《企業(yè)內(nèi)部控制基本規(guī)范》是根據(jù)《中華人民共和國公司法》���、《中華人民共和國證券法》��、《中華人民共和國會計法》和其他有關(guān)法律法規(guī)制定的����,旨在加強和規(guī)范企業(yè)內(nèi)部控制,提高企業(yè)經(jīng)營管理水平和風險防范能力�,促進企業(yè)可持續(xù)發(fā)展,維護社會主義市場經(jīng)濟秩序和社會公眾利益�����。
第一章 總 則
第一條 為了加強和規(guī)范公司內(nèi)部控制����,提高公司經(jīng)營管理水平和風險防范能力,促進公司可持續(xù)發(fā)展�,保障公司內(nèi)部控制規(guī)范合法,根據(jù)《中華人民共和國公司法》���、《中華人民共和國證券法》�、《中華人民共和國會計法》和其他有關(guān)法律法規(guī)����,制定本規(guī)范。
第二條 本規(guī)范適用于中華人民共和國境內(nèi)設立的所有XX公司及其下屬分公司��、子公司及辦事處(以下稱“公司”或“公司下屬單位”)�。
第三條 本規(guī)范所稱內(nèi)部控制�,是由公司董事會���、監(jiān)事會�、經(jīng)理層和全體員工實施的����、旨在實現(xiàn)控制目標的過程�����。
內(nèi)部控制的目標是合理保證公司經(jīng)營管理合法合規(guī)�����、資產(chǎn)安全�����、財務報告及相關(guān)信息真實完整�,提高經(jīng)營效率和效果,促進公司實現(xiàn)發(fā)展戰(zhàn)略��。
第四條 公司建立與實施內(nèi)部控制��,應當遵循下列原則:
(1)全面性原則。內(nèi)部控制應當貫穿決策����、執(zhí)行和監(jiān)督全過程,覆蓋公司及其所屬單位的各種業(yè)務和事項�。
(2)重要性原則。內(nèi)部控制應當在全面控制的基礎(chǔ)上���,關(guān)注重要業(yè)務事項和高風險領(lǐng)域����。
(3)制衡性原則���。內(nèi)部控制應當在治理結(jié)構(gòu)�、機構(gòu)設置及權(quán)責分配��、業(yè)務流程等方面形成相互制約���、相互監(jiān)督�����,同時兼顧運營效率��。
(4)適應性原則����。內(nèi)部控制應當與公司經(jīng)營規(guī)模、業(yè)務范圍�、競爭狀況和風險水平等相適應,并隨著情況的變化及時加以調(diào)整�����。
(5)成本效益原則����。內(nèi)部控制應當權(quán)衡實施成本與預期效益����,以適當?shù)某杀緦崿F(xiàn)有效控制。
第五條 公司建立與實施有效的內(nèi)部控制����,應當包括下列要素:
(1)內(nèi)部環(huán)境。內(nèi)部環(huán)境是公司實施內(nèi)部控制的基礎(chǔ)�,一般包括治理結(jié)構(gòu)、機構(gòu)設置及權(quán)責分配�、內(nèi)部審計���、人力資源政策、公司文化等�。
(2)風險評估。風險評估是公司及時識別�、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關(guān)的風險,合理確定風險應對策略��。
(3)控制活動��?�?刂苹顒邮枪靖鶕?jù)風險評估結(jié)果��,采用相應的控制措施�,將風險控制在可承受度之內(nèi)。
(4)信息與溝通��。信息與溝通是公司及時�、準確地收集、傳遞與內(nèi)部控制相關(guān)的信息��,確保信息在公司內(nèi)部����、公司與外部之間進行有效溝通����。
(5)內(nèi)部監(jiān)督���。內(nèi)部監(jiān)督是公司對內(nèi)部控制建立與實施情況進行監(jiān)督檢查�����,評價內(nèi)部控制的有效性���,發(fā)現(xiàn)內(nèi)部控制缺陷,應當及時加以改進�。
第六條 公司下屬單位應當根據(jù)有關(guān)法律法規(guī)����、本規(guī)范及其配套辦法,制定本公司的內(nèi)部控制制度并組織實施���。
第七條 公司應當運用信息技術(shù)加強內(nèi)部控制���,建立與經(jīng)營管理相適應的信息系統(tǒng),促進內(nèi)部控制流程與信息系統(tǒng)的有機結(jié)合����,實現(xiàn)對業(yè)務和事項的自動控制�����,減少或消除人為操縱因素����。
第八條 公司應當建立內(nèi)部控制實施的激勵約束機制�����,將各責任單位和全體員工實施內(nèi)部控制的情況納入績效考評體系�,促進內(nèi)部控制的有效實施。
第九條 公司有關(guān)部門可以根據(jù)法律法規(guī)����、本規(guī)范及其配套辦法,明確貫徹實施本規(guī)范的具體要求�����,對公司建立與實施內(nèi)部控制的情況進行監(jiān)督檢查���。
第十條 接受公司委托從事內(nèi)部控制審計的會計師事務所��,應當根據(jù)本規(guī)范及其配套辦法和相關(guān)執(zhí)業(yè)準則�����,對公司內(nèi)部控制的有效性進行審計�����,出具審計報告�����。會計師事務所及其簽字的從業(yè)人員應當對發(fā)表的內(nèi)部控制審計意見負責��。
為公司內(nèi)部控制提供咨詢的會計師事務所���,不得同時為同一公司提供內(nèi)部控制審計服務�。
第二章 內(nèi)部環(huán)境
第十一條 公司應當根據(jù)國家有關(guān)法律法規(guī)和公司章程�,建立規(guī)范的公司治理結(jié)構(gòu)和議事規(guī)則����,明確決策、執(zhí)行��、監(jiān)督等方面的職責權(quán)限,形成科學有效的職責分工和制衡機制����。
股東(大)會享有法律法規(guī)和公司章程規(guī)定的合法權(quán)利,依法行使公司經(jīng)營方針��、籌資��、投資����、利潤分配等重大事項的表決權(quán)。
董事會對股東(大)會負責���,依法行使公司的經(jīng)營決策權(quán)�。
監(jiān)事會對股東(大)會負責���,監(jiān)督公司董事�、經(jīng)理和其他高級管理人員依法履行職責�����。經(jīng)理層負責組織實施股東(大)會、董事會決議事項����,主持公司的生產(chǎn)經(jīng)營管理工作。
第十二條 董事會負責內(nèi)部控制的建立健全和有效實施��。監(jiān)事會對董事會建立與實施內(nèi)部控制進行監(jiān)督���。經(jīng)理層負責組織領(lǐng)導公司內(nèi)部控制的日常運行��。
公司應當成立專門機構(gòu)或者指定適當?shù)臋C構(gòu)具體負責組織協(xié)調(diào)內(nèi)部控制的建立實施及日常工作����。
第十三條 公司應當在董事會下設立審計委員會����。審計委員會負責審查公司內(nèi)部控制,監(jiān)督內(nèi)部控制的有效實施和內(nèi)部控制自我評價情況�,協(xié)調(diào)內(nèi)部控制審計及其他相關(guān)事宜等。
審計委員會負責人應當具備相應的獨立性���、良好的職業(yè)操守和專業(yè)勝任能力��。
第十四條 公司應當結(jié)合業(yè)務特點和內(nèi)部控制要求設置內(nèi)部機構(gòu),明確職責權(quán)限,將權(quán)利與責任落實到各責任單位�。
公司應當通過編制內(nèi)部管理手冊,使全體員工掌握內(nèi)部機構(gòu)設置����、崗位職責、業(yè)務流程等情況����,明確權(quán)責分配,正確行使職權(quán)�����。
第十五條 公司應當加強內(nèi)部審計工作�����,保證內(nèi)部審計機構(gòu)設置����、人員配備和工作的獨立性。
內(nèi)部審計機構(gòu)應當結(jié)合內(nèi)部審計監(jiān)督�����,對內(nèi)部控制的有效性進行監(jiān)督檢查。內(nèi)部審計機構(gòu)對監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制缺陷���,應當按照公司內(nèi)部審計工作程序進行報告�����;對監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制重大缺陷���,有權(quán)直接向董事會及其審計委員會、監(jiān)事會報告�。
第十六條 公司應當制定和實施有利于公司可持續(xù)發(fā)展的人力資源政策。人力資源政策應當包括下列內(nèi)容:
(1)員工的聘用����、培訓、辭退與辭職����。
(2)員工的薪酬、考核���、晉升與獎懲�����。
(3)關(guān)鍵崗位員工的強制休假制度和定期崗位輪換制度�。
(4)掌握公司秘密或重要商業(yè)秘密的員工離崗的限制性規(guī)定�����。
(5)有關(guān)人力資源管理的其他政策�。
第十七條 公司應當將職業(yè)道德修養(yǎng)和專業(yè)勝任能力作為選拔和聘用員工的重要標準,切實加強員工培訓和繼續(xù)教育�,不斷提升員工素質(zhì)。
第十八條 公司應當加強文化建設��,培育積極向上的價值觀和社會責任感�,倡導誠實守信、愛崗敬業(yè)�、開拓創(chuàng)新和團隊協(xié)作精神,樹立現(xiàn)代管理理念�,強化風險意識。
董事�、監(jiān)事、經(jīng)理及其他高級管理人員應當在公司文化建設中發(fā)揮主導作用�����。公司員工應當遵守員工行為守則�,認真履行崗位職責�����。
第十九條 公司應當加強法制教育����,增強董事����、監(jiān)事、經(jīng)理及其他高級管理人員和員工的法制觀念���,嚴格依法決策��、依法辦事�、依法監(jiān)督���,建立健全法律顧問制度和重大法律糾紛案件備案制度����。
第三章 風險評估
第二十條 公司應當根據(jù)設定的控制目標���,全面系統(tǒng)持續(xù)地收集相關(guān)信息����,結(jié)合實際情況,及時進行風險評估����。
第二十一條 公司開展風險評估����,應當準確識別與實現(xiàn)控制目標相關(guān)的內(nèi)部風險和外部風險,確定相應的風險承受度����。
風險承受度是公司能夠承擔的風險限度,包括整體風險承受能力和業(yè)務層面的可接受風險水平��。
第二十二條 公司識別內(nèi)部風險���,應當關(guān)注下列因素:
(1)董事��、監(jiān)事�����、經(jīng)理及其他高級管理人員的職業(yè)操守�����、員工專業(yè)勝任能力等人力資源因素�。
(2)組織機構(gòu)、經(jīng)營方式�����、資產(chǎn)管理����、業(yè)務流程等管理因素。
(3)研究開發(fā)�、技術(shù)投入、信息技術(shù)運用等自主創(chuàng)新因素���。
(4)財務狀況�、經(jīng)營成果�、現(xiàn)金流量等財務因素。
(5)營運安全����、員工健康、環(huán)境保護等安全環(huán)保因素。
(6)其他有關(guān)內(nèi)部風險因素���。
第二十三條 公司識別外部風險����,應當關(guān)注下列因素:
(1)經(jīng)濟形勢����、產(chǎn)業(yè)政策、融資環(huán)境�、市場競爭�、資源供給等經(jīng)濟因素。
(2)法律法規(guī)����、監(jiān)管要求等法律因素。
(3)安全穩(wěn)定�����、文化傳統(tǒng)�����、社會信用��、教育水平、客戶行為等社會因素�。
(4)技術(shù)進步、工藝改進等科學技術(shù)因素�����。
(5)自然災害���、環(huán)境狀況等自然環(huán)境因素����。
(6)其他有關(guān)外部風險因素�����。
第二十四條 公司應當采用定性與定量相結(jié)合的方法��,按照風險發(fā)生的可能性及其影響程度等�,對識別的風險進行分析和排序,確定關(guān)注重點和優(yōu)先控制的風險����。
公司進行風險分析,應當充分吸收專業(yè)人員,組成風險分析團隊�����,按照嚴格規(guī)范的程序開展工作���,確保風險分析結(jié)果的準確性���。
第二十五條 公司應當根據(jù)風險分析的結(jié)果,結(jié)合風險承受度����,權(quán)衡風險與收益,確定風險應對策略���。
公司應當合理分析、準確掌握董事�����、經(jīng)理及其他高級管理人員���、關(guān)鍵崗位員工的風險偏好�����,采取適當?shù)目刂拼胧?,避免因個人風險偏好給公司經(jīng)營帶來重大損失。
第二十六條 公司應當綜合運用風險規(guī)避�����、風險降低�����、風險分擔和風險承受等風險應對策略��,實現(xiàn)對風險的有效控制�。
風險規(guī)避是公司對超出風險承受度的風險,通過放棄或者停止與該風險相關(guān)的業(yè)務活動以避免和減輕損失的策略�����。
風險降低是公司在權(quán)衡成本效益之后��,準備采取適當?shù)目刂拼胧┙档惋L險或者減輕損失�����,將風險控制在風險承受度之內(nèi)的策略。
風險分擔是公司準備借助他人力量����,采取業(yè)務分包、購買保險等方式和適當?shù)目刂拼胧?���,將風險控制在風險承受度之內(nèi)的策略。
風險承受是公司對風險承受度之內(nèi)的風險����,在權(quán)衡成本效益之后,不準備采取控制措施降低風險或者減輕損失的策略��。
第二十七條 公司應當結(jié)合不同發(fā)展階段和業(yè)務拓展情況��,持續(xù)收集與風險變化相關(guān)的信息�����,進行風險識別和風險分析�,及時調(diào)整風險應對策略����。
第四章 控制活動
第二十八條 公司應當結(jié)合風險評估結(jié)果���,通過手工控制與自動控制、預防性控制與發(fā)現(xiàn)性控制相結(jié)合的方法����,運用相應的控制措施,將風險控制在可承受度之內(nèi)�����。
控制措施一般包括:不相容職務分離控制���、授權(quán)審批控制����、會計系統(tǒng)控制��、財產(chǎn)保護控制�����、預算控制�、運營分析控制和績效考評控制等。
第二十九條 不相容職務分離控制要求公司全面系統(tǒng)地分析���、梳理業(yè)務流程中所涉及的不相容職務�,實施相應的分離措施,形成各司其職���、各負其責��、相互制約的工作機制����。
第三十條 授權(quán)審批控制要求公司根據(jù)常規(guī)授權(quán)和特別授權(quán)的規(guī)定��,明確各崗位辦理業(yè)務和事項的權(quán)限范圍�����、審批程序和相應責任����。
公司應當編制常規(guī)授權(quán)的權(quán)限指引,規(guī)范特別授權(quán)的范圍��、權(quán)限���、程序和責任�,嚴格控制特別授權(quán)����。常規(guī)授權(quán)是指公司在日常經(jīng)營管理活動中按照既定的職責和程序進行的授權(quán)。特別授權(quán)是指公司在特殊情況��、特定條件下進行的授權(quán)�。
公司各級管理人員應當在授權(quán)范圍內(nèi)行使職權(quán)和承擔責任。
公司對于重大的業(yè)務和事項�����,應當實行集體決策審批或者聯(lián)簽制度�,任何個人不得單獨進行決策或者擅自改變集體決策。
第三十一條 會計系統(tǒng)控制要求公司嚴格執(zhí)行國家統(tǒng)一的會計準則制度��,加強會計基礎(chǔ)工作�����,明確會計憑證�����、會計賬簿和財務會計報告的處理程序��,保證會計資料真實完整。
公司應當依法設置會計機構(gòu)���,配備會計從業(yè)人員��。從事會計工作的人員�,應當取得相應的職稱證書或接受過相關(guān)專業(yè)的系統(tǒng)學習并具備上崗資格��。會計機構(gòu)負責人應當具備會計師以上專業(yè)技術(shù)職務資格�。
大中型公司應當設置總會計師。公司設置總會計師的��,不得設置與其職權(quán)重疊的副職�����。
第三十二條 財產(chǎn)保護控制要求公司建立財產(chǎn)日常管理制度和定期清查制度���,采取財產(chǎn)記錄����、實物保管�����、定期盤點、賬實核對等措施���,確保財產(chǎn)安全。
公司應當嚴格限制未經(jīng)授權(quán)的人員接觸和處置財產(chǎn)���。
第三十三條 預算控制要求公司實施全面預算管理制度�,明確各責任單位在預算管理中的職責權(quán)限���,規(guī)范預算的編制���、審定、下達和執(zhí)行程序�,強化預算約束。
第三十三條 運營分析控制要求公司建立運營情況分析制度����,經(jīng)理層應當綜合運用生產(chǎn)、購銷��、投資���、籌資��、財務等方面的信息�����,通過因素分析�、對比分析、趨勢分析等方法�,定期開展運營情況分析,發(fā)現(xiàn)存在的問題�,及時查明原因并加以改進。
第三十四條 績效考評控制要求公司建立和實施績效考評制度�,科學設置考核指標體系,對公司內(nèi)部各責任單位和全體員工的業(yè)績進行定期考核和客觀評價��,將考評結(jié)果作為確定員工薪酬以及職務晉升��、評優(yōu)��、降級��、調(diào)崗�����、辭退等的依據(jù)。
第三十五條 公司應當根據(jù)內(nèi)部控制目標�,結(jié)合風險應對策略,綜合運用控制措施�����,對各種業(yè)務和事項實施有效控制�。
第三十六條 公司應當建立重大風險預警機制和突發(fā)事件應急處理機制,明確風險預警標準���,對可能發(fā)生的重大風險或突發(fā)事件,制定應急預案�����、明確責任人員���、規(guī)范處置程序���,確保突發(fā)事件得到及時妥善處理。
第五章 信息與溝通
第三十七條 公司應當建立信息與溝通制度��,明確內(nèi)部控制相關(guān)信息的收集��、處理和傳遞程序,確保信息及時溝通��,促進內(nèi)部控制有效運行�。
第三十八條 公司應當對收集的各種內(nèi)部信息和外部信息進行合理篩選、核對�、整合,提高信息的有用性��。
公司可以通過財務會計資料���、經(jīng)營管理資料�����、調(diào)研報告����、專項信息�����、內(nèi)部刊物�����、辦公網(wǎng)絡等渠道,獲取內(nèi)部信息����。
公司可以通過行業(yè)協(xié)會組織、社會中介機構(gòu)����、業(yè)務往來單位、市場調(diào)查��、來信來訪���、網(wǎng)絡媒體以及有關(guān)監(jiān)管部門等渠道,獲取外部信息�。
第三十九條 公司應當將內(nèi)部控制相關(guān)信息在公司內(nèi)部各管理級次、責任單位�����、業(yè)務環(huán)節(jié)之間���,以及公司與外部投資者����、債權(quán)人、客戶����、供應商、中介機構(gòu)和監(jiān)管部門等有關(guān)方面之間進行溝通和反饋���。信息溝通過程中發(fā)現(xiàn)的問題����,應當及時報告并加以解決����。
重要信息應當及時傳遞給董事會、監(jiān)事會和經(jīng)理層�����。
第四十條 公司應當利用信息技術(shù)促進信息的集成與共享�����,充分發(fā)揮信息技術(shù)在信息與溝通中的作用����。
公司應當加強對信息系統(tǒng)開發(fā)與維護����、訪問與變更����、數(shù)據(jù)輸入與輸出、文件儲存與保管����、網(wǎng)絡安全等方面的控制,保證信息系統(tǒng)安全穩(wěn)定運行�����。
第四十一條 公司應當建立反舞弊機制�,堅持懲防并舉、重在預防的原則�����,明確反舞弊工作的重點領(lǐng)域���、關(guān)鍵環(huán)節(jié)和有關(guān)機構(gòu)在反舞弊工作中的職責權(quán)限,規(guī)范舞弊案件的舉報�����、調(diào)查、處理���、報告和補救程序�。
公司至少應當將下列情形作為反舞弊工作的重點:
(1)未經(jīng)授權(quán)或者采取其他不法方式侵占����、挪用公司資產(chǎn),牟取不當利益����。
(2)在財務會計報告和信息披露等方面存在的虛假記載、誤導性陳述或者重大遺漏等�。
(3)董事、監(jiān)事�����、經(jīng)理及其他高級管理人員濫用職權(quán)���。
(4)相關(guān)機構(gòu)或人員串通舞弊�。
第四十二條 公司應當建立舉報投訴制度和舉報人保護制度�,設置舉報專線�����,明確舉報投訴處理程序��、辦理時限和辦結(jié)要求��,確保舉報����、投訴成為公司有效掌握信息的重要途徑���。
舉報投訴制度和舉報人保護制度應當及時傳達至全體員工�����。
第六章 內(nèi)部監(jiān)督
第四十三條 公司應當根據(jù)本規(guī)范及其配套辦法�����,制定內(nèi)部控制監(jiān)督制度,明確內(nèi)部審計機構(gòu)(或經(jīng)授權(quán)的其他監(jiān)督機構(gòu))和其他內(nèi)部機構(gòu)在內(nèi)部監(jiān)督中的職責權(quán)限�����,規(guī)范內(nèi)部監(jiān)督的程序、方法和要求���。
內(nèi)部監(jiān)督分為日常監(jiān)督和專項監(jiān)督�。日常監(jiān)督是指公司對建立與實施內(nèi)部控制的情況進行常規(guī)���、持續(xù)的監(jiān)督檢查��;專項監(jiān)督是指在公司發(fā)展戰(zhàn)略���、組織結(jié)構(gòu)、經(jīng)營活動�����、業(yè)務流程�����、關(guān)鍵崗位員工等發(fā)生較大調(diào)整或變化的情況下��,對內(nèi)部控制的某一或者某些方面進行有針對性的監(jiān)督檢查�。
專項監(jiān)督的范圍和頻率應當根據(jù)風險評估結(jié)果以及日常監(jiān)督的有效性等予以確定。
第四十四條 公司應當制定內(nèi)部控制缺陷認定標準,對監(jiān)督過程中發(fā)現(xiàn)的內(nèi)部控制缺陷��,應當分析缺陷的性質(zhì)和產(chǎn)生的原因����,提出整改方案,采取適當?shù)男问郊皶r向董事會�、監(jiān)事會或者經(jīng)理層報告。
內(nèi)部控制缺陷包括設計缺陷和運行缺陷�����。公司應當跟蹤內(nèi)部控制缺陷整改情況�,并就內(nèi)部監(jiān)督中發(fā)現(xiàn)的重大缺陷,追究相關(guān)責任單位或者責任人的責任�。
第四十五條 公司應當結(jié)合內(nèi)部監(jiān)督情況,定期對內(nèi)部控制的有效性進行自我評價����,出具內(nèi)部控制自我評價報告。
內(nèi)部控制自我評價的方式���、范圍�����、程序和頻率���,由公司根據(jù)經(jīng)營業(yè)務調(diào)整、經(jīng)營環(huán)境變化���、業(yè)務發(fā)展狀況�、實際風險水平等自行確定����。
國家有關(guān)法律法規(guī)另有規(guī)定的,從其規(guī)定��。
第四十六條 公司應當以書面或者其他適當?shù)男问?����,妥善保存?nèi)部控制建立與實施過程中的相關(guān)記錄或者資料���,確保內(nèi)部控制建立與實施過程的可驗證性��。
第七章 附則
第四十七條 本規(guī)范由公司管理層及指定的企業(yè)治理或被授予內(nèi)控管理職責的有關(guān)部門解釋�。
第四十八條 本規(guī)范的配套辦法由公司管理層及指定的企業(yè)治理或被授予內(nèi)控管理職責的有關(guān)部門另行制定�����。
第四十九條 本規(guī)范自 XXXX年X月X日起實施。