传化集团内部控制体系的构建与实施

案例三　传化集团内部控制体系的构建与实施

摘　要：传化集团运营20多年以来，在董事会和管理层的高度重视和支持下，公司参照《企业内部控制基本规范》和配套指引、《上海证券交易所上市公司内部控制指引》规定，以内部控制整合框架的内部环境、风险评估、控制活动、信息与沟通、内部监督等五项要素为指南，结合集团和各企业经营管理的实际情况，锁定与内控相关的业务，在内部控制体系的构建和实施上也形成了一套行之有效的方法和举措。本文将重点从控制环境、控制流程和内部控制监督三个方面分析传化集团的内部控制体系内容与方法，为其他企业建立与完善内部控制体系提供借鉴。

关键词：内部控制体系　控制环境　控制流程　内控监督

一、企业内部控制建设概况

（一）企业概况

传化集团创建于1986年，是中国知名的多元化民营企业集团，集团主要事业包括化工、物流、农业、科技城、投资等五大事业领域，2010年，集团拥有员工7400多名；实现工业和服务业总收入145．8亿元，利润8．76亿元，上缴税金6．6亿元；位列“中国企业500强”、“中国民营企业500强”、“中国最具价值品牌500强”。

基于集团长期以来在文化、管理、技术等各方面的积淀，下属各产业板块和成员企业均在各自专业领域稳健成长，成为国家级、省级高新技术企业或是国家行业示范基地。多年被评定为AAA级信用企业、诚信纳税企业、财务管理优秀企业等。

传化化工致力于绿色化工的发展，构建了庞大的科技创新体系构架，并初步形成了产业链，有两家上市公司，设有国家级技术中心、全国染料标准委员会印染助剂分会，四家企业被认定为国家高新技术企业，一家省级高新技术企业，主持制订了多项国家标准和行业标准，多项科研成果获国家或行业科技进步奖。

传化物流创造性地扮演了“物流平台整合运营商”的角色，承担起现代物流创新的历史使命，拉升了公路物流运营效率短板，创造性地开启了中国公路港物流新时代。先后被评为“交通部重点联系企业”、“中国物流示范基地”，被授予“国内首家ITC师资培训基地”，2007年被评为“全国5A级物流企业”、位列“中国物流企业50强”第16位，2008年被授予“中国物流改革开放30年旗帜企业”。

传化农业培育了国内领先的商品种苗和盆栽植物生产企业，形成了以浙江省农业高科技示范园区为核心、立足全国10多个基地的生产体系。产品覆盖全国20余个省市，并出口欧洲、美国、日本等地，至2008年底，累计生产各类商品种苗2．2亿株，带动种植户就业人数近25万人，带动了区域种植业结构的调整。传化农业还构建了农业科技平台，拥有博士后科研工作站农业分站，省级“农业科技创新中心”，省级“农业科技研发中心”，并被浙江省列为十大“省先进制造技术区域创新合作平台”之一。与中科院上海分院、浙江大学、中国农大、浙江农科院、清华长三角研究院、日本麒麟集团建立紧密型技术合作。先后承担了国家科技部项目、国家农业综合开发项目、国家星火项目。当前，传化集团正在投资建设以生物技术为主题，多功能、生态型、国际化的科学园区，形成高水平的生物技术研发平台、创新服务中心和采供中心。

传化投资紧紧围绕集团整体发展战略，立足于化工、物流、农业三大产业，积极开拓未来业务，为集团的可持续发展奠定基础。目前，传化投资以上海传化投资控股集团为战略制高点，立足现有产业，寻求投资发展新空间。同时积极谋求金融资本和产业资本的有效整合，推动传化事业更好更快地发展。

集团长期立足于具有发展潜力的产业领域，秉承“社会责任感”的核心价值观，通过创新产业发展的关键技术和商业模式，推动产业转型升级，致力于创造生机勃勃的、可持续发展的企业，促进社会的和谐发展。

（二）内部控制建设概况

随着经济全球化进程的加快，我国越来越多的企业加入激烈竞争的国际市场，企业面临的各种风险不断扩大，企业管理的各方面越来越关注环境变化所带来的风险；因此，加强风险管理和内部控制的要求越来越迫切。特别是2009年以来，肆虐全球的金融风暴，使越来越多的中国企业感受到经济全球化为企业带来巨大发展机遇的同时，也蕴含着巨大的风险，建立内部控制体系，加强风险和危机管理，保障企业可持续发展，已经成为企业普遍关注的焦点。

建立健全并有效实施内部控制是公司董事会及管理层的责任。传化集团运营20多年以来，经过不断探索，在董事会和管理层的高度重视和支持下，公司参照《企业内部控制基本规范》和配套指引、《上海证券交易所上市公司内部控制指引》规定，以内部控制整合框架的内部环境、风险评估、控制活动、信息与沟通、内部监督等5项要素为指南，结合集团和各企业经营管理的实际情况，锁定与内控相关的业务，在内部控制体系的构建和实施上也形成了一套行之有效的方法和举措，采取了整体推进、全程控制、统筹兼顾的总体方针，通过统一安排部署和培训、试点、推广相结合的方式，以防范风险为导向、以信息系统为手段，强化对企业内部的点、线、面控制，即抓住点的突破，抓好线的推进，形成面的平衡，分阶段在集团和各企业组织实施，进一步建立健全了内部控制体系，为公司的长远发展奠定了坚实的基础，取得了理想的成效。目前，正以内部控制为基础向全面风险管理提升。

二、企业内部控制环境

（一）法人治理结构

规范的公司治理结构和议事规则是企业实施内部控制的基础，传化集团较早的借助外部咨询公司的力量，从现代企业规范化治理的视角，帮助集团从战略高度构建实施了科学有效的集团化管控体系，形成了集团—产业—企业的三级架构管控机制，制定了详细规范的治理细则，在集团和产业分别设立并不断健全股东会、董事会、监事会运作，确保决策、监督和执行之间的权责分明、科学运作。董事会是公司的决策机构，对公司内部控制体系的建立健全和有效实施负责，建立和完善公司内部控制的政策和方案。为更务实、更有效推进集团董事会建设，充分发挥专业决策支持作用，促进科学高效的决策和更加有效的决策执行，集团董事会下设战略投资、组织发展与人事薪酬、文化品牌、创新、预算、信息化工作、安全、基本建设协调、审计、党群工作协调等十个专业委员会，并在各企业也建立了相应的股东会、董事会、监事会和经营管理委员会，明确了决策、执行、监督等方面的职责权限，设置了规范有效的议事规则和实施细则，制定了股东、董事、监事、总裁、财务负责人等的职责权限、绩效评价和激励约束机制，形成了科学有效的职责分工和制衡机制。集团层面凸显了“战略投资管理”职能，产业层面强化了资源整合与协调发展职能，即由产业统筹各企业的战略发展、项目投资、合资合作以及企业运营管理，充分发挥各产业的综合优势、推动企业的集约式发展。通过集团化管控模式的建立，有力地推动了战略为导向的管理，强化了专业化管理和领导，在集团上下建立了目标一致、权责清晰、有效制衡、流程简洁高效的管控体系和制度机制，成为传化集团未来实现可持续发展的重要保障。

同时，在集团化治理结构的建设上，传化集团特别重视财务负责人的有效管理和作用发挥，较早的在全集团范围内实施财务总监、财务经理委派制，制定了《集团公司委派财务经理管理办法》，实施了每月一次的财务经理工作交流汇报的例会机制以及每年一次的工作述职和业绩考评机制，并在有条件的企业之间开展定期轮岗制度。这些举措的实施为集团和各企业之间围绕经营管理、财务管理的沟通交流搭建了一个有效的平台，有利于及时发现问题和解决问题，提高财务信息的质量，进一步完善了内部监督制衡机制，更好地维护和保障了所有者权益。

（二）组织架构

公司董事会、监事会、管理层、各职能部门和各控股子公司职能部门共同构成了公司内部控制的组织架构。

集团按照《公司法》及公司章程等有关规定建立了股东大会、董事会、监事会以及董事会领导下的经营管理委员会，建立了以集团总裁及集团下属控股企业总经理为首的经营班子。贯彻不相容职务相分离的原则，合理设置内部机构，科学划分职责权限，形成相互协调和互相制衡机制。明确了各主要管理职位和机构的职责分工，建立和完善了授权和分配责任的方法。经过多年的补充完善和规范积累，公司股东大会、董事会、监事会运行良好，形成了良好的决策机制和制约机制。

根据三级管控体制的运行，集团建立了科学的投资管控制度，成立了集团战略投资决策委员会，有效控制投资决策权限，使投资决策更加科学合理，更加符合客观经济规律。在投资方案的可行性评估阶段，进行战略性评估、经济性评估和风险评估；在投资方案的审批阶段，根据分级授权审批制度，按照规定程序，通过实施集体审议制严格审批经过可行性论证的方案，有效降低盲目投资的风险。在投资管理过程中，分别财务投资型、战略管控型、运营管控型企业设计不同的治理模式，采取不同的管控体系、明确不同的管理重点，实施不同的决策机制，提高投资决策的有效性，并通过预算管理对各类投资活动的现金流进行控制和协调；通过合法有效的形式履行出资人职责、维护出资人权益，重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。

图1　集团组织机构设置与调整管控流程

流程说明：

续　表

公司设有内部审计机构。集团和下属企业分别设立审计部或配备审计机构，内部审计贯穿于整个集团公司的采购、生产、销售、仓库及设备管理、合同管理、资金收付等各环节。传化集团经过多年内部审计的实践，也积累了较为丰富的经验，形成了一套规范有效的内部审计工作机制。整个集团的内部审计工作以调动企业防范风险的内在积极性和能力为核心，已经自觉地融入到了企业内部控制体系的建设之中。传化集团的内部审计主要从以下几个方面发挥作用：

1．在集团和下属产业董事会下分别设立了独立的内部审计组织，形成了工程审计、财务审计、管理审计专业团队，保证了内部审计机构和人员的独立性和专业性。同时委派审计人员担任各下属子公司的监事，保证了审计人员的权威性。

2．制定了内部审计办法和工作程序，并通过定期审计与不定期审计相结合、常规性审计和专项审计相结合、外部审计与内部审计相结合的方式，保证了内部控制重大缺陷的及时发现、上报和有效处理。同时，及时跟踪和评价内部控制缺陷的整改情况。

3．以全面风险管理理念为指导，在多年审计工作经验积累的基础上，推进各项审计工作的重心由事后评价控制逐步转向事前风险管理，促进企业识别和应对各种风险产生的危机。

4．以各组织业务单位、职能部门开展风险自我评估为抓手，使风险管理与控制成为企业全员的自觉行动。

5．定期开展由内外部专业人员组成的团队针对内部审计自身的有效性进行评估，加强培训和学习，不断提高审计质量和水平，不断维持和强化内部控制的有效运行。

此外，传化重点加强了对子公司的管理，主要体现在如下方面：

1．建立对各子公司的控制制度，明确向子公司委派的董事、监事及重要高级管理人员的选任方式和职责权限等。

2．依据公司的经营策略和风险管理政策，督导各子公司建立起相应的经营计划、风险管理程序。

3．要求各子公司建立重大事项报告制度、明确审议程序，及时向公司分管负责人报告重大业务事项、重大财务事项以及其他可能对公司股票交易价格产生重大影响的信息，并严格按照授权规定将重大事项报公司董事会审议或股东大会审议。

4．要求子公司及时向公司董事会秘书报送其董事会决议、股东大会决议等重要文件，通报可能对公司股票交易价格产生重大影响的事项。

5．定期取得并分析各子公司的季度（月度）报告，包括产销量报表、资产负债表、损益表、现金流量表、财务分析报告、向他人提供资金及提供担保报表等。

6．建立对各子公司的考核制度。

（三）发展战略

集团高度重视企业战略管理，高薪聘请高级专业人才，设立战略管理部，强调企业发展以战略为导向。集团每5年制订一次集团、产业、企业的发展战略，并每年进行修订。集团、产业和企业均在进行了充分调查研究、科学分析预测和广泛征求意见的基础上制订发展目标，并由集团战略管理部组织内外部专家团队对发展目标和战略规划进行可行性研究和科学论证，提供专业意见，形成发展战略建议方案。同时，集团将企业发展战略与资本规划、人力资源规划相衔接，与年度经营计划、财务预算相衔接，与绩效管理相衔接。使企业战略规划的科学性、可操作性也得到大幅提高。有效预防企业发展的盲目性及发展战略不落实可能带来的风险。此外，集团战略管理部联合财务管理部对集团、产业的发展战略的实施情况进行监控，定期收集和分析相关信息，及时向董事会报告明显偏离发展战略的情况。通过多年以来的战略管理工作，使企业中层以上干部，特别是高层管理人员的战略意识得到大幅提高。

（四）人力资源政策

集团非常重视人力资源建设，设立组织与人才发展部，根据发展战略，结合人力资源现状和未来需求预测，建立人力资源发展目标，制订了人力资源总体规划，优化人力资源整体布局，明确了人力资源的引进、开发、使用、培养、考核、激励、退出等管理要求，并定期对人力资源总体规划进行评估。集团特别重视员工的培训、考核和激励，在公司内部营造尊重知识、尊重人才和关心员工职业发展的文化氛围，加强后备人才队伍建设。并建立和实施了完善的绩效评估制度，设置科学的业绩考核指标体系，对各级管理人员和全体员工进行考核和评价，以此作为确定员工薪酬、职级调整和解除劳动合同等的重要依据，确保员工队伍处于持续优化状态，并通过奖金激励计划激发和强化所有员工的出色表现。与此同时，在企业关键岗位人员离职前，根据有关法律法规的规定进行离任审计。同时，在内控的自查过程中，我们也发现如下问题：关键的核心人才不足；对关键岗位的员工，有岗位轮换，但没有形成制度定期执行。

（五）社会责任

传化一直秉承高度社会责任感理念来做企业，企业发展不损害环境，更不会损害员工利益。企业和员工是利益的共同体，企业与员工的关系是共生共荣的关系。集团创建的和谐劳动关系，得到国家领导人和各级政府部门的高度肯定。此外，集团和下属公司在安全环保上每年都有巨额投入并得到政府和社会的一致好评，集团和下属企业均设立安全管理部门和安全监督机构，建立严格的安全生产管理体系、操作规范和应急预案，加大在人力、物力、资金、技术等方面的投入，加强安全教育，增强员工安全意识，并实施预警报告及重大生产安全事故应急机制，强化安全生产责任追究制度，切实做到安全生产。公司的各项产品质量一贯稳定，在行业内有着优良的口碑，公司也十分重视员工权益保护与就业稳定，历年员工收入稳定增长，并建立了良好的工会运作机制。

（六）企业文化

集团高度重视企业文化的建设，通过多年的培育和积淀，以社会责任感为核心的企业文化氛围，已经得到社会和员工的认同。同时，集团还加强企业文化的宣传贯彻，有效沟通，共同遵守，融入生产经营全过程。集团的文化理念，主要包含：

1．企业的价值观是社会责任感，是做有社会责任的企业。

2．企业的精神是开拓进取，永不满足。

3．企业的信念是诚信、务实、创新、发展。

4．企业的人才观是事业以人为本，发展以人为先。

5．企业的口号是真心伙伴，共享未来。

图2　企业文化活动管理流程图

（七）资金管理

集团专门设立资金管理部，根据《传化集团货币资金管理制度》、《传化集团财务审批制度》等相关规章制度，结合实际情况制定了《传化集团统一授信管理办法》、《传化集团结算中心结算管理规定》、《传化集团承兑汇票管理制度》，就强化集团资金的集中统一管理，发挥集团规模优势和对资金的监督、调控、指导和服务等功能，增强资金的安全性、流动性和效益性，深化企业内部金融合作、防范票据风险等有关内容做出了规定。同时在部门内制定了《结算中心业务操作基本规范》，就货币资金的岗位分工、流程管理与控制、会计核算及相关实物管理、银行账户管理、网上银行管理等有关内容做出了规定，对融资、结算业务建立了严格的授权审批程序，实现了资金业务不相容岗位分离制度，相关机构和人员相互制约，加强了资金预算管理和收支稽核，确保了货币资金的安全。

图3　集团财务授信管控流程图

在融资管理方面，资金管理部认真贯彻落实集团战略思想，按照制度和流程开展业务，根据复杂的金融形势适时调整融资策略，充分提高融资工作的前瞻性、针对性和灵活性，采用各种措施拓宽资金渠道，积极获取金融机构综合授信，争取更加优惠的融资条件，并通过合理调配资金，压缩存理规模、提前还贷等措施降低资金成本，逐步加强与财务管理、产业发展的协调配合。建立了有效的资金业务预警机制，同时对于资金链安全进行了全方位的制度安排，采用了比较妥当的预测防范机制，多年来资金运行安全平稳，为经营发展创造了良好的资金支持。

流程说明：

在结算管理方面，结算中心按照财务预算和各项制度，负责核心层、紧密层企业的资金结算业务，以及内部信贷和外汇业管理，保证各公司的生产经营的资金结算高效、准确、安全。结算中心对成员单位的所有银行账户的资金实行监控，不经集团公司允许一律不得开立结算账户、办理存贷款及结算业务。各企业资金计划一律报集团财务管理部审核，整理后报集团预算委员会审批，结算中心作为执行监控主体，按审批后的计划拨付资金。对于各种重要空白凭证结算中心设有专人保管，并按照金蝶EAS模块进行分配与领用管理。

同时，在资金集中管理的风险防范方面，集团着重进行了如下几个方面的建设和管理：

1．加强资本与资金的规划。根据企业发展的特定时期和特定要求，结合外部宏观形势，准确把握市场经济环境的变化给企业资金安全带来的影响程度，适时调整企业的投资结构、资产负债结构、融资策略等。例如，在2008－2009年金融危机开始影响国内的期间，传化集团先后分别撰写了《资金风险管理方案》、《集团财务策略与推进计划》、《集团内部财务状况与投融资现状分析》等，正确分析判断自身可用的财务资源和经营所产生的现金流入情况，提前揭示内在不足与矛盾，防范由此带来的资金链风险。

2．不断拓展融资渠道，实现融资手段丰富化，融资方式灵活化，充分结合企业经营发展的需要，加大了企业债券市场、政策性银行、资本市场、战略投资者以及创新金融工具获取资金支持的力度，以不断优化资本结构，有效控制融资风险。

3．统筹管理融资业务。统筹实施集团整体银行融资授信业务管理，执行集团核定的子公司授信规模的分配，对集团内所有下属子公司的授信业务进行集中管理和跟踪检查；并负责统一协调解决集团范围内各企业的融资担保问题，统一维护与商业银行的关系，有效降低财务风险。

通过实施资金集中管理，一方面，能够从集团层面对所属企业资金进行宏观调控，做出整体预算，盘活存量资金，实施调剂余缺以及内部贷款，从而实现了对下属企业资金实时、动态的管理、监督和控制，降低了资金使用成本，提高了资金周转速度及经营效率，显著提高了经济效益，有效化解财务风险；另一方面，有效提高资金管理的科学性和决策的正确性。明确了母子公司资金管理权责，对投资、融资等重大资金活动，共同研讨，充分论证，按照规定的程序，科学决策，使资金运作行为更加规范，有力控制资金管理和营运中的风险。同时，可以防止成员企业为了局部利益或眼前利益，盲目投资、盲目决策而造成经济损失。

（八）采购业务

集团一直视采购业务为企业经营中的一个关键环节，在集团本部和下属产业、企业对采购业务中请购、招标、合同、进仓、质检、验收、付款、退货、索赔等环节，都有严格的制度和流程管理规定。对采购人员定期轮岗，实行采、供分离。在化工产业设立采供中心，集中管理化工企业的大宗原材料采购。通过对重要原料供应商的资质评审，与原材料供应商建立了长期的稳定合作关系以保障原材料的正常供应，有效地防范和降低原材料供应不足及价格波动的影响。此外，公司内部审计部门，定期或专项对采购业务进行审计，防范可能出现的漏洞，保证采购制度及流程得到严格执行。

由于经济周期和大宗原料价格的上下波动，大宗原材料采购成本对企业产品的竞争力及企业的经营效益的影响很大。集团化工产业和企业，进一步加强对经济形势和市场的研究分析，正确识别、评估原料储备及价格波动的风险。

图4　集团采购控制流程图

（九）资产管理

公司已建立了实物资产管理的岗位责任制度，对实物资产的验收入库、领用发出、保管及处置等关键环节进行控制，采取了职责分工、实物定期盘点、财产记录、账实核对、财产保险等措施，能够有效地防止各种实物资产的被盗、损毁和重大流失。

对于存货的管理，从采购收料到存货进仓、销售发货的各环节都有相应的单据严格记录存货的流转情况，财务部根据这些原始单据核算存货销售成本，识别、评估存货跌价风险，定期进行存货盘点，核对账实是否相符，保证公司存货安全。存货管理中，重点对取得存货、验收入库、仓储保管、领用发出、盘点清查、销售处置等主要环节加强管理，明确相关部门和岗位的职责权限，切实做到不相容岗位相互分离、制约和监督，使得存货风险得到有效控制。此外，强化存货的预算编制，综合考虑企业生产经营计划及市场供应等决定因素管理存货，降低导致存货积压或短缺的风险。

对于固定资产管理，实行“统一管理、分级使用、分级核算”的办法。固定资产类投资严格按照预算和审批程序执行。对于固定资产的取得、运行维护及资产处置建立完善的制度和流程，包括以下主要措施：制订固定资产目录，按照单项资产建立固定资产卡片；定期为固定资产进行技术性评估或维修、改造，以确保资产的使用效能理想；严格执行投保政策和资产抵押管理，进行有关授权和审批；每年进行一次固定资产的全面清查，发现问题，查明原因，追究责任和妥善处理。

图5　集团固定资产购置流程图

流程说明：

资产购置，实行分类分级管理，分别由不同的管理层根据金额大小、类别进行审批决策。

资产的归口管理部门如下：财务统一负责固定资产的账务管理；信息管理部负责计算机软硬件等资产的归口管理；物业公司负责房屋、车辆、通讯设备、办公设备、空调等家用电器、广告牌、办公家具等其他固定资产、低值易耗品的归口管理。

对商标品牌、土地使用权、专用技术等无形资产由指定机构管理，做到无形资产进行有效利用，充分发挥无形资产对提升企业核心竞争力的作用。同时，定期对专利、专有技术等无形资产的先进性进行评估，淘汰落后技术，加大研发投入，促进技术更新换代，不断提升自主创新能力，努力做到核心技术处于同行业领先水平。

图6　集团固定资产处置流程图

流程说明：

（十）销售业务

市场营销一直以来都是传化经营业务中的强项。集团本部无销售业务，在下属产业、企业，特别是化工企业，在营销理念、营销策略、营销队伍、激励政策、客户管理、售后服务等方面都有较深的积淀。特别是近两年来营销机制的创新，成本传导机制的深化，企业对销售业务的管控得到了进一步的加强。例如，传化集团下属浙江传化华洋化工有限公司（简称传化华洋）在销售业务的内部控制管理方面具有鲜明的特色，既有良好的内控管理基础，并且充分运用了价格管理系列手段，最大程度地获取了产品销售利润、控制了经营风险。简单介绍如下：

传化华洋公司销售业务除按照不相容职务相分离、授权审批等常规性内控手段以外，在以下几个方面体现了独具特色的运行管理，公司给予这些管理手段一个名称叫“价格管理”，包括营销小核算、价格成本传导两部分内容。

营销小核算是将每一个具体产品的销售收入核算分解到17个销售分公司，再配以当月实际各产品的销售成本从而计算出各产品各分公司的销售毛利，再把销售费用等后期费用全部按各分公司实际发生水平进行配比；公共费用则按公司内部协商一致的办法进行合理分配，最终得出各营销分公司、各营销总公司及两大事业部的利润表，作为实际考核的依据。以最真实的数据反映每一个分公司每一个产品的获利情况，为销售价格管理提供了有力的支持。

价格成本传导机制包含7种具体运作手段，其核心思想是在尊重市场价格的基础上，通过加强对原料进价和产品售价这两个环节的管理，最大程度地提高成本传导效率，尽可能地提高产品的毛利率。具体采取了以下手段。

手段一：加强原料预测分析，及时调整采购策略做好低价时大宗原料的备库工作。通过不断分析原料的中短期走势，每天将主要原料的价格及其上游原料的价格信息传递至相关部门，通过多部门的协作分析机制，在低价时做好大宗原料的备库工作，使公司的原料进价总是能够处于同行业最低水平，争取了很大的效益。

手段二：制订了各主要产品的成本定价模型，只要将采购中心每日上午9时传递过来的原料价格信息录入，即可计算出昨日原料下的各产品生产成本，从而实现了原料成本信息第二天上午10时即能向市场部门传导，使价格成本信息传导不及时的问题彻底得以解决。

手段三：进一步深化营销小核算，建立起了分解到业务员层级的小核算体系，从而在销售政策中实现将产品业务费率与单个业务员的利润挂钩。

手段四：建立产品月度最低限价平台，通过实行销售价格稽核与信用稽核，控制产品毛利水平与信用风险。

手段五：开展国际业务“锁价格锁原料锁汇率”三锁机制，提高出口毛利率水平。

手段六：实行价格管理周报（从原料、区域、产品三个不同维度分别解读本周累计的价格变化情况，以便营销部门有针对性地快速找到价格及毛利变化的原因）及月中销售毛利预测算，以便及时调整营销策略，提升产品毛利率水平。

手段七：根据两大事业部产品毛利水平的现状，实施“纸化上量、塑化保利”的毛利控制原则。

当前，国内外经济形势复杂多变，市场供求关系和价格波动变换频繁，企业还需加大赊销货款的风险控制，深入开展营销机制创新，以适应市场，提升业绩，降低风险。

（十一）研究与开发

科学技术是第一生产力，“尊重知识，尊重人才”是传化的一贯理念。集团拥有六家高新技术企业，一个国家级、二个省级技术中心和一大批技术精英。化工企业制订了科技人员激励政策和科技管理制度，科技投入逐年增加，集团每年召开科技大会，充分调动科技人员的积极性和创造性。在流程控制中，实施的关键控制点包括：（1）建立了完善的立项申请程序，展开可行性研究。（2）审批过程中，重点关注研究项目对促进企业发展的必要性、技术先进性以及成果转化的可行性。（3）研究过程管理中，落实岗位责任制、监督研发进程。（4）明确核心研究人员名单和工作范围，签署保密协议。（5）建立研究开发活动评估机制。

（十二）投资与工程项目

为规范公司对外投资行为，提高投资回报，追求投资的最大收益，根据《中华人民共和国公司法》等法律法规及公司章程的规定，公司制定了《传化集团投资新建管理制度》、《传化集团投资并购管理制度》、《传化集团技改扩建及建筑装修管理制度》等6项管理制度。制度涵盖融资、投资、绩效评价3个方面，对部门职能及相关业务开展进行的界定和明晰，为开展实际工作奠定了基础。对委托理财、对外投资、收购与兼并项目、短期投资、募集资金使用的决策、执行等权限、程序做出详细规定。投资管理内部控制制度的制定并有效执行，规范了公司的投资行为，保证了公司对外投资的安全性、合法性和收益性，防范了投资风险，切实保护公司和股东的利益。

图7　投资项目管控流程图

具体可以归纳如下：

1．建立了科学的投资决策和投资管理机制，成立了集团战略投资决策委员会，有效控制投资决策权限，使投资决策更加科学合理，更加符合客观经济规律。分别财务投资型、战略管控型、运营管控型企业设计不同的治理模式，采取不同的管控体系、明确不同的管理重点，实施不同的决策机制，提高投资决策的有效性，推动投资项目和投资企业经营绩效的提高，并通过预算管理对各类投资活动的现金流进行控制和协调。

2．优化投资结构，分散项目经营风险。重视短线的财务型投资与中长线投资、战略性投资的相匹配，从流动性，变现能力角度加大了对增值潜力大、有独特的商业模式、预期回报率较高的项目投资，以速度赢得资源和空间，保障投资性现金流的安全。

3．在资产持有方面，对产业发展型项目，从价值体系上以及商业模式上综合考虑租售相结合的方式，保障财务安全、现金流顺畅；在投资资产的种类上予以丰富化，包括土地、上市公司股权、非上市公司股权等，提高资产投资效率，降低投资风险。

4．加强投资项目风险管理，设立完善的项目风险投资约束机制；通过强化投资审批流程，严把项目筛选关；设置科研评价细则，细化项目筛选标准；在产业或企业设置投资联系人，推行月度报告制度；设置投后管理台账，对已投项目进行跟踪管理等措施，控制项目投资与工程建设风险。此外，通过寻求投资伙伴共同分担风险、企业投保转移投资风险、建立工程保险和担保制度、制定奖惩政策、实施动态监督和项目后评价等防范风险。

为了提高投资效益，节约投资，减少工程项目建设中的浪费，规范工程项目管理，建立健全工程项目内部控制制度，已成为企业迫切需要解决的问题之一。工程项目的内部控制，我们参照《内部会计控制规范——工程项目》（2003），借鉴风险管理的思想对工程项目整个投资过程进行全面的风险管理。对工程项目建立了规范的业务流程，遵循不相容岗位相互分离、制约和监督的原则设置审批决策权限，明确项目决策、概预算编制、价款支付、竣工决算等环节的控制要求。在项目决策环节严格执行集体决策机制，在价款支付方面加强资金预算控制，同时定期和不定期地开展对工程项目的审计和监督检查，帮助解决工程项目管理中存在的困难和问题，提高工程项目内部经营管理水平，保证企业的工程项目真正在企业管理者的控制之下。

通过自查，发现集团投资和工程项目管理方面还有必要做进一步完善，主要有：制度体系较完整，但实施细则尚待完善；对项目投资期间和投后管理的操作机制可以进一步优化；少数工程项目设计不切合实际，造成投资浪费。

（十三）担保业务

按照《集团董事会议事规则》的规定，公司对外担保实行统一管理，未经董事会或股东大会批准，公司及控股子公司不得对外担保，资金管理部是担保业务的职能管理部门，负责融担保业务的风险评估、业务审核及档案管理。在对外担保的内部控制措施方面，主要体现在如下方面：

1．公司对外担保的内部控制遵循合法、审慎、互利、安全的原则，严格控制担保风险。

2．公司按照有关法律、行政法规、部门规章以及《上市规则》等有关规定，在《公司章程》中明确股东大会、董事会关于对外担保事项的审批权限，以及违反审批权限和审议程序的责任追究机制。

3．在担保业务的调查评估和审批中，委派具备胜任能力的专业人员或部门负责对担保人进行资信调查及风险评估，董事会在审议对外担保议案前充分调查被担保人的经营和资信情况，认真审议分析被担保方的财务状况、营运状况、行业前景和信用情况，依法审慎做出决定。公司可在必要时聘请外部专业机构对实施对外担保的风险进行评估，以作为董事会或股东大会进行决策的依据。

4．公司妥善管理担保合同及相关原始资料，及时进行清理检查，并定期与银行等相关机构进行核对，保证存档资料的完整、准确、有效，注意担保的时效期限。公司在合同管理过程中，一旦发现未经董事会或股东大会审议程序批准的异常合同，应及时向董事会和监事会报告。

5．公司指派专人持续关注被担保人的情况，收集被担保人最近一期的财务资料和审计报告，定期分析其财务状况及偿债能力，关注其生产经营、资产负债、对外担保以及分立合并、法定代表人变化等情况，建立相关财务档案，定期向董事会报告。如发现被担保人经营状况严重恶化或发生公司解散、分立等重大事项的，有关责任人应及时报告董事会。

（十四）业务外包

除食堂、清洁等物业实行外包外，集团没有经营其他外包业务。

（十五）财务报告

集团为了规范公司会计核算和财务管理，加强财务监督，根据财政部颁布的《中华人民共和国企业会计准则》和《内部会计控制基本规范》，结合集团和下属各公司的具体情况制定了公司的会计核算和财务管理等财务内部控制制度。依据财务内部控制制度进行操作，规范了公司财务收支的计划、执行、控制、分析预测和考核工作，为企业提供了真实、完整的会计信息，保证了财务报告的准确和可靠。

集团和下属各公司均建立了财务报告编制与信息披露的岗位责任制和授权审批制度，明确相关部门和岗位在财务报告编制过程中的职责和权限，确保财务报告的编制与审核相互分离、制约和监督，确保披露信息的真实性，避免出现虚假记载、误导性陈述等情形。

集团和下属各公司均建立了全面系统的财务报告分析体系，通过月度的财务与经营分析报告、管理报表和季度的数据化指标监控体系三位一体的财务分析体系，实施有效的财务评价、运营分析与预警监控，通过定期召开月度经营分析会议对报告的内容予以完善，利用财务分析报告反映的信息，分析企业的经营管理状况和存在的问题，提高经营管理水平，以持续提升财务报告在支持决策、防范风险方面的作用。

与此同时，公司根据月度经营分析会议的结论，明确各部门职责，进行落实改正，财务部门会同战略管理部门负责监督、跟踪责任部门的落实情况，并及时向有关负责人反馈落实情况。

（十六）全面预算

传化集团较早推行全面预算管理工作，目前已形成了较完善的预算管理体系，在企业经营发展中发挥了重要作用。传化的全面预算管理工作有完善预算管理制度和健全的预算管理组织作为保证，编制以战略规划目标为依据，保证了预算目标的科学性，执行与年终业绩考核相挂钩，保证了预算的贯彻落实。

图8　集团年度预算管理流程图

传化集团的预算管理内容包括经营预算、财务预算、资本预算和专项预算。预算的编制以战略目标为导向，由集团公司的最高管理层进行组织和指挥，由各级业务及其他专业管理部门来编制与执行，采取自上而下和自下而上相结合的方法。一方面通过上下结合达到沟通和预算目标的完全执行，另一方面通过上下结合横向协调的编制程序体现全面预算管理集权和分权的统一。

在预算管理过程中，我们非常重视预算的执行与过程控制，在预算执行过程中落实经营策略，贯彻预算的“刚性原则”。

图9　集团月度预算控制流程图

1．确定预算管理的重点内容。预算管理以现金流量管理为核心，将资金预算、项目预算、原材料采购预算和费用预算作为重点内部控制预算项目，通过建立有效的预算控制制度，在高层的支持下，注重各部门的沟通与协调，确保资金运用权力的高度集中，降低财务风险。

2．及时分析预算执行差异。在预算实际执行中不断收集、分析信息，根据预算差异分析做出相应的决策，从而保证对企业经营活动进行实时的调节和控制，促进预算目标的完成。

3．强化预算监督。预算的执行与监督是紧密联系的，有力的监督是有效执行的重要保证。每年由集团公司财务管理部定期和不定期地开展对下属企业的财务稽核，实现对预算制度和预算贯彻执行情况的过程审计和监督，强化事前预防和事中控制，使经营管理处处有章可循、事事受程序制度制约。

4．不断完善预算的考核与奖惩机制。建立关键业绩考核体系，根据集团公司全面预算目标，结合各企业、各部门、各岗位的责、权、利，运用价值分解的原理和目标管理办法，自上而下，把全面预算目标层层分解，设置关键业绩的具体指标目标，将各企业、各部门、各岗位的薪酬与关键业绩指标的完成情况挂钩，使各层次的职工共同为实现预算目标而努力。

例如：我们实施的资金预算管理，将资金收支预算与资金使用有机结合，实现预算对资金的有效控制，通过期间（年、季、月）的资金预算，控制、平衡资金流量，按预算筹集资金，按预算支付资金，不仅使资金运行有序，防止乱批、乱支、乱用，还能有效监控资金，保证资金的安全和完整。由此，全面预算管理有效促进了资金收支平衡的实现。

（十七）合同管理

传化集团2011年将“合同管理”从审计部剥离出来设置在董事长办公室（2010年合同管理与诉讼管理设置在审计部），由董事长办公室作为集团的合同管理部门，主要负责集团公司及子公司重大合同管理工作。集团、产业、子公司在合同管理工作中积极依照《传化集团合同管理制度》评审各类合同，对评审的各类合同按照不同类别及时登记编号、入档、存档与保管。对具体执行时容易出现法律漏洞或者瑕疵的合同，通过合同评审表出具法律意见，并详细指出可能面临法律风险的合同条款，为合同履行事先起到了一定的防范作用。同时，产业、子公司定期向集团报送“合同月报表”，便于集团掌握整个合同履行中可能出现的情况，动态监控合同管理工作。另外，集团、产业、子公司根据《合同审批权限表》分别落实各自合同的具体审批工作，对重大合同以及必须由集团法务进行法律审核的合同，主动提交集团法务审核，对合同进行二次把关，有效控制法律风险。

通过自查，也发现合同管理工作存在一些亟须改进的地方：

合同审批标的额过于局限性，应适当下放产业或者子公司合同审批标的额，法律审核权同等下放；

合同审批流程复杂，应当减少不必要的审批环节，加快评审速度，提高评审质量；

集团合同管理与诉讼管理归属于不同的部门负责，影响法律组织体系的系统性与稳定性，法律业务处于分散状态，沟通不通畅。

（十八）内部信息传递

集团高度重视企业信息系统建设，经过多年坚持不懈地努力，建立了OA自动化办公系统和ERP业务核算管理系统，极大地方便了内部信息的收集、整理和传递。同时由集团财务管理部牵头，建立了全面预算管理系统和财务报告分析体系，通过月度的预算执行情况和财务与经营分析报告、管理报表以及季度的数据化指标监控的财务信息体系，实施有效的绩效评价、运营分析与预警监控。通过定期召开月度经营分析会议、总经理办公会及其他部门会议的形式，迅速有效地对生产经营活动中出现的重要信息进行上传下达。同时，公司要求对口部门加强与行业协会、中介机构、业务往来单位以及相关监管部门等进行沟通和反馈，以及通过市场调查、网络传媒等渠道，及时获取外部信息。公司建立了一系列工作流程和管理程序，包括建立质量管理体系、制定了周工作例会制度、新员工入职培训、员工定期专项培训、规范合同评审、建立良好的客户关系等。上述信息传递报告制度能有效地增强内部管理的针对性和时效性，确保信息传递的畅通和及时。

（十九）信息系统

传化信息化队伍较为健全，具备一定的信息化建设能力。传化集团一直以来都非常重视信息化系统的建设，充分运用了信息技术来加强和保障内部控制的有效实施。经过10多年的信息化实践，传化建立了从业务到管理的信息化系统，包括ERP、办公协同、人力资源、档案管理、物流基地信息化等系统，实现对业务和事项的自动控制，减少和消除人为操纵因素；网络硬件设备布局较为合理，信息安全措施较为系统。内部的信息传递流畅高效，内容较为完整。同时，严格信息化管理部门内部系统管理人员的职责分离，保证信息的安全。通过自查，也发现还有需要进一步完善的方面，主要是传化集团信息化自建设以来，一直是以业务为驱动，然后结合行业及自身的经验进行建设，没有一个系统的、全面的，能和各板块业务战略匹配的信息化规划指导纲领。

三、企业内部控制核心流程：

（一）企业内部控制的目标及其设定机制

1．公司内部控制制度制订的目标

公司内部控制的目标是：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。内部控制存在固有局限性，故仅能对达到上述目标提供合理保证；而且内部控制的有效性亦可能随公司内、外部环境及经营情况的改变而改变。公司内部控制设有检查监督机制，内控缺陷一经识别，公司将立即采取整改措施。

（1）建立和完善符合现代管理要求的公司治理结构及内部组织结构，形成科学的决策机制、执行机制和监督机制，保证公司行为的合法合规，保证公司经营管理目标的实现。

（2）建立有效的风险控制系统，强化风险管理，增强公司的抗风险能力，保证公司各项经营业务活动的正常有效运行。

（3）建立良好的公司内部经营环境，防止并及时发现、纠正各种错误、舞弊行为，保护公司财产的安全、完整。

（4）创建规范的生产经营管理秩序，促进公司生产经营管理信息的报告质量，提高经营管理效率及经营质量。

（5）确保国家有关法律法规和公司内部控制制度的贯彻执行。

2．公司内部控制的设定机制

（1）内部控制的设定充分考虑了影响公司内部控制制度制定、运行及效果的各种内部环境的综合因素，包括公司组织结构、企业文化、风险理念、经营风格、人事管理政策等。

（2）根据风险偏好设定公司战略目标，并在公司内层层分解和落实。

（3）对影响公司目标实现的内外事件进行识别，分清风险和机会。

（4）风险评估，对影响其目标实现的内、外各种风险进行分析，考虑其可能性和影响程度，以便制订必要的对策。

（5）风险对策，按照公司的风险偏好和风险承受能力，采取规避、降低、分担或接受的风险应对方式，制定相应的风险控制措施。

（6）控制活动，公司管理层为确保风险对策有效执行和落实所采取的措施和程序，主要包括批准、授权、验证、协调、复核、定期盘点、记录核对、财产的保护、职责的分离、绩效考核等内容。

（7）信息与沟通，识别、采集来自于公司内部和外部的相关信息，并及时向相关人员有效传递。

（8）检查监督，对公司内部控制的效果进行监督、评价，通过持续性监督活动、专项监督评价或者两者的结合进行。

（9）公司不断完善治理结构，确保董事会、监事会和股东大会等机构合法运作和科学决策，建立有效的激励约束机制，树立风险防范意识，培育良好的企业精神和内部控制文化，创造全体职工充分了解并履行职责的环境。

（10）明确界定各部门、岗位的目标、职责和权限，建立相应的授权、检查和逐级问责制度，确保其在授权范围内履行职能；设立完善的控制架构，并制订各层级之间的控制程序，保证董事会及高级管理人员下达的指令能够被严格执行。

（11）公司的内部控制活动涵盖公司所有营运环节，包括但不限于：销售及收款、采购和费用及付款、固定资产管理、存货管理、资金管理（包括投资融资管理）、财务报告、信息披露、人力资源管理和信息系统管理等。

（12）公司依据所处的环境和自身经营特点，建立了印章使用管理、票据领用管理、预算管理、资产管理、担保管理、资金借贷管理、职务授权及代理人制度、信息披露管理、信息系统安全管理等专门制度。

（13）公司重点加强了对子公司的管理控制，加强对关联交易、对外担保、募集资金使用、重大投资、信息披露等活动的控制。

（14）公司建立了完整的风险评估体系，对经营风险、财务风险、市场风险、政策法规风险和道德风险等进行持续监控，及时发现、评估公司面临的各类风险，并采取必要的控制措施。

（15）公司制定内部信息和外部信息的管理政策，确保信息能够准确传递，确保董事会、监事会、高级管理人员及内务审计部及时了解公司及其子公司的经营和风险状况，确保各类风险隐患和内部控制缺陷得到妥善处理。

（16）公司建立相关部门之间、岗位之间的制衡和监督机制，并设立专门负责监督检查的内务审计部，定期检查公司内部控制缺陷，评估其执行的效果和效率，并及时提出改进建议。

（二）主要风险及其识别、评估技术

根据企业内部控制的内容，支持控制活动的实施建立于有效的企业风险评估程序，企业实现其目标的能力可能受到来自多个内、外部因素的不利影响。作为整体内部控制结构的一部分，企业应开展风险评估，准确识别与实现控制目标的潜在外部风险和内部风险并确定相应的风险承受程度。

企业内外部风险主要涉及以下几个方面：

（1）人力资源，例如：董事、监事、经理和其他高级管理人员的职业操守、员工专业胜任能力等；

（2）财务方面，如现金流量、资金管理、经营效益等；

（3）管理因素，如组织机构、经营方式、资产管理、业务流程与企业经营发展不匹配，存在漏洞和缺陷等；

（4）技术创新方面，包括研究开发、技术投入、信息技术运用等方面；

（5）安全环保，如营运安全、环境保护等；

（6）政治、法律、经济、社会和文化等外部宏观经济环境因素。

风险识别的方法之一是集体讨论可能的风险领域。通过这种方法动员知悉情况的人员迅速给予答复。指定的主持人向每个小组提出一个与风险有关的问题，然后要求小组成员依次说出他们的想法，之后由风险管理小组对集体讨论后识别的所有风险进行复核，并且认定核心风险，分别按照每一个经营单位及整个企业层面考虑这些风险。

要使风险识别程序生效，需要由企业专门成立的风险管理小组或者内部审计部门负责弄清楚企业内各级别的人员，要求他们担任风险评估人，对每个重大的经营单位，应识别负责运营、财务、会计、信息技术、研发和管理的各类主要人员，这些人员将以识别及帮助评估其所在单位的风险为目标。

对各类风险进行评估的最佳时间是制订年度计划或定期计划的过程。在内部控制架构中，风险评估按照两步式程序展开。第一步是采用定性与定量相结合的方法。评估风险发生的可能性或频率，以及其对企业带来的影响程度；可以采用的方法包括情景设计、敏感性分析、决策数法等；第二步是对识别的风险进行分析和排序。然后，利用风险分析的结构为依据，考虑如何对重要风险进行管理及采取适当的应对风险行动，综合应用风险规避、风险降低、风险分担和风险承担等风险应对策略，实现对风险的有效控制。例如，我们要对“业务合规性”进行风险评估，必先要对所有可能影响其合规目标的风险进行分析及排序，假如“未能达到债务偿还要求”被识别为其中一个重要的风险，企业应当分析可能导致企业无法偿还债务的因素，如企业年度费用超支、盈利不理想；然后决定采取应对行动，如编制未来现金流量表来作为预算控制，或者寻找其他债权人磋商融资安排来处理因现金流问题而导致未能偿还当期债务的风险。

其中，管理层在风险评估程序中担当重要的角色，他们应采取措施对可能影响整个企业的风险，以及不同的组织活动所面对的风险进行评估。

（三）主要控制活动及剩余风险评估

根据风险评估的结果，运用相应的控制措施，将风险控制在可承受范围之内。这些措施就是控制活动，目的是确保所需要的行动得以有效且适时地执行。控制活动包括多种政策和程序，有助于确保企业中的有关指示得以执行，处理风险以实现企业目标所需的行动得以实施。

控制活动可分为运营、财务报告及合规3个类别，但它们之间有时可能出现重叠。常用的内部控制活动涉及以下几个方面：

1．不相容职务分离控制

企业全面系统性分析、梳理业务流程中的不相容职务，防止具有欺骗性的活动发生或未被查出。通过在两个或两个以上的人员之间分配工作的方式，相互制约的工作机制实现这一监控目标。职责分配的原则是大多数交易分成三类独立的职责。第一是认可或发起交易，第二是处理被交易的资产，第三是记录交易。对于某些职能尚未或无法分离的，由管理层对相关活动进行详细的监管审核，作为一种补偿性控制。

2．授权审批控制

企业根据常规授权和特别授权的规定，明确各岗位办理业务事项的权限范围、审批程序和相应责任。例如，被授权的雇员可能开展了达到某项限制的交易，并且须为超出规定限制的交易取得批准。批准上述超出规定限制的交易时，上级必须在核实该活动符合政策及程序的基数上，才能予以批准，因此，上级审批也是作为一种监控工具，来确保政策得以遵守。此外，为确保控制活动发挥最大效果，企业也根据经营管理业务实际编制常规授权的权限指引，让各类经办人员在日常经营活动中按照既定职责和程序进行授权审批。同时，特别规范用于重大业务或事项时特别授权的范围、权限、程序和责任，严格控制特别授权。对于重大的业务和事项，实行集体决策审批或者联签制度。

3．会计系统控制

企业严格执行我国统一的会计准则制度，从事会计工作的人员，必须取得会计从业证书，明确会计凭证、会计账簿和财务会计报告的处理程序。正确的记录交易，依靠会计记录能够追踪每项交易，核对计算。例如，企业在向客户发货或批准支付前仔细检查发票上的数字，确保数字是正确的；且企业对业务处理的文件记录和凭证应编制连续号码，以避免记录的重复或遗漏。

4．调节和复核

调节包括比较总账的现金金额与银行对账单的现金余额、总账的应收款金额与相关补贴账户总额，以及固定资产的现场盘点与会计记录中记载的金额。所谓的复核包括管理层将当前的业绩与预算、以前期间或其他基准相比较，以此反映目标的完成情况，并对其中的差异进行调查，以确定哪些纠正行动是必要的。

5．财产保护控制

保护实物资产不被偷盗或未经许可而获得及被使用的措施和程序，包括建立财产日常管理制度和定期清查制度。财产保护控制包括采用财产记录、使用保险箱储存现金和重要文件、为大楼和其内的区域设立门禁系统、为贵重资产采取两重保管方法、定期对存货进行盘点、雇用保安和利用闭路电视摄像头等措施，确保财产安全。

6．预算控制

预算控制的目的是明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。在预算的编制过程中，明确企业各个部门编制预算的责任；根据发展战略和年度生产经营计划、综合考虑预算期内经济政策、市场环境等因素，明确预算编制依据，按照上下结合、分级编制、逐级汇总的程序开展；由董事会审核全面预算草案，特别是其科学性和可行性。在预算执行过程中，加强资金收付业务的预算控制，及时组织资金收入；对于超预算或预算外的资金支付，实行严格的审批制度；建立预算执行实施监控制度，如定期召开预算执行风险会议，确保业务流程和事项符合预算要求和不得随便对预算作出调整。在预算考核过程中，严格地执行预算考核制度，对各预算执行单位和个人进行考核，切实做到有奖有惩、奖惩分明；定期组织预算执行情况考核，将各预算执行单位负责人签字上报的预算执行报告和已掌握的动态监控信息进行核对；订立企业预算执行情况考核工作的标准，坚持公开、公平、公正的原则，记录考核过程及结果。

7．营运分析控制

企业管理层综合运用生产、投资、筹资、财务等方面信息，通过不同种类的方法，如对比分析、趋势分析、对标分析等方法，对营运情况进行分析、发现存在的问题，及时查明及时改善。

8．绩效考评控制

绩效考评控制对企业内部各责任单位和全体员工的绩效进行定期考核和客观评价，将考评结果作为确定员工薪酬以及晋升、评优等依据。这些控制活动对企业内部环境具有支持作用。

（四）信息系统内部控制

为了控制风险，企业有必要设立一个完善的信息与沟通机制，以获取必要的信息，并向需要该信息的所有人员及时提供，确保内部控制有效运行。控制风险是企业各类程序涉及的所有人员的责任。

1．信息系统设置和实施方面的内部控制

在企业选定外购调试或业务外包方式进行信息系统开发活动的时候，均采用公开招标的形式择优确定供应商或开发单位。对于企业自行开发的信息系统，其设置和实施方面的内部控制主要体现在如下方面：

（1）信息系统设计和控制。设计信息系统的一种方法是利用系统开发周期，包括：

可行性研究及方案制定。通过辨认当前问题确定建立新系统的目标，从技术上、可操作性和经济可行性角度提出解决方案，并明确交付使用情况、成本和完成时间，以及人员配置、职责分工等安排。

系统分析。通过对问题进行有条不紊的调查和确定，有必要对系统进行规范，企业信息管理部组织内部相关部门和组织根据业务需要提出开发需求和关键控制点，规范开发流程，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求，严格按照建设方案、开发流程和相关要求组织开发工作。

系统设计。在系统开发过程中，按照不同业务或流程的控制要求，应用计算机辅助软件工程工具来进行系统分析和设计。

信息系统测试与上线计划。在实施之前，由系统开发程序员、用户，或独立于开发部门的专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。并开展系统业务操作培训，确保新旧系统顺利切换和平稳衔接。

（2）系统运行与维护。信息系统的运行与维护主要包含3方面的内容：日常运行维护、系统变更和安全管理。

日常运行维护。主要内部控制措施包括：执行信息系统使用操作程序、信息管理制度以及操作规范、及时跟踪；定期检查在硬件方面的保养和运营状况及更换易耗品；定期审阅系统账户、避免授权不当或存在非授权账户、禁止不相容职务的用户账号交叉操作；设置突发时间（如系统故障）应变机制及配备专业人员负责处理。

系统变更管理。主要内部控制措施包括：建立严格的系统变更申请、审批、执行程序，包括：未经授权的信息系统操作人员不得擅自改变软件系统环境的配置或改变软件版本；系统变更（如软件升级）需要遵循与新系统开发项目同样的验证和测试程序。

安全管理。主要内部控制措施包括：通过各种系统控制措施（下文会提到）以实施安全管理，确保系统不会受到不必要的干扰。

2．与信息技术和信息系统相关的风险控制及其管理

（1）一般控制。从总体上确保企业对信息系统控制的有效性，保证计算机系统的正确使用和安全性，防止数据丢失。包括在人员控制、逻辑访问控制、设备和业务连续性方面的控制。

人员控制。包括部门内部职责的分离和数据处理部门的分离。例如：企业应立即停止已离开公司职员所有的访问权限。

逻辑访问控制。对未经授权的访问提供安全防范。例如，使用密码，可对密码定义其格式、长度、加密和常规的变化，要求系统用户定期更改密码并要求密码包含至少八位数值，且其中必须包含数字、字母和符号。

设备控制。对计算机设备进行物理保护。例如，把它们放置在一间保护室或保护柜中，并使用报警系统。

业务连续性。在系统故障、设备操作系统、程序或数据丢失或毁坏的情况下，业务持续性或灾难恢复计划可从信息系统中恢复关键的业务信息。

（2）应用控制。应用控制与管理政策配合，对程序和输入、处理和输出数据进行适当的控制，可以弥补一般控制的某些不足。

输入控制。包括交易前的数据录入，如在发票与收到的货物、文件和采购订单相匹配后，核准供应商的发票。数据输入屏幕的规定格式令使用者不得跳过强制输入字段。输入体系内容的合理检查，如检查给予顾客的折扣是否在允许的限度内。

过程控制。确保过程的发生按照公司的要求进行，没有被忽略或处理不当的交易发生。最常用的控制是交易记录、分批平衡和总量控制系统。

输出控制。确保输入和处理活动已经被执行，而且生成的信息可靠并分发给用户。主要的输出控制形式是交易清单和例外报告等。

（3）软件控制。软件受著作权法和知识产权法的保护。软件控制防止制作或安装未经授权的软件拷贝，防止因非法使用造成的经济处罚风险。

（4）网络控制。最常用的网络控制措施有防火墙、数据加密、授权和病毒防护。

防火墙。包括相应的硬件和软件、存在于企业内部网和公共网络之间。

数据加密。数据在传输前被转化成非可读格式，在传输后重新转换回来，这些数据只能被匹配的解密接收器读取。

授权。客户通过身份验证和密码进行注册。

病毒防护。使用病毒检测和防护软件扫描病毒，更改用户和删除病毒有助于避免计算机数据遭到破坏。

四、内部控制的监督

（一）日常监督

内部监督可确保内部控制保持有效地运作，由适当的人员评估控制的设计及运作情况，以及采取适当的跟进行动。内部监督分为日常监督和专项监督。日常监督包括企业对建立和实施内部控制情况进行常规、持续监督检查；专项监督包括对企业发展战略、组织结构、经营活动、业务流程、关键岗位等发生较大调整或变化的情况下，对内部控制的某一或某些方面进行针对性的监督检查。监督过程是对内部控制系统的表现进行评估的过程，可以通过持续的监察活动或单独的评价来实现。

内部控制监督的方法包括：

1．绩效计量。既然设立内部控制的目的是为实现目标提供合理的保证，那么，可以利用绩效计量来确定实现其目标的程度，这是检验管理部门内部控制有效性的一种有用的方法。如果绩效计量结果不尽如人意，管理层以及员工就作出相应改变以改善业绩计量结果。

2．对企业运营进行测试。确定程序是否按最初的设计得以应用，应该是一个持续的过程，建立内部审计职能部门来帮助内部控制的运转及已设立目标的实现，是具有成本效益的。

3．为控制环境、风险评估、控制活动、信息及沟通以及控制而制定的政策及程序。常常由硬性控制构成，而硬性控制是容易识别、评估和记录的。这些政策和程序的影响亦应得以识别、评估和记录。

4．记录。公司备有书面政策手册、正规的组织结构图、书面职务说明，操作指示，信息系统流程图等，这些文件记录能使评价变得更为有效，还有助于雇员了解系统如何运作以及他们所担当的角色，并使得在必要时修改系统变得更简单。

5．报告。对于影响企业实现目标的内部控制缺陷，向能采取必要行动的人员汇报。有关缺陷的调查结果不仅向负责有关职能或者活动的个人汇报，还向比其至少高一级的管理层汇报。此程序可使更高级别的人员监督及支援采取补救行动。例如，企业管理层发现公司会计账簿上的存货总额与盘点记录相差较大，于是成立小组进行调查，并把调查结果及加强内部控制的建议上报给最高领导。

（二）定期评价

管理层为对内部控制系统的有效性取得合理保证，需要对内部控制系统进行定期评价，评价每年发生一次。相关考虑因素包括：相关经营环境发展状况、变化程度以及伴随风险、执行控制人员的才能及经验、持续监控的结果。

定期评价的程序包括：

1．制订评价控制方案。

企业设置审计部门负责内部控制评价组织的实施工作，根据内部监督情况和要求，制订评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权审批后实施，这是一个进行内部控制评估前的全面计划，提供内部控制评价的效率和效果。

2．组成评价工作组。

内部控制评价部门或机构在评价方案获得批准后，需要组织评价工作组，具体承担内部控制评价检查任务。评价工作组成员具备独立性、业务胜任能力和职业道德素养，并吸收企业内部相关机构总体情况熟悉、参与日常监控的负责人或业务骨干参加。同时，根据需要，进行内部控制的培训，对评价工作组成员进行内部控制知识、企业业务流程及应关注重点、评价工作流程、方法以及工作底稿准备的知识培训。

3．实施评价工作与测试。

评价工作组通过了解企业公司层面基本情况、各业务层面的主要流程、识别有关主要风险后，开展实施及测试设计和运行有效性的内部控制工作。评价工作组根据掌握的情况确定评价范围，检查重点和抽样数量，进行分工与测试，评价范围、方式、程序和频率，因企业经营业务调整、经营环境、风险水平等因素而异。评价工作组综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等评价方法，收集被评价单位内部控制设计与运行是否有效的证据，按照要求填写工作底稿、记录有关测试结果。如果发现内部控制出现缺陷，则需与管理层沟通，对有关缺陷进行认定并进行记录。

4．汇总评价结果。

企业内部控制评价组根据评价情况编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷，及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。

总结以上内部控制内容的分析，内部控制系统的有效性及健全性在于系统能否降低管理层已识别的业务风险。内部控制系统对于管理重大风险以实现业务目标发挥关键作用，是内部控制中的重要因素。完善的内部控制系统能极大地促进对股东投资的保护、公司资产的保护以及确保对法律法规的遵守。

总之，建立健全内部控制并保证其有效性是企业履行社会责任的具体表现，同时也是企业自身加强管理、防范风险，达到科学发展的需要。集团已建立各项相关制度，提高各级组织的执行力，以保证业务活动的有效进行，保护资产的安全和完整，防止或及时发现、纠正错误及舞弊行为，以及保证会计资料的真实性、合法性、完整性。

内部控制体系的建设和有效实施任重而道远，只有充分结合企业的战略发展要求和经营管理实践，持续地改善和提升，才能够不断地提高企业风险识别和判断能力，增强企业风险防控的预见性、敏锐性和风险处置的及时性、有效性，从而保持企业健康发展。传化集团将通过对指引文件的学习，针对自查中发现的问题和薄弱环节进行整改和完善，形成较为科学有效的企业内部控制体系。