能源公司内控合规风险管理办法

能源公司内控合规风险管理办法
第一章总则
第一条为加强沈阳金山能源股份有限公司（以下简称公司）内部控制、合规管理、风险管理（以下简称内控合规风险管理），发挥内部控制强基固本作用，提升合规经营水平，增强风险防控能力，服务保障公司高质量发展，根据国务院国资委《关于全面推进法治央企建设的意见》《关于加强中央企业内控体系建设与监督工作的实施意见》《中央企业全面风险管理指引（试行）》《中央企业合规管理指引（试行）》、财政部《企业内部控制基本规范》及其配套指引等相关规定，结合公司实际，制定本办法。

第二条公司贯彻〃管理制度化、制度流程化、流程信息化〃的内部控制理念，建立健全以风险管理为导向，以合规管理为重点，严格、规范、全面、有效的内部控制体系，形成全面、全员、全过程、全体系的风险防控机制，实现''强内控、促合规、防风险〃的管控目标，有力保障公司高质量发展。

内部控制是指由企业董事会、经理层和全体员工实施的、旨在实现控制目标的过程。

合规管理是指以有效防控合规风险为目的，以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。

风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。

风险管理是内部控制的导向，内部控制的实质是控制风险，合规管理是内部控制得以有效实施的一项基础工作、是风险管理的一项重要活动。

第三条内控合规风险管理是企业治理体系和治理能力现代化的重要组成部分，各项管理要求应嵌入融入业务活动、制度流程、信息管理系统等经营管理全过程。

内控合规风险管理与其他职能管理相互协调、相互促进，为实现以下目标提供合理有效保障：
（-）保证企业经营管理合法合规；
（二）保障企业资产安全；
（三）保证企业财务报告及相关信息真实完整；
（四）确保企业建立针对各项重大风险发生后的应急预案，保护企业不因灾害性风险或人为失误而遭受重大损失；
（五）提高企业经营效率和效果；
（六）促进企业实现发展战略目标。

（-）坚持领导主抓与全员参与相结合。

公司主要负责人是内部控制第一责任人；建立全员责任制，把内部控制要求植入岗位职责，落实到岗位工作全过程。

（二）坚持全面管理与重点突出相结合。

内部控制应覆盖全业务领域、全业务过程、全组织层级和全体员工，贯穿决策、执行、监督全过程，突出重要领域、重点环节、重点
人员及重点单位的管理。

（三）坚持分类管理与''三道防线〃相结合。

内部控制根据不同类别的内控合规风险特点实施分类管理；筑牢由业务管理部门、牵头管理部门和审计监督部门组成的内部控制'三道防线〃，各司其职、协同联动。

（四）坚持成本与效益、控制与效率相统一。

内部控制应有效兼顾成本与效益、控制与效率，以适当的成本和效率实现有效防控。

第五条本办法适用于本部及所属企业，所属企业包括分公司、全资和控股公司（以下统称各单位）。

第二章组织与职责
第六条公司管理机构与职责
（-）公司党委领导内控合规风险管理工作。

（二）公司董事会是内控合规风险管理的决策机构，主要职责包括：
2.批准公司内控合规风险管理基本制度、年度内控工作报告、年度合规管理报告、年度风险评估报告等文件；
3.确定公司风险管理总体目标、风险偏好、风险承受度以及风险管理策略和重大风险解决方案；
4.对公司内控合规风险管理体系的实施进行总体监控和评价；
5.定期听取内控合规风险工作情况汇报；
6.决定其他重大事项。

公司董事会审计委员会负责监督指导内控合规风险管理工作，向董事会负责并报告工作，主要职责包括：
1.指导公司内控合规风险管理体系和相关制度建设；
2.审议公司年度内控工作报告、年度合规管理报告、
年度风险评估报告等文件；
3.审议公司风险管理总体目标、风险偏好、风险承受度以及风险管理策略和重大风险解决方案；
4.对内控合规风险管理体系的完整性和有效性进行评估和督导；
5.听取内控合规风险工作情况汇报；
6.完成董事会授权或安排的其他事宜。

（三）公司董事长是内控合规风险管理工作第一责任人，负责组织领导建立健全覆盖各业务领域、部门、岗位，涵盖各级企业的内控合规风险管理体系。

（四）公司经理层负责内控合规风险管理体系的建设与运行。

总经理办公会负责研究和审议内控合规风险管理重大事项，主要职责包括：
1.组织实施公司党委会会议、董事会会议关于内控合规风险管理的决议；
2.组织推进内控合规风险管理体系的建设与运行；
3.批准重要的内控合规风险管理实施细则类制度；
4.组织推进内控合规风险管理信息化建设；
5.完成董事会授权的其他事项。

第七条公司本部部门职责
(-)公司财务资产部是内控风险管理工作牵头管理部门，主要职责包括：
1.贯彻落实董事会和董事会审计委员会关于内控风险管理的工作部署；
2.组织拟定并推进落实内控风险管理体系建设方案；
3.研究起草内控风险管理制度，组织编制《内控合规
风险管理手册》、《风险评估与内控合规评价手册》等操作规范中的内控风险内容；
4.组织编制年度内控工作报告及内控评价报告、年度风险评估报告等文件；
5.组织开展风险评估和内控监督评价工作；
6.协调本部业务职能部门、督导基层企业开展内控风险管理工作；
7.组织推进内控风险管理信息化建设；
8.开展内控风险管理文化宣贯和培训；
9.完成其他事项。

(二)公司法律事务部是合规管理工作牵头管理部门，主要职责包括:
1.贯彻落实董事会和董事会审计委员会关于合规管理的工作部署；
2.组织拟定并推进落实合规管理体系建设方案；
3.研究起草合规管理制度，组织编制《内控合规风险管理手册》、《风险评估与内控合规评价手册》等操作规范中的合规内容以及《合规管理手册》；
4.组织编制年度合规管理报告等文件；
5,协调本部业务职能部门、督导基层企业开展合规管理工作；
6.组织推进合规管理信息化建设；
7.开展合规管理文化宣贯和培训；
8.完成其他事项。

（三）公司业务职能部门按照〃业务谁主管、内控合规风险管理谁负责〃的原则，承担本部门业务领域内控合规风险管理的责任,同时指定一名负责人作为内控合规风险管理联络员，负责组织协调本部门相关工作，主要职责包括：
1.制订完善本业务领域各项管理制度和业务管控流程，并将内控体系管控要求嵌入制度流程和业务管理信息系统；
2.组织开展本业务领域的风险评估、隐患排查、合规审查，发布风险预警，制定并落实防控措施；
3.受理内控合规风险牵头管理部门、审计监督部门移交或建议的事项，督导相关单位改进并反馈整改落实情况；
4.完成其他事项。

（四）公司审计部负责内控合规风险管理审计监督工作，对公司系统内控合规
（五）公司监督部（纪检办公室、巡察办）负责责任追究工作，依规对未履行或未正确
履行内控合规风险管理职责、造成资产损失或其他严重不良后果的情形,进行追责问责。

第八条各单位应结合实际建立健全内控合规风险管理组织体系和工作机制，明确公司各治理主体的职责,落实企业主要负责人为内控合规风险管理第一责任人的职责，筑牢内控合规风险管理〃三道防线〃，形成科学有效的职责分工和制衡机制，主要职责包括：
（-）贯彻落实公司内控合规风险管理工作部署；
（二）组织推进本单位内控合规管理体系建设，制订完善本单位内控合规风险管理制度，编制《内控合规风险管理手册》、《风险评估与内控合规评价手册》和《合规管理手册》等操作规范；
（三）及时将法律法规等外部监管要求转化为企业内部规章制度并持续完善；
（四）在制度流程中嵌入内控体系管控要求；
（五）组织开展风险评估、合规管理和内控自评，接受外部监督评价，并整改落实监督评价发现的问题；
（六）组织编制年度内控工作报告、年度合规管理报告、年度风险评估报告等文件；（七）组织推进本单位相关信息系统建设;
(A)开展内控合规风险管理文化宣贯和培训；
(九)完成其他事项。

第三章内部环境
第九条内部环境是实施内控合规风险管理的基础和前提。

内部环境包括公司治理结构、组织架构、发展战略和规划、人力资源、内部审计、企业文化和社会责任等。

第十条公司根据国家有关法律法规和公司章程，建立规范的公司治理结构、议事规则，明确内部组织机构设置和权责分配,确保〃三重一大〃决策制度有效落实,确保员工正确履职尽责。

第十一条公司立足新发展阶段，坚持新发展理念，融入新发展格局，制定和实施发展战略和规划，贯彻国家战略，对接区域、专项等发展战略，顺应行业发展趋势，符合企业实际，着力推进高质量发展。

第十二条公司制定和实施有利于企业可持续发展的人力资源政策，将职业道德修养、专业胜任能力等作为聘用和选拔员工的重要标准，将内控合规风险管理人才队伍建设和员工培训等作为人力资源政策的重要组成部分。

第十三条公司贯彻企业文化纲要，将内控合规风险管理文化建设融入企业文化建设全过程，培育和推广内控合规风险管理文化，将内控合规风险管理作为经营理念和社会责任的重要内容，增强员工的内控意识、合规意识、风险意识并转化为员工的共同认识和自觉行为，营造稳健合规的经营环境。

第四章风险评估与监测
第十四条公司各部门应广泛、全面、持续收集与风险和风险管理相关的内外部信息，并对
所收集的风险信息进行核查、提炼、分析和动态管理，提高信息的有用性。

信息内容包括但不限于：
（-）战略风险方面：国内外宏观经济形势、产业政策、行业发展状况、国际化经营、改革与业务转型、科技创新、战略伙伴情况、资本运作、并购重组等信息；
（二）市场风险方面：电力、煤炭等商品行情、价格信息，市场竞争情况，客户信用和回款情况等信息；
（三）财务风险方面：企业现金流量、债务、金融衍生品交易、金融业务等财务信息，行业会计政策、会计估计信息，汇率、利率等融资政策和信息，行业平均指标、先进指标等信息；
（四）运营风险方面：企业经营效益信息，非主业投资、投资计划完成信息，安全生产事故、生态环保事故、网络安全等信息，重大自然灾害预警信息，国家和地方安全生产、节能环保政策信息,煤炭、物资采购与供应链信息,工程质量、进度控制等信息;
（五）法律与合规风险方面：与本企业相关的法律法规环境，法律法规、监管规定等调整变化情况，法律法规、监管规定等相关合规要求遵循情况，企业发生的重大法律诉讼案件、重大监管处罚等信息；
（六）其他风险方面：其他对企业经营发展造成影响的信息。

第十五条公司对风险进行分类管理，建立风险清单，统一风险名称、定义和描述，保证风险清单的系统性和科学性，并根据内外部形势变化和风险识别分析结果动态调整、不断改进。

各单位应参照公司风险清单建立适合本企业的风险清单。

公司各部门定期（每年至少一次诠面分析识别本部门业务领域面临的风险挑战,编制本业务领域的风险清单,经部门负责人审核同意后提交给内控风险牵头管理部门。

第十六条公司定期（每年至少一次）开展风险评估工作，根据风险评估标准，结合风险偏好，从是否存在风险、存在何种风险、风险发生可能性、对企业实现经营目标影响程度等方面，对风险进行评估，确定重大风险、重要风险、中等风险和低风险等四个等级，综合形成公司年度风险评估报告。

公司根据要求和工作需要组织开展专项风险评估。

在发展战略、资产收购、改制重组等重大经营事项决策前应开展专项风险评估、合法合规审查，并将风险评估报告及合法合规审查报告作为重大决策必备的支撑材料。

对超出公司风险承受能力的事项不得决策，已经决策的事项不得组织实施。

第十七条公司根据自身条件、经营特点和外部环境，围绕公司发展战略和经营目标，在进行风险评估基础上，确定风险管理策略。

按风险类别和等级确定其风险偏好和风险承受度，选择风险承担、风险规避、风险转移、风险对冲、风险补偿、风险控制等适合的风险管理策略。

相关部门在制订年度投资经营计划和预算时应充分考虑各种主要风险因素,并体现年度风险管理策略。

各单位应根据年度投资经营计划和预算编制安排,完成风险管理策略的制定工作。

第十八条公司根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。

风险管理解决方案包括风险解决具体目标、所涉及的管理及业务流程、所需资源，以及风险事件发生前、中、后所采取的应对措施等。

年度前十大风险解决方案由公司相关部门负责制订，经部门负责人审核同意后，由牵头管理部门统一提请公司有关决策会议审批;其他风险解决方案由公司相关部门自行制订并组织实施。

对于跨职能部门的风险应对，主责部门应从整体风险应对效果出发，联合相关业务职能部门制定风险管理策略及解决方案。

第十九条公司研究建立健全风险监测指标体系在重点领域开展风险量化工作，完善风险预警机制，对风险管理情况进行实时监控、及时预警。

相关部门负责本业务领域的监控指标设计、监测实施和报告等工作，于每季度结束后5日内将本部门业务领域内的年度前十大风险管理情况和监测指标运行情况提交给内控风险牵头管理部门。

内控风险牵头管理部门负责对风险监测指标进行整体监控和汇总分析,及时通报有关情况或进行风险提示，督促落实风险应对预案。

第五章内部控制活动
第二十条公司以风险管理为导向、以合规管理为重点的内控体系建设情况，编制形成《内控合规风险管理手册》等，并定期对内控体系的有效性、合理性进行复审，根据管理要求变化及发现的缺陷不断优化完善。

第二十一条公司加强制度建设。

梳理分析风险内控体系执行情况，认真查找内控体系的短板弱项，不断完善内控制度体系。

根据外部监管新规定以及企业新业务、新变化、新问题，及时做好相关制度留、立、废、改工作，明确重要业务领域和关键环节的内控要求、风险应对措施及违规经营投资责任追究规定。

加大制度执行监督检查力度，强化责任追究，增
强制度刚性约束。

第二十二条公司结合风险评估结果和风险监测情况，通过预防性控制与发现性控制、手工控制与自动控制相结合的方法，执行相应的控制措施，针对重大风险所涉及的各管理及业务流程，实施涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，把关键环节作为控制点，执行相应控制措施，将风险控制在可承受范围之内。

第二十三条内部控制一般采取以下控制措施：组织机构和人员分工控制、制度流程控制、不相容职务分离控制、授权审批控制、计划预算控制、阳光交易控制、财产保护控制、营运分析控制、绩效考评控制、信息系统控制等，其中：
（-）不相容职务分离控制。

全面梳理业务流程中所涉及的不相容职务，严格规范重要岗位和关键人员在授权、审批、执行、报告等方面的权责，实现可行性研究与决策审批、决策审批与执行、执行与监督检查等岗位职责的分离。

（二）授权审批控制。

规范授权放权管理，完善授权放权管理制度，编制权限指引、责任清单或授权放权清单，加强重要岗位授权管理和权力制衡，明确各岗位办理业务和事项的权限范围、审批程序和相应责任，强化重要业务领域各岗位的职责权限和审批程序，形成相互衔接、相互制衡、相互监督的工作机制。

（三）计划预算控制。

坚持计划预算引领，强化计划预算约束，开展运营分析，发挥资源配置作用，保障绩效目标实现。

（四）财产保护控制。

保管财产文件资料，核对账表实情况，盘点实物资产和有价凭单，严格限制未经授权人员直接接触财产，确保资产安全。

（五）绩效考评控制。

对本部各部门、全体员工及各单位工作绩效进行考评，并将结果作为确定薪酬、职务调整等的重要依据。

第二十四条合规管理重点采取以下控制措施:外法内化、合规审查、合规咨询、合规培训、合规承诺、违规举报等，其中：
（-）外法内化。

跟踪研究法律法规变化和监管动态，针对重点领域制定具体合规管理办法，及时将外部合规要求转化为内部规章制度。

（二）合规承诺。

实行全员承诺制，制定并组织签订《合规承诺书》，实现合规思想认识、制度要求与执行效果的统一，增强企业合规管控能力。

（三）合规审查。

将合规审查融入业务流程，规章制度制定、重要合同签订、〃三重一大〃事项等经营管理行为必须纳入合规事项审查清单，未经合规审查不得实施。

事项简单、合规风险不大的合规管理事项，按一般合规管理事项管理，由业务职能部门负责审核；对于复杂且存在重大合规风险的事项、需提交决策会议决策的事项，按重要合规管理事项管理，由业务部门、相关部门及法律事务部门审核;对于特别复杂且存在特别重大合规风险的事项，按特别重要合规管理事项管理,须提请相关会议进行审核。

（四）合规咨询。

业务部门及其员工在履职过程中需要对关键领域或重要环节的法律合规事项进行咨询时，应主动向法律事务部寻求支持。

法律事务部组织研究后及时答复或启动法律合规审核流程。

对于复杂或专业性强且存在重大合规风险的事项，法律事务部应按规定听取总法律顾问意见，或委托专业机构召开论证会后再形成审核意见。

（五）合规培训。

加强全员合规培训，强化境外、高风险业务等重点岗位人员合规培训I。

培育和推广合规文化，践行依法合规、诚信经营的价值观，不断增强员工的合规意识和行为自觉。

（六）合规报告。

各单位应对合规风险事件进行分级分类管理。

各单位发生较大合规风险事件,合规牵头管理部门和相关业务职能部门应及时向本单位合规管理负责人、分管领导报告。

发生重大合规风险事件，应及时向公司报告，公司法律事务部负责按分级管理要求，履行相关报告程序。

（七）违规举报。

公司设立违规举报平台，对外公布举报电话、邮箱和信箱，员工、客户、第三方均有权利进行投诉。

相关部门按照职责范围受理违规举报,并就举报问题进行调查和处理。

（A）违规问责。

完善违规行为处罚机制。

针对反映的问题和线索，及时开展调查，严肃追究违规人员责任。

违规情节轻的，给予批评教育并责令整改；违规情节重的，按照公司相关违规处罚规定给予相应处罚；涉嫌犯罪的，移送相关国家机关处理。

第二十五条公司发生重大经营风险事件（重大内控缺陷），在落实即发即报要求的同时，做好应急处置，最大程度化解风险、降低损失。

第六章管理重点
第二十六条公司根据外部环境变化，结合企业实际，在全面推进内控合规风险管理体系有效运行的基础上，突出重点领域、重点环节、重点部门和人员、重点单位的内控合规风险管理，切实防范风险。

第二十七条公司在开展风险评估、应对、事件处置全过程管理的基础上，重点关注重大风险、重大风险事件和重大决策。

完善重大风险防控机制，建立健全重大风险研判机制、决策风险评估机制、重大风险防控协同机制、重大风险防控责任机制。

强化防范化解重大风险全过程管控，加强对经营环境变化的监测及趋势研判，提升对经营
管理的缺陷和问题的整改及风险应对水平，有效做好企业间风险隔离，防止风险叠加、转化和联动，避免发生系统性、颠覆性重大风险。

第二十八条内控管理覆盖组织机构和人力资源管理、国资国企改革、投资管理、财务管理、资本运营、并购重组、采购管理、销售管理、生产运营管理、安全环保管理、工程建设管理、科技创新管理等与人、财、物、资源调配密切相关以及偶发性但对公司影响大的领域。

同时加强对以下重点领域的合规管理：
（-）市场交易。

完善交易管理制度，严格履行决策批准程序，建立健全自律诚信体系，突出反商业贿赂、反垄断、反不正当竞争，规范资产交易、煤炭购销、招投标等活动。

（二）安全环保。

严格执行国家安全生产、环境保护法律法规，完善企业生产规范和安全环保制度，加强监督检查，及时发现并整改违规问题。

（三）质量管理。

完善质量体系，加强过程控制，严把各环节质量关，提供优质产品和服务，加强大修、技改以及工程建设质量管理。

（四）劳动用工。

严格遵守劳动法律法规，健全完善劳动合同管理制度，规范劳动合同签订、履行、变更和解除，切实维护劳动者合法权益。

（五）财务税收。

健全完善财务内部控制体系，严格执行财务事项操作和审批流程，严守财经纪律，强化依法纳税意识，严格遵守税收法律政策。

（六）知识产权。

及时申请注册知识产权成果，规范实施许可和转让，加强对商业秘密和商标的保护，依法规范使用他人知识产权，防止侵权行为。

（七）商业伙伴。

对重要商业伙伴开展合规调查，通过签订合规协议、要求作出合规承诺。