集团内部控制管理制度
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
X X集团股份有限公司
内部控制管理制度
第一章总则
第一条为建立健全XX集团公司(以下简称公司)内部控制体系,强基固本,提高公司经营管理水平和风险防范能力,保护投资者的合法权益,根据《中央企业全面风险管理指引》(国资发改革〔2006〕108号)、《企业内部控制基本规范》(财会〔2008〕7号)等法规及《公司章程》的相关规定,特制定本制度。
第二条本制度所称内部控制,是指由公司董事会、监事会、管理层以及全体员工实施的、旨在实现控制目标的过程。
第三条公司内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
第四条公司内部控制管理制度制定了公司及分子公司、项目部整体内控管理体系的运行规则,对内控体系建立、评价、日常检查与考核等运行环节的组织、内容、职责、要求、输出等进行了明确,包括内控管理手册、内控评价管理流程、内控检查制度、内控体系运行考核办法。
第五条适用范围:本制度适用于公司各部门及各分子公司、项目部。
公司所属各级分子公司及控股公司参照本办法执行。
第二章内部控制建设
第六条公司内部控制建设遵循以下原则:
(一)全面性原则。公司决策层、管理层和全体员工共同实施,
覆盖公司各业务,贯穿管理各层级,实现决策、执行、监督、反馈全过程管控。
(二)重要性原则。在全面覆盖的基础上,重点关注高风险领域、主要经济活动和重要业务事项,防范重大风险,明确流程关键控制环节,制定风险控制措施。
(三)制衡性原则。在兼顾业务运营效率的同时,确保治理结构、机构设置及权责分配等相互制约、相互监督。
(四)标准化原则。统一制定内部控制管理制度,统一开发信息平台,加强执行监督,逐步消除管理差异,实现流程步骤、控制措施、岗位责任、风险管理、内控评价标准化。
(五)成本效益原则。权衡内部控制实施成本与预期效益,以合理成本实现最有效控制。
(六)持续改进原则。建立内部控制设计、执行、评价及改进闭环管理机制,动态适应公司业务范围、组织架构、风险水平等变化,实现持续完善与提升。
(七)协同一致原则。内控流程、授权管理、风险管理、规章制度和内控评价规范及配套手册内容规定上应保持一致,促进公司一体化管理。
第七条内控管理组织及职责
(一)董事会负责领导公司内部控制体系的建立健全和有效实施,审议公司年度内部控制评价报告。
(二)监事会负责对董事会建立与实施内部控制进行监督。
(三)经理层负责领导公司整体内部控制体系的日常运行。
(四)董事会审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及
其他相关事宜。
(五)内控管理部归口管理公司全范围风险管理及内部控制工作,负责公司内控管理制度的制定和管理,具体组织与协调公司内部控制体系建立健全、内控制度管理、内控手册编制与实施、内控检查与风险管理、内控自评与完善、内控及风险管理培训等
工作。
(六)各分子公司、项目部按照公司内控管理制度及统筹部署开展本单位内控体系建设、评价及检查考核,并接受公司内控管理部的日常检查监督。
(七)各分子公司、项目部党委(党组)或类似权力机构负责本单位内部控制体系的建立健全和有效实施。所属各级单位主要负责人为本单位内部控制第一责任人。
(八)公司各职能部门、分子公司、项目部结合实际情况设立内控管理机构(岗位或接口联系人),专项负责本单位内控管理具体工作的衔接与开展;
第八条风险信息收集、评估及数据库
(一)风险信息收集。内控管理部按照《企业内部控制基本规范》及配套指引的相关规定,组织和指导各部门、分子公司、项目部,以业务流程为线索,开展全面、系统的业务风险信息梳理、识别和收集工作。
(二)风险评估。内控管理部采用定性与定量相结合的方法,制定风险评估标准,组织相关单位对所收集的风险信息进行系统分析,评价风险影响,确定风险值和风险等级,确定关注重点和
优先控制的风险,结合公司风险承受度,权衡风险与收益,确定风险应对策略;
(三)风险数据库。内控管理部制定风险编号、名称与定义规范,组织建立公司及各单位业务风险及风险等级数据库,以进行动态管理。未经批准,所属各级单位不得擅自修改风险信息数据。(四)风险管理报告。内控管理部组织开展公司年度风险管理报告编报工作;各单位年度全面风险管理报告和公司各专业风险管理子报告应于每年2月底前报至内控管理部;公司年度全面风险管理报告于每年4月底前上报国资委。
(五)内控管理部结合不同发展阶段和业务拓展情况,持续收
集与风险变化相关的信息,进行风险识别和风险分析,及时调整
风险应对策略。
第九条内控管理手册的编制
(一)内控管理部按照《企业内部控制基本规范》及配套指引规范,结合公司风险数据库及风险应对策略,组织开展各单位梳理业务流程、制作风险控制矩阵,明确公司全范围的内部控制风险点、流程操作步骤、执行制度标准、风险控制措施、具体岗位职责等,汇编制作《内控管理手册》,形成以《内控管理手册》为运行基础的公司内控管理体系。
(二)公司各部门及分子公司、项目部结合风险数据库梳理、完善本单位业务流程、制作风险控制矩阵,参与编制《内控管理手册》。
(三)公司各部门及分子公司、项目部依据《内控管理手册》实施本单位内控管理,整改内控缺陷,完善相应业务流程、授权机制、规章制度,采取风险防范措施。
第十条信息与沟通
(一)内控管理部将内部控制相关信息在公司内部各管理级次、责任单位、业务环节之间,以及公司与外部投资者、中介机构和监管部门等有关方面之间进行沟通和反馈,并将重要信息及时传递给董事会、监事会和经营层。
(二)各职能部门、分子公司、项目部建立本单位内部控制相关信息的收集、处理和传递程序,确保内控信息及时沟通,促进内部控制有效运行。
第三章内部控制评价
第九条公司内部控制评价是指对公司内部控制设计和执行的有效性进行评价,识别控制缺陷,形成评价结论,出具评价报告的过程。
第十条公司内控评价分为年度整体评价和年度自评价。
(一)年度整体评价由内控管理部组织实施,每年对公司内部控制整体有效性进行评价,编报公司内控评价报告。
(二)年度自评价由各部门、分子公司、项目部组织实施,