茂名石化实华股份有限公司内部控制与风险管理规定
(2024年修订)(2024年10月24日第十三届董事会第五次临时会议审议通过)
第一章 总则第一条 为规范和加强茂名石化实华股份有限公司(以下简称“公司”)内部控制与风险管理,统筹推进公司内部控制体系(以下简称“内控体系”)建设和运行监管,提高公司经营管理水平和风险防范能力,促进公司可持续发展,维护社会公众权益,保护投资者的合法权益,根据《中华人民共和国公司法》、《企业内部控制基本规范》及其配套指引、《深圳证券交易所上市公司自律监管指引第1号---主板上市公司规范运作》、《茂名石化实华股份有限公司章程》(以下简称“《公司章程》”)等相关规定,制定本规定。
第二条 本规定适用于公司、全资子公司和控股子公司。第三条 本规定所称内部控制,是指由公司党委、董事会、监事会、经理层以及全体员工实施的、旨在实现控制目标的过程。本规定所称“风险管理”,是指公司围绕战略和经营目标,在管理的各环节和经营的各项活动中执行风险管理的基本流程,评
估可能影响公司正常生产经营的潜在事项并管理风险的过程。
第四条 公司内控体系包含内部控制、风险管理和合规管理。
公司通过建立健全以风险管理为导向、以合规管理监督为重点,严格、规范、全面、有效的风险管理与内部控制体系,保障公司战略目标和经营管理目标的实现。
第五条 组织与职责
公司建立由党委和董事会统一领导,各部门、子公司按照职责具体实施,各司其责、齐抓共管的风险管理与内部控制组织责任体系。
(一)党委、董事会及审计委员会
1.公司党委按照《公司章程》及公司“三重一大”相关规
定对风险管理与内部控制重大事项进行研究。
2.董事会为公司内控体系管理的决策机构,负责审批内控
体系建设总体目标;审批内控体系基本制度;审批内控体系相关报告,对公司内控体系有效性进行评价;以及审批内控体系相关的其他重大事项。
3.审计委员会负责审议需要董事会决议的内控体系基本制度和相关报告,为董事会决策提供意见;指导公司内控体系建设;监督、评估、检查内控体系运行质量和效果,并向董事会报告;协调内部控制审计及其他相关事宜等。
(二)监事会
监事会对董事会建立与实施内部控制进行监督。
(三)经理层
经理层负责组织公司内部控制的日常运行和有效性检查,对董事会负责。
(四)内部控制工作办公室
公司内部控制工作办公室为公司内控体系的归口管理职能部门,具体实施风险管理和内部控制管理工作。主要职责:
1.负责组织推进公司内控体系建设与持续完善工作。
2.负责牵头组织公司层面内部控制制度的制订、完善与实施工作。
3.负责组织公司内部控制制度宣贯培训,指导、监督各单位
/部门内部控制制度的内部培训落实情况。
4.负责组织开展公司内部控制年度评价和专项评价等评价监督检查工作。
5.负责跟踪监督公司内部控制缺陷整改方案的制订与落实工作。
6.负责拟订内部控制考核方案,组织实施公司内部控制考核工作。
7.负责配合外部机构对公司内部控制的监督检查工作。
8.负责公司内部控制档案保管工作。
9.公司安排的其他内部控制工作。
(五)审计部
审计部是对公司内部控制有效性实施审计监督的部门,按照
内部审计职能,对公司及各机构的内部控制有效性进行审计监督检查。
(六)公司本部各职能部门
公司各职能部门是其归口管理范围内的专项业务风险管理与内部控制的责任主体,主要职责:。
1. 建立、完善与本部门职能相关内控管理制度及配套指
导文件等。
2. 根据部门内控职责,结合风险管理、合规管理要 求,
落实本部门内控建设、执行评价、整改优化等工作。
3. 配合内外部机构对公司内控体系的检查、评价。
4. 对子公司相关内控制度的建设及实施情况予以指 导和
监督检查。
5. 对子公司相关专项内部控制及风险管理、合规管 理工
作执行情况进行监控和管理指导。
6. 根据部门职责,开展公司重大决策活动相关的专 项风
险分析、评估,并提出专项风险分析、评估意见。
7.负责协助开展本机构的内部控制考核评价工作。
8. 妥善应对本业务领域的包括合规风险在内的重大 风险
事项,并及时向内部控制工作办公室通报。
9. 其他与内控体系建设、运行、管理、评价等有关 的工
作。
(七)公司各子公司
各子公司是其经营管理范围内风险管理与内部控制的责任主体。主要职责:
1.建立健全本单位风险管理与内部控制组织责任体系,
明确职能部门或机构统筹内控体系建设与监督工作职责。
2.按照行业监管规定和公司管理要求,建立健全和有 效
运行本单位风险管理与内部控制体系。
3.加强监督评价和缺陷整改,促进本单位风险管理与 内
部控制体系持续完善。
4.按照规定,及时、准确向公司报告风险管理与内部 控
制工作有关情况。
第二章 内部环境
第六条 公司须根据国家有关法律法规和《公司章程》,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。
第七条 内部控制工作办公室应根据职责权限,组织建立健全公司内部控制体系,对公司各部室、全资子公司和控股子公司实施内部控制目标管理和运营监控,保持公司内部控制有效性。
公司应通过编制内部控制手册和常规授权指引,使公司员工熟知内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权。
第八条 内部审计部门应结合内部审计监督,对内部控制的
有效性进行监督检查。内部审计部门对监督检查中发现的内部控制缺陷,应按照公司内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。
第九条 公司应将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。
第十条 公司应加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理观念,强化风险意识。
董事、监事、总经理及其他高级管理人员应在公司文化建设中发挥主导作用。公司员工应遵守员工行为守则,认真履行岗位职责。
第十一条 公司应加强法治教育,增强董事、监事、总经理及其他高级管理人员和员工的法治观念,严格依法决策、依法经营、依法监督,建立健全合规管理体系。
第三章 风险管理
第十二条 公司按照“分级分类”的原则分解落实风险管理责任。各级风险管理责任主体应根据风险管理职责分别承担本公司、本部门的风险管理责任。
第十三条 风险管理应贯穿公司的管理决策、制度制定、 业
务执行、监督评价等各环节,把风险管理的各项要求融入公司管理和业务流程中。
第十四条 风险评估。公司应根据设定的控制目标,全面系统地收集相关信息,结合公司业务实际情况,通过经营分析会、安全环保等专项检查,及时识别公司业务面临的各项风险因素。
风险主要分为战略风险、财务风险、市场风险、运营风险和法律风险等五大种类。
第十五条 公司应准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。
风险承受度是公司能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。
第十六条 公司识别内部风险,应关注下列因素:
(一)董事、监事、总经理及其他高级管理人员的职业操守、
员工专业胜任能力等人力资源因素。
(二)组织机构、经营方式、资产管理、业务流程等管理因
素。
(三)研究开发、技术投入、信息技术运用等自主创新因素。
(四)财务状况、经营成果、现金流量等财务因素。
(五)环境保护、安全生产、职业健康等因素。
(六)其他有关内部风险因素。
第十七条 公司识别外部风险,应关注下列因素:
(一)经济形势、产业政策、融资环境、市场竞争、资源供
给等经济因素。
(二)法律法规、监管要求等法律因素。
(三)安全稳定、文化传统、社会信用、教育水平、消费者
行为等社会因素。
(四)技术进步、工艺改进等科学技术因素。
(五)自然灾害、环境状况等自然环境因素。
(六)其他有关外部风险因素。
第十八条 公司应对识别的风险进行分级管理。按照风险发生的可能性及其影响程度等,划分为重大风险、重要风险和一般风险。
公司应定期组织有关部门讨论面临的内部风险和外部风险,形成重大风险管控清单。
各部门负责归口管理范围内重大风险管控清单的编制与维护。内部控制工作办公室负责公司重大风险管控清单的汇总整理与定期维护。各子公司结合本单位实际情况,编制本单位重大风险管控清单。
公司进行风险分析,必要时聘请专业机构、专业人员,确保风险分析结果的准确性。
第十九条 公司要建立健全全面覆盖、突出重点的常态化、制度化、与业务紧密融合的风险评估机制。
(一)年度全面风险评估。对经营环境变化、发展趋势等进行
综合分析和预判,同时结合内控体系监督评价工作中发现的经
营管理缺陷和问题,综合评估公司内外部风险水平,有针对性地制定风险应对方案。
1.公司及各子公司每年至少开展一次涵盖所有业务的年度全面风险评估。
2.年度全面风险评估应围绕战略目标、年度经营管理目标和重点工作,结合日常风险监控情况,全面评估本年度面临的风险,确定年度重大风险及风险管理重点。
公司内部控制工作办公室应于每年年初组织开展公司年度全面风险评估工作,提出公司年度重大风险评估结果及建议,经公司总经理办公会审议通过后,组织落实重大风险管控措施。
(二)专项风险评估。对重大合同、新业务、重大投资并购、
改革改制重组、重要组织结构调整等决策事项应开展专项风险评估,充分揭示风险、提出风险应对措施及解决预 案,并将风险评估报告作为重大经营管理事项决策的必备支撑材料。
第二十条 风险应对。公司应根据风险评估的结果,围绕公司发展战略,确定总体风险偏好、风险承受度、风险管理有效标准,选择风险回避、风险降低、风险分担、风险承受等风险应对策略。
公司应根据风险应对策略,针对评估出的重大风险,建立重大风险的管控机制(明确重大风险的管控目标,设定监控具体指标或预警指标,制定可操作性的应对措施以及应急预案)。
第二十一条 风险监控。公司应以重大风险、重大事件、重
大决策、主要业务流程为重点,对风险管理的实施情况进行监督。
第四章 控制活动第二十二条 公司应结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。
控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
第二十三条 不相容职务分离控制要求公司全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。
第二十四条 授权审批控制要求公司根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。公司应编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。常规授权是指公司在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指公司在特殊情况、特定条件下进行的授权。
公司各级管理人员应在授权范围内行使职权和承担责任。第二十五条 会计系统控制要求公司严格执行国家统一的会计准则、制度,加强会计基础工作,明确会计凭证、会计账簿和
财务会计报告的处理程序,保证会计资料真实完整。
公司依法设置会计机构,配备会计从业人员。会计人员应具备从事会计工作所需要的专业能力。会计机构负责人原则上应具备会计师以上专业技术职称或注册会计师资格。
第二十六条 财产保护控制要求公司建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。公司严格限制未经授权的人员接触和处置财产。
第二十七条 预算控制要求公司实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
第二十八条 运营分析控制要求公司应综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,开展月度、季度、年度运营情况分析,发现存在的问题,及时查明原因并加以改进。
第二十九条 绩效考评控制要求公司建立和实施绩效考评制度,科学设置考核指标体系,对公司内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
第三十条 公司应逐步建立重大风险预警机制和突发事件应急处理机制、明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突
发事件得到及时妥善处理。
第五章 专项风险的内部控制第三十一条 公司应对全资子公司和控股子公司实行管理控制,主要包括:
(一)依法建立对全资子公司和控股子公司的控制架构,确定全资子公司和控股子公司章程的主要条款,选任董事、监事、总经理及财务负责人。
(二)根据公司的战略规划,协调全资子公司和控股子公司的经营策略和风险管理策略,督促全资子公司和控股子公司据以制定相关业务经营计划和风险管理程序。
(三)全资子公司和控股子公司的业绩考核与激励约束制度。
(四)母子公司关联交易等方面的政策及程序。
(五)全资子公司和控股子公司重大事项的内部报告制度。重大事项包括但不限于发展计划及预算、重大投资、收购出售资产、提供财务资助、为他人提供担保、签订重大合同等的管理。
(六)定期取得全资子公司和控股子公司财务报告,并根据
相关规定,委托会计师事务所审计全资子公司和控股子公司的财务报告。
(七)公司认为需要管控的其他事项。
第三十二条 公司应对全资子公司和控股子公司内部控制制度的实施及其检查监督工作进行评价。
第三十三条 公司对外担保应遵循合法合规、互利、安全的原则,执行公司对外担保管理制度,严格控制担保风险。公司应调查被担保人的经营和信誉情况。
第三十四条 公司募集资金使用的内部控制应遵循规范、安全、高效、透明的原则,遵守承诺,注重使用效益,执行公司募集资金使用管理制度。
第三十五条 公司重大投资的内部控制应遵循合法、审慎、安全、有效的原则,控制投资风险、注重投资效益,执行公司投资管理办法。
投资管理部门负责对重大投资项目的可行性、投资风险、投资回报等事宜进行专门研究和评估,监督重大投资项目的执行进展,如发现投资项目出现异常情况,应及时向公司报告。
第三十六条 公司董事会应定期了解重大投资项目的执行进展和投资效益情况,关注未按计划投资、未能实现项目预期收益、投资发生损失等情况。
第三十七条 公司应建立委托理财管理制度,选择资信状况、财务状况良好,无不良诚信记录及盈利能力强的合格专业理财机构作为受托方,并与受托方签订书面合同,明确委托理财的金额、期间、投资品种、双方的权利义务及法律责任等。
第三十八条 公司应建立信息披露管理制度和重大信息内部报告制度,明确重大信息的范围和内容,指定专人为公司对外发布信息的主要联系人。对外发布信息的联系人需了解重大事
项的情况和进展时,相关部门(包括全资子公司和控股子公司)及人员应予以积极配合和协助,及时、准确、完整地进行回复,并根据要求提供相关资料。
第三十九条 公司应按照有关规定,规范公司对外接待等投资者关系活动,确保信息披露的公平性。
第四十条 公司应建立内幕信息及知情人保密管理制度。因工作关系了解到相关信息的人员,在该信息尚未公开之前,负有保密义务。如信息不能保密或已经泄漏,应采取及时向监管部门报告和对外披露的措施。
第四十一条 公司关联交易的内部控制应遵循诚实信用、平等、自愿、公平、公开、公允的原则,不得损害公司和股东的权益。公司应建立关联交易管理制度,明确公司股东大会、董事会、经营层对关联交易事项的审批权限,规定关联交易事项的审批程序和回避表决要求。
第六章 信息与沟通
第四十二条 公司应建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。
第四十三条 公司应将内部控制相关信息在公司内部各管理级次、责任单位、业务环节之间,以及公司与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行
沟通和反馈。信息沟通过程中发现的问题,应及时报告并加以解决。重要信息应及时传递给董事会、监事会和经营层。
第四十四条 公司应利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。公司应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
第四十五条 公司应建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和相关部门在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。
第四十六条 公司应建立举报投诉和举报人保护机制,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为公司有效掌握信息的重要途径。
第七章 内部控制的检查监督和披露
第四十七条 公司内部控制工作办公室应对内部控制制度的落实情况进行定期和不定期的检查。通过内部控制制度的检查监督,发现内部控制制度是否存在缺陷以及实施中是否存在问题,并及时予以改进,确保内部控制制度的有效实施。
第四十八条 内部控制工作办公室应结合自身实际情况,制定年度内部控制检查监督计划,按照《企业内部控制评价指引》的相关要求和程序,开展内部控制检查评价工作,并作为评价内
部控制运行情况的依据。
第四十九条 内部控制工作办公室应制定公司内部控制年度自我评价方案。年度内部控制评价实施方案经分管领导审核、总经理审批。
第五十条 公司董事会、审计委员会对内部控制检查监督工作进行指导,并审阅检查审计部提交的年度内部控制检查监督工作报告。
第五十一条 检查监督过程中发现的内部控制缺陷及实施中存在的问题,将列为各部门绩效考核的重要项目。对已发现的重大缺陷,追究相关单位或者责任人的责任。内部控制检查监督的工作资料保存时间不少于三十年。
第五十二条 内部控制工作办公室应结合内部监督情况及相关信息评价公司内部控制的建立和实施情况,形成年度内部控制自我评价报告,提交分管领导、总经理审核,总经理办公会、审计委员会审议,董事会审批。公司董事会依据有关监管部门的要求,在审议年度财务报告等事项的同时,对内部控制评价报告形成决议,同年度报告一并对外披露。
第五十三条 会计师事务所在对公司进行年度审计时,应就公司财务报告内部控制情况出具评价意见。
第五十四条 如会计师事务所对公司内部控制有效性出具非标准审计报告或指出公司非财务报告内部控制存在重大缺陷
的,公司董事会、监事会应当针对所涉及事项作出专项说明,专项说明至少应当包括下列内容:
(一)所涉及事项的基本情况;
(二)该事项对公司内部控制有效性的影响程度;
(三)公司董事会、监事会对该事项的意见;
(四)消除该事项及其影响的具体措施。
第五十五条 公司应当在年度报告披露的同时,在中国证监会指定网站上披露内部控制自我评价报告和内部控制审计报告(如有)。
第八章 附则
第五十六条 公司全资子公司及控股子公司应根据本规定,依据外部监管要求,结合实际制定本公司风险管理与内部控制制度。
第五十七条 本规定未尽事宜,依照国家有关法律、法规以及《公司章程》的规定执行。本规定与国家有关法律、法规以及《公司章程》的规定不一致的,以国家有关法律、法规以及《公司章程》的规定为准,并及时修改本规定。
第五十八条 本规定由公司董事会负责解释和修订。
第五十五条 本规定经公司董事会审议通过,自通过之日起实施,修改时亦同。