内部控制与全面风险管理办法.docx
内部控制与全面风险管理办法第一章总则第一条为了提高公司全员风险管理意识,规范内部控制工作,保证公司生产经营活动合规、合法、资产安全,促进公司实现发展战略,特制定本办法。第二条本办法所称内部控制是指由公司领导层和全体员工实施的、旨在实现控制目标的过程。第三条本办法所称全面风险管理,是指由公司围绕总体经营目标,通过在管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统及内部控制系统等,从而为实现风险管理的总体目标提供合理保证的过程和方法。第四条内部控制与全面风险管理工作目标:促进发展战略目标实现,确保公司生产经营活动合法、合规;建立良好的内部控制环境,规范风险管理程序和方法,防范与化解公司重大、重要风险,提高经营管理效率和效果;建立完善的信息沟通渠道,培育和提升全员内部控制与全面风险管理意识,形成良好的内部控制与全面风险管理文化。第五条内部控制与全面风险管理工作遵循原则:(一)全面与重点相结合原则。内部控制与全面风险管理工作在覆盖公司所有业务领域的基础上,重点关注重大、重要业务和高风险领域;(二)与现行管理体系有效结合原则。内部控制与全面风险管理工作应融入公司各项管理业务,实现业务和流程优化,嵌入公司管理全过程和工作的各个环节;(S)战略目标导向原则。内部控制与全面风险管理工作应服从、服务于公司整体发展战略,并促进战略目标的实现。第二章组织机构与内部控制系统第六条公司风险管理组织体系,主要包括公司法人治理结构、内部控制与风险管理领导小组、有关职能部门和所属单位。公司法人治理结构包括:董事会、监事会、经理层;风险管理机构职能部门包括:办公室、经济管理计划统计部、施工技术部、安全质量部、经营部、人力资源部、财务部、审计部、机械运输物资部、法律合规部、社会保障部、党委工作部、企业文化中心、纪委、权益综合女工部、组宣生产保护部、团委。所属单位包括:专业分公司、计量测试中心和项目部。第七条公司董事会对内部控制与全面风险管理工作的有效性负责。主要履行以下职责:(一)审议并向公司提交公司全面风险管理年度工作报告;(二)确定公司风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理解决方案;(三)了解和掌握公司面临的各项重大风险及其风险管理现状,做出有效控制风险的决策;(四)批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;(五)批准重大决策的风险评估报告;(六)批准内部审计部门提交的风险管理监督评价审计报告;(七)批准风险管理组织机构设置及其职责方案;(A)批准风险管理措施,纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为;(九)督导企业风险管理文化的培育;(十)全面风险管理其他重大事项。第八条董事长对全面风险管理工作的有效性向董事会负责,主持全面风险管理的日常工作。主要履行以下职责:(一)贯彻国家、国资委、股份公司和集团公司风险管理与内控法律法规、政策;(二)审议并向董事会提交公司全面风险管理年度工作报告;(三)审议公司风险与内控体系建立方案;(四)审查并监督公司全面风险管理制度体系建设;(五)审议公司全面风险预控与防范预案及措施;(六)完成董事会交办的其他风险管理事宜。第九条公司内部控制与风险管理领导小组负责贯彻落实公司董事会、董事长关于内部控制与全面风险管理工作要求,组织、领导内部控制与全面风险管理工作。具体负责:(一)审议并向董事长提出公司全面风险管理年度工作报告;(二)审议并向董事长提出公司风险管理总体目标、风险偏好、风险承受度以及风险管理策略和重大风险管理解决方案;(S)审议并向董事长提出公司重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制方案意见;(四)审议并向董事长提出公司重大决策的风险评估报告;(五)监督公司开展全面风险管理活动,对其进行评价;(六)审议并向董事长提出风险管理措施、纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为的意见;(七)监督公司开展全面风险管理文化建设;(A)审议内部审计部门提交的风险管理监督审计综合报告;第十条公司办公室为公司全面风险管理实施工作牵头部门。公司内部控制与风险管理工作领导小组办公室设在公司办公室,其主要履行以下职责:(一)研究国家、国资委、股份公司和集团公司风险管理与内控法律法规、政策,负责组织实施公司全面风险管理与内控工作;(二)研究提出公司全面风险管理年度工作报告;(S)组织指导各相关职能部门和单位制定全面风险管理与内部控制组织结构、规章制度及措施;(四)组织开展风险与内控体系建立,组织编制公司内控管理手册;(五)组织开展风险预控与防范,制订防范风险预案及措施;(六)负责组织协调全面风险管理日常工作;(七)负责指导、监督相关职能部门、各单位以开展全面风险管理工作;(A)办理风险管理其他有关工作。第十一条公司机关职能部门及所属单位的主要职责包括:(一)执行公司风险管理制度和风险管理基本流程;(二)制定风险管理制度;(S)研究提出重大决策、重大风险、重大事件的判断标准和编制业务流程;(四)研究提出重大决策风险评估报告;(五)做好实施风险管理信息系统工作;(六)做好风险管理文化建设工作;(七)建立健全风险管理内部控制系统;(A)编写全面风险管理年度工作报告;(九)做好风险管理其他有关工作。第十二条公司机关各部门负责人为部门内部控制与全面风险管理工作的第一责任人。各部门应设置风险内控工作人员1名,在部门负责人的领导下,负责本部门业务相关的内部控制与全面风险管理的实施和资料的接收、整理、报送等工作。第十三条公司所属单位主管领导为本单位内部控制与全面风险管理工作的第一责任人。第十四条公司所属单位应建立健全内部控制体系。采取相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。明确常规授权和特别授权规定,各级管理人员应当在授权范围内行使职权和承担责任;对于重大决策、重要人事任免、重大项目安排和大额度资金运作(三重一大)事项,应纳入内部控制范畴,按程序运作。第十五条制定内部控制监督检查办法,积极开展监督与评价工作,保证内部控制体系的有效运行和不断改进。第三章风险管理初始信息的收集内容及责任主体单位第十六条实施全面风险管理,做好广泛、持续不断地收集与公司风险和风险管理相关的内部、外部初始信息工作,主要包括历史信息和未来预测。公司各类风险初始信息由机关各部门负责组织收集,其它相关单位协助工作。(一)战略风险方面,由公司办公室负责组织收集。战略风险是指不确定因素对企业实现战略发展目标和实施发展规划的影响。主要收集以下信息:1、国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策;2、公司占有市场的份额和地位;3、与战略合作伙伴的关系,未来寻求战略合作伙伴的可能性;4、当前及今后市场需求及同行业竞争对手的有关情况;5、与主要竞争对手相比,实力与差距;6、发展战略和规划,以及编制这些战略、规划、计划和目标的有关依据。(二)财务风险方面,由财务部负责组织收集。财务风险包括市场、材料或产品价格波动、信用政策等不确定因素对企业现金流的影响,以及公司在理财方面的行为对企业财务目标的影响。主要收集以下重要信息:1、负债、负债率及偿债能力;2、现金流、应收账款及其占营业收入的比重;3、应收、应付账款的比重;4、成本和管理费用、财务费用、营业费用;5、盈利能力;6、对外投融资、成本核算、资金结算和现金管理业务中,发生或易发生错误的业务流程或环节;7、相关的行业会计政策、会计估算等信息。(三)市场风险方面,由经营部负责组织收集。市场风险是指未来市场各种因素的不确定性对公司实现既定目标的影响。这些市场因素可能直接对企业产生影响,也可能是通过对其竞争者间接对企业产生影响。主要收集以下重要信息:1、行业市场政策环境信息;2、市场供需、规模、结构收费标准;3、市场定位;4、竞争对手的特点、优劣势、经营策略和组织形式;5、主要客户认可度及关系维护;6、潜在竞争对手的信息。(四)运营风险方面,由经营部、公司办公室、施工技术部、安全质量部、人力资源部、审计部、法律合规部等负责组织收集。运营风险是指公司在运营过程中,由于外部环境的复杂性、变动性以及主体对环境的认知能力和适应能力的有限性,而导致的运营失败或使运营活动达不到预期的目标的可能性及其损失,包括运营资源的合理调配、关键人员的流动、法律合规、监督检查等涉及公司运营方面的不确定性因素对运营目标方面的影响。主要收集以下重要信息:1、高新技术的研发和创新,品牌及核心竞争力所具水平;2、市场环境改善及新的市场开发程度;3、组织效能、管理现状、企业文化,高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验;4、质量、安全、信息安全等管理中曾发生或易发生失误的业务流程或环节;5、各类证照使用管理过程中易发生的不规范行为;6、合同审查、签订、履行和管理过程中曾发生或易发生失误的业务流程或环节,包括项目合同分包及委托活动等;7、公司内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵;8、对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力;9、公司风险管理的现状和能力。(五)劳资人事风险方面,由人力资源部负责组织收集。劳资人事风险是指由于经营管理上的不善和制度上的缺陷,或由于职工的行为违背客观规律、准则等而导致职工对公司利益造成损害的可能性。根据公司人力资源配置及使用要求,主要收集以下重要信息:1、国家、地方政府、股份公司和集团公司有关劳资人事政策制度和规定;2、公司劳资人事管理组织、结构、效能状况;3、人员规模、结构和管理关系;4、绩效考核体系、职工薪酬制度和分配体系建立情况;5、公司用工构成和劳动关系确立以及劳动纠纷处置情况;6、公司职工社会保险制度执行情况;7、特定人员调出、离职、退休保密协议的签订信息。(六)知识产权风险方面,由施工技术部负责组织收集。知识产权风险是指给持有人对其知识产权的所有权或者基于知识产权的当前或潜在收益带来负面影响的事件及其可能性。根据行业、市场和发展战略的要求,主要收集以下重要信息:1、国家、行业科技发展方向信息和科技创新成果保护政策;2、公司科技发展规划执行效果;3、科技研发组织及运行效能;4、组织研发项目的立项、实施及评审;5、专利技术申报、技术秘密的确认和管理;6、科技成果的转化和对外开展技术合作与技术交流;7、同行业竞争对手科技发展成果、水平和评估;8、科技成果运用、保护科知识产纠纷处置信息。(七)信誉风险方面,由公司办公室、施工技术部、安全质量部、财务部、经营部负责组织收集。信誉风险是指由于管理不善或操作不当,使公司信用和声誉在市场活动中下降,造成不良影响的风险。主要收集以下信息:1、专利技术有无侵权的情况;2、披露财务信息有无虚假、依法税款的情况;3、外包业务应付账款的履约支付;4、服务效率,履行法规、合同、承诺的情况;5、质量事故的处置情况。(A)法律风险方面,由法律合规部负责组织收集。法律风险是指不同国家或地区法律法规环境的差异性、具体法律法规的新制定和变更给企业带来的影响。主要收集以下重要信息。1、国内外相关法律法规及社会环境信息;2、工程承包、投融资、技术、设备采购等合同的法律审核;3、招、投标法律文件的审核和办理;4、重大决策的法律论证和审核;5、专有技术、著作权的保护;6、公司合同专用章的使用和管理;7、法律风险赔偿责任承担的保险业务处理;8、法律纠纷案件的处理。(九)非经营风险方面,经营部、公司办公室、人力资源部、党委办公室、企业文化中心等部门负责组织收集。非经营风险是指由于客观环境的变化或公关危机而给公司带来的的风险,包括劳资纠纷、企业维稳及国际国内经济环境恶化、战争、自然灾害等不可抗力导致的风险。主要收集以下信息:1、国家、地方政府、股份公司和集团公司维护稳定政策规定;2、公司维护稳定组织、机制建立和运行效果情况;3、劳动用工、劳动关系、分配制度和再就业、劳资纠纷方面对稳定的影响以及曾经发生不稳定事件信息;4、不稳定事件的处置情况;5、影响稳定的、不确定因素的分析;6、国际国内经济环境的恶化的情况和分析、预测;7、对公司带来严重损失的自然灾害。第四章风险评估第十七条风险评估由公司内部控制与风险管理工作领导小组、有关职能部门和所属单位实施,必要时可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。第十八条风险评估包括风险辨识、风险分析、风险评价三个步骤:(一)风险辨识、分析、评价,采取定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈等方法。定量方法可采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等方法。(二)进行风险定量评估,统一制定各风险的度量单位和风险度量模型,并通过测试等方法,确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。根据环境的变化,定期对假设前提和参数进行复核和修改,并将定量评估系统的估算结果与实际效果对比,据此对有关参数进行调整和改进。(三)分析风险之间的关系,以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应,从风险策略上对风险进行统一集中管理。(四)评估多项风险,应根据对风险发生可能性的高低和对目标的影响程度的评估,绘制风险坐标图,对各项风险进行比较,初步确定对各项风险的管理优先顺序和策略。(五)对风险管理信息实行动态管理,定期或不定期实施风险辨识、分析、评价,以便对新的风险和原有风险的变化重新评估。(六)每年12月底之前,由公司内部控制与风险管理工作领导小组、有关职能部门和单位,对年度风险做出评估并提出风险评估报告。公司办公室负责汇总,完成公司年度风险评估工作。第五章风险管理策略第十九条本办法所称风险管理策略,是指根据公司的内部条件和外部环境,围绕发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转换、风险控制等适合的风险管理工具,并确定风险管理所需人力和财力资源的配置原则。第二十条公司根据不同业务特点统一确定风险偏好和风险承受度,即明确风险的最低限度和不能超过的最高限度,并据此确定风险的预警线及相应对策。第二十一条根据风险与收益相平衡的原则,进一步确定风险管理的优选顺序,明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。第二十二条定期总结和分析已制定的风险管理策略的有效性和合理性,结合实际不断修订和完善。其中,重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效,并提出定性或定量的有效性标准。第六章风险管理解决方案第二十三条风险管理解决方案,是风险管理策略的执行方案。一般包括:风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具。第二十四条制定风险解决的内控方案,应满足合规的要求,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全过程流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。公司内控措施包括以下内容:(一)建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何单位和个人不得超越授权做出风险性决定。(二)建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等。(S)建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任。(四)建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定各有关部门和单位、岗位、人员应负的责任和奖惩制度。(五)建立内控审计检查制度。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等。(六)建立内控考核评价制度。把单位风险管理执行情况与绩效薪酬挂钩。(七)建立重大风险预警制度。对重大风险进行持续不断的监测,及时发布预警信息,定应急预案,并根据情况变化调整控制措施。(A)建立健全以总法律顾问制度为核心的企业法律顾问制度。加强企业法律风险防范机制建设,形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体职工共同参与的法律风险责任体系,完善企业重大法律纠纷案件的备案管理制度。(九)建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。第七章风险与危机的处理第二十五条公司建立灵敏高效的危机处理和应急管理机制,以降低风险损失。对新出现的、缺乏风险应急预案的重大风险,公司办公室应立即与相关部门协调,组织人员研究制定风险应对方案,并报公司内部控制与风险管理工作领导小组后实施。第二十六条当风险已经发生,风险单位负责人必须立即向相关职能部门、公司内部控制与风险管理工作领导小组或公司领导报告。第二十七条相关职能部门应及时对风险进行初步的评判,确定是属于一般性内部风险,还是属于对公司声誉、经营活动和内部管理造成强大压力和负面影响的公司危机。对一般性内部风险,责成单位负责人或有关人员负责组织处理;对公司危机,必须按照危机处理程序进行处理。第二十八条危机处理程序(一)成立风险和危机的处理机构危机发生后,公司应在第一时间成立危机处理小组。组长应由公司领导担任,小组成员至少应包括:发生危机单位的第一负责人,公司相关职能部门负责人及其他有关人员。小组应设立办公室及后勤保障人员。公司董事会授权危机处理小组为处理危机事件的最高权力机构和协调机构,有权调动公司一切资源。(二)制订危机处理计划危机处理小组应及时根据现有的资料和情报,以及公司拥有或可支配的资源来制订危机处理计划。计划必须体现出危机处理目标、程序、组织、人员及分工、后勤保障、行动时间表以及各个阶段要实现的目标,同时还应包括社会资源的调动和支配、费用控制和实施责任人及其目标。计划制订完成并获通过后,应立即开始进行社会关系、物质资源调配和准备,展开全面的危机处理行动。(S)危机处理1、对于尚未造成社会影响的事件,在对危机事件进行详细的调查了解和核实的基础上,根据法律、法规和公司管理制度,果断做出处理决定,以避免事态的进一步恶化。2、对于已造成社会影响的事件,应保持与社会各方的良好沟通,及时披露事实真相,以有助于对事件做出客观公正的报道和评价。3、在处理过程中,应处理好与危机事件对方当事人的关系,及时安抚,避免出现纠纷。4、在事件处理的全过程,危机处理小组应与集团公司、相关政府部门保持紧密联系,及时通报事件进展。(四)教训总结与责任认定危机事件处理完成后,危机处理小组应及时提交总结报告,如实反映事件的起因、发生过程、处理方法和结果、责任认定、反映的问题等,并提出整改建议或意见,以避免新的风险和危机发生。第二十九条对因决策失误、管理失职、行为失当等原因致使公司出现风险或危机,并造成有形或无形损失的责任人及单位负责人,公司应追究其直接责任或领导责任。第八章风险管理的监督与改进第三十条以重大风险、重大事件和重大决策、重要管理及业务流程为重点,对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督,采用多种方法对风险管理的有效性进行检验,根据情况变化和存在的缺陷及时加以改进。第三十一条建立贯穿于整个风险管理基本流程,连接各部门和单位的风险管理信息沟通渠道,确保信息沟通的及时、准确、完整,为风险管理监督与改进奠定基础。第三十二条各相关职能部门和单位应定期对风险管理工作进行自查和检验,及时发现缺陷并改进,编写检查、检验报告,及时报送公司办公室。第三十三条公司办公室牵头组织相关职能部门定期对公司风险管理工作实施情况和有效性进行检查和检验,对风险管理策略进行评估,对跨部门和单位的风险管理解决方案进行评价,并提出调整或改进建议,编写评价和建议报告报送公司。第三十四条审计部每年应至少开展一次对包括风险管理机构、各有关职能部门和单位能否按照有关规定开展风险管理工作及其工作效果的监督评价,监督评价报告直接报送公司。此项工作可结合年度审计、任期审计或专项审计工作一并开展。第三十五条公司办公室负责组织编写公司年度风险内控工作报告,各相关职能部门和单位负责编制本部门(单位)年度风险内控工作报告。公司根据需要聘请有资质、信誉好、风险管理专业能力强的中介机构对公司全面风险管理工作进行评价,出具风险管理评估和建议专项报告。公司年度风险内控工作报告主要包括以下几方面的实施情况、存在缺陷和改进建议:(一)风险管理基本流程与风险管理策略;(二)企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设;(S)风险管理组织体系与信息系统;(四)全面风险管理总体目标。第三十六条每年12月10日前,公司内控风险管理相关职能部门和单位向公司办公室提交上年度风险内控工作报告;12月15日前,公司办公室向公司内部控制与风险管理工作领导小组提交公司年度风险内控工作报告;12月20日前,公司内部控制与风险管理工作领导小组向公司董事会提交公司年度风险内控工作报告;12月25日前,公司向集团公司提交公司年度风险内控工作报告。以上工作,时间如有变动,以当年具体时间安排为准。第九章风险管理信息系统第三十七条公司全面风险管理信息系统在办公自动化和财务系统等基础上,按照集团公司要求逐步建立涵盖全面风险管理基本流程和内部控制系统各环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。公司全面风险管理信息系统的建设工作由公司办公室负责实施。第三十八条风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测试;能够实时反映重要业务流程的监控状态、对超过风险预警上限的重大风险实施信息报警、满足风险管理内部信息报告制度和公司对外信息披露管理制度的要求。第三十九条风险管理信息系统应确保输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性,应实现信息在各职能部门、单位之间的集成与共享,既能满足单项业务风险管理的要求,也能满足公司整体和跨职能部门、单位的风险管理综合要求。第四十条公司及所属单位应确保风险管理信息系统的稳定运行和安全。第十章风险管理文化第四十一条公司全面风险管理文化建设工作由企业文化中心负责组织实施。第四十二条大力加强职工法律素质教育,制定职工道德诚信准则,形成人人讲道德诚信、合法合规经营的风险管理文化。对于不遵守国家法律法规和公司规章制度、弄虚作假、徇私舞弊等违法及违反道德诚信准则的行为,公司将严肃查处。第四十三条通过多种形式,努力传播公司风险管理文化。在公司全体职工中,牢固树立“风险无处不在、风险无时不在”的意识和理念。第四十四条建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度。采取多种途经和形式,加强风险管理知识、流程、管控业务的培训,培养风险管理人才,培育风险管理文化。第十一章附则第四十五条本办法由公司办公室负责解释。第四十六条本办法自印发之日起施行。