新《公司法》施行后公司全面风险与内部控制管理制度模板（2024版）

⊙ 本文长约13000字，转载请注明作者及出处

公司全面风险与内部控制管理制度（2024版）

为有效开展全面风险管理工作，充分发挥内部控制体系对企业强基固本作用，促进×××公司（以下简称公司）持续、健康、稳定发展，根据国务院国有资产监督管理委员会《中央企业全面风险管理指引》（国资发改革〔2006〕108号）、《关于加强中央企业内部控制体系建设与监督工作的实施意见》（国资发监督规〔2019〕101号）、财政部等《企业内部控制基本规范》（财会〔2008〕7号）和公司章程等有关规定，结合公司实际，制定本制度。

本制度分为全面风险管理、内部控制管理两个部分，每部分包括管理概述、职责分工、业务流程等内容。本制度适用于公司各职能部门及境内所属子公司，包括全资子公司、控股子公司以及托管企业；境外子公司可结合当地实际情况参照本制度执行。

第一部分  全面风险管理办法

1.全面风险管理总则

1.1本制度所指风险，是指未来的不确定性对企业实现经营目标的影响。

1.2本制度所指全面风险管理，是指围绕总体战略目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全风险管理组织和内部控制体系，为实现风险管理的总体目标提供合理保证的过程和方法。

1.3风险管理的总体目标

1.3.1确保将风险控制在与总体目标相适应并可承受的范围内。

1.3.2确保内外部，尤其是公司与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告。

1.3.3确保遵守有关法律法规。

1.3.4确保公司有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性。

1.3.5确保公司建立针对各项重大风险发生后的危机处理计划，保护公司不因灾害性风险或人为失误而遭受重大损失。

1.4风险管理的工作原则

1.4.1全面覆盖：风险管理工作由公司和所属子企业全员参与，并且应覆盖经营与管理过程中面临的各类风险。

1.4.2分级分类：所属子企业负责本企业的全面风险管理工作，公司各职能部门承担各自的管理职能和流程中相应种类的重大风险的管理工作，各职能部门和所属子企业负责人是本部门或企业风险管理第一责任人。

1.4.3重在预防：各责任主体应加强事前预防和事中控制，将风险管理有效融入企业管理的每个环节，嵌入企业的日常经营管理活动中。

1.4.4促进发展：全面风险管理工作以增强企业竞争力，促进企业持续、健康、稳定发展为目标。

2.风险分类

2.1公司建立风险分类机制，对面临的风险制定明确的分类及定义，并在内部予以公布，统一和规范公司内部对风险类型、概念等基本认识。

2.2按照风险管理的内容，将风险分为两个层级：第一层级按照国资委《中央企业全面风险管理指引》分为战略风险、财务风险、市场风险、运营风险、法律风险五类。战略风险是指不确定因素对企业实现战略发展目标和实施发展规划的影响。财务风险包括利率和汇率的变动、原材料或产品价格波动、信用政策等不确定因素对企业实现财务目标的影响。市场风险是指未来市场价格（利率、汇率、股票价格和商品价格）的不确定性对企业实现其既定目标的影响。运营风险是指包括供应链的管理、运营资源的合理调配、关键人员的流动、监督检查等涉及公司运营方面的不确定性因素对公司运营目标方面的影响。法律风险是指不同国家或地区法律法规环境的差异性、具体法律法规的新制定和变更给企业带来的影响。第二层级应根据各职能部门的职能分工和所属企业的经营范围，在第一层级的基础上进一步细分成具体的风险类型，并将各个类型风险的管理职责分别落实到相关职能部门和所属企业。

2.3按照风险造成的损失，将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）两大类。对于机会风险，可进一步细分为战略与投资风险、供应链运营风险两大类；对于纯粹风险，根据风险来源可细分为内部纯粹风险和外部纯粹风险。

2.4按照风险发生后对经营目标的影响程度，将风险分为重大风险、重要风险、一般风险。

3.全面风险管理职责分工

3.1公司和所属子企业应根据内部组织分工，构建本企业的风险管理组织体系，将本企业风险管理工作职责分别落实到有关部门及岗位。各部门、岗位的风险管理职责应与其决策权、管理权、经营权相对等。

3.2公司董事会是公司风险管理工作的决策机构，负责决策或授权批准公司风险管理体系方面的重大事项。

3.3公司董事会下设的审计委员会，为董事会职权范围内的决策事项提供咨询意见和建议。涉及全面风险管理的相关职责为：

3.3.1指导企业风险管理体系建设。

3.3.2对风险管理制度及其执行情况进行定期检查和评估，并向董事会报告结果。

3.4企业主要领导人员是内控体系监管工作第一负责人，负责组织领导建立健全覆盖各业务领域、部门、岗位，涵盖各级子企业全面有效的内控体系。

3.5公司党委会是公司风险管理工作的政治导向机构，承担落实防范和化解重大风险的政治责任，与董事会形成公司风险管理工作的双引领机构。

3.6公司审计部是公司风险管理日常工作执行的归口管理责任部门，负责建立健全和组织实施公司的全面风险管理体系，编制全面风险管理季度报告和年度报告，建立向党委会、总经理办公会、董事会定期报告重大风险的工作机制，并对公司的全面风险管理体系建设运行进行指导、服务和监督。

3.7公司其他职能部门是风险管理日常工作执行的责任部门，负责直接管理本部门职责范围内的相关风险，协助与配合审计部推进全面风险管理体系实施，并对所属企业相关类型的风险管理工作进行指导、服务和监督。

其中，公司资产财务部负责对债务风险和现金流风险承担管理责任；公司董事会办公室负责对宏观经济风险、政策风险、改革与业务转型风险、金融及金融衍生品业务风险、投资风险、舆情风险承担管理责任；公司办公室负责对国际化经营风险、市场竞争风险、客户信用风险、经营效益风险、采购与供应链管理风险承担管理责任；公司安全环保部负责对安全环保质量风险、工程项目管理风险承担管理责任；公司审计部负责对合规风险承担管理责任；公司研发中心负责对科技创新风险承担管理责任；其他对公司造成重大影响的风险由相应责任范围内的职能部门承担管理责任。

3.8公司所属子企业应将风险管理融入具体的运营和操作流程，重点是防范化解财务风险、市场风险、运营风险、法律风险等经营层面风险。具体职责如下：

3.8.1制定并实施本企业风险管理具体办法。

3.8.2识别本企业内外部风险，评估本企业整体风险状况，积极调整风险管理政策，采取具体有效的防控措施和办法。

3.8.3跟踪监控本企业风险点和风险事项，定期编制风险报告，建立预警和报告机制，及时向上级管理单位报送风险事项报告及风险处置情况。

4.全面风险管理框架

4.1公司对风险进行分类管理，机会风险的管控主要依赖于完善的公司治理和科学的运营管理；纯粹风险的控制主要依赖于健全的内部控制和有效的应急管理。

4.2战略与投资风险控制

战略与投资风险是指资金到资产的决策过程中存在的不确定性，由于决策不可逆的特性，管控方式主要依赖于完善的公司治理、科学的决策机制，审慎经营，合理把握机会风险和风险控制的平衡，做到决策科学化和规范化。

4.3供应链风险控制

供应链风险是指资产到资金的增值过程中的不确定性，其管控方式主要依赖于科学有效的运营管理，及时预警，快速反应，建立供应链风险识别、预警和应对的长效工作机制。

4.4内部纯粹风险控制

内部纯粹风险的控制主要依赖于公司完整有效的内部控制体系，建立内部控制自我评估标准，通过自我评估、审计监督，不断完善制度流程，持续改进。

4.5外部纯粹风险控制

外部纯粹风险的防范主要依赖于公司应急预案管理体系和对突发事件的有效应对，需要定期监控演练，一旦发生风险，快速反应，减少损失，防范风险扩大产生次生风险。

5.风险管理基本流程

5.1依据《中央企业全面风险管理指引》，参考COSO企业风险管理框架，结合公司和所属子企业针对各类风险，由其内部各部门、岗位分别开展相关类型风险的管理，均应执行风险管理的基本流程，主要包括：

5.1.1风险识别：围绕公司经营目标，广泛收集公司外部因风险失控导致损失的案例和内部与风险管理有关的信息，结合各项业务管理及其重要业务流程，识别其中的风险，并就风险类别、产生原因、风险发生后可能给企业带来的影响等方面进行分析和描述。

5.1.2风险评估：对风险发生的可能性和风险发生后对经营目标的影响程度进行评估。根据评估结果，确定重大风险和重要风险，排列管理优先顺序。

5.1.3风险应对：确定重大风险和重要风险的归口管理部门或责任人，根据现有的管理条件和外部环境，制定各项风险管理策略和风险管理解决方案并组织实施。风险管理策略是确定风险偏好、风险承受度、风险控制预警线以及选择风险规避、风险降低、风险分担和风险承受等风险管理工具的总体策略。风险解决方案包括风险解决的具体目标、所需的组织领导、所涉及的管理及业务流程、所需的条件和手段等资源，以及风险事件发生前、中、后所采取的具体应对措施和风险管理工具。

5.1.4风险管理的监督和改进：对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险解决方案的实施情况进行监督，对风险管理的有效性进行检验，提出改进建议，并跟踪整改情况。由各风险归口管理部门对风险管理工作进行自查和检验，及时改进缺陷。

5.2重大、重要风险管理程序

5.2.1风险识别与评估

公司各职能部门和各所属子企业定期开展风险管理的自我评估，及时发现问题，提出风险管理改进计划，并纳入本单位的持续改进工作和重点推进项目。公司审计部组织公司层面的风险问卷调查，结合各部门和各所属子企业的风险管理重点，进行排序，提出公司的重大、重要风险，在此基础上编制全面风险管理年度工作计划，经公司审议批准后下发执行。

5.2.2风险监控与应对

公司各职能部门和各所属子企业按照全面风险管理工作计划的要求开展各项工作，各部门和各所属子企业要针对重大、重要风险设置风险预警标准，监控风险信号的状态，提出风险应对策略，准确把握风险控制与收益、效率之间的平衡关系，优化内部控制措施。当风险信号触及预警线时，由各专业管理部门发出风险提示，督促业务责任单位快速应对。

5.2.3风险状态的跟踪与报告

公司审计部牵头组织相关部门对重大、重要风险的状态进行跟踪评估，编制全面风险管理季度报告，建立公司党委季度研究重大风险的工作机制。

5.3公司其他或有重大风险，如自然灾害、安全事故、群体性事件风险等，另行制定专门制度进行管理。

6.风险管理制度建设

6.1公司和所属子企业的风险管理制度体系建设工作包括进一步规范完善各项业务和管理流程体系、建立健全内部控制制度体系、建立健全风险应急预案体系和加强制度执行监督等四个方面。

6.2公司和所属子企业应对照各项业务和管理工作运行风险管理的基本流程，查找相关风险，并进一步规范相关的业务和管理流程，最终实现对各项业务和管理流程体系的完善。

6.3公司应建立健全原则统一的内部控制制度体系，即针对各项业务和管理流程的关键环节，建立统一适用的内部控制制度规范（以下简称内控制度规范）并推行落实，以达到事前、事中控制风险的目的。各项内控制度规范应满足合法、合规的要求，并坚持风险控制与运行效率及效果相平衡的原则。各项内控制度规范中至少应包括以下内容：

6.3.1明确流程中关键环节：应明确业务和管理流程的各个关键环节，以便于制定统一的控制措施。

6.3.2建立岗位制约与监督机制：应对各个关键环节的岗位进行合理的职责设置，明确规定不相容职责的分离，并明确关联职责之间的制约和监督机制。

6.3.3采取控制措施：应根据风险管理策略，重点明确各岗位人员在相关关键环节应采取的具体控制措施。

6.3.4统一控制指标标准：应根据风险偏好和风险承受限度，明确公司在相关关键环节统一采取的控制指标。

6.4公司应建立健全风险应急预案体系，即针对可能发生的各类风险事项，分别制定风险应急预案并推行落实，以确保合理有序地应对突发事件风险。各项应急预案应满足合法、合规的要求，并坚持快速反应、协同应对的原则。各项应急预案至少应包括以下内容：

6.4.1应急组织体系：应明确参与风险事项应急处理工作的部门、人员及其职责。

6.4.2应急运行机制：应明确风险事项的应急响应、应急处置、恢复重建、调查评估、信息发布等环节的具体运行机制。

6.4.3应急保障机制：应明确各有关部门在人力、财力、物力及交通运输、医疗卫生、通信等应急保障工作方面的职责和具体保障机制。

6.4.4其他管理机制：应明确有关预案演练、宣传培训、责任与奖惩、预案改进等方面的管理机制。

6.5公司所属子企业应按照公司风险应急预案执行，并应结合自身实际情况，针对本企业其他风险建立相应的应急预案，并报送公司该类风险对口管理的职能部门和审计部备案。

6.6公司和所属子企业应加强对业务和管理流程体系、内部控制制度体系、风险应急预案体系的运行的监督与管理，定期对各项制度执行的有效性进行检查和评价，及时发现存在的缺陷并加以改进。

7.风险管理信息化建设

7.1公司应建设风险管理信息系统，进一步提高风险管理工作效率。风险管理信息系统应包括风险事项库、风险管理文件库、风险自动预警、关键环节控制等功能。

7.2公司应建设风险事项库，收集公司内部、国内外子企业发生的风险事项案例的情况，进行分类整理并分析原因，以便于相关企业、部门吸取经验与教训，对照查找自身缺陷并加以改进。

7.3公司应建设风险管理文件库，收集公司各职能部门及所属子企业有关风险管理的制度、流程、表格等文件，并逐步进行规范与统一。

7.4公司和所属子企业应结合内部控制指标，进一步细化设置相关的预警指标，与自身财务、业务等信息管理系统相结合，实现相关数据的自动分析和风险自动预警功能。

7.5公司和所属子企业应结合自身业务和管理流程的关键环节以及内部控制的要求，在财务、业务等信息管理系统中设置控制点，实现信息管理系统对风险的自动控制功能。

7.6公司和所属子企业应确保风险管理信息系统的稳定运行和信息数据的真实安全，并根据实际需要不断改进完善。

8.风险管理沟通

8.1公司应在本级与所属子企业之间建立通畅的沟通渠道，以便于协调一致，及时合理的应对各类风险，不断提高风险管理工作水平。风险管理沟通的方式主要包括风险提示、风险报告、风险监控、风险管理工作报告等。

8.2公司应建立风险提示机制，即公司本级与所属子企业应根据内外部情况的变化，经过合理预测、判断以及识别可能发生风险时，对风险相关方进行提示，以便其及时采取应对措施。

8.3公司应建立风险报告机制，即公司本级与所属子企业应就已发生风险事项的情况、处理过程及结果等，及时、详细地向上级企业、主管部门、主管高管进行报告。发生重大经营风险事件或内控缺陷，所属子企业应在风险事件发生24小时内将相关情况书面报告公司审计部，对于特别紧急的重大经营风险事件，应第一时间以电话等即时通讯方式报告公司审计部。

8.4公司应建立风险监控机制，即公司本级与所属子企业应根据相关内控制度中明确的主要控制指标，结合内外部情况的变化，对相关风险和已发生的风险事项进行动态监控。

8.5公司应建立风险管理工作报告机制，即公司本级与所属子企业应结合本企业风险管理工作开展情况和风险管理工作检查结果，及时进行分析总结，形成规范的风险管理工作报告。

8.6公司与所属子企业在进行风险管理沟通时，应明确沟通流程和范围，并做好相关保密工作。

9.风险管理文化建设

9.1公司应在企业文化中注重建设风险管理文化，促进企业风险管理水平、员工风险管理素质的提升，保证风险管理目标的实现。

9.2公司和所属子企业应通过专业培训、参观考察、案例学习等方式，培养风险管理工作人才，提高风险管理岗位人员的工作能力和水平。

9.3公司和所属子企业应大力加强风险管理理念、知识、流程、案例等内容的宣传，提高全员风险管理素质并转化为员工的自觉行动。

9.4公司和所属子企业全体员工应通过多种形式，努力传播风险管理文化，严格控制风险、有效把握机遇、各级岗位的风险管理责任同样重大等风险意识。

第二部分  内部控制管理

1.内部控制管理概述

1.1本制度所称内部控制是由公司董事会、监事会、经营管理层和全体员工实施的、旨在合理保证实现控制目标的过程。

1.2内部控制体系建设的总体目标是：建立健全以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系，实现“强内控、防风险、促合规”的管控目标。

内部控制基本目标：

1.2.1经营管理合法合规。

1.2.2资产安全。

1.2.3财务报告及相关信息真实完整。

1.2.4提高经营效率和效果。

1.2.5促进公司实现发展目标。

1.3内控体系建设遵循以下原则：

1.3.1合法性原则：遵守国家法律法规和相关政策，符合公司制度管理的基本要求。

1.3.2全面性原则：内部控制体系建设贯穿决策、执行和监督的全过程，并覆盖各项业务单元和管理单元。

1.3.3重要性原则：在全面控制的基础上，关注重要业务事项和高风险领域。

1.3.4制衡性原则：内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。履行内部控制监督检查职责的部门应当具有良好的独立性。

1.3.5有效性原则：内部控制应当与经营规模、业务范围、竞争状况和风险水平等相适应，在体系设计过程中要考虑实施的可行性，并随着情况的变化及时加以调整。

2.内控体系管理框架

2.1公司内控体系建设包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素。

2.2内部环境

2.2.1公司应当根据国家有关法律法规和公司章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

2.2.2公司应当结合业务特点和内部控制要求设置内部机构，明确董事会、监事会、各部门和分支机构的职能；细化制定管理人员和业务操作人员的职责权限，将权利与责任落实到具体岗位。

2.2.3公司应当通过编制内部控制手册、内部控制自我评估标准、风险管理及内部控制案例等内部控制文档，将公司规章制度与内部控制的外部监管要求对接，帮助公司员工了解和掌握公司制度、岗位职责、关键控制点，促进公司各层级员工明确职责分工和工作流程，正确行使职权。其中，内部控制手册、内部控制自我评估标准既作为各单位建设内控体系能力的抓手和管控要求，也可作为各单位进行内控自我评估、内部审计复核、会计师事务所外部鉴证的重要参考依据。

2.2.4公司应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。

2.2.5公司应当制定和实施有利于公司可持续发展的人力资源政策。人力资源政策应当包括：

2.2.5.1员工的聘用、培训、辞退与辞职。

2.2.5.2员工的薪酬、考核、晋升与奖惩；关键岗位员工的强制休假制度和定期岗位轮换制度。

2.2.5.3掌握国家秘密或重要商业秘密的员工离岗的限制性规定。

2.2.5.4有关人力资源管理的其他政策。

2.2.6公司应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。

2.2.7公司应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。

2.2.8公司应当加强法治教育，增强董事、监事、高级管理人员和员工的法治观念，严格依法决策、依法办事、依法监督，建立健全总法律顾问制度和重大法律纠纷案件备案制度。

2.3风险评估

风险评估是及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略的过程。

2.3.1内部风险识别应当关注下列因素：

2.3.1.1董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。

2.3.1.2组织机构、经营方式、资产管理、业务流程等管理因素。

2.3.1.3研究开发、技术投入、信息技术运用等自主创新因素。

2.3.1.4财务状况、经营成果、现金流量等财务因素。

2.3.1.5营运安全、员工健康、环境保护等安全环保因素。

2.3.1.6其他有关内部风险因素。

2.3.2外部风险识别应当关注下列因素：

2.3.2.1经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。

2.3.2.2法律法规、监管要求等法律因素。

2.3.2.3安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。

2.3.2.4技术进步、工艺改进等科学技术因素。

2.3.2.5自然灾害、环境状况等自然环境因素。

2.3.2.6其他有关外部风险因素。

2.3.3风险分析

公司应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度，对识别的风险进行分析和排序，确定关注重点和优先控制的重大和重要风险。公司应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。公司应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给公司经营带来重大损失。

2.3.4风险应对

公司应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。

2.3.4.1风险规避是公司对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。

2.3.4.2风险降低是公司在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。

2.3.4.3风险分担是公司准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。

2.3.4.4风险承受是公司对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。

2.3.4.5公司应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

2.4控制活动

公司应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

2.4.1不相容职务分离控制，要求公司全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。不相容职务通常包括：授权批准、业务经办、记录、财产保管、稽核检查等。

2.4.2授权审批控制，要求公司根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。

2.4.3公司应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权，是指公司在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权，是指公司在特殊情况、特定条件下进行的授权。

2.4.4公司各级管理人员应当在授权范围内行使职权和承担责任。

2.4.5公司对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。

2.4.6会计系统控制要求公司严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计信息真实完整。

2.4.7财产保护控制要求公司建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。公司应当严格限制未经授权的人员接触和处置财产。

2.4.8预算控制要求公司实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

2.4.9运营分析控制要求公司建立运营情况分析制度，经理层应当综合运用生产、购销、投资、融资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

2.4.10绩效考评控制要求公司建立和实施绩效考评制度，科学设置考核指标体系，对公司内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

2.4.11公司应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。

2.4.12公司应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

2.5信息与沟通

信息与沟通是及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。信息与沟通的主要工作包括信息系统的建立和完善、建立良好的信息沟通渠道、完善风险提示和报告制度等。

2.5.1信息系统的建立和完善：建立统一、完整、有效的应用系统及数据中心，为公司实现网络化经营提供统一平台，确保经营数据的真实性、完整性和及时性。

2.5.2建立良好的信息沟通渠道：建立健全信息沟通渠道及沟通方式，完善与信息沟通相关的管理规范，包括：信息沟通的种类、信息沟通的路径、程序、方式、载体和内容、相关部门的职责等。

2.5.3完善风险提示和报告制度：制定并完善风险事项提示和报告的管理制度，包括重大风险事项判定标准、风险提示和报告程序及规范风险事项的收集、汇总和披露程序等。

2.6内部监督

内部监督是企业对内部控制的建立与实施情况进行持续的监督检查，评价内部控制的有效性，发现内部控制缺陷并加以改进的过程。内部监督的主要工作包括持续监督、独立评价和缺陷报告等。

2.6.1持续监督：建立完善的内部控制监督检查体系，持续监控内部控制的有效性。内部监督分为日常监督和专项监督。日常监督，是指公司对建立与实施内部控制的情况进行常规、持续的监督检查。专项监督，是指在公司发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。

2.6.2独立评价：完善内部控制评价制度，定期评价内部控制的有效性。

2.6.3内部控制缺陷，是指公司管理层或员工在正常履行经营管理职责的过程中，按照现存内部控制的设计或运行，仍不能及时防止或发现舞弊和错报的事实。内部控制缺陷按其影响程度从大到小可分为重大缺陷、重要缺陷和一般缺陷。对监督检查中发现的重大缺陷应及时向管理层及董事会汇报，重要缺陷应至少向管理层汇报。分类原则如下：

2.6.3.1重大缺陷，是指一个或多个控制缺陷的组合，可能导致公司严重偏离控制目标。

2.6.3.2重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致公司偏离控制目标。

2.6.3.3一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。公司应当分析内部控制缺陷产生的原因，有针对性地提出和实施整改方案，并对整改结果进行核查和确认，不断健全和完善公司内部控制。

2.6.3.4缺陷报告：建立健全缺陷报告管理制度，制定缺陷认定的标准和规范，明确内控缺陷报告的程序等。

2.7公司内控体系由内部环境子体系、风险评估子体系、控制活动子体系、信息与沟通子体系和内部监督子体系组成。各子体系包括体系建设的内容、内控关注的要点、采取的措施、体系执行的文件及规范、涉及的相关制度索引等。

2.8公司所属子企业的内控体系是公司内控体系的组成部分。各所属子企业须根据自身的管理结构、业务内容、经营规模等采用适合的方式来健全完善和贯彻实施内控体系。原则上各所属子企业的内控体系应涉及内控五要素的主要方面，并应至少包括流程梳理和描述、相关制度和规范、岗位职责和任务等基本内容。

2.9在对企业内部控制有效性进行评价，或对内控执行情况进行审计时，应按照内控五要素的内容开展相关工作。

3.内部控制管理职责分工

3.1健全的组织职能体系是建设内部控制管理体系的基本保障。董事会是公司内控管理工作的决策机构，负责决策或授权批准公司内部控制体系方面的重大事项。

3.2审计委员会为董事会职权范围内的决策事项提供咨询意见和建议，指导企业内部控制体系建设。

3.3管理层负责内部控制的日常运行，有效实施内部控制。

3.4审计部是公司内部控制工作牵头及归口管理部门，负责组织协调内控体系建设和具体实施工作。主要职责：

3.4.1组织公司各单位建立和实施内部控制，推进内部控制体系能力建设。

3.4.2组织编制并修订公司总部内部控制手册，指导监督所属子企业内部控制手册的管理。

3.4.3组织建立公司层面和各专业领域风险控制管理办法及相应的内部控制自我评估标准。

3.4.4组织公司内控评价的年度自评工作，加强对重点子企业和关键业务流程内部控制有效性的评价。

3.4.5对内控整改问题进行后续监督评审。

3.4.6组织推进风险、内控、合规三个专业体系融合共建，以评促建提升各单位内部控制管理体系水平。

3.4.7组织内部控制及风险管理相关培训。

3.5公司各职能部门及各所属子企业是内部控制的具体实施单位，主要负责：

3.5.1建立和实施本单位（部门）的内部控制，并确保其有效运行，持续改善。

3.5.2各所属子企业开展内部控制自我评价工作，编制评价报告，并报公司。

3.5.3接受公司内部控制评审，按照外部监管要求接受第三方外部审计机构独立审计。

3.5.4对发现的内部控制缺陷，制定整改措施、推进计划并组织落实和持续跟踪。

3.5.5按照业务变化和公司实际情况编制更新内控手册和制度规范。

3.6公司所属子企业应根据自身产业特点、关键业务、管控模式，健全符合内部管理实际、规章制度要求的内控管理体系，设定专职归口部门（岗位），作为本单位内控体系建设工作的牵头部门。

4.内控制度的制定

4.1制度流程体系是企业实施内部控制和风险管理的依据和基础，相关组织机构和岗位、管理权限和职责、流程控制和安排等必须通过相关制度予以明确。

4.2本办法所称内控制度是指公司及所属子企业按照内控规范及管理要求制定的具有约束力的规范性条款和文件。制度的立项、起草、征求意见、合规性审核、决策审批以及下发，应符合公司有关管理文件控制程序的相关规定。

4.3内控制度立项通过以下途径：

4.3.1审计部根据内控体系建设及管理的需要，结合经营实际中发生的风险事项及相关纠纷和诉讼，向有关单位提出制度完善和优化的要求。

4.3.2各职能部门应以《企业内部控制基本规范》为内部控制建设与实施遵循的基本原则和总体要求，以配套指引为指导和示范，按照本部门内部控制和风险管理工作的主要职责建立健全和完善本部门职责范围内的内控制度。

4.3.3公司所属子企业应按照公司内控体系框架建立完善本单位的内控体系，内控制度内容应符合公司内控制度的总体要求。

4.3.4审计部根据内控评价和审计结果，对发现的内控缺陷向有关单位提出制度完善和优化的要求。

4.4审计部对有关单位提出制度完善和优化的要求，应当包括：需要实现的控制目标及要求，存在的内控缺陷及问题，可能发生的风险或已经造成的损失，建议完善的内控环节和采取的措施等。制度完善和优化的要求应履行相关程序。

5.内控监督和评价

5.1内部控制重在有效执行，加强内部控制日常监督检查，是确保内部控制有效执行的重要手段。

5.2公司所属子企业每年以规范流程、消除盲区、有效运行为重点，对内控体系的有效性进行全面自评，客观、真实、准确揭示经营管理中存在的内控缺陷、风险和合规问题，形成自评报告，并经董事会或类似决策机构批准后按规定报送审计部。

5.3审计部应加强监督评价，在所属子企业全面自评的基础上，制定年度监督评价方案，围绕重点业务、关键环节和重要岗位，组织对所属子企业内控体系有效性进行监督评价。

5.4公司所属子企业应按照内控评价和内控监督评价结果对发现的内控缺陷及时进行整改，制定解决方案和措施，限期完成整改任务，整改结果应在30日内以书面报告形式交审计部备案。

5.5公司所属子企业应建立健全与内控体系监督评价结果挂钩的考核机制，对内控制度不健全、内控体系执行不力、瞒报漏报谎报自评结果、整改落实不到位的单位或个人，应给予薪酬扣减或岗位调整等处理。

附 则

本制度由公司董事会负责解释，自董事会审议通过之日起生效。

●●●●●