内控组织体系 - 公司设立由董事会、监事会等构成的内控管理组织体系[6] - 董事会是内控管理最高决策机构，监事会负责监督制度设计与执行[6] - 审计部门负责确定内控建设总体目标等职责[6] - 管理层负责建立完善内部控制制度体系等工作[6] - 各职能部门需严格执行制度，识别分析内控缺陷[7] - 各子公司法定代表人是内控与风险管理第一责任人[8] 内控目标与原则 - 公司内部控制目标包括保证经营合法合规等五项[11] - 内部控制管理应遵循全面性、重要性等五项原则[11] 内控活动与措施 - 内部控制活动涵盖组织架构等多个运营环节[13] - 公司采用不相容职务分离等多种内部控制措施[13] 风险识别与评估 - 审计部门每年组织全面识别与评估业务风险[17] - 各职能部门及子公司每年定期评价现有制度或业务流程[17] 内控评价工作 - 审计部门组织制定下一年度内控评价工作方案，经审核、批准[20] - 内控评价测试可运用多种方法收集证据并研究分析缺陷[20] - 评价工作组汇总评价结果并判定缺陷等级[21] 缺陷报告与审定 - 一般和重要缺陷每年至少报告一次，重大缺陷立即报告[23] - 重大缺陷由董事会最终审定，与管理层舞弊相关缺陷直报董事会[24] 缺陷分类与认定 - 内部控制缺陷按成因、严重程度、表现形式分类[24][25][26] - 财务报告内控缺陷认定可采用定性、定量或结合方法[28] - 非财务报告内控缺陷有定量和定性标准[29][31] 评价报告披露 - 内部控制评价报告应分别对内部环境等要素设计并披露[34] - 报告至少应披露董事会声明、评价工作总体情况等内容[34] - 报告经审核、审议、批准后报送相关监管部门[35] 报告时间要求 - 公司以12月31日为年度内控评价报告基准日，应于4个月内报出[35] - 外部审计机构每年审计并出具报告，与评价报告同时披露和报送[35] 风险信息管理 - 审计部门组织收集、整理、分析风险信息并定期更新[37] - 风险信息来源包括战略、财务等五个方面[37][38] 风险评估与应对 - 风险评估可自行组织或委托中介机构，中介选聘按规定执行[36] - 风险识别可通过多种形式，分析风险来源等[39] - 公司风险应对策略包括规避、降低、转移、承担四种[39] - 重要和重大风险需编制分析报告，确定应对策略和管控措施[40] 应急处理机制 - 公司健全重大风险预警和突发事件应急处理机制[40] 监督检查方式 - 监督检查方式包括外部审计、自检、内部审计[42] - 可聘请中介机构对内部控制与全面风险管理工作进行评价[42] 责任追究 - 对未整改、未发现或未有效处理内控缺陷和风险造成损失的追究责任[43]