企业内部控制整体层面和各项循环关键控制点汇总

公司整体层面内部控制控制目标控制措施

1 行为规范公司制定行为规范，并使员

工充分掌握和严格遵循1 公司制定并经董事会批准后下发《员工职业道德守则》。

2 人力资源部对员工培训，通过调查问卷，考试等形式确保员工充分了解职业道德守则的要求。

3 公司所有员工均签署年度《员工职业道德承诺函》，确定已经知晓守则，并严格遵循；对于知晓的违规行为已经报告管理层；各级人事部门负责检查和汇总所有的员工声明并采取必要的补救措施。

4 定期通过培训等方式向员工强调道德守则和诚信的重要性。

5 将《员工手册》公布于公司网站供内外部人员查阅。

2 人力资源建立规范的员工招聘、培

训、晋升、考核机制。1 公司建立健全有关人力资源的招聘、培训、晋升、绩效考核和薪酬制度。

2 在关键岗位人员的招聘或晋升时应履行必要的背景调查等程序。

3 在员工招聘、培训和晋升时，按照岗位职责要求对所需人员的技能和学识等组织实施。

4 定期对公司员工进行工作业绩评价考核，并以此作为续聘、晋升等依据。

3 组织架构和岗位职责根据公司经营管理的需要，

明确公司的组织架构和岗

位职责。1 有完整的组织结构图，清晰表述各部门的职责、权限和报告责任。

2 管理层每年审阅公司现有的组织结构。

3 明确关键岗位的职责。

4 授权与审批建立和完善公司主要经济

活动的授权与审批权限，并

规范执行。1 明确重要经济业务活动（如资本性支出、资金支付及投融资活动等）管理与审批等权限的分配。

2 各级管理人员被授予的权限与其所处职位相匹配。

5 防范舞弊建立舞弊风险防范机制，明

确检举举报渠道，防范和发

现舞弊风险，采取有效的控

制措施，避免或减少损失。1 制定并下发《反舞弊规定》和《公司举报受理、调查、处理办法》。

2 对员工进行《反舞弊规定》和《公司举报受理、调查、处理办法》的宣传、培训。

3 各部门对可能存在的舞弊风险每年定期进行了自我评估及报告。

4 各部门随时对可能出现的舞弊风险进行自我评估及报告。

5 针对发现的舞弊风险，实施必要的检查程序，以确定舞弊迹象所显示的舞弊行为是否已经发生，及时做出适当整改措施。

6 针对发现的舞弊风险，对内控缺陷进行认真分析、研究，根据重要性及影响程度进行分级管理，落实责任部门，采取有效的整改措施，以避免或减少损失，并对整改效果进行跟踪监督。

7 公司的检举举报热线、信息、电子邮箱有效、畅通；监察室对收到的检举举报信息，均按照《公司举报受理、调查、处理办法》的规定，履行了记录和审阅手续，确保相关举报信息的完整性和保密性。

8 各类举报信息均按照《公司举报受理、调查、处理办法》的调查程序进行了调查和记录。

9 公司监察室定期分类汇总当期收到的检举举报信息及相应的调查处理情况，上报管理层或审计委员会。

6 防范经营风险建立有效的风险防范机制，

确保公司在实现经营目标

过程中，及时确认、识别存

在的风险，减少损失

销售

固定资产投资

股权投资

融资担保

会计政策

关联交易1 公司制定并下发《风险评估管理办法》，落实风险控制原则，提高风险防范能力。

2 对员工进行《风险评估管理办法》的宣传、培训。

3 成立由公司管理层组成的风险评估委员会。

4 市场销售部门应对拟进行销售价格调整和推出新的重大营销策略等变动事项，进行事前风险评估，指定规避风险策略或措施，上报风险评估委员会。

5 建立健全固定资产投资管理内部控制制度和管理流程。

6 明确固定资产投资管理权限分配和审批程序。

7 相关部门对拟进行的较大规模固定资产投资项目等事项，进行事前风险评估，制定规避风险策略或措施，提交公司董事会讨论或上报公司高管层。

8 建立健全股权投资管理的内部制度和管理流程。

9 明确股权投资管理权限分配和审批程序。

10 相关部门对拟进行的重大股权投资项目等事项，进行事前风险评估，制定规避风险策略或措施，提交公司董事会讨论或上报公司高管层。

11 公司在股权投资持有期间，通过对子公司董事会事务管理、委派董事和高级管理人员等方式，加强对子公司管控，防范经营和财务风险。

12 建立健全融资与担保管理的内部控制制度和管理流程。

13 明确融资与担保的管理权限分配和审批程序。

14 财务会计部应对重大股权和债权融资进行事前风险评估，制定规避风险策略或措施，提交公司董事会讨论或上报公司高管层。

15 财务部门应对国家的会计政策变动等事项，进行事前风险评估，制定规避风险策略或措施，上报风险评估委员会。

16 建立健全公司关联交易的管理制度，明确关联交易管理职责、管理权限和管理流程。

17 明确关联交易重要环节（如关联交易的设计、成本和价格的确定等）的执行原则和审批程序。

18 明确关联交易年度报告信息披露的内容以及授权审批程序。

19 相关部门对拟进行的关联交易事项进行事前风险评估，制定规避风险策略或措施，上报总裁办公会，必要时上报董事会审批。

20 企业法律部门应对重大法律事项进行事前风险评估，制定规避风险策略或措施，上报风险评估委员会。

21 每年至少一次定期召开风险评估委员会会议，围绕公司每年确定的经营发展目标，对各部门分析与预测影响目标实现的主要风险、影响程度及控制现状进行讨论，提出改进风险控制的措施，明确风险控制责任单位或个人，形成风险评估报告。

22 遇有重大预测事项，启动风险评估委员会特别会议进行风险

评估报告。

23 风险评估委员会管理并监督各部门根据风险评估结果，落实风险控制措施。

24 风险评估委员会将风险评估报告定期报管理层审阅。

7 分析生产经营和落实经营目标对生产经营情况及时分析

和报告，对存在问题采取改

进措施。

制定了明确年度的经营发

展等目标，并落实实施。

1 按照规定的财务报表分析程序和摸版，对财务报表数据或关键

财务指标的重大及异常波动进行分析，以发现可能的重大错报、

漏报。

2 定期召开生产经营分析会，财务等部门汇总生产经营信息，向

公司管理层报告，分析预算执行差异及原因，提出改进措施。

3 各部门根据会议要求对需改进事项进行组织落实。

1 公司制定了经董事会批准的年度经营目标、财务预算及资本性

开支计划。

2 公司应每季度向董事会报告年度财务预算的执行情况，及下一

季度将要发生的重大交易等事项。

8绩效考核确定合理的绩效目标，建立

高级管理层薪酬与绩效目

标实现挂钩的机制1 薪酬委员会与公司管理层根据公司经营预算目标签定的业绩考核合同并上报董事会批准。

2 董事会根据公司经营预算目标完成情况，实施对公司管理层的考核并与薪酬挂钩。

9计算机信息建立与公司经营管理相适

应的计算机信息系统

制定信息管理制度，确保数

据的安全性1 建立健全公司计算机信息系统的管理制度、明确计算机信息系统管理职责、管理权限和管理流程。

2 计算机信息系统战略规划、重要信息系统政策等重大事项由董事会审批通过后，方可实施。

3 计算机信息管理部门与使用部门保持独立，且有正式的数据传输工作。

4 计算机信息管理部门，人员设置和组织结构与公司业务复杂程度和规模相适应。

5 电子数据处理工作被合理的监督。

1 对接触计算机系统的授权划分级别：禁止、只读、可读可写、可读可删除；进入计算机系统需要密码，密码是经过谨慎的设计，保密并且定期变换。

2 有相应的措施检测违规进入并作出反应。

3 建立程序和文件的档案库，并由专人负责。

4 所有数据都备份并保存在计算机设备以外的安全地方。

5 对控制文档进行归档，且由主管人员定期复核。

6 计算机信息管理部门在组织内建立流程，以保护信息系统和技术免受病毒影响。

10董事会与法律顾问沟通建立董事会定期与法律顾

问沟通的机制公司的法律顾问应出席董事会的有关会议，讨论重大的交易事项、法律事项及违反道德守则等事项，以确保上述事项对公司的影响及法律风险降到最低。

11会计政策和会计处理执行统一的会计政策 1 根据国家的会计准则，制定和维护公司会计政策，并监督执行。

2 财务负责人评估公司采用的重大会计政策和会计估计。

3 财务经理将公司统一的会计制度手册和会计处理办法下发给

相关财务人员，或将手册放置在所有财务人员能够随时查询的位