企业内部控制体系运行手册

企业内部控制体系运行手册---企业内部控制体系运行手册第一章总则1.1手册目的本手册旨在规范企业内部控制体系（以下简称“内控体系”）的建立、运行、监督与改进，明确各部门及人员在内部控制中的职责与权限，确保企业经营管理活动的合法合规、资产安全完整、财务报告及相关信息真实可靠，提高经营效率和效果，促进企业实现发展战略。1.2适用范围本手册适用于企业及所属各部门、全资及控股子公司。各单位在执行本手册时，可结合自身业务特点和管理需求，制定相应的实施细则，但不得与本手册的基本原则和要求相抵触。1.3基本原则企业建立与实施内部控制，应遵循以下基本原则：*全面性原则：内部控制应贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。*重要性原则：内部控制应在全面控制的基础上，关注重要业务事项和高风险领域。*制衡性原则：内部控制应在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。*适应性原则：内部控制应与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。*成本效益原则：内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。1.4定义*内部控制：由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。*控制环境：企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。*风险评估：企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。*控制活动：企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。*信息与沟通：企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。*内部监督：企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。第二章内部控制体系的构成要素内部控制体系由控制环境、风险评估、控制活动、信息与沟通、内部监督五大相互关联、相互作用的要素构成。这些要素贯穿于企业经营管理的各个方面，是实现内部控制目标的有机整体。2.1控制环境控制环境是内部控制的基石，为其他要素提供了基础和结构。企业应致力于营造积极健康的控制环境：*治理结构：明确董事会、监事会和经理层在内部控制中的职责权限，形成科学有效的职责分工和制衡机制。董事会对内部控制的建立健全和有效实施负责。*机构设置与权责分配：合理设置内部职能部门，明确各部门的职责权限，避免职能交叉、缺失或权责过于集中。确保各部门及员工在授权范围内行使职权和承担责任。*内部审计：保障内部审计机构设置、人员配备和工作的独立性。内部审计机构应通过系统、规范的方法，审查和评价企业各项业务活动及内部控制的适当性、合法性和有效性。*人力资源政策：制定和实施有利于企业可持续发展的人力资源政策，包括员工的聘用、培训、辞退与辞职、薪酬、考核、晋升与奖惩等。确保员工具备相应的职业道德和业务能力。*企业文化：培育和弘扬诚实守信、爱岗敬业、开拓创新和团队协作的企业精神，树立现代管理理念，强化风险意识和法制观念。2.2风险评估企业应建立有效的风险评估机制，识别和分析经营管理活动中的内外部风险，并据此制定风险应对策略：*目标设定：企业应根据其战略目标，设定相关的经营目标、财务报告目标和合规性目标，作为风险评估的基础。*风险识别：全面、系统、持续地收集相关信息，结合实际情况，通过多种方法识别可能影响目标实现的内外部风险因素。*风险分析：对识别的风险进行定性和定量分析，评估风险发生的可能性和影响程度，确定风险的重要性水平。*风险应对：根据风险分析结果，结合风险承受度，确定风险应对策略，包括风险规避、风险降低、风险分担和风险承受等。2.3控制活动控制活动是确保管理层指令得以执行的政策和程序，旨在帮助企业应对风险，实现控制目标：*不相容职务分离控制：合理设置岗位职责权限，确保不相容岗位相互分离、制约和监督。常见的不相容职务包括授权批准、业务经办、会计记录、财产保管、稽核检查等。*授权审批控制：明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任。*会计系统控制：依据国家统一的会计准则制度，制定适合本企业的会计制度，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。*财产保护控制：建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。*预算控制：实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。*运营分析控制：建立运营情况分析制度，管理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。*绩效考评控制：建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。*合同控制：建立合同管理制度，明确合同订立、履行、变更、解除、终止等环节的控制要求，规范合同行为，防范合同风险。2.4信息与沟通信息与沟通是及时、准确、完整地收集、传递与内部控制相关的信息，并在企业内部、企业与外部之间进行有效沟通，以确保员工能够履行其职责：*信息质量：确保信息的真实性、准确性、完整性和及时性，满足企业管理和决策的需要。*沟通渠道：建立内部信息传递渠道和与外部利益相关者的沟通机制，确保信息能够在企业内部各层级、各部门之间，以及企业与客户、供应商、监管机构等外部单位之间有效传递。*信息系统：利用信息技术促进信息的集成与共享，提高信息的获取、处理和传递效率。同时，加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制。*反舞弊机制：建立反舞弊机制，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。2.5内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷并及时加以改进的过程：*日常监督：企业各部门和岗位在日常工作中对自身执行内部控制情况的持续监督。*专项监督：在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。*缺陷认定与报告：对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。*内部控制自我评价：企业应当结合日常监督和专项监督，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。第三章内部控制的设计与执行3.1内部控制设计的基本流程企业在设计内部控制时，应遵循以下基本流程：1.梳理业务流程：全面梳理企业各项业务流程，明确流程节点、涉及部门和岗位。2.识别风险点：在业务流程梳理的基础上，识别各环节可能存在的风险点。3.制定控制措施：根据风险点和风险评估结果，针对不同的风险性质和程度，设计和选择适当的控制措施。4.明确控制责任：将控制措施落实到具体的部门和岗位，明确其在控制活动中的责任。5.形成制度文件：将设计的内部控制流程、措施和责任等以制度文件的形式固化下来，确保有章可循。3.2关键业务流程的内部控制企业应重点关注对实现战略目标和经营管理有重大影响的关键业务流程，并加强其内部控制，例如：*采购与付款循环：包括请购、审批、采购、验收、付款等环节的控制。*销售与收款循环：包括客户开发、合同签订、发货、收款等环节的控制。*生产与成本循环：包括生产计划、物料领用、生产过程、成本核算、产品入库等环节的控制。*资金管理：包括资金筹集、资金投放、资金营运、资金分配等环节的控制。*资产管理：包括固定资产、无形资产、存货等资产的取得、验收、保管、使用、处置等环节的控制。*财务报告编制与披露：包括会计凭证处理、账务处理、报表编制、审计沟通、信息披露等环节的控制。（具体业务流程的内部控制细则，企业应根据自身实际情况另行制定）3.3内部控制的执行要求*全员参与：企业所有员工都应理解并严格执行与其职责相关的内部控制制度和流程。*严格授权：各项业务活动必须在授权范围内进行，严禁越权操作。*凭证记录完整：业务活动过程中应形成完整、规范的凭证和记录，作为控制轨迹和追溯依据。*持续培训：定期对员工进行内部控制知识和岗位技能培训，确保其具备执行内部控制的能力。第四章内部控制的监督与评价4.1日常监督*岗位自查：各岗位人员在日常工作中，对照岗位职责和内部控制要求，对自身执行情况进行检查。*部门互查与复核：部门内部或跨部门之间，对业务处理的合规性、准确性进行相互检查和复核。*管理层监督：各级管理人员对其下属部门和人员执行内部控制的情况进行日常监督和检查。4.2专项监督*内部审计部门组织：内部审计部门根据风险评估结果、年度审计计划以及管理层的要求，开展专项审计或检查。*专项监督的范围与频率：根据业务性质、风险程度以及发生变化的情况，确定专项监督的范围和频率。*专项监督报告：专项监督工作完成后，应形成专项监督报告，报送董事会或其下设的审计委员会以及经理层。4.3内部控制评价*评价组织：内部控制评价工作可由企业内部审计部门牵头组织，也可由企业指定的其他部门负责，必要时可聘请外部专业机构提供协助。*评价内容：围绕内部控制的五大要素，对内部控制设计的有效性和运行的有效性进行全面评价。*评价方法：可采用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法。*评价报告：内部控制评价工作完成后，应编制内部控制评价报告，明确评价的范围、程序、依据、发现的缺陷及其认定情况、整改建议以及对内部控制有效性的整体评价结论。评价报告应提交董事会审议，并按规定对外披露（如适用）。第五章内部控制缺陷的整改与持续改进5.1缺陷的分类与认定标准*缺陷分类：内部控制缺陷按其影响程度可分为重大缺陷、重要缺陷和一般缺陷。企业应根据自身情况制定明确的缺陷认定标准。*重大缺陷：一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。*重要缺陷：一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。*一般缺陷：除重大缺陷、重要缺陷之外的其他缺陷。5.2缺陷整改流程1.缺陷报告：发现内部控制缺陷后，应及时向上级主管部门和内部监督部门报告。2.原因分析：组织相关部门和人员对缺陷产生的原因进行深入分析。3.制定整改方案：根据缺陷的性质和原因，制定切实可行的整改方案，明确整改目标、整改措施、责任部门、责任人和整改期限。4.整改实施：责任部门按照整改方案组织实施整改工作。5.跟踪验证：内部监督部门对整改情况进行跟踪检查，验证整改效果，确保缺陷得到有效解决。5.3内部控制体系的持续改进*定期评估：结合内部控制评价结果和内外部环境变化，定期对内部控制体系的整体有效性进行评估。*动态调整：根据评估结果和实际运行情况，对内部控制制度、流程和措施进行修订和完善，确保内部控制体系的适应性和有效性。*经验总结与推广：及时总结内部控制建设与运行中的成功经验和有效做法，并在企业内部推广应用。第六章责任与问责6.1责任划分*董事会责任：对企业内部控制的建立健全和有效实施负最终责任。*监事会责任：对董事会建立与实施内部控制进行监督。*经理层责任：负责组织领导企业内部控制的日常运行。*各部门责任：各部门负责人对本部门内部控制的设计和有效执行负责。*全体员工责任：全体员工应严格遵守企业内部控制的各项规定，积极参与内部控制建设和监督。6.2问责机制对于违反内部控制规定，或在内部控制建设、执行、监督过程中失职、渎职，导致企业资产损失、经营效率低下或发生重大风险事件的，企业应根据情节轻重和造成后果的严重程度