**
规章制度控制表
**风险管理及内部控制管理办法
1.目的
1.1建立健全**(以下简称“公司”)风险管理及内部控制体系。
1.2规范开展风险管理及内部控制评价工作。
1.3 持续促进企业治理和内部管理改进。
1.4合理保证企业运营效率和效果、合规经营、资产安全和信息真实。
2.适用范围
公司本部及所属各单位。
3.定义
3.1本制度所称风险,指不确定因素对企业实现经营目标的影响。
3.2本制度所称风险管理及内部控制,指企业为了实现经营目标,企业的董事会、监事会、经营管理层和全体员工按照特定规范和标准要求,识别、评估风险和采取适当控制措施的过程。其有特定的标准要素,主要载体是业务流程和制度,作用对象是企业治理和内部管理。
3.3本制度所称风险管理及内部控制体系,指企业为了规范开展风险管理及内部控制所设置的专门组织机构、配置的相关人力资源、制定相关管理制度和标准以及建立的信息系统
等方面的有机组合。
4 公司实施风险管理及内部控制的总体要求
4.1原则
4.1.1符合标准原则。企业在优化流程及制度、设置组织机构和岗位、划分权限和责任、开展专项工作等管理活动中,应当逐项对照风险管理及内部控制的标准框架,明确对应的控制要点,满足对应的管理要求。
4.1.2 全面性与重要性相结合的原则。风险管理及内部控制贯穿于各项业务活动全过程,突出重大事项、重要业务、重要机构和岗位的风险管理及内部控制。
4.1.3效率与制衡相结合的原则。企业在缩短管理层级和流程、扩大授权、提高运营效率时,应当在企业治理和内部管理中形成有效的制衡机制。
4.1.4成本效益原则。企业实施风险管理及内部控制要平衡成本和预期收益,适应经营规模、业务范围。
4.2公司风险管理及内部控制标准框架
4.2.1内部环境
内部环境的主要控制点包括:企业治理结构;机构设置及权责分配;人员素质和胜任能力;企业理念和价值观。4.2.2风险管理
风险管理的主要控制点包括:设定管理目标;对照目标开展检查工作,辨识差距和风险;开展评估分析工作,明确重
点和优先控制的风险;选择风险应对策略;制定、落实风险应对措施。
4.2.3控制活动
有效的控制活动要求手工控制与自动控制、预防性控制与过程控制和目标管理相结合,主要控制点有:分离不相容职务;按照权限管理和审批;预防利益冲突;计划管理;实施预算管理;开展定期分析;会计系统控制;财产保护控制;预警重大风险;处置突发事件;评价绩效。
4.2.4信息与沟通
信息与沟通的主要控制点包括:对信息的及时性、完整性、可靠性提出要求;明确信息收集、处理和传递的程序和时间;对重要信息传递做出特别规定;对内部和外部信息分类和分级,区别对待;应用信息技术提高效率;对舞弊行为的投诉与举报做出规定。
4.2.5内部监督
内部监督是提高执行力的有力手段,主要控制点包括:明确内部业务机构持续监督的职责;明确独立监督机构的职责和权限;明确监督的内容、频率和时间;明确缺陷认定标准;纳入考核体系;实施责任追究。
5 公司组织机构及人员
5.1公司层面
公司党组会为公司风险管理及内部控制的决策机构,公
司审计与风险管理委员会为风险管理的指导审议机构、审计监督机构。公司审计内控部是公司风险管理及内部控制专职机构,配置专职岗位和人员。
5.2公司属各单位
5.2.1应依据各单位企业治理结构和管理情况,明确本单位风险管理及内部控制的决策机构、指导审议机构、审计监督机构,指定归口管理部门负责风险管理及内部控制工作,并配置专职人员。
5.2.2专职岗位人员应当具备以下条件:3年以上管理工作经验;中级以上职称或相关专业职业资格;熟悉企业主要业务流程;具备良好的沟通协调能力;通过**公司风险管理及内部控制上岗资格认定。
5.2.3二级单位每半年向公司审计内控部报告本单位机构设置及专职岗位人员的配备和变动情况;风险专职岗位人员的配备和调整需事前征求公司审计内控部的意见。
6.职责和权限
6.1公司层面
6.1.1公司党组会
决策、审定公司风险管理及内部控制重大事项:
6.1.1.1风险管理及内部控制体系建设方案;
6.1.1.2 风险管理及内部控制评价报告;
6.1.1.3对重大事项的风险管理及内部控制评价意见。
6.1.2公司审计与风险管理委员会
6.1.2.1 指导公司风险管理及内部控制工作;
6.1.2.2 审议6.1.1 所列事项,并进一步明确提交党组会会议决定事项;
6.1.2.3 审议公司风险管理及内部控制年度计划;
6.1.2.4 审议公司风险管理及内部控制制度和标准。
6.1.2.5 负责审计监督**风险管理及内部控制实施情况,明确公司审计工作重点。
6.1.3审计内控部门
6.1.3.1 组织、协调公司风险管理及内部控制体系建设工作。
6.1.3.2 起草、制订公司风险管理及内部控制标准和制度。
6.1.3.3 制订公司风险管理及内部控制工作计划。
6.1.3.4组织评价公司及其所属各单位的风险管理及内部控制实施情况,按照公司决策机构或经营管理层的指示,见证和参与重大事项的计划、决策过程,跟踪执行情况,评价重大事项风险管理及内部控制情况。
6.1.3.5编报公司风险管理及内部控制报告,提出整改意见。
6.1.3.6会同公司各部门研究相关改进风险管理及内部控制的意见;
6.1.3.7依据风险管理及内部控制评价结果,研究提出公司审计重点。
6.1.3.8向公司党组会、审计与风险管理委员会、经营管理层
及时汇报风险管理及内部控制重大事项。
6.1.3.9建立公司风险事件库。根据**公司审计与内控部的要求及时上报相关资料、信息。
6.1.3.10指导、监督所属各单位开展风险管理及内部控制工作。
6.1.3.11监督所属各单位落实相关整改措施。
6.1.3.12组织培训风险管理及内部控制专职人员。
6.1.4本部各部室
负责评价和改进业务范围内风险管理及内部控制情况,负责业务范围内发生的风险事件的收集整理工作,对口指导、监督二级单位改进管理;受理审计内控部移送或建议的事项,反馈整改落实情况。将收集整理的风险事件及时向公司审计内控部备案。
6.2公司属各单位
6.2.1风险管理及内部控制工作对股东和董事会或上级主管单位负责。
6.2.2负责组织实施公司风险管理及内部控制的部署和要求。
6.2.3建立健全本单位风险管理及内部控制体系。
6.2.4制定本单位风险管理及内部控制制度和标准。
6.2.5接受公司对风险管理及内部控制工作的业务指导、监督。
6.2.6编制、实施、上报本单位风险管理及内部控制工作计
划。
6.2.7组织评价本单位风险管理及内部控制实施情况;经营管理层应当根据本单位风险管理工作需要,安排风险管理及内部控制机构参与重大经营事项的计划、决策过程,跟踪执行情况,评价重大事项风险管理及内部控制情况。
6.2.8编制上报本单位风险管理及内部控制报告和工作总结,提出改进建议。
6.2.9依据本单位风险管理及内部控制情况,监督落实整改情况,确定本单位审计工作重点。
6.2.10收集、编制本单位损失事件的风险分析,并及时上报公司审计内控部备案。
7公司风险及内部控制管理工作要求和程序
7.1管理工作原则
7.1.1统一管理和分级评价监督相结合的原则。按照公司管控定位,公司统一指导业务,公司负责对公司属各单位风险管理及内部控制情况实施评价和监督,公司属各单位负责对本单位风险管理及内部控制情况实施评价和监督。
7.1.2一致性原则。为确保实施和评价的客观性、可比性,风险管理及内部控制的标准及评价的标准应保持一致,并根据实际需要,及时修订完善。
7.1.3独立性原则。评价人员在评价和报告时应当独立、客观。
7.2管理工作程序
7.2.1制度和标准
公司及所属各单位应当遵循《公司风险管理及内部控制标准》、《公司风险管理及内部控制管理办法》的要求,及时制定本单位的相关制度和标准。
7.2.2工作信息与沟通
7.2.2.1公司属各单位应于每年2月20日前向公司审计内控部报送上年度《风险管理及内部控制评价报告》、上年度风险管理及内部控制工作总结及本年工作计划。
7.2.2.2.每年12月底,本部各部室应对职责范围内的业务进行风险管理及内部控制自我评价,确定主要风险,制定风险应对策略,采取有效控制措施,并将开展风险评估情况报公司审计内控部备查。
7.2.2.3公司根据**公司的要求上报年度《风险管理及内部控制评价报告》和工作计划。
7.2.2.4公司属各单位把发生的重大风险损失事件,及时编写风险事件分析材料,报公司业务管理部门和审计内控部备案。
7.2.2.5公司本部及所属各单位应当充分利用信息技术,提高风险管理及内部控制的效率和效果。
7.2.3评价与报告
7.2.3.1风险内控部门要按照经营管理层及计划任务的要求
开展风险管理及内部控制评价。
7.2.3.2实施评价5天前通知被评价单位。
7.2.3.3评价终结,编制完成初步评价报告,与被评价单位交换意见后,报分管领导审核同意后,将评价报告报送本单位经营管理层。根据评价报告向被评价单位下发评价整改意见,并监督执行。
7.2.3.4公司审计内控部组织评价公司属各单位风险管理及内部控制情况,按照规定程序向经营管理层、审计与风险管理委员会、党组会报告相关重大事项。
7.2.3.5公司属各单位按照相关标准和计划,制定风险管理及内部控制评价方案,规范开展风险管理及内部控制评价工作,按照规定程序向本单位决策机构、监督机构、经营管理层报告。
7.2.3.6风险管理及内部控制评价工作应当充分吸收专业人员参与,采取定性和定量相结合,提高评价的准确性。7.2.3.7风险管理及内部控制专、兼职机构有权查阅、复制有关资料,要求评价单位做出解释和说明,评价单位无正当理由不得拒绝。
7.2.3.8被评价单位对相关报告和意见如有异议,可在15日内向评价项目负责人书面提出,该项目负责人应组织研究和协调,在30日内做出书面答复。
7.2.3.9参与风险管理及内部控制评价的人员不得与被评价