茂化实华:9.内部控制与风险管理规定2024-10-25
茂名石化实华股份有限公司
内部控制与风险管理规定
(2024 年修订)
(2024 年 10 月 24 日第十三届董事会第五次临时会议审议通过)
第一章 总则
第一条 为规范和加强茂名石化实华股份有限公司(以下简
称“公司”)内部控制与风险管理,统筹推进公司内部控制体系
(以下简称“内控体系”)建设和运行监管,提高公司经营管理
水平和风险防范能力,促进公司可持续发展,维护社会公众权益,
保护投资者的合法权益,根据《中华人民共和国公司法》、《企业
内部控制基本规范》及其配套指引、《深圳证券交易所上市公司
自律监管指引第 1 号---主板上市公司规范运作》、《茂名石化实
华股份有限公司章程》(以下简称“《公司章程》”)等相关规定,
制定本规定。
第二条 本规定适用于公司、全资子公司和控股子公司。
第三条 本规定所称内部控制,是指由公司党委、董事会、
监事会、经理层以及全体员工实施的、旨在实现控制目标的过程。
本规定所称“风险管理”,是指公司围绕战略和经营目标,在管
理的各环节和经营的各项活动中执行风险管理的基本流程,评
- 1 -
估可能影响公司正常生产经营的潜在事项并管理风险的过程。
第四条 公司内控体系包含内部控制、风险管理和合规管
理。
公司通过建立健全以风险管理为导向、以合规管理监督为
重点,严格、规范、全面、有效的风险管理与内部控制体系,
保障公司战略目标和经营管理目标的实现。
第五条 组织与职责
公司建立由党委和董事会统一领导,各部门、子公司按照职
责具体实施,各司其责、齐抓共管的风险管理与内部控制组织责
任体系。
(一)党委、董事会及审计委员会
1.公司党委按照《公司章程》及公司“三重一大”相关规
定对风险管理与内部控制重大事项进行研究。
2.董事会为公司内控体系管理的决策机构,负责审批内控
体系建设总体目标;审批内控体系基本制度;审批内控体系相
关报告,对公司内控体系有效性进行评价;以及审批内控体系
相关的其他重大事项。
3.审计委员会负责审议需要董事会决议的内控体系基本制
度和相关报告,为董事会决策提供意见;指导公司内控体系建设;
监督、评估、检查内控体系运行质量和效果,并向董事会报告;
协调内部控制审计及其他相关事宜等。
(二)监事会
监事会对董事会建立与实施内部控制进行监督。
- 2 -
(三)经理层
经理层负责组织公司内部控制的日常运行和有效性检查,
对董事会负责。
(四)内部控制工作办公室
公司内部控制工作办公室为公司内控体系的归口管理职能
部门,具体实施风险管理和内部控制管理工作。主要职责:
1.负责组织推进公司内控体系建设与持续完善工作。
2.负责牵头组织公司层面内部控制制度的制订、完善与实
施工作。
3.负责组织公司内部控制制度宣贯培训,指导、监督各单位
/部门内部控制制度的内部培训落实情况。
4.负责组织开展公司内部控制年度评价和专项评价等评价
监督检查工作。
5.负责跟踪监督公司内部控制缺陷整改方案的制订与落实
工作。
6.负责拟订内部控制考核方案,组织实施公司内部控制考
核工作。
7.负责配合外部机构对公司内部控制的监督检查工作。
8.负责公司内部控制档案保管工作。
9.公司安排的其他内部控制工作。
(五)审计部
审计部是对公司内部控制有效性实施审计监督的部门,按照
- 3 -
内部审计职能,对公司及各机构的内部控制有效性进行审计监
督检查。
(六)公司本部各职能部门
公司各职能部门是其归口管理范围内的专项业务风险管理
与内部控制的责任主体,主要职责:。
1. 建立、完善与本部门职能相关内控管理制度及配套指
导文件等。
2. 根据部门内控职责,结合风险管理、合规管理要 求,
落实本部门内控建设、执行评价、整改优化等工作。
3. 配合内外部机构对公司内控体系的检查、评价。
4. 对子公司相关内控制度的建设及实施情况予以指 导和
监督检查。
5. 对子公司相关专项内部控制及风险管理、合规管 理工
作执行情况进行监控和管理指导。
6. 根据部门职责,开展公司重大决策活动相关的专 项风
险分析、评估,并提出专项风险分析、评估意见。
7.负责协助开展本机构的内部控制考核评价工作。
8. 妥善应对本业务领域的包括合规风险在内的重大 风险
事项,并及时向内部控制工作办公室通报。
9. 其他与内控体系建设、运行、管理、评价等有关 的工
作。
(七)公司各子公司
- 4 -
各子公司是其经营管理范围内风险管理与内部控制的责任
主体。主要职责:
1.建立健全本单位风险管理与内部控制组织责任体系,
明确职能部门或机构统筹内控体系建设与监督工作职责。
2.按照行业监管规定和公司管理要求,建立健全和有 效
运行本单位风险管理与内部控制体系。
3.加强监督评价和缺陷整改,促进本单位风险管理与 内
部控制体系持续完善。
4.按照规定,及时、准确向公司报告风险管理与内部 控
制工作有关情况。
第二章 内部环境
第六条 公司须根据国家有关法律法规和《公司章程》,建立
规范的公司治理结构和议事规则,明确决策、执行、监督等方面
的职责权限,形成科学有效的职责分工和制衡机制。
第七条 内部控制工作办公室应根据职责权限,组织建立健
全公司内部控制体系,对公司各部室、全资子公司和控股子公司
实施内部控制目标管理和运营监控,保持公司内部控制有效性。
公司应通过编制内部控制手册和常规授权指引,使公司员
工熟知内部机构设置、岗位职责、业务流程等情况,明确权责分
配,正确行使职权。
第八条 内部审计部门应结合内部审计监督,对内部控制的
- 5 -
有效性进行监督检查。内部审计部门对监督检查中发现的内部
控制缺陷,应按照公司内部审计工作程序进行报告;对监督检查
中发现的内部控制重大缺陷,有权直接向董事会及其审计委员
会、监事会报告。
第九条 公司应将职业道德修养和专业胜任能力作为选拔
和聘用员工的重要标准,切实加强员工培训和继续教育,不断提
升员工素质。
第十条 公司应加强文化建设,培育积极向上的价值观和社
会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,
树立现代管理观念,强化风险意识。
董事、监事、总经理及其他高级管理人员应在公司文化建设
中发挥主导作用。公司员工应遵守员工行为守则,认真履行岗位
职责。
第十一条 公司应加强法治教育,增强董事、监事、总经理
及其他高级管理人员和员工的法治观念,严格依法决策、依法经
营、依法监督,建立健全合规管理体系。
第三章 风险管理
第十二条 公司按照“分级分类”的原则分解落实风险管
理责任。各级风险管理责任主体应根据风险管理职责分别承担
本公司、本部门的风险管理责任。
第十三条 风险管理应贯穿公司的管理决策、制度制定、 业
- 6 -
务执行、监督评价等各环节,把风险管理的各项要求融入公司管
理和业务流程中。
第十四条 风险评估。公司应根据设定的控制目标,全面系
统地收集相关信息,结合公司业务实际情况,通过经营分析会、
安全环保等专项检查,及时识别公司业务面临的各项风险因素。
风险主要分为战略风险、财务风险、市场风险、运营风险和
法律风险等五大种类。
第十五条 公司应准确识别与实现控制目标相关的内部风
险和外部风险,确定相应的风险承受度。
风险承受度是公司能够承担的风险限度,包括整体风险承
受能力和业务层面的可接受风险水平。
第十六条 公司识别内部风险,应关注下列因素:
(一)董事、监事、总经理及其他高级管理人员的职业操守、
员工专业胜任能力等人力资源因素。
(二)组织机构、经营方式、资产管理、业务流程等管理因
素。
(三)研究开发、技术投入、信息技术运用等自主创新因素。
(四)财务状况、经营成果、现金流量等财务因素。
(五)环境保护、安全生产、职业健康等因素。
(六)其他有关内部风险因素。
第十七条 公司识别外部风险,应关注下列因素:
(一)经济形势、产业政策、融资环境、市场竞争、资源供
- 7 -
给等经济因素。
(二)法律法规、监管要求等法律因素。
(三)安全稳定、文化传统、社会信用、教育水平、消费者
行为等社会因素。
(四)技术进步、工艺改进等科学技术因素。
(五)自然灾害、环境状况等自然环境因素。
(六)其他有关外部风险因素。
第十八条 公司应对识别的风险进行分级管理。按照风险发
生的可能性及其影响程度等,划分为重大风险、重要风险和一般
风险。
公司应定期组织有关部门讨论面临的内部风险和外部风险,
形成重大风险管控清单。
各部门负责归口管理范围内重大风险管控清单的编制与维
护。内部控制工作办公室负责公司重大风险管控清单的汇总整
理与定期维护。各子公司结合本单位实际情况,编制本单位重大
风险管控清单。
公司进行风险分析,必要时聘请专业机构、专业人员,确保
风险分析结果的准确性。
第十九条 公司要建立健全全面覆盖、突出重点的常态化、
制度化、与业务紧密融合的风险评估机制。
(一)年度全面风险评估。对经营环境变化、发展趋势等进行
综合分析和预判,同时结合内控体系监督评价工作中发现的经
- 8 -
营管理缺陷和问题,综合评估公司内外部风险水平,有针对性地
制定风险应对方案。
1.公司及各子公司每年至少开展一次涵盖所有业务的年度
全面风险评估。
2.年度全面风险评估应围绕战略目标、年度经营管理目标
和重点工作,结合日常风险监控情况,全面评估本年度面临的风
险,确定年度重大风险及风险管理重点。
公司内部控制工作办公室应于每年年初组织开展公司年度
全面风险评估工作,提出公司年度重大风险评估结果及建议,经
公司总经理办公会审议通过后,组织落实重大风险管控措施。
(二)专项风险评估。对重大合同、新业务、重大投资并购、
改革改制重组、重要组织结构调整等决策事项应开展专项风险
评估,充分揭示风险、提出风险应对措施及解决预 案,并将风
险评估报告作为重大经营管理事项决策的必备支撑材料。
第二十条 风险应对。公司应根据风险评估的结果,围绕公
司发展战略,确定总体风险偏好、风险承受度、风险管理有效标
准,选择风险回避、风险降低、风险分担、风险承受等风险应对
策略。
公司应根据风险应对策略,针对评估出的重大风险,建立重
大风险的管控机制(明确重大风险的管控目标,设定监控具体指
标或预警指标,制定可操作性的应对措施以及应急预案)。
第二十一条 风险监控。公司应以重大风险、重大事件、重
- 9 -
大决策、主要业务流程为重点,对风险管理的实施情况进行监督。
第四章 控制活动
第二十二条 公司应结合风险评估结果,通过手工控制与自
动控制、预防性控制与发现性控制相结合的方法,运用相应的控
制措施,将风险控制在可承受度之内。
控制措施一般包括:不相容职务分离控制、授权审批控制、
会计系统控制、财产保护控制、预算控制、运营分析控制和绩效
考评控制等。
第二十三条 不相容职务分离控制要求公司全面系统地分
析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,
形成各司其职、各负其责、相互制约的工作机制。
第二十四条 授权审批控制要求公司根据常规授权和特别
授权的规定,明确各岗位办理业务和事项的权限范围、审批程序
和相应责任。
公司应编制常规授权的权限指引,规范特别授权的范围、权
限、程序和责任,严格控制特别授权。常规授权是指公司在日常
经营管理活动中按照既定的职责和程序进行的授权。特别授权
是指公司在特殊情况、特定条件下进行的授权。
公司各级管理人员应在授权范围内行使职权和承担责任。
第二十五条 会计系统控制要求公司严格执行国家统一的会
计准则、制度,加强会计基础工作,明确会计凭证、会计账簿和
- 10 -
财务会计报告的处理程序,保证会计资料真实完整。
公司依法设置会计机构,配备会计从业人员。会计人员应具
备从事会计工作所需要的专业能力。会计机构负责人原则上应
具备会计师以上专业技术职称或注册会计师资格。
第二十六条 财产保护控制要求公司建立财产日常管理制
度和定期清查制度,采取财产记录、实物保管、定期盘点、账实
核对等措施,确保财产安全。公司严格限制未经授权的人员接触
和处置财产。
第二十七条 预算控制要求公司实施全面预算管理制度,明
确各责任单位在预算管理中的职责权限,规范预算的编制、审定、
下达和执行程序,强化预算约束。
第二十八条 运营分析控制要求公司应综合运用生产、购销、
投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋
势分析等方法,开展月度、季度、年度运营情况分析,发现存在
的问题,及时查明原因并加以改进。
第二十九条 绩效考评控制要求公司建立和实施绩效考评
制度,科学设置考核指标体系,对公司内部各责任单位和全体员
工的业绩进行定期考核和客观评价,将考评结果作为确定员工
薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
第三十条 公司应逐步建立重大风险预警机制和突发事件
应急处理机制、明确风险预警标准,对可能发生的重大风险或突
发事件,制定应急预案、明确责任人员、规范处置程序,确保突
- 11 -
发事件得到及时妥善处理。
第五章 专项风险的内部控制
第三十一条 公司应对全资子公司和控股子公司实行管理
控制,主要包括:
(一)依法建立对全资子公司和控股子公司的控制架构,确
定全资子公司和控股子公司章程的主要条款,选任董事、监事、
总经理及财务负责人。
(二)根据公司的战略规划,协调全资子公司和控股子公司
的经营策略和风险管理策略,督促全资子公司和控股子公司据
以制定相关业务经营计划和风险管理程序。
(三)全资子公司和控股子公司的业绩考核与激励约束制度。
(四)母子公司关联交易等方面的政策及程序。
(五)全资子公司和控股子公司重大事项的内部报告制度。
重大事项包括但不限于发展计划及预算、重大投资、收购出售资
产、提供财务资助、为他人提供担保、签订重大合同等的管理。
(六)定期取得全资子公司和控股子公司财务报告,并根据
相关规定,委托会计师事务所审计全资子公司和控股子公司的
财务报告。
(七)公司认为需要管控的其他事项。
第三十二条 公司应对全资子公司和控股子公司内部控制
制度的实施及其检查监督工作进行评价。
- 12 -
第三十三条 公司对外担保应遵循合法合规、互利、安全的
原则,执行公司对外担保管理制度,严格控制担保风险。公司应
调查被担保人的经营和信誉情况。
第三十四条 公司募集资金使用的内部控制应遵循规范、安
全、高效、透明的原则,遵守承诺,注重使用效益,执行公司募
集资金使用管理制度。
第三十五条 公司重大投资的内部控制应遵循合法、审慎、
安全、有效的原则,控制投资风险、注重投资效益,执行公司投
资管理办法。
投资管理部门负责对重大投资项目的可行性、投资风险、投
资回报等事宜进行专门研究和评估,监督重大投资项目的执行
进展,如发现投资项目出现异常情况,应及时向公司报告。
第三十六条 公司董事会应定期了解重大投资项目的执行
进展和投资效益情况,关注未按计划投资、未能实现项目预期收
益、投资发生损失等情况。
第三十七条 公司应建立委托理财管理制度,选择资信状况、
财务状况良好,无不良诚信记录及盈利能力强的合格专业理财
机构作为受托方,并与受托方签订书面合同,明确委托理财的金
额、期间、投资品种、双方的权利义务及法律责任等。
第三十八条 公司应建立信息披露管理制度和重大信息内
部报告制度,明确重大信息的范围和内容,指定专人为公司对外
发布信息的主要联系人。对外发布信息的联系人需了解重大事
- 13 -
项的情况和进展时,相关部门(包括全资子公司和控股子公司)
及人员应予以积极配合和协助,及时、准确、完整地进行回复,
并根据要求提供相关资料。
第三十九条 公司应按照有关规定,规范公司对外接待等投
资者关系活动,确保信息披露的公平性。
第四十条 公司应建立内幕信息及知情人保密管理制度。因
工作关系了解到相关信息的人员,在该信息尚未公开之前,负有
保密义务。如信息不能保密或已经泄漏,应采取及时向监管部门
报告和对外披露的措施。
第四十一条 公司关联交易的内部控制应遵循诚实信用、平
等、自愿、公平、公开、公允的原则,不得损害公司和股东的权
益。公司应建立关联交易管理制度,明确公司股东大会、董事会、
经营层对关联交易事项的审批权限,规定关联交易事项的审批
程序和回避表决要求。
第六章 信息与沟通
第四十二条 公司应建立信息与沟通制度,明确内部控制相
关信息的收集、处理和传递程序,确保信息及时沟通,促进内部
控制有效运行。
第四十三条 公司应将内部控制相关信息在公司内部各管
理级次、责任单位、业务环节之间,以及公司与外部投资者、债
权人、客户、供应商、中介机构和监管部门等有关方面之间进行
- 14 -
沟通和反馈。信息沟通过程中发现的问题,应及时报告并加以解
决。重要信息应及时传递给董事会、监事会和经营层。
第四十四条 公司应利用信息技术促进信息的集成与共享,
充分发挥信息技术在信息与沟通中的作用。公司应加强对信息
系统开发与维护、访问与变更、数据输入与输出、文件储存与保
管、网络安全等方面的控制,保证信息系统安全稳定运行。
第四十五条 公司应建立反舞弊机制,坚持惩防并举、重在
预防的原则,明确反舞弊工作的重点领域、关键环节和相关部门
在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、
报告和补救程序。
第四十六条 公司应建立举报投诉和举报人保护机制,设置
举报专线,明确举报投诉处理程序、办理时限和办结要求,确保
举报、投诉成为公司有效掌握信息的重要途径。
第七章 内部控制的检查监督和披露
第四十七条 公司内部控制工作办公室应对内部控制制度
的落实情况进行定期和不定期的检查。通过内部控制制度的检
查监督,发现内部控制制度是否存在缺陷以及实施中是否存在
问题,并及时予以改进,确保内部控制制度的有效实施。
第四十八条 内部控制工作办公室应结合自身实际情况,制
定年度内部控制检查监督计划,按照《企业内部控制评价指引》
的相关要求和程序,开展内部控制检查评价工作,并作为评价内
- 15 -
部控制运行情况的依据。
第四十九条 内部控制工作办公室应制定公司内部控制年
度自我评价方案。年度内部控制评价实施方案经分管领导审核、
总经理审批。
第五十条 公司董事会、审计委员会对内部控制检查监督工
作进行指导,并审阅检查审计部提交的年度内部控制检查监督
工作报告。
第五十一条 检查监督过程中发现的内部控制缺陷及实施
中存在的问题,将列为各部门绩效考核的重要项目。
对已发现的重大缺陷,追究相关单位或者责任人的责任。内
部控制检查监督的工作资料保存时间不少于三十年。
第五十二条 内部控制工作办公室应结合内部监督情况及
相关信息评价公司内部控制的建立和实施情况,形成年度内部
控制自我评价报告,提交分管领导、总经理审核,总经理办公会、
审计委员会审议,董事会审批。公司董事会依据有关监管部门的
要求,在审议年度财务报告等事项的同时,对内部控制评价报告
形成决议,同年度报告一并对外披露。
第五十三条 会计师事务所在对公司进行年度审计时,应就
公司财务报告内部控制情况出具评价意见。
第五十四条 如会计师事务所对公司内部控制有效性出具
非标准审计报告或指出公司非财务报告内部控制存在重大缺陷
- 16 -
的,公司董事会、监事会应当针对所涉及事项作出专项说明,专
项说明至少应当包括下列内容:
(一)所涉及事项的基本情况;
(二)该事项对公司内部控制有效性的影响程度;
(三)公司董事会、监事会对该事项的意见;
(四)消除该事项及其影响的具体措施。
第五十五条 公司应当在年度报告披露的同时,在中国证监
会指定网站上披露内部控制自我评价报告和内部控制审计报告
(如有)。
第八章 附则
第五十六条 公司全资子公司及控股子公司应根据本规定,
依据外部监管要求,结合实际制定本公司风险管理与内部控制
制度。
第五十七条 本规定未尽事宜,依照国家有关法律、法规以
及《公司章程》的规定执行。本规定与国家有关法律、法规以及
《公司章程》的规定不一致的,以国家有关法律、法规以及《公
司章程》的规定为准,并及时修改本规定。
第五十八条 本规定由公司董事会负责解释和修订。
第五十五条 本规定经公司董事会审议通过,自通过之日起
实施,修改时亦同。
- 17 -