紫江企业:内部控制与风险管理制度2019-04-30
上海紫江企业集团股份有限公司
内部控制与风险管理制度
第一章 总则
第一条 为了加强上海紫江企业集团股份有限公司(以下简称“公司”)内部控
制与风险管理工作,建立健全内部控制体系,有效实施及监督内部控制,提高风险防
范能力,促进公司持续、健康发展,根据《中华人民共和国公司法》、《中华人民共
和国证券法》、《上海证券交易所股票上市规则》、《企业内部控制基本规范》和其
他相关法律法规、《公司章程》,结合公司实际,制定本制度。
第二条 内部控制,是指公司董事会、监事会、管理层及所有员工共同实施的,
为了保证各项经济活动的效率和效果,确保财务报告真实可靠,保证资产的安全完整,
防范及规避经营风险,防止欺诈和舞弊,确保有关法律法规和规章制度的贯彻执行,
而制定和实施的一系列具有控制职能的业务操作程序、管理方法与控制措施的总称。
第三条 风险管理,是指公司董事会、监事会、管理层及所有员工共同参与,用
于识别可能对公司造成潜在影响的事项,并在风险偏好范围内管理风险的控制过程,
风险管理是在公司内部控制体系基础上开展的一项高级管理工作。
第四条 公司内部控制管理组织体系是由董事会、监事会、审计委员会、管理层、
审计内控部门、各职能部门及各子企业构成。
第五条 内部控制与风险管理应嵌入到具体业务制度、管理制度和操作流程中,
各子企业、各业务部门、各职能管理部门是分管相关业务内部控制建立、有效执行及
风险管理的直接责任单位。
第六条 董事会是公司内部控制和风险管理的最高决策机构,职权是:
1、确定公司内部控制建设的总体目标;
2、了解和掌握公司面临的重大内部控制管理现状,通过对风险管理提供监督对
风险管理的有效性负责;
3、审批公司内部审计和风险管理报告;
4、监督公司内部控制文化的培养建设;
5、决策公司内部控制管理的其他重大事项。
第七条 监事会负责监督公司内部控制制度的设计与执行,对发现的内部控制缺
�陷可要求公司整改。
第八条 审计委员会管理职权:
1、监督及评估内、外部审计工作;
2、审计内部控制的有效性;
3、审阅公司的财务报告并对其发表意见;
4、协调管理层、审计内控部门及相关部门与外部审计机构的沟通;
5、其他相关事项。
第九条 管理层内部控制与风险管理的职权:
1、负责内部控制制度体系的建立、完善;
2、推进公司内部控制制度的执行;
3、检查公司制度的制定、实施情况;
4、审批风险管理总体目标、工作计划、管理制度;
5、检查、审批、应对、决策内部控制和重要或重大风险管理中具体问题;
6、负责组织完成涉及内部控制和风险管理的其他重大事项。
第十条 公司审计内控部门的职责:
1、拟定公司内部控制管理相关制度;
2、制定公司年度内部评价管理工作方案并开展内控评价;
3、审核公司各部门及子企业内控评价报告,编制年度内部控制评价报告;
4、监督、协调外部审计机构按计划完成年度内控审计工作,并组织相关各方沟
通发现的内控缺陷和管理建议;
5、向审计委员会、管理层及时汇报内、外部审计提出的内控问题及建议,并随
时关注缺陷整改完成情况;
6、督导各职能部门及各子企业内控缺陷的整改,参与评审专业性管理制度和流
程。
第十一条 公司各职能部门内部控制与风险管理的职责:
1、严格执行公司各项管理制度;
2、建立本部门各项管理制度和流程,并有效执行,确保不出现重大或重要风险
事项;
� 3、识别、分析和应对部门业务中涉及的内控缺陷,制定完善内部控制评价报告;
4、梳理本部门业务制度,评价内部控制管理活动、编制年度内部控制评价报告;
5、配合内审、外审开展内控评审,针对发现的内控缺陷及时沟通并整改;
6、其他相关事项。
第十二条 各子企业总经理为本企业内部控制与风险管理工作的第一责任人,对
本企业内部控制设计的健全性和执行有效性负责,确保不出现重大或重要风险事项。
第十三条 各子企业内部控制与风险管理的职责:
1、根据本制度建立健全本企业的内控制度体系,确保本企业内部控制体系设计
和运行有效;
2、按照公司年度内部控制与风险管理工作方案,结合年度重要工作制定和安排
本企业的内部控制与风险管理工作方案和相关工作;
3、梳理、评价本企业内部控制,编制年度内部控制评价报告;
4、识别、分析和应对本企业涉及的内控缺陷、重大或重要风险,并制定和完善
相应的管控措施;
5、及时向上级主管部门报告业务中发现的重大内控缺陷;
6、对涉及重大或重要缺陷造成的损失和影响,追究责任;
7、其他相关事项。
第二章 内部控制管理
第十四条 公司内部控制的目标:
1、 建立和完善符合公司制度要求的内部组织结构,建立决策、执行和监督机制;
2、 保证国家法律法规、公司内部规章制度及公司经营方针的贯彻落实;
3、 识别可能对公司造成潜在影响的风险事项,确保将风险控制在与公司总体经
营发展目标相适应并可承受的范围内,促进实现战略目标;
4、 保证所有业务活动均按照适当的授权进行,促使公司的经营管理活动协调、
有序、高效运行;
5、 保证所有的经济事项真实、完整反映,防止、发现和纠正错误与舞弊;
6、 经济并有效的使用资源,防止资产流失,保证信息的可靠性与整体性,政策、
�计划、程序与法律法规保持一致。
第十五条 公司内部控制建立应考虑的基本要素:
1、 内部环境。内部环境是影响、制约公司内部控制建立与执行的各种内部因素
的总称,是实施内部控制的基础,内部环境主要包括治理结构、组织机构设置与权责
分配、公司文化、人力资源政策、内部审计机构设置、反舞弊机制等;
2、 风险评估。风险评估是及时识别、科学分析和评价影响公司内部控制目标实
现的,各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评
估主要包括目标设定、风险识别、风险分析和风险应对;
3、 控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保
内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合公
司具体业务和事项的特点与要求制定;
4、 信息与沟通。信息与沟通是及时、准确、完整地收集与公司经营管理相关的
各种信息,并使这些信息以适当的方式在公司有关层级之间进行及时传递、有效沟通
和正确应用的过程,是实施内部控制的重要条件;
5、 监督检查。监督检查是公司对内部控制的健全性、合理性和有效性进行监督
检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。主
要包括对建立并执行内部控制的整体情况进行监督检查,对内部控制的某一方面或某
些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等,
公司内部控制自我评估是内部控制监督检查的一项重要内容。
第十六条 公司内部控制管理工作应遵循的原则:
1、 合法性原则。内部控制符合法律、法规的规定和有关政府监管部门的监管要
求;
2、 全面性原则。内部控制在层次上涵盖公司董事会、管理层和全体员工,在对
象上覆盖公司各项业务和管理活动,在流程上渗透到决策、执行、监督、反馈等各个
环节,避免内部控制出现空白和漏洞;
3、 重要性原则。内部控制在兼顾全面的基础上突出重点,针对重要业务与事项、
高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷;
4、 有效性原则。内控控制能够为其目标的实现提供合理保证,公司全体员工自
�觉维护内部控制的有效执行,内部控制建立和实施过程中存在的问题能够得到及时地
纠正和处理;
5、 制衡性原则。公司的组织、岗位设置和权责分配科学合理,并符合内部控制
的基本要求,确保不同部门、岗位之间权责分明和利于相互监督,及履行内部控制监
督检查职责的部门具有良好的独立性;
6、 适应性原则。内部控制合理体现公司经营规模、业务范围、业务特点、风险
状况以及所处具体环境等方面的要求,并随着公司外部环境的变化、经营业务的调整、
管理要求的提高等不断改进和完善;
7、 成本效益原则。内部控制在保证内部控制有效性的前提下,合理权衡成本与
效益的关系,争取以合理的成本实现更为有效的控制。
第十七条 公司内部控制活动涵盖公司所有的运营环节,具体参照《内部控制手册》。
第一节 内部环境
第十八条 公司根据经营管理的需要设置组织、部门,配备相应人员。
第十九条 公司内部组织设置、岗位设置及职能划分应符合内部控制原则和目标。
第二十条 国家法律、法规、政策对组织设置和管理人员的资格、任免、回避已
有规定的,公司在设置该组织和任命管理人员时,应严格遵守相关规定。
第二十一条 组织、岗位的设置与职责划分坚持不相容职务相互分离和回避的原
则,保证内部组织、岗位及其职责权限的合理设置和分工,提高岗位效率,确保不同
组织和岗位之间权责明确相互制约、相互监督。
第二节 风险评估
第二十二条 风险是指对实现内部控制目标可能产生负面影响的不确定性因素。
风险评估是指及时识别、科学分析影响公司内部控制目标实现的各种不确定因素,并
采取应对策略的过程。
第二十三条 风险管理的程序是收集风险管理初始信息、风险评估、制定风险管
理策略、提出和实施风险管理解决方案、风险监督与改进。
第二十四条 风险评估的程序是目标设定、风险识别、风险分析、风险应对。
� 第二十五条 公司按照战略目标设定相关经营目标、财务报告目标、合规性目标
与资产安全完整目标,并根据目标合理确定公司整体风险承受能力业和具体业务层次
上的可接受的风险水平。
第二十六条 内部风险因素一般关注:高级管理人员职业操守、员工专业胜任能
力、团队精神等人员素质因素,营运安全、员工健康、环境污染等安全环保因素。
第二十七条 外部风险因素一般关注:经济形势、产业政策、资源供给、利率调
整、汇率变动、融资环境、市场竞争等经济因素;法律法规、监管要求等法律因素;
文化传统、社会信用、教育基础、消费者行为等社会因素;技术进步、工艺改进、电
子商务等科技因素;自然灾害、环境状况等自然环境因素。
第二十八条 公司针对已识别的风险因素、从风险发生的可能生和影响程度两个
方面进行分析,公司根据实际情况,会对不同的风险类别确定科学合理的定性、定量
分析标准。
第二十九条 公司根据风险分析情况,结合风险成因、公司整体风险承受能力和
具体业务层次上的可接受风险水平,确定风险应对策略,一般包括风险回避、风险承
担、风险降低和风险分担等。
第三十条 公司对超出整体风险承受能力或者具体业务层次上的可接受风险水平
的风险,实行风险回避。
第三十一条 内控部汇总各职能部门及各子企业、具体项目小组的风险评估文档,
展开相应的评估研究,将研究结果提交审计委员会审议后,向董事会提交风险评估报
告及相应的防范措施。
第三节 控制措施
第三十二条 公司制定合理、有效的内控措施,包括:不相容职务分离控制、授
权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考核控
制、重大风险预警和突发事件应急处理机制。
1、建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括:授权
批准、业务经办、会计记录、财产保管和稽核检查等职责,定期梳理业务流程中所涉
及的不相容职务并实施分离;
� 2、建立内控岗位授权审批制度。对内控所涉及的各岗位明确规定授权的对象、
条件、权限范围、审批程序等,按照权利、义务和责任相统一的原则,明确规定各职
能部门和业务单位、岗位、人员应负的责任及奖惩;
3、建立内控审计检查报告制度。结合内控的有关要求、方法、标准与流程,明
确规定审计检查的对象、内容、方式和负责审部门等,明确报告人与接受报告人、报
告的时间、内容、频率、报告的部门和人员等;
4、建立内控考核评价制度。设置考核指标体系,对员工的工作、业绩进行定期
考核和客观评价,把各业务部门风险管理执行情况与绩效相挂钩;
5、建立重大风险预警机制和突发事件应急处理机制。对重大风险进行持续不断
的监测,明确预警标准和责任人员,制定应急预案,规范处理程序,确保得到及时妥
善处理。
第三十三条 公司各项业务活动遵守本制度及其他管理制度所确定的操作规定,
严格按照职责分工和业务授权进行,公司相关职能部门及各子企业对其内部控制制度
负责,检查内部控制建立和执行的有效性。
第三十四条 公司各部门妥善保管各类业务资料,保证内部控制档案的完整、内
部控制档案公司内提供使用,原则上不得借出,有特殊需要须经公司批准,内部控制
档案按照不同业务类型分别确定保管期限及销毁方式。
第四节 信息与沟通
第三十五条 信息与沟通提指及时、准确、完整地收集与公司经营管理相关的各
种信息,并使这些信息以适当的方式在公司有关层级之间及时传递,有效沟通和正确
应用的过程。
第三十六条 公司全面收集来源于公司外部及内部、与公司经营管理相关的财务
及非财务信息,为内部控制的有效运行提供信息支持。
第三十七条 内部信息主要包括会计信息、生产经营信息、资本运作信息、人员
变动信息、技术创新信息、综合管理信息等,公司通过会计资料、经营管理资料、调
查研究报告、会议记录纪要、专项信息反馈、内部报刊网络等渠道和方式获取所需的
内部信息。
� 第三十八条 外部信息主要包括政策法规信息、经济形势信息、监管要求信息、
市场竞争信息、行业动态信息、客户信用信息、社会文化信息、科技进步信息等。公
司通过立法监管部门、社会中介机构、行业协会组织、业务往来单位、市场调研、外
部信访、新闻传播媒体等渠道和方式获取所需的外部信息。
第三十九条 公司建立良好的外部沟通渠道,对外部有关方面的建议、投诉和收
到的其他信息进行记录,并及时处理、反馈。
第四十条 外部沟通重点关注:
1、与投资者和债权人的沟通。公司根据有关规定,通过股东大会、投资者会议、
定向信息报告等方式,及时向投资者报告公司的战略规划、投融资计划、年度预算、
经营成果、财务状况、利润分配方案及重大担保、合并分立、资产重组等方面的信息,
听取投资者的意见和要求,妥善处理公司与投资者之间的关系;
2、与客户的沟通。公司通过客户座谈会、走访客户等形式,定期听取客户对消
费偏好、销售政策、产品质量、售后服务、货款结算等方面的意见和建议、需求和客
户意见,妥善解决可能存在的控制不当问题;
3、与供应商的沟通。公司通过供需见面会、订货会、业务洽谈会等形式与供应
商就供货渠道、产品质量、技术信能、交易,价格、信用政策、结算方式等进行沟通、
及时发现可能存在的控制不当问题;
4、与监管机构的沟通。公司通过及时向监管机构了解监管政策和监管要求及其
变化,相应完善自身的管理制度,同时,认真了解自身存在的问题,积极反映诉求和
建议,努力加强与监管机构的协调;
5、与外部审计的沟通。公司通过定期与外部审计师进行会晤,听取外部审计机
构有关财务报告审计、内控等方面的建议,以保证内部控制的有效运行及双方工作的
协调。
第五节 监督与检查
第四十一条 监督检查是指对内部控制的健全性、合理性和有效性进行监督检查
与评估,形成书面检查报告并做出相应处理的过程。
第四十二条 内部控制缺陷,是指内部控制的设计存在漏洞、不能有效防范错误
�与舞弊,或者内部控制的运行存在弱点或偏差,不能及时发现并纠正错误与舞弊的情
形;重大缺陷,是指已发现的内部控制缺陷或能严重影响财务报告的真实可靠和资产
的安全完整。
第四十三条 监督检查的方式,包括但不限于外部检查、自查、内部审计等:
1、外部检查,包括上级单位不定期的审计检查,外部审计机构每年一次的内部
控制审计;
2、自查,公司各职能部门和各子企业应定期对内部控制进行自评,及时发现缺
陷并整改,检查评价结果应提供审计内控部门协助改善;
3、内部审计,审计内控部门结合公司年度风险管理与内控评价计划,审计计划
及公司其他要求、外审建议等,不定期开展风险与内部控制管理工作的专项监督检查。
第四十四条 对审计监督评价,专项检查过程中发现的内部控制缺陷、重要或重
大风险,责任单位应分析其性质、产生原因和影响程度,提出整改方案,跟踪落实缺
陷整改或风险管控措施,严格追究相关责任人的责任,维护其严肃性和权威性。
第四十五条 公司结合监督检查工作,对内部控制的健全性、合理性与有效性进
行自我评估形成书面评估报告。自我评估的方式,范围、程序和频率,由公司根据经
营业务调整、经营环境变化、业务发展状况、实际风险水平等多种因素合理确定,法
律法规和有关监督规则另有规定的除外。
第四十六条 公司根据有关法律法规或有关监督规则的规定,提交并披露(以财
务报告为主)内部控制自我评价情况。
第三章 附则
第四十七条 本制度适用于公司及下属的各分子企业。
第四十八条 本制度由公司董事会负责解释。
第四十九条 本制度自董事会审议通过之日起执行
上海紫江企业集团股份有限公司
2019年4月26日
�
