南京高科:内部控制大纲(2009年12月)2009-12-21
南京新港高科技股份有限公司
内部控制大纲
(经公司第七届董事会第四次会议审议通过)
第一章 总 则
第一条 为了推动公司建立健全内部控制,提高公司内部控制与
经营管理水平,促进公司健康可持续发展,根据财政部、证监会等主
管部门有关法律、法规及《公司章程》的规定,制定本大纲。
第二条 本大纲所称内部控制,是指由公司董事会、管理层和全
体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活
动:
(一)企业战略;
(二)营运的效率和效果;
(三)财务报告及管理信息的真实、可靠和完整;
(四)资产的安全完整;
(五)遵循国家法律法规和有关监管要求。
第三条 公司建立和实施内部控制,应当遵循以下基本原则:
(一)合法性原则。内部控制应当符合法律、行政法规的规定和
有关政府监管部门的监管要求。
(二)全面性原则。内部控制在层次上应当涵盖公司董事会、管
理层和全体员工,在对象上应当覆盖公司各项业务和管理活动,在流
程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制2
出现空白和漏洞。
(三)重要性原则。内部控制应当在兼顾全面的基础上突出重点,
针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,
确保不存在重大缺陷。
(四)有效性原则。内部控制应当能够为内部控制目标的实现提
供合理保证。公司全体员工应当自觉维护内部控制的有效执行。
(五)制衡性原则。公司的机构、岗位设置和权责分配应当科学
合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明
和有利于相互制约、相互监督。
(六)适应性原则。内部控制应当适合公司企业经营规模、业务
范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着
企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进
和完善。
(七)成本效益原则。内部控制应当在保证内部控制有效性的前
提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效
的控制。
第四条 公司内部控制的表现形式是:
(一)内部控制大纲;
(二)与管理职能相对应的管理办法;
(三)实施细则或操作手册。
管理办法应体现内部控制大纲的原则要求,实施细则或操作手册
应遵循管理办法的规定,各层次间不能冲突。3
第五条 本大纲适用于南京新港高科技股份有限公司。
公司下属子公司,参照公司各层次内部控制的规定执行。
第六条 公司董事会应当充分认识自身在公司内部控制中所承
担的责任,加强对本公司内部控制建立和实施情况的指导和监督。
董事长对本公司内部控制的建立健全和有效实施负责。
总裁根据《公司章程》和董事会的授权,负责组织领导本公司内
部控制的日常运行。
财务负责人在董事长和总裁的领导下,主要负责与财务报告的真
实可靠、资产的安全完整密切相关的内部控制的建立健全与有效执
行。
第二章 内部控制的框架
第七条 公司内控制度应力求全面、完整,至少在以下三个层面
做出安排:
(一)公司本部层面;
(二)公司控股子公司层面;
(三)公司各业务环节层面。
第八条 公司建立和实施内控制度时,应考虑以下基本要素:
(一)内部环境;
(二)风险评估;
(三)控制措施;
(四)信息与沟通;4
(五)监督检查。
第九条 内部环境。内部环境是影响、制约公司内部控制建立与
执行的各种内部因素的总称。内部环境主要包括:
(一)治理结构。公司设立股东大会、董事会、监事会和以总裁
为领导的管理层。各级决策机构的职责、权限及工作规程,按《公司
章程》及公司治理制度的规定执行。
(二)组织机构设置与权责分配。公司根据需要设置职能部门、
子公司,并通过《公司部门和岗位职责描述》明确各自的职责权限,
将权利与责任分解到具体岗位。
(三)人力资源政策,包括员工的聘退与培训、员工的薪酬、考
核晋升与奖惩、岗位员工的轮岗制衡要求等。公司将职业道德素养和
专业胜任能力作为选拔和聘用员工的重要标准,制定科学、合理的培
训计划,持续提升员工的道德素养和业务素质。公司根据需要改进和
完善对各层次员工的业绩考核和薪酬激励机制,促进员工责、权、利
的有机统一和公司内部控制的有效执行。
(四)公司文化,包括公司的整体价值观,高级管理人员的管理
理念、经营风格与职业操守,员工的行为守则等。公司提倡和培育创
新进取、团队协作和诚信共赢的整体价值观,培养社会责任感,倡导
爱岗敬业、务实本分和遵纪守法的精神;提倡和树立有利于实现公司
内部控制目标的管理理念和经营风格,强化风险意识,避免因个人风
险偏好可能给公司带来的不利影响和损失;提倡和恪守以诚实守信为
核心的职业操守,不得损害投资者、债权人、客户、员工和社会公众5
的利益。
第十条 风险评估。风险评估是及时识别、科学分析和评价影响
公司内部控制目标实现的各种不确定因素并采取应对策略的过程。包
括:
风险评估应按目标设定、风险识别、风险分析、风险应对等程序
进行。
(一)目标设定。公司根据发展战略设定年度经营目标、财务绩
效目标、合规性目标与资产安全完整目标,并根据设定的目标合理确
定公司整体风险承受能力和具体业务层次上的可接受的风险水平。
(二)风险识别。公司在充分调研和科学分析的基础上,准确识
别影响公司内部控制目标实现的内部风险因素和外部风险因素,加强
对高危性、多发性风险因素的关注。
(三)风险分析。公司根据已识别的风险因素,从风险发生的可
能性和影响程度两个方面对各种风险的重要性进行分析和风险排序,
确定应当重点关注的重要风险。
(四)风险应对。公司根据风险分析情况,结合风险成因、公司
整体风险承受能力和具体业务层次上的可接受风险水平,确定风险应
对策略。
风险应对策略一般包括风险规避、风险承担、风险降低和风险分
担等。
第十一条 控制措施。控制措施是根据风险评估结果、结合风险
应对策略所采取的确保公司内部控制目标得以实现的方法和手段,是6
实施内部控制的具体方式。
控制措施结合公司具体业务和事项的特点与要求制定,主要包括
职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、
会计系统控制、内部报告控制、经济活动分析控制、信息技术控制等。
第十二条 信息与沟通。信息与沟通是及时、准确、完整地收集
与公司经营管理相关的各种信息,并使这些信息以适当的方式在公司
有关层级之间进行及时传递、有效沟通和正确应用的过程。包括:
(一)信息收集。公司根据需要全面收集来源于公司外部及内部、
与公司经营管理相关的财务及非财务信息,为内部控制的有效运行提
供信息支持。
公司收集的信息应当真实、准确、完整、及时、相关。
(二)信息内部沟通。公司根据需要,分别采取互联网络、电子
邮件、电话传真、信息快报、例行会议、专题报告、调查研究、员工
手册、教育培训、内部刊物等多种方式,实现所需的内部信息、外部
信息在公司内部准确、及时传递和共享,确保董事会、管理层和员工
之间有效沟通。
有效的信息沟通需要合理考虑来自不同部门和岗位、不同渠道的
相关信息进行合理筛选和相互核对。
(三)信息外部沟通。公司有责任建立良好的外部沟通渠道,对
公司股东、债权人、政府、监管机构、供应商、客户、审计师、律师
等有关方面的建议、投诉和收到的其他信息进行记录,并及时予以处
理、反馈。7
第十三条 监督检查。监督检查是公司对其内部控制的健全性、
合理性和有效性进行监督检查与评估,形成书面报告并做出相应处理
的过程。
公司董事会设立审计委员会,公司设立内部审计机构。审计委员
会和内部审计机构根据国家法律法规要求和公司授权,采取适当的程
序和方法,对内部控制的建立与实施情况进行监督检查,形成检查结
论并出具书面检查报告。对于监督检查中发现的重大缺陷或者重大风
险,应及时向董事长和总裁汇报。
公司应根据监管机构要求,定期对内部控制的健全性、合理性与
有效性进行自我评估,形成书面评估报告,并按规定要求披露。
第三章 内部控制的内容和方法
第十四条 公司内部控制应涵盖公司经营管理的各个层级、各个
方面和各项业务环节,涵盖贯穿于经营活动各环节之中的各项管理职
能,包括但不限于:
(一)经营控制体系。包括对子公司管理、运营分析管理等。
(二)财务控制体系。包括资产管理、资金管理、对外投资管理、
筹资管理、担保管理、工程管理、物资及采购管理、成本费用管理、
会计报表管理、信息披露管理、招投标管理、外包管理等。
(三)管理控制体系。包括组织与岗位管理、信息管理、全面预
算管理、合同管理、内部审计、制度管理、人力资源管理、信息系统
管理、办公事务管理、证券事务管理、档案管理等。8
第十五条 公司综合运用多种措施和方法,实现对具体业务与事
项的控制,合理保证将剩余风险控制在可接受水平之内。
基本的控制措施和方法包括职责分工控制、授权控制、审核批准
控制、预算控制、财产保护控制、会计系统控制、内部报告控制、运
营分析控制、信息技术控制等。
第十六条 职责分工控制。要求根据公司目标和职能任务,按照
科学、精简、高效的原则,合理设置职能部门和工作岗位,明确各部
门、各岗位的职责权限,形成各司其职、各负其责、便于考核、相互
制约的工作机制。
企业在确定职责分工过程中,应当充分考虑不相容职务相互分离
的制衡要求。不相容职务通常包括:授权、批准、业务经办、会计记
录、财产保管、稽核检查等。
第十七条 授权控制。要求公司根据职责分工,明确各部门、各
岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容。
公司内部各级管理人员必须在授权范围内行使职权和承担责任,业务
经办人员必须在授权范围内办理业务。
第十八条 审核批准控制。要求公司各部门、各岗位按照规定的
授权和程序,对相关经济业务和事项的真实性、合规性、合理性以及
有关资料的完整性进行复核与审查,通过签署意见并签字或者签章,
做出批准、不予批准或者作其他处理的决定。
第十九条 预算控制。要求公司加强预算编制、执行、分析、考
核等各环节的管理,明确预算项目,建立预算标准,规范预算的编制、9
审定、下达和执行程序,及时分析和控制预算差异,采取改进措施,
确保预算的执行。
第二十条 财产保护控制。要求公司限制未经授权的人员对财产
的直接接触和处置,采取财产记录、实物保管、定期盘点、账实核对、
财产保险等措施,确保财产的安全完整。
第二十一条 会计系统控制。要求公司依据会计法规的规定组织
会计核算,明确会计凭证、会计账簿和财务报告以及相关信息披露的
处理程序,规范会计政策的选用标准和审批程序,建立、完善会计档
案保管和会计工作交接办法,实行会计人员岗位责任制,充分发挥会
计的监督职能,确保企业财务报告真实、可靠和完整。
第二十二条 内部报告控制。要求公司建立和完善内部报告制
度,明确相关信息的收集、分析、报告和处理程序,及时提供业务活
动中的重要信息,全面反映经济活动情况,增强内部管理的时效性和
针对性。
内部报告方式通常包括例行报告、实时报告、专题报告、综合报
告等。
第二十三条 运营分析控制。要求公司综合运用营运、采购、投
资、财务等方面的信息,利用比较分析、比率分析、因素分析、趋势
分析等方法,定期对公司经营管理活动进行分析,发现存在的问题,
查找原因,并提出改进意见和应对措施。
第二十四条 信息系统控制。要求公司建立和完善与本公司经营
管理业务相适应的信息化控制流程,同时加强对计算机信息系统开发10
与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全
等方面的控制,保证信息系统安全、有效运用。
第四章 组织实施
第二十五条 公司根据《公司章程》及本大纲要求,结合公司功
能分析,分别不同管理控制功能制定一套科学、规范的内部控制管理
制度,包括管理办法及实施细则,并组织实施。
第二十六条 公司加强宣传引导和教育培训,通过多种途径广泛
宣传公司内部控制,建立高级管理人员职业操守准则和员工行为守
则,促进管理层和全体员工加强职业道德修养、提高专业胜任能力,
自觉遵守公司内部控制的各项规定。
第二十七条 公司董事长、总裁和其他高级管理人员有责任带头
执行内部控制,为全体员工做出表率。
董事长、总裁有责任为财务负责人、会计机构负责人和财会人员
依法履行职责、实施内部控制提供保障和支持。
第二十八条 公司创造条件健全和完善管理信息系统,逐步实现
各个管理系统模块的信息集成和共享,不断提高内部控制的效率与效
果。
第二十九条 公司逐步建立内部控制的问责机制和科学有效的
对部门、员工的绩效考核及薪酬激励机制,并将内部控制执行情况的
监督检查结果纳入对部门、员工的绩效考核范围,强化对各部门和员
工的激励与约束。11
第三十条 公司建立突发事件应急管理机制,针对经营管理和内
部控制中的潜在隐患以及可能发生的突出事件,制定应急预案、明确
责任人员、规范处置程序和信息发布、做好善后处理和总结评估,切
实将不利影响和损失降低到最小程度。
第三十一条 公司建立内部报告制度。提倡员工对影响其有效实
施内部控制制度的行为向公司内部审计机构或上级主管人员进行报
告,并赋予经办人员有权拒绝办理被强令的有关业务与事项的权力。
第三十二条 公司接受政府有关部门及其委托的社会中介机构
对内部控制的检查评估,并根据检查评估结果进行整改。
第五章 附 则
第三十三条 本大纲与国家相关法律法规、规范性文件及《公司
章程》有冲突时,应按相关法律法规、规范性文件及《公司章程》执
行,并及时对本大纲进行修订。
第三十四条 本大纲由董事会负责制订、修改和解释。
第三十五条 本大纲经公司董事会审议通过后实施。
