中联重科：2011年度内部控制评价报告

1 中联重科股份有限公司 2011 年度内部控制评价报告 第一部分 内部控制评价及实施的总体情况 中联重科股份有限公司全体股东： 根据《企业内部控制基本规范》及其配套指引的规定和要求，结 合中联重科股份有限公司（以下简称公司或中联重科）内部控制制度 和评价办法，在内部控制日常监督和专项监督的基础上，我们对公司 内部控制的有效性进行了自我评价。 一、董事会声明 公司董事会及全体董事保证本报告内容不存在任何虚假记载、误 导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担 个别及连带责任。 建立健全并有效实施内部控制是公司董事会的责任；监事会对董 事会建立与实施内部控制进行监督；经理层负责组织领导公司内部控 制的日常运行。公司内部控制的目标是：合理保证经营合法合规、资 产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进 实现发展战略。由于内部控制存在固有局限性，故仅能对实现上述目 标提供合理保证。 2 二、内部控制评价工作的总体情况 1、内部控制评价组织 2011 年，公司继续依据《企业内部控制基本规范》等法律法规 要求，以公司《公司章程》和公司内部 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 为指导，以全面性、 重要性、制衡性、适应性、成本效益为原则，进一步健全并持续改进 风险防范机制、内部控制体系，确保公司稳健运行。 为了做好此次内部控制评价工作，公司成立了以董事长为组长的 内部控制规范领导小组，成立了以分管副总裁为组长的内部控制规范 工作小组。董事会授权风险管理部负责具体组织实施工作。公司各分 公司、控股子公司（以下合称各经营单元）、部门分别抽调对企业情 况熟、业务能力强的专职人员组成了流程评价小组。为博采众长、确 保评价工作全面、系统和更加专业，公司聘请迪博企业风险管理技术 有限公司作为专业咨询服务机构，协助实施内部控制评价工作；聘请 天职国际会计师事务所有限公司对公司内部控制有效性进行独立审 计。 2、内部控制评价依据 本评价报告是依据中华人民共和国财政部等五部委联合发布的 《企业内部控制基本规范》(下称“基本规范”)、《企业内部控制应 用指引》(下称“应用指引”)、《企业内部控制评价指引》(下称“评 价指引”)、深交所《深交所上市公司内部控制指引》(下称“深交所 指引”)、《香港联合交易所有限公司证券上市规则》第 13.09条、 以及香港会计师公会公布的《内部监控与风险管理的基本架构》的要 3 求，结合公司内部控制制度和评价办法，在内部控制日常监督和专项 监督的基础上，对公司截至 2011年 12月 31日内部控制的设计与运 行的有效性进行评价。 三、内部控制评价的范围 内部控制评价的范围涵盖了公司及其所属单位的主要业务和事 项，包括公司各职能部门及混凝土机械分公司、工程起重机分公司、 中联海外公司、中联融资租赁公司、按揭业务管理部等经营（业务） 单元。经过风险评估，公司重点关注了下列十大高风险领域：竞争风 险、市场供求风险、人力资源风险、销售管理风险、战略执行风险、 信息管理风险、品牌管理风险、政策风险、知识产权风险、制度体系 建设风险。 纳入评价范围的业务和事项包括：组织架构、人力资源、社会责 任、企业文化、发展战略、资金活动与担保、采购与外包、生产与成 本、资产管理、销售业务、研究与开发、工程项目、财务报告、全面 预算、合同管理、信息传递、信息系统、反舞弊、内部监督等内容。 上述业务和事项的内部控制涵盖了公司经营管理的主要方面，不 存在重大遗漏。 （一）内部环境 1、组织架构 公司设立了股东大会、董事会和监事会，分别作为公司的权力机 构、执行机构、监督机构，并根据权力机构、执行机构和监督机构相 4 互独立、相互制衡、权责明确的原则，建立健全了公司的法人治理结 构，实现规范运作。 公司设立由董事会、风险控制委员会、审计委员会、风险管理部、 审计部和各相关专业管理部门构成的涵盖总部及各经营单元范围的 内控管理组织体系。 （1） 公司股东大会是公司的最高权力机构，公司通过不断完善 《公司章程》中关于股东大会及其议事规则的条款，确保股东尤其是 中小股东充分行使平等权利。 （2） 公司董事会是公司内部控制管理的最高决策机构，对股东 大会负责，严格按照《公司章程》及《董事会议事规则》等制度，在 规定职责范围内行使经营决策权，并负责公司内部控制体系的建立和 监督，对公司内部控制建立健全和有效实施负责。公司董事会由 7名 董事组成，其中 4名独立董事。 （3）公司监事会是公司的监督机构，严格按照《公司章程》及 《监事会议事规则》等制度履行职责，对公司董事、CEO及其他高级 管理人员的行为及各经营单元的内部控制运行情况、财务状况进行监 督、检查，并向股东大会负责。监事会由 3名监事组成，其中 1名为 职工代表。 （4） 公司经营管理层负责公司内部控制的日常执行工作，通过 指挥、协调、管理、监督各职能部门、经营单元行使经营管理权力， 保证公司的正常经营运转。 5 （5） 公司 CEO办公会下设风险控制委员会，是公司内部控制与 风险管理工作的最高协调及议事机构，由公司管理人员组成。委员会 主任由公司分管风控副总裁担任，委员由分管市场、营运、财务、技 改的副总裁及风险管理部门、品牌管理部门、督察部门、干部管理部 门和审计部门负责人担任。 （6）公司设立风险管理部，是内控与风险管理的综合管理部门， 是风险控制委员会日常工作机构，主要负责组织内部控制体系建设、 制度和规范的制定与实施、内部控制制度及文档的维护与更新、内部 控制评价工作的组织与实施等其他风险控制委员会指定的与内部控 制有关的日常工作。 （7） 公司董事会下设审计委员会，是由公司董事组成的专门工 作机构，向董事会负责并报告工作，代表董事会评价和监督财务会计 报告过程和内部控制。 （8） 审计部是审计委员会的日常工作机构。审计部在内部控制 评价方面的主要职责包括：制定年度内控评价 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 与 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 、执行内部 控制独立评审、协助外部审计机构完成内控审计、对外部审计师出具 的内部控制评审意见进行确认等工作。 （9）公司总部各职能部门负责本部门所管辖业务涉及的内部控 制工作，为内控工作的职能管理部门，对本业务内部控制的建设、实 施、维护及监督进行自上而下的纵向管理。 （10）公司总部及经营单元各部门须设立内控与风险管理的专职 或兼职岗位，负责本部门内部控制与风险管理日常工作的组织协调、 6 指导及监督工作。 2、管理层理念与经营风格、诚信与道德价值观 公司通过召开年度工作会议、相关专题会议、听取生产经营状况 汇报、内控系统评估等方式及时了解具体的经营情况，发现内部控制 不足，采取跟进措施并且监督执行情况。 公司管理层与外部审计师不定期进行会谈，内容包括财务报告相 关问题和内部控制缺陷。 公司管理层严格遵循《会计法》、《财务会计报告条例》、《企业会 计制度》等相关法律法规规定。 公司管理层高度重视审计报告中提到的审计调整及管理建议，并 组织相关部门进行讨论、改进与落实。 公司制定高级管理人员道德规范相关条款，对于高级管理人员的 理念与正直、公平原则、利益冲突处理、披露、保密等方面提出明确 的要求和应遵守的准则，并及时向外披露其变化和废止情况。 公司已在组织内部对道德守则和员工行为准则建立了沟通机制， 包括通过文件、规章制度、会议、培训、OA办公系统、电子邮件等 方式传达道德准则。 公司管理层及员工入职时签署对道德准则的知晓与遵循的书面 确认书，包括个人知晓组织期望的声明、对道德准则的遵循、承诺本 人声明没有任何虚假。 公司已建立相应政策并对违反道德守则或行为准则的行为采取 恰当的惩戒性行动。 7 3、人力资源 公司建立了人力资源管理程序，旨在通过建立人员管理机制，员 工考勤机制，薪酬管理体系，绩效考核体系，以及培训管理机制；对 人力资源规划、人员引进、开发、使用和退出进行指导和规范；监控 劳务外包的有效管理；确保员工日常考勤的有效执行；保证建立合理 的薪酬体系、对薪酬计算及发放和薪酬变更进行有效监控；确保绩效 考核目标及考核指标切合企业的实际，有效反映员工工作能力与态 度，考核体系运作能有效提高员工效率与积极性，考核结果能得到实 施反馈并被有效合理利用；确保培训计划编制合理，培训计划实施得 到有效落实，培训结果得到及时有效的反馈；确保合理配臵人力资源、 调动全体员工的积极性，发挥员工的潜能和创造性，为企业创造价值， 确保企业战略目标的实现。 2011年内部控制评价主要包括了公司人力资源管理相关人力资 源规划、员工引进、培训、岗位管理、薪酬、绩效考核等 17个子流 程、30个控制活动及其对应的 32项制度。 4、社会责任 公司重视履行社会责任，切实做到经济效益与社会效益、短期利 益与长远利益、自身发展与社会发展相互协调，实现企业与员工、企 业与社会、企业与环境的健康和和谐发展。 为了防范公司安全生产、产品质量及环境保护、员工权益保护等 措施不到位给公司声誉、生存带来不利影响，公司建立健全了一系列 长效机制并实施了如下措施： 8 （1） 公司已建立了完善的生产安全监管体系，确保职能部门完 整、职责明确，防范安全事故发生。 （2）为确保生产质量事故能够得到及时防范，公司在日常生产 过程中，严格执行生产安全检查，保障各项安全措施落实到位。 （3）公司积极组织员工培训，实施持证上岗，提高员工技能， 保障员工安全。 （4）公司已建立废料回收循环利用、环境保护和资源节约的监 控制度，保障在环境保护与资源节约执行过程中有章可循、有据可依。 （5）公司已建立应急机制，保障发生紧急、重大环境污染事件 时得到及时有效处理和应对。 （6）公司已建立严格的产品质量控制和检验制度、完善的售后 服务体系，确保降低或消除隐患产品流入市场，防止隐患产品给社会 带来危害。 （7）公司已建立售后服务平台，保障隐患产品得到有效改进和 维护。 （8）公司积极组织慈善活动，帮助社会弱势群体，履行社会责 任及相应义务。 （9）公司建立了正常薪酬增长机制，遵守法定的劳动时间和休 息休假制度，避免在正常经营情况下批量辞退员工，确保员工合法权 益得到充分保障。 9 5、企业文化 公司积极培育具有中联重科特色的企业文化，引导和规范员工行 为，打造以工程机械制造业为核心的企业品牌，形成整体团队向心力， 促进企业长远发展。 公司对员工积极进行企业文化理念的宣贯及培训，保障员工文化 修养及内在素质得到全面提升。 公司通过外部渠道向社会公众宣扬公司文化精神，提高社会公众 对企业的认知度。 公司已建立较完善的文化评估制度、科学的评估方法及程序、明 确的评估对象及内容。 （二）风险评估机制建立及运行情况 1、风险管理组织机构 公司设立了由董事会、风险控制委员会、审计委员会、风险管理 部、审计部和各相关专业管理部门构成的涵盖总部及各经营单元范围 的内控风险管理组织体系。 董事会是公司内部控制管理的最高决策机构，主要职责是： （1） 确定公司内部控制建设的总体目标； （2）了解和掌握公司面临的重大内部控制及管理现状； （3） 监督公司内部控制文化的培养建设； （4） 决策公司内部控制管理的其他重大事项。 风险控制委员会，是公司内部控制与风险管理工作的最高协调及 议事机构，由公司管理层人员组成。委员会主任由公司分管风控副总 10 裁担任，委员由分管市场、营运、财务、技改的副总裁及风险管理部 门、品牌管理部门、督察部门、干部管理部门和审计部门负责人担任。 风险控制委员会的主要职责是： （1）指导公司内控与全面风险管理体系建设，审批公司内控与 风险管理制度； （2） 审议公司内控与风险管理工作制度，审批管理层职责范围 内的公司重大内控和风险管理事项； （3） 指导总部各职能部门及各经营单元建立、完善内控与风险 管理体系； （4）审议风险管理部提交的全面风险管理报告及重大风险应对 策略及解决方案，监督风险应对措施的落实情况； （5）定期审议公司内控与风险管理工作进展和自评审情况，并 向 CEO办公会报告； （6）协调与内控、风险管理相关的其他重大事项。 风险控制委员会的日常工作机构是风险管理部，风险管理部是内 控与风险管理的综合管理部门，其主要职责是： （1） 组织公司内部控制体系建设，制定相关内部控制制度、规 范并组织实施； （2）组织指导总部各职能部门、各经营单元进行风险评估，根 据风险评估结果制定风险应对策略及解决方案并编制风险管理报告， 跟踪风险应对措施的落实情况； （3）组织指导总部各职能部门、各经营单元建立、维护及完善 11 内部控制流程； （4）组织总部各职能部门、各经营单元对内部控制建设及管理 工作的自我检查及评价； （5）协调内、外部审计师开展的内部控制评审及内部控制审计 工作，并协调相关部门与内部、外部审计师的沟通； （6）负责跟踪及督导各职能部门、各经营单元内控缺陷的整改 落实情况； （7）负责公司风险控制委员会指定的其他日常管理工作。 2、风险评估程序 （1）风险识别：每年 3月份风险管理部组织各业务部门根据设 定的经营、控制目标，全面系统持续地收集相关信息，结合实际情况 及时进行风险评估，准确识别与实现控制目标相关的内部风险和外部 风险，并与风险控制委员会、董事会确定相应的风险承受度。 在识别内部风险时关注的主要因素包括： 董事、监事、经理及其他高级管理人员的职业操守、员工专业胜 任能力等人力资源因素。 组织机构、经营方式、资产管理、业务流程等管理因素。 研究开发、技术投入、信息技术运用等自主创新因素。 财务状况、经营成果、现金流量等财务因素。 营运安全、员工健康、环境保护等安全环保因素等。 识别外部风险关注的主要因素包括： 12 经济形势、产业政策、融资环境、市场竞争、资源供给等经济因 素。 法律法规、监管要求等法律因素。 安全稳定、文化传统、社会信用、教育水平、消费者行为等社会 因素。 技术进步、工艺改进等科学技术因素。 自然灾害、环境状况等自然环境因素等。 风险识别阶段，形成了影响目标实现的公司各类风险信息及损失 事件库。 （2）风险分析：通过问卷调查及风险访谈形式，对风险发生的 可能性及其影响程度进行打分。风险分析时采用定性与定量相结合的 方法，按照风险发生的可能性及其影响程度对识别的风险进行分析和 排序，绘制形成了公司风险坐标图。 （3）风险应对：在制定风险应对策略时，通过访谈形式掌握董 事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当 的控制措施，避免因个人风险偏好给企业经营带来重大损失。采用的 风险策略包括综合运用风险规避、风险降低、风险分担和风险承受等 风险应对策略，权衡风险与收益，实现对风险的有效控制。根据风险 评估、分析及应对策略信息，形成了中联重科风险评估报告。 （4）动态监控风险变化及风险应对情况：风险管理部根据公司 不同发展阶段和业务拓展情况，定期持续收集与风险变化相关的信 息，进行风险识别和风险分析，并及时调整风险应对策略。 13 （三）业务流程层面的评估 1、发展战略 公司建立了发展战略管理程序，旨在制定与发展战略相关的制度 规范、监控程序、考核体系；对发展战略进行严格审批；合理分解落 实发展战略；对战略的执行情况进行全程跟进和监控；针对发现的问 题及时作出整改；面临内外环境的变动及时调整战略；建立健全战略 考核机制；通过这些控制活动确保企业发展战略的科学性、合理性和 可行性，确保发展战略分解落实到位，得到有效执行，预防和控制战 略风险。 2011年内部控制评价主要包括了战略规划制定与审批、监控及 调整、经营目标制定与审批、监控与调整、重点 工作计划 幼儿园家访工作计划关于小学学校工作计划班级工作计划中职财务部门工作计划下载关于学校后勤工作计划 制定与审批、 监控与调整以及考核等 11个子流程、26个控制活动及其对应的 7个 制度。 2、资金活动与担保 公司制定了资金活动与担保流程的相关管理程序，旨在合理保证 资金与担保活动的真实完整、合法合规，对资金管理制度的编制修改 进行有效的审批，对公司的资金募集使用和担保行为进行合理的管 控，确保公司资金运动、担保活动的安全、完整、有效，促进企业健 康发展。 2011年内部控制评价主要包括了货币资金制度制定与遵循、资 金计划管理、筹资管理等 21个子流程、64个控制活动及其对应的 9 个制度。 14 3、采购与外包 公司建立了采购管理及外包管理的相关管理程序，旨在制定与采 购及外包相关的制度规范、构建采购管理体系、外包管理体系；对采 购需求及采购计划进行合理审核审批；对采购供应商选择及外包供应 商选择程序公正化和透明化；对采购合同签订及相关合同履行进行跟 进监控；对采购过程的入库及付款，外包结算进行规范；通过这些控 制活动确保采购及外包管理的过程中各个环节均经过有效的监督和 控制，实现风险可控。 2011年内部控制评价主要包括了采购需求管理、采购实施及过 程监控、入库及付款管理、供应商评估 4子流程、11个控制活动及 其对应的 3个制度。 4、生产与成本 公司相关经营单元建立了完善的生产管理与成本管理程序，通过 建立生产计划制定与调整、生产过程管理、成本统计与分析机制，对 生产计划制定进行规范，实现生产满足市场需求、符合公司产能条件； 对生产过程监控，确保生产过程出现的问题得到及时解决，保证生产 严格按照计划实施；对废旧物资进行处理和变卖，保证环境风险能得 到及时、有效的控制，确保能够再利用和变卖的物资得到有效处理， 节约生产成本；对成本费用进行统计与分析，确保财务数据的真实性， 保证实时掌握成本情况，发现成本可控点并进行改进，降低生产成本， 实现产出效益最大化。 2011年内部控制评价包括了生产计划制定与审批、生产过程管理 15 及成本统计与分析等3个子流程、10个控制活动及其对应的3个制度。 5、资产管理 公司建立了固定资产、无形资产、存货的管理程序，旨在通过建 立资产取得，维护和处理机制，维护资产的安全完整，合理配臵和有 效利用，保障资产使用率最大化。对固定资产的验收进行严格的规范； 对固定资产的登记，入账程序进行明确的规定；保证资产调拨的合理 进行；保证固定资产日常维护科学合理；保证固定资产盘点的计划性 和账物一致性；完善固定资产减值评估和折旧机制，保证固定资产价 值的合理性。对无形资产的取得、确认进行规范，保证无形资产取得 科学合理，无形资产的价值得到有效地利用及维护。对存货的取得、 保管与发出、账实管理进行规范，确保存货需求得到及时满足，实现 存货库存最优化，实现存货实物与账簿一致。 2011年内部控制评价主要包括了固定资产取得、维护、盘点折 旧、调拨及减值折旧、无形资产取得与确认、存货取得、保管与发出、 存货账实管理等 12个子流程、28个控制活动及其对应的 7个制度。 6、销售业务 公司建立了比较完善的市场营销与品牌管理、客户资信管理、销 售业务管理、销售合同管理、售后服务管理、应收账款管理等方面程 序，有效防范公司销售业务各方面风险。 公司建立了信用销售管理（按揭销售管理、融资租赁销售管理） 的相关管理程序，旨在通过制定信用销售业务风险管理制度体系、考 核办法和预警指标；对信用销售设备买受人实行严格的资信调查；监 16 控、分析、报告按揭销售业务逾期应收款动态；对逾期应收款进行预 警管理，及时发布预警信息，落实重大风险款项催收措施等活动，确 保信用销售业务在促进各经营单元销售的基础上，实现风险可控。 公司严格加强对销售、发货、收款业务的会计系统控制，详细记 录销售客户、销售合同、销售通知、发运凭证、商业票据、款项收回 等情况，确保会计记录的真实准确性。 2011年市场营销与品牌管理业务内部控制评价主要包括了相关 的市场选择与定位、品牌维护与推广等 7个子流程、33个控制活动 及其对应的 3个制度。 按揭销售业务内部控制评价包括了贷前审查、按揭合同签订等 13个子流程、64个控制活动及其对应的 15个制度。 融资租赁业务内部控制评价包括了贷前审查、融资租赁合同签订 等 8个子流程、69个控制活动及其对应的 24个制度。 7、研究与开发 公司建立了研究与开发管理程序，旨在通过制定研究与开发业务 风险管理制度体系、知识产权管理办法和保密制度，对研发人员实行 有效的管理，指导研发项目的顺利完成，同时保证研究成果的推广与 保护，确保研究与开发业务在总部及各经营单元的产品研究、技术创 新实现风险可控。 2011年内部控制评价主要包括了研发项目立项与审批、项目实 施、研究成果保护与推广以及项目成果评估等 4个子流程、17个控 制活动及其对应的 7个制度。 17 8、工程项目 公司建立了公司工程项目的相关控制程序，对工程项目从立项、 建设、验收到转固入账整个流程通过相关管理制度制定、审批程序规 范等进行全面的严格的监控和管理。对工程建设过程进行严格的监理 监控，对工程变更及时做出反应，保证工程按计划进行，确保工程的 质量、安全和成本可控；对工程的验收严格按照国家相关法律法规及 公司制度执行，保证工程项目合法合规；及时进行工程项目转固和竣 工决算，考核投资控制的工作成效，确保投资的合理性；确保工程项 目管理各环节部门权责分工明确，流程完整准确，实现风险可控。 2011年内部控制评价主要包括了可行性研究与审批、工程招标 管理、工程造价管理、工程竣工验收及转固等 4个子流程、31个控 制活动及其对应的 4个制度。 9、财务报告与税务 公司建立了财务报告与税务管理程序，以确保规范会计处理、报 告披露、税务管理的操作程序，旨在合理保证财务报告真实完整、合 法合规，确保公司依照相关法律法规，正确、及时缴纳各项税金。 2011年内部控制评价主要包括了会计政策制定与遵循、会计凭 证处理、财务分析等 20个子流程、65个控制活动及其对应的 6个制 度。 10、全面预算 公司积极建立了全面预算管理的相关管理程序，旨在通过制定全 面预算编制、调整及审批的相关管理制度体系、考核办法及相应责任 18 部门；对全面预算的执行进行严格的监控；分析、报告全面预算管理 的执行过程；对超出预算的资金使用情况进行严格的管理，及时进行 调整、审批，落实预算的编制、调整及追加等活动，确保各职能部门、 经营单元的全面预算管理流程完整、准确，实现风险可控。 2011年内部控制评价主要包括了预算编制与审批、执行与分析、 预算调整及考核等 4个子流程、14个控制活动及其对应的 7个制度。 11、合同管理 公司建立了合同管理的相关管理程序，旨在通过制定合同管理相 关制度、审查合同文本、审批盖章、合同变更、解除、纠纷上报、合 同资料保管、合同后评估等控制活动，确保合理地拟定合同的具体内 容、条款、价格，规范合同双方在合同履行中进行的各种经济活动， 规定合同双方在合同实施过程中的经济责任、利益和权利，调节合同 双方责权利关系，及时地依据法律法规处理合同的变更、解除或者纠 纷等状况，完整、及时地归档保管合同相关资料文档，用于解决合同 履行过程中的争执，从而合理地维护公司利益。 2011年内部控制评价包括了合同签订、合同履行、变更与解除、 合同纠纷与处理等 7个子流程、11个控制活动及其对应的 4个制度。 （四）信息沟通 1、信息传递 公司积极加强内部报告管理，全面梳理内部信息传递过程中的薄 弱环节，建立科学的内部信息传递机制，明确内部信息传递的内容、 19 保密要求及密级分类、传递方式、传递范围以及各管理层级的职责权 限等，促进内部报告的有效利用，充分发挥内部报告的作用。 公司已通过多渠道对公司相关信息及报告进行传递，确保及时、 准确、真实地向内部管理级次、投资者、利益相关机构披露信息。 公司已建立信息与沟通制度，保障公司内部之间以及与外界沟通 渠道通畅、获取信息及时准确。 公司已建立严格的内部保密制度，保障内部信息传递安全可靠， 防止商业机密外泄。 2、信息系统控制 公司建立了信息系统管理流程的相关管理程序，旨在通过制定信 息系统风险管理制度体系，对信息系统 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 、系统操作、变更管 理、应用系统实施与维护实行有效的管理，指导信息系统的正常运行， 增强信息系统的安全性、可靠性和合理性以及信息的保密性、完整性 和可行性，为建立有效的信息与沟通机制提供保障，防范经营风险。 公司 2011年内部控制评价主要包括了信息系统安全管理、操作 管理、系统变更管理、系统实施及维护等 17个子流程、118个控制 活动及其对应的 9个制度。 3、反舞弊程序 公司重视督察、反舞弊体系建设，通过《督察管理制度》明确督 察职责及督察范围、督察内容、督察程序及权限、及处理时限等，通 过《举报制度》对举报渠道、举报处理程序、举报人保护方式等进行 了规定。 20 公司 2011年重点对公司反舞弊渠道和处理程序进行了评价，设 立多种投诉举报渠道，包括举报热线电话、外网邮箱、内网信箱等、 督察部及董事长信箱、信访人上访等。针对每类投诉举报或上访案件， 督察部部长依据事件类型及性质分配至各督察室，各督察室主任接到 任务，组织成立调查小组或专案组，通过现场调查、或协助外部司法 机构、谈话等方式进行核实，并出具调查报告，内容包括基本事实、 调查情况、处理意见等，报至督察部长或董事长。 （五）内部监督 公司对 2011 年内部控制日常监督进行了评价。公司重视内部控 制日常监督的作用，风险管理部、审计部都是内部控制日常监督的常 设机构。风险管理部主要负责每年组织相关部门根据业务发展、经营 管理目标等变化情况对内部控制体系进行维护、更新及优化，并于定 期组织各业务部门开展内控自评价，对自查自纠发现的问题及时进行 整改。审计部在风险管理部及各部门内部控制自评价基础上，对公司 内部控制体系建立及执行情况进行独立评审，针对独立评审发现的问 题及时提出整改意见并督促完成整改。公司制定了《内部控制管理办 法》对内部控制自评价、独立评审程序、方法、时间、成果输出等进 行了规定，确保内部控制日常监督机制有效发挥作用。 公司重视内部控制专项监督，本次评价主要包括督察部对于经济 责任、效能监察、投诉舞弊案件调查等职能的发挥及相关监督文档的 记录审查；审计部对于对财务收支、经营绩效、经济责任、基建工程 管理及合同审计等专项领域的监督及记录的审查。 21 四、内部控制评价的程序和方法 为确保内控评价工作有序开展，内控评价小组制定了详细的内控 评价工作实施方案,共历时 8个月，具体工作程序包括： （一）制定内部控制评价工作方案 公司内部控制评价工作的目标是：确保合规、防范风险、提升管 理。评价工作小组根据公司实际情况和管理要求，分析公司经营管理 过程中的高风险和重要业务事项，制定了科学合理的评价工作方案， 工作方案包括公司内部控制评价范围、评价时间、人员组成、以及相 关规章制度、评价流程、评价方法、工作底稿填写要求、样本抽取检 验要求、缺陷认定标准、评价人员权利义务、纪律要求及评价中需重 点关注的问题等，经内控评价领导小组批准后实施。评价工作方案以 全面评价为主，涵盖了上述 2011 年梳理的所有内部控制流程模块和 主要制度，重点关注了高风险领域和重要业务事项。 （二）成立内部控制评价工作组织 根据上述评价范围及业务事项，针对每个业务流程成立了对应的 内控评价工作小组，评价工作小组由风险管理部成员、各部门专门抽 调专员、迪博咨询顾问联合组成。评价工作组成员对本部门的内部控 制评价实行回避制度。 （三）组织实施自我评价工作 1、采用了与管理层访谈及风险问卷调查相结合、根据对整个行 业的风险调研、对竞争对手信息分析以及与审计部门、风险管理部门 沟通相结合的方式全面开展公司层面风险评估。通过高层人员访谈及 22 中层、基层风险问卷调查相结合的方式，确保风险识别与评估涵盖了 公司管理各个层级及主要领域。在此基础上经过专业机构对风险访谈 纪要、风险调查问卷的整理、分析，确保风险识别范围的完整性、评 估结果的合理性与真实性。 公司层面风险评估包括了公司战略、运营、法律、市场及财务领 域的风险，涉及：董事会及各委员会的议事规则、人力资源、反舞弊 体系、内部审计、效能监察、投资者关系、企业文化发展、社会责任、 安全与环保、信息保密、信息收集与沟通、报告与披露等方面。 2、根据公司层面风险评估的结果，确定出公司的业务流程评估 范围，主要涉及到公司的 16项业务循环，分别为： 战略管理、市场营销与品牌管理、信用销售管理（包括融资租赁 销售及按揭销售）、采购及外包管理、资金活动与担保管理、资产管 理、工程项目管理、财务报告与税务管理、人力资源、投资管理、研 究与开发管理、生产与成本管理、质量与安全管理、全面预算管理、 合同管理、信息系统管理。 3、实施业务流程层面风险及内部控制设计有效性评估。采用业 务流程关键负责人访谈梳理公司主要业务流程，并对每个业务流程确 定流程控制目标、识别威胁目标实现的风险，与公司目前的控制措施 进行匹配、穿行测试来评价内控设计有效性。 4、对每个业务流程的关键控制、重要控制及一般控制点采用询 问、观察、检查、重新执行等测试方式评价内控执行有效性。 23 （四）评价工作组做出评价结论 内控评价工作小组组长汇总评价结果，对现场初步认定的内部控 制缺陷进行全面复核、分类汇总，对缺陷的成因、表现形式及风险程 度进行定量或定性的综合分析，按照对控制目标的影响程度判定缺陷 等级，根据缺陷的综合影响出具自我评价结论。对于认定的内部控制 缺陷，评价工作组就部门提出整改建议，要求责任单位及时整改，并 跟踪其整改落实情况；已经造成损失或负面影响的，追究相关人员的 责任。 （五）编制内部控制自我评价报告。 内部控制评价工作小组根据已汇总的评价结果和认定的内部控 制缺陷为基础，综合内部控制整体情况，客观、公正、完整地编报内 部控制评价报告。 （六）审议批准内部控制自评价报告。 内部控制自我评价报告编制完成后报送公司经理层、董事会和监 事会审议批准，由董事会最终审定后对外披露或以其他形式加以合理 利用。 A股及 H股内控监管要求差异说明： 本公司的 H 股于 2010 年 12 月 23 日在香港联交所主板挂牌上 市。本公司严格按照《公司法》、《证券法》和中国证监会有关法规 的要求以及《香港上市规则》附录十四《企业管治常规守则》的原则 及守则条文，不断完善公司法人治理结构、规范公司运作，健全内控 制度，保障公司股东大会、董事会、监事会操作规范、运作有效，实 24 施完善的管治和披露措施，保障本公司的持续健康发展，不断提升企 业价值，维护了全体股东和公司的利益。公司治理的实际情况与中国 证监会等五部委发布的有关上市公司治理的规范性文件基本不存在 差异。在财务报告内部控制信息披露责任主体、财务报告内部控制建 立健全及自我评价范围、外部审计相关要求等方面保持一致。 五、内部控制缺陷及其认定 公司董事会根据基本规范、评价指引对公司重大缺陷、重要缺陷 和一般缺陷的认定要求，结合公司规模、行业特征、风险水平等因素， 研究确定了适用本公司的内部控制缺陷具体认定标准，并与以前年度 保持了一致，内部控制缺陷评价方法采取定量、定性和二者相结合的 评价方法。 定量法：以本年度税前净利润 5%为作为重要性水平判断标准。 对于财报相关的内控缺陷，通过对公司年度财务报表潜在错报或披露 事项错报程度进行判定；对于非财报相关的内控缺陷，通过对本年公 司资产、收入、利润等经济损失程度，或偏离（消极偏离，即未能实 现）经营目标的程度进行判定。 定性法：以假设不采取任何措施该缺陷导致潜在财务错报或经济 损失可能性大小作为判断标准。当存在以下迹象时，增加了重大缺陷 的可能性，因此会特别关注以下情况：重述以前公布的财务报表，以 更正由于舞弊或错误导致的重大错报；当期财务报表存在重大错报， 而在内部控制在运行过程中未能发现该错报；审计委员会和内部审计 机构对内部控制的监督无效；董事、监事和高级管理人员的任何舞弊 25 且反舞弊政策程序不健全；关联交易控制程序不当；重大投融资等非 常规事项控制缺失；某个业务领域频繁地发生相似的重大诉讼案件； 弄虚作假违反国家法律法规等。 内控缺陷严重程度评估标准： 一般缺陷 重要缺陷 重大缺陷 定量标准 （影响程度） ＜税前净利润 2.5% ≥税前净利润 2.5% 且＜ 税前利润 5% ≥税前净利润 5% 关系 或 且 且 定性标准 （可能性） 不采取任何行动导 致潜在错报或造成经济 损失、经营目标无法实现 的可能性极小 不采取任何行动导致 潜在错报或造成经济损失、 经营目标无法实现的可能 性不大 不采取任何行动导 致潜在错报或造成经济 损失、经营目标无法实 现的可能性极大 1、需要强调的是，在内部控制的非财务报告目标中，战略和经 营目标的实现往往受到公司不可控的诸多外部因素的影响，公司的内 部控制只能合理保证董事会和管理层了解这些目标的实现程度。因 而，在认定针对这些控制目标的内部控制缺陷时，不能只考虑最终的 结果，而应主要考虑公司制定战略、开展经营活动的机制和程序是否 符合内部控制要求，以及不适当的机制和程序对公司战略及经营目标 实现可能造成的影响。 2、充分考虑缺陷组合和补偿性控制对判定缺陷严重程度的影响： （1）关注和分析缺陷组合风险。缺陷与偏离目标可能性之间不 仅存在着一一对应关系，还存在着缺陷组合的风险叠加效应。也就是 说，即使单项控制缺陷影响财务报表，虽然错报影响金额较小，但是 如果存在多项控制缺陷综合作用下，极有可能导致某项错报超过重要 性水平，也可能构成重大缺陷。 26 （2）补偿性控制的作用。补偿性控制是其他正式或非正式的控 制对某一控制缺陷的遏制或弥补。如果补偿性控制有效且有足够精确 度，那么也可以防止或发现并纠正可能发生的重大错报、减少经济损 失或（消极）偏离经营目标的程度。 根据上述认定标准，未发现存在重大、重要缺陷。 六、内部控制有效性结论 公司已经根据基本规范、评价指引及其他相关法律法规的要求， 对公司截至 2011年 12月 31日的内部控制设计与运行的有效性进行 了自我评价。 报告期内，公司对纳入评价范围的业务与事项均已建立了内部控 制，并得以有效执行，达到了公司内部控制的目标，不存在重大缺陷。 自内部控制评价报告基准日至内部控制评价报告发出日之间公 司未发生对评价结论产生实质性影响的内部控制的重大变化。 27 第二部分 2012 年内部控制推广深化工作方案 为深入巩固和扩大上年度内部控制实施工作成果，公司将继续完 善内部控制制度，规范内部控制制度执行，强化内部控制监督检查、 促进公司健康、可持续发展，切实保障广大投资者利益。 一、公司下一步将致力于做好的工作 （一）根据有关法律法规、企业内部控制基本规范及其配套指引， 完善适合于公司的内部控制制度。 （二）进一步完善关键岗位轮岗机制。 （三）对危机处理工作实行领导负责制和责任追踪制，将危机发 生及处理纳入部门考核体系。 （四）完善项目后评估制度，并将项目后评估结果纳入绩效考核 机制。 （五）依据公司信息化建设实际情况，借鉴标杆企业系统安全管 理经验，完善信息系统数据备份与恢复管理程序。 二、公司 2012年内部控制规范工作计划 （一）2011年试点经营单元内控深化及优化 1、全面风险评估 时间：2012年 3月 负责部门：风险管理部 在 2011年风险评估基础上，根据经营模式、业务变更、组织架 构、管理方式的转变，对 2012年所有经营单元进行全面风险评估。 28 风险管理部明确风险评估标准、评估方式、范围及参与人员，通过发 放、回收风险问卷调查表进行风险分析，更新风险事件库，绘制风险 坐标图并制定重大风险应对策略解决方案，编制风险评估报告，确定 内控评价重点高风险领域。 2、内部控制更新维护 时间：2012年 4月-2012年 5月 负责部门：各经营单元、各部门 在风险评估的基础上，根据经营模式、业务变更、组织架构、管 理方式的转变，风险管理部组织总部各部门及 2011年试点的经营单 元对上年度内控体系文件进行维护、更新。风险管理部对提出的修订 内容进行审核及发布。 （二）2011年非试点经营单元内控推广 内部控制建设推广 时间：2012年 2月-2012年 6月 负责部门：风险管理部 将 2011年内部控制建设成果推广至公司所属其他主要经营单 元，重点涵盖市场营销与品牌管理、采购及外包管理、资金活动与担 保、资产管理、生产与成本管理、财务报告与税务管理、工程项目管 理、信息系统管理等主要业务流程。 （三）全面内部控制自我评价 1、内部控制自我评价 内部控制自我评价每半年进行一次，分别是： 29 上半年时间：2012年 6月-7月 下半年时间：2012年 11月-12月 负责部门：各经营单元实施 根据内部风险评估及对 2011度内控体系文件进行维护、更新、 2012年内部控制推广建设的工作成果，按照全面性、重要性原则， 针对高风险领域确定评价范围及评价计划，组织各经营单元及相关部 门采取询问、观察、检查、重新执行等方式实施内控测试。风险管理 部审核、汇总内控测试底稿及缺陷汇总表，并提交审计部。 2、内部控制独立评审 内部控制评审每半年进行一次，分别是： 上半年时间：2012年 7月-8月 下半年时间：2012年 12月-2013年 1月 根据各经营单元及相关部门内部控制自评价的结果，审计部结合 专项审计发现的问题，按照独立性、重要性原则对内部控制进行独立 评审，并针对内控审计中发现的问题督促责任部门进行整改，根据内 部控制评审结果编制内部控制评价报告。 董事长： 詹纯新 中联重科股份有限公司 二○一二年三月十五日 一、董事会声明 二、内部控制评价工作的总体情况 三、内部控制评价的范围 四、内部控制评价的程序和方法 五、内部控制缺陷及其认定 六、内部控制有效性结论