本《内控管理制度》系根据《企业内部控制基本规范》、《上海证券交易所上市公司内部控制指引》制定的上市公司《内部管理制度》,对非上市股份公司、有限责任公司可参照适用。
XX股份有限公司
内控管理制度
目录
一、 范围
二、 规范性引用文件
三、 术语和定义
四、 职责
五、 内部控制的目的
六、 内部控制制度应遵循的原则
七、 公司内部控制的基本要素
八、 管理内容和程序
1. 内部控制
2. 专项风险的内部控制
1) 对控股子公司的风险控制
2) 对关联交易的内部控制
3) 对子公司担保的内部控制
4) 募集资金使用的内部控制
5) 重大投资的内部控制
6) 信息披露的内部控制
3. 信息与沟通
4. 内部控制的检查监督和披露
九、 附则
一、范围
公司内部控制活动涵盖公司所有的营运环节,包括治理结构、发展战略、组织架构与权责分配、内部审计、人力资源政策与措施、诚信与道德价值观、管理理念与企业文化、社会责任、反舞弊机制、系统信息管理等。
公司内控制度除涵盖对经营活动各环节的控制外,还包括贯穿于经营活动各环节之中的各项管理制度,包括但不限于:印章管理、全面预算管理、投资管理、质量管理制度、担保管理、职务授权及代理制度、重大信息内部报告制度制度、信息披露管理制度及对附属公司的管理制度等。
本标准适用于公司所有部门和所属单位。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
《公司法》
《证券法》
《上海证券交易所股票上市规则》
《上海证券交易所上市公司内部控制指引》
《企业内部控制基本规范》
内部控制指由公司董事会、监事会、管理层以及全体员工共同实施的、旨在合理保证实现公司基本目标的一系列控制过程。
1.董事会负责内部控制的建立健全和有效实施,下设审计委员会是公司内部控制日常工作的决策机构。
2.监事会对董事会建立与实施内部控制情况进行监督,公司审计与风险部行使监督职能,负责对体系运行状况实施监督。
3.管理层负责公司内部控制的运行,公司企业管理部是公司内部控制体系日常管理部门的工作机构。
1.确保公司发展战略目标和经营计划的有效实现。
2.合理保证公司经营管理服从政策、程序、规则和法律法规。
3.经济且有效地利用公司资源,提高经营效率和效果。
4.保证公司财务报告及相关信息真实完整。
5.有效保护公司资源,保障公司的资产安全。
1.全面性原则。内部控制应贯穿决策、执行和监督全过程,覆盖公司及其所属单位的各种业务和事项。
2.重要性原则。内部控制应在全面控制的基础上,关注重要业务事项和高风险领域。
3.制衡性原则。内部控制应在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
4.适应性原则。内部控制应与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
5.成本效益原则。内部控制应权衡实施成本与预期效益,以适当的成本实现有效控制。
1.内部环境。内部环境是实施内部控制的基础。内部环境主要包括治理结构、机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等内容。
2.风险评估。风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险,并合理确定风险应对策略。
3.控制活动。控制活动是公司根据风险评估结果,采取相应的控制措施, 将风险控制在可承受的范围内。
4.信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。
5.内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查, 评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
1) 公司应完善其治理结构,确保股东大会、董事会和监事会等机构的合法运作和科学决策;公司应建立起有效的激励约束机制,树立风险防范意识,培育良好的企业精神和企业文化,调动广大员工的积极性,创造全体员工充分了解并履行职责的环境。
2) 公司应明确界定各部门、岗位的目标、职责和权限,建立相应的授权、检查和逐级问责制度,确保其在职权和授权范围内履行职能;公司应完善设立控制架构,并制定各层级之间的控制程序,保证董事会及高级管理人员下达的指令能够被认真执行。
3) 公司的内部控制活动应涵盖公司所有营运环节,包括但不限于:销售及收款、采购和费用及付款、固定资产管理、资金管理(包括投资融资管理、担保管理)、财务报告、关联交易环节、成本和费用控制、信息披露、人力资源管理和信息系统管理等。
4) 公司应建立和完善印章使用管理、票据领用管理、预算管理、资产管理、担保管理、资金借贷管理、职务授权及代理人制度、信息披露管理、信息系统安全管理、职务授权及代理制度、定期沟通制度等专门管理制度。
5) 公司应重点加强对控股子公司的管理控制,加强对关联交易、对外担保、募集资金使用、重大投资、信息披露等活动的控制,并建立相应控制政策和程序。
6) 公司应建立起完整的风险评估制度,对经营风险、财务风险、市场风险、政策法规风险和道德风险等进行持续监控,及时发现、评估公司面临的各类风险,并采取必要的控制措施。
7) 公司应完善制定公司内部信息和外部信息的管理政策,确保信息能够准确传递,确保董事会、监事会、高级管理人员及内部审计部门及时了解公司及其控股子公司的经营和风险状况,确保各类风险隐患和内部控制缺陷到妥善处理。
8)公司应完善建立相关部门之间、岗位之间的制衡和监督机制,并由公司审计部负责监督检查。
为了加强和规范所属公司的内部控制体系建设工作,确保内部控制管理体系健康稳定、持续高效运行,促进发展战略和可持续发展目标的实现,切实提高公司经营管理水平和风险防范能力,根据有关法律法规和保变电气的规定和要求,编制《所属公司内部控制体系建设指导方案》。
① 公司的关联交易应遵循诚实信用、平等、自愿、公平、公开、公允的原则,不得损害公司和其他股东的利益。
② 公司应制定关联交易制度,明确公司股东大会、董事会、管理层对关联交易事项的审批权限,规定关联交易事项的审批程序和回避表决要求。
① 公司对子公司担保应遵循合法、审慎、互利、安全的原则,严格控制担保风险。
② 公司应根据《证券法》、《公司法》等有关法律、法规以及《上海证券交易所股票上市规则》的有关规定,在《公司章程》中明确规定股东大会、董事会关于对子公司担保事项的审批权限。公司应制定对子公司担保制度,并应执行《上市规则》关于对外担保的相关规定。
① 公司募集资金的使用应遵循规范、安全、高效、透明的原则遵守承诺,注重使用效益。
② 公司应根据有关法律、法规制定募集资金管理制度,对募集资金存储、审批、使用、变更、监督和责任追究等内容进行明确规定。
③ 公司对募集资金的使用应严格按照公司募集资金管理制度的规定履行审批程序和管理流程。
① 公司重大投资的内部控制应遵循合法、审慎、安全、有效的原则, 控制投资风险、注重投资效益。
② 公司应根据《证券法》、《公司法》等有关法律、法规以及《上海证券交易 所股票上市规则》的有关规定,在《公司章程》中明确规定股东大会、董事会对重大投资的审批权限以及相应的审议程序。
③ 公司应指定部门负责对公司重大投资项目的可行性、投资风险、投资回报等事宜进行专门研究和评估,监督重大投资项目的执行进展,如发现投资项目出现异常情况,应及时向公司董事会报告,公司应制定投资类的管理制度,并执行《上市规则》对投资的相关规定。
① 公司应根据有关法律、法规制定信息披露管理制度,明确规定重大信息的范围和内容,指定董事会秘书为公司对外发布信息的主要联系人。
② 当出现、发生或即将发生可能对公司股票及其衍生品种的交易价格产生较大影响的情形或事件时,负有报告义务的责任人应及时将相关信息向公司董事会和董事会秘书进行报告;当董事会秘书需了解重大事项的情况和进展时,相关部门(包括公司控股子公司)及人员应予以积极配合和协助, 及时、准确、完整地进行回复,并根据要求提供相关资料。
③ 公司应按照《上市公司投资者关系管理指引》等规定,规范公司对外接待、网上路演等投资者关系活动,确保信息披露的公平性。
④ 公司应建立重大信息的内部保密制度。因工作关系了解到相关信息的人员,在该信息尚未公开之前,负有保密义务。如信息不能保密或已经泄漏,公司应采取及时向监管部门报告和对外披露的措施。
⑤ 公司董事会秘书应对上报的内部重大信息进行分析和判断,如按规定需要履行信息披露义务的,董事会秘书应及时向董事会报告、提请董事会履行相应程序并对外披露。
1) 公司应建立信息与沟通相关制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。
2) 公司对收集的各种内部信息和外部信息进行合理筛选、核对、整合, 提高信息的有用性。
3) 公司内控职能部门须将内部控制相关信息在公司内部各管理级次、责任单位、业务环节之间,以及公司与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。
重要信息应当及时传递给董事会、监事会和经营层。
4) 公司将利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。
公司对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面进行控制,保证信息系统安全稳定运行。
5) 公司建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。
6) 公司建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为公司有效掌握信息的重要途径。
举报投诉制度和举报人保护制度应当及时传达至全体员工。
1) 公司审计与风险管理部要对公司内部控制运行情况进行检查监督,并将检查中发现的内部控制缺陷和异常事项、改进建议及解决进展情况等形成内部审计报告,向董事会、董事会审计委员会和列席相关会议的监事通报。如发现公司存在重大异常情况,可能或已经遭受重大损失时,应立即报告公司董事会并抄报监事会,由公司董事会提出切实可行的解决措施,必要时要及时向监管部门、上海证券交易所报告并公告。
2) 公司董事会审计委员会须根据内部控制检查监督工作报告及相关信息评价公司内部控制的建立和实施情况,形成内部控制自我评估报告。公司董事会依据有关监管部门的要求,在审议年度财务报告等事项的同时,对公司内部控制自我评估报告形成决议,并年度报告同时对外披露。
3) 内部控制自我评价报告至少应包括如下内容:
a)内控制度是否建立健全;
b)内控制度是否有效实施;
c)内部控制检查监督工作的情况;
d)内控制度及其实施过程中出现的重大风险及其处理情况;e)对本年度内部控制检查监督工作计划完成情况的评价;
f)完善内控制度的有关措施;
g)下一年度内部控制有关工作计划。
内部控制检查监督的工作资料,保存时间不少于十年。
1.本标准由董事会负责解释。
2.本标准经董事会审议通过后实施。