中兴通讯股份有限公司
内部控制制度
(2018年12月)
(经2018年12月25日召开的第七届董事会第四十二次会议审议通过)
1 总则1.1 目的为加强中兴通讯股份有限公司(以下简称“中兴通讯”或“公司”)内部控制,促进公司规范运作和健康发展,保障公司经营管理的安全性和财务信息的可靠性,保护投资者合法权益、提高信息披露质量,实现公司治理目标,根据《中华人民共和国公司法》、《中华人民共和国证券法》、《企业内部控制基本规范》、《深圳证券交易所股票上市规则》、《香港联合交易所有限公司证券上市规则》等法律、行政法规、规章和《中兴通讯股份有限公司章程》(以下简称“《公司章程》”)以及各专业系统风险管理和控制制度等有关规则的规定,结合公司行业及业务特点,特修订完善本制度。
1.2 概述本标准规定了中兴通讯建立与实施内部控制的基本要求、内部监督的机构及实施程序。
本标准适用于中兴通讯股份有限公司。中兴通讯各附属公司参照执行。本标准发布后,拟制部门将定期进行制度复审,最长复审周期不得超过两年。1.3 术语和定义内部控制是由公司董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程:
a) 合理保证公司经营管理合法合规;b) 保障公司资产的安全;c) 确保公司财务报告及相关信息真实完整;d) 提高公司经营的效益及效率;e) 促进公司实现发展战略。
2 基本要求2.1 公司建立与实施内部控制,应当遵循下列原则2.1.1 全面性原则:内部控制贯穿决策、执行和监督全过程,覆盖公司及其所属单位的各种业务和事项。
2.1.2 重要性原则:内部控制在全面控制的基础上,关注重要业务事项和高风险领域。
2.1.3 制衡性原则:内部控制在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
2.1.4 适应性原则:内部控制与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
2.1.5 成本效益原则:内部控制要权衡实施成本与预期效益,以适当的成本实现有效控制。
2.2 公司内部控制各职能机构及其职权
公司建立健全以“三道防线”为主要特点的内部控制系统。三道防线设置如下:第一道防线为二层单位内控团队,由各业务单位组成,是内部控制的主要责任及执行单位;第二道防线由公司内部控制委员会组成,是内部控制的决策、规划、监督、指导和推动单位;第三道防线由审计委员会及内部审计机构组成,是内部控制的监督单位,负责内部审核功能。
2.2.1 董事会
对公司内控制度的建立、健全、有效实施及检查监督负责;定期对公司内控情况进行全面检查和效果评估。
2.2.2 监事会
对董事会建立与实施内部控制进行监督。
2.2.3 审计委员会
董事会下设审计委员会,负责审核公司内部控制制度及其执行情况;监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。
审计委员会负责人具备相应的独立性、良好的职业操守和专业胜任能力。
2.2.4 内部控制机构
负责公司内控建设的组织、推进、管理;负责公司内控自我评价及内控审计
等相关工作;向审计委员会汇报公司内控建设情况。
2.2.4.1内控委员会内控委员会是公司级内控管理机构,对公司内部控制的健全性、有效性承担责任,行使公司内控决策、规划、监督和指导职能。工作职责:
a) 审定内部控制体系建设实施方案,统筹和指导内部控制体系建设工作;b) 监督内部控制体系建设情况,评价内部控制体系建设质量和成果;c) 审定内部控制评价方案;审定呈报董事会(含下设的审计委员会)的公司内部控制评价报告;
d) 审定重大风险和重要业务流程的内控机制;e) 审定公司风险分级分类策略;f) 协调与内部控制相关的其他重大事项。内控委员会下设秘书组、内控能力建设组。内控审计二层机构下属的内控团队作为内控委员会的秘书单位,负责内控委员会的运作及日常事务处理。秘书长由内控审计负责人担任。
内控能力建设组涵盖公司所有营运环节,由公司相关业务管理部门牵头,牵头部门领导为内控能力建设组对应业务模块负责人。
2.2.4.2二层单位内控团队
二层单位内控团队作为二层单位的内控管理机构,在公司内控团队、内控能力建设组的专业指导下,对本单位内部控制的健全性、有效性承担责任,向公司内控委员会负责,确保本单位经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,切实执行公司发展战略。工作职责:
a) 负责二层单位内控工作整体策划并安排资源;
b) 负责二层单位内控制度建设,建立健全内控规范,完善内控机制,提升风险防范能力;
c) 组织二层单位经营风险的识别、评估、预警及风险应对,推进风险从事后、事中往事前识别和控制;
d) 负责检查二层单位内各部门的内控建设,评价内控有效性、发现内控缺陷,督促内控缺陷的整改;
e) 组织二层单位内控培训,定期宣贯内控知识和案例,提高员工内控意识和能力,营造良好的内控文化环境;
f) 公司内控委员会交办的其他工作。
2.2.5 内部审计机构
内控审计体系内部设置审计机构,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构对内部控制的有效性进行监督检查,对监督检查中发现的内部控制缺陷,按照公司内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会、审计委员会、监事会报告。
2.3 公司内部控制活动涵盖公司所有营运环节,包括但不限于:组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统。
2.4 内控环境
2.4.1 公司不断完善其治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。
2.4.2 公司明确界定各部门、岗位的目标、职责和权限,建立相应的授权、检查和逐级问责制度,确保其在授权范围内履行职能。
2.4.3 公司编制内部控制手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权。
2.4.4 公司制定和实施有利于公司可持续发展的人力资源政策。人力资源政策主要包括下列内容:
a) 员工的聘用、培训、辞退与辞职;
b) 员工的薪酬、考核、晋升与奖惩;
c) 关键岗位员工的定期岗位轮换制度;
d) 信息安全在员工离岗时的限制性规定;
e) 有关人力资源管理的其他政策。
2.4.5 公司将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。
2.4.6 公司加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神。
2.4.7 公司加强法制教育,增强董事、监事、高级管理人员和员工的法制观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。
2.5 风险评估
2.5.1 公司建立和完善风险管理体系,对战略风险、财务风险、运营风险、法律合规风险、投资风险等内、外部风险进行持续监控,及时识别、评估公司面临的各类风险,并采取必要的控制措施。
2.5.2 公司开展风险评估,识别与实现控制目标相关的内部风险和外部风险,确定风险承受度。
风险承受度是公司能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。
2.5.3 公司在风险识别基础上,运用定量或定性方法分析风险发生的可能性和对公司目标实现的影响程度,对风险进行综合评价。
2.5.4 公司根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。风险应对的具体策略主要分为:风险规避、风险降低、风险转移、风险承受等。
a) 风险规避是公司对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略;
b) 风险降低是公司在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略;
c) 风险分担是公司准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略;
d) 风险承受是公司对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
2.6 控制活动
2.6.1 根据风险评估结果、结合风险应对策略,采用恰当的控制措施以确保内部控制目标得以实现的政策和程序。
2.6.2 控制措施主要包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
a) 不相容职务分离控制:分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制;
b) 授权审批控制:明确各岗位办理业务和事项的权限范围、审批程序和相应责任。公司各级管理人员必须在授权范围内行使职权和承担责任;业务经办人员必须在授权范围内办理业务;
c) 会计系统控制:严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整;
d) 财产保护控制:建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全,严格限制未经授权的人员接触和处置财产;
e) 预算控制:实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束;
f) 运营分析控制:建立运营情况分析制度,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进;
g) 绩效考评控制:建立和实施绩效考评制度,科学设置考核指标体系,对公司各责任单位和全体员工的业绩进行定期考核和客观评价,并进行结果应用。
2.7 信息与沟通
2.7.1 公司不断完善内部信息与外部信息的管理政策,确保信息以适当的方式在各管理级次、责任单位、业务环节之间及时、准确、完整地传递。
2.7.2 公司建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为公司有效掌握信息的重要途径。
3 内部监督
3.1 公司制定内部控制监督制度,明确内部审计机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。
3.2 公司制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事
会、监事会或者经理层报告。
内部控制缺陷包括设计缺陷和操作缺陷,公司跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任单位或者责任人的责任。
3.3 公司结合内部监督情况,定期对内部控制的有效性进行自我评价,
出具内部控制评价报告。
3.4 注册会计师进行年度审计时,对公司内控有效性表示异议的,公司董事会、监事会针对该审核意见涉及事项做出专项说明。
3.5 公司将内控制度的健全完备和有效执行情况作为绩效考核重要指标之一。公司建立责任追究机制,对违反内控制度和影响内控制度执行的有关责任人予以查处。
3.6 公司建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。
3.7 公司以书面或者其他适当的形式,保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。
4 附则
4.1 本制度未尽事宜,依照国家有关法律、法规、规范性文件以及《公司章程》的有关规定执行。本制度与有关法律、法规、规范性文件以及《公司章程》的有关规定不一致的,以有关法律、法规、规范性文件以及《公司章程》的规定为准。
4.2 本制度修订权及解释权属于公司董事会。
4.3 本制度经董事会审议通过后发布并实施。