报告及重大缺陷整改方案；3.1.3监督内部控制体系的有效运行，定期听取经理层关于内部控制实施情况的汇报；3.1.4决定内部控制管理部门的设置及其职责权限。3.2监事会（内部控制监督机构）3.2.1监督董事会、经理层履行内部控制职责的情况；3.2.2检查公司内部控制缺陷整改情况，对董事会、经理层存在的内部控制失职行为提出监督意见；3.2.3定期向股东大会报告内部控制监督情况。3.3经理层（内部控制执行机构）3.3.4组织实施董事会批准的内部控制政策及工作计划；3.3.5牵头制定内部控制实施细则及业务流程规范，推动各部门落实内部控制要求；3.3.6定期向董事会汇报内部控制执行情况，及时报告重大内部控制风险事件；3.3.7审批各部门内部控制实施方案，协调解决跨部门内部控制问题。3.4内部控制委员会（日常决策协调机构）3.4.1由总经理任主任，财务总监、内控总监任副主任，各业务部门负责人为成员；3.4.2制定年度内部控制工作重点，协调跨部门内部控制事项；3.4.3审核内部控制风险评估报告、内部控制评价初步结果；3.4.4督导重大内部控制缺陷的整改工作。3.5内控管理部（内部控制归口管理部门）3.5.1牵头制定、修订内部控制基本制度及配套文件；3.5.2组织开展全公司风险评估、业务流程梳理与优化工作；3.5.3统筹协调内部控制评价与监督工作，编制年度内部控制评价报告；3.5.4负责内部控制培训与宣传，提升全员内部控制意识；3.5.5跟踪各部门内部控制缺陷整改进度，定期向内部控制委员会汇报。3.6各业务部门（内部控制第一责任主体）3.6.1部门负责人为本部门内部控制第一责任人，对本部门内部控制的有效性负责；3.6.2梳理本部门业务流程，识别关键风险点，制定并执行本部门内部控制措施；3.6.3配合内控管理部开展风险评估、内部控制评价工作，及时反馈本部门内部控制执行情况；3.6.4制定本部门内部控制实施细则，组织本部门员工开展内部控制培训。3.7内部审计部（内部控制独立监督机构）3.7.1独立开展内部控制审计工作，检查各部门内部控制执行情况；3.7.2对内部控制体系的有效性进行评价，识别内部控制缺陷并提出整改建议；3.7.3向董事会审计委员会、内部控制委员会提交内部控制审计报告；3.7.4监督内部控制缺陷整改情况，对整改结果进行验证。4.内部控制要素及控制措施4.1内部环境控制4.1.1治理结构：完善董事会、监事会、经理层的权责划分，明确“三重一大”事项（重大决策、重大事项、重要人事任免及大额资金使用）集体决策机制，单笔金额超过500万元的资金支付需经总经理办公会审批，超过2000万元的需经董事会审批。4.1.2人力资源政策：建立基于内部控制绩效的考核机制，将内部控制执行情况纳入员工绩效考核（权重不低于10%）；对关键岗位员工开展背景调查，确保其具备相应的职业道德与专业能力；每年组织不少于2次的内部控制专项培训。4.1.3企业文化：培育“合规为先、风险可控”的企业文化，将内部控制要求纳入员工手册，通过案例宣讲、风险警示等方式提升全员内部控制意识。4.2风险评估控制4.2.1风险评估频率：每年开展1次全面风险评估，针对重大投资、新业务上线等事项开展专项风险评估，内外部环境发生重大变化时（如行业政策调整、市场需求突变）及时启动应急风险评估。4.2.2风险识别方法：采用问卷调查、流程访谈、流程图分析、行业对标等方式，识别战略风险、市场风险、运营风险、财务风险、合规风险等各类风险。4.2.3风险分析与应对：采用定性与定量结合的方法（如概率-影响矩阵、风险价值法）对风险进行分析，根据风险等级采取不同应对措施：重大风险（发生概率高、影响程度大）：采取风险规避或风险降低措施，如暂停高风险业务、增加管控环节；重要风险：采取风险分担措施，如通过保险、外包转移风险；一般风险：采取风险承受措施，持续监控风险变化。4.3控制活动控制4.3.1资金活动控制筹资控制：筹资方案由财务部门牵头制定，经法务、内控部门评审后，报董事会审批；筹资资金需严格按计划使用，每月开展资金使用情况监控；投资控制：重大投资需开展尽职调查，形成尽职调查报告，经投资评审委员会审议后报董事会审批；投资后每季度开展投后管理评估，跟踪投资效益；营运资金控制：银行账户开立、变更需经财务总监审批，银行印鉴实行分管制（财务专用章由会计保管，法人章由出纳保管）；每日核对银行日记账与银行对账单，每月编制银行存款余额调节表。4.3.2采购业务控制需求申请：采购需求需经部门负责人审批，单笔金额超过10万元的采购需提交需求分析报告；供应商管理：建立供应商准入、评价、淘汰机制，每年开展1次供应商履约评价，淘汰不合格供应商；采购执行：单笔金额超过50万元的采购需采用招投标方式，采购合同需经法务、财务部门评审；验收付款：采购物资需双人验收，验收合格后方可提交付款申请，付款需经财务部门审核后按授权审批流程支付。4.3.3销售业务控制信用管理：建立客户信用评级体系，根据信用等级设定信用额度，超信用额度的订单需经销售总监审批；订单处理：订单需经客户确认及销售部门审批，变更订单需重新履行审批流程；收款控制：每日核对销售回款情况，逾期30天以上的应收账款启动催收程序，逾期90天以上的应收账款计提坏账准备并上报经理层。4.3.4资产管理控制存货控制：每月开展存货盘点，每年开展1次全面盘点，盘点差异需查明原因并上报；固定资产控制：固定资产购置需经部门申请、财务审核、总经理审批，每年开展1次固定资产盘点，闲置固定资产及时处置；无形资产控制：核心技术专利、商标等无形资产需进行权属登记，定期评估无形资产价值，防止无形资产流失。4.3.5信息系统控制权限管理：信息系统权限实行“申请-审批-开通”流程，离职员工权限及时注销；数据安全：定期备份系统数据，设置访问日志，对敏感数据（如客户信息、财务数据）进行加密处理；系统变更：信息系统升级、功能变更需经IT部门、业务部门评审，上线前开展测试，确保不影响业务正常运行。4.4信息与沟通控制4.4.1内部信息沟通：建立跨部门信息沟通机制，每月召开业务协调会，各部门反馈内部控制执行情况及风险信息；重要信息通过OA系统、内部邮件等渠道及时传递，确保信息传递的及时性与准确性。4.4.2外部信息沟通：建立与供应商、客户、监管机构、中介机构的信息沟通渠道，及时获取外部监管要求、市场变化等信息；对外部反馈的问题及时处理并反馈。4.5内部监督控制4.5.1日常监督：各部门每月开展内部控制自我检查，形成自查报告报内控管理部；内控管理部每月抽查至少2个部门的内部控制执行情况。4.5.2专项监督：针对重大风险事件、内部控制缺陷等开展专项监督，如发现采购环节存在违规操作，及时启动专项审计。4.5.3监督记录：建立内部控制监督台账，记录监督发现的问题、整改情况及验证结果，台账保存期限不低于10年。5.内部控制流程管理5.1流程梳理与优化：各部门每年梳理1次本部门业务流程，绘制流程图并识别关键控制点，报内控管理部汇总；内控管理部每2年组织1次全公司流程优化，针对效率低下、风险较高的流程进行调整。5.2流程执行：各部门需严格按规定流程开展业务，不得随意简化或跳过流程环节；因特殊情况需临时调整流程的，需经部门负责人及内控管理部审批。5.3流程变更：流程变更需开展影响评估，评估内容包括对业务效率、风险控制的影响，经内部控制委员会审批后方可实施；流程变更后及时更新流程文件并组织员工培训。6.内部控制评价与缺陷整改6.1内部控制评价6.1.1评价周期：每年开展1次全面内部控制评价，每半年开展1次专项内部控制评价（针对高风险业务领域）。6.1.2评价内容：包括内部环境、风险评估、控制活动、信息与沟通、内部监督的有效性，重点关注重大风险领域及关键业务环节的控制情况。6.1.3评价程序：制定评价计划→组成评价小组（由内控管理部、内部审计部及业务部门人员组成）→现场测试（采用抽样检查、访谈、凭证核对等方式）→编制评价报告→提交董事会审批。6.2内部控制缺陷认定与整改6.2.1缺陷认定标准：重大缺陷：可能导致重大损失、违反法律法规、财务报告重大错报未被发现的缺陷，如未经审批进行重大投资、大额资金挪用等；重要缺陷：可能导致较大损失、影响业务正常运行的缺陷，如关键岗位未按规定轮岗、采购流程存在漏洞等；一般缺陷：对公司影响较小的缺陷，如个别凭证审核不及时、流程记录不完整等。6.2.2整改流程：缺陷认定后，责任部门需在10个工作日内制定整改计划（明确整改措施、期限、责任人），报内控管理部审批；内控管理部跟踪整改进度，整改完成后组织验收；重大缺陷整改情况需报董事会审批。6.2.3问责机制：对未按要求