深圳市桑达实业股份有限公司
内部控制管理制度
(2022年12月30日公司第九届董事会第十三次会议审议通过)
第一章 总则第一条 为加强和规范深圳市桑达实业股份有限公司(以下简称“公司”)内部控制,提高企业依法经营管理水平和风险防控能力,推动高质量可持续发展,根据国资委《关于加强中央企业内部控制体系建设与监督工作的实施意见》(国资发监督规〔2019〕101号)、《企业内部控制基本规范》及其配套指引,制定本制度。第二条 本制度适用于公司及所属控股或实际控制企业(以下简称“所控股企业”)。第三条 本制度所称内部控制是由企业董事会、监事会、经理层和全体员工实施的,为实现其控制目标而在企业内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。第四条 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略。
第五条 建立与实施内部控制,应当遵循下列原则:
(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖公司及其所控股企业的各种业务、事项、流程。
(二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。
(三)制衡性原则。内部控制应当在治理结构、机构设置及权责界定、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(四)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
第六条 建立与实施有效的内部控制,应当包括控制环境、风险评估、控制活动、信息与沟通、监督活动五个要素。
第二章 控制环境
第七条 控制环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责界定、管理制度、人力资源政策、企业文化等。
第八条 公司董事会负责审议批准内部控制重大事项、内部控制体系建设策略、内部控制管理基本制度、年度内部控制评价报告。
第九条 公司董事会审计与风险管理委员会负责审议年度内部控制工作计划、内部控制的有效实施和内部控制监督评价情况、听取内部控制工作汇报、风险管理情况汇报等。
第十条 公司监事会对董事会建立与实施内部控制情况进行监督,检查经营及财务报告,向经理层提出内部控制改进建议,监督内部控制重大缺陷上报情况。
第十一条 公司总裁是公司推进内部控制体系建设主要责任人,负责组织领导建立健全覆盖各业务领域、部门、岗位,涵盖各级子企业全面有效的内部控制体系。
第十二条 公司风险法务部是内部控制体系建设的牵头部门,主要履行下列职责:
(一)组织、协调内部控制体系建设工作,编制内部控制体系建设方案。
(二)拟订内部控制制度和标准。
(三)拟订内部控制工作计划。
(四)编制年度内部控制体系工作报告。
(五)组织开展内部控制监督检查。
(六)会同业务部门研究改进内部控制建设期间发现的缺陷的整改措施。
(七)向董事会、董事会审计与风险管理委员会和经理层及时报告内部控制重大
事项。
(八)组织各部门、所控股企业内部控制专(兼)职人员培训。第十三条 公司审计部是内部控制评价工作牵头部门,会同相关部门与人员实施内控评价工作,其主要职责包括:
(一)拟订内部控制评价工作实施方案;
(二)拟订内部控制缺陷评价标准;
(三)组织与实施内部控制评价方案,实施现场测试,编制评价工作底稿;
(四)提出缺陷整改建议,向公司经营管理层报告评价工作发现的缺陷及整改情况;
(五)编制公司内控评价报告;
(六)督导各单位整改内部控制缺陷与健全内部控制体系。
第十四条 公司各业务部门负责建立健全职责范围内的内部控制体系,协助开展内部控制监督评价,对口指导、监督所控股企业改进管理,受理内部控制归口部门移送或建议的事项,反馈内部控制缺陷的整改落实情况,并持续完善管理制度,在具体业务制度的制定、审核和修订中嵌入统一的内部控制体系管控要求,明确重要业务领域和关键环节的控制要求和风险应对措施。
第三章 风险评估
第十五条 风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
第十六条 公司风险法务部负责牵头开展风险评估,应当根据设定的控制目标,全面系统持续地收集相关信息,准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。
第十七条 公司应当按照风险管理相关制度规定,综合评估企业内外部风险水平,
有针对性地制定风险应对方案,并根据原有风险的变化情况及应对方案的执行效果,有效做好单位间风险隔离,防止风险由“点”扩“面”,避免发生系统性、颠覆性重大经营风险。
第十八条 公司在投资并购、改革改制、兼并重组、资产交易、股权交易等重大经营事项决策前,要开展专项风险评估,并将风险评估报告(含风险应对措施和处置预案)作为重大经营事项决策的必备支撑材料,对超出企业风险承受能力或风险应对措施不到位的决策事项不得组织实施。
第四章 控制活动
第十九条 控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。
第二十条 公司应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。
第二十一条 控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
第二十二条 公司应当全面系统地分析、梳理业务流程中所涉及的不相容职务,严格规范重要岗位和关键人员在授权、审批、执行、报告等方面的权责,实现可行性研究与决策审批、决策审批与执行、执行与监督检查等岗位职责的分离。
第二十三条 公司应当制定常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。公司应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。
公司各级管理人员应当在授权范围内行使职权和承担责任。对于重大的业务和事项,公司应当实行集体决策审批或者联签制度,任何个人不得单
独进行决策或者擅自改变集体决策。第二十三条 公司应当建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。公司应当严格限制未经授权的人员接触和处置财产。第二十四条 公司应当建立健全全面预算管理体系,明确各责任部门在预算管理中的职责权限,规范预算的编制、审批、执行、调整和考核监督程序,强化预算约束。第二十五条 公司应当建立运营情况分析制度,综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。第二十六条 公司应当建立和实施绩效考评制度,科学设置考核指标体系,对公司内部各责任部门和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
第二十七条 公司应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
第五章 信息与沟通
第二十八条 信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。
第二十九条 公司应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。
第三十条 公司应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的适用性。
第三十一条 公司应当将内部控制相关信息在公司内部各管理级次、责任部门、业务环节之间,以及公司与外部投资者、债权人、客户、供应商、中介机构和监管部门
等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。
第三十二条 公司应当加强内部控制信息化建设力度,梳理和规范业务系统的审批流程及各层级管理人员权限设置,将制度要求和控制措施嵌入业务流程中,固化到各类业务信息系统,确保自动识别并终止超越权限、逾越程序和审核材料不健全等行为,促使各项经营管理决策和执行活动可控制、可追溯、可检查,有效减少人为违规操纵因素。
第六章 监督活动
第三十三条 监督活动是公司对内部控制建立与实施情况进行监督评价,评价内部控制的有效性,发现内部控制缺陷,及时加以改进。
第三十四条 公司应当建立内部控制监督评价制度、评价标准和缺陷认定标准,明确内部控制评价归口部门和其他部门在内部控制评价中的职责权限,规范内部控制评价的程序、方法和要求。
第三十五条 公司审计部每年应当按照《深圳市桑达实业股份有限公司内部控制评价管理办法》对本单位内部控制体系的有效性进行全面自评,客观、真实、准确揭示经营管理中存在的内部控制缺陷、风险和合规问题,并分析产生缺陷和问题的原因,提出改进建议,及时向董事会、监事会或者经理层报告,并跟踪落实整改,全面提升内部控制体系的有效性。
第三十六条 公司应当以书面或者其他适当的形式,妥善保存内部控制体系建立、实施和监督评价过程中的相关记录或者资料,确保内部控制体系建立、实施和监督评价过程的可验证性。
第七章 内部控制体系工作报告
第三十七条 公司应当根据内部控制、风险管理和合规管理监督评价结果,及时规范编制年度内部控制体系工作报告,报本单位董事会审议批准。
第三十八条 年度内部控制体系工作报告应当包括下列内容:
(一)董事会对年度内部控制体系有效性的评价意见。
(二)内部控制体系建设及执行情况,包括组织架构及履职情况,制度建设及执行情况,日常管控情况,信息化管控情况等。
(三)内部控制体系监督评价情况,包括风险管控情况,合规管理监督情况,内部控制监督评价情况等。
(四)下年度内部控制体系建设与监督评价工作安排。
(五)内部控制体系建设与监督评价工作亮点及难点。
第三十九条 公司应当以当年12月31日作为年度内部控制体系工作报告的基准日,在次年3月底前及时向公司董事会报送本单位上年度内部控制体系评价工作报告。
第八章 考核及责任追究
第四十条 公司应当强化对各部门及所控股企业内部控制缺陷整改工作跟踪检查力度,将整改落实情况纳入每年抽查评价范围,对整改不力的印发提示函或通报,进一步落实整改责任,避免出现重复整改、形式整改等问题。
第四十一条 公司应当建立健全与内部控制体系监督评价结果挂钩的考核机制。对未按规定履行内控及风险管理制度建设职责,内控及风险管理制度未执行或执行不力,对公司内控缺陷问题失察或虽发现但没有及时报告、处理,瞒报漏报谎报自评结果、内控缺陷整改落实不到位的企业或个人,公司应当根据考核规则给予考核扣分、薪酬扣减或岗位调整等处理。如因此给公司生产经营、财务状况造成重大影响或给公司造成重大资产损失或其他严重不良后果,则公司应当根据违规责任追究制度的相关规定予以责任追究。
第九章 附则
第四十三条 本制度自公司董事会审议通过之日起实施,由公司董事会授权风险法务部负责解释。