内部控制管理制度
- 格式:docx
- 大小:19.63 KB
- 文档页数:7
内部控制管理制度
第一章 总则
第一条 为加强公司内部控制,提高公司经营管理水平和风险防范能力,促进公司规范运营和持续健康发展,切实保护投资者的合法权益,根据《中华人民共和国公司法》《中华人民共和国证券法》《企业内部控制基本规范》及其配套指引、《上海证券交易所股票上市规则》《上海证券交易所上市公司内部控制指引》等法律法规、规范性文件和《公司章程》的相关规定,并结合公司实际,特制定本制度。
第二条 本制度所称内部控制,是指由公司董事会、监事会、管理层和全体员工实施的、旨在实现控制目标的过程。
第三条 本制度适用于公司及公司所属的全资子公司、控股子公司及分公司等。
第二章 内部控制的目标和原则
第四条 内部控制体系是以风险管理为核心内容,以流程梳理为基础,关键控制活动为重点,涵盖公司经营管理各领域,设置较为完善、合理、运行有效的管控措施,最终实现防范风险,创造价值的目标。其特点是突出流程、风险导向、落实责任、规范管理、堵塞漏洞、防范舞弊的内部控制体系。
第五条 通过实施内部控制,应实现以下四个具体目标:
(一)执行国家法律法规和公司各项规章制度,确保内部控制体系符合外部监管要求、符合公司发展需要。
(二)保证公司财务报告及相关信息真实、完整,信息披露真实、准确、完整、及时、公平。
(三)预防和控制各种错误和弊端,及时采取有效措施,防范经营管理中的各种风险,确保资产安全。
(四)平衡成本与收益,优化控制措施,提高经营效率和效果。
第六条 建立与实施内部控制,应当遵循以下原则:
(一)合法合规原则:内部控制须符合国家法律法规和相关政策的要求。
(二)全面性原则:内部控制应当贯穿于决策、执行和监督全过程,覆盖公司及所属分(子)公司的各种业务和事项。
(三)重要性原则:内部控制应当在全面控制的基础上,以风险为导向,确定重点关注的业务单元、重要业务领域或流程环节。
(四)制衡性原则:内部控制应当在治理结构、机构设置及权责分配、业务流程等方面相互制约、相互监督,同时兼顾运营效率。
(五)适应性原则:内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着公司情况的变化及时加以调整。
(六)一致性原则:采用基本一致的内部控制标准和评价方法,保证建设实施的规范性和监督检查的可比性。
(七)成本效益原则:内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
(八)统一管理,分级负责原则:按照集中、分层、分类管理的模式,各单位在其职责范围内负责落实具体内部控制工作,确保公司内部控制整体目标的实现。
第三章 内部控制的实施组织机构和职责
第七条 组织机构设置:内部控制组织架构建立在公司现有组织架构的基础上,由决策层、管理层、执行层和监督层构成。
第八条 公司设置专门机构,负责统筹、规划和落实公司内部控制相关决议事项,并开展具体内部控制管理和内部控制有效性评价相关工作。
第九条 各业务单位作为公司内部控制实施的责任主体,其单位负责人为本单位内部控制的第一责任人,全面负责本单位的内部控制工作。
第四章 内部控制的实施内容
第一节 内部环境
第十条 内部环境是公司内部控制体系的基础,影响公司全体员工的内部控制意识,以及全体员工实施控制活动和履行控制责任的态度、认识和行为,涵盖诚信与道德价值观、发展目标、管理理念与企业文化、董事会及下属委员会、组织结构、权利和责任分配、人力资源管理以及员工胜任能力等内容。
(一)诚信与道德价值观:建立涵盖公司各个层面的员工职业道德规范,体现公司诚信与道德价值观念,树立员工诚信价值观。 (二)发展目标:公司制定发展目标作为风险评估的前提条件。公司应当在充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标。公司目标通常分为战略目标、经营目标、报告目标以及合规目标等。
(三)管理理念与企业文化:确立公司管理理念,体现公司经营管理风格,体现公司认知经营管理风险所共有的信念和态度。
(四)董事会及下属审计委员会:董事会的设立符合法律法规和《公司章程》的规定。董事会或董事会授权的专门机构负责督导公司内部控制体系的建立和实施,督导公司将风险管理融入战略管理之中,监督公司以风险管理为核心的内部控制工作。董事会下属的审计委员会的设立符合法律法规和《公司章程》的规定,负责监督内部控制体系运行与评价情况。
(五)组织结构:建立规范的法人治理结构,设置并持续优化组织结构,明确部门权责并细化落实到各个岗位。通过制定管理制度、操作流程,编制岗位规范等方式,使全体员工掌握内部机构设置、岗位职责、业务流程等,明确职责分配,正确行使职权。
(六)权利和责任分配:公司应建立完善的权责管理体系。
(七)人力资源管理:公司应建立完善的人员任用选拔、管理考核和激励监督等方面的政策。
(八)员工胜任能力:公司应建立健全全员职业培训和技能提升管理机制,持续提高员工的综合素质和工作能力。
第十一条 内部控制管理人员设置
为确保公司顺利开展内部控制管理工作,各单位根据内部控制工作量的大小设置相应的专兼职内部控制管理岗位。
第十二条 内部控制管理人员的选拔与培养
(一)内部控制管理人员的选拔:各单位应选拔可胜任的内部控制管理人员,并保证其稳定性,为有效开展内部控制工作提供保障。
(二)内部控制管理人员的培养:各单位可采用“走出去、请进来和内部赋能”等相结合的方式提升内部控制管理人员的专业能力,持续提升公司内部控制管理组织的能力。
第二节 风险评估 第十三条 风险评估包括风险识别、风险分析和风险评价等内容。
第十四条 公司制定完善的风险评估流程,明确风险评估的程序和方法,规范公司风险评估工作。
第十五条 风险评估的基本程序
风险识别:查找公司各项重要经营管理活动及其重要业务流程中存在的影响目标实现的风险和机遇的过程。公司分别从公司整体情况、业务活动情况,动态识别影响公司战略目标及相关目标实现的内部和外部的各种不确定性因素,分析其给公司带来的威胁和机遇并进行应对。识别风险需关注的内外部因素,具体如下:识别内部风险需关注的因素:
1、董事、监事、高级管理人员的职业操守、员工专业胜任能力等人力资源因素。
2、组织机构、经营方式、资产管理、业务流程等管理因素。
3、研究开发、技术投入、信息技术运用等自主创新因素。
4、财务状况、经营成果、现金流量等财务因素。
5、营运安全、员工健康、环境保护等安全环保因素。
6、其他有关内部风险因素。
识别外部风险需关注的因素:
1、经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。
2、法律法规、监管要求等法律因素。
3、安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
4、技术进步、工艺改进等科学技术因素。
5、自然灾害、环境状况等自然环境因素。
6、其他有关外部风险因素。
风险分析:根据现有信息,采用定性和定量相结合的方法按照风险发生的可能性和影响程度两个维度进行分析,同时还要对现有的风险控制措施及其有效性等进行分析,以便制定出更合理有效的管控措施。
风险评价:将各种风险的分析结果进行比较,确定风险等级,识别公司重点关注和优先控制的风险。
风险管理策略:公司针对风险发生的原因、风险重要性水平,考虑风险之间的关联关系并把握机遇,遵循成本效益权衡原则和合法合规原则,综合应用风险承担、风险规避、风险转移、风险降低、风险追求等风险管理策略,实现对风险的有效控制。公司应结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
第三节 控制活动
第十六条 控制活动是结合风险评估结果,运用相应的控制措施,将风险控制在可承受范围内,确保管理层关于风险管理策略得以贯彻执行的政策和程序。包括但不限于授权、批准、复核、核对、重大风险预警、不相容职务分离、运营分析和绩效考评等。
第十七条 公司应根据风险管理策略,针对公司重点关注和优先控制风险或其它关键风险制定相应的风险应对方案,包括规章制度、操作流程、权限职责等。建立避、防、导、塑四大措施相结合的风险应对措施。
第十八条 公司应当按照各有关部门和业务单位的职责分工,组织实施控制措施,具体如下:
(一)针对公司层面控制,按照风险管理策略,建立相应的公司层面控制措施,统驭业务活动层面控制。
(二)针对业务活动层面控制,以公司层面控制措施为导向,规范业务流程,制定业务活动层面控制活动。
(三)针对整体信息系统层面:建立信息系统一般控制,包括信息安全与访问控制、程序开发、程序变更、信息系统运行与操作管理等。
第四节 信息与沟通
第十九条 信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式及时传递,以便员工履行职责。信息不仅包括内部产生的信息,还包括与公司经营决策和对外报告相关的外部信息。
第二十条 公司应建立畅通的沟通渠道和机制,使公司的员工能及时取得在执行、管理和控制公司经营过程中所需的信息,同时,建立适当的渠道就相关信息与公司的相关方(如:供应商、客户、股东等)进行必要的外部沟通。信息沟通过程中发现的问题,应及时报告并加以解决,重要信息应及时传递给董事会、监事会和管理层。 第二十一条 公司应制定完善的信息披露管理制度,明确重大事项的判定标准和报告程序,确定披露事项的收集、汇总和披露程序,符合监管要求。
第二十二条 公司应制定反舞弊相关制度,建立反舞弊机制。持续开展舞弊调查并逐步完善反舞弊机制。
第二十三条 公司应建立包括信息系统的控制环境、信息安全、系统变更管理、系统运行维护、最终用户操作等内容的信息系统总体控制规范与规章制度,确保公司信息系统稳定运行和安全,并持续不断的进行改进、完善或更新。
第五节 内部监督
第二十四条 内部监督是对内部控制体系有效性进行评估的持续过程。公司应以重大风险、重大事件和重大决策、重要管理及业务流程为重点,对内部控制体系的有效性实施监督。
第二十五条 内部监督是对公司内部控制体系设计有效性及执行的效率和效果进行监督评价,揭示、防范和管理企业风险,以便能更好地实现内部控制的目标,完善内部控制体系。
第二十六条 内部监督包括日常监督、专项监督以及内部审计。相关部门通过监督与评价,识别公司内部控制管理运行过程中存在的风险和缺陷,同时依据相关标准对已识别的风险和缺陷进行评估认定,对识别的重大风险和重大缺陷报公司董事会最终认定后执行。
第二十七条 日常监督:公司对建立与实施内部控制的情况进行常规、持续的监督检查。各业务单位作为内部控制的第一道防线,应随时监控本单位内部控制体系运行情况,确保公司生产经营活动的合规性及风险的可控性。
第二十八条 专项监督:是指对某一或者某些方面进行有针对性的监督检查和评价。公司内部控制管理部门和其他职能部门作为内部控制的第二道防线,应时刻关注公司发展战略、组织结构、经营活动、业务流程、关键岗位人员等发生重大调整或变化,根据业务实际运行情况,遵循全面覆盖、重点监控的原则,及时对相应管理领域的某一或者某些方面进行有针对性的监督检查和评价,并报告。
第二十九条 内部审计:公司审计部门作为内部控制的第三道防线应对公司内部控制有效性进行独立审计并报告。
第三十条 公司审计委员会根据公司授权的监督检查部门提供的内部控制评