爱玛科技集团股份有限公司
内部控制制度
第一章 总则第一条 为加强和规范爱玛科技集团股份有限公司(以下简称“公司”)内部控制管理工作,建立健全有效的自我约束机制,提高公司风险管理水平,保证公司战略目标的实现,促进公司可持续发展,根据《中华人民共和国公司法》《中华人民共和国证券法》《企业内部控制基本规范》及其配套指引、《上海证券交易所上市公司内部控制指引》《公司章程》等规定,制定本制度。第二条 本制度所称内部控制是由公司董事会、监事会、管理层和全体员工共同参与并实施的、旨在为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的一项活动。第三条 本制度适用于公司及各子、分公司。
第二章 内部控制原则第四条 公司建立与实施内部控制,遵循下列原则:
(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。
(二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。
(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(四)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
第三章 内部环境
第五条 公司内部环境是企业实施内部控制的基础,一般包括治理结构、
机构设置及权责分配、内部审计、人力资源政策、企业文化等。第六条 董事会是公司内部控制管理的最高决策机构,董事长是公司内部控制体系监管的第一责任人。董事会职责:
(一) 负责内部控制体系的建立健全和有效实施;
(二) 审批公司内部控制缺陷认定标准;
(三) 审批年度内部控制评价报告。
第七条 审计委员会职责:
(一) 审议公司内控缺陷认定标准;
(二) 审议年度内部控制评价报告。
(三) 监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。
(四) 督促各单位有效实施和不断完善内部控制制度。
第八条 总经理办公会职责:
(一) 负责组织领导企业内部控制的日常运行;
(二) 审议公司内控缺陷认定标准;
(三) 审议年度内部控制评价报告。
第九条 总经理办公室是内部控制的归口管理部门,职责为:
(一) 制订公司内部控制管理工作制度规范及内控缺陷认定标准;
(二) 组织开展内部控制评价,编制年度内部控制评价报告;
(三) 组织开展全面风险评估及管理;
(四) 督导子公司内部控制体系建设及管理相关工作等。
第十条 各职能部门职责:
(一) 负责归口业务领域内控制度、流程的建设及有效运行;
(二) 负责归口业务领域的风险管理;
(三) 负责归口业务领域的内控制度、流程的监督评价,督导子公司风险管理措施的落实等。第十一条 各级子公司是本单位内部控制和风险管理的责任主体,其主要负责人是内部控制体系监管的第一责任人。职责是:
(一) 建立健全本单位内部控制体系,负责本单位内控制度、流程的建设、评价及有效运行;
(二) 负责本公司全面风险管理工作;
(三) 开展监督评价等。
第四章 风险评估
第十二条 风险评估包括风险识别、风险评估和风险分析等内容。第十三条 公司识别的内部风险主要有:
(一)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素;
(二)组织机构、经营方式、资产管理、业务流程等管理因素;
(三)研究开发、技术投入、信息技术运用等自主创新因素;
(四)财务状况、经营成果、现金流量等财务因素;
(五)营运安全、员工健康、环境保护等安全环保因素;
(六)其他有关内部风险因素。
第十四条 公司识别的外部风险主要有:
(一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;
(二)法律法规、监管要求等法律因素;
(三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;
(四)技术进步、工艺改进等科学技术因素;
(五)自然灾害、环境状况等自然环境因素;
(六)其他有关外部风险因素。
第十五条 风险分析:根据现有信息,采用定性和定量相结合的方法按照风险发生的可能性和影响程度两个维度进行分析,同时还要对现有的风险控制措施及其有效性等进行分析,以便制定出更合理有效的管控措施。第十六条 风险评价:将各种风险的分析结果进行比较,确定风险等级,识别公司重点关注和优先控制的风险。第十七条 风险管理策略:公司针对风险发生的原因、风险重要性水平,考虑风险之间的关联关系并把握机遇,遵循成本效益权衡原则和合法合规原则,综合应用风险承担、风险规避、风险转移、风险降低、风险追求等风险管理策略,实现对风险的有效控制。公司应结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
第五章 控制活动第十八条 控制活动是结合风险评估结果,运用相应的控制措施,将风险控制在可承受范围内,确保管理层关于风险管理策略得以贯彻执行的政策和程序,包括但不限于:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。第十九条 公司应根据风险管理策略,针对公司重点关注和优先控制风险或其它关键风险制定相应的风险应对方案,包括规章制度、操作流程、权限职责等。建立避、防、导、塑四大措施相结合的风险应对措施。第二十条 公司应当按照各有关部门和业务单位的职责分工,组织实施控制措施,具体如下:
(一)针对公司层面控制,按照风险管理策略,建立相应的公司层面控制措施,统驭业务活动层面控制;
(二)针对业务活动层面控制,以公司层面控制措施为导向,规范业务流程,制定业务活动层面控制活动;
(三)针对整体信息系统层面:建立信息系统一般控制,包括信息安全与访问控制、程序开发、程序变更、信息系统运行与操作管理等。
第二十一条 公司实行会计系统控制措施。依法设置财务中心作为会计机构,严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。公司制定财务内控制度,内容涉及资金管理、资金授权审批管理等,对公司财务管理各个环节进行有效控制,确保公司会计管理的内部控制在重大方面具有完整性、合理性及有效性。
第二十二条 公司建立全面预算管理制度,编制经营、资本、财务等年度收支总体计划,对公司经济业务规划进行授权批准。
第二十三条 公司针对不同业务类型,制定具有实践操作的供应商准入、询价比价、供应商评价及管理、关键采购岗位管理等流程,制定供应商和采购业务管理等相关制度,避免因不相容职务未分离控制而可能引发的风险,从源头规范运行公司物料及服务的采购与供应。
第二十四条 公司建立研发项目管理制度,涵盖了项目筛选、项目立项、项目进度管理、项目阶段性评估、项目总结验收、项目资料归档等全流程。鼓励自
主创新,重视产品研究,确保研发项目从项目立项、实施、验收全过程有章可循、规范有序。第二十五条 公司制定生产相关的流程规范,对生产计划及执行、原材料及半成品管理、质检等关键业务环节进行管理规范,确保相关业务按规定程序执行,并得到适当的授权审批,确保生产环节符合公司的实际产能和发展需求,有效控制公司产品质量。
第二十六条 公司围绕发展战略和运营需要,对公司人力资源进行总体规划,在招聘、培训、晋升、薪酬等方面制定了相关的流程、制度和管理办法。规范人力资源聘用、培训、薪酬福利、绩效考核、员工离职等关键业务,实现人力资源的合理配置和优化。第二十七条 公司制定资产管理的相关制度,对实物资产的验收入库、调拨、保管及处置等关键环节进行控制,采取了职责分工、实物定期盘点、财产记录、账实核对、财产保险等措施,防止各种实物资产的被盗、毁损和重大流失;公司建立固定资产管理制度,明确各层次固定资产的权限,并制定请购、审批、采购、验收程序。第二十八条 对外投资的内部控制。公司制定股东大会、董事会的议事规则,明确规定股东大会、董事会对外投资的审批权限和投资决策程序,对外投资根据不同事项、金额等分别由权责单位审议通过,规范公司投资行为和科学决策。
第二十九条 公司根据有关法律法规制定关联交易相关制度,明确关联交易的内容、定价原则、决策程序和审批权限,确保关联交易的公平和公允性,并有效维护股东和公司的利益。
第六章 信息与沟通
第三十条 信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式及时传递,以便员工履行职责。信息不仅包括内部产生的信息,还包括与公司经营决策和对外报告相关的外部信息。
第三十一条 公司应建立畅通的沟通渠道和机制,使公司的员工能及时取得在执行、管理和控制公司经营过程中所需的信息,同时,建立适当的渠道就相关信息与公司的相关方(如:供应商、客户、股东等)进行必要的外部沟通。信息沟通过程中发现的问题,应及时报告并加以解决,重要信息应及时传递给董事会、
监事会和管理层。
第三十二条 公司建立研发、生产、经营的信息采集、整理、分析、传递系统,促进信息的集成与共享,并为信息系统有效运行提供适当人力、财力保障,利用电脑网络系统等现代化信息平台,充分发挥信息技术在信息与沟通中的作用,使各管理层级、各部门、员工与管理层之间信息传递更迅速、顺畅,沟通更便捷、有效。第三十三条 公司制定完善的信息披露管理办法,明确重大事项的判定标准和报告程序,确定披露事项的收集、汇总和披露程序,符合监管要求。第三十四条 公司制定反舞弊相关制度,建立反舞弊机制。持续开展舞弊调查并逐步完善反舞弊机制。
第三十五条 公司建立包括信息系统的控制环境、信息安全、系统变更管理、系统运行维护、最终用户操作等内容的信息系统总体控制规范与规章制度,确保公司信息系统稳定运行和安全,并持续不断的进行改进、完善或更新。
第三十六条 公司建立投资者关系管理制度,规范公司与投资者之间的信息沟通,加深投资者对公司的了解和认同,促使公司和投资者之间建立长期、稳定的良性关系。
第七章 内部监督
第三十七条 内部监督是对公司内部控制体系设计有效性及执行的效率和效果进行监督评价,揭示、防范和管理企业风险,以便能更好地实现内部控制的目标,完善内部控制体系。
第三十八条 内部监督包括日常监督、专项监督以及内部审计。相关部门通过监督与评价,识别公司内部控制管理运行过程中存在的风险和缺陷,同时依据相关标准对已识别的风险和缺陷进行评估认定,对识别的重大风险和重大缺陷报公司董事会最终认定后执行。
第三十九条 日常监督:公司对建立与实施内部控制的情况进行常规、持续的监督检查。各业务单位作为内部控制的第一道防线,应随时监控本单位内部控制体系运行情况,确保公司生产经营活动的合规性及风险的可控性。
第四十条 专项监督:是指对某一或者某些方面进行有针对性的监督检查和评价。公司总经理办公室和其他职能部门作为内部控制的第二道防线,应时刻
关注公司发展战略、组织结构、经营活动、业务流程、关键岗位人员等发生重大调整或变化,根据业务实际运行情况,遵循全面覆盖、重点监控的原则,及时对相应管理领域的某一或者某些方面进行有针对性的监督检查和评价,并报告。第四十一条 内部审计:公司审计中心作为内部控制的第三道防线应对公司内部控制有效性进行独立审计并报告。第四十二条 公司审计委员会根据公司授权的监督检查部门提供的内部控制评价报告及相关信息,评价公司内部控制体系建设情况,并报董事会审议。第四十三条 公司董事会依据有关监管部门的要求,在年度报告披露的同时,披露公司年度内部控制评价报告。
第四十四条 公司内部控制评价报告包括但不限于如下内容:
(一)董事会对内部控制报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的依据、范围、程序和方法;
(四)内部控制缺陷及其认定情况;
(五)对上一年度内部控制缺陷的整改情况;
(六)对本年度内部控制缺陷拟采取的整改措施;
(七)内部控制有效性的结论。
第四十五条 公司应以书面或其他适当形式,妥善保存内部控制建设过程中的相关记录或资料,确保内部控制建设过程中的可追溯性。第四十六条 公司每年选聘外部审计机构,对公司内部控制的有效性进行审计并出具内部控制审计报告。第四十七条 公司授权公司审计中心负责协调外部审计单位对公司内部控制有效性进行审计,同时负责监督公司相关部门及权属公司内部控制缺陷的整改工作。
第四十八条 公司董事会在年度报告披露的同时,披露公司内部控制审计报告。
第四十九条 公司通过持续不断的监督评价,改进内部控制管理体系运行有效性,进而实现公司的可持续发展。
第八章 附 则第五十条 本制度未尽事宜依照国家有关法律、法规、规范性文件以及《公司章程》的规定执行,本制度与日后国家颁布的法律、法规、规范性文件以及《公司章程》抵触时,按照国家有关法律、法规、规范性文件以及《公司章程》的规定执行。第五十一条 本制度自公司董事会审议通过之日起生效并实施。第五十二条 本制度由公司董事会负责解释和修订。
爱玛科技集团股份有限公司2021年12月27日