苏美达股份有限公司内部控制与风险管理办法
(经苏美达股份有限公司第九届董事会第九次会议审议通过)
第一章 总 则第一条 为加强和规范苏美达股份有限公司(以下简称“公司”)内部控制与风险管理,统筹推进公司内部控制体系(以下简称“内控体系”)建设和运行监管,提升经营管理水平和风险防范能力,促进公司高质量发展,根据国资委、财政部有关企业内部控制与风险管理等规定和要求,结合公司实际,制定本办法。
第二条 本办法适用于公司及所有具有实际控制权的子公司(以下简称子公司)。
第三条 本办法所称“内部控制”,是指由公司党委、董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。内部控制的目标是保证公司经营管理合法合规、资产安全、报告及相关信息真实完整,提高经营效率和效果,促进公司实现发展战略。
第四条 本办法所称“风险管理”,是指公司围绕战略和经营目标,在管理的各环节和经营的各项活动中执行风险管理的基本流程,评估可能影响公司正常生产经营的潜在事项并管理风险的过程。风险管理的目标是以公司总体风险可控、不发生系统性风险为底线,将风险控制在与公司发展战略及经营现状相适应的范围。
第五条 公司内控体系包含内部控制、风险管理和合规管理。
第六条 公司内控体系建设与运行,应遵循下列基本原则:
(一)全面性原则。贯穿决策、执行和监督全过程,覆盖公司的全部业务和经营管理事项。
(二)重要性原则。在全面管控的基础上,关注重要业务、事项和高风险领域。
(三)制衡性原则。在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(四)适应性原则。内控体系与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。权衡实施成本与预期效益,以适当的成本实现管控目标。
第二章 组织体系与职责分工
第七条 公司内控组织体系包括公司党委、董事会、审计与风险控制委员会、内控及风险合规领导小组、内控及风险合规工作小组,公司相关职能部门以及各下属企业相应建立的本企业内控组织体系等。
第八条 公司董事会为公司内控体系管理的决策机构,职责如下:
(一)审批内控体系建设总体目标;
(二)审批内控体系基本制度;
(三)审批内控体系相关报告,对公司内控体系有效性进行评价;
(四)审批内控体系相关的其他重大事项。
第九条 公司董事会审计与风险控制委员会在公司内控体系中主要职责为:
(一)审议需要董事会决议的内控体系基本制度和相关报告,为董事会决策提供意见;
(二)指导公司内控体系建设;
(三)监督、评估、检查内控体系运行质量和效果,并向董事会报告;
(四)审议内控体系相关的其他重大事项。
第十条 内控及风险合规领导小组(以下简称领导小组)由总经理担任组长,财务总监担任副组长,各子公司总经理担任领导小组成员。职责包括:
(一)审核内控体系建设总体目标;
(二)组织内控体系建设工作,推动内控体系的良好运行;
(三)审核公司内部控制、风险管理、合规管理的基本制度;
(四)审核年度内控体系工作重点;
(五)审核年度风险评估、内控体系工作等相关报告,按程序提交审计与风险控制委员会及董事会审议,并监督各专项整改方案的落实;
(六)指导子公司的内控体系建设工作,并监督其执行效果;
(七)审核与内控体系相关的其他工作。
第十一条 内控工作小组在领导小组的指导下,具体实
施内部控制管理工作。由资产财务部总经理担任组长,各职能部门负责人及子公司财务负责人担任工作小组成员,工作小组办公室设在资产财务部,具体职责包括:
(一)拟定内部控制管理制度,组织拟订相关配套指引;
(二)具体实施公司内部控制建设工作,对各子公司内控建设进行跟踪与指导;
(三)编制并持续优化公司内部控制管理手册;
(四)具体实施公司及子公司的内部控制评价工作,并向领导小组提交评价报告并汇报内控情况;
(五)跟踪监督公司及子公司内部控制缺陷整改情况,并向领导小组汇报;
(六)配合外部审计师进行内部控制审计工作;
(七)领导小组交办的其他内部控制相关工作。
第十二条 风险与合规工作小组,具体开展全面风险管理体系建设和运行、专项风险管理工作。由公司法律及风控合规分管领导任组长,各职能部门负责人为工作小组成员,工作小组办公室设在法律及风控合规部,工作小组职责分工如下:
法律及风控合规部:工作小组办公室,负责组织协调风险管理工作,对接上级单位风险管理部门,按其要求并经公司董事长核准签发提交年度报告、季度报告和临时报告,根据职责分工负责法律风险管控;
审计部:对所属公司风险管理的有效性进行监督,并根据职责分工负责审计风险的管控;
工作小组其他成员:根据部门职责分工,对战略风险(含
投资风险)、市场风险、运营风险(含经营风险、人力资源风险、研发风险、安全生产风险、道德风险等)、财务风险进行管控。
具体职责包括:
(一)提出公司全面风险管理组织体系的建设方案,拟定风险管理相关制度文件;
(二)起草公司全面风险管理报告,并组织执行风险管理解决方案;
(三)根据风险管理需求,建立完善风险管理信息系统;
(四)指导子公司全面风险管理工作的开展,根据小组成员分工,负责对子公司的重大专项风险进行监控、预警、评价、问责及管理指导;
(五)根据职责分工,参与公司重大决策活动相关的专项风险分析,并出具专项风险分析意见;
(六)对子公司的重大风险事件提出责任处理方案;
(七)开展其他与风险管理相关的工作。
第十三条 公司各职能部门内控体系职责包括:
(一)建立、完善与本部门职能相关内控管理制度及配套指导文件等;
(二)根据部门内控职责,结合风险管理、合规管理要求,落实本部门内控建设、执行评价、整改优化等工作;
(三)配合内外部机构对公司内控体系的检查、评价;
(四)对子公司相关内控制度的建设及实施情况予以指导和监督检查;
(五)对子公司相关专项内部控制及风险管理、合规管
理工作执行情况进行监控和管理指导;
(六)根据部门职责,开展公司重大决策活动相关的专项风险分析、评估,并提出专项风险分析、评估意见;
(七)妥善应对本业务领域的包括合规风险在内的重大风险事项,并及时向小组办公室通报;
(八)其他与内控体系建设、运行、管理、评价等有关的工作。
第十四条 公司各职能部门设合规专员,合规专员应熟悉本部门主要控制活动、主要风险类别及合规管理要求,负责协调、组织与本部门职能相关的内控制度建设及执行、优化管理。
第十五条 各子公司总经理为内控体系监管工作第一责任人,对本单位内控体系的建立健全和有效实施负责。
第十六条 各子公司依据本办法,建立适合本单位风险管理需要的内部控制组织机构,各子公司应指定内部控制人员和公司内控及风险合规工作小组对接。
第十七条 各子公司在公司内控及风险合规工作小组的指导下,开展内部控制自我评价,落实内部控制各项要求,实施内部控制缺陷整改,定期检查内部控制管理手册及管理制度执行情况,配合公司进行内部控制审计工作。审计部要加强内控体系监督检查工作,不断发挥查错纠弊作用,促进公司不断优化内控体系。
第三章 风险管理
第十八条 公司按照“分级分类”的原则分解落实风险管理责任。各级风险管理责任主体应根据风险管理职责分别
承担本公司、本部门的风险管理责任。
风险主要分为战略风险、财务风险、市场风险、运营风险和法律风险等五大种类。
第十九条 各级风险管理责任主体包括公司、全级次各子公司及其各职能、业务部门。各公司负责本公司各类经营管理活动的风险管理,公司的各职能、业务部门根据部门职责分工,负责职责范围内各类经营管理活动的风险管理。
各级风险管理责任主体应主动识别风险、深入分析风险,在全体员工中形成良好的风险防控意识,落实全员风险责任。
第二十条 风险管理应贯穿公司的管理决策、制度制定、业务执行、监督评价等各环节,各公司应强化事前防范、细化事中监控、落实事后评价及问责。
第二十一条 开展风险管理应与公司其他管理工作紧密结合,把风险管理的各项要求融入公司管理和业务流程中。
公司应建立风险管理“三道防线”体系。各有关职能、业务部门为第一道防线,风险管理职能部门为第二道防线,内部审计部门为第三道防线。
第二十二条 风险评估。公司应根据内外部环境的变化,对影响公司战略目标和经营目标实现的内部风险和外部风险进行风险辨识、风险分析、风险评价。
第二十三条 公司外部风险关注因素主要包括经济因素、法律法规、监管因素、自然环境、科学技术及其他有关外部风险因素。
第二十四条 公司内部风险关注因素主要包括决策、管理结构、人员、创新、资产财务及其他有关内部风险因素。
第二十五条 风险评估一般采用定性与定量相结合的方法,按照风险发生的可能性、影响程度及可控程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
公司进行风险评估,应充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险评估结果的准确性。必要时,可聘请外部专业中介机构协助实施。
第二十六条 风险评估包括全面风险评估和专项风险评估。
(一)全面风险评估。对经营环境变化、发展趋势等进行综合分析和预判,同时结合内控体系监督评价工作中发现的经营管理缺陷和问题,综合评估公司内外部风险水平,有针对性地制定风险应对方案。公司至少每年开展一次全面风险评估。
(二)专项风险评估。对重大合同、新业务、重大投资并购、改革改制重组、重要组织结构调整等决策事项应开展专项风险评估,充分揭示风险、提出风险应对措施及解决预案,并将风险评估报告作为重大经营管理事项决策的必备支撑材料。
第二十七条 风险应对策略。公司应根据风险评估结果,围绕公司发展战略,确定总体风险偏好、风险承受度、风险管理有效性标准,选择风险回避、风险降低、风险分担、风险接受等基本风险应对策略,并配置风险管理所需要的人力和财力资源。
第二十八条 风险管理解决方案。公司应根据风险应对
策略,针对评估出的重大风险,制定可操作的控制措施。风险管理解决方案应根据重大风险变化情况及执行效果进行动态调整。
第二十九条 风险监控。公司应以重大风险、重大事件、重大决策、主要业务流程为重点,对风险管理的实施情况进行监督。
各级风险管理责任主体应对职责范围内主要风险进行监控预警,应明确监控指标、预警标准以及应急预案等。
第三十条 风险管理报告。公司各职能、业务部门应定期对风险管理工作进行自查和检验,及时发现缺陷和问题并改进,并报送风险管理职能部门。公司风险管理职能部门应定期对各有关职能、业务部门风险管理工作实施情况进行评估,提出改进建议。
风险管理报告包括定期报告和临时报告。定期报告包括年度风险评估报告、季度风险监控报告等,临时报告包括各级风险管理责任主体提出的专项重大风险报告、新发的重大风险事件报告等。各级风险管理责任主体应根据相关规定及时上报重大风险事项,做好风险应对预案。
第四章 内部控制
第三十一条 公司应及时将法律法规等外部监管要求转化为内部规章制度,持续完善公司内部管理制度体系。
公司应严格落实各项规章制度,将风险管理和合规管理要求嵌入业务流程,促使公司依法合规开展各项经营活动。各公司应将违规经营投资责任追究内容纳入公司内部管理制度中,强化制度执行刚性约束。
第三十二条 公司应聚焦关键业务、重点领域、国有资本运营重要环节以及境外国有资产监管等方面,定期梳理分析相关内控体系执行情况,查找制度缺失或流程缺陷,及时研究制定改进措施,确保体系完整、全面控制、执行有效。
第三十三条 公司内部控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
第三十四条 公司依据《企业内部控制基本规范》及配套指引,结合公司管理特点,制定公司相关内部控制管理制度及内部控制管理手册,逐步通过信息系统固化控制措施。
第三十五条 公司及子公司需运用信息技术加强内部控制,建立、完善与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。
第五章 内控监督
第三十六条 公司统筹内部控制、风险管理和合规管理的监督评价工作,将风险管理、合规管理制度建设及实施情况纳入内控体系监督评价范畴。
第三十七条 公司通过日常监督、专项检查、内控自评、年度监督评价等方式,对内控体系的建设及运行有效性进行监督检查。通过内控监督,准确揭示风险隐患和内控缺陷,监督检查的结果作为评价公司内控体系有效性及推动公司持续完善内控体系的依据。
第三十八条 内部控制缺陷一般包括设计缺陷和运行缺陷。
第三十九条 内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
第四十条 公司内控体系评价应根据本制度以及本公司内控体系相关制度,考虑公司自身的经营特点、业务模式以及风险管理要求,围绕内部环境、风险管理、内部控制、内部监督等方面,对内控体系建设与运行情况进行全面评价。
第四十一条 公司对内部控制缺陷的认定,以日常监督和专项监督为基础,结合年度内控自评和监督评价,由内控监督评价部门进行综合分析后提出认定意见。内部控制缺陷情况按要求报告董事会、监事会、经理层,重大缺陷应由董事会予以最终认定。
第四十二条 公司结合公司性质和业务类型,制定本公司内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,分析缺陷的性质和产生的原因,提出整改方案。
第四十三条 公司将加大督促整改工作力度,明确整改责任部门、责任人和完成时限,对整改效果进行检查评价。
对于重大或者反复出现的合规风险和违规问题,应深入查找根源,完善相关规章制度,堵塞管理漏洞,强化过程管控,持续改进提升。
第四十四条 公司应妥善保存内控体系建设与实施过程中的相关记录或资料,确保内控体系建设与实施过程的可验证性。
第四十五条 公司及子公司应完善内控体系考核机制,将内部控制、风险管理和合规管理情况纳入年度综合考核体系当中。公司将细化评价指标,对内控体系履职情况进行评
价,并实施适当的奖励措施,评价结果可作为员工考核、干部任用、评先选优的依据。
第六章 附 则第四十六条 本办法由公司法律及风控合规部、资产财务部负责解释和修订。
第四十七条 本办法自董事会审议通过、印发之日起生效。原《公司内部控制管理制度》《公司内部控制评价管理办法》《公司全面风险管理办法》同时废止。
附表:1.内控体系评价指标
2.内控缺陷认定标准
3.风险评估参考标准
附表1
内控体系评价指标
| 评价指标 | 参考标准 |
| 一、内部环境 | |
| (一)组织架构 | |
| 董事会、监事会、经理层的相互制衡 | 董事会及各专门委员会、监事会和经理层的职责权限、任职资格、议事规则是否明确并严格履行 |
| 董事会、监事会、经理层效力于内控体系建设和运行 | 1.是否科学界定了董事会、监事会、经理层在建立与实施内控体系中的职责分工 |
| 2.董事会采取必要的措施促进和推动公司内控体系工作,按照职责分工提出内控体系评价意见,定期听取内控体系报告,督促内控体系整改,修订内控体系要求 | |
| 组织机构的设置科学、精简、高效、透明、权责匹配、相互制衡 | 1.组织机构设置是否与公司业务特点相一致,能够控制各项业务关键控制环节,各司其职、各尽其责,不存在冗余或缺漏的设置 |
| 2.是否明确了权责分配,制定了权责指引并保持权责行使的透明度 | |
| 组织架构适应性 | 是否定期梳理、评价公司治理结构和内部机构设置,发现问题及时采取措施加以优化调整 |
| 组织架构对子公司的控制力 | 是否通过合法有效的形式履行出资人职责、维护出资人权益,特别关注譬如异地、境外子公司等的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内控体系建设等重要事项 |
| (二)发展战略 | |
| 发展战略科学合理,既不缺乏也不激进,且实施到位 | 1.公司是否综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素制定科学合理的发展战略 |
| 2.根据发展目标制定战略规划,确定不同发展阶段的具体目标、工作任务和实施路径 | |
| 3.是否指定相关机构负责发展战略管理工作,明确战略管理职责和议事规则,并按规定履行职责 | |
| 4.是否对发展战略进行可行性研究和科学论证,并报董事会和股东(大)会审议批准 | |
| 发展战略有效实施 | 1.是否制定年度工作计划,编制全面预算,确保发展战略的有效实施 |
| 2.是否采取有效方式将发展战略及其分解落实情况传递到内部各管理层级和全体员工 | |
| 发展战略科学调整 | 是否及时监控发展战略实施情况,并根据环境变化及风险评估等情况及时对发展战略做出调整 |
| (三)人力资源政策 | |
| 人力资源结构合理、能够满足公司需要 | 1.人力资源政策是否有利于公司可持续发展和内控体系的有效运行 |
| 2.是否明确各岗位职责权限、任职条件和工作要求,选拔是否公开、公平、公正 | |
| 人力资源开发机制健全有效 | 1.是否制定并实施关于员工聘用、培训、辞退与辞职、薪酬、考核、健康与安全、晋升与奖惩等方面的管理制度 |
| 2.是否建立员工培训长效机制,培训是否能满足职工和业务岗位需要,是否存在员工知识老化 | |
| 人力资源激励约束机制健全有效 | 1.是否设置科学的业绩考核指标体系,并执行考核评价,以此作为确定员工薪酬、职级调整和解除劳动合同等的重要依据 |
| 2.是否存在人才流失现象 | |
| 3.是否对关键岗位员工有强制休假制度或定期轮岗制度等方面的安排 | |
| 4.是否对掌握国家秘密或重要商业秘密的员工离岗有限制性的规定 | |
| 5.是否将有效执行内部控制纳入公司绩效考评体系 | |
| (四)社会责任 | |
| 安全生产体系、机制健全有效 | 是否建立严格的安全生产管理体系、操作规范和应急预案,落实安全生产责任 |
| 切实履行环境保护和资源节约责任 | 是否制定环境保护与资源节约制度,采取措施促进环境保护、生态建设和资源节约,并实现节能减排目标 |
| 产品质量体系健全有效 | 是否建立严格的产品质量控制和检验制度并严格执行,是否有良好的售后服务,能够妥善处理消费者提出的投诉和建议 |
| 促进就业和保护员工权益 | 1.是否依法保护员工的合法权益,保持工作岗位相对稳定,积极促进充分就业 |
| 2.是否实现按劳分配、同工同酬,建立科学的员工薪酬制度和激励机制,是否建立高级管理人员与员工薪酬的正常增长机制 | |
| 3.是否及时办理员工社会保险,足额缴纳社会保险费 | |
| 4.是否维护员工健康,落实休息休假制度 | |
| 5.是否积极开展员工职业教育培训,创造平等发展机会 | |
| (五)企业文化 | |
| 企业文化具有凝聚力和感召力,促进企业可持续发展 | 1.是否采取切实有效的措施,积极培育具有自身特色的企业文化,打造以主业为核心的企业品牌,促进企业长远发展 |
| 2.公司董事、监事、经理及其他高级管理人员是否在文化建设和履行社会责任中起到表率作用,是否促进文化建设在内部各层级的有效沟通 | |
| 3.是否做到文化建设与发展战略的有机结合,使员工自身价值在公司发展中得到充分体现 | |
| 4.是否重视并购重组后的企业文化建设,平等对待被并购方的员工,促进并购双方的文化融合 | |
| 企业文化评估具有客观性、实效性 | 是否建立企业文化评估制度,对企业文化建设中的责任履行情况、全体员工对企业核心价值观的认同感、公司经营管理行为与企业文化的一致性、公司品牌的社会影响力、参与公司并购重组各方文化的整合度,以及员工对公司未来发展的信心做出评估;针对发现影响公司文化建设的不利因素,分析深层次的原因,及时采取措施加以改进 |
| 二、风险管理 | |
| 控制目标设定 | 1.公司层面:是否有明确的目标,目标是否具有广泛的认知基础、公司战略是否与公司目标相匹配 |
| 2.业务层面:各业务层面目标是否与公司目标一致,各业务层面目标是否衔接一致,各业务层面目标是否具有操作指导性 | |
| 3.是否结合公司的风险偏好,确定相应的风险承受度 | |
| 风险识别 | 1.目标是否层层分解并确立关键业务或事项 |
| 2.是否持续性地收集相关信息,内外部风险识别机制是否健全,是否识别影响公司目标实现的风险 | |
| 3.是否根据关键业务或事项分析关键成功因素 | |
| 4.是否识别影响公司目标实现的风险 | |
| 风险分析 | 1.风险分析技术方法的适用性 |
| 2.结合风险发生可能性、影响程度及可控程度标准划分风险等级 | |
| 3.风险发生后负面影响判断的准确性 | |
| 风险应对 | 1.全面风险评估的指导性 |
| 2.专项风险评估是否充分,是否为重大经营事项决策提供支撑 | |
| 3.风险应对策略与公司战略、企业文化的一致性 | |
| 风险监控 | 1.是否建立风险监控机制 |
| 2.是否持续收集、监控与风险变化相关的信息 | |
| 三、内部控制 | |
| (一)内部控制的设计 | |
| 控制措施足以覆盖公司重要风险,不存在控制缺失、控制过 | 1.是否针对公司内部环境设立了相应的控制措施 |
| 2.各项控制措施的设计是否与风险应对策略相适应 | |
| 3.各项主要业务控制措施是否完整、恰当 | |
| 度 | 4.是否针对非常规性、非系统性业务事项制定相应的控制措施,并定期对其执行情况进行检查分析 |
| 5.是否建立重大风险预警机制和突发事件应急处理机制,相关应急预案的处置程序和处理结果是否有效 | |
| (二)内部控制的运行 | |
| 控制活动运行符合控制措施规定 | 针对各类业务事项的主要风险和关键环节所制定的各类控制方法和控制措施是否得以有效实施 |
| 利用信息化程度 | 1.公司是否建立与经营管理相适应的信息系统,利用信息技术提高对业务事项的自动控制水平 |
| 2.在信息系统的开发过程中,是否对信息技术风险进行识别、评估和防范 | |
| 3.信息系统的一般控制是否涵盖信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全、硬件设备、操作人员等方面,确保信息系统安全稳定运行 | |
| 4.信息系统的应用控制是否紧密结合业务事项进行,利用信息技术固化流程、提高效率、减少或消除人为操纵因素 | |
| 5.信息系统是否建立并保持相关信息交流与沟通的记录 | |
| 反舞弊机制健全 | 1.是否建立健全并有效实施反舞弊机制 |
| 2.对舞弊事件和举报所涉及的问题是否及时、妥善地作出处理 | |
| 四、内控监督 | |
| 内控监督能够覆盖并监控公司日常业务活动 | 1.管理层是否定期与内控机构沟通评价结果,并积极整改 |
| 2.是否落实各职能部门和子公司在日常监督中的责任,及时识别环境和业务变化 | |
| 3.日常监督的内容是否为经过分析确认的关键控制并有效控制,是否按重要程度将发现问题如实反馈内控机构,是否积极采取整改措施 | |
| 4.日常监督用以证明内控体系有效性的信息是否适当和充分,监督人员是否具有胜任能力和客观性 | |
| 5.内部审计的独立性是否得以保障,内部审计机构是否独立、充分地履行监督职责,审计监督与内部控制沟通是否顺畅 | |
| 6.是否开展了必要的专项监督 | |
| 7.内控机构是否追踪重大风险和重要业务,是否制定内控评价和考核奖惩办法,定期组织子公司开展内控体系自我评价,合理认定内控缺陷并分析原因,提出整改建议 | |
| 内部控制缺陷认定科学、客观、合理,且报送机制健全 | 1.内控机构是否制定科学的内控缺陷认定标准并予以执行 |
| 2.是否对内控缺陷进行全面、深入地研究分析,提出并实施整改,采取适当的形式及时向董事会、监事会或经理层报告,督促业务部门整改重大缺陷,并按规定予以披露 | |
| 3.对发现的内控重大缺陷,是否追究相关责任单位和责任人的责任 | |
| 4.是否建立内控缺陷信息数据库,并对近年发现的内控缺陷及其整改情况进行跟踪检查 | |
| 内部控制建设与评价文档妥善保管 | 1.是否采取书面或其他适当方式对内控体系的建立与运行情况进行记录 |
| 2.是否妥善保存内部控制相关记录和资料,确保内控体系建立与运行过程的可验证性 | |
| 3.对暂未建立健全的有关内部控制文档或记录,是否有证据表明已实施了有效控制或者替代控制措施 | |
附表2
内控缺陷认定标准(财务报告)
| 缺陷类别 | 认定标准 | |
| 定量标准 | 定性标准 | |
| 重大缺陷 | 错报金额≥利润总额5% 或错报金额≥2.5亿元 (取较小值) | 1. 董事、监事、高级管理人员存在重大舞弊,严重影响财务报告准确性; 2. 公司审计与风险控制委员会和内控管理部门对财务报告内控监督无效; 3. 财务报告正式披露前发生重大泄露; 4. 外部审计发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报。 |
| 重要缺陷 | 利润总额5%>错报金额 ≥利润总额3% 或2.5亿元>错报金额≥5000万元 (取较小值) | 1. 对董事、监事、高级管理人员舞弊行为进行了内部约束,但内部控制措施不完备,或内控体系能够及时发现但不能及时制止; 2. 财务报告正式披露前部分信息发生泄露; 3. 公司审计与风险控制委员会和内控管理部门发现财务报告存在错报,但未能及时纠正; 4. 未依照公认会计准则选择和应用会计政策; 5. 对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制; 6. 对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、准确的目标。 |
| 一般缺陷 | 错报金额<利润总额3%, 或错报金额<5000万元 (取较小值) | 不构成重大缺陷或重要缺陷的其他内部控制缺陷 |
内控缺陷认定标准(非财务报告)
| 缺陷类别 | 认定标准 | |
| 定量标准 | 定性标准 | |
| 重大缺陷 | 损失金额≥利润总额5% 或损失金额≥2.5亿元 (取较小值) | 1. 违反国家法律、法规或规范性文件,受到重大处罚; 2. 公司没有明确的战略目标和战略管理体系; 3. 缺乏民主决策程序或形同虚设,如缺乏“三重一大”决策程序; 4. 多项重要业务缺乏制度控制或制度系统性失败; 5. 内部控制评价的重大缺陷未得到整改; 6. 受到境外国家、地区或国际组织出口管制、贸易制裁等,公司国际化战略或国际形象产生重大负面影响; 7. 中高级管理人员和高级技术人员流失严重; 8. 媒体频现负面新闻,涉及面广。 |
| 重要缺陷 | 利润总额5%>损失金额 ≥利润总额3% 或2.5亿元>损失金额≥5000万元 (取较小值) | 1. 因轻微违规受到监管部门的处罚; 2. 公司战略目标不清晰,战略计划不明确; 3. 虽然进行了民主决策,但执行中存在违背决议的情况; 4. 个别重要业务制度控制不完善或制度系统存在设计不合理; 5. 公司频繁地发生大额诉讼案件; 6. 关键岗位业务人员流失严重; 7. 媒体出现负面新闻,波及局部区域; 8. 内部控制重要缺陷未得到整改。 |
| 一般缺陷 | 损失金额<利润总额3%, 或损失金额<5000万元 (取较小值) | 不构成重大缺陷或重要缺陷的其他内部控制缺陷 |
附表3
风险评估参考标准
| 表1.风险发生的可能性 | |||||||
| 风险等级 | 概率 | 说 明 | |||||
| 高 | 100%>发生概率≥50% | 在公司本部现有的管理水平、人员结构素质和管控手段条件下,风险事件发生可能性非常高。例,每10次可能会发生该风险事件的公司行为中,该风险事件会发生5次(含)以上。 | |||||
| 中 | 50%>发生概率≥10% | 在公司本部现有的管理水平、人员结构素质和管控手段条件下,风险事件发生可能性一般。例,每10次可能会发生该风险事件的公司行为中,该风险事件会发生1次(含)以上5次以下。 | |||||
| 低 | 发生概率<10% | 在公司本部现有的管理水平、人员结构素质和管控手段条件下,风险事件发生的可能性较低。例,每10次可能会发生该风险事件的企业行为中,该风险事件会发生1次以下。 | |||||
| 表2.风险影响程度 | |||||||
| 风险等级 | 经济损失 | 公司声誉及形象 | |||||
| 高 | 损失金额≥利润总额5%, 或损失金额≥2.5亿元 (取较小值) | 导致公司声誉及公司形象受到严重不良影响,要消除这种影响需要很长的时间或要付出很高的代价 | |||||
| 中 | 利润总额5%>损失金额 ≥利润总额3%, 或2.5亿元>损失金额≥5000万元 (取较小值) | 导致公司声誉及公司形象受到一定的负面影响,且这种影响可能持续一段时间或较难消除 | |||||
| 低 | 损失金额<利润总额3%, 或损失金额<5000万元 (取较小值) | 对公司声誉影响很小且影响很短暂 | |||||
| 表3.风险可控度 | |||||||
| 风险等级 | 控制程度 | 应对措施 | 成 因 | ||||
| 高 | 很难发现且很难控制 | 全面风险解决方案 | 主、客观风险 | ||||
| 中 | 较易发现但较难控制 | 专项风险管理方案 | 主、客观风险 | ||||
| 低 | 易发现且可控制 | 风险预防性措施 | 客观风险 | ||||