内部控制体系运行管理办法(试行)中铁 XX 局内部控制体系运行管理办法(试行)
第一章总则第一条为了加强对公司内部控制体系的运行管理,根据局的相关要求并结合公司实际,特制定本办法。第二条本办法所称内部控制是指由公司董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制体系是指为实现内部控制目标和防范风险,保证内部控制工作有效运行的组织结构、管理制度和业务流程等。第三条内部控制体系运行管理包括以下内容:
(一)内部控制体系的日常维护;
(二)内部控制体系的有效运行;
(三)内部控制体系的监督评价;
(四)内部控制体系的持续改进。所属各单位要按照公司内部控制体系的相关第四条公司各部门、要求开展各项工作,并及时反馈信息,确保内部控制体系的有效运行和持续改进。组织机构及管理管理职责第二章组织机构及管理职责监第五条公司董事会负责内部控制体系的建立健全和有效实施。事会对董事会建立与实施内部控制情况进行监督。(由公司内控审计监察部第六条公司董事会审计委员会负责审查具体负责)、监督企业内部控制体系的有效实施,开展内部控制的自我评价,协调审计单位对公司内部控制实施情况的审计及其他相关事宜。 2 由公司总经理任组长,分管内控、第七条公司设立内控领导小组,审计、财务工作的公司领导任副组长,企业发展部、内控审计监察部、财务部、董监办、公司办、人资部、市场开发部、工程部、技开部、安质部、合同部、机电部、物资部、法律事务部、宣传部、组织部、工会办、团委、行管部、社管部、试验检测中心等部门负责人任组员。领导小组负责组织领导内部控制体系的日常运行,定期听取内控工作进展情况报告,对内控体系运行中的重要事项进行决策。由公司总会计师第八条公司内控领导小组下设内控评价工作组,任组长,内控审计监察部部长任副组长,组员由内控审计监察部、财务部、企业发展部等相关部门业务管理人员组成,内控评价工作组负责全公司内控体系运行的专项监督与评价工作。主要第九条局企业发展部是内部控制体系运行的归口管理部门,职责是:
(一)负责组织内部控制体系的日常维护管理和不断改进完善;
(二)负责组织执行层面的各项管理制度、业务管理流程的评审;
(三)负责组织公司层面重大、重要风险的定期评估,建立风险库和风险事件库,并编写《全面风险管理报告》;
(四)负责组织内部控制相关知识培训;
(五)负责指导监督内部控制体系的建立和完善。第十条公司内控审计监察部是内部控制体系评价的归口管理部门。主要职责是:
(一)负责组织实施内部控制体系评价,负责内部控制评价方案的制定; 3
(二)负责开展内部控制专项监督检查工作;
(三)负责拟定年度内部控制体系评价方案,内部控制评价记录、实施证据等相关资料的收集汇总;
(四)负责组织编写《中铁 XX 局内部控制自我评价报告》。第十一条公司机关各部门、第十一各分公司是内部控制体系运行的执行机构,主要职责是:
(一)在日常经营管理活动中,负责职责范围内的管理制度、业务流程的执行,并提出改进意见和建议;
(二)结合各项业务活动和监督检查工作,开展内部控制体系的日常监督检查;
(三)负责职责范围内的业务流程及相关制度执行情况的自我监督与评价;
(四)协助参与公司内部控制评价,提供评价所需证据资料;
(五)负责职责范围内缺陷确认,并按期完成整改及监督整改;
(六)负责编写职责范围内《内部控制自我评价报告》。第十二第十二条公司各部门、分公司、项目部要确定具体的内控工作负责人,明确管理职责,开展内部控制体系运行管理工作。
第三章日常维护
第十三条内部控制体系的日常维护是从内部控制体系的设计和运行两方面,不断改进和完善内部控制体系文件、各项管理制度以及改进控制活动的过程。第十四第十四条当发生下列事项时,应修改和完善内部控制体系文件: 4
(一)国家法律法规、行业从业规定、监管部门、股份公司和局要求等发生变化;
(二)《企业内部控制基本规范》《配套指引》发生变化;、
(三)公司战略调整、业务范围、组织机构、管理职责等内部环境发生调整变化;
(四)内部控制监督评价以及外部监督发现存在缺陷;
(五)公司董事会、监事会和经理层提出要求;
(六)机关各部门在日常管理活动中发现问题;
(七)发生内部控制重大失控事件;
(八)其
他。第十五条公司各部门发现需要增加新的业务流程或某项管理制度和业务流程存在缺陷时,应及时提出改进完善意见和建议,并记录整理,同时提交局企业发展部重新发布。第十六第十六条局企业发展部负责《内控手册》的修改完善,各归口部门负责管理制度和业务流程的修改、增加并交企业发展部汇总,企业发展部应及时将修改完善后的内控体系文件发布实施。监督与评价的原则、依据、第四章监督与评价的原则、依据、内容和方法第十七第十七条内部控制体系监督是指对建立与实施内部控制的情况进行常规、持续的监督检查的过程。第十八条第十八内部控制体系评价是指从整体上对内部控制建立和实施的有效性进行全面评价,形成评价结论,出具评价报告的过程。第十九条内部控制体系监督评价应遵循以下原则:
(一)全面性原则。包括内部控制的设计与实施,涵盖公司各项业 5 务。
(二)重要性原则。在全面评价的基础上,关注重要业务单位、重要业务事项和高风险领域。
(三)客观性原则。准确提示经营管理的风险状况,如实反映内部控制设计及运行的有效性和存在的缺陷。
(四)风险导向性原则。以风险评估为基础,根据风险发生的可能性和对整体或单个控制目标造成的影响程度,确定监督评价的重点业务单元、重要业务领域或流程环节。
(五)一致性原则。采用统一可比的方法和标准,保证监督评价结果的可比性。
(六)成本效益性原则。以适当的成本实现科学有效的监督评价。第二十条内部控制体系监督评价的主要依据:二十条
(一)国家相关法律法规、《企业内部控制基本规范》及《企业内部控制评价指引》《中央企业全面风险管理指引》和以及行业从业规定、监管部门相关规定等;
(二)《中铁 XX 局内部控制手册》;
(三)公司各项管理制度;
(四)业务管理流程及说明、控制文档、风险矩阵、风险库、缺陷跟踪报告等;
(五)各项管理技术规范等其他有关规定。第二十一实现控制目标相第二十一条内部控制体系监督与评价的内容是:关的内部环境、风险评估、控制活动、信息与沟通、内部监督等要素。第二十二并综合运第二十二条内部控制监督与评价的总体方法是抽样法, 6 用个别访谈法、调查问卷法、比较分析法、专题讨论会等方法,针对业务流程,按照业务发生频率及固有风险的高低,抽样一定比例的业务样本,对业务样本的符合性进行判断,对业务流程的有效性实施监督与评价。第二十三条根据业务频次抽样量参考如下标准:第二十三序号 1 2 3 4 5 6 业务发生频率每年一次每年一次以上至每季度一次每季度一次以上至每月一次每月一次以上至每周一次每周一次以上至每天一次每天多次抽样数量不少于 1笔 2笔 4笔 12笔 20笔 30笔第五章监督实施第二十四实施本系统及职责第二十四条公司各部门按照监督工作的要求,范围内的内部控制体系运行情况日常监督,每半年形成一次本系统内部控制工作《监督情况通报》,提交公司内控审计监察部,内控审计监察部应做好相关资料和记录的收集汇总。第二十五第二十五条内部控制体系监督工作应关注:
(一)政策影响、管理薄弱、业务复杂、高危作业等重点部门、单位和项目。
(二)战略规划、重大决策、财务预算、安全质量、环境保护、海外经营、成本控制、合同管理、法律事务、项目管理、社会责任、信息化安全等高风险业务领域,不相容职权分离、反舞弊等高风险环节。
(三)重要业务流程的关键控制点的控制措施制定及执行情况。
(四)企业发展战略、组织结构、经营活动、业务流程、关键岗位 7 等发生较大调整或变化,风险评估结果等。第六章评价实施第二十六于每第二十六条公司内部控制体系评价通常情况每年进行一次,年 12 月 10 日前完成对本年度内部控制体系的评价。第二十七条内部评价基本程序是:制定评价工作方案,组成评价第二十七工作组,收集整理监督资料,实施评价和提出初步缺陷意见,召开评价会议,缺陷认定,汇总评价结果,编写、审批《自我评价报告》等。第二十八条公司内部控制评价工作组在内控领导小组的领导下,开展内部控制体系专项监督与评价工作。第二十九条评价工作组结合监督工作情况,依据第二十二条的规定抽查内部控制运行相关资料,必要时进行现场测试或要求提供补充资料。判断内部控制的设计与运行是否有效,并按照《中铁 XX 局内部控制评价基本评分标准》(附件 1)进行综合评分。评价的结果纳入公司绩效考核。第三十条评价内部控制有效性,应当充分考虑下列因素:
(一)是否针对重大、
重要风险设置了合理的细化控制目标;
(二)是否针对细化控制目标设置了对应的控制流程;
(三)相关控制活动是否有效运行;
(四)相关控制活动是否得到了持续改进;
(五)实施相关控制活动的人员是否具备必需的权限和能力等。第三十一条公司内控审计监察部于每年 12 月 5 前组织召开内部控制评价会议,公司内控体系领导小组成员,各部门负责人及工作组成员参加会议。会议主要议程: 8
(一)听取各部门内部控制体系运行及监督情况汇报;
(二)听取公司内部控制评价情况的汇报;
(三)讨论确认存在的缺陷;
(四)对存在的缺陷整改提出措施、落实责任、明确整改时限等。第三十二条公司内控审计监察部根据年度监督评价结果,第三十二组织编写《中铁 XX 局内部控制自我评价报告》,并提交公司总经理办公会和董事会审议,经董事会审批后,于每年 12 月 10 日前上报股份公司审计部。第三十三第三十三条内部控制评价以每年的 11 月 30 日为评价基准日。
第七章缺陷认定
第三十四条内部控制缺陷发现以监督为主,评价发现为辅。内部控制缺陷分为财务报告和非财务报告缺陷,包括设计缺陷、运行缺陷。分为重大缺陷、重要缺陷和一般缺陷。缺陷认定一般标准见附件 2。
第三十五条内部控制缺陷认定实行逐级审批确认。一般缺陷由公司各部门在监督工作过程中确认;重要缺陷和重大缺陷由内部控制评价工作组复核讨论并提出意见,重要缺陷报公司内控领导小组研究并确认;重大缺陷提交公司董事会审议确认。
第三十六条公司内控审计监察部负责对已确认缺陷汇总、统计、分析,提出整改意见和建议,经分管领导批准,通报全公司。
第三十七条公司各部门、分公司应对确认的缺陷拟定整改计划和方案,明确负责人和相关人员,规定整改时限,做好整改及监督整改工作。并将整改结果及时反馈公司内控审计监察部,必要时评价工作组对整改情况进行抽查,跟踪整改。
第八章奖罚
第三十八条内控评价工作组根据内部控制评价结果定期对各部门、分公司内控体系的建立与运行情况进行通报。对得分较高的部门和单位予以表扬,对较差的部门和单位提出批评,对存在的缺陷要求限期整改。并将评价结果纳入各部门、各单位的年度绩效考核。凡外部审计中发现重大缺陷,由相关部门和单位的负责人负领导责任,公司将对相关部门和单位的负责人给予相应处罚。第九章附则自第三十九条本办法自公司内控体系文件审议通过之日起生效,发布之日起执行,同时报股份公司备案。第四十条本办法由局企业发展部负责解释。 10 附件 1: 中铁 XX 局内部控制评价基本评分标准评价项目及权重分项权重分值评价标准评分原则建立了以部门(或各单位)主要负责人为第一责任人的内控体系,设置了部门(或单位)的内部控制协调人,并参与内部控制管理的 5 相关工作,编写了职责范围内的《内部控制内部控制体系管理情况内部控制设计合理性评价(30 分)对流程/业务进行抽样评价, 10 按照违规率评分: 5% (含)以下,得分 80% (含)以上; 5%(不含)~10%(含),得分 50%(含)~80%(不含);结合内外部环境等变化,对本单位或本部门的制度与流程进行了及时更新和维护。 10%(不含)~20%(含),得 5 分 50%(不含)以下; 20%(不含)以上,得分 0。执行有效性评价风险管理情况定期或不定期组织开展了系统的风险评估 20 工作,识别了重大、重要风险,建立了风险 5 库,评估结果客观、真实。 11 自我评价报告》。 10 每出现 1 个未达标部门/单位,扣 1 分。尚未建立内部控制体系,此项得分为 0。部门及岗位的内部控制责任明确,岗位人员及权责设置合理 5 本单位、本部门各项业务管理活动,都有明确的制度规定,管理职责到位。工作流程有清晰的描述,制定了规范的业务业务管理体系 20 情况流程,并识别了关键控制点,明确了控制措 5 施。每出现 1 个未达标业务, 1 扣分,扣完为止。评价项目及权重(70 分)分项权重评价标准分值评分原则把重大风险与业务流程关键控制点对接,有效执行重大、重要风险控制措施,重大、重 5 要风险可控。
定期收集风险事件和损失事件,对本部门或归口管理业务领域内发生的重大风险事件,建立风险事件库,及时向领导及相关部门沟通。重大风险控制措施实施有效,避免重大风险损失、重大违规事件的发生。对发生的重大事件,及时采取应急控制措施,有效控制事 5 态恶化,并针对类似事件,组织制定了应急预案。 5 每发生一次重大风险损失事件或重大违规事件扣 10 分。未采取措施扣 3 分,未制定预案扣 2 分。对流程进行抽样检查,按照违规率评分:根据本单位的业务流程及控制措施,在业务流程执行情况 40 管理活动中,严格执行业务流程,确保各项管理制度有效落实,管理权限有效执行,管理程序符合规定。 40 5% (含)以下,得分 80% (含); 5%(不含)~10%(含),得分 50%(含)~80%(不含); 10%(不含)~20%(含),得分 50%(不含)以下; 20%(不含)以上,得分 0。缺陷整改情况 10 对审计、监督和评价中发现的缺陷,严格按规定的程序进行整改,整改效果符合要求。 10 整改效果未达到要求扣 3 分,未按要求实施整改扣 5 分。评价等级等级得分 A级 85-100 分 B级 60-84 分 C级 59 以下注:按照上述对被评价部门和单位的相关项目进行评价打分加总,分为 “A、B、C”三档,纳入业绩考核。 12 附件2:中铁 XX 局内部控制缺陷认定一般标准
一、财务报告缺陷的认定 1.当内部控制缺陷造成的财务报告的潜在错报金额能够可靠的估算时,重大缺陷、重要缺陷、一般缺陷可以根据内部控制缺陷对当期财务报表的影响来判定。一般缺陷:由于内部控制缺陷导致影响了财务报告的真实性,程度很小。重要缺陷:由于内部控制缺陷导致较大程度影响了财务报告的真实性。重大缺陷:由于内部控制缺陷导致严重影响了财务报告的真实性,造成被监管机构处罚。
二、非财务报告缺陷的认定非财务报告内部控制缺陷是指流程操作步骤、控制环节的设计、不执行或执行偏差,但不构成财务报表出现潜在的错报。缺陷认定应关注缺陷对业务流程有效性的影响程度、发生的可能性、效率和效果方面所受到的负面影响程度来判定。缺陷认定等级发生的可能性重大缺陷重要缺陷一般缺陷 ` 13 负面影响程度严重降低工作效率或效果、或严重加大效果的不确定性、或使之严重偏离预期目标显著降低工作效率或效果、或显著加大效果的不确定性、或使之显著偏离预期目标降低工作效率或效果、或加大效果的不确定性、或使之偏离预期目标高较高中等
