《公司内部控制与全面风险管理暂行办法》

卤都鹿制与令而风僮管理您行为注

第一章总则第一条为提升企业内部控制和风险管理水平，规范企业内部控制与全面风险管理工作，促进企业持续、健康、稳定发展,根据国资委《中央企业全面风险管理指引》、财政部等五部委《企业内部控制基本规范》及配套指引、集团公司《内部控制与全面风险管理办法（暂行）》等相关规定，结合公司实际，制定本办法。第二条本办法适用于公司所属各单位、机关各部室。第三条本办法所称内部控制是指由公司各级管理层和全体员工共同实施的、旨在实现控制目标的过程。本办法所称全面风险管理是指公司围绕发展战略目标，通过建立健全风险管理体系，执行风险管理基本流程，培育企业风险管理文化，为实现风险管理总体目标提供合理保证的过程和方法。第四条内部控制与全面风险管理是企业管理工作的重要组成部分，公司及所属各项目应树立〃以风险管理为导向、以内部控制为手段〃的理念，把内部控制与全面风险管理有效融入到企业各项业务之中，并抓好贯彻落实。第五条内部控制与全面风险管理工作实行统一领导、分级计法律法规的调节等信息。第二十九条在市场风险方面，公司各部门及所属各项目部应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与本企业相关的以下重要信息：（-）投标报价及供需变化；（二）劳务、物资、设备等生产要素供应的充足性、稳定性和价格变化；（三）主要客户、主要供应商的信用情况；（四）税收政策和利率的变化；（五）潜在竞争者、竞争者情况。第三十条在运营风险方面，公司各部门及所属各项目部应至少收集与本企业、本行业相关的以下信息：（-）新市场开发及工程经营策略，包括工程服务定价、工程经营渠道、工程经营环境等；（二）企业组织效能、管理现状、沟通效率、企业文化、人力资源储备、员工培训I,高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验；（三）质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节；（四）因企业内、外部人员的道德风险致使公司遭受经济损失、声誉与品牌形象受损或业务控制系统失灵;（五）给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险；（六）对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力；（七）企业风险管理的现状和能力。第三十一条在法律风险方面，公司各部门及所属各项目部应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与本企业相关的以下信息：（-）与企业相关的政治、法律环境；（二）影响企业的新法律法规和政策；（三）员工道德操守的遵从性；（四）企业签订的重大协议和有关合同纠纷；（五）企业发生重大法律纠纷案件的情况；（六）企业和竞争对手的知识产权情况；（七）公司管理及各项生产经营业务合规情况。第三十二条公司各部门应及时填写部门风险信息收集表，经部门负责人审核后按季度（每季度最后一个月15日前）报公司综合办公室，公司综合办公室据此逐步建立公司风险管理信息库。公司所属各单位可根据自身情况建立风险管理信息的收集与报送机制。第三十三条公司及所属各项目部应对收集的风险管理初始信息、企业各项业务管理及重要业务流程进行风险评估。风险评估包括风险辨识、风险分析、风险评价三个步骤。风险辨识是指查找企业各业务单元、各项重要经营活动及重要业务流程中有无风险，有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。第三十四条风险评估可分为专项风险评估和年度风险评估两类。专项风险评估是指各部门根据日常风险监控及风险识别情况，对职责范围内的特定风险或单个风险进行评估并形成专项风险评估报告的过程，专项风险评估工作由各部门自行负责，专项风险评估报告应经内部控制与风险管理领导小组审批后提交内部控制与风险管理部门备案;年度风险评估是指由内部控制与风险管理领导小组按年度统一组织实施的综合性风险评估，一般采用调查问卷方式进行。通过年度风险评估，对企业各类风险进行重要性排序，绘制风险坐标图，确定需要重点关注的重大、重要风险，编制企业年度风险评估报告。风险评估工作可聘请专业风险管理机构协助实施，也可自行开展。第三十五条进行风险辨识、分析、评价，应将定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈和调查研究等。定量方法可采用统计推论（如集中趋势法）、影响分析、事件树分析等。第三十六条公司及所属各项目部应根据自身条件和外部环境，围绕发展战略，确定风险偏好和风险承受程度，选择适当的风险管理工具和方式，制定风险应对策略，做好相应人力、财力等资源配置，并综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。第三十七条公司及所属各项目部应根据风险管理策略制定风险管理解决方案，方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具等。第三十八条内部控制与风险管理部门应根据风险评估情况，针对重大、重要风险做好风险管控责任分解，组织有关部门制定管控措施落实方案。各部门应根据职责分工，按照管控措施落实方案要求进一步细化应对措施，并强化监督落实。对其他风险涉及的业务流程，应把关键环节作为控制点，采取相应控制手段。第三十九条公司及所属各项目部应建立敏感、高效的危机处理和应急管理机制。对于新出现的、缺乏应急预案的重大、重要风险，应由相关责任部门及时研究制定风险应急管理方案。第四十条公司及所属各项目部应加强企业间、部门间风险管理信息的沟通与交流，提高应对重大、重要风险事件的协调解决能力。第四十一条公司及所属各项目部应建立风险管理报告和重大、重要风险预警制度。通过有效沟通和反馈，使企业领导和相关部门及时了解企业面临的风险状况，调整风险管理策略，制定管理措施。第六章风险管理报告第四十二条风险管理报告分为定期报告和不定期专项报告两种形式。定期报告是对企业一个阶段存在的风险状况及风险管理情况进行汇总分析的工作报告；不定期专项报告是对企业生产、经营和管理过程中发生的某项重大风险或风险事件处理情况的专项报告。第四十三条公司各部门及所属各项目部应根据职责范围对风险管理情况进行持续监控，对各类风险信息进行记录、汇总、分析和处理。并在重大风险事件处置完毕后15日内，向内部控制与风险管理领导小组办公室提交专项分析报告。第四十四条公司各部门及所属各项目部需结合重大、重要风险发生和管理情况才安年度向公司内部控制与风险管理领导小组办公室提交年度全面风险管理报告。第四十五条公司内部控制与风险管理部门汇总、整理、分析公司各部门及所属各项目部提交的年度全面风险管理报告，并据此编制公司年度全面风险管理报告。公司年度全面风险管理报告经公司主管领导审议通过后上报集团公司。第七章危机管理第四十六条公司及所属各项目部应高度重视危机管理工作，以风险评估为基础对危机实施科学的预防、应对和处理。第四十七条危机预防应作为危机管理的重点，针对不同危机状况，制定相应管理策略；对于危机事件的应对，应主要采取〃控制〃策略，减少和消除危机给企业带来的负面影响和损失。第四十八条危机事件发生后，应快速启动危机管理计划或相应的应急预案，必要时成立特别小组，对危机状况进行初步评估，制定危机事件处理方案，全面展开危机处理工作。第四十九条在危机事件处理过程中，应加强内外联络与沟通（包括与媒体的沟通联络），争取利益相关方及社会舆论的理解与支持，将危机影响减小到可控制范围内。第五十条危机事件处理完毕后，相关部门和单位应做好危机事件总结，查找危机管理工作中的不足、危机事件处理过程中的问题等提出整改意见或建议，进一步加强危机事件预防管理,避免新的风险和危机事件发生。第八章信息系统第五十一条内部控制与风险管理信息系统是内部控制与全面风险管理工作的重要组成部分，是加强内部控制、实现风险有效预警，为风险管理工作提供及时、全面、详实信息的操作工具。第五十二条公司及所属各项目部应逐步将信息技术应用于内部控制与全面风险管理工作中，建立涵盖风险管理基本流程和内部控制各环节的信息管理系统，满足内部控制与全面风险管理信息的采集、存储、加工、分析、测试、传递、报告、披露等要求。第五十三条内部控制与风险管理信息系统应能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警;能够满足风险管理内部信息报告和对外信息披露的相关要求。第五十四条内部控制与风险管理信息系统应实现公司风险内控信息的集成与共享，既能满足单项业务管理需要，也能满足企业整体和跨部门的内部控制与全面风险管理综合要求。第五十五条内部控制与全面风险管理部门负责提出信息管理系统功能需求，信息化管理部门，根据公司信息化建设总体规划，提出内部控制与风险管理信息系统的建设规划方案，组织开展信息管理系统的具体开发、建设和应用工作。第五十六条公司及所属各项目部应确保内部控制与风险管理信息系统的稳定和安全，并根据实际需要不断进行改进、完善和更新。第九章内部控制与风险管理文化第五十七条公司及所属各项目部应注重培育良好的内部控制与风险管理文化，促进内部控制与全面风险管理工作水平、员工风险管理素质的提升，保障企业内部控制与全面风险管理工作目标的实现。第五十八条内部控制与风险管理文化建设应融入企业文化建设全过程。引导员工树立正确的风险管理理念，增强风险管控意识，逐步将内部控制与全面风险管理意识转化为全体员工的共同认识和自觉行动，促进企业建立系统、规范、高效的内部控制与全面风险管理体系。第五十九条公司及所属各项目部应在各个层面，通过各种方式，积极传播内部控制与全面风险管理知识，营造内部控制与风险管理文化氛围。各级管理和技术人员应成为培育内部控制与风险管理文化的骨干。第六十条公司及所属项目部应大力加强员工法律素质教育，制定员工道德诚信准则，引导员工遵循良好的行为准则和道德规范，形成人人讲道德、重诚信、遵法纪的内部控制与风险管理文化。第六十一条公司及所属项目部应建立内部控制与全面风险管理工作培训制度，丰富员工风险内控知识，掌握内部控制基本业务流程、风险管控操作工具、内部控制评价办法等，培养内部控制与全面风险管理专业人才。第十章监督与考核第六十二条公司各部门及所属各项目部应建立自查和检查制度，对内部控制与全面风险管理工作进行定期或不定期自查和检查，及时发现缺陷并予以改进，同时编制自查或检查报告。第六十三条公司各部门及所属各项目部应以重大风险、重大事件、重大决策、重要管理及业务流程为重点，对内部控制与全面风险管理情况进行监督，采用压力测试、返回测试、穿行测试以及风险内控自我评价等方法对内部控制现行管理制度和办法没有相应责任追究标准的，依据损失大小影响程度对相关责任人给予以下处罚：（-）发生一般损失，在责任认定年度对直接责任人处以扣发一定比例的绩效薪金（奖金）的经济处罚，以及警告、记过或者降级（职）等处分；（二）发生较大损失，在责任认定年度对直接责任人处以扣发一定比例的绩效薪金（奖金）的经济处罚，以及降级（职1责令辞职、撤职、解聘或者开除处分；对分管领导扣罚一定比例的绩效薪金（奖金）的经济处罚，以及记过、降级（职）等处分;（三）发生重大损失，在责任认定年度对直接责任人处以扣罚一定比例的绩效薪金（奖金）的经济处罚，以及降级（职\责令辞职、撤职、解聘或者开除等处分；对分管领导处以扣罚一定比例的绩效薪金（奖金）的经济处罚，以及记过、降级（职）处分；（四）发生特别重大损失，在责任认定年度对直接责任人处以扣发一定比例的绩效薪金（奖金），以及解聘或者开除等处分;对分管领导和主管领导处以扣罚一定比例的绩效薪金（奖金），以及撤职、解聘或者开除等处分。第六十四条公司各部门及所属各项目部应负责组织好本部门或本单位的自查工作，自查工作每年至少开展一次；部门自查报告应提交内部控制与风险管理部门，各单位自查报告应及时上报公司内部控制与风险管理部门。负责的管理体制。各项目经理部按照公司整体规划，在各自业务范围内做好内部控制与全面风险管理工作。第二章目标和原则第六条内部控制与全面风险管理工作目标：（-）建立良好的内部控制环境，规范企业内部控制行为，合理保证公司及所属各单位生产经营活动合法合规、资产安全、财务报告及相关信息真实完整；（二）规范风险管理程序和方法，预控、防范与化解企业面临的重大、重要风险，确保将风险控制在与企业总体目标相适应并可承受的范围内；（三）确保企业有关规章制度和重大措施的贯彻执行，保障生产经营管理的有效性，提高生产经营活动的效率和效果，促进企业发展战略目标的实现；（四）建立完善的信息沟通渠道，逐步实现内部控制与全面风险管理工作信息化，确保内外部信息传递及时、真实、可靠，合理满足外部监管机构监管要求；（五）提升全员内部控制与全面风险管理意识，培育和发展企业良好的内部控制与风险管理文化。第七条内部控制与全面风险管理工作遵循原则：（一）全面性原则。内部控制与全面风险管理应当贯穿企业第六十五条公司内部控制与风险管理领导小组负责对公司内部控制与全面风险管理工作实施情况和有效性进行检查和评价，出具评价、检查报告，提出调整和改进建议。第六十六条公司及所属单位应建立内部控制与全面风险管理工作考核机制，内部控制与全面风险管理工作列入所属单位主要负责人绩效考核评价内容。第六十七条内部控制与全面风险管理为定性考核指标，采取计分制进行，适用对象为公司各部门及所属各单位主要负责人。第十一章责任追究第六十八条公司及所属各项目部相关人员因内部控制存在重大缺陷或者内部控制执行不力给企业造成损失，依照事件的性质、造成损失和影响大小，根据企业现行生产经营、纪检监察等相关管理制度和办法，追究相应责任。第六十九条对违反国家有关法律、法规规定的，除对相关责任人进行责任追究外，还应当依法承担法律责任，涉嫌犯罪的,移送司法机关处理。第十二章附则第七十条公司所属项目部应参照本办法制定本项目部内部控制与全面风险管理工作实施细则，并报公司备案。第七十一条本办法由公司综合办公室负责解释。第七十二条本办法经公司主管领导审阅后批准，自发布之日起施行。生产经营管理（决策、执行和监督）全过程，覆盖公司及所属各单位的各种业务和事项；（二）重要性原则。内部控制与全面风险管理应当在全面控制的基础上，重点关注重大业务、重要流程和高风险领域；（三）制衡性原则。内部控制与全面风险管理应当在企业治理结构、机构设置、权责分配、业务流程、风险管控等方面形成良性的相互制约和相互监督，同时兼顾运营效率；（四）适用性原则。内部控制与全面风险管理应当立足企业实际，紧密结合现有管理体系，确保相关工作与企业经营规模、业务范围、竞争状况和风险管理水平等因素相适应；（五）全员参与原则。内部控制与全面风险管理是一项系统性工作，具有长期性、复杂性和艰巨性的特点，全体员工需要全过程、全方位参与；（六）战略导向原则。内部控制与全面风险管理工作应服从、服务于公司整体发展战略，并促进战略目标的实现。第三章组织机构与职责第八条公司内部控制与全面风险管理组织体系由公司内部控制风险管理领导小组、内部控制与全面风险管理工作牵头部门、公司各部门及所属各单位内部控制与风险管理组织和机构组成。第九条公司主管对内部控制与全面风险管理工作的有效性负责。主要职责包括：审议审批企业年度全面风险管理报告、内部控制自我评价报告；确定公司风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案；批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制批准重大决策风险评估报告，做出有效控制风险的决策;认定企业重大内部控制缺陷枇准风险管理组织机构设置及其职责方案等;批准风险管理措施，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为。第十条公司经理层负责组织实施内部控制与全面风险管理日常工作。公司设立内部控制与风险管理领导小组，主要职责包括：领导、部署和协调内部控制与全面风险管理工作，建立健全企业内部控制与风险管理体系；研究制定公司内部控制与风险管理工作流程、制度和办法；组织开展风险评估及内部控制自我评价工作；组织制定重大、重要风险管理策略和解决方案；对公司相关部门和单位风险内控工作进行监督和考核等。第十一条公司综合办公室为内部控制与全面风险管理工作牵头部门，主要职责包括：组织贯彻落实内部控制与全面风险管理法律、法规和政策；内部控制与全面风险管理日常工作的组织和协调；组织开展公司年度风险评估和内部控制自我评价工作；组织编制公司年度全面风险管理报告和内部控制自我评价报告;指导、监督公司所属各单位开展内部控制与全面风险管理工作。第十二条公司各部门负责人为本部门内部控制与全面风险管理工作的第一责任人。各部门应设置风险内控联络员，负责与部门业务相关的内部控制与全面风险管理工作，包括沟通协调、落实监督、资料整理与报送及上传下达等。风险内控联络员应由部门副职或相关业务骨干兼任。第十三条公司所属各项目部经理为本单位内部控制与全面风险管理工作的第一责任人。公司及各项目部要设立或明确内部控制与风险管理工作部门，并配备两名以上专职人员，负责组织、协调本单位内部控制与全面风险管理工作的实施及日常工作。第四章内部控制第十四条公司及所属各单位应根据国家法律、法规及股份公司、集团公司要求，结合企业实际，建立健全内部控制体系。第十五条内部控制体系应涵盖企业所有业务流程和事项，并贯穿于生产经营及管理活动各个环节。企业内部控制应包括以下五要素：(-)内部环境。实施内部控制的基础，主要包括治理结构、机构设置、发展战略、权责分配、内部审计、人力资源政策、企业文化等；（二）风险评估。全面收集、及时识别、系统分析生产经营活动中的各项风险，合理确定风险管理策略及解决方案；（三）控制活动。根据风险评估结果，采用相应的控制措施,将风险控制在可承受度之内；（四）信息与沟通。及时、准确收集、传递与内部控制相关的信息，确保信息在企业内部及外部之间进行有效沟通；（五）内部监督。对内部控制建立与实施情况进行监督检查,评价内部控制的有效性，发现内部控制缺陷，并及时加以改进。第十六条公司及所属各项目部应建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责和权限，系统分析、梳理、分离业务流程中的不相容职务，制定合理的内部控制措施，形成各司其职、各负其责、相互制约的工作机制。第十七条内部审计机构应结合内部审计监督，对内部控制的有效性进行监督检查。第十八条公司及所属各项目部应结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，采取相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。第十九条各级管理人员应在授权范围内行使职权和承担责任。对于重大决策、重要人事任免、重大项目安排和大额度资金运作事项（即〃三重一大〃事项），须纳入内部控制范畴，按规定程序集体研究决策。第二十条公司及所属各项目部应建立与管理活动相适应的信息系统和信息管理制度，明确内部控制相关信息的收集、处理和传递程序，确保信息能够及时在企业内部及外部之间进行沟通，重要信息应当及时传递给执行董事、经理层。第二十一条建立举报投诉制度和举报人保护制度，明确举报投诉处理程序、办理时限和办结要求，设置举报专线，规范舞弊案件的举报、调查、处理、报告和补救程序等。第二十二条公司及所属各项目部应制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷性质和产生原因，提出整改方案，并采取适当形式及时向执行董事、经理层报告。第二十三条公司及所属各项目部应定期对内部控