上海紫江企业集团股份有限公司
内部控制制度
第一章 总则第一条
为了加强上海紫江企业集团股份有限公司(以下简称“公司”)内部控制与风险管理工作,建立健全内部控制体系,有效实施及监督内部控制,提高风险防范能力,促进公司持续、健康发展。根据《中华人民共和国公司法》、《中华人民共和国证券法》、《上海证券交易所股票上市规则》、《企业内部控制基本规范》和配套指引、其他相关法律法规及《公司章程》,结合公司实际,制定本制度。第二条 本制度适用于公司及各子公司。具体涉及管理组织体系,内部控制管理,检查、考核与责任追究管理等内容。
第三条 定义
(一)内部控制:是由公司董事会、监事会、管理层及全体员工实施的、旨在实现公司发展目标的控制过程。
(二)风险:是指未来的不确定性对公司实现其经营发展目标的影响。公司风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等五大类。
(三)全面风险管理:是指公司围绕总体经营目标,通过在公司管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
(四)公司层面内部控制缺陷,是指由那些对公司的整个内部控制体系具有广泛影响的控制所产生的内部控制缺陷,如发生在组织架构、发展战略、人力资源管理方面的内部控制缺陷。
(五)业务层面的内部控制缺陷,是指由那些可直接作用于公司生产经营业务活动的具体业务控制所产生的内部控制缺陷,如发生业务处理程序中的批准
上海紫江企业集团股份有限公司 内部控制制度与授权、审核与复核、以及为保证资产安全而采用的限制接近等控制的内部控制缺陷。
第二章管理组织体系第四条 公司设立内部控制管理组织体系,由董事会、监事会、审计委员会、战略与投资决策委员会、预算与执行委员会、薪酬与考核委员会、管理层、审计部门、各职能部门及各子公司构成。
第五条
董事会是公司内部控制管理的最高决策机构,其职权是:
(一)确定公司内部控制建设的总体目标;
(二)了解和掌握公司面临的重大内部控制管理现状;
(三)审批公司内控管理报告;
(四)监督公司内部控制文化的培养建设;
(五)决策公司内部控制管理的其他重大事项。
第六条 监事会负责监督公司内部控制制度的设计与执行,对发现的内部控制缺陷,可要求公司整改。
第七条 审计与各管理委员会的管理职权:
(一)监督及评估外部审计机构工作;
(二)审议内部控制有效性;
(三)审阅公司的财务报告并对其发表意见;
(四)协调管理层、内部审计部门及相关部门与外部审计机构的沟通。
第八条 管理层内部控制的职权:
(一)负责内部控制制度体系的建立、完善;
(二)审批公司内部控制制度,推进制度的执行;
(三)检查公司制度的制定、实施情况;
(四)审批风险管理总体目标和风险应对总体方案,决策重要和重大风险管理中的有关具体问题;
(五)负责组织完成涉及内部控制管理的其他重大事项。
第九条 公司审计部门的内部控制的职责:
(一)拟定公司内部控制管理相关制度;
(二)制定公司年度内控评价管理工作方案;
(三)按照审批的工作方案组织开展内控工作;
(四)收集、分析各职能部门及各子公司的内控管理的信息、资料;
(五)审核公司各部门及各子公司年度内控评价报告,编制公司年度内部控制评价报告;
(六)监督、协调外部审计机构按计划完成年度内控审计工作,并组织相关各方沟通发现的内控缺陷和管理建议;
(七)向管理层及时汇报内、外部审计提出的内控问题及建议,并随时关注缺陷整改完成情况;
(八)督导各职能部门及各子公司内控缺陷的整改;
(九)沟通、确认外部审计机构出具的内控审计意见。
第十条 公司各职能部门内部控制的职责:
(一)严格执行公司各项管理制度;
(二)识别、分析部门业务中涉及的内控缺陷,制定或完善内部控制制度,确保内部控制设计有效;
(三)梳理本部门业务制度,评价本部门内部控制管理活动;
(四)及时向管理层报告业务中发现的重大或重要内控缺陷;
(五)指导各子公司相关业务的内部控制管理工作,落实内部控制措施,监督检查其执行的有效性,跟踪落实内部控制缺陷改善;
(六)配合内审、外审开展内控审计工作,针对发现的内控缺陷及时沟通并整改;
(七)建立健全本部门管理制度和流程,并有效执行,确保本部门不出现重大或重要风险事项;
(八)对本部门涉及重大或重要风险须及时识别、分析和应对,并制定和完善管控措施。
第十一条 各子公司的法定代表人为本企业内部控制与风险管理工作的第一责任人,对本公司内部控制设计的健全性和执行的有效性等负责,确保本企业不出现重大内部控制缺陷和风险事项。
第十二条 各子公司内部控制管理的职责:
(一)根据本制度建立健全本企业的内控制度体系,确保本企业内部控制体系设计和运行有效,不出现重大、重要内部控制缺陷;
(二)按照公司制定的年度内部控制与风险管理工作方案,结合年度重点工作制定和安排本企业的内部控制管理工作方案和相关工作;
(三)梳理、评价本企业内部控制,编制年度内部控制评价报告;
(四)识别、分析本企业涉及重大或重要内控缺陷和风险事项,并制定和完善相应的管控措施;
(五)及时向上级部门报告业务中发现的重大内控缺陷和风险事项;
(六)对涉及重大或重要缺陷造成的损失和影响,进行责任追究;
(七)负责涉及内部控制管理的其他事项。
第十三条 内部控制管理应嵌入到具体业务制度、管理制度和操作流程中,各部门是分管相关业务内部控制建立、有效执行的直接责任单位。
第三章内部控制管理
第十四条 公司内部控制的目标:
(一)合理保证公司经营管理合法合规;
(二)维护资产安全;
(三)保证财务报告及相关信息真实完整;
(四)提高经营效率和效果;
(五)促进公司实现发展战略。
第十五条 公司内部控制管理工作应遵循以下原则:
(一)全面性原则。内部控制要贯穿决策、执行和监督全过程,覆盖公司及各子企业的各种业务和事项。
(二)重要性原则。内部控制应当在全面控制的基础上,关注重要事项环节和高风险领域。
(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(四)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。内部控制应权衡实施成本与预期效益,以适当的成本实现有效控制。
第一节内部控制内容及措施第十六条 公司内部控制活动涵盖公司所有的运营环节,包括但不限于:组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购活动、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递及信息系统等。具体参照《紫江企业内控手册》
第十七条 公司各职能部门及各子公司应制订解决风险的内控措施。针对重大风险所涉及的各项管理及业务活动,制订涵盖各个环节的全流程控制措施;对其他风险所涉及的业务活动,以关键环节作为控制点,制订相应控制措施。第十八条 公司采用的内部控制措施包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考核控制、重大风险预警和突发事件应急处理机制。
第十九条 公司及各子公司按照不相容职务分离控制要求全面系统地分析、定期梳理业务流程中所涉及的不相容职务,实施相应的分离措施。
第二十条 公司及各子公司按照授权审批控制要求制定常规授权和特别授权的相关规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
第二十一条 公司及各子公司财务部门参照《企业内部控制基本规范》及配套指引关于会计系统控制的要求,严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。
第二十二条
公司及各子公司要建立财产日常管理制度和定期清查制度,加强对财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全等的财产保护控制。
第二十三条 公司及各子公司建立运营情况分析制度,综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
第二十四条 公司及各子公司建立和实施绩效考评制度,设置考核指标体系,对公司内部各责任单位和全体员工的业绩进行定期考核和客观评价,考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
第二十五条 公司及各子公司建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
第二十六条 公司相关职能部门及各子公司对其相应的内部控制制度负责,检查内部控制措施建立和执行的有效性。内部控制措施的具体要求参照《企业内部控制基本规范》及配套指引。
第二节内部控制文档的更新与维护
第二十七条 审计部门应结合公司经营模式、组织架构、业务变更及风险状况,对内部控制设计的健全性及执行情况进行持续性评估及动态化更新。
第二十八条 审计部门每年通过问卷调查、访谈等形式,组织各职能部门、各子公司对本年度业务风险进行全面识别与评估。
第二十九条 根据经营模式、组织架构、业务变更及风险状况,公司各职能部门及各子公司每年定期对现有制度或业务流程进行评价,判定内部控制活动是否需要补充、完善、修改或调整。
(一)每年对公司制度框架和流程框架进行梳理,对制度和流程体系建设的规范性、完整性、时效性提出修订意见,对各职能部门的内控制度和流程等体系文件提出修订意见;
(二)各职能部门根据修订意见,完成本部门的内控制度和流程等体系文件修订后,指导各子公司对相关业务适用的内控制度和流程等体系文件进行修订;
(三)各职能部门、各子公司应当主动对相关的新业务实施、内部控制流程变更、控制环节调整等重要事项进行关注,及时进行风险和内部控制的评价,提出对相应制度和流程的修改意见,并进行修订、重新发布;
(四)对由于内、外部审计在内控评价时发现的内部控制不足或控制不当,而提出的相关修改建议,相关部门应及时反馈或进行整改、修订和完善。
第三节 内部控制评价
第三十条 内部控制评价程序包括:制订评价工作方案,组成评价工作组,实施现场测试,认定控制缺陷,汇总评价结果,编报评价报告。
第三十一条 制定评价工作方案。公司审计部门组织各职能部门及各子公司
上海紫江企业集团股份有限公司 内部控制制度实施内部控制评价工作,制定下一年度的工作方案。方案内容包括:评价范围与内容、工作组织、评价依据及方法、具体实施安排等内容;评价工作方案由公司分管负责人审核,总经理批准。第三十二条 审计部门根据经批准的评价工作方案要求的时间开始组织各职能部门开展内控评价工作,确定评价工作组成员,由业务胜任能力强、熟悉公司内部相关情况、参与日常工作的业务骨干等组成;各子公司根据公司内控评价方案,制定本公司的内控评价工作方案,适时安排并完成内控评价工作。第三十三条 公司各职能部门在开展内控评价工作时,制度管理部门可会同审计部门等组成专项工作组,统筹资源、制定方案、开展专项评价检查。第三十四条 公司实施内部控制评价工作可以委托中介机构进行,中介机构的选聘按照《服务外包项目采购管理办法》执行。第三十五条 内控评价测试,可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验法、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。 第三十六条 汇总评价工作底稿,进行交叉复核,公司各职能部门的内控评价人员提交工作底稿至部门负责人审核后,提交审计部门;评价工作组负责人审核工作底稿后,单位负责人签字确认。第三十七条 评价工作组汇总评价结果,对缺陷的成因、表现形式及风险程度等进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级。
第四节 内部控制缺陷的认定与整改第三十八条 审计部门、各职能部门及各子公司以日常监督和专项监督为基础,结合内部控制评价,依据内控缺陷认定标准对评价过程中发现的内部控制缺陷进行认定,并客观、公正、完整地编制内部控制缺陷整改建议,书面报告:
(一)报告频次:一般缺陷和重要缺陷每年至少报告一次,重大缺陷立即报告。
(二)报告途径:
1、一般缺陷随内控评价报告一并报告;
2、对于重要缺陷及整改方案,由缺陷整改部门负责人审核后,由审计部门向管理层报告。
3、重大缺陷及整改方案,由缺陷认定责任部门经部门负责人审核后,由审计部门向管理层、董事会分别报告。
4、重大缺陷应当由董事会予以最终审定。
5、如果存在与管理层舞弊相关的内部控制缺陷,或存在管理层凌驾于内部控制之上的情形,直接向董事会报告。
(三)关注因素:
1、缺陷在公司中的普遍性,是否具有广泛性影响;
2、缺陷对公司层面控制各组成要素的相对重要性;
3、管理层凌驾的风险包括考虑舞弊的可能性、以往内部控制缺陷记录、表明内部控制风险增加的迹象等;
4、控制运行有效性方面已发现的例外情形的性质、原因和频次;
5、缺陷可能造成的潜在影响。
第三十九条 内部控制缺陷的分类:
(一)按照内部控制缺陷成因或来源,包括设计缺陷和运行缺陷。
1、设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。
2、运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括不恰当的人执行、未按设计方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。
(二)按照影响公司内部控制目标实现的严重程度,内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。
1、重大缺陷,是指一个或多个关键控制缺陷的组合,可能导致公司严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中出具内部控制无效的结论。
2、重要缺陷,是指一个或多个重要控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致公司偏离控制目标。重要缺陷的严重程度低于重大缺陷,不会严重危及内部控制整体有效性,但应当引起董事会、经营层的充分关注。
3、一般缺陷,指不构成重大缺陷、重要缺陷的内部控制缺陷。
(三)按照影响内部控制目标的具体表现形式,内部控制缺陷分为财务报告缺陷和非财务报告缺陷。第四十条 公司层面内部控制缺陷认定标准。公司董事会根据《企业内部控制基本规范》及配套指引,结合公司规模、行业特征、风险水平等因素,研究确定并发布适用本公司的内部控制缺陷具体认定标准及财务报告内部控制缺陷的认定标准:
(一)一项内部控制缺陷单独或连同其它缺陷具备合理可能性导致不能及时防止或发现并纠正财务报表中的重大错报,应将该缺陷认定为重大缺陷。合理可能性是指大于微小可能性(几乎不可能发生)的可能性。出现下列情形的,认定为重大缺陷:
1、识别出高级管理层中任何程度的舞弊行为,包括财务报告舞弊,资产不当使用,不实的收入、费用及负债,资产的不当取得,偷税和高层舞弊等方面;
2、对已签发的财务报告进行重报,以反映对错报的更正;
3、外部审计发现的、最初未被公司财务报告内部控制识别的当期财务报告中的重大错报。
(二)一项内部控制缺陷单独或连同其它缺陷具备合理可能性导致不能及时防止或发现并纠正财务报表中虽然未达到和超过重要性水平,但仍应引起董事会和管理层重视的错报,应将该缺陷认定为重要缺陷。
出现下列情形的,认定为重要缺陷:
1、沟通后的重大缺陷没有在合理的期间得到纠正;
2、控制环境无效。例如,管理层不能或未在全公司范围内推动内部控制管理程序,没有建立适当机制以获得会计准则变化及其他涉及财务报告要求的法规的更新,缺乏针对非常规、复杂或特殊交易的财务处理的控制等;
3、公司内部审计职能无效。例如,未制定相关制度或未按制度规定执行,缺乏独立性,资质不够等;
4、对于是否根据一般公认会计原则对会计政策进行选择和应用的控制方面,没有相应的控制措施或有一项或多项措施没有实施,而且没有补充、补偿性控制的情况;
5、对于非常规、复杂或特殊交易的账务处理的控制,没有建立相应的控制
机制或没有实施,且没有相应的补充、补偿性控制;
6、未建立反舞弊程序和控制。例如,没有建立有效执行的职业道德规范、未建立举报和报告机制,董事会和审计委员会对反舞弊采取消极态度,管理层、审计委员会和董事会对认定的重大缺陷、重要缺陷及已发现的舞弊或疑似舞弊没有采取恰当的补救措施等。
(三)不构成重大缺陷和重要缺陷的内部控制缺陷,应认定为一般缺陷。
第四十一条 业务层面内部控制缺陷认定标准。
业务层面内部控制可以分为与财务报告直接相关的内部控制,和与财务报告间接相关的内部控制。业务层面内部控制缺陷的认定可以采用定性、定量或定性与定量相结合的方法。
(一)财务报告内部控制缺陷的认定标准
财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。财务报告内部控制的缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。财务报告内部控制缺陷的认定标准,可由该缺陷可能导致财务报表错报的重要程度来确定。
财务报告内部控制缺陷的定量标准如下:
定量标准(相对比例法)
| 指标名称 | 重大缺陷定量标准 | 重要缺陷定量标准 | 一般缺陷定量标准 |
| 税前利润 | 税前利润的10%≤错报 | 税前利润的5%≤错报<税前利润的10% | 错报<税前利润的5% |
| 资产总额 | 资产总额的0.5%≤错报 | 资产总额的0.25%≤错报<资产总额的0.5% | 错报<资产总额的0.25% |
财务报告内部控制缺陷的定性标准:
1、发现董事、监事和高级管理人员重大舞弊;发现当期财务报表存在重大潜在错报,而内部控制在运行过程中未能发现该潜在错报;公司审计委员会和审计部对内部控制的监督无效;控制环境无效;已经发现并报告给管理层的重大缺陷在合理的时间后未加以改正;因会计差错导致的监管机构处罚。
2、关键岗位人员舞弊;合规性监管职能失效;重要缺陷未能及时进行纠正;
3、不属于上述两类的其他缺陷。
(二)非财务报告内部控制缺陷的认定标准
非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控
上海紫江企业集团股份有限公司 内部控制制度制,如战略目标、经营目标、合规目标等;公司可根据实际情况,参照财务报告内部控制缺陷的认定标准,合理确定非财务报告内部控制缺陷的定量和定性认定标准。
业务层面非财务报告内部控制缺陷的定量标准:
定量标准(相对比例法)
| 指标名称 | 重大缺陷定量标准 | 重要缺陷定量标准 | 一般缺陷定量标准 |
| 税前利润 | 税前利润的10%≤错报 | 税前利润的5%≤错报<税前利润的10% | 错报<税前利润的5% |
业务层面非财务报告内部控制缺陷的定性标准:
1、重大缺陷:严重违规并被处以重罚或承担刑事责任;生产故障造成停产3天及以上;负面消息各地流传,企业声誉重大损害;引起人员死亡,或造成无法康复性的损害;对环境造成永久污染或无法弥补的破坏。
2、重要缺陷:违规并被处罚;生产故障造成停产2天以内;负面消息在某区域流传,对企业声誉造成较大损害;导致一人死亡,或对职工造成重要损害需要较长时间康复;对周围环境造成较重污染,需高额恢复成本。
3、一般缺陷:轻微违规已整改;生产短暂暂停并在半天内能够恢复;不属于上述两类的其他缺陷。负面消息内部流传,外部声誉无较大影响;短暂影响健康,可以在短期内康复;污染和破坏在可控范围内,未造成永久影响
第四十二条 其他常见的内部控制重大缺陷举例参考:
(一)注册会计师发现当期财务报告存在重大错报,而在运行过程中未能发现该错报;
(二)公司财务报告已经或很可能被注册会计师出具否定意见或拒绝表示意见;
(三)公司审计和外部审计机构未能有效发挥监督职能;
(四)公司董事、监事和高级管理人员已经或涉嫌舞弊,或者公司员工存在串通舞弊情形并给公司造成重要损失和不利影响;
(五)公司司更正已公布的财务报告;
(六)公司缺乏民主决策程序,如缺乏“三重一大”决策程序等;
(七)公司在财务会计、资产管理、资本运营、信息披露、产品质量、安全生产、环境保护等方面发生重大违法违规事件和责任事故,给公司造成重要
损失和不利影响,或者遭受重大行政监管处罚;
(八)管理人员或技术人员纷纷流失;
(九)重要业务缺乏制度控制或制度系统性实效;
(十)媒体负面新闻频现;
(十一)内部控制评价的结果特别是重大或重要缺陷未得到整改。第四十三条 对于认定的内部控制缺陷,内控评价工作组应及时提出整改意见,经批准后,各相关责任单位应制订切实可行的整改方案,包括整改目标、内容、步骤、措施、方法、期限、责任部门岗位等,并按期完成整改。整改期限超过一年的,应明确近期和远期目标以及相应的整改工作内容。
第四十四条 对于认定的内部控制重大缺陷,各相关责任部门或各子企业应及时采取应对策略,切实将风险控制在可承受度之内,并追究相关单位或人员的责任。
第五节 内部控制评价报告
第四十五条 公司根据《企业内部控制基本规范》及配套指引,设计内部控制评价报告的种类、格式和内容,明确内部控制评价报告的编制程序和要求,按照规定的权限经批准后报送相关部门、对外披露。
第四十六条 内部控制评价报告的内容、格式及披露时间应符合证券交易机构或政府监管的要求。
第四十七条 公司内部控制评价报告应当分别对内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容做出披露。
第四十八条 内部控制评价报告至少应当披露下列内容:
(一)董事会对内部控制评价报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的依据;
(四)内部控制评价的范围;
(五)内部控制评价的程序和方法;
(六)内部控制缺陷及其认定情况;
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;
(八)内部控制有效性的结论。
第四十九条 内部控制评价工作组应当以汇总的评价结果和认定的内部控制缺陷为基础,综合内部控制工作的总体情况,客观、公正、完整地编制内部控制评价报告。第五十条 内部控制评价报告应当报分管负责人审核,总经理、审计委员会审议,董事会批准,签发后报送相关监管部门。内部控制评价工作组应当关注内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。第五十一条 外部审计机构每年对公司内部控制进行内部控制审计,并发表审计意见,出具内部控制审计报告。第五十二条 公司以12月31日作为年度内部控制评价报告的基准日。内部控制评价报告应于基准日后4个月内报出。内部控制审计报告应当与内部控制评价报告同时对外披露和报送。
第六节 风险管理
第五十三条 审计部门组织各部门及各子公司根据公司重点管理活动开展风险信息的收集、整理、统计、分析,和汇整,并定期进行更新。风险信息的收集可通过访谈、调查问卷、专家讨论会等方式进行。
第五十四条 公司风险管理相关的内部、外部初始信息作为部门风险数据库, 包括历史数据、未来预测数据及公司和国内外相关风险损失事件案例等。风险信息的来源包括但不限于以下五个方面:
(一)在战略风险方面,广泛收集与公司相关的宏观经济政策、技术环境、市场需求、竞争状况等方面的重要信息,重点关注公司发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据。
(二)在财务风险方面,广泛收集与公司获利能力、资产营运能力、偿债能力、发展能力等指标相关的重要信息,重点关注成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节。
(三)在市场风险方面,广泛收集与公司产品或服务的价格及供需变化、能源、原材料、配件等物资供应的充足性、稳定性和价格变化、主要客户、主
上海紫江企业集团股份有限公司 内部控制制度要供应商的信用情况、潜在竞争者、竞争者及其主要产品、替代品情况等重要信息,重点关注税收政策和利率、汇率、股票价格指数的变化等因素直接或间接产生的影响。
(四)在运营风险方面,广泛收集国内外与公司相关的产品结构、市场需求、竞争对手、主要客户和供应商等方面的重要信息,对现有业务流程和信息系统操作运行情况进行监管、评价及持续改进,分析公司风险管理的现状和能力。
(五)在法律风险方面,广泛收集与公司相关的法律环境、员工道德、重大协议合同、重大法律纠纷案件等方面的信息。
第五十五条 审计部门组织相关职能部门及各子公司开展风险评估,各职能部门和各子公司应以收集的风险初始信息为基础,结合公司年度重点工作计划、各项重要管理活动及业务流程,开展风险识别和评估,并将各自的风险评估结果汇总报至审计部门,确保重要及重大业务涉及风险得到识别和管控。
第五十六条 风险评估工作可由公司自行组织实施也可委托中介机构进行,中介机构的选聘按照《服务外包项目采购管理办法》执行。
第五十七条 相关职能部门及各子公司开展风险识别时,可以通过问卷调查、风险访谈、小组讨论、案例分析、征询专家意见等多种形式开展,重点识别各项重要经营活动以及重要管理业务流程中的哪些环节存在风险,分析风险的来源、主要影响因素,影响对象与范围、风险发生的可能表现形式等。
第五十八条 相关职能部门及各子公司开展风险分析时,应对识别出的风险及其特征进行明确的定义,分析和描述风险发生可能性的高低、风险发生的条件及风险对公司实现经营发展目标的影响程度。
第五十九条 根据风险评估结果,结合风险偏好和风险承受度,权衡风险与收益,合理确定各类各级风险的应对策略。公司的风险应对策略主要包括规避、降低、转移、承担四种类型。
第六十条 相关职能部门及各子公司对一般风险通过现有制度与流程加以有效控制,风险事件实际发生后应及时进行分析总结,并将分析结果报审计部门备案。
第六十一条 相关职能部门对重要和重大风险编制重大风险分析报告,确定风险应对策略,结合年度重点工作制定重大风险管控措施和方案,经负责人审
批,报审计部门备案。第六十二条 重要和重大风险管控措施,内容主要包括风险应对策略,风险所涉及的重要管理活动及业务流程,量化的风险预警线,细化的风险分级管控措施,相关工作的进度安排,监督考核机制等。第六十三条 公司健全重大风险预警机制和突发事件应急处理机制,明确风险预警指标,对可能发生的重大风险和突发事件,制订应急预案,明确责任部门和人员,规范处置程序,开展必要的演练和培训,确保重大风险和突发事件得到及时妥善处理。第六十四条 相关职能部门应认真组织实施风险管控方案,指导监督各子公司开展相关工作,确保各项风险应对措施落实到位。
第六十五条 公司审计部门应定期总结分析风险评估标准、风险应对策略和措施的有效性和合理性,结合实际不断修订完善。
第四章 检查、考核与责任追究
第六十六条 监督检查的方式,包括但不限于外部审计、自检、内部审计等:
(一)外部审计。外部审计机构每年一次的内部控制审计;
(二)自检。公司各职能部门和各子公司应定期对内部控制进行自检工作,及时发现缺陷并加以改进,检查结果应报审计内控部门备案;对全面风险管理工作进行自查,主要包括风险识别、风险评估、风险评价、选择风险管理技术和风险管理效果评价等情况,分析其充分性和有效性,提出改进意见;
(三)内部审计。审计部门结合公司年度内部控制评价计划、审计计划以及公司其他检查的要求、外部审计建议等,不定期开展风险与内部控制管理工作的专项监督检查。
第六十七条公司根据管理需要可聘请有资质、信誉好、风险与内部控制管理专业能力强的中介机构对公司内部控制与全面风险管理工作进行评价,并出具专项报告。第六十八条对审计监督评价等过程中发现的内部控制缺陷或重要、重大风险,责任单位应分析其性质、产生原因和影响程度,提出整改方案,跟踪落实缺陷整改或风险管控措施。
第六十九条 在内部控制和全面风险管理工作中存在以下情况的,应追究相关单位及个人责任;
(一)对检查中发现的重大内控缺陷和重大风险,未如期整改并达到整改要求的;
(二)对于存在内部控制缺陷和重大风险但未及时发现和采取有效措施,给公司带来较大损失的;
(三)对于存在内部控制缺陷或重要、重大风险未发现或发现而未采取有效措施,造成较大损失的。
第五章 附则
第七十条本制度自董事会审议通过之日起生效。第七十一条本制度由公司董事会负责解释。第七十二条各子公司可根据本制度制定相应的管理办法。
上海紫江企业集团股份有限公司
2024年3月28日