云南能源投资股份有限公司
内部控制管理制度
第一章 总 则第一条 为进一步加强云南能源投资股份有限公司(以下简称“公司”)内部控制,以“强内控、防风险、促合规”为目标,构建相互融合、协同高效的内控管理体系,提高公司依法经营管理水平和风险防范能力,根据《企业内部控制基本规范》及其配套指引和公司章程,结合公司实际,特制定本制度。第二条 本规范所称内部控制,是由公司股东大会、董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。第三条 本制度适用于公司及各所属公司,所属公司是指受公司实际控制的各级机构。
第四条 公司内部控制制度应遵循下列原则
(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖公司及各下属单位的各种业务和事项。
(二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。
(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(四)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
第五条 建立与实施有效的内控控制,应当包括控制环境、风险评估、控制活动、信息与沟通、内部监督五个要素。
第二章 控制环境
第六条 控制环境是公司实施内部控制的基础,一般包括治理结构、机构设置及权责分配、发展战略、人力资源、企业文化、内部审计等。
第七条 董事会负责内部控制的建立健全和有效实施,决定内部控制体系建设方案,审议批准内部控制管理手册,审议批准公司内部控制评价报告。
第八条 总经理办公会负责组织领导公司内部控制的日常运行,审议内部控制建设方案并组织实施。
第九条 监事会对董事会建立与实施内部控制情况进行监督,有权对经营管理和财务状况开展检查,就存在的问题提出内部控制改进建议。
第十条 内部控制归口管理部门为风控与审计法务部,归口管理部门的主要职责包括:
(一)组织、协调内部控制体系建设工作;
(二)会同公司各部室研究改进内部控制缺陷的措施;
(三)向董事会、审计委员会和总经理办公会及时报告内部控制重大事项;
(四)指导、协助所属公司建立健全内部控制建设工作;
(五)组织公司及所属公司内控专(兼)职人员培训。
第十一条 公司各部室负责建立健全职责范围内的内部控制体系,协助开展内部控制监督评价,开展职责范围内内部控制缺陷整改工作并向内部控制归口管理部门反馈缺陷的整改落实情况;在职责范围内对口指导、监督所属公司开展内部控制体系建设。第十二条 各所属公司根据国家有关法律法规和公司章程,建立规范的公司治理结构和议事规则,合理设置职责权限,规范决策程序,确保“三重一大”决策制度有效落实,加强风险管理文化、内部控制及合规文化建设,明确重要业务领域和关键环节的控制要求和风险应对措施,具备条件的,可适时编制内部控制管理手册,形成全面、全员、全过程的内部控制管理体系。
第三章 风险评估
第十三条 风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险, 合理确定风险应对策略,主要包括风险初始信息收集、风险识别与评估、风险应对、风险的监控与预警、风险管理的监督与改进、风险管理文化建设等。
第十四条 内部控制归口管理部门定期或不定期按照公司全面风险管理制度组织开展全公司风险识别与评估,公司各部室及所属公司应结合日常工作,通过各种渠道,广泛、持续地收集与本单位风险和风险管理相关的内、外部初始信息,包括历史数据、未来预测以及本公司和国内外相关企业发生的风险损失事件案例等,对风险信息进行动态管理。
第十五条 公司各部室及所属公司应以收集的风险初始信息为基础,结合对各项重要管理及业务流程的分析进行风险评估,主要包括风险辨识、风险分析和风险评价。
第十六条 公司各部室及所属公司根据自身条件和外部环境,围绕职能定位及自身发展,确定风险偏好、可接受风险水平、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,确定相应的风险承受度,包括整体风险承受能力和业务层面的可接受风险水平。
第十七条 公司及所属公司在投资并购、兼并重组、资产交易、股权交易等重大经营活动前, 要开展尽职调查及风险评估。
第四章 控制活动
第十八条 控制活动是公司根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。
第十九条 公司内部控制活动应覆盖公司所有经营管理环节,包括但不限于采购管理、招标管理、资产管理、全面预算管理、资金运营管理、融资管理、担保管理、募集资金管理、财务报告、投资管理、金融投资管理、经营管理、安健环管理、工程项目管理、研究与开发、关联交易管理、信息披露、法务和合同管理、人力资源管理和信息系统管理等。
第二十条 控制措施包括但不限于不相容职务分离控制、授权审批控制、信息系统控制、预算控制、运营分析控制和绩效考核控制等。
第二十一条 公司各部室应当全面系统地分析、梳理各流程中所涉及的不相容职务,严格规范重要岗位和关键人员在授权、审批、执行、报告等方面的权力和责任,实现不相容岗位相分离,建立敏感岗位轮岗制度,加强重要岗位授权管理和权力制衡,形成相互衔接、相互制衡、相互监督的工作机制。
第二十二条 公司内部控制归口管理部门牵头组织编制内部控制管理手册,明确内部机构设置、岗位职责、业务流程等情况,并负责内部控制管理手册的日常运行维护、
统筹协调、运行效果测评等。
第二十三条 公司内部控制归口管理部门根据内外部环境、组织架构及管理要求的改变,组织对内部控制管理手册开展更新,原则上每年更新一次,当发生以下情况时,应及时更新:
1.公司组织架构发生变化时,不调整可能会影响相关业务流程的运行效率和效果;
2.公司管理制度发生变化时,不调整可能会影响相关业务流程的运行效率和效果;
3.公司业务依据的法律法规发生变化,不调整可能会影响相关业务流程的运行效率和效果;
4.公司出现新业务,且无法参照现有控制手册执行的,可编写新的控制流程,以完善内部控制管理手册;
5.其他公司认为需要变更的情况。
第二十四条 公司及各所属公司应建立健全重大风险预警机制和突发事件应急处理机制,明确风险预警指标,制定应急预案、明确责任部门和岗位、规范处置程序,开展必要的演练和培训,确保重大风险和突发事件得到及时妥善处理。
第五章 信息与沟通
第二十五条 信息与沟通是公司及时、准确地收集、传递与内部控制相关的信息,确保信息在公司内部、公司与外部之间进行有效沟通。
第二十六条 各部室应充分运用公司信息化系统,梳理和规范业务系统的审批流程及各层级人员权限设置,将制度要求和控制措施嵌入业务流程中,固化到信息系统,确保自动识别并终止超越权限、违反程序和审核材料不健全等行为,减少线下审批流程,促使各项决策和审批流程可控制、可追溯、可检查,有效减少人为操作失误带来的风险。
第二十七条 各部室在信息沟通过程中发现的问题及重要信息,应当及时向总经理办公会和董事会报告并加以解决。
第六章 内部监督与整改
第二十八条 内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
第二十九条 公司制定《内部控制评价管理办法》和《内部控制评价手册》明确内部控制评价归口管理部门和其他部室在内部控制评价中的职责权限,规范内部控制评价的程序、方法、要求、评价标准和缺陷认定标准等。
第三十条 公司内部控制评价归口管理部门每年对公司内部控制体系的有效性进行全面自评,客观、真实、准确反映公司存在的内部控制缺陷、风险和合规管理等问题,并分析产生缺陷和问题的原因,提出改进建议,及时向公司总经理办公会和董事会报告,并跟踪落实缺陷整改情况,全面提升内部控制体系的有效性。
第三十一条 内部控制缺陷的责任单位应制定整改方案,明确具体整改方法、整改期限、责任人等,整改方案经该内控缺陷事项的归口管理部门认可后立即实施整改;整改完成后由内控缺陷事项的归口管理部门进行验收、确认;内控缺陷整改后应保证一定的有效运行期,未经再测试或未获得有效执行证据,不得认定原内控缺陷事项已整改完成。
第七章 考核及责任追究
第三十二条 公司应建立健全与内部控制评价结果挂钩的考核机制,对内部控制制度不健全、内部控制执行不力、瞒报漏报谎报评价结果、整改落实不到位的各部室应当给予考核扣分。
第三十三条 公司严格按照《云南能源投资股份有限公司违规经营投资资产损失责任追究办法》,对未按规定履行内部控制建设职责、未执行或执行不力,以及瞒报、漏报、谎报或迟报重大内部控制缺陷事件的单位,坚决追责问责。
第八章 附 则
第三十四条 本制度由公司董事会解释和修订。
第三十五条 本制度经公司董事会审议批准,自通过之日起执行。