金山股份:沈阳金山能源股份有限公司内控合规风险管理办法2021-12-01
沈阳金山能源股份有限公司
内控合规风险管理办法
第一章 总 则
第一条 为加强沈阳金山能源股份有限公司(以下简称
公司)内部控制、合规管理、风险管理(以下简称内控合规
风险管理),发挥内部控制强基固本作用,提升合规经营水
平,增强风险防控能力,服务保障公司高质量发展,根据国
务院国资委《关于全面推进法治央企建设的意见》《关于加
强中央企业内控体系建设与监督工作的实施意见》《中央企
业全面风险管理指引(试行)》《中央企业合规管理指引(试
行)》、财政部《企业内部控制基本规范》及其配套指引等相
关规定,结合公司实际,制定本办法。
第二条 公司贯彻“管理制度化、制度流程化、流程信
息化”的内部控制理念,建立健全以风险管理为导向,以合
规管理为重点,严格、规范、全面、有效的内部控制体系,
形成全面、全员、全过程、全体系的风险防控机制,实现“强
内控、促合规、防风险”的管控目标,有力保障公司高质量
发展。
内部控制是指由企业董事会、经理层和全体员工实施
的、旨在实现控制目标的过程。
合规管理是指以有效防控合规风险为目的,以企业和员
工经营管理行为为对象,开展包括制度制定、风险识别、合
规审查、风险应对、责任追究、考核评价、合规培训等有组
第 1 页 共 23 页
�织、有计划的管理活动。
风险管理是指企业围绕总体经营目标,通过在企业管理
的各个环节和经营过程中执行风险管理的基本流程,培育良
好的风险管理文化,建立健全风险管理体系,从而为实现风
险管理的总体目标提供合理保证的过程和方法。
风险管理是内部控制的导向,内部控制的实质是控制风
险,合规管理是内部控制得以有效实施的一项基础工作、是
风险管理的一项重要活动。
第三条 内控合规风险管理是企业治理体系和治理能
力现代化的重要组成部分,各项管理要求应嵌入融入业务活
动、制度流程、信息管理系统等经营管理全过程。内控合规
风险管理与其他职能管理相互协调、相互促进,为实现以下
目标提供合理有效保障:
(一)保证企业经营管理合法合规;
(二)保障企业资产安全;
(三)保证企业财务报告及相关信息真实完整;
(四)确保企业建立针对各项重大风险发生后的应急预
案,保护企业不因灾害性风险或人为失误而遭受重大损失;
(五)提高企业经营效率和效果;
(六)促进企业实现发展战略目标。
第四条 公司内控合规风险管理应紧密联系实际,加强
协同,统筹推进:
(一)坚持领导主抓与全员参与相结合。公司主要负责
人是内部控制第一责任人;建立全员责任制,把内部控制要
求植入岗位职责,落实到岗位工作全过程。
第 2 页 共 23 页
� (二)坚持全面管理与重点突出相结合。内部控制应覆
盖全业务领域、全业务过程、全组织层级和全体员工,贯穿
决策、执行、监督全过程,突出重要领域、重点环节、重点
人员及重点单位的管理。
(三)坚持分类管理与“三道防线”相结合。内部控制
根据不同类别的内控合规风险特点实施分类管理;筑牢由业
务管理部门、牵头管理部门和审计监督部门组成的内部控制
“三道防线”,各司其职、协同联动。
(四)坚持成本与效益、控制与效率相统一。内部控制
应有效兼顾成本与效益、控制与效率,以适当的成本和效率
实现有效防控。
第五条 本办法适用于本部及所属企业,所属企业包括
分公司、全资和控股公司(以下统称各单位)。
第二章 组织与职责
第六条 公司管理机构与职责
(一)公司党委领导内控合规风险管理工作。
(二)公司董事会是内控合规风险管理的决策机构,主
要职责包括:
1.决定公司的内控合规风险管理体系;
2.批准公司内控合规风险管理基本制度、年度内控工
作报告、年度合规管理报告、年度风险评估报告等文件;
3.确定公司风险管理总体目标、风险偏好、风险承受
度以及风险管理策略和重大风险解决方案;
第 3 页 共 23 页
� 4.对公司内控合规风险管理体系的实施进行总体监
控和评价;
5.定期听取内控合规风险工作情况汇报;
6.决定其他重大事项。
公司董事会审计委员会负责监督指导内控合规风险管
理工作,向董事会负责并报告工作,主要职责包括:
1.指导公司内控合规风险管理体系和相关制度建设;
2.审议公司年度内控工作报告、年度合规管理报告、
年度风险评估报告等文件;
3.审议公司风险管理总体目标、风险偏好、风险承受
度以及风险管理策略和重大风险解决方案;
4.对内控合规风险管理体系的完整性和有效性进行评
估和督导;
5.听取内控合规风险工作情况汇报;
6.完成董事会授权或安排的其他事宜。
(三)公司董事长是内控合规风险管理工作第一责任
人,负责组织领导建立健全覆盖各业务领域、部门、岗位,
涵盖各级企业的内控合规风险管理体系。
(四)公司经理层负责内控合规风险管理体系的建设与
运行。总经理办公会负责研究和审议内控合规风险管理重大
事项,主要职责包括:
1.组织实施公司党委会会议、董事会会议关于内控合
规风险管理的决议;
2.组织推进内控合规风险管理体系的建设与运行;
第 4 页 共 23 页
� 3.批准重要的内控合规风险管理实施细则类制度;
4.组织推进内控合规风险管理信息化建设;
5.完成董事会授权的其他事项。
第七条 公司本部部门职责
(一)公司财务资产部是内控风险管理工作牵头管理部
门,主要职责包括:
1.贯彻落实董事会和董事会审计委员会关于内控风险
管理的工作部署;
2.组织拟定并推进落实内控风险管理体系建设方案;
3.研究起草内控风险管理制度,组织编制《内控合规
风险管理手册》、《风险评估与内控合规评价手册》等操作
规范中的内控风险内容;
4.组织编制年度内控工作报告及内控评价报告、年度
风险评估报告等文件;
5.组织开展风险评估和内控监督评价工作;
6.协调本部业务职能部门、督导基层企业开展内控风
险管理工作;
7.组织推进内控风险管理信息化建设;
8.开展内控风险管理文化宣贯和培训;
9.完成其他事项。
(二)公司法律事务部是合规管理工作牵头管理部门,
主要职责包括:
1. 贯彻落实董事会和董事会审计委员会关于合规管理
的工作部署;
第 5 页 共 23 页
� 2. 组织拟定并推进落实合规管理体系建设方案;
3. 研究起草合规管理制度,组织编制《内控合规风险
管理手册》、《风险评估与内控合规评价手册》等操作规范
中的合规内容以及《合规管理手册》;
4. 组织编制年度合规管理报告等文件;
5. 协调本部业务职能部门、督导基层企业开展合规管
理工作;
6. 组织推进合规管理信息化建设;
7. 开展合规管理文化宣贯和培训;
8. 完成其他事项。
(三)公司业务职能部门按照“业务谁主管、内控合规
风险管理谁负责”的原则,承担本部门业务领域内控合规风
险管理的责任,同时指定一名负责人作为内控合规风险管理
联络员,负责组织协调本部门相关工作,主要职责包括:
1.制订完善本业务领域各项管理制度和业务管控流
程,并将内控体系管控要求嵌入制度流程和业务管理信息系
统;
2.组织开展本业务领域的风险评估、隐患排查、合规
审查,发布风险预警,制定并落实防控措施;
3.受理内控合规风险牵头管理部门、审计监督部门移
交或建议的事项,督导相关单位改进并反馈整改落实情况;
4.完成其他事项。
(四)公司审计部负责内控合规风险管理审计监督工
作,对公司系统内控合规风险管理体系的健全性和有效性进
第 6 页 共 23 页
�行审计监督。
(五)公司监督部(纪检办公室、巡察办)负责责任追
究工作,依规对未履行或未正确履行内控合规风险管理职
责、造成资产损失或其他严重不良后果的情形,进行追责问
责。
第八条 各单位应结合实际建立健全内控合规风险管
理组织体系和工作机制,明确公司各治理主体的职责,落实
企业主要负责人为内控合规风险管理第一责任人的职责,筑
牢内控合规风险管理“三道防线”,形成科学有效的职责分
工和制衡机制,主要职责包括:
(一)贯彻落实公司内控合规风险管理工作部署;
(二)组织推进本单位内控合规管理体系建设,制订完
善本单位内控合规风险管理制度,编制《内控合规风险管理
手册》、《风险评估与内控合规评价手册》和《合规管理手
册》等操作规范;
(三)及时将法律法规等外部监管要求转化为企业内部
规章制度并持续完善;
(四)在制度流程中嵌入内控体系管控要求;
(五)组织开展风险评估、合规管理和内控自评,接受
外部监督评价,并整改落实监督评价发现的问题;
(六)组织编制年度内控工作报告、年度合规管理报告、
年度风险评估报告等文件;
(七)组织推进本单位相关信息系统建设;
(八)开展内控合规风险管理文化宣贯和培训;
第 7 页 共 23 页
� (九)完成其他事项。
第三章 内部环境
第九条 内部环境是实施内控合规风险管理的基础和
前提。内部环境包括公司治理结构、组织架构、发展战略和
规划、人力资源、内部审计、企业文化和社会责任等。
第十条 公司根据国家有关法律法规和公司章程,建立
规范的公司治理结构、议事规则,明确内部组织机构设置和权
责分配,确保“三重一大”决策制度有效落实,确保员工正确
履职尽责。
第十一条 公司立足新发展阶段,坚持新发展理念,融
入新发展格局,制定和实施发展战略和规划,贯彻国家战略,
对接区域、专项等发展战略,顺应行业发展趋势,符合企业
实际,着力推进高质量发展。
第十二条 公司制定和实施有利于企业可持续发展的
人力资源政策,将职业道德修养、专业胜任能力等作为聘用
和选拔员工的重要标准,将内控合规风险管理人才队伍建设
和员工培训等作为人力资源政策的重要组成部分。
第十三条 公司贯彻企业文化纲要,将内控合规风险管
理文化建设融入企业文化建设全过程,培育和推广内控合规
风险管理文化,将内控合规风险管理作为经营理念和社会责
任的重要内容,增强员工的内控意识、合规意识、风险意识
并转化为员工的共同认识和自觉行为,营造稳健合规的经营
环境。
第 8 页 共 23 页
� 第四章 风险评估与监测
第十四条 公司各部门应广泛、全面、持续收集与风险
和风险管理相关的内外部信息,并对所收集的风险信息进行
核查、提炼、分析和动态管理,提高信息的有用性。信息内
容包括但不限于:
(一)战略风险方面:国内外宏观经济形势、产业政策、
行业发展状况、国际化经营、改革与业务转型、科技创新、
战略伙伴情况、资本运作、并购重组等信息;
(二)市场风险方面:电力、煤炭等商品行情、价格信
息,市场竞争情况,客户信用和回款情况等信息;
(三)财务风险方面:企业现金流量、债务、金融衍生
品交易、金融业务等财务信息,行业会计政策、会计估计信
息,汇率、利率等融资政策和信息,行业平均指标、先进指
标等信息;
(四)运营风险方面:企业经营效益信息,非主业投资、
投资计划完成信息,安全生产事故、生态环保事故、网络安
全等信息,重大自然灾害预警信息,国家和地方安全生产、
节能环保政策信息,煤炭、物资采购与供应链信息,工程质
量、进度控制等信息;
(五)法律与合规风险方面:与本企业相关的法律法规
环境,法律法规、监管规定等调整变化情况,法律法规、监
管规定等相关合规要求遵循情况,企业发生的重大法律诉讼
案件、重大监管处罚等信息;
(六)其他风险方面:其他对企业经营发展造成影响的
第 9 页 共 23 页
�信息。
第十五条 公司对风险进行分类管理,建立风险清单,
统一风险名称、定义和描述,保证风险清单的系统性和科学
性,并根据内外部形势变化和风险识别分析结果动态调整、
不断改进。各单位应参照公司风险清单建立适合本企业的风
险清单。
公司各部门定期(每年至少一次)全面分析识别本部门
业务领域面临的风险挑战,编制本业务领域的风险清单,经
部门负责人审核同意后提交给内控风险牵头管理部门。
第十六条 公司定期(每年至少一次)开展风险评估工
作,根据风险评估标准,结合风险偏好,从是否存在风险、
存在何种风险、风险发生可能性、对企业实现经营目标影响
程度等方面,对风险进行评估,确定重大风险、重要风险、
中等风险和低风险等四个等级,综合形成公司年度风险评估
报告。
公司根据要求和工作需要组织开展专项风险评估。在发
展战略、资产收购、改制重组等重大经营事项决策前应开展
专项风险评估、合法合规审查,并将风险评估报告及合法合
规审查报告作为重大决策必备的支撑材料。对超出公司风险
承受能力的事项不得决策,已经决策的事项不得组织实施。
第十七条 公司根据自身条件、经营特点和外部环境,
围绕公司发展战略和经营目标,在进行风险评估基础上,确
定风险管理策略。按风险类别和等级确定其风险偏好和风险
承受度,选择风险承担、风险规避、风险转移、风险对冲、
第 10 页 共 23 页
�风险补偿、风险控制等适合的风险管理策略。
相关部门在制订年度投资经营计划和预算时应充分考
虑各种主要风险因素,并体现年度风险管理策略。
各单位应根据年度投资经营计划和预算编制安排,完成
风险管理策略的制定工作。
第十八条 公司根据风险管理策略,针对各类风险或每
一项重大风险制定风险管理解决方案。风险管理解决方案包
括风险解决具体目标、所涉及的管理及业务流程、所需资源,
以及风险事件发生前、中、后所采取的应对措施等。
年度前十大风险解决方案由公司相关部门负责制订,经
部门负责人审核同意后,由牵头管理部门统一提请公司有关
决策会议审批;其他风险解决方案由公司相关部门自行制订
并组织实施。
对于跨职能部门的风险应对,主责部门应从整体风险应对
效果出发,联合相关业务职能部门制定风险管理策略及解决方
案。
第十九条 公司研究建立健全风险监测指标体系,在重
点领域开展风险量化工作,完善风险预警机制,对风险管理
情况进行实时监控、及时预警。
相关部门负责本业务领域的监控指标设计、监测实施和报
告等工作,于每季度结束后5日内将本部门业务领域内的年度
前十大风险管理情况和监测指标运行情况提交给内控风险牵
头管理部门。
内控风险牵头管理部门负责对风险监测指标进行整体
监控和汇总分析,及时通报有关情况或进行风险提示,督促
第 11 页 共 23 页
�落实风险应对预案。
第五章 内部控制活动
第二十条 公司以风险管理为导向、以合规管理为重点
的内控体系建设情况,编制形成《内控合规风险管理手册》
等,并定期对内控体系的有效性、合理性进行复审,根据管
理要求变化及发现的缺陷不断优化完善。
第二十一条 公司加强制度建设。梳理分析风险内控体
系执行情况,认真查找内控体系的短板弱项,不断完善内控
制度体系。根据外部监管新规定以及企业新业务、新变化、
新问题,及时做好相关制度留、立、废、改工作,明确重要
业务领域和关键环节的内控要求、风险应对措施及违规经营
投资责任追究规定。加大制度执行监督检查力度,强化责任
追究,增强制度刚性约束。
第二十二条 公司结合风险评估结果和风险监测情况,
通过预防性控制与发现性控制、手工控制与自动控制相结合
的方法,执行相应的控制措施,针对重大风险所涉及的各管
理及业务流程,实施涵盖各个环节的全流程控制措施;对其
他风险所涉及的业务流程,把关键环节作为控制点,执行相
应控制措施,将风险控制在可承受范围之内。
第二十三条 内部控制一般采取以下控制措施:组织机
构和人员分工控制、制度流程控制、不相容职务分离控制、
授权审批控制、计划预算控制、阳光交易控制、财产保护控
制、营运分析控制、绩效考评控制、信息系统控制等,其中:
第 12 页 共 23 页
� (一)不相容职务分离控制。全面梳理业务流程中所涉
及的不相容职务,严格规范重要岗位和关键人员在授权、审
批、执行、报告等方面的权责,实现可行性研究与决策审批、
决策审批与执行、执行与监督检查等岗位职责的分离。
(二)授权审批控制。规范授权放权管理,完善授权放
权管理制度,编制权限指引、责任清单或授权放权清单,加
强重要岗位授权管理和权力制衡,明确各岗位办理业务和事
项的权限范围、审批程序和相应责任,强化重要业务领域各
岗位的职责权限和审批程序,形成相互衔接、相互制衡、相
互监督的工作机制。
(三)计划预算控制。坚持计划预算引领,强化计划预
算约束,开展运营分析,发挥资源配置作用,保障绩效目标
实现。
(四)财产保护控制。保管财产文件资料,核对账表实
情况,盘点实物资产和有价凭单,严格限制未经授权人员直
接接触财产,确保资产安全。
(五)绩效考评控制。对本部各部门、全体员工及各单
位工作绩效进行考评,并将结果作为确定薪酬、职务调整等
的重要依据。
第二十四条 合规管理重点采取以下控制措施:外法内
化、合规审查、合规咨询、合规培训、合规承诺、违规举报
等,其中:
(一)外法内化。跟踪研究法律法规变化和监管动态,
针对重点领域制定具体合规管理办法,及时将外部合规要求
第 13 页 共 23 页
�转化为内部规章制度。
(二)合规承诺。实行全员承诺制,制定并组织签订《合
规承诺书》,实现合规思想认识、制度要求与执行效果的统
一,增强企业合规管控能力。
(三)合规审查。将合规审查融入业务流程,规章制度
制定、重要合同签订、“三重一大”事项等经营管理行为必
须纳入合规事项审查清单,未经合规审查不得实施。
事项简单、合规风险不大的合规管理事项,按一般合规
管理事项管理,由业务职能部门负责审核;对于复杂且存在
重大合规风险的事项、需提交决策会议决策的事项,按重要
合规管理事项管理,由业务部门、相关部门及法律事务部门
审核;对于特别复杂且存在特别重大合规风险的事项,按特
别重要合规管理事项管理,须提请相关会议进行审核。
(四)合规咨询。业务部门及其员工在履职过程中需要
对关键领域或重要环节的法律合规事项进行咨询时,应主动
向法律事务部寻求支持。法律事务部组织研究后及时答复或
启动法律合规审核流程。对于复杂或专业性强且存在重大合
规风险的事项,法律事务部应按规定听取总法律顾问意见,
或委托专业机构召开论证会后再形成审核意见。
(五)合规培训。加强全员合规培训,强化境外、高风
险业务等重点岗位人员合规培训。培育和推广合规文化,践
行依法合规、诚信经营的价值观,不断增强员工的合规意识
和行为自觉。
(六)合规报告。各单位应对合规风险事件进行分级分
第 14 页 共 23 页
�类管理。各单位发生较大合规风险事件,合规牵头管理部门
和相关业务职能部门应及时向本单位合规管理负责人、分管
领导报告。发生重大合规风险事件,应及时向公司报告,公
司法律事务部负责按分级管理要求,履行相关报告程序。
(七)违规举报。公司设立违规举报平台,对外公布举
报电话、邮箱和信箱,员工、客户、第三方均有权利进行投
诉。相关部门按照职责范围受理违规举报,并就举报问题进
行调查和处理。
(八)违规问责。完善违规行为处罚机制。针对反映的
问题和线索,及时开展调查,严肃追究违规人员责任。违规
情节轻的,给予批评教育并责令整改;违规情节重的,按照
公司相关违规处罚规定给予相应处罚;涉嫌犯罪的,移送相
关国家机关处理。
第二十五条 公司发生重大经营风险事件(重大内控缺
陷),在落实即发即报要求的同时,做好应急处置,最大程
度化解风险、降低损失。
第六章 管理重点
第二十六条 公司根据外部环境变化,结合企业实际,
在全面推进内控合规风险管理体系有效运行的基础上,突出
重点领域、重点环节、重点部门和人员、重点单位的内控合
规风险管理,切实防范风险。
第二十七条 公司在开展风险评估、应对、事件处置全
过程管理的基础上,重点关注重大风险、重大风险事件和重
第 15 页 共 23 页
�大决策。完善重大风险防控机制,建立健全重大风险研判机
制、决策风险评估机制、重大风险防控协同机制、重大风险
防控责任机制。强化防范化解重大风险全过程管控,加强对
经营环境变化的监测及趋势研判,提升对经营管理的缺陷和
问题的整改及风险应对水平,有效做好企业间风险隔离,防
止风险叠加、转化和联动,避免发生系统性、颠覆性重大风
险。
第二十八条 内控管理覆盖组织机构和人力资源管理、
国资国企改革、投资管理、财务管理、资本运营、并购重组、
采购管理、销售管理、生产运营管理、安全环保管理、工程
建设管理、科技创新管理等与人、财、物、资源调配密切相
关以及偶发性但对公司影响大的领域。同时加强对以下重点
领域的合规管理:
(一)市场交易。完善交易管理制度,严格履行决策批
准程序,建立健全自律诚信体系,突出反商业贿赂、反垄断、
反不正当竞争,规范资产交易、煤炭购销、招投标等活动。
(二)安全环保。严格执行国家安全生产、环境保护法
律法规,完善企业生产规范和安全环保制度,加强监督检查,
及时发现并整改违规问题。
(三)质量管理。完善质量体系,加强过程控制,严把
各环节质量关,提供优质产品和服务,加强大修、技改以及
工程建设质量管理。
(四)劳动用工。严格遵守劳动法律法规,健全完善劳
动合同管理制度,规范劳动合同签订、履行、变更和解除,
第 16 页 共 23 页
�切实维护劳动者合法权益。
(五)财务税收。健全完善财务内部控制体系,严格执
行财务事项操作和审批流程,严守财经纪律,强化依法纳税
意识,严格遵守税收法律政策。
(六)知识产权。及时申请注册知识产权成果,规范实
施许可和转让,加强对商业秘密和商标的保护,依法规范使
用他人知识产权,防止侵权行为。
(七)商业伙伴。对重要商业伙伴开展合规调查,通过
签订合规协议、要求作出合规承诺等方式促进商业伙伴行为
合规。
(八)并购重组。企业整体资产或企业股权的购买、兼
并或无偿划转应符合国家产业政策、宏观调控政策和公司发
展战略,严格遵守国家法律法规和政策,并购投资操作程序应
依法合规。
第二十九条 加强对以下重点环节的内控合规管理:
(一)制度制定环节。强化对规章制度、改革方案等重
要文件的合规审查,确保符合法律法规、监管规定等要求。
(二)经营决策环节。严格落实“三重一大”决策制度,
细化各层级决策事项和权限,加强对决策事项的合规论证把
关,特别盯防授权、分权、行权、决策、审批、会签等权力
行使密切相关的重点环节,保障决策和权力运行依法合规。
(三)生产运营环节。严格执行合规制度,加强对重点
流程的监督检查,特别盯防商务谈判、订立合同、结算、付
款、交割、验收、注册、注销、银行密钥和印章使用等与权
第 17 页 共 23 页
�力行使密切相关的重点环节,确保生产经营过程中照章办
事、按章操作。
第三十条 加强以下重点部门和岗位人员的内控合规
管理:
(一)权力集中部门和人员。对权力集中的部门和岗位
实行分事行权、分岗设权、分级授权,定期轮岗,强化内部
流程控制,防止权力滥用;完善内部层级监督和专门监督,
建立常态化监督制度;完善纠错问责机制,健全问责方式和
程序。
(二)资金密集部门和人员。建立资金集中管控模式,
推进业务、财务、支付一体化信息系统有效运行,强化现金
流量预算管理,实现对大额特殊资金的逐笔监控。
(三)资源资产富集部门和人员。健全管理制度,建立
先进的管理技术和方法,明确资源资产权属,量化资源资产
金额,监控资源资产情况,规范资源资产交易。
(四)管理人员。促进管理人员切实提高内控合规意识,
带头依法依规开展经营管理活动,认真履行内控合规管理职
责,强化考核与监督问责。
第七章 信息应用与信息化建设
第三十一条 公司建立健全信息应用和报送制度。编制
年度内控工作报告、年度合规管理报告、年度风险评估报告,
各单位履行本单位审批程序后报送公司:
(一)各单位于每年12月中旬,将年度风险评估报告、
第 18 页 共 23 页
�年度合规管理报告提请本单位决策机构审议批准后上报公
司。
(二)各单位要根据内控监督评价结果,形成年度内部
控制工作报告,经本单位决策机构审议批准后,于每年 2 月
上旬报送至公司。
年度内控工作报告包括内控体系建设及执行情况、合规
管理情况、风险管理情况以及年度监督评价情况等。
(三)基层企业在做好重大经营风险事件即发即报的基
础上,于次月 9 日前将重大经营风险事件月度报表报送至公
司,重大经营风险事件处置或整改工作结束后 2 个工作日内
向公司报送专项整改报告。
第三十二条 公司规范业务管理信息系统的审批流程
及各层级管理人员权限设置,将内控控制措施嵌入业务管理
信息系统,确保自动识别并终止超越权限、逾越程序和审核
材料不健全等行为,逐步实现各项经营管理决策和执行活动
可控制、可追溯、可检查,有效减少人为违规操纵因素。
第三十三条 公司统筹开展内控合规风险管理信息化
统一平台建设,有序推进内控合规风险管理信息化统一平台
与ERP、办公自动化系统等信息系统的集成应用,逐步实现
统一平台与业务信息系统互联互通、有机融合;积极探索利
用现代信息技术,逐步实现风险实时监测、自动预警以及内
控监督评价等在线监管功能。
第三十四条 公司内控合规风险管理信息化统一平台
运行后,各单位依托统一平台,开展风险评估、风险监控预
第 19 页 共 23 页
�警、风险事件管理、监督评价、问题缺陷整改、报告报表编
报等工作。
第八章 监督评价与改进
第三十五条 公司建立健全监督评价机制,统筹推进内
控合规风险管理的监督评价工作,内控合规风险管理体系建设
及实施情况纳入监督评价范畴,制定定性与定量相结合的内控
缺陷认定标准、合规评价标准和风险评估标准,规范监督评价
方式、方法、内容、程序、整改落实和成果应用等事项。
第三十六条 监督评价方式包括:企业年度自评、公司
年度抽评、审计评价、审计监督:
(一)企业年度自评。公司本部及各单位每年以规范流
程、消除盲区、有效运行为重点,对体系有效性进行全面自
评。
(二)公司年度抽评。公司每年组织对各单位体系有效
性进行抽查评价,确保每3年覆盖全部企业。
(三)审计评价。对内控监督不到位、风险事件和合规
问题频发的单位,由公司内控合规风险牵头管理部门聘请具
有相应资质的社会中介机构进行审计评价,出具审计报告。
(四)审计监督。审计监督部门对企业体系健全性和有
效性开展审计监督。
第三十七条 监督评价重点内容:
(一)内控合规风险管理体系建设情况,主要包括:组
织职责体系建设情况,各项管理工作机制建立健全情况,制
第 20 页 共 23 页
�度建设情况,信息系统建设情况等;
(二)内控合规风险管理体系执行情况,主要包括:各
项管理工作机制和制度执行情况、信息系统操作和运行情况
等;
(三)风险评估和应对化解效果,主要包括:风险评估
的完整性和针对性,风险和风险事件报告和应对化解的及时
性和有效性等;
(四)经营管理关键业务、重点环节以及改革重点领域
等情况;
(五)内外部监督检查反映的重大及共性问题。
第三十八条 监督评价技术方法包括:个别访谈、专题
讨论、调查问卷、穿行测试、控制测试、抽样、比较分析等
方法。实施中应综合考虑选择多种评价方法,获取充分、相
关、可靠的证据对控制设计和运行的有效性进行评价。
第三十九条 监督评价程序一般包括制定评价工作方
案、组成评价工作组、组织评价培训、开展现场评价、认定
内控缺陷、交换评价意见、编报评价报告、制定整改方案、
评价资料归档、监督评价成果应用等环节。
企业根据需要可以聘请外部专业机构协助开展评价等
工作。
第四十条 监督评价中发现的重大缺陷应由被评价单
位通过相关程序予以认定,并及时采取应对措施。
第四十一条 公司统筹开展监督评价和审计监督工作,
有效利用监事会(监事)、内部审计等的监督检查工作成果,
第 21 页 共 23 页
�以及外部审计检查、纪检监察、巡视巡察反馈问题情况,促
进体系持续优化。
第四十二条 公司加强内控缺陷、合规问题和风险隐患
整改,立行立改、举一反三,建立问题台账,实行销号管理,
开展整改工作“回头看”。对整改不力的印发提示函或通报,
进一步落实整改责任。
第四十三条 公司把审计监督评价结果作为改善管理、
防控风险、完善制度、强化考核和责任追究的重要依据,并
将内控合规风险管理考评结果纳入年度绩效考核。公司负责
各单位内控合规风险管理考核评价。
第四十四条 公司强化责任追究,未履行或未正确履行
内控合规风险管理职责,造成资产损失或其他严重不良后果
等情形的,依照公司《违规经营投资责任追究实施办法》等
制度规定,追究有关企业和人员责任。
第九章 附 则
第四十五条 本办法由公司财务资产部会同法律事务
部负责解释。
第四十六条 本办法自董事会审议通过之日起施行。董
事会2013年4月10日批准的《沈阳金山能源股份有限公司内
部控制管理制度》同时废止。
附:内控风险合规管理图
第 22 页 共 23 页
�附
内控风控合规三位一体流程图
内
部
环 内部环境
境
管理目标
收集风险管理初始信息
风险评估
运
行 确定风险管理策略
机
制
制定风险管理解决方案
实施风险管理解决方案
是 否
控制措施
控制活动 其他措施
合规 风险
内控 风险 风险
措施 转移
措施 预警 对冲
等
风险事件处置
监督评价与改进
信息应用
保
障
机
制
信息化建设
第 23 页 共 23 页
�
