上海XX股份有限公司

內部控制手冊

V2.0

2015年11月

文檔名上海XX股份有限公司內部控制手冊第1頁

目錄

1.1《內部控制手冊》概要.............................................................1

1.1.1編制《內部控制手冊》的意義.................................................1

1.1.2編制《內部控制手冊》的目的及原則............................................1

1.1.3《內部控制手冊》的定位和適用范圍.............................................2

1.2《內部控制手冊》相關概念闡釋.....................................................2

1.2.1內部控制定義................................................................2

1.2.2內部控制體系................................................................2

控制環境...........................................................................2

風險評估...........................................................................2

控制活動...........................................................................3

信息與溝通.........................................................................3

監督與檢查.........................................................................4

1.3《內部控制手冊》的編制和更新流程................................................4

1.3.1流程的更新與編制...........................................................4

1.3.2《內部控制手冊》的更新要求.................................................4

1.3.3控制活動的定期審核和更新....................................................4

2.1公司層面........................................................................5

2.1.1組織架構....................................................................5

主要規范內容........................................................................5

職責與授權..........................................................................5

風險控制矩陣........................................................................6

2.1.2發展戰略....................................................................10

主要規范內容.......................................................................10

職責與授權.........................................................................10

業務流程...........................................................................11

2.1.3人力資源....................................................................16

職責與授權........................................................................16

2.1.4社會責任....................................................................23

主要規范內容......................................................................23

業務流程..........................................................................24

2.1.5企業文化....................................................................32

主要規范內容.......................................................................32

職責與授權.........................................................................32

2.1.6信息系統...........................................................................36

職責與授權.......................................................................36

2.2業務活動層面...........................................................................46

2.2.1資金活動...........................................................................46

主要規范內容......................................................................46

職責與授權........................................................................46

業務流程..........................................................................49

2.2.2采購業務...........................................................................62

職責與授權........................................................................62

2.2.3資產管理...........................................................................79

主要規范內容......................................................................79

2.2.33業務流程..........................................................................83

2.23.4風險控制矩陣......................................................................86

2.2.4銷售業務..........................................................................100

主要規范內容.....................................................................100

職責與授權.......................................................................100

2.2.5研究與開發........................................................................111

主要規范內容.....................................................................111

2.2.53業務流程.........................................................................112

2.2.6工程項目..........................................................................122

主要規范內容.....................................................................122

職責與授權.......................................................................122

2.2.7業務外包..........................................................................134

主要規范內容.....................................................................134

職責與授權.......................................................................134

2.2.8財務報告..........................................................................141

職責與授權.......................................................................141

2.2.9全面預算..................................................................156

主要規范內容.........................................................................156

職責與授權...........................................................................156

2.2.93業務流程.............................................................................158

風險控制矩陣.........................................................................160

2.2.10合同管理.................................................................172

主要規范內容......................................................................172

職責與授權.........................................................................172

業務流程...........................................................................173

風險控制矩陣......................................................................176

2.2.11內部信息傳遞.............................................................181

主要規范內容......................................................................181

職責與授權.........................................................................181

風險控制矩陣......................................................................182

第1章總則

1.1《內部控制手冊》概要

1.1.1編制《內部控制手冊》的意義

為進一步提升上海XX股份有限公司（以下簡稱“公司”）風險防范能力，提高公司的運行效率，全面貫

徹財政部、證監會、審計署、銀監會、保監會等五部委頒布的《企業內部控制基本規范》及配套指引的要

求，公司特編制《內部控制手冊》。

公司《內部控制手冊》（以下簡稱“手冊”）是以五部委頒布的《企業內部控制基本規范》及配套指

引為依據，并結合XX的實際情況編制而成。

編制公司《內部控制手冊》對完善企業內部控制制度，進一步規范內部各個管理層次相關業務流程，

分解和落實責任，控制企業風險，保證財務報告真實性，確保企業資產安全高效運行具有較強的現實意義。

1.1.2編制《內部控制手冊》的目的及原則

本手冊所指內部控制，是由公司管理層和全體員工實施的，旨在實現控制目標的過程。公司的內部控

制目標包括：

?促進公司發展戰略目標的實現；

?規范公司經營和管理活動，提高公司經營管理水平，提升公司運營效率和效果；

?保證公司內外部利益相關人之間真實、可靠的經營和財務信息溝通；

?保證公司經營、管理活動遵守有關法律法規；

?保證公司不因受到災害性風險或人為失誤而遭受重大資產損失。

公司的《內部控制手冊》借鑒國家通行的內部控制框架，在編制和實施過程中，遵循以下原則：

?合規性原則：滿足外部審計機構依據監管部門法律法規對公司進行內部控制體系審計鑒證的基本

要求；

?全面性和系統性原則：手冊涉及公司經營管理活動的各個方面，其內部監督和控制貫穿于經營管

理活動的全過程和全體員工。

?可操作性原則：手冊必須符合公司實際，無論是業務流程控制點的設置，還是授權項目權限的確

定，都要考慮實際管理工作中是否可行，保證其可操作性。

?包容性原則：手冊是依據公司現行的各項管理制度規定，為規范公司具體業務操作、控制業務風

險、達至業務目標而編制的一系列業務流程控制文件，內容涵蓋公司各業務和管理的各方面，與

公司其他管理制度和體系不能相互抵觸或產生矛盾，并且應當根據公司業務和管理的實際狀況，

及時修改、完善。

?成本效益原則：內部控制活動始終貫徹成本效益原則，要力爭以最小的控制或管理成本獲取最大

的經濟效益，要實行有選擇的控制，努力降低控制成本，改進控制方法和手段，提高效率。

文檔名上海XX股份有限公司內部控制手冊第1頁

1.1.3《內部控制手冊》的定位和適用范圍

《內部控制手冊》提供了一套科學、系統的內部控制體系建設方法和標準，是公司建設并實施內部控

制體系的綱領性文件。《內部控制手冊》所建立的內部控制體系覆蓋并適用于公司的業務及管理活動。

手冊是公司重要文件，屬公司機密。各單位按照相關要求正確使用，未經允許，不得復印，不得對外

泄露。在使用過程中如遇到疑難問題，及時向審計部咨詢。

1.2《內部控制手冊》相關概念闡釋

1.2.1內部控制定義

內部控制是受企業董事會、管理層和其他職員的共同作用，旨在為實現經營效果和效率、財務報告的

可靠性以及對適用法律法規的遵循而提供合理保證的一種過程。

通過上述內部控制概念表述，內部控制是一種動態的過程而不僅是靜態的制度，企業的員工不僅應照

章辦事，還應在各項管理經營活動中實現效果和效率。體現了現代意義上的實時和全過程控制的觀念。

1.2.2內部控制體系

公司的內部控制體系依據財政部等五部委《企業內部控制基本規范》的企業內部控制整體框架而制定,

包括以下五方面的內容：

?控制環境

?風險評估

?控制活動

?信息與溝通

?監督檢查

控制環境

控制環境是內部控制體系的基礎，是有效實施內部控制的保障，直接影響著公司內部控制的貫徹執行、

公司經營目標及整體戰略目標的實現?控制環境確定了公司對于內部控制的總體基調，是內部控制所有其

他組成要素的基礎。公司的控制環境主要包括：

?企業文化

?員工的誠信和道德價值觀

?管理層所確定的管理哲學和風格

?組織結構和職責分工

風^#估

風險評估是識別和分析影響公司目標實現的風險的過程，是風險管理的基礎。在風險評估中，識別和

分析對實現公司既定目標具有影響的風險，并對存在的風險予以持續識別、評估、應對和監控。

公司的風險管理的基本機制和措施主要包括：

?各部門管理者進行風險的自我評估

?員工對識別出風險的及時報告機制

公司提倡各部門管理者進行相關風險的自我評估。通過復核企業主要經營目標，識別在達成經營目標

過程中存在的風險，對內部控制防范風險的效力進行評估。

公司定期開展公司整體層面的風險自我評估，并針對評估的結果組織相關部門制定風險應對方案。此

外，當發生以下情況之一時，也應及時組織進行風險評估：

?新業務介入時；

?新系統應用時；

?業務經營目標修改時；

?業務流程發生較大變化時；

?組織機構變革時；

?法律法規、監管要求發生變化時；

?同行業發生新的案例時；

?其他認為需要時。

公司內各部門也應當根據自身需要，定期開展該項工作，作為本部門風險管理工作之一。同時針對評

估的結果制定相應風險應對方案。

公司鼓勵員工對其發現的特別的風險直接匯報給審計部或公司管理層，并由審計部對風險進行識別與

評估。

對于員工報告的重大風險，管理層、審計部及時對風險進行重要性分析之后做出反應，并予以處理解

決。

控制活動

結合風險評估結果，公司主要通過手工控制與自動控制、預防性控制與發現性控制相結合的方法，運

用相應的控制措施，將風險控制在可承受度之內。控制措施一般包括：不相容職務分離控制、授權審批控

制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。

公司各項控制活動體現在各業務和管理流程的控制點上。公司通過編制《內部控制手冊》的方式，來

綜合考慮各類控制活動的合理搭配設計，并且通過要求各部門貫徹該內控標準，來達成對合理設計的各項

控制活動的遵循。公司通過編制《內部控制手冊》的方式，來綜合考慮各類控制活動的合理搭配設計，并

且通過要求各部門貫徹該內控標準，來達成對合理設計的各項控制活動的遵循。

信息與溝通

信息與溝通是公司經營管理所需的信息被識別、獲得并以一定形式及時地傳遞，以便員工履行職責。

信息不僅包括內部生產的信息，還包括與公司經營和對外報告相關的外部信息。

公司的各類與經營活動相關的信息應當以一定的格式和時間間隔進行確認和傳遞，以保證公司的員工

能夠執行各自的職責。因此，公司建立相應的內部信息與溝通機制以提高信息溝通的效果和效率。其主要

組成一般包括：管理層的議事機制、信息的報告機制等。

監督與檢查

監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督、檢查與評估，形成書面報告并做

出相應處理的過程，是實施內部控制的重要保證。主要包括對建立并執行內部控制的整體情況進行持續性

的監督檢查，對內部控制的某一方面或者某些方面進行專項監督檢查，提交相應的檢查報告，提出有針對?

性的改進措施等。

1.3《內部控制手冊》的編制和更新流程

內控手冊是根據公司的實際業務流程進行編制，應根據公司發展的實際和要求的變化進行維護更新。

1.3.1流程的更新與編制

內部控制流程規范文件由公司相關業務和管理部門負責起草編撰，對本部門的內部控制情況進行細化

和進一步的具體識別、改進和記錄，并經過各個部門管理層的充分交流后，經過適當審批后予以實施。

1.3.2《內部控制手冊》的更新要求

公司內控手冊原則上是剛性的，需要貫徹執行，但可以在以下的情況下予以更新：

1）對應的業務流程己經發生了變化，包括如組織架構和崗位設置的重大變更等，使得部分控制點需要

調整才能達到有效控制目的；

2）設定的職位名稱已經發生了調整，崗位在滿足不相容職責分離原則上，進行了調整，需要修改相關

流程描述的；

3）公司出現新業務，且無法參照現有控制手冊執行的，可編寫新的控制流程文檔，并補充到公司的內

控手冊中；

4）其他公司認為需要變更的情況，經內部審閱后必須經公司審計部審核。

1.3.3控制活動的定期審核和更新

內部控制是以合理保證公司既定目標的實現為準繩，內部控制手冊應執行全面的定期更新制度，原則

上每年更新一次。

具體更新流程為各職能部門的負責人對本部門的內部控制情況進行復核，根據流程變更和內部控制變

化的情況對內部控制手冊提出更新的要求。由各部門內控執行人員對內部控制手冊更新或新增后，首先由

部門經理對內部控制手冊審核通過，對于跨部門的內部控制流程，由所涉及部門的經理共同確定，而后將

內部控制手冊提交主管副總審核，而后由公司內控小組復核更新的內容并提供意見，本手冊的最終修訂必

須經公司總經理辦公會批準后生效下發實施。

第2章公司層面控制

2.1公司層面

2.1.1組織架構

主要規范內容

組織架構是指公司按照國家有關法律法規、股東（大）會決議和公司章程，結合本企業實際，明確股

東（大）會、董事會、監事會、經理層和企業內部各層級機構設置、職責權限、人員編制、工作程序和

相關要求的制度安排。

職責與授權

1組織架構

2職責分配

.股東大會是公司最高權力機構，負責審批董事會上報關于內部控制事項的報告。

?董事會負責內部控制的建立健全和有效實施。

.監事會對董事會建立與實施內部控制進行監督。

?公司總經理負責組織內部人員或聘請外部專家對組織結構現狀進行評估，并根據調整的權限完成組織

結構調整初步方案或最終方案。

.審計部對內部控制的有效性進行監督檢查。審計部對監督檢查中發現的內部控制缺陷，應當按照企業

內部審計工作程序進行報告；對監督檢查中發現的內部控制重大缺陷，有權直接向董事會及其審計委員會、

監事會報告。

風險控制矩陣

1治理結構的設計與運行

風險控制活動相關該控制活動相關

風險描述控制編號控制活動描述控制相關制度

編號部門和人員的表單和單據

R01-01-01董事會、監事會、經理層C01-01-01公司制定《組織架構》內控文件，明確董事會及其各董事會不適用組織架構

的職責權限不明晰，未制專門委員會、監事會和經理層的權限職責；制定《三監事會董事會議事規則

定相應的議事規則及工會議事規則》明確議事規則和工作程序。總經理監事會議事規則

作程序股東大會議事規則

R01-01-02董事會、監事會、經理層C01-01-02公司制度規定董事會、監事會和經理層的任職資格，董事不適用公司章程

相關人員不能滿足履職其人員構成、知識結構、能力素質應滿足履職要求任監事

要求職資格。高級管理層

R01-01-03未建立公司治理的良性CO1-01-03董事會、董事會所屬委員會、監事會需依照公司章程，董事會不適用董事會審計委員會工作

運行機制遵守按照相關制度和規定各司其責。監事會細則

審計委員會董事會薪酬與考核委員

薪酬與考核委會工作細則

員會董事會提名委員會工作

提名委員會細則

董事會戰略委員會工作

細則

文檔名上海XX股份有限公司內部控制手冊第6頁

風險控制活動相關該控制活動相關

風險描述控制編號控制活動描述控制相關制度

編號部門和人員的表單和單據

R01-01-04董事會、監事會、經理層CO1-01-04-董事會對公司內部控制的建立健全、有效實施及其檢董事會不適用內部控制管理辦法

沒有致力于內控建設和01杳監督負責.審計委員會協助董事會對公司的內部控監事會

執行制進行檢查監督及評價，對內部控制檢查監督工作報審計委員會

管委會/董事會不能以自告進行審查，并定期向董事會做出報告。監事會負責

己的正直、理念、常識和對董事會建立與實施內部控制進行監督。

不可置疑的獨立性對管

理層提出有建設性的意

見，或者對公司的活動和

事務提供前瞻性的和互

動的監督

C01-01-04-財務部會同綜合部、審計部聯合推進公司內部控制持財務部不適用內部控制管理辦法

02續改善工作，負責督促和指導各單位的內部控制建設綜合部

和改善，以評審促改進，并確保其有效運行，持續改審計部

善。

2內部機構的設置與運行

風險控制活動相關該控制活動相關

風險描述控制編號控制活動描述控制相關制度

編號部門和人員的表單和單據

組織機構設置不科學、精C01-02-01公司已經制定了組織架構圖，各主要部門的組織結構不適用不適用組織架構

簡、高效、透明、權責匹比較清晰，職責比較明確。

配、相互制衡

R01-02-02缺乏有效的權限設置，令C01-02-02公司在崗位設置時，充分考慮不相容職責分離的要求，不適用崗位職務描述表組織架構及職能方案

公司的員工處理不應由針對業務流程圖、崗（職）位說明書和權限指引等制定

他們負責的工作或在其管理制度或相關文件。

應該承擔責任時推卸相

風險控制活動相關該控制活動相關

風險描述控制編號控制活動描述控制相關制度

編號部門和人員的表單和單據

關責任。若公司沒能很好

地界定或落實各員工的

職責范圍，可能會導致員

工做出了未經授權、違法

或不道德的行為

R01-02-03C01-02-03公司制訂了規則制度，明確規定了股東大會對董事會，董事會不適用公司章程

董事會對董事長的授權原則和授權范圍；以及明確了股東大會董事會議事規則

董事會、監事會和經理層的職責權限、任職條件、議監事會議事規則

事規則和工作程序。根據企業自身情況對重大決策和股東大會議事規則

大額資金支付業務設定定義和標準；在銷售、采購、內部信息報告制度

投資管理制度、財務付款制度中體現出對“三重一大”重大事項通報制度

實施集體決策審批或者聯簽制度的要求和規定：建立領導人員管理辦法

對重大事件按照規定的權限和程序進行集體決策審批

或聯簽制度。

R01-02-04對子公司沒有控制力CO1-02-04公司對子公司高級管理人員實行委派，從財務上嚴格不適用不適用組織架構

控制子公司的活動（子公司無投資決策權，籌資活動

需通過母公司財務總監批準），并以合同形式考核各子

公司業績。

3組織架構的評估調整

風險控制活動相關該控制活動相關

風險描述控制編號控制活動描述控制相關制度

編號部門和人員的表單和單據

R01-03-01組織機構不適應企業發C01-03-01企業應當定期對組織架構設計與運行的效率和效果進蹤令部組織架構評價與調整制

展行全面評估，發現組織架構設計與運行中存在缺陷的，

應當進行優化調整。

定期聽取董事、監事、高級管理人員和其他員工的意r

風險控制活動相關該控制活動相關

風險描述控制編號控制活動描述1控制相關制度

編號部門和人員的表單和單據

見，按照規定的權限和程序審批通過后予以調整，并

及時將調整結果以適當的形式通告企業全體員工。常

見的組織架構調整包括：股權結構調整、治理結構調

整、內部機構調整。

4管理層領導力

風險控制活動相關該控制活動相關

風險描述控制編號控制活動描述11控制相關制度

編號部門和人員的表單和單據

CO1-04-01公司在高級管理層及業務團隊管理層之間建立適當有辦公室不適用

序的交流溝通機制，確保信息的雙向順暢。通過合適

的方式定期收集員工對管理層的反饋意見，并在管理

層面進行溝通。

CO1-04-02公司高級管理層定期開展生產經營分析會，了解業務高級管理層不適用

發展情況，并確保信息的雙向溝通。業務團隊管理

層

2.1.2發展戰略

主要規范內容

主要是指企業在對現實狀況和未來趨勢進行綜合分析和科學預測的基礎上，制定并實施的長遠發展目

標與戰略規劃。

職責與授權

1戰略委員會：

.對公司長期發展戰略規劃進行研究并提出建議；

?負責股份公司戰略規劃；

?對戰略實施的監控。

2業務發展部

?負責組織各部門進行發展戰略的編制、調整和執行。

?負責對戰略核心項目的調研、論證。

?負責戰略執行的日常監督和評估。

文檔名上海XX股份有限公司內部控制手冊第10頁

業務流程

風險控制矩陣

1發展戰略的制定

風險控制活動相關該控制活動相關

風險描述控制編號控制活動描述控制相關制度

編號部門和人員的表單和單據

R02-01-0I發展戰略的制定沒有充C02-01-01公司根據發展目標，在分析外部環境和內部條件的現業務發展部不適用XX發展規劃管理制度

分的依據狀及發展趨勢的基礎上，為公司長期生存和發展做出

的未來一定時期內方向性、整體性和全局性的定位、

發展目標和實施方案。

R02-01-02公司沒有設立負責戰略C02-01-02公司設立董事會戰略委員會，由董事會按照股東大會董事會不適用上海XX股份有限公司董

規劃制定及決策的相關決議設立的專門工作機構，主要負責對公司長期發展戰略委員會事會戰略委員會工作細

機構戰略和重大投資決策進行研究并提出建議。公司在董則

事會工作細則中對戰略委員會的職責及議事規則等進

行了規定。主要包括公司的發展戰略，重要的投融資

方案以及其他對公司發展產生重要影響的方面。

文檔名上海XX股份有限公司內部控制手冊第12頁

風險控制活動相關該控制活動相關

風險描述控制編號控制活動描述控制相關制度

編號部門和人員的表單和單據

R02-01-03戰略規劃的制定沒有結C02-01-03委員會的主要職責權限：審核公司總經理提出的年度戰略委員會不適用上海XX股份有限公司董

合企業的實際情況，流于經營計劃，并提出建議及提交董事會審議決定；對公董事會辦公室事會戰略委員會工作細

形式司中長期發展戰略規劃進行研究，并提出建議及提交業務發展部則

董事會審議決定；根據公司中長期發展戰略對公司重

大新增投融資項目的立項、可行性研究等事宜進行研

究、審議，并提出建議及提交董事會審議決定；對《公

司章程》規定須經董事會批準的重大資本運作進行研

究，并提出建議及提交董事會審議決定；對公司合并、

分立、增資、減資、清算以及其它影響公司發展的重

大事項進行研究，并提出建議及提交董事會審議決定；

對以上事項的實施進行檢查督導；董事會授權的其它

事宜。

議事規則：委員會會議分為例會和臨時會議。會議議

題和會議通知由主任委員擬訂，并通過董事會辦公室

工作人員送達委員會全體成員。委員會會議應由三分

之二以上（含本數）的委員出席方可舉行；會議以現

場召開為原則。現場召開的委員會會議以舉手方式進

行表決；在采取通訊表決方式時，委員應當將其對審

議事項的書面意見和投票意向在簽字確認后傳真至董

事會辦公室。委員會會議通過的議案和表決結果，應

以書面形式報公司董事會。

R02-01-04發展戰略過于激進，脫離C02-01-04-公司綜合考慮自身實際情況、市場地位、市場未來行業務發展部不適用XX發展規劃管理制度

企業實際能力或偏離主01情等因素，確定公司未來的發展目標。

業，可能導致企業過度擴

張，甚至經營失敗。

風險控制活動相關該控制活動相關

風險描述控制編號