宁夏英力特化工股份有限公司
内控风险管理规定
第一章 总则第一条 为规范和加强宁夏英力特化工股份有限公司(以下简称公司)内控风险管理工作,根据《中华人民共和国公司法》、国务院国资委《中央企业全面风险管理指引》、财政部等五部委《企业内部控制基本规范》及其配套指引、国务院国资委《关于加强中央企业内部控制体系建设与监督工作的实施意见》等法律法规及规范性文件的规定,结合公司发展战略和管理实际,制定本规定。
第二条 本规定所称内控风险管理,是指企业为实现战略和经营管理目标,开展风险与控制识别、评估,以获悉所面临的风险及其类别和等级,根据风险偏好和风险容忍度,分级分类制定风险应对策略,通过实施一系列制度、程序和方法,对相应业务中的风险实施有效管控,并采用风险监控和内控监督等手段,推动风险事项应对和控制缺陷整改,以规避或减少风险损失,为实现企业总体目标提供合理保证的动态管理过程。
本规定所称内部控制,是指由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。
本规定所称风险,是指未来的不确定性可能对企业实现战略和经营目标产生的影响。
本规定所称的内控风险管理体系文件包括内控风险管
理各项制度及其附件、内控风险管理手册(含内控风险矩阵)、内控评价手册、风险监控预警指标体系、内控风险典型案例库和专项风险管理指引等各类专门制度和操作规范。
第三条 内控风险管理目标包括:
(一)确保企业经营管理合法合规。
(二)确保企业资产安全,实现国有资产保值增值。
(三)确保企业内外部,尤其是企业与各利益相关方之间真实、有效的信息沟通,财务报告真实可靠。
(四)确保企业内控风险管理与战略目标、经营目标相匹配,保障企业经营管理重大措施有效贯彻执行,提高经营活动的效率效果,降低目标实现的不确定性。
第四条 内控风险管理遵循以下原则:
(一)全面性与重要性原则。内控风险管理应涵盖企业战略发展、业务运营和管理支持的各个方面,贯穿决策、执行和监督全过程。在全面管控的基础上,聚焦关键业务、改革重点领域、国有资本运营重要环节以及境外国有资产监管等,加强对重大风险的管控。
(二)领导负责与全员参与原则。内控风险管理应落实到岗位职责,公司领导及所属各部门、中心负责人本级内控风险管理的第一责任人,各业务部门是内控风险管理责任主体,各级管理人员及全体员工是主要参与者。
(三)业务结合与权力制衡原则。坚持管业务必须管风险,内控风险管理要求应融入业务管理全过程;企业应在治理结构、机构设置、权责分配、业务流程等方面形成相互衔
接、相互制约、相互监督的制衡机制,防止徇私舞弊、违法违纪等现象的发生。
(四)强化监督与持续改进原则。企业应通过全面自我评价、检查评价、内控专项审计、外部审计监督等方式,及时发现重大风险隐患、内控缺陷及合规问题等,强化整改落实,实行动态跟踪,持续优化内控风险管理体系及运行机制。
(五)动态适应与成本效益原则。内控风险管理应主动适应内外部环境变化,始终与企业经营规模、业务范围、竞争能力和管理水平保持匹配。充分权衡管理成本与预期效益,在风险应对策略和控制措施的选择方面以适当的成本实现有效的控制。
第五条 本规定所称内控风险管理主要包括以下工作:
(一)风险与控制识别。
(二)风险评估。
(三)风险与业务控制。
(四)内控评价。
(五)管理改进。
(六)监控与报告。
第六条 本规定适用于本单位各部门、各中心及生产运行部。
第二章 组织与职责
第七条 公司党委统筹部署公司内控风险管理工作,研究审议“三重一大”决策范围内的内控风险管理事项。党委成员负责组织协调分管领域的内控风险管理工作。
第八条 公司董事会是内控风险管理的决策和监管机构,督导内控风险管理工作,主要履行以下职责:
(一)落实监管机构关于企业内控风险管理的相关要求,督导公司内控风险管理体系的建立与实施。
(二)批准公司内控风险管理基本制度,确定公司总体风险偏好、风险承受度。
(三)批准公司年度内控体系工作报告、年度重大风险评估报告等重要文件,定期听取公司内控风险管理工作汇报。
(四)批准公司内控风险管理其他重大事项。
董事会审议决定上述事项前,须先经董事会审计委员会初步审议,并履行党委会前置程序。
第九条 公司董事长是内控风险管理第一责任人,负责领导建立健全并有效运行覆盖各业务领域、各组织机构、各工作岗位的内控风险管理体系。
第十条 公司审计委员会是公司董事会下设的专业委员会,主要履行以下职责:
(一)完成董事会委派的有关内控风险管理的监督指导工作,对内控风险管理体系建设提出建议,并与经理层进行沟通。
(二)审议公司内控风险管理基本制度、风险偏好、风险承受度,督导内控风险管理体系的建设和运行。
(三)审议年度内控体系工作报告、年度重大风险评估报告等重要文件。
(四)审议公司内控风险管理其他重大事项。
第十一条 公司经理层是内控风险管理的责任主体,负责内控风险管理的实施工作,主要履行以下职责:
(一)公司总经理主持召开总经理办公会研究和审议内控风险管理重大事项。
(二)公司副总经理、财务总监、总工程师负责组织拟订分管领域内控风险管理的专项制度、工作方案、应对措施并督导实施主持召开专题会,研究分管领域内控风险管理的有关事项。专题会由相应业务部门负责筹备,相关部门负责人参加。
第十二条 公司证券与法律事务部是内控风险管理的牵头部门,负责内控风险管理牵头协调工作,主要履行以下职责:
(一)组织拟订公司内控风险管理制度等内控风险管理体系文件。
(二)推动建立健全内控风险管理体系和运行机制组织开展风险与控制识别、风险评估、风险与业务控制、管理改进、监控与报告等工作。
(三)组织开展内控风险管理体系有效性检查评价,协助审计部开展内控专项审计,汇总评价结果,跟踪监督缺陷整改情况。
(四)按上级单位部署开展内控风险管理情况量化监控。
(五)编制公司年度内控体系工作报告、年度重大风险
评估报告、重大风险季度监控情况等重要文件。
(七)协调推进公司内控风险管理信息化建设。
(八)开展内控风险管理文化培育,组织内控风险管理培训,建立、更新内控风险管理知识体系,培养专业化内控风险人才队伍。
第十三条 公司审计部负责定期对内部控制体系建设、执行情况进行评价。主要职责包括:
(一)组织制定并持续修订完善内部控制评价总体目标、规划和年度计划;
(二)组织制定内部控制评价标准,开展内部控制评价,督促内部控制缺陷整改落实;
(三)组织制定并持续修订完善内部控制评价方案、内部控制评价报告等内部控制评价重要文件;
(四)负责内部控制评价工作的归档工作;
(五)完成与内部控制评价相关的其他事项;
(六)完成董事会审计委员会交办的其他相关事项。
第十四条 公司各部门依据职责分工负责各相关领域内控风险管理工作,履行内控风险管理主体责任。主要履行以下职责:
(一)落实公司内控风险管理的有关规定,建立健全本部门业务领域管理制度及内控风险管理业务流程。
(二)确定本部门业务领域的风险偏好、风险承受度,组织开展业务领域的风险与控制识别、风险评估、风险与业务控制、内控自我评价和管理改进等工作,确保管控目标的
实现。
(三)开展本部门内部控制自我评价、并配合审计部组织的的检查评价,对发现的内控缺陷制定整改方案并予以落实,按时报送整改情况。
公司各部门指定一名内控风险管理联络员,负责本部门的内控风险管理体系建设与运行、组织协调本部门的内控风险管理工作。
第三章 风险与控制识别
第十四条 风险与控制识别是指企业依据战略目标和经营管理目标,及时收集各类与风险相关的信息,结合本单位所处的内外部环境,有效识别影响企业战略和经营管理目标的各类风险,并结合内部制度识别相应的控制措施和责任单位,构建和完善内控风险矩阵,为内控风险管理工作奠定基础。
第十五条 企业应全面系统持续地收集与风险相关的内外部信息,并对收集的初始信息进行必要的筛选、提炼、对比、分类、组合,以提升信息的有效性。风险信息内容主要包括历史数据和未来预测,风险类型主要包括但不限于:
(一)战略风险方面:国内外宏观经济形势、产业政策、行业发展状况、国际化经营情况、科技创新等信息。
(二)市场风险方面:市场竞争情况、价格及供需变化、产业链上下游情况、主要客户和供应商信用情况、物资供应情况等信息。
(三)财务风险方面:行业会计政策、汇率利率等融资
政策、盈利能力、偿债能力、现金流、财务管理等信息。
(四)运营风险方面:给企业造成损失的自然灾害风险、与质量、安全、员工健康、环境保护等相关业务流程或环节、市场营销、工程项目管理、资本运作和并购重组等信息。
(五)法律合规风险方面:法律法规和监管要求等调整变化情况、经营业务合法合规情况、存在引发重大法律案件可能性等信息。
第十六条 企业应根据收集的风险信息,查找本单位各项业务和经营管理活动中有无风险,以及存在何种风险,并对辨识出的风险进行描述,分析风险内外部成因,以及可能对企业财务、安全、环境、声誉和合规等方面产生的影响。
第十七条 企业应对已识别的风险事项,结合外部监管要求和内部管理规定、工作手册、操作指引等文件,识别相应的控制措施并进行描述。控制措施应明确控制要求、控制责任部门、控制频率和控制方式等内容。
第十八条 企业应对风险与控制信息的收集和识别实行动态管理。根据自身发展战略和经营管理目标、内外部环境、组织架构调整、制度体系与合规要求更新、内控风险典型案例分析等情况,定期或不定期组织对本单位内控风险矩阵进行动态更新和维护。
第四章 风险评估
第十九条 风险评估是指企业对于识别出的风险进行分析和评价,分析风险发生的可能性和条件,评估风险对企业
实现目标的影响程度。
第二十条 公司每年底由证券与法律事务部牵头组织开展一次下一年度全面风险评估,主要包括风险评估的范围、内容、方法、工作安排和要求等。
第二十一条 风险评估方法包括定性方法和定量方法。定性方法可采用问卷调查、集体投票、管理层访谈等方法;定量方法可采用风险矩阵法、决策树法、统计推论等方法(定量评估标准见附件1)。
风险等级分为三级:一般风险、重要风险和重大风险。一般风险,指发生可能性较低且影响程度较小的风险;重要风险,指发生可能性与影响程度介于一般风险与重大风险之间的风险;重大风险,指发生可能性较高且影响程度较大的风险。
第二十二条 公司应在投资并购、改革改制等重大经营事项决策前开展专项风险评估,专项风险评估内容可单独编制报告,也可包含在尽职调查报告中,作为重大经营事项决策的必备支撑材料,对超出本单位风险承受能力或风险应对措施不到位的决策事项不得组织实施。
公司可针对重大风险事项或重点管理领域制定专项风险管理指引,作为开展专项风险评估与应对的主要依据。
第二十三条 公司应对风险评估实行动态管理,在年度全面风险评估的基础上,结合新形势、新要求对原有风险的变化和新增风险的水平及时掌握,适时调整风险管理的优先顺序。
第五章 风险与业务控制第二十四条 风险与业务控制是指企业根据风险评估结果,结合风险偏好和风险承受度,确定风险应对策略,制定内部控制目标,明确组织责任,采取适当的控制措施,对各种业务和事项实施有效控制。
风险应对策略一般包括:风险规避、风险降低、风险分担和风险承受。
控制措施一般包括:组织机构和人员分工控制、不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、内部报告控制、业务程序控制、签字背书控制、审查备案控制、透明交易控制、信息系统控制、绩效考评控制和监督控制等。
第二十五条 控制措施应当高度关注重点领域、关键环节和重要岗位的管控,其中:
(一)重点领域包括人力资源管理、战略管理、投资管理、财务管理、产权管理、资本运营、采购管理、市场与销售、运营管理、安全环保管理、科技管理、法律合规等与人、财、物、资源调配密切相关的领域。
(二)关键环节包括授权、批准、审核、决策、拟办、会签、订立合同、结算、付款、交割、交易、验收、注销、用印、监督、考评等与权力行使密切相关的环节。
(三)重要岗位包括领导班子成员,职能部门主要负责人,专项工作分管负责人,财务、资金、采购、销售、证券、
物资管理、信息系统权限管理、印章管理等涉及企业决策和行权的重点岗位管理人员及工作人员。
第二十六条 公司应定期总结和分析风险与业务控制的有效性和适应性,风险与业务控制应与企业经营规模、业务范围、竞争状况和风险等级等相适应,并随着内外部环境的变化及时加以调整。
第六章 内控评价
第二十七条 内控评价是指对内部控制的有效性进行评价,客观、真实、准确揭示经营管理中存在的内控缺陷,督促和帮助企业持续优化内控体系的过程。内控评价包括自我评价、检查评价和内控专项审计。
公司审计部负责开展公司内部控制自我评价工作。
第二十八条 公司以规范流程、消除盲区、有效运行为重点,组织公司相关部门开展内控自评,按要求形成评价结果。
第二十九条 公司结合未达标控制要求及其成因、表现形式和影响程度,进行综合分析和全面复核后,组织开展缺陷认定,根据风险评估结果、公司实际情况和问题的重要性程度,进一步判定缺陷等级,并编制内控缺陷汇总表。
第七章 管理改进
第三十一条 管理改进是指企业对内控风险管理评价和监控中发现的内控缺陷,制定管理改进计划并持续跟踪完
善,形成内控风险管理促进业务提升、业务发展推动内控风险管理体系优化的长效联动机制。
第三十二条 公司建立缺陷整改机制,制定整改工作方案,明确整改责任主体、整改措施和完成时限等,严格落实整改责任,推动企业完善管理制度,规范权力运行,整改情况按要求报送集团公司。
第八章 监控与报告
第三十三条 内控风险监控与报告是对企业风险变化与内控运行情况进行全程持续监测,建立连接各治理主体、各业务部门和各单位的内控风险管理信息沟通渠道,对企业内控风险管理情况进行实时监控、及时预警、准确沟通与完整报告,促进内控风险管理有效运行。
第三十四条 公司对负责业务领域风险监控预警指标进行跟踪,及时分析指标异常或报警原因,采取应对措施积极响应。
第三十五条 公司按照监管要求,结合实际,兼顾区域和行业特点,建立风险监控预警指标体系,形成风险监控预警指标库,并完善风险监控预警机制,明确管控职责。
第三十六条 公司应按季度编制重大风险季度监控情况。
第三十七条 公司每年年初应编制年度内控体系工作报告。
第三十八条 公司在日常工作中突发重大经营风险事
件,依据《中央企业重大经营风险事件报告工作规则》(国资发监督规〔2021〕103 号)的相关要求,向监管部门报告,不得拖延或谎报、瞒报。
第九章 管理信息系统第三十九条 公司依托集团公司内控风险管理信息系统开展风险与控制识别、风险评估、内控评价、缺陷整改、监控预警、报告报送与审批、年度考核评价等相关工作。逐步深化应用风险监控指标的实时监测和自动预警、控制自动化评价等功能,促进内控风险管理工作由定性向定量转化、由经验向模型转化。
第十章 内控风险管理文化第四十条 公司培育具有内控风险管理意识的企业文化,促进公司内控风险管理水平、员工内控风险管理素质的持续提升,以保障公司整体战略目标的实现。
第四十一条 公司各级领导人员在内控风险管理文化培育工作中应积极发挥表率作用,重要业务和风险控制的管理人员和操作人员应成为内控风险管理文化培育和践行的骨干力量。
第四十二条 公司全体员工应牢固树立内控风险管理意识,强化管理制度化、制度流程化、流程信息化的内控风险管理理念,将内控风险管理嵌入经营管理的全过程,将内控风险管理意识内化为员工的自觉行动,促进集团公司建立系
统、规范、高效的内控风险管理体系。
第四十三条 公司建立面向管理层及全体员工的内控风险管理培训体系,其中内控风险管理岗位人员每年脱产业务培训不少于5个工作日。培训可采取集中培训、专家讲座、典型案例研讨、知识竞赛、自主学习等多种形式。
第四十四条 公司每年选择典型案例上报宁夏电力公司,并分别从风险因素、影响后果、应对策略和方案、方案执行成效等要素进行深入分析,将典型案例分析成果与内控风险管理各项工作充分联动,以推动公司组织开展有效的风险识别与评估、管理改进等工作。
第十一章 考核与追责
第四十五条 公司证券与法律事务部每年年底组织公司内控风险管理工作自评,从管理环境、管理组织、管理制度与程序及管理驱动保障四个维度设置评价指标和评价标准(考核评价标准见附件2),通过定性和定量相结合的方式开展,并根据评价结果,向公司业绩考核部门提出考核建议。
第四十六条 公司建立内控风险管理责任追究机制,依据《宁夏英力特化工股份有限公司违规经营投资责任追究工作管理规定》和相关规定,追究有关部门、中心及其管理人员的责任:
(一)因内控风险管理制度缺失或未按制度执行,导致本单位存在重大控制缺陷或发生重大风险造成重大利益损失的;
(二)因存在重大控制缺陷,导致外部审计机构对内部控制有效性出具否定意见的;
(三)存在对重大风险隐患、内部控制缺陷、合规问题等的失察,瞒报漏报谎报等造成重大资产损失或其他严重不良后果的;
(四)存在其他违反本规定的行为,造成重大资产损失或其他严重不良后果的。
第十二章 附则
第四十八条 本规定由公司董事会负责解释。
第四十九条 本规定自印发之日起施行。原《宁夏英力特化工股份有限公司内部控制基本制度》(宁英化制度〔2021〕74号)《宁夏英力特化工股份有限公司全面风险管理规定》(宁英化制度〔2021〕74号)同时废止。
附件:1. 定量风险评估标准
2. 内控风险管理考核评价标准
附件1:
定量风险评估标准