2026年内部控制工作计划

2026年内部控制工作计划2026年内部控制工作以风险前置防控为核心，以合规运营、提质增效、支撑战略落地为目标，严格对接《企业内部控制基本规范》及其配套指引、监管部门2025年最新修订的行业内控监管要求，结合公司“十四五”规划后半程业务拓展、区域布局、数字化转型的核心需求，围绕内控体系迭代优化、风险全链路管控、内控执行监督闭环、内控数字化升级、内控能力建设五大维度推进全年工作，确保全年无重大内控缺陷、无重大违法违规事件、无因内控缺失导致的重大经营损失。一、总体工作目标（一）合规目标全年监管处罚金额较2025年下降80%以上，无重大行政处罚、无刑事合规风险，上市板块内控审计报告无重大缺陷披露，国资监管机构内控评价得分达到90分以上，全公司内控评价优秀单位占比从2025年的62%提升至75%，合格及以上单位占比达到100%。（二）运营目标核心业务流程内控节点执行率达到98%以上，非必要内控审批环节压缩30%，审批效率提升40%，因内控漏洞导致的经营损失较2025年减少90%，资金、采购、项目等重点领域的风险事件发生率降至0.1%以下，实现风险防控与运营效率的平衡。（三）战略支撑目标内控体系适配新业务、新区域布局的响应周期从2025年的15个工作日压缩至3个工作日，内控要求嵌入业务全流程的覆盖率达到100%，为公司跨境业务、新能源新赛道拓展、数字化转型提供全流程合规支撑，避免因内控滞后制约业务发展。二、核心工作任务（一）内控体系迭代优化1.监管要求对接与制度废改立释2026年3月底前，完成对财政部2025年修订的《企业内部控制应用指引》、行业监管部门发布的《细分领域内控合规建设指引》、公司新业务相关的跨境合规、数据安全、ESG等最新政策的全面梳理，形成政策对接清单，逐一对应调整现有内控制度。上半年完成全公司127项现行内控制度的全面排查，废止11项与当前业务不匹配的旧制度，修订34项存在流程漏洞、权责不清的制度，新增《数字化业务内控管理细则》《跨境经营内控操作手册》《ESG领域内控评价标准》《新业务前置内控评审办法》等8项专项制度，6月底前完成所有制度的汇编、公示、上传至内部知识库，确保各岗位员工可随时查询对应权责的内控要求。2.权限体系优化与权责匹配6月底前完成全公司各层级审批权限的全面梳理，按照“放管服结合”的原则，取消5项非必要的集团层面审批权限，下放8项符合子公司自主经营需求的低风险审批权限，明确“谁审批、谁负责”的责任追溯机制，更新形成全公司统一的权限矩阵，嵌入OA审批系统，实现权限的系统硬管控，杜绝越权审批、违规审批行为。针对新设立的子公司、新拓展的业务板块，在注册登记、团队组建的同时同步完成权限配置，确保业务启动即可合规运行。3.新业务内控体系前置搭建针对公司2026年重点推进的跨境电商业务、西南生产基地建设、新能源储能项目三大新业务板块，成立专项内控对接小组，在业务可研阶段即介入内控体系设计，针对跨境业务的外汇波动、当地劳工政策、进出口合规风险，生产基地建设的工程招投标、资金支付、安全生产风险，储能项目的技术迭代、政策补贴、供应链稳定风险，分别制定专项内控防控手册，明确各环节的内控节点、责任主体、管控要求，确保新业务拓展全程无合规漏洞。同时避免过度管控阻碍业务推进，针对新业务的小额试错、灵活调整需求，设置专项内控绿色通道，单笔金额低于100万元的试错类支出可简化审批流程，事后补充内控核验即可。（二）风险全链路前置管控1.季度风险研判与预警机制每季度首月10号前，由内控部牵头，联合战略、财务、法务、业务、生产、人力、信息技术等部门召开季度风险研判会，全面梳理当期内外部风险点，外部风险重点覆盖政策调整、行业波动、供应链变化、技术迭代等维度，内部风险重点覆盖资金链、项目运营、人员管理、数据安全等维度，形成季度风险清单，按照“红、橙、黄、蓝”四个等级划分风险等级，明确对应风险的责任部门、防控措施、完成时限，在内控数字化平台实时公示更新。针对重大红色风险，第一时间上报公司董事会审计委员会，启动专项防控预案，24小时内制定应急处置方案。2.重点领域专项风险防控资金管理领域，每月开展全公司现金流压力测试，对资产负债率超过70%、经营现金流为负的子公司实行月度资金报备制度，严禁违规对外担保、违规拆借资金、违规开展高风险金融投资，建立大额资金支付双复核机制，单笔支付超过500万元的资金必须经过财务负责人、内控负责人双签字确认，每月抽查不少于20%的大额资金支付凭证，确保资金安全。采购管理领域，建立核心供应商年度内控评价机制，每年对TOP20供应商开展资质、履约能力、合规性的全面排查，对存在偷税漏税、安全生产事故、失信被执行人等合规瑕疵的供应商列入灰名单，暂停合作3个月整改，整改不合格的直接移除供应商库，每个核心采购品类至少储备3家备选供应商，防止供应链断供风险；同时优化采购招标流程，所有金额超过100万元的采购必须采用公开招标方式，招标过程全程录像、留痕，杜绝围标、串标、利益输送行为。项目管理领域，将内控评审嵌入项目立项、可研、决策、实施、验收全流程，所有投资额超过1000万元的项目必须经过内控部的合规性评审，未通过评审的项目不得提交总经理办公会、董事会决策；项目实施过程中每季度开展一次内控跟踪检查，发现超预算10%以上、进度滞后30天以上、合规漏洞等问题及时下达整改通知；项目验收必须有内控人员参与，验收不合格的项目不得结清尾款，项目收益未达可研预期80%的，对项目负责人实行绩效追溯扣减。数据安全领域，严格落实《网络安全法》《数据安全法》《个人信息保护法》要求，建立数据全生命周期内控管控机制，明确数据采集、存储、传输、使用、销毁各环节的责任人，对涉及客户个人信息、核心技术数据、经营机密数据的访问实行分级授权，每月开展一次数据安全漏洞排查，发现问题24小时内完成整改，每半年开展一次数据安全应急演练，防止数据泄露风险。ESG领域，将环保、安全生产、劳动者权益保护要求嵌入内控流程，每月开展一次安全生产内控检查，每季度开展一次环保合规排查，每半年开展一次劳动者权益保护专项检查，确保全年无重大安全生产事故、无环保处罚事件、无群体性劳动争议。3.风险处置闭环管理所有预警的风险点均建立“风险登记-防控措施制定-跟踪落实-效果评估-销号归档”的闭环管理机制，责任部门每周报送风险处置进展，内控部每周核验处置效果，风险处置完成后经过3个月的观察期未出现复发即可销号，对未按时完成风险处置、导致风险扩大的责任部门和责任人，按照《内控问责管理办法》严肃问责。（三）内控执行监督与整改闭环1.日常巡查与专项检查结合内控部组建3个专项巡查组，采用“四不两直”的方式开展日常巡查，每个月至少覆盖3家子公司、2个核心业务部门，重点检查内控制度执行情况、过往内控问题整改情况，每个月25号前形成月度巡查通报，在内网公示。针对资金、采购、项目、数据安全等重点领域，每季度开展一次专项检查，全年实现所有重点领域的检查全覆盖。针对收到的内控相关举报线索，内控部联合纪检监察部门在3个工作日内启动核查，核查属实的按照相关规定严肃处理，举报线索经查实有效的，给予举报人5000-50000元的奖励。2.半年度与年度内控评价6月底前完成上半年内控评价，12月底前完成全年内控评价，评价范围覆盖所有子公司、所有业务流程，采用定性与定量结合的评价方式，定性指标重点考核制度健全性、执行有效性，定量指标重点考核风险事件发生率、经营损失率、整改完成率，内控评价结果直接与部门、子公司的绩效考核挂钩，占绩效考核权重的15%，对内控评价优秀的单位给予10%的绩效加分，对内控评价不合格的单位扣减20%的绩效奖金，取消单位负责人当年评优评先资格，连续两年内控评价不合格的，对单位负责人予以降职、调岗处理。3.问题整改闭环管理建立“问题清单-责任清单-整改清单-验证清单”四单闭环机制，所有巡查、评价、审计发现的内控问题，均逐一明确具体责任人、整改时限、整改要求，整改完成后必须经过内控部的现场验证，验证不合格的重新制定整改方案继续整改，对整改不力、逾期未改的责任人，按照规定给予通报批评、绩效扣减、降职辞退等处理，涉嫌违法的移交司法机关处理。2025年内控评价发现的47项问题，必须在2026年3月底前全部完成整改验证，未按时完成的对责任部门负责人严肃问责。4.内外部审计对接主动配合外部审计机构开展年度内控审计，提前梳理审计所需资料，对外部审计发现的问题第一时间落实整改，确保审计报告无重大内控缺陷披露，同时借助外部审计的专业能力，查找公司内控体系存在的深层次问题，优化内控流程。每年聘请外部专业咨询机构开展一次内控体系专项评估，提出优化建议，不断提升内控体系的科学性、适配性。（四）内控数字化体系建设1.内控数字化管理平台搭建2026年上半年启动内控数字化管理平台的开发，9月底前完成上线运行，平台整合制度查询、风险预警、流程管控、问题整改、内控评价五大功能模块，实现内控数据的实时采集、自动分析、智能预警，打破各业务系统之间的数据壁垒，实现内控数据的互联互通。2.内控节点嵌入业务系统9月底前完成所有核心业务系统的内控节点嵌入，将所有内控要求转化为系统硬管控规则，不符合权限的审批无法提交、不符合预算的支付无法发起、不符合合规要求的合同无法盖章，减少人为干预空间，核心流程内控节点的系统管控率达到100%，实现内控执行的自动化、可视化。针对部分需要灵活调整的特殊业务，设置系统白名单，白名单需经过内控总监审批后方可生效，白名单内的业务实行事后专项核验。3.智能风险预警模型搭建基于公司历史风险数据、行业风险数据，搭建资金风险、项目风险、供应链风险、数据安全风险四大智能预警模型，设置科学的预警阈值，当相关指标触及阈值时系统自动发送预警信息给责任部门和内控部，提前采取防控措施，10月底前完成所有预警模型的上线运行，全年风险预警准确率达到90%以上，逐步实现风险防控从“事后处置”向“事前预警”转变。4.内控数据可视化看板搭建在内控数字化平台搭建内控可视化看板，实时展示各单位内控执行情况、风险预警情况、问题整改情况，管理层可随时查看全公司的内控运行状态，为经营决策提供数据支撑，每月生成内控运行分析报告，报送公司管理层和董事会审计委员会。（五）内控能力建设与文化培育1.内控专业队伍建设上半年完成3名内控专业人才的招聘，要求具备注册会计师、国际注册内控师、法律职业资格等相关资质，有3年以上大型企业内控相关工作经验，充实内控部的专业力量。在每个子公司、每个业务部门设置1名兼职内控联络员，负责本单位的内控对接、制度宣传、问题报送等工作，3月底前完成所有兼职内控联络员的聘任，建立覆盖全公司的内控工作网络。2.分层分类内控培训3月份组织一次全公司的内控制度培训，覆盖所有中层以上管理人员和核心岗位员工，重点讲解2026年新修订的内控制度、核心业务的内控要求，培训后组织统一考试，考试不合格的需重新参加培训。6月份组织一次兼职内控联络员的专项培训，提升其风险排查、问题整改、内控对接的专业能力，培训后颁发内控联络员聘书。9月份组织一次内控案例警示教育，用行业内和公司过往的内控违规案例作为培训素材，分析风险发生的原因、造成的损失、相关责任人的处理结果，提升全员的风险防控意识。11月份组织一次全公司的内控知识竞赛，对成绩优异的员工给予现金奖励，调动全员学习内控知识的积极性。3.内控文化培育在内网开设内控专栏，每月推送内控相关的政策解读、知识科普、案例分析、工作动态，每季度组织一次内控主题征文活动，优秀文章在内网刊登并给予奖励。将内控要求纳入新员工入职培训的必备内容，新员工入职必须经过内控知识考试合格后方可上岗。通过多样化的宣传培训活动，营造“人人懂内控、人人守内控、人人为内控”的文化氛围，让内控要求融入员工的日常工作习惯，从“要我合规”转变为“我要合规”。三、工作保障措施（一）组织保障成立由公司董事长任组长、总经理、财务总监、内控总监任副组长，各部门负责人、各子公司负责人为成员的内控工作领导小组，负责统筹全年内控工作的推进，每个季度召开一次内控工作专题会，听取内控工作进展汇报，协调解决内控工作推进中遇到的重大问题。内控部作为日常办事机构，负责各项工作的具体落实，每月向领导小组报送内控工作进展。（二）经费保障全年安排内控工作专项经费500万元，用于内控数字化平台建设、专业人才招聘、外部咨询、培训、巡查、奖励等工作，经费实行专款专用，单独核算，确保各项工作顺利推进。（三）考核保障将内控工作完成情况纳入各部门、各子公司的年度绩效考核，占比不低于15%，对内控工作推进不力、出现重大内控缺陷的单位，实行“一票否决”，取消当年所有评优评先资格，对相关责任人严肃问责。对在内控工作中表现突出、有效防范重大风险的单位和个人，给予1-10万元的专项奖励。（四）协同保障明确各部门、各子公司的内控职责，内控部负责统筹、指导、监督各单位的内控工作，各业务部门是内控执行的第一责任人，负责本部门业务范围内的内控执行、风险防控、问题整改，法务、财务、人力、信息技术等部门配合内控部开展相关工作，形成“内控部统筹、各部门协同、全员参与”的工作格局，确保各项内控工作落到实处。四、分阶段工作安排（一）筹备启动阶段（1-3月）完成2025年内控工作复盘，梳理存量内控问题，制定2026年内控工作计划，完成内控工作领导小组的组建，完成兼职内控联络员的聘任，启动现有内控制度的全面梳理，完成2025年存量内控问题的全部整改验证，组织第一次全公司内控制度培训。（二）体系优化阶段（4-6月）完成所有内控制度的废改立