内部控制手册-公司内部信息沟通.doc

一、前言1 编制《内部控制手册》背景为规范中国石油化工股份有限公司（以下简称“股份公司”）管理，贯彻《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》以及其他有关法律、法规，满足国内外资本市场对上市公司监管要求，股份公司特制定《内部控制手册》，作为建立、执行、评价及验证内部控制依据。

完整内部控制体系和完善内部控制制度，是约束、规范企业管理行为准则，是减少风险重大措施。

实施内部控制可以及时发现和纠正各种错弊及不法行为，有利于保证资产安全、完整，保证经营成果与财务状况真实、可靠。

其必要性表现为：一是建立现代企业制度，完善法人治理结构，实现经营机制转换，加强企业管理，提高企业经营业绩，改善企业财务状况。

二是贯彻我国有关法律法规，遵循美国《萨班斯-奥克斯利法案》等国内外资本市场监管需求，提高会计信息质量。

三是积极参与竞争、努力降低风险。

随着市场竞争日趋激烈和信息技术高度发展，以及全球经济一体化进程加速，股份公司所面临风险也逐渐加大。

建立健全有效内部控制制度，是防范风险、提高经营管理效率和效果重要措施。

四是建立统一规范内部控制制度，使股份公司各项规章制度成为系统性、可操作性和包容性很强内部管理制度，更为有效地体现股份公司管理理念。

2 《内部控制手册》遵循基本原则2.1 合规性原则合规性是指企业内部控制制度必须符合国家法律、法规和政策；符合股份公司上市地（上海、香港、纽约、伦敦）证券监管机构有关上市公司法律、法规和要求。

2.2 全面性与系统性原则《内部控制手册》涉及股份公司经营活动各个方面，其内部监督和控制贯穿于经营管理活动全过程并涉及全体员工。

股份公司每一个员工既是内部控制主体，又是内部控制客体；既要对其负责作业实施控制，又要受到其他人员或制度监督与制约。

《内部控制手册》使股份公司内部各部门、各岗位形成较为系统既互相制约又具有纵横交错关系统一整体，确保各部门和各岗位均能按特定目标相互协调地发挥作用，最终实现股份公司内部控制总体目标。

企业内控手册模板一、总则1.1 目的为确保企业财务报告的真实性和准确性，规范企业内部财务管理，提高企业经营效率，降低企业运营成本，制定本内控手册。

1.2 适用范围本手册适用于企业各部门、各子公司的内部控制管理。

1.3 内控原则（1）全面性原则：企业内控应涵盖企业经营活动的所有层面和环节。

（2）重要性原则：企业内控应关注对企业经营风险有重大影响的关键环节和重要岗位。

（3）制衡性原则：企业内控应建立相互制约、相互监督的内部控制机制。

（4）适应性原则：企业内控应根据企业经营环境的变化及时调整和优化。

（5）成本效益原则：企业内控应在保证内控有效性的前提下，尽量降低内控成本。

二、组织架构与职责分工2.1 组织架构企业应建立科学的组织架构，明确各部门、各子公司的职责和权限，确保内控的有效实施。

2.2 职责分工（1）董事会负责制定内控政策和目标，监督内控制度的执行。

（2）监事会对董事会及管理层执行内控情况进行监督。

（3）经理层负责组织实施内控制度，确保内控目标的实现。

（4）各部门、各子公司负责人为本部门、本子公司内控第一责任人，负责本部门、本子公司的内控管理。

三、风险评估与控制措施3.1 风险评估企业应定期进行风险评估，识别和分析经营活动中可能存在的风险，为制定内控措施提供依据。

3.2 控制措施（1）财务报告的真实性和准确性：建立严格的财务报告审批制度，确保财务报告的真实、准确和完整。

（2）资产管理：加强对资产的采购、使用、处置等环节的管理，防止资产流失。

（3）合同管理：建立合同管理制度，确保合同的合法性、合规性和有效性。

（4）采购与付款：建立采购审批制度，确保采购行为的合规性，加强对付款环节的控制。

（5）销售与收款：建立销售审批制度，确保销售行为的合规性，加强对收款环节的控制。

（6）成本控制：建立成本核算和审批制度，确保成本控制的合理性。

（7）人力资源管理：建立人力资源管理制度，确保员工招聘、培训、薪酬、绩效等环节的合规性。

第六章信息与沟通第一节内部信息传递内部信息传递定义×信息内涵×内部信息传递的基本流程传递的信息对企业最重要的、最普遍的信息传递形式就是：内部报告，亦称内部管理报告。

内部管理报告是指企业在管理控制系统中为企业内部各级管理层以定期或者非定期的形式记录和反映企业内部管理信息的各种因素和文字资料的总称。

内部信息传递包括两个阶段：信息形成的阶段信息使用阶段内部信息传递的总体要求五原则及时有效性原则反馈性原则预测性原则指企业传递和使用的经营决策信息需要具备预测性的功能。

信息预测性的功能在于提高决策水平所需要的那种发现差别，分析和解释差别，从而在差别中减少不确定的信息。

两重含义，意识提供给使用者的信息不一定就是真实的未来信息，二是预测信息与未来信息必须有着不密切的关联，必须具有符合未来变化趋势的可预测性的特征，即具有相关性。

还要注意排除过多低相关的冗余信息。

真实准确性原则安全保密性原则成本效益性原则提供信息带来的可计量收入：增加营业收入，降低人工成本，降低物料成本，改善产品质量，提高生产能力，降低管理费用，提高资金周转率提供信息带来的不可计量收益：企业流程与系统作业整合性的提高，生产自动化与透明化的提高，需求反应速度的提高，管理决策质量的改善，企业监控力度的加强内部信息传递各环节的主要风险点及控制措施建立内部报告和指标体系内部控制的指标选择，既是内部报告传递的起点，也是决定内部报告质量的基础。

内部报告指标体系的科学性直接关系到内部报告信息的价值。

内部报告指标体系中应该包含：关键信息指标和辅助信息指标，还要根据企业内部和外部的环境政策，建立指标的调整和完善机制，式指标体系具有动态性和权变性。

主要风险点：①未以企业战略和管理模式为指导设计内部报告及指标体系②内部报告体系或指标体系不完整或过于复杂③指标体系缺乏调整机制④指标信息难以获得或者成本过高搜集整理内外部信息编制及审核内部报告编制内部该报告的总体原则：信息要完整，内容要与决策相关，表述要能够便于决策者理解内部报告传递内部报告的使用和保管内部报告的评估第二节信息系统信息系统的定义信息系统是由计算机硬件，软件，人员，信息流和运行规程等要素组成。

企业内部控制操作手册第1章企业内部控制概述 (4)1.1 内部控制的基本概念 (4)1.2 内部控制的目标与原则 (4)1.3 内部控制的框架与要素 (4)第2章组织架构与职责分工 (5)2.1 组织架构设计 (5)2.1.1 组织架构的层级设置 (5)2.1.2 组织架构的部门设置 (5)2.1.3 组织架构的调整 (5)2.2 职责分工与授权 (5)2.2.1 明确职责分工 (5)2.2.2 合理授权 (6)2.2.3 授权监督 (6)2.3 岗位职责与人员素质要求 (6)2.3.1 岗位职责 (6)2.3.2 人员素质要求 (6)2.3.3 人员选拔与培训 (6)2.3.4 人员激励与约束 (6)第3章风险评估与管理 (6)3.1 风险识别与评估 (6)3.1.1 风险识别 (6)3.1.2 风险评估 (6)3.2 风险应对策略 (7)3.2.1 风险规避 (7)3.2.2 风险降低 (7)3.2.3 风险承担 (7)3.2.4 风险转移 (7)3.3 风险管理的组织与实施 (7)3.3.1 组织架构 (7)3.3.2 风险管理流程 (7)3.3.3 风险管理制度 (7)3.3.4 风险管理培训与宣传 (7)3.3.5 风险管理信息系统 (8)3.3.6 风险评估与审计 (8)第4章内部控制活动 (8)4.1 业务流程控制 (8)4.1.1 控制目标 (8)4.1.2 控制措施 (8)4.2 财务报告控制 (8)4.2.1 控制目标 (8)4.2.2 控制措施 (8)4.3.1 控制目标 (8)4.3.2 控制措施 (9)4.3.3 资产保护控制关键环节 (9)第5章信息与沟通 (9)5.1 信息系统的设计与运行 (9)5.1.1 信息系统的设计原则 (9)5.1.2 信息系统的运行与管理 (9)5.2 信息系统安全控制 (9)5.2.1 信息安全政策 (9)5.2.2 访问控制 (9)5.2.3 数据备份与恢复 (10)5.2.4 网络安全 (10)5.3 内部沟通与外部沟通 (10)5.3.1 内部沟通 (10)5.3.2 外部沟通 (10)第6章监督与评价 (10)6.1 内部控制监督的组织与实施 (10)6.1.1 监督组织架构 (10)6.1.2 监督内容与周期 (10)6.1.3 监督程序 (11)6.1.4 监督结果的应用 (11)6.2 内部控制评价的方法与流程 (11)6.2.1 评价方法 (11)6.2.2 评价流程 (11)6.3 内部控制缺陷的纠正与改进 (11)6.3.1 缺陷识别 (11)6.3.2 缺陷等级划分 (12)6.3.3 缺陷纠正与改进措施 (12)第7章内部审计 (12)7.1 内部审计的组织与实施 (12)7.1.1 内部审计部门的设立 (12)7.1.2 内部审计人员的配置 (12)7.1.3 内部审计计划 (12)7.1.4 内部审计实施 (12)7.2 内部审计程序与方法 (12)7.2.1 审计程序 (12)7.2.2 审计方法 (13)7.3 内部审计报告与审计建议 (13)7.3.1 内部审计报告 (13)7.3.2 审计建议 (13)第8章人力资源管理 (13)8.1 招聘与选拔 (13)8.1.1 招聘计划的制定 (13)8.1.3 招聘信息的发布 (14)8.1.4 招聘流程的控制 (14)8.1.5 录用通知与入职 (14)8.2 培训与发展 (14)8.2.1 培训计划的制定 (14)8.2.2 培训的实施 (14)8.2.3 培训效果评估 (14)8.2.4 员工职业发展规划 (14)8.3 绩效考核与激励 (14)8.3.1 绩效考核指标的设定 (14)8.3.2 绩效考核流程的控制 (14)8.3.3 绩效考核结果的应用 (14)8.3.4 激励机制的建立 (15)8.3.5 激励措施的落实 (15)第9章采购与供应商管理 (15)9.1 采购流程控制 (15)9.1.1 采购计划与预算 (15)9.1.2 采购申请与审批 (15)9.1.3 采购执行 (15)9.1.4 采购验收与付款 (15)9.2 供应商评估与选择 (15)9.2.1 供应商信息收集 (15)9.2.2 供应商评估 (16)9.2.3 供应商选择 (16)9.3 采购合同管理与风险防范 (16)9.3.1 合同签订 (16)9.3.2 合同履行 (16)9.3.3 风险防范 (16)第10章合规性管理 (16)10.1 法律法规识别与评估 (16)10.1.1 管理流程 (16)10.1.2 法律法规收集与分类 (16)10.1.3 法律法规评估 (16)10.1.4 法律法规更新与培训 (17)10.2 合规性检查与监控 (17)10.2.1 内部检查 (17)10.2.2 外部监管 (17)10.2.3 合规性监控 (17)10.3 合规性风险应对与报告 (17)10.3.1 风险识别与评估 (17)10.3.2 风险应对策略 (17)10.3.3 报告与信息披露 (17)10.3.4 持续改进 (17)第1章企业内部控制概述1.1 内部控制的基本概念内部控制是企业在实现经营目标过程中，通过制定和实施一系列内部规章制度，采取组织规划、风险评估、控制活动、信息沟通和监控等手段，以合理保证企业资产安全、财务报告可靠、经营效率和效果、法律法规遵守等目标实现的系统性过程。

企业内部控制应用指引第17号——内部信息传递【案例导入】少校的命令减少决策信息失真度,使决策建立在真实和可靠的信息基础之上,就可以最大限度地减少决策失误。

先讲一个有名的故事。

据说历史上某部队一次命令传递的过程是这样的:少校对值班军官:今晚8点左右,哈雷彗星将可能在这个地区看见,这种彗星每隔76年才能看见一次。

命令所有士兵穿野战服在操场上集合,我将向他们解释这一罕见的现象。

如果下雨,就在礼堂集合,我会为他们放一部关于彗星的影片。

值班军官对上尉:根据少校的命令,今晚8点,76年出现一次的哈雷彗星将在操场上空出现。

如果下雨,就让士兵穿着野战服列队前往礼堂,这一罕见现象将在那里出现。

上尉对中尉:根据少校的命令,今晚8点,非凡的哈雷彗星将身穿野战服在礼堂出现。

如果操场上有雨,少校将下达另一个命令,这种命令每隔76年才出现一次。

中尉对上士:今晚8点,少校将带着哈雷彗星在礼堂出现,这是每隔76年才有的事。

如果下雨,少校将命令彗星穿上野战服到操场上去。

上士对士兵:在今晚8点下雨的时候,著名的76岁的哈雷将军将在少校的陪同下,身着野战服,开着他那“彗星”牌汽车,经过操场前往礼堂。

经过5次传递,少校的命令已经变得面目全非,信息失真率达到90%以上。

企业决策在信息传递的过程中也会出现这种命令失真,如何避免这种失真?具体说来,可以采取以下多种措施:(1)减少决策传递的层次,关键性决策要直接面对企业所有员工,员工对重大决策要原汁原味和全面地了解。

(2)充分利用信息网络化的成果,建立企业的网络平台,使企业的所有决策和企业的经营信息在企业网络平台上展现出来,每一个员工都可以通过这个网络数据库了解企业。

(3)在企业内部要理顺信息传递的机制与渠道。

(4)建立决策执行失真责任追究制度。

决策在执行的过程中会出现两种失真情况:一是对决策没有真正理解就盲目执行,使决策出现偏差;二是有意使决策出现失真,从而有利于自己的利益。

这两种情况都应当建立相应的责任追究制度,从而减少失真率。

企业内部控制—内部信息传递一、业务目标1.内部报告编制与时、准确、全面,能够满足企业内部信息需求,为企业进展运营分析和决策提供合理依据.2.信息的收集、报送和保管程序符合国家法律、法规和公司内部管理的要求.3.通过制度规X外部行情信息、内部经营数据信息与企业重大事项的收集和报告程序,为各管理层的经营决策提供依据.4.明确决策信息、重大事项、经营数据的浏览权限和某某要求,躲避数据信息的不合法使用风险.5.经营数据信息全面受控、传递通畅,保证公司财务报表信息准确与时.6.规X公司内部信息重大事项的内部报告流程和职责,防止企业虚假信息和舞弊行为.二、业务风险1.内部报告系统缺失,功能不健全,内容不完整,影响生产经营有序进展.2.信息管理分类不清、不能有效收集外部信息、内部经营数据得不到有效收集汇总,内部信息传递不畅通、不与时,可能导致公司决策失误.3.没有某某措施或信息收集和内部报告程序不严密、公司经营数据传递不规X,可能造成公司内部信息传递中商业被泄露,可能削弱企业核心竞争力.4.经营数据信息不准确、发生重大事项不能与时上报或隐瞒重大事项的,可能导致舞弊行为发生或上层领导决策失误,可能引发更大的经济或信誉损失.5.不建立内部员工信息反应和投诉双向交流制度,不但造成员工积怨、也可能造成公司舞弊不能与时发现,影响正常生产经营.6.信息反应或重大事项处理不当,可能造成公司对外信息披露不与时或提供虚假信息,严重影响公司社会声誉、或受到证监会或政府主管部门处罚.三、业务X围本业务流程主要描述与内部信息传递相关的业务流程.四、业务流程描述1.岗位职责2.内部信息表现的主要形式3.公司内部信息有效应具备的特点4.信息报告的分类5.即时经营信息报告6.经营数据信息报告公司的月度经营数信息,由公司财务经理负责分析汇总,编制本公司的《月度经营快报》,当月的《月度经营快报》应于次月2日前编制完成并报本公司总经理审阅,同时上报片区财务总监,由片区财务总监汇总报送总部财务部.公司《月度经营分析》由各部门在每月７号前完成,公司每月10号前由总经理组织召开月度经营检讨会,通报当月经营情况.年度经营数据信息,由财务负责人整理汇总,编制形成《年度经营报表》与分析报告.各类报表应按总部要求的期限与时间编制完成,于每年12月份的月度经营报表同时报告.年度终了10日内由公司总经理组织召开年度经营检讨会,通报当年度预算指标完成情况.7.企业重大事项报告〔1〕总部董事会、监事会、股东大会等作出的会议决议；〔2〕购置、出售、出租资产,或对外投资、资产重组,价值≥200万元；〔3〕重大交易事项,交易金额占公司最近一期审计净资产10%以上,或总金额超过500万元；〔4〕发生内部关联交易,总价值≥100万元；〔5〕发生诉讼或仲裁事项涉案金额≥100万元,或连续12个月内发生诉讼或仲裁案件累计达到100万元以上；〔6〕发生重大亏损或遭受意外损失,价值≥200万元；〔7〕发生重大的质量、食品安全或客户投诉事件,涉案金额≥100万元；〔8〕发生重大的自然灾害、设备事故、生产安全事故等,造成人员伤亡的；〔9〕发生人员某某、舞弊、贪污、短款行为,涉案金额≥20万元的；〔10〕生产经营涉嫌某某,被政府主管部门调查、查封或受到重大行政、刑事处罚；〔11〕变更公司名称、合资公司章程、注册资本、注册地址、主要办公地址或联系；〔12〕其它可能有重大影响的事件.8.内部反应信息报告9.内部信息的使用和风险评估公司各业务部门,接收到上级或下级传达的信息报告,应与时作出信息的发布X围和上报级别,以便其他部门和业务环节能够做到信息共享,使企业内部参与经营活动的各个方面和人员了解企业实现经营目标方面的信息,明确各自职责.10.加强信息技术的运用公司应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用；根据企业经营目标、内控目标以与经营活动的特点,建立自身的信息系统.加强对信息系统的开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全、稳定运行.11.内部信息的某某规定12.建立投诉制度投诉是信息沟通的重要和重要形式.员工处于企业生产经营活动的第一线,能够与时发现经营活动与内控实施过程中存在的不足、问题、缺陷和舞弊行为,并能就企业完善内控建设体系提出合理化建议和改良意见.因此,公司应当建立举报投诉制度,设置举报信箱和举报 ,明确举报投诉处理程序等.13.建立内部报告的评估制度,定期对内部报告的形成和使用进展全面评估,重点关注内部报告的与时性、安全性和有效性.五、相关文件制度1.总部《信息系统管理规定》2.总部《财务报告管理制度》3.总部《档案管理规定》4.总部《信息系统管理规定》5.总部《信息系统管理维护方法》6.总部文件收发传阅审批管理规定》六、主要控制点1.信息报告的分类2.即时经营信息报告3.经营数据信息报告4.公司重大事项报告5.内部反应信息报告6.内部信息的使用和风险评估7.内部信息的某某规定七、相关工作记录经营快报、月度经营报表与年度经营报表、片区月度经营报表、片区年度经营报表、重大事项报告、文件接收传阅记录、文件发送确认记录、各类签呈申请.。