企业集团公司内部控制实施细则指导意见.docx
《企业集团公司内部控制实施细则指导意见.docx》由会员分享,可在线阅读,更多相关《企业集团公司内部控制实施细则指导意见.docx(69页珍藏版)》请在课桌文档上搜索。
1、企业内部控制实施细则指导意见目录一、 总则-2-1 目的-2-2 总体原则-2-3 适用范围-3-4 更新和维护-5-5 内控管理信息系统-6-二、 企业内控手册编制内容简述-7-1 控制目标-7-2 风险清单-7-3 公司层面控制-9-4 业务层面控制-10-5 权限指引错误!未定义书签。6 附贝IJ-19-附录1:控制目标内容指导-20-附录2:风险清单内容指导-22-附录3:公司层面控制内容指导-40-附录4:业务层面控制内容指导-46-附录5:信息系统应用控制内容指导-58-附录6:权限指引内容指导-60-附录7:检查评价与考核办法内容指导-63-附录8:不相容岗位清单内容指导-70-
2、附录9:XX企业名称、简称、拼音代码对照表-71-一、总则1 目的根据集团公司经营管理实际,结合内部控制运行及内、外部各类检查发现的共性问题,以及境内外监管有关要求,企改和法律部组织对总部、企业内控手册进行修订。为指导企业根据2021版企业内控手册有关要求,进一步完善本单位内控实施细则,特修订企业内部控制实施细则指导意见(2021年版)(以下简称“指导意见”)o2 总体原则2 .1本年度修订,针对境内企业全面实施财务共享,以业务为主线、以风险为导向,结合内外部检查及日常工作中发现的问题,对内控手册各部分内容进行完善。企业版内控流程全部转换为风险控制矩阵。3 .22.2总部直属研究院、油品销售公
3、司、共享服务中心在随同总部内控手册修订完成风险控制矩阵的基础上,按照自身管理实际进一步补充完善实施细则。4 .3为满足外部监管要求,总部内控手册分为“集团公司总部内控手册”和“股份公司总部内控手册”。各企业按照上市、未上市一体化管控要求,编制一套内控实施细则,无需拆分。5 .32.4企业承担本单位内控体系建设和维护的职责,拥有本单位内控实施细则的修订权限。各企业根据本指导意见,按照企业内控手册的体例架构,结合本单位经营管理目标、风险及其管控情况,履行内控实施细则设计、修订的职责。6 适用范围6.1 3.1本指导意见适用于集团公司所属企事业单位、股份公司各分(子)公司及所属代管单位(以下简称“企
4、业”)。各企业根据本指导意见,按照企业内部控制手册的体例架构,结合本单位经营管理目标、风险及其管控情况,编制本企业内控手册或内控实施细则。6.2 3.2境内子公司6.3 .1公司直属全职、控股子公司公司直属全资子公司,按照本指导意见视同分公司编制实施细贝L并由本企业办公会审议批准后执行。公司直属控股子公司,应参照企业内部控制手册和本指导意见,结合自身特点,按照“业务必须覆盖内部控制手册中对应的所有规定内容,权限比照分公司”的原则,制定本公司内控手册,履行内部审批程序后发布实施。3.2.2企业所属子公司企业应将所属的控股子公司(含委托代管)纳入本企业内控工作范围,原则上按照公司法将其作为独立法人
5、管理,督促其建立、健全自身内部控制制度,并定期检查其内部控制制度执行的有效性,作为本企业内控检查评价的组成部分。企业所属全资子公司(含委托代管)应视同下属分公司管理,严格执行企业内部控制手册和本企业实施细则,并与所属分公司按相同标准接受检查。3.33.3境外公司境外公司包括境外全资子公司、控股子公司及驻外机构。3.3.1境外公司应在不违反境外公司所在地法律、法规的前提下,参照企业内部控制手册的规定制定实施细则。对于新收购的境外公司,可给予相应调整的过渡期,过渡期原则上为交割日后12个月。过渡期后,境外公司应按照企业内部控制手册制定实施细则。3.3.2境外公司实施细则按管理层级报主管部门审核或备
6、案,并履行内部审批程序。3.3.3涉及重大控制活动的境外公司,原则上应在其实施细则中涵盖相关业务。重大控制活动至少应包括重大投资、财务报告、财务对账、融资、担保业务、对外捐赠及重大损失处理等。3.3.4境外公司应按照集团公司内控管理工作的要求,制定内控检查评价计划,开展内控自查测试,配合公司内外部各种检查。发现内控缺陷的,应制定整改方案及时整改,并按管理层级向主管部门提交内控检查测试结果及整改情况报告。3.3.5境外公司未经集团公司授权,不得从事股票、债券、房地产、期货、委托理财等高风险投资。3. 43.4合资、合作公司3.1.1 合资、合作公司应按照正当、合理的框架以及合理、科学、公认的原则
7、,与合资、合作方商议讨论后,参考企业内部控制手册编制内控制度。3.1.2 合资、合作公司内部控制内容不能违反合资、合作合同的相关规定,且不能与集团公司内部控制的相关要求冲突。3.1.3 合资、合作公司应开展内部控制自查测试,配合公司内外部各种检查。发现内控缺陷的,应制定整改方案及时整改,并向我方内控管理部门提交内控自查结果及整改情况报告。3.5其他说明事项3. 5.1XX工程公司、炼化工程公司、石化机械公司、油品销售公司等各专业公司,应根据本指导意见,按照企业内部控制手册的体例架构,结合自身经营管理目标、风险及其管控情况,修订或制定本公司内部控制手册,或组织下属单位修订或制定内控实施细则。4.
8、 5.2经营规模较小、业务单一、风险较低的单位,可以结合自身管控要求制定本单位的内控制度或规定等,例如可以只编制权限指弓L针对关键业务编制内控流程,也可将内控要求融入内部管理制度等。4 更新和维护4.1 14.1企业内控手册/内控实施细则,由企业内部控制管理部门负责组织更新与维护,正式发布时应当履行相应审核、审批程序。4.2 4.2企业内部控制管理部门根据总部对内控手册的更新要求和内部控制体系运行情况,通过内控管理信息系统,适时对本单位实施细则进行更新与维护。4.3 4.3对于总部对内部控制措施以及相关要求进行追加或适时调整的内容,企业内部控制管理部门应当及时下发补充、修订完善,确保本单位内部
9、控制管理体系的有效运行。4.4 4.4企业内部控制管理部门负责本单位内控手册/内控实施细则纸质及电子文档的管理,做好发放、保存等工作。5 内控管理信息系统5.1 5.1企业内部控制日常工作应当通过内控管理信息系统开展。企业内部控制管理部门须对相关人员开展培训I,确保系统正常上线运行。5.2 5.2由于自身原因不实施内控管理信息系统的企业,该企业内控管理部门应当向企改和法律部提出申请。经企改和法律部审批同意后,做好本单位内部控制制度建立健全、运行有效性自查测试工作,至少每季度将本单位内部控制工作开展情况、自查发现的问题等,报告企改和法律部。5.6 5.3新设立的单位,需填写xx内控管理信息系统上
10、线申请单,由本单位内部控制管理部门负责人审核签字、加盖单位公章后报企改和法律部。经企改和法律部审批同意,申请单位应当按照内控管理信息系统初始化相关要求,梳理本单位组织机构、人员、内控手册/实施细则等相关信息,并及时在系统中进行维护。二、2021企业内控手册编制内容简述本部分内容介绍企业如何修订内控实施细则。企业内控实施细则各部分应包括的整体内容介绍,请参照附录部分相关内容。1 控制目标控制目标源自企业目标,是设计内部控制的出发点,是决定内部控制运行方式和方向的关键。XX内部控制目标分为战略目标、经营目标、财务目标、资产安全目标及合规目标。1. 11.12021版控制目标是两级控制目标清单。 一
11、级控制目标包括战略目标、运营目标、财务目标、资产安全目标、合规目标。企业不能修改。 二级控制目标包括272个,供企业参考使用。企业在一级控制目标下,细分控制目标。1.21.2控制目标编号规则:总部控制目标清单编号中的HQT代表总部控制目标(HeadQuarterTarget)。企业的控制目标编号应以各企业名称缩写(具体参见附录9xx企业名称、简称、拼音代码对照表)为编码的起点,例如XX编码为SLYT,XX的控制目标编号规则为:SLYTT2.002.0012风险清单1.32.1风险清单内容2021版风险清单包括5个一级风险,92个二级风险,596个三级风险,供企业参考使用。1.42.2企业制定风
12、险清单2.2.12.2.1企业应根据自身制定的各层级控制目标,结合总部管理要求、以及自身业务特点、管理状况,收集风险信息,识别相关风险事件、细化分解本企业所具有的风险,形成本企业风险清单,以供制定与经营状况更加契合、有效的控制措施,将内控建设落到实处。2.2.2对发生以下变化应重新识别风险,及时补充、完善风险清单:一是外部环境变化,包括监管或经济环境变化导致企业竞争压力的增加、运营需求发生变化以及明显不同的风险(如诉讼或亏损风险极高),自然灾害对企业、供应链及其他商业合作伙伴的直接影响,导致企业增加持续经营风险。二是商业模式变化,包括改变商业模式、重大收购和资产剥离、境外业务、快速增长和新技术
13、应用。三是重大人事变动、以及人员高流动性、培训和监督缺乏等导致内控失效。2.2.3企业对于以下业务情形,应特别关注风险识别是否充分、全面,及时补充、完善风险清单。复杂程度高(需要特殊技能或培训方能执行的控制,如金融衍生品)、涉及金额大、地理位置不易管理、集中化程度低、复杂程度高的信息系统、人工控制、需要依赖判断者能力进行高度判断力的控制(如跌价准备计提)、人员的胜任能力不强或经验缺乏、管理层可能越权的风险、已知的控制失效、控制失效的可能性(即如果一项控制的失效可能是重大的,且无法被及时地识别并整改)、涉及跨专业部门的业务盲点等等。对发生偷窃或欺诈可能性大的业务,如拥有较高价值的资产(贵金属、商
14、业机密、可互换商品等)、可能为欺诈提供动机的业绩指标、流程或系统的设计漏洞导致未被授权的员工能进入系统(如付款流程),执行未授权的交易,凌驾于控制之上的管理人员、使偷窃或欺诈成为可能。2.2.4风险编号规则:总部风险清单编号中的HQR代表总部风险清单(HeadQuarterRiskRegister)。企业的风险清单编号应以各企业名称缩写为编码的起点,例如XX编码为SLYT,XX的风险编号规则为:SLYTRl.01.01.Olo1.52.3风险评估标准2.3.1 风险评估标准未做修订,具体标准参见附录2风险清单内容指导。2.3.2 企业应根据总部风险评估标准,结合本单位风险承受度,对本企业风险评
15、估标准进行修订,使之更具有可操作性。2.4企业应根据本单位风险管理工作状况,定期更新风险清单。3公司层面控制1.63.12021版公司层面控制变化情况公司层面控制包括内部环境、风险评估、信息与沟通、内部监督等相关内容。1.73.2企业如何修订公司层面控制3.2.13.2.1两分企业仍然按照一体化管理模式,编制一套公司层面控制内容,同时体现上市、未上市的控制要求。32.232.2企业可以参照总部内控手册的方式,将操作性较强、可定期测试的公司层面控制内容梳理成控制点,并放入业务层面控制中,按照流程、控制点进行日常监督和测试。3.2.33.2.3企业应依据企业内部控制手册的体例结构,梳理、记录本单位
16、公司层面控制的内容及相关要求方面的变化,更新实施细则。4业务层面控制1.84.12021版业务层面控制业务层面控制包括内部控制矩阵/风险控制矩阵和财务报告计划矩阵。2021版企业内控手册业务层面控制包括共有46个内部控制矩阵、12个风险控制矩阵。4.1.14.1.1内部控制矩阵格式4. 1.1.1各企业应当落实企业内部控制手册,并结合本单位的年度目标、业务特点,进行全面风险识别和评估。对于新增业务、内外部环境变化较大、商业模式变化或风险敞口较大的业务,需要增加内控流程或风险控制矩阵,应借鉴总部做法,对本单位内控手册/实施细则进行补充、细化和完善,确保重要、重大风险及控制措施全覆盖。5. 1.1
17、.2总部内控手册中业务层面控制部分,在内控系统中可以按照部门维度和流程维度分别展示和使用。2021版企业内部控制手册仍然以流程的维度展示,便于企业对照使用;各企业在内控系统中修订本单位业务层面控制时,暂以流程的方式进行维护和管理。 控制点编号企业内控手册中内控流程,实现了每个控制点的唯一编号,为控制措施通过内控系统进行系统化、数据化操作奠定了基础。控制点的编号规则为:各企业名称缩写-流程编号-控制点编号。以xxl.1筹资业务流程的第一个控制点的编号举例如下:企业名称缩写:SLYT(SLYT为XX的缩写)流程编号:Ll(LI筹资业务)控制点编号:Ll该控制点编号为:SLYTCl.1-1.1 控制
18、频率指控制活动(业务)发生的频率,控制频率包括每年、每半年、每季度、每月、每周、每天、每天多次、按需不定期8种。控制频率用于指导和监控内部控制的运行、确定抽样测试的样本量。 控制类型是指控制活动所属类别,控制类型共有8种,包括授权及批准、核对、管理层审阅、系统访问权限(信息系统接入权限控制)、系统设置(系统界面转换控制)、例外事项报告、关键绩效指标(绩效考核)、职责分工。各控制类型释义如下:控制类型解释授权及批准按照一般或特定的政策与程序,批准交易的执行。典型授权审批控制活动包括审批权限、在审批单上签字以及检查签字权限等核对检查两个项目是否一致,典型核对控制活动包括财务系统中的现金总账与银行对
19、账单的对账、应收账款账龄分析与总账的对账等管理层审阅文件编制人员以外的员工开展的分析,并对已执行活动的监督。典型管理层审阅控制活动包括管理层审阅现金总账与银行对账单的对账结果、管理层复核工作等.系统访问权限(信息系统接入权限控制)在计算机系统中设置个人使用者或小组使用者的系统进入权限,典型系统访问权限控制活动包括与进入级别相关的口令保护等系统设置(系统界面转换控制)包括计算机系统间转换数据的控制,以避免不恰当的处理,典型系统设置控制活动包括过账权限、确认和校睑支票、按照需求的内容设置屏幕版面、安全设置等例外事项报告生成报告以监控例外事项,并追踪解决情况。典型例外事项报告控制活动包括报告超出信用
20、额度的客户等关键绩效指标(绩效考核)企业为评估实现目标的程度而采用的财务及非财务的量化衡量指标。典型关键绩效指标控制活动包括逾期账款比率、净边际利益分析等职责分工将交易的授权、记录和实物保管的职责进行分工以防止错误和违法行为的发生、延续和隐藏。典型职责分工控制活动包括采购的申请、审批、执行。内控要素是指控制活动在内部控制五要素中对应的类型,包括内部环境、风险评估、控制活动、信息与沟通以及内部监督。增加内控要素可以协助企业对控制点进行系统、全面的管理,并有助于落实各层级管理人员和操作人员的职责。内控五要素简述如下:内控要素解释内部环境影响、制约内部控制建立与执行的各种内部因素的总称,是企业实施内
21、部控制的基础,支配着企业全体员工的内控意识,影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。风险评估在风险识别和预测的基础上,采用定性或定量方法,对风险发生可能性和影响程度进行预计和估算,最终确定风险评级的过程。控制活动确保企业的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织,涉及各个层级和各个职能机构,它包括一系列不同的活动,例如授权与审批、核对、管理层审阅、系统访问权限(信息系统接入权限控制)、系统设置(系统界面转换控制)、例外事项报告、关键绩效指标(绩效考核)、职责分工。内部监督指公司对内部控制建立与实施情况进行监督检查,评价内部控制设计和执行的有效性,发现内部控
22、制缺陷,并及时加以改进的过程。信息与沟通企业及时、准确、完整地收集整理与企业经营管理相关的各种内外部信息,并借助信息技术,促使这些信息以恰当的方式在企业各个层次之间进行及时传递、有效沟通和正确使用的过程。 控制点岗位指负责执行控制活动的岗位,例如月度现金盘点由出纳和会计人员负责等。 控制点执行(测试)人指对该控制点执行有效性负责的岗位,提出控制点完善的建议,同时亦是对控制点执行有效性进行自我测试的岗位。 内控测试复核人指负责对控制点执行有效性测试结果进行独立复核的人员。会计报表认定是指与财务报告相关的控制点,该控制点对财务报告项目相关的信息在6个方面具有影响,6个方面包括:/存在与发生/真实性
23、(EXiStenCe)/完整性(COmPIeteneSS)/估价或分摊(ValUation)/权利和义务(OwnershipandObligation)/表达和披露(PresentationandDisclosure)/准确性(Accuracy)财务报告相关控制点,通常对财务数据具有多个方面的影响。例如,现金盘点的控制点,对于会计报表货币资金科目,会在存在与发生/真实性、完整性、权利和义务、准确性等4个方面产生影响。 制度相关信息包括制度名称、制度文号和对应制度条款。制度名称及制度文号,是涉及控制点所述控制要求的、内部管理制度的名称及相应的文号;对应制度条款指控制点所述控制要求在该项制度中所对
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业集团 公司内部 控制 实施细则 指导 意见
链接地址:https://www.desk33.com/p-886136.html