央企内部控制制度

PAGE央企内部控制制度一、总则（一）制定目的为了加强中央企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，依据国家有关法律法规和相关政策要求，结合中央企业实际情况，制定本制度。（二）适用范围本制度适用于国务院国有资产监督管理委员会（以下简称国资委）履行出资人职责的中央企业（以下简称企业）。（三）基本原则1.全面性原则内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。2.重要性原则内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。3.制衡性原则内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。4.适应性原则内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。5.成本效益原则内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。（四）定义与解释1.内部控制是由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。2.控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。3.风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。二、组织架构（一）治理结构1.董事会董事会对股东（大）会负责，依法行使企业的经营决策权。董事会应当设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。2.监事会监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。监事会应当加强对企业财务的监督检查，加强对企业重大决策、重大事项、重要人事任免及大额资金运作等重要经济活动的监督。3.经理层经理层对董事会负责，主持企业的生产经营管理工作。经理层应当建立健全以风险管理为导向的内部控制体系，有效防范和控制经营风险、财务风险等各类风险。（二）机构设置及权责分配1.职能部门企业应当根据经营管理需要，合理设置职能部门，明确各部门的职责权限，避免职能交叉、缺失或权责过于集中。各职能部门应当在其职责范围内履行相应的管理职能，确保企业经营活动的正常开展。2.岗位设置企业应当根据业务流程和内部控制要求，科学设置岗位，明确不同岗位的职责权限，实行不相容职务分离。不相容职务通常包括：可行性研究与决策审批；决策审批与执行；执行与监督检查等。（三）内部审计1.审计机构企业应当设立独立的内部审计机构，配备相应的审计人员，对企业内部控制的有效性进行监督检查。内部审计机构应当向董事会或者其专门委员会负责并报告工作。2.审计职责内部审计机构应当对企业内部控制制度的建立健全和有效执行情况进行检查评价，对企业财务信息的真实性、完整性进行审计监督，对企业经营活动的合规性、效益性进行审计评价，对企业内部管理的薄弱环节提出改进建议。三、风险评估（一）风险识别1.风险识别范围企业应当全面、系统、持续地收集与本企业经营管理相关的内外部信息，结合实际情况，识别企业面临的各类风险，包括但不限于战略风险、市场风险、财务风险、运营风险、法律风险等。2.风险识别方法企业可以采用问卷调查、专家咨询、管理层访谈、数据分析、业务流程梳理等方法，识别风险因素，对识别出的风险进行分类整理，形成风险清单。（二）风险评估1.风险分析企业应当采用定性与定量相结合的方法，对识别出的风险进行分析，评估风险发生的可能性和影响程度。风险分析应当包括风险发生的可能性、影响范围、风险的性质、风险的发展趋势等方面。2.风险评价企业应当根据风险分析的结果，结合风险承受度，对风险进行评价，确定风险等级。风险等级一般分为重大风险、重要风险、一般风险和低风险。企业应当对重大风险和重要风险采取重点关注和优先控制的措施。（三）风险应对策略1.风险规避对于超出企业风险承受度的风险，企业应当采取风险规避策略，即通过放弃或者停止与该风险相关的业务活动以避免和减轻损失。2.风险降低企业应当采取风险降低策略，即采取控制措施降低风险发生的可能性或者减轻风险损失的程度。风险降低可以分为风险预防和风险抑制。3.风险分担企业应当采取风险分担策略，即通过购买保险、业务外包、签订远期合同等方式，将风险部分或者全部转移给其他方。4.风险承受企业应当采取风险承受策略，即对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。四、控制活动（一）不相容职务分离控制1.不相容职务界定企业应当全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。2.岗位分离措施企业应当根据不相容职务分离的要求，对涉及资金、资产、财务等重要岗位实行定期轮岗制度，明确轮岗周期和轮岗方式，确保岗位人员的独立性和公正性。（二）授权审批控制1.授权审批体系企业应当建立健全授权审批制度，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。授权审批应当根据企业的业务性质、规模和风险状况，实行分级授权和归口管理。2.审批流程规范企业应当按照规定的审批流程进行业务和事项的审批，确保审批过程的合规性和有效性。审批人员应当在授权范围内进行审批，不得超越权限审批。对于重大业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策意见。（三）会计系统控制1.会计核算规范企业应当按照国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。企业应当依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书。2.财务报告编制与披露企业应当按照国家统一的会计准则制度规定，根据登记完整、核对无误的会计账簿记录和其他有关资料编制财务报告，做到内容完整、数字真实、计算准确。企业应当按照规定的报送对象、报送期限和报送方式，及时对外提供财务报告。企业应当按照有关法律法规和企业章程的规定，向投资者、债权人、政府监管部门等定期披露企业财务状况、经营成果、现金流量等有关信息。（四）财产保护控制1.资产管理制度企业应当建立健全资产管理制度，加强对资产的实物管理和价值管理，确保资产的安全完整。企业应当定期对资产进行清查盘点，做到账实相符。对于盘盈、盘亏、毁损的资产，应当及时查明原因，按照规定进行处理。2.资产安全防护措施企业应当采取必要的安全防护措施，保护资产的安全。对于重要资产，应当建立资产档案，记录资产的购置、使用、维护、处置等情况。企业应当加强对资产的信息化管理，提高资产的管理效率和安全性。（五）预算控制1.预算编制企业应当建立健全预算管理制度，加强预算编制、审批、执行、分析、考核等各环节的管理，强化预算约束。企业应当根据战略规划和年度经营目标，结合市场环境和企业实际情况，编制年度预算。预算编制应当遵循“上下结合、分级编制、逐级汇总”的程序，充分考虑各部门的意见和建议。2.预算执行与监控企业应当严格执行预算，加强对预算执行情况的监控和分析，及时发现和解决预算执行过程中存在的问题。企业应当建立预算执行情况报告制度，定期向董事会或者经理层报告预算执行情况。对于预算执行偏差较大的项目，应当及时进行调整。3.预算考核企业应当建立健全预算考核制度，对各部门和各岗位的预算执行情况进行考核评价，将预算考核结果与绩效挂钩。预算考核应当遵循公平、公正、公开的原则，确保考核结果的真实性和可靠性。（六）运营分析控制1.运营数据收集与分析企业应当建立健全运营分析制度，加强对运营数据的收集、分析和利用，及时发现运营过程中的问题，为企业决策提供支持。企业应当定期收集、整理、分析与企业经营管理相关的各类数据，包括财务数据、业务数据、市场数据等。2.运营决策支持企业应当根据运营分析的结果，及时调整经营策略和管理措施，提高企业的运营效率和效益。企业应当建立运营分析报告制度，定期向董事会或者经理层报告运营分析情况。运营分析报告应当基于准确的数据和深入的分析，提出有针对性的建议和措施。（七）绩效考评控制1.绩效考评体系企业应当建立健全绩效考评制度，对各部门和各岗位的工作业绩、工作能力、工作态度等进行全面、客观、公正的评价。绩效考评应当与企业战略目标和年度经营目标相结合，体现企业的价值导向。2.绩效考评指标与方法企业应当根据不同部门和岗位的特点，制定科学合理的绩效考评指标和方法。绩效考评指标应当包括定量指标和定性指标，定量指标应当具有可衡量性，定性指标应当具有明确的评价标准。绩效考评方法应当根据企业实际情况选择合适的方法，如关键绩效指标法、平衡计分卡法等。3.绩效反馈与改进企业应当及时向员工反馈绩效考评结果，帮助员工了解自己的工作表现和存在的问题，促进员工的成长和发展。企业应当根据绩效考评结果，对员工进行奖励或者惩罚，激励员工提高工作绩效。企业应当将绩效考评结果作为员工薪酬调整、晋升、培训等的重要依据。五、信息与沟通（一）信息收集与传递1.内外部信息收集企业应当建立健全信息收集制度，及时、准确、完整地收集与企业经营管理相关的内外部信息。内部信息包括企业的财务信息、业务信息、人事信息、技术信息等；外部信息包括宏观经济形势、市场动态、行业政策、竞争对手信息等。2.信息传递渠道企业应当建立健全信息传递渠道，确保信息能够及时、准确地传递到相关部门和人员。信息传递渠道可以包括内部报告、会议、文件、网络等。企业应当加强对信息传递渠道的管理，确保信息传递的安全和畅通。（二）信息系统建设1.信息系统规划企业应当根据内部控制的要求，制定信息系统建设规划，明确信息系统的建设目标、功能模块设计、技术架构、实施进度等。信息系统建设规划应当与企业战略规划和业务流程相适应，满足企业内部控制的需要。2.信息系统安全与维护企业应当加强对信息系统的安全管理，建立健全信息系统安全防护体系，确保信息系统的安全稳定运行。企业应当定期对信息系统进行维护和升级，及时处理信息系统故障和漏洞，保证信息系统的正常运行。（三）沟通机制1.内部沟通企业应当建立健全内部沟通机制，加强各部门之间、各岗位之间的沟通与协作。内部沟通可以通过定期会议、工作汇报、内部培训、信息共享平台等方式进行。企业应当鼓励员工积极参与内部沟通，及时反馈工作中存在的问题和建议。2.外部沟通企业应当建立健全外部沟通机制，加强与投资者、债权人、政府监管部门、客户、供应商等外部利益相关者的沟通与协调。外部沟通可以通过定期报告、新闻发布会、投资者关系活动、行业研讨会等方式进行。企业应当及时了解外部利益相关者的需求和意见，维护企业的良好形象。六、内部监督（一）监督机构与职责1.监事会监督监事会应当对企业内部控制制度的建立健全和有效执行情况进行监督检查，对企业财务信息的真实性、完整性进行审计监督，对企业经营活动的合规性、效益性进行审计评价，对企业内部管理的薄弱环节提出改进建议。2.内部审计监督内部审计机构应当对企业内部控制制度的建立健全和有效执行情况进行检查评价，对企业财务信息的真实性、完整性进行审计监督，对企业经营活动的合规性、效益性进行审计评价，对企业内部管理的薄弱环节提出改进建议。（二）日常监督与专项监督1.日常监督企业应当建立健全日常监督机制，对内部控制制度的执行情况进行持续监督检查。日常监督可以通过内部审计、风险管理部门的日常监控、各部门的自我监督等方式进行。日常监督应当及时发现内部控制制度执行过程中存在的问题，及时采取措施进行整改。2.专项监督企业应当根据风险评估结果，对重大风险、重要业务事项和高风险领域进行专项监督检查。专项监督可以由内部审计机构或者风险管理部门牵头组织实施，相关部门配合。专项监督应当深入分析问题产生的原因，提出针对性的改进措施，完善内部控制制度。（三）内部控制评价1.评价主体与范围企业应当定期对内部控制制度的有效性进行自我评价，评价主体包括董事会、监事会、经理层和全体员工。内部控制评价的范围应当涵盖企业及其所属单位的各种业务和事项。2.评价方法与程序企业应当采用适当的评价方法，对内部控制制度的有效性进行评价。评价方法可以包括个别访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样和比较分析等。内部控制评价应当按照规定的程序进行，包括制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。3.评价报告与披露企业应当根据内部控制评价结果，编制内部控制评价报告。内部控制评价报告应当包括内部控制评价的范围、程序、方法、结果等内容，对内部控制制度的有效性进行全面、客观、公正的评价。企业应当按照有关法律法规和企业章程的规定，将内部控制评价报告报送国资委，并在企业年度报告中披露内部控制评价情况。（四）缺陷认定与整改1.缺陷认定标准企业应当根据内部控