本帖最后由 mason 于 2024-2-29 13:57 编辑
内控合规风险管理办法(参考)
第一章 总 则
第一条 为加强股份有限公司(以下简称公司)内部控制、合规管理、风险管理(以下简称内控合规风险管理),发挥内部控制强基固本作用,提升合规经营水平,增强风险防控能力,服务保障公司高质量发展,根据国务院国资委《关于全面推进法治央企建设的意见》(国资发法规〔2015〕166号)《关于加强中央企业内控体系建设与监督工作的实施意见》(国资发监督规〔2019〕101号)《中央企业全面风险管理指引(试行)》(国资发改革〔2006〕108号)《中央企业合规管理指引(试行)》(国资发法规〔2018〕106号)、财政部《企业内部控制基本规范》(财会〔2008〕7号)及其配套指引等相关规定,结合公司实际,制定本办法。
第二条 公司贯彻“管理制度化、制度流程化、流程信息化”的内部控制理念,建立健全以风险管理为导向,以合规管理为重点,严格、规范、全面、有效的内部控制体系,形成全面、全员、全过程、全体系的风险防控机制,实现“强内控、促合规、防风险”的管控目标,有力保障公司高质量发展。
内部控制是指由企业董事会、经理层和全体员工实施的、旨在实现控制目标的过程。合规管理是指以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。
风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。
风险管理是内部控制的导向,内部控制的实质是控制风险,合规管理是内部控制得以有效实施的一项基础工作、是风险管理的一项重要活动。
第三条 内控合规风险管理是企业治理体系和治理能力现代化的重要组成部分,各项管理要求应嵌入融入业务活动、制度流程、信息管理系统等经营管理全过程。内控合规风险管理与其他职能管理相互协调、相互促进,为实现以下目标提供合理有效保障:
(一)保证企业经营管理合法合规;
(二)保障企业资产安全;
(三)保证企业财务报告及相关信息真实完整;
(四)确保企业建立针对各项重大风险发生后的应急预案,保护企业不因灾害性风险或人为失误而遭受重大损失;
(五)提高企业经营效率和效果;
(六)促进企业实现发展战略目标。
第四条 公司内控合规风险管理应紧密联系实际,加强协同,统筹推进:
(一)坚持领导主抓与全员参与相结合。明确企业主要负责人是加强内部控制第一责任人职责;建立全员责任制,把内部控制要求植入岗位职责,落实到岗位工作全过程。
(二)坚持全面管理与重点突出相结合。内部控制应覆盖全业务领域、全业务过程、全组织层级和全体员工,贯穿决策、执行、监督全过程,突出重要领域、重点环节、重点人员及重点单位的管理。
(三)坚持分类管理与“三道防线”相结合。内部控制应实施分级分类管控,落实公司三级管控职责,根据不同类别的内控合规风险特点实施分类管理;筑牢由财务资产部、业务职能部门和审计监督部门组成的内部控制“三道防线”,各司其职、协同联动。
(四)坚持成本与效益、控制与效率相统一。内部控制应有效兼顾成本与效益、控制与效率,以适当的成本和效率实现有效防控。
第五条 本办法适用于公司本部、内核单位、控股公司及托管企业(以下简称各单位)。
第二章 组织与职责
第六条 公司管理机构与职责
(一)公司党委领导内控合规风险管理工作。
(二)公司董事会是内控合规风险管理的决策机构,主要职责包括:
1.决定公司的内控合规风险管理体系;
2.批准公司内控合规风险管理基本制度、年度内控工作报告、年度合规管理报告、年度风险评估报告等文件;
3.确定公司风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险解决方案;
4.对公司内控合规风险管理体系的实施进行总体监控和评价;
5.定期听取内控合规风险工作情况汇报;
6.决定其他重大事项。董事会审计委员会负责监督指导内控合规风险管理工作,向董事会负责并报告工作,
主要职责包括:
1.指导公司内控合规风险管理体系和相关制度建设;
2.审议公司年度内控工作报告、年度合规管理报告、年度风险评估报告等文件;
3.审议公司风险管理总体目标、风险偏好、风险承受度以及风险管理策略和重大风险解决方案;
4.对内控合规风险管理体系的完整性和有效性进行评估和督导;
5.听取内控合规风险工作情况汇报;
6.完成董事会授权或安排的其他事宜。
(三)公司主要负责人是内控合规风险管理工作第一责任人,负责组织领导建立健全覆盖各业务领域、部门、岗位,涵盖各级企业的内控合规风险管理体系。
(四)公司经理层负责内控合规风险管理体系的建设与运行。总经理办公会负责研究和审议内控合规风险管理重大事项,主要职责包括:
1.组织实施公司董事会会议关于内控合规风险管理的决议;
2.组织推进内控合规风险管理体系的建设与运行;
3.批准重要的内控合规风险管理实施细则类制度;
4.组织推进内控合规风险管理信息化建设;
5.审议《内控合规风险管理手册》、《风险评估与内控合规评价手册》;
6.完成董事会授权的其他事项。
第七条 公司本部部门职责
(一)财务资产部是内控合规风险管理工作的职能部门,主要职责包括:
1.贯彻落实公司关于内控建设、风险管理的工作部署;
2.组织拟定并推进落实内控合规风险管理体系建设方案;
3.研究起草内控合规风险管理制度,组织编制《内控合规风险管理手册》、《风险评估与内控合规评价手册》等操作规范中内控建设及风险管理内容;
4.组织开展风险评估工作;
5.组织编制年度内控工作报告、年度风险评估报告等文件;
6.协调本部业务职能部门、督导各单位开展内控建设风险管理工作;
7.完成其他事项。
(二)办公室(法律事务部)负责全面组织和协调公司系统合规管理工作,为其他部门提供合规支持,主要职责包括:
1.贯彻落实公司关于合规管理的工作部署;
2.研究起草合规管理实施计划、制度及相关规定,组织编制《内控合规风险管理手册》等操作规范中合规管理内容;
3.组织编制年度合规管理报告等文件;
4.协调本部业务职能部门、督导各单位开展合规管理工作;
5.完成其他事项。
(三)公司审计部是负责全面组织、协调内控合规评价工作,主要职责包括:
1.审计部负责贯彻落实公司关于内控合规评价的工作部署;
2.研究起草内控合规评价实施计划、制度及相关规定,并组织编制《内控合规风险管理手册》、《风险评估与内控合规评价手册》等操作规范中内控合规评价内容;
3.组织编制内控合规评价报告等文件;
4.组织开展年度内控合规评价工作,对公司系统内控合规风险管理体系的健全性和有效性进行监督;
5.完成其他事项。
(四)公司监督部主要职责包括:
监督部依规对未履行或未正确履行内控合规风险管理职责、造成资产损失或其他严重不良后果的情形,进行追责问责。
(五)公司业务职能部门按照“业务谁主管、内控合规风险管理谁负责”的原则,承担本部门业务领域内控合规风险管理的责任,同时指定内控合规风险管理联络员,负责组织协调本部门相关工作,主要职责包括:
1.制订完善本业务领域各项管理制度和业务管控流程,并将内控体系管控要求嵌入制度流程和业务管理信息系统;
2.组织开展本业务领域的风险评估、隐患排查、合规审查,发布风险预警,制定并落实防控措施;
3.受理财务资产部、审计监督部门移交或建议的事项,督导相关单位改进并反馈整改落实情况;
4.完成其他事项。
第八条 各单位应结合实际建立健全内控合规风险管理组织体系和工作机制,明确公司各治理主体的职责,落实企业主要负责人为内控合规风险管理第一责任人的职责,筑牢内控合规风险管理“三道防线”,形成科学有效的职责分工和制衡机制,主要职责包括:
(一)贯彻落实公司内控合规风险管理工作部署;
(二)组织推进本单位内控合规管理体系建设,制订完善本单位内控合规风险管理操作规范;
(三)及时将法律法规等外部监管要求转化为企业内部规章制度并持续完善;
(四)在制度流程中嵌入内控体系管控要求;
(五)组织开展风险评估、合规管理和内控自评,接受外部监督评价,对各单位开展内控监督评价,并整改落实监督评价发现的问题;
(六)组织编制年度内控工作报告、年度风险评估报告等文件;
(七)组织推进本单位相关信息系统建设;
(八)开展内控合规风险管理文化宣贯和培训;
(九)完成其他事项。
第三章 内部环境
第九条 内部环境是实施内控合规风险管理的基础和前提。内部环境包括公司治理结构、组织架构、发展战略和规划、人力资源、内部审计、企业文化和社会责任等。
第十条 各单位应根据国家有关法律法规和公司章程,建立规范的公司治理结构、议事规则,明确内部组织机构设置权责分配,确保“三重一大”决策制度有效落实,确保员工正确履职尽责。
第十一条 各单位应制定和实施发展战略和规划,应把握新发展阶段,坚持新发展理念,融入新发展格局,贯彻国家战略,对接区域、专项等发展战略,顺应行业发展趋势,符合企业实际,着力推进高质量发展。
第十二条 各单位应制定和实施有利于企业可持续发展的人力资源政策,将职业道德修养、专业胜任能力等作为聘用和选拔员工的重要标准,将内控合规风险管理人才队伍建设和员工培训等作为人力资源政策的重要组成部分。
第十三条 各单位应将内控合规风险管理文化建设融入企业文化建设全过程,培育和推广内控合规风险管理文化,将内控合规风险管理作为经营理念和社会责任的重要内容,增强员工的内控意识、合规意识、风险意识并转化为员工的共同认识和自觉行为,营造稳健合规的经营环境。
第四章 风险评估与监测
第十四条 各单位应广泛、全面、持续收集与风险和风险管理相关的内外部信息,并对所收集的风险信息进行核查、提炼、分析和动态管理,提高信息的有用性。信息内容包括但不限于:
(一)战略风险方面:国内外宏观经济形势、产业政策、行业发展状况、国际化经营、改革与业务转型、科技创新、战略伙伴情况、资本运作、并购重组等信息;
(二)市场风险方面:电力、煤炭等商品行情、价格信息,市场竞争情况,客户信用和回款情况等信息;
(三)财务风险方面:企业现金流量、债务、金融衍生品交易、金融业务等财务信息,行业会计政策、会计估计信息,汇率、利率等融资政策和信息,行业平均指标、先进指标等信息;
(四)运营风险方面:企业经营效益信息,非主业投资、投资计划完成信息,安全生产事故、生态环保事故、网络安全等信息,重大自然灾害预警信息,国家和地方安全生产、节能环保政策信息,煤炭、物资采购与供应链信息,工程质量、进度控制等信息;
(五)法律与合规风险方面:与本企业相关的法律法规环境,法律法规、监管规定等调整变化情况,法律法规、监管规定等相关合规要求遵循情况,企业发生的重大法律诉讼案件、重大监管处罚等信息;
(六)其他风险方面:其他对企业经营发展造成影响的信息。
第十五条 各单位应进行风险分类,建立风险清单,统一风险名称、定义和描述,保证风险清单的系统性和科学性,并根据内外部形势变化和风险识别分析结果动态调整、不断改进。各单位应参照公司风险清单建立适合本企业的风险清单。
定期(每年至少一次)全面分析识别本部门业务领域面临的风险挑战,编制本业务领域的风险清单,经部门负责人审核同意后提交给财务资产部。
第十六条 各单位定期(每年至少一次)开展风险评估工作,根据风险评估标准,结合风险偏好,从是否存在风险、存在何种风险、风险发生可能性、对企业实现经营目标影响程度等方面,对风险进行评估,确定重大风险、重要风险、中等风险和低风险等四个等级,综合形成本单位年度风险评估报告。
各单位应根据要求和工作需要组织开展专项风险评估。在发展战略、资产收购、改制重组等重大经营事项决策前应开展专项风险评估、合法合规审查,并将风险评估报告及合法合规审查报告作为重大决策必备的支撑材料。对超出企业风险承受能力的事项不得决策,已经决策的事项不得组织实施。
第十七条 各单位应根据自身条件、经营特点和外部环境,围绕公司发展战略和经营目标,在进行风险评估基础上,确定风险管理策略。按风险类别和等级确定其风险偏好和风险承受度,选择风险承担、风险规避、风险转移、风险对冲、风险补偿、风险控制等适合的风险管理策略。
各单位在制订年度投资经营计划和预算时应充分考虑各种主要风险因素,并体现年度风险管理策略。各单位应根据年度投资经营计划和预算编制安排,完成风险管理策略的制定工作。
第十八条 各单位应根据风险管理策略,针对各类风险或每一项重大风险制定风险管理解决方案。风险管理解决方案包括风险解决具体目标、所涉及的管理及业务流程、所需资源,以及风险事件发生前、中、后所采取的应对措施等。
年度前十大风险解决方案由相关业务职能部门负责制订,经部门负责人审核同意后,由财务资产部统一提请公司董事会审批;其他风险解决方案由相关业务职能部门自行制订并组织实施。对于跨职能部门的风险应对,职能部门应从整体风险应对效果出发,联合相关业务职能部门制定风险管理策略及解决方案。
第十九条 各单位应研究建立健全风险监测指标体系,在重点领域开展风险量化工作,完善风险预警机制,对风险管理情况进行实时监控、及时预警。
相关业务职能部门负责本业务领域的监控指标设计、监测实施和报告等工作,于每季度结束后5日内将本部门业务领域内的年度前十大风险管理情况和监测指标运行情况提交给财务资产部。财务资产部负责对风险监测指标进行整体监控和汇总分析,及时通报有关情况或进行风险提示,督促落实风险应对预案。
第五章 内部控制活动
第二十条 各单位应将以风险管理为导向、以合规管理为重点的内控体系建设情况,编制形成《内控合规管理手册》《合规行为准则》等,并定期对内控体系的有效性、合理性进行复审,根据管理要求变化及发现的缺陷不断优化完善。
第二十一条 各单位应加强制度建设。梳理分析风险内控体系执行情况,认真查找内控体系的短板弱项,不断完善内控制度体系。根据外部监管新规定以及企业新业务、新变化、新问题,及时做好相关制度留、立、废、改工作,明确重要业务领域和关键环节的内控要求、风险应对措施及违规经营投资责任追究规定。加大制度执行监督检查力度,强化责任追究,增强制度刚性约束。
第二十二条 各单位应结合风险评估结果和风险监测情况,通过预防性控制与发现性控制、手工控制与自动控制相结合的方法,执行相应的控制措施,针对重大风险所涉及的各管理及业务流程,实施涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,把关键环节作为控制点,执行相应控制措施,将风险控制在可承受范围之内。
第二十三条 内部控制一般采取以下控制措施:组织机构和人员分工控制、制度流程控制、不相容职务分离控制、授权审批控制、计划预算控制、阳光交易控制、财产保护控制、营运分析控制、绩效考评控制、信息系统控制等,其中:
(一)不相容职务分离控制。全面梳理业务流程中所涉及的不相容职务,严格规范重要岗位和关键人员在授权、审批、执行、报告等方面的权责,实现可行性研究与决策审批、决策审批与执行、执行与监督检查等岗位职责的分离。
(二)授权审批控制。规范授权放权管理,完善授权放权管理制度,编制权限指引、责任清单或授权放权清单,加强重要岗位授权管理和权力制衡,明确各岗位办理业务和事项的权限范围、审批程序和相应责任,强化重要业务领域各岗位的职责权限和审批程序,形成相互衔接、相互制衡、相互监督的工作机制。
(三)计划预算控制。坚持计划预算引领,强化计划预算约束,开展运营分析,发挥资源配置作用,保障绩效目标实现。
(四)财产保护控制。保管财产文件资料,核对账表实情况,盘点实物资产和有价凭单,严格限制未经授权人员直接接触财产,确保资产安全。
(五)绩效考评控制。对单位内部各责任单位和全体员工工作绩效进行考评,并将结果作为确定薪酬、职务调整等的重要依据。
第二十四条 合规管理重点采取以下控制措施:外法内化、合规审查、合规咨询、合规培训、合规承诺、违规举报等,其中:
(一)外法内化。跟踪研究法律法规变化和监管动态,针对重点领域制定具体合规管理办法,及时将外部合规要求转化为内部规章制度。
(二)合规承诺。实行全员承诺制,制定并组织签订《合规承诺书》,实现合规思想认识、制度要求与执行效果的统一,增强企业合规管控能力。
(三)合规审查。将合规审查融入业务流程,规章制度制定、重大事项决策、重要合同签订、重大项目运营等经营管理行为必须纳入合规事项审查清单,未经合规审查不得实施。
事项简单、合规风险不大的合规管理事项,按一般合规管理事项管理,由业务职能部门负责审核;对于复杂且存在重大合规风险的事项、需提交决策会议决策的事项,按重要合规管理事项管理,由业务部门及相关部门审核;对于特别复杂且存在特别重大合规风险的事项,按特别重要合规管理事项管理,须提请相关会议进行审核。
(四)合规咨询。业务职能部门及其员工在履职过程中需要对关键领域或重要环节的法律合规事项进行咨询时,应主动向办公室(法律事务部)寻求支持。办公室(法律事务部)组织研究后及时答复或启动法律合规审核流程。对于复杂或专业性强且存在重大合规风险的事项,办公室(法律事务部)应按规定听取法律顾问意见,或委托专业机构召开论证会后再形成审核意见。
(五)合规培训。加强全员合规培训,强化境外、高风险业务等重点岗位人员合规培训。培育和推广合规文化,践行依法合规、诚信经营的价值观,不断增强员工的合规意识和行为自觉。
(六)合规报告。发生较大合规风险事件,相关业务职能部门应及时向合规管理负责人、分管领导报告。发生重大合规风险事件,应及时向公司报告。相关业务职能部门应对合规风险事件进行分级分类管理。
(七)违规举报。公司设立违规举报平台,对外公布举报电话、邮箱和信箱,员工、客户、第三方均有权利进行投诉。相关部门按照职责范围受理违规举报,并就举报问题进行调查和处理。
(八)违规问责。完善违规行为处罚机制。针对反映的问题和线索,及时开展调查,严肃追究违规人员责任。违规情节轻的,给予批评教育并责令整改;违规情节重的,按照公司相关违规处罚规定给予相应处罚;涉嫌犯罪的,移送相关国家机关处理。
第二十五条 各单位发生重大经营风险事件(重大内控缺陷),应执行公司《重要情况报告制度》《重大突发事件应急管理办法》等有关规定,在落实即发即报要求的同时,做好应急处置,最大程度化解风险、降低损失。
第六章 管理重点
第二十六条 各单位应根据外部环境变化,结合企业实际,在全面推进内控合规风险管理体系有效运行的基础上,突出重点领域、重点环节、重点部门和人员、重点单位的内控合规风险管理,切实防范风险。
第二十七条 各单位应在开展风险评估、应对、事件处置全过程管理的基础上,重点关注重大风险、重大风险事件和重大决策。完善重大风险防控机制,建立健全重大风险研判机制、决策风险评估机制、重大风险防控协同机制、重大风险防控责任机制。强化防范化解重大风险全过程管控,加强对经营环境变化的监测及趋势研判,提升对经营管理的缺陷和问题的整改及风险应对水平,有效做好企业间风险隔离,防止风险叠加、转化和联动,避免发生系统性、颠覆性重大风险。
第二十八条 内控管理应覆盖组织机构和人力资源管理、国资国企改革、投资管理、财务管理、资本运营、并购重组、采购管理、销售管理、生产运营管理、安全环保管理、工程建设管理、科技创新管理。同时加强对以下重点领域的合规管理:
(一)市场交易。完善交易管理制度,严格履行决策批准程序,建立健全自律诚信体系,突出反商业贿赂、反垄断、反不正当竞争,规范资产交易、煤炭购销、招投标等活动。
(二)安全环保。严格执行国家安全生产、环境保护法律法规,完善企业生产规范和安全环保制度,加强监督检查,及时发现并整改违规问题。
(三)质量管理。完善质量体系,加强过程控制,严把各环节质量关,提供优质产品和服务,加强大修、技改以及工程建设质量管理。
(四)劳动用工。严格遵守劳动法律法规,健全完善劳动合同管理制度,规范劳动合同签订、履行、变更和解除,切实维护劳动者合法权益。
(五)财务税收。健全完善财务内部控制体系,严格执行财务事项操作和审批流程,严守财经纪律,强化依法纳税意识,严格遵守税收法律政策。
(六)知识产权。及时申请注册知识产权成果,规范实施许可和转让,加强对商业秘密和商标的保护,依法规范使用他人知识产权,防止侵权行为。
(七)商业伙伴。对重要商业伙伴开展合规调查,通过签订合规协议、要求作出合规承诺等方式促进商业伙伴行为合规。
(八)并购重组。企业整体资产或企业股权的购买、兼并或无偿划转应符合国家产业政策、宏观调控政策和公司发展战略,严格遵守国家法律法规和政策,并购投资操作程序应依法合规。
第二十九条 加强对以下重点环节的内控合规管理:
(一)制度制定环节。强化对规章制度、改革方案等重要文件的合规审查,确保符合法律法规、监管规定等要求。
(二)经营决策环节。严格落实“三重一大”决策制度,细化各层级决策事项和权限,加强对决策事项的合规论证把关,特别盯防授权、分权、行权、决策、审批、会签等权力行使密切相关的重点环节,保障决策和权力运行依法合规。
(三)生产运营环节。严格执行合规制度,加强对重点流程的监督检查,特别盯防商务谈判、订立合同、结算、付款、交割、验收、注册、注销、银行密钥和印章使用等与权力行使密切相关的重点环节,确保生产经营过程中照章办事、按章操作。
第三十条 加强以下重点部门和岗位人员的内控合规管理:
(一)权力集中部门和人员。对权力集中的部门和岗位实行分事行权、分岗设权、分级授权,定期轮岗,强化内部流程控制,防止权力滥用;完善内部层级监督和专门监督,建立常态化监督制度;完善纠错问责机制,健全问责方式和程序。
(二)资金密集部门和人员。建立资金集中管控模式,推进业务、财务、支付一体化信息系统有效运行,强化现金流量预算管理,实现对大额特殊资金的逐笔监控。
(三)资源资产富集部门和人员。健全管理制度,建立先进的管理技术和方法,明确资源资产权属,量化资源资产金额,监控资源资产情况,规范资源资产交易。
(四)管理人员。促进管理人员切实提高内控合规意识,带头依法依规开展经营管理活动,认真履行内控合规管理职责,强化考核与监督问责。
第七章 信息应用与信息化建设
第三十一条 各单位应建立健全信息应用和报送制度。组织编制年度内控工作报告、年度合规管理报告、年度风险评估报告,履行审批程序后报送公司。公司财务资产部应组织各单位按要求开展年度内控工作报告、年度风险评估报告编制工作;公司办公室(法律事务部)应组织各单位按要求开展年度合规管理报告编制工作;公司审计部应组织各单位按要求开展年度内部控制评价报告编制工作。
(一)各单位于每年12月20日前将年度风险评估报告提请本单位董事会或类似决策机构批准后上报公司。
(二)各单位根据内控监督评价结果,形成年度内部控制工作报告,经本单位董事会或类似决策机构审议批准后,于每年1月20日前报送至公司,同时抄送本单位监事会(如有)。年度内控工作报告包括内控体系建设及执行情况、合规管理情况、风险管理情况以及年度监督评价情况等。
(三)各单位在做好重大经营风险事件即发即报的基础上,于次月8日前将重大经营风险事件月度报表报送至公司,重大经营风险事件处置或整改工作结束后2个工作日内向公司报送专项整改报告。
第三十二条 各单位应规范业务管理信息系统的审批流程及各层级管理人员权限设置,将内控控制措施嵌入业务管理信息系统,确保自动识别并终止超越权限、逾越程序和审核材料不健全等行为,逐步实现各项经营管理决策和执行活动可控制、可追溯、可检查,有效减少人为违规操纵因素。
第三十三条 按公司要求统筹开展内控合规风险管理信息化统一平台建设,有序推进内控合规风险管理信息化统一平台与ERP、办公自动化系统等信息系统的集成应用,逐步实现统一平台与业务信息系统互联互通、有机融合;积极探索利用现代信息技术,逐步实现风险实时监测、自动预警以及内控监督评价等在线监管功能。
第三十四条 公司内控合规风险管理信息化统一平台运行后,各单位依托统一平台,开展风险评估、风险监控预警、风险事件管理、监督评价、问题缺陷整改、报告报表编报等工作。
第八章 监督评价与改进
第三十五条 各单位应建立健全内部控制监督评价机制,统筹推进内控合规风险管理的监督评价工作,将内控合规风险管理体系建设及实施情况纳入内部控制监督评价范畴,制定定性与定量相结合的内控缺陷认定标准、合规评价标准和风险评估标准,规范监督评价方式、方法、内容、程序、整改落实和成果应用等事项。
第三十六条 内部控制监督评价方式包括:企业年度自评、上级年度抽评、审计评价、审计监督:
(一)企业年度自评。各单位每年以规范流程、消除盲区、有效运行为重点,对内控体系有效性进行全面自评。
(二)上级年度抽评。公司每年组织对所属企业内控体系有效性进行抽查评价,确保每3年覆盖全部企业。
(三)审计评价。对内控监督不到位、风险事件和合规问题频发的企业,由审计部门聘请具有相应资质的社会中介机构进行内控审计评价,出具内控审计报告。
(四)审计监督。审计监督部门对企业内控体系健全性和有效性开展审计监督。
第三十七条 内部控制监督评价重点内容:
(一)内控合规风险管理体系建设情况,主要包括:组织职责体系建设情况,各项管理工作机制建立健全情况,制度建设情况,信息系统建设情况等;
(二)内控合规风险管理体系执行情况,主要包括:各项管理工作机制和制度执行情况、信息系统操作和运行情况等;
(三)风险评估和应对化解效果,主要包括:风险评估的完整性和针对性,风险和风险事件报告和应对化解的及时性和有效性等;
(四)经营管理关键业务、重点环节以及改革重点领域、境外投资等情况;
(五)内外部监督检查反映的重大及共性问题。
第三十八条 内部控制监督评价技术方法包括:个别访谈、专题讨论、调查问卷、穿行测试、控制测试、抽样、比较分析等方法。实施中应综合考虑选择多种评价方法,获取充分、相关、可靠的证据对内部控制设计和运行的有效性进行评价。
第三十九条 内部控制监督评价程序一般包括制定评价工作方案、组成评价工作组、组织评价培训、开展现场评价、认定内控缺陷、交换评价意见、编报评价报告、制定整改方案、评价资料归档、监督评价成果应用等环节。
各单位根据需要可以聘请外部专业机构协助开展内部控制评价等工作。
第四十条 内部控制监督评价中发现的重大缺陷应由被评价单位通过相关程序予以认定,并及时采取应对措施。
第四十一条 各单位应统筹开展内部控制监督评价和内部控制审计监督工作,有效利用监事会(监事)、内部审计等的监督检查工作成果,以及外部审计检查、纪检监察、巡视巡察反馈问题情况,促进内控体系持续优化。
第四十二条 各单位应加强内控缺陷、合规问题和风险隐患整改,立行立改、举一反三,建立问题台账,实行销号管理,开展整改工作“回头看”。对整改不力的印发提示函或通报,进一步落实整改责任。
第四十三条 各单位应把内部控制审计监督评价结果作为改善管理、防控风险、完善制度、强化考核和责任追究的重要依据,并将内控合规风险管理考评结果纳入年度绩效考核。
第四十四条 各单位应强化责任追究,未履行或未正确履行内控合规风险管理职责,造成资产损失或其他严重不良后果等情形的,依照公司《违规经营投资责任追究实施办法》《管理人员处分规定(试行)》等制度规定,追究有关企业和人员责任。
第九章 附 则
第四十五条 本办法由公司财务资产部会同办公室(法律事务部)负责解释。
第四十六条 本办法自董事会审议通过之日起施行。
附:内控风险合规管理图
|