企业关联交易内控手册

① 企业间关联交易主要包括什么

根据《国家税务总局关于完善关联申报和同期资料管理有关事项的公告》(国家税务总局公告2016年第42号)规定：“四、关联交易主要包括：(一)有形资产使用权或者所有权的转让。
有形资产包括商品、产品、房屋建筑物、交通工具、机器设备、工具器具等。
(二)金融资产的转让。
金融资产包括应收账款、应收票据、其他应收款项、股权投资、债权投资和衍生金融工具形成的资产等。
(三)无形资产使用权或者所有权的转让。
无形资产包括专利权、非专利技术、商业秘密、商标权、品牌、客户名单、销售渠道、特许经营权、政府许可、著作权等。
(四)资金融通。
资金包括各类长短期借贷资金(含集团资金池)、担保费、各类应计息预付款和延期收付款等。
(五)劳务交易。
劳务包括市场调查、营销策划、代理、设计、咨询、行政管理、技术服务、合约研发、维修、法律服务、财务管理、审计、招聘、培训、集中采购等。
”

② 新三板 关联交易的内控程序有哪些

关联交易分为日常性关联交易预计和偶发性关联交易，应提交董事会、股东大会进行回决策：
（一答）日常性关联交易指公司和关联方之间发生的购买原材料、燃料、动力，
销售产品、商品，提供或者接受劳务，委托或者受托销售，租赁，投资（含共同
投资、委托理财、委托贷款），财务资助（挂牌公司接受的），关联方为公司提供借款或担保等的交易行为；
（二）对于每年发生的日常性关联交易，公司应当在披露上一年度报告之前，
对本年度将发生的关联交易总金额进行合理预计并披露；
（三）如果在实际执行中的日常性关联交易总金额超过本年度关联交易预计总金额应该经过董事会、股东大会审议；
（四）除日常性关联交易之外的为偶发性关联交易，公司应当在发生前经过董事会、股东大会审议。
（五）关联交易在审议时，关联方应回避表决。

③ 如何防范关联企业关联交易的信贷风险

杨 勇在市场经济条件下，投资主体多元化、业务范围跨行业、跨地区的集团企业越来越多，企业间的关联关系日趋错综复杂。关联交易有其好的一面，它可促进公司规模经营、减少交易过程中的不确定性、降低交易成本、提高企业的规模效益和市场竞争能力。但是，不公平的关联交易可能会侵害交易对方、债权人、股东的合法利益，破坏市场公平交易的基础。在信贷实践中，一些集团公司盲目扩张、管理混乱、缺乏诚信，利用关联企业多头套取银行资金，往往某一环节出现资金链条断裂，就会引起连锁反应，并导致商业银行出现贷款集中度风险和关联交易风险。甚至关联企业利用关联交易骗取银行贷款，逃废金融债务，给商业银行贷款带来严重风险。 关联企业和关联交易的信贷风险 首先是信用膨胀风险。关联企业集团通过设立多个关联企业分别获取银行信用，放大了单一企业所能获得的银行信用，实际上虚增了企业的承债能力。通常采取的手法是：注册关联公司获取银行信用，再通过关联交易占用该关联公司资金，用占用的资金再设立关联公司获取银行信用，如此反复。如果将集团作为一个独立的整体来看待，则控制关联企业的银行信用量往往大大超过其授信额度，形成该关联企业整体的信用膨胀。 其次是信贷集中性风险。关联企业集团随着业务的发展，不断通过投资、参股等形式建立关联企业，其形式各异，具有隐蔽性和复杂性，单凭表面很难确定其间的关联关系和关联企业贷款。客户信息系统不健全，很容易发生分支机构对同一企业集团关联成员之间的交叉贷款、重复贷款现象，一旦某一关联企业生产经营、资金链条出现问题，就可能产生“多米诺骨牌效应”，使整个关联企业集团的贷款风险集中爆发。 再次是贷款被挪用风险。由于关联企业是一个共同利益集团，当某个关联企业需要资金而又无法直接从银行融资时，往往在集团内部调配资金，当集团整体自有资金调配出现困难时，往往又由集团内具备融资能力的企业出面向银行融资，然后将融到的资金通过关联交易挪用到实际需要资金的关联企业。这样做不仅为违规经营提供了土壤和手段，难以真正体现信贷资金的使用效益，同时增加了银行的信贷风险。 最后是财务信息不对称风险。关联企业制度之所以能给银行经营带来风险，原因之一是银行与关联企业之间的信息不对称，主要表现在商业银行的资产业务方面。由于关联企业集团内部结构的复杂性和隐蔽性，使得商业银行很难准确掌握关联企业集团真实的信息，在这样的情况下做出的信贷决策潜伏着巨大的信贷风险；原因之二是由于关联企业集团内的成员企业数量众多，内部财务往来关系混乱而且频繁，集团母公司可以很容易地通过关联交易来调整、控制自己及其关联企业的财务状况和经营成果，达到虚增资本、虚增资产和虚增利润的目的，当一方发生风险时，这种风险会迅速波及到另一方，使风险变化呈现联动效应，加大了银行对企业财务状况做出准确判断的难度；原因之三是由于商业银行之间竞争的加剧，使各银行都争相抢夺集团企业客户，忽略了对集团企业客户的信贷风险管理，并且形成了银行间信息交流的障碍。 控制和防范企业关联交易信贷风险的对策 对策之一：对关联企业实行统一授信。将关联企业集团作为一个债务人进行管理，实施统一授信。根据关联企业集团整体的风险状况确定包括贷款、担保、承兑、信用证开证等所有表内外信贷业务的授信方案。统一授信可以从整体上考察关联企业集团授信承受能力，消除集团内部控制方式造成的人为影响，防止分散授信情况下的集团授信总量高估，降低集团整体信用风险，从而避免集团信用膨胀风险。统一授信时要注意集团成员企业授信额度的合理分割，做到整体风险和个体风险的双线控制。 对策之二：做好贷前调查，理清借款企业的关联关系，降低信息不对称风险。贷前调查是防范关联企业信贷风险的第一关。为此，客户经理要通过多途径、多渠道、多手段了解收集关联方信息，掌握集团客户的组织结构、管理方式和客户关系，尤其要弄明白财务管理是否合理规范、企业的重大资产状况及其产权归属是否明确。同时，要对借款企业所在的企业集团的经营、财务状况进行总体的调查了解，分析整个企业集团的经营风险、关联企业的担保能力等。在此基础上，认真分析其他关联企业对借款企业还贷能力的影响。 对策之三：完善授信管理制度，防范信贷集中风险。对企业集团客户的授信要严格按照银监会下发的《商业银行集团客户授信业务风险管理指引》的规定操作，由商业银行总行核定该企业集团的最高授信限额，包括各种形式的授信业务，如贷款、担保、承兑、开证等表内外业务，从总体上控制企业集团客户的风险敞口。为有效实施对关联企业的统一授信，应从人员、组织机构和业务运作上构建与关联企业授信业务风险管理特点相适应的信贷管理机制，制定关联企业授信业务的风险管理制度。 对策之四：选择关联企业集团中从事核心业务的企业作为借款主体。一般借款主体应选择关联企业集团中实际产生还款来源的企业，即还款现金流的产生者。通常情况下，银行可以选择关联企业集团中从事核心业务或拥有获利水平较高业务的企业作为借款主体。 对策之五：规范关联企业担保业务，以抵押、质押等物权担保方式为主。在集团客户授信业务中增加抵押或质押担保比重，应以抵押、质押等物权担保方式为主，即使选择第三方保证，也要避免循环保证、超额保证。如果母公司拥有较多投资股权且该股权易于变现，也可要求母公司为借款人提供连带责任担保，从而将母公司与借款人的利益紧密联系在一起，实行统一的风险控制。 对策之六：加强贷后监控，采用多种手段防范关联交易风险。在对关联企业的贷后管理中，不仅要严密监控借款企业的经营和财务状况，而且要关注整个企业集团尤其是控股企业以及还款来源所涉及的集团成员的经营和财务状况；严密监控关联交易行为，关注集团内部或与借款人有密切关系的集团成员间各项大额资金的往来，防止资产、利润的非正常转移；要做好关联企业客户贷款后的信息收集与整理工作，定期或不定期开展针对整个关联企业集团客户的联合调查，根据关联企业集团客户所处的行业和经营能力，对企业可能存在的深层次问题和潜伏的风险因素进行深入了解和分析。

④ 证监会有哪些关于上市公司关联交易披露的规章制度

上市公司关联交易披露的规章制度:
关联交易的审议程序和披露
第十一条 公司拟进行的关联交易由公司职能部门提出议案，议案应就该关联交易的具体事项、定价依据和对公司及股东利益的影响程度做出详细说明。
第十二条 公司拟与关联人发生的交易（公司提供担保、受赠现金资产、单纯减免公司义务的债务除外）金额在人民币3,000万元以上（含人民币3,000万元），且占公司最近一期经审计净资产绝对值5%以上（含5%）的关联交易，除应当及时披露外，还应当聘请具有执行证券、期货相关业务资格的中介机构，对交易标的进行审计或者评估，并将该交易提交股东大会审议决定。
本制度第四章所述与日常经营相关的关联交易所涉及的交易标的，可以不进行审计或者评估。
第十三条 公司拟与关联法人发生的总额高于人民币300万元，且高于公司最近经审计净资产值0.5％的关联交易，应由独立董事认可后提交董事会讨论决定。独立董事做出判断前，可以聘请中介机构出具独立财务顾问报告，作为其判断的依据。
第十四条 公司为关联人提供担保的，不论数额大小，均应当在董事会审议通过后及时披露，并提交股东大会审议。
公司为持股5%以下的股东提供担保的，参照前款规定执行，有关股东应在股东大会上回避表决。
第十五条 公司与关联人之间的交易应签订书面协议，协议内容应明确、具体。公司应将该协议的订立、变更、终止及履行情况等事项按照《上市规则》的有关规定予以披露。
第十六条 公司董事会审议关联交易事项时，关联董事应当回避表决，也不得代理其他董事行使表决权。该董事会会议由过半数的非关联董事出席即可举行，董事会会议所作决议须经非关联董事过半数通过。出席董事会会议的非关联董事人数不足三人的，公司应当将交易提交股东大会审议。
前款所称关联董事包括下列董事或者具有下列情形之一的董事： （一）为交易对方；
（二）为交易对方的直接或者间接控制人；
（三）在交易对方任职，或者在能直接或间接控制该交易对方的法人或其他组织、该交易对方直接或间接控制的法人或其他组织任职；
（四）为交易对方或者其直接或间接控制人的关系密切的家庭成员； （五）为交易对方或者其直接或间接控制人的董事、监事或高级管理人员的关系密切的家庭成员；
（六）中国证监会、证券交易所或者公司基于其他理由认定的，其独立商业判断可能受到影响的董事。
第十七条 公司股东大会审议关联交易事项时，关联股东应当回避表决。 前款所称关联股东包括下列股东或者具有下列情形之一的股东： （一）为交易对方；
（二）为交易对方的直接或者间接控制人； （三）被交易对方直接或者间接控制；
（四）与交易对方受同一法人或其他组织或者自然人直接或间接控制； （五）因与交易对方或者其关联人存在尚未履行完毕的股权转让协议或者其他协议而使其表决权受到限制和影响的股东；
（六）中国证监会或者深圳证券交易所认定的可能造成公司利益对其倾斜的股东。 第十八条 公司与关联法人发生的交易金额在人民币300万元（含人民币300万元）以上，且占公司最近一期经审计净资产绝对值0.5%（含0.5%）以上的关联交易（提供担保除外），应当及时披露。
第十九条 公司与关联自然人发生的交易金额在人民币30万元以上的关联交易（提供担保除外），应当及时披露。
公司不得直接或者通过子公司向董事、监事、高级管理人员提供借款。
第二十条 公司披露关联交易事项时，应当向深圳证券交易所提交下列文件： （一）公告文稿；
（二）与交易有关的协议或者意向书；
（三）董事会决议、决议公告文稿和独立董事的意见（如适用）； （四）交易涉及到的政府批文（如适用）； （五）中介机构出具的专业报告（如适用）； （六）独立董事事前认可该交易的书面文件； （七）深圳证券交易所要求提供的其他文件。 第二十一条 公司披露的关联交易公告应当包括以下内容： （一）交易概述及交易标的的基本情况；
（二）独立董事的事前认可情况和发表的独立意见； （三）董事会表决情况（如适用）；
（四）交易各方的关联关系和关联人基本情况；
（五）交易的定价政策及定价依据，成交价格与交易标的账面值或者评估值以及明确、公允的市场价格之间的关系，以及因交易标的的特殊性而需要说明的与定价有关的其他事项；若成交价格与账面值、评估值或者市场价格差异较大的，应当说明原因；交易有失公允的，还应当披露本次关联交易所产生的利益的转移方向；
（六）交易协议其他方面的主要内容，包括交易成交价格及结算方式，关联人在交易中所占权益的性质和比重，协议生效条件、生效时间和履行期限等；对于日常经营中发生的持续性或者经常性关联交易，还应当说明该项关联交易的全年预计交易总金额；
（七）交易目的及交易对公司的影响，包括进行此次关联交易的真实意图和必要性，对公司本期和未来财务状况及经营成果的影响等；
（八）从当年年初至披露日与该关联人累计已发生的各类关联交易的总金额； （九）中国证监会和深圳证券交易所要求的有助于说明交易真实情况的其他内容。 公司为关联人和持股5%以下（不含5%）的股东提供担保的，还应当披露截止披露日公司及其控股子公司对外担保总额、公司对控股子公司提供担保的总额、上述数额分别占公司最近一期经审计净资产的比例。
第二十二条 公司与关联人共同出资设立公司，应当以公司的出资额作为交易金额，适用本制度第十二条、第十三条、第十八条、第十九条的规定。
公司出资额达到第十二条规定标准时，如果所有出资方均全部以现金出资，且按照出资额比例确定各方在所设立公司的股权比例的，可以向深圳证券交易所申请豁免适用提交股东大会审议的规定。
第二十三条 公司进行“提供财务资助”和“委托理财”等关联交易时，应当以发生额作为披露的计算标准，并按交易类别在连续十二个月内累计计算发生额，经累计计算的发生额达到本制度第十二条、第十三条、第十八条、第十九条规定标准的，分别适用上述各条的规定。
已经按照本制度第十二条、第十三条、第十八条、第十九条规定履行相关义务的，不再纳入相关的累计计算范围。
第二十四条 公司进行前条之外的其他关联交易时，应当按照以下标准，并按照连续十二个月内累计计算的原则，分别适用本制度第十二条、第十三条、第十八条、第十九条规定：
（一）与同一关联人进行的交易；
（二）与不同关联人进行的交易标的类别相关的交易；
上述同一关联人，包括与该关联人受同一法人或其他组织或者自然人直接或间接控制的，或相互存在股权控制关系；以及由同一关联自然人担任董事或高级管理人员的法人或其他组织。
已经按照本制度第十二条、第十三条、第十八条、第十九条规定履行相关义务的，不再纳入相关的累计计算范围。
第二十五条 公司与关联人一方因参与公开招标、公开拍卖等行为所导致的关联交易，公司可以向深圳证券交易所申请豁免按照关联交易的方式进行审议和披露。
第二十六条 公司与关联人进行的下述交易，可以免予按照关联交易的方式进行审议：
（一）一方以现金方式认购另一方公开发行的股票、公司债券或企业债券、可转换公司债券或者其他衍生品种；
（二）一方作为承销团成员承销另一方公开发行的股票、公司债券或企业债券、可转换公司债券或者其他衍生品种；
（三）一方依据另一方股东大会决议领取股息、红利或者报酬；
（四）深圳证券交易所认定的其他交易。 第二十七条 有关关联交易的审议及信息披露，应同时遵守相关法律法规、规范性文件及公司相关制度。

⑤ 关联交易的规定

关联交易规定：

1、基本态度禁止不正当关联交易

正是由于关联交易的普遍存在，以及它对企业经营状况有着重要影响，因而应全 面规范关联方及关联交易的。新修改的公司法的一个亮点，是首次对公司关联交易进行规制。

新公司法第21条第1款明确规定，“公司的控股股东、实际控制人、董事、监事、高级管理人员不得利用其关联关系损害公司利益”。这一强制性规定，体现了法律对关联交 易的基本态度，即对不公正关联交易给予禁止。

新公司法对关联交易做如此规定，是在充分衡量关联交易可能存在的合理性与危害性后，特别是在我国当前不公正关联交易日渐增多的社情况下，做出的一种切合实际的制度选择。

二、关联关联关系的界定

虽然我国的相关法律等对关联交易都有所涉及，却都没有明确对关联关系进行界定。比如会计法并不强调对交易的调整而是侧重于记载和披露，关联交易作为经济主体之间的一种交易行为，其基础的法律界定并不适合由会计法来进行。

虽然证券法也有较多规定，但因其只适用于上市公司而不具普遍性和基础性。要调整关联交易，首先要判定经济主体之间的关联关系，其次要重点调整市场主体多种形式的交易行为，因此相对而言，公司法更适合对关联交易作出基本的界定。

正因如此，新公司法对决定关联交易的关联关系以及规制关联交易的基本原则和措施，做出了基本的规定。

三、具体制度的支撑

要使禁止的法律原则得以有效的遵守，具体技术性条文的支撑是必不可少的，也是法律规定具备可操作性的基本条件。比如新公司法第125条规定：“上市公司董事与董事会会议决议事项所涉及的企业有关联关系的，不得对该项决议行使表决权，也不得代理其他董事行使表决权。

该董事会会议由过半数的无关联关系董事出席即可举行，董事会会议所作决议须经无关联关系董事过半数通过。出席董事会的无关联关系董事人数不足3人的，应将该事项提交上市公司股东大会审议。”此种具体的可操作的条文为防止不正当的关联交易提供有效的规制工具。

四、法律责任的规定

明确具体法律责任的规定也是一项法律制度中不可或缺的部分，因为责任制度既能行为这起到威慑作用，以减少不正当关联交易的发生。同时对违反者予以处罚也有了明确的依据，为受害者提供必要的救济。

新公司法第21条第2款规定“违反前款规定，给公司造成损失的，应当承担赔偿责任”。这里明确了与公司具有关联关系的主体违反法律义务应承担的后果，是对该条第一款关于禁止不公正关联交易规定的保障。

除了上述直接针对关联交易和关联关系的规定外，新公司法有关股东诉讼、股东代表诉讼、累计投票制度、独立董事制度、公司对股东和实际控制人担保的规定等，也都有助于调整公司不正当关联交易行为。

(5)企业关联交易内控手册扩展阅读：

最高法院最新颁布的公司法“司法解释五”在2019年4月29日起施行。此司法解释实质内容仅有5条。

其开宗明义的第一二条规定：关联交易损害公司利益，原告公司请求控股股东、实际控制人、董事、监事、高级管理人员赔偿所造成的损失，被告仅以该交易已经履行了信息披露、经股东会或者股东大会同意等法律、行政法规或者公司章程规定的程序为由抗辩的，法院不予支持。

公司没有提起诉讼的，符合条件的股东可以直接向法院提起诉讼。关联交易合同存在无效或者可撤销情形，公司没有起诉合同相对方的，符合条件的股东可以向法院提起诉讼。

简言之，关联交易面临的审查更严了。除了既有的公司内部审查机制外，中小股东可以更为直接地去法院挑战关联交易的双方即公司和关联交易人。攻防之势有所变化。

参考资料来源：网络-关联交易

参考资料来源：凤凰网财经-今天我们如何理解关联交易

⑥ 如何使企业关联交易合理，合规

保持一颗公平公正的心，把关联企业视同毫不相干的企业对待，各关联企业的负责人都为自己的企业考虑，不受集团领导的干涉，就可以使企业关联交易合理，合规

⑦ 如何将《内控手册》要求融入到企业的管理流程当中

首先行业不同，方式方法也不同，以一个行业为例
XY股份有限公司为符合上市公司内控法规要求，提高企业经营管理水平和风险防范能力，促进企业可持续发展，根据财政部、证监会等五部委印发的企业内部控制基本规范及配套指引的要求，聘请外部咨询公司，2011年3月起着手进行内控体系建设工作。根据《企业内部控制基本规范》及其配套指引要求，结合国外公司经验，企业内部控制体系建设通常分为4个阶段，内部控制梳理、内部控制整改固化、内部控制自我评价和内部控制审计，其中前3个阶段是内控建设核心工作，需由企业主导完成，内控审计由审计师在企业配合下实施。

为做实做好内控规范体系建设工作，公司于2011年3月正式成立内控工作领导小组，由公司董事长牵头，高层领导主管、总部各部门负责人及各分子公司总经理作为组员，负责组织领导公司内部控制规范化建设工作。2011年3月中旬召开内控实施项目启动会，对公司内控建设工作进行了部署和动员，并制定公司内控实施计划及工作方案。
一、建立内控建设组织架构，明确相关人员职责。
内部控制建设作为一项长期系统性地工程，并非一蹴而就，公司决定建立一种长效领导机制持续运作。公司内控体系建设组织架构图如下，并明确董事长为内部控制实施工作的第一责任人；公司总经理、副总经理为内控实施的具体负责人。
（一）内控领导小组职责
经第六届第十次董事会审议通过，公司成立风险管理委员会，成员包括董事长、审核委员会主席、总经理、分管主要业务的公司高管及专业人士，作为内控工作领导小组。
风险管理委员会对董事会负责，主要履行以下职责：
（1）负责营造良好的内部控制建设环境；
（2）负责制定公司内部控制战略规划，提出总体建设方案；
（3）负责审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；
（4）部署内部控制建设、执行及监督活动等；
（5）审议《内控手册》的编制、修改及更新；
（6）提交《内部控制评价报告》；
（7）协调公司内部控制建设的重大事项；
（8）考核内部控制建设的相关人员，保持公司整体利益和方向的一致性。
（二）内控项目小组职责
1、公司在风险管理委员会下设立风险管理委员会办公室作为内控项目组，主要履行下列职责：
（1）全面贯彻执行风险管理委员会关于内部控制建设的精神和方针；
（2）制定公司内部控制建设阶段性的目标及实施方案，提交风险管理委员会审核；
（3）负责内部控制建设的有效实施和运行，落实内部控制建设的具体责任；
（4）研究提出《内部控制评价报告》；
（5）负责公司《内控手册》的编制、修改及更新；
（6）审核在内部控制建设过程中存在的问题，督促各部门进行整改。
2、公司在风险管理委员会办公室细分为4大系统，即风控系统、战略与证券系统、财务系统和运营系统，明确各系统的具体职责。
3、风险管理委员会办公室成员主要来自于财务管理部、战略与证券管理部、风险管理部、管理创新部、营销中心、质量与客服部、供应链中心、法律事务部、研发中心、制造中心及战略人力资源部，配备33名专职人员。各业务单位、职能部门及子公司（事业部）在风险管理委员会办公室的指导下共同参与、实施内控建设工作。
4、审核委员会作为公司内部控制体系有效性的监督机构，监督内部控制的有效实施和内部控制自我评价情况，审核及监督外部审计机构是否独立客观及审计程序是否有效，审核公司的财务信息及其披露，协调内部控制审计及其他相关事宜。
（三）责任部门及工作预算
与内控工作小组相对应，公司确认了内部控制建设的责任部门，即风险管理部、战略与证券管理部、财务管理部、管理创新部、营销中心、供应链中心、质量与客服部、法律事务部、制造中心、研发中心、战略人力资源部。本次内控项目工作制定了相关预算，包括内控咨询、内控审计及人力成本费用、培训费用等。为保证内控建设工作的专业化、系统化和合理化，公司聘请询公司作为外部咨询机构为公司提供专业支持，协助公司梳理、构建及完善内部控制总体架构，帮助公司识别内部控制存在的薄弱环节和主要风险，有针对性的设计控制的重点流程和内容并协助公司开展内部控制自我评价工作。 风控系统人员将全程参与风险识别及评估、编制风险清单及控制矩阵、内控缺陷整改、开展内控评价等工作，为公司培养内部控制建设及评价人才。
二、内控体系建设工作具体推进
内部控制建设工作，公司将分为五个阶段，时间从2011年4月1日至2012年1月31日，总体安排如下：
（一）确定内控实施范围（2011年4月10日前完成）
根据证监局文件精神，结合公司实际，本次内控实施范围为股份公司、一家上海子公司及一家广州子公司。
按照《企业内部控制基本规范》及其配套指引要求，结合公司业务性质，公司将重点关注发展战略、组织架构、人力资源等公司层面3大流程，以及信息系统、财务报告、信息披露、关联交易、全面预算、资金活动、采购业务、销售业务、资产管理等业务层面9大流程。
各流程责任人如下（××代表责任人姓名）：
流程第一责任人 具体负责人 内控协调人 中介机构责任
发展战略 × × ×
组织架构 × × × ×
……
注：上述责任人适用于内控建设中的每个阶段。
（二）风险识别及评估（2011年5月31日前完成）
1、流程梳理：公司通过访谈、审阅文档或问卷调查等方式梳理流程，明确上述12大流程的相应子流程，完善组织架构和审批授权指引，根据统一的模板编制业务流程图。在流程梳理过程中，及时发现并记录有遗漏、杂乱、不符合相关法律、不相容职务未分离或权限设置不合理等内控缺失的工作流程，采取相应的措施规范操作流程，避免内部舞弊等重大风险出现，提高工作效率。
2、风险识别：结合《企业内部控制基本规范》及相关配套指引所列示的风险、公司客户审核要求、内审报告、提案改善、质量事故等初始资料，从风险发生的可能性和影响程度，对子流程中涉及到的每个控制点进行综合分析，识别固有风险，评价风险等级，形成风险清单。
3、文档记录：根据风险等级，识别流程中的关键控制活动，并在流程图中进行编号；编制流程描述、风险控制矩阵等内控文档对控制活动和控制点进行记录。
4、查找内控缺陷：将公司现有制度和控制措施流与风险清单进行比对，通过穿行测试、控制测试等手段，获取关于内控设计和运行有效性的证据，查找内控缺陷，形成《风险数据库》和《内控风险诊断和评价报告》。对发现的重大缺陷及时报告董事会及管理层，管理层对发现的内部控制缺陷应及时制定内控缺陷整改方案。
（三）确定内控缺陷整改方案（2011年6月30日前完成）
1、编制《内部控制管理建议书》：公司对发现的内控缺陷进行分类分析，确定内控缺陷的重要性程度，区分设计缺陷和运行缺陷，形成《内部控制管理建议书》。
2、制定内控缺陷整改方案：公司根据《内部控制管理建议书》和具体的控制缺陷，提出整改时间及责任部门、人员，形成内控缺陷整改方案。
3、提交审议：内控缺陷整改方案应当经过风险管理委员会审议通过。
（四）内控缺陷整改（2011年9月30日前完成）
1、落实整改、提交报告：责任部门将按照内控缺陷整改方案对发现的缺陷进行逐一整改，完善公司各项内部控制管理制度和控制措施，提交《内控缺陷整改报告》；内控项目组连同中介机构对缺陷整改情况进行运行有效性测试，形成《内控运行测试报告》。
2、编制《内部控制手册》：内控项目组根据风险清单和各项内控文档等资料，编制《内部控制手册》，并对手册内容进行实施辅导和推进执行。
3、编制《内控自我评估工作指引》：内控项目组编制《内控自我评估工作指引》，为下一步内控自我评价工作的开展奠定基础。
4、提交审议：《内控缺陷整改报告》、《内控运行测试报告》、《内部控制手册》及《内控自我评估工作指引》应报风险管理委员会审议。
（五）内控持续推进和内控自我评价
公司在内控体系成果完成后，将予以持续推进，并根据辖区证监局要求，公司将于每季度结束后的10个工作日内，向证监局报送内控进展情况说明，并在定期报告中予以披露。每季度进展情况说明至少包括该季度内控建设工作的开展情况、与工作方案中计划进度的对照情况、差异原因以及拟采取的解决措施等。
通过以上工作，公司初步建立健全了内部控制体系，有效提高了内控管理水平。
三、企业内控体系的“落地”和持续推进
XY公司在完成内控体系初步建设完成后具体推行过程中，一些部门和员工或因对新的内控制度理解不够，或因由于长期工作习惯难以改变，或因内控制度变革触及自身利益而不愿遵循，使得内控制度在一段时期内一直都不能落到实处。如何真正将内控体系有效执行下去，并保持内控体系的持续完善和提高，是管理层迫切需要解决的难题。
为了切实将内控制度体系真正“落地”，XY公司通过全方位内控培训、加强内控检查与监督、完善考核及激励机制以及借助第三方专业机构的持续辅导等措施，有力地保证了内控建设的持续维护，公司的内控建设取得了卓有成效的进展。
具体来说，采取的主要措施有：
（一）完善内控工作组织架构，成立内控部，强化审计部，建立推进内控工作的组织机构和运行机制。
通过对国际大企业内控建设的现状和过程的全面考察，XY公司发现要实行有效的内部控制，必须建立相配套的组织架构。为此，公司由管理高层成立了内控工作领导小组，各子公司管理层对应的成立内控管理小组；在部门设置上，XY公司新成立了内控部，各下属子公司根据其规模大小设立内控部或内控负责岗，负责内控建设工作；在内控监督上，转变了原有的审计部的职责，增加了内控评价和检查的功能，并由公司董事会的审计委员会直接领导，在规模较大的子公司同时设立内部审计专员，负责子公司的内控自查。
（二）注重内控环境建设，进行全方位内控培训。
XY公司通过一系列的培训和辅导，提高各层级管理人员和基础员工对内控理念的认识，营造有利的内控工作开展的文化环境。首先，公司抓好以普及内控基本知识、营造内控实施环境的宣传工作。公司内控部组织编制了《内控宣传册》，在股份公司各职能部门和下属公司主要管理干部范围内发放学习。手册通过生动的案例和形象的语言帮助各级管理人员统一对内控的理解和认识，减少内控推进的思想阻力。
其次，公司根据内控规范实施的进度，围绕内部控制的各个方面，开展了包括基础理念、管理制度、风险评估、内控评价、内控考核在内的各类集中的专题培训，对内控制度的编制和实施起了极大的推进作用。
（三）建立内控推进的沟通机制，保证内控建设持续性和问题解决的及时性。
自内控制度建设正式推进以来，为了保证推进的执行力，公司开展了全方位的信息沟通机制，实现了信息的实时传递，和通畅的上传下达。
首先，XY公司建立了周例会制度。内控领导小组每周组织内控工作例会，由公司董事或审计委员会主任主持，参与者包括内控领导小组成员、内控部、审计部、财务部、各子公司的内控负责人等。总部各职能部门及各子公司必须在会上以书面形式上报“内控工作一周报告”，汇报内控的进展情况、存在的问题、解决的方案、遇到的困难以及需要股份给予协助的事项，并由内控领导小组组长对相关的具体问题提出意见和工作指导，会后股份公司内控部负责对每家子公司进行回复，保证所有的问题都能得到及时有效的解决。所有会议记录和相关文件在会后抄送股份公司的总经理和董事会，并抄送相关子公司的管理层，保证管理高层对内控进展的时刻了解。
其次，公司建立了内控体系的月度工作总结。每月末各个子公司的内控负责人就内控开展情况进行工作总结，由内控部在股份公司管理层、子公司管理层以及相关内控负责人之间进行通报，督促各子公司的内控执行力。
第三，建立了重大项目的单独汇报机制。各子公司的内控负责人对于子公司内控建设中发现的重大问题要求及时向内控领导小组和股份内控部进行汇报，以实时处理可能的重大风险。此外，股份公司的内控部长、审计部长、财务总监的联系方式向子公司的所有内控负责人和内控专员公开，作为信息直接传递的一个重要渠道，帮助股份公司及时了解下属子公司内控风险。
（四）完善内控评价检查机制，建立了多层次的内控检查体系。
为了保证内控制度的落地和真正有效的执行，公司从各子公司到股份公司的内控部和审计部，再到外部独立的第三方中介，建立了全方位的内控评价和检查体系。股份公司内控部对各业务循环定期开展内控检查，通过发放内控调查清单以及内控专员的现场检查，发现子公司在内控建设中的不足，并及时下发风险联系函、风险关注函和风险警示函，以帮助子公司及时进行内控整改和完善。其中联系函主要是对子公司联系函件的回复为主；关注函主要是对子公司发生的业务表示关注，一般要求对方在一定时间内给出书面说明；警示函是在关注函的基础上对于重大风险或执行不到位的情况给予警告。
股份公司审计部对各子公司每年开展两次的内控评价。为了实现评价的量化和标准化，审计部编制了内控评价底稿通过检查，对子公司形成内控建设的量化评价，并针对检查中发现的问题出具改进建议，并要求各子公司在规定的时间内予以整改，总部内控部对子公司整改措施和整改质量进行全程的监督，整改完成后，审计部及时予以复查，确保审计中发现的问题能及时整改。
（五）将内控建设纳入绩效考核，通过奖惩机制实现内控的有效性。
首先，为有效发挥各下属子公司的管理者在内控推进中的作用和积极性，自200×年开始，股份公司将审计部对各子公司的内控评价结果纳入其管理班子的绩效考核的指标中，明确了管理班子对于内部控制建设的责任和关键任务。通过这种绩效考核，激励管理层切实关注和推动内控的执行工作，从而为内控工作的推进建立良好环境。
其次，对于股份公司向各子公司委派的重要人员也直接与内控建设挂钩。公司出台了《委派内控人员绩效考核管理办法》，对各个子公司的内控负责人实施全面的内控建设考核，明确了委派的内控人员的绩效考核指标、考核方式和奖惩机制，进一步促进了委派内控人员的工作落实力度；其次，对于股份委派的财务负责人，也在其年度考核的总分中（100分制）纳入了相当比重的的内控建设的相关内容，从财务职能加强了对子公司的内控推进。
（六）充分发挥专业中介机构力量
XY公司在开始建立内控体系即聘请的专业咨询公司提供咨询服务，在整个体系建立过程中，充分发挥咨询公司专业力量，并聘请专业顾问对公司人员进行培训，提高公司人员内控理念和技能。在内控体系初步建立之后，仍继续与咨询公司保持合作，借助咨询公司在专业及独立性方面优势，共同推进公司内控持续建设工作，在内控持续建设工作中，专业咨询公司提供了大量了专业意见和培训辅导服务，帮助公司完善各项成果，使得公司的内控持续建设取得了令人瞩目的成效。
四、企业内控体系建设过程的经验和启示
在公司董事会、各层级管理人员和基础员工不懈努力下，公司内部控制体系的建设取得了一系列的良好效果，全公司各级员工的风险管理意识显著提高，对风险的理解和重视切入到各个业务和管理环；强化了各项经营活动的规范化操作，实现了重大经营活动的集体化决策机制，有效防范了决策风险；提高了公司的财务管理水平，保证了从产业公司到股份公司的各层级财务数据的真实公允以及资金、资产的安全；加强了公司对新经营环境下管理风险的关注；完善了公司的风险预警机制，提高了各职能部门对业务发生之后的潜在风险的持续监控、分析和应对。公司在内控体系建设和推进过程中，主要的经验和启示有：
1、公司董事会和最高管理层的重视和亲自参与
在XY公司董事会，无论是大股东委派董事、非执行董事还是独立董事，都非常重视和关心内部控制体系的建设工作。作为公司的大股东，集团对股份公司的内控建设给予了极大的理解和支持，有力的推动了产业公司的内控建设的进程。董事会的定期会议都将内部控制进展情况作为重要议题沟通，对于内部控制推进中出现的任何问题，董事会层面时刻给予相应和支持。
在公司管理层方面，成立了内控领导小组，投入了大量的人力和财力，带领企业员工共同进行内部控制建设，为内部控制的推进提供了良好的内部环境，同时也激发员工的积极性和主动性，推动企业内部控制朝更顺利、更完善的方向发展。
2、对内部控制理念以及其与公司其他管理体系关系的认识统一
XY公司在内控推进的第一阶段大力推行高频率、大幅度的培训，帮助各级管理者以及基层员工了解内部控制的主要原理和价值，减少内控实施中的思想阻力。其次，公司统一了内控体系与其他管理体系的认识，内部控制和风险管理不是一套孤立的新的体系和制度，而是一种基于“目标－风险－控制－监督”框架的管理思路，这种管理思路可以融入到企业的所有其他的管理体系和管理制度中去，是对企业原有的管理制度的整合和提升。
3、制定了清晰明确的内部控制战略规划
公司根据自身实际情况，在订并提出了内部控制的五年两步走的规划，并将其纳入到公司的5年战略规划中。第一阶段（3年），通过自上而下的刚性要求，构建全面的统一化的集团内部控制架构，并通过理念灌输形成内控推进的文化范围；第二阶段（2年），通过自下而上的，自觉的内控体系的完善，形成各个产业公司的特色化内部控制。这一从强制到自觉，从理念普及到制度完善再到内控手册的表格化提升的建设步骤，使得公司从管理高层到基层员工的各级人员都明确内部控制不同时期的不同任务及不同发展状态，稳步推进，逐步加深，为内部控制的发展道路勾画了清晰路径。
4、因企制宜的实施方案
XY公司意识到对于集团化企业，内部控制不能是一刀切的，公司要实行内部控制，需要根据自身的业务类型、公司规模、公司所处阶段来选择适宜的内部控制方法。
首先公司在吸收了五部委内部控制基本规范和配套指引的相关精髓的基础上，结合企业经营实践，基于先主后次的重要性原则以及成本收益原则，提出了以若干业务循环作为公司内控建设的主要循环范围。
其次，考虑公司的人员能力和素质，在内控成果上也没有一步到位册，而是以制度建设为基础，通过制度规范，到流程优化再到风险提炼，逐步实现内部控制的层层递进。
第三，在内控推进上，公司充分考虑下属各产业公司的业务特点，确定适合各公司的内部控制方式和侧重点。
5、循序渐进的实施步骤
（1）自上而下的理念推进向自下而上的流程推进的递进。
在内控实施的第一阶段，公司强调自上而下的理念推进。公司通过内部培训、各种工作会议达成内控理念的统一，并向各子公司传达，之后各子公司则进行自下而上的内控流程推进，即各产业公司根据自身的内部流程，进行制度的完善，并经由公司内控部审核后实施。
（2）由总部出台框架性的制度到各个子公司制订针对性的业务流程的递进。
公司内控部结合外部力量制定框架性的制度，明确各业务循环的关键控制点和操作要求，各产业公司根据自身业务情况，在满足框架制度要求的前提下制定适合企业自身的管理制度，以求更贴近产业公司的经营管理实践。
（3）普遍性、通用性的风险点向专业性、针对性的风险点的递进。
公司首先根据对产业公司实际情况的调研，绘制公司的全面风险数据库，梳理出具有普遍性的通用性主要风险点，之后，各产业公司在实际操作中不断发现专业性、针对不同企业业务特色的独特风险，以实现内部控制的完善。
（4）抓重点公司，抓主要循环和风险、抓典型事件。
公司的内部控制遵循重要性原则，关注重点公司级重要循环与风险，并关注典型事件，以期通过重点带动全面，推动内部控制的发展。
6、借助外部专业中介机构推动内控建设
外部专业机构相对具有更丰富的内控专业力量和实施经验，并且具有客观性和独立性，XY公司在整个体系建立过程中，充分发挥咨询公司专业力量，但也没有完全依赖中介机构甩手不管，而是充分参与和配合，在内控建设过程中，实现知识传递和内控人才培养，取得了较好的实施效果。

--------------转自新浪微博《马军生-内部控制博客》