规范适用范围 - 规范适用于公司及控股子公司[2] 内部控制原则与要素 - 建立与实施内部控制应遵循七项原则[3][4] - 建立与实施有效内部控制包括五要素[4] 公司治理结构 - 股东大会行使重大事项表决权，董事会行使经营决策权，监事会监督高管履职[7] - 董事会负责内部控制建立健全和实施，监事会监督，经营管理层负责日常运行[9] 企业文化与人力资源 - 公司应注重企业文化建设[9] - 人力资源政策包括员工聘用、培训等，选拔注重职业道德和专业能力[11] 审计与反舞弊 - 公司在董事会下设立审计委员会，设置审计部归属其领导[13] - 公司应建立反舞弊制度，明确重点情形[15][17] - 公司应建立举报投诉和举报人保护机制[17] 风险设定与识别 - 公司应设定战略、经营等目标，确定风险承受能力[19] - 识别内部风险关注多因素[19] - 识别外部风险关注多因素[20][24] - 风险识别可采取多种方法并确定关注重点[20] 控制措施 - 控制措施包括多种控制[23] 信息与沟通 - 公司应建立信息与沟通机制[29] 监督与评价 - 公司要制定内部控制监督机制，明确职责权限[31] - 公司需制定内部控制缺陷认定标准，跟踪整改情况[32] - 公司应定期对内部控制有效性进行自我评价[32] 其他策略 - 公司可借助中介完善经营管理和内部控制[34] - 公司应加强人员和规范处置程序，处理突发事件[35] - 公司要加强宣传引导和教育培训[35] - 公司需建立高级管理人员职业操守准则和员工行为守则[35] - 高级管理人员应带头执行内部控制[35] - 公司要考虑内部控制局限带来的风险并控制在合理范围[35] 规范说明 - 规范未尽事宜或冲突时以法律法规等规定为准[37] - 规范由董事会负责解释，经审议通过后生效和修改[37]