深圳市江波龙电子股份有限公司
内部控制管理制度(2024年修订)
第一章 总则
第一条 为加强深圳市江波龙电子股份有限公司(以下简称“公司”)内部控制,提高企业经营管理水平和风险防范能力,促进公司规范运作和健康发展,保护投资者合法权益,根据《中华人民共和国公司法》《中华人民共和国证券法》《企业内部控制基本规范》《企业内部控制应用指引》《深圳证券交易所创业板股票上市规则》(以下简称“《创业板上市规则》”)《深圳证券交易所上市公司自律监管指引第 2号——创业板上市公司规范运作》(以下简称“《规范运作》”)等法律、法规、规范性文件和《深圳市江波龙电子股份有限公司公司章程》(以下简称“《公司章程》”)的规定,结合公司的行业及业务特点,制定本制度。
第二条 本制度所称内部控制是指公司董事会、监事会、高级管理层及全体员工为实现下列目标而提供合理保证的过程:
(一)合理保证企业经营管理合法合规;
(二)维护资产安全;
(三)保证财务报告及相关信息真实完整;
(四)提高经营效率与效果;
(五)促进企业实现发展战略。
第三条 公司的内部控制活动涵盖公司所有业务营运环节,包括但不限于:
控制环境类的组织架构、发展战略、人力资源、社会责任、企业文化,控制活动类的资金活动、采购业务、销售业务、资产管理、研究与开发、工程项目、业务外包,担保业务,控制手段类的财务报告、全面预算、合同管理、内部信息传递、信息系统等。
第四条 公司建立与实施内部控制,应当遵循下列原则:
(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖公司及其所属单位的各种业务和事项。
(二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项
和高风险领域。
(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(四)适应性原则。内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
第五条 公司运用信息技术加强内部控制,建立与经营管理相适应的各业务管理信息系统与风险管理信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。
第六条 公司建立内部控制实施的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。
第七条 公司委托会计师事务所对公司内部控制的有效性进行审计,出具审计报告。为公司内部控制提供咨询的会计师事务所,不得同时为公司提供内部控制审计服务。
第二章 公司内部控制各责任主体及其职责
第八条 董事会对公司内部控制制度的建立、健全和有效实施负责。
第九条 监事会监督公司董事、经理和其他高级管理人员在建立与实施内部控制过程中依法履行职责。
第十条 审计委员会负责审查公司内部控制,监督内部控制的有效实施和内部控制自我评价情况,审议公司年度内控工作计划和总结;审议公司年度内控自我评价报告;审议公司内控相关制度的制定、修订草案等。
第十一条 董事会秘书负责公司内部控制相关信息披露内容的真实、准确、及时、完整。
第十二条 由公司董事长领导公司内部控制体系建设,督促公司各职能部门和下属成员企业制定、实施和完善各自专业系统的内部控制制度。
第十三条 内部审计部门在公司治理方面,协助董事会对公司经营的重大风险进行识别和管理,监督公司改进风险管理与内部控制体系,具体职责包括以下:
(一)定期向董事会审计委员会、公司管理层汇报内部控制工作进程。
(二)在内控建设及评价方面,负责牵头起草和修订内部控制制度、内部控制评价标准;
(三)履行内控咨询与服务的职能,统筹安排集团的内控体系建设工作,制订集团内部控制体系建设和督导工作计划,对各单位内控建设进行监督、指导、检查和评价;
(四)负责组织公司年度内控自评工作。
(五)在内控审计方面,定期对集团各部门及直管企业的内部控制运行情况进行检查和审计;
(六)当公司各内部机构、分子公司的经营管理风险较大或者内部审计部门认为有必要时,可直接进行内控审计,出具内控审计报告。
第十四条 公司各部门及分子公司应根据本制度和相关规定,建立健全本单位的内部控制体系,定期对部门内控的运行情况进行检查。
第十五条 公司各部门的负责人为本部门内部控制的第一责任人,负责本部门的内部控制体系建设和运行的管理工作,配合公司内部审计部门对本部门内部控制进行检查、评价和审计。
第三章 公司的内部环境
第十六条 公司根据国家有关法律法规和公司章程,建立规范的公司治理结构、议事规则和授权问责体系,明确股东大会、董事会、监事会和经理层相应的决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。
第十七条 公司按照有关法律法规的要求,制定《公司章程》《董事会议事规则》《董事会审计委员会工作细则》等完善公司治理的制度、规定,建立较为合理的组织架构和健全的分级授权制度。《公司章程》对董事会、监事会、股东大会的权利、义务以及职责范围作出严格的规定。董事会、监事会、股东大会均要严格按照规定进行决策和运作,从而确保公司的各项规章制度得以贯彻执行。
第十八条 公司每年在内部网上公布最新的组织架构图,明确总部各部门职责。
第十九条 公司对各分子公司采用集权与分权相结合的管治方式:成员企业总经理拥有其职权范围内经营活动的安排权等经营者应有的权力;公司各直管企业的固定资产投资权、资金借贷权、对外担保权、会计核算制度和方法的制定权、
大宗物资统一采购权、分子公司负责人和财务、审计负责人的任免权和薪酬决定权等属于控股股东的权力采取集中管理或授权管理方式。第二十条 各分子公司须执行公司颁布的各项制度规范,必须根据公司的总体经营计划开展自身业务,接受公司各职能部门的专业指导、监督及支持。人力资源部门根据业务经营战略和目标,合理设计组织架构,配备人力资源,在选、用、育、留人才方面制定人力资本策略和实施计划。
第二十一条 人力资源部门协助管理层建立一个公平、开放的工作环境。鼓励员工制止违反公司规章制度的行为,对违反公司规章制度的行为要根据情节轻重对违反规定者分别给予口头警告、通报批评、经济处罚、降职和降薪、即时解除劳动合同等处分。在举报和调查中,不允许存在任何打击报复的行为。第二十二条 公司制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容:
(一)员工的聘用、培训、辞退与辞职。
(二)员工的薪酬、考核、晋升与奖惩。
(三)关键岗位员工的强制休假制度和定期岗位轮换制度。
(四)掌握重要商业秘密的员工离岗的限制性规定。
(五)有关人力资源管理的其他政策。
第二十三条 公司将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。
第二十四条 员工应当遵守员工行为守则,认真履行岗位职责。要求员工认真阅读和了解“员工手册”的内容并严格遵守公司的各项规章制度。同时,员工在入职时均需签订“保密协议”规范员工的行为,禁止不正当竞争、内部交易等违反法律法规及公司规定的行为。
第二十五条 公司加强企业文化建设,培育“务实本分、独立创新、联合创业”企业的核心价值观和社会责任感,倡导爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。
第二十六条 董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。
第二十七条 公司加强内部审计和干部监察工作,保证内部审计监察机构设置、人员配备和工作的独立性。
第二十八条 内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,应向公司董事会及其审计委员会、监事会和总裁报告;内部监察机构对监督检查中发现的、经举报发现的领导干部和关键岗位员工重大贪腐舞弊嫌疑,应向公司分管监察的领导报告,并按指示进行调查核实,出具调查报告,提出处理建议。第二十九条 公司加强法制教育,增强董事、监事、经理及其他高级管理人员和员工的法制观念,促进依法决策、依法办事、依法监督。
第四章 风险评估
第三十条 公司各部门及成员企业根据设定的控制目标,全面、系统、持续地收集相关信息,结合实际情况,及时进行风险评估。
第三十一条 公司各部门及成员企业识别内部风险,应当关注下列因素:
(一)董事、监事、经理及其他高级管理和掌控资源岗位人员的职业操守、员工专业胜任能力等人力资源因素。
(二)组织机构、经营方式、资产管理、业务流程、授权问责等管理因素。
(三)研究开发、技术投入、信息技术运用等自主创新因素。
(四)财务状况、经营成果、现金流量等财务因素。
(五)营运安全、员工健康、环境保护等安全环保因素。
(六)其他有关内部风险因素。
第三十二条 公司各部门及成员企业识别外部风险,应当关注下列因素:
(一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。
(二)法律法规、监管要求等法律因素。
(三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
(四)技术进步、工艺改进等科学技术因素。
(五)自然灾害、环境状况等自然环境因素。
(六)其他有关外部风险因素。
第三十三条 公司各部门及成员企业进行风险分析,应当以专业人员为主组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
第三十四条 公司各部门及成员企业应当综合运用风险规避、风险降低、风
险分担和风险承受等风险应对策略,实现对风险的有效控制。具体如下:
(一)风险规避是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。
(二)风险降低是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。
(三)风险分担是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。
(四)风险承受是企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
第三十五条 公司各部门及成员企业要结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
第五章 控制活动
第三十六条 公司各部门及成员企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:
(一)不相容职务分离控制;
(二)授权审批控制;
(三)会计系统控制;
(四)财产保护控制;
(五)预算控制;
(六)运营分析控制和绩效考评控制等。
第三十七条 不相容职务分离控制要求公司各部门及成员企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。
第三十八条 授权审批控制要求公司各部门及成员企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。公司应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程
序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。
第三十九条 公司各级管理人员应当在授权范围内行使职权和承担责任。公司各部门及成员企业对于重大的业务和事项,应当遵循公司相关的审议制度,任何个人不得单独进行决策或者擅自改变决策意见。第四十条 会计系统控制要求公司严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。第四十一条 公司各部门及成员企业依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。公司依据《会计法》《企业会计准则》《会计基础工作规范》等法律法规,制订财务相关的管理制度,对会计科目、会计报表、会计政策等作出明确规定,并针对各风险控制点建立会计控制系统,明确各会计岗位职责,不允许不相容岗位由一人兼任。确保会计核算的准确性。
第四十二条 公司制定《财务档案管理办法》,规范会计档案资料的交接、保管和查阅工作,杜绝数据资料毁损、散失和泄密的现象。
第四十三条 财产保护控制要求公司各部门及成员企业建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。严格限制未经授权的人员接触和处置财产。公司实行资金统一管理,严禁成员企业未经授权和批准对外借款和提供担保。
第四十四条 公司建立预算管理体系,强化会计的事前和事中控制。预算控制要求公司各部门及成员企业建立和实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
第四十五条 运营分析控制要求公司各部门及成员企业建立运营情况分析制度,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
第四十六条 绩效考评控制要求公司各部门及成员企业建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、
调岗、辞退等的依据。第四十七条 按照公司有关规定,公司执行对全资、控股子公司的控制政策及程序,并督促各控股子公司参照公司的内部控制制度实施。第四十八条 公司制定《关联交易管理制度》,明确关联交易应遵循诚实信用、平等、自愿、公平、公开、公允的原则,不得损害公司和其他股东的利益。第四十九条 公司制定《对外担保管理制度》,明确对外担保的内部控制应遵循合法、审慎、互利、安全的原则,严格控制担保风险。
第五十条 公司股东大会、董事会应按照《公司章程》中关于对外担保事项的明确规定行使审批权限,如有违反审批权限和审议程序的,按有关规定追究其责任。第五十一条 公司制定《募集资金管理制度》,募集资金的使用应遵循规范、安全、高效、透明的原则,遵守承诺,注重使用效益。第五十二条 公司制定《对外投资管理制度》,对投资的审批权限、审批程序、决策过程以及责任追究做出明确规定。公司在《公司章程》或其他规章制度中明确股东大会、董事会对重大投资的审批权限,制定相应的审议程序。重大投资的内部控制应遵循合法、审慎、安全、有效的原则,控制投资风险、注重投资效益。
第五十三条 公司各部门及成员企业应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。 销售、采购、技术、生产、投资、企管、人力资源等业务职能部门,要根据自身专业系统的特点和业务需要,制定各项业务管理规章、操作流程和岗位手册,并针对各个风险点制定必要的控制程序。
第六章 信息与沟通
第五十四条 公司建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。公司各部门及成员企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息;可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。各单位、各部门要对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。
第五十五条 公司各部门及成员企业应当按有关规定,将内部控制相关信息在内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。第五十六条 为确保信息及时有效传递,实现过程的有效控制,公司建立了包括电话、电子邮件、OA或门户系统、书面文件等多种渠道的内部信息传递体系,适用于各层次、各职能部门之间所有员工的交流,也适用于公司与外部相关方之间的沟通与交流,以确保信息沟通及时并有效的履行职责。第五十七条 对外信息披露管理:为进一步明确公司内部有关人员的信息披露职责范围和保密责任,确保信息披露真实、准确、完整,公司制定了《信息披露管理制度》对公司信息的披露进行规范管理。
第五十八条 公司利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
第五十九条 公司制定了信息技术中远期战略规划,明确了信息安全政策,内容包含对信息技术风险的确认和评估,为信息技术环境,包括应用程序、数据库和信息技术基础设施的信息安全提供指南。每年召开专题会议讨论重大信息技术策略,确保信息技术发展与业务战略保持一致。
第六十条 公司由内部审计部门定期开展信息系统审计工作。
第六十一条 公司建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。
第六十二条 公司将下列情形作为反舞弊工作的重点:
(一)索取、收受贿赂、回扣、佣金及其他不当利益;
(二)贪污、挪用、窃取集团/公司资产,截留、侵占集团/公司收益,使用集团/公司资源或资产牟取个人利益;
(三)在职务活动中向关联利益方(本人、直系亲属、姻亲、三代以内血亲等亲属控股、参股或就任关键管理人员的企业或经济实体)输送利益的,包括但不限于以非正常价格向关联利益方采购或销售商品/服务;
(四)以自己的名义或假借他人名义对集团/成员企业的客户、业务关联单位或商业竞争对手进行直接投资,借职务之便向投资对象提供利益;
(五)领导个人或指使下属利用私开银行账户将集团/公司资金转移,不入公账而私设小金库,或虚报冒领,骗取集团/公司资金;
(六)将可使公司合法获利的商业机会转移给其他方;
(七)将公司商业或技术秘密泄露给其他方;
(八)伪造、变造或提供虚假的公司文件、数据、信息、资料等;
(九)故意隐瞒、错报交易事项,使信息披露存在虚假记载、误导性陈述或重大遗漏;
(十)严重违反集团/成员企业有关财务开支规定,擅自动用企业资金,或擅自提高福利奖励补贴、费用标准、自定薪酬,挤占或挪用专项经费等;
(十一)以获取商业订单需要为由私设小金库,向相关利益方行贿或变相行贿的做法;
(十二)其他损害集团/成员企业经济利益或以不当方式谋取经济利益的行为。
第六十三条 公司建立举报投诉和举报人保护制度《反贿赂反腐败管理制度》,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为公司有效掌握信息的重要途径。
第七章 内部监督
第六十四条 公司根据《企业内部控制基本规范》及其配套指引,制定内部控制监督相关制度,明确内部审计机构和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。
第六十五条 内部监督分为日常监督和专项监督。日常监督是指公司对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在公司发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。
第六十六条 公司制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及
时向审计委员会、监事会或者经理层报告。第六十七条 内部控制缺陷包括设计缺陷和运行缺陷。各单位、各部门应当跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任单位或者责任人的责任。第六十八条 内部控制建设与运行的监督由公司内部审计部门负责实施。第六十九条 审计内控人员应具备履行其职责所需的专业知识和技能,具有较高的政策法律及职业道德水平,在内控审计工作中必须信守公平、公正、客观、保密的原则。
第七十条 公司审计监察工作包括但不限于:财务收支审计、经济责任审计、内控审计、产品研发项目审计、专项审计、咨询服务和干部监察等。对成员企业至少每三年进行一次现场审计。审计内容包括业务经营活动、内部控制、会计核算及财务管理、绩效评价、信息系统等。第七十一条 每年初内部审计部门提交本年内部控制工作计划和上年内部控制的自我评价报告审议稿,对公司的风险管理、内部控制提出建议,报经审计委员会审核后送董事会核准。公司董事会结合内部监督情况,每年对内部控制的有效性进行自我评价,出具内部控制自我评价报告。第七十二条 各部门及成员企业内部控制自我评价的方式、范围、程序和频率,由公司根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等确定。国家有关法律法规另有规定的,从其规定。第七十三条 各部门及成员企业以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。公司将内部控制制度的健全完备和有效执行情况,作为对总部各部门、各子公司的绩效考核重要指标之一;对执行内部控制流程不力和违反内部控制制度的有关责任人,将根据公司的相关规定予以处罚。
第八章 附则
第七十四条 本制度由公司内部审计部门会同其他有关部门解释。
第七十五条 本制度的配套办法由公司内部审计部门会同其他有关部门另行制定。
第七十六条 本制度自董事会审议通过之日起实施。
深圳市江波龙电子股份有限公司
2024年4月