宁夏西部创业实业股份有限公司
内控风险管理实施办法
第一章 总则
第一条 为规范和加强宁夏西部创业实业股份有限公司(以下简称公司)内控风险管理工作,按照“聚焦主责主业、提高监督效能”的整体工作思路,贯彻“管理制度化、制度流程化、流程信息化”的内控文化理念,构建全面、全员、全过程、全体系的风险防控机制,实现“强内控、防风险、促合规”的管控目标,结合公司发展战略和管理实际,制定本办法。
第二条 本办法所称内控风险管理,是指公司为实现战略和经营管理目标,开展风险与控制识别、评估,以获悉所面临的风险及其类别和等级,根据风险偏好和风险容忍度,分级分类制定风险应对策略,通过实施一系列制度、程序和方法,对相应业务中的风险实施有效管控,并采用风险监控和内控监督等手段,推动风险事项应对和控制缺陷整改,以规避或减少风险损失,为实现公司总体目标提供合理保证的动态管理过程。
本办法所称内部控制,是指由公司董事会、监事会、经理层、公司各职能部门和全体员工共同实施的、旨在实现控制目标的过程。
本办法所称风险,是指未来的不确定性可能对公司及子公司实现战略和经营目标产生的影响。
第三条 内控风险管理目标:
(一)确保公司经营管理合法合规。
(二)确保公司资产安全,实现国有资产保值增值。
(三)确保公司内外部,尤其是公司与各利益相关方之间真实、有效的信息沟通,财务报告真实可靠。
(四)确保公司内控风险管理与战略目标、经营目标相匹配,保障公司经营管理重大措施有效贯彻执行,提高经营活动的效率效果,降低目标实现的不确定性。
第四条 内控风险管理遵循以下原则:
(一)全面性与重要性原则。内控风险管理应涵盖公司战略发展、业务运营和管理支持的各个方面,贯穿决策、执行和监督全过程。在全面管控的基础上,聚焦关键业务、改革重点领域、资本运营重要环节等,加强对重大风险的管控。
(二)领导负责与全员参与原则。内控风险管理应落实到岗位职责,公司主要领导是本级内控风险管理的第一责任人,公司各职能部门及子公司对职责范围内的事项负内控风险管理主体责任,各级管理人员及全体员工是主要参与者。
(三)业务结合与权力制衡原则。坚持管业务必须管风险,内控风险管理要求应融入业务管理全过程;公司应在治理结构、机构设置、权责分配、业务流程等方面形成相互衔接、相互制约、相互监督的制衡机制,防止徇私舞弊、违法违纪等现象的发生。
(四)强化监督与持续改进原则。公司应通过全面自我评价、
检查评价、内控专项审计、外部审计监督等方式,及时发现重大风险隐患、内控缺陷及合规问题等,强化整改落实,实行动态跟踪,持续优化内控风险管理体系及运行机制。
(五)动态适应与成本效益原则。内控风险管理应主动适应内外部环境变化,始终与公司经营规模、业务范围、竞争能力和管理水平保持匹配。充分权衡管理成本与预期效益,在风险应对策略和控制措施的选择方面以适当的成本实现有效的控制。
第五条 本办法所称内控风险管理主要包括以下工作:
(一)风险与控制识别。
(二)风险评估。
(三)风险与业务控制。
(四)内控评价。
(五)管理改进。
(六)监控与报告。
第六条 本办法适用于公司各职能部门及子公司。
第二章 组织与职责
第七条 公司党委领导全公司内控风险管理工作,研究审议“三重一大”决策范围内的内控风险管理事项。公司班子成员负责组织协调分管领域的内控风险管理工作。
第八条 公司董事会是内控风险管理的决策和监管机构,督导内控风险管理工作,主要履行以下职责:
(一)贯彻落实国家和上级机构关于公司内控风险管理的相关要求,遵守和执行内控风险管理的各项规定。
(二)批准公司内控风险管理基本制度,确定公司总体风险偏好、风险承受度,督导公司内控风险管理体系的建立与实施。
(三)批准公司年度内控体系工作报告、年度重大风险评估报告等重要文件。
(四)批准公司内控风险管理其他重大事项。
第九条 公司审计委员会是公司董事会下设的专业委员会,主要履行以下职责:
(一)完成董事会委派的有关内控风险管理的监督指导工作,对内控风险管理体系建设提出建议,并与经理层进行沟通。
(二)审议公司内控风险管理基本制度、风险偏好、风险承受度,督导内控风险管理体系的建设和运行。
(三)审议年度内控体系工作报告、年度重大风险评估报告等重要文件。
(四)审议公司内控风险管理其他重大事项。
董事会审议决定上述事项前,须先经审计委员会审议,并履行公司党委会前置程序。
第十条 公司董事长是内控风险管理第一责任人,负责领导建立健全并有效运行覆盖各业务领域、各组织机构、各工作岗位的内控风险管理体系。
第十一条 公司经理层是内控风险管理的责任主体,负责内控风险管理的建设和实施工作,主要职责:
(一)贯彻落实公司党委会议、董事会会议关于内控风险管理的相关决议,遵守和执行内控风险管理的各项规定。
(二)审核公司内控风险管理基本制度,督导内控风险管理体系的建设和运行。
(三)审核公司重大决策、重大风险、重大事件和重要业务以及重大决策的风险评估报告。
(四)审批公司重大风险季度监控报告。
(五)审批内控风险管理评价结果。
(六)组织推进公司内控风险管理信息化建设与应用工作。
(七)完成董事会授权的其他重要事项。
第十二条 审计风控部是公司内控风险管理工作的牵头部门,负责内控风险管理牵头协调工作,主要职责:
(一)组织拟订公司内控风险管理基本制度等内控风险管理体系文件,明确风险偏好、风险承受度和内控风险管理要求,督导各子公司建立健全内控风险管理体系和运行机制,有序开展内控风险管理工作。
(二)组织开展公司风险与控制识别、风险评估、风险与业务控制、内控评价、管理改进、监控与报告等工作。
(三)督促公司各职能部门及子公司对统建风险监控预警指标异常、报警状态及时响应,采取必要的应对措施。
(四)编制公司年度内控体系工作报告、年度重大风险评估报告、重大风险季度监控情况等重要文件。
(五)贯彻落实公司内控风险管理信息化建设与应用工作。
(六)对公司各职能部门及子公司的内控风险管理工作进行考核评价。
第十三条 审计风控部负责内部控制评价的组织实施工作,主要职责:
(一)组织公司及各子公司开展内控风险管理体系有效性检查评价和内控专项审计,汇总评价结果,跟踪监督缺陷整改情况。
(二)组织公司各职能部门及子公司接受上级审计部门的检查评价和内控专项审计,对内控缺陷制定整改方案并及时落实。
(三)对公司各职能部门及子公司的内控评价相关工作进行考核评价。
第十四条 公司各职能部门及子公司按照“业务谁主管、内控风险谁负责”原则,依据职责分工,承担各自业务领域的内控风险管理组织与实施工作,履行内控风险管理主体责任。各职能部门及子公司主要负责人是内控风险管理工作的第一责任人,指定一名内控风险主管和一名内控风险管理联络员,负责组织开展各自业务领域的内控风险管理工作。主要职责:
(一)贯彻落实上级机构和公司内控风险管理的有关规定,制订完善本业务领域各项管理制度和流程。
(二)确定各自业务领域的风险偏好、风险承受度,组织开展各自业务领域的风险与控制识别、风险评估、风险与业务控制、内控自我评价、管理改进、监控与报告等工作,建立完善内控风险矩阵和评价标准,确保管控目标的实现。
(三)建立完善各自业务领域风险监控预警指标体系,针对风险监控预警指标异常、报警状态等情况应及时响应,并采取必要的应对措施解除异常预警。
(四)如实报告各自业务领域年度内控体系工作报告、年度重大风险评估报告、重大风险季度监控情况等重要文件,按要求报送审计风控部。
(五)按照公司统一安排,开展各自业务领域内部控制自我评价工作,出具报告。受理审计风控部移交或建议的事项,及时改进并反馈整改落实情况。
第三章 风险与控制识别
第十五条 风险与控制识别是指公司依据战略目标和经营管理目标,及时收集各类与风险相关的信息,结合公司所处的内外部环境,有效识别影响公司战略和经营管理目标的各类风险,并结合内部制度识别相应的控制措施和责任单位,构建和完善内控风险矩阵,为内控风险管理工作奠定基础。
第十六条 公司各职能部门及子公司应全面系统持续收集与风险相关的内外部信息,并对收集的初始信息进行必要的筛选、提炼、对比、分类、组合,以提升信息的有效性。
风险信息内容主要包括历史数据和未来预测,风险类型主要包括但不限于:
(一)战略风险方面:国内外宏观经济形势、产业政策、行
业发展状况、科技创新等信息。
(二)市场风险方面:市场竞争情况、价格及供需变化、产业链上下游情况、主要客户和供应商信用情况、物资供应情况等信息。
(三)财务风险方面:行业会计政策、汇率利率等融资政策、盈利能力、偿债能力、现金流、财务管理等信息。
(四)运营风险方面:给公司造成损失的自然灾害风险、与质量、安全、员工健康、环境保护等相关业务流程或环节、市场营销、工程项目管理、资本运作和并购重组等信息。
(五)法律合规风险方面:法律法规和监管要求等调整变化情况、经营业务合法合规情况、存在引发重大法律案件可能性等信息。
第十七条 公司各职能部门及子公司应根据收集的风险信息,查找各项业务和经营管理活动中有无风险,以及存在何种风险,并对辨识出的风险进行描述,分析风险内外部成因,以及可能对财务、安全、环境、声誉和合规等方面产生的影响。
第十八条 公司各职能部门及子公司应对已识别的风险事项,结合外部监管要求和内部管理规定、工作手册、操作指引等文件,识别相应的控制措施并进行描述。控制措施应明确控制要求、控制责任部门、控制频率和控制方式等内容。
第十九条 公司应对风险与控制信息的收集和识别实行动态管理。根据自身发展战略和经营管理目标、内外部环境、组织架构调整、制度体系与合规要求更新、内控风险典型案例分
析等情况,定期或不定期组织对内控风险矩阵进行动态更新和维护。
第四章 风险评估
第二十条 风险评估是指公司各职能部门及子公司对于识别出的风险进行分析和评价,分析风险发生的可能性和条件,评估风险对公司实现目标的影响程度。
第二十一条 公司统一组织开展下一年度全面风险评估,制定评估方案,主要包括风险评估的范围、内容、方法、工作安排和要求等。
公司各职能部门及子公司应按照公司确定的评估方案规范实施风险评估工作,形成重大风险评估报告,各子公司需经营决策机构审议通过后报送公司审计风控部;公司各职能部门需经部门负责人、分管领导审核后报送公司审计风控部。
审计风控部负责与相关部门经过汇总分析、综合考量,按照风险发生的可能性及其影响程度等,评定风险等级,确定公司年度重大风险,编制公司年度重大风险评估报告,经董事会审议通过。
第二十二条 风险评估方法包括定性方法和定量方法。定性方法可采用问卷调查、集体投票、管理层访谈等方法;定量方法可采用风险矩阵法、决策树法、统计推论等方法(定量评估标准见附件1)。
风险等级分为三级:一般风险、重要风险和重大风险。一般风险,指发生可能性较低且影响程度较小的风险;重要风险,指发生可能性与影响程度介于一般风险与重大风险之间的风险;重大风险,指发生可能性较高且影响程度较大的风险。
第二十三条 审计风控部负责牵头组织,公司各职能部门及子公司积极配合,对风险评估工作实行动态管理,在年度全面风险评估的基础上,结合新形势、新要求对原有风险的变化和新增风险的水平及时掌握,适时调整风险管理的优先顺序。
第五章 风险与业务控制
第二十四条 风险与业务控制是指公司根据风险评估结果,结合风险偏好和风险承受度,确定风险应对策略,制定内部控制目标,明确组织责任,采取适当的控制措施,对各种业务和事项实施有效控制。
风险应对策略一般包括:风险规避、风险降低、风险分担和风险承受。
控制措施一般包括:组织机构和人员分工控制、不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、内部报告控制、业务程序控制、签字背书控制、审查备案控制、透明交易控制、信息系统控制、绩效考评控制和监督控制等。
第二十五条 控制措施应当高度关注重点领域、关键环节
和重要岗位的管控,其中:
(一)重点领域包括人力资源管理、战略管理、投资管理、财务管理、产权管理、资本运营、采购管理、市场与销售、各子公司运营管理、安健环管理、科技管理、法律合规等与人、财、物、资源调配密切相关的领域。
(二)关键环节包括授权、批准、审核、决策、拟办、会签、订立合同、结算、付款、交割、交易、验收、注销、用印、监督、考评等与权力行使密切相关的环节。
(三)重要岗位包括领导班子成员,职能部门主要负责人,专项工作分管负责人,财务、资金、采购、销售、投资并购、资本运作、物资管理、信息系统权限管理、印章管理等涉及公司决策和行权的重点岗位管理人员及工作人员。
第二十六条 公司各职能部门及子公司应定期总结和分析风险与业务控制的有效性和适应性,风险与业务控制应与企业经营规模、业务范围、竞争状况和风险等级等相适应,并随着内外部环境的变化及时加以调整。
第六章 内控评价
第二十七条 内控评价是指对内部控制的有效性进行评价,客观、真实、准确揭示经营管理中存在的缺陷,督促和帮助企业持续优化内控体系的过程。内控评价包括自我评价、检查评价和内控审计评价,具体实施参照公司《内部控制评价管理办
法》要求执行。
第二十八条 内控自我评价工作按照上市公司要求,公司统一安排部署,以规范流程、消除盲区、有效运行为重点,对各自业务领域控制活动的实际执行情况和效果进行自查,深入排查存在的内控缺陷,结合未达标控制要求及其成因、表现形式和影响程度,进行综合分析和全面复核后,根据缺陷认定等级和标准,进行缺陷认定,汇总公司《内控缺陷汇总表》,形成评价报告,全面抓好整改落实,促进公司内控体系优化提升。
第二十九条 检查评价和内控审计评价是由上级机构或聘请第三方中介机构等对被评价对象实施的内控监督评价。公司各职能部门及子公司应积极配合迎检工作,按要求做好相关业务访谈、资料提供、缺陷认定、缺陷整改等工作。
第三十条 公司根据内控自我评价、检查评价和内控审计评价结果,以存在内控自我评价“零缺陷”、内控风险管理不到位、重大风险事件和合规问题频发等情况为重点对象,组织开展内控专项审计,形成专项审计报告,并将审计结果纳入公司年度内控体系工作报告。
第七章 管理改进
第三十一条 管理改进是指公司对内控风险管理评价和监控中发现的内控缺陷,制定管理改进计划并持续跟踪完善,形成内控风险管理促进业务提升、业务发展推动内控风险管理体
系优化的长效联动机制。
第三十二条 公司应建立缺陷整改机制。各职能部门及子公司针对业务范围内发现的内控缺陷,制定整改工作方案,明确整改责任、整改措施和完成时限等,严格落实整改责任,完善管理制度,规范权力运行,整改情况按要求由公司审计风控部统一收集汇总。
第八章 监控与报告
第三十三条 内控风险监控与报告是对公司风险变化与内控运行情况进行全程持续监测,建立连接各治理主体、各职能部门及子公司的内控风险管理信息沟通渠道,对公司内控风险管理情况进行实时监控、及时预警、准确沟通与完整报告,促进内控风险管理有效运行。
第三十四条 公司各职能部门及子公司按照风险监控预警指标体系建设要求,结合实际,建立风险监控预警指标,设置合理的风险预警区间,形成风险监控预警指标库,并完善风险监控预警机制明确风险监控预警体系的各方责任主体,对风险监控预警指标进行跟踪,及时分析指标异常或报警原因,采取应对措施。预警指标响应情况纳入内控风险管理考核评价。
第三十五条 公司按照监管要求,结合实际,明确内控风险管理信息收集、处理和传递程序,确保信息及时沟通。内控风险管理报告分为定期报告和不定期报告。定期报告包括年度
内控体系工作报告、年度重大风险评估报告、季度重大风险监控报告;不定期报告包括重大经营风险事件报告、专项风险评估报告、风险预警响应处置报告、风险提示函等。
第三十六条 发生中央企业重大经营风险事件报告工作规则中所涉及重大经营风险事件时,按照相关要求及时报告,不得不报、迟报或谎报。
第九章 管理信息系统
第三十七条 公司依托集团公司内控风险管理信息系统开展风险与控制识别、风险评估、内控评价、缺陷整改、监控预警、报告报送与审批、年度考核评价等相关工作,并逐步深化应用风险监控指标的实时监测和自动预警、控制自动化评价等功能,促进内控风险管理工作由定性向定量转化、由经验向模型转化。
第十章 内控风险管理文化
第三十八条 公司培育具有内控风险管理意识的企业文化,促进公司内控风险管理水平、员工内控风险管理素质的持续提升,以保障公司整体战略目标的实现。
第三十九条 公司各级领导人员在内控风险管理文化培育工作中应积极发挥表率作用,重要业务和风险控制的管理人员
和操作人员应成为内控风险管理文化培育和践行的骨干力量。
第四十条 公司全体员工应牢固树立内控风险管理意识,强化管理制度化、制度流程化、流程信息化的内控风险管理理念,将内控风险管理融入经营管理的全过程,将内控风险管理意识内化为员工的自觉行动,促进公司建立系统、规范、高效的内控风险管理体系。
第四十一条 公司建立内控风险典型案例库,经营管理部、财务金融部、法律证券事务部、各子公司每年至少选择1个典型案例报送公司审计风控部,并分别从风险因素、影响后果、应对策略和方案、方案执行成效等要素进行深入分析,将典型案例分析成果与内控风险管理各项工作充分联动,有效推动风险识别与评估、管理改进等工作。
第十一章 绩效考核与责任追究
第四十二条 审计风控部依据公司制定的《内控风险管理工作考核评价标准》对各职能部门及子公司内控风险管理工作进行考评,考评结果纳入经营业绩考核。
第四十三条 公司建立健全内控风险管理责任追究机制,强化责任追究,未履行或未正确履行内控风险管理职责,造成资产损失或其他严重不良后果等情形的,依据《宁夏西部创业实业股份有限公司违规经营投资责任追究实施办法》和相关规定,追究有关单位和人员的责任。
第十二章 附则
第四十四条 本办法由公司审计风控部负责解释。第四十五条 本办法自董事会审议通过之日起施行。原《宁夏西部创业实业股份有限公司全面风险管理办法》(西创发〔2023〕19号)同时废止。
附件:宁夏西部创业实业股份有限公司定量风险评估标准
附件
宁夏西部创业实业股份有限公司定量风险评估标准
一、风险大小(R)=可能性分值(P)×影响程度分值(C)
(一)风险发生可能性评分标准(P)
| 分值标准 | 1 | 2 | 3 | 4 | 5 |
| 发生可能性 | 小于等于10% | 大于10%小于等于30% | 大于30%小于等于70% | 大于70%小于等于90% | 超过90% |
| 极低 | 低 | 中 | 高 | 极高 | |
| 发生频率 | 一般情况下不会发生。例如,企业可能每5年以上发生一次该类风险。 | 极少情况下才发生。例如,企业1-5年内可能至少一次发生该类风险。 | 某些情况下发生。例如,企业1年内可能偶尔发生该类风险。 | 较多情况下发生。例如,企业1年内可能多次发生该类风险。 | 常常会发生。例如,企业1年内可能频繁发生该类风险。 |
(二)影响程度分值标准(C)
| 分值标准 | 1 | 2 | 3 | 4 | 5 |
| 影响程度 | 极低 | 低 | 中 | 高 | 极高 |
| 造成的直接经济损失(万人民币) | <0.5 | 0.5-20 | 20-100 | 100-300 | >300 |
| 公司声誉及形象影响 | 负面消息在当地或企业内部局部传播未引起媒体报道或者监管机构关注,对企业声誉影响轻微,可由涉事单位短期内自行消除 | 负面消息在县市级范围内产生影响,引起当地少数媒体的报道,引起当地监管机构关注,对企业声誉造成较小影响。 | 负面消息在地市级范围内产生影响,引起当地少数媒体的报道,对市场份额造成较小影响,地市级监管机构介入处理,对企业 | 负面消息在地市级范围内产生重大影响,引起地市级及以上媒体的负面报道,市场份额发生下滑,地市级监管机构作出严厉处罚,对企业 | 负面消息在省级及以上范围内产生广泛影响,引起省级及以上媒体的负面报道及网络媒体转载传播,市场份额因此显著下降, |
,可忽略不计。
| ,可忽略不计。 | 声誉造成中等损害。 | 声誉造成较大损害。 | 或引起省级及以上监管机构介入,对企业声誉造成明显的不可逆的损害。 | ||
| 人员伤亡 | 发生不安全事件、故障,但未造成人员受伤。 | 导致少数人轻伤。 | 导致1人以上重伤或多人轻伤的事故。 | 导致1人以上死亡或3人以上重伤。 | 导致3人以上死亡或10人以上重伤(含10人) |
| 环境影响 | 对环境或社会造成的影响可以忽略不计,未引起政府部门关注,可以不采取任何措施。 | 因环保问题导致其被当地政府部门警告;对环境或者社会造成短暂或轻微的影响;企业需要通知政府有关部门;当地生态体系可以一段时间内自行修复或短期内可由涉事单位自行消除。 | 因环保问题被地市级政府部门通报批评、处罚或停业整改等;对环境或社会造成中等影响;应执行补救措施。 | 因环保问题被省级政府部门通报批评、处罚或停业整改等;对环境造成重大影响;引发个别投诉事件;应执行一定程度的补救措施。 | 因环保问题被省级及以上政府部门通报批评、处罚或停业整改等;造成环境损害,需相当时间才能恢复;引发小规模公众投诉事件;应迅速执行有效的补救措施。 |
| 合规影响 | 违规行为受当地监管机构提醒,不会遭受处罚。 | 违法违规行为受到县市级监管机构警告,或被处以小额罚款,主要责任人员受到警告。 | 违法违规受到地市级监管机构处罚,并被处以小额罚款,主要责任人员处以治安管理处罚或罚款。 | 违法违规行为受到地市级监管机构处罚,并被处以大额罚款,主要责任人员被追究刑事责任。 | 违法违规行为受到升级及以上监管机构处罚,并被处以巨额罚款,主要责任人员被追究刑事责任。 |
二、风险评估应区分出重大风险、重要风险和一般风险。
原则上以风险值计算为基础,对所有的风险按照风险大小进行排序和分级。
风险分级表
| 风险分级 | 一般风险 | 重要风险 | 重大风险 |
| 风险大小 | 1-8(含本数) | 9-15(含本数) | 16-25(含本数) |
(一)风险大小R<9分,为一般风险,该风险等级企业可以承受,无需进一步应对。
(二)9≤风险大小R<16分,为重要风险,该风险需要考虑实施风险应对的成本和收益选择适宜的风险应对策略;
风险大小R≥16分,为重大风险,应立即采取应对。
三、风险坐标图