《集团有限公司内部控制与风险管理办法.docx》由会员分享,可在线阅读,更多相关《集团有限公司内部控制与风险管理办法.docx(12页珍藏版)》请在课桌文档上搜索。
1、集团有限公司内酣空制与风险管理办法第一章总则第一条为建立健全风险内控体系,规范内部控制与风险管理工作(以下简称风险内控工作),充分发挥风险内控工作积极作用,全面提升内部控制水平和风险防范能力,根据国国家相关法律法规,按照X集团有限公司暨X有限公司内部控制与风险管理办法要求,结合集团公司实际,制定本办法。第二条本办法适用于集团公司总部及所属各单位(以下统称各单位)。第三条本办法所称内部控制是指企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业战略目标的实现。本办法所称
2、风险是指未来不确定性对企业实现其战略及经营目标的影响。风险管理是指企业围绕战略及经营目标,明确风险管理目标,确定风险偏好,搭建风险管理框架,建立风险评估及管理机制,在经营管理各个环节落实风险管理要求,实现全流程风险有效管控,逐步提升全员风险意识,培育企业风险管理文化,从而为实现风险管理总体目标提供合理保证的过程和方法。第四条风险内控工作坚持以风险管理为导向、以内部控制为抓手、以合规管理为基础、以信息技术为支撑的工作理念,突出集团管控,强化不同层级工作协同,推动风险内控工作有序开展。第五条进一步强化管理制度化、制度流程化、流程信息化的理念,将风险管理与内部控制要求嵌入各项业务流程,重视解决实际问
3、题及过程控制要求,提升风险内控工作对决策支持和业务支撑的促进作用,形成全面、全员、全过程、全体系的风险防控机制,保障企业持续、健康、稳定、高质量发展。第二章工作目标和原则第六条工作目标:(一)合规目标。合理保证企业经营管理活动合法合规,保障企业资产安全、财务及相关报告内容真实完整,各项规章制度和管理措施有效落实。(二)管理目标。围绕企业发展战略,建立良好内部控制环境,培育企业风险管理文化,提高全员风险内控意识,强化集团管控,落实“放管服”要求,完善内部控制管理机制和管控手段,规范风险管理程序和方法,促进企业综合管理水平不断提高。(三)价值目标。重视风险威胁与机遇的分析与平衡,开展风险经营,精确
4、辨识、防范和化解重大风险,减少风险损失;多角度分析风险,把握风险中的机遇,创造风险收益,提升盈利能力,为企业保护和创造价值。第七条工作原则:(一)统筹规划、各负其责。集团公司按照股份公司顶层设计,统筹规划集团公司风险内控工作,各单位结合企业自身特点、发展阶段、组织模式、管理水平等,分类别、分阶段、分层次推进落实。(二)全面覆盖、突出重点。风险内控工作在覆盖所有单位及全部业务领域基础上,重点关注重要业务、新兴业务、关键环节和高风险领域。(三)战略引领、管理融入。坚持战略引领,突出风险导向,在依法合规前提下,强调内部控制在经营管理活动中的作用,优化企业管理体系,提升管理效率和效果。(四)持续改进、
5、不断优化。全面、客观揭示经营管理中存在的缺陷和问题,建立常态化整改机制,推动风险内控工作持续改进和不断优化。第三章组织机构与职责第八条贯彻落实股份公司“统一领导、分级负责,全面防范、重点控制”的管理思路和“横向到边,纵向到底”的工作原则,集团公司构建“四横、两纵、一监督”的风险内控组织架构(详见附件1)。“四横”为集团公司董事会、经理层(内部控制与风险管理领导小组)、风险内控牵头部门(内部控制与风险管理领导小组办公室)、总部各专业部门(风险内控工作责任部门)。“两纵”为集团公司总部、所属各单位。“一监督”为集团公司总部审计监事部及所属各单位内部审计部门。第九条工作职责:(一)董事会决定公司的风
6、险内控体系,对公司风险管理的实施总体监控,全面领导风险内控工作;批准风险内控工作规划、风险内控基本制度及手册文件;倡导培育风险管理文化,明确风险管理目标,确定风险偏好和风险承受度;了解、掌握企业面临的各项重大风险,健全风险管控决策机制,强化重大风险应急处置管理;审定重大风险管理策略,批准年度风险内控体系工作报告、内部控制评价报告等。(一)经理层负责风险内控工作的组织实施。设立内部控制与风险管理领导小组(以下简称领导小组),贯彻落实董事会关于风险内控工作要求,拟订公司风险内控体系方案,组织领导、推进全系统风险内控工作,批准风险内控工作考核结果。领导小组组长由公司主管领导担任。(三)风险内控牵头部
7、门承担内部控制与风险管理领导小组办公室职能,负责贯彻落实内部控制与风险管理法规、政策和工作要求,健全风险内控体系,完善风险管理机制,组织开展公司层面重大风险评估和内部控制评价,组织协调总部各专业部门实施重大风险管控,指导、督促所属各单位风险内控工作开展,组织开展风险内控工作考核。(四)总部各专业部门为风险内控工作责任部门,与风险内控牵头部门共同建立健全内部控制和风险管理机制,负责履行部门职责范围内的内控与风险管理职能,执行落实内控与风险管理政策法规,按照内部控制要求规范职责范围内的规章制度、业务流程等;收集、识别职责范围内的风险信息,建立健全风险监测、预警、报告及应急管理机制,按规定及时报送重
8、大风险事件相关信息;分析、测试、辨识、评估本部门职责范围的风险,提出风险管理应对措施,制定风险管控方案,对重大风险持续进行监控;组织开展职责范围内的自查、自纠及问题整改工作。部门负责人为各部门风险内控工作第一责任人,专门设置由部门副职或业务骨干兼任的风险内控专员,在部门负责人领导下负责本部门风险内控工作的组织、统筹和协调,配合公司风险内控相关工作开展。(五)各单位根据集团公司整体工作要求,结合实际情况和行业管控要求,健全本单位风险内控体系,明确不同管理层级和专业部门工作职责,设立或明确风险内控牵头部门,配备满足工作需要的专职人员,组织、统筹、协调本单位风险内控工作,指导、督促、支持所属单位开展
9、工作。各单位经理层对本单位风险内控工作有效性负责,主管领导为风险内控工作第一责任人。(六)审计监事部及所属各单位内部审计部门作为风险内控工作监督机构,对风险内控工作开展情况进行审计监督,揭示风险隐患和内控缺陷,进一步发挥查错纠弊作用,促进企业不断优化风险内控体系。针对风险内控工作的审计监督应充分落实股份公司相关要求,可结合年度审计、任期审计或专项审计工作一并开展。第四章内部控制第十条建立健全良好的内部控制环境,包括规范的治理结构、科学的机构设置及权责分配、独立有效的内部审计、可持续发展的人力资源政策、积极向上的企业文化等。第十一条根据国家法律、法规要求,结合管理需要,建立健全贯穿于生产、经营、
10、管理活动的各个环节,涵盖所有业务流程和事项的内部控制体系。重视完善主营业务、新兴业务、改革重点领域、固有资本运营以及境外国有资产监管等关键环节和高风险领域的管理制度和业务流程。第十二条持续完善管理制度体系,重视内外部信息收集,及时将相关法律法规、外部监管要求、内部控制管控要求融入企业管理制度,明确重要业务领域和关键环节的控制程序和风险应对措施。将违规经营投资责任追究内容纳入企业管理制度中,强化制度执行刚性约束。第十三条根据企业实际及业务特点,结合内部控制要求和风险管理需要,不断优化完善、合理应用控制措施。常见的控制措施包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制
11、、运营分析控制和绩效考评控制等。第十四条充分识别不相容岗位,按照不相容职务分离控制、授权审批控制要求,严格规范重要岗位和关键人员在授权、审批、执行、报告等方面的权责;编制一般授权和特别授权规定,明确授权的对象、范围和期限,严禁转授权;严格控制特别授权,规范特别授权的权限、程序和责任。第十五条完善决策审批程序,对“三重一大”及投资并购、改革改制重组等重大经营决策事项,须纳入内部控制范畴,要健全制度、完善流程、集体决策、规范运作。第十六条建立健全预算管理体系和运营分析制度,通过科学编制、全面执行预算,并对运营活动开展全面、客观分析,发现问题、查明原因、调整策略、及时改进,促进经营管理目标的实现。第
12、十七条运用信息技术加强内部控制,突出风险导向,建立与管理活动相适应的信息系统。第十八条按照股份公司要求接受第三方内部控制审计,并健全内部控制自我评价机制,定期开展内部控制自我评价、监督评价。要不断规范评价工作程序、标准和方式方法,定期、不定期梳理分析风险内控体系运行状况,关注内外部环境和风险变化情况,辨识分析经营管理活动中存在的缺陷和问题,及时研究制定改进措施,组织开展缺陷整改并跟踪整改情况,保证整改效果。第十九条内部控制相关记录和资料应以书面或其他适当形式,妥善保存、保管。第五章风险管理第二十条风险管理目标确定。结合自身特点、发展阶段和业务领域,建立风险管理目标机制,准确把握风险管理与发展战
13、略、公司治理、集团管控、绩效评价等关系,明确风险偏好,合理确定风险承受度,提出风险管理总体要求和任务目标,建立风险管理目标体系。第二十一条风险信息收集。完善风险信息收集机制,持续收集内外部风险信息。风险信息收集应坚持全面性、重要性、客观性、及时性原则,注重全方位收集与企业经营管理相关的各类风险信息,突出重大、有代表性风险信息和案例的收集。第二十二条风险辨识分析。风险辨识分析是风险评估的重要前提和基础,对收集的风险信息应进行必要的筛选、提炼、对比、分类、组合,充分发现、辨认、描述风险,并按传递渠道和程序及时、准确、完整提交风险内控牵头部门,由风险内控牵头部门完成风险信息的最终整理、汇总和分析工作
14、,持续更新风险信息库、案例库。第二十三条风险评估。制定定性与定量相结合的风险评估标准,对辨识出的风险及其特征进行明确的定义描述,分析风险发生的条件或原因,评估风险发生可能性的高低,以及对目标实现可能产生的影响和程度。在风险内控体系建设过程中统一开展业务层面的风险评估,并至少按年度定期开展公司层面风险评估。对于投资并购、改革改制重组等重大经营事项,在决策前应开展专项风险评估工作,并将专项风险评估报告(含风险应对措施和处置预案)作为重大经营事项决策的必备支撑材料。第二十四条风险应对策略。根据风险评估结果,围绕企业现状及发展战略,基于风险偏好和风险承受度,权衡风险与收益,制定风险应对总体策略,配置相
15、应资源,选择适合的风险管理工具和方式方法。常见的风险应对策略包括风险规避、风险降低、风险分担、风险承受四类。针对不同的风险,可综合选择合适的应对策略或策略组合。第二十五条风险管理解决方案。根据风险应对策略,针对各类各级风险制定可行的风险管理解决方案,进行过程跟踪管控。重大风险管理解决方案应履行备案程序,突出管控目标、主要风险源、产生原因、可能造成影响、应对策略、职责划定、具体管控措施等。重大风险主责部门应跟踪重大风险管理解决方案实施情况,关注内外部环境变化,并及时采取对策或调整解决方案。当外部环境和内部管理发生较大变化时,应重新组织开展风险评估,并适时调整风险管控重点和策略。第二十六条风险报告
16、。健全风险信息沟通传递机制,以定期风险管理报告和不定期专项报告形式,及时、准确、全面传递风险信息,排查风险隐患,有效制定应对方案。对风险管理情况实施持续监控,重大风险事件处置完毕后,相关部门应向风险内控牵头部门提交专项报告。风险内控牵头部门负责汇总分析总部各专业部门及所属各单位提交的专项报告和定期报告,编制本单位专项分析报告和年度风险管理报告。第二十七条风险预警和突发事件应急处理。建立健全风险预警和突发事件应急处理机制,划分预警等级,设计预警指标,规范处置程序,明确责任部门和人员,对预警信息持续监测,制定预警响应措施并对执行情况进行跟踪。开展必要应急演练和培训,确保危机得到及时妥善处理。第六章
17、信息系统第二十八条信息技术是加强内部控制、开展风险管理的有效工具,逐步建立涵盖风险管理和内部控制基本流程的信息管理系统,有效支撑风险内控体系运转,提升工作效率、提高工作质量。第二十九条风险内控牵头部门应加强与专业部门、信息化管理部门的协同配合,梳理、规范各项审批流程及各层级管理人员权限设置,将内部控制要求嵌入业务信息系统,确保自动识别并终止超越权限、逾越程序和审核材料不健全等行为,促使各项经营管理决策和执行活动可控制、可追溯、可检查,预防违规操纵。第三十条逐步探索利用大数据、云计算、人工智能等技术,科学设定风险量化指标和风险预警阈值,实现实时监测、自动预警、监督评价等功能,进一步提升信息化和智
18、能化管理水平。第二十一条注意信息系统的稳定和安全,实现管理信息的集成与共享,根据管理需要不断优化、更新,满足内部控制与风险管理工作要求。第七章风险管理文化第三十二条风险管理文化是企业文化的重要组成部分,工作中应引导员工树立正确的风险管理理念,将内部控制与风险管理要求转化为全员的共同认识和自觉行动。第三十三条董事会、经理层应当在培育风险管理文化中起表率作用,各级管理人员应成为培育风险管理文化的骨干力量。第三十四条通过多种形式积极开展内部控制与风险管理知识宣贯,提升全员风险意识和规则意识,培育良好风险管理氛围,逐步形成适合企业特点的风险管理文化。第三十五条健全风险内控工作培训机制,并按年度制定培训
19、计划细化实施。鼓励按需参加外部专业培训,同时围绕内部控制和风险管理理念、知识、管理制度、业务流程、内控指引及风险案例等,组织开展多种层次、形式灵活的内部风险内控业务培训、研讨交流,推动风险内控工作团队建设,培养满足管理需要的专业人员。第三十六条建立工作激励机制,对于在风险管理与内部控制工作中做出突出成绩的先进集体和个人,给予表彰奖励。第八章监督考核与责任追究第三十七条建立健全内部控制监督检查工作机制,将日常监督、专项监督、评价监督等工作相结合,合理利用审计、财务、纪检、巡视等内外部监督成果,实现风险内控体系不断优化。第三十八条根据风险内控工作开展情况及监督检查成果,按照相关规定编制风险内控工作
20、相关报告。向上级单位报送或按规定公开披露的报告,需经本单位总经理办公会批准。第三十九条风险内控考核是子公司绩效考核的重要组成部分,根据工作需要,要建立健全风险内控考核机制,明确考核对象、内容、期间、程序、指标及考核结果应用要求,对子公司风险内控工作开展情况实施考核。第四十条强化监督问责机制,对于因内控机制失效、内控重大缺陷、重大风险事件等造成重大损失和影响的,以及瞒报、漏报、谎报或迟报重大风险及内控缺陷事件的,应严肃追究相应责任。责任追究相关部门依照规定和程序组织开展责任追究工作,风险内控、法律合规、财务、审计等部门应做好协同配合。第四十一条对违反国家有关法律、法规的,除对相关责任人进行责任追究外,还应当依法承担法律责任,涉嫌犯罪的,移送司法机关处理。第四十二条及时总结责任事故,吸取教训,制定和落实整改措施,完善风险内控体系,建立健全风险防范长效机制。第九章附则第四十三条集团公司董事会授权公司经理层根据本办法制定风险内控工作相关制度和实施细则。第四十四条依照本办法,各单位应对内部控制与风险管理办法进行及时修订、完善,并报集团公司风险内控牵头部门备案。第四十五条本办法由集团公司风险内控牵头部门负责解释。第四十六条本办法经集团公司董事会批准,自发布之日起施行。