XX集团内部控制管理制度

    XX集团股份有限公司内部限制管理制度

    第一章总则   第一条 为建立健全XX集团公司（以下简称公司）内部限制体系，强基固本，提高公司经营管理水平和风险防范实力，爱护投资者的合法权益，依据《中心企业全面风险管理指引》(国资发改革〔2006〕108号)、《企业内部限制基本规范》(财会〔2008〕7号)等法规及《公司章程》的相关规定，特制定本制度。

    其次条 本制度所称内部限制，是指由公司董事会、监事会、管理层以及全体员工实施的、旨在实现限制目标的过程。

    第三条 公司内部限制的目标是合理保证企业经营管理合法合规、资产平安、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。第四条公司内部限制管理制度制定了公司及分子公司、项目部整体内控管理体系的运行规则，对内控体系建立、评价、日常检查与考核等运行环节的组织、内容、职责、要求、输出等进行了明确，包括内控管理手册、内控评价管理流程、内控检查制度、内控体系运行考核方法。第五条 适用范围：本制度适用于公司各部门及各分子公司、项目部。公司所属各级分子公司及控股公司参照本方法执行。其次章内部限制建设第六条公司内部限制建设遵循以下原则：（一）全面性原则。公司决策层、管理层和全体员工共同实施，覆盖公司各业务，贯穿管理各层级，实现决策、执行、监督、反馈全过程管控。（二）重要性原则。在全面覆盖的基础上，重点关注高风险领域、主要经济活动和重要业务事项，防范重大风险，明确流程关键限制环节，制定风险限制措施。（三）制衡性原则。在兼顾业务运营效率的同时，确保治理结构、机构设置及权责安排等相互制约、相互监督。（四）标准化原则。统一制定内部限制管理制度，统一开发信息平台，加强执行监督，逐步消退管理差异，实现流程步骤、限制措施、岗位责任、风险管理、内控评价标准化。（五）成本效益原则。权衡内部限制实施成本与预期效益，以合理成本实现最有效限制。（六）持续改进原则。建立内部限制设计、执行、评价及改进闭环管理机制，动态适应公司业务范围、组织架构、风险水同等改变，实现持续完善与提升。（七）协同一样原则。内控流程、授权管理、风险管理、规章制度和内控评价规范及配套手册内容规定上应保持一样，促进公司一体化管理。第七条内控管理组织及职责（一）董事会负责领导公司内部限制体系的建立健全和有效实施，审议公司年度内部限制评价报告。监事会负责对董事会建立与实施内部限制进行监督。经理层负责领导公司整体内部限制体系的日常运行。（四）董事会审计委员会负责审查企业内部限制，监督内部限制的有效实施和内部限制自我评价状况，协调内部限制审计及其他相关事宜。（五）内控管理部归口管理公司全范围风险管理及内部限制工作，负责公司内控管理制度的制定和管理，详细组织与协调公司内部限制体系建立健全、内限制度管理、内控手册编制与实施、内控检查与风险管理、内控自评与完善、内控及风险管理培训等工作。（六）各分子公司、项目部依据公司内控管理制度及统筹部署开展本单位内控体系建设、评价及检查考核，并接受公司内控管理部的日常检查监督。（七）各分子公司、项目部党委（党组）或类似权力机构负责本单位内部限制体系的建立健全和有效实施。所属各级单位主要负责人为本单位内部限制第一责任人。（八）公司各职能部门、分子公司、项目部结合实际状况设立内控管理机构（岗位或接口联系人），专项负责本单位内控管理详细工作的连接与开展；第八条风险信息收集、评估及数据库风险信息收集。内控管理部依据《企业内部限制基本规范》及配套指引的相关规定，组织和指导各部门、分子公司、项目部，以业务流程为线索，开展全面、系统的业务风险信息梳理、识别和收集工作。（二）风险评估。内控管理部采纳定性与定量相结合的方法，制定风险评估标准，组织相关单位对所收集的风险信息进行系统分析，评价风险影响，确定风险值和风险等级，确定关注意点和优先限制的风险，结合公司风险承受度，权衡风险与收益，确定风险应对策略；（三）风险数据库。内控管理部制定风险编号、名称与定义规范，组织建立公司及各单位业务风险及风险等级数据库，以进行动态管理。未经批准，所属各级单位不得擅自修改风险信息数据。（四）风险管理报告。内控管理部组织开展公司年度风险管理报告编报工作；各单位年度全面风险管理报告和公司各专业风险管理子报告应于每年2月底前报至内控管理部；公司年度全面风险管理报告于每年4月底前上报国资委。（五）内控管理部结合不同发展阶段和业务拓展状况，持续收集与风险改变相关的信息，进行风险识别和风险分析，刚好调整风险应对策略。第九条内控管理手册的编制（一）内控管理部依据《企业内部限制基本规范》及配套指引规范，结合公司风险数据库及风险应对策略，组织开展各单位梳理业务流程、制作风险限制矩阵，明确公司全范围的内部限制风险点、流程操作步骤、执行制度标准、风险限制措施、详细岗位职责等，汇编制作《内控管理手册》，形成以《内控管理手册》为运行基础的公司内控管理体系。（二）公司各部门及分子公司、项目部结合风险数据库梳理、完善本单位业务流程、制作风险限制矩阵，参加编制《内控管理手册》。（三）公司各部门及分子公司、项目部依据《内控管理手册》实施本单位内控管理，整改内控缺陷，完善相应业务流程、授权机制、规章制度，实行风险防范措施。第十条信息与沟通（一）内控管理部将内部限制相关信息在公司内部各管理级次、责任单位、业务环节之间，以及公司与外部投资者、中介机构和监管部门等有关方面之间进行沟通和反馈，并将重要信息刚好传递给董事会、监事会和经营层。

（二）各职能部门、分子公司、项目部建立本单位内部限制相关信息的收集、处理和传递程序，确保内控信息刚好沟通，促进内部限制有效运行。  

第三章内部限制评价公司内部限制评价是指对公司内部限制设计和执行的有效性进行评价，识别限制缺陷，形成评价结论，出具评价报告的过程。第十条公司内控评价分为年度整体评价和年度自评价。（一）年度整体评价由内控管理部组织实施，每年对公司内部限制整体有效性进行评价，编报公司内控评价报告。（二）年度自评价由各部门、分子公司、项目部组织实施，按公司内控管理部通知要求对本单位特定期间的内部限制有效性进行自我评价，编制内部限制自评价报告。第十条内控管理部制定公司内控评价管理流程，规定年度整体评价及自评价的职责分工、测试程序、抽样规则及缺陷认定标准。第十一条内控管理部制定公司《年度内控自评工作通知》及自评底稿模板，明确内控自评启动及方案制作时间、自我评价工作范围、现场测试要求、输出内控评价报告及缺陷整改报告、内控资料归档、整改状况上报等详细支配。第十二条各职能部门、分子公司、项目部按通知要求编制本单位内控自评工作方案，并将方案上报内控管理部备案；按自评方案对内限制度设计有效性和运行有效性进行现场测试，形成《自评工作底稿》、《内控缺陷认定表》，报送公司内控管理部进行汇总。第十三条内控管理部针对《内控缺陷总表》，督促各职能部门、分子公司进行缺陷整改缺陷；各职能部门制定整改方案和整改支配，进行整改，并将整改过程、整改结果、验收过程、验收结论以及持续整改措施支配形成《缺陷整改报告》，报送内控管理部审核；分子公司、项目部制定整改方案和支配，报本级管理层审定后，执行整改，形成《缺陷整改报告》及《内控自我评价报告》，报送公司内控管理部。第十四条内控管理部复核各单位《缺陷整改报告》及《内控自我评价报告》，拟订公司《年度内部限制评价报告》，提交董事会审计委员会评审；第十五条 董事会审计委员会评审《年度内部限制评价报告》，形成评审看法后报告公司董事会；公司董事会听取报告，审定公司内控重大缺陷、重要缺陷整改看法，并经公司法人代表签批后报国资委。第四章内控检查第十六条内控管理部制定《内控检查制度》，规范公司及分子公司、项目部内控检查的目标、依据、工作方式、时间支配、检查责任部门和对象、检查范围及频率、检查主要内容和关注点、内控检查和业务检查的连接、内控检查各阶段的工作、内控检查表单和检查报告的要求、内控检查监督等环节详细要求。    第十七条 董事会审计委员会部署公司内部限制检查工作开展，内控管理部组织对公司各职能部门、分分子公司、项目部进行内控管理常态化检查。第十八条各职能部门、分子公司、项目部按《内控检查制度》组织内控检查

，对检查过程中发觉的内部限制缺陷及实施中存在的问题，组织开展问题分析并实行适当的整改措施，将整改结果报内控管理部备案。第十九条内控管理部将检查结果制成《内部限制检查报告》提交董事会审计委员会，董事会审计委员会对《内部限制检查监督工作报告》进行审查。其次十条 内控管理部对于检查中发觉的内部限制缺陷及实施中存在的问题，在报告后进行追踪，以确保相关单位刚好实行适当的改进措施。其次十一条内控管理部通过检查刚好完善风险管理数据库；对新发觉风险，提出应对策略，完善内控管理手册。第五章内控体系运行考核  其次十二条 内控管理部制定《内部限制体系运行效果考核方法》，明确考核目的、考核主体、考核内容和考核方法。其次十三条内控管理部依据《内部限制体系运行效果考核方法》，结合内控评价及内控检查结果，对各单位组织机构、人员配备、工作进度、工作质