内蒙古天首科技发展股份有限公司
内部控制管理制度(经公司2022年3月22日董事会审议通过)
第一章 总则第一条 为强化内蒙古天首科技发展股份有限公司(以下简称“公司”) 内部管理,合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略,根据《中华人民共和国公司法》《中华人民共和国证券法》《企业内部控制基本规范》及《深圳证券交易所股票上市规则》《深圳证券交易所上市公司自律监管指引第1号——主板上市公司规范运作》等法律、法规、规范性文件和《内蒙古天首科技发展股份有限公司公司章程》(以下简称“《公司章程》”),制订本制度。第二条 本制度所称内部控制,是指公司各层级的机构和人员,依据各自的职责,采取适当措施,合理防范和有效控制经营管理中的各种风险,促进控制目标实现的机制和过程。第三条 公司根据自身经营管理的特点,建立合规、有效的内部控制体系。内部控制体系由董事会决策并承担最终责任,管理层直接领导、审计部统筹协调开展工作并实施日常检查监督、各子公司具体实施、监事会再监督。各子公司总经理负总责,将相关职能落实到具体部门和具体岗位,安排专人与公司审计部进行业务衔接,保证自公司内部控制信息传递畅通,内部控制工作开展有序。第四条 公司内部控制体系遵循的有关原则:
(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。
(二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。
(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(四)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。第五条 适用范围为公司本部各部门、控股子公司。
第二章 内部控制的内容
第六条 公司内部控制主要包括内部环境、风险评估、控制活动、信息与沟通、内部监督五要素,涵盖公司经营活动中与财务报告和信息披露事务相关的所有业务环节,包括:销货与收款、采购及付款、存货管理、固定资产管理、资金管理、投资与融资管理、人力资源管理、信息系统管理和信息披露事务管理等。
第七条 内部环境包括治理结构、组织机构设置与权责分配、内部审计、人力资源政策、企业文化等。
1、公司及各子公司需依据章程规定设置公司治理结构,建立合理的组织架构,健全授权体系,确保公司的各项规章制度得以贯彻执行。各级授权要适当,对已获授权的部门和人员应建立有效的评价和反馈机制,对已不适用的授权应及时修改或取消授权。
2、公司设立内部审计部门,对公司内部控制制度的建立和实施、公司财务信息的真实性和完整性等情况进行检查监督。公司各内部机构或者职能部门、控股子公司以及对上市公司具有重大影响的参股公司应当配合内部审计部门依法履行职责,不得妨碍内部审计部门的工作。
内部审计部门应当保持独立性,不得置于财务部门的领导之下,或者与财务部门合署办公。内部审计部门对审计委员会负责,向审计委员会报告工作。
管理层应有效地设计、实施公司反舞弊程序和控制,针对不同行为采取适当的措施。
3、公司应建立科学的聘用、休假、加班、辞退、培训、退休、晋升、薪酬计算与发放、社会保险缴纳等劳动人事制度。
4、公司应积极培育具有自身特色的企业文化,引导和规范员工行为,打造有效的企业品牌,形成整体团队的向心力,促进公司长远发展。
第八条 公司应建立相应的风险评估制度,及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素,采取应对策略。
第九条 控制活动指公司管理层及其授权部门需根据公司自身的行业特点及
经营管理活动内容,制定各项业务管理规章、操作流程和岗位手册,以及针对各个风险点, 制定必要控制程序等。
第十条 公司结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等措施,将风险控制在可承受度之内。第十一条 对于公司内部的计算机管理信息系统,内部控制除计算机维护部门与电子信息使用部门应明确划分职责权限外,至少还应包括针对以下活动的控制:开发计算机系统及修改程序的控制;计算机程序及资料的存取控制;基础数据的输入输出控制;资料备份、档案及设备的安全控制;硬件及软件系统的购置、使用及维护的控制;系统复原及测试程序的控制。
第十二条 信息与沟通控制分为内部信息沟通控制和公开信息披露控制,主要包括:建立内部信息传递体系,针对各部门、各公司间信息沟通的方式、内容、时限等制定相应的控制程序;建立信息披露责任制度,将信息披露的责任明确到人,确保董事会秘书能及时知悉公司各类信息并及时、准确、完整地对外披露。
第十三条 内部监督要求企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,如发现内部控制缺陷,应当及时加以改进。内部监督主要通过内部控制自我评价开展。
第三章 内部控制的工作方法
第十四条 内部控制工作包括内部控制调研、内部控制体系建设与维护、内部控制信息管理、内部控制自我评价等几个部分。
第十五条 内部控制调研。公司审计部不定期对内部控制进行内、外部调研,收集法律法规、监管文件、行业及企业内部控制领先操作实务,接受培训以及实地考察,整理调研资料,改进公司内部控制管理体系及策略。
外部调研包括内部控制与风险管理相关法律法规、公司各个行业相关监管政策与法规、行业领先企业内部控制管理与操作实务等。
内部调研主要是对各公司各业务部门内部控制情况进行调研,结合年度内部控制评价报告结果,对评价结果突出的单位进行考察和调研,并及时将调研成果与公司相关管理层及员工进行分享。
第十六条 内部控制体系建设与维护。公司审计部负责组织公司内部控制体系建设,为公司内部控制的统筹规划和推动实施奠定规范和统一的管理基础。内部控制体系建设主要内容如下:
1、组织内部控制体系建设。组织工作包括设定工作目标,制定工作计划和方案,划分逐层推进的工作阶段及对应公司范围,确定工作模式、组织结构及主要分工,提出参与人员要求,制定考核流程、标准、奖惩措施,最终形成可行的工作管理办法,并在集中开展建设过程中严格执行与落实;建设工作包括围绕内部控制要素划分内部控制各层面,在流程层面选定标准流程及特色流程,根据行业特色及主要财务指标等信息设定重要性标准,以访谈、测试等手段了解公司及下属各公司内部控制体系设计有效性及执行有效性情况,发现在设计及执行中存在的缺陷并评估其严重程度,提出整改建议并与管理层共同形成整改方案,以及在集中工作完成后,持续关注其缺陷整改情况,直至形成满足目标要求的内部控制体系。该内部控制体系按公司内部授权及流程进行,批准后正式发布实施。
2、审阅各项规章制度。公司及下属各公司制定的所有制度,应以书面形式提交公司审计部对其进行内部控制合规性审阅。审阅通过后按公司内部授权及流程进行审批。批准后,各公司以电子或书面形式将审批件及制度文件统一归档保存,同时反馈至审计部进行备案,各公司按各自规定下发相关制度。各公司各业务部门为具体的内部控制规章制度的制定和维护责任部门,流程依据相关规定执行。
3、编制和维护内部控制手册。负责编制、维护本公司内部控制手册。各公司应编制、维护各自的内部控制手册并按公司授权进行签批。本手册是对公司如何实现有效的内部控制做出的具体规定和详细说明,以公司层面及各板块业务流程为线索,针对流程中的各个具体业务进行分析,结合该业务的风险点,参考相关规章制度,识别并设计应对风险的控制点,并对控制点进行具体描述,落实责任单位和岗位。通过该手册建立全面、统一的内部控制标准。
第十七条 内部控制信息管理。公司审计部与各公司业务部门之间建立信息共享机制,广泛搜集、整理与内部控制相关的内外部信息,在公司范围内广泛共享和及时充分沟通,提高经营管理透明度,为内部控制管理工作奠定相应的信息基础。
公司审计部负责对内部控制管理相关信息进行汇总、提炼和分析,并逐步落
实各公司业务部门在内部控制管理中的信息报送责任。各业务部门要积极配合并按要求准时提供有关内部控制评价及报告所需信息资料。
第十八条 内部控制自我评价。内部控制自我评价以风险为导向,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。
若委托外部咨询机构对内部控制自我评价进行检查评价,各业务部门要密切配合其工作,针对检查中发现的内部控制管理问题,应按照其建议,研究制订切实可行的整改措施,及时进行整改。
第十九条 内部控制工作在公司及纳入公司合并报表范围的全部子公司开展。已完成体系建立的子公司,按照自身的实际情况开展内部控制体系的维护工作,不断提升内部控制管理水平,适时调整内部控制体系以应对不断变化的内外部环境,同时致力于不断提升公司经营管理效率;新纳入合并报表范围内的子公司,应第一时间将内部控制职能予以明确,落实到具体部门及岗位,及时组织内部控制评估,及时整改发现问题,待内部控制体系正式建立后,转入维护阶段。
第四章 内部控制工作考核
第二十条 内部控制工作应纳入公司绩效考核,以内部控制工作目标、工作计划及方案为标准,根据内部控制工作的按时、按质、按量实际完成情况进行评分;若出现重大、重要内部控制缺陷,则一票否决。
第五章 附则
第二十一条 公司根据有关监管部门指引,结合自身实际情况制定具体的内部控制制度,并针对环境、时间、生产经营情况的变化及内部审计、会计师事务所等机构所发现的内部控制缺陷,不断进行调整修正。
第二十二条 本制度更新、解释由公司审计部负责,
第二十三条 本制度由公司董事会审议通过后生效并实施。