吉林电力股份有限公司内部控制管理办法(2019年10月28日,经公司第八届董事会第三次会议审议通过)
第一章 总 则第一条 为规范和加强吉林电力股份有限公司内部控制,提高公司经营管理水平和风险防范能力,促进公司健康和可持续发展,根据财政部等五部委印发的《企业内部控制基本规范》及其配套指引,制定本办法。
第二条 建立和实施内部控制,遵循以下原则。
(一)合法合规原则。内控体系的设计必须遵循国家有关法律、法规和相关政策,满足集团公司各项管理标准及公司对应的管理要求;
(二)全面性原则。内部控制在层次上涵盖公司董事会、监事会、经理层和全体员工,在对象上覆盖公司及所管各单位各种业务和事项,在流程上贯穿决策、执行、监督、反馈全过程。
(三)重要性原则。内部控制在全面控制的基础上突出重点,关注重要业务事项和高风险领域。
(四)制衡性原则。内部控制在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。履行内部控制监督检查职责的部门应当具有良好的独立性。
(五)适应性原则。内部控制以风险管理为导向,与公司经营规模、业务范围、竞争状况、风险管理水平等相适应,并随着公司内外部环境的变化、经营业务的调整、管理要求的提高等及时加以调整。
(六)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
第三条 定义及缩略语
(一)定义
1.本办法所称内部控制,是指由公司董事会、监事会、经理层和全体员工共同实施的、旨在合理保证实现控制目标的过程。内部控制包括内部环境、风险评估、控制活动、信息与沟通、内部监督五项基本要素。
2.内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进公司实现发展战略。
3.内部控制标准是公司实施内部控制的基本要求。它是针对公司各项业务活动和管理活动的风险控制点提出的控制措施,是公司各部门和所管各单位在日常管理、业务活动中须遵照执行的基本标准,也是内部控制监督和评价的依据。内部控制标准需通过制度、流程的设计和具体执行予以落实。
4.内部控制措施一般包括:不相容职务分离控制、授权审批控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等。公司结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控
制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。
(二)缩略语
1.国家电力投资集团有限公司以下简称“集团公司”。
2.吉林电力股份有限公司以下简称“公司”。
3.所属分支机构、所出资各级独立法人企业以下简称“所管各单位”。
第四条 本办法适用于公司本部及所管各单位。
第二章 组织机构与管理职责
第五条 组织机构
公司内部控制管理组织体系包括董事会、董事会审计委员会、经理层、法律与企业管理部、公司本部各职能部门和所管各单位。
第六条 内部控制管理职责
(一)董事会
公司董事会负责公司内部控制的建立健全和有效实施,其主要职责包括:
1.审核并批准公司内部控制建设总体目标和规划;
2.审核并批准公司内部控制管理组织机构设置及职责方案;
3.审核并批准公司《内部控制管理办法》;
4.认定公司内部控制重大缺陷,审议批准缺陷责任追究处理意见;
5.审核并批准公司内控评价报告;
6.决策公司内部控制管理的其他重大事项。
(二)董事会审计委员会
公司董事会可授权其下设的审计委员会履行内部控制管理的部分职责,其主要职责包括:
1.审核公司内部控制管理组织机构设置及职责方案;
2.审核公司《内部控制管理办法》,评估制度设计的适当性;
3.审核并批准公司内部控制标准;
4.审核并批准内部控制缺陷认定标准;
5.审核内部控制评价报告;
6.审阅外部审计机构出具的内部控制审计报告,与外部审计机构沟通发现的问题与改进方法;
7.评估内部控制评价和审计的结果,督促内部控制缺陷的整改;
8.完成董事会交办的其他工作。
(三)经理层
公司经理层负责公司内部控制的实施,具体职责包括:
1.建立适应内部控制管理的经营管理架构,明确各部门在内部控制管理中的职责分工,建立部门之间相互协调、有效制衡的运行机制;
2.组织、协调内部控制管理制度、内部控制标准和规划的落实,推动公司内部控制体系良好运行;
3.审核并批准公司年度内部控制工作方案;
4.审核公司内部控制评价报告并向公司董事会报告;
5.对内部控制执行过程中的重大事项进行协调和决策。
(四)法律与企业管理部
公司法律与企业管理部是公司内部控制体系建设、内控监督及评价工作的归口管理部门,负责组织、协调公司内部控制体系建设和内控监督及评价工作,主要职责包括:
1.负责拟定和修订公司《内部控制管理办法》;
2.根据公司年度风险评估结果,确定年度内部控制工作重点,拟定公司年度内部控制工作方案并组织实施;
3.组织开展内控标准更新工作;
4.组织实施本办法及公司内部控制标准,跟踪内部控制缺陷的整改情况,协调、推进本部各部门及所管各单位完成内部控制缺陷整改;
5.组织开展内控监督、评价工作,编制内控评价报告;
6.负责指导、监督公司所管各单位开展内部控制相关工作;
7.负责配合外部审计师对公司内部控制的审计工作。
(五)公司人力资源部负责明确界定各部门、岗位的目标、职责和权限,建立相应的授权、检查和逐级问责制度,确保其在授权范围内履行职能。
(六)各职能部门
公司本部各职能部门负责主导本职能范围的内部控制标准相关的内部控制制度流程的设计、执行工作;公司本部各职能部门负责人是本部门内部控制的责任人;各职能部门应根据工作需要设立内部控制联络员,协助部门负责人完成本部门的内部控制工作。公司本部各职能部门内部控制管理主要职责包括:
1.按照公司内部控制工作的总体部署,制定本部门内部控制管理工作计划;
2.依据内部控制标准和管理实际,对本职能范围的制度进行梳理,落实内部控制基本要求,建立内部控制标准和制度对应关系,并检查相关制度执行情况;
3.按照公司风险评估工作要求进行风险评估,根据风险评估结果和实际经营变化情况,对本职能范围的内部控制标准提出更新申请;
4.配合公司法律与企业管理部开展内控评价工作;
5.负责落实本职能范围内的内部控制缺陷整改工作;
6.指导、监督和检查所管各单位对口部门的内部控制管理工作。
(七)所管各单位
所管各单位负责本单位内部控制的建设、实施和完善工作,各单位负责人是本单位内部控制的责任人,各单位内部控制管理主要职责包括:
1.按照公司的统一部署,建立和完善本单位的内部控制体系;
2.设立本单位内部控制日常工作机构,与公司法律与企业管理部的工作对接;
3.落实公司内部控制制度,做好内部控制相关制度的承接;
4.依据内部控制标准,梳理本单位相关业务流程和制度,建立内部控制标准和制度对应关系,并检查相关制度的执行情况;
5.按照公司年度内控工作方案要求,组织、协调本单位年度内控工作,并落实本单位内部控制缺陷整改工作;
6.组织、协调本单位内部控制其他管理工作,并做好监督检查。
第三章 内部控制体系框架第七条 公司的内部控制体系以《企业内部控制基本规范》及其配套指引为依据,以管理和业务流程为主线,按照以下五项基本要素建立健全内部控制体系。
(一)内部环境。内部环境是公司内部控制体系的基础,指公司的组织文化以及其他影响员工风险意识的综合因素,涵盖公司治理架构、机构设置及权责分配、内部审计、人力资源政策、企业文化等;
(二)风险评估。风险评估是指公司及时识别和分析影响公司目标实现的内部和外部风险因素,并根据公司风险承受能力和风险偏好选择风险管理策略;
(三)控制活动。控制活动是指公司采取的为确保风险管理策略有效执行而制定的制度和程序,将风险控制在可接受的程度之内,包括岗位职责分离、授权审批、验证核对、绩效考核、预算管理等;
(四)信息与沟通。信息与沟通是指及时、准确、完整地收集、整理、传递与内部控制相关的信息并适时向使用者提供的过程,确保信息在企业内部、企业与外部之间进行有效传递,是管理活动的重要组成部分;
(五)内部监督。内部监督是公司对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷并及时改进,改善内部控制体系。
上述内容以内部控制标准的形式体现。
第四章 内部控制管理模式和管理内容
第一节 内部控制管理模式第八条 内部控制体系的日常运行按照“集中、分层、分类”的管理模式,从内部控制体系的设计和执行两方面,不断改进和完善。
(一)集中管理。公司统一领导内部控制体系建设和评价工作,制定和实施内部控制建设规划,统一制定和维护内部控制制度和标准,统一组织内部控制评价工作等。
(二)分层管理。各层级的组织都应按照上级组织的要求,开展本层级的内部控制体系建设工作;各级内部控制建设牵头部门负责组织本层级的内部控制体系的实施和维护工作。
(三)分类管理。根据公司本部各职能管理部门的职责,对内部控制标准的内容实行分类管理。内部控制标准的具体内容分为若干类别,每一类别有一个主要责任部门;公司本部各主要责任部门,负责本职能范围的内部控制标准的维护工作、内部控制制度流程的设计和执行工作、内部缺陷整改的落实工作等;所管各单位应参照公司本部分类管理方式,并结合本单位的具体业务和管理工作,建立内部控制标准框架内容与主要责任部门的对应关系,落实相关工作。
第二节 内部控制管理内容
第九条 年度内部控制工作方案
公司法律与企业管理部根据公司年度风险评估以及上一年度内
控评价的结果,拟定年度内部控制工作方案,明确下一年度公司内部控制工作的重点领域、业务流程等,报公司经理层审批后实施。所管各单位根据公司确定的年度内部控制工作重点,结合本单位年度风险评估结果,制定本单位内部控制工作方案并组织实施。第十条 内部控制标准管理
(一)当发生下列事项时,应修订和完善内部控制标准:
1. 国家相关法律法规、规章制度、行业从业规定、监管部门要求等发生变化;
2. 战略调整、组织机构、管理职责等内部环境发生调整变化;
3. 新业务的实施、业务管理要求发生变化;
4. 根据风险评估结果,重大风险和重要风险发生变化;
5. 发生内部控制重大失控事件;
6. 其他事项。
(二)内部控制标准更新申请、审批、更新程序
1.内部控制标准更新申请
在本条第一款所述事项发生时,公司相关职能部门及所管各单位应在其管理范围内及时向公司法律与企业管理部提出修改申请。修改申请应对修改事项、修改原因和修改意见进行说明解释。每年,法律与企业管理部发出内部控制标准修改意见征询函,公司相关职能部门及所管各单位应按要求报送修改意见及相关说明。
2.内部控制标准审批
公司法律与企业管理部牵头组织相关部门对提交的内部控制标
准修改意见的合理性和必要性进行审核,经过公司经理层审核通过后,报送公司董事会审计委员会审核。
3.内部控制标准更新与发布
经公司董事会审计委员会审核、批准后,由公司法律与企业管理部发布更新后的内部控制标准。涉及管理制度的修改或补充由制度归口部门按照相关规定负责。第十一条 内部控制监督
(一)公司法律与企业管理部负责组织对公司各职能部门和所管各单位内部控制建立与实施情况进行监督,监督工作由日常监督和专项监督构成。日常监督是指对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在公司发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或某些方面进行有针对性的监督检查;
(二)监督内容为与实现控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等要素;
(三)监督的工作应关注:
1.政策影响、管理薄弱、业务复杂、高危作业等重点部门、单位和项目;
2.重要业务流程的关键内部控制要求的控制措施制定及执行情况、不相容职权分离、反舞弊等;
3.公司组织结构、经营活动、业务流程、关键岗位等发生较大调整或变化;
4.内部控制的组织建设情况、组织协调能力等;
5.国家法律法规、部门规章的变化和修改;
6.内部控制评价发现的重大和重要内部控制缺陷的整改情况。
(四)应综合运用个别访谈法、比较分析法、调查问卷法、抽样法、专题讨论会等,对内部控制建立和运行情况进行监督;
(五)所管各单位应按照公司统一要求,监督本单位内部控制建立和运行情况。每年要对监督工作进行总结,形成监督工作总结报告,说明监督的内容、范围、方式、发现的缺陷问题、监督意见及整改落实情况等。监督工作总结报告应在次年1月30日前报公司法律与企业管理部备案。
第十二条 内部控制评价
(一)公司内部控制评价工作主要依据《企业内部控制基本规范》、《企业内部控制评价指引》、公司内部控制标准,以及公司相关管理制度,采用规定的评价程序,围绕内部环境、风险评估、控制活动、信息与沟通和内部监督五个基本要素,对其内部控制设计和运行的有效性进行全面评价。
(二)公司内部控制评价程序包括:制定年度内部控制评价方案、成立评价工作组、实施现场测试、认定内部控制缺陷、汇总形成评价结果、编制内部控制评价报告。公司法律与企业管理部负责内部控制评价的具体组织实施工作。
(三)公司法律与企业管理部应制定年度内部控制评价方案,明确评价范围、评价内容、人员组织、时间进度安排、费用预算等相关
内容,报公司总经理办公会审批后组织实施。
(四)公司法律与企业管理部应依据经批准的年度内部控制评价方案,牵头组建内部控制评价工作组,具体实施评价工作。工作组应吸收公司的业务骨干参加,但工作组成员不得评价本部门所负责实施的内部控制。公司可以委托中介机构实施内部控制评价工作,但为公司提供内部控制建设咨询的中介机构,不得同时为公司提供内部控制评价服务。
(五)评价人员应对被评价部门、单位的内部控制进行实施现场测试,根据公司统一下发的评价工作底稿中的要求,综合运用个别访谈、调查问卷、实地查验、穿行测试、抽样测试、专题研讨等恰当的方式,充分收集内部控制设计和运行有效性的证据。
(六)现场测试工作的相关发现,应在评价工作底稿中进行如实填写;所获取的内部控制设计与运行的相关证据,应形成电子纪录;对于控制偏差的相关证据,应进行复印留档。现场测试所形成的评价工作底稿和相关记录应进行交叉审核,并由执行人和审核人签字确认。
(七)公司根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确定了公司的内部控制缺陷具体认定标准。
1.财务报告内部控制缺陷认定标准
1)公司确定的财务报告内部控制缺陷评价的定量标准如下:
由于公司以电力销售为主要经营业务,利润指标受电力、燃煤市场影响变化较大,故定量标准以营业收入、资产总额作为衡量指标。
①内部控制缺陷可能导致或导致的损失与利润报表相关的,以营业收入指标衡量。如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于营业收入的0.5%,则认定为一般缺陷;如果超过营业收入的0.5%,小于1%认定为重要缺陷;如果超过营业收入1%则认定为重大缺陷。
②内部控制缺陷可能导致或导致的损失与资产管理相关的,以资产总额指标衡量。如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于资产总额的0.25%,则认定为一般缺陷;如果超过资产总额0.25%,小于0.5%认定为重要缺陷;如果超过资产总额0.5%则认定为重大缺陷。
2)公司确定的财务报告内部控制缺陷评价的定性标准如下:
财务报告重大缺陷的迹象包括:控制环境无效;公司董事、监事和高级管理人员舞弊并给企业造成重要损失和不利影响;公司更正已公布的财务报告;外部审计发现的却未被公司内部控制识别的当期财务报告中的重大错报;审计委员会和审计部门对公司的对外财务报告和财务报告内部控制监督无效。
财务报告重要缺陷的迹象包括:未依照会计准则选择和应用会计政策;未建立反舞弊程序和控制措施;对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制;对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证
编制的财务报表达真实、完整的目标。一般缺陷是指除上述重大缺陷、重要缺陷之外的其他控制缺陷。
2.非财务报告内部控制缺陷认定标准
1)公司确定的非财务报告内部控制缺陷评价的定量标准如下:
定量标准以营业收入、资产总额作为衡量指标。
①内部控制缺陷可能导致或导致的损失与利润报表相关的,以营业收入指标衡量。如果该缺陷单独或连同其他缺陷可能导致的损失金额小于营业收入的0.5%,则认定为一般缺陷;如果超过营业收入的
0.5%,小于1%认定为重要缺陷;如果超过营业收入1%则认定为重大缺陷。
②内部控制缺陷可能导致或导致的损失与资产管理相关的,以资产总额指标衡量。如果该缺陷单独或连同其他缺陷可能导致的损失金额小于资产总额的0.25%,则认定为一般缺陷;如果超过资产总额
0.25%,小于0.5%认定为重要缺陷;如果超过资产总额0.5%则认定为重大缺陷。
2)公司确定的非财务报告内部控制缺陷评价的定性标准如下:
非财务报告内部控制存在重大缺陷的迹象包括:决策程序导致重大失误;重要业务缺乏制度控制或系统性失效,且缺乏有效的补偿性控制;中高级管理人员和高级技术人员流失严重;内部控制评价的结果特别是重大缺陷未得到整改;其他对公司产生重大负面影响的情形。
非财务报告内部控制存在重要缺陷的迹象包括:决策程序导致出
现一般性失误;重要业务制度或系统存在缺陷;关键岗位业务人员流失严重;内部控制评价的结果特别是重要缺陷未得到整改;其他对公司产生较大负面影响的情形。
非财务报告内部控制存在一般缺陷的迹象包括:决策程序效率不高;一般业务制度或系统存在缺陷;一般岗位业务人员流失严重;一般缺陷未得到整改。
(八)公司对内部控制缺陷的认定,应以日常监督和专项监督为基础,结合年度内部控制评价情况,由法律与企业管理部组织相关职能部门对缺陷的成因、影响程度等方面进行综合分析后提出初步认定意见,并编制内部控制缺陷汇总表。内部控制一般和重要缺陷由公司总经理办公会负责最终认定,重大缺陷由董事会负责最终认定。
(九)相关职能部门和单位应将内控评价、内部审计及外部监管检查等内外部检查发现的内部控制缺陷全部纳入整改范围,制定整改方案,明确整改时间和责任人。应根据风险/收益匹配原则,优先整改重大、重要缺陷以及普遍性强的一般缺陷,聚焦重点业务及管理环节,强化缺陷整改力度,切实规避可能给企业带来重大损失的操作风险。公司本部各职能部门负责整改本部门的内控缺陷,并对职能业务范围内所管单位内控缺陷的整改工作进行指导,帮助并督促所管单位健全制度、规范执行。所管各单位负责整改本单位的内控缺陷,内部控制职能部门应跟踪、督办本单位内控缺陷整改情况,按季编制内部控制缺陷整改台账,经所在单位管理层审批通过后,于每季末次月10日前报送至公司法律与企业管理部,法律与企业管理部汇总后向
公司总经理办公会汇报。
(十)公司年度内部控制评价报告应对内部环境、风险评估、信息披露文件控制活动、信息与沟通和内部监督五个要素的建立健全和实施情况进行评价,并至少应包含以下内容:董事会对内部控制报告真实性的声明;内部控制评价结论;内部控制评价的范围;内部控制评价工作依据及内部控制缺陷认定标准;内部控制缺陷认定及整改情况;其他内部控制相关重大事项说明。
(十一)公司法律与企业管理部应根据内部控制评价工作底稿以及内部控制缺陷汇总表等资料,及时编制年度内部控制评价报告,报公司审计委员会审核后,提交董事会审议。年度内部控制评价报告经董事会审议后与年度内部控制审计报告同时对外披露。公司以每年12 月 31 日作为年度内部控制评价报告的基准日,公司应关注年度内部控制评价报告基准日至报出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。评价结论一经调整,年度内部控制评价报告应履行原有的审批程序后方可对外披露或报送。
第五章 考核
第十三条 对违反公司制度、公司内部控制建设失责或内部控制执行不到位,导致在公司内部控制被认定存在重大缺陷,受到证监会、银监会等行政机关处罚,或在公司内部控制监管过程中有重大舞弊行为导致公司造成重大不良影响或国有资产流失的,根据具体情节按照
公司相关制度对有关责任人给予相应处罚;涉嫌犯罪的,依法移交司法机关处理。
第六章 附则第十四条 本办法自发布之日起施行。第十五条 本办法由公司董事会负责解释。