八一钢铁:2012年度内部控制自我评价报告2013-04-01
八一钢铁 600581
新疆八一钢铁股份有限公司
2012年度内部控制自我评价报告
新疆八一钢铁股份有限公司全体股东:
为加强公司内部控制,促进公司规范运作和健康发展,提高公司管理水平和
风险防范能力,保护投资者合法权益,促进公司规范运作,保障公司持续、快速、
稳定、有序的向前发展,公司根据《公司法》、《证券法》、财政部等五部委发
布的《企业内部控制基本规范》、上海证券交易所《上市公司内部控制指引》等
相关法律法规的要求,并结合自身所处行业特点,制定了较为完善的内部控制制
度,初步建立了整体有效的内部控制体系,具体评价情况如下:
一、董事会声明
公司董事会及全体董事保证本报告内容不存在任何虚假记载、误导性陈述或
重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带责任。
公司内部控制的目标是合理保证经营合法、资产安全、财务报告信息真实完
整、提高经营效率和效果,促进实现发展战略。由于内部控制存在固有局限性,
故仅能对上述目标提供合理保证。内部控制的有效性亦可能随公司内、外部环境
及经营情况的改变而改变,本公司内部控制设有检查监督机制,内控缺陷一经识
别,本公司将立即采取整改措施。
二、内部控制制度建设及执行情况
为规范管理,控制企业经营风险,确保企业有序经营,完善企业内部控制,
2011 年,公司通过聘请专业咨询机构,制定并颁布了系统规范的《企业内部控
制手册》;该手册是在公司现有的内部控制与管理制度的基础上,根据财政部、
证监会、审计署、银监会、保监会颁布的《企业内部控制基本规范》及配套指引,
遵循证监会关于上市公司内部控制的相关要求和上交所《上市公司内部控制指
引》,并借鉴了国际通行的 COSO 框架,将公司各部门、各岗位的业务流程、管
理制度集合成较为系统的、既互相制约又具有纵横交错关系的统一整体,确保各
1
�八一钢铁 600581
部门和各岗位均能按特定的目标相互协调地发挥作用,最终实现公司内部控制的
总体目标。
《企业内部控制手册》就公司重要的内部控制活动,划分为公司层面内部控
制及业务层面内部控制两部分;公司层面内部控制包括内部环境、风险评估、控
制活动、信息与沟通、内部监督五个部分;业务层面内部控制包括资金管理、采
购业务等 12 个具体业务流程;公司对各业务流程制定了比较详实便于操作的业
务流程规范体系文件,包括业务流程范围、要达到的目标、存在的风险及控制措
施,并编制了各业务流程图和风险控制矩阵表。
此外,为确保企业内部控制有效执行,企业制定了内部控制评价管理制度及
内部控制检查评价实施办法。
2011 年末,公司开展了对涉及公司层面及业务层面的内部控制评审,以业
务流程内控评价底稿的方式,由审计室牵头,下发至各环节、各部门进行自我评
估测试,并对评估结果进行了汇总。为进一步梳理和完善内部控制流程夯实基础,
从 2012 年 10 月起,公司在上一年度内部控制自我评估的基础上,开展了内部控
制专项审计。
以下是通过专项审计,对公司内部环境、风险评估、控制活动、信息与沟通、
内部监督五个部分的内部控制情况进行的评价。
(一)内部环境
1、治理结构
公司根据《公司法》《证券法》、《上市公司治理准则》、《上海证券交易所股
票上市规则》等国家有关法律法规和企业章程,建立了股东大会、董事会、监事
会及经营管理层等规范的公司治理结构和议事规则,明确决策、执行、监督等方
面的职责权限,形成科学有效的职责分工和制衡机制。
公司董事会由 9 名董事组成,其中包括 3 名独立董事。公司的董事均具有良
好教育背景,在钢铁、财务、金融、法律等不同行业有着丰富的实战经验,并具
备在多个知名企业担任独立董事的经历。
董事会下设战略与投资、审计、提名、薪酬与考核四个专门委员会,专门委
员会成员全部由董事组成;其中审计委员会负责审查企业内部控制,监督内部控
制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。
2
�八一钢铁 600581
公司完整的法人治理结构建设,加强了对公司的信息披露、高管任命与考核
管理和对重大投资的风险控制,完善对公司管理层的考核与监督。
2、组织机构
公司根据所属行业特点、管理现状以及监管部门的要求,设立了符合公司业
务规模和经营管理需要的组织机构。公司下设七个部门、六个生产厂、七家经销
部;各部门(分厂)遵循不相容职务相分离的原则,合理设置部门和岗位,科学
划分职责和权限,形成各司其职、各负其责、相互配合、相互制约、环环相扣的
内部控制体系。
公司制定了组织结构图、业务流程图、岗(职)位说明书和权限指引等内部
管理制度或相关文件,使员工能够了解和掌握组织架构设计及权责分配情况,正
确履行职责。
公司各主要部门的组织结构比较清晰,职责比较明确。在机构设置中,将财
务、预算、生产、采购、调运、投资、人事和重大经营决策等,实行适当集中管
理。各部门设部门经理,下设各职能科室,各科室领导直接向部门经理汇报,部
门经理向公司管理层汇报。具体的经营事项由所属单位负责实施,并在权限内决
策。
公司建立了定期或不定期的对公司组织结构设计与运行的效率和效果进行
全面分析评估的系统化机制,根据市场变化、业务发展需求,综合考虑现有架构
的合理性,及时发现现有组织结构中不适应经营和信息沟通的环节并做出相应调
整,根据实际需要对组织结构进行调整。
3、权责分配
公司对全部职位建立统一的职位说明书,尤其针对履行关键管理岗位的人员
的职责和权限等进行的书面描述,其中包括职责、权限、汇报关系以及任职条件
等内容,职责中涵盖与控制相关的描述。该书面职责描述经公司管理层审阅批准,
并由人事部定期根据职责、权限的变化进行及时更新。
公司通过开展定责、定编、定岗、定员、定上岗规范“五定”工作,按照公
司的要求,对中层管理人员、审计及财务系统等与财务密切相关的岗位进行了规
范的描述,使关键岗位履行职责和行使职权有章可循。
3
�八一钢铁 600581
公司实行董事会领导下的总经理负责制,通过组织实施员工岗位职责描述、
整理业务授权权限指引等措施,对职责权限进行适当分配,从而建立起责任与职
权和职责相对应的管理体系。在合同审批以及费用审批方面,相关的制度明确了
各级管理层的审批权限。
公司规范信息系统的授权,由应用相关信息系统的各职能部门、所属单位根
据不同的职责分别设置和维护用户权限。员工在各种信息系统中的使用权限根据
其职责范围进行设置。公司制定正式的政策和程序,要求相关部门定期对行使关
键岗位职权的员工在信息系统中的访问和使用权限比照其职责范围进行审阅。对
于因职责范围变化引起的用户权限变化,及时通知信息系统维护部门进行更新,
以确保信息系统内用户权限与职责的一致性。
公司部门职责划分较为清晰,且各部门之间有较为明确的职责分工和定义。
各部门之间能够根据自身的职责分工协调配合并建立问责制。公司对业务活动的
权限,根据不同的业务性质,在机关职能部门、所属单位之间有所划分;根据业
务活动的重要性程度,按不同层次进行审批。
4、人力资源
公司制定了完善的员工招聘、培训、辞退与辞职、薪酬、考核、晋升与奖惩、
关键岗位的强制休假和定期轮岗、重要岗位员工离岗的限制等政策及程序,健全
公司管理人员的任用选拔、管理考核和激励监督机制,有效地保证内部控制在公
司中的顺利实施。
公司招聘新员工由用人部门提出需求,人事部统筹制定招聘计划,安排招聘。
用人部门和人事部及外聘专家组成的综合考评小组对应聘人员进行评价,并按管
理权限和有关管理规定报批。
对公司高级管理人员的选择和聘用,实行先考核后聘任的原则,即先由人事
部门对拟聘人员从“德、能、勤、绩”四个方面进行考核,除征求公司现职高管
人员的意见外,还要请公司职工代表对拟聘人员进行评议,人事部门将综合考核
意见提交公司董事会,由董事会按照公司章程规定的程序,决定公司高级管理人
员的聘任。公司总经理、董事会秘书由董事长提名,董事会聘任;公司副总经理、
总工程师、总会计师由总经理提名,董事会聘任。
4
�八一钢铁 600581
公司制定有《员工培训管理办法》,该办法规定,各单位根据公司的生产发
展、工艺设备、技术改造、结构调整、人员变动、管理需求和技术技能提高等要
求,在每年十一月五日前提出本单位的年度培训需求,报送人事部审核。经人事
部汇总并报公司管理层批准后执行。人事部于次年度二月份向各单位、部门下达
本年度培训计划。人事部负责落实年度培训计划,并监控培训计划的执行情况。
公司对中层领导干部的培训,采用《中层后备管理人员培养选拔任用管理办
法》;公司通过专业课题的研讨、党校培训、相关管理知识、专业技术培训等多
种途径加强对中层后备管理人员的理论学习与业务培训。
公司制定的《人力资源管理程序》对承担质量职责和与质量体系相关的所有
人员的培训做出了明确的规定。从事内部质量体系审核的人员必须经过培训,取
得内审员资格方可上岗;从事生产技术、质量检验和实验、特殊岗位的人员必须
经过相关专业知识培训或技能培训,具有资格证书才能上岗;新员工和转岗人员
经过培训达到上岗要求方能上岗。公司对新员工进行岗前教育培训,包括应知应
会的知识和技能、安全常识、公司规章制度要求、信息系统安全等,帮助其了解
岗位职责,并使其达到岗位要求的基本技能素质。
公司采取自学、发放辅导材料等多种形式对普通员工进行信息技术技能的培
训,体现学以致用的培训原则。培训内容主要是关于公司内部新上线的信息系统
使用培训,如产销系统的使用。对于信息系统,保密规则及安全政策的培训成为
普通员工的必修内容。员工在培训后,熟悉公司的信息安全政策,不会违反相关
的守则。
公司制定了职位、薪酬、绩效管理办法。每月、每季、每年末,公司对全体
员工进行绩效考核,根据考核结果决定员工的变动收入水平,根据年终考核结果
决定本年度的绩效收入水平。
公司确立了以业绩为基础的激励机制,按照“效率优先,兼顾公平;以绩定
薪,量化评价;强化管理,注重效益;简单明了,易于操作”的原则,建立了《员
工绩效管理办法》、《薪酬考核发放管理办法》、《职工薪酬核算管理办法》并
不断完善,充分调动全体员工的工作积极性,确保公司各项经营目标的完成。
公司将业绩考核作为确定员工薪酬、奖惩及任用的依据,使激励机制与约束
机制相结合,达到责权利相统一。
5
�八一钢铁 600581
5、企业文化
公司重视和加强企业文化建设,致力打造优秀的企业文化;以开放、学习、
兼容、整合的态度,坚持以我为主、博采众长、融合创新、自成一家的方针,努
力塑造企业核心价值观。重点打造以主业为核心的品牌,企业将核心价值观贯穿
于自主创新、产品质量、生产安全、市场营销、售后服务等方面的文化建设中,
着力打造源于主业且能够让消费者长久认可、在国内外市场上彰显强大竞争优势
的品牌。
充分体现以人为本的理念,努力为全体员工搭建发展平台,提供发展机会,
挖掘创造潜能;通过梳理完善相关管理制度,对员工日常行为和工作行为进行细
化,逐步形成企业文化规范,以理念引导员工的思维,以制度规范员工的行为,
真正实现“人企合一”,增强其主人翁意识和社会责任感,激发其积极性、创造
性和团队精神。全体员工在主动参与中了解企业文化建设的内容,认同企业的核
心理念,形成上下同心、共谋发展的良好氛围。
(二)风险评估
公司制定了《全面风险管理程序》,对风险识别、风险评估、风险应对措施
做出了具体、系统的安排。
管理层对公司层面的外部风险进行评价和分级,并了解风险变化的情况;各
部门通过每月的生产经营分析会向管理层汇报其所了解的风险并提出风险管理
方案。在日常经营管理中,管理层建立一定的监控和沟通机制,使业务部门将其
在日常管理中意识到的战略性风险向管理层进行及时汇报并提请其注意;管理层
亦根据其掌握的信息确认战略性风险并通过总经理工作会和各种专题会议等传
达至相关业务 部门,由其负责必要的跟进工作。管理层通过监控经营活动对可
能存在的外部风险对企业的影响进行评价。公司正逐步开展建立系统化的风险评
价和管理机制的相关工作。
公司建立了全面风险管理领导小组,由公司董事长担任组长,明确了各职能
部门、二级单位在风险管理中的职责。根据企业目标和重要的经营活动,确定和
评价公司风险评估等级。公司以重大决策、重要业务和流程的风险管理为重点,
通过推进风险管理文化建设、推动内部控制系统优化,确定重大风险的应对策略,
6
�八一钢铁 600581
完善重大风险预警机制和报告机制,强化风险管理的检查监督机制等措施,不断
完善风险管理体系。
(三)控制活动
公司针对主要经营管理活动,建立了相关的政策和程序,对业务流程的范围、
目标、风险、业务流程具体步骤、主要控制点以及汇报途径等进行全面描述,并
及时根据经营活动的变化进行调整。在建立内部控制手册的基础上,管理层明确
各部门在维护和更新内部控制手册的责任。
各部门根据各自的职能颁布和保存自己的规章制度,年末将本年度新出台或
者更新的制度汇总报办公室归档保存。规章制度出台前,相关部门在 OA 系统中
对该文件进行会签,以公司名义出具的规章制度,由公司管理层进行审批,确保
符合公司的整体利益,各部门内部的规章制度,由部门负责人审批后签发。
员工根据对其职责和业务流程的理解执行有关内部控制措施,管理层对内部
控制措施的执行进行适当监控并对偏离原有控制的行为进行调查和跟进。
公司建立对内部控制活动进行自我评价的机制,由各个部门流程负责人定期
对内部控制的有效性进行自我评价,作为对内部控制有效性持续监控的重要步骤
和对内部审计个别评价的补充。公司审计室对公司内部控制的有效性进行监督检
查,每年至少一次在各部门自我评价的基础上进行全面评价,并出具评价报告。
在信息系统控制方面,公司已对各岗位的职责制定岗位职责描述,岗位职责
设定中考虑了职责分工及內部控制方面的要求,并充分考虑在信息系统组织架构
及管理中实施授权审批、不相容职务分离。目前,公司办公室统筹负责公司信息
技术战略规划的编制、执行、制度建设,及应用系统开发立项、变更计划的审核,
统一协调产销系统、WZMIS 的运行与维护;各应用系统的运行与维护管理由各应
用系统归口部门的专职管理员负责,在日常维护中遇到重大问题及时反馈并报告
办公室。
公司每年根据信息系统的建设和使用情况对普通员工组织进行信息技术技
能培训。新员工的培训主要围绕公司内部新上线的信息系统使用培训如 MIS 系统
的使用、应用系统新增模块的使用,信息技术技能,系统安全的要求,保密意识,
最新病毒防杀知识与技能,加强计算机使用人防病毒教育与考核。
7
�八一钢铁 600581
(四)信息与沟通
公司各主要部门每月向管理层提供生产经营分析数据,以便公司管理层能及
时了解重要的运营信息,做出及时、恰当的决策。同时,重要的信息还会及时传
递给公司董事会、监事。对于管理层、董事会较为关注的特殊事项,各相关部门
以专题报告的方式提交公司管理层审阅并处理。公司的产销系统、WZMIS 系统能
对公司生产、经营、财务等的数据自动进行抽取、筛选、转换,为各部门进行经
营分析提供详实、全面的数据。
除各部门管理层可定期取得经营信息以外,各部门可根据自身需要,不定期
地通过会议、研讨等形式要求其他部门提供相关信息。公司制定统一的政策和程
序,对部门之间信息沟通和数据提供的范围和审批程序等进行明确规定,尤其针
对关键信息/数据的提供和披露进行限定。
公司制定了《重大信息内部报告制度》,对重大信息的范围、报告机制、责
任部门、时间要求等做出详细规定,保证公司重大的内部信息能及时反馈到管理
层和董事会。
在法律法规信息方面:公司办公室、证券投资部、财务部等相关部门对与公
司经营管理相关的所有法律、法规和地方政策、规章等进行统一的收集、整理和
更新,并及时公布于 OA 上,以确保各部门全面、准确、系统地掌握适用于公司
的法律法规。
在市场及竞争者信息方面:公司销售部门除在月度分析会上通报有关市场和
竞争者信息的报告外,还根据需要从外部购买市场跟踪报告或市场调研信息等,
并向管理层进行汇报。
公司制定了信息披露管理制度,对公司收集到的重大内外部信息及时由董事
会进行审议,按规定程序履行信息披露的相关义务,保持与监管部门、投资者、
供应商、客户、中介机构等有关方面的沟通与反馈。
公司具有较为畅通的渠道以便员工反映其发现的问题。公司员工除可通过正
常的汇报程序反映其发现的可疑情况外,亦可以将发现的可疑问题通过向审计
室、监事会举报的方式进行反映。举报电话和举报邮箱公布在 OA 系统、宣传橱
窗。相关部门在收到员工的举报后,根据举报内容的程度立案调查或采取其他处
理办法,并向公司领导报告。
8
�八一钢铁 600581
公司设有公司领导接待日,员工可以将发现的问题直接传达至公司管理层,
并要求各级高级管理人员按照责任的归属对问题进行及时解决并反馈。
公司内部存在多种沟通渠道和方法,如月度生产经营分析会、定期/不定期
全体员工大会、部门例会、文件传递、OA 系统、电子邮件、电话等,从形式上
和沟通的渠道上确保了组织内部沟通的充分性和及时性。
公司建立了多层次的应用信息系统,目前开发建立了产销系统、WZMIS、OA
办公系统、人力资源管理系统、SGMIS 等,涵盖公司生产、销售、财务、资金、
物资管理、公文、人事管理等各方面。公司将信息技术应用于内部控制各项工作,
运用信息系统对经营管理进行过程控制和信息的采集、存储、加工、分析、测试、
传递、报告和披露等;能够满足公司内部控制相关信息报告制度和公司对外信息
披露相关制度的要求。公司信息系统实现信息在各职能部门、业务单位之间的集
成与共享,既能满足单项业务内部控制要求,也能满足公司整体和跨职能部门、
业务单位的内控管理综合要求。
(五)内部监督
公司十分重视内部审计师、外部审计师和咨询机构在审计或咨询过程中发现
的问题以及提出的内部控制改善建议。审计室及相关部门将问题和内部控制改善
建议提交给董事会审计委员会和管理层,并由其对相关内容进行分析探讨,责成
相关部门对重要问题形成改善方案并实施改善行动。
公司制定了《内部控制评价管理制度》、《内部控制检查评价实施办法》,
对内部控制评价的内容、程序、缺陷认定标准、报告及具体实施办法做出明确详
细的规定。
按照影响企业内部控制目标实现的严重程度,内部控制缺陷分为重大缺陷、
重要缺陷和一般缺陷。公司根据评价指引的规定,并结合公司具体情况制定了内
部控制缺陷认定的具体标准和实施细则。重大缺陷由董事会最终认定。审计室将
审计过程中发现的业务流程问题以及内部控制缺陷记录在工作底稿内,并体现在
审计报告中。审计室对发现的重要缺陷及时与被审计单位管理层进行沟通,并负
责跟进问题的解决情况。对重大缺陷,审计室会及时将有关情况向董事会、审计
委员会报告,并通知被审计单位管理层。审计室就重大缺陷向董事会(审计委员
9
�八一钢铁 600581
会)提出追究相关责任单位或责任人责任的初步处理意见,由董事会批准后跟踪
落实被审计单位的缺陷整改情况。被审计单位针对审计室发现的问题及其建议制
定后续整改措施并确认整改时间。整改措施需要经过被审单位管理层审批确认。
各内审人员负责根据整改时间表监控整改进度,并定期向公司管理层、审计委员
会汇报。
审计室每年至少一次根据《企业内部控制评价指引》的要求,对公司内部控
制的有效性进行全面的评价,出具内控自我评价报告。并根据有关规定聘请会计
师事务所对公司内部控制的有效性进行审计,要求其出具内部控制审计报告。公
司内部控制评价报告与外部审计师出具的内部控制审计报告同时对外披露或报
送。
三、内部控制评价依据
本评价报告旨在根据中国人民共和国财政部等五部委联合发布的《企业内部
控制基本规范》(以下简称基本规范)的要求,结合企业内部控制制度和评价办
法,在内部控制日常监督和专项监督的基础上,对公司截至 2012 年 12 月 31
日内部控制设计与运行的有效性进行评价。
四、内部控制程序和方法
公司内部控制评价工作严格遵循《企业内部控制基本规范》规定的程序执行。
2012 年公司内部控制专项检查工作,从 10 月份开始,截至 11 月 30 日前,是公
司各业务主管部门按照《内部控制自评检查工作实施方案》和内部控制自我评估
标准的要求开展的内控业务自查;12 月份至 2013 年 3 月是审计室开展的监督评
价检查。评价过程中,采用了访谈法、调查问卷法、穿行测试、实地查验和抽样
等适当方法,并依据内部控制相关规定设计内部控制自我评估工作底稿,广泛收
集公司内部控制设计和运行是否有效的证据,内部控制评估内容涵盖公司生产经
营所有方面。
五、内部控制自我评价的有效性结论
10
�八一钢铁 600581
公司截至 2012 年 12 月 31 日,对纳入评价范围的业务与事项均已建立了内
部控制,并得以有效执行,达到了公司内部控制的目标,不存在重大缺陷。
新疆八一钢铁股份有限公司董事会
2013 年 3 月 29 日
11
�
