公司内部控制基本规定

安源实业股份有限公司内部控制基本规定
（经公司第四届董事会第五次会议审议通过）
第一章总则 (2)
第二章组织管理 (3)
第三章内部控制的框架 (4)
第四章内部控制的内容和方法 (6)
第五章内部控制实施 (7)
第六章内部控制的检查和披露 (8)
第七章附则 (9)
第一章总则
第一条为了推动公司建立健全内部控制，保障业务、管理
体系安全稳健运行，防范和化解各类风险，提高经营效益和效率，促进公司健康可持续发展，制定本规定。

第二条本规定所称内部控制，是指由公司董事会、监事会、
经理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制：
（一）遵循国家法律法规和有关监管要求，保证企业经营管理合法、合规与合理；
（二）保障资产的安全完整；
（三）提高公司经营的效率和效果，提升公司质量，增强公司风
险控制能力，增加对公司股东的回报；
（四）确保公司财务报告及管理信息以及对外信息披露的真实、
准确、完整和公平；
（五）促进企业实现发展战略。

第三条公司建立和实施内部控制，应当遵循以下基本原则：
（一）合法性原则。

内部控制应当符合法律、行政法规的规定和
有关政府监管部门的监管要求。

（二）全面性原则。

内部控制在层次上应当涵盖公司董事会、监
事会、经理层和全体员工，在对象上应当覆盖公司各项业务和管理活动，在流程上应当渗透到决策、执行、监督、反馈等各个环节，避免内部控制出现空白和漏洞。

（三）重要性原则。

内部控制应当在兼顾全面的基础上突出重点，
针对重要业务与事项、高风险领域与环节采取更为严格的控制措施，确保不存在重大缺陷。

（四）有效性原则。

内部控制应当能够为内部控制目标的实现提
供合理保证。

公司全体员工应当自觉维护内部控制的有效执行。

（五）制衡性原则。

公司的机构、岗位设置和权责分配应当科学
合理并符合内部控制的基本要求，确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。

（六）适应性原则。

内部控制应当适合公司企业经营规模、业务
范围、业务特点、风险状况以及所处具体环境等方面的要求，并随着
企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进3
和完善。

（七）成本效益原则。

内部控制应当在保证内部控制有效性的前
提下，合理权衡成本与效益的关系，争取以合理的成本实现更为有效的控制。

第四条公司内部控制的表现形式是：
（一）内部控制基本规定；
（二）与管理职能相对应的管理办法；
（三）实施细则或操作手册。

管理办法应体现内部控制规定的原则要求，实施细则或操作手册
应遵循管理办法的规定，各层次间不能冲突。

第五条本规定适用于安源实业股份有限公司。

公司下属子
公司，参照公司各层次内部控制的规定执行。

第二章组织管理
第六条公司董事会全面负责公司内部控制制度的制定、实
施和完善，并定期对公司内部控制情况进行全面检查和效果评估。

第七条公司董事会下设立审计委员会，负责审查公司内部
控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。

第八条公司经理层根据《公司章程》和董事会的授权，负
责组织、领导经营环节内部控制制度体系的建立、完善，全面推进公司内部控制制度的执行，检查公司部门和单位制定、实施各专项内部
控制制度的情况。

第九条公司各部门内部控制职责
公司各部室是公司内部控制的建设、执行部门，负责各自业务范
围内部控制体系的建设，制定条线内部控制制度、程序和方法并组织实施，对条线内部控制体系存在的问题，及时采取有效措施进行改进，并配合完成对公司各业务范围风险管理和控制情况的检查。

公司审计稽核部是公司内部控制的监督和评价部门。

在公司董事
会审计委员会和经理层的领导下，负责对各业务条线和子公司的内部控制状况实施监督、审计和评价，负责对公司整体内部控制的有效性进行年度自我评价，负责组织公司内控评审会议，经办或督办公司内控评审会议决定事项，并向公司董事会审计委员会和经理层报告情况。

公司人力资源部、效能监察部门负责对内部控制失职失察的责任
追究，提出处理建议，并负责处理决定的落实。

第十条公司监事会全面负责监督公司内部控制制度的执
行，对发现的内部控制缺陷，可责令公司整改。

监事会向股东大会报4
告公司内部控制制度实施情况。

第三章内部控制的框架
第十一条公司内控制度应力求全面、完整，至少在以下三个
层面做出安排：
（一）公司本部层面；
（二）公司控股子公司层面；
（三）公司各业务环节层面。

第十二条公司建立和实施内控制度时，应考虑以下基本要素：（一）内部环境；
（二）风险评估；
（三）控制措施；
（四）信息与沟通；
（五）监督检查。

第十三条内部环境。

内部环境是影响、制约公司内部控制建
立与执行的各种内部因素的总称。

内部环境主要包括：
（一）治理结构。

公司设立股东大会、董事会、监事会和以总经
理为领导的经理层。

各级决策机构的职责、权限及工作规程，按《公司章程》及公司治理制度的规定执行。

（二）组织机构设置与权责分配。

公司根据需要设置职能部门、
子公司，并通过公司部门和岗位职责范围分工，明确各自的职责权限，将权利与责任分解到具体岗位。

（三）人力资源政策，包括员工的聘退与培训、员工的薪酬、考
核晋升与奖惩、岗位员工的轮岗制衡要求等。

公司将职业道德素养和专业胜任能力作为选拔和聘用员工的重要标准，制定科学、合理的培训计划，持续提升员工的道德素养和业务素质。

公司根据需要改进和完善对各层次员工的业绩考核和薪酬激励机制，促进员工责、权、利的有机统一和公司内部控制的有效执行。

（四）公司文化，包括公司的整体价值观，高级管理人员的管理
理念、经营风格与职业操守，员工的行为守则等。

公司提倡和培育创新进取、团队协作和诚信共赢的整体价值观，培养社会责任感，倡导爱岗敬业、务实本分和遵纪守法的精神；提倡和树立有利于实现公司内部控制目标的管理理念和经营风格，强化风险意识，避免因个人风险偏好可能给公司带来的不利影响和损失；提倡和恪守以诚实守信为核心的职业操守，不得损害投资者、债权人、客户、员工和社会公众的利益。

第十四条风险评估。

风险评估是及时识别、科学分析和评价
影响公司内部控制目标实现的各种不确定因素并采取应对策略的过
5
程。

包括：风险评估应按目标设定、风险识别、风险分析、风险应对等程序进行。

（一）目标设定。

公司根据发展战略设定年度经营目标、财务绩
效目标、合规性目标与资产安全完整目标，并根据设定的目标合理确定公司整体风险承受能力和具体业务层次上的可接受的风险水平。

（二）风险识别。

公司在充分调研和科学分析的基础上，准确识
别影响公司内部控制目标实现的内部风险因素和外部风险因素，加强对高危性、多发性风险因素的关注。

（三）风险分析。

公司根据已识别的风险因素，从风险发生的可
能性和影响程度两个方面对各种风险的重要性进行分析和风险排序，确定应当重点关注的重要风险。

（四）风险应对。

公司根据风险分析情况，结合风险成因、公司
整体风险承受能力和具体业务层次上的可接受风险水平，确定风险应
对策略。

风险应对策略一般包括风险规避、风险承担、风险降低和风险分担等。

第十五条控制措施。

控制措施是根据风险评估结果、结合风
险应对策略所采取的确保公司内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。

控制措施结合公司具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、信息技术控制等。

第十六条信息与沟通。

信息与沟通是及时、准确、完整地收
集与公司经营管理相关的各种信息，并使这些信息以适当的方式在公司有关层级之间进行及时传递、有效沟通和正确应用的过程。

包括：（一）信息收集。

公司根据需要全面收集来源于公司外部及内部、
与公司经营管理相关的财务及非财务信息，为内部控制的有效运行提供信息支持。

公司收集的信息应当真实、准确、完整、及时、相关。

（二）信息内部沟通。

公司根据需要，分别采取互联网络、电子
邮件、电话传真、信息快报、例行会议、专题报告、调查研究、员工手册、教育培训、内部刊物等多种方式，实现所需的内部信息、外部信息在公司内部准确、及时传递和共享，确保董事会、经理层和员工之间有效沟通。

有效的信息沟通需要合理考虑来自不同部门和岗位、不同渠道的相关信息进行合理筛选和相互核对。

（三）信息外部沟通。

公司有责任建立良好的外部沟通渠道，对
公司股东、债权人、政府、监管机构、供应商、客户、审计师、律师
等有关方面的建议、投诉和收到的其他信息进行记录，并及时予以处理、反馈。

第十七条监督检查。

监督检查是公司对其内部控制的健全性、
6
合理性和有效性进行监督检查与评估，形成书面报告并做出相应处理的过程。

第四章内部控制的内容和方法
第十八条公司内部控制应涵盖公司经营管理的各个层级、各
个方面和各项业务环节，涵盖贯穿于经营活动各环节之中的各项管理职能，包括但不限于：
（一）经营控制体系。

包括对子公司管理、运营分析管理等。

（二）财务控制体系。

包括资产管理、资金管理、对外投资管理、
筹资管理、担保管理、工程管理、物资及采购管理、成本费用管理、会计报表管理、信息披露管理、招投标管理、外包管理等。

（三）管理控制体系。

包括组织与岗位管理、信息管理、全面预
算管理、合同管理、内部审计、制度管理、人力资源管理、信息系统管理、办公事务管理、证券事务管理、档案管理等。

第十九条公司综合运用多种措施和方法，实现对具体业务与
事项的控制，合理保证将剩余风险控制在可接受水平之内。

基本的控制措施和方法包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、运营分析控制、信息技术控制等。

第二十条职责分工控制。

要求根据公司目标和职能任务，按
照科学、精简、高效的原则，合理设置职能部门和工作岗位，明确各部门、各岗位的职责权限，形成各司其职、各负其责、便于考核、相互制约的工作机制。

企业在确定职责分工过程中，应当充分考虑不相容职务相互分离的制衡要求。

不相容职务通常包括：授权、批准、业务经办、会计记录、财产保管、稽核检查等。

第二十一条授权控制。

要求公司根据职责分工，明确各部门、
各岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容。

公司内部各级管理人员必须在授权范围内行使职权和承担责任，业务经办人员必须在授权范围内办理业务。

第二十二条审核批准控制。

要求公司各部门、各岗位按照规定
的授权和程序，对相关经济业务和事项的真实性、合规性、合理性以及有关资料的完整性进行复核与审查，通过签署意见并签字或者签章，做出批准、不予批准或者作其他处理的决定。

第二十三条预算控制。

要求公司加强预算编制、执行、分析、
考核等各环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。

第二十四条财产保护控制。

要求公司限制未经授权的人员对财
7
产的直接接触和处置，采取财产记录、实物保管、定期盘点、账实核对、财产保险等措施，确保财产的安全完整。

第二十五条会计系统控制。

要求公司依据会计法规的规定组织
会计核算，明确会计凭证、会计账簿和财务报告以及相关信息披露的
处理程序，规范会计政策的选用标准和审批程序，建立、完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能，确保企业财务报告真实、可靠和完整。

第二十六条内部报告控制。

要求公司建立和完善内部报告制度，
明确相关信息的收集、分析、报告和处理程序，及时提供业务活动中的重要信息，全面反映经济活动情况，增强内部管理的时效性和针对性。

内部报告方式通常包括例行报告、实时报告、专题报告、综合报告等。

第二十七条运营分析控制。

要求公司综合运用营运、采购、投
资、财务等方面的信息，利用比较分析、比率分析、因素分析、趋势分析等方法，定期对公司经营管理活动进行分析，发现存在的问题，查找原因，并提出改进意见和应对措施。

第二十八条信息系统控制。

要求公司建立和完善与本公司经营
管理业务相适应的信息化控制流程，同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全、有效运用。

第五章内部控制实施
第二十九条公司应根据《公司章程》及本规定要求，结合公司
实际，分别就不同管理控制职能制定一套科学、规范的内部控制管理制度，包括管理办法及管理细则，并组织实施。

第三十条公司应加强宣传引导和教育培训，通过多种途径广
泛宣传公司内部控制，建立员工行为守则，促进经理层和全体员工加
强职业道德修养、提高专业胜任能力，自觉遵守公司内部控制的各项规定。

第三十一条公司董事、监事、经理层人员有责任带头执行内部
控制，为全体员工做出表率。

董事、监事、经理层人员有责任为公司人员依法履行职责、实施内部控制提供保障和支持。

第三十二条公司应创造条件健全和完善管理信息系统，逐步实
现各个管理系统模块的信息集成和共享，不断提高内部控制的效率与效果。

第三十三条公司应逐步建立内部控制的问责机制和科学有效的
对部门、员工的绩效考核及薪酬激励机制，并将内部控制执行情况的监督检查结果纳入对部门、员工的绩效考核范围，强化对各部门和员8
工的激励与约束。

第三十四条公司应建立突发事件应急管理机制，针对经营管理
和内部控制中的潜在隐患以及可能发生的突发事件，制定应急预案、明确责任人员、规范处置程序和信息发布、做好善后处理和总结评估，切实将不利影响和损失降低到最小程度。

第三十五条公司应建立内部报告制度。

提倡员工对影响其有效
实施内部控制制度的行为向公司内部审计机构或上级主管人员进行
报告，并赋予经办人员有权拒绝办理被强令的有关业务与事项的权力。

第三十六条公司应接受政府有关部门及其委托的社会中介机构
对内部控制的检查评估，并根据检查评估结果进行整改。

第六章内部控制的检查和披露
第三十七条公司应根据自身经营风险和实际需要，定期对公司
的内部控制进行检查监督，评估其执行的效果和效率，并及时提出改进建议。

必要时还应不定期对公司内部控制开展专项检查监督工作。

第三十八条公司各部门、单位应积极配合内部控制的检查监督。

第三十九条公司对内部控制运行情况进行检查监督，审计稽核
部应将检查中发现的内部控制缺陷和异常事项、改进建议及解决进展情况形成书面报告，并向公司向董事会和经理层汇报。

第四十条公司董事会应根据公司年度内控检查报告，对公司
内部控制情况进行审议评估，形成公司内部控制的自我评价报告。

内部控制自我评价报告至少应包括以下内容：
（一）内部控制制度是否建立健全；
（二）内部控制制度是否有效实施；
（三）内部控制检查监督工作情况，包括本年度内部控制检查
监督工作计划完成情况的评价；
（四）内部控制制度及其实施过程中出现的重大风险和处理情
况；
（五）完善内部控制制度的有关措施。

第四十一条公司按规定应披露内部控制自我评价报告的，公司
董事会应单独进行决议。

公司应在年度报告披露的同时，披露年度内部控制自我评价报告。

第四十二条公司按规定聘请审计机构对公司内部控制进行核实
评价的，中介机构应参照有关的规定，就公司内部控制自我评估报告出具核实评价意见。

公司应披露审计机构对公司内部控制的核实评价意见。

第四十三条如中介机构对公司内部控制有效性表示异议的，公
9
司董事会应针对该审核意见涉及事项做出专项说明。

第四十四条公司应将内部控制制度的健全完备和有效执行情
况，作为对公司各部门、控股子公司的绩效考核重要指标之一，并建立起责任追究机制，对违反内部控制制度和影响内部控制制度执行的有关责任人予以查处。

第四十五条公司内部控制执行检查、评估等相关资料保存，应
遵守有关档案管理规定。

第七章附则
第四十六条本规定与国家相关法律法规、规范性文件及《公司
章程》有冲突时，应按相关法律法规、规范性文件及《公司章程》执行，并及时对本规定进行修订。

第四十七条本规定由董事会负责制订、修改和解释。

第四十八条本规定经公司董事会审议通过后实施。

安源实业股份有限公司董事会
二〇一〇年二月__。