风险管理内部控制制度
 
第一章  总  则
第一条  为加强**公司（以下简称“公司”）风险管理的内部控制，规范风险管理行为，根据《中华人民共和国会计法》、《中华人民共和国公司法》、《企业会计准则》等法律法规，制定本制度。
第二条  风险管理工作是由公司的董事会、经营管理层和公司员工共同参与，应用于公司战略发展规划的制定和公司内部业务的各个环节和部门的，用于识别可能对公司造成潜在影响的事项并在其风险偏好范围内管理风险的，为公司经营目标的实现提供合理保证的风险控制过程。风险管理工作是在公司内部控制体系基础上开展的一项高级管理工作。
第三条  风险管理内部控制目标：
（一）识别可能对公司造成潜在影响的事项并在其风险偏好范围内管理风险。
（二）为公司董事会和经营管理者实现公司经营目标提供合理的保证。包括并不限于：经济并有效的使用资源；防止资产流失；信息的可靠性与整体性；与政策、计划、程序、法律法规保持一致。
 
第二章  风险管理内部控制的内容
一、目标制定
第四条  公司目标的制定和分类应有利于使公司董事会和经营管理者识别公司风险管理的不同方面。目标应包括四类：
（一）战略目标。战略目标与公司的经营目标和预期相联系并支持公司的经营目标和预期的实现。
（二）经营目标。经营业绩目标和盈利能力目标应与公司组织结构和经营管理方式相联系。
（三）报告目标。有效的报告应包括公司内部的报告和外部的报告，同时包括财务信息和非财务信息。
（四）合法性目标。公司业务要符合国家相关的法律和法规规定。
二、事项识别
第五条  公司管理者应对具有不确定性的事项进行识别。对公司有正面影响的事项，应采取行动抓住机遇。对公司有负面影响的事项，在风险的评估和应对阶段应予以重点关注。
第六条  风险事项包括外部事项和内部事项。公司应重点关注如下风险事项和风险源：需求风险、技术风险、资源风险、管理风险、沟通风险、环境风险等。
三、风险评估
第七条  公司应从长期发展角度认识风险，不应只关注中短期的风险。
第八条  风险评估中应对如下风险参数做出评估：风险发生的可能性、风险危害的程度、启动风险监控活动的临界值、风险监控的优先级等。
第九条  风险评估过程中应充分收集相关信息，识别风险源种类，并对识别出的风险源进行细化和分解，对其发生的概率和损失程度等进行合理的估计。公司应根据以往经营管理中积累的经验，确定各类业务及项目的可接受风险水平，并进而确定风险监控的重点。
四、风险应对
第十条  公司经营层在风险容忍度和成本效益原则的前提下，设计和执行风险应对方案。风险应对方式分为规避风险、减少风险、共担风险和接受风险四类。
第十一条  选定风险应对方案后，应在剩余风险的基础上重新评估风险，以评价选定的风险应对方案的适当性并控制剩余风险。
第十二条  需求风险的应对：
对于风险临界值之内的需求变更，可采用减少风险、共担风险和接受风险的应对措施。超出风险临界值的需求变更，采取规避风险的应对措施。为应对需求风险，须重点完善合同相关条款，明确约定需求变更实施的主要流程、限定变更次数等。
第十三条  技术风险的应对：
对于原技术方案设计存在错误或不能完全满足需求的情况，应采用减少风险策略，尽量缩小影响面积，避免较大改动。
对于需要重新设计技术方案的情况，根据项目进度选择不同应对措施：在项目早期可选择接受风险；在项目后期，应采取共担风险和规避风险的应对措施。
为应对技术风险，须对系统设计人员的技术能力和设计经验规定指标、要求系统设计人员参与需求分析过程、系统设计具有较高的灵活性等。
第十四条  资源风险的应对：
项目进行中如发生人员流失，应启用候选人员或合作者以减少风险；项目中途出现人员不足或现有人员不能胜任某项工作的情况，应采取临时借调或部分外包的应急措施。
第十五条  管理风险的应对：
对于立项阶段的决策失误，应尽早中止减小损失；对于计划不合理，发现时应及时修订计划、重新做出合理安排。
第十六条  沟通风险的应对：
对发现的沟通障碍，应根据问题的性质及时进行处理，或汇报到相关负责人处及时进行协调解决。
沟通应注意如下环节的沟通：与用户的沟通、项目组内部沟通、项目组与合作者间的沟通、相关部门间的沟通等。
第十七条  环境风险的应对：
公司应成立专门机构或指定专门人员开展政策研究，准确把握政策变动方向，降低主营业务收入的政策性影响。对法律法规和行业标准做出研究，预测可能发生的变化；必要时向有关专家进行咨询。公司应开展经济形势、经济周期、行业态势等多方面的宏观经济研究，提供决策支持，应对风险。
对市场变化趋势以及竞争对手进行深入研究，预测可能发生的变化。公司有关方案设计要具有前瞻性和灵活性，适应变化的需求。特定条件下可以争取将竞争对手转化为合作伙伴或采取适当措施降低环境风险。
五、各业务模块内部控制的关键风险控制点
第十八条  公司风险管理应在其他内部控制制度的基础上开展，严格执行各业务模块内部控制制度，落实各风险控制点的实施。各业务模块的主要风险和关键控制点见附表。
六、会计控制
第十九条  公司应严格执行《企业会计准则》和《公司主要会计政策》，特别要遵照《企业会计准则——或有事项》对各风险事项及时进行相关记录，保证公司资产的安全完整，正确反映公司的财务状况。
 
第三章  附  则
第二十条  本制度由公司**部负责解释。

内部控制审计制度
 
公司筹（融）资与投资内部控制审计制度
 
第一章  总  则
第一条  为了加强公司（以下简称“公司”）对筹（融）资、投资的内部控制审计，规范筹（融）资与投资行为，根据《中华人民共和国审计法》、《审计署关于内部审计工作的规定》、《内部审计准则》等法律法规及公司相关制度，制定本制度。
第二条  本制度所称的筹（融）资主要包括筹（融）资包括股权筹（融）资和债权筹（融）资。本制度所称的投资主要包括理财型投资、股权型投资及固定资产投资。
第三条  本办法适用于本公司筹（融）资与投资内部控制审计工作。
 
第二章  项目管理内部控制审计
第四条  审查项目管理是否建立了相应的管理制度和内部控制制度，已建立的制度是否健全、完整和有效。
第五条  审查项目管理岗位是否职责分工明确，不相容岗位是否分离。
第六条  审查决策审批程序是否符合相关规定。
第七条  组织保证条件方面：
（一）是否有健全的筹（融）资与投资项目管理体制和组织机构，并配备了适当的管理人员。
（二）是否建立了项目责任制和岗位责任制，管理人员的职责分工是否明确，岗位设置和职责分工是否体现了控制和制约的原则。
（三）是否建立了完善的监督检查制度，管理部门是否定期了解项目的进展情况，分析经济效果，实施及时的组织协调工作。
第八条  立项控制方面：
（一）是否提出项目的申请报告。
（二）是否有项目的可行性研究报告。
（三）是否对相关情况进行了调查。
（四）项目是否符合国家的有关规定，是否严格按规定的程序办理了审批手续。
第九条  计划预算控制方面：
（一）重大项目是否纳入预算进行管理。
（二）重大项目预算编制的程序是否完善，编制的依据是否充分。
（三）重大项目的预算是否按规定程序经过批准。
（四）合同（协议）的签订是否有严格的会签与审批程序。
第十条  项目经费控制方面：
（一）项目所需资金是否属于项目预算范围。
（二）项目资金是否按预算和协议拨付，是否经过有关部门及领导的审批。
（三）项目资金是否做到专款专用。
第十一条  会计核算控制方面：
（一）是否已建立各种项目的账务核算配置系统，实行项目的总分类核算和明细分类核算。
（二）是否对项目有关的账目定期进行清查核对。
（三）对项目会计核算的程序、方法是否完善合规、数量是否正确。
第十二条  债券、股票及投资资产的保管及定期盘点方面。
（一）债券、股票及投资资产的保管是否能有效的保证财产的安全与完整。
（二）投资的资产是否及时到位，有无被临时挪用的漏洞。
（三）是否对相关资产及单据定期盘点并与会计记录核对。
第十三条  项目后期控制方面。
（一）债券利息支付、股票股利发放等审批手续是否齐全，程序是否完整，是否合法、合规、及时准确。
（二）筹（融）集资金的使用是否合理有效。
（三）是否对投资的效果进行了分析和总结。
（四）处置投资资产时是否经过了严格的审批手续，是否经过了合理的财务分析。
（五）处置程序是否得当，处置资产所得款项是否及时回收。
 
第三章  附  则
第十四条  本规范由公司审计法律部负责解释。
 

公司固定资产管理内部控制审计制度
 
第一章  总  则
第一条  为了加强公司（以下简称“公司”）对固定资产管理的内部控制审计，规范固定资产管理行为，根据《中华人民共和国审计法》、《审计署关于内部审计工作的规定》、《内部审计准则》等法律法规及公司相关制度，制定本制度。
第二条  本制度所称的固定资产是指生产商品、提供劳务、出租或经营管理持有的，且使用寿命超过一个会计年度的房屋、建筑物、机器、设备、器具、工具等资产。
第三条  本办法适用于本公司及所属分公司、控股子公司的固定资产管理内部控制审计工作。
 
第二章  固定资产管理内部控制审计
第四条  审查固定资产管理是否建立了相应的管理制度和内部控制制度，已建立的制度是否健全、完整和有效。
第五条  审查固定资产核算与管理的相关部门岗位设置是否齐全，职责分工是否明确，不相容岗位是否分离。
第六条  审查固定资产预算、取得及处置是否符合内控流程，履行审批手续。
第七条  审查固定资产的验收、内部转移、调拨使用、报废清理等变动记录、流程是否符合相关规定。
第八条  审查对大型固定资产的维修保养状况否符合相关规定。要求对生产经营用的机器、汽车等易磨损、需定期保养的固定资产，按固定资产项目，逐个建立固定资产定期维修、保养记录，从而保证固定资产的正常运行，有效延长固定资产的使用寿命。
第九条  审查固定资产的日常盘点是否符合相关规定。要求对固定资产定期进行清查盘点，并对清查盘点中发生的盘盈、盘亏、毁损等情况及时查明原因，分清责任，进行相应的会计处理。
第十条  审查固定资产的会计核算是否符合相关规定。要求及时计帐，正确计提固定资产折旧，保证帐实相符。
 
第三章  附则
第十一条  本规范由公司审计法律部负责解释。
 
 
 
 
 

公司会计业务内部控制审计制度
 
第一章  总  则
第一条  为了加强公司（以下简称“公司”）对会计业务内部控制的审计工作，保证审计工作质量，根据《中华人民共和国审计法》、《审计署关于内部审计工作的规定》、《内部审计准则》等法律法规及公司相关制度，制定本制度。
第二条  本制度所称的会计业务内部控制审计，是审计部门和审计人员依据国家的方针、政策和法律法规及本公司的有关规章制度，对被审计单位会计内部控制的合规、健全与有效性进行的审计监督活动。
第三条  本办法适用于本公司及所属分公司、控股子公司的会计业务内部控制审计工作。
 
第二章  会计业务内控审计
第四条  审查会计业务内部控制是否有合理的组织保证：
（一）是否设置独立的机构对公司经济业务进行会计核算和财务管理。
（二）是否配备适量的，符合岗位业务要求的人员。
（三）是否设置齐全的会计业务岗位，职责分工是否明确，不相容岗位是否分离。
第五条  审查会计业务是否建立了相应的管理制度和内部控制制度，已建立的制度是否健全、完整和有效。
第六条  审查会计业务操作流程是否符合相关规定。
第七条  审查会计业务职责是否履行：
（一）是否及时准确全面核算经济业务，保证财务资料的真实完整。
（二）是否通过实施财务预算、财务决算、财务控制和财务分析等手段，加强现金流量的动态平衡管理。
（三）是否在考虑货币的时间价值和投资的风险价值的基础上，通过相应的税务筹（融）划、严格的成本（费用）开支控制、正确的融资决策、前瞻性的投资规划、合理的利润分配方案等手段，使公司经济效益最优。
（四）是否监督指导分子公司会计核算和财务管理工作，提高公司规范运作水平。
第八条  审查货币资金管理内部控制是否符合相关规定：
（一）管钱和管账的人员是否分离，是否能够相互制约。
（二）银行账户的设置、使用及核算是否合规、合法。
（三）现金、支票、发票、有价证券、结算票据、印章的管理是否符合制度规定，有无漏洞，执行是否有效。
（四）货币资金的收支有无审核、审批制度，记账是否及时、合规、准确，控制是否有效。
（五）货币资金有无定期盘点制度，出现差错或长、短款时，处理是否及时、合规。
（六）资金的筹（融）集、调度、计划、分配和支出是否统一建帐、归口管理，是否有监督机制。
第九条  审查会计人员管理是否符合相关规定：
（一）会计人员是否具备应有的职业道德和业务技能。
（二）会计人员是否以国家财经政策、《会计法》等法规和本公司有关规章制度为准绳，依法办事、履行职责。
（三）会计人员工作调动或其他原因离职，是否有交接、监交制度，并有效执行。
第十条  审查财务部门安全性管理是否符合相关规定：
（一）财务室是否具备防火、防盗等安全防护的硬件措施。
（二）财务专用电脑是否具备加密、防病毒等安全防护功能，并由专人使用维护。
（三）财务电子数据是否定期备份并妥善保管。
第十一条  审查会计档案管理是否符合相关规定：
（一）是否有专人负责会计档案管理。
（二）是否按规定要求整理、归档、保管、利用、销毁会计档案资料。
 
第三章  附  则
第十二条  本制度由公司审计法律部负责解释。
 

公司信息管理内部控制审计制度
 
 
 
第一章  总  则
第一条  为了加强公司（以下简称“公司”）对信息系统管理内部控制审计，规范信息管理行为，根据《中华人民共和国审计法》、《审计署关于内部审计工作的规定》、《内部审计准则》等法律法规及公司相关制度，制定本制度。
第二条  本制度所称的信息系统管理主要包括公司信息系统开发、程序修改、硬件设备、数据库、中间件及各类磁性介质的上线实施、运维等工作。
第三条  本制度制定的目的是为防止公司信息系统被非授权地访问、使用、泄露、分解、修改和毁坏，从而保证信息的保密性、完整性、可用性、可追责性，保障信息系统能正确实施、安全运行。
第四条  本制度适用于本公司及所属分公司、控股子公司的信息系统管理内部控制审计工作。
 
第二章  信息系统管理内部控制审计
第五条  审查信息系统管理是否建立了相应的管理制度和内部控制制度，已建立的制度是否健全、完整和有效。
第六条  审查信息系统管理机构的设置、管理人员的配备，是否符合相关规定，为信息系统管理提供合理、必要的保证。
第七条  审查信息系统管理机构是否设置了符合管理需求的岗位，职责分工是否明确，不相容职务是否分离。
第八条  审查信息系统使用部门管理职责分工是否明确，不相容职务是否分离。
第九条  审查信息系统管理项目的开发和修改是否符合公司的相关规定，记录是否真实、完整、清晰。
第十条  审查信息系统管理针对应用系统访问设立的各项受控措施是否符合公司的相关规定，是否有效阻止非法使用者侵入系统。
第十一条  审查信息系统管理针对担负不同职责的合法使用者具体实施的数据控制是否符合公司的相关规定，不相容职务相互分离。
第十二条  审查信息系统管理针对不同网络之间互访而设立的受限访问措施是否符合公司的相关规定，是否能保证公司的网络安全需要。
第十三条  审查信息系统管理软件的使用、保管、维护是否符合公司的相关规定。
第十四条  审查信息管理关于系统文件和文档的保管、使用、修改是否符合公司的相关规定，不相容职务是否分离。
第十五条  审查设备管理、环境管理、数据资料备份事项是否符合国家、行业管理的强制性规定及公司的相关规定，以保证信息资料的安全、完整、有效。
第十六条  审查信息管理关键岗位人员变动时采取的防范措施是否符合公司的相关规定，杜绝隐患。
第十七条  审查信息管理运行日志记录是否符合公司的相关规定，是否及时、完整、连续，以保证系统稳定运行及数据安全。
第十八条  审查信息管理是否建立了突发事件的应急处理预案，能否合理的避免或减少可能给公司造成的影响和损失。
 
第三章  附  则
第十九条  本制度由公司审计法律部负责解释。
 
 

本文作者-滇创商务集团