目 录
第一章 总 则 ...... 3
第二章 组织机构及职责 ...... 6
第三章 一体化管理策略 ...... 12
第一节 风险收集、评估与管理 ...... 12
第二节 内部控制活动 ...... 17
第三节 合规运行 ...... 19
第四章 风险内控合规管理重点 ...... 20
第五章 风险内控合规管理保障 ...... 21
第六章 信息应用与信息化建设 ...... 23
第七章 附则 ...... 24
附件一:风险评估标准 ...... 25
附件二:重大风险的界定标准 ...... 31
第一章 总则
第一条 为建立健全云南城投置业股份有限公司(下称“置业公司”或“公司”)风险管理、内部控制、合规管理的协同运作机制,将风险管理和合规管理要求嵌入业务流程,促使公司依法合规开展各项经营活动,实现“强内控、防风险、促合规”的管控目标。
依据《中华人民共和国公司法》(下称《公司法》)《企业内部控制基本规范》及配套指引、《云南城投置业股份有限公司章程》(下称《公司章程》)《上海证券交易所上市公司自律监管指引第1号——规范运作》,参照《中央企业全面风险管理指引》《云南省省属企业合规管理指引(试行)》《云南省省属企业合规管理体系建设工作方案》等文件要求,制定本制度。
第二条 本制度适用于置业公司,全资、控股公司可参照执行。
第三条 公司贯彻“管理制度化、制度流程化、流程信息化”的内部控制理念,建立健全以风险管理为导向,以合规管理为重点,严格、规范、全面、有效的内部控制体系,形成全面、全员、全过程、全体系的风险防控机制,实现“强内控、促合规、防风险”的管控目标,有力保障公司高质量发展。本制度中下列用语的含义是:
“风险”是指未来的不确定性对公司实现其经营目标的影响。
“风险事件”是指使风险隐藏的潜在损失转化为现实损失的媒介,它通常是某个或者一系列的事件。
“风险管理”指公司围绕总体经营目标,通过在管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。
“内部控制”是指由公司董事会、经理层和全体员工实施的、旨在实现控制目标的过程,目标是合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进公司实现发展战略。
“合规”是指公司及其员工的经营管理行为符合法律法规、监管规定、行业准则和《公司章程》、规章制度等。
“合规管理”是指公司以有效防控合规风险为目的,以公司经营管理行为和员工履职行为为对象,开展包括制度制定及落实、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。
第四条 风险内控合规管理是公司治理体系和治理能力现代化的重要组成部分,与其他职能管理相互协调、相互促进,为实现以下目标提供合理有效保障:
(一)保证公司经营管理合法合规;
(二)保障公司资产安全;
(三)保证公司财务报告及相关信息真实完整; (四)确保公司建立针对各项重大风险发生后的应急预案;
(五)提高公司经营效率和效果;
(六)促进公司实现发展战略目标。
第五条 风险内控合规管理应遵循以下原则:
(一)全面性原则。风险内控合规管理体系应覆盖公司的所有管理领域和业务单元。
(二)重要性原则。风险内控合规管理体系应在全面控制的基础上,关注重要业务事项和高风险领域。
(三)适应性原则。风险内控合规管理体系应根据内、外部环境的变化及时加以调整。
(四)制衡性原则。风险内控合规管理体系应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(五)成本效益原则。风险内控合规管理体系应当权衡实施成本与预期效益,以适当的成本实现有效控制。
(六)服务战略,创造价值。合规管理服务公司全面深化改革转型升级,服务发展大局,推进公司治理能力与治理体系现代化,增强公司风险控制力,提升市场竞争力和价值创造力。
(七)业规同管,强化责任。坚持“业务谁主管,合规谁负责”的原则,做好合规管理与业务开展同策划、同应对、同监督,确保业务合规运行。秉持“高层表率、强化责任”的理念,把加强合规管理作为主要负责人履行推进法治建设第一责任人职责的重要内容。
第六条 风险内控合规管理体系的构建,通过实现组织
职能协同、工作机制统一、管理制度统一、评价体系统一,切实推动风险、内控、合规一体化的落地。
(一)组织职能协同:将相关职能放至战略及风险管理委员会、审计委员会与合规委员会,各项工作协同开展。
(二)工作机制统一:风控管理部负责年度的风险、内控、合规工作的计划与执行,以及与其他部门的工作协调机制的统一,建立年初布置、年中管控、年末总结的工作机制。
(三)管理制度统一:将风险内控合规管理要求、评价标准及风险应对措施融入到制度当中,切实做到公司日常的业务流程及管理符合风险内控合规的要求。
(四)评价体系统一:明确一体化管理体系评价工作的组织形式、评价方式、报告路径、检查评价问题整改及跟踪机制,制定一体化评价的相关检查测试程序,明确一体化检查结果及缺陷认定标准,实现内控自评、合规检查及风险管控工作的整合,在实现评价目标的同时,有效降低管控成本。
第二章 组织机构及职责
第七条 公司风险内控合规管理的治理机构与职责:
(一)公司党委充分发挥把方向、管大局、保落实的领导作用,保障风险内控合规管理体系建设的决策部署得到全面落实。党委会主要职责包括:
1.全面领导、统筹推进合规管理工作;
2.推动科学立规、严格执规、自觉守规、严惩违规;
3.研究合规管理负责人人选、合规管理牵头部门的设置;
4.对董事会、高级管理人员的合规经营管理情况进行监督;
5.对合规管理的重大事项研究提出意见;
6.按照权限研究或决定对有关违规人员的处理事项。
(二)公司党委下设合规委员会。合规委员会承担合规管理的组织领导和统筹协调工作,专门负责合规事务,由公司党委书记担任主任,组成人员为党委班子成员,直接对党委会负责。合规委员会主要履行以下合规管理职责:
1.研究决定合规管理重大事项;
2.监督合规管理执行情况;
3.审阅合规有效性评价报告,根据公司合规实际情况,指导合规整改工作,确保合规管理体系的适当性和有效性;
4.批准公司年度合规管理工作计划及报告。
(三)董事会是风险内控合规管理的决策机构,发挥定战略、作决策、防风险作用,主要职责包括:
1.批准风险、内控、合规管理组织机构设置、职责方案以及总法律顾问(首席合规官)的聘任、解聘;
2.批准公司风险内控合规管理体系的建立、实施和完善的方案;
3.批准公司风险内控合规管理各项基本制度;
4.批准公司重大决策的风险管理策略及应对方案;
5.批准公司年度风险内控合规管理工作计划及报告;
6.批准年度内部控制评价报告、合规有效性评价报告;
7.批准公司风险评估报告;
8.按照权限决定对有关违规人员的处理事项;
9.《公司章程》规定的其他管理职责。
董事会授权战略及风险管理委员会作为公司日常风险管理的决策机构,战略及风险管理委员会可根据实际情况判断是否将审议事项进一步提交董事会决策。
(四)战略及风险管理委员会、审计委员会分别按照公司《董事会战略及风险管理委员会实施细则》《董事会审计委员会实施细则》履行风险、内控相关职责。
(五)审计委员会行使《公司法》规定的监事会职权,并按照《公司章程》履行监督职责。
(六)经理层发挥谋经营、抓落实、强管理作用,通过总经理办公会履行以下职责:
1.组织拟订风险、内控、合规管理组织机构设置、职责方案;
2.组织拟订公司风险内控合规管理体系的方案、实施和完善的方案;
3.组织实施董事会关于风险内控合规管理的决议,组织推进风险内控合规体系的建设与运行;
4.组织拟订风险内控合规管理基本制度,批准风险内控合规管理业务管理制度及具体操作规范;
5.批准公司重大风险事件报告及判定;
6.组织拟订公司重大决策的风险管理策略及应对方案;
7.组织拟订并向董事会提交公司风险评估报告;
8.组织应对重大风险事件;
9.审议公司年度风险内控合规管理工作计划及报告;
10.审议年度内部控制评价报告、合规有效性评价报告;
11.组织推进风险内控合规管理信息化建设;
12.审议批准风险内控合规管理手册、重点领域合规指南等;
13.指导监督各部门和下属单位风险内控合规管理工作;
14.及时制止并纠正不合规的经营行为,按照权限对违规人员进行责任追究或提出处理建议;
15.完成董事会授权的其他事项。
(七)公司建立合规联席会议制度。合规联席会议决定公司日常重要合规事项,统筹协调合规管理牵头部门与各业务、监督等部门工作。
(八)公司设立首席合规官,由公司总法律顾问兼任,具体执行党委会、董事会、总经理办公会有关决策部署,参与公司重大决策并提出意见和建议,领导风控管理部开展相关工作,指导下属单位加强风险、内控、合规管理。
第八条 公司各部门职责
(一)风控管理部负责公司风险内控合规管理工作,主要履行以下职责:
1.研究起草公司年度风险内控合规管理工作计划及报告、及业务范围内基本管理制度、业务管理制度和具体操作规范;
2.组织开展公司风险评估;
3.持续关注法律政策变化,组织开展风险识别与预警及
组织更新风险清单;
4.组织起草及更新风险内控合规管理手册、重点领域合规指南;
5.负责规章制度、经济合同、重大决策合法合规性审查;
6.参与业务部门对商业伙伴的合规调查;
7.受理合规管理职责范围内的举报,组织或参与对举报事件的调查,并提出处理意见或建议;
8.组织或协助业务部门、组织人事部开展风险、内控与合规培训,向部门及员工提供合规咨询;
9.组织或协助业务部门进行合规宣传,培育合规文化;
10.指导公司各部门及各下属单位的风险、内控、合规管理工作;
11.配合合规检查与考核,督促违规整改和持续改进。
(二)公司各部门及各下属单位按照“业务谁主管、风险内控合规管理谁负责”的原则,承担本业务领域风险内控合规管理的主体责任,同时指定风险内控合规管理专员,负责组织协调本部门(本单位)相关工作,主要履行以下职责:
1.完成本部门(本单位)风险管理信息收集和风险识别,进行风险评估、制定风险管理策略、提出和实施风险管理解决方案,以及风险监控、风险管理的监督与改进等风险管理全过程的相关工作;
2.研究提出本部门(本单位)管理的重大风险管理策略及具体应对方案(包括突发风险事件应急预案);
3.组织落实本部门(本单位)管理的重大风险管控措施
(包括应急预案)并进行跟踪;
4.组织对本部门(本单位)提交的重大决策事项的风险评估出具评估意见;
5.主动开展本部门(本单位)合规风险识别和隐患排查工作,发布合规预警,协助风控管理部更新风险库;
6.组织本部门(本单位)合规审查,及时向风控管理部报告合规风险事项,妥善应对处置合规风险事件;
7.做好本领域合规宣贯和培训、培育合规文化、对商业伙伴合规调查,配合对违规问题的调查并及时组织整改。
第九条 公司审计管理部门依据相关法律法规、国资监管规定、上级主管单位管控要求及公司内部管理制度等,对公司及下属单位组织开展内部控制评价、合规有效性评价工作。
公司纪检室、审计管理部门依据有关规定,在职权范围内对风险内控合规要求落实情况进行监督,并加强工作协同和衔接,对违规行为进行调查,按照规定开展责任追究。
第十条 公司各部门坚决守住“第一道防线”,承担合规管理主体责任,负责建立健全本部门业务合规管理制度和流程,开展合规风险识别评估,编制风险清单和应对预案;定期梳理重点岗位合规风险,将合规要求纳入岗位职责;履行对本部门经营管理行为的合规审查,根据相关规定报告合规风险,组织或配合开展应对处置、违规问题调查和培训。各部门应当设置合规管理员,由业务骨干担任,接受风控管理部业务指导和培训。
公司风控管理部应不断筑牢“第二道防线”,全面牵头
负责本公司合规管理工作。组织起草合规管理基本制度、专项制度、年度计划和工作报告等;组织对规章制度、经济合同、重大决策合法合规性审查;组织开展合规风险识别、预警和应对处置;受理职责范围内的违规举报,提出处置意见,组织或参与违规行为调查;组织或协助各部门开展合规培训,受理合规咨询,推进合规管理信息化建设。
公司监督追责等部门切实发挥“第三道防线”监督作用,在职权范围内对合规要求落实情况进行监督,对违规行为进行调查,按规定开展责任追究。
第十一条 公司全体员工履行全员合规责任,熟悉并遵守与本岗位职责相关的法律法规、公司内部制度和合规义务,依法合规履行岗位职责,接受合规培训,对自身行为的合法合规性承担责任。
第三章 一体化管理策略
第一节 风险收集、评估与管理
第十二条 按照目标的不同,公司风险分为战略风险、财务风险、市场风险、运营风险、法律风险、合规风险。
第十三条 公司各部门结合行业、市场等信息,充分考虑影响公司战略目标实现的内外部因素,包括政策要求、历史数据、未来预测以及与公司和国内外相关公司发生的风险损失事件、违规案例、合规义务等,重点监控影响公司及部门目标达成的风险及风险表现,查找各项重要经营活动及重
要业务流程中存在的风险,并将收集到的风险初始信息报送至风控管理部。风控管理部应对各部门、各下属单位报送的风险信息进行统一筛选和提炼,建立和补充风险信息库,更新和维护公司整体的风险清单。
(一)在战略风险方面,由公司战略投资部及下属单位广泛收集国内外公司战略风险失控导致公司蒙受损失的案例,并收集与公司相关的宏观经济政策、行业状况、市场需求、竞争状况、公司发展战略和规划、投资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据,重点关注对外投资流程中曾发生或易发生错误的业务流程或环节。
(二)在财务风险方面,由公司财务管理中心及下属单位广泛收集国内外公司财务风险失控导致危机的案例,收集与公司获利能力、资产营运能力、偿债能力、发展能力等指标相关的重要信息,重点关注成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节。
(三)在市场风险方面,由公司战略投资部及下属单位广泛收集国内外公司忽视市场风险、缺乏应对措施导致公司蒙受损失的案例,收集与公司相关的产品或服务的价格及供需变化、主要客户及主要供应商的信用情况、税收政策和利率、汇率、股票价格指数的变化等方面的重要信息,对现有市场环境进行评估。
(四)在运营风险方面,由公司运营管理中心、组织人事部及下属单位广泛收集国内外公司忽视市场风险、缺乏应
对措施导致公司蒙受损失的案例,收集新市场开发、市场营销策略,包括产品或服务定价与销售渠道、市场营销环境状况等,公司组织效能、管理现状、公司文化、中高层管理人员和重要业务流程中专业人员的知识结构、专业经验等方面的信息,重点关注质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节,对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力。
(五)在法律风险方面,由风控管理部及下属单位广泛收集国内外公司忽视法律法规风险、缺乏应对措施导致公司蒙受损失的案例,收集影响公司的新法律法规和政策、公司签订的重大协议、公司发生重大法律纠纷案件的情况等方面的信息。
(六)在合规风险方面,由公司各部门及下属单位广泛收集国内公司在战略管理、财务管理、市场管理、运营管理、法务及合同管理等方面违反国家相关政策要求,触发合规条款,引发法律责任、受到相关机构处罚、造成经济或声誉损失以及其他负面影响的信息。
第十四条 风险评估是在收集风险管理信息的基础上,对所面临的风险进行识别、分析和评价的过程。
风险评估由公司风控管理部不定期组织有关部门和业务单位实施,也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。
风险评估包括固有风险评估及剩余风险评估两部分,公司针对固有风险发生的可能性及对公司目标的影响程度制
定相应的风险评估标准,针对内控措施的有效性制定相应的有效性评级,综合得出公司的剩余风险(风险评估标准详见附件一)。
基于风险评估结果,公司对识别出的风险进行风险排序,明确风险控制优先级,对于判断为重大风险的事项进行重点关注和优先控制;对于其他风险,公司进行跟踪管理,适时掌握其处理或变化情况。
公司应当对经营期间的重大决策进行风险审核。
第十五条 公司根据自身条件和外部环境,围绕公司发展战略,确定风险偏好、风险承受度、风险管理有效性标准,公司综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。
(一)风险规避,是公司对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略;
(二)风险降低,是公司在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略;
(三)风险分担,是公司准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略;
(四)风险承受,是公司对在风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失,而直接承受的策略。
第十六条 公司制定重大风险的界定标准(详见附件二),公司各部门和各下属单位对各业务领域、各单位发生的风险事件先行研判,若初步判断为重大风险事件的需及时按公司内部决策程序报告及判定。
重大风险事件应由本部各主责部门编写重大风险事件报告,(涉及下属单位风险事件沟通本部业务归口管理部门)提报公司党委会前置研究及总经理办公会审定,若总经理办公会判定确为公司重大风险事件的,应进一步针对审议后的重大风险事件制定重大风险应对方案。
第十七条 重大风险应对方案一般包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后期所采取的具体应对措施以及风险管理工具等。
公司本部重大风险应对方案由涉及重大风险事件的本部各主责部门负责组织编制,风控管理部门负责予以配合,由本部各主责部门提报方案,经风控管理部门审核后提报公司内部决策程序审议。
公司各下属单位的重大风险应对方案由涉及重大风险事件的各下属单位负责编制,公司本部业务归口管理部门及风控管理部门负责予以配合,由各下属单位提报方案,经风控管理部门审核后提报公司内部决策程序审议。
重大风险应对方案应提报公司总经理办公会审议、党委会前置研究,后由战略及风险管理委员会审定通过,战略及风险管理委员会认为有必须的可进一步提交董事会进行决
策。重大风险应对方案应根据相关规定,及时向上级主管单位报告。
公司各部门和各下属单位应按照职责分工认真组织实施重大风险应对方案,确保各项重大风险应对措施落实到位。
第十八条 公司各部门和各下属单位应在风控管理部主导下定期或不定期对风险管理工作进行自查和检验,并将整改情况报送公司风控管理部。
第二节 内部控制活动
第十九条 公司以风险为导向结合风险评估结果,通过手工控制与信息系统控制,预防性控制与发现性控制相结合的方法,运用不相容职务分离、授权审批、财产保护、会计核算、财务管理、预算控制、运营分析和绩效考核以及审计检查、重大风险预警、建立以总法律顾问制度为核心的公司法律顾问制度等控制措施,将风险控制在可承受限度之内。
第二十条 内部控制活动需满足外部法律法规要求,外规内化。将存在风险的各类业务事项列入控制活动范围,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施。采取建立完善规章制度、建立关键业务事项管理权责指引、建立风险内控合规管理手册等管理工具,确保各类业务事项的落实。
第二十一条 公司内部控制活动涵盖公司所有的业务环节,包括但不限于:组织架构、发展战略、人力资源管理、
社会责任、公司文化、资金管理、投资管理、融资管理、担保管理、采购与付款、资产管理、销售与对账、财务报告、全面预算、法务及合同管理、内部信息传递、信息系统管理、关联交易、证券事务、内部监督等。
第二十二条 公司建立内部信息与沟通机制以及建立公司与下属单位及参股公司重大内部信息传递机制,以及下属单位及参股公司重大事项报告机制,促进内部信息沟通提高工作效率,增强管理透明度降低经营风险。
第二十三条 公司对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。公司各部门须将相关信息在公司内部各管理级次、责任单位、业务环节之间,以及公司与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当根据相关规定及时报告并加以解决。重要信息应当根据相关规定及时传递给董事会和经营层。
第二十四条 公司制定《信息披露事务管理制度》,明确信息披露的原则、内容、程序、责任、保密、奖惩等内容,有效保护公司、股东及其他利益相关者的权益,确保对外信息披露及时、准确、完整。
第二十五条 公司审计管理部门设置内部审计岗位,为审计委员会的日常办事机构,行使并承担监督检查内部控制制度执行情况、评价内部控制有效性、提出完善内部控制的纠正措施的建议的职责。
第二十六条 公司定期开展内部控制评价工作。董事会
授权公司审计管理部门为公司内部控制评价实施部门,负责内部控制评价的具体组织实施工作。
第三节 合规运行第二十七条 公司梳理分析风险内控合规体系执行情况,认真查找体系的短板弱项,不断完善风险内控合规制度体系。根据外部监管新规定以及公司新业务、新变化、新问题,及时做好相关制度留、立、废、改工作,明确重要业务领域和关键环节的内控要求、风险应对措施及违规经营投资责任追究规定。
第二十八条 定期或不定期开展风险、内控、合规管理体系评价,制定风险、内控、合规评价计划,上级评价与自评价相结合、年度定期评价与专项不定期评价相结合,按照风险内控合规管理手册控制活动要求设计评价方案,对风险、内控、合规管理体系运行的有效性进行检查评价,督促整改缺陷问题。
第二十九条 加大制度执行监督检查力度,强化责任追究,增强制度刚性约束。建立风险内控合规识别预警及应对机制,全面系统梳理经营管理活动中存在的合规风险,对风险发生的可能性、影响程度、潜在后果等进行系统分析,对于典型性、普遍性和可能产生较严重后果的风险及时发布预警。对可能造成企业重大资产损失或者严重不良影响的重大合规风险事件,应当由首席合规官牵头,风控管理部统筹协调,及时采取措施妥善应对。
第三十条 公司建立完善合规审查机制,将合规审查作为必经程序嵌入经营管理流程,重大决策事项的合规审查意见应当由首席合规官签字,对决策事项的合规性提出明确意见。业务部门、风控管理部依据职责权限完善审查标准、流程、重点等,定期对审查情况开展后评估。
第四章 风险内控合规管理重点
第三十一条 公司根据内部环境,在全面推进风险内控合规管理的基础上,突出重点领域、重点环节和重点人员,切实防范风险。
第三十二条 重点领域包括公司治理、市场交易、投资管理、采购管理、合同管理、资本运作、财务税收、债务管理、信息安全、工程建设、知识产权、资产租赁、商业伙伴、安全环保、产品质量、劳动用工、选聘招聘、履职待遇、业务支出、社会捐赠与赞助等领域。公司根据业务发展逐步建立重点领域合规指南。
第三十三条 重点环节:
(一)制度制定环节。强化对规章制度、改革方案等重要文件的合规审查,确保符合法律法规、监管规定等要求。
(二)经营决策环节。严格落实“三重一大”决策制度,细化各层级决策事项和权限,加强对决策事项的合规论证把关,特别盯防授权、分权、行权、决策、审批、会签等权力行使密切相关的重点环节,保障决策和权力运行依法合规。
(三)生产运营环节。严格执行合规制度,加强对重点流程的监督检查,特别盯防商务谈判、订立合同、结算、付款、交割、验收、注册、注销、银行密钥和印章使用等与权力行使密切相关的重点环节,确保生产经营过程中照章办事、按章操作。
第三十四条 重点人员:
(一)权力集中部门和人员。对权力集中的部门和岗位实行分事行权、分岗设权、分级授权,定期轮岗,强化内部流程控制,防止权力滥用;完善内部层级监督和专门监督,建立常态化监督制度;完善纠错问责机制,健全问责方式和程序。
(二)资金密集部门和人员。推进业务、财务、支付一体化信息系统有效运行,强化现金流量预算管理,实现对大额特殊资金的逐笔监控。
(三)资源资产富集部门和人员。健全管理制度,建立先进的管理技术和方法,明确资源资产权属,量化资源资产金额,监控资源资产情况,规范资源资产交易。
(四)管理人员。促进管理人员切实增强风险合规内控意识,带头依法依规开展经营管理活动,认真履行风险合规内控管理职责,强化考核与监督问责。
第五章 风险内控合规管理保障
第三十五条 公司将合规管理纳入党委(党总支、党支
部)法治专题学习,推动公司领导干部强化合规意识,率先做到决策合规。
第三十六条 加强合规管理队伍人才建设,以总法律顾问制度建设为契机,建立专业化、高素质的合规管理队伍,建立健全合规管理工作人员职业发展规划,健全激励机制,拓宽职业发展通道,充分调动积极性和主动性。
第三十七条 加强全员培训,建立常态化合规培训机制,公司每年结合合规管理建设的重点工作制定年度培训计划,强化高风险业务重点岗位人员合规培训。培育和推广合规文化,践行依法合规、诚信经营的价值观,不断增强员工的合规意识和行为自觉。将合规作为经营理念和社会责任的重要内容,树立积极正面的合规形象。
第三十八条 建立合规承诺机制。实行全员承诺制,置业公司全体人员应定期签署合规遵循承诺书,书面承诺遵守与本职岗位有关的道德诚信与合规要求。
第三十九条 加强考核评价,把风险内控合规情况纳入对各部门和各下属单位的年度绩效考核。开展全员合规评价,建立员工合规档案,将评价结果作为员工考核、干部任用、评先选优等工作的重要依据。
第四十条 建立风险内控合规报告机制,明确合规风险事件分级分类标准和应对机制。发生合规风险时,相关部门应当及时采取有效措施,并根据相关规定向风控管理部报告。发生重大合规风险事件,首席合规官应当根据相关规定及时向有关部门报告,并及时报告后续应对和处置进展情况。
第四十一条 设立违规举报平台,公布举报方式。由风控管理部受理违规举报并应当对收到的违规问题举报进行调查处理,经核实确有违规行为的,按照公司违规经营问责等相关规定进行相应处理;涉及违反党内纪律规定的,由纪检监察部门根据相关组织纪律进行处理;涉嫌违法犯罪的,移交司法机关处理。
第四十二条 根据公司违规行为追责问责机制,明确责任范围,细化问责标准,针对问题线索及时开展调查,严肃追究责任。公司建立经营管理和员工履职违规行为记录机制,风控管理部每半年对相关违规人员的违规事项、行为性质、发生次数、危害程度等进行记录,形成履职违规行为台账,并与相关部门共享。该记录作为考核评价、职级评定等工作的重要依据。
第四十三条 建立违规问题整改机制,对于反复发生的合规风险和违规问题,要健全制度,优化流程,形成长效机制,持续改进提升。
第六章 信息应用与信息化建设
第四十四条 根据公司业务发展,逐步加强管理信息化建设,运用信息化手段,加强风险内控合规制度、典型案例、培训、违规行为的信息化记录;运用信息化手段将管理要求和防控措施嵌入工作流程,强化合规审查和过程管控;将管理信息系统与财务、投资、采购、人资等其他信息系统深度
融合,实现数据互联共享;利用大数据技术,加强对重点领域、重点环节的监测预警,强化风险防控。
第七章 附则
第四十五条 本制度由风控管理部负责解释。第四十六条 本制度经董事会批准,自发布之日起执行,原《风险管理制度》《内部控制管理制度》同时废止。
附件一:
风险评估标准风险评估包括固有风险评估及剩余风险评估两部分,具体评估标准如下:
(一)固有风险评估标准
固有风险,即假设该风险在没有任何控制存在的情况下,其妨碍公司实现经营目标的可能性及影响。在考虑每个风险的可能性及影响程度时,应假设现有的控制都不存在,从而对固有风险作出更有效及更客观的评价。
固有风险评级主要从每个风险点的发生可能性和其一旦发生后对公司目标实现的影响程度这两个维度来进行,每个维度都有“极低”、“低”、“中等”、“高”、“极高”五个评价等级,分别对应的分数是1、2、3、4、5分。针对每一个风险点,评分人将分别从上述两个维度进行评估,并给出相应的分值。该种风险的大小即风险水平值是“风险发生可能性”和“风险发生影响程度”两个维度评分的乘积,作为确定风险应对策略的依据之一。
1、风险发生可能性
风险发生可能性:指某一风险发生的概率或频率。
风险发生的可能性分为五个等级,分别赋值1至5分,分值越高表示可能性越大,如1分表示该风险发生的可能性极低;5分表示该风险几乎确定会发生。
在考虑风险发生的可能性时,可从相对发生概率和绝对发生次数两个指标考虑,进行评分:
评分等级
| 评分等级 | 1 | 2 | 3 | 4 | 5 |
| 风险水平描述 | 极低 | 低 | 中等 | 高 | 极高 |
| 风险发生的可能性 | 业务极少发生,风险在极少情况下才会发生或发生的绝对数量非常小,几乎从未发生过,风险近三年没有发生过 | 业务较少发生,风险在较少情况下会发生或发生的绝对数量很小,风险近三年发生过3次以下 | 业务发生频率中等,风险发生频率中等或发生的绝对数量丌太多,风险近三年发生过3次以上5次以下 | 业务发生频率较普通偏高,风险发生频率较普通偏高或发生的绝对数量较多,风险平均每年发生2-3次 | 业务发生很频繁,风险发生很频繁或发生绝对数量很多,风险平均每年发生3次以上 |
2、风险发生影响程度
风险发生影响程度:指风险失去控制后可能对公司产生的影响程度,影响包括对公司人、财、物、持续发展的影响、政治、社会、环境影响等。
对于风险的评估应该与公司的战略目标紧密相连,并关注那些对公司战略目标实现有重要影响的风险。从以下定量或定性的任意一方面进行考虑,并给出相应分值。如果判断一项风险涉及两个方面或以上,则以评分最高者的分值作为影响程度的填写分值(取其高原则)。
风险发生的影响程度应综合考虑多方面因素,按照如下方式从战略影响、市场影响、运营影响、合规影响、财务影响五个方面进行分析(以下数据仅为评分的参考标准,请打分人员根据经验自行评判)。风险发生的影响程度分为五个等级,分别赋值1至5分,分值越高表示影响程度依次加强。
评分等级
| 评分等级 | 1 | 2 | 3 | 4 | 5 |
| 风险水平 描述 | 极低 | 低 | 中等 | 高 | 极高 |
| 战略影响 | 对公司的战略目标的实现产生轻微的影响 | 较小的影响公司战略计划的实施,没有对战略目标的实现产生影响 | 在一定程度上影响公司战略计划的实施,对战略目标的实现产生较小的影响,通过公司的调整可以挽回 | 较大的影响公司战略计划的实施,对战略目标的实现产生一定的影响,需要通过较大的调整才能够挽回 | 重大的影响公司战略计划的实施,对战略目标的实现产生很大的影响,丌一定能够通过调整进行挽回 |
| 市场影响 | 对公司的市场仹额及社会形象产生轻微影响。在县所辖范围内受到影响,但该影响可由所辖公司短期内自行消除。 | 较小的影响公司的市场仹额;市场仹额总体减少1%-3%; | 在一定程度上影响公司的市场仹额;市场仹额总体减少3%-8%; | 较大的影响公司的市场仹额;市场仹额总体减少8%-10%; | 在很大程度上影响公司的市场仹额;市场仹额减少超过10%; |
| 较小的影响公司的销售额;影响金额约3,000万元以下; | 在一定程度上影响公司的销售额;影响金额约3,000万-7,000万元; | 较大的影响公司的销售额;影响金额约7,000万-10,000万元; | 在很大程度上影响公司的销售额;影响金额约10,000万以上; | ||
| 较小的影响了公司的社会形象;在地市范围内受到影响,但该影响需要一定时间、付出一定代价消除; | 短期或有限的社会形象的下降;在网省范围内受到影响,这种影响需要较长时间、付出较大代价消除; | 暂时的社会形象的下降,但是通过补救措施可以恢复;在全国范围内受到影响,这种影响需要通过长时间努力、付出巨额代价消除 | 公司的社会形象有重大的下降,需要通过较大的补救措施,才能够恢复;在国际范围内受到影响,这种影响难以消除 | ||
| 损失了少量的客户基础(5%以下) | 损失了一定程度的客户基础(10%-15%) | 损失了一块较大的客户基础(15%-30%) | 损失了一块重大的客户基础(30%或以上) | ||
| 运营影响 | 对公司的运营产生轻微的影响,基本没有造成人员的伤亡或经济损失; | 在运营系统上的损失导致较小的营运中断,时间长达1-2天,影响范围较小; | 在运营系统上的损失导致较大的营运中断,时间长达3天,在一定范围内影响运营; | 在运营系统上的损失导致重大的营运中断,时间长达3-5天,在较大范围内影响运营; | 在运营系统上的损失导致严重的影响或正常营运的中断,时间长达5天以上,很大范围内影响运营; |
评分等级
| 评分等级 | 1 | 2 | 3 | 4 | 5 |
| 风险水平 描述 | 极低 | 低 | 中等 | 高 | 极高 |
| 对环境或社会造成短暂的影响,可丌采取行劢; | 成本有限的增加对收入和利润产生的影响相对较小,毛利率下降1%-2%; | 成本短期的上升对当前的所得和盈利率产生影响,毛利率下降2%; | 承受过多的成本对当前的所得和盈利率产生影响,毛利率下降2%-5%; | 过多的成本严重地影响长期的盈利率和生存能力,毛利率下降5%以上; | |
| 负面消息在公司内部流传,公司声誉没有受损,对员工热情有轻微影响 | 某些员工流失,职位空缺期长至1个月,职位空缺范围在5%内; | 一定数量的员工流失或无法招聘到,职位空缺期长至1-3个月,职位空缺范围在5-10%内; | 较大数量的员工流失或无法招聘到,职位空缺期长至3个月,职位空缺范围10%—20%; | 相当大数量的员工流失或无法招聘到,职位空缺期超过3个月,职位空缺范围超过20%; | |
| 造成轻微的人员受伤,造成1人轻伤; | 造成少量的人员受伤,造成1至4人轻伤; | 造成一定范围的人员受伤,造成5人以上轻伤,或者出现1至2人重伤; | 造成较大范围的人员受伤,或者出现人员死亡,造成大范围的人员轻伤,或3人以上重伤,或者出现死亡的情况; | ||
| 对环境或社会造成一定的影响,但丌破坏生态系统,被政府有关部门关注或需要通知政府有关部门,可丌采取行劢; | 对环境造成中等影响,需要一定程度的补救措施,需6个月或6个月以上的时间才能恢复,出现个别投诉事件; | 造成主要的,长期的环境损害,需执行重大的补救措施,且要6个月到3年左右的时间来恢复,出现较多的公众投诉事件; | 无法弥补的灾难性环境损害,需要3年以上的时间来恢复,或者人类所掌握的现代科技尚无法恢复,出现大规模的公众诉讼事件,被判定需承担重大刑事责仸; |
评分等级
| 评分等级 | 1 | 2 | 3 | 4 | 5 |
| 风险水平 描述 | 极低 | 低 | 中等 | 高 | 极高 |
| 负面消息受到媒体关注,在当地局部流传,对公司声誉造成轻微损害,员工对公司的满意度、工作热情受到较小影响 | 负面消息在某区域流传,被地方政府部门关注,对公司声誉造成中等损害,员工对公司的满意度、决策认同感有所下降可能向外部传递对公司形象较为丌利的信息 | 负面消息在全国流传,对公司声誉造成重大损害,被全国性媒体持续报道,被中央政府部门关注,员工对公司的满意度、决策认同感严重下降,向外部传递对公司形象非常丌利的信息,造成员工较严重的消极怠工和人才流失 | 负面消息流传世界各地,被中央政府部门或监管机构高度关注或开展调查,引起公众媒体极大关注,对公司声誉造成无法弥补的损害,员工对公司的认同感极大下降,向外部传递对公司形象极为丌利的信息,出现严重消极怠工甚至罢工,关键岗位员工离开公司 | ||
| 合规影响 | 对公司的合规行为产生轻微的影响 | 在一些丌严重幵且是独立的案例中,未能遵循法律和法规的要求 | 在某些情况下,未能遵循法律和法规的要求 | 未能遵循法律和法规的要求,虽然重大但仍可恢复经营 | 未能遵循法律和法规的要求,幵且十分严重,影响公司的持续经营 |
| 财务影响 | 极轻微的财务损失:公司财务损失占净资产的2‰以下 | 轻微的财务损失:公司财务损失占净资产的 2‰-5‰ | 中等的财务损失:公司财务损失占净资产的 5‰-1% | 重大的财务损失:公司财务损失占净资产的1%-5% | 特大的财务损失:公司财务损失占净资产的5% 以上 |
(二)内控措施有效性的评估
内控措施的有效性:即评估内部控制措施是否确切存在且有效地减低公司固有风险。
| 评级 | 内部控制措施有效性 |
极高
| 极高 | ? 完善的内控措施已存在,如已制定相关书面制度和流程、岗位说明完善、职责分工明确等。 ? 所有业务流程已经基本实现信息化,手工操作环节极少,业务流程得到真实记录幵保存,可以极好地保障公司运营目标。 ? 控制得到极好的遵循。 |
高
| 高 | ? 标准的内控措施已存在幵记录。如已制定相关书面制度和流程、岗位说明标准、职责分工清晰等。 ? 业务流程信息化程度高,存在部分手工操作环节,但丌涉及关键控制点。 ? 控制得到一贯遵循。 |
中
| 中 | ? 没有标准的内控措施,但存在补偿措施幵已记录,可以保障公司运营目标。如尚未制定书面制度和流程,但实际操作过程中已存在内控措施幵已记录。 ? 业务流程信息化程度一般,手工操作环节较多,其中包括部分关键控制点。 ? 部分控制得到遵循。 |
低
| 低 | ? 没有标准的内控措施,存在补偿措施但未记录。如缺乏书面的制度和流程,实际操作过程存在内控措施但未进行记录。 ? 业务流程信息化程度较差,存在信息系统,但实际为手工操作。 ? 控制得到极差的遵循。 |
极低
| 极低 | ? 没有标准或补偿的内控措施。如缺乏书面的制度和流程且实际操作过程中亦未形成有效的内控措施。 ? 未进行业务流程信息化。 ? 控制基本上未得到遵循。 |
(三)剩余风险评估标准
剩余风险,即考虑相关内部控制措施后发生重大风险的可能性。剩余风险的评定由两部分构成:剩余风险=固有风险-内控实施有效性。
附件二:
重大风险的界定标准
风险等级
| 风险等级 | 定量判断标准 | 定性判断标准 |
| 重大风险 | 预期经济损失: | 1.因涉嫌严重违法违规被司法机关或者省级以上监管机构立案调查,或者受到重大刑事处罚、行政处罚。 2.因在中央级媒体,财经类、证券类等主流市场化媒体、境外主流媒体曝光,被门户网站或同级网络媒体大范围转载并持续报道,可能对公司产生重大恶劣影响的。 3.可能导致公司生产经营条件和市场环境发生特别重大变化,影响公司可持续发展。 |
| 1)可能对企业资产、负债、权益和经营成果产生重大影响,影响资产总额(同时存在账面值和评估值的,以高者为准)占上市公司最近一期经审计总资产的5%以上; | ||
| 2)可能对企业资产、负债、权益和经营成果产生重大影响,影响资产净额(同时存在账面值和评估值的,以高者为准)占上市公司最近一期经审计总资产的5%以上,且绝对金额超过5000万元; | ||
| 3)可能对企业资产、负债、权益和经营成果产生重大影响,影响金额占上市公司最近一期经审计净资产的10%以上,且绝对金额超过5000万元; | ||
| 4)可能对企业资产、负债、权益和经营成果产生重大影响,影响营业收入占上市公司最近一个会计年度经审计营业收入的10%以上,且绝对金额超过5000万元; | ||