《上市公司合规、内控、风险管理办法.docx》由会员分享,可在线阅读,更多相关《上市公司合规、内控、风险管理办法.docx(25页珍藏版)》请在课桌文档上搜索。
1、上市公司合规.内控,风险管理办法宁夏西部创业实业股份有限公司合规管理办法第一章总则第一条为深入贯彻习近平法治思想,落实全面依法治区战略部署,提升宁夏西部创业实业股份有限公司(以下简称公司)治理水平,建立健全合规管理体系,有效防范重大合规风险,有力保障深化改革与高质量发展,根据中华人民共和国公司法中华人民共和国企业国有资产法中央企业合规管理办法等有关法律法规、规章及宁夏西部创业实业股份有限公司章程规定,结合公司实际,制定本办法。第二条本办法所称合规,是指公司经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求。本办法所称合规风险,是指公
2、司及员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。本办法所称合规管理,是指公司以有效防控合规风险为目的,以提升依法合规经营管理水平为导向,以企业经营管理行为和员工履职行为为对象,开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动。第三条公司合规管理工作应当遵循以下原则:(一)坚持党的领导。充分发挥公司党委领导作用,落实全面依法治区战略部署有关要求,把党的领导贯穿合规管理全过程。(二)坚持全面覆盖。将合规要求嵌入经营管理各领域各环节,贯穿决策、执行、监督全过程,落实到各部门、各子公司和全体员工,实现多方联动、上下
3、贯通。(三)坚持权责清晰。按照“管业务必须管合规要求,明确各部门、各子公司职责,严格落实员工合规责任,对违规行为严肃问责。(四悭持务实高效。建立健全符合公司实际的合规管理体系,突出对重点领域、关键环节和重要人员的管理,充分利用大数据等信息化手段切实提高管理效能。第二章组织和职责第四条公司构建以党委会、董事会及经理层为一体的合规管理组织架构,形成各司其职、各负其责、紧密配合、协同联动的工作机制,共同推进合规管理体系有效运行。第五条公司党委发挥把方向、管大局、保落实的领导作用,推动合规要求在公司得到严格遵循和落实,不断提升依法合规经营管理水平。党群工作部在公司党委领导下,按照有关规定履行相应职责,
4、推动相关党内法规制度有效贯彻落实。第六条公司董事会发挥定战略、作决策、防风险作用,主要履行以下职责:(一)审议批准合规管理基本制度等;(二)研究决定合规管理重大事项;(三)推动完善合规管理体系建设;(四)其他董事会职权范围内的合规管理事项。第七条公司经理层发挥谋经营、抓落实、强管理作用,主要履行以下职责:(一)拟订合规管理体系建设方案,经党委会审议后组织实施;(二)拟订合规宣里基本制度,批准年度计划等,组织制定合规管理具体制度;(三)组织应对重大合规风险事件;(四)指导监督各部门和权属子公司合规管理工作。第八条公司主要负责人作为推进法治建设第一责任人,应当切实履行依法合规经营管理重要组织者、推
5、动者和实践者的职责,积极推进合规管理各项工作。第九条公司设立合规委员会,与法治建设领导机构合署办公,统筹协调合规管理工作,定期召开会议,研究解决重点难点问题。第十条公司结合实际,可适时设立首席合规官,不新增领导岗位和职数,由总法律顾问兼任,对公司主要负责人负责,领导合规管理部门组织开展相关工作,指导公司各部门及各子公司加强合规管理。第十一条公司法务工作机构作为合规管理部门,牵头负责公司合规管理工作,主要职责为:(一)组织起草合规管理基本制度、具体制度、年度计划和工作报告等;(二)负责规章制度、经济合同、重大决策合规审查;(三羯织开展合规风险识别、预警和应对处置,开展合规管理体系有效性评价;(四
6、)组织开展合规检查与考核评价;(五)受理职责范围内的违规举报,提出分类处置意见,组织或者参与对违规行为的调查;(六)组织或者协助业务及职能部门开展合规培训,受理合规咨询,推进合规管理信息化建设。各子公司应明确本单位合规管理部门(可单独设立或由现有部门负责),并配备与经营规模、业务范围、风险水平相适应的专(兼)职合规管理人员,加强业务培训,提升专业化水平。第十二条公司其他业务及职能部门承担合规管理主体责任,主要职责为:(一)建立健全本部门业务合规管理制度和流程,开展合规风险识别评估,编制风险清单和应对预案;(二)定期梳理重点岗位合规风险,将合规要求纳入岗位职责;(三)负责本部门经营管理行为的合规
7、审查;(四)及时报告合规风险,组织或者配合开展应对处置;(五)组织或者配合开展违规问题调查和整改;各业务及职能部门应设置专(兼)职合规管理员,由业务骨干担任,接受合规管理部门业务指导和培训。第十三条全体员工承担以下合规管理职责:(一)接受合规培训;(二)坚持合规从业,对自身行为的合规性承担直接责任;(三)主动识别、报告、控制履职过程中的合规风险;(四)监督和举报违规行为。第三章制度建设第十四条公司根据适用范围、效力层级等构建分级分类的合规管理制度体系,其基本制度应当明确总体目标、机构职责、运行机制、考核评价、监督问责等内容。第十五条公司关注合规管理重点领域经营管理活动,制定具体工作制度,具体包
8、括:(一)公司治理。全面落实三重一大决策制度,强化制度文件合规性审查,提升决策有效性,保障党委会、董事会、经理层等依据法律法规规定正确履职,实现党的领导与公司治理有效融合;(二)上市监管。严格落实上市监管和公司治理要求,防范在公司治理、上市融资、信息披露、高管履责及财务年报等方面的合规风险;(三)项目建设。健全工程项目建设前期、施工、验收等各环节管理制度,妥善处理内外部法律关系,严格落实工程建设管理要求,严防工程转包和违规分包,确保建设质量;(四)招标采购。健全招标采购制度,强化制度执行,严禁应招未招、虚假招标,对招投标文件进行实质性变更等行为,强化依法合规采购,完善对供应商在招标采购中失信行
9、为处理机制;(五)财务税收。健全完善财务内部控制体系,严格执行财务事项操作和审批流程,严守财经纪律,强化依法纳税意识,严格遵守税收法律法规和政策规定;(六)合同管理。重视合同管理及合规审查,定期开展合同履行情况检查及自查自纠工作。涉及土地、工程建设及其他重点项目等,应按照合同约定期限通报合同履行情况;(七涝动用工。严格遵守劳动用工法律法规健全完善劳动用工合同管理制度,规范劳动用工合同签订、履行、变更和解除,严防各种违规劳务分包,确保依法合规用工;(八)知识产权。及时申请注册知识产权成果,规范实施许可和转让,及时制止外部侵权行为,加强对商业秘密和商标的保护,依法规范使用他人知识产权,防止侵犯他人
10、权益;(九)网络安全与数据管理。依法保护业务数据与信息安全,做好相关网络与信息系统的安全防护,防止重大商业信息与内幕信息泄露;(十)安全环保。严格执行国家安全生产、职业卫生和环境保护等法律法规,完善公司生产规范和安全环保制度,加强监督检查,及时发现并整改违规问题;(十一)其他需要重点关注的领域。第十六条公司各职能部门应根据法律法规、监管政策等变化情况,及时对规章制度进行修订完善。相关部门按照职权对行落实情况进行检查。第四章运行机制第十七条建立双线有效的合规管理汇报制度,遇有重大合规风险及事项,各部门、各子公司除及时向本单位主要负责人报告外,还需书面向合规管理部门报告,确保公司主要负责人及时掌握
11、合规风险情况。第十八条公司建立合规风险识别评估预警机制,全面梳理经营管理活动中的合规风险,对风险发生的可能性、影响程度、潜在后果等进行分析,对典型性、普遍性或者可能产生严重后果的风险及时预警。具体要求如下:(一)法律证券事务部应加强授权清单范围内的合同及规章制度审核,每年对各子公司开展1-2次合规风险排查,并形成风险排查报告;(二)审计风控部应定期梳理合规风险识别清单、修订内控手册;(三)经营管理部应定期开展重点领域专项治理检查工作,建立健全重点领域规章制度;(四)财务金融部应建立健全全面预算管理工作机制,提高指标编制准确率,做好预算执行及控制,加强过程控制、事权控制、资金控制水平;(五)纪检
12、监察部依据有关规定,在职权范围内对合规要求落实情况进行监督,对违规行为进行调查,按照规定开展责任追究;(六)其他职能部门应统筹安排各项检查、排查工作,提升经营效率。第十九条公司合规预警与反馈管理要求如下:(一)公司各职能部门应在日常业务中对潜在合规风险进行日常监控及定期自查,对可能带来重大合规风险的事项或已识别出的重大合规风险事项,应及时反馈至合规管理部门;(二)合规风险反馈采用书面形式。反馈内容一般包括发现的合规风险及处理情况、已识别的政策或流程上的漏洞或缺陷建议、已经采取的纠正措施等事项。第二十条公司合规风险嵌入管理要求如下:(一)通过合规风险识别、评估、预警及反馈发现合规风险后,各职能部
13、门应将相应的合规要求和风险防控措施嵌入制度和流程,并开展专项培训;(二)日常经营管理过程中,公司各职能部门应根据合规风险类型确定具体合规要求和防控措施才检嵌入相关制度和流程,保证合规管理动态运行和持续改进。第二十一条公司合规风险应对管理要求如下:(一)对于发现的合规风险隐患,各职能部门应及时采取应对措施,同时开展专项领域的合规管理和合规风险环节的流程梳理;(二)对于可能引发重大违规事件的合规风险隐患,各部门应积极应对,最大限度化解风险、降低损失,并按照相关制度规定及时报至合规管理部门;(三)自查或评估过程中发现重大合规风险或发生重大合规事件的,相关业务及职能部门应及时书面报告合规管理部门。第二
14、十二条公司建立合规审查与强制咨询机制,具体要求如下:(一)涉及重点领域的规章制度制定及修订,各职能部门、各子公司应确保相关制度满足合规管理要求;(二)对于业务中所涉及的商业伙伴,各职能部门、各子公司应按照实际业务需求及相关业务流程对商业伙伴开展调查;(三)对于复杂或专业性较强的重大合规风险事项,必须进行合规审查,必要时应经过公司规定程序选择并委托聘请专家或专业机构出具合规审查意见;(四)合规管理部门对制度及重大合规风险事项进行合规审核,重点审查是否符合国家的法律法规、有关政策及公司的相关管理规定,与其他制度之间是否有序衔接、有无矛盾等,并提示合规风险。第二十三条公司重大决策事项的合规审查意见应
15、当由首席合规官签字,对决策事项的合规性提出明确意见。第二十四条公司建立合规管理报告机制,具体要如下:(一)合规管理部门根据各部门、子公司的报送材料编制完成公司合规管理年度报告,分析、评估合规管理工作。(二)若存在可能发生或已经发生的重大合规事件,所涉部门或单位应于三个工作日内将相关情况与处置预案或方案书面报至合规管理部门,对于特别紧急的重大合规事件,应第一时间书面或口头报告。第二十五条合规管理部门接到重大合规事件后应及时报至公司主要负责人及首席合规官,并监督重大合规事件的后续处置情况。第二十六条各部门、各子公司根据自身实际定期开展合规管理体系有效性评价工作,针对合规管理体系有效性、适应性进行分
16、析,及时发现并纠正合规管理执行中存在的问题,深入查找根源,完善相关制度,持续改进提升。第二十七条各部门、各子公司应按照规定,负责收集、整理并归档合规文件,归档的文件材料应完整、准确。第五章举报、调查、处理与保障第二十八条公司纪检监察机构为合规管理工作的监督部门,负责公司及各子公司的举报、调查和处理工作。公司设立违规举报平台,公布举报电话、邮箱和信箱,员工可通过实名或匿名等方式对违反法律法规、公司合规管理制度或其他制度的行为进行举报。接收员工的举报,应保护举报人的正当权益,对举报人和举报内容保密,并依据相关规定予以调查处理。第二十九条纪检监察机构在接到举报或发现违规事件时,应组织相关部门对合规事
17、件的原因及调查结果进行全面了解,调查结果按照相关规定报告首席合规官。第三十条违规事件等级标准按照公司法律纠纷案件管理办法违规经营投资责任追究实施办法规定执行。第三十一条发生一般违规事件,各部门应当立即向业务分管领导报告,各子公司向本单位主要负责人报告。发生较大及重大违规事件,应当立即向公司主要负责人、经理层及首席合规官报告,由首席合规官牵头,合规管理部门统筹协调,相关部门协同配合,及时采取应对措施,化解风险。第三十二条未按照本办法处理合规事项给公司造成损失或带来不良影响的,公司根据情节、不良影响程度和后果等情况,依照公司违规经营投资责任追究等相关制度规定追究相关人员的责任;涉嫌犯罪的,移交司法
18、机关依法处理。因过失行为造成违规后果的个人或单位,可按照公司容错纠错相关规定,减轻或免除其责任。第三十三条公司及各子公司建立所属单位经营管理和员工履职违规行为记录制度,每年定期对公司总部各职能部门及子公司合规管理工作进行考核评价,将违规行为性质、发生次数、危害程度等作为考核评价、职级评定等工作的重要依据。第三十四条公司定期开展合规管理体系有效性评价,针对重点业务合规管理情况实施开展专项评价,强化结果运用。第六章合规文化第三十五条公司应将合规管理纳入党委法治专题学习,推动公司领导人员强化合规意识,带头依法依规开展经营管理活动。第三十六条树立全员合规立身理念,倡导依法合规、诚信经营的价值追求,强化
19、全员安全、质量、诚信和廉洁等意识,筑牢合规经营的思想基础。第三十七条建立常态化合规培训机制,积极倡导和培育良好的合规文化,通过合规宣讲、制定合规手册、签订合规承诺书等方式,强化全员合规意识。第三十八条建立专业化、高素质的合规管理队伍,根据业务规模、合规风险水平等因素配备合规管理人员,持续加强业务培训I,提升队伍能力水平。同时加强对高风险岗位人员教育,强化监督管理责任,使高风险岗位人员熟悉并严格遵守业务涉及的法律法规、规章制度等要求。第三十九条引导全体员工自觉践行合规理念,遵守合规要求,接受合规培训,对自身行为合规性负责,培育具有公司特色的合规文化。第七章信息化建设第四十条公司应加强合规管理信息
20、化建设,结合实际将合规审查、基本制度、重大决策、重要合同等重点环节业务的合规审查、审核流程纳入公司办公自动化信息系统。第四十一条各职能部门、各子公司定期梳理业务流程,查找合规风险点,运用信息化手段将合规要求和防控措施嵌入流程,针对关键节点加强合规审查,强化过程管控。第四十二条科技与信息化职能部门负责牵头推进合规管理信息化建设。各职能部门、各子公司梳理自身合规管理信息化建设需求,科技与信息化职能部门根据需求推进落实。第四十三条公司及各子公司应加强合规管理信息化系统与财务、投资、采购等系统的互联互通,实现数据共用共享。第四十四条公司及各子公司可综合运用大数据等工具,加强对经营管理行为依法合规情况的
21、在线监控和风险分析,逐步实现合规管理的信息化、智能化,同时实现合规风险即时预警、快速处置。第八章附则第四十五条本办法适用于公司及权属子公司。第四十六条本办法经公司董事会批准之日起施行。宁夏西部创业实业股份有限公司内部控制评价管理办法第一章总则第一条为进一步加强和规范公司内部控制管理工作,提高经营管理水平和风险防范能力,促进公司持续、健康、稳定发展,根据中华人民共和国公司法中华人民共和国证券法中华人民共和国会计法及财政部等五部委颁布的企业内部控制基本规范企业内部控制评价指引等有关法律法规、规章及宁夏西部创业实业股份有限公司章程的要求,结合公司实际情况,制定本办法。第二条本办法适用于宁夏西部创业实
22、业股份有限公司(以下简称公司)及权属子公司。第三条本办法所称内部控制,是由公司董事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进公司实现发展战略。第四条本办法所称内部控制评价,是指公司对内部控制的设计和运行的有效性进行全面评价,形成评价结论,出具评价报告的过程。第五条建立与实施内部控制,应当遵循下列原则:(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖公司的各种业务和事项,实现全过程、全员性控制。(二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风
23、险领域。(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。(四)适应性原则。内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。第六条建立与实施有效的内部控制,应当包括下列要素:(一)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。(二)风险评估。风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对
24、策略。(三)控制活动。控制活动是公司根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。(四)信息与沟通。信息与沟通是公司及时、准确地收集、传递与内部控制相关的信息,确保信息在公司内部、公司与外部之间进行有效沟通。(五)内部监督。内部监督是公司对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷并及时加以改进。第七条公司应将内部控制的实施情况纳入绩效考评体系,促进内部控制的有效实施。第二章组织机构与职责第八条董事会审计委员会负责公司内部控制体系的建立、监督和评估,监督内部控制的有效实施和内部控制评价工作,协调内部控制审计及其他相关事宜等。主要职责是:(一)负
25、责审查公司内部控制制度,监督内部控制的有效实施;(二)对内部控制评价工作进行指导;(三)审核审计风控部提交的内部控制自我评价报告;(四)认为必要时,可委托中介机构实施内部控制评价;(五)协调其他相关事宜。第九条审计风控部是董事会审计委员会的日常办事机构,是内部控制体系建立及内部控制评价的牵头部门,主要职责如下:(一)负责拟定公司年度内部控制评价工作方案,组织各部门、子公司开展内部控制评价工作;汇总内部控制评价工作底稿并对工作底稿进行独立的抽样复核;(二)依据抽样复核结果和专项审计发现的问题,编制公司内部控制缺陷认定表(附件1),对公司的内部控制缺陷和影响程度进行综合分析,提出认定意见和整改建议
26、;(三)对于发现的内部控制重大缺陷,直接向分管领导报告;(四)对内部控制缺陷是否得到有效整改进行持续监督,做好监督记录;(五)编制公司内部控制自我评价报告;(六)内部控制评价文件的归档管理。第十条各部门、子公司是内部控制执行及内部控制评价的具体实施者,其主要职责如下:(一)负责执行和完善内部控制手册中与其相关的内部控制流程及风险控制矩阵,及时同审计风控部沟通内控制度变化情况,以便研究修订内部控制手册;(二冲艮据公司内部控制评价工作方案的安排,每年开展一次内部控制评价工作,完成内部控制评价工作底稿并按时提交至审计风控部;(三)协助审计风控部开展内部控制评价工作底稿的抽样复核工作,确认审计风控部发
27、现的内部控制缺陷,按时完成整改。第三章内部控制评价的程序和方法第十一条准备(一)审计风控部拟定公司内部控制评价工作方案,经公司分管领导审批后方可实施。(二)审计风控部根据实际工作需要,对内部控制手册修订工作进行安排,各部门、子公司根据制度变化等情况,对内部控制手册相关内容进行全面复核并形成修订建议。修订建议内容包括:1 .说明业务流程自上次制订或修订以来环境、内容的变化;2 .部门职责、岗位调整和职责重新界定情况;3 .出现的新业务;4 .应用新的系统工具、软件等。说明以上变化产生风险点或对原风险点的影响、可能带来的风险及应采取的控制措施的建议。第十二条执行各部门、子公司内部控制评价工作严格按
28、照公司内部控制评价工作方案中的要求自行完成。通过抽取规定数量的样本,测试内部控制活动是否按照控制流程描述得到有效执行,并如实填写工作底稿,为分析、认定内部控制缺陷提供依据。第十三条评价(一)审计风控部对各部门、子公司提交的内部控制评价工作底稿进行复核,包括工作底稿填写的规范性、准确性、完整性等。(二)审计风控部应对内部控制工作底稿执行抽样测试程序。若抽样测试结果与自评测试结果不一致,须与相关部门、子公司进行沟通,研究分析内部控制缺陷事项。第十四条缺陷认定(一)审计风控部根据抽样测试后的结果,结合专项审计发现的问题编制公司内部控制缺陷认定表(附件1),对公司的内部控制缺陷和影响程度进行综合分析,
29、提出认定意见和整改建议。(二)内部控制缺陷包括设计缺陷和运行缺陷,并按其影响程度分为重大缺陷、重要缺陷和一般缺陷(内部控制缺陷认定标准详见附件2)o第十五条整改相关责任部门、子公司应当按照内部控制缺陷认定表(附件1)及时进行落实整改。对于认定的重大缺陷,应当立即采取措施控制风险,并追究有关部门、子公司的责任。审计风控部对内部控制缺陷是否得到有效整改进行持续监督,可采取访谈、查阅或抽查的方式进行,留存监督记录作为编制内部控制自我评价报告的依据。第四章内部控制自我评价报告第十六条审计风控部根据内部控制评价工作底稿内部控制缺陷认定表(附件1)、整改监督记录以及本年度专项审计报告等资料,于每年3月底前
30、编制完成上年度公司内部控制自我评价报告。第十七条内部控制自我评价报告应当分别按内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容进行披露。其中至少应当披露下列内容:(一)董事会对内部控制自我评价报告真实性的声明;(二)内部控制评价工作的总体情况;(三)内部控制评价的依据、范围、程序和方法;(四)内部控制缺陷及其认定情况;(五)对上一年度内部控制缺陷的整改情况;(六)对本年度内部控制缺陷拟采取的整改措施;(七)内部控制有效性的结论。内部控制自我评价报告的基准日为同期财务报告基准日。第十八条审计风控部应当
31、关注自内部控制自我评价报告基准日至内部控制自我评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。第十九条内部控制自我评价报告需提交董事会审议批准。第二十条审计风控部负责内部控制评价文档的归档管理,对内部控制评价的有关文件资料、工作底稿和证明材料等的电子文档及纸质文档进行妥善保管。第五章附则第二十一条本办法自董事会审议通过后施行。第二十二条本办法由审计风控部负责解释。附件:L内部控制缺陷认定表内部控制缺陷认定表被评价单位殖制人编制时间会计期间复核人复核时间流程编号流程名称索引一号缺陷知缺陷等皴一、缺陷事项缺陷描述,评侨结论,二、被评饰单位(或当事人
32、)意见及相关说明2.内部控制缺陷认定标准内部控制缺陷认定标准一、财务报告内部控制缺陷认定标准缺陷类别定量标准定性标准重大缺陷错报营业收入3%错报2利润总额5%错报净资产1%公司董事、监事和高级管理人员舞弊;注册会计师发现当期财务报告存在重大错报,但公司内部控制在运行过程中未能发现该错报;公司审计委员会和内部审计机构对内部控制的监督无效;已经发现并报告给管理层的重大缺陷未得到改正;公司因财务报告存在重大会计差错或者虚假记载,被监管部门责令改正,公司股票停牌或直接影响公司重大项目的实施。重要缺陷营业收入1%W错报营业收入3%利润总额3%W错报利润总额5%净资产0.5%W错报净资产1%注册会计师发现
33、当期财务报告存在重要错报,但内部控制在运行过程中未能发现该错报;已经发现并报告给管理层的重要缺陷未得到改正;审计委员会和内部审计机构对内部控制的监督存在重要缺陷;高风险的领域不相容职务未分离;存在未经授权/审批的业务操作;对特殊业务没有遵循会计操作准则也没有补偿性控制.总公司股藁因财务报告重要会计差错出现异常波动,被监管部门通报批评。一般缺陷错报营业收入1%错报利润总额3%错报净资产0.5%个构成重大缺陷或重要缺陷的其他内部控制缺陷。二、非J财务报告内部控H到缺陷认定标准陷别缺类定量标准定性标准大陷M-缺损失H300万元严重违反国家法律、行政法规和规范性文件,公司受到监管部门公开谴责或行政处罚
34、;“三重一大”事项未经过集体决策程序,或决策程序不科学;关键岗位管理人员和技术人员流失严重;产品和服务质量出现重大事故;涉及公司生产经营的重要业务缺乏制度控制或制度系统失效;内部控制评价的结果是重大缺陷但未得到整改;负面消息或报道频现,引起监管部门高度关注,并在较长时间内无法消除。重要缺陷100万元W损失300万元违反国家法律法规和规范性文件,公司受到监管部门通报批评;涉及公司生产经营的重要业务制度系统存在较大缺陷;内部控制评价的结果是重要缺陷但未得到整改;媒体出现负面新闻,涉及局部区域。般陷一二损失100万元不构成重大缺陷和重要缺陷的非财务报告内部控制缺陷认定为一般缺陷;媒体出现负面新闻,但
35、影响不大。宁夏西部创业实业股份有限公司全面风险管理办法第一章总则第一条为进一步加强宁夏西部创业实业股份有限公司全面风险管理工作,提高风险防范能力,促进公司持续、健康、稳定发展,依据公司法中央企业全面风险管理指引宁夏西部创业实业股份有限公司章程等有关规定,结合公司实际,制定本办法。第二条本办法适用于宁夏西部创业实业股份有限公司(以下简称公司)及权属子公司全面风险管理工作。第三条本办法所指全面风险管理,是指公司依据管理各个环节和经营中执行风险管理的基本流程,形成风险管理文化,建立健全全面风险管理体系,消灭或降低风险事件发生的概率或减少风险事件发生时造成的损失。第四条本办法所指风险,是指公司目前及未
36、来发展过程中,各种不确定因素对公司战略发展造成生产经营目标的不利影响。公司将风险分为战略风险、法律风险、市场风险、财务风险、运营风险等五大类。(一)战略风险:战略定位和战略选择与公司面临的内外部环境不相适应,或战略执行、监控不到位等影响战略目标实现的风险。(二)法律风险:因违反法律、法规,或侵害其他利益相关者的权益,而导致公司遭受经济或声誉损失的风险。(三)市场风险:包括上、下游主要服务又惨产品价格和市场变化,影响公司经营目标实现的风险。(四)财务风险:指融资安排、会计核算与管理以及会计或财务报告失误而对公司造成的损失风险。(五)运营风险:因公司经营管理、市场开发、信息安全、道德操守等内部发生
37、失误的流程和环节或外部事件给公司造成的经济损失风险。第二章全面风险管理的目标和原则第五条公司全面风险管理的总体目标:(一)确保公司生产经营合法合规,各项规章制度得到有效贯彻执行;(二)将风险控制在与总体目标相适应并可承受范围内;(三)建立针对重大风险的处理预案,保证公司不因灾害性风险或人为失误而遭受重大损失;(四)公司规范运作,信息披露真实、准确、完整、及时;(五)形成良好的风险管理文化,强化全体员工风险管理意识。第六条风险管理应遵循以下原则:(一)统一领导、分级管理原则。建立健全风险管理组织体系和风险管理相关工作制度,执行风险宜里基本流程,完善风险管理职能。(二)风险管理与内部控制相融合原则
38、。在公司内部控制体系的基础上,实现风险管理与内部控制相融合的风险管理体系。(三)全面性原则。做到对风险的事前防范、事中控制、事后处置相统一,覆盖所有业务、部门和人员,渗透到决策、执行、监督、反馈等各个环节。(四)重点管控原则。在全面管理基础上,应以重大风险管控为核心,关注重要业务事项和高风险领域,制定风险应对措施。(五)成本效益原则。风险管理工作应当权衡管理成本与预期效益,以适当的成本实现有效管理。(六)持续改进原则。全面风险管理需动态适应公司内、外部环境变化,持续完善风险管理体系。第三章全面风险管理组织体系与职责分工第七条全面风险管理工作实行分级管理,组织体系包括:董事会、经理层、风险管理主
39、管部门、公司各部门及子公司。第八条董事会是全面风险管理工作的最高领导机构,职责如下:(一)确定全面风险管理总体目标、风险偏好、风险承受度,风险管理策略和重大风险管理解决方案;(二)审定全面风险管理机构的设置和职责分工;(三)审定全面风险管理制度、实施办法;(四)确定与全面风险管理有关其他重大事项。第九条经理层对全面风险管理工作的有效性向董事会负责。经理层负责主持全面风险管理的日常工作。第十条审计风控部是公司全面风险管理工作的主管部门,负责组织、监督公司全面风险管理工作,职责如下:(一)组织拟定全面风险管理办法等相关制度;(二)组织协调识别、分析、评估、控制各类风险;(三)编制全面风险管理年度报
40、告;(四)完成与全面风险管理相关的其他工作。第十一条各部门、子公司是全面风险管理的具体实施者,应接受风险管理主管部门的组织、协调、指导和监督。主要职责包括:(一)执行本部门、子公司所辖专业风险管理工作;(二)开展本部门、子公司所涉及的风险信息收集、识别、分析、控制等管理工作;(三)编制本部门、子公司年度风险管理报告。第十二条各部门、子公司负责人是各自全面风险管理责任人,负责本部门、子公司全面风险管理工作,贯彻执行公司各项风险管理政策、制度和流程。第四章全面风险管理工作流程第十三条风险管理初始信息收集,是以业务流程为依托,通过收集与公司风险和风险管理相关的内、外部初始信息,了解公司各主要业务风险
41、、重大业务流程的关键因素,分析行业竞争态势,广泛、持续地收集与风险和风险管理相关的战略、市场、财务、运营、安全、法律合规等方面的内外部信息的活动。第十四条公司采取定期集中收集与不定期动态收集方式开展风险管理信息收集工作。(一)定期集中收集是指风险管理主管部门根据年度风险管理工作计划,每年组织开展一次风险管理初始信息收集工作。风险管理初始信息收集内容主要包括风险名称、风险类别、风险发生可能性、风险影响程度、风险管理策略和解决方案等内容;(二)不定期动态收集是指各部门、子公司在日常工作中,应持续收集与风险相关的内外部相关信息,实时开展风险的监控和预警工作,对监控指标异常与报警情况分析,形成报告,报
42、送风险管理主管部门。第十五条风险管理主管部门应对各部门、子公司报送的风险信息进行统一筛选、提炼和规范管理,建立风险事件库。第十六条风险评估可采用定性和定量相结合的方法,包括访谈、讨论、问卷调查、流程图分析、历史数据分析等方式确定业务流程中有哪些风险及风险等级,补充完善风险事件库。各部门、子公司应定期分析所处的内外部风险环境,对整体所面临的重大风险进行评估。第十七条分析风险发生的可能性及影响程度,计算风险值。风险值二可能性分值X影响程度分值。(一)风险发生可能性评分标准分值标准12345发生可能性小于等于10%大于10%小于等于30%大于30%小于等于70%大于70%小于等于90%超过90%极低
43、低中高极高发生频率日常事务每年可能发生一次每半年可能发生一次每季可能发生一次每月可能发生一次每周可能发生一次殊项特事10年内发生的可能少于1次5-10年内可能发生1次2-5年内可能发生1次1年内可能发生1次1年内至少发生1次(二)影响程度分值标准分值标准12345影响程度微小低中高非常高造成的直接经济损失(万人民币)300公司声誉及形象影响没有影响或影响很小,可忽略不计造成暂时的负面影响,但影响程度较小受到一定负面影响,且持续时间较长,较难消除受到严重不良影响,消除需很长时间或付出很高代价完全丧失,很难恢复人员伤亡造成1人轻伤但没有构成重伤造成1人重伤但没有人员死亡造成2-4人重伤但没有造成人
44、员死亡造成1人以上死亡或5-9人重伤造成1人以上死亡或10人以上重伤(含10人)第十八条风险评I古应区分出重大风险、重要风险和一般风险。原则上以风险值计算为基础,对所有的风险按照风险值进行排序和分级。第十九条各部门、子公司根据风险评估结果,结合风险承受度,制定风险管理解决方案,其中应包括风险解决的具体目标、所涉及业务流程及风险发生的事前预防方案,事中控制方案及事后改进方案。(一)制定事前预防方案,综合分析可利用的内外部资源,对可能发生的风险采取预防性措施,降低风险发生可能性,将风险影响控制在可承受的范围内,主要包括跟踪检查风险源、规范业务流程、教育培训、制定应急预案等;(二躺定事中控制方案,综
45、合分析风险事件发生时所能及时组织的内外部资源,建立迅速响应机制,启动应急处置预案,分析风险可能造成的直接损失和间接损失,完善风险处置程序和办法,将风险损失控制在最小范围之内;(三)制定事后改进方案,针对已发生的风险事件,提出改进建议,主要包括应急预案的改进、风险处置措施改进等。第二十条建立重大风险预警和突发事件应急处理机制,明确预警标准及责任人员,规范处理程序,确保突发事件及时妥善处理。(一)重大风险应急预案应包括预警规则、处置措施、止损策略和实施步骤、汇报关系、汇报时间等要素;(二)突发事件应急处理机制应包括明确突发事件责任人,规范应急处理启动和实施流程,建立沟通机制和应急物资储备机制等,确
46、保能在最短时间内,指挥、协调、调集必要的资源投入处置工作。第二十一条公司定期对风险管理工作的有效性进行监督检查,及时发现存在的缺陷并改进。(一)各部门、子公司每年开展一次风险管理情况的检查工作,形成检查报告后报送风险管理主管部门备案;(二)风险管理主管部门每年对各部门、子公司的风险管理情况进行检查,形成第五章全面风险管理文化第二十二条在公司企业文化建设中,应注重将风险意识融入到企业文化中,培育良好的风险管理文化,树立正确的风险管理理念,增强全员风险管理意识,建立系统、规范、高效的风险管理机制。第二十三条树立风险无时不在、无处不在的意识,严格防控风险、审慎处置风险、突出重视风险等风险管理责任理念,不断提升全体员工风险意识。第六章全面风险考核与责任追究第二十四条对内、外部监督检查发现重大风险隐患和管理缺陷,未采取相应措施并按期整改的,将根据其性质和影响程度对相关部门、子公司进行考核。第二十五条对重大风险信息隐瞒不报或漏报,并造成重大损失的,将依据公司有关规定追究相关责任人责任。第七章附则第二十六条本办法由审计风控部负责解释。第二十七条本办法自董事会审议通过后施行。
