上海机电:内部控制手册2013-04-25
上海机电股份有限公司
内部控制手册
�
目 录
引 言.............................................................................................................................1
一、手册结构.................................................................................................................3
1.手册结构及内容概要 .............................................................................................. 3
二、手册特征.................................................................................................................4
1.管理积淀与管理创新相结合 .................................................................................. 4
2.贯彻风险预控的管理理念 ...................................................................................... 5
3.对现有管理体系的融入与整合 .............................................................................. 5
4.具有广泛适用性和前瞻性 ...................................................................................... 5
5.具有强制性和约束性 .............................................................................................. 5
三、手册使用说明.........................................................................................................6
1.使用要求 .................................................................................................................. 6
2.编写与发布 .............................................................................................................. 6
3.维护与更新 .............................................................................................................. 6
四、内部控制体系基本框架.........................................................................................7
1.总则 .......................................................................................................................... 7
1.1 框架编制的目的 ..................................................................................................... 7
1.2 框架编制的依据 ..................................................................................................... 7
1.3 框架编制的思路与方法 ......................................................................................... 9
1.4 体系框架的应用 ................................................................................................... 10
2.编制原则 ................................................................................................................ 10
2.1 先进性与实用性相结合 ....................................................................................... 10
2.2 方法论与操作性相结合 ....................................................................................... 10
2.3 继承性与包容性相结合 ....................................................................................... 10
2.4 满足外部监管与提升内部管理相结合 ............................................................... 11
�
3.适用范围 ................................................................................................................ 11
4.内部控制体系框架的主要内容 ............................................................................ 11
4.1 内部环境 ............................................................................................................... 11
4.2 风险评估 ............................................................................................................... 11
4.2.1 风险评估范围.................................................................................................... 12
4.2.2 风险评估基本程序............................................................................................ 12
4.2.3 风险数据库........................................................................................................ 12
4.3 控制活动 ............................................................................................................... 12
4.3.1 控制活动的实施................................................................................................ 13
4.3.2 权限指引............................................................................................................ 13
4.4 信息与沟通 ........................................................................................................... 13
4.4.1 反舞弊................................................................................................................ 14
4.4.2 信息报告与披露................................................................................................ 14
4.4.3 信息收集与沟通................................................................................................ 14
4.5 内部监督 ............................................................................................................... 15
4.5.1 日常监督............................................................................................................ 15
4.5.2 专项监督............................................................................................................ 16
4.5.3 内部控制评价.................................................................................................... 16
4.5.4 缺陷报告与跟踪................................................................................................ 16
五、附则.......................................................................................................................16
�
引 言
上海机电股份有限公司(以下简称“机电股份”或“公司”)是一家引领中
国机电装备制造企业快速发展的大型上市公司,是其母公司中国最大的装备制造
业集团、香港上市公司——上海电气集团股份有限公司的重要产业支柱之一,承
担着机电一体化板块的发展重任。
公司于 1992 年在上海证券交易所上市(A 股 600835、B 股 900925,简
称“上海机电”和“机电 B 股”)。公司业务涉及电梯制造、印刷包装机械制造、
液压器材、冷冻空调设备等,拥有控股及参股公司 33 家,其中包括与美、日、
法等世界著名跨国公司共同组建的 15 家合资企业。下属各独资、合资企业均全
部通过全面质量管理体系(ISO9000)认证。
公司遵循“创造舒适生活”这一企业理念,弘扬“争创一流”的企业精神和
“永不满足”的企业价值观,在全国行业内具有领先的竞争优势。公司不仅拥有
世界销量第一的单体电梯生产企业——“上海三菱”这一著名品牌,而且与有着
“世界空调之父”之称的美国开利公司共同组建、经营其在华企业,形成了品牌
优势和规模优势,带动了公司其它领域的共同发展,形成了机电一体化产业板块,
具有强劲的发展势头。
公司的主营业务都是与国民经济景气度紧密相关的行业,这些行业必将随着
国民经济的快速发展而进一步拓展其成长空间。面对发展机遇,公司正不断地以
发展为主线,调整为重点,加快新体制新机制的创新,加大新技术新装备的投入,
以“做精、做强、做大”为目标,实施产业集约化发展、技术高端化提升、资源
全球化集成的经营战略,通过巩固强势产业,发展优势产业,拓展潜力产业,成
为名副其实的绩优股,为上海电气跨入世界 500 强作出贡献,以优异的业绩回
报股东。
为进一步加强公司的内部控制体系建设,提升公司管理水平,满足外部监管
1
�
要求和内在发展需求,实现公司健康、科学发展,公司编制《上海机电股份有限
公司内部控制手册》(简称“本手册”)及实施细则,作为公司建立、执行、评价
和维护内部控制体系的指导和依据。
2
�
一、手册结构
1.手册结构及内容概要
本手册依据财政部等五部委发布的《企业内部控制基本规范》及其配套指引、
国资委《中央企业全面风险管理指引》以及上交所和深交所相关指引,结合公司
总体发展要求及专业化、标准化的机电一体化建设特点编制而成。
本手册明确了建立健全内部控制体系的基本原则、政策、程序和规范,旨在
提高公司管理层及员工的风险管理意识和风险管理水平,满足公司内在发展需求,
促进公司战略目标实现。
本手册包括五个主要部分,分别为手册结构、手册特征、手册使用说明、内
部控制体系基本框架和附则,其中体系框架包含内部环境、风险评估、控制活动、
信息与沟通以及内部监督五个方面的内容。
手册结构、手册特征和手册使用说明部分,主要描述本手册的结构及手册的
使用说明,详细介绍本手册的结构、内容、特征、使用要求、编写与发布规范以
及维护与更新等。
体系框架部分,描述公司内部控制体系组织架构与职责,全面阐述公司内部
控制体系建设的目标,并以财政部等五部委《企业内部控制基本规范》及其《配
套指引》框架为指导,从内部环境、风险评估、控制活动、信息与沟通、内部监
督五个方面对内部控制体系的构成要素进行了说明:
(1) 内部环境部分,介绍内部环境的概念,对公司治理、组织结构、企业文
化、社会责任、战略管理、人力资源政策及内部审计等内部控制环境各要素及其
控制目标、控制措施进行阐述。
(2) 风险评估部分,介绍风险及风险评估的基本概念,描述开展风险评估的
基本程序,围绕战略目标、经营目标、报告目标、合规性目标、资产安全目标确
3
�
定风险评估的范围,从风险评估原则、基本程序、公司层面风险评估及应对策略、
流程层面风险评估及控制措施等方面,对风险评估关注要点和控制措施进行了阐
述,分析公司层面及流程层面风险,编制了《上海机电股份有限公司公司层面风
险控制矩阵》、《上海机电股份有限公司流程层面风险控制矩阵》和《上海机电股
份有限公司风险评估报告》(模板)。
(3) 控制活动部分,介绍控制活动的概念及分类,从控制活动实施及权限指
引设置方面,对控制活动的控制目标和相应的控制措施进行了阐述,并汇编了控
制活动的相关文档。
(4) 信息与沟通部分,介绍信息与沟通的概念及要素,对反舞弊、信息报告
与披露、信息收集与沟通等方面的控制目标和相应的措施进行了阐述。
(5) 内部监督部分,介绍内部监督的概念及要素,从日常监督、专项监督、
内部控制评价及缺陷报告与跟踪等方面对内部监督控制目标及主要控制措施进
行了阐述,并汇编内部监督相关文档。
内部控制体系框架的五个主要部分在结构和内容上既相互联系,又各成体系,
并与公司的企业文化和内控制度体系相辅相成,共同构成了支撑公司有效运营的
管理体系。
附则部分对本手册的补充信息进行了相应说明。
二、手册特征
1.管理积淀与管理创新相结合
本手册是在总结公司管理实践、借鉴其他公司管理经验的基础上编制而成,
是管理经验的沉淀和提炼。同时将先进的风险管理理念和流程管理理念融合在一
起,推动公司业务标准化、规范化运作,为公司内部控制体系的后续优化奠定基
础。
4
�
2.贯彻风险预控的管理理念
本手册贯彻“以风险为导向,以内部控制为手段”的内控与风险管理理念,
强调事前和事中控制,在构建良好的内部环境的基础上,把管理风险作为内部控
制的目标,实现风险预控和标准化管理。
3.对现有管理体系的融入与整合
本手册以风险管控为主线,将管理理念和企业文化贯穿其中,从风险视角出
发,将内部控制的原则和方法紧密融合到制度和流程建设中,形成协调一致的有
机整体。
4.具有广泛适用性和前瞻性
本手册以财政部等五部委发布的《企业内部控制基本规范》及其配套指引为
指导,在借鉴国际较为成熟的内部控制和风险管理框架的基础上,立足中国国情,
充分考虑公司实际情况,为各项业务活动提供了具体的操作指引,在覆盖现有业
务活动的同时,也能适应未来一定时期业务发展的需要。
5.具有强制性和约束性
本手册明确了公司建立内部控制体系及框架所需遵循的标准,规范了管理层
及员工的管理与业务控制活动,不仅适用于公司层面的控制,同时适用于经营管
理业务流程层面的控制和信息层面的控制。
本手册具有强制性,一经公司董事会审议发布,各职能部门必须严格执行。
5
�
三、手册使用说明
1.使用要求
本手册是公司重要的体系文件,属于公司商业秘密。使用者按保密要求正确
使用,不得擅自复制,不得对外泄露。
使用过程中遇到的问题,需及时向公司风险与内部控制管理部门咨询。
2.编写与发布
本手册由公司风险与内部控制管理部门组织编写,经董事会审议批准后发布。
风险与内部控制管理部门作为本手册的归口解释部门,需及时掌握本手册的执行
情况,并在本手册的基础上,编制内部控制手册实施细则,以采取有效措施确保
内部控制体系的有效运行。
3.维护与更新
本手册及其实施细则的维护是一项经常性、持续性、长期性的工作,需要公
司各职能部门高度重视,积极参与,大力配合。
本手册的修订、维护由公司风险与内部控制管理部门负责组织实施。公司风
险与内部控制管理部门根据国家及地方法律法规、上海电气集团总公司(以下简
称“集团总公司”)、上海电气集团股份有限公司(以下简称“电气股份”)及机
电股份规章制度的要求、内外部审计对公司内部控制的评价、公司内控管理过程
中发现的问题以及各职能部门的反馈意见和建议等,提出修订和维护的要求,各
职能部门修订具体内容,修订稿统一提交风险与内部控制管理部门审核认定其符
合性,经各职能部门分管领导审核确认,董事会批准后执行。
内部控制手册实施细则的修订、维护详见《上海机电股份有限公司内部控制
手册实施细则》的相关规定。
6
�
四、内部控制体系基本框架
1.总则
1.1 框架编制的目的
通过确定内部控制体系建设目标,明晰建设范围和内容,为公司建立“以风
险为导向,以内部控制为手段,统一、规范、有效”的内部控制体系提供指引,
增强公司风险防范能力,为公司持续、健康、科学发展提供合理保障。
1.2 框架编制的依据
(1) 《企业内部控制基本规范》及其配套指引
2008 年 6 月,财政部会同证监会、审计署、银监会、保监会发布了《企业
内部控制基本规范》(简称《基本规范》),对上市公司内部控制与风险管理工作
提出了明确要求,并鼓励非上市的大中型企业执行,旨在加强和规范企业内部控
制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主
义市场经济秩序和社会公众利益。《基本规范》在形式上借鉴了 COSO《内部控
制-整合框架》的五要素框架,在内容上体现了《企业风险管理-整合框架》风险
管理八要素框架的实质,构建了以内部环境为重要基础、以风险评估为重要环节、
以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相
互联系、相互促进的五要素框架。
2010 年 4 月 26 日,财政部等五部委联合颁布了《企业内部控制配套指引》,
自 2011 年 1 月 1 日起首先在境内外同时上市的公司施行,自 2012 年 1 月 1
日起扩大到在上交所、深交所主板上市的公司施行;在此基础上,择机在中小板
和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。配套指引包括
《企业内部控制应用指引》(含 18 个具体指引)、《企业内部控制评价指引》和
《企业内部控制审计指引》。
7
�
(2) 《中央企业全面风险管理指引》
2006 年 6 月,国务院国资委根据《企业国有资产监督管理暂行条例》(国
务院令第 378 号)关于“国有及国有控股企业应当加强内部监督和风险控制”
的要求,出台了《中央企业全面风险管理指引》(简称《指引》),旨在进一步加
强和完善国有资产监管工作,深化国有企业改革,加强风险管理,促进企业持续、
稳定和健康发展。
《指引》对中央企业开展全面风险管理工作的总体原则、基本流程、组织体
系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、
风险管理信息系统等方面进行了详细阐述,要求各中央企业把风险管理作为企业
各项管理工作的主线,将风险管理要求融入企业管理和业务流程中,尽快建立和
完善全面风险管理体系。
全面风险管理,是企业围绕总体经营目标,通过在企业管理的各个环节和经
营过程中执行风险管理的基本流程,培育良好的全面风险管理文化,建立健全全
面风险管理体系,包括风险管理策略、风险管理措施、风险管理组织体系、风险
管理信息系统和内部控制系统,从而为实现风险管理总体目标提供合理保证的过
程和方法。
(3) 上交所《上市公司内部控制指引》
2006 年 6 月 5 日,上海证券交易所(简称“上交所”)根据证监会《关于
提高上市公司质量意见》等法律法规,制定发布了《上市公司内部控制指引》,
明确要求在该所上市的公司应当建立健全内部控制制度,保证内控制度的完整性、
合理性及实施的有效性,以提高公司经营的效率与效果,增强公司信息披露的可
靠性,确保公司行为合法合规;同时要求,公司董事会应在年度报告披露时,披
露年度内部控制自我评估报告,并根据实际执行情况,披露会计师事务所对内部
控制自我评估报告的核实评价意见。
8
�
(4) 深交所《上市公司内部控制指引》
2006 年 9 月 28 日,深圳证券交易所(简称“深交所”)出台了《上市公
司内部控制指引》,敦促在该所上市公司建立健全内部控制制度。该指引对上市
公司应当特别关注的内部控制进行了总结,包括对控股子公司、关联交易、对外
担保、募集资金使用、重大投资和信息披露等方面的内部控制。
(5) 《COSO 企业风险管理整合框架》;
1992 年 9 月,COSO 委员会(美国反虚假财务报告委员会下属的发起人委
员会)提出了《内部控制——整合框架》(1994 年进行了增补),即 COSO 内
部控制框架。该框架被作为构建和完善内部控制体系的标准,也是美国证券交易
委员会对上市公司唯一推荐使用的内部控制框架。COSO 内部控制框架提出了
五个相互关联的组成要素,即:控制环境、风险评估、控制活动、信息与沟通、
监督。企业可根据规模和结构,采用不同的方式来实施这些组成要素中的要求,
但都必须涉及这五个组成要素。
2004 年 9 月,COSO 委员会又发布了报告《企业风险管理——整合框架》,
该报告在内部控制的基础上,扩展、提供了一个更强有力的框架,更广泛地专注
企业的全面风险管理。该框架并未取代内部控制框架,而是将内部控制框架与其
融合为一体。《企业风险管理-整合框架》由八个相互关联的要素构成,包括内
部环境、目标制定、事件识别、风险评估、风险应对、控制活动、信息与沟通、
监督。
(6) 上海机电股份有限公司的相关制度管理规定。
1.3 框架编制的思路与方法
在公司内部控制现有基础上,根据五部委《企业内部控制基本规范》及其配
套指引、国务院国资委《中央企业全面风险管理指引》的主要内容和要求,结合
9
�
上交所、深交所 的相关框架和指引,汲取国内外公司内部控制与风险管理体系
建设的先进经验,编制公司内部控制体系框架。
1.4 体系框架的应用
本框架明确了公司内部控制与风险管理的工作任务和基本标准,是制定内部
控制与风险管理工作规划的主要依据。
围绕本框架确定的工作目标和内容,在今后年度进一步健全完善。
2.编制原则
2.1 先进性与实用性相结合
本框架参考了国内外先进的内部控制与风险管理理论、国内外大型企业集团
内部控制与风险管理实践,立足于公司自身管理和业务特点,力求与公司现有管
理程序和制度相衔接,充分考虑实用性和可行性。
2.2 方法论与操作性相结合
本框架内容涵盖了内部控制和风险管理的各个要素和环节,为公司建立和运
行内部控制体系提供了一套完整的方法论和指导原则,同时针对风险识别、风险
评估、风险控制、内部控制评价等常规性工作,制定了具体操作指引和工作模板,
保证公司内部控制与风险管理工作具有较强的可操作性。
2.3 继承性与包容性相结合
本框架依托已有的管理优势,与公司现行管理制度和管理体系相融合,力求
继承与包容。
10
�
2.4 满足外部监管与提升内部管理相结合
本框架的编制以满足外部监管要求为出发点,以提升公司内部控制和风险管
理水平为目的,兼顾了内外部环境对公司内部控制与风险管理的要求,为公司战
略目标的实现提供合理保障。
3.适用范围
本手册框架适用于上海机电股份有限公司。
4.内部控制体系框架的主要内容
4.1 内部环境
内部环境是建立内部控制体系的基础,是有效实施内控与风险管理的保障,
直接影响内控与风险管理政策的执行、企业经营目标及整体战略目标的实现。内
部环境确定了公司内部控制体系建设的总体态度,是内部控制体系其他要素(风
险评估、控制活动、信息与沟通和内部监督)的基础。
公司内部环境包括公司治理、组织结构、战略管理、人力资源政策、企业文
化、社会责任及内部审计等内容。
4.2 风险评估
风险评估是及时识别、科学分析影响公司目标实现的各种不确定因素,并制
定解决方案的过程,是实施内部控制的重要环节。
风险评估中,既要识别和分析对实现目标具有阻碍作用的风险,也要发现对
实现目标具有积极影响的机遇。
公司根据《上海机电股份有限公司风险管理手册》,明确风险评估的范围、
程序和方法,规范公司的风险评估工作。
11
�
公司风险评估工作根据《上海机电股份有限公司风险管理手册》的规定,将
由全面风险管理专职部门组织公司全体参与实施。
4.2.1 风险评估范围
公司针对战略目标、经营目标、报告目标、合规目标和资产安全目标,分别
确认风险评估的范围。
4.2.2 风险评估基本程序
(1) 风险识别。
(2) 风险分析。
(3) 风险评价。
(4) 风险应对。
4.2.3 风险数据库
公司按照规定的程序和方法开展风险评估活动后,将识别出的公司层面和流
程层面的风险事项,对应风险发生的层次、重要性水平和应对策略,建立公司层
面和业务流程层面的风险数据库,并定期维护该数据库内容。
4.3 控制活动
控制活动是指根据风险评估结果,采取必要的控制措施,将风险控制在可承
受度内。
控制活动是落实风险评估结果的基本手段。控制活动存在于公司各项业务流
程中,贯穿整个生产经营过程。
12
�
公司根据内部控制目标,将控制措施与风险应对策略相结合,针对各类风险
或每一项重大风险涉及的所有管理及业务流程,制定涵盖各个环节的全流程控制
措施;对其他风险涉及的业务流程,把好关键环节的控制措施。
公司按照各职能部门的职责分工,针对面临的各项风险,按照风险应对策略,
建立相应的风险控制政策和措施,规范业务流程,并编制相关文档。
4.3.1 控制活动的实施
(1) 规范业务流程,制定业务活动层面风险控制措施。针对公司各主要业务
设计流程,实施一系列政策、制度、规章和措施,对影响业务流程目标实现的各
种风险进行有效管理和控制。通过确定内部控制体系框架,记录业务流程和内部
控制情况,建立关键控制和一般控制等规范业务流程控制活动。
(2) 分解重大风险,将公司层面重大风险与业务流程进行对接。为确保公司
层面重大风险的管理落到实处,根据各重大风险涉及的业务内容和控制目标,将
公司层面重大风险进行层层分解,识别导致重大风险的众多风险事项,并将其与
业务流程进行对接,评估与重大风险对接流程的控制措施是否存在和有效,保证
风险管理真正落地。
4.3.2 权限指引
权限指引是公司内控与风险管理的重要组成部分,具体描述了公司各项业务
权限管理如何构成、应用和监控,各级审核、审批权限如何界定。
公司编制《上海机电股份有限公司权限指引表》,明确各项重大决策、经营
活动的审核、审批权限,确保决策的科学性及经营活动的效果和效率。
4.4 信息与沟通
信息与沟通是指及时、准确地收集、传递内控与风险管理相关信息,确保信
13
�
息在内、外部进行有效沟通,促使职责得到有效履行。
信息指与公司经营相关的财务及非财务信息,不仅包括内部产生的信息,还
包括与公司经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使员工
能及时获得所需信息。
公司建立符合发展战略并与经营管理活动一体化的信息系统,为内部控制与
风险管理提供足够的信息资源和顺畅的沟通渠道。
4.4.1 反舞弊
公司应当建立健全反舞弊机制和惩防体系,坚持“标本兼治、综合治理、惩
防并举、注重预防”的方针,明确反舞弊工作的重点领域、关键环节和有关机构
在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程
序。
4.4.2 信息报告与披露
信息报告与披露是指公司为满足监管要求,向监管部门和相关市场参与者及
时提供准确、完整、可靠的公司信息。
公司应当制定完善的信息报告与披露管理制度,明确重大事项的判定标准和
报告程序,确定披露事项的收集、汇总和披露程序,符合资本市场监管要求。
4.4.3 信息收集与沟通
公司对收集的各种内部信息和外部信息进行合理筛选、核对、整合、分析,
提高信息的有用性,即持续不断地识别、收集、整理、归纳和分析来自内部与外
部、经营与管理的各种信息,针对不同信息来源和信息类型,明确各种信息的收
集人员、收集方式、传递程序、报告途径和分析处理要求,确保信息资源得到及
时、准确、完整收集,并达到共享和有效利用。
14
�
收集的内控与风险管理相关信息在公司内部各管理级次、各职能部门、各业
务环节之间,以及公司与外部投资者、债权人、客户、供应商、中介机构和监管
部门等有关方面进行沟通和反馈。
公司建立适当的沟通渠道,与公司的相关方(包括供应商、监管机构、外部
审计师等)就相关信息进行必要的沟通。
4.5 内部监督
内部监督是对公司内部控制的建立与实施情况进行监督检查,以评价内部控
制有效性,发现内部控制缺陷的过程。
内部监督是跟进内部控制体系有效运行的重要途径,同时,也是内部控制体
系的一个重要组成部分。内部监督包括日常监督、专项监督、内部控制评价和缺
陷报告与跟踪等。
4.5.1 日常监督
日常监督是指公司对建立、实施内控与风险管理的情况进行常规、持续的监
督检查。
根据上海机电股份有限公司的内部控制和风险管理要求和规定,公司制定内
部控制体系运行与维护管理制度,明确日常监督机构的职责权限,规范日常监督
程序、方法和要求,定期维护《上海机电股份有限公司内部控制手册》及其实施
细则。
公司将内部控制与风险管理工作纳入中、高级管理层的业绩考核,建立内部
控制体系运行的长效机制。
15
�
4.5.2 专项监督
专项监督是指在公司发展战略、组织结构、经营活动、业务流程、关键岗位
员工等发生较大调整和变化时,对可能由此影响的内部控制的某个或某些方面进
行有针对性的监督检查。
4.5.3 内部控制评价
公司建立定期内部控制评价制度,明确内部控制评价的机构和职责权限,规
范评价的方式、范围、程序和频率,并编制评价报告。在公司接受外部审计师对
内部控制的审计时,负责内部控制评价的机构牵头积极配合外部审计师的审计工
作,并且充分利用外部审计师的工作成果。
4.5.4 缺陷报告与跟踪
公司建立缺陷报告与跟踪制度,明确报告的职责、报告的内容,对缺陷报告
的程序及跟进措施等方面进行规范;根据上海机电股份有限公司统一的内部控制
缺陷认定标准,开展缺陷认定活动,同时对已经认定的缺陷实施有效改进,并对
改进情况进行进一步跟踪评估。
五、附则
本手册自上海机电股份有限公司董事会批准之日起施行。
本手册由上海机电股份有限公司风险与内部控制管理部门负责解释。
公司内部控制体系框架五要素,即内部环境、风险评估、控制活动、信息与
沟通、内部监督的构成要素、控制目标、控制措施及实施证据见《上海机电股份
有限公司内部控制手册实施细则》。
16
�
