《内部控制管理规范》

内部控制管理规范

负责部门：审计部

受控状态：受控

生效日期：发布之日

目录

第一章总则 (1)

第二章内控实施 (4)

第三章内控评价 (8)

第四章内控检查 (10)

第五章内控信息系统 (11)

第六章内控体系运行效果考核 (12)

第七章附则 (12)

附件 (14)

第一章总则

第一条为建立健全------有限公司（以下简称：“公司”）内部控制管理体系，提高公司经营管理水平和风险防范能力，保护投资者的合法权益，根据《公司法》、《企业内控基本规范》及其配套指引等法律法规和《公司章程》的相关规定，结合公司实际，特制定本规范。

第二条本规范所称内部控制（简称：“内控”），是指由公司董事会、监事会、管理层以及全体员工实施的、旨在实现控制目标的过程。

第三条本规范目的是在国家规范的要求下，建立公司的内控管理体系，实现内控管理，合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

通过本规范，明确公司内控管理职责，内控运作要求，日常管理、考核，以及信息化相关要求。内控管理采用以风险管理为主线，以内控检查为手段的方法，逐步建立和完善内控管理体系，提高公司管理水平。

本规范体系由两部分组成：《内部控制管理规范》、《内部控制管理手册》。

《内部控制管理规范》主要明确公司内控体系的运行规则，包含建立、运行、监督检查与评价考核等内控管理主要内容，是公司内控管理基础制度。

《内控管理手册》依托公司主要业务进行详细风险防控方法编制，包含流程图、风险控制表等，是对风险防控措施的具体分解，用以指导业务部门内控管理的执行，为本规范配套规范。

第四条本规范适用范围。本规范适用于公司、项目部。

第五条内控管理组织及其职责

依据《企业内控基本规范》第十二条～第十四条对内控体系组织建设的相关规定，结合公司经营特点，本规范明确公司内控管理组织及其相应职责。

（一）董事会负责领导公司内控体系的建立健全和有效实施，审议公司年度内控评价报告。

（二）监事会负责对董事会建立与实施内控进行监督检查。

（三）董事会审计委员会负责审查、监督内控的有效实施和内控自我评价情况，协调内控审计及其他相关事宜。

（四）审计委员会对董事会负责，主要对公司内控体系的建设工作进行总体筹划、组织领导和推进，对工作中的

重大事项进行决策，分阶段对内控体系建设的成果进行验收。审计委员会下设审计部，负责日常审计、内控工作，督办或承办内控领导小组的决定、部署、安排、要求及有关工作报告。

（五）经理层负责领导公司内控体系的日常运行。

（六）职能部门

1. 审计部负责宣贯国家相关法律法规和《企业内控基本规范》与政府监管部门规章制度及规范性文件；负责按审计委员会部署，在经理层领导下组织公司内控体系的设计、运行、协调和考核；具体负责公司内控体系管理制度的编制和管理，组织风险识别分析和建立风险矩阵，督促开展重大风险的动态监控并编制风险管理报告，组织内控管理知识培训，组织内控有效性评价，组织开展内控常态化检查和整改跟踪，组织内控体系运行结果考核，督促推进内控与风险管理信息化建设，以及负责公司内控办公室的日常联络性工作。

2. 其他职能部门负责根据风险流程图制定和落实本部门风险应对方案和措施；负责对本部门风险应对方案的执行情况和风险变化情况进行动态监控和报告；负责按本规范开展内控评价工作并配合检查考核；参与公司风险矩阵和内控管理手册的建立。

（七）分公司、项目部

1. 审计委员会及其工作机构负责领导本单位内控机制的建立健全和有效实施，统筹协调内控体系建设、运行、评价及检查考核管理工作；单位主要负责人为本单位内控管理第一责任人。

2. 项目部结合实际情况设立内控管理机构，并明确该机构及其岗位人员职责；负责按本规范开展本单位内控管理的组织、协调和考核，以及按公司统筹部署组织内控评价与检查考核的衔接与开展。

第二章内控实施

第六条实施内控应遵循的原则

（一）全面性原则。公司决策层、管理层和全体员工共同实施，覆盖公司各业务，贯穿管理各层级，实现决策、执行、监督、反馈全过程管控。

（二）重要性原则。在全面覆盖的基础上，重点关注高风险领域、主要经济活动和重要业务事项，防范重大风险，明确流程关键控制环节，制定风险控制措施。

（三）制衡性原则。在兼顾业务运营效率的同时，确保治理结构、机构设置及权责分配等相互制约、相互监督。

（四）标准化原则。统一制定内控管理制度，加强执行监督，逐步消除管理差异，实现流程步骤、控制措施、岗位责任、风险管理、内控评价标准化。

（五）成本效益原则。权衡内控实施成本与预期效益，以合理成本实现最有效控制。

（六）持续改进原则。建立内控设计、执行、评价及改进闭环管理机制，动态适应公司组织架构、业务范围、风险水平等变化，实现持续完善与提升。

（七）协同一致原则。内控流程、授权管理、风险管理、规章制度和内控评价及内控管理手册内容规定上应保持一致，促进公司一体化管理。

第七条风险数据库的建立与完善

（一）风险信息收集。内控管理部按照《企业内控基本规范》的相关规定和公司《内部控制风险管理办法》，组织和督导各单位以业务流程为线索，开展全面、系统的业务风险信息梳理、识别和收集工作。

（二）风险评估。内控管理部组织相关单位对所收集的风险信息进行系统分析，采用定性与定量相结合的方法，评价风险影响，确定风险值和风险等级，以及关注重点和优先控制的风险，结合公司风险承受度，权衡风险与收益，制定风险应对策略。

（三）风险数据库建立。内控管理部制定风险编号、名称与定义规范，组织建立公司及各单位业务风险及风险等级数据库，以进行动态管理。未经批准，各单位不得擅自修改风险信息数据。

（四）风险管理报告。内控管理部组织开展公司年度风险管理报告编报工作；各单位年度全面风险管理报告和公司各专业风险管理子报告应于每年2月底前报至内控管理部。

（五）内控管理部与相应职能部门结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时完善风险数据库，并调整风险应对策略。适时修订完善《内部控制风险管理办法》。

第八条内控管理手册的编制与完善

（一）内控管理部依据《企业内控基本规范》，结合公司风险数据库及风险应对策略，组织各单位梳理风险管控流程，明确风险点，制定风险控制矩阵，汇编制作《内控管理手册》。《内控管理手册》包含公司各业务领域风险点、管控流程图、风险控制矩阵，作为公司内控管理实施的依据与准则。

（二）公司各职能部门、分子公司、项目部结合风险数据库，在内控管理部指导下梳理风险管控流程，参与编制《内控管理手册》。