财务内控风险手册修订版.doc

用友软件股份有限公司 内控风险管理手册 (修订) 编写时间：2010.6.30 版本：V1.0 编写部门：内控工作小组 第一章 前言 3 1 编制目的 3 2编制原则 4 3 编制思路与流程 4 4 内控风险管理体系建设进程 6 5 颁布及适用范围 7 第二章内控控制的环境建设 7 1内部控制组织 8 2职责权限 8 2.1目标 8 2.2职责与权限 9 3用友的风险文化 11 3.1.定义 11 3.2内容 12 3.3特征 14 第三章 基础概念 16 1内控控制 16 2风险 16 3风险事项识别 16 4风险评估 16 5关键控制活动 16 6风险类型 17 6.1战略风险 17 6.2财务风险 17 6.3市场风险 17 6.4运营风险 17 6.5法律风险 18 第四章风险管理 18 1.风险事项识别 18 2风险评估 19 3风险规避办法 21 4风险控制 22 第五章业务管理风险控制 25 1财务管理 25 2销售管理 65 3采购管理 66 4媒体传播管理 66 5基建工程管理 66 6信息系统管理 66 第六章制度流程清单 67 1财务流程制度清单 67  第一章 前言 1 编制目的 用友软件股份有限公司编制《内控风险管理手册》的目的来自于以下三点需要： 第一：满足公司长期稳健发展的需要。公司是一家要长久发展、永续经营、基业长青的公司，全面提升风险管理和应对能力，是保证公司安全、保证公司做大做强、保证公司长治久安、保证公司成就百年基业和世界级公司的需要。 第二：满足财政部、证监会、审计署、银监会、保监会于2010年4月26日发文《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》（以下简称企业内部控制配套指引），企业内部控制配套指引 图1－1COSO内控体系模型 图1－2风险管理编制流程图 4 内控风险管理体系建设进程 内控风险管理体系的建设与完善是一个持续渐进的过程，需要根据用友公司的进度情况，本着边建设，边执行，边完善的策略，分三个阶段进行： 一、2010年重点业务的建设和推行。 2010年完成在高风险领域和重要业务事项的内控风险管理体系的建设阶段：完成以下六个专门领域的内控制度体系建设，并在股份公司及各控股子公司范围内推行。 （1）财务包括：预算管理、资金管理、融资管理、费用管理、固定资产管理、财务报告与披露管理； （2）信息系统包括：应用系统开发（内部、外部）、应用系统引进、业务系统访问、业务系统数据调用/收回、业务系统权限/帐号管理、业务系统维护、业务数据备份/销毁、基础网络建设/维护、服务器维护、数据中心运维、员工使用网络规范、IT服务外包； （3）销售管理：项目管理、合同管理、项目交接、销售审批 （4）采购管理（外包）：合作伙伴管理、采购价格管理、采购过程管理 （5）基建（含工程项目）：基建采购管理、基建预算管理、基建工程管理 （6）媒体传播：主动信息发布、被动媒体采访、媒体关系维护、危机事件处理 二、2011年全面建设和全面试行 完成公司管理所有环节的内控及风险体系建设阶段：包括公司治理、战略发展、产品研发、市场营销、客户服务、人力资源管理环节建立内控及风险管理体系。建立完整的用友风险库，规范公司改进管理和业务流程，全面提升管理水平，提升风险管理能力。 三、2012年全面优化、推行 全面执行和完善用友内控管理阶段：强化风险流程制度执行落地，固化风险文化体系建设，提升全面风险意识，以及风险绩效的考核。将内控及风险管理的理念和方法融入到各项管理活动中，内控文化成为人人自觉的用友灵魂，将风险意识变为组织行为决策的准绳。 5 颁布及适用范围 本手册对用友股份有限公司及下属全资控股公司的管理层及员工都具有约束力。本文件是截止至2010年6月30日的初稿，以后会根据内控风险管理工作的进行不断更新补充；前期先对与财务相关的内部控制进行了初步梳理，下面将只列示与财务相关的内部风险管理梳理结果，随着工作的深入推进，本版将会补充销售、采购含外包、基建、IT、媒体传播的内部风险管理的相关内容。最终将于2010年9月30日正式颁布。 第二章内控控制的环境建设 良好的内部控制环境是切实保障公司内部控制体系有效运行的重要基础，内部控制环境建设应当包括：设定内控组织（见图2－1）及职责权限及风险文化的建设。 1内部控制组织 2职责权限 2.1目标 明确公司在内控风险管理体系中各相关认的职责权限，为内控风险管理体系的有效运行提供组织保障。 2.2职责与权限 2.2.1董事会 1）负责公司及分/子公司的内部控制体系的建立、健全和有效地进行，明确其下设内控领导小组以及内控工作小组、各部门和分/子公司在内部控制体系及风险