内部控制制度原则 - 公司建立内部控制及风险管理制度应遵循全面性、重要性、制衡性、适应性、成本效益原则[4][5] 内部控制要素 - 公司建立与实施有效的内部控制要素包括内部环境、风险评估、控制活动、信息与沟通、内部监督[5] 公司治理结构 - 股东大会是公司权力机构，行使重大事项表决权；董事会行使经营决策权；经理层主持生产经营管理工作[10][11] - 董事会负责内部控制建立健全和有效实施；经理层负责组织领导日常运行[14] 审计与监督机构 - 董事会下设立审计委员会，负责审查公司内部控制等；设立独立内审部门，由审计委员会直接领导[15] 人力资源政策 - 公司应制定和实施人力资源政策，包括员工聘用、培训等内容[14][18] 风险评估 - 风险评估是识别、分析经营活动风险并确定应对策略[22] - 公司采用定性与定量结合方法分析风险，确定关注重点和优先控制风险[24] - 公司根据风险分析结果和承受度，权衡风险与收益确定应对策略[25] - 公司识别外部风险应关注经济、法律、社会等因素[23] - 公司应综合运用风险规避、降低、分担和承受等策略应对风险[23] 控制活动 - 控制活动包括部门设置、职责分工等，要结合风险评估结果控制风险[25] - 控制措施有不相容职务分离、授权审批等多种类型[27] - 会计系统控制要求公司执行会计准则，保证会计资料真实完整[28] - 财产保护控制需建立日常管理和定期清查制度，确保财产安全[30] - 预算控制要求公司实施全面预算管理制度，强化预算约束[31] 制度制定 - 公司应制定《人力资源管理办法》和《绩效评价管理制度》[31] 应急机制 - 公司要建立重大风险预警和突发事件应急处理机制[32] 信息沟通 - 公司应建立信息与沟通制度，确保信息及时沟通[36] 内部监督 - 内部监督分为日常监督和专项监督，专项监督范围和频率依风险评估等确定[45] 缺陷认定与整改 - 公司应制定内控缺陷认定标准，分析缺陷并报告整改[45] - 发现内控重大缺陷或风险应向董事会报告，董事会视情况报监管部门[47] 内控自评 - 公司应结合内部监督定期自评内控有效性并出具评价报告[47] - 年度内控评价报告至少含九项内容[48] - 内控自评方式等由公司自行确定，有规定从规定[48] - 内审部编制自评报告草案报审计委员会审议，董事会形成决议[49] 报告披露 - 董事会应在年报披露时披露内控自评报告及会计师核实意见[50] 资料保存 - 内控相关资料保存时间不少于十年[50] 制度执行与修订 - 本制度自下发之日起执行，解释权归董事会并会修订[52][53]