内控手册怎么编?这里给你一些思路(后附模板)
内控手册(思路框架)
第一章 总则
一、说明内控手册的目的、意义、依据、范围、使用指南、维护更新等内容
1.目的:明确内控手册的编制目标和作用,指导公司建立和完善内部控制制度,规范公司各项业务活动,提高公司经营效率和效益,防范各类风险,保障公司合法合规经营,实现公司战略目标。
2.意义:阐述内控手册的重要性和必要性,分析内控手册对于公司治理、风险管理、内外部监督等方面的价值和作用。
3.依据:列出内控手册的编制依据,包括国家相关法律法规、规范性文件、标准规范等,以及公司相关章程、规章制度等。
4.范围:确定内控手册的适用范围,包括公司各级组织机构、各部门职能、各项业务流程等。
5.使用指南:介绍内控手册的使用方法和注意事项,包括如何查阅、理解、执行、评价等。
6.维护更新:说明内控手册的维护更新原则和程序,包括如何收集反馈意见、分析评估效果、提出修改建议、审批实施等。
二、定义内控相关的关键术语和概念
1.内部控制:对于组织目标实现过程中存在的风险,由组织管理层或其他人员实施或监督的一种过程。该过程旨在为组织目标实现提供合理保证。
2.内部环境:影响组织内部控制有效性的因素,包括组织文化、价值观、道德水平、人力资源政策、组织结构等。
3.风险评估:对组织目标实现过程中可能遇到的风险进行识别、分析和评价的活动。
4.控制活动:为了减轻或消除风险对组织目标实现的影响而采取的具体措施或行为,包括预防性控制和检测性控制。
5.信息与沟通:为了支持内部控制有效运行而获取、记录、存储、传递和使用信息的活动,以及为了促进内外部利益相关方之间协调一致而进行信息交流的活动。
6.监督与评价:为了检查和评价内部控制设计与运行是否有效而进行的活动,包括自我评价和独立评价。
(举例:第一章 总则)
本手册是公司内部控制的基本文件,旨在指导公司建立和完善内部控制制度,规范公司各项业务活动,提高公司经营效率和效益,防范各类风险,保障公司合法合规经营,实现公司战略目标。
本手册的编制具有重要的意义和必要性。一方面,本手册可以帮助公司建立健全的内部控制体系,提升公司治理水平,增强公司抵御风险的能力,提高公司运营质量,增加公司价值。另一方面,本手册可以帮助公司满足法律法规和市场要求,增强公司透明度和信誉度,赢得股东、客户、供应商、政府、社会等利益相关方的信任和支持。
本手册的编制依据主要包括以下内容:
-国家相关法律法规,如《中华人民共和国公司法》、《中华人民共和国证券法》、《企业会计准则》等;
-国家相关规范性文件,如《企业内部控制基本规范》、《企业内部控制配套指引》、《上市公司信息披露管理办法》等;
-国际或国内相关标准规范,如《国际内部审计标准》、《财务报告内部控制审计准则》、《质量管理体系要求》等;
-公司相关章程、规章制度等。
本手册适用于公司全体员工及其所属各级组织机构、各部门职能、各项业务流程。本手册是公司内部控制的指导性文件,不涉及具体的操作细节。各级组织机构、各部门职能、各项业务流程应根据本手册的要求,结合自身的实际情况,制定相应的内部控制细则或程序,并按照本手册和细则或程序执行。
本手册的使用方法和注意事项如下:
-本手册应由公司内部控制领导小组负责统一发布和解释,并定期进行培训和宣传,以提高员工对内部控制的认识和理解。
-本手册应由各级组织机构、各部门职能、各项业务流程负责人负责执行和监督,并定期进行自我评价和检查,以保证内部控制的有效运行。
-本手册应由内部审计部门或委员会负责检查和评价,并定期出具审计报告,并向内部控制领导小组汇报审计结果,以保证内部控制的合规性和有效性。
-本手册应由外部审计机构负责审计,并出具审计报告,并向董事会汇报审计结果,以保证内部控制的独立性和客观性。
本手册的维护更新原则和程序如下:
-本手册应根据国家法律法规、市场环境、业务变化等因素进行定期或不定期的修订和完善,以保证内部控制的适应性和时效性。
-本手册的修订和完善应由内部控制领导小组牵头,征求各级组织机构、各部门职能、各项业务流程的意见和建议,并结合内外部审计的结果和反馈,进行分析评估,提出修改方案,并报董事会审批,实施后发布。
-本手册的修订和完善应及时通知全体员工,并进行培训和宣传,以保证内部控制的一致性和连续性。
为了便于理解和使用本手册,本手册对内部控制相关的关键术语和概念进行了定义,如下:
-内部控制:对于组织目标实现过程中存在的风险,由组织管理层或其他人员实施或监督的一种过程。该过程旨在为组织目标实现提供合理保证。
-内部环境:影响组织内部控制有效性的因素,包括组织文化、价值观、道德水平、人力资源政策、组织结构等。
-风险评估:对组织目标实现过程中可能遇到的风险进行识别、分析和评价的活动。
-控制活动:为了减轻或消除风险对组织目标实现的影响而采取的具体措施或行为,包括预防性控制和检测性控制。
-信息与沟通:为了支持内部控制有效运行而获取、记录、存储、传递和使用信息的活动,以及为了促进内外部利益相关方之间协调一致而进行信息交流的活动。
-监督与评价:为了检查和评价内部控制设计与运行是否有效而进行的活动,包括自我评价和独立评价。
第二章 内部环境
一、描述公司的发展战略、组织结构、社会责任、企业文化等方面
1.发展战略:介绍公司的愿景、使命、核心价值观等,以及公司根据市场环境和自身优势制定的中长期发展目标和战略规划。说明公司如何将发展战略分解为具体可衡量可执行的年度计划和业务目标,并如何进行监督和考核。
2.组织结构:介绍公司的组织架构和职能分工,以及公司的法人治理结构,包括董事会、监事会、高级管理层等。说明公司如何建立有效的权责分明、相互制衡、相互协作的组织机制,以及如何建立健全的内部控制职责体系,包括内部控制领导小组、内部控制工作小组、内部审计部门等。
3.社会责任:介绍公司如何履行对股东、员工、客户、供应商、社会等利益相关方的责任,以及如何在经营活动中遵守法律法规、保护环境资源、参与公益慈善等。说明公司如何建立社会责任管理体系,包括社会责任目标、政策、措施等,以及如何进行社会责任报告和评价。
4.企业文化:介绍公司的企业理念、精神、风格等,以及公司如何通过培训、激励、沟通等方式,将企业文化融入到员工的思想和行为中,形成良好的工作氛围和团队精神。说明公司如何建立符合企业文化的道德规范和行为准则,以及如何进行道德教育和监督。
二、介绍公司的人力资源管理流程,包括人力资源规划、招聘、培训、考核、薪酬、福利等
1.人力资源规划:介绍公司如何根据发展战略和业务目标,确定人力资源需求和供给,制定人力资源发展规划,包括人员数量、结构、质量等方面。说明公司如何建立人力资源规划的实施和监督机制,以及如何根据内外部环境变化进行调整和优化。
2.招聘:介绍公司如何根据人力资源规划,确定招聘需求和标准,制定招聘计划和预算,开展招聘活动,包括发布招聘信息、接收应聘者资料、进行初审筛选、安排面试考核等。说明公司如何建立公平公正公开的招聘原则和程序,以及如何进行招聘效果的评价和反馈。
3.培训:介绍公司如何根据员工的岗位要求和个人发展需要,确定培训需求和目标,制定培训计划和预算,开展培训活动,包括选择培训方式、安排培训内容、组织培训实施等。说明公司如何建立科学合理的培训体系和方法,以及如何进行培训效果的评价和反馈。
4.考核:介绍公司如何根据员工的岗位职责和业绩目标,确定考核指标和标准,制定考核方案和方法,开展考核活动,包括收集考核数据、进行考核评分、给出考核结果等。说明公司如何建立客观公正透明的考核原则和程序,以及如何进行考核结果的沟通和申诉处理。
5.薪酬:介绍公司如何根据员工的岗位价值和个人贡献,确定薪酬水平和结构,制定薪酬政策和制度,开展薪酬管理,包括核算发放薪酬、调整变动薪酬、进行薪酬分析等。说明公司如何建立合理公平激励的薪酬原则和机制,以及如何进行薪酬水平的市场调研和比较。
6.福利:介绍公司如何根据员工的基本需求和福利期望,确定福利项目和标准,制定福利政策和制度,开展福利管理,包括提供各类保险、补贴、奖金、假期、活动等。说明公司如何建立符合法律法规和市场惯例的福利原则和程序,以及如何进行福利效果的评价和反馈。
第三章 风险评估
一、概述风险评估的目标、原则、方法和步骤
1.目标:明确风险评估的作用和意义,即为了识别和评价影响公司目标实现的各类风险,为制定和执行内部控制提供依据和指导。
2.原则:遵循风险评估的基本原则,包括全面性、系统性、动态性、层次性、参与性等。
3.方法:介绍风险评估的常用方法,包括定性分析和定量分析,以及各种工具和技术,如风险矩阵、风险图谱、风险敏感度分析等。
4.步骤:介绍风险评估的基本步骤,包括确定评估范围和对象、识别评估风险、分析评估风险、评价评估风险、制定评估报告等。
二、建立风险评估机制,包括风险识别、分析、评价、应对等
1.风险识别:介绍公司如何根据内外部环境变化和业务活动特点,采用自上而下或自下而上的方式,运用头脑风暴、访谈调查、文件分析等方法,识别出可能影响公司目标实现的各类风险,并将其归类为战略风险、运营风险、财务风险、合规风险等。
2.风险分析:介绍公司如何根据风险的发生可能性和影响程度,采用定性或定量的方式,运用概率分布、历史数据、专家判断等方法,分析各类风险的大小和特征,并将其划分为高风险、中风险、低风险等。
3.风险评价:介绍公司如何根据公司的风险承受能力和容忍度,采用综合或单一的方式,运用加权平均、层次分析、多准则决策等方法,评价各类风险的优先级和重要性,并将其排序或排列为重点关注风险、一般关注风险、可忽略风险等。
4.风险应对:介绍公司如何根据各类风险的评价结果,采用规避、转移、减轻或接受的方式,运用预防控制、检测控制、保险转嫁、应急处理等方法,制定并执行相应的风险应对措施,并将其纳入内部控制活动中。
三、重点关注制造业相关的风险,如市场风险、技术风险、质量风险、安全风险等
1.市场风险:介绍公司如何识别和应对市场需求变化、竞争压力增大、价格波动等可能影响公司销售收入和利润水平的市场因素。例如,通过开展市场调研和分析,及时了解市场动态和客户需求,调整产品结构和销售策略,提高市场占有率和客户满意度;通过制定合理的定价机制和价格调整流程,根据成本变化和市场供求,合理确定和调整产品价格,保持价格竞争力和利润空间等。
2.技术风险:介绍公司如何识别和应对技术落后、创新不足、知识产权侵权等可能影响公司产品质量和竞争力的技术因素。例如,通过加大研发投入和人才引进,提高技术创新能力和水平,开发新产品和新工艺,提升产品性能和附加值;通过建立完善的知识产权管理制度和流程,保护自身的知识产权,防止被侵权或侵权他人,避免纠纷和损失等。
3.质量风险:介绍公司如何识别和应对原材料不合格、生产过程失控、产品缺陷等可能影响公司产品质量和信誉的质量因素。例如,通过建立严格的供应商管理制度和流程,对供应商进行资质审查、合同签订、质量检验等,确保原材料的质量和数量;通过建立完善的生产管理制度和流程,对生产过程进行规范控制、监督检查、异常处理等,确保生产过程的稳定和有效;通过建立健全的产品管理制度和流程,对产品进行出厂检验、追溯标识、售后服务等,确保产品的合格率和满意度等。
4.安全风险:介绍公司如何识别和应对设备故障、人员伤亡、环境污染等可能影响公司生产安全和社会责任的安全因素。例如,通过建立严格的设备管理制度和流程,对设备进行定期检修、维护保养、故障排除等,确保设备的正常运行和安全性;通过建立完善的安全管理制度和流程,对员工进行安全培训、督促执行、事故预防等,确保员工的安全意识和操作规范;通过建立健全的环境管理制度和流程,对废气、废水、废弃物等进行有效处理、回收利用、合规排放等,确保环境的保护和改善等。
第四章 控制活动
根据公司的主要业务流程,设计相应的控制活动,包括授权、审核、监督、记录等
1.销售管理:介绍公司如何对销售代理、销售政策、销售价格、销售收款与财务对账等销售相关的业务活动进行控制。例如,通过建立销售代理管理制度和流程,对销售代理进行资质审查、合同签订、业绩考核等,确保销售代理的合法合规和有效性;通过建立销售政策控制制度和流程,对销售政策进行制定审批、发布执行、变更调整等,确保销售政策的合理性和一致性;通过建立销售价格制定制度和流程,对销售价格进行市场调研、成本分析、定价审批等,确保销售价格的科学性和适当性;通过建立销售收款与财务对账制度和流程,对销售收款进行收款确认、发票开具、账目核对等,确保销售收款的准确性和及时性。
2.固定资产及无形资产管理:介绍公司如何对固定资产及无形资产的取得、管理、处置等业务活动进行控制。例如,通过建立固定资产取得管理制度和流程,对固定资产的采购计划进行编制审批、招投标管理、合同签订等,确保固定资产的采购合理性和经济性;通过建立固定资产管理制度和流程,对固定资产的验收入账、存放使用、折旧摊销、盘点核实等,确保固定资产的账实一致和价值保存;通过建立固定资产处置管理制度和流程,对固定资产的报废报损、转让出售、捐赠处理等,确保固定资产的处置合法合规和效益最大化;通过建立无形资产管理制度和流程,对无形资产的取得确认、存放使用、摊销计提、减值测试等,确保无形资产的账实一致和价值体现。
3.存货管理:介绍公司如何对存货相关的业务活动进行控制。例如,通过建立存货管理制度和流程,对存货的采购计划进行编制审批、供应商选择管理、合同签订等,确保存货的采购合理性和经济性;对存货的验收入库、存放保管、出库发料等,确保存货的数量质量和安全防损;对存货的盘点核实、账务处理、减值测试等,确保存货的账实一致和价值体现。
4.采购管理:介绍公司如何对采购相关的业务活动进行控制。例如,通过建立招投标管理制度和流程,对采购项目进行立项审批、招标文件编制、招标公告发布、投标文件接收、评标结果确定等,确保招投标管理的公平公正公开;通过建立合格供方管理制度和流程,对供应商进行资质审查、信用评价、分类管理等,确保供应商的合法合规和优质高效;通过建立办公用品采购管理制度和流程,对办公用品的需求申请、采购计划、采购执行、验收入库等,确保办公用品的采购合理性和经济性。
5.生产管理:介绍公司如何对生产相关的业务活动进行控制。例如,通过建立生产计划管理制度和流程,对生产计划进行编制审批、发布执行、调整变更等,确保生产计划的科学性和可行性;通过建立生产过程控制制度和流程,对生产过程进行规范操作、监督检查、异常处理等,确保生产过程的稳定性和有效性;通过建立生产成本控制制度和流程,对生产成本进行核算分析、预算控制、费用节约等,确保生产成本的准确性和合理性。
6.质量管理:介绍公司如何对质量相关的业务活动进行控制。例如,通过建立质量管理体系,包括质量方针、质量目标、质量组织、质量文件等,确保质量管理的系统性和规范性;通过建立质量控制制度和流程,对原材料、半成品、成品等进行进货检验、过程检验、出厂检验等,确保质量控制的全面性和有效性;通过建立质量改进制度和流程,对质量问题进行分析识别、整改措施、效果验证等,确保质量改进的持续性和有效性。
第五章 信息与沟通
一、建立完善的信息系统,保证信息的及时获取、准确记录、安全存储和有效传递
1.信息获取:介绍公司如何根据内部控制的需要,从内部或外部获取相关的信息,包括业务数据、市场信息、法律法规等,并将其转化为可用的信息。说明公司如何建立信息获取的渠道和方式,以及如何保证信息获取的及时性和完整性。
2.信息记录:介绍公司如何根据内部控制的需要,对获取的信息进行准确无误地记录,并形成相应的文件或报表。说明公司如何建立信息记录的规范和方法,以及如何保证信息记录的准确性和一致性。
3.信息存储:介绍公司如何根据内部控制的需要,对记录的信息进行安全可靠地存储,并便于查询和使用。说明公司如何建立信息存储的设施和技术,以及如何保证信息存储的安全性和可靠性。
4.信息传递:介绍公司如何根据内部控制的需要,对存储的信息进行有效有序地传递,并使其能够被正确理解和使用。说明公司如何建立信息传递的渠道和方式,以及如何保证信息传递的有效性和有序性。
二、建立有效的沟通机制,保证信息的顺畅流动,促进内部各部门和层级之间以及外部各利益相关方之间的沟通协作
1.内部沟通:介绍公司如何通过会议、报告、通知、建议等方式,实现内部各部门和层级之间的信息交流和意见反馈,以及如何解决内部沟通中可能出现的障碍和问题。说明公司如何建立内部沟通的原则和制度,以及如何保证内部沟通的及时性和有效性。
2.外部沟通:介绍公司如何通过公告、报告、协议、咨询等方式,实现与外部各利益相关方,如股东、客户、供应商、政府、社会等的信息交流和意见征求,以及如何处理外部沟通中可能出现的冲突和危机。说明公司如何建立外部沟通的原则和制度,以及如何保证外部沟通的合法性和透明度。
第六章 监督与评价
一、建立内部监督机构,如内部审计部门或委员会,负责对内部控制的执行情况进行定期或不定期的检查和评价
1.内部审计:介绍公司如何根据内部控制的需要,设立内部审计部门或委员会,明确其职责权限、组织架构、人员配置等。说明公司如何建立内部审计的规范和方法,包括审计计划、审计程序、审计报告等。说明公司如何对内部审计工作进行监督和评价,以及如何处理内部审计发现的问题和建议。
2.其他监督:介绍公司如何根据内部控制的需要,设立或利用其他监督机构或人员,如董事会、监事会、质量管理部门、财务管理部门等,对内部控制的执行情况进行监督和评价。说明公司如何建立其他监督的规范和方法,包括监督目标、监督内容、监督方式等。说明公司如何对其他监督工作进行协调和支持,以及如何处理其他监督发现的问题和建议。
二、建立外部监督机制,如聘请会计师事务所对财务报告内部控制进行审计,并披露审计报告
1.财务报告内部控制审计:介绍公司如何根据法律法规和市场要求,聘请具有资质和独立性的会计师事务所,对财务报告内部控制进行审计,并出具审计报告。说明公司如何选择和管理会计师事务所,以及如何配合和支持其审计工作。说明公司如何披露财务报告内部控制审计报告,以及如何处理审计报告中发现的问题和建议。
2.其他外部监督:介绍公司如何根据法律法规和市场要求,接受或主动寻求其他外部机构或人员,如政府监管机构、行业协会、第三方评价机构等,对内部控制进行监督和评价。说明公司如何与其他外部监督机构或人员进行沟通和协作,以及如何处理其他外部监督发现的问题和建议。
三、建立内部控制缺陷报告和整改机制,对发现的内部控制问题进行及时汇报和整改,并跟踪效果
1.内部控制缺陷报告:介绍公司如何根据内部控制的需要,建立内部控制缺陷报告制度和流程,规定内部控制缺陷的定义、分类、报告内容、报告方式、报告对象、报告时限等。说明公司如何对内部控制缺陷进行汇总分析,以及如何对内部控制缺陷报告进行审查和反馈。
2.内部控制缺陷整改:介绍公司如何根据内部控制的需要,建立内部控制缺陷整改制度和流程,规定内部控制缺陷的整改责任、整改措施、整改时限、整改验证等。说明公司如何对内部控制缺陷进行跟踪监督,以及如何对内部控制缺陷整改效果进行评价和反馈。
第七章 附录
一、列出内控手册中引用或参考的相关法律法规、规范性文件、标准规范等
1.法律法规:列出与内部控制相关的国家法律法规,如《中华人民共和国公司法》、《中华人民共和国证券法》、《企业会计准则》等。
2.规范性文件:列出与内部控制相关的行业或地方的规范性文件,如《企业内部控制基本规范》、《企业内部控制配套指引》、《上市公司信息披露管理办法》等。
3.标准规范:列出与内部控制相关的国际或国内的标准规范,如《国际内部审计标准》、《财务报告内部控制审计准则》、《质量管理体系要求》等。
二、列出内控手册中使用或提供的相关表格、模板、样例等
1.表格:列出内控手册中使用或提供的相关表格,如风险评估表、风险应对表、审计计划表、审计报告表等,并给出表格的格式和填写说明。
2.模板:列出内控手册中使用或提供的相关模板,如招标文件模板、合同模板、质量检验单模板等,并给出模板的格式和填写说明。
3.样例:列出内控手册中使用或提供的相关样例,如销售政策样例、财务报告样例、社会责任报告样例等,并给出样例的内容和解释说明。
尾记:内控手册的形式有很多,有的公司仅将内控手册作为公司内控管理的纲领性文件(比如本文),具体的制度流程等作为附件或者另外编制管理手册;有的公司直接将制度流程、控制矩阵、风险库、权限指引等内容进行整合,作为手册正文本身。手册形式不重要,甚至有没有内控手册也不重要,重要的还是要培养内控文化环境,搭建良性运转的内控管理机制,有制度、有落实、有检查、有整改,能够通过内控管理合理保证内控目标的实现。