广东中南钢铁股份有限公司全面风险与内部控制管理制度
1目的为规范广东中南钢铁股份有限公司(以下简称“公司”)、子公司的全面风险管理、内部控制、合规管理工作,促进企业持续、健康、稳定发展,根据《中央企业全面风险管理指引》(国资发改革〔2006〕108号,以下简称《指引》)、《企业内部控制基本规范》(财会〔2008〕7号,以下简称《规范》)、《中央企业合规管理办法》(国资委令第42号)、习近平总书记关于落实防范化解重大风险的总体要求,结合《关于加强中央企业内部控制体系建设与监督工作的实施意见》(国资发监督规〔2019〕101号)及相关体系能力建设要求,强内控、防风险、促合规,建立以内控体系建设与监督制度为统领,各项具体操作规范为支撑的“1+N”制度体系的要求,建立有效的风险控制体系,落实事前做好内控建设和风险评估、事中加强穿透式监督、事后严格责任追究的全过程管理,特制定本制度。本制度分为全面风险管理、内部控制管理两个章节,每章包括管理概述、职责分工、业务流程等内容。
2适用范围
2.1本制度适用于公司、各子公司。
3附则
3.1本制度由运营改善部负责解释。
3.2本制度自实施之日起生效,原《全面风险管理制度》(SGSSZ00001)、《内部控制管理办法》(SGSSZ03033)同时废止。
第一章全面风险管理
1.1全面风险管理概述
1.1.1风险定义
本制度所指风险,是指未来不确定性对企业实现经营目标的影响。
1.1.2风险分类
公司对风险实行大类专业管理,参照《指引》中风险的一般定义,把风险分为战略与投资风险、财务与运营风险、金融与并购风险、法务与管制风险、舆情与稳定风险、安全与环保风险。
从风险和收益来看,风险可以分为机会风险和纯粹风险,对于机会风险(带来损失和盈利的可能性并存),可进一步细分为战略与投资风险、供应链经营风险两大类;对于纯粹风险(只有带来损失一种可能性),根据风险来源细分为内部纯粹风险(内控合规)和外部纯粹风险(突发事件)。
1.1.3风险分级
按照风险发生后对经营目标的影响程度,把风险分为重大风
险、重要风险、一般风险。
1.1.4全面风险管理的定义本制度所指全面风险管理,是指围绕总体战略目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全风险管理组织和内部控制体系,为实现风险管理的总体目标提供合理保证的过程和方法。
1.1.5全面风险管理的总体目标
1.1.5.1确保风险可控、可承受、可隔离,将风险控制在与总体目标相适应并可承受的范围内。
1.1.5.2确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告。
1.1.5.3确保遵守有关法律法规。
1.1.5.4确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,合理控制资产负债率水平,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性。
1.1.5.5确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。
1.1.6全面风险管理应遵循以下基本原则
1.1.6.1风险与收益对等。
1.1.6.2稳健经营、审慎决策。
1.1.6.3经营战略与风险策略一致、合规经营、不博弈市场。
1.1.7“管业务必须管风险,管职能必须防风险”工作要求
1.1.7.1关于业务管理的风险防控要求公司各业务部门和各子公司应将风险管理放在更加突出的位置,按照“源头治理、及时揭示、果断处置、整改追责”的业务管控要求,从业务源头上防范风险,及时揭示问题隐患,积极稳妥处置风险事件,切实发挥穿透式风险管理的作用,强化整改追责的责任意识,加强全面风险管理体系建设,完善内部控制体系,执行风险管理基本流程,不断自我评估与改进,使风险管理融入流程、制度,落实到岗位、固化于系统,成为自身经营、管理各个环节的有机组成部分。
1.1.7.2关于职能管理的风险防控要求要推进“健全体系、明晰责任、研判预警、督办整改”的职能闭环管理,切实发挥制度体系作用,落实管理责任,健全重大风险的应对策略,强化重大风险预警和报告机制,加强风险管理的监管和服务机制等措施,提升全员风险意识、推动内部控制体系的持续改进,提升系统性应对风险的能力。
1.2全面风险管理职责分工
1.2.1党委把方向、管大局、保落实,承担落实防范化解重大风险政治责任,健全风险研判机制、决策风险评估机制、风险防控协同机制、风险防控责任机制,进一步完善公司全面风险管理体系。对董事会审议风险管理事项按“三重一大”履行前置研究讨论。
1.2.2董事会定战略、作决策、防风险,推动完善风险管理体系、内部控制体系、合规管理体系,决定上述方面的重大事项,有效识别研判、推动防范化解重大风险,并对相关制度及其有效实施进行总体监控和评价。
董事会下设审计与风险委员会,作为董事会的专门工作机构,对董事会负责。审计与风险委员会指导公司风险管理体系、内部控制体系、合规管理体系建设,督导内部审计制度的制定及实施,并对相关制度及其执行情况进行检查和评估,为董事会决策提供咨询和建议。
董事会审议风险管理事项,具体包括:
1.2.2.1批准全面风险管理制度。
1.2.2.2检查指导风险管理体系的有效运行,了解和掌握企业面临的各项重大风险及其风险管理现状,做出有效控制风险的决策。
1.2.2.3审议公司年度重大风险管理计划、重大风险的管控要求并提出指导意见。
1.2.2.4批准公司全面风险管理年度报告、季度报告。
1.2.2.5审议风险管理策略和重大风险管理解决方案。
1.2.3公司经理层
谋经营、抓落实、强管理,就全面风险管理工作的有效性向董事会负责。组织全面风险管理的日常工作,组织拟订企业风险
管理组织机构设置及其职责方案。
1.2.4运营改善部是风险管理的综合管理部门,主要负责:
1.2.4.1全面风险管理体系建设的综合管理:推进完善风险管理体系,执行风险管理基本流程,推进风险管理、内部控制、体系管理工作的融合。
1.2.4.2全面风险管理工作计划的综合管理:组织编制全面风险管理年度工作计划并推进实施,组织编制全面风险管理年度报告、季度报告。
1.2.4.3公司重大风险管理的指导监督:组织识别、评估公司重大风险并明确责任单位,落实风险控制目标、预警机制和风险应对的责任体系,跟踪督促责任单位完善控制措施。
1.2.4.4子公司重大风险管理的指导监督:指导监督子公司识别评估重大风险并完善风险控制措施。
1.2.4.5公司内控体系建设的综合管理:策划、建设和优化公司内控体系,制(修)订内部控制手册。
1.2.4.6子公司内控体系建设的指导监督:指导监督子公司完善内控体系,制(修)订内部控制自我评估标准。
1.2.4.7推进经营风险事件报告体系建设:指导监督子公司完善经营风险事件报告体系,制(修)订公司经营风险事件报告工作办法,会同经营财务部细化经营风险事件报告标准,明确责任分工。
1.2.4.8推进规范贸易体系建设:指导子公司规范贸易业务
管理,完善贸易业务内控体系,健全集团外贸易管控长效机制。就公司经营活动中涉及的集团外贸易风险进行及时揭示、指导和监督,防范和化解公司贸易业务风险。
1.2.5公司各部门和各子公司(以下简称“本单位”)主要负责:
1.2.5.1在日常工作中执行风险管理基本流程,开展各项内部控制活动。开展本专业领域的风险识别、评估、应对和管理改进,把公司风险管理年度工作计划和重大风险管控要求,纳入本单位的重点工作实施推进。
1.2.5.2研究提出本单位重点风险的评估报告,提出风险应对策略和内部控制措施优化方案,执行公司确定的风险管控要求。
1.2.5.3建立重点风险的预警机制和应急预案,建立风险识别、预警和应对的长效机制。
1.2.5.4开展风险事件搜集、分析和整理工作,针对生产经营活动中的重大缺陷或重大风险事件,及时向公司报告,并执行公司有关决议。
1.2.5.5收集、编制本专业领域的风险管理和内部控制的相关案例,开展内部控制自评价,并根据内控自评价和审计监督发现的缺陷和问题,进行分析、整理、改进,完善内部控制标准。
1.2.5.6各子公司是本单位业务领域风险管理的第一责任者。必须指定专门机构负责全面风险管理工作,并配备专职(兼职)的风险管理人员,编制全面风险管理季度报告和年度报告,建立
向党委、董事会定期报告重大风险的工作机制,建立全面风险管理例会制度,检查推进计划的落实情况,研究解决推进过程中的重大事项和问题,同时交流风险管理工作的经验,实现信息共享。
1.2.5.6承担海外业务管理职责的部门和开展海外业务的子公司还要加强地缘政治风险、法律风险、人身安全风险、贸易摩擦风险、投资风险等重点领域的风险管控机制建设。
1.2.6投资规划部除承担1.2.5中的职责外,还要负责:
1.2.6.1推进投资规划管理体系建设,跟踪研究企业发展的内外部环境,策划、制定、评估和升级公司发展战略;推进投资管理体系建设,组织编制公司投资计划,组织投资后评价开展、指导和结果运用。就公司投资经营活动中涉及的战略风险、投资风险进行及时揭示、指导和监督,防范和化解公司战略风险、投资风险。
1.2.6.2把握国际形势变化,开展境外投资环境分析及风险提示,组织境外国别经济环境、国别产业状况的调研、咨询和评价工作。
1.2.7经营财务部除承担1.2.5中的职责外,还要负责:
1.2.7.1推进资金、负债、担保、委贷、融资、衍生品、税务、信用管理等体系建设,制定并完善财务管理制度,优化财务工作流程,建立健全财务风险预警机制,就公司投资经营活动中涉及的财务风险进行及时揭示、指导和监督,防范和化解公司资金风险、负债风险、担保风险、委贷风险、融资风险、税务风险、
信用风险、衍生品等风险。
1.2.7.2推动经营风险事件报告体系有效运行,建立健全经营风险事件台账、经营风险隐患持续排查机制和经营风险事件销号机制,督促业务部门加强对敏感性信息识别及预判预警,做到重大经营风险早发现、早报告、早处置。组织责任部门做好经营风险事件应对工作,并跟踪经营风险事件处置,防范和控制公司经营风险。
1.2.7.3推进产权管理、产权交易、资产评估、资本运作管理体系建设,制定并完善相关管理制度,就公司投资经营活动中涉及的产权交易风险、资产评估风险、资本运作风险、混合所有制改革风险进行及时揭示、指导和监督,防范和化解公司产权交易风险、资产评估风险、资本运作风险、混合所有制改革风险等。
1.2.8技术研究中心除承担1.2.5中的职责外,还要负责:
推进技术创新、知识产权体系建设,制定并完善相关管理制度,就公司投资经营活动中涉及的技术创新风险、知识产权保护风险进行及时揭示、指导和监督,防范和化解公司技术创新风险、知识产权风险等。
1.2.9法务与合规部除承担1.2.5中的职责外,还要负责:
推进法律事务、合规体系建设,制定并完善法律事务、合规管理方面的管理制度,提供法律服务,处置诉讼、仲裁案件等和指导子公司处置重大诉讼、仲裁案件等相关事务,就公司投资经营活动中涉及的法律风险、合规风险进行及时揭示、指导和监督,
防范和控制公司法律风险、合规风险。
1.2.10企业文化部除承担1.2.5中的职责外,还要负责:
推进公司全员诚信体系建设,制定并完善相关管理制度,落实意识形态工作责任制,将风险管理文化建设融入企业文化建设过程,强化合法合规的风险管理文化。就公司投资经营活动中涉及的品牌管理风险、意识形态风险、舆情风险进行及时揭示、指导和监督,防范和化解公司品牌管理风险、意识形态风险、舆情风险。
1.2.11安全保卫部除承担1.2.5中的职责外,还要负责:
推进公司安全(消防)管理、治安保卫管理、职业健康安全管理体系建设,制定并完善相关管理制度,配合政府部门对安全事故进行调查和处理,就公司投资经营活动中涉及的安全风险、职业健康风险进行及时揭示、指导和监督,防范和控制公司安全(消防)风险、治安保卫、职业健康风险。
1.2.12能源环保部除承担1.2.5中的职责外,还要负责:
推进公司能源管理、环境管理体系建设,制定并完善相关管理制度,组织环境事件调查,就公司投资经营活动中涉及的节能减排风险、环境保护风险进行及时揭示、指导和监督,防范和控制公司节能减排风险、环境保护风险。
1.2.13人力资源部除承担1.2.5中的职责外,还要参与组织开展风险管理和内部控制的培训事务。
1.2.14公司重大突发事件应急管理办公室(简称“应急办”)
是重大突发事件应急综合管理部门,除承担1.2.5中的职责外,还要负责:
1.2.14.1履行值守应急、信息汇总和综合协调职责,发挥运转枢纽作用。
1.2.14.2组织编制、修订公司《重大突发事件应急管理办法(总预案)》,组织审核专项应急预案,指导应急管理预案体系能力建设。
1.2.14.3协调重大突发事件的预防、预警、应急演练、应急处置、调查评估、信息发布、应急保障和宣传培训等工作。
1.2.15公司保密办公室除承担1.2.5中的职责外,还负责:
推进公司保密管理体系建设,制定并完善相关管理制度,就公司投资经营活动中涉及的保密风险进行及时揭示、指导和监督,防范和控制公司保密风险。
1.2.16公司维稳工作领导小组办公室、信访办公室(简称“维稳办”“信访办”)除承担1.2.5中的职责外,还要负责:
推进公司信访管理体系建设,制定并完善相关管理制度,就公司投资经营活动中涉及的稳定风险进行及时揭示、指导和监督,防范和控制公司稳定风险。
1.2.17纪检监督部(纪委)除承担1.2.5中的职责外,还要负责:
协助推进廉洁文化建设,围绕廉洁从业、尽责履职,制定并完善制度规范,就公司投资经营活动中涉及的廉洁风险进行及时
揭示、指导和监督;通过对监督执纪工作情况的系统深度分析,及时向公司相关职能及业务部门推送相应业务范围或管理领域的廉洁风险。
1.2.18审计部除承担1.2.5中的职责外,还要负责:
1.2.19.1对风险管理工作进行监督评价,可结合内部审计工作一体开展。
1.2.19.2对审计发现的重大缺陷或重大风险事项,及时向董事会(审计与风险委员会)和经理层报告。
1.2.19.3指导各子公司开展内部控制评价工作。
1.3风险控制的三道防线和基本策略
1.3.1构建风险管理“三道防线”
公司业务部门和各子公司作为风险防范的第一道防线,落实本单位业务领域风险管理的主体责任,切实承担业务风险防控的第一责任,积极发挥风险自我防范、健全管理制度、压实管理责任。
公司各职能部门和董事会下设的审计与风险委员会(侧重于风险)作为第二道防线,各职能部门要积极发挥监管和服务职能,侧重于厘清边界、明确规则、健全本专业职能管理制度。
公司审计部和董事会下设的审计与风险委员会(侧重于审计)作为第三道防线,审计部要发挥独立监督作用,将重大专项风险纳入相关审计项目监督重点,形成监督合力,提高监督效能。
1.3.2风险控制的基本策略
按照国资委《指引》中风险与收益的划分,风险控制进行分类管控,机会风险的管控主要依赖于完善的公司治理和科学的运营管理;纯粹风险的控制主要依赖于健全的内部控制和有效的应急管理。
1.3.2.1战略与投资风险控制
战略与投资风险是指资金到资产的决策过程中存在的不确定性,由于决策不可逆的特性,管控方式主要依赖于完善的公司治理、科学的决策机制,审慎经营,合理把握机会风险和风险控制的平衡,做到决策科学化和规范化。
1.3.2.2供应链风险控制
供应链风险是指资产到资金的增值过程中的不确定性,其管控方式主要依赖于科学有效的运营管理,及时预警,快速反应,建立供应链风险识别、预警和应对的长效工作机制。
1.3.2.3内部纯粹风险控制
内部纯粹风险的控制主要依赖于公司完整有效的内部控制体系,建立内部控制自我评估标准,通过自我评估,审计监督,不断完善制度流程,持续改进。
1.3.2.4外部纯粹风险控制
外部纯粹风险的防范主要依赖于公司应急预案管理体系和对突发事件的有效应对,需要定期监控演练,一旦发生风险,快速反应,减少损失,防范风险扩大产生次生风险。
1.4基本流程
依据《指引》,参考COSO企业风险管理框架以及结合公司实际,确定全面风险管理基本流程包括:
1.4.1风险识别:围绕公司经营目标,广泛收集公司外部因风险失控导致损失的案例和内部与风险管理有关的信息,结合各项业务管理及其重要业务流程,识别其中的风险,并就风险类别、产生原因、风险发生后可能给企业带来的影响等方面进行分析和描述。
1.4.2风险评估:对风险发生的可能性和风险发生后对经营目标的影响程度进行评估。根据评估结果,确定重大风险和重要风险,排列管理优先顺序。
1.4.3风险应对:确定重大风险和重要风险的归口管理部门或责任人,根据现有的管理条件和外部环境,制定各项风险管理策略和风险管理解决方案并组织实施。风险管理策略指确定风险偏好、风险承受度、风险控制预警线以及选择风险规避、风险降低、风险分担和风险承受等风险管理工具的总体策略;风险解决方案包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施、风险管理工具。
1.4.4风险管理的监督和改进。对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险解决方案的实施情况进行监督,对风险管理的有效性进行检验,提出改进建议,并跟踪整改情况;由各风险归口管理部门对风险管理工作进行自查和
检验,及时改进缺陷。
1.5重大、重点风险管理程序(重大风险管理流程见附件1)
1.5.1风险识别与评估
1.5.1.1(关键控制活动)年度重大风险的识别和评估根据企业战略和经营目标,结合上级单位年度风险管控要求,运营改善部组织各部门和各子公司开展企业内外部环境风险识别,结合各部门和各子公司的风险管理重点,进行排序,提出年度重大风险应对举措,明确风险主责单位,在此基础上编制全面风险年度工作计划,经公司党委会审议、董事会批准后下发执行。
1.5.1.2公司各部门重点风险的识别和评估结合三级风险目录清单(附件2),公司各部门结合各项业务管理及其重要业务流程,开展组织情景分析、风险分析及评估,识别其中的风险,并就风险类别、产生原因、风险发生后可能给企业带来的影响等方面进行分析和描述,编制重点风险实施/监测方案(附件3、4),风险评估结果可应用于本部门的各项制度、重点工作和项目策划等各项业务活动中,风险评估过程和结果予以保留文件化信息。
1.5.1.3各子公司重点风险的识别与评估结合三级风险目录清单,各子公司结合各项业务管理及其重要业务流程,开展组织情景分析、风险分析及评估,识别其中的风险,并就风险类别、产生原因、风险发生后可能给企业带来的影响等方面进行分析和描述,编制重点风险实施/监测方案(附
件3、4),风险评估结果可应用于本公司的各项制度、年度重点工作和项目策划等各项业务活动中,风险评估过程和结果予以保留文件化信息。
1.5.1.4各子公司年度重大风险的识别和评估各子公司应组织开展下一年度重大风险识别工作,根据本企业战略和经营目标,开展企业内外部环境风险识别,结合风险管理重点,进行排序,提出年度重大风险和应对举措,在此基础上编制全面风险年度工作计划,经本公司党委会审议、董事会批准后下发执行,并报公司运营改善部备案。
1.5.2(关键控制活动)风险应对及管控要求
1.5.2.1公司各重大风险主责单位按照全面风险管理工作计划的要求,将年度重大风险进一步细化为重点风险项目,纳入本单位的重点工作实施推进。
1.5.2.2各单位在重点风险项目推进的过程中,要制定风险应对预案,设置风险预警标准,落实风险管控责任,动态地对过程实施风险进行评估,监控风险信号的状态,对关键控制活动加强风险监控,采取适宜的风险控制策略和应对措施,有效控制、规避、转移风险,或是将风险可能导致的不良后果降低至可承受范围。
1.5.2.3对于重点风险项目,可组成重点风险项目团队推进,研究风险机理、风险预警及管控机制,形成重点风险管控策略及应对方案,并实施项目化推进。
1.5.2.4一旦发生重大/较大经营风险事项,各单位应及时响应处置,按照经营风险事件报告的有关规定,向公司经营财务部和公司应急办报告并执行应急处置,由应急办按要求向上级单位报告。
一旦发生重大突发事件,各子公司按照《重大突发事件应急管理办法(总预案)》(ZNGFZ14001)的规定,向公司应急办报告并执行应急处置,公司应急办按要求向上级单位报告。
事后,各单位应重新审视制度文件(含应急预案)和关键控制活动的有效性,并及时进行修订完善。
1.5.3风险状态的跟踪与报告
1.5.3.1(关键控制活动)季度报告
运营改善部牵头组织相关部门对重大、重点风险的状态进行跟踪评估(按要求填报附件3),编制全面风险管理季度报告,建立党委季度研究重大风险的工作机制,履行公司“三重一大”决策程序,并报送上级单位备案。
各子公司编制本公司全面风险管理季度报告,履行子公司“三重一大”决策程序,季度报告以及相关意见报公司运营改善部备案。
1.5.3.2(关键控制活动)年度报告
运营改善部牵头组织相关部门编制全面风险管理年度报告,履行公司“三重一大”决策程序。全面风险管理年度报告、内部控制评价报告经履行公司“三重一大”决策程序后,由运营改善
部会同审计部,将报告有关内容按上级单位要求形成公司内控体系工作报告后,报上级单位备案。
各子公司编制全面风险管理年度报告,履行子公司“三重一大”决策程序后上报公司运营改善部备案,年度报告主要内容包括上年度重大、重要风险的管控情况和风险管理职能建设情况,下年度预判的重大、重要风险以及全面风险管理年度工作计划。
1.5.3.3经营风险事件报告
公司构建各司其职、交叉验证的“四位一体”经营风险事件报告工作体系,包括业务运营监测、职能穿透监督、审计监督发现、基层自查上报。一旦发生较大/重大经营风险事件,各单位按照《重大经营突发事件报告处理程序(应急预案)》(ZNGFZ14006),以及经营风险事件报告的规定执行。
1.5.3.4重大突发事件报告
一旦发生重大突发事件,各单位按照公司《重大突发事件应急管理办法(总预案)》(ZNGFZ14001)的规定执行。
1.5.4风险持续改进要求
1.5.4.1各单位根据董事会决议及关注事项,组织开展后续改进工作。
1.5.4.2各单位根据重点风险评估、业务运营监测、职能穿透监督、审计监督发现和基层自查上报的报告事项,组织开展后续改进工作,以确保全面风险管理总体目标的实现。
1.5.4.3针对当年度内发生的重大风险隐患或重大风险事项,
有关单位要及时做好风险事件的整理和分析,以避免此类事件的再次发生。风险事件主要按照事件发生的时间、地点、现状以及可能造成的损失或影响,风险剖析、风险应对举措及效果、经验与启示等内容分析。
1.5.4.4同时要积极组织开展外部风险事件的收集,并进行整理和分析,以促进风险管理经验的积累。
1.6审计监督
1.6.1重大、重点风险的审计监督
审计部应每年对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价,可结合内部审计工作一体开展。
1.6.2内部控制的审计监督
1.6.2.1公司制定年度内部控制监督评价方案。
1.6.2.2公司及各子公司审计部根据年度审计项目计划开展监督,对内控缺陷进行汇总及认定。
1.6.3内部控制评价报告
1.6.3.1公司审计部根据年度内部控制评价结果,编制公司内部控制评价报告,经董事会批准后,将内部控制评价的主要结论提交运营改善部,以便持续改进并编制风险内控年度报告、履行上级单位报备程序。
1.6.3.2各子公司编制本单位内部控制评价报告,履行子公司“三重一大”决策程序。
1.7重点领域风险防控机制
1.7.1重大投资项目承诺机制在投资并购重大项目时,按照“责任共担、利益捆绑、收益共享”原则,实施与项目特点相配套的激励约束机制,原则上项目团队成员要签订履职承诺、业绩承诺、廉洁承诺,保障重大项目投后尽早达成预期目标。
1.7.2出资前再审视机制在投资并购出资前,对投资项目进行再次的全面评估,重点评估市场环境变化、项目投资回报等因素,甄别重大风险隐患,风险大或重大调整的项目启动相应再决策机制。
1.7.3子公司董事会风险防控工作机制规范设置子公司董事会专门委员会并有效运行。设置承担审计、风险管理职权的专门委员会,专门委员会按照公司章程规定和董事会授权履行职责,落实风险管控职权,专门委员会建立定期会议制度并有效运作。
1.7.4子公司董事会完善公司章程、董事会议事规则,进一步落实董事会风险管理相关权责,完善“三重一大”实施办法和重大事项决策权责清单,落实风险管理重大事项向党委报告制度,子公司董事会建立决议跟踪落实及后评估机制。
1.7.5未设董事会的子公司,以管理层或类似决策机构为风险防控责任主体,设立风险管理岗位或部门,制定涵盖风险识别、评估、应对、监控全流程的管理制度与流程,规范重大事项向党
委、上级单位报告流程。
1.7.6董事会典型风险案例季度报告机制策划季度典型风险案例的主题,重点围绕国资监管重点领域、风险事件高发频发的重点领域,开展“典型风险案例”的举一反三,压实归口管理部门的风险管控责任,对典型风险案例进行剖析,跟踪案件的处理过程和整改结果,提高整改和成果运用的效果。
1.7.7强化平台防风险机制利用关键业务平台和关键内控系统,推进专业管理服务和关键内控系统覆盖,寓管理于服务,把管控要求落实到流程,形成“业务+管理”网格化的风控特色,并充分利用大数据的手段,业务/职能部门经常沟通,从经营数据有效性的角度揭示风险,进一步提升主动发现和揭示风险的能力,把管控要求强化于监督,提升体系监督有效性。
1.8违规问责对于风险管理制度未执行或执行不力,对于经营投资重大风险未能及时分析、识别、评估、预警、应对和报告,造成国有资产损失或其他严重不良后果的,按照公司《违规经营投资责任追究实施办法》应当追究相应责任。
1.9安全、环保、维稳风险按照公司相关专业管理制度执行。
第二章内部控制管理
2.1内部控制管理概述
2.1.1本制度所称内部控制,是指由公司董事会、经理层和全体员工共同实施的、旨在合理保证实现控制目标、增强企业内部确定性以应对内外部风险的持续改善过程。
2.1.2内部控制目标是合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进公司实现发展目标。
2.1.3公司建立与实施内部控制,应当遵循下列原则:
2.1.3.1全面性原则。内部控制在层次上应当涵盖公司董事会、经理层和全体员工,在对象上应当覆盖公司各种业务和事项,在流程上应当贯穿决策、执行、监督、反馈全过程。
2.1.3.2重要性原则。内部控制应当在全面控制的基础上突出重点,关注重要业务、关键环节和高风险领域、高负债单元、高敏感岗位,尤其应重点审视人员、资金、合同等核心要素。
2.1.3.3制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
2.1.3.4成本效益原则。内部控制应当合理权衡实施成本与预期效益,争取以适当的成本实现有效控制。
2.1.3.5适应性原则。内部控制应当以风险为导向,与公司
经营规模、业务范围、竞争状况、风险水平等相适应,并随着公司外部环境、经营业务、管理要求等情况变化及时加以调整。
2.1.4公司建立和实施有效的内部控制,应当包括下列要素:
2.1.4.1内部环境。内部环境是影响、制约公司内部控制建立与执行的各种内部因素的总称,是公司实施内部控制的基础。内部环境一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
2.1.4.2风险评估。风险评估是公司及时识别、科学分析和评估影响公司实现内部控制目标的相关风险并合理确定风险应对策略的过程。
2.1.4.3控制活动。控制活动是公司根据风险评估结果,采用相应的控制措施将风险控制在可承受度之内,是实施内部控制的具体方式。
2.1.4.4信息与沟通。信息与沟通是公司及时、准确地收集、传递与内部控制相关的信息,确保信息在公司内部、公司与外部之间进行有效沟通。
2.1.4.5内部监督。内部监督是公司对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
2.1.4公司鼓励各责任单位将实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。
2.2内部控制管理职责分工
2.2.1党委负责全面领导内控管理,定期听取和审议公司内控管理有关工作。
2.2.2董事会负责内部控制的建立健全和有效实施,落实董事会及审计与风险管理专门委员会内控监督管理责任,批准发布内部控制评价报告,批准选择第三方外部会计师事务所,批准向上级单位提交公司内控体系工作报告。
2.2.3经理层负责内部控制的日常运行,有效实施内部控制。公司和各子公司主要领导人是本单位内部控制体系监管工作第一责任人,负责组织领导建立健全覆盖各业务领域、部门、岗位,涵盖各级子公司全面有效的内部控制体系。
2.2.4运营改善部是推进内控体系建设的综合管理部门,加快构建“以制度有效运行为核心的公司治理体系”,持续完善“全面覆盖、职责清晰、各负其责、评估改善”的内控体系,充分发挥内控职能部门的统筹推动、组织协调作用,主要负责:
2.2.4.1组织公司各单位建立和实施内部控制,推进内部控制体系能力建设,推进风险、内控、合规、审计等专业体系融合共建。
2.2.4.2完善制度文件体系,优化制度管理平台,组织修编制度文件,做好管理文件(标准)综合审查管理。
2.2.4.3优化部门职责分工,组织部门职责评估梳理,推动部门职责落实到岗位。
2.2.4.4组织修编经营投资纪律。
2.2.4.5组织修编公司内部控制手册、公司内部控制自我评估标准,制定内控缺陷评估标准。
2.2.4.6组织编制专项整治计划,督促责任部门开展专项整治。
2.2.4.7组织根据上级部门要求编制内控体系工作报告。
2.2.5审计部是内部控制的监督评价部门,充分发挥内控职能部门的监督落实作用,主要负责:
2.2.5.1牵头制定公司年度内部控制监督评价方案;组织公司内部控制评审;对子公司的内部控制评价工作进行指导和监督。综合公司和各子公司内控评审结果,编制公司年度内控评价报告。
2.2.5.2对典型性、普遍性内控缺陷进行梳理与分析,编制材料发送相关单位,揭示存在问题,提出改进建议,促进其完善内部控制、及时堵塞漏洞、防范风险,加强内控监督评价成果运用。
2.2.5.3结合内控监督评价,探索子公司内控体系有效性评价,以评促建提升子公司内控体系能力。
2.2.5.4推进审计、巡察监督和职能监督协同联动,指导支撑各部门开展专项整治。
2.2.5.5将公司内部控制评价报告按程序上报公司董事会审议。
2.2.5.6对内控缺陷整改情况实施督促检查。
2.2.6公司办公室(党委办公室)负责党群制度类公文、行
政制度类公文的综合审查管理。
2.2.7人力资源部负责完善人员岗位说明书、岗位交接培训管理。
2.2.8法务与合规部负责组织外规内化评估,牵头制定外规有关禁令条款,组织开展制度合规、合同合规、决策合规审核,牵头开展子公司制度合规执行检查。
2.2.9纪检监督部(纪委)按照“党内监督主导,职能监督贯通协调”的工作要求,监督推动和不断完善监督协同机制。
2.2.10公司各部门及各子公司是内部控制的具体实施单位,主要负责:
2.2.10.1对国家相关法律法规、监管机构要求进行持续跟踪。建立和实施本单位的内部控制,并确保其有效运行,持续改善。
2.2.10.2各子公司编制内控体系建设报告和内控评价报告,并报公司。
2.2.10.3公司各部门落实内部控制评价相关任务,接受审计部开展的监督评价;各子公司组织实施内部控制评审工作,接受审计部开展的监督评价。按照外部监管要求接受第三方外部审计机构独立审计。
2.2.10.4对发现的内部控制缺陷,制定整改措施、推进计划并组织落实和持续跟踪。
2.2.10.5按照内控管理要求,配合内控职能部门落实有关工
作。
2.3内部环境基本规范
2.3.1公司应当根据国家有关法律法规和公司章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。
2.3.2公司应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。
2.3.3公司应当通过编制内部控制手册、内部控制自我评估标准、风险管理及内部控制案例等内部控制文档,帮助公司全体员工了解和掌握公司制度、岗位职责、关键控制点,促进公司员工明确职责分工和工作流程,正确行使职权。
2.3.4公司应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计工作,对内部控制的有效性进行监督评价。
2.3.5公司应当制定和实施有利于公司可持续发展的人力资源政策。人力资源政策应当包括:员工的聘用、培训、辞退与辞职;员工的薪酬、考核、晋升与奖惩;关键岗位员工的强制休假制度和定期岗位轮换制度;掌握国家秘密或重要商业秘密的员工离岗的限制性规定;有关人力资源管理的其他政策。
2.3.6公司应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。
2.3.7公司应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。
2.3.8公司应当加强法治教育,增强董事、经理及其他高级管理人员和员工的法治观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。
2.4风险评估基本规范
2.4.1公司应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。
2.4.2公司开展风险评估,应当准确识别实现与控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受度是公司能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。
2.4.3公司识别内部风险,应当关注下列因素:
2.4.3.1董事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。
2.4.3.2组织机构、经营方式、资产管理、业务流程等管理因素。
2.4.3.3研究开发、技术投入、信息技术运用等自主创新因素。
2.4.3.4财务状况、经营成果、现金流量等财务因素。
2.4.3.5营运安全、员工健康、环境保护等安全环保因素。
2.4.3.6其他有关内部风险因素。
2.4.4公司识别外部风险,应当关注下列因素:
2.4.4.1经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。
2.4.4.2法律法规、监管要求等法律因素。
2.4.4.3安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
2.4.4.4技术进步、工艺改进等科学技术因素。
2.4.4.5自然灾害、环境状况等自然环境因素。
2.4.4.6其他有关外部风险因素。
2.4.5公司应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的重大和重要风险。
2.4.6公司应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。
2.4.7公司应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给公司经营带来重大损失。
2.4.8公司应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。
2.4.8.1风险规避是公司对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。
2.4.8.2风险降低是公司在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。
2.4.8.3风险分担是公司准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。
2.4.8.4风险承受是公司对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
2.4.9公司应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
2.5控制活动基本规范
2.5.1公司应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
2.5.2不相容职务分离控制,要求公司全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。
2.5.3授权审批控制,要求公司根据常规授权和特别授权的
规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
2.5.3.1公司应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。常规授权,是指公司在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权,是指公司在特殊情况、特定条件下进行的授权。
2.5.3.2公司各级管理人员应当在授权范围内行使职权和承担责任。
2.5.3.3公司对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。
2.5.4会计系统控制,要求公司严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计信息真实完整。
2.5.5财产保护控制,要求公司建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。公司应当严格限制未经授权的人员接触和处置财产。
2.5.6预算控制,要求公司实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
2.5.7运营分析控制,要求公司建立运营情况分析制度,经
理层应当综合运用生产、购销、投资、融资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
2.5.8绩效考评控制,要求公司建立和实施绩效考评制度,科学设置考核指标体系,对公司内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
2.5.9公司应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。
2.5.10公司应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
2.6信息与沟通基本规范
2.6.1公司应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息的及时沟通,促进内部控制有效运行。
2.6.2公司应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。
2.6.2.1公司可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。
2.6.2.2公司可以通过行业协会组织、社会中介机构、业务
往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。
2.6.3公司应当将内部控制相关信息在公司内部各管理级次、责任单位、业务环节之间,以及公司与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。重要信息应当及时传递给董事会和经理层。
2.6.4公司应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
2.6.5公司应当建立有效的内部沟通渠道,实现所需内部信息、外部信息在公司内部的准确、及时传递和共享,确保董事会、经理层和公司员工之间沟通的有效。
2.6.6公司应当建立良好的外部沟通渠道,记录、处理及反馈外部有关方面的建议、投诉和收到的其他信息。
2.6.7公司应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报
告和补救程序。公司至少应当将下列情形作为反舞弊工作的重点:
2.6.7.1未经授权或者采取其他不法方式侵占、挪用公司资产,牟取不当利益。
2.6.7.2在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。
2.6.7.3董事、经理及其他高级管理人员滥用职权。
2.6.7.4相关单位或人员串通舞弊。
2.6.8公司应当建立举报投诉制度和举报人保护制度,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为公司有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。
2.7内部监督基本规范
2.7.1内部监督分为日常监督和专项监督。
2.7.1.1日常监督,是指公司对建立与实施内部控制的情况进行常规、持续的监督检查。
2.7.1.2专项监督是指在公司发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。
2.7.2内部控制缺陷,是指公司经理层或员工在正常履行经营管理职责的过程中,按照现存内部控制的设计或运行,仍不能及时防止或发现舞弊和错报的事实。内部控制缺陷按其影响程度从大到小可分为重大缺陷、重要缺陷和一般缺陷。对监督检查中
发现的重大缺陷应及时向经理层及董事会汇报,重要缺陷应至少向经理层汇报。分类原则如下(内部控制缺陷评估标准见附件5):
2.7.2.1重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。
2.7.2.2重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致公司偏离控制目标。
2.7.2.3一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
2.7.3公司应当分析内部控制缺陷产生的原因,有针对性地提出和实施整改方案,并对整改结果进行核查和确认,不断健全和完善公司内部控制。
2.7.4公司应当跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任单位或者责任人的责任。
2.7.5公司结合内部监督情况,定期对内部控制情况进行监督评价,出具年度报告并报董事会审批。
2.7.6公司应当以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。
2.8内控设计有效性关键控制活动
2.8.1制度文件体系
2.8.1.1制度文件体系是具有长期管控约束的规范性文件
集合,包括公司管理文件(标准)、党群制度类公文、行政制度类公文以及各单位内部制度文件。
2.8.1.2运营改善部负责制度文件体系的综合管理,持续优化规范化制度文件体系,严控制度文件总量,负责公司管理文件(标准)综合审查管理。
2.8.1.3公司办公室(党委办公室)负责党群制度类公文、行政制度类公文的综合审查管理。
2.8.1.4各部门是本领域制度文件全面性、合理性、可行性的责任部门,明确专业管理领域的职责分工、管控要求、运作流程,不得以临时性的联络件代替制度文件发布长期管控要求。各单位负责本单位内部制度文件体系建设和管理。
2.8.1.5各子公司应建立适应本单位实际的制度文件体系,有效承接上级单位管理要求。
2.8.2部门岗位职责
2.8.2.1部门岗位职责是部门及相应岗位所承担的具体职责和任务。
2.8.2.2运营改善部定期组织开展部门职责评估梳理,按需更新发布部门职责。
2.8.2.3运营改善部会同人力资源部、法务与合规部,定期组织开展公司岗位职责辨识,形成关键内控合规岗位控制表,推动关键内控合规岗位控制表上线展示、动态维护,促进部门职责转化落实到全体岗位、人员。
2.8.2.4人力资源部负责完善人员岗位说明书管理,推动各部门人员岗位调整与关键内控合规岗位控制表刚性联动。
2.8.2.5各部门应按照职责分工履职尽责。如存在部门职责不清或对部门职责有异议的,各部门应优先主动担当、积极协同,并将有关情况反馈运营改善部。
2.8.2.6各子公司应持续完善本单位部门岗位职责,明确职责分工,提高工作效率。
2.8.3经营投资纪律
2.8.3.1经营投资纪律是经营投资行为的红线底线,公司执行集团公司《关于更新发布〈经营投资纪律〉的通知》(宝武字〔2025〕221号),作为公司管理要求和问责追究的重要依据。公司及各子公司应做好经营投资纪律宣贯与承接,严格落实各项禁令。
2.8.4公司内控手册和内控评估标准
2.8.4.1公司内控手册、内控评估标准既作为各单位建设内控体系能力的抓手和管控要求,也可作为各单位进行内控自评价、审计监督评价、会计师事务所外部鉴证的重要参考依据。(内部控制体系能力评价表,详见附件6,内部控制文档编制工作细则,详见附件7)
2.8.4.2运营改善部原则上定期组织修订公司内控手册和内控评估标准,各部门按照职责分工配合落实。
2.9合规执行有效性关键控制活动
2.9.1制度管理平台
2.9.1.1制度管理平台是制度文件全生命周期管理展示制度文件穿透监管的信息化系统,能够促进内控要求高效传递与承接。
2.9.1.2运营改善部牵头制度管理平台管理,推动制度平台覆盖至末级经营单元,加快实现制度文件上下贯通联动。
2.9.1.3各部门是本部门制度文件管理的责任部门,提出制度文件上下联动规则建议,检查有关制度文件展示与联动成效。
2.9.1.4各子公司负责落实制度管理平台覆盖至末级经营单位,实现制度文件上下贯通联动。
2.9.2制度合规执行
2.9.2.1制度合规执行是指各单位按照外部要求转化形成本单位管理要求并有效执行的控制过程。
2.9.2.2各部门是本专业领域外规内化和制度有效执行的责任部门,负责督促指导各子公司及时完成本领域合规管理的制度转化工作。
2.9.2.3法务与合规部定期组织开展外规内化评估,检查上位要求转化落实到制度的情况,提供制度文件审核意见;在制度执行过程中,组织开展合同合规审核、决策合规审核;通过组织签订重点领域、重点人员合规承诺,促进制度合规执行。
2.9.2.4各子公司应定期评估制度合规执行情况,配合开展制度合规执行检查。
2.9.3岗位交接培训
2.9.3.1岗位交接培训是指在岗位人员调整过程中做好岗位工作交接并及时做好相应培训,避免因人员流动造成内控失效。
2.9.3.2人力资源部负责规范人员调动交接管理,组织开展岗位交接应知应会培训。
2.9.3.3各子公司应做好人员调动交接管理,及时开展岗位交接应知应会培训。
2.9.4各子公司内控体系建设
2.9.4.1子公司内控体系建设是指各子公司全面提升内部控制设计和运行有效性的持续改善过程。
2.9.4.2子公司应加强内控组织体系。各子公司原则上按照内控体系建设与监督相分离原则,明确本单位内控体系建设牵头部门和内控监督部门,明确本单位内控体系建设职责分工,推动内控责任向业务、向基层传导。
2.9.4.3子公司应报送内控工作报告。各子公司每年初报送上年度内控体系建设工作情况报告至运营改善部。运营改善部根据要求报送至上级单位。
2.10监督约束有效性关键控制活动
2.10.1监督协同机制
2.10.1.1监督协同机制是指相互合作、相互配合,共同实现监督管理,有利于整合监督力量,避免多头监督、重复监督,提升监督效能。
2.10.1.2运营改善部结合高负债单元、高风险领域、高敏感岗位,以及重要岗位和关键人员、重点领域和关键环节等,组织开展专项整治活动。
2.10.1.3各部门加强本部门制度执行的监督检查,按要求实施专项整治,并将专项整治报告抄送运营改善部。
2.10.1.4审计部(党委巡察办)加快推进审计、巡察监督和职能监督协同联动,指导支撑各部门开展专项整治。
2.10.1.5纪检监督部(纪委)建立大监督协同机制,定期组织监督情况通报会商,促进信息及时共享,组织定期会商研究,提出监督协同重点领域意见建议。
2.10.1.6各有关部门依规依纪依法进行责任追究处理。
2.10.2业务内控信息系统
2.10.2.1公司各类业务管理信息系统和职能管理信息系统,能够支撑公司实现重点领域业务风险隔离,支撑公司实现穿透监管。
2.10.2.2运营改善部会同相关部门确定在用、拟投建的业务内控信息系统清单,推动信息系统建设与覆盖,推动信息系统功能完善。
2.11评价改进有效性关键控制活动
2.11.1内控评价
2.11.1.1内控评价是对内控体系设计和运行有效性形成综合评价结论、出具评价报告的过程。履行内控监督评价的部门应
当具有良好的独立性。
2.11.1.2审计部将各项制度文件执行情况纳入其审计工作范围,每年度组织各单位开展自评并组织开展内控监督评价。
2.11.1.3审计部对典型性、普遍性内控缺陷进行梳理与分析,编制材料发送相关业务/职能部门及子公司,揭示存在问题,提出改进建议,促进其完善内部控制、及时堵塞漏洞、防范风险,加强内控监督评价成果运用。
2.11.2制度文件修编
2.11.2.1制度文件修编是完善内控设计有效性的改进过程。
2.11.2.2运营改善部定期组织编制发布公司年度制度树,做好制度文件“立改废转”,解决制度覆盖空白区、重叠区,打通流程堵点、痛点、难点,持续提升运行规范性和运行效率。
2.11.2.3各部门根据专业管理体系运行管理要求,结合内控监督评价发现的问题与改进建议,提出制度文件年度修编计划安排。
2.12附则
2.12.1本制度中对于内部控制评价报告的对外披露和由第三方会计师事务所出具审计报告等相关事项,将根据国家有关部门、监管机构的统一要求和各单位实际情况逐步推进。
2.12.2对于本制度附件中重大缺陷、重要缺陷和一般缺陷在各方面的评估标准,各单位可结合自身情况进行进一步明确和细化。
附件:1.重大风险管理流程
2.三级风险目录清单
3.重点风险实施/监测方案(模板)
4.风险分类监测指标体系表
5.内部控制缺陷评估标准
6.内部控制体系能力评价表
7.内部控制文档编制工作细则
附件1:
附件2:
中南股份三级风险目录清单
| 一级风险 | 二级风险 | 三级风险 | 责任部门 |
| 1.战略与投资风险 | 1.1投资风险 | 投资决策风险 | 投资规划部 |
| 投资实施风险 | 投资规划部 | ||
| 投资中止退出风险 | 投资规划部 | ||
| 1.2政策风险 | 投资规划部 | ||
| 1.3国际化经营风险 | 境外投资风险 | 投资规划部 | |
| 国际工程承包风险 | 投资规划部 | ||
| 海外市场开拓风险 | 投资规划部 | ||
| 1.4战略管理风险 | 战略规划风险 | 投资规划部 | |
| 战略实施风险 | 投资规划部 | ||
| 战略调整风险 | 投资规划部 | ||
| 1.5宏观经济风险 | 投资规划部 | ||
| 1.6产业结构风险 | 投资规划部 | ||
| 1.7公司治理风险 | 运营改善部 | ||
| 1.8组织结构风险 | 运营改善部 | ||
| 1.9集团管控风险 | 运营改善部 | ||
| 1.10资源保障风险 | 投资规划部 | ||
| 1.11业务合作伙伴风险 | 业务合作伙伴关系风险 | 投资规划部 | |
| 业务合作伙伴信用风险 | 投资规划部 | ||
| 2.财务与运营风险 | 2.1现金流风险 | 融资风险 | 经营财务部 |
| 资金短缺风险 | 经营财务部 | ||
| 债务风险 | 经营财务部 | ||
| 应收/预付账款风险 | 经营财务部 | ||
| 2.2资金管理风险 | 资金使用风险 | 经营财务部 | |
| 资金安全风险 | 经营财务部 | ||
| 2.3预算管理风险 | 预算编制风险 | 经营财务部 | |
| 预算执行风险 | 经营财务部 | ||
| 预算考核风险 | 经营财务部 | ||
| 2.4会计与报告风险 | 会计核算风险 | 经营财务部 | |
| 财务报告风险 | 经营财务部 | ||
| 2.5担保风险 | 经营财务部 | ||
| 2.6税务管理风险 | 税务操作风险 | 经营财务部 | |
| 税务筹划风险 | 经营财务部 | ||
| 税金缴纳风险 | 经营财务部 | ||
| 2.7关联交易风险 | 经营财务部 | ||
| 2.8衍生品交易风险 | 经营财务部 | ||
| 2.9汇率利率风险 | 经营财务部 | ||
| 2.10市场风险 | 盈利能力风险 | 营销中心 | |
| 竞争风险 | 营销中心 |
| 一级风险 | 二级风险 | 三级风险 | 责任部门 |
| 价格风险 | 营销中心 | ||
| 市场供求风险 | 营销中心 | ||
| 市场营销风险 | 营销中心 | ||
| 行业前景风险 | 营销中心 | ||
| 市场分布风险 | 营销中心 | ||
| 市场开发风险 | 营销中心 | ||
| 2.11客户风险 | 客户信用风险 | 营销中心 | |
| 客户关系维护风险 | 营销中心 | ||
| 客户商业模式风险 | 营销中心 | ||
| 2.12技术风险 | 技术变革风险 | 技术研究中心 | |
| 技术停滞落后风险 | 技术研究中心 | ||
| 技术引进风险 | 技术研究中心 | ||
| 技术创新风险 | 技术研究中心 | ||
| 2.13产品与研发风险 | 产品结构/规划风险 | 技术研究中心 | |
| 产品生命周期风险 | 制造管理部 | ||
| 产品质量风险 | 制造管理部 | ||
| 产品研发风险 | 技术研究中心 | ||
| 技术研发风险 | 技术研究中心 | ||
| 2.14运营风险 | 存货风险 | 经营财务部 | |
| 招标违规/采购风险 | 法务与合规部/采购业务部门 | ||
| 业务伙伴风险 | 营销中心 | ||
| 业务模式风险 | 营销中心 | ||
| 业务系统风险 | 运营改善部 | ||
| 业务转型风险 | 营销中心 | ||
| 生产管理风险 | 制造管理部 | ||
| 物流管理风险 | 物流部 | ||
| 贸易风险 | 运营改善部 | ||
| 销售渠道风险 | 营销中心 | ||
| 产品交付风险 | 营销中心 | ||
| 2.15工程项目管理风险 | 工程设计风险 | 投资规划部 | |
| 工程造价风险 | 投资规划部 | ||
| 工程概预算风险 | 投资规划部 | ||
| 工程招投标风险 | 投资规划部 | ||
| 工程分包风险 | 投资规划部 | ||
| 工程进度风险 | 投资规划部 | ||
| 工程质量风险 | 投资规划部 | ||
| 工程安全风险 | 安全保卫部 | ||
| 工程竣工风险 | 投资规划部 | ||
| 3.金融与并购风险 | 3.1改组改制及混合所有制改革风险 | 经营财务部 | |
| 3.2并购风险 | 估值与定价风险 | 经营财务部 |
| 一级风险 | 二级风险 | 三级风险 | 责任部门 |
| 尽职调查风险 | 经营财务部 | ||
| 执行与整合风险 | 经营财务部 | ||
| 3.3资本运作风险 | 经营财务部 | ||
| 3.4信托风险 | 经营财务部 | ||
| 3.5供应链风险 | 营销中心 | ||
| 3.6证券风险 | 经营财务部 | ||
| 3.7基金风险 | 经营财务部 | ||
| 3.8融资租赁风险 | 经营财务部 | ||
| 3.9退市风险 | 经营财务部 | ||
| 4.法务与管制风险 | 4.1合同管理风险 | 法务与合规部 | |
| 4.2法律纠纷风险 | 法务与合规部 | ||
| 4.3合规管理风险 | 法务与合规部 | ||
| 4.4知识产权风险 | 技术研究中心 | ||
| 4.5重大决策法律风险 | 法务与合规部 | ||
| 4.6审计风险 | 审计计划风险 | 审计部 | |
| 审计执行风险 | 审计部 | ||
| 审计报告风险 | 审计部 | ||
| 4.7人力资源风险 | 人力资源规划风险 | 人力资源部 | |
| 招聘与留任风险 | 人力资源部 | ||
| 人员配置风险 | 人力资源部 | ||
| 关键人才流失风险 | 人力资源部 | ||
| 人才储备风险 | 人力资源部 | ||
| 培训与发展风险 | 人力资源部 | ||
| 绩效考核风险 | 人力资源部 | ||
| 薪酬与福利风险 | 人力资源部 | ||
| 劳动关系管理风险 | 人力资源部 | ||
| 5.舆情与维稳风险 | 5.1突发事件管理风险 | 公司办公室/对口责任部门 | |
| 5.2稳定风险 | 公司办公室 | ||
| 5.3社会责任风险 | 企业文化部 | ||
| 5.4企业文化风险 | 企业文化建设风险 | 企业文化部 | |
| 廉洁建设风险 | 纪检监督部(纪委) | ||
| 职业道德风险 | 企业文化部 | ||
| 5.5公共关系风险 | 媒体关系风险 | 企业文化部 | |
| 舆情危机沟通风险 | 企业文化部 | ||
| 社会舆情风险 | 企业文化部 | ||
| 5.6品牌与声誉风险 | 品牌策略风险 | 企业文化部 | |
| 品牌推广及维护风险 | 企业文化部 | ||
| 声誉风险 | 企业文化部 | ||
| 6.安全与环保风险 | 6.1健康安全环保风险 | 安全生产风险 | 安全保卫部 |
| 职业健康风险 | 安全保卫部 | ||
| 环境保护风险 | 能源环保部 |
| 一级风险 | 二级风险 | 三级风险 | 责任部门 |
| 节能减排风险 | 能源环保部 | ||
| 6.2信息系统风险 | 信息系统安全风险 | 运营改善部 | |
| 信息系统规划风险 | 运营改善部 | ||
| 信息系统架构风险 | 运营改善部 | ||
| 信息系统运行风险 | 设备管理部 | ||
| 6.3保密风险 | 公司办公室 |
附件3:
重点风险实施/监测方案(模板)
一、基本信息风险名称:风险类别:
牵头单位:配合单位:
主管领导:
二、风险描述
1.风险产生的原因:
2.风险评估的结果:
风险发生的可能性(较低、低、中、高、较高)风险发生对经营的影响程度(低、一般、较严重、严重)
三、管理体系(项目团队、职责分工)
四、管控要求(定义、管控要点)
五、应对处置方案(应急预案)
六、推进机制(定期督导并落实)
七、跟踪机制(定期检查应对进展和成效)
八、监测方案
1.风险监测指标(先行指标、日常管理指标和关键风险指标三类)、预警标准(预警等级、预警等级范围)。
2.预警机制(预警发布、预警解除),重点风险管理部门常态化预警发布、日常风险监测报告。
3.一旦发生风险预警,根据预警等级启动分级预案,及时发布、报告预警,并开展本业务领域的风险应对工作。
附件4:
风险分类监测指标体系表填报单位:填报时间:20年月日填报人:联系方式:
| 一级风险 | 二级风险 | 风险监测预警指标 | 期末 | 季度增加额 | 季度同比增减率 | 季度环比增减率 | 具体情况说明 | 是否为年度前五项重大风险 | 备注 | 责任部门 | |
| 战略风险 | 宏观经济风险 | 国内外宏观经济形势变化 | - | - | - | - | 营销中心、投资规划部 | ||||
| 政策风险 | 国家及行业政策变化 | - | - | - | - | 投资规划部 | |||||
| 国际化经营风险 | 被美国列入“实体清单”影响的子企业数量(个) | 投资规划部 | |||||||||
| 境外中高风险地区境外资产总额 | 金额(万元) | 经营财务部 | |||||||||
| 占资产总额比重(%) | |||||||||||
| 境外重大建设项目逾期数量(个) | 投资规划部 | ||||||||||
| 汇率损失金额(万元) | 经营财务部 | ||||||||||
| 境外重大法律诉讼案件 | 数量(个) | 法务与合规部 | |||||||||
| 涉案金额(万元) | |||||||||||
| 境外重大合规案件(如被世行禁止参与投标、境外腐败) | 数量(个) | 法务与合规部、纪委 | |||||||||
| 涉案金额(万元) | |||||||||||
| 改革与业务转型风险 | 主要业务板块收入(钢铁业) | 金额(万元) | 经营财务部 | ||||||||
| 占总收入比重(%) | |||||||||||
| 科技创新风险 | 研发投入 | 金额(万元) | 技术研究中心 | ||||||||
| 占总收入比重(%) | |||||||||||
| 重大科技项目逾期数量(个) | |||||||||||
| 财务风险 | 金融及金融衍生品业务风险 | 衍生品盈亏金额(万元) | 经营财务部 | ||||||||
| 对外担保业务违约事项 | 数量(个) | ||||||||||
| 金额(万元) | |||||||||||
| 融资租赁业务违约项目 | 数量(个) | 经营财务部 | |||||||||
| 金额(万元) | |||||||||||
| 债券、股票质押回购违约项目 | 数量(笔) | ||||||||||
| 金额(万元) | 经营财务部 | ||||||||||
| 信托业务违约项目 | 数量(个) | 经营财务部 | |||||||||
| 金额(万元) | |||||||||||
| 保理业务违约项目 | 数量(个) | ||||||||||
| 一级风险 | 二级风险 | 风险监测预警指标 | 期末 | 季度增加额 | 季度同比增减率 | 季度环比增减率 | 具体情况说明 | 是否为年度前五项重大风险 | 备注 | 责任部门 | ||
| 金额(万元) | ||||||||||||
| 上市公司相关风险 | 市值管理风险(本级及下属单位上市公司的市值低于净资产的企业个数) | |||||||||||
| 摘牌退市风险(本级及下属单位上市公司触及摘牌或退市条件的企业个数) | ||||||||||||
| 债务风险 | 流动比率(%) | 经营财务部 | ||||||||||
| 资产负债率(%) | ||||||||||||
| 现金流风险 | 现金流动负债比率(%) | |||||||||||
| 两金(应收账款和存货)总额 | 金额(万元) | |||||||||||
| 占流动资产比重(%) | ||||||||||||
| 市场风险 | 市场竞争风险 | 主要产品价格下降(螺纹、碳钢热轧、冷轧、中板、电工钢等五项) | 数量(个) | 营销中心 | ||||||||
| 最大降幅(%) | ||||||||||||
| 主要产品市场占有率下降(螺纹、碳钢热轧、中板、冷轧、电工钢) | 数量(个) | |||||||||||
| 最大降幅(%) | ||||||||||||
| 客户信用风险 | 账龄三年及以上的应收账款 | 金额(万元) | 经营财务部 | |||||||||
| 占应收账款比重(%) | ||||||||||||
| 逾期应收账款 | 金额(万元) | |||||||||||
| 占应收账款比重(%) | ||||||||||||
| 运营风险 | 经营效益风险 | 亏损子企业 | 数量(户) | |||||||||
| 金额(万元) | ||||||||||||
| 投资风险 | 非主业项目投资 | 金额(万元) | 投资规划部 | |||||||||
| 占总投资额比重(%) | ||||||||||||
| 年度投资计划完成率(%) | ||||||||||||
| 安全、环保、质量风险 | 重大安全生产事故数量(个) | 安全保卫部 | ||||||||||
| 重大及以上突发环境事件数量(个) | 能源环保部 | |||||||||||
| 舆情风险 | 重大舆情事件数量(个) | 企业文化部 | ||||||||||
| 采购与供应链管理风险 | 出现重要物资断供 | 营销中心/设备管理部等采购业务部门 | ||||||||||
| 工程项目管理风险 | 境内重大建设项目逾期数量(个) | 投资规划部 | ||||||||||
| 法律风险 | 合规风险 | 重大监管处罚数量(个) | 法务与合规部 | |||||||||
| 境内重大法律诉讼案件 | 数量(个) | |||||||||||
| 涉案金额(万元) | ||||||||||||
| 其他风险 | 其他对企业经营发展造成重大影响的风险 | 各部门 | ||||||||||
填报说明:
1.本表于每季度完结后10个工作日内上报。
2.重大建设项目是指境内项目投资额在5000万元人民币以上(含)、境外项目投资额在1亿美元以上(含)的项目。
3.主要业务板块是指公司营业总收入排名前5位的业务板块,主要产品是指对公司利润贡献排名前5位的产品。
4.重大科技项目是指通过国家认定的重大科技项目。
5.金融及金融衍生品业务中衍生品盈亏金额以集团为单位统计,衍生品盈亏=本年度已实现盈亏+浮动盈亏;对外担保业务违约金额包括本金、利息及其他费用等资金代偿;融资租赁只统计融出业务;信托业务包括信托投资和设立信托业务。
6.重大案件是指涉案金额5000万元人民币以上(含)的案件。
7.重大监管处罚是指被司法机关或监管机构立案调查,主要资产被查封、扣押、冻结或企业面临行政处罚,对企业正常生产经营造成重大影响(涉案金额或勒令停产损失超过5000万元人民币)。
8.重大舆情事件是指被境内或境外媒体网络刊载,造成重大负面舆情影响的事件。
9.“汇率损失金额”“主要业务板块收入”“研发投入”“衍生品盈亏金额”“年度投资计划完成率”等区间值如何填写?
10.营业收入、应收账款、资产总额等资产经营数据原则上以季度末,但在规定时间内未提供快报数据,可以季度末上一个月数据为参考。
附件5:
内部控制缺陷评估标准
| 目标 | 合法合规 | 资产安全 | 财务报告及相关信息真实完整 |
| 重大缺陷 | 由于违反法律法规,可能导致政府和监管机构的调查、引起诉讼并伴随着罚款或损失的金额×年度发生频率大于等于财务报告重要性水平,或其他等效影响程度 | 可能导致资产不完整、损毁、泄露、被盗抢或挪用、灭失、贬值的金额×年度发生频率大于等于财务报告重要性水平,或其他等效影响程度 | 财务报告的编制、汇报的过程中可能导致错漏或其它财务信息不真实、不完整的金额×年度发生频率大于等于财务报告重要性水平,或其他等效影响程度 |
| 重要缺陷 | 由于违反法律法规,可能导致政府和监管机构的调查、引起诉讼并伴随着罚款或损失的金额×年度发生频率大于等于财务报告重要性水平的50%并小于财务报告重要性水平,或其他等效影响程度 | 可能导致资产不完整、损毁、泄露、被盗抢或挪用、灭失、贬值的金额×年度发生频率大于等于财务报告重要性水平的50%并小于财务报告重要性水平,或其他等效影响程度 | 财务报告的编制、汇报告的过程中可能导致错漏或其他财务信息不真实、不完整的金额×年度发生频率大于等于财务报告重要性水平的50%并小于财务报告重要性水平,或其他等效影响程度 |
| 一般缺陷 | 除重大缺陷、重要缺陷以外的其他内部控制缺陷 | ||
说明:
1.本附件中所指“重大缺陷”“重要缺陷”“一般缺陷”的评估标准是以能否实现公司内部控制管控目标为目的而制定的。
2.公司内部控制管控目标参考了财政部等五部委发布的《企业内部控制基本规范》第三条“内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略”。
3.本附件中所指“财务报告重要性水平”的评判标准如下:
3.1上市公司
3.1.1在公司业务持续稳定经营的情况下,选取最近一年经审计税前利润的5%。
3.1.2如当年税前利润较前一年减少50%以上,可考虑选取过去3年经审计税前利润平均数的5%。
3.1.3如当年税前利润为零或负,可考虑选取最近一年经审计主营业务收入的1%。
3.1.4为保证上市公司财务报告披露要求的延续性,如上市公司未按上述规则(3.1.1、3.1.2、3.1.3)设定“财务报告重要性水平”评判标准,但与本单位以前年度“财务报告重要性水平”保持一致的,经报请集团公司治理部同意后,可继续执行原标准。
3.2非上市公司
3.2.1在公司业务持续稳定经营的情况下,按最近一年经审计营业收入1%或税前利润5%的孰低选取。当最近一年经审计营业收入1%或税前利润5%小于5000万元人民币时,则集团下属二级公司按5000万元选取(参照中国宝武《经营风险事件报告工作办法(试行)》有关规定),二级及以下的经营性子公司按上述原则选取5000万元以下作为标准,并报上级单位备案。
3.2.2如当年营业收入较前一年减少50%以上,可考虑以最近一年经审计净资产的3%替代。
3.2.3如当年税前利润较前一年减少50%以上,可考虑以过去3年经审计税前利润平均数的5%替代。
3.3金融类企业:根据行业特点,按最近一年经审计税前利润5%和5000万元人民币孰高选取。
3.4如有其他变化或潜在影响可能导致财务报表重要性水平重新估计的,应与本公司内部控制监督评价部门和集团公司公司治理部沟通,并可会同外部审计师,讨论后决定。
4.本附件中所指“资产”可按固定资产、生物资产、无形资产、非货币性资产、金融资产或其他国家认可的方式进行分类和识别。
5.以下事件应视为可能存在重大缺陷的迹象而予以关注:
5.1董事、监事和高级管理人员舞弊。
5.2更正已经公布的财务报表。
5.3内部控制措施未能避免当期财务报表出现重大错报。
附件6:
内部控制体系能力评价表
| 评价大类 | 权重(%) | 评价内容 | 标志成果(参考) | ||
| 健全内控体系 | 20% | 4% | 明确企业主要领导人员是内控体系监管第一责任人,落实业务部门内控体系有效运行的责任,制定内部控制体系能力评价体系 | 更新内部控制管理有关制度文件 | |
| 5% | 按照监管机构《权责清单》和上级单位授权审批要求,梳理监管合规要求,甄别包括但不仅限于上报审批、报告备案、禁止事项等关键合规事项,并建立定期审视机制 | 制度文件合规管理日常监督跟踪机制 | |||
| 5% | 根据国资委《权责清单》梳理情况、《违规经营投资责任追究》的禁止性要求、上级单位授权审批要求,组织各部门审视/修订相关制度办法 | 相关制度办法更新 | |||
| 2% | 定期更新公司内控手册、细化内部控制标准 | 更新《内控标准》《内控手册》 | |||
| 4% | 建立健全应急预案体系,建立《应急管理总预案》;按《应急管理总预案》要求建立所有《专业分项预案》,按需修订预案,并定期演练; | 《应急管理总预案》、各项必须《专业分项预案》、演练记录 | |||
| 强化内控执行 | 重大事项决策前的专项风险评估 | 5% | 3% | 完善投资预审机制,明确公司风险承受能力的定性定量指标、风险评估的程序要求,风险评估报告作为投资并购决策前必备支撑材料 | 更新投资预审相关制度 |
| 2% | 完善维稳风险评估机制,明确改革改组改制的风险评估程序,风险管控措施不到位的,程序不规范的,不能实施 | 相关制度办法更新 | |||
| 重要岗位授权和制衡 | 5% | 3% | 严格规范重要岗位和关键人员在授权、审批、执行和报告的权责,落实不相容职责分离 | 组织自查自纠,相关改善项目纳入商业计划 | |
| 2% | 重点强化采购、销售、投资、资金管理和工程项目、产权交易的职责权限和审批程序 | ||||
| 重大风险防控机制 | 5% | 2% | 落实各级党委防范化解重大风险的政治责任,定期听取重大、重要风险防控情况 | 更新《全面风险与内控合规管理制度》 | |
| 1% | 向董事会/经理层报告全面风险管理季度报告/年度报告 | 《全面风险管理季度/年度报告》 | |||
| 2% | 加强经济运行状态、大宗商品价格、资本市场指标变化监测,提升研判能力,落实责任做好预案,并建立风险敞口计算模型,开展动态量化分析评估 | 市场风险预案 | |||
| 加强信息化管控 | 15% | 3% | 结合“三重一大”信息系统升级改造,在信息系统中加入决策必备要件完备性的确认和上传工作流程,健全决策必备文件等登记和管控; | 按推进计划完成“三重一大”平台功能覆盖、升级 | |
| 4% | 对经济运行状态、大宗商品价格、资本市场指标趋势变化能借助信息系统动态管理,按预设风险预警指标进行信息推送,领导决策支持; | 市场风险信息系统 | |||
| 5% | 新设子公司1年内覆盖关键内控系统 | 新设子公司1年内覆盖到位 | |||
| 2% | 能将内部控制要求、授权审批权限,通过信息系统固化于流程,实施在线管控 | 嵌入工作流程的内控功能模块 | |||
| 评价大类 | 权重(%) | 评价内容 | 标志成果(参考) | |
| 1% | 探索区块链技术的试点应用,提示经济行为决策与执行过程中越权、绕过程序、审核材料不全的行为 | 区块链技术的试点应用 | ||
| 加大监督评价力度 | 25% | 6% | 对近年新设分公司直属子公司,开展内控评价指导评审 | 各公司内控复评报告 |
| 7% | 加强内部控制专项评审,围绕重点业务、关键环节和流程,开展专项审计 | 年度审计计划及内控专项审计报告 | ||
| 8% | 内审计发现的问题整改率超过90% | 整改率统计结果>90% | ||
| 4% | 通过《风险案例教育警示片》《风险控制最佳实践》《审计案例》、各管理者培训班等形式,开展内控典型问题的宣贯培训 | 各期《风险案例教育警示片》《风险控制最佳实践》、《审计案例》、管理研修院学员结业成果 | ||
| 内控风险体系有效性评价 | 25% | 8% | 加强风险识别有效性,重大、重要风险事件在预先已甄别的范围内 | [一票否决]:多个重大风险事件不在评估范围内,扣满风险控制有效性总分25分;[扣减50%]:重大风险事件不在评估范围内(任一项扣减50%,累计上限100%);[扣减25%]:重要风险事件不在评估范围内(任一项扣减25%,累计上限50%);[不扣分]:重大重要风险事件均在评估范围内; |
| 8% | 经营风险控制有效性,重大、重要风险有效管控 | [一票否决]:多个重大风险控制失效,扣满风险控制有效性总分25分;[扣减50%]:重大风险控制失效(任一项扣减50%,累计上限100%);[扣减25%]:重要风险控制失效(任一项扣减25%,累计上限50%);[不扣分]:重大重要风险均有效防控; | ||
| 9% | 内部控制执行有效性,不发生内部控制重大缺陷 | [一票否决]:多个重大内控缺陷,扣满风险控制有效性总分25分;[扣减50%]:1)公司董事、监事和高级管理人员发生舞弊行为;2)发生重大内控缺陷(任一项扣减50%,累计上限100%);[扣减25%]:发现重要内控缺陷(任一项扣减25%,累计上限50%);[扣减25%]:由国家保密主管部门查处的泄密案件(任一项扣减25%,累计上限50%); | ||
附件7:
内部控制文档编制工作细则1总则
1.1为规范广东中南钢铁股份有限公司(以下简称“公司”)内部控制工作文档(以下简称“内控文档”),包括内部控制手册(以下简称“内控手册”)、内部控制自我评估标准(以下简称“内控标准”)、风险管理及内部控制案例(以下简称“风险案例”)的编制内容和方法,完善编制流程,使内控手册更加全面系统地反映企业内部控制情况,内控标准贯彻国家、集团公司、中南钢铁、公司管理要求,风险案例起到总结和提示效用,促进企业内部控制体系建设,提升企业内部管理水平,根据财政部、证监会、审计署、银保监会联合发布的《企业内部控制基本规范》及其《关于印发企业内部控制配套指引的通知》(财会〔2010〕11号),以及集团公司、中南钢铁有关要求,借鉴内部控制优秀实践,结合公司实际情况,特制定本细则。
1.2本细则适用于公司各单位,各全资、控股子公司参考执行。
1.3定义
1.3.1内控手册,是以流程综述、不相容职责表、流程索引、管理制度及记录文档和风险控制矩阵的形式,对公司主要管理流程及其子流程所涉及的关键控制活动进行表述,并用风险控制矩阵列示了主要的风险点、业务流程和相关关键控制活动的记录文
档。
1.3.2内控标准,是根据财政部等五部委发布的《企业内部控制基本规范》及其《关于印发企业内部控制配套指引的通知》(财会〔2010〕11号),融合集团公司、中南钢铁、公司对各级单位的内部控制管控要求,组织形成了一整套内部控制管控标准。该套《标准》,既作为公司对各级单位建设内控体系能力的抓手和管控要求,也可作为各单位进行内控自评价、审计监督评价、会计师事务所外部鉴证的重要参考依据。
1.3.3风险案例,是通过对公司内外部风险管理和内部控制典型事件的收集总结、管理典型做法的归纳分析,剖析形成的最佳实践文档或多媒体材料。风险案例既可作为内控工作的推进范例,也可作为内控标准的操作参考,但不作为内控审计的必要依据。
1.4职责分工
1.4.1运营改善部是公司内控文档归口管理部门:
1.4.1.1负责牵头组织公司内控手册编制工作的推进、指导、检查、整体汇编和更新;
1.4.1.2负责牵头组织公司内控标准编制工作的推进、指导、整体汇编和更新;
1.4.1.3负责牵头组织公司风险案例编制工作的收集、分选、编制、更新。
1.4.1.4负责定期收集汇总公司内、外部风险管理、内部控
制典型做法和最佳实践(包括经营财务部、法务与合规部提供的风险案例清单和基础材料),经整理、编制后形成风险案例文稿,经评审通过后纳入风险管理、内部控制工作培训宣贯材料。负责风险案例库的管理及更新发布。
1.4.2公司各部门,负责对内控手册和内控标准中涉及与本部门业务有关内容的编制、确认、更新工作。
1.4.3公司经营财务部、法务与合规部,负责定期整理、提供本专业职能涉及的风险案例清单和基础材料。
1.4.5各子公司负责本单位内控手册编制更新工作,参照公司内控标准结合自身情况,明确适用于本单位的内控标准。
2工作流程
2.1内控手册编制工作流程
2.1.1公司内控手册编制更新流程,按照确定目标、分解发送、编制更新、反馈汇总、审核确认、提交审批、发布等环节进行管理。
2.1.2运营改善部作为公司内控手册归口管理部门,负责定期牵头组织内控手册的年度更新工作,根据上一版内控手册内容结合公司内部控制管理现状,确定工作目标和编制更新计划,并将要求分解发送至公司有关单位。
2.1.3各部门根据工作要求,对所涉及各部分内容进行编制和更新,并反馈至运营改善部。
2.1.4运营改善部汇总各单位提交的内控手册相关内容,审
核确认更新内容。汇总后提交公司分管领导审批,经批准后发布。
2.1.5各子公司自行确定内控手册编制工作的牵头单位、责任部门、审核签发人,以及手册编制更新工作流程。
2.2内控标准编制工作流程
2.2.1公司内控标准编制更新流程,按照确定目标、分解发送、编制更新、反馈汇总、审核确认、提交审批、发布等环节进行管理。
2.2.1.2运营改善部是公司内控标准归口管理部门,负责定期牵头组织内控标准的年度更新工作,根据上一版内控标准内容结合国家监管要求和公司管控实际,确定工作目标和编制更新计划,并将要求分解发送至公司有关单位。
2.2.1.3公司各单位根据工作要求,结合本单位、本职能专业体系管控要求、政府有关专业监管要求和各子公司专业体系意见反馈,对内控标准所涉及各部分内控标准进行编制和更新,并反馈至运营改善部。
2.2.1.4运营改善部汇总各单位提交的内控标准相关内容,审核确认更新内容。汇总后提交公司分管领导审批,经批准后发布。
2.2.2各子公司,根据公司内控标准的有关要求,结合自身情况,可细化编制和更新本单位内控标准,经审核后签发在本单位内使用。
2.3风险案例编制工作流程
2.3.1运营改善部,负责定期牵头组织风险案例编制工作。负责定期收集汇总公司内、外部风险管理、内部控制典型做法和最佳实践,经整理、编制后形成风险案例。案例材料更新纳入公司风险管理、内部控制工作培训宣贯材料,按需使用、发布。
2.3.2经营财务部、法务与合规部,负责搜集、整理、提供本专业职能涉及的风险案例清单和基础材料,参加风险案例的评审工作。
2.3.4各子公司可按需自行编制本公司风险案例。
3文档编制工作要求和主要内容
3.1内控手册编制工作要求和内容(详见7-1)
3.2内控标准编制工作要求和内容(详见7-2)
3.3风险案例编制工作要求和内容(详见7-3)
附件:7-1内控手册编制工作要求和内容
7-2内控标准编制工作要求和内容7-3风险案例编制工作要求和内容
附件7-1:
内控手册编制工作要求和内容1内控手册编制工作要求
1.1编制内控手册应以财政部、证监会、审计署、银保监会联合发布的《企业内部控制基本规范》(财会〔2008〕7号)及《关于印发企业内部控制配套指引的通知》(财会〔2010〕11号)和公司《全面风险与内部控制管理制度》规定的内部控制整体框架为基础,应综合考虑贯穿于企业经营管理活动中的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制框架五要素。
1.2公司、各子公司要明确内控手册编制工作的牵头单位、责任部门、审核签发人和编制工作流程。
1.3公司、各子公司应依照内控手册的控制标准实施内控活动,相关业务系统的管理者应对内控活动设计和执行的效果和效率负责。
1.4公司、各子公司内控手册应涵盖公司本部及延续机构所有重要业务流程和其他相关内容,其适用范围为本公司及其续延分支机构。
1.5内控手册可以《企业内部控制基本规范》(财会〔2008〕7号)及《关于印发企业内部控制配套指引的通知》(财会〔2010〕11号)为参考,将企业主要管理活动、业务流程分为:组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采
购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统等18项,也可根据实际情况进行归并和分拆,或另行补充其他内容。对于本单位不涉及的业务,可不编制相关内容。
1.6编制内控手册应首先考虑到各流程之间存在的各种联系,及时沟通,核定内容,确保流程的统一。
1.7内控手册原则上至少每年审视更新一次,在出现重大业务调整时应及时更新。内控手册是公司规章制度、管控要求与外部监管要求就内部控制管理方面的对接和索引,帮助公司员工了解和掌握公司制度、岗位职责、关键控制点,促进公司各层级员工明确职责分工和工作流程,正确行使职权。内控手册还可作为内控审计工作的参考。
1.8每年更新完成的内控手册于本年度12月31日前报公司运营改善部归档。
1.9各子公司在内控推进工程中,当管理体系的其他文件中已具备内部控制手册相关要素的情况下,可根据实际情况,对内控手册的格局做适当调整,可用多种形式灵活体现。务求简洁、明晰、高效,避免管理和实践“两张皮”的现象。
2内控手册主要内容
2.1内控概论,包括但不限于内控手册编制目的、相关法律法规背景及编制基础、适用范围、内容简介、编制要求和编制流程、更新要求和更新流程、使用说明、手册目录概要等。
2.2各管理方面、业务流程内控描述
2.2.1内部控制综述,概括性地介绍各流程主要内容,包括但不限于管理方面、业务流程及其子流程的名称、目标、范围、业务风险以及业务流程中所涉及管理活动之间的关系描述。
2.2.2不相容职务表述,表述控制活动中的不同部门、岗位之间的权责分离、相互制约、相互监督情况,确保控制活动不存在不相容职务未分离风险,或确保风险已被有效防范和监控。
2.2.3流程图,是用符号和图形等来表示公司业务在组织内部有序流动的文件记录,要以主业务流程的子流程为单位绘制流程图,并着重强调关键控制活动所在环节。流程图中的关键控制活动应与控制矩阵中的关键控制活动保持一致。如在相关制度、办法等文件中已有相关流程图,则在内控手册中可简略或索引相关文件予以表示。
2.2.4控制活动描述,是对流程图中关键控制活动的文字阐述,主要内容为控制活动的详细描述,包括具体控制措施、工作要求、制度规范的出处标注。如编制控制活动编号的,则不同控制活动项的编号应具有唯一性,可按照“机构代码-流程代码-CA-子流程顺序号+控制活动顺序号”编制。(例如,中南股份层面的第1个控制活动编号为:ZNGF-EL-CA-101。流程名称与代码对照关系请参见附件7-1-1)
2.2.5控制矩阵(参见附件7-1-2),是以表格形式分类记录企业的控制活动,反映控制活动与控制目标之间的关系。至少
应包括责任单位、控制目标、控制活动三项要素。控制矩阵要与流程图和关键控制活动相互呼应。控制活动是核心,描述应完整、简洁、规范。如编制控制目标编号的,可按照“机构代码-流程代码-CO-子流程一位顺序号+控制活动两位顺序号”编制。支撑文档部分可列示本项控制活动将依赖、形成、输出何种递交物、记录或载体,以支撑控制措施和工作要求的落实执行。
附件7-1-1:
管理方面、业务流程称与代码对照关系
| 序号 | 管理方面、业务流程称 | 代码 |
| 0 | 公司层面 | EL |
| 1 | 组织架构 | OS |
| 2 | 发展战略 | DS |
| 3 | 人力资源 | HR |
| 4 | 社会责任 | SR |
| 5 | 企业文化 | GC |
| 6 | 资金活动 | TR |
| 7 | 采购业务(含长期投资) | FA(含LI) |
| 8 | 资产管理 | AM |
| 9 | 销售业务 | RE |
| 10 | 研究与发展 | RD |
| 11 | 工程项目 | EP |
| 12 | 担保业务 | GB |
| 13 | 业务外包 | BO |
| 14 | 财务报告 | FR |
| 15 | 全面预算(含费用管理) | PB(含EX) |
| 16 | 合同管理 | CM |
| 17 | 内部信息传递 | IT |
| 18 | 信息系统 | IS |
附件7-1-2:
控制矩阵示例(以资金管理业务为例)
| 风险编号 | 主责单位(职能) | 主要风险点 | 控制目标 | 控制活动 | 支撑文档 | 发生频度 | 责任人 |
| ZNGF-TR-102 | 经营财务部资金职能 | 资金调度不合理、营运不畅,可能导致企业陷入财务困境或资金冗余。 | 资金配置的合理性 | 资金业务操作人员年初根据公司年度资金缺口预算,并结合资金资本市场情况,拟定年度融资策略和融资规模上限,报资金总监审核。 | 本级预算 | 每年 | 资金业务操作人员 |
| 资金总监对年度融资策略和融资规模上限进行审核,逐级提交公司审议 | 本级预算 | 每年 | 资金总监、经营财务部部门长 | ||||
| 公司领导审议年度本级预算。 | 本级预算 | 每年 | 公司领导 |
附件7-2:
内控标准编制工作要求和内容
1内控标准编制工作要求
1.1内控标准是根据财政部五部委发布的《企业内部控制基本规范》(财会〔2008〕7号)及其《关于印发企业内部控制配套指引的通知》(财会〔2010〕11号),融合宝武集团对各级单位的内部控制管控要求,组织形成了一整套内部控制管控标准。内控标准原则上应包含18个业务领域流程的内部控制要点,以检查表的形式,对各级单位提出要求和推进建议。
1.2对于本单位不涉及的业务领域,可暂不编制有关内控标准。
1.3各子公司也可在不违反国家法规、集团公司、中南钢铁、公司内控标准的前提下,基于自身需求,另行细化相关内控标准。
2内控标准主要内容
2.1内控标准,主要内容包括了18个流程的“控制流程”“子流程”“业务方面”“检查项目”“管理深度”“制度索引”。
2.2控制流程,是指按财政部18项内部控制应用指引进行分类的业务类别,各级单位也可根据实际情况合并或拆分业务流程。
2.3子流程,是对“流程”的细化分类。
2.4业务方面,是指按照各单位颁布的各业务职能进行描述的细分类别。
2.5检查项目,是指公司对各级下属单位管控的要求要点,描述力求清晰、判断标准明确、不具歧义或二义性,以便客观评价被检查单位的实际情况。
2.6管理深度,是指每个检查项目的执行和检查属性。按照适用范围和必要性,检查项目分为A、B、C、D四个等级。公司内控标准,作为贯彻公司内控要求的抓手和提升管控力度的工具,既有全面性,又要兼顾重点,既要用于合规又可用于公司下属各级单位的实际情况。
2.6.1A类:代表行业标杆企业、优秀最佳实践的管理水平;
2.6.2B类:代表公司鼓励各级单位努力提升的方向,但不作硬性要求;
2.6.3C类:代表公司下属各级单位都应达到的基本要求;
2.6.4D类:代表仅在公司执行,各下属单位可参考使用。
2.7制度索引,是对内控标准各检查项目的源头和出处进行的标注。既可包含国家监管要求、集团公司、中南钢铁、公司制度规定要求,又可纳入长期形成的管控实践和工作习惯要求。
2.8对于财务报告内部控制相关的内容应详细记录,包括以下方面:
2.8.1保存充分、适当的记录,准确、公允地反映企业的交易和事项。
2.8.2合理保证按照企业会计准则的规定编制财务报表。
2.8.3合理保证收入和支出的发生以及资产的取得、使用或
处置经过适当授权。
2.8.4合理保证及时防止或发现并纠正未经授权的、对财务报告有重大影响的交易和事项。
附件7-3:
风险案例编制工作要求和内容1风险案例的编制要求
1.1风险案例的内容分析和建议的编制,应着力使理论基础、知识框架、分析工具与实际事件和问题相结合,既有理论依据,又有实际可操作性。
1.2风险案例的选题,应具有真实性、典型性。可包括但不仅限于如下来源:
(1)当期内部经营风险事件,指本年度公司内部发生的经营风险事件。
(2)当期外部经营风险事件,指本年度公司外部发生并且与公司所从事行业领域相关的经营风险事件。
(3)历史内部经营风险事件,指公司历史上发生的经营风险事件。
(4)历史外部经营风险事件,指在公司所从事行业领域、公司外部历史上发生的经营风险事件。
1.3风险案例的内容描述,应有客观性、具体性。其中,对于风险案例的实际发生单位和个人,应以突出风险成因、厘清问题本质为目的出发,如已结案并预计不会造成进一步损失的,可实名列式当事单位和具体岗位等信息。
2风险案例主要内容
2.1基本属性,应包括案例的名称、类别(可参照《关于印
发企业内部控制配套指引的通知》(财会〔2010〕11号)的分类)、发生时间、损失金额和影响程度。
2.2主要内容,应包括案例事件的背景环境、产生原因、过程描述、结果和影响。
2.3总结和建议,是对事发从发生到结果的客观分析,总结突出特点和典型问题,提出符合监管要求、管理最佳实践、公司管控实际情况的建议。