意见反馈 手机随时随地看行情
  • 公司公告

公司公告

苏美达:公司内部控制与风险管理办法2021-12-07  

                                       苏美达股份有限公司
             内部控制与风险管理办法
    (经苏美达股份有限公司第九届董事会第九次会议审议通过)


                     第一章       总   则
    第一条   为加强和规范苏美达股份有限公司(以下简称
“公司”)内部控制与风险管理,统筹推进公司内部控制体
系(以下简称“内控体系”)建设和运行监管,提升经营管
理水平和风险防范能力,促进公司高质量发展,根据国资委、
财政部有关企业内部控制与风险管理等规定和要求,结合公
司实际,制定本办法。
    第二条    本办法适用于公司及所有具有实际控制权的
子公司(以下简称子公司)。
    第三条    本办法所称“内部控制”,是指由公司党委、
董事会、监事会、经理层和全体员工共同实施的、旨在实现
控制目标的过程。内部控制的目标是保证公司经营管理合法
合规、资产安全、报告及相关信息真实完整,提高经营效率
和效果,促进公司实现发展战略。
    第四条    本办法所称“风险管理”,是指公司围绕战略
和经营目标,在管理的各环节和经营的各项活动中执行风险
管理的基本流程,评估可能影响公司正常生产经营的潜在事
项并管理风险的过程。风险管理的目标是以公司总体风险可
控、不发生系统性风险为底线,将风险控制在与公司发展战
略及经营现状相适应的范围。
    第五条   公司内控体系包含内部控制、风险管理和合规
管理。
                              1
       第六条   公司内控体系建设与运行,应遵循下列基本原
则:
    (一)全面性原则。贯穿决策、执行和监督全过程,覆
盖公司的全部业务和经营管理事项。
    (二)重要性原则。在全面管控的基础上,关注重要业
务、事项和高风险领域。
    (三)制衡性原则。在治理结构、机构设置及权责分配、
业务流程等方面形成相互制约、相互监督,同时兼顾运营效
率。
    (四)适应性原则。内控体系与公司经营规模、业务范
围、竞争状况和风险水平等相适应,并随着情况的变化及时
加以调整。
    (五)成本效益原则。权衡实施成本与预期效益,以适
当的成本实现管控目标。
                  第二章   组织体系与职责分工
       第七条   公司内控组织体系包括公司党委、董事会、审
计与风险控制委员会、内控及风险合规领导小组、内控及风
险合规工作小组,公司相关职能部门以及各下属企业相应建
立的本企业内控组织体系等。
       第八条   公司董事会为公司内控体系管理的决策机构,
职责如下:
    (一)审批内控体系建设总体目标;
    (二)审批内控体系基本制度;
    (三)审批内控体系相关报告,对公司内控体系有效性
进行评价;

                              2
    (四)审批内控体系相关的其他重大事项。
       第九条     公司董事会审计与风险控制委员会在公司内
控体系中主要职责为:
    (一)审议需要董事会决议的内控体系基本制度和相关
报告,为董事会决策提供意见;
    (二)指导公司内控体系建设;
    (三)监督、评估、检查内控体系运行质量和效果,并
向董事会报告;
    (四)审议内控体系相关的其他重大事项。
       第十条     内控及风险合规领导小组(以下简称领导小组)
由总经理担任组长,财务总监担任副组长,各子公司总经理
担任领导小组成员。职责包括:
    (一)审核内控体系建设总体目标;
    (二)组织内控体系建设工作,推动内控体系的良好运
行;
    (三)审核公司内部控制、风险管理、合规管理的基本
制度;
    (四)审核年度内控体系工作重点;
    (五)审核年度风险评估、内控体系工作等相关报告,
按程序提交审计与风险控制委员会及董事会审议,并监督各
专项整改方案的落实;
    (六)指导子公司的内控体系建设工作,并监督其执行
效果;
    (七)审核与内控体系相关的其他工作。
       第十一条     内控工作小组在领导小组的指导下,具体实

                                3
施内部控制管理工作。由资产财务部总经理担任组长,各职
能部门负责人及子公司财务负责人担任工作小组成员,工作
小组办公室设在资产财务部,具体职责包括:
    (一)拟定内部控制管理制度,组织拟订相关配套指引;
    (二)具体实施公司内部控制建设工作,对各子公司内
控建设进行跟踪与指导;
    (三)编制并持续优化公司内部控制管理手册;
    (四)具体实施公司及子公司的内部控制评价工作,并
向领导小组提交评价报告并汇报内控情况;
    (五)跟踪监督公司及子公司内部控制缺陷整改情况,
并向领导小组汇报;
    (六)配合外部审计师进行内部控制审计工作;
    (七)领导小组交办的其他内部控制相关工作。
    第十二条   风险与合规工作小组,具体开展全面风险管
理体系建设和运行、专项风险管理工作。由公司法律及风控
合规分管领导任组长,各职能部门负责人为工作小组成员,
工作小组办公室设在法律及风控合规部,工作小组职责分工
如下:
    法律及风控合规部:工作小组办公室,负责组织协调风
险管理工作,对接上级单位风险管理部门,按其要求并经公
司董事长核准签发提交年度报告、季度报告和临时报告,根
据职责分工负责法律风险管控;
    审计部:对所属公司风险管理的有效性进行监督,并根
据职责分工负责审计风险的管控;
    工作小组其他成员:根据部门职责分工,对战略风险(含

                           4
投资风险)、市场风险、运营风险(含经营风险、人力资源
风险、研发风险、安全生产风险、道德风险等)、财务风险
进行管控。
    具体职责包括:
    (一)提出公司全面风险管理组织体系的建设方案,拟
定风险管理相关制度文件;
    (二)起草公司全面风险管理报告,并组织执行风险管
理解决方案;
    (三)根据风险管理需求,建立完善风险管理信息系统;
    (四)指导子公司全面风险管理工作的开展,根据小组
成员分工,负责对子公司的重大专项风险进行监控、预警、
评价、问责及管理指导;
    (五)根据职责分工,参与公司重大决策活动相关的专
项风险分析,并出具专项风险分析意见;
    (六)对子公司的重大风险事件提出责任处理方案;
    (七)开展其他与风险管理相关的工作。
    第十三条     公司各职能部门内控体系职责包括:
    (一)建立、完善与本部门职能相关内控管理制度及配
套指导文件等;
    (二)根据部门内控职责,结合风险管理、合规管理要
求,落实本部门内控建设、执行评价、整改优化等工作;
    (三)配合内外部机构对公司内控体系的检查、评价;
    (四)对子公司相关内控制度的建设及实施情况予以指
导和监督检查;
    (五)对子公司相关专项内部控制及风险管理、合规管

                             5
理工作执行情况进行监控和管理指导;
    (六)根据部门职责,开展公司重大决策活动相关的专
项风险分析、评估,并提出专项风险分析、评估意见;
    (七)妥善应对本业务领域的包括合规风险在内的重大
风险事项,并及时向小组办公室通报;
    (八)其他与内控体系建设、运行、管理、评价等有关
的工作。
    第十四条   公司各职能部门设合规专员,合规专员应熟
悉本部门主要控制活动、主要风险类别及合规管理要求,负
责协调、组织与本部门职能相关的内控制度建设及执行、优
化管理。
    第十五条   各子公司总经理为内控体系监管工作第一
责任人,对本单位内控体系的建立健全和有效实施负责。
    第十六条   各子公司依据本办法,建立适合本单位风险
管理需要的内部控制组织机构,各子公司应指定内部控制人
员和公司内控及风险合规工作小组对接。
    第十七条   各子公司在公司内控及风险合规工作小组
的指导下,开展内部控制自我评价,落实内部控制各项要求,
实施内部控制缺陷整改,定期检查内部控制管理手册及管理
制度执行情况,配合公司进行内部控制审计工作。审计部要
加强内控体系监督检查工作,不断发挥查错纠弊作用,促进
公司不断优化内控体系。
                     第三章       风险管理
   第十八条    公司按照“分级分类”的原则分解落实风险
管理责任。各级风险管理责任主体应根据风险管理职责分别

                              6
承担本公司、本部门的风险管理责任。
   风险主要分为战略风险、财务风险、市场风险、运营风
险和法律风险等五大种类。
   第十九条     各级风险管理责任主体包括公司、全级次各
子公司及其各职能、业务部门。各公司负责本公司各类经营
管理活动的风险管理,公司的各职能、业务部门根据部门职
责分工,负责职责范围内各类经营管理活动的风险管理。
   各级风险管理责任主体应主动识别风险、深入分析风险,
在全体员工中形成良好的风险防控意识,落实全员风险责任。
   第二十条     风险管理应贯穿公司的管理决策、制度制定、
业务执行、监督评价等各环节,各公司应强化事前防范、细
化事中监控、落实事后评价及问责。
   第二十一条     开展风险管理应与公司其他管理工作紧
密结合,把风险管理的各项要求融入公司管理和业务流程中。
    公司应建立风险管理“三道防线”体系。各有关职能、
业务部门为第一道防线,风险管理职能部门为第二道防线,
内部审计部门为第三道防线。
   第二十二条     风险评估。公司应根据内外部环境的变化,
对影响公司战略目标和经营目标实现的内部风险和外部风
险进行风险辨识、风险分析、风险评价。
    第二十三条    公司外部风险关注因素主要包括经济因
素、法律法规、监管因素、自然环境、科学技术及其他有关
外部风险因素。
    第二十四条    公司内部风险关注因素主要包括决策、管
理结构、人员、创新、资产财务及其他有关内部风险因素。

                             7
       第二十五条   风险评估一般采用定性与定量相结合的
方法,按照风险发生的可能性、影响程度及可控程度等,对
识别的风险进行分析和排序,确定关注重点和优先控制的风
险。
    公司进行风险评估,应充分吸收专业人员,组成风险分
析团队,按照严格规范的程序开展工作,确保风险评估结果
的准确性。必要时,可聘请外部专业中介机构协助实施。
       第二十六条   风险评估包括全面风险评估和专项风险
评估。
    (一)全面风险评估。对经营环境变化、发展趋势等进
行综合分析和预判,同时结合内控体系监督评价工作中发现
的经营管理缺陷和问题,综合评估公司内外部风险水平,有
针对性地制定风险应对方案。公司至少每年开展一次全面风
险评估。
    (二)专项风险评估。对重大合同、新业务、重大投资
并购、改革改制重组、重要组织结构调整等决策事项应开展
专项风险评估,充分揭示风险、提出风险应对措施及解决预
案,并将风险评估报告作为重大经营管理事项决策的必备支
撑材料。
   第二十七条       风险应对策略。公司应根据风险评估结果,
围绕公司发展战略,确定总体风险偏好、风险承受度、风险
管理有效性标准,选择风险回避、风险降低、风险分担、风
险接受等基本风险应对策略,并配置风险管理所需要的人力
和财力资源。
       第二十八条   风险管理解决方案。公司应根据风险应对

                              8
策略,针对评估出的重大风险,制定可操作的控制措施。风
险管理解决方案应根据重大风险变化情况及执行效果进行
动态调整。
    第二十九条     风险监控。公司应以重大风险、重大事件、
重大决策、主要业务流程为重点,对风险管理的实施情况进
行监督。
   各级风险管理责任主体应对职责范围内主要风险进行监
控预警,应明确监控指标、预警标准以及应急预案等。
    第三十条     风险管理报告。公司各职能、业务部门应定
期对风险管理工作进行自查和检验,及时发现缺陷和问题并
改进,并报送风险管理职能部门。公司风险管理职能部门应
定期对各有关职能、业务部门风险管理工作实施情况进行评
估,提出改进建议。
    风险管理报告包括定期报告和临时报告。定期报告包括
年度风险评估报告、季度风险监控报告等,临时报告包括各
级风险管理责任主体提出的专项重大风险报告、新发的重大
风险事件报告等。各级风险管理责任主体应根据相关规定及
时上报重大风险事项,做好风险应对预案。
                      第四章       内部控制
    第三十一条     公司应及时将法律法规等外部监管要求
转化为内部规章制度,持续完善公司内部管理制度体系。
    公司应严格落实各项规章制度,将风险管理和合规管理
要求嵌入业务流程,促使公司依法合规开展各项经营活动。
各公司应将违规经营投资责任追究内容纳入公司内部管理
制度中,强化制度执行刚性约束。

                               9
       第三十二条   公司应聚焦关键业务、重点领域、国有资
本运营重要环节以及境外国有资产监管等方面,定期梳理分
析相关内控体系执行情况,查找制度缺失或流程缺陷,及时
研究制定改进措施,确保体系完整、全面控制、执行有效。
       第三十三条   公司内部控制措施一般包括:不相容职务
分离控制、授权审批控制、会计系统控制、财产保护控制、
预算控制、运营分析控制和绩效考评控制等。
       第三十四条   公司依据《企业内部控制基本规范》及配
套指引,结合公司管理特点,制定公司相关内部控制管理制
度及内部控制管理手册,逐步通过信息系统固化控制措施。
       第三十五条   公司及子公司需运用信息技术加强内部
控制,建立、完善与经营管理相适应的信息系统,促进内部
控制流程与信息系统的有机结合,实现对业务和事项的自动
控制,减少或消除人为操纵因素。
                        第五章        内控监督
       第三十六条   公司统筹内部控制、风险管理和合规管理
的监督评价工作,将风险管理、合规管理制度建设及实施情
况纳入内控体系监督评价范畴。
       第三十七条   公司通过日常监督、专项检查、内控自评、
年度监督评价等方式,对内控体系的建设及运行有效性进行
监督检查。通过内控监督,准确揭示风险隐患和内控缺陷,
监督检查的结果作为评价公司内控体系有效性及推动公司
持续完善内控体系的依据。
   第三十八条       内部控制缺陷一般包括设计缺陷和运行缺
陷。

                                 10
   第三十九条     内部控制缺陷按其影响程度分为重大缺陷、
重要缺陷和一般缺陷。
   第四十条     公司内控体系评价应根据本制度以及本公司
内控体系相关制度,考虑公司自身的经营特点、业务模式以
及风险管理要求,围绕内部环境、风险管理、内部控制、内
部监督等方面,对内控体系建设与运行情况进行全面评价。
    第四十一条    公司对内部控制缺陷的认定,以日常监督
和专项监督为基础,结合年度内控自评和监督评价,由内控
监督评价部门进行综合分析后提出认定意见。内部控制缺陷
情况按要求报告董事会、监事会、经理层,重大缺陷应由董
事会予以最终认定。
    第四十二条    公司结合公司性质和业务类型,制定本公
司内部控制缺陷认定标准,对监督过程中发现的内部控制缺
陷,分析缺陷的性质和产生的原因,提出整改方案。
    第四十三条    公司将加大督促整改工作力度,明确整改
责任部门、责任人和完成时限,对整改效果进行检查评价。
    对于重大或者反复出现的合规风险和违规问题,应深入
查找根源,完善相关规章制度,堵塞管理漏洞,强化过程管
控,持续改进提升。
    第四十四条     公司应妥善保存内控体系建设与实施过
程中的相关记录或资料,确保内控体系建设与实施过程的可
验证性。
    第四十五条    公司及子公司应完善内控体系考核机制,
将内部控制、风险管理和合规管理情况纳入年度综合考核体
系当中。公司将细化评价指标,对内控体系履职情况进行评

                            11
价,并实施适当的奖励措施,评价结果可作为员工考核、干
部任用、评先选优的依据。
                       第六章    附   则
    第四十六条   本办法由公司法律及风控合规部、资产财
务部负责解释和修订。
    第四十七条   本办法自董事会审议通过、印发之日起生
效。原《公司内部控制管理制度》《公司内部控制评价管理
办法》《公司全面风险管理办法》同时废止。


    附表:1.内控体系评价指标
          2.内控缺陷认定标准
          3.风险评估参考标准




                            12
       附表 1
                                  内控体系评价指标
评价指标                                           参考标准
                                       一、内部环境
                                     (一)组织架构
董事会、监事会、经   董事会及各专门委员会、监事会和经理层的职责权限、任职资格、议事规则
理层的相互制衡       是否明确并严格履行
                     1.是否科学界定了董事会、监事会、经理层在建立与实施内控体系中的职责
董事会、监事会、经   分工
理层效力于内控体     2.董事会采取必要的措施促进和推动公司内控体系工作,按照职责分工提出
系建设和运行         内控体系评价意见,定期听取内控体系报告,督促内控体系整改,修订内控
                     体系要求
组织机构的设置科     1.组织机构设置是否与公司业务特点相一致,能够控制各项业务关键控制环
学、精简、高效、透   节,各司其职、各尽其责,不存在冗余或缺漏的设置
明、权责匹配、相互
                     2.是否明确了权责分配,制定了权责指引并保持权责行使的透明度
制衡
                   是否定期梳理、评价公司治理结构和内部机构设置,发现问题及时采取措施
组织架构适应性
                   加以优化调整
                   是否通过合法有效的形式履行出资人职责、维护出资人权益,特别关注譬如
组织架构对子公司
                   异地、境外子公司等的发展战略、年度财务预决算、重大投融资、重大担保、
的控制力
                   大额资金使用、主要资产处置、重要人事任免、内控体系建设等重要事项
                                    (二)发展战略
                   1.公司是否综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、
                   行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素制定科
                   学合理的发展战略
发展战略科学合理, 2.根据发展目标制定战略规划,确定不同发展阶段的具体目标、工作任务和
既不缺乏也不激进, 实施路径
且实施到位         3.是否指定相关机构负责发展战略管理工作,明确战略管理职责和议事规
                   则,并按规定履行职责
                   4.是否对发展战略进行可行性研究和科学论证,并报董事会和股东(大)会
                   审议批准
                   1.是否制定年度工作计划,编制全面预算,确保发展战略的有效实施
发展战略有效实施   2.是否采取有效方式将发展战略及其分解落实情况传递到内部各管理层级
                   和全体员工
                   是否及时监控发展战略实施情况,并根据环境变化及风险评估等情况及时对
发展战略科学调整
                   发展战略做出调整
                                 (三)人力资源政策
                   1.人力资源政策是否有利于公司可持续发展和内控体系的有效运行
人力资源结构合理、
                   2.是否明确各岗位职责权限、任职条件和工作要求,选拔是否公开、公平、
能够满足公司需要
                   公正
                   1.是否制定并实施关于员工聘用、培训、辞退与辞职、薪酬、考核、健康与
人力资源开发机制   安全、晋升与奖惩等方面的管理制度
健全有效           2.是否建立员工培训长效机制,培训是否能满足职工和业务岗位需要,是否
                   存在员工知识老化
                   1.是否设置科学的业绩考核指标体系,并执行考核评价,以此作为确定员工
                   薪酬、职级调整和解除劳动合同等的重要依据
人力资源激励约束   2.是否存在人才流失现象
机制健全有效       3.是否对关键岗位员工有强制休假制度或定期轮岗制度等方面的安排
                   4.是否对掌握国家秘密或重要商业秘密的员工离岗有限制性的规定
                   5.是否将有效执行内部控制纳入公司绩效考评体系

                                             13
                                      (四)社会责任
安全生产体系、机制   是否建立严格的安全生产管理体系、操作规范和应急预案,落实安全生产责
健全有效             任
切实履行环境保护     是否制定环境保护与资源节约制度,采取措施促进环境保护、生态建设和资
和资源节约责任       源节约,并实现节能减排目标
产品质量体系健全     是否建立严格的产品质量控制和检验制度并严格执行,是否有良好的售后服
有效                 务,能够妥善处理消费者提出的投诉和建议
                     1.是否依法保护员工的合法权益,保持工作岗位相对稳定,积极促进充分就
                     业
                     2.是否实现按劳分配、同工同酬,建立科学的员工薪酬制度和激励机制,是
促进就业和保护员
                     否建立高级管理人员与员工薪酬的正常增长机制
工权益
                     3.是否及时办理员工社会保险,足额缴纳社会保险费
                     4.是否维护员工健康,落实休息休假制度
                     5.是否积极开展员工职业教育培训,创造平等发展机会
                                      (五)企业文化
                     1.是否采取切实有效的措施,积极培育具有自身特色的企业文化,打造以主
                     业为核心的企业品牌,促进企业长远发展
                     2.公司董事、监事、经理及其他高级管理人员是否在文化建设和履行社会责
企业文化具有凝聚
                     任中起到表率作用,是否促进文化建设在内部各层级的有效沟通
力和感召力,促进企
                     3.是否做到文化建设与发展战略的有机结合,使员工自身价值在公司发展中
业可持续发展
                     得到充分体现
                     4.是否重视并购重组后的企业文化建设,平等对待被并购方的员工,促进并
                     购双方的文化融合
                     是否建立企业文化评估制度,对企业文化建设中的责任履行情况、全体员工
                     对企业核心价值观的认同感、公司经营管理行为与企业文化的一致性、公司
企业文化评估具有
                     品牌的社会影响力、参与公司并购重组各方文化的整合度,以及员工对公司
客观性、实效性
                     未来发展的信心做出评估;针对发现影响公司文化建设的不利因素,分析深
                     层次的原因,及时采取措施加以改进
                                        二、风险管理
                     1.公司层面:是否有明确的目标,目标是否具有广泛的认知基础、公司战略
                     是否与公司目标相匹配
控制目标设定         2.业务层面:各业务层面目标是否与公司目标一致,各业务层面目标是否衔
                     接一致,各业务层面目标是否具有操作指导性
                     3.是否结合公司的风险偏好,确定相应的风险承受度
                     1.目标是否层层分解并确立关键业务或事项
                     2.是否持续性地收集相关信息,内外部风险识别机制是否健全,是否识别影
风险识别             响公司目标实现的风险
                     3.是否根据关键业务或事项分析关键成功因素
                     4.是否识别影响公司目标实现的风险
                     1.风险分析技术方法的适用性
风险分析             2.结合风险发生可能性、影响程度及可控程度标准划分风险等级
                     3.风险发生后负面影响判断的准确性
                     1.全面风险评估的指导性
风险应对             2.专项风险评估是否充分,是否为重大经营事项决策提供支撑
                     3.风险应对策略与公司战略、企业文化的一致性
                     1.是否建立风险监控机制
风险监控
                     2.是否持续收集、监控与风险变化相关的信息
                                        三、内部控制
                                   (一)内部控制的设计
控制措施足以覆盖     1.是否针对公司内部环境设立了相应的控制措施
公司重要风险,不存   2.各项控制措施的设计是否与风险应对策略相适应
在控制缺失、控制过   3.各项主要业务控制措施是否完整、恰当
                                             14
度                 4.是否针对非常规性、非系统性业务事项制定相应的控制措施,并定期对其
                   执行情况进行检查分析
                   5.是否建立重大风险预警机制和突发事件应急处理机制,相关应急预案的处
                   置程序和处理结果是否有效
                                 (二)内部控制的运行
控制活动运行符合   针对各类业务事项的主要风险和关键环节所制定的各类控制方法和控制措
控制措施规定       施是否得以有效实施
                   1.公司是否建立与经营管理相适应的信息系统,利用信息技术提高对业务事
                   项的自动控制水平
                   2.在信息系统的开发过程中,是否对信息技术风险进行识别、评估和防范
                   3.信息系统的一般控制是否涵盖信息系统开发与维护、访问与变更、数据输
利用信息化程度     入与输出、文件储存与保管、网络安全、硬件设备、操作人员等方面,确保
                   信息系统安全稳定运行
                   4.信息系统的应用控制是否紧密结合业务事项进行,利用信息技术固化流
                   程、提高效率、减少或消除人为操纵因素
                   5.信息系统是否建立并保持相关信息交流与沟通的记录
                   1.是否建立健全并有效实施反舞弊机制
反舞弊机制健全
                   2.对舞弊事件和举报所涉及的问题是否及时、妥善地作出处理
                                     四、内控监督
                   1.管理层是否定期与内控机构沟通评价结果,并积极整改
                   2.是否落实各职能部门和子公司在日常监督中的责任,及时识别环境和业务
                   变化
                   3.日常监督的内容是否为经过分析确认的关键控制并有效控制,是否按重要
                   程度将发现问题如实反馈内控机构,是否积极采取整改措施
内控监督能够覆盖   4.日常监督用以证明内控体系有效性的信息是否适当和充分,监督人员是否
并监控公司日常业   具有胜任能力和客观性
务活动             5.内部审计的独立性是否得以保障,内部审计机构是否独立、充分地履行监
                   督职责,审计监督与内部控制沟通是否顺畅
                   6.是否开展了必要的专项监督
                   7.内控机构是否追踪重大风险和重要业务,是否制定内控评价和考核奖惩办
                   法,定期组织子公司开展内控体系自我评价,合理认定内控缺陷并分析原因,
                   提出整改建议
                   1.内控机构是否制定科学的内控缺陷认定标准并予以执行
                   2.是否对内控缺陷进行全面、深入地研究分析,提出并实施整改,采取适当
内部控制缺陷认定   的形式及时向董事会、监事会或经理层报告,督促业务部门整改重大缺陷,
科学、客观、合理, 并按规定予以披露
且报送机制健全     3.对发现的内控重大缺陷,是否追究相关责任单位和责任人的责任
                   4.是否建立内控缺陷信息数据库,并对近年发现的内控缺陷及其整改情况进
                   行跟踪检查
                   1.是否采取书面或其他适当方式对内控体系的建立与运行情况进行记录
                   2.是否妥善保存内部控制相关记录和资料,确保内控体系建立与运行过程的
内部控制建设与评
                   可验证性
价文档妥善保管
                   3.对暂未建立健全的有关内部控制文档或记录,是否有证据表明已实施了有
                   效控制或者替代控制措施




                                           15
           附表 2

                           内控缺陷认定标准(财务报告)
                                                  认定标准
缺陷类别
                       定量标准                                    定性标准
                                                 1.     董事、监事、高级管理人员存在重大舞弊,严
                                                 重影响财务报告准确性;
                错报金额≥利润总额 5%            2.     公司审计与风险控制委员会和内控管理部门对
重大缺陷         或错报金额≥2.5 亿元            财务报告内控监督无效;
                     (取较小值)                3.     财务报告正式披露前发生重大泄露;
                                                 4.     外部审计发现当期财务报告存在重大错报,而
                                                 内部控制在运行过程中未能发现该错报。
                                                 1.     对董事、监事、高级管理人员舞弊行为进行了
                                                 内部约束,但内部控制措施不完备,或内控体系能
                                                 够及时发现但不能及时制止;
                                                 2.     财务报告正式披露前部分信息发生泄露;
                                                 3.     公司审计与风险控制委员会和内控管理部门发
                 利润总额 5%>错报金额
                                                 现财务报告存在错报,但未能及时纠正;
                    ≥利润总额 3%
重要缺陷                                         4.     未依照公认会计准则选择和应用会计政策;
            或 2.5 亿元>错报金额≥5000 万元
                                                 5.     对于非常规或特殊交易的账务处理没有建立相
                     (取较小值)
                                                 应的控制机制或没有实施且没有相应的补偿性控
                                                 制;
                                                 6.     对于期末财务报告过程的控制存在一项或多项
                                                 缺陷且不能合理保证编制的财务报表达到真实、准
                                                 确的目标。
                错报金额<利润总额 3%,
一般缺陷         或错报金额<5000 万元         不构成重大缺陷或重要缺陷的其他内部控制缺陷
                     (取较小值)




                                                16
                          内控缺陷认定标准(非财务报告)
                                                   认定标准
缺陷类别
                        定量标准                                     定性标准
                                                  1.     违反国家法律、法规或规范性文件,受到重大
                                                  处罚;
                                                  2.     公司没有明确的战略目标和战略管理体系;
                                                  3.     缺乏民主决策程序或形同虚设,如缺乏“三重
                                                  一大”决策程序;
                 损失金额≥利润总额 5%            4.     多项重要业务缺乏制度控制或制度系统性失
重大缺陷          或损失金额≥2.5 亿元            败;
                      (取较小值)                5.     内部控制评价的重大缺陷未得到整改;
                                                  6.     受到境外国家、地区或国际组织出口管制、贸
                                                  易制裁等,公司国际化战略或国际形象产生重大负
                                                  面影响;
                                                  7.     中高级管理人员和高级技术人员流失严重;
                                                  8.     媒体频现负面新闻,涉及面广。
                                                  1.     因轻微违规受到监管部门的处罚;
                                                  2.     公司战略目标不清晰,战略计划不明确;
                                                  3.     虽然进行了民主决策,但执行中存在违背决议
                  利润总额 5%>损失金额            的情况;
                     ≥利润总额 3%                4.     个别重要业务制度控制不完善或制度系统存在
重要缺陷
             或 2.5 亿元>损失金额≥5000 万元      设计不合理;
                      (取较小值)                5.     公司频繁地发生大额诉讼案件;
                                                  6.     关键岗位业务人员流失严重;
                                                  7.     媒体出现负面新闻,波及局部区域;
                                                  8.     内部控制重要缺陷未得到整改。

                 损失金额<利润总额 3%,
一般缺陷          或损失金额<5000 万元         不构成重大缺陷或重要缺陷的其他内部控制缺陷
                      (取较小值)

           注:当公司按照定量标准和定性标准衡量内控缺陷时,应按照从严原则确定
   内控缺陷类别。




                                                 17
           附表 3

                                        风险评估参考标准
表 1.风险发生的可能性

风险等级            概率                                          说 明

                                     在公司本部现有的管理水平、人员结构素质和管控手段条件下,风
   高       100%>发生概率≥50%      险事件发生可能性非常高。例,每 10 次可能会发生该风险事件的
                                     公司行为中,该风险事件会发生 5 次(含)以上。

                                     在公司本部现有的管理水平、人员结构素质和管控手段条件下,风
   中       50%>发生概率≥10%       险事件发生可能性一般。例,每 10 次可能会发生该风险事件的公
                                     司行为中,该风险事件会发生 1 次(含)以上 5 次以下。
                                     在公司本部现有的管理水平、人员结构素质和管控手段条件下,风
   低          发生概率<10%         险事件发生的可能性较低。例,每 10 次可能会发生该风险事件的
                                     企业行为中,该风险事件会发生 1 次以下。


表 2.风险影响程度

风险等级               经济损失                                   公司声誉及形象
                损失金额≥利润总额 5%,
                                               导致公司声誉及公司形象受到严重不良影响,要消除这
   高            或损失金额≥2.5 亿元
                                               种影响需要很长的时间或要付出很高的代价
                     (取较小值)
                 利润总额 5%>损失金额
                    ≥利润总额 3%,             导致公司声誉及公司形象受到一定的负面影响,且这种
   中
            或 2.5 亿元>损失金额≥5000 万元    影响可能持续一段时间或较难消除
                     (取较小值)
                损失金额<利润总额 3%,
   低           或损失金额<5000 万元          对公司声誉影响很小且影响很短暂
                     (取较小值)
表 3.风险可控度

风险等级               控制程度                        应对措施                     成 因
   高             很难发现且很难控制             全面风险解决方案              主、客观风险

   中             较易发现但较难控制             专项风险管理方案              主、客观风险

   低               易发现且可控制                风险预防性措施                   客观风险




                                                  18