安泰科技股份有限公司全面风险与内部控制管理制度
第一章 总则第一条 为建立健全安泰科技股份有限公司(以下简称公司)全面风险与内部控制(以下简称风控)管理体系,规范风控管理行为,提高合规经营水平和风险防范能力,促进公司实现高质量发展,根据财政部等五部委印发的《企业内部控制基本规范》(财会[2008]7号)及其配套指引、国资委《中央企业全面风险管理指引》(国资发改革[2006]108号)、《关于加强中央企业内部控制体系建设与监督工作的实施意见》(国资发监督规〔2019〕101号),结合公司实际,制定本制度。
第二条 本制度所称全面风险管理,是指围绕总体战略目标,建立健全全面风险管理体系,执行风险管理基本流程,培育良好风险管理文化,从而为实现风险管理的总体目标提供合理保证的过程和方法。
本制度所称内部控制,是指由公司党委领导,董事会、监事会、经理层和全体员工共同实施的、旨在合理保障实现控制
目标的过程。内部控制包括内部环境、风险评估、控制活动、信息与沟通、内部监督五项基本要素。
第三条 公司开展全面风险与内部控制管理(以下简称“风控管理”),要实现以下目标:
(一)确保将风险控制在与公司战略目标相适应并可承受的范围内;
(二)确保内外部真实、可靠的信息沟通,包括编制和提供真实完整的财务报告及相关信息;
(三)确保经营管理合法合规,实现资产安全;
(四)确保公司规章制度和重大措施的贯彻执行,保障经营管理的有效性,降低实现经营目标的不确定性;
(五)确保公司建立针对各项重大风险发生后的危机处理机制,保护公司不因重大风险或人为失误而遭受重大损失。
第四条 建立和实施风控管理,遵循以下原则。
(一)全面性原则:全员参与、全流程覆盖,涵盖公司所有业务和事项,贯穿决策、执行、监督、反馈全过程。
(二)系统性原则:统筹考虑内外部风险因素间的相关性及相互影响,从全局出发系统管理风险。
(三)重要性原则:在全面控制的基础上,重点关注核心
业务和高风险领域,防范关口前移,加强风险事前防范和过程管控。
(四)适应性原则:与公司经营规模、发展阶段、业务范围、竞争状况等相适应,充分衡量实施成本与减低损失、预期效益间的关系,立足实际,选择适当风险管理策略和有效成本控制。
(五)制衡性原则:合理规划治理结构、机构设置、权责分配及业务流程,相互制约、相互监督,同时兼顾运营效率。
第五条 本制度适用于公司总部,各事业部、分公司、产业园、控股公司(以下简称“各单位”)。各单位通过其章程或董事会决议方式贯彻落实本制度,并依据本制度制定相应的实施办法。
第二章 风控管理组织体系
第六条 公司风控管理组织体系包括:公司党委、董事会及审计委员会、经理层、风控管理办公室、风控管理责任主体。
(一)公司党委发挥把方向、管大局、保落实的领导作用,在职责范围内积极推进风控管理工作,保障和深化风控体系建设。
(二)公司董事会是风控管理的决策机构,负责风险管理体系和内部控制体系的建立健全和有效实施,主要职责包括:
1、决定风险管理体系和内部控制体系的建设,批准风险管理重大策略和重大风险解决方案;
2、批准风控管理组织机构设置及职责方案;
3、批准风险管理和内部控制的基本制度;
4、批准年度风险评估报告、年度内控体系工作报告、重大决策的风险评估报告等重要工作报告;
5、对风险管理和内部控制及其有效性进行总体监控和评价;
6、督导培育风控管理文化;
7、决定有关风控管理的其他重大事项。
公司董事会审计委员会是董事会的专门工作机构,为董事会决策提供咨询和建议,对董事会负责。主要职责包括:
1、监督、指导风险管理体系和内部控制体系的建设,审议风险管理策略和重大风险管理解决方案;
2、审议风控管理组织机构设置及职责方案;
3、审议风险管理和内部控制的基本制度,评估制度设计的适当性;
4、审议年度风险评估报告、年度内控体系工作报告、重大决策风险评估报告等重要工作报告;
5、审议公司重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
6、评估内部控制评价和内部控制审计的结果,督促内部控制缺陷的整改;
7、完成董事会交办的其他工作。
(三)公司经理层是风控管理的执行机构。主要职责包括:
1、建立适应风控管理的管理架构,明确各部门在风控管理中的职责分工,建立部门之间相互协调、有效制衡的运行机制;
2、制定风控管理的制度、流程、标准等,推动风控管理工作规范运行;
3、组织落实年度风控管理工作计划和具体项目实施方案;
4、组织开展年度重大风险评估、制定应对措施、重大经营事项决策前专项风险评估;
5、组织开展流程测试或风险辨识,查找制度缺失或流程缺陷,评价内部控制设计及执行的有效性;
6、提交年度风险评估报告、年度内控体系工作报告、重大决策风险评估报告等重要工作报告;
7、指导、监督、检查各风控管理责任主体风控管理工作,督促对内控缺陷或重大风险事件的整改落实;
8、组织、协调风控管理过程中的重大事项;
9、推动建立风控管理文化;
10、董事会交办的有关风控管理的其他事项。公司设立风控管理办公室。风控管理办公室是公司风控管理的专职机构,具体负责组织、协调风控管理日常工作,落实董事会、经理层决策要求和工作部署。风控管理办公室挂靠公司合规部开展工作。
(四)公司各管理部门是各自业务领域风控管理工作的责任主体,各部门负责人是本部门风控管理第一责任人,对部门风控管理有效性承担责任。各部门按照公司风控管理体系的要求拟订流程与制度、细化执行标准、管控和监督分管业务领域日常的风控管理工作。
(五)各单位是本单位风控管理工作的责任主体,各单位负责人是本单位风控管理第一责任人,对本单位风控管理有效性承担责任。按照公司风控管理体系的要求,建立健全本单位风控管理组织体系,明确风控管理主管部门,设立风控办公室,配齐配强风控(内控)专员;完善风控管理流程与制度,实施业务领域所涉及的日常风控管理工作。
第三章 风控管理模式
第七条 公司风控管理采取“集约、集中、分类、分层”的管理模式,强化顶层设计和控制执行,不断夯实基础、持续优化完善。
(一)集约管理。在公司大合规管理体系架构下,推动全面风险管理、内部控制管理和合规管理体系融合、一体化管理和运行,提高风控管理效能。
(二)集中管理。公司统一领导风控管理体系工作,制定和实施风控管理计划,完善风控管理制度,统一组织重大风险评估和内部控制评价工作等。
(三)分类管理。公司各管理部门根据工作职责,对风控管理的执行标准与管控内容实行分类管理,负责职能范围内流程制度的设计、控制措施的执行、缺陷整改的落实工作等。
(四)分层管理。各单位参照公司总部分类管理方式,结合本单位的具体业务和管理工作,建立与公司总部主责部门的对应关系,落实相关工作,接受指导与监督。
第四章 全面风险管理
第八条 全面风险管理工作内容:建立完善公司风险数据库,收集风险信息,评估公司重大风险,制定风险管理策略,
建立健全风险预警及应急处理机制,跟踪、监测及报告重大风险,提升防范化解重大风险能力等。
第九条 完善风险框架、风险数据库。风险框架、风险数据库是开展风控管理工作的基础,公司及各单位应根据日常以及定期风险评估结果进行动态调整和更新,不断改进和完善。
第十条 收集风险信息。公司及各单位要广泛收集内外部风险初始信息,包括历史数据、环境政策和未来预测,明确风险信息收集的内容、范围、方法,完善风险信息收集渠道。
第十一条 开展风险评估。
(一)公司及各单位风控管理办公室要对风险信息进行筛选、提炼、对比、分类、组合,进行风险评估,包括风险辨识、风险分析和风险评价。
(二)风险评估分为日常风险评估和年度风险评估。日常风险评估由公司各管理部门及各单位自行组织;年度风险评估由公司风控管理办公室统一组织。
(三)公司风控管理办公室组织各管理部门、各单位开展年度重大风险评估工作。根据公司各管理部门及各单位的年度风险评估结果确定公司层面重大风险。
第十二条 制定风险管理策略。
(一)公司及各单位应根据风险评估结果,结合自身业务特点,确定风险偏好和风险承受度,权衡风险与收益,合理确定各类各级风险的应对策略;并编制年度风险评估报告,经本单位经理层审批后报公司风险管理办公室备案。
(二)风险管理策略包括:风险承担、风险控制、风险规避、风险转移、风险对冲、风险补偿和风险转换等。
(三)公司风控管理办公室组织制定公司层面重大风险管理策略和解决方案,编制年度风险评估报告,经董事会审批后,报上级单位备案。
第十三条 制定风险管理解决方案。
(一) 风险管理解决方案是针对确定的风险管理策略所采取的具体的、可操作的控制措施和方案,包括完善办法、流程,调整部门和岗位职责,完善授权体系,专项应对方案等。
(二)公司及各单位应根据风险的性质,制定适应的风险管理措施,并认真组织实施,同时加强监督和检查,确保各项风险应对措施落实到位。
第十四条 建立风险预警及重大风险事件应急处理机制。
(一)公司及各单位应建立健全风险预警机制,通过收集、整理、分析风险动因及其他关键因素,确定关键风险预警指标,确定指标阀值及预警区间,建立并持续完善预警体系。
(二)公司及各单位应加强对重大风险预警指标的过程监控,分析预警阀值的变化情况,及时发布预警信息,及时调整管控措施;加强数据积累,及时根据内、外部环境变化优化风险预警指标、阀值和预警区间。
(三)公司及各单位应建立重大风险事件应急处理机制,对可能发生的重大风险和突发事件,制定应急预案,明确责任部门和人员,规范处理程序,开展必要的演练和培训,确保重大风险和突发事件得到及时妥善处理。
第十五条 建立重大风险报告机制。
(一)公司风控管理体系建立严格的报告机制,分为定期报告和不定期报告。定期报告包括:季度重大风险跟踪监测报告、年度重大风险评估报告、年度风控管理工作报告等。不定期报告包括重大(重要)风险事件和重大(重要)内控缺陷报告等专门事项报告。
(二)公司及各单位应跟踪监测重大风险管控措施的落实及实施效果,重大风险事件的进展,及时发布预警信息,调整管控措施。各单位于每季度结束后5日内向公司风险管理办公室报送本单位重大风险季度跟踪监测报告(报告格式详见附件1)。
(三)各单位对发生的重大风险或突发事件,应按照《安泰科技股份有限公司重大经营风险事件报告工作规则》要求,及时向公司报告。
第五章 内部控制管理
第十六条 内部控制管理主要内容包括建立健全内控制度体系,加强内部监督,落实缺陷整改,推进内控体系信息化建设,提升内控体系执行刚性等。
第十七条 建立健全内控制度体系。
(一)公司及各单位建立健全内控制度制定、评估、改进等工作机制,聚焦主要业务领域、核心业务流程、关键控制环节,构建分层分类的制度体系框架,促进形成系统完备、层次分明、相互衔接、务实管用的内控制度体系。
(二)公司及各单位持续开展内控制度“修立废释”工作,加强新设企业、新业务领域的制度建设,确保将外部法律法规及监管要求及时转化为企业内部规章制度,实现内控制度体系覆盖各业务领域和管理环节,落实到全体岗位和责任人员。
第十八条 持续完善内控手册。
(一)公司及各单位要结合企业实际,建立风控合规“三项清单”及风控合规矩阵,明确内部控制流程、操作步骤、执
行标准、风险控制措施、岗位合规风控审查要点等。
(二)公司及各单位要结合缺陷整改,及时完善内控制度,优化内控流程,修订内控手册。每年至少开展一次手册修订工作,提高手册的实操性和时效性。
第十九条 加强内部监督。
(一)内部监督是对内部控制建立与实施情况进行监督检查。主要工作包括评价内部控制的有效性,报告并整改内部控制缺陷。
(二)内部监督分为日常监督和专项监督。
日常监督是指对建立健全内部控制的情况进行常规、持续的监督检查。日常监督包括但不限于年度内部控制自评价、公司监督评价、内部控制审计等。
专项监督是指发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。
(三)日常监督由公司风控管理办公室统一组织实施。
公司风控管理办公室依据公司董事会审议通过的《公司年度内控评价实施方案》,统一组织年度内部控制自评价、公司监督评价工作。具体原则、内容、缺陷标准认定等依据《安泰
科技股份有限公司内部控制评价管理办法》执行。
(四)各单位根据公司《年度内控评价实施方案》制定本单位内控自评价工作方案,组织开展本单位内控自评价,编制评价工作底稿,认定内部控制缺陷。
(五)公司风控管理办公室在各单位全面自评的基础上组织内控有效性监督评价。内控评价“零缺陷”的企业,将纳入内控体系有效性评价重点抽查范围。
(六)根据外部监管及合规管理要求,公司每年末委托中介机构开展内控审计,出具内控审计报告。
(七)公司及各单位在日常监督的基础上开展专项监督,如果某项专项监督需要经常进行,可将专项监督纳入日常监督。
第二十条 落实缺陷整改。
(一)公司及各单位应针对企业内控体系自评价、监督评价、内控审计发现以及外部审计、监督检查移交的内控缺陷和问题,形成工作台账,制定缺陷整改方案,逐项落实整改。
(二)公司及各单位对缺陷产生的原因进行深入分析,建立完善整改长效机制。
(三)公司及各单位对于认定的重大缺陷,应积极采取应对策略,将风险控制在可承受范围内。
第二十一条 内部控制评价结果报告。
(一)公司及各单位日常监督与专项监督应当形成书面报告,各单位应当向董事会或类似决策机构通报内部控制缺陷及整改情况。对内部控制的一般缺陷、重要缺陷至少每年报告一次,重大缺陷立即报告。
(二)公司根据各单位自评价及监督评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,认定公司层面内部控制缺陷,编制《内部控制评价报告》,提交公司董事会审计委员会审查,并经董事会审议批准后对外披露。
第二十二条 推进内控体系信息化建设。
公司应根据战略要求和业务实际,推进内控管理信息化建设,逐步实现内控体系与业务信息系统互联互通、有机融合,提升风险管理及内部控制的效率和效果。
第六章 风控管理文化
第二十三条 建立具有合规意识、风险意识的企业文化,促进企业风险管理水平、员工风险管理素质提升,保障公司风控管理目标的实现。
第二十四条 风控管理文化要融入公司企业文化建设全过程。培育和塑造良好的风控合规管理文化,树立正确的风控管
理理念,增强员工风控管理意识,将其转化为员工的共同认识和自觉行动,促进建立系统、规范、高效的风控管理机制。
第七章 风控队伍建设第二十五条 公司及各单位要加强构建与企业发展相匹配的专业化、职业化风控队伍。公司各管理部门,各单位所属各部门、生产厂(车间)、业务机构均应设置风控专员。
第二十六条 公司持续推动建立风控专员执证上岗、风控专员分级管理制度,拓宽风控专员职业发展通道。
第二十七条 公司及各单位应系统组织开展风控专项业务培训和交流活动,提高各级风控管理人员业务能力和专业化水平。
第八章 考核与奖惩
第二十八条 公司针对各单位风控管理体系建设与运行情况进行考核。对在风控管理工作中表现突出的单位和个人,予以表彰和奖励。
第二十九条 加强评价结果在薪酬考核与干部管理等工作中的运用。对内控制度不健全、内控体系执行不力、瞒报漏报谎报评价结果、整改落实不到位,缺陷整改屡改屡犯、此查彼犯的单位或个人,给予考核扣分、薪酬扣减或岗位调整等处理,
并按照规定对相关责任部门、单位和责任人予以督查提示、约谈或追责问责。
第三十条 对因违规决策、管理失职、行为失当、内控缺失、有令不行等原因致使企业出现重大风险、重大缺陷、危机事件并造成损失或产生严重不良影响的,按照《安泰科技股份有限公司违规经营投资责任追究实施办法》(安泰合规〔2021〕39号)追究相关人员责任。
第三十一条 在风控管理中涉嫌违纪的,移交公司纪委处理;违反国家法律法规构成犯罪的,移交司法机关依法处理。
第九章 附则
第三十二条 本制度由公司董事会负责解释。
第三十三条 本制度自发布之日起施行。原《安泰科技股份有限公司全面风险管理暂行办法》(安泰审[2015]63号)同时废止。