《企业集团公司内部控制实施细则指导意见.docx》由会员分享,可在线阅读,更多相关《企业集团公司内部控制实施细则指导意见.docx(69页珍藏版)》请在优知文库上搜索。
1、企业内部控制实施细则指导意见目录一、 总则-2-1 目的-2-2 总体原则-2-3 适用范围-3-4 更新和维护-5-5 内控管理信息系统-6-二、 企业内控手册编制内容简述-7-1 控制目标-7-2 风险清单-7-3 公司层面控制-9-4 业务层面控制-10-5 权限指引错误!未定义书签。6 附贝IJ-19-附录1:控制目标内容指导-20-附录2:风险清单内容指导-22-附录3:公司层面控制内容指导-40-附录4:业务层面控制内容指导-46-附录5:信息系统应用控制内容指导-58-附录6:权限指引内容指导-60-附录7:检查评价与考核办法内容指导-63-附录8:不相容岗位清单内容指导-70-
2、附录9:XX企业名称、简称、拼音代码对照表-71-一、总则1 目的根据集团公司经营管理实际,结合内部控制运行及内、外部各类检查发现的共性问题,以及境内外监管有关要求,企改和法律部组织对总部、企业内控手册进行修订。为指导企业根据2021版企业内控手册有关要求,进一步完善本单位内控实施细则,特修订企业内部控制实施细则指导意见(2021年版)(以下简称“指导意见”)o2 总体原则2 .1本年度修订,针对境内企业全面实施财务共享,以业务为主线、以风险为导向,结合内外部检查及日常工作中发现的问题,对内控手册各部分内容进行完善。企业版内控流程全部转换为风险控制矩阵。3 .22.2总部直属研究院、油品销售公
3、司、共享服务中心在随同总部内控手册修订完成风险控制矩阵的基础上,按照自身管理实际进一步补充完善实施细则。4 .3为满足外部监管要求,总部内控手册分为“集团公司总部内控手册”和“股份公司总部内控手册”。各企业按照上市、未上市一体化管控要求,编制一套内控实施细则,无需拆分。5 .32.4企业承担本单位内控体系建设和维护的职责,拥有本单位内控实施细则的修订权限。各企业根据本指导意见,按照企业内控手册的体例架构,结合本单位经营管理目标、风险及其管控情况,履行内控实施细则设计、修订的职责。6 适用范围6.1 3.1本指导意见适用于集团公司所属企事业单位、股份公司各分(子)公司及所属代管单位(以下简称“企
4、业”)。各企业根据本指导意见,按照企业内部控制手册的体例架构,结合本单位经营管理目标、风险及其管控情况,编制本企业内控手册或内控实施细则。6.2 3.2境内子公司6.3 .1公司直属全职、控股子公司公司直属全资子公司,按照本指导意见视同分公司编制实施细贝L并由本企业办公会审议批准后执行。公司直属控股子公司,应参照企业内部控制手册和本指导意见,结合自身特点,按照“业务必须覆盖内部控制手册中对应的所有规定内容,权限比照分公司”的原则,制定本公司内控手册,履行内部审批程序后发布实施。3.2.2企业所属子公司企业应将所属的控股子公司(含委托代管)纳入本企业内控工作范围,原则上按照公司法将其作为独立法人
5、管理,督促其建立、健全自身内部控制制度,并定期检查其内部控制制度执行的有效性,作为本企业内控检查评价的组成部分。企业所属全资子公司(含委托代管)应视同下属分公司管理,严格执行企业内部控制手册和本企业实施细则,并与所属分公司按相同标准接受检查。3.33.3境外公司境外公司包括境外全资子公司、控股子公司及驻外机构。3.3.1境外公司应在不违反境外公司所在地法律、法规的前提下,参照企业内部控制手册的规定制定实施细则。对于新收购的境外公司,可给予相应调整的过渡期,过渡期原则上为交割日后12个月。过渡期后,境外公司应按照企业内部控制手册制定实施细则。3.3.2境外公司实施细则按管理层级报主管部门审核或备
6、案,并履行内部审批程序。3.3.3涉及重大控制活动的境外公司,原则上应在其实施细则中涵盖相关业务。重大控制活动至少应包括重大投资、财务报告、财务对账、融资、担保业务、对外捐赠及重大损失处理等。3.3.4境外公司应按照集团公司内控管理工作的要求,制定内控检查评价计划,开展内控自查测试,配合公司内外部各种检查。发现内控缺陷的,应制定整改方案及时整改,并按管理层级向主管部门提交内控检查测试结果及整改情况报告。3.3.5境外公司未经集团公司授权,不得从事股票、债券、房地产、期货、委托理财等高风险投资。3. 43.4合资、合作公司3.1.1 合资、合作公司应按照正当、合理的框架以及合理、科学、公认的原则
7、,与合资、合作方商议讨论后,参考企业内部控制手册编制内控制度。3.1.2 合资、合作公司内部控制内容不能违反合资、合作合同的相关规定,且不能与集团公司内部控制的相关要求冲突。3.1.3 合资、合作公司应开展内部控制自查测试,配合公司内外部各种检查。发现内控缺陷的,应制定整改方案及时整改,并向我方内控管理部门提交内控自查结果及整改情况报告。3.5其他说明事项3. 5.1XX工程公司、炼化工程公司、石化机械公司、油品销售公司等各专业公司,应根据本指导意见,按照企业内部控制手册的体例架构,结合自身经营管理目标、风险及其管控情况,修订或制定本公司内部控制手册,或组织下属单位修订或制定内控实施细则。4.
8、 5.2经营规模较小、业务单一、风险较低的单位,可以结合自身管控要求制定本单位的内控制度或规定等,例如可以只编制权限指弓L针对关键业务编制内控流程,也可将内控要求融入内部管理制度等。4 更新和维护4.1 14.1企业内控手册/内控实施细则,由企业内部控制管理部门负责组织更新与维护,正式发布时应当履行相应审核、审批程序。4.2 4.2企业内部控制管理部门根据总部对内控手册的更新要求和内部控制体系运行情况,通过内控管理信息系统,适时对本单位实施细则进行更新与维护。4.3 4.3对于总部对内部控制措施以及相关要求进行追加或适时调整的内容,企业内部控制管理部门应当及时下发补充、修订完善,确保本单位内部
9、控制管理体系的有效运行。4.4 4.4企业内部控制管理部门负责本单位内控手册/内控实施细则纸质及电子文档的管理,做好发放、保存等工作。5 内控管理信息系统5.1 5.1企业内部控制日常工作应当通过内控管理信息系统开展。企业内部控制管理部门须对相关人员开展培训I,确保系统正常上线运行。5.2 5.2由于自身原因不实施内控管理信息系统的企业,该企业内控管理部门应当向企改和法律部提出申请。经企改和法律部审批同意后,做好本单位内部控制制度建立健全、运行有效性自查测试工作,至少每季度将本单位内部控制工作开展情况、自查发现的问题等,报告企改和法律部。5.6 5.3新设立的单位,需填写xx内控管理信息系统上
10、线申请单,由本单位内部控制管理部门负责人审核签字、加盖单位公章后报企改和法律部。经企改和法律部审批同意,申请单位应当按照内控管理信息系统初始化相关要求,梳理本单位组织机构、人员、内控手册/实施细则等相关信息,并及时在系统中进行维护。二、2021企业内控手册编制内容简述本部分内容介绍企业如何修订内控实施细则。企业内控实施细则各部分应包括的整体内容介绍,请参照附录部分相关内容。1 控制目标控制目标源自企业目标,是设计内部控制的出发点,是决定内部控制运行方式和方向的关键。XX内部控制目标分为战略目标、经营目标、财务目标、资产安全目标及合规目标。1. 11.12021版控制目标是两级控制目标清单。 一
11、级控制目标包括战略目标、运营目标、财务目标、资产安全目标、合规目标。企业不能修改。 二级控制目标包括272个,供企业参考使用。企业在一级控制目标下,细分控制目标。1.21.2控制目标编号规则:总部控制目标清单编号中的HQT代表总部控制目标(HeadQuarterTarget)。企业的控制目标编号应以各企业名称缩写(具体参见附录9xx企业名称、简称、拼音代码对照表)为编码的起点,例如XX编码为SLYT,XX的控制目标编号规则为:SLYTT2.002.0012风险清单1.32.1风险清单内容2021版风险清单包括5个一级风险,92个二级风险,596个三级风险,供企业参考使用。1.42.2企业制定风
12、险清单2.2.12.2.1企业应根据自身制定的各层级控制目标,结合总部管理要求、以及自身业务特点、管理状况,收集风险信息,识别相关风险事件、细化分解本企业所具有的风险,形成本企业风险清单,以供制定与经营状况更加契合、有效的控制措施,将内控建设落到实处。2.2.2对发生以下变化应重新识别风险,及时补充、完善风险清单:一是外部环境变化,包括监管或经济环境变化导致企业竞争压力的增加、运营需求发生变化以及明显不同的风险(如诉讼或亏损风险极高),自然灾害对企业、供应链及其他商业合作伙伴的直接影响,导致企业增加持续经营风险。二是商业模式变化,包括改变商业模式、重大收购和资产剥离、境外业务、快速增长和新技术
13、应用。三是重大人事变动、以及人员高流动性、培训和监督缺乏等导致内控失效。2.2.3企业对于以下业务情形,应特别关注风险识别是否充分、全面,及时补充、完善风险清单。复杂程度高(需要特殊技能或培训方能执行的控制,如金融衍生品)、涉及金额大、地理位置不易管理、集中化程度低、复杂程度高的信息系统、人工控制、需要依赖判断者能力进行高度判断力的控制(如跌价准备计提)、人员的胜任能力不强或经验缺乏、管理层可能越权的风险、已知的控制失效、控制失效的可能性(即如果一项控制的失效可能是重大的,且无法被及时地识别并整改)、涉及跨专业部门的业务盲点等等。对发生偷窃或欺诈可能性大的业务,如拥有较高价值的资产(贵金属、商
14、业机密、可互换商品等)、可能为欺诈提供动机的业绩指标、流程或系统的设计漏洞导致未被授权的员工能进入系统(如付款流程),执行未授权的交易,凌驾于控制之上的管理人员、使偷窃或欺诈成为可能。2.2.4风险编号规则:总部风险清单编号中的HQR代表总部风险清单(HeadQuarterRiskRegister)。企业的风险清单编号应以各企业名称缩写为编码的起点,例如XX编码为SLYT,XX的风险编号规则为:SLYTRl.01.01.Olo1.52.3风险评估标准2.3.1 风险评估标准未做修订,具体标准参见附录2风险清单内容指导。2.3.2 企业应根据总部风险评估标准,结合本单位风险承受度,对本企业风险评
15、估标准进行修订,使之更具有可操作性。2.4企业应根据本单位风险管理工作状况,定期更新风险清单。3公司层面控制1.63.12021版公司层面控制变化情况公司层面控制包括内部环境、风险评估、信息与沟通、内部监督等相关内容。1.73.2企业如何修订公司层面控制3.2.13.2.1两分企业仍然按照一体化管理模式,编制一套公司层面控制内容,同时体现上市、未上市的控制要求。32.232.2企业可以参照总部内控手册的方式,将操作性较强、可定期测试的公司层面控制内容梳理成控制点,并放入业务层面控制中,按照流程、控制点进行日常监督和测试。3.2.33.2.3企业应依据企业内部控制手册的体例结构,梳理、记录本单位公司层面控制的内容及相关要求方面的变化,更新实施细则。4业务层面控制1.84.12021版业务层面控制业务层面控制包括内部控制矩阵/风险控制矩阵和财务报告计划矩阵。2021版企业内控手册业务层面控制包括共有46个内部控制矩阵、12个风险控制矩阵。4.1.14.1.1内部控制矩阵格式4. 1.1.1各企业应当落实企业内部控制手册,并结合本单位的年度目标、业务特点,进行全面风险识别和评估。对于新增业务、内外部环境变化较大、商业模式变化或风险敞口较大的业务,需要
免费区 