XX 股份公司
风险管理体系实施纲要
第一章 总 则
第一条 为了引导和推动公司建立风险管理(内部控制)机制,提高企业内部控制与经营管理水平,促进企业健康可持续发展,依据《中华人民共和国会计法》、《中华人民共和国公司法》以及其他有关法律、法规的规定,制定本纲要。
第二条 纲要规定了公司风险管理(内部控制)的基本目标、基本要素、基本原则和总体要求。
第三条 基本目标:本纲要所称风险管理(内部控制),是指由董事会、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动:
(一)企业战略;(二)经营的效率和效果;(三)财务报告及管理信息的真实、可靠和完整;(四)资产的安全完整;(五)遵循国家法律法规和有关监管要求。
第四条 风险管理(内部控制)涵盖企业经营管理的各个层级、各个方面和各项业务环节。包括以下基本要素:
(一)内部环境。内部环境是影响、制约公司风险管理(内部控制)建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
(二)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
(三)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、管理评审、经济活动分析、绩效考评、信息技术控制及各项具体工作流程。
(四)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部有关方面的沟通机制等。
(五)监督检查。监督检查是对风险管理(内部控制)的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检
查主要包括对建立并执行风险管理(内部控制)的整体情况进行持续性监督检查,对风险管理(内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。风险管理(内部控制)评估是内部控制监督检查的一项重要内容。
第五条 基本原则:
(一)合法性原则。风险管理(内部控制)应当符合法律、行政法规的规定和有关监管部门的监管要求。
(二)全面性原则。风险管理(内部控制)在层次上应当涵盖企业董事会、管理层和全体员工,在对象上应当覆盖公司各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免风险管理(内部控制)出现空白和漏洞。
(三)重要性原则。风险管理(内部控制)应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
(四)有效性原则。风险管理(内部控制)应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护风险管理(内部控制)的有效执行。风险管理(内部控制)建立和实施过程中存在的问题应当能够得到及时地纠正和处理。
(五)制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合风险管理(内部控制)的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行风险管理(内部控制)监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于风险管理(内部控制)之上的特殊权力。
(六)适应性原则。风险管理(内部控制)应当合理体现公司经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着公司外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。
(七)成本效益原则。风险管理(内部控制)应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
第六条 根据国家有关法律、行政法规和本纲要,在对现有经营管理制度、措施及其实施情况进行全面分析、总结的基础上,制定适合公司业务特点和管理要求、与经营管理制度和措施有机结合的内部控制制度(流程),并组织实施。
第七条 风险管理(内部控制)组织职责
董事会对公司风险管理(内部控制)承担的责任:要加强对公司风险管理(内部控制)建立和实施情况的指导和监督。
董事长对风险管理(内部控制)控制的建立健全和有效实施负责。
总裁根据法定职权、企业章程和董事会的授权,负责组织领导公司风险管理(内部控制)
的日常运行。
财务总监、分管财务会计工作的负责人在董事长和总裁的领导下,主要负责财务报告的真实可靠、资产的安全完整密切相关的内部控制的建立健全与有效执行。(附件1:xx 公司各部门在风险管理体系中的职责)
第八条 要加强对子公司、分公司、分支机构建立和实施风险管理(内部控制)的指导和监督,并将其作为考核子公司、分公司、分支机构负责人业绩的重要依据。
第九条 建立有效的信息系统
必须创造条件,有效利用计算机信息技术加强公司的内部控制,逐步实现生产管理系统、营销管理系统、预算管理系统、财务会计管理系统等的信息集成和共享,不断提高内部控制的效率与效果。
第二章 内部环境
第一节 治理结构、内部机构设置与权责分配
第十条 健全的治理结构、科学的内部机构设置和权责分配是建立并实施风险管理(内部控制)的基本前提,是影响、制约内部环境的重要因素。
公司应当科学界定决策、管理、执行、监督各层面的地位、职责与任务,形成有效的分工和制衡机制,切实发挥相关机构的职能作用,为风险管理(内部控制)的建立和实施提供强有力的组织结构保障和工作机制保障。
第十一条 公司内部机构的设置应当科学合理,能够适应公司经营管理的实际需要和外部环境的变化,有利于减少管理层级和提高管理效能,避免机构重叠和效率低下,促进风险管理(内部控制)的有效实施。
第十二条 公司应当根据经营目标、职能划分和管理要求,明确高级管理人员、各职能部门和分支机构以及基层作业单位的职责权限,将权利与责任分解到具体岗位,为内部控制的有效实施创造良好条件。
第十三条 公司应当通过内部管理制度汇编、员工手册、组织结构图、业务流程图、岗位描述、权限指引等适当方式,使企业员工了解和掌握内部机构设置及权责分配情况,促进企业各层级员工明确职责分工,正确行使职权,并加强对权责履行的监督。
第二节 企业文化
第十四条 企业文化,是指公司在经营管理过程中形成的、影响公司内部环境和内部控制效力的精神、意识和理念,主要包括公司的整体价值观,高级管理人员的管理理念、经营风格与职业操守,员工的行为守则等。
第十五条 高级管理人员有责任在公司范围内培育健康向上的整体价值观,培养社会感和
遵纪守法意识,倡导爱岗敬业、进取创新、团队协作和遵规守纪精神。
第十六条 高级管理人员应当树立有利于实现公司风险管理(内部控制)目标的管理理念和经营风格,强化风险意识,避免因个人风险偏好可能给企业带来的不利影响和损失。
第十七条 公司应当根据高级管理人员、中层管理人员和一般员工的职责权限,结合不同层级人员对实现企业内部控制目标的影响程度和不同要求,分别制定适合不同层级人员的职业操守准则或者行为守则,并明确相应的监督约束机制。
第十八条 高级管理人员应当恪守以诚实守信为核心的职业操守,不得损害投资者、债权人、客户、员工和社会公众的利益。
第十九条 公司员工应当遵守员工行为守则,加强职业道德修养和业务学习,自觉遵守与公司风险管理(内部控制)有关的各项规定,勤勉尽责。
高级管理人员有责任加强员工职业道德宣传引导、教育培训和监督检查,为建立和实施风险管理(内部控制)营造良好的氛围和环境。
第三节 人力资源政策
第二十条 人力资源政策是影响公司内部环境的关键因素。公司的人力资源政策应当科学、规范、公平、公开、公正,有利于调动员工在风险管理(内部控制)和经营管理活动中的积极性、主动性和创造性。
人力资源政策包括以下内容:(一)员工的聘退与培训;(二)员工的薪酬、考核、晋升与奖惩;(三)财会等关键岗位员工的轮岗制衡要求;(四)对掌握重要商业秘密或核心技术等关键岗位员工离岗的限制性规定。
第二十一条 公司应当将职业道德素养和专业胜任能力作为选拔和聘用员工的重要标准,并适当关注应聘者的价值取向和行为特征是否与本公司的企业文化和内部控制的有关要求相适应。
第二十二条 公司应当重视并加强员工培训,制定科学、合理的培训计划,提高培训的针对性和实效性,不断提升员工的道德素养和业务素质。
第二十三条 公司应当建立和完善针对各层级员工的激励约束机制,通过制定合理的目标、建立明确的标准、执行严格的考核和落实配套的奖惩,促进员工责、权、利的有机统一和公司内部控制的有效执行。
第四节 内部审计机制
第二十四条 健全内部审计机构、加强内部审计监督是营造守法、公平、正直的内部环境的重要保证。公司应当加强内部审计工作,在公司内部形成有权必有责、用权受监督的良好氛围。
第二十五条 设立受董事长直接领导的审计委员会,审计委员会主任或审计机构主管在公司应有独立和权威的地位。审计委员会成员应具备良好的职业操守和专业胜任能力,并具有相应的独立性和权威性。
第二十六条 公司应当赋予审计委员会监督公司在风险管理(内部控制)建立和实施情况的相应职权。审计委员会在公司风险管理(内部控制)建立和实施中承担的职责:
(一)审核公司风险管理(内部控制)及其实施情况,并向董事长作出报告;(二)指导公司内部审计机构的工作,监督检查公司的内部审计制度及其实施情况;(三)处理有关投诉与举报,督促公司建立畅通的投诉与举报途径;(四)审核公司的财务报告及有关信息披露内容;(五)负责内部审计与外部审计之间的沟通协调。
第二十七条 内部审计机构不得置于财会机构的领导之下或者与财会机构合署办公。
内部审计机构依照法律规定和公司授权开展审计监督,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,必须真实地向审计委员会和董事长报告。
第五节 反舞弊机制
第二十八条 有效的反舞弊机制,是公司防范、发现和处理舞弊行为、优化内部环境的重要制度安排。公司应当建立健全反舞弊机制,明确有关部门在反舞弊工作中的职责权限和协调机制,规范反舞弊调查处理程序,建立情况通报制度,及时防范因舞弊而导致风险管理(内部控制)措施失效、影响风险管理(内部控制)目标实现的风险。
第二十九条 公司应当结合自身的经营范围、业务流程和其他情况,明确反舞弊的重点领域、关键环节和主要内容。
公司反舞弊工作的内容:(一)财务报告弄虚作假;(二)未经授权、滥用职权或者采取其他不法方式侵占、挪用公司资产;(三)在开展业务活动中非法使用公司资产牟取不当利益;
(四)公司高级管理人员舞弊给公司风险管理(内部控制)和经营管理可能造成的重大影响;
(五)员工单独或者串通舞弊给公司造成损失。
第三十条 公司应当完善投诉、举报管理制度,必要时可考虑设置舞弊举报热线,明确投诉、举报处理程序、办理时限和办结要求,确保投诉、举报成为公司反舞弊和加强风险管理(内部控制)的重要途径。
第三章 风险评估
第三十一条 公司在经营过程中,内部环境、业务层面和工作环节,可能面临不同的风险,公司应当按照立足实际、突出重点、适应变化的原则,有针对性地开展风险评估。
风险,是指对实现内部控制目标可能产生负面影响的不确定性因素。
XX 股份公司
风险管理体系实施纲要
第一章 总 则
第一条 为了引导和推动公司建立风险管理(内部控制)机制,提高企业内部控制与经营管理水平,促进企业健康可持续发展,依据《中华人民共和国会计法》、《中华人民共和国公司法》以及其他有关法律、法规的规定,制定本纲要。
第二条 纲要规定了公司风险管理(内部控制)的基本目标、基本要素、基本原则和总体要求。
第三条 基本目标:本纲要所称风险管理(内部控制),是指由董事会、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动:
(一)企业战略;(二)经营的效率和效果;(三)财务报告及管理信息的真实、可靠和完整;(四)资产的安全完整;(五)遵循国家法律法规和有关监管要求。
第四条 风险管理(内部控制)涵盖企业经营管理的各个层级、各个方面和各项业务环节。包括以下基本要素:
(一)内部环境。内部环境是影响、制约公司风险管理(内部控制)建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
(二)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
(三)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、管理评审、经济活动分析、绩效考评、信息技术控制及各项具体工作流程。
(四)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部有关方面的沟通机制等。
(五)监督检查。监督检查是对风险管理(内部控制)的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检
查主要包括对建立并执行风险管理(内部控制)的整体情况进行持续性监督检查,对风险管理(内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。风险管理(内部控制)评估是内部控制监督检查的一项重要内容。
第五条 基本原则:
(一)合法性原则。风险管理(内部控制)应当符合法律、行政法规的规定和有关监管部门的监管要求。
(二)全面性原则。风险管理(内部控制)在层次上应当涵盖企业董事会、管理层和全体员工,在对象上应当覆盖公司各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免风险管理(内部控制)出现空白和漏洞。
(三)重要性原则。风险管理(内部控制)应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
(四)有效性原则。风险管理(内部控制)应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护风险管理(内部控制)的有效执行。风险管理(内部控制)建立和实施过程中存在的问题应当能够得到及时地纠正和处理。
(五)制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合风险管理(内部控制)的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行风险管理(内部控制)监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于风险管理(内部控制)之上的特殊权力。
(六)适应性原则。风险管理(内部控制)应当合理体现公司经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着公司外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。
(七)成本效益原则。风险管理(内部控制)应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
第六条 根据国家有关法律、行政法规和本纲要,在对现有经营管理制度、措施及其实施情况进行全面分析、总结的基础上,制定适合公司业务特点和管理要求、与经营管理制度和措施有机结合的内部控制制度(流程),并组织实施。
第七条 风险管理(内部控制)组织职责
董事会对公司风险管理(内部控制)承担的责任:要加强对公司风险管理(内部控制)建立和实施情况的指导和监督。
董事长对风险管理(内部控制)控制的建立健全和有效实施负责。
总裁根据法定职权、企业章程和董事会的授权,负责组织领导公司风险管理(内部控制)
的日常运行。
财务总监、分管财务会计工作的负责人在董事长和总裁的领导下,主要负责财务报告的真实可靠、资产的安全完整密切相关的内部控制的建立健全与有效执行。(附件1:xx 公司各部门在风险管理体系中的职责)
第八条 要加强对子公司、分公司、分支机构建立和实施风险管理(内部控制)的指导和监督,并将其作为考核子公司、分公司、分支机构负责人业绩的重要依据。
第九条 建立有效的信息系统
必须创造条件,有效利用计算机信息技术加强公司的内部控制,逐步实现生产管理系统、营销管理系统、预算管理系统、财务会计管理系统等的信息集成和共享,不断提高内部控制的效率与效果。
第二章 内部环境
第一节 治理结构、内部机构设置与权责分配
第十条 健全的治理结构、科学的内部机构设置和权责分配是建立并实施风险管理(内部控制)的基本前提,是影响、制约内部环境的重要因素。
公司应当科学界定决策、管理、执行、监督各层面的地位、职责与任务,形成有效的分工和制衡机制,切实发挥相关机构的职能作用,为风险管理(内部控制)的建立和实施提供强有力的组织结构保障和工作机制保障。
第十一条 公司内部机构的设置应当科学合理,能够适应公司经营管理的实际需要和外部环境的变化,有利于减少管理层级和提高管理效能,避免机构重叠和效率低下,促进风险管理(内部控制)的有效实施。
第十二条 公司应当根据经营目标、职能划分和管理要求,明确高级管理人员、各职能部门和分支机构以及基层作业单位的职责权限,将权利与责任分解到具体岗位,为内部控制的有效实施创造良好条件。
第十三条 公司应当通过内部管理制度汇编、员工手册、组织结构图、业务流程图、岗位描述、权限指引等适当方式,使企业员工了解和掌握内部机构设置及权责分配情况,促进企业各层级员工明确职责分工,正确行使职权,并加强对权责履行的监督。
第二节 企业文化
第十四条 企业文化,是指公司在经营管理过程中形成的、影响公司内部环境和内部控制效力的精神、意识和理念,主要包括公司的整体价值观,高级管理人员的管理理念、经营风格与职业操守,员工的行为守则等。
第十五条 高级管理人员有责任在公司范围内培育健康向上的整体价值观,培养社会感和
遵纪守法意识,倡导爱岗敬业、进取创新、团队协作和遵规守纪精神。
第十六条 高级管理人员应当树立有利于实现公司风险管理(内部控制)目标的管理理念和经营风格,强化风险意识,避免因个人风险偏好可能给企业带来的不利影响和损失。
第十七条 公司应当根据高级管理人员、中层管理人员和一般员工的职责权限,结合不同层级人员对实现企业内部控制目标的影响程度和不同要求,分别制定适合不同层级人员的职业操守准则或者行为守则,并明确相应的监督约束机制。
第十八条 高级管理人员应当恪守以诚实守信为核心的职业操守,不得损害投资者、债权人、客户、员工和社会公众的利益。
第十九条 公司员工应当遵守员工行为守则,加强职业道德修养和业务学习,自觉遵守与公司风险管理(内部控制)有关的各项规定,勤勉尽责。
高级管理人员有责任加强员工职业道德宣传引导、教育培训和监督检查,为建立和实施风险管理(内部控制)营造良好的氛围和环境。
第三节 人力资源政策
第二十条 人力资源政策是影响公司内部环境的关键因素。公司的人力资源政策应当科学、规范、公平、公开、公正,有利于调动员工在风险管理(内部控制)和经营管理活动中的积极性、主动性和创造性。
人力资源政策包括以下内容:(一)员工的聘退与培训;(二)员工的薪酬、考核、晋升与奖惩;(三)财会等关键岗位员工的轮岗制衡要求;(四)对掌握重要商业秘密或核心技术等关键岗位员工离岗的限制性规定。
第二十一条 公司应当将职业道德素养和专业胜任能力作为选拔和聘用员工的重要标准,并适当关注应聘者的价值取向和行为特征是否与本公司的企业文化和内部控制的有关要求相适应。
第二十二条 公司应当重视并加强员工培训,制定科学、合理的培训计划,提高培训的针对性和实效性,不断提升员工的道德素养和业务素质。
第二十三条 公司应当建立和完善针对各层级员工的激励约束机制,通过制定合理的目标、建立明确的标准、执行严格的考核和落实配套的奖惩,促进员工责、权、利的有机统一和公司内部控制的有效执行。
第四节 内部审计机制
第二十四条 健全内部审计机构、加强内部审计监督是营造守法、公平、正直的内部环境的重要保证。公司应当加强内部审计工作,在公司内部形成有权必有责、用权受监督的良好氛围。
第二十五条 设立受董事长直接领导的审计委员会,审计委员会主任或审计机构主管在公司应有独立和权威的地位。审计委员会成员应具备良好的职业操守和专业胜任能力,并具有相应的独立性和权威性。
第二十六条 公司应当赋予审计委员会监督公司在风险管理(内部控制)建立和实施情况的相应职权。审计委员会在公司风险管理(内部控制)建立和实施中承担的职责:
(一)审核公司风险管理(内部控制)及其实施情况,并向董事长作出报告;(二)指导公司内部审计机构的工作,监督检查公司的内部审计制度及其实施情况;(三)处理有关投诉与举报,督促公司建立畅通的投诉与举报途径;(四)审核公司的财务报告及有关信息披露内容;(五)负责内部审计与外部审计之间的沟通协调。
第二十七条 内部审计机构不得置于财会机构的领导之下或者与财会机构合署办公。
内部审计机构依照法律规定和公司授权开展审计监督,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,必须真实地向审计委员会和董事长报告。
第五节 反舞弊机制
第二十八条 有效的反舞弊机制,是公司防范、发现和处理舞弊行为、优化内部环境的重要制度安排。公司应当建立健全反舞弊机制,明确有关部门在反舞弊工作中的职责权限和协调机制,规范反舞弊调查处理程序,建立情况通报制度,及时防范因舞弊而导致风险管理(内部控制)措施失效、影响风险管理(内部控制)目标实现的风险。
第二十九条 公司应当结合自身的经营范围、业务流程和其他情况,明确反舞弊的重点领域、关键环节和主要内容。
公司反舞弊工作的内容:(一)财务报告弄虚作假;(二)未经授权、滥用职权或者采取其他不法方式侵占、挪用公司资产;(三)在开展业务活动中非法使用公司资产牟取不当利益;
(四)公司高级管理人员舞弊给公司风险管理(内部控制)和经营管理可能造成的重大影响;
(五)员工单独或者串通舞弊给公司造成损失。
第三十条 公司应当完善投诉、举报管理制度,必要时可考虑设置舞弊举报热线,明确投诉、举报处理程序、办理时限和办结要求,确保投诉、举报成为公司反舞弊和加强风险管理(内部控制)的重要途径。
第三章 风险评估
第三十一条 公司在经营过程中,内部环境、业务层面和工作环节,可能面临不同的风险,公司应当按照立足实际、突出重点、适应变化的原则,有针对性地开展风险评估。
风险,是指对实现内部控制目标可能产生负面影响的不确定性因素。