36. 内部控制制度

36.内部控制制度一、总则（一）目的与适用范围。为规范公司内部控制活动，防范经营风险，提升管理效能，本制度适用于公司所有部门及全体员工。各单位必须严格执行本制度，确保各项业务活动在制度框架内运行。（二）基本原则。坚持全面性、重要性、制衡性、适应性原则，确保内部控制与公司战略目标相一致。各单位负责人对本单位内部控制的有效性负总责。二、组织架构与职责分工（一）内控管理机构的设置。公司设立内部控制委员会，由总经理牵头，成员包括财务总监、各主要部门负责人。内控委员会负责制定、监督和评估公司内部控制政策。（二）各部门职责划分。财务部门负责财务报告内控，审计部门负责独立监督，业务部门负责具体执行。各岗位人员必须明确自身内控职责，并承担相应责任。三、风险评估与控制措施（一）风险识别机制。各部门每年12月31日前完成本部门风险清单编制，包括财务风险、运营风险、合规风险等。重大风险需提交内控委员会审议。（二）关键控制措施。1.资金支付必须经过三重审批，金额超过50万元的需总经理审批。2.采购流程必须严格执行比价制度，金额超过100万元的需集体决策。3.库存管理实行ABC分类法，关键物资需双人双锁保管。4.信息系统操作权限实行最小化原则，定期进行权限核查。四、业务流程控制（一）销售业务控制。1.客户信用评估必须通过系统自动审核，逾期账款需立即启动催收程序。2.合同签订必须经过法务部门审核，关键条款需法律顾问签字。3.发货环节必须核对订单与实物，异常情况需立即上报。（二）采购业务控制。1.供应商准入必须通过资质审核，三年内需进行一次重新评估。2.招投标活动必须通过电子平台进行，全程留痕。3.入库验收必须由非采购人员实施，发现问题需48小时内上报。（三）财务报告控制。1.月度报表编制必须经过财务总监复核，重大差异需查明原因。2.季度报表需经审计委员会审阅，重大调整需董事会批准。3.年度审计必须聘请外部机构实施，审计报告需提交股东大会。五、信息系统控制（一）系统权限管理。1.操作人员必须通过岗前培训，考核合格后方可上岗。2.系统密码需每季度更换一次，禁止使用生日等简单密码。3.重要操作必须进行日志记录，日志保存期限不少于三年。（二）数据安全措施。1.核心数据必须加密存储，禁止外联设备接入。2.定期进行数据备份，重要数据需双备份。3.网络边界必须设置防火墙，定期进行漏洞扫描。六、监督与考核（一）内部审计职责。审计部门每年至少开展两次专项审计，重大问题需直接向董事会汇报。审计结果必须纳入部门绩效考核。（二）绩效考核指标。1.内控合规率作为部门年度考核核心指标，低于90%的取消评优资格。2.重大风险事件发生次数与部门负责人绩效直接挂钩。3.内控培训覆盖率需达到100%，考核不合格者调离关键岗位。七、制度修订与执行（一）修订程序。每年6月30日前完成制度评估，重大修订需提交内控委员会审议，并报总经理批准。（二）执行监督。1.内控委员会每季度召开一次会议，审议执行情况。2.人力资源部负责内控培训，新员工入职必须接受内控培训。3.违反制度者视情节轻重给予警告、降级或解除劳动合同。八、附则（一）本制度自发布之日起施行，原有制度与本制度不一致的以本制度为准。（二）解释