第一篇:2013年公司内部控制评价工作推进方案z 2
2013年公司内部控制评价工作推进方案
按照国家监管部门要求及公司内控规范总体工作进度安排,公司决定从2013年9月开始开展内部控制自我评价工作。
一、工作目标
按照《内控评价指引》及监管要求,通过现场测试,识别控制缺陷,落实整改计划,从而保证公司内部控制设计及执行的有效性。
二、评价原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖本单位及其所属单位的各种业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
三、评价范围及内容
范围:公司本部及其所属分公司、子公司,纳入各单位《内控手册》中的全部业务流程。
内容:包括内部控制的五要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。
四、评价工作机构
本次内控自评价工作由内部控制规范工作办公室统一组织、分层实施。法律审计部作为牵头实施部门,负责自评价工作组织、协调、监督及复核工作。各产业链及未纳入产业链的分、子公司分别成立本单位的内控评价工作组,作为评价工作的执行机构,组织开展管理范围内各单位的内控评价工作。
五、工作安排
根据我公司目前的内控工作现状,本次内控评价结合中天运事务所内控预审同步开展,参照其内控审计的方法进行抽样、测试、评价,并由中天运事务所给与一定的业务指导。
本部评价工作:由财务、人力、生产、质量等相关职能部门各抽调一人组成评价小组,开展本部的内控评价工作;
产业链评价工作:由产业链组成评价小组,本着内部交叉评价的原则,负责本产业链所属单位的内控评价工作;
未纳入产业链的分、子公司:由各单位组成评价小组,开展本单位的内控评价工作。
六、工作要求
1、各职能部门、产业链及未纳入产业链的分、子公司务必在中天运事务所内控预审进点前完成本单位的《内控手册》修订工作,《内控手册》是各单位开展内控评价的主要依据;
2、各产业链及未纳入产业链的分、子公司要尽快成立内控评价工作组,职能部门指定一名内控评价人员。评价工作组成员应至少三人,由本单位熟悉业务流程的骨干人员担任,组长由本单位负责人或内控工作负责人担任,评价工作组成员对本部门的内部控制评价工作应当实行回避制度。
请各单位务必于18日下午18:00前将本单位内控工作负责人及联系人名单、评价工作组成员名单或指定人员名单及联系方式发至法律审计部****邮箱(格式见附件一),联系电话:*****。
3、各单位在评价过程中要做好记录,规范编写《内控测试工作底稿》,详细记录本单位执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等,以备检查;发现的内控缺陷,要填写《控制缺陷及整改跟踪表》,制定整改计划,及时完善,确保内控体系持续有效;各单位在本次内控评价工作结束后要形成《内控评价工作总结》,连同《内控测试工作底稿》及《控制缺陷及整改跟踪表》一起上报法律审计部。
4、各单位要积极配合******的内控预审工作,按要求准备好审计所需资料(见附件2);
各单位内控自评价结果是编制公司《内部控制自我评价报告》的重要依据,各单位主要负责人是本单位内控自评价的“第一责任人”,对本单位的内控规范工作负责。各单位要高度重视,认真组织,客观评价,实事求是地揭示和报告问题,确保工作的进度和质量。各单位的工作情况将纳入领导班子季度经济责任制考核。
内控规范工作办公室 2013年9月18日
附件1:
内部控制工作人员及评价工作组成员信息
单位:华药玻璃分公司
附件2:
本次审计的内容、范围及企业需提供资料
一、主要内容包括内部控制审计和2013年年报审计预审。
二、范围:所有包含在2013年度华药股份有限公司合并报表范围的分、子、孙公司。
三、审计期间:2013年1月1日至2013年8月31日。
四、进点前需企业事先准备好的资料
1、企业的组织结构图,包括职能部门设置;
2、公司章程;
3、岗位流程图,包括各岗位的职责分工及主要联系人、联系方式等;
4、系统的整理成册的内部控制制度(提供电子版和纸质的);
5、重大事项的领导决策文件(董事会决议及会议纪要、总经理办公会决议及会议纪要);
6、2013年的年度预算及下达的经营指标;
7、2013年8月31日的财务报表、2013年1-8月账簿及会计凭证等;
8、借款合同、担保合同、抵押合同等;
9、针对具体审计工作需企业提供的其它文件资料。
10、各产业链管理模式的介绍
要求:所有提供的资料一定是现在正在执行的最新文件,如果是新修订还未执行的要予以说明;
第二篇:岷江水电公司内部控制自我评价方案
内部控制自我评价工作方案
根据财政部、证监会《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》(财办会[2012]30号)的要求,为了保障合规、有序、高效地开展内部控制评价工作,依据《企业内部控制基本规范》、《企业内部控制配套指引》、《企业内部控制评价指引》、四川岷江水利电力股份有限公司内部控制手册》 及公司重要管理规章制度,特制定本工作方案。
一、内控评价工作内容及范围
内控评价的内容包括内部控制的五要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。
公司各部门评价的重点为:
内控评价的范围:公司本部及其分公司、子公司。
二、内控评价工作组织领导
1、内控评价领导小组
(涉及董事会、监事会、审计委员会、总经理)
2、内控评价工作小组
(涉及审计部门、其他职能部门)
三、内控评价时间进度安排
1、公司各部门、分子公司自查时间:
2、评价小组对各部门的评价时间:
3、评价小组对各分子公司的评价抽查时间:
4、汇总内控缺陷,出具内控报告时间:
四、内控评价的实施
1、期中评价,查找缺陷
(1)内控评价小组前期工作(2012年月完成)
1)从公司环境层面了解、分析内部控制整体风险;
2)从企业层面控制了解、分析内部控制风险;
3)识别风险业务领域及重要组成部分;
4)起草评价方案,报经批准后,组织实施内控评价。
该阶段形成以下工作底稿:
1)组织架构、发展战略、人力资源、社会责任、公司文化的调查底稿;
2)内控评价工作方案。
(2)各单位自评
各单位评价小组成员召集本单位业务骨干,主持本单位内控评价,实现内控评价全覆盖,完善以下工作:
1)全面分析本单位相关的内部控制,完成《内部控制调查问卷》(详参考格式)的填写,由评价人员签字确认。
2)全面梳理本单位内部控制手册,比照本单位内部控制制度,对内部控制手册中不完善的地方进行修正。
3)查找并分析本单位相关业务及管理主要风险,补充完善流程图、风险清单、《风险矩阵》。
4)编写本单位的《内控评价报告》,评价人员与单位负责人共同确认的内控缺陷、评价员确认而单位负责人未确认的内控缺陷,应在《内控评价报告》中分别反映,若不存在该种情形,也应明确说明“无兼职评价确认而单位负责人未确认的内控缺陷”,《内控评价报告》由评价人员、单位负责人签字确认。
5)各分子公司内控评价牵头部门负责汇总本公司内控评价,其中,牵头部门组织相关人员共同完成《内控评价问卷调查表》、《内控评价报告》的撰写,各部门进一步完善本部门相关的流程图、风险清单、《风险矩阵》,牵头部门在此基础上汇总整理本公司的流程图、风险清单、《风险矩阵》
(3)内控评价小组复查
内控评价小组对各单位报送的《内控评价报告》及《风险矩阵》、《内控评价问卷调查表》进行分析;按风险导向思路,本着重要性原则,选择样本单位、重点流程进行复查,并建立以下底稿:
1)内部控制缺陷认定汇总表
2)流程图、风险矩阵、风险清单
3)公司层面内部控制环境评价工作表
4)流程自我评价工作表
5)内控流程自我评价工作底稿以及设计有效性测试(穿行测试)底稿、运行有效性测试(控制测试)底稿
2、内控缺陷整改
(1)内控缺陷确认标准:详见《内部控制缺陷认定标准》
(2)内控缺陷的确认程序
1)各单位自评缺陷:评价人员初步判断,报单位负责人确认,将形成的一致意见和不同意见在《内控评价报告》中反映,报内控评价小组。
2)内控评价小组复查新增的内控缺陷:评价人员初步判断,征求缺陷所在单位相关人员意见后,评价小组讨论形成初步意见,报缺陷所在单位负责人确认。
3)内控评价小组汇总整理的内控缺陷:各单位负责人认可的内控缺陷,单位负责人召集相关人员讨论确定整改措施,评价小组对整改措施能否消除缺陷予以确认;单位负责人未确认的内控缺陷,评价小组应与缺陷所在单位的直接上级讨论确定;内控评价小组对股份公司管理层不予确认的缺陷,若内控评价小组认为属于重要或重大缺陷,应直接向董事会报告,由董事会裁定。
(3)内控缺陷的整改
须整改的内控缺陷,由缺陷所在单位整改,由内控评价工作小组进行追踪,以确保相关单位采用适当措施进行改进。
3、监控缺陷整改后的运行情况
内控评价小组跟踪、检查缺陷整改进度,确保整改后在2012年12月31日前最低运行次数不少于2次,因有的业务一年只发生4次(如按季公告的财务报表),故应在9月底以前完成缺陷整改;收集整改后的运行证据,确保缺陷已消除。
4、期末评价,出具评价报告
主要采用后推程序进行内控评价,即,期中测试运行有效的内部控制,到期末仍未发生变化,不再测试,重点关注、测试发生变化的内部控制和新增业务的内部控制。
内控评价小组起草公司的《内部控制自我评价报告》,经总经理办公会审议后,报董事会审批。
五、费用预算
本次内控评价,公司抽调相关专业人员组成评价小组开展内控评价工作,拟不聘请外部机构,故评价费用不计算评价人员的薪酬,只计算评价人员的差旅费,预计万元。
六、内控评价底稿
出具内控评价报告后,内控评价小组在个月内将内控评价底稿装订成册并归档,审计部保管年,年以后交公司档案室,保存期限10年。
本方案经董事会审批后执行。
2012年10月30日
第三篇:东方宾馆公司内部控制自我评价报告
公司内部控制自我评价报告
一、内部控制总体情况
(一)公司内部控制的组织架构
公司严格按照《公司法》、《证券法》和中国证监会、深圳证券交易所 有关法律法规规定的要求,不断完善和规范公司内部控制的组织架构,确 保公司股东大会、董事会、监事会等机构的规范有效运作,维护了广大投 资者利益。
目前,公司内部控制的组织架构为:
1.公司股东大会是公司的最高权力机构,能够确保所有股东,特别是 中小股东享有平等地位,确保所有股东能够充分行使自己的权利;
2.公司董事会是公司的决策机构,负责建立与完善内部控制系统,监 督内部控制制度的执行情况;
3.公司监事会是公司的监督机构,对董事、全体高级管理人员的行为 及公司的财务状况进行监督及检查;
4.董事会下设战略委员会、提名委员会、审计委员会、薪酬与考核委 员会等四个专业委员会,所有委员会按各自的职能分工合作;
5.公司管理层负责内部控制制度的具体制定和有效执行。
(二)公司内部控制制度建设情况
公司上市以来,按照《公司法》、《证券法》、《上市公司治理准则》等 法律法规的要求,制定了《公司章程》、《股东大会议事规则》、《董事会议 事规则》、《监事会议事规则》、《总经理工作细则》、《独立董事制度》、《内 部控制制度》、《信息披露管理制度》、《接待与推广制度》、《独立董事年报 工作制度》、《审计委员会年报工作规程》等各项内控制度。在《公司章程》 中明确的规定了股东大会、董事会、监事会、经理层等各自的权利和义务,并在实际工作中严格执行。
公司建立了较为完整的内部组织框架。公司内部管理制度主要包括: 三会制度、投资经营管理制度、行政管理制度、人力资源制度、财务管理 制度、薪金考评制度、法务管理制度、消防安全管理制度。上述管理制度 均包含多项内容和具体实施细则,已经由公司各相关部门得到有效地贯彻 执行。
(三)公司内审部门的设立,人员配备及开展内控工作的主要情况 根据证监会相关要求,公司设立专门的内部审计机构,配备一位内审 员,在董事会审计委员会的领导下,负责对公司及控股参股公司的经营活 动和内部控制进行独立的审计监督。公司还制定了《内部审计制度》,按 相关制度开展公司内部审计工作。
(四)公司2009 内部控制的重要活动
根据广东证监局《关于进一步深入开展上市公司治理专项活动有关工 作的通知》(广东证监[2009]99 号)的有关要求,我公司严格按通知要求 对2007 以来公司治理工作的各项情况再次进行了深入的自查。经自查发现我公司于2006 年向控股股东广州市东方酒店集团有限公 司收购广州市东方汽车有限公司(下称东方汽车)45%的股权尚未完成工 商变更登记。发现问题后,我公司立刻积极开展工作,与相关部门联系,了解东方汽车变更登记的办理程序,并积极准备各项资料,推进变更登记
工作。2009 年10 月19 日,广州市工商局就变更登记事宜出具了《公司变 更(备案)记录》,我公司关于公司治理的整改项目已全部整改完成。
(五)公司内部控制情况的总体评价
公司已结合自身经营特点,制定了一系列内部控制的规章制度和控制 程序,并得到有效执行,从而保证了公司经营管理的正常进行。公司内部 控制体现了完整性、合理性、有效性。符合《上市公司内部控制指引》的 规定。
二、重点控制活动
(一)子公司内部控制
公司对子公司的高级管理人员、财务人员进行选拔、任命、培训与考 核。子公司严格执行本公司制定的相关财务制度。公司根据《上市公司内 部控制指引》制定了《内部控制制度》,对子公司的投资管理、财务管理、内部审计、信息管理等方面作出了系统的规定,公司对子公司内部控制符 合相关法律法规及深交所《上市公司内部控制指引》的规定。
附控股子公司控制结构及持股比例图:
(二)关联交易控制
公司对关联交易严格控制,遵照执行《上市公司治理准则》、《股票上
市规则》等法律法规的规定,并在《公司章程》、《关联交易管理办法》对 公司关联交易的审核程序、决策权限、决策程序作出了系统的规定。公司 股东大会、董事会、监事会、独立董事按照要求,分别履行审核、决策职 责。对于重大关联交易,公司聘请独立财务顾问、具有相关资格的会计师 事务所、评估事务所及律师出具独立报告和中介意见。公司对关联交易的 控制严格、有效。
(三)对外担保控制
为严格、有效控制对外担保风险,公司在《公司章程》及《内部控制 制度》中对担保事项的审核、决策进行了规定。对外担保事项需经过严格 的审核、审批与决议程序。2009 ,公司不存在任何对外担保事项,不存在逾期担保事项。所有担保按照法律法规的要求履行了必要的审批程 序和信息披露。
(四)募集资金使用
公司在《内部控制制度》中对募集资金的管理、使用、信息披露等作 100%
广州市东方宾馆股份有限公司广州市东方汽车有限公司
了明确规定。报告期内,公司无募集资金使用情况。
(五)重大投资
公司在《公司章程》中对重大投资事项的审批权限和决策程序进行了 明确规定,并制定了专门的《对外投资管理制度》,以有效加强公司对外 投资的管理,防范对外投资风险,提高对外投资的效益。公司重大投资内 部控制符合公司发展需要,和中国证监会、深圳证券交易所相关规定的要 求。
(六)信息披露
公司严格按照证券监管部门的要求进行信息披露,并制定了公司《信 息披露管理制度》,对公司信息披露的具体内容,信息披露的事务管理及 披露程序和要求进行了规定。公司对信息披露的内部控制严格、充分、有
效,符合相关法律法规及《上市公司内部控制指引》等规定。
三、重点控制活动的问题及整改计划
根据广东证监局《关于进一步深入开展上市公司治理专项活动有关工
作的通知》(广东证监[2009]99 号)的有关要求,我公司对公司治理工作 的各项情况再次进行了自查,经自查我公司于2009 年10 月19 日完成了 向控股股东广州市东方酒店集团有限公司收购广州市东方汽车有限公司 45%股权的工商变更登记工作。2009 ,我公司关于公司治理的整改项 目已全部整改完成。公司下一步的整改计划如下:
(一)建立年报披露差错责任追究机制
为保障公司年报的真实、准确、完整,我公司将建立年报披露差错责 任追究制度,年报出现重大会计差错更正的,公司将按照证监会的相关规 定披露重大会计差错更正的原因及影响,并由董事会对有关责任人进行问 责。
(二)建立并完善内幕信息保密制度
为加强内幕信息管理,杜绝相关人员利用内幕信息在年报披露前、业 绩预告或业绩快报披露前的窗口期买卖公司股票的行为,我公司将建立内 幕信息保密制度。
(三)建立向外部单位报送信息的管理制度
根据中国证监会的相关规定,我公司将建立向外部单位报送信息的管 理制度。公司在对外报送信息的同时,将对报送单位及相关内幕信息知情 人进行登记,并书面提醒外部单位及相关人员履行保密义务。
报告期内,我公司未受到中国证监会、深圳证券交易所就公司内控
方面存在问题的处分,公司聘请的注册会计师事务所没有对公司内部控制 有效性表示异议。
公司将继续严格按照《公司法》、《证券法》及相关法律法规的要求,及时完善公司治理制度体系,进一步提高公司的规范运作意识和治理水平,使公司能够更加健康的发展。
广州市东方宾馆股份有限公司
董 事 会
二○一○年四月十三日__
第四篇:中国中铁股份有限公司内部控制评价报告
中国中铁股份有限公司 2013 内部控制评价报告
中国中铁股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称企业内部控制规范体系),结合本公司(以下简称公司)内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,我们对公司 2013 年 12 月 31 日(内部控制评价报告基准日)内部控制的有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、公司内部控制体系建设运行情况
公司根据财政部等五部委发布的《内部控制基本规范》及《应用指引》和上海证券交易所发布的《上市公司内部控制指引》有关规定,按照公司内控体系“逐级推进、横向到边、纵向到底、全面覆盖” 的工作要求,在公司总部和各子、分公司构建了内部控制体系框架,内控制度已覆盖公司经营、生产、管理、控制等各个方面,并按照业务模块编制了公司治理、战略管理、生产经营、运营监控、信息披露、法律事务、安全质量环保、人力资源、财务管理、国际业务、采购管理、信息管理等各业务流程的工作标准和程序文件,制定了内部控制体系运行管理办法,保障公司及各子、分公司内部控制管理工作有据可依,同时,积极采取有效的控制活动,防范各类风险因素,确保公司生产经营有序运行。
2013 公司在总部和所属二级、三级单位基本完成内控体系建设的基础上,进一步推进了工程项目内控体系的建设。公司印发了《工程项目内部控制指导手册》和《关于进一步加强工程项目内控体系建设的通知》,选取中铁二局渝万铁路和中铁三局郑徐铁路等 5 个铁路工程项目、中铁一局西安地铁 4 号线和隧道局成都地铁 3 号线等4 个地铁工程项目、中铁大桥局重庆新白沙沱江特大桥等 3 个桥梁工程项目、中铁建工北京交大住宅区改造等 2 个房建工程项目以及中铁电化局南京至广西铁路电气化工程等共 18 个工程项目作为内控体系建设的试点项目,进一步推进工程项目内控管理,提升项目管控力度和风险防范能力。同时,公司继续开展全面风险管理工作,编制完成了《2013 全面风险管理报告》,识别认定了公司层面 8 项重大风险和 11 项重要风险,并认真分析风险产生原因,制定管理策略、解决方案和控制措施,保证了各项风险的整体可控,为公司生产经营提供了有力保障。
(一)企业层面内部控制建设运行情况
公司按照《公司法》、《上市公司治理准则》等有关法律法规及上海证券交易所和香港联交所的相关规定和要求,建立了包括股东大会、董事会、监事会和经理层在内的公司治理结构,明确了决策、执行、监督的职责权限,形成科学有效的职责分工和制衡机制。结合管理提升活动,公司不断完善和修订各项规章制度,优化业务流程。2013年公司总部制定和修订了《安全生产责任制》、《海外工程项目物资管理》、《委派专职外部董事、监事管理办法》、《子公司负责人副职绩效考核管理》、《效能监察工作实施办法》、《总部经费管理》等 21 项管理制度,进一步加强对子公司的管控,强化了公司生产经营管理工作。同时,公司不断完善内控流程体系,增加了股东大会和董事会决议执行跟踪检查与评价、内幕信息知情人登记管理、套期保值业务管理、债务融资管理、海外项目投标监管等 11 项业务流程,修订了关联人管理、实业投资实施监督、实业投资后评价管理、安全质量环保指标及控制措施的建立与监督执行、较大及以上生产安全事故应急响应和调查处理、效能监察工作、境外项目经营开发管理等 9 项业务流程,夯实了内控基础,完善了内控体系,提升了公司管理水平。
公司扎实推进企业文化建设,组建企业新闻中心,建立了舆情监控和日报制度,广泛开展“双学双扶”、“三工建设”、“送温暖”、“三不让”承诺和农民工“五同”管理等活动。认真履行社会责任,2013 年 10 月公司参建的玉树灾后重建项目历时三年顺利竣工,为灾区重建做出贡献,忠实履行了中央企业的政治责任和社会责任,维护了社会稳定。同时,公司积极组织开展雅安抗震救灾、铁路应急抢险、定点扶贫和社会公益活动。在加强党风和反腐倡廉建设中,全面落实中央八项规定,严格执行公司“十二项措施”,坚决反对“四风”,积极开展业务招待费、年薪收入等专项治理,加大反腐倡廉警示教育和廉洁文化建设,不断完善党风廉政建设,健全惩防体系,为公司改革发展提供有力保障。
(二)重要业务内部控制建设运行情况
公司针对重要业务流程和重大、重要风险点,不断增强管控措施,提升内控管理水平。
1.推进实施全面预算管理。全面预算管理是公司推动企业转型升级、提升管理效能、提高经营效益的重要举措。通过“全方位、全过程、全员参与”的全面预算管理体系构建,有效防范公司风险,强化内部控制,提升管理水平。公司按照 “统一规划、分步实施,试点先行、逐步推广”的原则,积极推进全面预算管理,加强信息化建设。2013 年 6 月公司总部和六家二级企业启动了全面预算管理信息化建设试点工作,通过建立全面预算管理信息系统,利用信息化手段固化预算管理流程,实现全面预算“闭环”管理。
2.强化工程项目管理,严控工程分包和劳务分包风险。工程项目是公司管理的出发点和落脚点,公司始终将工程项目标准化和精细化管理作为一项根本任务来抓。公司建立了《工程项目管理办法》《工程项目施工生产管理办法》、《工程项目施工分包管理办法》、《铁路工程项目实施架子队管理模式的指导意见》等一系列工程项目管理制度,强化了人员设备配备、过程控制、现场管理和标准化作业,完善了项目管理各环节的标准规范,并通过经常性的督导、检查和考核工作。推动项目管理的标准化、规范化、程序化, 全面提升项目管控能力和施工技术水平。
同时,公司严格落实分包队伍准入制度,严把外协队伍选择程序,合理确定分包价格,规范合同签订行为,切实加强分包工程的过程监控,严禁违法转包和违规分包,坚决杜绝以包代管、包而不管的现象,并不断加强对施工分包和协作队伍管理的日常检查和监督考核力度。
3.加强投资风险管控。针对投资风险,公司从规章制度源头上进一步规范投资行为,在深入调研、论证的基础上,组织编写了实业投资《项目投资管理办法》并进行了专题评审。同时,起草了相配套的基础设施、土地一级开发、房地产二级开发和矿产资源共四个业务板块的《实施细则》。在总结和借鉴的基础上,引入全过程问责制,实现投资闭环管理,提高投资效益。为加强投资项目管控,进一步防范投资风险,2013年公司在全系统开展了BT项目专项梳理工作,及时发布了《关于进一步加强BT项目风险管控的紧急通知》,对公司所属各单位的既有BT项目提出了明确工作要求,加强了投资项目管控力度,有效防范了政策风险。
4.加强国际工程承包风险管控。2013 公司重点推进了海外资源重组,将所属中铁国际、委内瑞拉分公司、东方国际建设分公司、老挝分公司重组整合,成立组建了中铁国际 集团有限公司,理顺了总部外经体制,增强了公司对外经营、监管和投融资能力。同时,认真研判国际工程承包市场形势,做好区域项目的协调、评审、分析工作, 实行分级评审,严格执行大中型项目监管评审措施,特别是重点项目复评审工作,实施源头把控,不断完善海外管理体制机制,严控海外风险。
5.加强施工安全风险管控。针对施工安全风险,2013 公司制定了《加强工程项目安全质量管理基础工作指导意见》,修订了《总部安全生产责任制》、《安全质量责任事故追究办法》。全公司全面落实安全质量责任制,深入开展安全生产标准化建设、安全质量大检查和常态化稽查、重点隐患排查和专项治理工作,广泛开展安全生产月、安全教育培训、岗前安全质量宣誓、安全生产警示日及群众安全生产监督员、青年安全监督岗活动。全公司安全质量态势继续保持稳定并呈现“向好”趋势,工程质量创优工作取得显著成效。
6.加强人力资源和薪酬管理。公司根据《劳动法》、《合同法》等有关规定,不断加强人力资源和薪酬管理。通过建立科学的聘用、培训、轮岗、考核、晋升等人事管理政策和较为完善的薪酬制度体系,形成了员工与企业同发展的良好用人机制。同时,公司建立了从董事会和董事、领导班子和领导人员到员工的“横向到边、纵向到底”的全员业绩考核体系,并不断完善考核制度,健全考核体系,加大激励约束力度,充分调动员工积极性,增强企业凝聚力。
7.加强物资采购管理。物资集中采购是公司实现“四个集中”发展战略的重要举措。公司建立了《工程项目物资集中采购管理办法》、《工程物资集中采购管理工作考核办法》、《供应商管理办法》等一系列制度办法,规范了采购业务操作,控制了采购与供应成本,提高了采购的效率和透明度。2013 年公司印发了《海外项目物资管理指导意见》,修订《物资供应商管理办法》和《物资集中采购管理工作考核办法》。通过不断加强制度建设,夯实基础管理工作,强化了物资集中采购管理。2013 年全公司在重点工程项目上实施的物资集中采 购占项目总数的 88.2%;物资集中采购供应总额占施工项目所需主要物资供应总额的 83.6%,集中度进一步提高。
8.加强科技和信息化管理。2013 年公司继续组织实施科技、设计、信息化、节能减排“十二五”规划,制定并完善了科技信息系统管理、勘察设计管理、网站群建设技术规范、节能减排监督管理等 6项制度办法。同时,结合公司生产经营实际,采取有力措施,进一步完善企业研究与开发创新机制,围绕关键技术寻求突破,整合资源推动成果转化,加强知识产权建设,为公司科技创新活动的开展、加强科技管理与技术开发、增强企业自主创新能力起到了良好效果,有力地提升了企业核心竞争力。2013 年公司科技创新成果显著,获国家科技进步奖 4 项,其中一等奖 1 项,省部级科技成果奖 105 项;获授权专利 936 项,其中发明专利 196 项。2013 年公司还荣获中央企业“科技创新特别奖”,荣获中关村“十百千工程”企业称号。公司信息化建设总体水平和集成能力不断提升,信息化水平不断提高。2013 年公司不断加大信息化建设力度,加强信息化顶层设计,组织开展了大平台建设和 ERP 管理咨询工作。同时,梳理公司业务管理现状和信息化需求,积极推进公司信息化建设蓝图规划和行动路线工作,有序推进了电子商务平台、全面预算信息系统、财务公司信息系统等公司重大信息系统的建设工作,组织完成了总部 OA 系统公文处理等移动应用开发,搭建了微门户基础平台,实现移动应用集中管理。公司信息化工作的稳步推进,支撑了各业务板块的有效运转。
三、内部控制评价结论(无保留的结论)
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内部控制重大缺陷,董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司 未发现非财务报告内部控制重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
四、内部控制评价工作情况
根据企业内部控制规范体系的有关要求,2013 年公司内控评价工作围绕转变发展方式、提升发展质量和提高经济效益这一主线,突出六个重点、实现六大突破”的中心任务,结合公司生产经营管理特点,组织开展了评价测试工作。公司于中期开始对 2013 内控评价工作进行动员和部署,经公司董事会审议通过并行文下发了《公司 2013 内部控制评价方案》,明确了评价工作的总体要求、组织领导、评价依据、程序方法、评价内容、缺陷认定和时间节点等工作内容,指导全公司有序开展评价工作,推进了全系统评价工作水平的提升。
(一)内控评价程序和方法
本次评价工作采用统一部署、分级实施,自我评价与专项检查相结合的方式进行。具体评价程序包括:制定评价工作方案、公司总部和所属各单位分级实施现场测试、初步认定内控缺陷、内控缺陷整改、内控评价专项检查、汇总评价结果、最终确认缺陷以及编报评价报告等环节。
内部控制评价的总体方法是抽样法,并综合运用个别访谈、调查问卷、穿行测试、比较分析、专题讨论等方法。针对公司层面和业务流程,按照业务发生频次及固有风险的高低,抽取一定比例的业务样本,对业务样本的符合性进行测试,得出测试的评价结论。
1.制定内部控制评价工作方案
内部控制评价工作组结合公司实际情况和管理要求,分析公司经营管理过程中的风险和业务事项,制定合理的内部控制评价工作方案。评价工作方案确定本次评价工作在全面评 价基础上,突出重点,涵盖公司内部控制流程模块和主要制度,重点关注高风险领域和重要业务事项,各层级评价工作方案经董事会批准后实施。
2.组成内部控制评价工作组
根据确定的评价范围及业务事项,考虑工作量、人员水平和独立性等因素,公司组建了内部控制评价工作组,评价工作组由审计部牵头,总部有关部门派员参加,并适当抽调所属公司内控业务人员参与。评价工作组成员对本部门的内部控制评价实行回避制度。
3.实施现场测试
评价工作组根据本次评价工作的范围及具体业务事项,通过访谈、抽样、穿行测试等多种方法进行内部控制有效性评价及内控缺陷分析评估。
本次内部控制评价主要分为企业层面内部控制评价和业务层面内部控制评价两个方面。企业层面控制是指对企业控制目标的实现具有重大影响,与内部环境、风险评估、信息与沟通、内部监督、社会责任、全面预算和战略管理等直接相关的控制。业务层面控制是指企业在实际业务操作中,综合运用各种控制手段和方法,针对具体业务和事项实施的控制。
4.认定内部控制缺陷
评价工作组对初步认定的内控缺陷进行全面复核,分类汇总,对缺陷的成因、表现形式及风险程度进行综合分析,按照对控制目标的影响程度判定缺陷等级,并出具自我评价结论,上报内控评价领导小组。对于认定的内部控制缺陷,评价工作组要求各责任部门提出整改意见,及时整改,并跟踪其整改落实情况。
5.抽查主要业务板块和重点单位内控评价结果
为保证评价质量,公司在内部控制评价过程中,评价工作组专门成立了七个检查组,对公司主要业务板块和重点单位的内部控制评价情况和缺陷认定情况进行了抽查,评估其评价方法、工作底稿以及缺陷认定程序的合规性,保障评价工作有效开展。
6.编写内部控制评价报告
评价工作组在汇总的评价结果和认定的内控缺陷基础上,综合内部控制整体情况和内部控制评价实施情况,遵循客观、公正、完整的原则,组织编写《2013 内部控制评价报告》,提交公司董事会审议。
(二)内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的主要单位包括:公司总部以及基建板块、勘察设计咨询板块、工业板块、金融板块、房地产板块和矿产资源、基础设施投资等板块的子公司及其所属单位。纳入评价范围单位资产总额占公司合并财务报表资产总额的 91%,营业收入合计占公司合并财务报表营业收入总额的 90%;纳入评价范围的主要业务和事项包括: 组织架构、发展战略、人力资源、企业文化、资金管理、采购管理、资产管理、工程项目管理、研究与开发、担保管理、财务报告、全面预算、合同管理、信息管理、内部信息传递、财务管理、投资管理、对控股子公司的管控等方面。重点关注的高风险领域主要包括海内外投资风险、国际工程承包风险、施工安全风险、干部廉政风险、工程分包风险、应收账款风险、劳务分包风险、企业维稳风险等八项重大风险。
上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面,不存在重大遗漏。
(三)内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系和《中央企业全面风险管理指引》、上交所《上市公司内部控制指引》、以及《香港联合交易所有限公司证券上市规则》的要求,结合公司内部控制制度和评价办法,组织开展内部控制评价工作。
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确定了适用于本公司的内部控制缺陷具体认定标准,并与以前保持一致。公司确定的内部控制缺陷认定标准如下:
1.财务报告内部控制缺陷认定标准
财务报告内部控制缺陷所采用的认定标准直接取决于由于该内部控制缺陷的存在可能导致的财务报告错报的重要程度。这种重要程度主要取决于两个方面的因素:(1)该缺陷是否可能导致企业的内部控制不能及时防止或发现并纠正财务报告错报。(2)该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。
公司确定的财务报告内部控制缺陷评价的定量标准为:
财务报告内部控制缺陷的定量标准采用相对比例法,即税前利润的百分比来确定重要性水平,具体定量标准如下:
缺陷类型
定量标准
重大缺陷
错报≥税前利润 5%
重要缺陷
税前利润 3%≤错报﹤税前利润 5%
一般缺陷
错报﹤税前利润 3%
公司确定的财务报告内部控制缺陷评价的定性标准为:
重大缺陷是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。出现下列情形的,认定为重大缺陷:
(1)董事、监事和高级管理人员舞弊;
(2)当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;
(3)公司审计委员会和内审机构对内部控制的监督无效;
(4)公司更正已公布的财务报告;
重要缺陷是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。存在下列领域缺陷,并存在重大缺陷强烈迹象的缺陷认定为重要缺陷:
(1)对期末财务报告流程的内控存在缺陷,并造成重要影响;
(2)合规性管控职能存在缺陷,其中违反的行为可能对财务报告产生重大影响;一般缺陷是指除重大缺陷和重要缺陷之外的其它控制缺陷。
2.非财务报告内部控制缺陷认定标准
公司确定的非财务报告内部控制缺陷评价的定量标准为:
非财务报告内部控制缺陷的定量标准根据造成直接财产损失占税前利润的比率来确定重要性水平,具体定量标准如下:
缺陷类型
定量标准
重大缺陷
损失≥税前利润 5%
重要缺陷
税前利润 3%≤损失﹤税前利润 5%
一般缺陷
损失﹤税前利润 3%
公司确定的非财务报告内部控制缺陷评价的定性标准为:
出现下列情形的,认定为公司存在非财务报告相关内部控制的重大缺陷:
(1)违犯国家法律、法规;
(2)重要业务制度缺失或者制度系统性失效;
(3)管理人员或技术人员流失严重;
具有以下特征的缺陷,认定为重要缺陷:
(1)反舞弊程序和控制程序存在缺陷;
(2)内部审计职能或风险评估职能的内控存在缺陷;
(3)已向管理层和审计委员会汇报且经过合理期限后,重要缺陷仍未纠正;
(四)内部控制缺陷认定及整改情况
1.财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告内部控制重大缺陷和重要缺陷。
2.非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务报告内部控制重大缺陷和重要缺陷。
3.一般缺陷及其整改情况
评价过程中也发现,公司在内控建设和运行中还存在一些不足,需要进一步改进和提高。主要是公司总部在推进和深化改革、拓展境内外经营和投资业务、强化二三级企业监管过程中,需进一步梳理补充制度和完善流程设计,以进一步适应全面深化改革和境内外监管的需要。所属子分公司通过本次评价,个别单位在以下方面还有待进一步提高:一是进一步加快存货和应收账款的清理和结算工作。个别单位和项目需补充完善变更索赔资料,加快结算进展,确保及时回收资金,减少存货和应收账款占用;二是持续强化投融资管理,防范风险。要进一步加强项目评审,研判内外部投资环境变化,控制投融资规模,有效降低融资成本,确保投资效益;三是继续加强财务监察和审计监督,严格财务管理,强化资金管控,确保资金资产安全;四是进一步完善合同审核,强化合同执行力,维护企业利益;五是提高项目精细化管理水平,完善项目定额、验工计价和物资、对外劳务管理制度和流程,进一步提高项目经济效益;六是要继续加强安全质量宣传,持续抓好安全质量大检查,按照“全覆盖、零容忍、严执法、重实效的总要求,加强隐患排查和专项整治,确保公司安全生产稳定局面。
公司十分重视内部控制制度建设的持续完善和改进,针对公司报告期内存在的一般缺 陷,公司采取了各种措施积极落实整改。公司内控评价工作组和各责任部门共同分析缺陷的原因和影响,制定了整改方案和措施,落实主责部门和人员,积极进行整改完善,并由评价工作组定期沟通整改进度和效果。通过缺陷整改,完善了内控体系,规范了公司运作,提高了公司风险防范能力。
五、其他内部控制相关重大事项说明
报告期内公司无其他需要说明的与内部控制相关的重大事项。
本公司董事会注意到,内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。未来期间,公司将继续完善内部控制制度,规范内部控制制度执行,强化内部控制监督检查,促进公司健康、可持续发展。
董事长(已经董事会授权):李长进
中国中铁股份有限公司
2014 年 3 月 28 日
第五篇:20、《寿险公司内部控制评价办法(试行)》
保监发〔2006〕6号
关于印发《寿险公司内部控制评价办法
(试行)》的通知
各保监局、各人寿保险公司、健康保险公司、养老保险公司:
为规范和加强对寿险公司内部控制的评价,推动寿险公司加强内控建设,确保寿险公司稳健经营和持续健康发展,我会研究制定了《寿险公司内部控制评价办法(试行)》,现印发给你们。请各保监局、各寿险公司、健康保险公司、养老保险公司根据实际情况,在内部控制评价工作中组织试用,认真总结试行经验。
二○○六年一月十日 特此通知 寿险公司内部控制评价办法(试行)
第一章 总则
第一条
为规范和加强对寿险公司内部控制的评价,推动寿险公司加强内控建设,确保寿险公司稳健经营和持续健康发展,根据《中华人民共和国保险法》等法律法规,制定本办法。
第二条
寿险公司内部控制是由寿险公司的董事会、经理层和全体员工共同建立并实施的,为实现公司经营管理目标、保证财务报告真实可靠、确保公司依法合规经营而提供合理保证的过程和机制。
第三条
寿险公司内部控制评价是指对寿险公司内部控制体系建设和实施开展的调查、测试、分析和评估等系统性活动。
寿险公司内部控制评价包括寿险公司开展的自我评估和监管部门组织实施的独立评价。
本办法所称寿险公司包括法人机构及其分支机构。本办法所称寿险公司法人机构是指在中国境内经中国保监会批准设立,并依法登记注册的人寿保险公司;本办法所称寿险公司分支机构限于寿险公司法人机构依法设立的省级(含直辖市、计划单列市)分公司和地市级中心支公司。
本办法所称监管部门是指中国保险监督管理委员会(以下简称中国保监会)及其派出机构。
外国寿险公司分公司视为寿险公司法人机构。
第四条
寿险公司应建立并保持系统、透明、文件化的内部控制体系,定期或当有关法律法规和其他经营环境发生重大变化时,对内部控制体系进行评审和改进。
第二章 评价目标和原则
第五条
寿险公司内部控制评价的目标主要包括:
(一)促进寿险公司强化内部控制意识,建立健全内部控制机制,严格落实各项控制措施,确保内部控制体系有效运行。
(二)促进寿险公司提高风险管理水平,推动其实现发展战略和经营目标。
(三)促进寿险公司增强业务、财务和管理信息的真实性、完整性和及时性。
(四)促进寿险公司严格遵守国家法律法规、中国保监会的监管要求和寿险公司审慎经营的原则。
第六条
寿险公司内部控制评价应从健全性、合理性和有效性三个方面进行:
(一)健全性。过程和风险是否已被充分识别,过程和风险的控制措施是否得到明确规定并得以保持。
(二)合理性。控制措施能否实现控制目标。
(三)有效性。控制措施能否得到有效执行。第七条
寿险公司内部控制评价应遵循以下原则:
(一)全面性原则。评价范围应覆盖寿险公司内部控制活动的全过程及所有的系统、部门和岗位。
(二)一致性原则。评价的准则、范围、程序和方法等应保持一致,以确保评价结果的客观、可比。
(三)公正性原则。评价应以事实为基础,以法律法规、监管要求为准则,客观公正,实事求是。
(四)重要性原则。评价应依据风险和控制的具体情况确定 重点,关注重点区域和重点业务。
(五)及时性原则。评价应按照规定的时间间隔持续进行,当经营管理环境发生重大变化时,应及时进行重新评价。
第三章 评价内容
第八条
寿险公司内部控制评价从控制环境、风险识别与评估、控制活动、信息与沟通、监督五个方面进行。
第一节
控制环境
第九条
公司治理。寿险公司应建立股东大会、董事会、监事会和经理层之间各负其责、规范运作、相互制衡的公司治理结构,为公司内部控制目标的实现提供合理保证。
(一)明确股东大会、董事会、监事会和经理层的职责。
(二)完善股东大会、董事会、监事会、经理层及下设的议事和决策机构,建立完备规范的议事规则、决策机制、决策评估和责任追究机制。
(三)建立独立董事制度,对董事会讨论事项发表客观、公正的意见。
非股份制寿险公司参照上述评估要点进行评价。
第十条
董事会、监事会、经理层在内部控制中的责任。寿险公司应明确董事会和董事、监事会和监事、经理层和高级管理人员在内部控制中的责任。
董事会负责保证寿险公司建立并实施健全、合理、有效的内部控制体系;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保寿险公司在法律和政策的框架内审慎经营,明确设定可接受的风险程度,确保经理层采取必要措施识别、计4 量、监测并控制风险;负责审批组织结构;负责保证经理层对内部控制体系的健全性、合理性和有效性进行监测和评估。
监事会负责监督董事会、经理层完善内部控制体系;负责监督董事会及董事、经理层及高级管理人员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害寿险公司利益的行为并监督执行。
经理层负责制定内部控制政策,对内部控制体系的健全性、合理性与有效性进行监测和评估;负责执行董事会决策;负责建立识别、计量、监测、控制风险的程序和措施;负责建立和完善内部组织机构,保证内部控制的各项职责得到有效履行。
董事会和经理层还应培育良好的内部控制文化,提高员工的风险意识和职业道德素质,建立通畅的内外部信息沟通渠道,确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。
非股份制寿险公司参照上述评估要点进行评价。
第十一条
内部控制政策。寿险公司应在各项业务和管理活动中制定明确的内部控制政策,规定内部控制的原则和基本要求,并为制定和评审内部控制目标提供指导。内部控制政策应:
(一)与寿险公司的经营宗旨和发展战略相一致。
(二)体现持续改进内部控制的要求。
(三)符合现行法律法规和监管要求。
(四)体现出侧重控制的风险类型。
(五)体现出对不同地区、行业、产品的风险控制要求。
(六)传达给适用岗位的员工,指导员工实施风险控制措施。
(七)可为风险相关方所获取,并寻求互利合作。
(八)定期进行评审,确保持续的健全、合理和有效。第十二条
内部控制目标。寿险公司应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策,并体现持续改进的要求。
在建立和评审内部控制目标时,应考虑法律法规、监管要求和其他要求,以及技术、财务、经营和风险相关方等因素。
内部控制目标应可测量。有条件时,目标应用指标予以量化。第十三条
组织结构。寿险公司应建立分工合理、职责明确、报告关系清晰的组织结构。
(一)机构设置应根据公司业务规模、经营管理的需要,坚持合理、精简、高效的原则,严格遵守国家法律、法规的规定以及监管部门的要求;部门和岗位设置应遵循相互监督、相互制约、协调运作的原则。
(二)明确各机构、部门、岗位、人员的职责和权限,并形成文件予以传达,使员工清晰的了解其岗位的职责和标准。
(三)明确关键岗位、特殊岗位、不相容岗位及其控制要求。
(四)配备足够的具有相应知识、经验和技能的人员,确保其有效履行岗位职责。
(五)明确各岗位的报告关系,确保管理人员能够得到履行职责需要的信息。
(六)定期根据经营情况或环境变化对组织结构进行评价,及时进行必要的修正。第十四条
企业文化。寿险公司应培育积极健康的企业文化,对企业文化的内涵及其策划、渗透、评估与改进作出明确的规定。特别应向员工传达风险管理、内部控制、合规经营的重要性,引导员工建立诚信道德观念,树立合规意识和风险意识,提高员工职业道德水准,规范员工职业行为。
第十五条
人力资源。寿险公司应完善人力资源政策和程序,确保员工具备相应的能力和意识。
寿险公司应明确各岗位人员,特别是与风险和内部控制有关的人员的适任条件,明确有关教育、工作经历、培训和技能等方面的要求,确保相关人员能够胜任。
寿险公司应根据不同层次员工的职责、能力、文化程度及所面临的风险制定并实施培训计划,以确保经理层和全体员工能够有效履行职责。培训计划应定期评审并持续改进。
寿险公司应在员工招聘、晋升、绩效考核、薪酬、奖惩等日常人力资源管理方面建立完备的制度和程序,并充分考虑人力资源管理中的风险。
第二节
风险识别与评估
第十六条
风险识别与评估。寿险公司应建立和保持书面程序,以持续对各类风险进行有效的识别、计量、监测与评估。
风险识别与评估应:
(一)覆盖公司经营的各个环节。寿险公司应根据发生频率识别并确定经常性和非经常性的业务和管理活动,识别这些活动 7 中的风险(无论是否由内部产生),考虑其类型、来源及其影响范围。
(二)充分考虑内部和外部因素。其中内部因素包括公司治理、组织结构以及人力资源管理的复杂程度,公司资产的规模、流动性或业务总量,公司的财务状况以及经营活动的地理分布,内部控制系统的健全性、合理性和有效性等。外部因素包括国家法律、法规及政策的变化,经济形势的变化,科技的快速发展,行业竞争及市场变化等。
(三)持续识别法律法规、监管和其他要求。寿险公司应建立并保持政策和程序,确保及时识别和取得适用的法律法规、监管要求和其他要求,并作为风险识别与评估、制订控制目标和控制方案的依据。寿险公司应及时更新法律法规、监管要求和其他要求的信息,并将有关信息传达给相关员工和其他风险关联方。
(四)运用适当的方法和技术对风险的概率、后果进行评估,确定风险级别。
(五)持续识别和评估风险。当环境和条件发生变化时,应及时对风险进行再识别和再评估,以确保任何新的和以前未曾予以控制的风险得到识别和控制。
第十七条
风险处理。对已识别的风险,寿险公司应依据法律法规、监管要求以及内部控制政策确定是否可接受,以确定是否进一步采取措施。风险可接受时,应监测并定期评估,以确保其持续可接受;风险不可接受时,应制定内部控制方案。
内部控制方案应包括以下内容:
(一)明确控制风险的相关职责与权限。
(二)控制的策略、方法、资源需求和时限要求。
(三)重大、突发事项应急预案,明确责任人、处理流程和措施。
内部控制方案若涉及到组织结构、流程、信息技术等方面的重大变更,应考虑可能产生的新风险。
第三节
控制活动
第十八条
业务控制。寿险公司应建立制度、政策和程序,对产品开发、销售、核保核赔、服务质量、咨询投诉、再保险、单证印鉴档案、业务处理系统等实施控制,确保业务活动正常运转。
(一)产品开发。成立产品开发领导和决策机构,明确精算责任人和法律责任人的责任;建立并实施产品开发管理程序,对新产品的开发、论证、审核等进行控制,对产品的销售、盈利和风险情况进行定期跟踪分析。
(二)销售管理。建立并保持书面程序,对销售人员或机构的甄选、签约、解约、薪酬、考核、档案、品质管理、宣传材料管理等进行控制;定期对销售人员进行专业培训和职业道德教育,建立销售人员失信惩戒机制;对于销售过程中已识别的风险,建立并保持控制程序,并将有关程序和要求及时通报销售人员或机构,确保其遵守寿险公司相关的控制要求;建立并实施客户回访制度,按照有关规定确定客户回访范围和内容,对客户反馈信息进行分析整改并定期跟踪。
(三)核保核赔管理。建立明确的核保、核赔标准,实施权责明确、分级授权、相互制约、规范操作的承保理赔管理机制; 明确核保核赔人员的适任条件,定期对核保核赔人员进行培训,确保核保核赔人员具有专业操守并勤勉尽职。
(四)服务质量管理。建立并实施业务操作标准和服务质量标准,对销售、承保、保全、理赔等活动的服务质量进行规范管理,并建立客户服务质量考评机制。
(五)咨询投诉管理。建立并保持咨询投诉处理程序,对咨询投诉处理中发现的问题进行核实、分析、反馈,并进行整改和跟踪监督。
(六)再保险管理。建立并实施科学的分保管理流程,建立职责分明、互相制约的分保机制,合理确定自留额和分保方式,确保及时、足额进行分保。
(七)单证、印鉴、档案管理。建立并保持控制程序,对保险单证的印刷、保管、领用、作废和核销,印鉴的刻制、保管、使用范围、使用审批、使用登记、作废和核销以及档案的保管实施控制;对假造重要单证、仿制印鉴等违法违规行为进行责任追究。
(八)业务处理系统。建立稳定、高效、能够对业务提供全面功能支持的业务处理系统;制定业务处理系统的管理规章、操作流程、岗位手册和风险控制制度;实施操作权限管理,并及时根据业务和控制需要对业务处理系统进行改进。
第十九条
财务控制。寿险公司应建立制度、政策和程序,对财务会计制度、职务牵制、账务处理程序、财务报告、资产、负债、预算、费用开支、财务处理系统等实施控制,确保财务、会计信息真实、准确。
(一)财务会计制度。根据相关法律、法规和监管部门要求,结合本公司具体情况,制定本公司的财务会计制度。
(二)职务牵制。单独设立财务会计部门,配备专职财会人员,合理设置岗位,明确岗位职责,严禁兼任不相容岗位,实行定期或不定期岗位轮换。
(三)账务处理程序。建立并实施规范的会计核算流程,依据真实的经济事项进行账务处理,对账务处理的全过程实施有效的控制,实现账账、账实和账表相符。
(四)财务报告。及时编制财务报表,确保会计信息的真实、完整、准确。
(五)资产管理。制定并保持书面程序,对收付费进行控制,明确收付费的操作流程与岗位职责,对收付费行为进行定期检查和审计;妥善保管现金、有价证券、空白凭证、密押、印鉴、固定资产等,定期核对现金和银行存款账户,定期盘点,确保各项资产的安全和完整。
(六)负债管理。建立完善的准备金精算制度,按照有关法律法规要求及时、足额计提准备金。
(七)预算控制。实行全面预算管理,建立预算制度,对预算的编制、执行、分析、考核进行明确;及时分析和控制预算差异,确保预算的执行。
(八)费用管理。建立严格的授权批准制度和预算控制制度,控制费用支出,并定期进行费用分析。
(九)财务处理系统。建立稳定、高效、安全的财务处理系统;制定财务处理系统的管理规章、操作流程、岗位手册和风险 控制制度;财务处理系统应与业务处理系统实现数据共享与无缝对接,确保各项业务活动得到及时、准确的反映。
第二十条
资金控制。寿险公司应建立制度、政策和程序,对资金调度、投资决策、投资操作、投资风险管理等实施控制,确保资金的安全性、流动性和效益性。
(一)资金调度。对资金进行统一管理和运作,严格实行收支两条线,对分支机构资金实行监控,确保资金及时足额上划集中。
(二)投资决策。建立透明、规范的投资决策程序和议事规则,投资决策应遵守国家法律、法规和行政规章的规定,并兼顾资产与负债的匹配。
(三)投资操作。建立规范的投资操作流程,实现前台操作与后台管理分离,建立并保管交易记录,确保投资的专业化。
(四)投资风险管理。建立完备的投资风险评估和控制系统,制定符合自身实际的风险控制政策、措施和定量指标,开发和运用量化的风险管理模型,对资金运用的收益与风险进行适时、审慎评价。
第二十一条
信息技术控制。寿险公司应建立制度、政策和程序,对信息技术管理、信息安全、应急计划等实施控制,确保信息的完整性、安全性和可用性。
(一)信息技术管理。建立健全信息技术管理和风险防范制度,明确计算机信息系统开发、管理与应用部门及相关人员的职责,对计算机信息系统的项目立项、设计、开发、测试、运行和维护等实施控制。
(二)信息安全管理。建立信息安全管理体系,对硬件、操作系统、应用程序和操作环境实施控制,确保信息的完整性、安全性和可用性;计算机机房建设应当符合国家的有关标准,出入计算机机房应当有严格的审批程序和出入记录,确保计算机硬件、各种存储介质的物理安全;对系统数据资料采取加密措施,建立备份,异地存放,实施有效的口令管理和权限管理,定期更换用户使用的密码和口令;及时更新系统安全设置、病毒代码库、攻击特征码、软件补丁程序等,通过认证、加密、内容过滤、入侵监测等技术手段,不断完善安全控制措施;建立健全网络管理系统,对网络的安全、故障、性能、配置等进行有效管理,并对接入国际互联网实施有效的安全管理;对网络设备、操作系统、数据库系统、应用程序等设置必要的日志。
(三)应急计划。建立计算机安全应急系统,制定详细的应急方案,定期检查、维护应急的设施、设备和系统,确保其处于适用状态。
第二十二条
其它控制。针对公司其他活动建立必要和恰当的政策和程序,确保制定的控制措施能够有效实现控制目标,已确定的控制行为得到恰当的执行。
第四节
信息与沟通
第二十三条
信息。建立并保持书面程序,持续识别、收集、处理、报告涉及公司目标实现及经营管理有效运作的内外部信息,以确保经理层能够及时、准确了解业务信息、管理信息、重要风险信息;确保其他所有员工充分了解相关信息,遵守涉及其责任和义务的政策和程序;确保及时、真实、完整的向监管部门和外 界报告、披露相关信息;确保在出现紧急情况或重大突发事件时,相关信息能够得到及时报告和有效沟通。
第二十四条
沟通。建立开放、有效的内外部沟通渠道,确保信息及时上传、下达,并在上下级机构及部门之间充分交流,使相关人员能够获取履行职责需要的信息;确保员工具有反映问题、提出建议的通道;确保在收到客户、监管部门及其他外部人员反映的情况后,采取及时适当的应对措施,妥善处理公司与外部的关系。
第二十五条
信息的安全、保密。寿险公司应适当保持相关信息交流与沟通的记录,并考虑信息的安全性和保密性要求,对信息报告、发布、披露进行授权。
第二十六条
文件控制。寿险公司应建立并保持必要的内部控制体系文件,包括:对内部控制体系要素及其相互作用的描述,内部控制政策和目标,关键岗位及其职责与权限,不可接受的风险及其预防和控制措施,控制程序、作业指导、方案和其他内部文件等。
寿险公司应建立并保持书面程序,确保内部控制体系文件满足下列要求:
(一)易于查询。
(二)实施前得到授权人的批准。
(三)定期评审,必要时予以修订并由授权人员确认合理性。
(四)所有岗位都能得到有关版本。
(五)失效时,及时从所有发放处和使用处收回,或采取其14 他措施防止误用。
(六)及时识别、处置外来文件并进行标识,必要时转化为内部文件。
(七)留存的档案性文件和资料应予以适当标识。
第二十七条
记录控制。寿险公司应建立并保持书面程序,对内部控制相关活动中所涉及记录的标识、生成、存储、保护、检索、保存期限和处置进行明确。
记录应保持清晰、易于识别和检索,并可追溯到相关的活动,以提供内部控制体系有效运行的证据。
第五节
监督
第二十八条
持续性监控。寿险公司应采取措施确保各部门和员工在日常经营和履行职责的过程中持续获取相关信息(如:投诉等),对内部控制健全性、合理性、有效性进行检查、分析,并评估其实施的效率效果,以实现对内部控制实时动态的持续性监控和控制执行部门的自我改善。持续性监控应遵循以下原则:
(一)以目标为基础,确认现有的制度、程序和措施是否合理、有效和剩余风险的控制水平(剩余风险是指没有通过内部控制加以控制,但却可能对公司目标实现产生影响的风险)。
(二)以风险为基础,识别实现目标的各类风险,确定控制制度、程序和政策是否足以对关键风险进行管理。
(三)以控制为基础,对现有控制措施的运行情况进行分析,识别差距。
(四)以过程为基础,对包括业务、财务、资金、计算机等控制活动的关键过程和内容进行确认、评价、更新、改善和简化。第二十九条
独立评估。寿险公司应设立内部审计机构或岗位,对内部控制的健全性、合理性和有效性实施独立评估。
内部审计部门应配备具有相应资质和能力的审计人员;应有权获得寿险公司的所有经营、管理信息;应定期或不定期根据辖属机构的内部控制情况确定审计频率,以及对机构和业务的审计覆盖率,对内部控制的健全性、合理性和有效性实施检查、评价;应对公司高级管理人员和重要岗位人员进行离任审计。
第三十条
缺陷报告与持续改进。对持续性监控、独立评估及监管部门评价发现的内部控制缺陷,应及时向董事会及经理层提交书面报告,并及时进行整改纠正,对整改情况进行跟踪监督,以持续提高内部控制体系的有效性。
第四章 评价方式
第三十一条
寿险公司内部控制评价采取寿险公司自我评估与监管部门独立评价相结合的方式。
第三十二条
寿险公司应根据本办法于每年年末针对每一项评价点,从健全性、合理性、有效性三方面全面进行自我评估,并填写内部控制评估表、撰写内部控制评估报告。监管部门认为必要时,可要求寿险公司提供经中介机构鉴证的内部控制评估表和内部控制评估报告。
内部控制评估表和内部控制评估报告应于次年3月15日前向监管部门报送。
寿险公司法人机构的内部控制评估表(具体格式和内容请见附件一)和内部控制评估报告应由法人代表签字,向中国保监会报送。寿险公司分支机构的内部控制评估表(具体格式和内容请见附件二)和内部控制评估报告应由分支机构总经理签字,向中国保监会派出机构报送。
第三十三条
内部控制评估表和内部控制评估报告应真实、完整,不得瞒报和虚报。
填写内部控制评估表时,应对每一项评价点的基本情况进行描述,对其健全性、合理性和有效性进行评价,并揭示存在的内部控制缺陷。
内部控制评估报告应至少包括以下内容:
(一)本单位内部控制情况。应覆盖本单位内部控制体系范围内的所有活动,从控制环境、风险识别与评估、控制活动(包括业务、财务、资金、信息技术、其他控制活动)、信息与沟通、监督五方面分别进行评价。
(二)本完善内部控制的措施及上内部控制缺陷1的改善情况。
(三)目前内部控制存在的漏洞和缺陷。
(四)下一改进内部控制的计划。
第三十四条
监管部门应根据风险大小和重要性对寿险公司内部控制进行抽查,实施独立评价。
第三十五条
中国保监会负责对寿险公司法人机构的内部控制进行评价。根据工作需要,中国保监会可授权中国保监会派出 1内部控制缺陷指当某个控制的设计或运行使管理层或公司员工在正常执行分派给他们的职责过程中,不能及时预防或者发现错误,即认为出现了内控缺陷,可分为一般的内部控制缺陷、重大缺陷和实质性漏洞,其中实质性漏洞最为严重。机构对辖区内寿险公司法人机构的内部控制进行评价。
中国保监会派出机构负责对辖区内寿险公司分支机构的内部控制及根据授权对辖区内寿险公司法人机构的内部控制进行评价。
中国保监会认为必要时,可直接对寿险公司分支机构内部控制进行评价。
监管部门认为必要时,可以聘请中介机构对寿险公司内部控制实施评价。
第三十六条
监管部门对寿险公司内部控制进行评价,原则上每三年为一个评价周期,每年至少覆盖三分之一以上的寿险公司。当寿险公司发生重大违法违规行为、经营状况出现严重恶化、偿付能力出现危机、管理层重大变动、重大的并购或处置、重大的营运方式改变、业务财务信息处理方式改变,或监管部门认为必要时,可以对寿险公司内部控制实施评价。
第三十七条
监管部门初次对寿险公司内部控制评价时,须覆盖内部控制的所有方面。再次评价时,可根据监管重点、评价期内寿险公司内部控制的实际情况,确定评价的范围。但在每三次再次评价周期内应覆盖内部控制的所有方面。
第五章 评价程序与方法
第三十八条
监管部门对寿险公司内部控制的评价包括评价准备、评价实施、评价反馈和评价报告形成四个阶段。
寿险公司内部控制自我评估参照执行。
第三十九条
评价准备。评价准备包括组建评价组、制订评价实施方案、评价资料准备等步骤。
组建评价组。组建评价组应考虑组成人员的背景和能力。必要时,可聘请业务或管理方面的专家。
制订评价实施方案。实施方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。
评价资料准备。主要包括评价问卷、抽样计划、被评价机构的内部控制体系文件及相关记录等。
监管部门实施评价应在进场前与被评价机构建立初步联系,以便确认有关评价事项和安排。
第四十条
评价实施。评价实施包括了解内部控制体系、实施测试与分析等步骤。
评价组应按照既定的评价方案实施评价。在评价实施中应就评价组内部以及评价组与被评价机构之间的沟通做出正式安排,通过适当的方法收集与评价目的、范围和准则有关的信息,根据评价方案对被评价项目进行测试,对有关数据进行确认和分析,并予以记录。包括:
(一)了解内部控制体系。评价组应了解被评价机构内部控制体系的基本情况,确认评价范围,确定被评价机构的内部控制体系的健全程度,然后决定实施测试所采取的方法。主要通过询问、查阅、观察、流程图等方法进行,以初步评价被评价机构内部控制体系的健全性。
(二)实施测试和分析。实施测试和分析是在了解内部控制体系的基础上,评价内部控制体系的合理性和运行的有效性,主要采取符合性测试法。
第四十一条
评价反馈。监管部门实施内部控制评价应在对被 评价机构内部控制体系进行综合评价后,与被评价机构管理层沟通,以核对数据,确认事实。
第四十二条
评价报告形成。评价组应根据评价实施和反馈情况,填写内部控制评价表(内部控制评价表的格式与内容同内部控制评估表),撰写评价报告。
评价报告应重点分析以下方面:
(一)被评价机构内部控制体系现状。
(二)被评价机构内部控制存在的问题。
(三)评价中发现的与被评价机构内部控制报告、内部控制评估表不一致的方面。
(四)被评价机构内部控制的趋势分析。
第四十三条
符合性测试。符合性测试是获得评价证据以证实内部控制在实际中的合理和有效,即控制措施能否达到控制目的,相关规定在实际中是否被一贯执行。符合性测试分为两种形式:
(一)业务测试。即对重要业务或典型业务进行测试,按照规定的业务处理程序进行检查,确认有关控制点是否符合规定并得到认真执行,以判断内部控制的遵循情况。
(二)功能测试。即对某项控制的特定环节,选择若干时期的同类业务进行检查,确认该环节的控制措施是否一贯或持续发挥作用。
第四十四条
测试抽样。抽样样本取决于被评价机构或被评价项目的风险、业务频次、重要性等。可在根据业务频次抽样的基础上,结合被评价项目的风险和重要性进行调整。第六章 评分标准与评价结果利用
第四十五条
内部控制评价采取评分制(各项分值请见寿险公司内部控制评估表)。
第四十六条
内部控制评价应对每一项评价点,从健全性、合理性、有效性三方面进行评价,具体评分原则如下:
(一)被评价对象的过程和风险被充分识别,且相关控制措施被明确规定的,可得该项分值的百分之三十;
(二)在满足前项的基础上,被评价项目的过程和对风险的控制措施合理的,可再得该项分值的百分之三十;
(三)在满足前两项的基础上,被评价项目的规定得到有效执行的,可再得该项分值的百分之四十。
第四十七条
在测试过程中遇有业务缺项或问题不适用时,应将涉及到的分值在评价项目总分中扣减。为保持可比性,在得出其余适用项的总分后,还应将该评价项目的总得分进行调整。
调整后评价项目总得分=所有适用项目得分/(评价项目总分-不适用项目总分)*100%
第四十八条
若涉及到需要采取抽样测试确定评价结论的,应根据以下情况确定:
(一)如果在抽样范围内未发现违规,该项评价得满分;在抽样范围内,发现两项以上违规(含两项),该项评价不得分;仅发现一项违规的,应扩大一倍抽样,在扩大抽样范围内未发现新的违规的,可得该评价项目分值的50%,在扩大抽样范围内又发现新的违规的,该评价项目不得分。
(二)发现险情或事故的,直接扣除该评价项目的分值。第四十九条
寿险公司在评价期内发生重大责任事故,监管部门应将其内部控制总评分下调十分。
重大责任事故包括:
(一)因安全防范措施不当,发生保险诈骗、盗窃、抢劫、爆炸等事件,造成重大影响或损失。
(二)因经营管理不善,发生大规模退保、现金流支付危机等事件。
(三)业务系统故障,造成重大影响或损失。
(四)重大违法违规事件。
第五十条
内部控制体系连续在三个评价期内得不到改善的机构,监管部门应将其内部控制总评分下调十分。
第五十一条
监管部门应将寿险公司内部控制评价结果用于寿险公司非现场监管,并根据非现场监管结果实施分类监管。
第五十二条 监管部门应将独立评价结果与寿险公司自我评估结果对比,发现寿险公司呈报的内部控制评估表和内部控制评估报告中存在恶意瞒报、弄虚作假或者两者的结果存在较大不一致的,应将其内部控制总评分下调二十分,并视情节轻重按照有关法律法规进行处罚。
第五十三条
寿险公司内部控制评价信息作为非现场监管信息,按照《寿险公司非现场监管规程》(试行)进行归档和管理。
第七章 附则
第五十四条
健康保险公司、养老保险公司内部控制评价参照本办法执行。
第五十五条
本办法由中国保监会负责解释与修订。第五十六条
本办法自发布之日起实施。
附件一:寿险公司内部控制评估表——法人机构
附件二:寿险公司内部控制评估表——分支机构
主题词:
寿险公司
内部控制
评价
通知
抄送:各国有保险公司监事会、中国保险行业协会、中国保险学会。
编录:程虹
校对:常存
中国保监会办公厅
2006年1月11日印24
发
点击咨询 