国网英大股份有限公司内部控制管理办法
第一章 总则第一条 为加强和规范国网英大股份有限公司(以下简称“公司”)内部控制,提高经营管理水平和风险防范能力,促进公司持续健康发展,按照《公司法》、《证券法》等法律法规和财政部等五部委《企业内部控制基本规范》(财会〔2008〕7号)及配套指引、《上海证券交易所上市公司自律监管指引第1号-规范运作》(上证发〔2022〕2号)的要求,结合公司实际制定本办法。
第二条 本办法适用于公司及各层级控股子公司(以下统称“各单位”)。各单位可以根据监管要求,结合自身实际情况,经相应决策审议程序制定办法或实施细则。
第三条 术语定义
(一)本办法所称内部控制是指由公司董事会、监事会、管理层和全体员工实施的,旨在合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进公司实现发展战略的过程。公司建立和实施内部控制时应包括内部环境、风险评估、控制活动、信息与沟通、内部监督等要素。
(二)本办法所称内部控制责任主体是指公司各项内部控制的主责单位,包括公司各部门和各单位。
(三)本办法所称内部控制自查(以下简称“内控自查”)是指由公司风险管理部牵头组织、各内部控制责任主体在自身职责范围内依据内部控制标准,对日常工作中内部控制措施的制定和遵循情况进行自查,汇总并提交内控自查结果的过程。内部控制标准具体通过制度和内部控制手册予以明确。各内部控制责任主体是内控自查的第一责任人,对内控自查的准确性负责。
(四)本办法所称内部控制检查监督是指由公司审计部对各内部控制责任主体内部控制制度的建立和实施、财务信息的真实性和完整性等情况进行检查监督的过程。
(五)本办法所称内部控制评价(以下简称“内控评价”)是指公司审计部根据内部控制检查监督结果,结合内控自查结果,对公司内部控制设计及运行的有效性进行全面评价,形成评价结论,出具评价报告,经公司董事会审定后对外披露的过程。
第四条 公司建立与实施内部控制,应当遵循以下原则:
(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖公司及各单位的各种业务和事项。
(二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。
(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(四)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。内部控制应当权衡实施成本与预期收益,以适当的成本实现有效控制。
第二章 组织架构与职责
第五条 公司内部控制组织架构包括董事会、监事会、审计与内控合规管理委员会、管理层、公司各部门、各单位。
第六条 公司董事会负责公司内部控制的建立健全和有效实施,主要职责包括:
(一)审定公司内部控制建设总体目标和规划。
(二)审定公司内部控制管理组织架构设置及职责方案。
(三)审定公司内部控制基本管理制度。
(四)审定公司内部控制缺陷认定标准,认定公司内部控制重大缺陷。
(五)审定公司内部控制评价报告。
(六)审定公司内部控制管理的其他重大事项。
第七条 公司监事会承担内部控制管理的监督责任,负责监督董事会、管理层在内部控制管理方面的履职尽责情况并督促整改。第八条 公司审计与内控合规管理委员会是董事会下设的专门委员会,根据董事会授权履行内部控制管理的职责,主要职责包括:
(一)协助董事会建立健全内部控制管理体系,研究内部控制管理重大事项并提出意见建议。
(二)审议公司内部控制管理组织架构设置及职责方案。
(三)审议公司内部控制基本管理制度。
(四)审议内部控制缺陷认定标准。
(五)审议内部控制评价报告并向公司董事会报告。
(六)审阅外部审计机构出具的内部控制审计报告,与外部审计机构沟通发现的问题与改进方法。
(七)督促内部控制缺陷整改。
(八)完成董事会授权的其他内部控制工作。
第九条 公司管理层负责组织公司内部控制的具体实施,主要职责包括:
(一)组织建立健全内部控制体系,推动公司内部控制体系有效运行。
(二)组织草拟公司各项内部控制管理制度。
(三)审定内部控制手册。
(四)审定公司年度内部控制工作方案并推动实施。
(五)审核内部控制缺陷认定标准。
(六)推动内部控制缺陷整改。
(七)对内部控制执行过程中的重大事项进行协调和决策。
第十条 公司风险管理部是公司内部控制建设实施工作的牵头管理部门,主要职责包括:
(一)负责起草公司内部控制管理基本制度。
(二)负责组织指导公司各内部控制责任主体开展内部控制相关工作,并提出改进建议。
(三)根据公司年度风险评估结果,提出年度内部控制工作重点,起草公司年度内部控制工作方案并组织实施。
(四)组织开展内部控制手册制定与更新工作。
(五)负责统筹组织内控自查工作,制定内控自查工作方案,分解落实工作任务,组织编写内控自查报告。
(六)组织开展内部控制缺陷认定标准制定与修订工作。
第十一条 公司审计部负责对公司内部控制制度的完整性、合理性及其实施的有效性进行检查和评估,主要职责包括:
(一)负责拟定公司年度内部控制检查监督计划并组织实施。
(二)根据内部控制检查监督结果、内部审计工作报告、内控自查结果及相关资料,评价公司内部控制建立和实施情况,出具年度内部控制评价报告。
(三)跟踪内部控制缺陷及实施中存在问题的整改,并进行后续审查。
(四)负责协调与配合外部审计机构对公司的内部控制审计工作。
第十二条 公司各部门负责职责范围的内部控制建设和实施工作,主要职责包括:
(一)按照公司内部控制建设与评价工作的总体部署,开展职责范围内的内
部控制管理工作。
(二)对本部门职责范围内的各项制度进行梳理,对本部门职责范围内业务和管理环节中面临的风险进行评估,制定并定期完善本部门职责范围的内部控制标准。
(三)配合公司风险管理部开展本部门职责范围的内控自查工作。
(四)负责落实本部门职责范围内的内部控制缺陷整改工作。
(五)负责本部门职责范围内各单位内部控制工作的监督指导。
第十三条 各单位负责本单位内部控制建设和实施工作,主要职责包括:
(一)建立和完善本单位的内部控制体系。
(二)明确专门职能部门或机构统筹协调内部控制体系的建立、实施和日常工作。
(三)落实公司内部控制管理办法,做好内部控制相关制度的承接。
(四)梳理本单位业务和管理流程和制度,并对各项业务和管理环节面临的风险进行评估,制定并定期完善内部控制标准。
(五)按照公司年度内部控制工作方案要求,组织、协调本单位年度内部控制工作,并落实本单位内部控制缺陷整改工作。
(六)按照所属行业监管要求,组织、完成本单位内部控制报告报送等相关工作。
(七)组织、协调本单位内部控制其他管理工作,并做好检查监督。
第三章 内部控制要素重点要求
第一节 内部环境
第十四条 内部环境是公司实施内部控制的基础,涵盖治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化。
第十五条 公司根据国家有关法律法规和公司章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。
第十六条 公司结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任主体。
(一)公司通过编制内部控制手册等形式,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配。
(二)公司定期梳理并评估组织架构运行的效果和效率,避免职能交叉、缺失或权责过于集中。
第十七条 公司加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。
第十八条 公司及各单位员工聘用、培训、辞职、薪酬、考核、晋升与奖惩等有关人力资源的政策应体现可持续发展要求,对于关键岗位的员工应执行强制休假或定期岗位轮换制度,对于掌握国家秘密和重要商业秘密的员工应执行离岗限制性规定。
第十九条 公司加强文化建设,引导和规范员工行为,强化风险意识,促进公司长远发展。董事、监事及高级管理人员应当在公司文化建设中发挥主导作用。公司员工应当遵守员工行为守则,认真履行岗位职责。
第二节 风险评估
第二十条 公司每年年初根据监管和股东要求,考虑外部经营环境,结合自身实际,明确本年度风险管理目标,采用定量和定性相结合的方式确定风险容忍度,并将风险容忍度进一步量化和细化后,通过风险限额传导分解至各单位,推动风险偏好的落实。
第二十一条 公司及各单位每年开展年度风险识别与评估工作,准确识别与
实现控制目标相关的内、外部风险因素,并按照其发生的可能性及影响程度等进行排序,确定年度重大风险。第二十二条 公司及各单位对股权重组(改制)、引进战略投资者、对外投资、开发新产品、拓展新业务等重大事项中面临的风险进行识别、分析和评估。
第二十三条 针对评估的重大风险,根据公司风险承受能力和风险偏好,权衡风险与收益情况,确定风险应对策略。并持续收集与风险变化相关的信息,及时调整风险应对策略。
第三节 控制活动
第二十四条 公司和各单位根据相关监管要求及内部控制目标,结合风险评估结果,制定控制措施,通过对经营活动中的各管理环节和业务环节实施有效控制,将风险控制在可承受范围内。
第二十五条 公司和各单位内部控制涵盖所有业务和管理环节,并结合监管规定和自身业务特点制定相应的内部控制制度。
第二十六条 公司和各单位通用控制措施包括但不限于不相容岗位分离控制、授权审批控制、合同管理控制、会计预算控制、绩效考评控制、信息系统控制等。
(一)公司及各单位按照各自行业特点,全面系统分析和梳理业务经营和管理流程中涉及的不相容职务,认定潜在的利益冲突,实行适当的职责分工和不兼容岗位分离政策,形成各司其职、各负其责、相互制约的工作机制。
(二)公司及各单位执行严格的授权控制措施,建立和完善相应的授权体系,规范特别授权的范围、权限、程序和责任,严格控制特别授权。
(三)公司及各单位加强合同管理,确定合同归口管理部门,明确合同拟定、审批、执行等环节的程序和要求,定期检查和评价合同管理中的薄弱环节,采取相应控制措施,促进合同有效履行,切实维护自身合法权益。
(四)公司及各单位严格执行国家统一的会计制度,依法设置会计机构,配
备会计从业人员。公司及各单位实施全面预算管理制度,规范预算的编制、审定、下达和执行程序,强化预算约束。
(五)公司及各单位建立内部控制实施的激励约束机制,将各责任主体和全体员工实施内部控制的情况纳入绩效考核体系,并将考评结果作为员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
(六)公司及各单位建立信息系统管理制度,规范信息系统的统筹规划、设计开发、运行维护、安全管理、保密管理、灾难恢复管理等控制事项,提高业务和财务处理及办公的信息化水平,建立符合业务发展和管理需要的信息系统。
第二十七条 公司通过法人治理程序对各单位实施管控,包括但不限于:发展规划与综合计划、预算管理、风险偏好、风险管理策略和程序、重大投资、收购出售资产、提供财务资助、担保、从事证券及金融衍生品投资、重大合同签订、绩效考核与激励约束、关联交易、重大信息报告等事项。
第四节 信息与沟通
第二十八条 公司及各单位建立多层次、全方位的报告体系,实现公司对于各项内部控制活动的及时掌握和有效监控,重要信息应当及时传递给董事会、监事会和管理层,为实现内部控制目标提供保证。
第二十九条 公司及各单位严格执行法律法规、自律规则、公司章程及公司信息披露相关制度规定,及时、准确地披露信息,并保证所披露的信息真实、准确、完整。
第三十条 公司及各单位运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。
第三十一条 公司及各单位严格执行重大信息内部保密相关制度的规定。因工作关系了解到相关信息的人员,在该信息尚未公开之前,负有保密义务。
第五节 内部监督第三十二条 公司及各单位明确内部审计机构(或经授权的其他监督机构)在内部监督中的职责权限,规范内部监督程序、方法和要求,及时组织开展内控检查监督工作,发现并认定内部控制缺陷。第三十三条 公司及各单位应深入分析检查监督过程中发现的内部控制缺陷,确定缺陷的性质和产生的原因,提出整改方案,并按照规定的时间和路线进行报告,同时反馈相关内部控制责任主体,确保内部控制缺陷及时彻底整改。
第三十四条 公司结合内控自查结果、检查监督情况及缺陷整改情况,编制内部控制评价报告,提交公司董事会审定。
第四章 内部控制管理程序
第三十五条 公司风险管理部根据公司年度风险评估以及上一年度内部控制评价结果,拟定年度内部控制工作方案,报公司管理层审定后实施。
第三十六条 公司风险管理部组织制定内部控制手册,并根据内外部环境变化定期或不定期进行修订,确保满足风险管理目标及内外部监管要求。
修订和完善内部控制手册时,需考虑如下情形:
(一) 国家相关法律法规、行业监管要求、规章制度等发生变化。
(二) 战略调整、组织机构、管理职责等内部环境发生调整变化。
(三) 新业务的实施、业务管理要求发生变化。
(四) 根据风险评估结果,重大风险发生变化。
(五) 发现内部控制缺陷。
(六) 内部控制缺陷认定标准修订。
(七) 其他事项。
第三十七条 公司风险管理部每年负责牵头组织内控自查工作。各内部控制
责任主体根据内部控制手册,对职责范围内的内部控制设计与运行情况进行全面自查,发现并认定内部控制缺陷。
内控自查相关要求:
(一)内控自查范围覆盖公司及各单位经营管理全范围的内部控制设计与运行情况,重点关注重要业务和高风险领域。
(二)内控自查程序主要包括:制定工作方案、更新内部控制手册、开展自查、汇总内控缺陷、补充自查、编制内控自查报告。
(三)内部控制缺陷按其成因分为设计缺陷和执行缺陷,按照其影响程度分为重大缺陷、重要缺陷和一般缺陷。内控自查的基准日为每年12月31日。
第三十八条 公司审计部根据管理需要制定年度内部控制检查监督工作计划,定期对各内控责任主体的内部控制制度的完整性、合理性及其实施的有效性进行检查和评估,并将检查结果作为评价内部控制运行情况的依据。
第三十九条 公司审计部至少每半年对下列事项进行一次检查,出具检查报告并提交审计与内控合规管理委员会。
(一)公司募集资金使用、提供担保、关联交易、证券投资与衍生品交易、提供财务资助、购买或者出售资产、对外投资等重大事件的实施情况;
(二)公司大额资金往来以及与董事、监事、高级管理人员、控股股东、实际控制人及其关联人资金往来情况。
审计与内控合规管理委员会应当根据审计部提交的内部审计报告及相关资料,对公司内部控制有效性出具书面的评估意见,并向董事会报告。
第四十条 公司审计部对公司内部控制缺陷及实施中存在的问题,督促相关责任部门制定整改措施和整改时间,并进行内部控制的后续审查,监督整改措施的落实情况,如发现内部控制存在重大缺陷或者重大风险,应当及时向审计与内控合规管理委员会报告。
第四十一条 公司审计部结合内控自查结果、检查监督情况,评价公司内部控制的建立和实施情况,编写内部控制评价报告,经公司董事会审定后对外披露。内部控制评价报告应当包括下列内容:
(一)董事会对内部控制评价报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的依据、范围、程序和方法;
(四)内部控制存在的缺陷及其认定情况;
(五)对上一年度内部控制缺陷的整改情况;
(六)对本年度内部控制缺陷拟采取的整改措施;
(七)内部控制有效性的结论。
第四十二条 公司及各单位应将内控自查、内部控制检查监督及外部监管检查等内外部检查发现的内部控制缺陷全部纳入整改范围,针对内部控制缺陷制定整改方案,明确整改时间和责任人。
第四十三条 对违反公司制度、公司内部控制建设失责或内部控制执行不到位,导致公司内部控制被认定存在重大缺陷,受到监管处罚,或在公司内部控制检查监管过程中发现有重大舞弊行为对公司造成重大不良影响或造成公司资产损失的,根据具体情节按照公司相关制度对有关责任人给予相应处罚;涉嫌犯罪的,依法移交司法机关处理。
第五章 附 则
第四十四条 本办法未尽事宜,按国家有关法律、法规和《公司章程》的规定执行。
第四十五条 本办法经董事会审议通过后施行,由风险管理部负责解释和修订。2020年4月起施行的《国网英大股份有限公司内部控制管理办法》同时废止。