周海刚

（昆明盘江置业有限公司，云南 昆明 650000）

一、总则

（一）背景

为完善公司内部控制制度体系，强化企业内部管理，建立健全公司自我牵制机制，加快公司内部控制建设步伐，保障公司经营战略目标的高品质的实现，根据公司的《公司章程》、新的《会计法》、《会计准则》、五部委印发的《企业内部控制基本规范》制定本制度。

内部控制是指公司董事会、经理层及所有员工共同实施的，为了确保公司经营方针和目标以及各项经济活动的效率和效果，确保财务报告的可靠性，保护资产的安全、完整，防范、规避经营风险，防止欺诈和舞弊，确保有关法律法规和规章制度贯彻执行等而制定和实施的一系列具有控制职能的业务操作程序、管理方法与控制措施的总称。

（二）建立健全内部控制制度的目标

建立和完善符合实际企业制度所需要的内部组织结构，形成科学决策、执行和监督机制，逐步实现权责明确、和超前的科学管理。

公司通过对各部门内部控制的检查，达到相互联系相互制约的目的，防止和纠正违纪行为。保证国家法律、公司内部规章制度及公司经营方针的贯彻落实。

建立健全全面预算制度，使公司全部部门、人员形成一系列的预算控制体系。

保证公司所有被授权业务活动，均按授权权限进行，促使公司的经营管理活动有理、有序、协调发展。

保证对公司资产的变化，及时记录、跟踪，防止资产毁损、浪费、盗窃并降低减值损失，确保公司资产的安全、完整。

保证公司全部经济事项和数据真实、完整地反映，反映的会计报告符合《会计法》《企业会计准则》等一系列有关规定。

严格按照公司《财产盘点管理制度》按时盘点、账面资产和实物资产核对相符，对出现的错误和误差，查找原因，及时纠正，防止舞弊。

（三）建立内控制度的考虑要点

公司内部控制涵盖公司经营管理的各个层级、各个方面和各个业务环节，建立合理合法的内部控制制度，应考虑以下几个要点：

内部环境：是指影响公司内部控制制度制定、运行、制约及其效果的各种综合因素，是实施内部控制的基础。内部环境主要包括公司组织结构、企业文化、风险理念、经营风格、人力资源管理政策、内部审计机构的设置、反舞弊的机制等。

目标设定：是指公司管理层的经营战略方针根据市场风险的变化设定公司的战略目标、年度计划，并且在公司各个层面上进行分解和落实。

事项识别：是指公司经理层对影响公司目标实现的内、外事件进行识别和判断，鉴别风险和机会，分清优势和劣势，为决策提供有力支持。

风险评估：公司风险评估是公司管理层对影响其目标实现的内外各种风险进行分析，辨别其可能性和影响程度，并采取应对策略的全部过程，是实施内部控制的重要环节。

风险：是指对实现公司目标可能产生的不确定的因素。主要包括：经济形式的变化、产业政策的调整、资源供给的贫乏，利率和汇率的调整、融资环境的变化、债务风险、市场竞争、行业竞争等一系列的经济因素。还有一些自然形成的因素：如自然灾害、技术、工艺的改进提高、电子商务的介入等，另外还有来自于公司内部的风险，如：机构不健全，制度不完备造成决策的随意性、执行缺少监督，工作完成没有检查都将是我们公司将来发展壮大不可忽视的风险。本次内控体系建设主要是针对来自于公司内部风险的防范，从而达到抵御来自外部风险的目的。

风险对策：公司管理层按照公司的风险特征、实际情况和公司对于内外风险的承受程度，采取规避、降低、转移或接受的风险应对方式，以及所制定的相应的风险控制措施。

控制活动：公司管理层为确保风险对策的有效执行和落实，所采取的一系列的措施和程序。控制措施要结合公司具体业务和事项的特点与要求制定，主要包括：职责分工控制、授权控制、审核批准控制、预算控制、生产成本的控制、检验、复核、定期盘点、记录核对、资金控制、财产保护控制，绩效考核制度、信息披露控制、产品技术控制等内容。

信息与沟通：信息沟通是指识别、采集来自于公司内部和外部的相关信息，并将信息以适当允许的方式在公司有关层、级之间进行传递、有效沟通和正确应用的全部过程，是实施内部控制的重要先提条件。信息沟通主要有信息的收集机制及在公司内部与外部有关方面的沟通机制等。

检查监督：是指审计部门根据公司的内部控制制度要求，检查公司内部控制效果，对其进行监督、评价的全过程。对内部控制的健全性、合理性、有效性进行监督检查和评估，将评估结果及处理意见形成书面报告，是保证内部控制制度顺利、有效实施的一种重要手段。监督检查主要通过持续性监督活动、专项监督评价或者两者结合进行，对内控制度存在的纰漏，提出相应的具有针对性的改进措施和解决办法等。

（四）遵循的基本原则

合法性原则。内部控制制度应当符合地方法律、行政法规的规定和有关政府监管部门对上市公司的监管要求。

全面性原则。内部控制在层次上应当涵盖公司董事会、管理层和全体员工，具体体现在公司各项业务和管理活动，从各流程中体现出决策、执行、监督、反馈等控制环节，避免内部控制出现空挡和漏洞。

重要性原则。内部控制在全面控制的基础上，还要突出重点控制，针对高风险领域和环节发生的业务与事项，制定更为严谨的控制措施，确保不存在重大缺陷和漏洞。

有效性原则。内部控制应当为内部控制目标的顺利实现，提供较合理的保证，公司全体员工应当自觉维护内部控制制度的有效执行，对已经建立和正在实施中的内部控制制度中仍存在的问题应当及时解决和处理。

制衡性原则。公司的机构、岗位设置和权责分配应当科学合理并要适应内部控制的基本要求，保证各部门、岗位之间权责分明，达到相互制约、相互监督的效果。

适应性原则。内部控制的合理制定，应该具体体现公司的经营规模、业务范围、业务特点、风险情况以及具体环境等方面要求，并随着公司外部环境的变化、经营业务的调整和变化，管理要求的变化等不断地对其进行改进和完善。

成本效益原则。在建立和实施内部控制时，公司应考虑内部控制的成本与效益问题，在可能获得的收益与不设置相应控制可能产生的损失之间做出理性的判断，进行权衡和取舍，争取以低成本获得高效益的有效控制。

二、内部环境

（一）概述

内部环境是企业实施内部控制的基础，支配着企业全体员工的内控意识，影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。

内部环境主要包括组织架构、发展战略、人力资源、企业文化和社会责任等。

（二）关注要点

1.组织架构。组织架构是企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

企业要实施发展战略，必须要有科学的组织架构，主要包括治理结构和内部机构设置。如果内部机构设计不科学，权责分配不合理，也可能导致机构重叠、职能交叉或缺失，运行效率低下。

2.发展战略。发展战略是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的长远发展目标与战略规划。企业作为市场经济的主体，要想求得长期生存和持续发展，关键在于制定并有效实施适应外部环境变化和自身实际情况的发展战略。

企业如果缺乏明确的发展战略或发展战略实施不到位，会导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力；企业发展战略过于激进，脱离企业实际能力或偏离主业，会导致过度扩张、经营失控甚至失败；企业发展战略频繁变动，会导致资源严重浪费，最后危及企业的生存和持续发展。

3.人力资源。人力资源是指企业组织生产经营活动而录（任）用的各种人员，包括董事、监事、高级管理人员和全体员工。现代企业竞争的关键在于人力资源的竞争。人力资源对实现企业发展战略起到重要的智力支持作用，实现人力资源的合理配置，可以全面提升企业核心竞争力。

如果人力资源缺乏或过剩、结构不合理、开发机制不健全，企业发展战略可能难以实现；如果人力资源激励约束制度不合理、关键岗位人员管理不完善，则可能导致人才流失、经营效率低下；而如果人力资源退出机制不当，又可能导致法律诉讼或企业声誉受损。

三、控制措施

（一）组织架构

一是企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。同时强调，企业的重大决策、重大事项、重要人事任免及大额资金支付业务等（即“三重一大”），应当按照规定的权限和程序实行集体决策审批或者联签制度；任何个人不得单独进行决策或者擅自改变集体决策意见。二是企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。三是企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。四是企业拥有子公司的，应当建立科学的投资管控制度，通过合法有效的形式履行出资人职责、维护出资人权益，重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。

（二）发展战略

一是要求企业健全组织机构，在董事会下设立战略委员会，或指定相关机构负责发展战略管理工作。同时，对战略委员会的成员素质、工作规范也提出了相应要求。二是明确要求企业应在充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标，而不是靠拍脑袋，盲目制定发展战略。在制定目标过程中，应综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素。三是强调战略规划应当根据发展目标制定，明确发展的阶段性和发展程度，确每个发展阶段的具体目标、工作任务和实施路径。四是要求董事会从全局性、长期性和可行性等维度，严格审议战略委员会提交的发展战略方案，之后再报经股东（大）会批准实施。五是从抓实施的角度，要求企业根据发展战略，制定年度工作计划，编制全面预算，将年度目标分解、落实，确保发展战略有效实施。六是设立发展战略实施后评估制度，要求战略委员会加强对发展战略实施情况的监控，定期收集和分析相关信息。

（三）人力资源

一是企业应当根据人力资源总体规划，结合生产经营实际需要，制定年度人力资源需求计划。也就是，人力资源要符合发展战略需要，符合生产经营对人力资源的需求，尽可能做到“不缺人手，也不养闲人”。二是企业应当根据人力资源能力框架要求，明确各岗位的职责权限、任职条件和工作要求，通过公开招聘、竞争上岗等多种方式选聘优秀人才。这项要求实际上意在强调，企业要选合适的人，要按公开、严格的程序去选人，防止“人情招聘”、暗箱操作。三是企业确定选聘人员后，应当依法签订劳动合同，建立劳动用工关系；已选聘人员要进行试用和岗前培训，试用期满考核合格后，方可正式上岗。四是企业应当建立和完善人力资源的激励约束机制，设置科学的业绩考核指标体系，对各级管理人员和全体员工进行严格考核与评价，并制定与业绩考核挂钩的薪酬制度。如何留住引进来的优秀人才，对企业至关重要。五是企业应当建立健全员工退出（辞职、解除劳动合同、退休等）机制，明确退出的条件和程序，确保员工退出机制得到有效实施。

四、内部监督

（一）日常监督

公司应以重大风险、重大事件、重要管理及业务流程为重点，对内控体系有效性进行监督检查，并对内部控制体系维护的方法、建设标准的变更、监督与考评工作等进行规范，以保证内部控制体系安全、稳健、有效运行。

1.获得内部控制执行的证据。获得内部控制执行的证据是指企业在日常经营管理活动中，取得必要的、相关的证据以证明内部控制体系发挥功能的程度，主要措施包括：

第一，公司管理层通过总经理办公会、经营例会等形式，收集汇总各部门的信息，监督各方面工作的进展。总部机关、子公司通过经营分析等形式，汇集各方面信息，分析异常变动的原因，使潜在问题得到反映，从而对经营效果和财务报表质量进行监控。

第二，总经理和总会计师签署年度报告确认其实施和维护内部控制程序的责任；同时，子公司负责人和财务负责人对财务数据的准确性签署声明。

第三，各单位对内部控制执行情况开展测试和评价，每年至少检查一次。各单位内控与风险管理部门牵头组织本单位综合检查组，依据公司的相关要求具体开展测试工作，并在测试以及评价工作结束后，对本单位内部控制的有效性发表声明。

第四，内控与风险管理部门每年根据风险导向，对测试范围进行确认，并随时对新增业务单位以及发生业务变化导致重要性改变的业务单位进行跟进确认。定期或不定期组织开展公司内部控制测试和综合评价工作。

第五，审计、监察部门制定相关制度办法，通过审计、纪检监察信访机制、效能监察等工作，加强内部控制的持续监督。

2.外部反映对内部信息的印证。外部反映对内部信息的印证是指来自外部关联方的信息支持内部生成的信息或反映内部问题，主要措施包括：

第一，公司接受外部监管者的检查监督，及时获取反馈信息，汇总、分析检查意见，制订整改措施并检查各项措施的执行情况。

第二，公司通过召开客户座谈会、检查客户的投诉记录、走访客户以及向客户公布企业监督单位的联系方式等措施，收集客户对企业的意见和建议，制定相应的政策并监督检查整改措施的执行情况。

第三，公司与外部单位进行往来账项的函证，并对结果进行分析处理。

3.会计记录和实物资产的定期核对。会计记录和实物资产的定期核对是指定期将信息系统所记录的数据与实物资产相比较，主要措施包括：

第一，公司制定相关实物资产的管理办法，明确定期盘点的具体要求。

第二，各单位根据上述办法制定实施细则，定期对固定资产、存货、现金、票据和有价证券等进行盘点，做到账账、账实相符。

4.内外部审计建议的响应。内外部审计建议的响应是指管理层对内外部审计师提出的加强内部控制的建议所做出的反应，主要措施包括：

第一，公司管理层对内部审计提出的管理建议通过召开会议、委派调查小组等方式对缺陷进行调查、分析，并采取相应的纠正措施。

第二，管理部门的责任是对重要的审计结果采取的适当改进措施作出决定。被审计单位或被审计责任人应将执行审计决定情况及时书面反馈审计机构。

第三，被审计单位若对审计报告有异议且无法协调时，应当将审计报告与被审计单位意见一并报企业主要负责人协调处理。

5.管理层及有关部门获知内部控制的程度。管理层及有关部门获知内部控制的程度是指管理层及有关部门通过培训、会议等方式从基层了解到控制实施情况及控制缺陷的反馈情况，主要措施包括：

第一，管理层在会议或培训中询问内部控制执行情况，对员工提出的问题进行总结并提出改进措施。

第二，管理层对企业员工提出的合理化建议予以重视，并不断完善员工合理化建议机制，明确相应的责任部门、范围、征集方式、评审办法、奖励措施等内容。

第三，监察部门负责受理来自于公司内、外部对违规行为的举报，并进行调查处理；每年组织调研和专项检查，调研主要针对公司管理人员廉洁从业状况、管理制度的落实状况、管理的效果、存在的问题，并向管理层提出管理建议；对质量、效果、效率和效益等情况开展的效能监察、针对上级机关（部门）、上级领导有明确批示的直接核查的信访事件和案件检查都属于专门检查的范畴。

6.定期询问员工。定期询问员工是指定期要求员工明确说明他们是否理解并遵守了行为规范、道德准则，以及是否开展了控制活动，主要措施包括：

第一，公司制定《XX公司高级管理人员职业道德规范》和《XX公司员工职业道德规范》，以书面形式下发，要求以培训等方式进行宣贯。同时，公司每年组织高级管理人员签订《职业道德规范确认书》。新加入公司的员工上岗前的教育包括公司职业道德规范的内容。监察部门和人事部门根据企业管理层的授权对企业员工遵守职业道德规范的情况进行监督。

第二，公司确立重要业务流程及对应的控制措施，各单位在日常工作中，就本单位员工是否执行了控制活动进行自我监督检查。

（二）专项监督

专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。

五、管理措施

根据风险评估的结果，针对主要风险，进行控制差异分析，统一规范控制设计，完善风险控制管理措施，梳理健全管理制度。

以业务流程为载体，结合公司管理职责和规章制度，将风险和控制落实到具体业务工作中，确保责任落实执行到位，增强企业管理控制能力。

（一）业务流程

业务流程是按照业务流程架构，遵循业务运行实际，结合风险控制要求，描述业务工作步骤，实现业务管理程序化的过程。业务流程描述的内容包括：业务流程名称编码和起止点、必备的步骤、业务风险点、控制要求，以及对应的组织机构和岗位。业务流程采用业务流程架构统一的名称编码和起止点进行描述。

业务流程必备的步骤依据风险和控制要求对必须执行的业务操作进行描述；业务风险点依据风险数据库进行描述。

控制要求依据控制文档进行描述；业务流程涉及的组织机构和岗位，依据人事部门确定的机构、岗位名称和岗位职责进行描述。

依据业务流程架构，结合现阶段风险控制要求，确定了公司主要业务流程目录，用以界定公司内控体系建设范围。

（二）控制设计

1.手工控制。为了保证公司识别的风险得到有效的控制，公司根据业务流程架构和风险数据库编制了风险控制文档，风险控制文档用于确认、记录每个流程及每个步骤中存在的风险和已建立的控制，并与相应的制度和控制实施证据相对应。编制风险控制文档的一般过程如下：

第一，根据现状描述流程，建立风险控制文档风险控制文档。描述流程，对业务流程进行风险控制分析，制定风险控制文档模板，编制风险控制文档，对控制的合理性、完整性进行分析。

第二，差异分析。公司通过建立风险控制文档查找差异并进行分析，对现有控制管理措施的差异和不足进行补充和完善，以达到防范风险的目的；同时还为公司进一步补充、修订制度提供了依据。公司从加强制度建设入手，针对管理上的漏洞和死角，及时建立和完善相关规章制度，用制度规范各项管理工作。

2.自动控制。针对控制目标，对于相关在用自动控制系统设计并建立了控制规范。

[1]中华人民共和国财政部新的《会计法》、《会计准则》、《公司章程》、《企业内部控制基本规范》.