中国西电:内部控制与全面风险管理制度2018-04-05
中国西电电气股份有限公司
内部控制与全面风险管理制度
第一章 总则
第一条 为规范中国西电电气股份有限公司(以下简称“公司”)内部控制与全面风
险管理工作,建立健全内部控制体系,有效实施及监督内部控制,提高风险防范能力,
促进公司持续、健康发展,根据国务院国资委《中央企业全面风险管理指引》、财政
部《企业内部控制基本规范》及配套指引等相关法规、《公司章程》,结合公司实际,
制定本制度。
第二条 本制度适用于公司及各子企业。具体涉及管理组织体系、内部控制管理、全
面风险管理、检查、考核与责任追究管理等内容。
第三条 定义
(一) 内部控制:是由公司董事会、监事会、管理层及全体员工实施的、旨在实
现公司发展目标的控制过程。
(二) 风险:是指未来的不确定性对公司实现其经营发展目标的影响。公司风险
一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等五大类。
(三) 全面风险管理:是指公司围绕总体经营目标,通过在公司管理的各个环节
和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风
险管理体系,包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管
理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和
方法。
(四) 公司层面内部控制缺陷,是指由那些对公司的整个内部控制体系具有广泛
影响的控制产生的内部控制缺陷,如发生在组织架构、发展战略、人力资源管理方面
的内部控制缺陷。
(五) 业务层面的内部控制缺陷,是指由那些可直接作用于公司生产经营业务活
动的具体业务控制产生的内部控制缺陷,如发生业务处理程序中的批准与授权、审核
与复核、以及为保证资产安全而采用的限制接近等控制的内部控制缺陷。
第二章 管理组织体系
第四条 公司分别设立内部控制管理组织体系和风险管理组织体系。公司内部控制管
理组织体系是由董事会、监事会、审计及关联交易控制委员会、经理层、审计内控部
�门和各职能部门及各子企业构成;公司全面风险管理体系是由经理层、风险管理委员
会、审计内控部门及各职能部门及各子企业构成。
第五条 董事会是公司内部控制管理的最高决策机构,职权是:
(一) 确定公司内部控制建设的总体目标;
(二) 了解和掌握公司面临的重大内部控制管理现状;
(三) 审批聘请内部控制审计机构的议案;
(四) 审批公司全面风险管理报告;
(五) 监督公司内部控制文化的培养建设;
(六) 决策公司内部控制管理的其他重大事项。
第六条 监事会负责监督公司内部控制制度的设计与执行,对发现的内部控制缺陷,
可要求公司整改。
第七条 审计与关联交易控制委员会的管理职权:
(一) 监督及评估外部审计机构工作;
(二) 审议内部控制有效性;
(三) 审阅公司的财务报告并对其发表意见;
(四) 协调管理层、内部审计部门及相关部门与外部审计机构的沟通。
第八条 经理层内部控制与风险管理的职权:
(一) 负责内部控制制度体系的建立、完善;
(二) 推进公司内部控制制度的执行;
(三) 检查公司制度的制定、实施情况;
(四) 审批风险管理总体目标、风险偏好、风险承受度;
(五) 审批风险管理方面的制度;
(六) 审批全面风险管理工作计划;
(七) 审批风险应对总体方案,决策重要和重大风险管理中的有关具体问题;
(八) 负责组织完成涉及内部控制管理的其他重大事项;审批、检查、决定风险
管理中的其他重要事项。
第九条 风险管理委员会对经理层负责,主要履行的管理职权:
(一) 审阅全面风险管理报告;
(二) 审议风险管理策略和重大风险管理解决方案;
(三) 审议重要和重大风险的判断标准,以及专项风险评估报告;
(四) 办理经理层授权的有关全面风险管理的其他事项。
第十条 公司审计内控部门的内部控制与风险管理职责:
(一) 拟定公司内部控制管理相关制度;
� (二) 制定公司年度内控评价管理工作方案;
(三) 按照审批的工作方案组织开展内控评价;
(四) 汇总、分析各职能部门及各子企业收集的内控管理的信息、资料;
(五) 审核公司各部门及各子企业年度内控评价报告,编制公司年度内部控制评
价报告;
(六) 监督、协调外部审计机构按照计划完成年度内控审计工作,并组织相关各
方沟通发现的内控缺陷和管理建议;
(七) 向管理层及时汇报内、外部审计机构提出的内控问题及建议,并随时关注
缺陷整改完成情况;
(八) 督导各职能部门及各子企业内控缺陷的整改;
(九) 沟通、确认外部审计机构出具的内控审计意见;
(十) 拟订聘请、更换内部控制审计机构的议案;
(十一) 拟订综合性风险管理制度和流程,参与评审专业性管理制度和流程;
(十二) 制定年度全面风险管理工作方案;
(十三) 负责组织编制全面风险管理报告;
(十四) 协同各职能部门,指导督促下属单位开展全面风险管理工作;
(十五) 办理风险管理方面的其他综合性工作。
第十一条 公司各职能部门内部控制与风险管理的职责:
(一) 严格执行公司各项管理制度。
(二) 识别、分析和应对部门业务中涉及的内控缺陷,制定或完善内部控制制度,
确保内部控制设计有效。
(三) 梳理本部门业务制度,评价本部门内部控制管理活动,编报年度内部控制
评价报告。
(四) 及时向经理层报告业务中发现的重大或重要内控缺陷。
(五) 指导各子企业的相关业务的内部控制管理工作,落实内部控制措施,监督
检查其执行的有效性,跟踪落实内部控制缺陷。
(六) 配合内审、外审开展内控评审,针对发现的内控缺陷及时沟通并整改;
(七) 建立健全本部门各项管理制度和流程,并有效执行,确保本部门不出现重
大或重要风险事项;
(八) 协助风险管理部门研究提出全面风险管理工作计划;
(九) 定期做好风险信息收集、风险识别、风险评估、风险应对策略和措施制订
等各环节的工作;
(十) 对本部门涉及重大或重要风险须及时识别、分析和应对,并制定和完善相
�应的管控措施;
(十一) 协助风险管理部门完成全面风险管理报告;
(十二) 办理风险管理方面的其他工作。
第十二条 各子企业的法定代表人为本企业内部控制与风险管理工作的第一责任人,
对本企业内部控制设计的健全性和执行的有效性等负责,确保本企业不出现重大内部
控制缺陷。
第十三条 各子企业内部控制与风险管理的职责:
(一) 根据本制度建立健全本企业的内控制度体系,确保本企业内部控制体系设
计和运行有效,不出现重大、重要内部控制缺陷。
(二) 按照公司制定的年度内部控制与风险管理工作方案,结合年度重点工作制
定和安排本企业的内部控制与风险管理工作方案和相关工作。
(三) 梳理、评价本企业内部控制,编制年度内部控制评价报告。
(四) 识别、分析和应对本企业涉及重大或重要内控缺陷,并制定和完善相应的
管控措施;
(五) 及时向上级主管部门报告业务中发现的重大内控缺陷;
(六) 对涉及重大或重要缺陷造成的损失和影响,进行责任追究。
(七) 负责涉及内部控制管理的其他事项;
(八) 根据本制度建立健全本企业的风险管理制度和流程体系,确保本企业不出
现重大或重要风险事项;
(九) 定期开展风险评估,编制年度全面风险管理报告;
(十) 对本企业涉及重大风险或重要风险及时识别、分析和应对,并制定和完善
相应的管控措施;
(十一) 及时向上级主管部门报告业务中发现的重大或重要风险事项;
(十二) 对本企业发生重大或重要风险事项造成的损失和影响,进行责任追究;
(十三) 负责涉及风险管理的其他事项。
第十四条 内部控制与全面风险管理应嵌入到具体业务制度、管理制度和操作流程
中,各单位、各业务部门、各职能管理部门是分管相关业务内部控制建立、有效执行
以及全面风险管理的直接责任单位。
第三章 内部控制管理
第十五条 公司内部控制的目标:
(一) 合理保证公司经营管理合法合规;
(二) 维护资产安全;
� (三) 保证财务报告及相关信息真实完整;
(四) 提高经营效率和效果;
(五) 促进公司实现发展战略。
第十六条 公司内部控制管理工作应遵循以下原则:
(一) 全面性原则。内部控制要贯穿决策、执行和监督全过程,覆盖公司及各子
企业的各种业务和事项。
(二) 重要性原则。内部控制应当在全面控制的基础上,关注重要事项环节和高
风险领域。
(三) 制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程
等方面形成相互制约、相互监督,同时兼顾运营效率。
(四) 适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险
水平等相适应,并随着情况的变化及时加以调整。
(五) 成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实
现有效控制。
第一节 内部控制内容及措施
第十七条 公司内部控制活动涵盖公司所有的运营环节,包括但不限于:组织架构、
发展战略、人力资源、社会责任、企业文化、资金活动、采购活动、资产管理、销售
业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管
理、内部信息传递及信息系统等。具体参照业务活动及管理主要风险、内控关键环节
管控清单(详见附件 3)
第十八条 公司各职能部门及各子企业应制订解决风险的内控措施。针对重大风险所
涉及的各管理及业务活动,制订涵盖各个环节的全流程控制措施;对其他风险所涉及
的业务活动,要把关键环节作为控制点,采取相应的控制措施。
第十九条 公司采用的内部控制措施包括:不相容职务分离控制、授权审批控制、会
计系统控制、财产保护控制、预算控制、运营分析控制、绩效考核控制、重大风险预
警和突发事件应急处理机制。
第二十条 公司及各子企业按照不相容职务分离控制要求全面系统地分析、定期梳理
业务流程中所涉及的不相容职务,实施相应的分离措施。
第二十一条 公司及各子企业按照授权审批控制要求制定常规授权和特别授权的相
关规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
第二十二条 公司及各子企业财务部门参照《企业内部控制基本规范》关于会计系统
控制的要求,严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、
会计账簿和财务会计报告的处理程序,保证会计资料真实完整。
�第二十三条 公司及各子企业要建立财产日常管理制度和定期清查制度,加强对财产
记录、实物保管、定期盘点、账实核对等措施,确保财产安全等的财产保护控制。
第二十四条 公司及各子企业实施全面预算管理制度,明确各责任单位在预算管理中
的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
第二十五条 公司及各子企业建立运营情况分析制度,综合运用生产、购销、投资、
筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运
营情况分析,发现存在的问题,及时查明原因并加以改进。
第二十六条 公司及各子企业建立和实施绩效考评制度,设置考核指标体系,对公司
内部各责任单位和全体员工的业绩进行定期考核和客观评价,考评结果作为确定员工
薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
第二十七条 公司及各子企业建立重大风险预警机制和突发事件应急处理机制,明确
风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、
规范处置程序,确保突发事件得到及时妥善处理。
第二十八条 公司相关职能部门及各子企业对其相应的内部控制制度负责,检查内部
控制措施建立和执行的有效性。内部控制措施的具体要求可参照《企业内部控制基本
规范》及应用指引。
第二节 内部控制文档的更新与维护
第二十九条 审计内控部门应结合公司经营模式、组织架构、业务变更及风险状况,
对内部控制设计的健全性及执行情况进行持续性评估及动态化更新。
第三十条 审计内控部门每年通过问卷调查、访谈等形式,组织各职能部门、各子企
业对本年度业务风险进行全面识别与评估。
第三十一条 根据经营模式、组织架构、业务变更及风险状况,公司各职能部门及各
子企业每年定期对现有制度或业务流程进行评价,判定内部控制活动是否需要补充、
完善、修改或调整。内容如下:
(一) 制度管理部门每年对公司制度框架和流程框架进行梳理,对制度和流程体
系建设的规范性、完整性、时效性提出修订意见,对各职能部门的内控制度和流程等
体系文件提出修订意见。
(二) 各职能部门根据制度管理部门提供的制度和流程的修订意见,完成本部门
的内控制度和流程等体系文件修订后,指导各子企业对相关业务适用的内控制度和流
程等体系文件进行修订。
(三) 各职能部门、各子企业应当主动对相关的新业务实施、内部控制流程变更、
控制环节调整等重要事项进行关注,及时进行风险和内部控制的评价,提出对相应制
度和流程的修改意见申请,进行修订、重新发布。
� (四) 对由于内、外部审计在内控评价时发现的内部控制不足或控制不当,而提
出的相关修改建议,相关部门应根据建议及时进行整改、修订和完善。
第三节 内部控制评价
第三十二条 内部控制评价程序包括:
(一) 制订评价工作方案;
(二) 组成评价工作组;
(三) 实施现场测试;
(四) 认定控制缺陷;
(五) 汇总评价结果;
(六) 编报评价报告。
第三十三条 制定评价工作方案。公司审计内控部门组织各职能部门及各子企业实施
内部控制评价工作,制定下一年度的工作方案。方案内容包括:评价范围、工作任务、
人员组成、进度安排和工作质量要求等内容。评价工作方案由公司分管负责人、总经
理审核,董事长批准。
第三十四条 审计内控部门根据经批准的评价工作方案要求的时间开始组织各职能
部门开展内控评价工作,在开展内控评价工作前 10 天确定评价工作组成员,由业务
胜任能力强、熟悉公司内部相关情况、参与日常工作的业务骨干参加。各子企业根据
公司内控评价方案,制定本企业的内控评价工作方案,适时安排并完成内控自评价工
作。
第三十五条 公司各职能部门在开展内控自评价工作时,制度管理部门可会同审计内
控部门等组成专项工作组统筹资源、制定方案开展内控制度专项评价检查。
第三十六条 公司实施内部控制评价工作可以委托中介机构进行,中介机构的选聘按
照《服务外包项目采购管理办法》执行。
第三十七条 内控评价测试,可综合运用个别访谈、调查问卷、专题讨论、穿行测试、
实地查验法、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否
有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
第三十八条 汇总评价工作底稿,并进行交叉复核,公司各职能部门的内控评价人员
提交工作底稿至部门负责人审核后,提交审计内控部门;各子企业的内控评价工作组
负责人审核工作底稿后,由被评价单位负责人签字确认。
第三十九条 评价工作组汇总评价结果,对缺陷的成因、表现形式及风险程度等进行
定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级。
第四节 内部控制缺陷的认定与整改
�第四十条 审计内控部门、各职能部门及各子企业以日常监督和专项监督为基础,结
合内部控制评价,依据内控缺陷认定标准对评价过程中发现的内部控制缺陷进行认
定,并客观、公正、完整地编制内部控制缺陷认定表和整改建议书,以书面形式按照
以下规定报告:
(一) 报告频次:一般缺陷和重要缺陷每年至少报告一次,重大缺陷立即报告。
(二) 报告途径:
1. 一般缺陷随内控评价报告一并报告;
2. 对于重要缺陷及整改方案,由缺陷整改部门经部门负责人审核后,由审计内
控部门向管理层(总经理)报告。
3. 重大缺陷及整改方案,由缺陷认定责任部门经部门负责人审核后,由审计内
控部门向管理层、董事会分别报告。
4. 重大缺陷应当由董事会予以最终审定。
5. 如果存在与管理层舞弊相关的内部控制缺陷,或存在管理层凌驾于内部控制
之上的情形,直接向董事会报告。
(三) 关注因素:
1. 缺陷在公司中的普遍性,是否具有广泛性影响;
2. 缺陷对公司层面控制各组成要素的相对重要性;
3. 管理层凌驾的风险包括考虑舞弊的可能性、以往内部控制缺陷记录、表明内
部控制风险增加的迹象等;
4. 控制运行有效性方面已发现的例外情形的性质、原因和频次;
5. 缺陷可能造成的潜在影响。
第四十一条 内部控制缺陷的分类。
(一) 按照内部控制缺陷成因或来源,内部控制缺陷包括设计缺陷和运行缺陷。
1. 设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当,
即使正常运行也难以实现控制目标。
2. 运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括由不
恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运
行等)而形成的内部控制缺陷。
(二) 按照影响公司内部控制目标实现的严重程度,内部控制缺陷分为重大缺
陷、重要缺陷和一般缺陷。
1. 重大缺陷,是指一个或多个关键控制缺陷的组合,可能导致公司严重偏离控
制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中出
具内部控制无效的结论。
� 2. 重要缺陷,是指一个或多个重要控制缺陷的组合,其严重程度低于重大缺陷,
但仍有可能导致公司偏离控制目标。重要缺陷的严重程度低于重大缺陷,不会严重危
及内部控制整体有效性,但应当引起董事会、经营层的充分关注。
3. 一般缺陷,指不构成重大缺陷、重要缺陷的内部控制缺陷。
(三) 按照影响内部控制目标的具体表现形式,内部控制缺陷分为财务报告缺陷
和非财务报告缺陷。
第四十二条 公司层面内部控制缺陷认定标准。
公司董事会根据《内部控制基本规范》及配套指引,结合公司规模、行业特征、
风险水平等因素,研究确定并发布适用本公司的内部控制缺陷具体认定标准及财务报
告内部控制缺陷的认定标准:
(一) 一项内部控制缺陷单独或连同其它缺陷具备合理可能性导致不能及时防
止或发现并纠正财务报表中的重大错报,应将该缺陷认定为重大缺陷。合理可能性是
指大于微小可能性(几乎不可能发生)的可能性。
出现下列情形的,认定为重大缺陷:
1. 识别出高级管理层中任何程度的舞弊行为,包括财务报告舞弊;资产不当使
用;不实的收入、费用及负债;资产的不当取得;偷税和高层舞弊等方面;
2. 对已签发的财务报告进行重报,以反映对错报的更正;
3. 外部审计发现的、最初未被公司财务报告内部控制识别的当期财务报告中的
重大错报。
(二) 一项内部控制缺陷单独或连同其它缺陷具备合理可能性导致不能及时防
止或发现并纠正财务报表中虽然未达到和超过重要性水平,但仍应引起董事会和管理
层重视的错报,应将该缺陷认定为重要缺陷。
出现下列情形的,认定为重要缺陷:
1. 沟通后的重大缺陷没有在合理的期间得到纠正;
2. 控制环境无效。例如,高级管理层不能或未在全公司范围内推动内部控制管
理程序,管理层没有建立适当机制以获得会计准则变化及其他涉及财务报告要求的法
规的更新,缺乏针对非常规、复杂或特殊交易的财务处理的控制等;
3. 公司内部审计职能无效。例如,未制定内部审计工作的相关制度,未明确内
部审计工作的目标、职责、权利、标准等,或未按制度规定执行;内部证券法律部门
缺乏独立性,内部审计人员资质不够等;
4. 对于是否根据一般公认会计原则对会计政策进行选择和应用的控制方面,没
有相应的控制措施或有一项或多项措施没有实施,而且没有补充、补偿性控制的情况;
5. 对于非常规、复杂或特殊交易的账务处理的控制,没有建立相应的控制机制
�或没有实施,且没有相应的补充、补偿性控制;
6. 未建立反舞弊程序和控制。例如,没有建立有效执行的职业道德规范、未建
立举报和报告机制,董事会和审计委员会对反舞弊采取消极态度,管理层、审计委员
会和董事会对认定的重大缺陷、重要缺陷及已发现的舞弊或疑似舞弊没有采取恰当的
补救措施等。
(三) 不构成重大缺陷和重要缺陷的内部控制缺陷,应认定为一般缺陷。
第四十三条 业务层面内部控制缺陷认定标准。
业务层面内部控制可以分为与财务报告直接相关的内部控制和与财务报告间接
相关的内部控制。业务层面内部控制缺陷的认定可以采用定性、定量或定性与定量相
结合的方法。
(一) 财务报告内部控制缺陷的认定标准
财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。财务报告内
部控制的缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。财
务报告内部控制缺陷的认定标准,可由该缺陷可能导致财务报表错报的重要程度来确
定。
财务报告内部控制缺陷一般通过定量的方法予以确定:
1. 重大缺陷:如果一项内部控制缺陷单独或连同其他缺陷,具备合理可能性而
导致不能及时防止或发现并纠正会计报表中的重大错报,应将其认定为重大缺陷。其
中,重大错报中的“重大”,涉及公司确定的财务报告的重要性水平。可采用绝对金
额法或相对比例法来确定重要性水平。
2. 重要缺陷:如果一项内部控制缺陷单独或连同其他缺陷,具备合理可能性导
致不能及时防止、发现并纠正会计报表中的错报,虽然未达到和超过重要性水平,但
仍应引起董事会和经理层的重视,应将其认定为重要缺陷。
3. 一般缺陷:不构成重大缺陷和重要缺陷的财务报告内部控制缺陷,应认定为
一般缺陷。
定量标准(相对比例法)
项目 重大缺陷 重要缺陷 一般缺陷
营业收入总额的 0.1%≤错报< 错报<营业收入总额的
营业收入潜在错报 营业收入总额的 0.4%≤错报
营业收入总额的 0.4% 0.1%
净利润总额的 2%≤错报<净利
净利润总额潜在错报 净利润总额的 5%≤错报 错报<净利润总额的 2%
润总额的 5%
资产总额的 0.1%≤错报<资产
资产总额潜在错报 资产总额的 0.3%≤错报 错报<资产总额的 0.1%
总额的 0.3%
定量标准(绝对金额法)
缺陷认定 直接财产损失金额 重大负面影响
�重大缺陷 100 万元及以上 或已经对外正式披露并对公司造成负面影响
重要缺陷 30 万元(含 30 万元)-100 万元 或受到国家政府部门处罚但对未公司造成负面影响
受到省级(含省级)以下政府部门处罚但对未对公司造
一般缺陷 30 万元以下
成负面影响
(二) 非财务报告内部控制缺陷的认定标准
非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制,如战
略目标、经营目标、合规目标等。公司可根据实际情况,参照财务报告内部控制缺陷
的认定标准,合理确定非财务报告内部控制缺陷的定量和定性认定标准。
业务层面非财务报告内部控制缺陷具体认定标准:
1. 重大缺陷:关于公司安全、环保、社会责任、职业道德、经营状况的负面消
息流传全国各地,被政府或监管机构专项调查,引起公众媒体连续专题报道,公司因
此出现资金借贷和回收、行政许可被暂停或吊销、资产被质押、大量索赔等不利事件。
2. 重要缺陷:关于公司安全、环保、社会责任、职业道德、经营状况的负面消
息,被全国性媒体持续报道 3 次以上,受到行业或监管机构关注、调查,在行业范围
内造成较大不良影响。
3. 一般缺陷:关于公司安全、环保、社会责任、职业道德、经营状况的负面消
息,被全国性媒体报道 2 次(含)以下,省、自治区、直辖市政府部门或公司要求报
告,对公司声誉造成一定不良影响。
第四十四条 其他常见的内部控制重大缺陷举例参考:
(一) 注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未
能发现该错报;
(二) 公司财务报告已经或很可能被注册会计师出具否定意见或拒绝表示意见;
(三) 公司审计及关联交易控制委员会和内部审计机构未能有效发挥监督职能;
(四) 公司董事、监事和高级管理人员已经或涉嫌舞弊,或者公司员工存在串通
舞弊情形并给公司造成重要损失和不利影响;
(五) 公司更正已公布的财务报告;
(六) 公司缺乏民主决策程序,如缺乏“三重一大”决策程序等;
(七) 公司决策程序不科学,如决策失误,导致并购不成功;
(八) 公司在财务会计、资产管理、资本运营、信息披露、产品质量、安全生产、
环境保护等方面发生重大违法违规事件和责任事故,给公司造成重要损失和不利影
响,或者遭受重大行政监管处罚;
(九) 管理人员或技术人员纷纷流失;
(十) 重要业务缺乏制度控制或制度系统性实效;
(十一) 媒体负面新闻频现;
� (十二) 内部控制评价的结果特别是重大或重要缺陷未得到整改。
第四十五条 对于认定的内部控制缺陷,内控评价工作组应及时提出整改意见,经批
准后,各相关责任单位应制订切实可行的整改方案,包括整改目标、内容、步骤、措
施、方法、期限、整改部门、责任岗位等,并按期完成整改。整改期限超过一年的,
应明确整改的近期和远期目标以及相应的整改工作内容。
第四十六条 对于认定的内部控制重大缺陷,各相关责任部门或各子企业应及时采取
应对策略,切实将风险控制在可承受度之内,并追究相关责任单位或者责任人的责任。
第五节 内部控制评价报告
第四十七条 公司根据《企业内部控制基本规范》及配套指引,设计内部控制评价报
告的种类、格式和内容,明确内部控制评价报告的编制程序和要求,按照规定的权限
经批准后报送相关部门、对外披露。
第四十八条 内部控制评价报告的内容、格式及披露时间应符合证券交易机构或政府
监管的要求。
第四十九条 公司内部控制评价报告应当分别对内部环境、风险评估、控制活动、信
息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整
改情况、内部控制有效性的结论等相关内容做出披露。
第五十条 内部控制评价报告至少应当披露下列内容:
(一) 董事会对内部控制评价报告真实性的声明;
(二) 内部控制评价工作的总体情况;
(三) 内部控制评价的依据;
(四) 内部控制评价的范围;
(五) 内部控制评价的程序和方法;
(六) 内部控制缺陷及其认定情况;
(七) 内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;
(八) 内部控制有效性的结论。
第五十一条 内部控制评价工作组应当以汇总的评价结果和认定的内部控制缺陷为
基础,综合内部控制工作的总体情况,客观、公正、完整地编制内部控制评价报告。
第五十二条 内部控制评价报告应当报分管负责人审核、总经理办公会审议、审计及
关联交易控制委员会审议、董事会批准、董事长签发后报送相关监管部门。内部控制
评价工作组应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是
否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调
整。
第五十三条 外部审计机构每年对公司内部控制进行内部控制审计,并发表审计意
�见,出具内部控制审计报告。
第五十四条 公司以 12 月 31 日作为年度内部控制评价报告的基准日。内部控制评价
报告应于基准日后 4 个月内报出。内部控制审计报告应当与内部控制评价报告同时对
外披露和报送。
第四章 全面风险管理
第五十五条 公司风险管理总体目标:
(一) 确保将风险控制在与企业总体经营发展目标相适应并可承受的范围内,促
进实现战略目标;
(二) 确保公司实现内外部真实、可靠和有效的信息沟通;
(三) 确保遵守有关法律法规,履行相应的社会责任;
(四) 确保公司有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保
障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;
(五) 确保公司建立针对各项重大风险危机处理预案,保护公司不因灾害性风险
或人为失误而遭受重大损失。
第一节 风险管理程序
第五十六条 公司风险管理的程序:
(一) 收集风险管理初始信息;
(二) 风险评估;
(三) 制定风险管理策略;
(四) 提出和实施风险管理解决方案;
(五) 风险的监督与改进。
第五十七条 审计内控部门组织各部门及各子企业根据公司重点管理活动开展风险
信息的收集、整理、统计、分析,汇总成公司的风险数据库信息,并定期进行更新。
风险信息的收集可通过访谈、调查问卷、专家讨论会等方式进行。
第五十八条 公司各部门及各子企业除定期收集风险信息外,还可以不定期的持续、
广泛地收集与公司风险和风险管理相关的内部、外部初始信息作为部门风险数据库,
包括历史数据、未来预测数据及公司和国内外相关风险损失事件案例等。风险信息的
来源包括但不限于以下五个方面:
(一) 在战略风险方面,广泛收集与公司相关的宏观经济政策、技术环境、市场
需求、竞争状况等方面的重要信息,重点关注公司发展战略和规划、投融资计划、年
度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据。
(二) 在财务风险方面,广泛收集与公司获利能力、资产营运能力、偿债能力、
�发展能力等指标相关的重要信息,重点关注成本核算、资金结算和现金管理业务中曾
发生或易发生错误的业务流程或环节。
(三) 在市场风险方面,广泛收集与公司产品或服务的价格及供需变化、能源、
原材料、配件等物资供应的充足性、稳定性和价格变化、主要客户、主要供应商的信
用情况、潜在竞争者、竞争者及其主要产品、替代品情况等重要信息,重点关注税收
政策和利率、汇率、股票价格指数的变化等因素直接或间接产生的影响。
(四) 在运营风险方面,广泛收集国内外与公司相关的产品结构、市场需求、竞
争对手、主要客户和供应商等方面的重要信息,对现有业务流程和信息系统操作运行
情况进行监管、评价及持续改进,分析公司风险管理的现状和能力。
(五) 法律风险方面,广泛收集与公司相关的法律环境、员工道德、重大协议合
同、重大法律纠纷案件等方面的信息。
第五十九条 公司相关职能部门和子企业应以收集的风险初始信息为基础,结合公司
年度重点工作计划、各项重要管理活动及业务流程,开展风险识别和评估,确保重要
及重大业务涉及风险得到识别和管控。
第六十条 公司可采取定期和不定期的方式进行风险评估。
第六十一条 公司审计内控部门组织相关职能部门及各子企业一年开展一次风险评
估,相关职能部门及各子企业将各自的风险评估结果汇总报送至审计内控部门。
第六十二条 公司及子企业参与风险识别和评估的人员应包括班子成员、主要职能部
门负责人(包括正职、副职)和主管人员(包括主任科员、副主任科员及业务主管人
员)。开展评估时,评估权重的设置如下:
(一) 汇总班子成员、部门内负责人、部门内主管人员、各部门、公司总部和子
企业评估分值时,评估权重比例 1:1;
(二) 汇总班子成员和部门、部门负责人和主管人员的评估分值时,评估权重比
例 2:1;
(三) 汇总子企业评估分值时,权重比例如下:
第六十三条 风险评估工作可由公司自行组织实施也可委托中介机构进行,中介机构
的选聘按照《服务外包项目采购管理办法》执行。
第六十四条 相关职能部门及子企业开展风险识别时,可以通过问卷调查、风险访谈、
小组讨论、案例分析、征询专家意见等多种形式开展,重点识别各项重要经营活动以
及重要管理业务流程中的哪些环节存在风险,分析风险的来源、主要影响因素,风险
�发生后的影响对象与范围、风险发生的可能表现形式等。
第六十五条 相关职能部门及子企业开展风险分析时,应对识别出的风险及其特征进
行明确的定义,分析和描述风险发生可能性的高低、风险发生的条件及风险对公司实
现经营发展目标的影响程度。
第六十六条 公司根据风险评估结果,结合风险偏好和风险承受度,权衡风险与收益,
合理确定各类各级风险的应对策略。公司的风险应对策略主要包括规避、降低、转移、
承担四种类型。
第六十七条 相关职能部门及子企业对一般风险通过现有制度与流程加以有效控制,
但风险事件实际发生后应及时进行分析总结,并将分析结果报审计内控部门备案。
第六十八条 相关职能部门对重要和重大风险编制重大风险分析报告,确定风险应对
策略,结合年度重点工作制定重大风险管控措施和方案,经部门负责人审核、分管负
责人审批后报审计内控部门。
第六十九条 重要和重大风险管控措施,内容主要包括风险应对策略,风险所涉及的
重要管理活动及业务流程,量化的风险预警线,细化的风险分级管控措施,相关工作
的进度安排,监督考核机制等。
第七十条 相关职能部门或子企业对重大风险应制定年度风险管控方案,内容包括专
项风险管控方案的目标、实施的计划、内容、进度、责任部门、责任人、分管负责人
等。
第七十一条 公司应建立健全重大风险预警机制和突发事件应急处理机制,明确风险
预警指标,对可能发生的重大风险和突发事件,制订应急预案,明确责任部门和人员,
规范处置程序,开展必要的演练和培训,确保重大风险和突发事件得到及时妥善处理。
第七十二条 相关职能部门应按照风险职责分工认真组织实施风险管控方案,指导监
督各子企业开展相关工作,确保各项风险应对措施落实到位。
第七十三条 公司审计内控部门应定期总结分析风险评估标准、风险应对策略和措施
的有效性和合理性,结合实际不断修订完善。其中,应重点检查依据风险偏好、风险
承受度和风险控制预警线实施的结果是否有效,并由审计内控部门提出定性或定量的
有效性标准,报总经理批准后执行。
第二节 专项风险管理
第七十四条 在健全全面风险管理工作的基础上,加强公司专项风险管理工作,建立
专项风险管理机制。专项风险管理是指从每年评估出的重大风险中有重点的聚焦核心
风险专门进行深入调查分析,评价年度管控方案,督导风险管控落实。
第七十五条 专项风险管理应纳入年度工作计划,结合以下情况筛选确定:
(一) 公司年度工作会议确定的重点工作任务和要求;
� (二) 公司年度风险评估结果中前十大风险、重点子企业年度风险评估结果的前
三大风险;
(三) 年度内部控制审计、财务决算审计、外部监管检查中发现的重大风险问题
等;
(四) 管理层特别关注的重要风险等。
第七十六条 专项风险管理工作程序:
(一) 审计内控部门根据年度工作会议确定的重点工作任务和要求,结合全面风
险评价结果及其他相关情况,会同公司相关职能部门筛选确定年度要深入督导的专项
风险,制定专项风险管理计划,并纳入年度审计工作计划。
(二) 公司相关职能部门对已确定的专项风险进行深入调研,检查涉及风险事项
的内部控制情况,分析关键风险点、风险环节,评价风险应对策略、应对措施和年度
管控方案。
(三) 公司相关职能部门或子企业针对专项风险内容制定风险应对措施,结合工
作计划,研究制定并落实重大风险年度管控方案。配合工作组完成专项风险督导检查。
(四) 审计内控部门根据督导检查情况撰写专项风险督导检查报告,报告内容主
要包括:专项风险督导检查工作组织、开展情况,专项风险应对策略、措施的评价,
专项风险年度管控方案的制定及落实情况、存在问题和建议等;
(五) 专项风险督导检查报告经审计内控部门负责人审核后,向风险责任单位下
发督导检查结果。
第七十七条 公司相关职能部门对专项风险应对和管控落实跟踪督导,审计内控部门
结合每年一次全面风险评估工作对专项风险管控情况进行跟踪检查。
第七十八条 专项风险管控情况的跟踪检查的方法可采用:查阅相关记录、文件;询
问、访谈;分析相关数据等。
第三节 全面风险管理报告
第七十九条 公司全面风险管理报告的基本内容包括:
(一) 上一年度全面风险管理工作
1. 上一年度全面风险管理工作计划,包括:全面风险管理工作计划完成情况、
管理层开展全面风险管理工作主要情况;
2. 上一年度重大风险管理情况;
3. 建立健全全面风险管理体系有关情况,包括:重大事项专项风险评估情况、
风险监控机制建立及运行情况、开展风险检查工作情况、风险管理评价或考核工作情
况、内部控制建立与实施情况、专项风险管理情况、风险管理信息化有关情况、风险
量化管理工作情况、风险管理文化建设情况等。
� (二) 本年度全面风险管理工作情况
1. 本年度全面风险管理工作计划,包括:管理层对全面风险管理工作提出的工
作要求、全面风险管理工作计划;
2. 本年度风险评估情况,包括:内外部环境分析、风险管理初始信息收集情况
及风险事项库的构建情况、风险评估的范围及方式、风险评估的结果、重大风险坐标
图、重大风险同上一年度相比的变动情况及原因、重大风险关键成因量化分析情况;
3. 本年度重大风险管理情况;
4. 本年度境外资产风险管理情况;
5. 内部控制运行情况。
第八十条 公司重要和重大风险应对方案经风险管理委员会审议,重大风险事项报公
司党委常委会专题研究。
第八十一条 列入公司全面风险管理报告中的各类重大风险,设置预警指标进行日常
监控定量分析,每季度末将风险指标监控情况反馈审计内控部门。各子企业编制全面
风险管理报告应经本企业审批通过后报送公司审计内控部门备案。
第四节 风险管理信息系统
第八十二条 公司信息化管理部门应在信息化建设总体规划中,将风险管理信息需求
纳入信息化建设中,嵌入业务管理信息系统中,统筹考虑并组织各子企业有效实施。
第八十三条 公司风险管理信息应与公司的其他业务系统有效融合,涵盖风险管理各
环节,包括:信息的采集、存储、加工、分析、测试、传递、报告、披露等。
第八十四条 公司的各类经营管理信息系统中应设定科学的风险量化指标和风险预
警值,能及时、准确地传递、反馈风险信息。
第八十五条 公司各类经营管理信息系统应能对具体风险进行度量和定量分析、定量
测试,能够实时反映风险重要性排序、重大风险和重要业务流程的监控状态,能够对
超过风险预警线的重大风险实施信息提示和报警,能够满足风险管理内部信息报告制
度和企业对外信息披露管理制度的要求。
第八十六条 公司各类经营管理信息系统应实现信息在各职能部门、业务单位之间的
集成与共享,既能满足单项业务风险管理的要求,也能满足整体和跨职能部门、业务
单位的风险管理综合要求。
第五节 风险管理文化
第八十七条 风险管理文化建设应融入公司文化建设全过程,树立正确的风险管理理
念,增强员工风险管理意识,将风险管理意识转化为员工的共同认识和自觉行动,促
进企业建立系统、规范、高效的风险管理机制。
�第八十八条 公司应通过多种形式,传播风险管理文化,使全体员工尤其是各级管理
人员和业务操作人员牢固树立风险无处不在、风险无时不在、风险与机遇并存、岗位
风险管理责任重大等意识和理念。
第八十九条 公司应建立重要管理和业务流程以及风险控制点的管理人员、业务操作
人员岗前风险管理培训制度。采取多种途径和形式,加强对风险管理理念、知识、流
程、方法等内容的培训,培养风险管理专业人才,培育风险管理文化。
第五章 检查、考核与责任追究
第九十条 监督检查的方式,包括但不限于外部检查、自查、内部审计等:
(一) 外部检查。包括上级单位不定期的审计检查,外部审计机构每年一次的内
部控制审计;
(二) 自查。公司各职能部门和各子企业应定期对内部控制进行自评价工作,及
时发现缺陷并加以改进,检查评价结果应报审计内控部门备案;对全面风险管理工作
进行自查,主要包括风险识别、风险评估、风险评价、选择风险管理技术和风险管理
效果评价等情况,分析其充分性和有效性,提出改进意见;
(三) 内部审计。审计内控部门结合公司年度风险管理与内控评价计划、审计计
划以及公司其他检查的要求、外部审计建议等,不定期开展风险与内部控制管理工作
的专项监督检查。
第九十一条 公司根据管理需要可聘请有资质、信誉好、风险与内部控制管理专业能
力强的中介机构对公司内部控制与全面风险管理工作进行评价,并出具专项报告。
第九十二条 对审计监督评价、专项诊断等过程中发现的内部控制缺陷或重要、重大
风险,责任单位应分析其性质、产生原因和影响程度,提出整改方案,跟踪落实缺陷
整改或风险管控措施。
第九十三条 公司将内部控制与全面风险管理的重点工作纳入年度专项工作进行绩
效考核。
第九十四条 在内部控制和全面风险管理工作中存在以下情况的,按照公司《责任追
究管理制度》追究有关单位及个人责任:
(一) 对检查中发现的重大内控缺陷和重大风险,未如期整改并达到整改要求
的;
(二) 对于存在内部控制缺陷和重大风险但未及时发现和采取有效措施,给公司
带来较大损失;
(三) 对于存在内部控制缺陷或重要、重大风险未发现或发现而未采取有效措
施,造成较大损失的。
� 第六章 附则
第九十五条 本制度自股东大会审议通过之日起生效,原《内部控制制度》、《内部
控制制度纲要》、《全面风险管理实施纲要》同时废止。
第九十六条 本制度由公司董事会负责解释。
第九十七条 各子企业可根据本制度制定相应的管理办法。
�
