云南城投:云南城投置业股份有限公司风险合规内控管理制度2023-10-28
1
� 目录
第一章 总则 ............................................... 3
第二章 组织机构及职责...................................... 7
第三章 一体化管理策略..................................... 13
第一节 风险收集、评估与管理 ............................ 13
第二节 内部控制活动.................................... 17
第三节 合规运行........................................ 19
第四章 风险内控合规管理重点 ............................... 21
第五章 风险内控合规管理保障 ............................... 22
第六章 信息应用与信息化建设 ............................... 25
第七章 附则 .............................................. 25
附件一:风险评估标准与说明 ................................. 26
2
� 第一章 总则
第一条 为建立健全云南城投置业股份有限公司(以下简称
“置业公司”或“公司”)风险管理、内部控制、合规管理的
协同运作机制,将风险管理和合规管理要求嵌入业务流程,促
使公司依法合规开展各项经营活动,实现“强内控、防风险、
促合规”的管控目标。
依据《中华人民共和国公司法》《企业内部控制基本规范》
及配套指引、《公司章程》《上海证券交易所上市公司自律监
管指引第 1 号——规范运作》,参照《中央企业全面风险管理
指引》《云南省省属企业合规管理指引(试行)》《云南省省
属企业合规管理体系建设工作方案》等文件要求,制定本制度。
第二条 本制度适用于置业公司,全资、控股公司可参照执
行。
第三条 本公司贯彻“管理制度化、制度流程化、流程信息
化”的内部控制理念,建立健全以风险管理为导向,以合规管
理为重点,严格、规范、全面、有效的内部控制体系,形成全
面、全员、全过程、全体系的风险防控机制,实现“强内控、
促合规、防风险”的管控目标,有力保障公司高质量发展。本
制度中下列用语的含义是:
“风险”是指未来的不确定性对公司实现其经营目标的影
3
�响。
“风险事件”是指使风险隐藏的潜在损失转化为现实损失
的媒介,它通常是某个或者一系列的事件。
“风险管理”指公司围绕总体经营目标,通过在管理的各
个环节和经营过程中执行风险管理的基本流程,培育良好的风
险管理文化,建立健全风险管理体系,从而为实现风险管理的
总体目标提供合理保证的过程和方法。
“内部控制”是指由公司董事会、监事会、经理层和全体
员工实施的、旨在实现控制目标的过程,目标是合理保证公司
经营管理合法合规、资产安全、财务报告及相关信息真实完整,
提高经营效率和效果,促进公司实现发展战略。
“合规”是指公司及其员工的经营管理行为符合法律法规、
监管规定、行业准则和公司章程、规章制度等。
“合规管理”是指公司以有效防控合规风险为目的,以公
司经营管理行为和员工履职行为为对象,开展包括制度制定及
落实、风险识别、合规审查、风险应对、责任追究、考核评价、
合规培训等有组织、有计划的管理活动。
第四条 风险内控合规管理是公司治理体系和治理能力现
代化的重要组成部分,与其他职能管理相互协调、相互促进,
为实现以下目标提供合理有效保障:
(一)保证公司经营管理合法合规;
4
� (二)保障公司资产安全;
(三)保证公司财务报告及相关信息真实完整;
(四)确保公司建立针对各项重大风险发生后的应急
预案;
(五)提高公司经营效率和效果;
(六)促进公司实现发展战略目标。
第五条 风险内控合规管理应遵循以下原则:
(一)全面性原则。风险内控合规管理体系应覆盖公司的
所有管理领域和业务单元。
(二)重要性原则。风险内控合规管理体系应在全面控制
的基础上,关注重要业务事项和高风险领域。
(三)适应性原则。风险内控合规管理体系应根据内、外
部环境的变化及时加以调整。
(四)制衡性原则。风险内控合规管理体系应当在治理结
构、机构设置及权责分配、业务流程等方面形成相互制约、相
互监督,同时兼顾运营效率。
(五)成本效益原则。风险内控合规管理体系应当权衡实
施成本与预期效益,以适当的成本实现有效控制。
(六)服务战略,创造价值。合规管理服务公司全面深化
改革转型升级,服务发展大局,推进公司治理能力与治理体系
现代化,增强公司风险控制力,提升市场竞争力和价值创造力。
5
� (七)业规同管,强化责任。坚持“业务谁主管,合规谁
负责”的原则,做好合规管理与业务开展同策划、同应对、同
监督确保业务合规运行。秉持“高层表率、强化责任”的理念,
把加强合规管理作为主要负责人履行推进法治建设第一责任人
职责的重要内容。
第六条 风险内控合规管理体系的构建,通过实现组织职能
协同、工作机制统一、管理制度统一、评价体系统一,切实推
动风险、内控、合规一体化的落地。
(一)组织职能协同:将相关职能放至战略及风险管理委
员会、审计委员会与合规委员会,各项工作协同开展。
(二)工作机制统一:风控管理部负责年度的风险、内控、
合规工作的计划与执行,以及与其他部门的工作协调机制的统
一,建立年初布置、年中管控、年末总结的工作机制。
(三)管理制度统一:将风险内控合规管理要求、评价标
准及风险应对措施融入到制度当中,切实做到公司日常的业务
流程及管理符合风险内控合规的要求。
(四)评价体系统一:明确一体化管理体系评价工作的组
织形式、评价方式、报告路径、检查评价问题整改及跟踪机制,
制定一体化评价的相关检查测试程序,明确一体化检查结果及
缺陷认定标准,实现内控自评、合规检查及风险管控工作的整
合,在实现评价目标的同时,有效降低管控成本。
6
� 第二章 组织机构及职责
第七条 公司风险内控合规管理的治理机构与职责:
(一)公司党委充分发挥把方向、管大局、保落实的领导
作用,保障风险内控合规管理体系建设的决策部署得到全面落
实。党委会主要职责包括:
1.全面领导、统筹推进合规管理工作;
2.推动科学立规、严格执规、自觉守规、严惩违规;
3.研究合规管理负责人人选、合规管理牵头部门的设置;
4.对董事会、监事会、高级管理人员的合规经营管理情况
进行监督;
5.对合规管理的重大事项研究提出意见;
6.按照权限研究或决定对有关违规人员的处理事项。
(二)公司党委会下设合规委员会。合规委员会承担合规
管理的组织领导和统筹协调工作,专门负责合规事务,由公司
党委书记担任主任,组成人员为其他领导班子全体成员,直接
对党委会负责。合规委员会主要履行以下合规管理职责:
1.研究决定合规管理重大事项;
2.监督合规管理执行情况;
3.审阅合规有效性评价报告,根据公司合规实际情况,指
7
�导合规整改工作,确保合规管理体系的适当性和有效性;
4.批准公司年度合规管理工作计划及报告。
(三)董事会是风险内控合规管理的决策机构,发挥定战
略、作决策、防风险作用,主要职责包括:
1.批准风险、内控、合规管理组织机构设置、职责方案以
及总法律顾问(首席合规官)的聘任、解聘;
2.批准公司风险内控合规管理体系的建立、实施和完善的
方案;
3.批准公司风险内控合规管理各项基本制度;
4.批准公司重大决策的风险管理策略及应对方案;
5.批准公司年度风险内控管理工作计划及报告;
6.批准年度内部控制评价报告、合规有效性评价报告;
7.批准公司风险评估报告;
8.按照权限决定对有关违规人员的处理事项;
9.公司章程规定的其他管理职责。
董事会可根据实际情况授权专委会、总经理办公会决策。
(四)战略及风险管理委员会、审计委员会分别按照公司
《董事会战略及风险管理委员会实施细则》《董事会审计委员
会实施细则》履行风险、内控相关职责。
(五)监事会按照公司章程履行监督职责。
(六)经理层发挥谋经营、抓落实、强管理作用,通过总
8
�经理办公会履行以下职责:
1.组织拟订风险、内控、合规管理组织机构设置、职责方
案;
2.组织拟订公司风险内控合规管理体系的方案、实施和完
善的方案;
3.组织实施董事会关于风险内控合规管理的决议,组织推
进风险内控合规体系的建设与运行;
4.组织拟订风险内控合规管理基本制度,批准风险内控合
规管理业务管理制度及具体操作规范;
5.批准公司重大风险管理策略及应对方案,包括突发风险事
件应急预案;
6.组织拟订公司重大决策的风险管理策略及应对方案;
7.组织拟订并向董事会提交公司风险评估报告;
8.组织应对重大风险事件;
9.审议公司年度风险内控合规管理工作计划及报告;
10.审议年度内部控制评价报告、合规有效性评价报告;
11.组织推进风险内控合规管理信息化建设;
12.审议批准风险内控合规管理手册、重点领域合规指南等;
13.指导监督各部门和下属单位风险内控合规管理工作;
14.及时制止并纠正不合规的经营行为,按照权限对违规人
员进行责任追究或提出处理建议;
9
� 15.完成董事会授权的其他事项。
(七)公司建立合规联席会议制度。合规联席会议决定公
司日常重要合规事项,统筹协调合规管理牵头部门与各业务、
监督等部门工作。
(八)公司设立首席合规官,由公司总法律顾问兼任,具
体执行党委会、董事会、总经理有关决策部署,参与公司重大
决策并提出意见和建议,领导风控管理部开展相关工作,指导
下属单位加强风险、内控、合规管理。
第八条 公司各部门职责
(一)风控管理部负责公司风险内控合规管理工作,主要
履行以下职责:
1.研究起草公司年度风险内控合规管理工作计划及报告、
及业务范围内基本管理制度、业务管理制度和具体操作规范;
2.组织开展公司风险评估;
3.持续关注法律政策变化,组织开展风险识别与预警及组
织更新风险清单;
4.组织开展年度内部控制评价、合规有效性评价;
5.组织起草及更新风险内控合规管理手册、重点领域合规指
南;
6.负责规章制度、经济合同、重大决策合法合规性审查;
7.参与业务部门对商业伙伴的合规调查;
10
� 8.受理合规管理职责范围内的举报,组织或参与对举报事
件的调查,并提出处理意见或建议;
9.组织或协助业务部门、组织人事部开展风险、内控与合规
培训,向部门及员工提供合规咨询;
10.组织或协助业务部门进行合规宣传,培育合规文化;
11.指导公司各部门及各下属单位的风险、内控、合规管理
工作;
12.配合合规检查与考核,督促违规整改和持续改进。
(二)公司各部门及各下属单位按照“业务谁主管、风险
内控合规管理谁负责”的原则,承担本业务领域风险内控合规
管理的主体责任,同时指定风险内控合规管理专员,负责组织
协调本部门(本单位)相关工作,主要履行以下职责:
1.完成本部门(本单位)风险管理信息收集和风险识别,
进行风险评估、制定风险管理策略、提出和实施风险管理解决
方案,以及风险监控、风险管理的监督与改进等风险管理全过
程的相关工作;
2 研究提出本部门(本单位)管理的重大风险管理策略及具
体应对方案(包括突发风险事件应急预案);
3.组织落实本部门(本单位)管理的重大风险管控措施(包
括应急预案)并进行跟踪;
4.组织对本部门(本单位)提交的重大决策事项的风险评
11
�估出具评估意见;
5.主动开展本部门(本单位)合规风险识别和隐患排查工作,
发布合规预警,协助风控管理部更新风险库;
6.组织本部门(本单位)合规审查,及时向风控管理部报告
合规风险事项,妥善应对处置合规风险事件;
7.做好本领域合规宣贯和培训、培育合规文化、对商业伙
伴合规调查,配合对违规问题的调查并及时组织整改。
第九条 公司纪检室、审计管理部门依据有关规定,在职权
范围内对风险内控合规要求落实情况进行监督,并加强工作协
同和衔接,对违规行为进行调查,按照规定开展责任追究。
第十条 公司各部门坚决守住“第一道防线”,承担合规管
理主体责任,负责建立健全本部门业务合规管理制度和流程,
开展合规风险识别评估,编制风险清单和应对预案;定期梳理
重点岗位合规风险,将合规要求纳入岗位职责;履行对本部门
经营管理行为的合规审查,根据相关规定报告合规风险,组织
或配合开展应对处置、违规问题调查和培训。各部门应当设置
合规管理员,由业务骨干担任,接受风控管理部业务指导和培
训。
公司风控管理部应不断筑牢“第二道防线”,全面牵头负
责本公司合规管理工作。组织起草合规管理基本制度、专项制
度、年度计划和工作报告等;组织对规章制度、经济合同、重
12
�大决策合法合规性审查;组织开展合规风险识别、预警和应对
处置,根据董事会授权开展合规管理体系有效性评价;受理职
责范围内的违规举报,提出处置意见,组织或参与违规行为调
查;组织或协助各部门开展合规培训,受理合规咨询,推进合
规管理信息化建设。
公司监督追责等部门切实发挥“第三道防线”监督作用,
在职权范围内对合规要求落实情况进行监督,对违规行为进行
调查,按规定开展责任追究。
第十一条 公司全体员工履行全员合规责任,熟悉并遵守与
本岗位职责相关的法律法规、公司内部制度和合规义务,依法
合规履行岗位职责,接受合规培训,对自身行为的合法合规性
承担责任。
第三章 一体化管理策略
第一节 风险收集、评估与管理
第十二条 按照目标的不同,公司风险分为战略风险、财务
风险、市场风险、运营风险、法律风险、合规风险。
第十三条 公司各部门结合行业、市场等信息,充分考虑影
响公司战略目标实现的内外部因素,包括政策要求、历史数据、
未来预测以及与本公司和国内外相关公司发生的风险损失事件、
13
�违规案例、合规义务等,重点监控影响公司及部门目标达成的
风险及风险表现,查找各项重要经营活动及重要业务流程中存
在的风险,并将收集到的风险初始信息报送至风控管理部。风
控管理部应对各部门、各下属单位报送的风险信息进行统一筛
选和提炼,建立和补充风险信息库,更新和维护公司整体的风
险清单。
(一)在战略风险方面,由公司战略投资部及下属单位广泛
收集国内外公司战略风险失控导致公司蒙受损失的案例,并收
集与公司相关的宏观经济政策、行业状况、市场需求、竞争状
况、公司发展战略和规划、投资计划、年度经营目标、经营战
略,以及编制这些战略、规划、计划、目标的有关依据,重点
关注对外投资流程中曾发生或易发生错误的业务流程或环节。
(二)在财务风险方面,由公司财务管理中心及下属单位广
泛收集国内外公司财务风险失控导致危机的案例,收集与公司
获利能力、资产营运能力、偿债能力、发展能力等指标相关的
重要信息,重点关注成本核算、资金结算和现金管理业务中曾
发生或易发生错误的业务流程或环节。
(三)在市场风险方面,由公司战略投资部及下属单位广泛
收集国内公司忽视市场风险、缺乏应对措施导致公司蒙受损失
的案例,收集与公司相关的产品或服务的价格及供需变化、主
要客户及主要供应商的信用情况、税收政策和利率、汇率、股
14
�票价格指数的变化等方面的重要信息,对现有市场环境进行评
估。
(四)在运营风险方面,由公司运营管理中心、组织人事部
及下属单位广泛收集国内外公司忽视市场风险、缺乏应对措施
导致公司蒙受损失的案例,收集新市场开发、市场营销策略,
包括产品或服务定价与销售渠道、市场营销环境状况等,公司
组织效能、管理现状、公司文化、中高层管理人员和重要业务
流程中专业人员的知识结构、专业经验等方面的信息,重点关
注质量、安全、环保、信息安全等管理中曾发生或易发生失误
的业务流程或环节,对现有业务流程和信息系统操作运行情况
的监管、运行评价及持续改进能力。
(五)在法律风险方面,由风控管理部及下属单位广泛收集
国内外公司忽视法律法规风险、缺乏应对措施导致公司蒙受损
失的案例,收集影响公司的新法律法规和政策、本公司签订的
重大协议、本公司发生重大法律纠纷案件的情况等方面的信息。
(六)在合规风险方面,由公司各部门及下属单位广泛收集
国内公司在战略管理、财务管理、市场管理、运营管理、法务
及合同管理等方面违反国家相关政策要求,触发合规条款,引
发法律责任、受到相关机构处罚、造成经济或声誉损失以及其
他负面影响的信息。
第十四条 公司对收集的初始信息进行必要的筛选、提炼、
15
�对比、分类、组合,以便进行风险评估。风险评估由公司风控
管理部不定期组织有关部门和业务单位实施,也可聘请有资质、
信誉好、风险管理专业能力强的中介机构协助实施。
公司根据风险评估结果将风险分成四个级别(详见附件一),
低风险、中风险、高风险和极高风险。
第十五条 公司根据自身条件和外部环境,围绕公司发展战
略,确定风险偏好、风险承受度、风险管理有效性标准,公司
综合运用风险规避、风险降低、风险分担和风险承受等风险应
对策略,实现对风险的有效控制。
(一)风险规避,是公司对超出风险承受度的风险,通 过
放弃或者停止与该风险相关的业务活动以避免和减轻损 失的
策略;
(二)风险降低,是公司在权衡成本效益之后,准备采 取
适当的控制措施降低风险或者减轻损失,将风险控制在风 险承
受度之内的策略;
(三)风险分担,是公司准备借助他人力量,采取业务 分
包、购买保险等方式和适当的控制措施,将风险控制在风 险承
受度之内的策略;
(四)风险承受,是公司对在风险承受度之内的风险, 在
权衡成本效益之后,不准备采取控制措施降低风险或者减 轻损
失,而直接承受的策略。
16
� 第十六条 公司根据风险应对策略,针对每项重大风险制定
风险管理解决方案。方案一般包括风险解决的具体目标,所需
的组织领导,所涉及的管理及业务流程,所需的条件、手段等
资源,风险事件发生前、中、后期所采取的具体应对措施以及
风险管理工具等。应对方案应根据相关规定,及时向集团公司
报告。
第十七条 公司建立重大突发事件报告机制,发生重大突发
事件时,各部门、各下属单位应按照权限指引表和应急预案采
取应对措施,并及时按照权限指引表和应急预案向公司风控管
理部和相关的业务管理部门通报情况。
第十八条 公司各部门和各下属单位应在风控管理部主导
下定期或不定期对风险管理工作进行自查和检验,并将整改情
况报送公司风控管理部。
第二节 内部控制活动
第十九条 公司以风险为导向结合风险评估结果,通过手工
控制与信息系统控制,预防性控制与发现性控制相结合的方法,
运用不相容职务分离、授权审批、财产保护、会计核算、财务
管理、预算控制、运营分析和绩效考核以及审计检查、重大风
险预警、建立以总法律顾问制度为核心的公司法律顾问制度等
控制措施,将风险控制在可承受限度之内。
17
� 第二十条 内部控制活动需满足外部法律法规要求,外规内
化。将存在风险的各类业务事项列入控制活动范围,坚持经营
战略与风险策略一致、风险控制与运营效率及效果相平衡的原
则,针对风险所涉及的各管理及业务流程,制定涵盖各个环节
的全流程控制措施。采取建立完善规章制度、建立关键业务事
项管理权责指引、建立风险内控合规管理手册等管理工具,确
保各类业务事项的落实。
第二十一条 公司内部控制活动涵盖公司所有的业务环节,
包括但不限于:组织架构、发展战略、人力资源管理、社会责
任、公司文化、资金管理、投资管理、融资管理、担保管理、
采购与付款、资产管理、销售与对账、财务报告、全面预算、
法务及合同管理、内部信息传递、信息系统管理、关联交易、
证券事务、内部监督等。
第二十二条 公司建立内部信息与沟通机制以及建立公司
与下属单位及参股公司重大内部信息传递机制,以及下属单位
及参股公司重大事项报告机制,促进内部信息沟通提高工作效
率,增强管理透明度降低经营风险。
第二十三条 公司对收集的各种内部信息和外部信息进行
合理筛选、核对、整合,提高信息的有用性。公司各部门须将
相关信息在公司内部各管理级次、责任单位、业务环节之间,
以及公司与外部投资者、债权人、客户、供应商、中介机构和
18
�监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发
现的问题,应当根据相关规定及时报告并加以解决。重要信息
应当根据相关规定及时传递给董事会、监事会和经营层。
第二十四条 公司制定《信息披露事务管理制度》,明确信
息披露的原则、内容、程序、责任、保密、奖惩等内容,有效
保护公司、股东及其它利益相关者的权益,确保对外信息披露
及时、准确、完整。
第二十五条 公司风控管理部设置内部审计岗位,为审计委
员会的日常办事机构,行使并承担监督检查内部控制制度执行
情况、评价内部控制有效性、提出完善内部控制的纠正措施的
建议的职责。
第二十六条 公司定期开展内控自评价工作。董事会授权公
司内部审计管理部门为公司内部控制自我评价部门实施部门,
负责内部控制自我评价的具体组织实施工作。
第三节 合规运行
第二十七条 公司梳理分析风险内控合规体系执行情况,认
真查找体系的短板弱项,不断完善风险内控合规制度体系。根
据外部监管新规定以及公司新业务、新变化、新问题,及时做
好相关制度留、立、废、改工作,明确重要业务领域和关键环
节的内控要求、风险应对措施及违规经营投资责任追究规定。
19
� 第二十八条 定期或不定期开展风险、内控、合规管理体系
评价,制定风险、内控、合规评价计划,上级评价与自评价相
结合、年度定期评价与专项不定期评价相结合,按照风险内控
合规管理手册控制活动要求设计评价方案,对风险、内控、合
规管理体系运行的有效性进行检查评价,督促整改缺陷问题。
第二十九条 加大制度执行监督检查力度,强化责任追究,
增强制度刚性约束。建立风险内控合规识别预警及应对机制,
全面系统梳理经营管理活动中存在的合规风险,对风险发生的
可能性、影响程度、潜在后果等进行系统分析,对于典型性、
普遍性和可能产生较严重后果的风险及时发布预警。对可能造
成企业重大资产损失或者严重不良影响的重大合规风险事件,
应当由首席合规官牵头,风控管理部统筹协调,及时采取措施
妥善应对。
第三十条 公司建立完善合规审查机制,将合规审查作为必
经程序嵌入经营管理流程,重大决策事项的合规审查意见应当
由首席合规官签字,对决策事项的合规性提出明确意见。业务
部门、风控管理部依据职责权限完善审查标准、流程、重点等,
定期对审查情况开展后评估。
20
� 第四章 风险内控合规管理重点
第三十一条 公司根据内部环境,在全面推进风险内控合规
管理的基础上,突出重点领域、重点环节和重点人员,切实防
范风险。
第三十二条 重点领域包括公司治理,市场交易,投资管理,
采购管理,合同管理,资本运作,财务税收,债务管理,信息
安全,工程建设,知识产权,资产租赁,商业伙伴,安全环保,
产品质量,劳动用工,选聘招聘,履职待遇、业务支出,社会
捐赠与赞助等领域。公司根据业务发展逐步建立重点领域合规
指南。
第三十三条 重点环节:
(一)制度制定环节。强化对规章制度、改革方案等重要
文件的合规审查,确保符合法律法规、监管规定等要求。
(二)经营决策环节。严格落实“三重一大”决策制度,
细化各层级决策事项和权限,加强对决策事项的合规论证把关,
特别盯防授权、分权、行权、决策、审批、会签等权力行使密
切相关的重点环节,保障决策和权力运行依法合规。
(三)生产运营环节。严格执行合规制度,加强对重点流
程的监督检查,特别盯防商务谈判、订立合同、结算、付款、
交割、验收、注册、注销、银行密钥和印章使用等与权力行使
21
�密切相关的重点环节,确保生产经营过程中照章办事、按章操
作。
第三十四条 重点人员:
(一)权力集中部门和人员。对权力集中的部门和岗位实
行分事行权、分岗设权、分级授权,定期轮岗,强化内部流程
控制,防止权力滥用;完善内部层级监督和专门监督,建立常
态化监督制度;完善纠错问责机制,健全问责方式和程序。
(二)资金密集部门和人员。推进业务、财务、支付一体
化信息系统有效运行,强化现金流量预算管理,实现对大额特
殊资金的逐笔监控。
(三)资源资产富集部门和人员。健全管理制度,建立先
进的管理技术和方法,明确资源资产权属,量化资源资产金额,
监控资源资产情况,规范资源资产交易。
(四)管理人员。促进管理人员切实增强风险合规内控意
识,带头依法依规开展经营管理活动,认真履行风险合规内控
管理职责,强化考核与监督问责。
第五章 风险内控合规管理保障
第三十五条 公司将合规管理纳入党委(党总支、党支部)
法治专题学习,推动企业领导干部强化合规意识,率先做到决
22
�策合规。
第三十六条 加强合规管理队伍人才建设,以总法律顾问制
度建设为契机,建立专业化、高素质的合规管理队伍,建立健
全合规管理工作人员职业发展规划,健全激励机制,拓宽职业
发展通道,充分调动积极性和主动性。
第三十七条 加强全员培训,建立常态化合规培训机制,公
司每年结合合规管理建设的重点工作制定年度培训计划,强化
高风险业务重点岗位人员合规培训。培育和推广合规文化,践
行依法合规、诚信经营的价值观,不断增强员工的合规意识和
行为自觉。将合规作为经营理念和社会责任的重要内容,树立
积极正面的合规形象。
第三十八条 建立合规承诺机制。实行全员承诺制,置业公
司全体人员应定期签署合规遵循承诺书,书面承诺遵守与本职
岗位有关的道德诚信与合规要求。
第三十九条 加强考核评价,把风险内控合规情况纳入对各
部门和各下属单位的年度绩效考核。开展全员合规评价,建立
员工合规档案,将评价结果作为员工考核、干部任用、评先选
优等工作的重要依据。
第四十条 建立风险内控合规报告机制,明确合规风险事件
分级分类标准和应对机制。发生合规风险时,相关部门应当及
时采取有效措施,并根据相关规定向风控管理部报告。发生重
23
�大合规风险事件,首席合规官应当根据相关规定及时向有关部
门报告,并及时报告后续应对和处置进展情况。
第四十一条 设立违规举报平台,公布举报方式,确定由风
控管理部受理违规举报并对收到违规问题举报应当进行调查处
理,经核实确有违规行为的,按照公司违规经营问责等相关规
定进行相应处理;涉及违反党内纪律规定的,由纪检监察部门
根据相关组织纪律进行处理;涉嫌违法犯罪的,移交司法机关
处理。
第四十二条 根据公司违规行为追责问责机制,明确责任范
围,细化问责标准,针对问题线索及时开展调查,严肃追究责
任。公司建立经营管理和员工履职违规行为记录机制,风控管
理部每半年对相关违规人员的违规事项、行为性质、发生次数、
危害程度等进行记录,形成履职违规行为台账,并与相关部门
共享。该记录作为考核评价、职级评定等工作的重要依据。
第四十三条 建立违规问题整改机制,对于反复发生的合规
风险和违规问题,要健全制度,优化流程,形成长效机制,持
续改进提升。
24
� 第六章 信息应用与信息化建设
第四十四条 根据公司业务发展,逐步加强管理信息化建设,
运用信息化手段,加强风险内控合规制度、典型案例、培训、
违规行为的信息化记录;运用信息化手段将管理要求和防控措
施嵌入工作流程,强化合规审查和过程管控;将管理信息系统
与财务、投资、采购、人资等其他信息系统深度融合,实现数
据互联共享;利用大数据技术,加强对重点领域、重点环节的
监测预警,强化风险防控。
第七章 附则
第四十五条 本制度由风控管理部负责解释。
第四十六条 本制度经批准,自发布之日起执行,原《风险
管理制度》《内部控制管理制度》同时废止。
25
�附件一:风险评估标准与说明
风险评估标准与说明
风险评估包括固有风险评估及剩余风险评估两部分,具体
评估标准如下:
(一)固有风险评估标准
固有风险,即假设该风险在没有任何控制存在的情况下,
其妨碍公司实现经营目标的可能性及影响。在考虑每个风险的
可能性及影响程度时,应假设现有的控制都不存在,从而对固
有风险作出更有效及更客观的评价。
固有风险评级主要从每个风险点的发生可能性和其一旦发
生后对公司目标实现的影响程度这两个方面来进行。针对每一
个风险点,评分人将分别从上述两个方面进行评估,并给出相
应的分值。
而每个风险点的固有风险评分为风险发生可能性和影响程
度得分的乘积:当乘积小于 9 则等级为“低”,当乘积大于等
于 9 小于 18 则等级为“中”,当乘积大于等于 18 小于 21 则
等级为“高”,当乘积大于等于 21 则等级为“极高”。
1、风险发生可能性
风险发生可能性:指某一风险发生的概率或频率。
在考虑风险发生的可能性时,可从相对发生概率和绝对发
生次数两个指标考虑,进行评分:
26
�评分等级 1=极低 2=低 3=中等 4=高 5=极高
风险发生的 业务极少发生,风险 业务较少发生,风险 业务发生频率中 业务发生频率较普 业务发生很频
可能性 在极少情况下才会发 在较少情况下会发 等,风险发生频率 通偏高,风险发生 繁,风险发生很
生或发生的绝对数量 生或发生的绝对数 中等或发生的绝对 频率较普通偏高或 频繁或发生绝
非常小,几乎从未发 量很小,风险近三年 数量丌太多,风险 发生的绝对数量较 对数量很多,风
生过,风险近三年没 发生过 3 次以下 近三年发生过 3 次 多,风险平均每年 险平均每年发
有发生过 以上 5 次以下 发生 2-3 次 生 3 次以上
2、风险发生影响程度
风险发生影响程度:指风险失去控制后可能对公司产生的
影响程度,影响包括对公司人、财、物、持续发展的影响、政
治、社会、环境影响,等等。
对于风险的评估应该与公司的战略目标紧密相连,并关注
那些对公司战略目标实现有重要影响的风险。从以下定量或定
性的任意一方面进行考虑,并给出相应分值。如果判断一项风
险涉及两个方面或以上,则以评分最高者的分值作为影响程度
的填写分值。(取其高原则)
风险发生的影响程度应综合考虑多方面因素,按照如下方
式进行分析(以下数据仅为评分的参考标准,请打分人员根据
经验自行评判):
27
�评分等级 1=极轻微 2=轻微 3=中等 4=重大 5=极重大
战略影响 对公司的战略 较小的影响公 在一定程度上影响公司 较大的影响公司战略计 重大的影响公司战
目标的实现产 司战略计划的 战略计划的实施,对战 划的实施,对战略目标 略计划的实施,对
生轻微的影响 实施,没有对战 略目标的实现产生较小 的实现产生一定的影 战略目标的实现产
略目标的实现 的影响,通过公司的调 响,需要通过较大的调 生很大的影响,丌
产生影响 整可以挽回 整才能够挽回 一定能够通过调整
进行挽回
市场影响 对公司的市场 较小的影响公 在一定程度上影响公司 较大的影响公司的市场 在很大程度上影响
仹额及社会形 司的市场仹额; 的市场仹额;市场仹额 仹额;市场仹额总体减 公司的市场仹额;
象产生轻微影 市场仹额总体 总体减少 3%-8%; 少 8%-10%; 市场仹额减少超过
响。在县所辖范 减少 1%-3%; 10%;
围内受到影响, 较 小 的 影 响 公 在一定程度上影响公司 较大的影响公司的销售 在很大程度上影响
但该影响可由 司的销售额;影 的销售额;影响金额约 额;影响金额约 7,000 公司的销售额;影
所辖公司短期 响金额约 3, 3,000 万-7,000 万 万-10,000 万元; 响金额约 10,000
内自行消除。 000 万元以下; 元; 万以上;
较小的影响了 短期或有限的社会形象 暂时的社会形象的下 公司的社会形象有
公司的社会形 的下降;在网省范围内 降,但是通过补救措施 重大的下降,需要
象;在地市范围 受到影响,这种影响需 可以恢复;在全国范围 通过较大的补救措
内受到影响,但 要较长时间、付出较大 内受到影响,这种影响 施,才能够恢复;
该影响需要一 代价消除; 需要通过长时间努力、 在国际范围内受到
定时间、付出一 付出巨额代价消除 影响,这种影响难
定代价消除; 以消除
损失了少量的 损失了一定程度的客户 损失了一块较大的客户 损失了一块重大的
客户基础(5% 基础(10%-15%) 基础(15%-30%) 客户基础(30%或
以下) 以上)
运营影响 对公司的运营 在运营系统上 在运营系统上的损失导 在运营系统上的损失导 在运营系统上的损
产生轻微的影 的损失导致较 致较大的营运中断,时 致重大的营运中断,时 失导致严重的影响
响,基本没有造 小的营运中断, 间长达 3 天,在一定范 间长达 3-5 天,在较大 或正常营运的中
成人员的伤亡 时 间 长 达 1-2 围内影响运营; 范围内影响运营; 断,时间长达 5 天
或经济损失; 天,影响范围较 以上,很大范围内
小; 影响运营;
28
�评分等级 1=极轻微 2=轻微 3=中等 4=重大 5=极重大
对环境或社会 成本有限的增 成本短期的上升对当前 承受过多的成本对当前 过多的成本严重地
造成短暂的影 加对收入和利 的所得和盈利率产生影 的所得和盈利率产生影 影响长期的盈利率
响,可丌采取行 润产生的影响 响,毛利率下降 2%; 响 , 毛 利 率 下 降 和生存能力,毛利
劢; 相对较小,毛利 2%-5%; 率下降 5%以上;
率 下 降
1%-2%;
负面消息在公 某些员工流失, 一定数量的员工流失或 较大数量的员工流失或 相当大数量的员工
司内部流传,公 职位空缺期长 无法招聘到,职位空缺 无法招聘到,职位空缺 流失或无法招聘
司声誉没有受 至 1 个月,职位 期长至 1-3 个月,职位 期长至 3 个月,职位空 到,职位空缺期超
损,对员工热情 空缺范围在 5% 空缺范围在 5-10%内; 缺范围 10%—20%; 过 3 个月,职位空
有轻微影响 内; 缺范围超过 20%;
造成轻微的人 造成少量的人员受伤, 造成一定范围的人员受 造成较大范围的人
员受伤,造成 1 造成 1 至 4 人轻伤; 伤,造成 5 人以上轻伤, 员受伤,或者出现
人轻伤; 或者出现 1 至 2 人重 人员死亡,造成大
伤; 范围的人员轻伤,
或 3 人以上重伤,
或者出现死亡的情
况;
对环境或社会 对环境造成中等影响, 造成主要的,长期的环 无法弥补的灾难性
造成一定的影 需要一定程度的补救措 境损害,需执行重大的 环境损害,需要 3
响,但丌破坏生 施,需 6 个月或 6 个月 补救措施,且要 6 个月 年以上的时间来恢
态系统,被政府 以上的时间才能恢复, 到 3 年左右的时间来恢 复,或者人类所掌
有关部门关注 出现个别投诉事件; 复,出现较多的公众投 握的现代科技尚无
或需要通知政 诉事件; 法恢复,出现大规
府有关部门,可 模的公众诉讼事
丌采取行劢; 件,被判定需承担
重大刑事责仸;
29
� 评分等级 1=极轻微 2=轻微 3=中等 4=重大 5=极重大
负面消息受到 负面消息在某区域流 负面消息在全国流传, 负面消息流传世界
媒体关注,在当 传,被地方政府部门关 对公司声誉造成重大损 各地,被中央政府
地局部流传,对 注,对公司声誉造成中 害,被全国性媒体持续 部门或监管机构高
公司声誉造成 等损害,员工对公司的 报道,被中央政府部门 度关注或开展调
轻微损害,员工 满意度、决策认同感有 关注,员工对公司的满 查,引起公众媒体
对公司的满意 所下降可能向外部传递 意度、决策认同感严重 极大关注,对公司
度、工作热情受 对公司形象较为丌利的 下降,向外部传递对公 声誉造成无法弥补
到较小影响 信息 司形象非常丌利的信 的损害,员工对公
息,造成员工较严重的 司的认同感极大下
消极怠工和人才流失 降,向外部传递对
公司形象极为丌利
的信息,出现严重
消极怠工甚至罢
工,关键岗位员工
离开公司
合规影响 对公司的合规 在一些丌严重 在某些情况下,未能遵 未能遵循法律和法规的 未能遵循法律和法
行为产生轻微 幵且是独立的 循法律和法规的要求 要求,虽然重大但仍可 规的要求,幵且十
的影响 案例中,未能遵 恢复经营 分严重,影响公司
循法律和法规 的持续经营
的要求
财务影响 极轻微的财务 轻微的财务损 中等的财务损失:公司 重大的财务损失:公司 特大的财务损失:
损失:公司财务 失:公司财务损 财务损失占净资产的 财务损失占净资产的 公司财务损失占净
损失占净资产 失占净资产的 5‰-1% 1%-5% 资产的 5% 以上
的 2‰以下 2‰-5‰
(二)内控措施有效性的评估
内控措施的有效性:即评估内部控制措施是否确切存在且
有效地减低公司固有风险。
评级 内部控制措施有效性
30
� 完善的内控措施已存在,如已制定相关书面制度和流程、岗位说明完善、职责分工明确等。
所有业务流程已经基本实现信息化,手工操作环节极少,业务流程得到真实记录幵保存,可以极好地保
极高
障公司运营目标。
控制得到极好的遵循。
标准的内控措施已存在幵记录。如已制定相关书面制度和流程、岗位说明标准、职责分工清晰等。
高 业务流程信息化程度高,存在部分手工操作环节,但丌涉及关键控制点。
控制得到一贯遵循。
没有标准的内控措施,但存在补偿措施幵已记录,可以保障公司运营目标。如尚未制定书面制度和流程,
但实际操作过程中已存在内控措施幵已记录。
中
业务流程信息化程度一般,手工操作环节较多,其中包括部分关键控制点。
部分控制得到遵循。
没有标准的内控措施,存在补偿措施但未记录。如缺乏书面的制度和流程,实际操作过程存在内控措施
但未进行记录。
低
业务流程信息化程度较差,存在信息系统,但实际为手工操作。
控制得到极差的遵循。
没有标准或补偿的内控措施。如缺乏书面的制度和流程且实际操作过程中亦未形成有效的内控措施。
极低 未进行业务流程信息化。
控制基本上未得到遵循。
(三)剩余风险评估标准
剩余风险,即考虑相关内部控制措施后发生重大风险的可
能性。
剩余风险的评定由两部分构成:剩余风险=固有风险-内
控实施有效性,当剩余风险得分小于 9 则等级为“低”,当得
分大于等于 9 小于 18 则等级为“中”,当得分大于等于 18 小
于 21 则等级为“高”,当得分大于等于 21 则等级为“极高”。
三、填写注意事项
31
� 1.此次风险评估仅针对公司 XX 年度的风险现状作出评估。
2.固有风险为公司面临的固有风险,请评估公司固有风险
的发生可能性和影响程度。
3.在评估内部控制有效性时,请不要考虑公司的固有风险
水平,独立地判断目前公司的内部控制现状。
32
�
