黔源电力:贵州黔源电力股份有限公司内控合规风险管理实施办法(试行)2022-03-18
贵州黔源电力股份有限公司
内控合规风险管理实施办法(试行)
第一章 总 则
第一条 为加强贵州黔源电力股份有限公司(以下简称公
司)内部控制、合规管理、风险管理(以下简称内控合规风险
管理),有效防范合规风险,发挥内部控制强基固本作用,提升
合规经营水平,增强风险防控能力,保障公司持续健康发展,
根据国务院国资委《关于全面推进法治央企建设的意见》《关于
加强中央企业内控体系建设与监督工作的实施意见》《中央企业
全面风险管理指引(试行)》《中央企业合规管理指引(试行)》、
财政部《企业内部控制基本规范》及其配套指引等相关规定、《贵
州黔源电力股份有限公司章程》等规定,制定本实施细则。
第二条 公司贯彻“管理制度化、制度流程化、流程信息
化”的内部控制理念,建立健全以风险管理为导向,以合规管
理为重点,严格、规范、全面、有效的内部控制体系,形成全
面、全员、全过程、全体系的风险防控机制,实现“强内控、
促合规、防风险”的管控目标,有力保障公司高质量发展。本
实施细则中下列用语的含义是:
“内部控制”是指由公司董事会、经理层和全体员工实施
的、旨在实现控制目标的过程。
“合规管理“是指以有效防控合规风险为目的,以公司和
— 1 —
�员工经营管理行为为对象,开展包括制度制定、风险识别、合
规审查、风险应对、责任追究、考核评价、合规培训等有组织、
有计划的管理活动。
“风险管理”是指公司围绕总体经营目标,通过在企业管
理的各个环节和经营过程中执行风险管理的基本流程,培育良
好的风险管理文化,建立健全风险管理体系,从而为实现风险
管理的总体目标提供合理保证的过程和方法。
风险管理是内部控制的导向,内部控制的实质是控制风险,
合规管理是内部控制得以有效实施的一项基础工作、是风险管
理的一项重要活动。
第三条 内控合规风险管理是企业治理体系和治理能力现
代化的重要组成部分,各项管理要求应嵌入融入业务活动、制
度流程、信息管理系统等经营管理全过程。内控合规风险管理
与其他职能管理相互协调、相互促进,为实现以下目标提供合
理有效保障:
(一)保证公司经营管理合法合规;
(二)保障公司资产安全;
(三)保证公司财务报告及相关信息真实完整;
(四)确保公司建立针对各项重大风险发生后的应急预案,
保护公司不因灾害性风险或人为失误而遭受重大损失;
(五)提高公司经营效率和效果;
(六)促进公司实现发展战略目标
— 2 —
� 第四条 公司内控合规风险管理应紧密联系实际,加强协同,
统筹推进:
(一)坚持领导主抓与全员参与相结合。明确公司主要负
责人是加强内部控制第一责任人职责;建立全员责任制,把内
部控制要求植入岗位职责,落实到岗位工作全过程。
(二)坚持全面管理与重点突出相结合。内部控制应覆盖
全业务领域、全业务过程、全组织层级和全体员工,贯穿决策、
执行、监督全过程,突出重要领域、重点环节、重点人员及重
点单位的管理。
(三)坚持分类管理与“三道防线”相结合。内部控制实
施分级分类管控,落实公司两级管控职责,根据不同类别的内
控合规风险特点实施分类管理;筑牢由牵头管理部门、业务职
能部门和审计监督部门组成的内部控制“三道防线”,各司其
职、协同联动。
(四)坚持成本与效益、控制与效率相统一。内部控制有
效兼顾成本与效益、控制与效率,以适当的成本和效率实现有
效防控。
第五条 本实施办法适用于公司本部及系统各单位。各单
位负责在公司统一的内控合规风险管理体系框架下,建立健全
本单位内控合规风险管理体系,推进内控合规风险管理常态化
运行。公司内控合规风险管理体系应与证券监管要求相适应,
满足监管要求。
— 3 —
� 第二章 组织与职责
第六条 公司管理机构与职责
(一)公司党委领导内控合规风险管理工作。
(二)公司董事会是内控合规风险管理的领导机构,主要
职责包括:
1.决定公司的内控合规风险管理体系;
2.批准公司内控合规风险管理基本制度;
3. 审批公司年度风险评估报告和重大风险解决方案;
4. 对公司内控合规风险管理体系的实施进行总体监控
和评价;
5.定期听取内控合规风险工作情况汇报;
6.决定其他与内控合规风险管理相关的重大事项。
公司董事会审计委员会负责监督指导内控管理工作,向董
事会负责并报告工作,主要职责包括:
1.指导公司内控管理体系和相关制度建设;
2.听取内控工作情况汇报,并审议公司年度内控工作报告
文件;
3.对内控管理体系的完整性和有效性进行评估和督导;
4.完成董事会授权或安排的其他事宜。
公司董事会战略发展委员会负责监督指导合规风险管理工
作,向董事会负责并报告工作,主要职责包括:
— 4 —
� 1.指导公司合规风险管理体系和相关制度建设;
2.听取合规风险工作情况汇报,并审议公司年度合规管理
报告、年度风险评估报告等文件;
3.审议公司风险管理总体目标、风险偏好、风险承受度以
及风险管理策略和重大风险解决方案;
4.对合规风险管理体系的完整性和有效性进行评估和督导;
5.完成董事会授权或安排的其他事宜。
(三)董事长是内控合规风险管理工作第一责任人,负责
组织领导建立健全覆盖各业务领域、部门、岗位,涵盖各级企
业的内控合规风险管理体系。
(四)公司经理层负责内控合规风险管理体系的建设与运
行。总经理办公会负责研究和审议内控合规风险管理重大事项,
主要职责包括:
1.组织实施公司党委会会议、董事会会议关于内控合规风
险管理的决议;
2.组织推进内控合规风险管理体系的建设与运行;
3.批准重要的内控合规风险管理实施细则类制度;
4.组织推进内控合规风险管理信息化建设;
5.完成董事会授权的其他事项。
第七条 公司本部部门职责
(一)公司证券法务部是内控合规风险管理工作牵头管理
部门(简称牵头管理部门),财务资产部是风险管理部门,主要
— 5 —
�职责包括:
1.贯彻落实公司关于内控合规风险管理的工作部署;
2.组织拟定并推进落实内控合规风险管理体系建设方案;
3.研究起草内控合规风险管理制度,组织编制内控合规风
险管理操作规范;
4.组织编制年度内控合规风险管理工作报告、年度内控合
规管理报告、年度风险评估报告等文件;
5.负责对风险监测指标进行整体监控和汇总分析,及时通
报有关情况或进行风险提示,督促落实风险应对预案;
6.组织开展风险评估和内控监督评价工作;
7.组织推进内控合规风险管理信息化建设;
8.开展内控合规风险管理文化宣贯和培训;
9. 指导基层单位内控合规风险管理工作;
10.完成其他事项。
(二)公司业务职能部门按照“业务谁主管、内控合规风
险管理谁负责”的原则,承担本部门业务领域内控合规风险管
理的责任,同时指定一名工作人员作为内控合规风险管理联络
员,负责组织协调本部门相关工作,主要职责包括:
1.制订完善本业务领域各项管理制度和业务管控流程,并
将内控体系管控要求嵌入制度流程和业务管理信息系统;并定
期开展自评工作。
2.编制本业务领域的风险清单,组织开展相关风险评估、
— 6 —
�隐患排查、合规审查,发布风险预警,制定且落实防控措施,
并定期对风险工作进行总结。
3.按季将本业务领域内公司十大风险监测指标及应对措施
完成情况上报财务资产部。
4.受理公司证券法务部、审计监督部门移交或建议的事项,
督导相关单位改进并反馈整改落实情况;
5.完成其他事项。
(三)公司审计和监督部门负责审计监督和责任追究,主
要职责包括:
1. 审计部负责内控合规风险管理审计监督工作,对公司系
统内控合规风险管理体系的健全性和有效性进行审计监督;
2. 巡视办(监督部)依规对未履行或未正确履行内控合规
风险管理职责、造成资产损失或其他严重不良后果的情形,进
行追责问责。
第八条 成立公司风险管理委员会,承担内控合规风险管理
的组织领导和统筹协调工作,主要职责包括:
(一)统筹协调解决内控合规风险管理重大问题,研究决
定内控合规风险管理重大事项或提出意见建议;
(二)推动完善内控合规风险管理体系;
(三)组织开展公司特别重大内控合规风险管理事项审查,
并提出合规审查意见;
(四)审核公司内控合规风险管理制度和年度报告;
— 7 —
� (五)指导、监督、评价和考核内控合规风险管理工作。
第三章 内控合规风险管理重点
第九条 公司本部及各基层单位应根据内部环境,在全面
推进内控合规风险管理的基础上,突出重点领域、重点环节和
重点人员,切实防范合规风险。
第十条 加强对以下重点领域的合规管理:
(一)市场交易。完善交易管理制度,严格履行决策批准
程序,建立健全自律诚信体系,突出反商业贿赂、反垄断、反
不正当竞争,规范资产交易、物资采购、招投标等活动;
(二)安全环保。严格执行国家安全生产、环境保护法律
法规,完善企业生产规范和安全环保制度,加强监督检查,及
时发现并整改违规问题;
(三)质量管理。完善质量体系,加强过程控制,严把各
环节质量关。加强大修、技改以及工程建设质量管理;
(四)劳动用工。严格遵守劳动法律法规,健全完善劳动
合同管理制度,规范劳动合同签订、履行、变更和解除,切实
维护劳动者合法权益;
(五)财务税收。健全完善财务内部控制体系,严格执行
财务事项操作和审批流程,严守财经纪律,确保资金安全,强
化依法纳税意识,严格遵守税收法律政策;
(六)知识产权。及时申请注册知识产权成果,规范实施
— 8 —
�许可和转让,加强对商业秘密和商标的保护,依法规范使用他
人知识产权,防止侵权行为;
(七)商业伙伴。对重要商业伙伴开展合规调查,通过
签订合规协议、要求作出合规承诺等方式促进商业伙伴行为
合规;
(八)其他需要重点关注的领域。
第十一条 加强对以下重点环节的内控合规管理:
(一)制度制定环节。强化对规章制度、改革方案等重要
文件的合规审查,确保符合法律法规、监管规定等要求;
(二)经营决策环节。严格落实“三重一大”决策制度,
细化各层级决策事项和权限,加强对决策事项的合规论证把关,
保障决策依法合规;
(三)生产运营环节。严格执行内控合规制度,加强对重
点流程的监督检查,确保生产经营过程中照章办事、按章操作;
(四)其他需要重点关注的环节。
第十二条 加强对以下重点人员的内控合规管理:
(一)管理人员。促进管理人员切实提高合规意识,带头
依法依规开展经营管理活动,认真履行承担的合规管理职责,
强化考核与监督问责;
(二)重要风险岗位人员。根据合规风险评估情况明确界
定重要风险岗位,有针对性加大培训力度,使重要风险岗位人
员熟悉并严格遵守业务涉及的各项规定,加强监督检查和违规
— 9 —
�行为追责;
(三)其他需要重点关注的人员。
第十三条 加强公司治理、控股股东行为、关联交易、内
幕信息知情人管理、同业竞争、募集资金使用、并购重组、内
部控制、财务基础和会计处理、独立性、信息披露等方面内控
合规风险管理。
第四章 内控合规风险管理运行
第十四条 公司以风险管理为导向、以合规管理为重点的
内控体系建设情况,编制形成《内控合规管理手册》《合规行为
准则》等,并定期对内控体系的有效性、合理性进行复审,根
据管理要求变化及发现的缺陷不断优化完善。
第十五条 公司加强制度建设。梳理分析风险内控体系执
行情况,认真查找内控体系的短板弱项,不断完善内控制度体
系。根据外部监管新规定以及公司新业务、新变化、新问题,
及时做好相关制度留、立、废、改工作,明确重要业务领域和
关键环节的内控要求、风险应对措施及违规经营投资责任追究
规定。加大制度执行监督检查力度,强化责任追究,增强制度
刚性约束。建立内控合规风险识别预警及应对机制,全面系统
梳理经营管理活动中存在的合规风险,对风险发生的可能性、
影响程度、潜在后果等进行系统分析,对于典型性、普遍性和
可能产生较严重后果的风险及时发布预警。
— 10 —
� 对于重大合规风险事件,公司战略发展委员会统筹指导;
公司合规风险管理负责人牵头,相关部门协同配合,最大限度
化解风险、降低损失。
第十六条 公司结合风险评估结果和风险监测情况,通过
预防性控制与发现性控制、手工控制与自动控制相结合的方法,
执行相应的控制措施,针对重大风险所涉及的各管理及业务流
程,实施涵盖各个环节的全流程控制措施;对其他风险所涉及
的业务流程,把关键环节作为控制点,执行相应控制措施,将
风险控制在可承受范围之内。
第十七条 建立健全内控合规风险审查机制,将内控合规风
险审查融入业务流程,规章制度制定、重大事项决策、重要合
同签订、重大项目运营等经营管理行为必须纳入内控合规管理
事项审查清单,未经内控合规管理审查不得实施。
事项简单、合规风险不大的内控合规管理事项,按一般合
规管理事项管理,由部门负责审核;对于复杂且存在重大合规
风险的事项、需提交决策会议决策的事项,按重要合规管理事
项管理,由业务部门、相关部门及合规管理牵头部门审核;对
于特别复杂且存在特别重大合规风险的事项,按特别重要合规
管理事项管理,须提请风险管理委员会进行审核。
第五章 内控合规风险管理保障
第十八条 加强全员合规培训,强化高风险业务重点岗位
— 11 —
�人员合规培训。培育和推广合规文化,践行依法合规、诚信经
营的价值观,不断增强员工的合规意识和行为自觉。将合规作
为经营理念和社会责任的重要内容,树立积极正面的合规形象。
第十九条 根据公司董事会统筹安排,建立内控合规风险
管理信息系统,通过信息化手段记录和保存相关合规信息,实
现信息集成与共享,推进对经营管理行为依法合规情况的实时
在线监控。
第二十条 加强合规考核评价,把内控合规风险管理情况
纳入对各部门和各单位的年度绩效考核。开展全员合规评价,
建立员工合规档案,将评价结果作为员工考核、干部任用、评
先选优等工作的重要依据。
第二十一条 建立内控合规风险管理报告制度,发生较大
合规风险事件,合规管理牵头部门和相关部门应及时向合规管
理负责人、分管领导报告。发生重大合规风险事件,应及时向
公司报告。相关业务部门应对合规风险事件进行分级分类管理。
第二十二条 各单位应于每年底全面总结内控合规风险管
理情况,形成年度内控合规风险报告报送公司。
内控合规风险报告主要包括以下内容:
(一)内控合规风险管理各项工作开展情况,包括合规规
范识别、合规风险评估预警、合规隐患排查、合规制度建设、
合规培训、合规论证审查、商业伙伴合规管理以及合规考核评
价等情况;
— 12 —
� (二)违规问题及其调查处理和整改情况;
(三)合规监督检查开展情况;
(四)合规管理中存在的问题及改进情况。
第六章 信息应用与信息化建设
第二十三条 公司相关部门在董事会专委会的指导下,组织
编制年度内控工作报告、年度合规管理报告、年度风险评估报
告,履行董事会专委会审批程序。各基层单位按要求开展编制
工作,并向公司报送本单位相关报告。
第二十四条 公司本部及各单位应规范业务管理信息系统
的审批流程及各层级管理人员权限设置,将内控控制措施嵌入
业务管理信息系统,确保自动识别并终止超越权限、逾越程序
和审核材料不健全等行为,逐步实现各项经营管理决策和执行
活动可控制、可追溯、可检查,有效减少人为违规操纵因素。
第二十五条 公司本部及各单位统筹开展内控合规风险管
理信息化统一平台建设,有序推进内控合规风险管理信息化统
一平台与ERP、办公自动化系统等信息系统的集成应用,逐步实
现统一平台与业务信息系统互联互通、有机融合;积极探索利
用现代信息技术,逐步实现风险实时监测、自动预警以及内控
监督评价等在线监管功能。
第二十六条 在内控合规风险管理信息化统一平台运行后,
公司本部及各单位依托统一平台,开展风险评估、风险监控预
— 13 —
�警、风险事件管理、监督评价、问题缺陷整改、报告报表编报
等工作。
第七章 监督评价与改进
第二十七条 公司建立健全内部控制监督评价机制,统筹
推进内控合规风险管理的监督评价工作,将内控合规风险管理
体系建设及实施情况纳入内部控制监督评价范畴,制定定性与
定量相结合的内控缺陷认定标准、合规评价标准和风险评估标
准,规范监督评价方式、方法、内容、程序、整改落实和成果
应用等事项。
第二十八条 内部控制监督评价方式包括:公司年度自评、
年度抽评、审计评价、审计监督:
(一)年度自评。每年以规范流程、消除盲区、有效运行
为重点,对内控体系有效性进行全面自评。
(二)年度抽评。每年组织对所属单位内控体系有效性进
行抽查评价,确保每 3 年覆盖全部企业。
(三)审计评价。公司聘请具有相应资质的社会中介机构
按要求进行内控审计评价,出具内控审计报告。
(四)审计监督。审计监督部门对公司内控体系健全性和
有效性开展审计监督。
第二十九条 内部控制监督评价重点内容:
(一)内控合规风险管理体系建设情况,主要包括:组织
— 14 —
�职责体系建设情况,各项管理工作机制建立健全情况,制度建
设情况,信息系统建设情况等;
(二)内控合规风险管理体系执行情况,主要包括:各项
管理工作机制和制度执行情况、信息系统操作和运行情况等;
(三)风险评估和应对化解效果,主要包括:风险评估的
完整性和针对性,风险和风险事件报告和应对化解的及时性和
有效性等;
(四)经营管理关键业务、重点环节以及改革重点领域、
境外投资等情况;
(五)内外部监督检查反映的重大及共性问题。
第三十条 内部控制监督评价技术方法包括:个别访谈、
专题讨论、调查问卷、穿行测试、控制测试、抽样、比较分析
等方法。实施中应综合考虑选择多种评价方法,获取充分、相
关、可靠的证据对内部控制设计和运行的有效性进行评价。
第三十一条 内部控制监督评价程序一般包括制定评价工
作方案、组成评价工作组、组织评价培训、开展现场评价、认
定内控缺陷、交换评价意见、编报评价报告、制定整改方案、
评价资料归档、监督评价成果应用等环节。
公司根据需要可以聘请外部专业机构协助开展内部控制评
价等工作。
第三十二条 内部控制监督评价中发现的重大缺陷应由被
评价单位通过相关程序予以认定,并及时采取应对措施。
— 15 —
� 第三十三条 公司统筹开展内部控制监督评价和内部控制
审计监督工作,有效利用监事会(监事)、内部审计等的监督检
查工作成果,以及外部审计检查、纪检监察、巡视巡察反馈问
题情况,促进内控体系持续优化。
第三十四条 公司加强内控缺陷、合规问题和风险隐患整
改,立行立改、举一反三,建立问题台账,实行销号管理,开
展整改工作“回头看”。对整改不力的印发提示函或通报,进一
步落实整改责任。
第三十五条 公司把内部控制审计监督评价结果作为改善
管理、防控风险、完善制度、强化考核和责任追究的重要依据,
并将内控合规风险管理考评结果纳入年度绩效考核。
第三十六条 公司强化责任追究,未履行或未正确履行内
控合规风险管理职责,造成资产损失或其他严重不良后果等情
形的,依照公司《违规经营投资责任追究实施办法》及相关制
度办法的规定,追究有关部门和人员责任。
第八章 附 则
第三十七条 本实施办法由公司证券法务部负责解释。
第三十八条 本办法自印发之日起施行。2014 年 12 月 9 日
印发的《贵州黔源电力股份有限公司风险控制管理制度》(黔源
财制〔2014〕10 号)、2019 年 11 月 19 日印发的《贵州黔源电力
股份有限公司合规管理办法(试行)》同时废止。
— 16 —
�附
内控风险合规管理图
内控风控合规三位一体流程图
内
部
环 内部环境
境
管理目标
收集风险管理初始信息
风险评估
运
行 确定风险管理策略
机
制
制定风险管理解决方案
实施风险管理解决方案
是 否
控制措施
控制活动 其他措施
合规 风险
内控 风险 风险
措施 转移
措施 预警 对冲
等
风险事件处置
监督评价与改进
信息应用
保
障
机
制
信息化建设
— 17 —
�
