唐山港:全面风险与内部控制管理办法2017-10-28
唐山港集团股份有限公司
全面风险与内部控制管理办法
TSPGC.GS.WJ17-72
第一章 总 则
第一条 宗旨和依据
为规范和加强唐山港集团股份有限公司(以下简称“集团公
司”或“公司”)全面风险与内部控制管理,增强公司风险管理能
力,建立健全内部控制体系,促进公司持续、健康、稳定发展,
提高公司经营管理水平和风险防范能力,根据《中华人民共和国
公司法》、《中华人民共和国企业国有资产法》、《唐山市人民政府
国资委监管企业全面风险管理工作实施办法》、《企业内部控制基
本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》
以及上海证券交易所《上海证券交易所上市公司内部控制指引》
等相关法规、政策要求,特制定全面风险与内部控制管理办法。
第二条 适用范围
本办法适用于集团公司本部、控股及以上子公司(以下简称
“子公司”)。
第三条 概念与定义
(一)风险及风险分类
风险是公司发展过程中的各种不确定性对企业实现其经营目
标的影响。风险一般可分为战略风险、财务风险、市场风险、运
营风险、法律风险等。
1
� 战略风险:战略环境和战略管理过程的不确定因素对实现经
营目标的影响。公司主要的战略风险有企业文化建设风险、战略
规划与实施风险、投资决策风险、政治与政策风险等。
财务风险:融资安排、会计核算、财务报告等财务管理活动
中不确定因素对实现经营目标的影响。公司主要的财务风险有:
财务报告风险、现金流风险、应收账款风险、资金管理风险、税
务风险、对外担保风险等。
市场风险:市场环境的不确定因素对实现经营目标的影响。
公司主要的市场风险有:需求风险、价格风险、竞争风险、客户
信用风险、客户关系维护风险、品牌策略风险等。
运营风险:内部流程和系统、人为或外部等不确定因素对实
现经营目标的影响。公司主要的运营风险有:人力资源风险、技
术风险、服务质量风险、健康安全环保风险、信息系统风险、采
购风险、工程管理项目风险、外部事件风险等。
法律风险:法律环境以及相关利益主体法律行为等方面不确
定因素对实现经营目标的影响。公司主要的法律风险有:合同风
险、法律纠纷风险、知识产权风险、合规管理风险、重大决策风
险等。
(二)风险级别
风险按风险等级评定标准分为三级:高风险(视风险可能造
成的影响程度特别识别出重大风险)、中风险和低风险。风险等级
评定方法采用风险矩阵法,从风险发生可能性的高低和对目标的
影响程度等方面进行评估。
(三)全面风险管理
2
� 全面风险管理是指公司围绕总体战略目标,通过在公司管理
各个环节和经营过程中执行风险识别、评估、应对、报告、监督
等工作流程,培育良好的风险管理文化,建立健全风险管理体系,
从而为实现公司总体战略目标提供合理保证的过程和方法。
(四)内部控制
内部控制是全面风险管理的重要组成部分,指围绕风险管理
策略目标,针对企业文化、战略管理、公司治理、风险和内控、
资源管理、业务运营、业务支持、监管系统、改进等业务价值链,
通过执行以风险管理为导向的内部控制基本流程,制定并执行规
章制度、程序和措施的动态管理过程。
第四条 全面风险与内部控制管理的目标
(一)确保将风险控制在与企业目标相适应并可承受的范围
内,有效地管理和应对公司当前面临的风险。
(二)合理保证公司经营管理合规合法、资产安全,确保公
司内外部实现真实、可靠的信息沟通,提供真实、可靠的经营管
理、财务等方面的情况和数据,确保满足外部监管机构的监管要
求。
(三)确保公司有关规章制度和为实现经营目标而采取的重
大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效
率和效果,降低实现经营目标的不确定性。
(四)确保公司建立防范各项风险发生的行动计划,保护公
司不因灾害性风险或人为失误而遭受重大损失。
(五)建立一套健全的全面风险管理组织体系,形成规范化
的风险管理与内部控制流程,培育公司内部全面风险管理文化和
3
�理念,为公司的管理规范化和决策科学提供支持,实现经营管理
的长效和稳定。
第五条 全面风险与内部控制管理原则
公司开展全面风险管理工作应与其他管理工作紧密结合,把
风险管理的各项要求融入公司管理和业务流程中,加强风险的管
理和流程的风险控制。
(一)全面整合原则:内部控制是全面风险管理的手段,是
全面风险管理的重要组成部分。在建立和实施管理体系时,公司
应建立一套完善的管理体系,全面风险与内部控制管理管理体系
应与公司其他管理体系充分整合,以风险为导向,系统审视各项
管理制度,对现有组织职能、制度程序和信息系统进行梳理,加
入风险管理要素,使风险管理落实到日常管理工作中去。
(二)上下贯通原则:全面风险与内部控制管理体系的建立
和实施采取集团总部与作业单位、子公司层层分解落实,上下贯
通的原则,保持全面风险与内部控制管理体系格式统一、方法统
一和语言统一。
(三)战略导向的原则:全面风险与内部控制管理体系是以
企业的整体战略为纲领来建立的,内嵌于公司的战略、服务于战
略,其管理的目标和管理活动均以公司战略为导向,为公司的战
略目标的实现提供有力支持。
(四)风险理念渗透原则:全面风险与内部控制管理是公司
自上而下的流程管理,通过文化渗透的方式,使每一个员工都能
充分认识到自身的风险管理责任,履行全面风险管理工作职责,
自觉防范和控制风险。
4
� (五)立体交叉防范原则:全面风险管理是公司各个层面和
环节的工作和任务,公司各个部门和各所属单位、子公司应将全
面风险与内部控制管理落实到业务层面和部门层面,实现多维度
的立体交叉防范。
(六)效益、效率和风险平衡原则:一方面要将风险管理融
入内部控制,加强对关键风险点的管控;另一方面优化流程,合
理减少冗余控制环节,降低管理成本,从而实现风险控制与效益、
效率的最佳平衡。根据公司未来的整体战略,在重点采取承担、
规避、转移、控制等手段管理风险的同时,根据总部各部门和各
所属单位、子公司的风险管理承受度,积极探索有效管理风险的
方法。
第六条 全面风险与内部控制管理体系框架
(一)全面风险与内部控制管理体系围绕业务运营范围展开,
是正常业务运营的保障,为业务运营体系提供强有力的支撑保证
作用,覆盖公司业务运营的各个环节。
(二)全面风险与内部控制管理体系横向架构分为企业文化、
战略管理、公司治理、风险和内控、资源管理、业务运营、业务
支持、监管系统、改进等业务价值链模块,此九大模块构成了集
团全面风险与内部控制管理体系建设的框架,支撑并覆盖集团运
营的各个业务环节,将管理真正纳入体系化、标准化、制度化的
轨道。
(三)全面风险与内部控制管理体系纵向架构。每个模块都
要有配套管理办法,并视情况建立详细的工作细则、程序文件和
流程图。辨识、评估出的业务风险点应嵌入到业务流程中,并对
5
�风险点的应对措施有清楚的阐述。
第二章 全面风险与内部控制管理组织机构及职责
第七条 全面风险与内部控制管理组织体系
公司设立由董事会、监事会、经理层、全面风险与内部控制
建设部门、评价部门和运行部门构成的组织体系。管理实行“统
一领导、分级负责”的管理体制,集团公司统一领导,集团公司
本部和子公司分别负责本公司的工作。
第八条 董事会的管理职责
董事会是公司全面风险与内部控制管理的最高决策机构,主
要职责包括:
(一)批准《全面风险与内部控制管理办法》;
(二)授权经理层审批企业年度全面风险管理报告;
(三)确定企业风险管理总体目标、风险偏好、风险承受度,
批准重大风险管理策略和应对措施;
(四)根据公司章程要求进行重大事项决策,授权经理层审
议重大事项专项风险评估报告;
(五)认定内部控制重大缺陷;
(六)批准年度内部控制评价报告与全面风险及内部控制管
理监督检查报告;
(七)督导企业风险管理文化的培育;
(八)全面风险与内部控制管理其他重大事项。
第九条 监事会的管理职责
监事会是公司全面风险与内部控制管理的监督机构,负责监
督董事会、经理层建立与实施全面风险与内部控制管理。
6
� 第十条 经理层的管理职责
经理层负责组织领导公司全面风险与内部控制管理的建设和
日常运行,主要职责包括:
(一)审核《全面风险与内部控制管理办法》,提请董事会批
准;
(二)审批全面风险及内部控制管理组织机构设臵及其职责
方案;
(三)审批《全面风险与内部控制管理手册》的建立和更新;
(四)审批《风险评价标准》和《内部控制缺陷评价标准》;
(五)在董事会授权下审批重大风险评估结果、管理策略和
应对措施,企业年度全面风险管理报告以及重大事项专项风险评
估报告;
(六)审核并批准内部控制评价方案;
(七)审核内部控制缺陷及缺陷评价结果,认定重要缺陷,
重大缺陷提请董事会认定;
(八)审核内部控制评价报告与全面风险及内部控制管理监
督检查报告,提请董事会(含董事会下设审计委员会)批准;
(九)审批全面风险与内部控制管理绩效考核方案;
(十)审批全面风险与内部控制管理信息系统建设方案;
(十一)组织企业风险管理文化的培育;
(十二)全面风险与内部控制管理其它重大事项。
第十一条 建设部门的管理职责
董事会秘书办公室是集团全面风险与内部控制管理建设工作
的牵头管理部门,是集团本部全面风险与内部控制管理的建设部
7
�门,主要职责包括:
(一)建立健全《全面风险与内部控制管理办法》;
(二)研究提出全面风险及内部控制管理组织机构设臵与其
职责方案;
(三)牵头组织健全和更新集团本部《全面风险与内部控制
管理手册》;
(四)制定全面风险与内部控制管理建设工作的绩效考核方
案;
(五)组织建立和更新《风险评价标准》;
(六)组织风险信息收集、识别与评估,审核风险评估结果
及应对措施,并根据风险评估结果确定重大风险,组织研讨重大
风险应对方案编制;
(七)明确重大事项专项风险的评估工作要求,备案重大事
项专项风险评估报告;
(八)组织编制企业年度全面风险管理报告;
(九)负责公司全面风险与内部控制管理建设方面人才的发
现和培养;
(十)负责组织全面风险与内部控制管理信息系统的建设;
(十一)负责组织全面风险与内部控制管理文化的宣贯工作;
(十二)指导、监督子公司全面风险与内部控制管理建设工
作;
(十三)配合、协调和沟通外部监管机构的全面风险管理及
内部控制建设工作事宜;
(十四)全面风险与内部控制管理建设的其它工作。
8
� 第十二条 评价部门的管理职责
审计部是集团全面风险与内部控制管理评价工作的牵头管理
部门,是集团本部全面风险与内部控制管理的评价部门,主要职
责包括:
(一)配合董事会秘书办公室健全和更新《全面风险与内部
控制管理手册》的评价部分;
(二)制定全面风险与内部控制管理评价工作的绩效考核方
案;
(三)制定年度风险管理与内部控制评价方案;
(四)组织建立和更新《内部控制缺陷评价标准》;
(五)组织对内部控制缺陷进行识别,提交经理层审核并认
定重要缺陷,重大缺陷需报董事会认定;
(六)跟踪内部控制缺陷整改情况;
(七)编写年度内部控制评价报告与全面风险及内部控制管
理监督检查报告,提交经理层审核、董事会审批;
(八)指导、监督子公司的全面风险与内部控制管理评价工
作;
(九)配合、协调和沟通外部监管机构的全面风险与内部控
制管理评价工作事宜;
(十)全面风险与内部控制管理监督、评价的其它工作。
第十三条 运行部门的管理职责
集团公司本部各职能部门、生产作业单位是全面风险管理及
内部控制的运行部门,负责根据职能职责,在建设及评价部门的
统一组织下开展全面风险管理与内部评价的建设与评价工作。各
9
�职能部门、生产作业单位负责人为本部门或本单位全面风险管理
及内部控制的第一责任人,应明确专、兼职人员负责全面风险管
理及内部控制工作。
集团公司本部各职能部门主要职责包括:
(一)按照全面风险与内部控制管理工作的总体安排,开展
相关工作;
(二)根据公司内外部环境、业务及管理变化情况,开展职
能职责范围内的风险信息收集、识别、评估与应对工作;
(三)审核本单位职能职责范围内的风险评估结果及应对措
施,识别重大风险及应对措施;
(四)针对职责范围内的重大事项,编制重大事项项目方案,
组织成立独立风险评估小组,形成重大事项专项风险评估报告报
经理层审批,报董事会秘书办公室备案;
(五)结合自身管理职能、现状及未来管理思路,依据职能
职责对《全面风险与内部控制管理手册》提出优化建议;
(六)在职能职责范围内,配合建设部门和评价部门对子公
司《全面风险与内部控制管理手册》进行会审;
(七)对职能职责范围内的管理制度、业务流程进行梳理与
完善,确保全面风险与内部控制管理工作得到落实;
(八)在职能职责范围内,指导子公司完善配套管理制度,
并有效实施;
(九)根据风险管理与内部控制评价方案,配合评价部门开
展自查与独立检查工作;
(十)落实职责范围内的缺陷整改工作;
10
� (十一)配合建设部门和评价部门开展全面风险管理工作报
告和评价报告的编制,提供相关资料支撑;
(十二)在管理职责范围内,指导、监督子公司的全面风险
管理及内部控制运行工作;
(十三)组织开展职能职责范围内的全面风险与内部控制管
理信息系统的建设和维护工作;
(十四)组织开展职能职责范围内的风险管理文化的培育宣
传工作;
(十五)负责本单位全面风险与内部控制管理其它有关工作。
生产作业单位的主要职责适用以上(一)、(二)、(四)、(五)、
(七)、(九)、(十)、(十一)、(十三)、(十四)、(十五)。
第十四条 子公司的管理职责
子公司负责人为本公司全面风险与内部控制管理第一责任
人。子公司按照集团公司的统一布署,建立和健全本公司的全面
风险与内部控制管理工作,主要职责包括:
(一)建立健全本公司全面风险与内部控制管理组织体系,
明确全面风险与内部控制管理中的各项职责;
(二)执行集团《全面风险与内部控制管理办法》,完善本公
司的全面风险与内部控制管理手册;
(三)制定本公司全面风险与内部控制管理工作的绩效考核
方案;
(四)组织建立健全和更新本公司《全面风险与内部控制管
理手册》;
(五)组织建立和更新本公司《风险评价标准》;
11
� (六)审批本公司风险评估结果及应对措施;
(七)组织本公司风险信息收集、风险识别与评估,并根据
风险评估结果,确定本公司重大风险及其管理策略和应对措施;
(八)负责本公司全面风险与内部控制管理人才的发现和培
养;
(九)起草本公司年度全面风险管理工作报告;
(十)负责组织本公司全面风险与内部控制管理信息系统的
建设;
(十一)负责全面风险与内部控制管理文化的宣贯工作;
(十二)组织开展本公司内部控制自评价、全面风险及内部
控制管理监督检查工作;
(十三)落实本公司的缺陷整改工作;
(十四)对职能职责范围内的管理制度、业务流程进行梳理
与完善,确保全面风险与内部控制管理工作得到落实;
(十五)全面风险与内部控制管理建设的其它工作。
第三章 全面风险管理及内部控制基本流程
第一节 风险信息收集
第十五条 风险信息收集
集团本部及各子公司应广泛、持续不断地收集影响本单位实
现目标的内、外部风险信息,作为本单位开展全面风险管理工作
的基础和依据。风险信息收集应考虑以下方面:
(一)战略及运营目标的制定,辨识公司在实现战略及目标
过程中可能遇到的战略、市场、运营、法律及财务风险;
(二)确认影响公司运营的内外部环境,和由内外部环境因
12
�素带来的风险;
(三)对照本公司实际业务运营,合理制定风险管理绩效指
标和风险预警指标;
(四)提供全面风险与内部控制管理工作指导和参考,对制
定的控制活动进行修正,满足全面风险管理及内部控制管理原则,
达成全面风险与内部控制管理管理目标;
(五)考虑内外部利益相关方的诉求。
第二节 风险辨识与评估
第十六条 风险辨识与评估概述
集团本部及各子公司应依据职责识别影响公司目标实现的潜
在风险,并每年进行最少一次的风险评估,以应对持续变动的经
营环境及公司业务的转变。风险辨识与评估工作包括风险识别、
风险分析、风险评价三个步骤。
第十七条 风险识别
风险识别是指公司根据其发展愿景及发展目标,对影响其目
标实现的事项进行辨认,风险识别是风险评估的实施基础。
集团本部及各子公司根据明确的公司发展目标、重要经营活
动及业务流程、公司过往年度经营活动中发生的问题与公司过往
年度的风险,对影响公司发展目标实现的事项进行识别,确定风
险评估的风险事项范畴。集团本部各单位及各子公司识别风险事
项后,应填写本单位《风险数据库》。
第十八条 风险分析
风险分析包括风险之间的关系分析,每个风险点的产生原因
和影响分析,以便发现各风险之间的自然对冲、风险事件发生的
13
�正负相关性等组合效应,从风险应对策略上对风险进行统一集中
管理。
集团本部及各子公司对识别出的风险事项进行产生原因和影
响的分析,为风险评价奠定基础。
第十九条 风险评价
风险评价是指公司针对影响目标实现的主要风险事项从风险
发生的可能性和风险发生后对公司目标的影响程度两方面进行评
价,确定风险等级,评估确定重大风险,以促使公司合理调配资
源对风险进行应对或者完善应对措施,从而使公司的整体风险水
平降至可接受范围。
集团本部各单位及各子公司按照本公司《风险评价标准》对
风险事项发生的可能性和影响程度进行评价,确定风险的等级,
填写《风险数据库》。
在进行风险评估时,应当充分吸收专业人员参与,必要时组
成风险评估团队,以确保风险评估结果的准确性。
第三节 风险应对与控制
第二十条 风险应对策略
集团本部及各子公司根据内、外部环境和风险评估结果,围
绕公司发展战略,明确各类风险的风险偏好和风险承受度,制定
切实的风险应对策略,实现对风险的有效控制。
常用风险应对策略一般包括风险规避、风险控制、风险分担
和风险承受。对能够通过保险、期货、对冲等金融手段进行理财
的风险,可以采用风险转移、风险对冲、风险补偿等方法。
风险规避是企业对超出风险承受度的风险,通过放弃或者停
14
�止与该风险相关的业务活动以避免和减轻损失的策略。
风险控制是企业在权衡成本效益之后,准备采取适当的控制
措施降低风险或者减轻损失,将风险控制在风险承受度之内的策
略。
风险分担是企业准备借助他人力量,采取业务分包、购买保
险等方式和适当的控制措施,将风险控制在风险承受度之内的策
略。
风险承受是企业对风险承受度之内的风险,在权衡成本效益
之后,不准备采取控制措施降低风险或者减轻损失的策略。
第二十一条 风险控制措施
集团本部及各子公司应依据风险应对策略制定针对各风险事
项的具体风险控制措施,通过控制措施的实施,将风险控制在可
接受范围内。
公司制定风险解决的外包措施,应注重成本与收益的平衡、
外包工作的质量、自身商业秘密的保护以及防止自身对风险解决
外包产生依赖性风险等,并制定相应的预防和控制措施。
公司制定的风险解决的内控措施,应满足合规的要求,坚持
经营战略与风险策略一致、风险控制与运营效率及效果相平衡的
原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个
环节的全流程控制措施;对其它风险所涉及的业务流程,要把关
键环节作为控制点,采取相应的控制措施。
各单位应将风险应对策略和具体应对措施嵌入到各业务流程
的具体业务活动中,融入各项规章制度,循序渐进的优化内控制
度体系,使企业在正常运营过程中自发的防止错误、提高运行效
15
�率。
集团本部各单位及各子公司按照确定的风险应对策略和具体
的风险控制措施,填写《风险数据库》,提交本公司全面风险与内
部控制管理建设部门。各公司全面风险与内部控制管理建设部门
对风险识别、评估、应对信息进行审核汇总,形成本公司的《风
险数据库》,提交集团公司全面风险与内部控制管理建设部门审
核。
第二十二条 重大风险管理解决方案
集团公司全面风险与内部控制管理建设部门汇总整合各公司
提交的重大风险,并对重大风险的名称及数量进行调整,形成《重
大风险分析表》:
(一)当各公司评估出来的重大风险数量较少(一般要求每
个公司识别 5 个以上),基于谨慎性原则,可以升级其他相对重要
的高风险进入重大风险。当通过集体讨论发现有更重要的风险不
在重大风险中,可以经风险评估人员一致同意后补充到重大风险
中。
(二)如果重大风险之间相关程度非常密切,可以进行合并。
经过调整形成最终的重大风险清单后,应组织对重大风险进
行深入分析,主要分析其涉及的各管理及业务流程、动因、影响、
管理现状,提出管控建议,包括风险态度、风险策略和具体的涵
盖各个管理及业务流程的解决方案,并对重大风险进行持续跟踪
和改进。
重大风险分析应填写《重大风险分析表》,报经理层审批。
第四节 重大事项专项风险评估
16
� 第二十三条 重大事项专项评估范围
根据河北省国资委要求,各企业要进一步健全风险评估机制,
要求针对重大事项应建立专项风险评估机制,在提交决策机构审
议的重要事项议案中必须附有充分揭示风险和应对措施的专项风
险评估报告。
公司重大事项的范围包括但不限于企业重大投资、重大兼并
收购、重大重组改制等事项,例如企业改制、重组、上市、合资
合作经营、股权转让、并购、投资(设备、境外、项目、股权)、
融资、非对等担保、大宗采购、大宗销售、新业务拓展等事项,
各重大事项决策程序按相关专项管理办法执行。
第二十四条 重大事项专项评估流程
在上述重大事项发生时,由重大事项项目发起部门组建项目
方案编制小组,按照专项管理办法要求进行可行性研究与方案编
制工作。而后,按照职责分离原则组建风险评估小组(即风险评估
人员不能为方案编制人员,风险评估评估人员可为部门中层干部
或公司高级管理层)并组织重大事项项目风险评估会,根据会议讨
论结果形成《专项风险评估报告》,重大事项项目发起部门将项目
方案及项目专项风险评估报告按照“三重一大”事项规定程序呈
交经理层审核,董事会审批,审批通过后报董事会秘书办公室备
案。
因项目风险评估专业性、复杂性等原因,重大事项项目发起
部门也可借助外部专业机构力量开展风险评估工作,形成专项风
险评估报告。
第五节 风险监控预警
17
� 第二十五条 风险预警机制建立
各公司全面风险与内部控制管理建设部门应对风险进行仔细
分析研究,建立风险特别是重大风险的预警机制。
第二十六条 建立风险预警指标
各公司根据公司行业特点和经营状况,逐一确定风险点的风
险源,及一个或多个风险成因,确认风险点的关键成因,并对风
险关键成因进行指标量化,据此设臵风险预警指标。选择风险预
警指标时,应遵循以下原则:
(一)相关性,即指标值能够实际反应相关风险的大小;
(二)可操作性,包括计算数据的易获得性和准确性;
(三)可比性,指标可做历史同比,可与同行业对标企业同
比。
第二十七条 确定风险预警警示值
各公司依据确定的风险偏好、风险承受度,并结合相关的历
史数据测算、行业最佳实践值和平均值确定风险预警指标的可接
受水平,当风险预警指标超过风险预警警示值时,应及时向公司
管理层发出预警信号,使公司管理层能够及时进行风险控制。
第二十八条 风险预警监控
各公司明确风险预警的情况下的报告途径和管理责任人,同
时配合日常监控措施,实现对风险的实时监控和应对。 当风险预
警指标超过风险预警警示值时,须立刻向全面风险与内部控制建
设部门和经理层汇报,并马上启动或调整风险应对方案。
第六节 风控监督与评价
第二十九条 风险管理与内部控制评价
18
� 风险管理与内部控制评价,是指董事会和管理层实施的,对
企业风险管理与内部控制有效性进行评价,形成评价结论,出具
评价报告的过程。实施检查评价的目的是不断改进和完善全面风
险与内部控制管理体系,提高体系制度建设的健全性、合理性,
强化管理者的风控意识,落实各项控制措施,确保体系的有效运
行,及时有效的评估和控制可能出现的风险,采取针对风险和控
制薄弱环节的有效措施,提高企业运行的效率和效果,防范可能
出现的问题。
(一)评价原则
全面性原则。评价工作包括内部控制的设计与运行,涵盖公
司及其所属子公司的各种业务和事项。
重要性原则。评价工作应在全面评价的基础上,关注重要业
务公司、重大业务事项和高风险领域。
客观性原则。评价工作应准确地揭示经营管理的风险状况,
如实反映内部控制设计与运行的有效性。
(二)评价内容及标准
公司《全面风险管理与内部控制手册》及配套管理制度是公
司风险管理与内部控制评价的主要依据。评价内容围绕企业文化、
战略管理、公司治理、风险和内控、资源管理、业务运营、业务
支持、监管系统、改进等要素开展,对风险管理与内部控制体系
的设计与运行情况进行全面评价。
(三)评价程序
公司按相关要求定期组织风险管理与内部控制评价工作,评
价分为公司本部、子公司评价自查与集团公司独立评价。考虑成
19
�本效率原则,集团公司独立评价可与公司其他体系内部审核、内
部审计工作等工作整合实施。
1、制定评价工作方案
每年,全面风险与内部控制管理的更新维护工作结束后,公
司本部审计部制定年度评价工作方案,明确评价范围、工作任务、
人员组成、进度安排等相关内容,报公司经理层审批通过。
2、公司本部及子公司评价自查
各单位根据年度评价方案,制定本单位具体自查工作计划,
组织本单位根据《全面风险管理与内部控制手册》要求开展自查
工作,完成自查工作后,形成自查结果。于自查工作完成后 15 日
内,各单位将自查结果及整改方案上报公司本部审计部。公司本
部职能部门、生产作业单位经分管领导审批;子公司经本公司管
理层审核,集团公司分管领导审批后上报。自查发现的内部控制
缺陷应于当年 12 月 31 日前整改完毕。
3、组成独立评价工作组
公司本部审计部依据年度评价工作方案组建独立评价工作
组,各单位应保障评价工作人员到位且保证必要的工作时间。
独立评价人员应具有独立客观性及专业胜任能力。独立客观
性指为保证评价结果的客观性,执行评价人员要保持适当的独立
性,对本部门的评价工作实行回避制度。专业胜任能力指为保证
评价人员能够按照评价程序的要求完成测试,需经过培训,掌握
评价方法和标准,具备专业胜任能力。
4、发出评价检查通知
独立评价工作组在实施现场测试前 2-5 个工作日,向被评价
20
�单位发出评价检查通知,要求被评价单位提前准备相关制度和文
档并保证在进场后及时提供。
5、实施现场测试
独立评价工作组召开被评价单位负责人及相关人员参加的测
试沟通会议,就需沟通事项作出正式安排。
独立评价人员按照具体检查工作计划和分工,对被评价单位
进行现场测试,综合运用个别访谈、调查问卷、专题讨论、实地
查验、抽样和重新执行等方法,充分收集被评价单位内部控制设
计和执行是否有效的证据,填制评价检查底稿,形成评价检查结
果(包括评价检查总体情况和内部控制缺陷清单)。独立评价工作
组需与被评价单位就双方存在的不一致意见进行充分沟通,形成
被评价单位的最终评价检查结果并取得签字确认意见。
独立评价工作组建立评价质量复核程序,对评价工作底稿、
评价结果进行严格审核,确保评价工作质量。
6、年度内部控制评价报告与全面风险及内部控制管理监督检
查报告
每年二月份,公司本部审计部汇总年度内部控制评价工作,
编制公司年度工作总结报告与内部控制评价报告,年度内部控制
评价报告应根据上海证券交易所要求的格式进行编制,经经理层
审核,董事会审批。
全面风险及内部控制管理监督检查报告主要包括评价检查工
作的组织实施情况、被评价单位风险管理与内部控制总体评价,
内部控制缺陷和缺陷整改要求等。全面风险及内部控制管理监督
检查报告, 经经理层审核,董事会审批。
21
� (四)缺陷整改
完成自查、独立评价等评价工作后,公司本部审计部发布内
控缺陷整改通知,明确整改部门和整改时限并建立整改跟踪报送
机制。各单位根据内控缺陷整改通知进行整改,确保各项内控缺
陷整改落实到位。
(五)内部控制缺陷的评价与方法
独立评价结束,公司本部审计部组织董事会办公室、财务部
等相关职能部门根据《内部控制缺陷评价标准》,对评价工作中发
现的内部控制缺陷进行缺陷评价,并将内部控制缺陷及缺陷评价
结果提交经理层审核,其中重大缺陷报董事会予以认定。
内部控制缺陷根据其表现形式,可分为内部控制设计缺陷和
执行缺陷。根据其影响程度,可认定为重大缺陷、重要缺陷和一
般缺陷。重大缺陷,是指一个或多个控制缺陷的组合,可能导致
企业严重偏离控制目标。重要缺陷,是指一个或多个控制缺陷的
组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企
业偏离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的
其他缺陷。
第三十条 全面风险与内部控制管理的监督检查
审计部组织实施风险管理与内部控制监督检查工作(可与内
部审计工作项结合)。监督检查工作由日常监督检查和专项监督检
查构成。日常监督检查是指对建立与实施全面风险管理及内部控
制的情况进行常规、持续的监督检查。专项监督检查是指在公司
发展战略、组织结构、经营活动、业务流程、关键岗位员工等发
生较大调整或变化的情况下,对风险管理和内部控制的某一或者
22
�某些方面进行有针对性的监督检查。
各单位应以重大风险为重点,对全部风险的风险初始信息、
风险评估、风险策略及风险解决方案的实施情况进行监督。
第七节 全面风险与内部控制管理报告
第三十一条 全面风险管理报告
风险评估与应对工作结束后,集团本部董事会秘书办公室根
据全面风险管理报告模板按要求组织编制全面风险管理报告,报
送经理层审批。
第三十二条 内部控制评价报告与全面风险及内部控制管理
监督检查报告
审计部对企业全面风险与内部控制管理机制最少每年一次进
行独立检查,并根据检查结果编制全面风险与内部控制管理监督
检查报告、内部控制评价报告。
第八节 全面风险与内部控制的更新维护
第三十三条 全面风险与内部控制管理的更新维护
为保证有效指导公司全面风险与内部控制管理的管理工作,
各公司全面风险与内部控制管理建设部门应定期牵头组织对《全
面风险与内部控制管理手册》进行评估并根据评估结果进行更新
维护。
各公司全面风险与内部控制管理建设部门应每年 3 月份启动
更新维护工作,各单位对负责流程的风险、控制要求以及配套管
理制度进行评估,收集统计相关信息,主要包括与公司运营相关
的重大法律法规变化、流程变更、控制环节调整、配套管理制度
的变更以及其他重大事项等,并对《全面风险与内部控制管理手
23
�册》可提出改进建议,并将改进建议报送本公司全面风险与内部
控制管理建设部门。
各公司全面风险与内部控制管理建设部门组织相关部门对改
进建议进行会审,提出《全面风险与内部控制管理手册》改进意
见和公司关注的重大风险,报经理层审批,并正式下发最新版本。
各子公司需将更新后《全面风险与内部控制管理手册》、改进意见
和公司关注的重大风险报集团本部董事会秘书办公室备案,集团
本部董事会秘书办公室可以对子公司《全面风险与内部控制管理
手册》提出优化和修改要求。
第三十四条 全面风险与内部控制管理的动态管理
各单位应对风险信息实行动态管理,定期或不定期实施风险
识别、分析、评价,以便辨识新的风险和对原有风险的变化重新
评估。各单位对于因业务需求不定期进行的和对特定项目进行的
风险评估,应及时更新各单位风险数据库,并报送本公司全面风
险与内部控制管理建设部门备案。
如出现需要全面风险与内部控制管理建设部门统一协调处理
的事项,如涉及其他相关单位,全面风险与内部控制管理建设部
门可以要求相关单位出具意见。
第三十五条 文档的保存
全面风险管理及内部控制体系的建设部门及评价部门应按照
公司档案管理办法的要求,以书面或者其他适当形式妥善保存体
系建立、实施和评价过程中的相关记录或者资料,保存期不少于
10 年,确保体系建立、实施和评价过程的可验证性。
文档以年度为单位进行保存,主要包括《全面风险管理及内
24
�部控制办法》最新版、《全面风险管理及内部控制手册》更新记录、
内部控制缺陷整改通知、《全面风险管理报告》、《内部控制自评价
报告》(含审批记录)等重要过程文档、审批记录等。
第三十六条 文档的保密
文档严格按照国家和公司保密管理制度的相关规定进行规范
管理,同时严格按照公司档案管理相关规定,履行借阅、复印、
封存、销毁审批手续。
第四章 全面风险与内部控制管理信息系统
第三十七条 公司应逐步建立全面风险与内部控制管理信息
系统,实现覆盖风险管理基本流程工作的信息化,提高风险管理
工作的效率。
第三十八条 公司应确保全面风险与内部控制管理信息系统
的稳定运行和安全,并根据实际需要不断进行升级、完善或更新。
第五章 全面风险与内部控制管理文化
第三十九条 公司应注重建立具有风险意识的企业文化,促
进风险管理水平、员工风险管理素质的提升,保障风险管理目标
的实现。
第四十条 全面风险与内部控制管理文化建设应融入企业文
化建设全过程。大力培育和塑造良好的风险管理文化,树立正确
的风险管理理念,增强员工风险管理意识,将风险管理意识转化
为员工的共识,促进企业建立系统、规范、高效的风险管理机制。
第六章 全面风险与内控控制考核
第四十一条 公司应建立风险管理与内部控制考核管理要
求,激励与约束各部门,确保实现风险管理管理目标。具体风险
25
�管理与内部控制考核细则另行要求。
第七章 风险事件调查及责任追究
第四十二条 风险事件的报告、调查、责任追究依据公司《各
类事故事件报告处臵工作制度(试行)》、《安全生产事故管理办
法》、《货运质量事故管理办法》、《员工奖惩办法》、《管理性违章
管理办法》等制度执行。
第四十三条 事故发生单位应在事故发生的 7 个工作日内将
风险事件的经过、结果、原因分析、损失情况及处理和应对措施
等书面报集团全面风险与内部控制管理建设部门及评价、监督部
门备案。
第八章 附 则
第四十四条 本办法由董事会秘书办公室和审计部负责解
释。
第四十五条 本办法自印发之日起施行,原《内部控制管理
办 法 》( TSPGC.GS.WJ14-14 )、《 全 面 风 险 管 理 暂 行 办 法 》
(TSPGC.GS.WJ15-28)同时废止。
26
�
