企业内控应用手册之信息传递-风险控制矩阵.xls

《企业内控应用手册之信息传递-风险控制矩阵.xls》由会员分享，可在线阅读，更多相关《企业内控应用手册之信息传递-风险控制矩阵.xls（46页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、风风险险控控制制矩矩阵阵编编制制说说明明一一、编编制制风风险险控控制制矩矩阵阵的的目目的的编制风险控制矩阵旨在梳理企业内部控制相关的业务流程的控制目标及控制活动，为企业提出内控管理改善建议，使公司能够采取针对性的改进措施，从而达成管理风险和健全公司内部控制体系的最终目标。二二、风风险险控控制制矩矩阵阵的的使使用用对对象象风险控制矩阵的使用对象是各关键业务流程/子流程的直接负责人员（包括部门经理、流程/子流程具体执行人员等）。风险控制矩阵详细描述内部控制的控制目标、与控制目标相对应的风险及标准控制活动，进而对比现有业务活动与标准控制活动之间的差异，识别出公司的内控缺陷，并提出相应的改善建议。具体

2、填列请参见下述第三部分。三三、风风险险控控制制矩矩阵阵主主表表关关键键字字段段定定义义D D列列：控控制制目目标标控制目标是指内部控制总体目标在各个业务流程中的具体反映。因此本列的控制目标是以每一个业务流程下的子流程为范围（具体化）。F F列列：风风险险点点风险点用于说明未达成控制目标可能导致的风险。此列内容应与风险清单所载的保持一致。H H列列：标标准准控控制制活活动动即根据已有的公司规章制度或相关内部控制指引中所规范的业务流程，描述实际工作中应遵循的标准的控制活动。标准控制活动的描述要全面详细、语言精炼，一般要求在控制活动中明确出“谁执行、执行什么活动、如何执行”等信息。如果一个控制目标存

3、在多个控制活动，用户可自行在风险控制矩阵中添加行用于放置新的控制活动。标准的控制活动应是由国家法律法规、公司制度等明文规定的、必须遵循的活动，主要包括但不限于：1.授权审批控制2.异常报告、文档编辑记录控制3.数据传递、数据转换控制4.业绩考核指标5.独立复核控制6.核对控制7.职责分离控制8.系统接触控制9.系统设置、会计科目的系统设置I I列列：现现有有控控制制活活动动此列填写公司当前业务流程的实际操作情况，同样需要明确指出“谁执行、执行什么活动、如何执行”等信息。J J列列：重重要要性性程程度度判断该控制活动是否为关键控制活动。对会计科目、披露事项和业务流程尤为重要的控制活动，选关键控制

4、；若否，则请选一般控制。K K列列：制制度度公司目前已制定的、涉及该控制活动的相关制度及规定。L L列列：文文档档公司目前在该控制活动中涉及的相关文档。M M列列：责责任任部部门门及及岗岗位位实施该控制活动的部门及岗位。N N列列：控控制制形形式式如果该控制活动是由公司信息系统控制，控制形式选择“自动控制”，否则请选择“手工控制”。K K列列：执执行行频频率率指所对应的控制活动的执行频率，该部分将用于测试阶段样本量的计算。执行频率分为“每日多次”、“每日”、“每周”、“每月”、“每季”、“每年”、“业务发生时”。S S列列：合合规规对对比比内内容容对应企业内部控制基本规范及相关配套指引的相关条

5、款内容。U U列列：内内控控缺缺陷陷通过将现有控制活动与内控指引、标准控制活动参照进行对比后（即有可能与标准控制活动一致或存在偏差），如果目前存在偏差且此偏差可能导致公司内部控制不到位，则此偏差属于内部控制缺陷，公司需要对其进行加以整改。此处填列的为缺陷的概括说明。V V列列：缺缺陷陷描描述述对缺陷的具体情况加以详述。W W列列：整整改改建建议议针对内控缺陷提出的整改建议，供公司参考。X X列列：缺缺陷陷等等级级根据内控缺陷的评价标准对识别出的内控缺陷评为“重大“、”重要“或”一般“。流流程程简简称称说说明明流流程程名名称称流流程程简简称称组织架构OSOS发展战略STST人力资源HRHR社会责

6、任SRSR企业文化CCCC全面预算BUBU信息传递ICIC关联交易RPTRPT信息系统ITIT内部审计AUAU筹资管理FINFIN资金运营管理TRTR投资管理IMIM固定资产管理FAFA无形资产管理IAIA采购业务PUPU担保业务GRGR财务报告FRFR合同管理CONCON业务外包BPOBPO税务管理TXTX项目开发管理DMDM工程项目管理PMPM成本管理EMEM品牌及营销管理BMBM物业管理FMFM编编号号规规则则说说明明规规则则名名称称编编号号规规则则控制目标编号规则流程简称+CO+顺序号举例：资金运营管理流程第一个控制目标：TR-CO-01风险点编号规则流程简称+R+顺序号举例：资金运营

7、管理流程第一个风险点：TR-R-01控制活动编号规则流程简称+CA+顺序号举例：资金运营管理流程第一个控制活动：TR-CA-01控制运行有效性测试底稿编号规则流程简称+T+顺序号举例：资金运营管理流程第一个测试底稿：TR-T-01控制缺陷编号规则流程简称+CD+顺序号举例：资金运营管理流程第一个控制缺陷：TR-CD-01增值建议编号规则流程简称+VA+顺序号举例：资金运营管理流程第一个增值建议：TR-VA-01编制风险控制矩阵旨在梳理企业内部控制相关的业务流程的控制目标及控制活动，为企业提出内控管理改善建议，使公司能够采取针对性的改进措施，从而达成管理风险和健全公司内部控制体系的最终目标。风险

8、控制矩阵的使用对象是各关键业务流程/子流程的直接负责人员（包括部门经理、流程/子流程具体执行人员等）。风险控制矩阵详细描述内部控制的控制目标、与控制目标相对应的风险及标准控制活动，进而对比现有业务活动与标准控制活动之间的差异，识别出公司的内控缺陷，并提出相应的改善建议。具体填列请参见下述第三部分。H H列列：标标准准控控制制活活动动即根据已有的公司规章制度或相关内部控制指引中所规范的业务流程，描述实际工作中应遵循的标准的控制活动。标准控制活动的描述要全面详细、语言精炼，一般要求在控制活动中明确出“谁执行、执行什么活动、如何执行”等信息。如果一个控制目标存在多个控制活动，用户可自行在风险控制矩阵

9、中添加行用于放置新的控制活动。标准的控制活动应是由国家法律法规、公司制度等明文规定的、必须遵循的活动，主要包括但不限于：1.授权审批控制2.异常报告、文档编辑记录控制3.数据传递、数据转换控制4.业绩考核指标5.独立复核控制6.核对控制7.职责分离控制8.系统接触控制9.系统设置、会计科目的系统设置I I列列：现现有有控控制制活活动动此列填写公司当前业务流程的实际操作情况，同样需要明确指出“谁执行、执行什么活动、如何执行”等信息。J J列列：重重要要性性程程度度判断该控制活动是否为关键控制活动。对会计科目、披露事项和业务流程尤为重要的控制活动，选关键控制；若否，则请选一般控制。N N列列：控控

10、制制形形式式如果该控制活动是由公司信息系统控制，控制形式选择“自动控制”，否则请选择“手工控制”。K K列列：执执行行频频率率指所对应的控制活动的执行频率，该部分将用于测试阶段样本量的计算。执行频率分为“每日多次”、“每日”、“每周”、“每月”、“每季”、“每年”、“业务发生时”。U U列列：内内控控缺缺陷陷通过将现有控制活动与内控指引、标准控制活动参照进行对比后（即有可能与标准控制活动一致或存在偏差），如果目前存在偏差且此偏差可能导致公司内部控制不到位，则此偏差属于内部控制缺陷，公司需要对其进行加以整改。此处填列的为缺陷的概括说明。风风险险控控制制矩矩阵阵公公司司名名称称：机机关关本本部部流

11、流程程名名称称：信信息息传传递递子子流流程程名名称称控控制制目目标标及及对对应应风风险险 控控制制活活动动控控制制目目标标编编号号控控制制目目标标风风险险点点编编号号风风险险点点控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动重重要要性性程程度度内内部部文文件件管管理理IC-CO-01系统、科学地规范不同级次内部报告的指标体系，合理设置关键信息指标和辅助信息指标。IC-R-01内部报告体系设计不合理，内部报告系统缺失、功能不健全、内容不完整，或体系设定后未能根据环境和业务变化有所调整，可能导致内部报告无法满足公司运营发展的需要。IC-CA-01企业应当根据发展战略和风险

12、控制要求，科学规范不同级次内部报告的指标体系，采用经营快报等多种形式，全面反映与企业生产经营管理相关的各种内外部信息。建建立立内内部部经经营营报报告告指指标标体体系系公司目前主要通过经营资料传递、财务资料传递、部门例会、邮件传送、廉政教育培训、文化宣传等方式进行内部信息传递。设计跨部门的沟通协调工作，通过发送工作联系单的形式进行沟通。一般IC-CO-02构建科学的内部报告网络体系，保障重要信息传递及时性IC-CA-02企业应当制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入企业统一信息平台，构建科学的内部报告网络体系。建建立立内内部部经经营营报报告告网网络络

13、体体系系公司办公室作为公司内部信息传递的主要责任部门，设置专员负责接收和传达各种内部信息；各子公司设立专门的资料管理员，负责与本部办公室进行直接对接。目前信息传递的方式多半采用公司邮箱、QQ通讯等，对来文和发文采用手工记录的方式进行统计。一般IC-CO-03收集内外部信息，保证企业发展战略和经营目标的实现。IC-CA-03企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级，以便采取应对策略。收收集集内内外外部部信信息息公司本部与各子公司的职能部门通过行业协会组织、网络媒体以及有关监管部门等渠道，收集与其经营内

14、容相关的市场状况、竞争情况、政策变化及环境变化等外部信息。公司本部及各子公司的职能部门通过公司内外网站、内部刊物等渠道获取财务会计资料、经营管理资料等内部信息。一般IC-CO-04全面的回顾和评价内部报告的编制和利用情况，掌握内部信息的真实状况。IC-R-02公司缺乏完善的内部报告评价体系，可能无法考核内部报告在企业生产经营活动中所起的真实作用，造成内部报告闲置。IC-CA-04企业应当建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性和信息传递的有效性。内内部部报报告告经经营营评评估估制制度度公司尚未建立内部经营报告评估制度。一般第7页，共46页制制度度

15、文文档档责责任任部部门门及及岗岗位位控控制制形形式式执执行行频频率率xx地产股份有限公司重大事项内部报告制度关于加强公司文件传递管理的通知无办公室手工控制业务发生时xx地产股份有限公司重大事项内部报告制度关于加强公司文件传递管理的通知无办公室手工控制业务发生时xx地产股份有限公司重大事项内部报告制度关于加强公司文件传递管理的通知无办公室手工控制业务发生时xx地产股份有限公司重大事项内部报告制度关于加强公司文件传递管理的通知无办公室手工控制每年 控控制制活活动动 控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动IC-CA-01企业应当根据发展战略和风险控制

16、要求，科学规范不同级次内部报告的指标体系，采用经营快报等多种形式，全面反映与企业生产经营管理相关的各种内外部信息。建建立立内内部部经经营营报报告告指指标标体体系系公司目前主要通过经营资料传递、财务资料传递、部门例会、邮件传送、廉政教育培训、文化宣传等方式进行内部信息传递。设计跨部门的沟通协调工作，通过发送工作联系单的形式进行沟通。IC-CA-02企业应当制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入企业统一信息平台，构建科学的内部报告网络体系。建建立立内内部部经经营营报报告告网网络络体体系系公司办公室作为公司内部信息传递的主要责任部门，设置专员负责接收和传

17、达各种内部信息；各子公司设立专门的资料管理员，负责与本部办公室进行直接对接。目前信息传递的方式多半采用公司邮箱、QQ通讯等，对来文和发文采用手工记录的方式进行统计。IC-CA-03企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级，以便采取应对策略。收收集集内内外外部部信信息息公司本部与各子公司的职能部门通过行业协会组织、网络媒体以及有关监管部门等渠道，收集与其经营内容相关的市场状况、竞争情况、政策变化及环境变化等外部信息。公司本部及各子公司的职能部门通过公司内外网站、内部刊物等渠道获取财务会计资料、经营管理

18、资料等内部信息。IC-CA-04企业应当建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性和信息传递的有效性。内内部部报报告告经经营营评评估估制制度度公司尚未建立内部经营报告评估制度。第8页，共46页控控制制运运行行有有效效性性测测试试合合规规对对比比（企企业业内内部部控控制制规规范范及及配配套套指指引引）测测试试底底稿稿编编号号测测试试结结论论条条款款规规定定内内容容无无企业内部控制应用指引第17号内部信息传递第五条企业内部控制基本规范第五章信息与沟通第三十八条企业应当根据发展战略、风险控制和业绩考核要求，科学规范不同级次内部报告的指标体系，采用经营快报

19、等多种形式，全面反映与企业生产经营管理相关的各种内外部信息。内部报告指标体系的设计应当与全面预算管理相结合，并随着环境和业务的变化不断进行修订和完善。设计内部报告指标体系时，应当关注企业成本费用预算的执行情况。企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。无无企业内部控制应用指引第17号内部信息传递第六条企业应当制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入企业统一信息平台，构建科学的内部报告网络体系。企业内部各管理层级均应当指定专人负责内部报告工作，重要信息应及时上报，并可以直接报告高级管

20、理人员。企业应当建立内部报告审核制度，确保内部报告信息质量。无无企业内部控制应用指引第17号内部信息传递第七条、第九条企业内部控制基本规范第五章信息与沟通企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级，以便采取应对策略。企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获

21、取外部信息。无无企业内部控制应用指引第17号内部信息传递第十条、第十二条企业应当建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性、安全性和有效性。企业应当有效利用内部报告进行风险评估，准确识别和系统分析企业生产经营活动中的内外部风险，确定风险应对策略，实现对风险的有效控制。企业对于内部报告反映出的问题应当及时解决；涉及突出问题和重大风险的，应当启动应急预案。控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动IC-CA-01企业应当根据发展战略和风险控制要求，科学规范不同级次内部报告的指标体系，采用经营快报等多种形式，

22、全面反映与企业生产经营管理相关的各种内外部信息。建建立立内内部部经经营营报报告告指指标标体体系系公司目前主要通过经营资料传递、财务资料传递、部门例会、邮件传送、廉政教育培训、文化宣传等方式进行内部信息传递。设计跨部门的沟通协调工作，通过发送工作联系单的形式进行沟通。IC-CA-02企业应当制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入企业统一信息平台，构建科学的内部报告网络体系。建建立立内内部部经经营营报报告告网网络络体体系系公司办公室作为公司内部信息传递的主要责任部门，设置专员负责接收和传达各种内部信息；各子公司设立专门的资料管理员，负责与本部办公室进行

23、直接对接。目前信息传递的方式多半采用公司邮箱、QQ通讯等，对来文和发文采用手工记录的方式进行统计。IC-CA-03企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级，以便采取应对策略。收收集集内内外外部部信信息息公司本部与各子公司的职能部门通过行业协会组织、网络媒体以及有关监管部门等渠道，收集与其经营内容相关的市场状况、竞争情况、政策变化及环境变化等外部信息。公司本部及各子公司的职能部门通过公司内外网站、内部刊物等渠道获取财务会计资料、经营管理资料等内部信息。IC-CA-04企业应当建立内部报告的评估制度，定

24、期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性和信息传递的有效性。内内部部报报告告经经营营评评估估制制度度公司尚未建立内部经营报告评估制度。第9页，共46页内内部部控控制制缺缺陷陷控控制制缺缺陷陷编编号号内内控控缺缺陷陷缺缺陷陷描描述述无无无无无无无无无IC-CD-01公司尚未建立内部经营报告评估制度。公司尚未建立内部经营报告评估及考核制度，未定期评估内部经营报告有效性、及时性及准确性，并针对评估结果进行考核。控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动IC-CA-01企业应当根据发展战略和风险控制要求，科学规范不同级次内部报告的指标

25、体系，采用经营快报等多种形式，全面反映与企业生产经营管理相关的各种内外部信息。建建立立内内部部经经营营报报告告指指标标体体系系公司目前主要通过经营资料传递、财务资料传递、部门例会、邮件传送、廉政教育培训、文化宣传等方式进行内部信息传递。设计跨部门的沟通协调工作，通过发送工作联系单的形式进行沟通。IC-CA-02企业应当制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入企业统一信息平台，构建科学的内部报告网络体系。建建立立内内部部经经营营报报告告网网络络体体系系公司办公室作为公司内部信息传递的主要责任部门，设置专员负责接收和传达各种内部信息；各子公司设立专门的资

26、料管理员，负责与本部办公室进行直接对接。目前信息传递的方式多半采用公司邮箱、QQ通讯等，对来文和发文采用手工记录的方式进行统计。IC-CA-03企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级，以便采取应对策略。收收集集内内外外部部信信息息公司本部与各子公司的职能部门通过行业协会组织、网络媒体以及有关监管部门等渠道，收集与其经营内容相关的市场状况、竞争情况、政策变化及环境变化等外部信息。公司本部及各子公司的职能部门通过公司内外网站、内部刊物等渠道获取财务会计资料、经营管理资料等内部信息。IC-CA-04企业

27、应当建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性和信息传递的有效性。内内部部报报告告经经营营评评估估制制度度公司尚未建立内部经营报告评估制度。第10页，共46页整整改改建建议议缺缺陷陷等等级级无无无无无无建议公司从以下几方面完善内部报告评估机制：1.建议公司建立并完善对内部经营报告的评估制度，并严格按照评估制度对内部经营报告进行合理评估，考核内部经营报告在生产经营活动中所起的真实作用。2.建议办公室制定内部经营报告评估及考核的指标【注】，报公司总经理审核并批准。3.每半年末，由公司内部报告的使用者（各副总、总经理、董事长等）对各部门的内部经营报告进行

28、评估，评估重点主要包括内部经营报告的及时性、准确性及有效性。4.人力资源中心汇总内部经营报告评估结果，并将其纳入各部门的绩效考核成绩中。-注：内部报告评估及考核体系包括但不限于以下几个方面的指标：内部报告的有效性内部报告的及时性内部报告的完整性内部报告的准确性内部报告的条理性一般缺陷内内部部控控制制缺缺陷陷 控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动IC-CA-01企业应当根据发展战略和风险控制要求，科学规范不同级次内部报告的指标体系，采用经营快报等多种形式，全面反映与企业生产经营管理相关的各种内外部信息。建建立立内内部部经经营营报报告告指指标标体

29、体系系公司目前主要通过经营资料传递、财务资料传递、部门例会、邮件传送、廉政教育培训、文化宣传等方式进行内部信息传递。设计跨部门的沟通协调工作，通过发送工作联系单的形式进行沟通。IC-CA-02企业应当制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入企业统一信息平台，构建科学的内部报告网络体系。建建立立内内部部经经营营报报告告网网络络体体系系公司办公室作为公司内部信息传递的主要责任部门，设置专员负责接收和传达各种内部信息；各子公司设立专门的资料管理员，负责与本部办公室进行直接对接。目前信息传递的方式多半采用公司邮箱、QQ通讯等，对来文和发文采用手工记录的方式进

30、行统计。IC-CA-03企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级，以便采取应对策略。收收集集内内外外部部信信息息公司本部与各子公司的职能部门通过行业协会组织、网络媒体以及有关监管部门等渠道，收集与其经营内容相关的市场状况、竞争情况、政策变化及环境变化等外部信息。公司本部及各子公司的职能部门通过公司内外网站、内部刊物等渠道获取财务会计资料、经营管理资料等内部信息。IC-CA-04企业应当建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性和信息传递的有效性。内内部部

31、报报告告经经营营评评估估制制度度公司尚未建立内部经营报告评估制度。第11页，共46页IC-CA-05企业严格执行奖惩机制，对经常不能及时或准确传递信息的相关人员进行批评和教育，并与绩效考核体系挂钩。内内部部文文件件工工作作考考核核机机制制公司目前并未针对所有内部文件的编制、传递工作进行考核，也并未将内部文件工作与奖惩机制相联系。一般IC-CO-05保证内部信息的保密性，防范在信息传递中泄漏商业秘密IC-R-03公司没有制定严格的内部报告保密制度，没有明确保密内容、保密措施、传递范围，导致保密工作不到位，信息传递过程中，泄露了公司商业秘密，给公司带来经济损失。IC-CA-06企业应当制定严格的内

32、部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。内部信息保密机制的建立公司制定了xx地产股份有限公司保密工作规定和内幕信息及知情人管理制度，对保密范围和密级、秘密文件的管理、保密工作的组织机构、内幕信息管理等方面的内容进行详细的规定。公司还制定了重大事项内部报告制度，规范了内部信息流转。公司在办公室设专职保密员一名，负责公司秘密文件资料的管理；各部门、各下属公司设兼职保密员一名，负责本部门、本公司的保密工作和业务档案的管理。公司设立保密工作委员会，由专职保密员和兼职保密员担任。保密工作委员会每年年中和年底组织两次保密工作大检查。公司与董事、监事、高级管理人员及其他

33、内幕信息知情人签订保密协议，或通过发送禁止内幕交易告知书等方式，明确内幕信息知情人的保密义务及违反保密义务应承担的责任。定期对内幕信息知情人买卖公司股票及其衍生品种的情况进行自查。一般公公文文处处理理IC-CO-06公文管理具体工作有章可循，职责得到明确和落实。IC-R-04公司缺少公文签发的必要流程，公文审核不严格，导致公文内容不完整、信息不明确，影响公司纵向及横向信息传递的准确性。IC-CA-07制定公文管理制度，明确公司公文管理的原则、流程和相关部门及岗位的职责分工。公公务务处处理理制制度度、流流程程、职职责责的的制制定定公司制定了公司公文处理办法，明确了公文的种类、格式、行文规则、收发

34、文的流程与职责等。公司办公室是公文处理的管理机构，负责公文的收发、分办、传递、归档和销毁。一般IC-CO-07发文程序规范，控制措施恰当。IC-CA-08主办部门负责人对草拟公文稿进行审核，确保公文符合公司公文要求。公公文文的的拟拟定定承办部门草拟好文稿后应填写发文审批单，并由部门负责人审稿、签名，确保其符合公文种类、格式使用规范，并明确发文单范围。一般风风险险控控制制矩矩阵阵公公司司名名称称：机机关关本本部部流流程程名名称称：信信息息传传递递子子流流程程名名称称控控制制目目标标及及对对应应风风险险 控控制制活活动动控控制制目目标标编编号号控控制制目目标标风风险险点点编编号号风风险险点点控控制

35、制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动重重要要性性程程度度第12页，共46页xx地产股份有限公司重大事项内部报告制度关于加强公司文件传递管理的通知无办公室手工控制每年xx地产股份有限公司保密工作规定xx地产股份有限公司内幕信息及知情人管理制度重大事项内部报告制度1.保密工作检查报告董事会办公室手工控制业务发生时公司公文处理办法无办公室手工控制业务发生时公司公文处理办法发文文件呈阅单及附件办公室手工控制业务发生时 控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动IC-CA-05企业严格执行奖惩机制，对经常不能及时或准确传递信息的

36、相关人员进行批评和教育，并与绩效考核体系挂钩。内内部部文文件件工工作作考考核核机机制制公司目前并未针对所有内部文件的编制、传递工作进行考核，也并未将内部文件工作与奖惩机制相联系。IC-CA-06企业应当制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。内部信息保密机制的建立公司制定了xx地产股份有限公司保密工作规定和内幕信息及知情人管理制度，对保密范围和密级、秘密文件的管理、保密工作的组织机构、内幕信息管理等方面的内容进行详细的规定。公司还制定了重大事项内部报告制度，规范了内部信息流转。公司在办公室设专职保密员一名，负责公司秘密文件资料的管理；各部门、各

37、下属公司设兼职保密员一名，负责本部门、本公司的保密工作和业务档案的管理。公司设立保密工作委员会，由专职保密员和兼职保密员担任。保密工作委员会每年年中和年底组织两次保密工作大检查。公司与董事、监事、高级管理人员及其他内幕信息知情人签订保密协议，或通过发送禁止内幕交易告知书等方式，明确内幕信息知情人的保密义务及违反保密义务应承担的责任。定期对内幕信息知情人买卖公司股票及其衍生品种的情况进行自查。IC-CA-07制定公文管理制度，明确公司公文管理的原则、流程和相关部门及岗位的职责分工。公公务务处处理理制制度度、流流程程、职职责责的的制制定定公司制定了公司公文处理办法，明确了公文的种类、格式、行文规则

38、、收发文的流程与职责等。公司办公室是公文处理的管理机构，负责公文的收发、分办、传递、归档和销毁。IC-CA-08主办部门负责人对草拟公文稿进行审核，确保公文符合公司公文要求。公公文文的的拟拟定定承办部门草拟好文稿后应填写发文审批单，并由部门负责人审稿、签名，确保其符合公文种类、格式使用规范，并明确发文单范围。制制度度文文档档责责任任部部门门及及岗岗位位控控制制形形式式执执行行频频率率 控控制制活活动动第13页，共46页无无企业内部控制应用指引第17号内部信息传递第九条企业各级管理人员应当充分利用内部报告管理和指导企业的生产经营活动，及时反映全面预算执行情况，协调企业内部相关部门和各单位的运营进

39、度，严格绩效考核和责任追究，确保企业实现发展目标。无无企业内部控制应用指引第17号内部信息传递第十一条企业应当制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。无无无无无无无无 控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动IC-CA-05企业严格执行奖惩机制，对经常不能及时或准确传递信息的相关人员进行批评和教育，并与绩效考核体系挂钩。内内部部文文件件工工作作考考核核机机制制公司目前并未针对所有内部文件的编制、传递工作进行考核，也并未将内部文件工作与奖惩机制相联系。IC-CA-06企业应当制定严格的内部报告保密制

40、度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。内部信息保密机制的建立公司制定了xx地产股份有限公司保密工作规定和内幕信息及知情人管理制度，对保密范围和密级、秘密文件的管理、保密工作的组织机构、内幕信息管理等方面的内容进行详细的规定。公司还制定了重大事项内部报告制度，规范了内部信息流转。公司在办公室设专职保密员一名，负责公司秘密文件资料的管理；各部门、各下属公司设兼职保密员一名，负责本部门、本公司的保密工作和业务档案的管理。公司设立保密工作委员会，由专职保密员和兼职保密员担任。保密工作委员会每年年中和年底组织两次保密工作大检查。公司与董事、监事、高级管理人员及其他内幕信息知情

41、人签订保密协议，或通过发送禁止内幕交易告知书等方式，明确内幕信息知情人的保密义务及违反保密义务应承担的责任。定期对内幕信息知情人买卖公司股票及其衍生品种的情况进行自查。IC-CA-07制定公文管理制度，明确公司公文管理的原则、流程和相关部门及岗位的职责分工。公公务务处处理理制制度度、流流程程、职职责责的的制制定定公司制定了公司公文处理办法，明确了公文的种类、格式、行文规则、收发文的流程与职责等。公司办公室是公文处理的管理机构，负责公文的收发、分办、传递、归档和销毁。IC-CA-08主办部门负责人对草拟公文稿进行审核，确保公文符合公司公文要求。公公文文的的拟拟定定承办部门草拟好文稿后应填写发文审

42、批单，并由部门负责人审稿、签名，确保其符合公文种类、格式使用规范，并明确发文单范围。控控制制运运行行有有效效性性测测试试合合规规对对比比（企企业业内内部部控控制制规规范范及及配配套套指指引引）测测试试底底稿稿编编号号测测试试结结论论条条款款规规定定内内容容第14页，共46页无无无无无无无无无 控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动IC-CA-05企业严格执行奖惩机制，对经常不能及时或准确传递信息的相关人员进行批评和教育，并与绩效考核体系挂钩。内内部部文文件件工工作作考考核核机机制制公司目前并未针对所有内部文件的编制、传递工作进行考核，也并未将内

43、部文件工作与奖惩机制相联系。IC-CA-06企业应当制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。内部信息保密机制的建立公司制定了xx地产股份有限公司保密工作规定和内幕信息及知情人管理制度，对保密范围和密级、秘密文件的管理、保密工作的组织机构、内幕信息管理等方面的内容进行详细的规定。公司还制定了重大事项内部报告制度，规范了内部信息流转。公司在办公室设专职保密员一名，负责公司秘密文件资料的管理；各部门、各下属公司设兼职保密员一名，负责本部门、本公司的保密工作和业务档案的管理。公司设立保密工作委员会，由专职保密员和兼职保密员担任。保密工作委员会每年年中和

44、年底组织两次保密工作大检查。公司与董事、监事、高级管理人员及其他内幕信息知情人签订保密协议，或通过发送禁止内幕交易告知书等方式，明确内幕信息知情人的保密义务及违反保密义务应承担的责任。定期对内幕信息知情人买卖公司股票及其衍生品种的情况进行自查。IC-CA-07制定公文管理制度，明确公司公文管理的原则、流程和相关部门及岗位的职责分工。公公务务处处理理制制度度、流流程程、职职责责的的制制定定公司制定了公司公文处理办法，明确了公文的种类、格式、行文规则、收发文的流程与职责等。公司办公室是公文处理的管理机构，负责公文的收发、分办、传递、归档和销毁。IC-CA-08主办部门负责人对草拟公文稿进行审核，确

45、保公文符合公司公文要求。公公文文的的拟拟定定承办部门草拟好文稿后应填写发文审批单，并由部门负责人审稿、签名，确保其符合公文种类、格式使用规范，并明确发文单范围。内内部部控控制制缺缺陷陷控控制制缺缺陷陷编编号号内内控控缺缺陷陷缺缺陷陷描描述述第15页，共46页无无无无无无建议公司从以下几方面完善内部报告评估机制：1.建议公司建立并完善对内部经营报告的评估制度，并严格按照评估制度对内部经营报告进行合理评估，考核内部经营报告在生产经营活动中所起的真实作用。2.建议办公室制定内部经营报告评估及考核的指标【注】，报公司总经理审核并批准。3.每半年末，由公司内部报告的使用者（各副总、总经理、董事长等）对各

46、部门的内部经营报告进行评估，评估重点主要包括内部经营报告的及时性、准确性及有效性。4.人力资源中心汇总内部经营报告评估结果，并将其纳入各部门的绩效考核成绩中。-注：内部报告评估及考核体系包括但不限于以下几个方面的指标：内部报告的有效性内部报告的及时性内部报告的完整性内部报告的准确性内部报告的条理性 控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动IC-CA-05企业严格执行奖惩机制，对经常不能及时或准确传递信息的相关人员进行批评和教育，并与绩效考核体系挂钩。内内部部文文件件工工作作考考核核机机制制公司目前并未针对所有内部文件的编制、传递工作进行考核，也并

47、未将内部文件工作与奖惩机制相联系。IC-CA-06企业应当制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。内部信息保密机制的建立公司制定了xx地产股份有限公司保密工作规定和内幕信息及知情人管理制度，对保密范围和密级、秘密文件的管理、保密工作的组织机构、内幕信息管理等方面的内容进行详细的规定。公司还制定了重大事项内部报告制度，规范了内部信息流转。公司在办公室设专职保密员一名，负责公司秘密文件资料的管理；各部门、各下属公司设兼职保密员一名，负责本部门、本公司的保密工作和业务档案的管理。公司设立保密工作委员会，由专职保密员和兼职保密员担任。保密工作委员会每年

48、年中和年底组织两次保密工作大检查。公司与董事、监事、高级管理人员及其他内幕信息知情人签订保密协议，或通过发送禁止内幕交易告知书等方式，明确内幕信息知情人的保密义务及违反保密义务应承担的责任。定期对内幕信息知情人买卖公司股票及其衍生品种的情况进行自查。IC-CA-07制定公文管理制度，明确公司公文管理的原则、流程和相关部门及岗位的职责分工。公公务务处处理理制制度度、流流程程、职职责责的的制制定定公司制定了公司公文处理办法，明确了公文的种类、格式、行文规则、收发文的流程与职责等。公司办公室是公文处理的管理机构，负责公文的收发、分办、传递、归档和销毁。IC-CA-08主办部门负责人对草拟公文稿进行审

49、核，确保公文符合公司公文要求。公公文文的的拟拟定定承办部门草拟好文稿后应填写发文审批单，并由部门负责人审稿、签名，确保其符合公文种类、格式使用规范，并明确发文单范围。整整改改建建议议缺缺陷陷等等级级内内部部控控制制缺缺陷陷第16页，共46页IC-CA-09公司公文工作主管部门对部门拟订的发文稿进行合规性审核，公文会签责任部门或审签领导签署明确意见，以公司名义制发的公文，由公司授权领导签发。公公文文的的审审批批及及签签发发办公室当日对发文稿进行审核，确保确需行文，行文方式妥当，发文稿符合行文规则和公文拟制的要求。由办公室秘书呈送总经理领导审批、签发。如属紧急公文，承办部门可直接送总经理审批。关键

50、IC-CA-10公文经签发后，由公司公文工作主管部门负责统一编排文号，并排版打印，制定专人负责公文校对工作。公公文文的的编编号号印印制制档案室人员统一编排文号，并按照公司规范的公文格式进行印制。保密件按照公司规定进行印制。指定专人对打印好的公文稿进行校对并签字。文件成文后，交档案室盖章，并将文件定稿连同发文审批单、文件正本一并归档。一般IC-CO-08收文程序规范，传递及时。IC-R-05对公文收发没有建立明确的制度规范，收发不及时，传递不到位，影响内部信息传递的及时性。IC-CA-11公文工作主管部门对收文进行统一分类登记。收收文文登登记记收文统一由办公室办理，办公室收文后由档案室拆封（纪检