公司内部控制管理手册

上海xx股份有限公司内部控制手册V2.02015年11月TOC\o"1-5"\h\zHYPERLINK"bookmark108"\o"CurrentDocument"第1章总则1《内部控制手册》概要1编制《内部控制手册》的意义1编制《内部控制手册》的目的及原则1《内部控制手册》的定位和适用范围2《内部控制手册》相关概念阐释2内部控制定义2内部控制体系2控制环境2风险评估2控制活动3信息与沟通3监督与检查4《内部控制手册》的编制和更新流程4流程的更新与编制4《内部控制手册》的更新要求4控制活动的定期审核和更新4HYPERLINK"bookmark127"\o"CurrentDocument"第2章公司层面控制5公司层面5组织架构5主要规范内容5职责与授权5风险控制矩阵6发展战略10主要规范内容10职责与授权10业务流程11风险控制矩阵12人力资源16主要规范内容16职责与授权16业务流程17风险控制矩阵18社会责任23主要规范内容23职责与授权23业务流程24风险控制矩阵28企业文化32主要规范内容32职责与授权32风险控制矩阵33信息系统36主要规范内容36职责与授权36业务流程37风险控制矩阵40业务活动层面46资金活动46主要规范内容46职责与授权46业务流程49风险控制矩阵55采购业务63主要规范内容63职责与授权63业务流程65风险控制矩阵66资产管理81主要规范内容81职责与授权81业务流程85风险控制矩阵88销售业务103主要规范内容103职责与授权103业务流程105风险控制矩阵106研究与开发114主要规范内容114职责与授权114业务流程115风险控制矩阵119工程项目125主要规范内容125职责与授权125业务流程127风险控制矩阵131业务外包138主要规范内容138职责与授权138业务流程139风险控制矩阵140财务报告145主要规范内容145职责与授权145业务流程147风险控制矩阵150全面预算160主要规范内容160职责与授权160业务流程162风险控制矩阵164合同管理176主要规范内容176职责与授权176业务流程177风险控制矩阵180内部信息传递185主要规范内容185职责与授权185风险控制矩阵186第1章总则1.1《内部控制手册》概要编制〈〈内部控制手册》的意义为进一步提升上海xx股份有限公司（以下简称“公司”）风险防范能力，提高公司的运行效率，全面贯彻财政部、证监会、审计署、银监会、保监会等五部委颁布的〈〈企业内部控制基本规范》及配套指引的要求，公司特编制〈〈内部控制手册》。公司〈〈内部控制手册》（以下简称“手册”）是以五部委颁布的〈〈企业内部控制基本规范》及配套指引为依据，并结合xx的实际情况编制而成。编制公司〈〈内部控制手册》对完善企业内部控制制度，进一步规范内部各个管理层次相关业务流程，分解和落实责任，控制企业风险，保证财务报告真实性，确保企业资产安全高效运行具有较强的现实意义。编制〈〈内部控制手册》的目的及原则本手册所指内部控制，是由公司管理层和全体员工实施的，旨在实现控制目标的过程。公司的内部控制目标包括：促进公司发展战略目标的实现；规范公司经营和管理活动，提高公司经营管理水平，提升公司运营效率和效果；保证公司内外部利益相关人之间真实、可靠的经营和财务信息沟通；保证公司经营、管理活动遵守有关法律法规；保证公司不因受到灾害性风险或人为失误而遭受重大资产损失。公司的〈〈内部控制手册》借鉴国家通行的内部控制框架，在编制和实施过程中，遵循以下原则：合规性原则：满足外部审计机构依据监管部门法律法规对公司进行内部控制体系审计鉴证的基本要求；全面性和系统性原则：手册涉及公司经营管理活动的各个方面，其内部监督和控制贯穿于经营管理活动的全过程和全体员工。可操作性原则：手册必须符合公司实际，无论是业务流程控制点的设置，还是授权项目权限的确定，都要考虑实际管理工作中是否可行，保证其可操作性。包容性原则：手册是依据公司现行的各项规定，为规范公司具体业务操作、控制业务风险、达至业务目标而编制的一系列业务流程控制文件，内容涵盖公司各业务和管理的各方面，与公司其他管理制度和体系不能相互抵触或产生矛盾，并且应当根据公司业务和管理的实际状况，及时修改、完善。成本效益原则：内部控制活动始终贯彻成本效益原则，要力争以最小的控制或管理成本获取最大的经济效益，要实行有选择的控制，努力降低控制成本，改进控制方法和手段，提高效率。1.1.3〈〈内部控制手册》的定位和适用范围〈〈内部控制手册》提供了一套科学、系统的内部控制体系建设方法和，是公司建设并实施内部控制体系的纲领性文件。〈〈内部控制手册》所建立的内部控制体系覆盖并适用于公司的业务及管理活动。手册是公司重要文件，属公司机密。各单位按照相关要求正确使用，未经允许，不得复印，不得对外泄露。在使用过程中如遇到疑难问题，及时向审计部咨询。1.2《内部控制手册》相关概念阐释内部控制定义内部控制是受企业董事会、管理层和其他职员的共同作用，旨在为实现经营效果和效率、财务报告的可靠性以及对适用法律法规的遵循而提供合理保证的一种过程。通过上述内部控制概念表述，内部控制是一种动态的过程而不仅是静态的制度，企业的员工不仅应照章办事，还应在各项管理经营活动中实现效果和效率。体现了现代意义上的实时和全过程控制的观念。内部控制体系公司的内部控制体系依据财政部等五部委〈〈企业内部控制基本规范》的企业内部控制整体框架而制定,包括以下五方面的内容：控制环境风险评估控制活动信息与沟通监督检查控制环境控制环境是内部控制体系的基础，是有效实施内部控制的保障，直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。控制环境确定了公司对于内部控制的总体基调，是内部控制所有其他组成要素的基础。公司的控制环境主要包括：企业文化员工的诚信和道德价值观管理层所确定的管理哲学和风格组织结构和职责分工风险评估风险评估是识别和分析影响公司目标实现的风险的过程，是风险管理的基础。在风险评估中，识别和分析对实现公司既定目标具有影响的风险，并对存在的风险予以持续识别、评估、应对和监控。公司的风险管理的基本机制和措施主要包括：各部门管理者进行风险的自我评估员工对识别出风险的及时报告机制公司提倡各部门管理者进行相关风险的自我评估。通过复核企业主要经营目标，识别在达成经营目标过程中存在的风险，对内部控制防范风险的效力进行评估。公司定期开展公司整体层面的风险自我评估，并针对评估的结果组织相关部门制定风险应对方案。此外，当发生以下情况之一时，也应及时组织进行风险评估：新业务介入时；新系统应用时；业务经营目标修改时；业务流程发生较大变化时；组织机构变革时；法律法规、监管要求发生变化时；同行业发生新的案例时；其他认为需要时。公司内各部门也应当根据自身需要，定期开展该项工作，作为本部门风险管理工作之一。同时针对评估的结果制定相应风险应对方案。公司鼓励员工对其发现的特别的风险直接汇报给审计部或公司管理层，并由审计部对风险进行识别与评估。对于员工报告的重大风险，管理层、审计部及时对风险进行重要性分析之后做出反应，并予以处理解决。控制活动结合风险评估结果，公司主要通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。公司各项控制活动体现在各业务和管理流程的控制点上。公司通过编制〈〈内部控制手册》的方式，来综合考虑各类控制活动的合理搭配设计，并且通过要求各部门贯彻该内控标准，来达成对合理设计的各项控制活动的遵循。公司通过编制〈〈内部控制手册》的方式，来综合考虑各类控制活动的合理搭配设计，并且通过要求各部门贯彻该内控标准，来达成对合理设计的各项控制活动的遵循。信息与沟通信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式及时地传递，以便员工履行职责。信息不仅包括内部生产的信息，还包括与公司经营和对外报告相关的外部信息。公司的各类与经营活动相关的信息应当以一定的格式和时间间隔进行确认和传递，以保证公司的员工能够执行各自的职责。因此，公司建立相应的内部信息与沟通机制以提高信息沟通的效果和效率。其主要组成一般包括：管理层的议事机制、信息的报告机制等。监督与检查监督检查是企业对其内部控制的健全性、合理性和有效性进行监督、检查与评估，形成书面报告并做出相应处理的过程，是实施内部控制的重要保证。主要包括对建立并执行内部控制的整体情况进行持续性的监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，提交相应的检查报告，提出有针对性的改进措施等。1.3《内部控制手册》的编制和更新流程内控手册是根据公司的实际业务流程进行编制，应根据公司发展的实际和要求的变化进行维护更新。流程的更新与编制内部控制流程规范文件由公司相关业务和管理部门负责起草编撰，对本部门的内部控制情况进行细化和进一步的具体识别、改进和记录，并经过各个部门管理层的充分交流后，经过适当审批后予以实施。〈〈内部控制手册》的更新要求公司内控手册原则上是刚性的，需要贯彻执行，但可以在以下的情况下予以更新：1）对应的业务流程已经发生了变化，包括如组织架构和岗位设置的重大变更等，使得部分控制点需要调整才能达到有效控制目的；2）设定的职位名称已经发生了调整，岗位在满足不相容职责分离原则上，进行了调整，需要修改相关流程描述的；3）公司出现新业务，且无法参照现有控制手册执行的，可编写新的控制流程文档，并补充到公司的内控手册中；4）其他公司认为需要变更的情况，经内部审阅后必须经公司审计部审核。控制活动的定期审核和更新内部控制是以合理保证公司既定目标的实现为准绳，内部控制手册应执行全面的定期更新制度，原则上每年更新一次。具体更新流程为各职能部门的负责人对本部门的内部控制情况进行复核，根据流程变更和内部控制变化的情况对内部控制手册提出更新的要求。由各部门内控执行人员对内部控制手册更新或新增后，首先由部门经理对内部控制手册审核通过，对于跨部门的内部控制流程，由所涉及部门的经理共同确定，而后将内部控制手册提交主管副总审核，而后由公司内控小组复核更新的内容并提供意见，本手册的最终修订必须经公司总经理办公会批准后生效下发实施。第2章公司层面控制公司层面组织架构主要规范内容组织架构是指公司按照国家有关法律法规、股东（大）会决议和公司章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。职责与授权组织架构职责分配股东大会是公司最高权力机构，负责审批董事会上报关于内部控制事项的报告。董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。公司总经理负责组织内部人员或聘请外部专家对组织结构现状进行评估，并根据调整的权限完成组织结构调整初步方案或最终方案。审计部对内部控制的有效性进行监督检查。审计部对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。风险控制矩阵治理结构的设计与运行风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R01-01-01董事会、监事会、经理层的职责权限不明晰，未制定相应的议事规则及工作程序C01-01-01公司制定〈〈组织架构》内控文件，明确董事会及其各专门委员会、监事会和经理层的权限职责；制定〈〈三会议事规则》明确议事规则和工作程序。董事会监事会总经理不适用组织架构董事会议事规则监事会议事规则股东大会议事规则R01-01-02董事会、监事会、经理层相关人员不能满足履职要求C01-01-02公司制度规定董事会、监事会和经理层的任职资格，其人员构成、知识结构、能力素质应满足履职要求任职资格。董事监事高级管理层不适用公司章程R01-01-03未建立公司治理的良性运行机制C01-01-03董事会、董事会所属委员会、监事会需依照公司章程，遵守按照相关制度和规定各司其责。董事会监事会审计委员会薪酬与考核委员会提名委员会不适用董事会审计委员会工作细则董事会薪酬与考核委员会工作细则董事会提名委员会工作细则董事会战略委员会工作细则风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R01-01-04董事会、监事会、经理层没有致力于内控建设和执行管委会/董事会不能以自己的正直、理念、常识和不可置疑的独立性对管理层提出有建设性的意见，或者对公司的活动和事务提供前瞻性的和互动的监督C01-01-04-01董事会对公司内部控制的建立健全、有效实施及其检查监督负责。审计委员会协助董事会对公司的内部控制进行检查监督及评价，对内部控制检查监督工作报告进行审查，并定期向董事会做出报告。监事会负责对董事会建立与实施内部控制进行监督。董事会监事会审计委员会不适用内部控制管理办法C01-01-04-02财务部会同综合部、审计部联合推进公司内部控制持续改善工作，负责督促和指导各单位的内部控制建设和改善，以评审促改进，并确保其有效运行，持续改善。财务部综合部审计部不适用内部控制管理办法内部机构的设置与运行风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R01-02-01组织机构设置不科学、精简、高效、透明、权责匹配、相互制衡C01-02-01公司已经制定了组织架构图，各主要部门的组织结构比较清晰，职责比较明确。不适用不适用组织架构风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R01-02-02缺乏有效的权限设置，令公司的员工处理不应由他们负责的工作或在其应该承担责任时推卸相关责任。若公司没能很好地界定或落实各员工的职责范围，可能会导致员工做出了未经授权、违法或不道德的行为C01-02-02公司在岗位设置时，充分考虑不相容职责分离的要求，针对业务流程图、岗（职）位说明书和权限指引等制定管理制度或相关文件。不适用岗位职务描述表组织架构及职能方案R01-02-03C01-02-03公司制订了规则制度，明确规定了股东大会对董事会，董事会对董事长的授权原则和授权范围；以及明确了董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序。根据企业自身情况对重大决策和大额资金支付业务设定定义和标准；在销售、采购、投资管理制度、财务付款制度中体现出对“三重一大”实施集体决策审批或者联签制度的要求和规定；建立对重大事件按照规定的权限和程序进行集体决策审批或联签制度。董事会股东大会不适用公司章程董事会议事规则监事会议事规则股东大会议事规则内部信息报告制度重大事项通报制度领导人员管理办法R01-02-04对子公司没有控制力C01-02-04公司对子公司高级管理人员实行委派，从财务上严格控制子公司的活动（子公司无投资决策权，筹资活动需通过母公司财务总监批准），并以合同形式考核各子公司业绩。不适用不适用组织架构组织架构的评估调整风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R01-03-01组织机构不适应企业发展C01-03-01企业应当定期对组织架构设计与运行的效率和效果进行全面评估，发现组织架构设计与运行中存在缺陷的，应当进行优化调整。定期听取董事、监事、高级管理人员和其他员工的意见，按照规定的权限和程序审批通过后予以调整，并及时将调整结果以适当的形式通告企业全体员工。常见的组织架构调整包括：股权结构调整、治理结构调整、内部机构调整。综合部组织架构评价与调整制度管理层领导力风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度C01-04-01公司在高级管理层及业务团队管理层之间建立适当有序的交流沟通机制，确保信息的双向顺畅。通过合适的方式定期收集员工对管理层的反馈意见，并在管理层面进行沟通。办公室不适用C01-04-02公司高级管理层定期开展生产经营分析会，了解业务发展情况，并确保信息的双向沟通。高级管理层业务团队管理层不适用主要规范内容主要是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的长远发展目标与战略规划。职责与授权战略委员会：对公司长期发展战略规划进行研究并提出建议；负责股份公司战略规划；对战略实施的监控。业务发展部负责组织各部门进行发展战略的编制、调整和执行。负责对战略核心项目的调研、论证。负责战略执行的日常监督和评估。发展战略流程图各职能部门提供相关资料信息是结束—是否需要调整企业管理部总经理董事长战略委员会董事会编制完成战略规划报告组织总经理办公会讨论并审核开始根据战略发展需要提出战略规划要求进行内外部环境等基础研究，整理提供的资料分解战略规划目标，制定年度经营计划并下达C2-02-01-A、A/\.■C2-01-04-C审议是否通过审议是否通过C2-01-04-B审核审议是否通过审议是否通过A_/\201-04-A审核组织实施战略规划C2-02-02审核战略调整，调整公司战略规划组织总经理办公会讨论并审核各职能部门申请调整战略监督实施战略调整AC2-02-04\战略监督/C2-02-04X风险控制矩阵发展战略的制定风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R02-01-01发展战略的制定没有充分的依据C02-01-01公司根据发展目标，在分析外部环境和内部条件的现状及发展趋势的基础上，为公司长期生存和发展做出的未来一定时期内方向性、整体性和全局性的定位、发展目标和实施方案。业务发展部不适用xx发展规划管理制度R02-01-02公司没有设立负责战略规划制定及决策的相关机构C02-01-02公司设立董事会战略委员会，由董事会按照股东大会决议设立的专门工作机构，主要负责对公司长期发展战略和重大投资决策进行研究并提出建议。公司在董事会工作细则中对战略委员会的职责及议事规则等进行了规定。主要包括公司的发展战略，重要的投融资方案以及其他对公司发展产生重要影响的方面。董事会战略委员会不适用上海xx股份有限公司董事会战略委员会工作细则风险编号R02-01-03该控制活动相关的表单和单据不适用控制相关制度上海xx股份有限公司董事会战略委员会工作细则控制活动相关风险描述控制编号控制活动描述部门和人员战略规划的制定没有结C02-01-03委员会的主要职责权限：审核公司总经理提出的年度战略委员会合企业的实际情况，流于经营计划，并提出建议及提交董事会审议决定；对公董事会办公室形式司中长期发展战略规划进行研究，并提出建议及提交业务发展部董事会审议决定；根据公司中长期发展战略对公司重大新增投融资项目的立项、可行性研究等事宜进行研究、审议，并提出建议及提交董事会审议决定；对〈〈公司章程》规定须经董事会批准的重大资本运作进行研究，并提出建议及提交董事会审议决定；对公司合并、分立、增资、减资、清算以及其它影响公司发展的重大事项进行研究，并提出建议及提交董事会审议决定；对以上事项的实施进行检查督导；董事会授权的其它事宜。议事规则：委员会会议分为例会和临时会议。会议议题和会议由主任委员拟订，并通过董事会办公室工作人员送达委员会全体成员。委员会会议应由三分之二以上（含本数）的委员出席方可举行；会议以现场召开为原则。现场召开的委员会会议以举手方式进行表决；在采取通讯表决方式时，委员应当将其对审议事项的书面意见和投票意向在签字确认后传真至董事会办公室。委员会会议通过的议案和表决结果，应以书面形式报公司董事会。风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R02-01-04发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。C02-01-04-01公司综合考虑自身实际情况、市场地位、市场未来行情等因素，确定公司未来的发展目标。业务发展部不适用xx发展规划管理制度C02-01-04-02公司战略委员会的主要职责权限包括对公司长期发展战略规划进行研究并提出建议，并提出战略分步实施计划。公司战略委员会对董事会负责，委员会形成提案应提交董事会审议决定。股东大会董事会战略委员会不适用上海xx股份有限公司董事会战略委员会工作细则发展战略的实施与调整风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R02-02-01战略规划无法与公司实际经营结合，不能“落地”C02-02-01-01公司预算编制以战略目标导向为原则，年度预算的编制需根据公司长期战略目标、规划按年度分解目标，结合预算年度的市场预测和主要经营、投资和各项管理任务，制定预算年度的经营目标。财务部依据审批后公司战略规划的各年度经营目标与专项业务发展规划的年度分解目标，制定年度，并编制全面预算。财务部xx发展规划管理制度预算管理制度C02-02-01-02公司综合部和财务部等应采取多种形式（如年度会议、月度经营分析会、员工手则等）向各部门管理层和全体员工宣传公司的发展战略。综合部财务部不适用xx发展规划管理制度风险编号R02-02-02风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度战略规划的实施没有得C02-02-02公司业务发展部组织各部门及各业务单元进行战略规业务发展部不适用xx发展规划管理制度到有效监控划、战略偏差分析和战略控制，保证各部门经营计划与集团公司的战略一致。公司业务发展部应定期或不定期组织对战略规划执行进行评估，形成评估报告和改进建议向公司相关领导汇报。R02-02-03没有对战略规划进行定C02-02-03业务发展部负责规划实施评估工作的组织推进，各相业务发展部不适用xx发展规划管理制度期的评估及调整，因主管关职能部门、各制造部和子公司负责具体实施。规划原因对战略规划频繁变实施的检查每半年一次，每年的一季度组织对上一年动，导致资源浪费规划实施情况的进行全面的评估。三季度对当年上半年的规划执行情况进行检查评估。经公司领导审定后上报公司。每年提出规划评估报告，经公司审批后，下发各规划管理责任单位。规划评估报告是规划调整的基本依据，评估报告提出的规划执行效果纳入对各规划管理责任单位负责人的年度业绩考核。规划根据每年的检查评估结果进行调整。规划调整的主要依据是宏观环境、市场需求、竞争对手、突发事件和产业政策等变化以及规划的实施效果。主要规范内容人力资源管理，是指对企业组织生产经营活动而录用和任用的各种人员，包括董事、监事、高级管理人员和全体员工的管理。职责与授权综合部：制定公司人力资源发展规划、年度招聘计划，审核批准所属公司的招聘计划；负责公司招聘、培训、薪酬、福利、人事管理等制度的制定、完善及组织落实工作，并对所属公司相关制度的制定给予、指导审核；负责公司各部门的定岗定编及员工招聘、甄选和录用工作；负责公司外部人才储备体系及内部人才梯队建设，对人才任用提出建议；制定员工培训与职业生涯发展计划，并组织实施；负责员工的劳动关系、人事档案、奖惩、考勤、专业技术人员的职称管理、劳动争议处理等员工关系管理工作；负责公司工资总额、福利津贴总额的预算和申报工作，以及协助所属公司做好工资总额的预算和报表工作。审计部职责：负责对高级管理人员或关键岗位人员离职的离任审计工作风险控制矩阵人力资源引进和使用风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R03-01-01没有建立系统的人力资源开发机制及相关制度C03-01-01由公司综合部负责制定关于员工聘用、培训、辞退与辞职、健康与安全等方面的管理制度，具体包括〈〈员工招聘与录用办法》、〈〈劳动合同管理办法》、〈〈新员工入职培训管理办法》、〈〈员工考勤与休假管理方法》、〈〈员工离职管理办法》、〈〈领导人员管理办法》等。综合部〈〈员工招聘与录用办法》〈〈劳动合同管理办法》〈〈新员工入职培训管理办法》〈〈员工考勤与休假管理方法》〈〈员工离职管理办法》〈〈领导人员管理办法》R03-01-02没有制定人力资源发展规划或年度计划C03-01-02综合部综合考虑公司发展规划、各部门需求岗位的工作性质及部门实际人员情况等因素，根据公司岗位编制和用人部门的人员需求计划编制招聘计划，报公司领导审批。人员招聘需求提出的时间要求：一般岗位员工至少提前1个月、骨干员工及主管岗位员工至少提前1个半月、部门负责人及以上人员至少提前2个月。综合部用人部门人员需求计划申请表员工招聘与录用办法R03-01-03人力资源引进盲目而无序C03-01-03根据公司〈〈员工招聘与录用办法》用人部门根据部门的工作需要、工作岗位的具体要求，提出人员需求计划，经部□负责人签批后提交综合部。具体内容包括：岗位、人员数量、岗位工作职责、任职要求、到位时间等。综合部用人部门人员需求计划申请表员工招聘与录用办法风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度没有建立完善的人员入职程序C03-01-04-01招聘时先发出内外部（内部渠道是网站和熟人推荐，外部渠道是招聘会、网络、行业内推荐、劳务所）招聘公告，选择人员进行初步筛选、初试、复试、背景调查，择优录取。综合部用人部门应聘履历表测试题面试评价表背景调查表员工招聘与录用办法C03-01-04-02xx总部目前的员工均为xx集团内部调动，均在xx集团工作多年，对其背景有一定了解。如是外单位招聘则由综合部负责对应聘者在原单位的工作表现、技能、态度等进行了解与确认。综合部用人部门背景调查表员工招聘与录用办法C03-01-04-03公司制定了〈〈新员工入职培训管理办法》管理制度。其目的有三：1、为使新员工在入职前对公司有一个全方位的了解，认识并认同公司的企业文化，理解并接受公司的共同语言和行为规范。2、使新员工明确自已的岗位职责、工作任务和工作目标，了解公司的期望，鼓励新员工的士气。3、使新员工感受到公司的欢迎，让新员工体会到归属感，并尽快地融入公司的文化。综合部用人部门员工试用期考核表新员工入职培训管理办法风险编号R03-01-04风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R03-01-05员工入职的相关法律程序存在瑕疵C03-01-05自用工之日起，员工与公司建立劳动关系，应在一个月内订立书面劳动合同；劳动合同文本条款包括：用人单位名称、住所、法定代表人或主要负责人；劳动者姓名、住址、居民身份证或其他有效身份证件号码；劳动合同期限；工作内容和工作地点；工作时间和休息休假；劳动报酬；社会保险；劳动保护、劳动条件和职业危害防护；法律、法规规定应当纳入劳动合同的其他事项。综合部劳动合同管理办法R03-01-06未建立系统的员工培训机制C03-01-06新员工入职培训期为35天，但不同岗位可根据实际情况适当延长培训期。培训方式为脱岗培训和在岗培训。培训内容包括企业入职培训、安全教育、部门入职培训、上岗前应知应会。新员工在每项培训结束后，应开展考核工作。培训考核由综合部、安全员、用人部门根据不同培训内容分开考核，并只有在各项考核结果均合格后，确定新员工是否正式上岗。综合部安全员用人部门新员工入职培训考核记录表新员工入职培训管理办法员工激励与绩效风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R03-02-01未建立科学的绩效考核体系C03-02-01公司目前考核管理人员流程是在年初对其制定目标，每季度根据经营绩效指标对单位业绩情况进行季度分析，回顾指标完成情况，年末对经营绩效、个人行为规范、员工执行力、党风廉政等方面进行考评。对职能部门员工考核要由部门负责人每月对其进行为规范和业绩评估，分为优秀、良好、一般、待改进，年初确定关键指标，年终根据关键指标进行打分；对生产线员工每月进行考核，和生产经营指标挂钩，由班组长进行评分，根据技能和个人行为规范分档进行评估，以此确定奖金。综合部各部门人员〈〈员工考核制度》〈〈企业绩效考评体系》R03-02-02关键岗位人员管理不完善C03-02-02-01公司制度中应界定关键和敏感岗位。综合部各部门人员〈〈关键岗位轮岗管理制度》C03-02-02-02公司制度中应制定应轮岗的岗位类别、轮岗范围、轮岗周期、轮岗方式。综合部各部门人员〈〈关键岗位轮岗管理制度》人力资源的合同与退出风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R03-03-01未建立完善的员工离职程序C03-03-01-01〈〈劳动合同管理办法》中规定员工不能胜任工作，经过培训或者调整工作岗位，仍不能胜任工作的可以接触劳动合同。综合部相关员工劳动合同管理办法风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度C03-03-01-02公司规定：自用工之日起，员工与公司建立劳动关系，应在一个月内订立书面劳动合同。双方协商订立的专项培训协议、保密协议、竞业限制协议是劳动合同的重要组成部分。员工违反专项培训协议、保密协议、竞业限制协议等补充协议，应当依据协议约定支付违约金。综合部相关员工劳动合同管理办法BGBZZ02005员工考勤与休假管理办法-第2版C03-03-01-03辞职流程如下：1、员工在规定期限内提出辞职申请，提交〈〈员工离职申请表》；2、综合部门组织面谈，并填写〈〈离职面谈记录〉〉；3、综合部在收到〈〈员工离职申请表》及相关材料七日内通知员工办理离职手续。综合部相关员工员工离职申请表离职面谈记录员工离职管理办法C03-03-01-04离任审计对象主要包括：总经理、副总经理、财务总监、总经理助理等。检查的范围主要包括：主要检查被审计人授权执行情况，包括业务种类，以及人员、劳资管理和物品添置，有无违章违纪、越权行事、令行不止等情况。公司审计部负责并组织离任审计工作的具体实施，并相应的出具审计报告。公司应规定对关键岗位人员离职交接或离任审计。综合部中层以上管理人员员工离职申请表员工离职管理办法公司所属单位领导人员经济责任审计管理办法主要规范内容安全质量监督：健全企业安全生产机制，提高员工安全生产意识，使企业在合规、高效、安全的环境下快速成长。环境保护与资源节约：转变发展方式，实现清洁生产和循环经济；依靠科技进步和技术创新,着力开发可再生资源；建立完善检测考核体系，强化日常监控。促进就业与员工权益保护：结合实际需要，在满足自身发展的前提下，为国家和社会分担困难，促进充分就业。职责与授权安环部职责：负责股份公司及所属公司的安全生产、环境保护管理工作。负责公司安全保卫、消防和综合治理工作，协调公司内部突发事件的处理；综合部职责：负责公司招聘、培训、绩效考核、激励、薪酬、福利、人事管理等制度的制定、完善及组织落实工作，并对所属公司相关制度的制定给予、指导审核；品控部职责：负责建立公司质量管理体系并组织实施，保证产品达到公司质量目标。2.1.4.3业务流程1安全生产(1)安全生产检查流程(2)安全生产应急流程(1)废弃物处置流程(1)劳防用品管理流程BGBZZ02015劳防用品管理办法上海xx股份有限公司主责部门：综合部审核人：黄欢编制人：李援国风险控制矩阵1安全生产管理风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R04-01-01未建立安全生产相关的管理规定C04-01-01企业根据国家有关安全生产的规定，结合本企业情况，建立严格的安全生产管理体系、操作规范和应急预案，强化安全生产责任追究制度，切实做到安全生产。公司现编制了〈〈手册》（包括各岗位的〈〈安全生产职责制度》、〈〈安全生产管理制度》）安环部不适用安全生产责任制度安全生产管理办法R04-01-02没有建立安全生产管理的职能部门及提供必要的资源C04-01-02公司指定安环部为公司安全生产归口管理部门，负责协调各部门做好安全生产管理工作，并对公司安全生产情况进行监督检查，实施必要的考核制度，不断完善公司的安全生产管理工作安环部不适用R04-01-03没有进行必要的安全管理培训及宣传C04-01-03公司注重宣传安全第一、预防为主，通过公司内部刊物宣传，并将安全生产贯穿管理培训的各个环节，对特种岗位实行资格认证制度安环部不适用安全生产教育培训管理办法特种作业安全管理办法R04-01-04没有建立安全事故的处理机制C04-01-04公司制定统一的应急处理制度、具体的应急预案和设立紧急事务处理机构。安环部不适用安全生产应急管理制度安全事故管理办法2产品质量管理风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R04-02-01没有建立产品质量控制的相关规定C04-02-01公司结合ISO9001制定适用企业方方面面的质量控制和检验制度。工厂部不适用质量系统程序（制罐）质量系统程序（制盖）R04-02-02售后服务质量低下，侵害消费者利益C04-02-02公司制定售后服务制度来处理客户的诉求和建议。营销部不适用服务程序（制罐）客户投诉处理管理办法（制盖）环境保护管理风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R04-03-01没有建立有关环境保护及资源节约的意识及相关管理要求C04-03-01-01制定〈〈环境因素辨识控制程序》识别和评价公司活动、产品和服务中能够控制或能够施加影响的环境因素，确定重要环境因素，确保在建立、实施和保持环境管理体系时，对重要环境因素加以控制。安环部不适用环境因素辨识控制程序C04-03-01-02公司制定〈〈废弃物处置管理制度》以加强废料回收和循环利用安环部不适用废弃物处置管理制度R04-03-01没有对环境保护相关工作开展监督，发现问题未及时纠正。C04-03-01企业制定〈〈环境因素辨识控制程序》对环境保护定期开展监督检查，并制定〈〈应急准备和响应控制程序》应对紧急（非紧急）各类事故。安环部不适用环境因素辨识控制程序应急准备和响应控制程序促进就业与员工权益保护管理风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R04-04-01没有依法与员工签订劳动合同，侵害员工利益C04-04-01遵循相关法律与签订〈〈全日制劳动合同书》，必要时签订〈〈薪酬绩效考核合同》，及时确定劳动关系，保障员工利益.。公司设置职工代表大会制度及工会制度，并定期、积极开展活动，有效维护员工合法权益。综合部不适用劳动合同管理办法职工代表大会制度工会制度R04-04-02没有依法为员工缴纳社保，侵害员工利益C04-04-02企业应当及时办理员工社会保险，足额缴纳社会保险费，保障员工依法享受社会保险待遇。综合部社会保险缴费明细表人力资源业务控制流程R04-04-03对从事危险职业的员工未建立相关保护机制，工作时间超长C04-04-03企业应当按照有关规定做好健康管理工作，预防、控制和消除职业危害，按期对员工进行非职业性健康监护，对从事有职业危害作业的员工进行职业性健康监护。企业应当遵守法定的劳动时间和休假制度。公司制定了高危作业管理制度，对高危作业进行定义，并指导高危作业规范操作流程。并且制定动火作业审批制度，通过〈〈安全作业许可证》机制，保护员工健康安全。安环部不适用职业卫生管理办法职工劳动防护用品管理办法风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R04-04-04没有提供员工持续的职业培训技能C04-04-04积极开展员工职业教育培训，创造平等发展机会。公司各部门每年按公司发展要求与工作需要编制〈〈年度培训需求调查表》，综合部汇总形成〈〈年度培董事长总经理人事部年度培训需求调查表年度培训计划表员工教育培训管理办法训计划表》总经理批准以保证企业培训机制培训满足职工业务岗位需求，并避员工知识老化。公司还另设外部培训，与外请讲师培训，以适应变化的外部环境与内部需求，该方案根据培训方式金额不同需经综合部、总经理递进批准，以保证培训切实有效。主要规范内容加强企业文化建设，发挥企业文化在企业发展中的作用。构建企业文化评估体系，推进企业文化创新。职责与授权董事长职责：负责企业文化建设的控制环境建设，对企业文化核心的价值观，理念做相应原则性指引；总经理职责：对企业文化和评估建设的制度做出决策；综合部职责：负责具体的企业文化建设和评估的日常工作，制定企业文化建设方案，组织开展相关会议，培训，活动以推动企业文化建设，并做年度性的企业文化建设评估。风险控制矩阵1企业文化的建立风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R05-01-01公司没有开展企业文化方面的建设C05-01-01企业应当采取切实有效的措施，积极培育具有自身特色的企业文化，培育诚实守信的经营理念，引导和规范员工行为，打造以主业为核心的企业品牌，形成整体团队的向心力，促进企业长远发展。企业应当促进文化建设在内部各层级的有效沟通，加强企业文化的宣传贯彻，确保全体员工共同遵守。综合部公司员工不适用〈〈企业文化管理制度》R05-01-02董、监、高没有在企业文化建设过程中起到应有的作用，缺乏内部沟通C05-01-02董事、监事、经理和其他高级管理人员应当在企业文化建设中发挥主导和垂范作用，以自身的优秀品格和脚踏实地的工作作风，带动影响整个团队，共同营造积极向上的企业文化环境。综合部董事监事高级管理层不适用〈〈企业文化管理制度》R05-01-03企业文化建设流于形式，无法在企业员工层面落实C05-01-03-A企业文化建设应当融入生产经营全过程，切实做到文化建设与发展战略的有机结合，增强员工的责任感和使命感，规范员工行为方式，使员工自身价值在企业发展中得到充分体现。企业应当加强对员工的文化教育和熏陶，全面提升员工的文化修养和内在素质。综合部公司员工不适用〈〈企业文化管理制度》风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度C05-01-03-B企业应当培育体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神，以及团队协作和风险防范意识。公司规定主要负责人在企业文化建设中，需注重以自身的优秀品格和脚踏实地的工作作风带动影响整体团队，共同营造积极向上的文化环境。综合部主要负责人不适用〈〈企业文化管理制度》C05-01-03-C企业应当培育诚实守信的经营理念。综合部不适用〈〈企业文化管理制度》C05-01-03-D重视并购重组后的企业文化建设，平等对待被并购方的员工，促进并购双方的文化融合，并在内控制度中规范。综合部不适用〈〈企业文化管理制度》2企业文化的评估风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R05-02-01没有定期对企业文化建设进行评估C05-02-01-A建立企业文化评估制度，重点对董事、监事、经理和其他高级管理人员在企业文化建设中的责任履行情况、全体员工对企业核心价值观的认同感、企业经营管理行为与企业文化的一致性、企业品牌的社会影响力、参与企业并购重组各方文化的融合度，以及员工对企业未来发展的信心作出评估。公司通过问卷调查、深度访谈、历史资料整理、现场调查等方式，对企业文化建设情况进行调查，并由行政管理中心负责实施和汇总情况，上报公司高层，以作出评估。综合部董事监事经理其他高级管理人员行政管理人员不适用〈〈企业文化管理制度》风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度C05-02-01-B针对评估结果是否巩固和发扬文化建设成果，进而研究影响企业文化建设的不利因素，分析深层次的原因，及时采取措施加以改进。公司对于评估中发现的不利因素，由公司高层及时制定改进措施，对于重大问题，采取适当的方式予以披露以保证文化建设的朝既定方向前进。综合部高层管理人员不适用〈〈企业文化管理制度》主要规范内容信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。主要包括以下几个方面：1、信息系统的规划2、信息系统的开发与建设3、信息系统的运行，安全与维护职责与授权审计部职责信息化项目计划的制定和上报信息化办公设备及耗材采购信息化项目实施监督信息化运维监督管理xx本部主数据及权限维护分子公司IT管理员职责分子公司主数据及权限维护日常运维管理IT需求跟踪1信息化项目管理流程宝钢包装运维管理协作流程协作公司子公司IT审计部系统创新部公司领导I\运维处理/\紧急问题——6-02-01-CJC6-03-01-D'C6-03-01-EC6-03-01-F/C6-03-01-GC6-03-01-HC6-03-01-I需求理管维运每周运维报告月度运维I报告技术方案C6-02-01-D开发周报理管目项风险控制矩阵1信息系统规划风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R6-01-01信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下C6-01-01各部门或厂里提出信息化建设的需求计划，报主管领导后，报审计部，审计部内外部调研后提出初步方案，报给总经理，相关部门讨论并制定详细的计划，方案中会有目标、预算、人员配备、职责分工、经费保障和进度安排等内容，报总经理审批后成立项目小组实施。审计部与业务需求部门按项目计划共同进行项目实施。审计部分子公司IT管理员2015xx信息化项目管理办法2信息系统开发管理风险风险描述控制编号编号R6-02-01系统开发不符合内部控制要C6-02-01-求，授权管理不当，可能导A致无法利用信息技术实施有效控制控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度审计部分子公司IT管理员2015xx信息化项目管理办法1、审计部在充分了解业务部门的需求的基础上，推荐满足项目需求的技术途径和IT解决方案；根据项目建设需要，解决项目实施中的技术问题，分析项目技术风险；协调解决信息化建设项目之间的资源冲突；并向公司及相关部门提出建设意见。2、审计部与系统开发申请单位定期或不定期进行沟通，了解系统运行中存在的问题和需改进的缺陷，经筛选、整理后向协助开发商提出修正意见，并督促其修正。3、系统交付使用后，按“谁使用谁管理”的原则进行日常管理，使用主管部门、单位承担由于日常管理不力、操作不当造成后果的责任。编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度C6-02-01-B1、公司计算机信息系统采用权限密码方式进行管理，操作人员在进入计算机管理系统时，使用自己的权限密码并负责保密。审计部分子公司IT管理员xx信息系统运维管理办法2、操作人员所设置的密码不可过于简单，并且至少三个月修改一次，信息部负责检查用户密码的设置情况，并不定期通报，对多次不按要求修改密码的用户报人力资源部进行考核。使用权限或非本公司人员不得使用他人的权限密码进入公司计算机管理系统。操作人员在完成操作后，必须退出应用软件及时返回初始状态。3、如因部门人员变更或职位变更时，需填报〈〈帐号授权申请表》报信息部用于新增、注销或变更用户权限。每年信息部和各业务部门按内控互不相容要求及其用户的岗位职责进行权限清理，以避免将不相容职责的处理权限授予同一用户。C6-02-01-C信息系统中维护工具可以查询操作日志，确保了操作的可审计性，如有违规操作时，操作系统将无法进行下去。审计部分子公司IT管理员C6-02-01-D审计部负责信息系统开发全过程的跟踪管理，组织开发单位与内部各单位的日常沟通和协调，督促开发单位按照建设方案、计划进度和质量要求完成编程工作，对配备的硬件设备和系统软件进行检查验收，组织系统上线运行等。审计部分子公司IT管理员C6-02-01-E根据本次项目实施的内容，如果需要时，公司就组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。审计部分子公司IT管理员2015xx信息化项目管理办法2015xx信息化项目管理办法风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度C6-02-01-F审计部负责信息系统上线的各项准备工作，培训各用户单位的实际业务操作和系统管理人员，制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的，并制定详细的数据迁移计划。审计部分子公司IT管理员2015xx信息化项目管理办法信息系统运维管理风险编号风险描述控制编号控制活动描述控制活动相关部门和人员该控制活动相关的表单和单据控制相关制度R6-03-01系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行C6-03-01-A审计部对信息系统运行与维护，是通过制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行，以操作手册或备忘录的形式来执行。对安全、经营活动等有重大影响的信息系统异常情况，信息部及时上报主管领导、采取有效措施及时解决问题，确保公司生产经营的正常进行。审计部分子公司IT管理员xx信息系统运维管理办法C6-03-01-B审计部建立信息系统变更管理流程，信息系统变更应严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本;不得擅自改变软件系统环境配置。信息