中电科网络安全科技股份有限公司内部控制体系建设与监督管理基本制度
(第1版)
第一章 总 则第一条 为建立和规范中电科网络安全科技股份有限公司(以下简称“电科网安”)的内部控制体系,提高风险防范能力,促进电科网安可持续、健康发展,按照财政部等五部委联合下发的《企业内部控制基本规范》(财会〔2008〕7号)及配套指引等要求,结合国资委《关于加强中央企业内部控制体系建设与监督工作的实施意见》(国资发监督规〔2019〕101号)及上级单位制度精神,根据公司业务特点和管理需要,制定本制度。
第二条 本制度适用于电科网安及下属子公司。第三条 本制度所称的内部控制体系(以下简称“内控体系”),主要包括内控管理、风险管理和合规管理监督,是由电科网安党委、董事会、管理层和全体员工实施的,旨在实现控制目标的过程。内控体系管理主要是指内控体系的建设与监督工作。
第四条 电科网安内部控制体系的建设与监督工作,以“强内控、防风险、促合规”为目标,紧紧围绕公司发展战略,以风险管理为导向,合规管理监督为重点,不断完善制度体系建设、强化内控的执行及监督评价、加强信息化管控和工作保障机制,构建相互融合、协同高效、全面覆盖的内控体系,合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,为公司战略目标的实现提供保障。
第五条 电科网安建立与实施内控体系管理,应遵循以下基本原则:
(一)合法合规性原则:内部控制必须符合国家法律、法规和政策,符合上市公司监管规定,符合中国电子科技网络信息安全有限公司(以下简称“中国网安”)的管理要求,符合电科网安党委、董事会等相关规定和要求。
(二)全面性原则:内部控制应贯穿决策、执行和监督全过程,覆盖公司及子公司的各种业务和事项,涉及全体员工。
(三)重要性原则:内部控制应当在全面控制的基础上,关注公司及子公司战略决策、重要业务事项和高风险域。
(四)制衡性原则:内部控制在治理结构、机构设置及权责分配、业务流程等方面达到相互制约、相互监督,同时兼顾运营效率。
(五)适应性原则:内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
(六)成本效益原则:内部控制应当权衡实施成本与预期效益,以适当的成本实现有效的控制。
(七)包容性原则:内部控制应力求避免与公司现行各项管理制度相矛盾,尽可能包容现行制度中的内部控制。对确实脱离实际的其他各项管理制度,应及时修改、完善。
第二章 内控体系组织建设与职责
第六条 电科网安内控体系管理组织体系包括电科网安党委、董事会、董事会审计委员会、总经理办公会、内控体系管理部门、其他部门及子公司。董事会是内控体系最高决策机构,公司主要领导人是内控体系建设和监管工作第一责
任人。
第七条 电科网安内部控制管理组织体系中各机构的管理职能为:
(—)党委
电科网安党委把握内部控制重大方向问题,履行前置审议程序,提升公司抗风险能力。具体包括:
1. 研究讨论电科网安内控体系建设与监督工作方案;
2. 研究讨论电科网安内部控制基本制度;
3. 研究讨论电科网安半年度/年度《内部控制体系工作报告》;
4. 审定需党委决策的其他重大事项。
(二)董事会
电科网安董事会主要负责审议和决定电科网安内控体系建设和监督工作重大事项及工作安排。具体包括:
1. 负责决定电科网安内控体系建设与监督工作方案;
2. 批准电科网安内部控制体系基本制度、标准等;
3. 批准电科网安内部控制体系组织机构设置及职责;
4. 确定电科网安内控体系总体目标和管理策略;
5. 审议电科网安年度内部控制自我评价报告;
6. 审定需董事会决策的其他重大事项。
(三)董事会审计委员会
电科网安董事会审计委员会主要负责监督和指导公司内控体系建设工作。具体包括:
1. 监督和指导电科网安内控体系建设与监督工作方案;
2. 监督和指导电科网安内部控制体系基本制度、标准等;
3. 监督电科网安内部控制评价情况。
(四)总经理办公会
电科网安总经理办公会在董事会的领导下,负责组织制定具体内控制度与措施,开展与经营事项相关的内控管理工
作。具体包括:
1. 批准电科网安的内部控制具体管理制度与业务流程;
2. 批准电科网安半年度/年度《内部控制体系工作报告》;
3. 批准电科网安《内部控制体系管理手册》;
4. 批准电科网安内控体系缺陷整改方案。
(五)内控体系管理部门
内控体系管理部门主要负责落实电科网安内控体系管理工作部署,推动内控体系管理各项工作落地。具体包括:
1. 负责与中国网安内控相关机构工作对接,组织和协调电科网安及子公司内控体系管理工作;
2. 负责按照中国网安有关要求,拟定和完善内控体系建设方案、制度;
3. 负责组织并推动各部门、子公司开展年度重大风险评估、内部控制建设与监督以及牵头组织缺陷整改工作;
4. 负责维护电科网安《内部控制体系管理手册》;
5. 负责建立健全《岗位风险管理手册》;
6. 负责确定风险监控指标,建立风险预警机制;
7. 负责组织开展内控体系自我评价监督工作,并组织配合上级单位组织的专项评价工作,负责组织落实内控体系缺陷整改工作;
8. 负责组织和协调内控体系的其他管理工作。
(六)电科网安其他部门
其他部门主要负责本部门内控体系制度的建设及执行、各单位业务领域内控体系建设的指导和监督等工作。具体包括:
1. 负责按照电科网安内控体系管理工作的总体部署,确定本部门内控体系管理工作内容;
2. 负责本部门职责范围内制度的梳理以及《内部控制体系管理手册》的编写和及时修订,并提交电科网安内控体系
管理部门;
3. 负责本部门职责范围内的风险评估与监测预警工作;
4. 负责开展本部门职责范围内的内部控制自我监督,指导、监督和检查子公司的内控体系管理工作,配合开展内控体系监督等工作;
5. 负责督促本部门职责范围内的重大风险应对、内控缺陷整改工作,并跟踪整改落实。
(七)子公司
各子公司是本单位内控体系有效运行的执行机构,主要负责按照上级单位内控体系建设与监督工作的总体部署,确定本单位内控体系建设与监督工作内容。具体包括:
1. 负责建立健全本单位的内控体系,子公司应成立内控体系管理工作机构,设立内控体系建设及监督专职岗位,与上级单位内控相关机构工作对接;成立内控体系评价工作组,组织和协调本单位内控体系评价工作;
2. 负责建立和维护本单位《内部控制体系管理手册》;
3. 负责梳理本单位制度和管理规定,保证其与内控体系管理协调一致;
4. 负责建立健全本单位《岗位风险管理手册》,重点关注采购、销售、投资管理、资金管理、工程项目、产权(资产)交易流转等业务岗位,并在流程层面明确和落实各岗位风险防控责任;
5. 负责确定本单位风险监控指标,建立风险预警机制;
6. 负责开展本单位的内控体系自我评价监督工作,并配合上级单位组织的内控体系现场评价及专项评价工作;
7. 负责组织落实本单位的内控体系缺陷整改工作;
8. 负责组织和协调本单位内控体系的其他管理工作。
第三章 内控体系建设与监督框架基础第八条 电科网安的内控体系建设及监督工作以管理和业务流程为主线,按照以下五项基本要素建立健全内控体系管理工作。
(一)内部环境:建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制,是公司内控体系建设与监督管理的基础,包括公司治理架构、机构设置、权责分配、管理层经营理念、员工职业道德、企业文化等;
(二)风险评估:及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略;
(三)控制活动:运用相应的控制措施,将风险控制在可接受的程度之内,包括岗位职责分离、授权审批、验证核对、绩效考核等;
(四)信息与沟通:及时、准确、完整地收集、加工、整理决策所需的内部控制相关信息并有效传递,是管理活动的重要组成部分;
(五)内部监督:公司对内控体系建立与实施情况进行监督检查,评价内控体系设计和运行的有效性,发现内部缺陷,提出改进措施并监督整改情况的过程。
上述内容以《内部控制体系管理手册》的形式体现。《内部控制体系管理手册》是电科网安各部门、各子公司在日常管理、业务活动中须遵照执行的基本要求和自我检查的基本依据,也是内部控制体系评价的依据。
第四章 内控体系建设工作要求
第九条 按照中国电子科技集团有限公司(以下简称“集团公司”)和中国网安“集中、分层、分类”的内控体系建
设模式,不断优化内控、风险和合规管理监督相关制度,建立以“内控体系建设与监督制度”为统领,各项具体操作规范为支撑的“1+N”内部控制制度体系。
第十条 集中管理是指集团公司统一领导内控体系建设与监督工作。
分层管理是指按照分级管理要求,各层级的内控体系管理组织都应按照上级组织的要求,开展本层级的内控体系建设与监督工作;各级内控体系专门管理部门负责组织本层级的内部体系管理的实施和完善工作。
分类管理是指电科网安及子公司的各部门按照职责对内部控制实行分类管理。《内部控制体系管理手册》的具体内容分为若干类别,每一个类别对应一个主要负责部门(以下简称“主责部门”),主责部门负责职责相关的内部控制建设工作。
第十一条 《内部控制体系管理手册》的制定和维护。
电科网安及子公司均需要编制内部控制手册,开展内控管理。建立《内部控制体系管理手册》修订工作机制。当发生下列事项时,应及时修订和完善内部控制手册:国家相关法律法规、行业规定、监管部门要求、中国网安要求等发生变化;公司战略调整、组织机构、管理职责等内部环境发生调整变化;新业务的实施、业务管理要求发生变化;风险评估结果发生重大变化;发生内部控制重大失控事件。
第十二条 电科网安《内部控制体系管理手册》修改、审核、批准、更新程序。
(一)提出修改申请:在第十一条所述事项发生时,各部门或子公司应在其管理范围内及时向内控体系管理部门提出修改申请。修改申请应对修改事项、修改原因和修改意见进行说明解释。
(二)审核、批准修改申请:内控体系管理部门组织相
关部门对报送的修改意见的合理性和必要性进行审核。如有必要,可组织内外部专家对修改意见做出审核和评判。
(三)更新与发布:内控体系管理部门负责《内部控制体系管理手册》的统一更新与发布。涉及管理制度的修改或补充,由制度归口部门按照相关规定负责管理。更新后的内控手册,按照相应管理层级进行审批后正式生效。涉及内部控制的重大调整事项,需履行相关决策和审批程序。
第十三条 内控体系信息化。
将内控体系信息化管控纳入电科网安及子公司信息化建设总体规划,推动业务流程信息化,不断优化信息系统中审批流程、权限设置等信息系统的关键控制点;推动集团管控信息系统的集成应用,逐步实现内控体系与业务信息系统互联互通、有机融合;提高重要领域和关键环节的信息化覆盖率,增强内控体系刚性约束,借助信息化手段实现实时监测、自动预警等功能,进一步提高内控体系有效性。
第五章 内控体系监督工作要求
第十四条 内控体系监督。
(一)内控体系监督包括日常监督、专项监督和年度评价。
(二)内控体系监督的范围包括内控设计与执行有效性、风险及合规制度建设及实施情况等。
(三)专项监督和年度评价程序根据中国网安有关规定,结合公司实际情况开展。统筹风险、合规、内外部审计、监事会、纪检监察、巡察等监督资源,加强事前、事中、事后监督各项职责的统筹、部署和协调力度,形成工作合力,提高内控监督效率,提升工作质量与效果。
(四)内控体系监督工作应全面、客观、充分地综合评
价内部控制有效性,评价工作底稿或评价表要记录完整,缺陷认定信息真实、充分和客观,并提出切实可行的内部控制体系缺陷整改建议。
第十五条 电科网安各部门在各自职责范围内定期或不定期开展内部控制体系日常监督和专项监督工作,分析确认关键控制点并有效实施控制。日常监督是指对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指每年从电科网安年度工作会提出的重点工作中,选择一项或几项进行监督检查。
第十六条 年度评价包括自评价和现场评价。
(一)内控体系自评价工作。
年度评价以每年1月至12月为评价期间,组织各部门及子公司对内控体系有效性进行全面自评,客观、真实、准确揭示经营管理中存在的内控缺陷、风险和合规管理存在的问题,形成内控体系自评价报告。
子公司的自评价报告经决策机构批准后按规定报送电科网安,电科网安汇总形成电科网安内控体系自评价报告,经决策机构批准后进行披露和报告,同时抄送电科网安纪检监察部门、人力资源管理部门,根据整改工作需要,还应当抄送各相关职能部门。
(二)内控体系现场评价工作。
根据评价工作需要,电科网安内控体系管理部门可以聘请专业机构,组织开展内控体系现场评价工作。
第十七条 内控体系监督结果的运用。
(一)跟踪整改。
各部门、子公司针对内控评价发现的问题拟定整改方案,经决策机构批准后实施;内控体系管理部门协同主责部门定期跟踪检查整改落实情况。
发现的问题和缺陷属于需要修订《内部控制体系管理手
册》的,相关主责部门应按照手册维护流程进行修订完善。
(二)考核评价。
电科网安对各部门、子公司的内控体系建设与监督情况纳入考核。
(三)责任追究。
未按规定履行内控体系建设职责、未执行或执行不力,瞒报、漏报、谎报或迟报内控缺陷事件,被确认存在重大舞弊行为导致公司利益受损、国有资产形成损失,以及其他内部控制体系重大缺陷、导致外部审计机构对公司内部控制有效性出具否定意见的,由公司按有关规定追究责任。
第六章 附则
第十八条 本制度由电科网安内控体系管理部门负责解释。第十九条 本制度自印发之日起施行。