内控体系_理规定.doc

某公司企业标准 Q/SY DS G 21 QGB 007－2012 内部控制体系管理 （第1页，共页） 本规定了公司内部控制体系的管理内容及要求。本适用于公司 2 规范性引用文件《内部控制体系管理规》 3 职责 公司内控项目建设委员会是公司内部控制和风险管理工作的决策机构，其职责是： 审定内部控制体系框架及实施计划。 审定内部控制体系建立、测试和评估方案，对内部控制体系建设工作进行安排。 协调解决内部控制体系建设工作中的重大问题。 审查批准对各部门进行内部控制体系建设的考核方案。 审定需要提交公司解决的重大事项。 督导、督促公司内部控制体系的建立、完善和运行。 3.2作为公司内部控制体系日常管理部门和内控项目建设委员会的办事机构，其职责是： 负责制定公司内部控制和风险管理体系建设规划并组织实施。 编制单位：编制： 审核： 批准： 版本： 批准：20－－发布：20－－实施：20－－ b) 负责风险管理相关标准和方法，组织建立完善风险管理相关制度和工作程序，建立风险数据库并进行维护更新。 负责控制环境建设相关标准、方法和相关工作程序，组织业务流程控制设计与维护，建立完善风险控制文档。 按照公司发布的，组织公司内控体系自我测试编制公司自我测试评价报告。 负责内部控制缺陷认定规范，组织进行缺陷认定、制定整改计划并跟踪检查，组织内部控制体系的综合评估。负责公司管理层测试，编制公司。负责监督公司部门内控手册的执行，组织内部控制体系的综合评估。 负责与公司内控对口衔接工作。 负责公司内部控制体系的培训和宣贯工作。 负责内部控制体系的运行、完善和维护更新工作。 3.3公司审计行使监督职能，负责对体系运行状况实施测试监督，其职责是：配合公司管理层测试建立和完善反舞弊工作机制行使监督职能，负责对体系运行状况及测试进行监督；负责建立和完善反舞弊工作机制。 3.公司负责在用及新建信息系统的管理和信息系统总体控制（GCC）的执行工作，并负责在用系统升级、变更的报批或审批。负责电子表格文件服务器的管理和存放权限设置。 3.5 公司各部门负责本信息系统应用系统的应用控制管理。公司各部门按照内部控制和风险管理体系的各项要求，具体负责本部门内控体系建设、运行、维护等工作的具体实施。 4 管理内容与要求 4.1.1 实施方案 根据公司下发的内部控制体系框架及体系管理文件，结合公司实际，制订公司内部控制体系建设实施方案，建立和完善内部控制体系管理文件，经审查，报公司内控项目建设委员会审批通过后发布实施。 4.1.2控制环境 公司相关部门依据公司实际和本部门职责，从职业道德、员工胜任能力、管理理念和经营风格、组织结构、权力和责任的分配、人力资源政策与措施以及反舞弊等方面，结合控制环境的具体要求，建立和完善相关制度，检查督促相关制度的落实，为公司内部控制体系提供组织保证和制度约束，营造良好的内部环境。 4.1.3风险评估和控制活动 4.1.3.1根据风险数据库及公司风险控制情况，结合自身实际，组织讨论并确定公司风险数据库，报公司领导审查，并经公司内控项目建设委员会审议通过后发布实施。 4.1.3.2 根据业务流程目录和描述规范、风险控制文档模版和编制规范以及关键控制管理文件，结合公司实际，确定公司业务流程目录，组织开展业务流程描述、建立风险控制文档和关键控制管理文件，报公司领导审查后实施。4.1.3.3 公司办公室明确内控体系业务流程管理系统的信息系统管理员，对业务流程管理系统的有效运行进行技术支持，协助企管法规部做好公司业务流程的管理工作。 4.1.3.4 财务按照财务分析管理规定，开展财务分析，财务状况和资金运营情况。 4.1.4 信息与沟通 4.1.4.1根据内部控制体系年度工作计划安排编制公司年度内部控制体系年度工作计划，按照计划定期组织实施，定期向公司内控项目建设委员会汇报体系运行情况。 4.1.4.2 公司各部门应规定信息交流和沟通的渠道和方法，以确保相关信息及时得到识别、收集、处理、交流和反馈，在满足信息安全性、必威体育官网网址性要求的同时，满足相关岗位、监管机构和外界对相关信息的需求，保证信息交流渠道的畅通。 4.1.4.3公司结合公司实际，组织开展公司信息系统总体控制和应用系统控制文档的编制工作。 4.1.4.4信息系统应用控制信息系统应用控制二等级系统的升级或变更，由公司报公司信息审批后，方可组织实施。 4.1.4.5对于所有纳入信息系统总体控制的系统，特别是财务及相关联的信息系统，要严格实行权限管理的相关控制要求。 a用户账号以及权限的新增、变更和撤销，必须经过有效的审批，完整填写各项表单和实施证据。 b在系统中实际