目 录
第一章 总则
第一条 为建立健全云南城投置业股份有限公司(下称
“置业公司”或“公司”)风险管理、内部控制、合规管理
的协同运作机制,将风险管理和合规管理要求嵌入业务流程,
促使公司依法合规开展各项经营活动,实现“强内控、防风
险、促合规”的管控目标。
依据《中华人民共和国公司法》(下称《公司法》)《企
业内部控制基本规范》及配套指引、《云南城投置业股份有
限公司章程》(下称《公司章程》)《上海证券交易所上市
公司自律监管指引第 1 号——规范运作》,参照《中央企业
全面风险管理指引》
《云南省省属企业合规管理指引(试行)》
《云南省省属企业合规管理体系建设工作方案》等文件要求,
制定本制度。
第二条 本制度适用于置业公司,全资、控股公司可参
照执行。
第三条 公司贯彻“管理制度化、制度流程化、流程信
息化”的内部控制理念,建立健全以风险管理为导向,以合
规管理为重点,严格、规范、全面、有效的内部控制体系,
形成全面、全员、全过程、全体系的风险防控机制,实现“强
内控、促合规、防风险”的管控目标,有力保障公司高质量
发展。本制度中下列用语的含义是:
“风险”是指未来的不确定性对公司实现其经营目标的
影响。
“风险事件”是指使风险隐藏的潜在损失转化为现实损
失的媒介,它通常是某个或者一系列的事件。
“风险管理”指公司围绕总体经营目标,通过在管理的
各个环节和经营过程中执行风险管理的基本流程,培育良好
的风险管理文化,建立健全风险管理体系,从而为实现风险
管理的总体目标提供合理保证的过程和方法。
“内部控制”是指由公司董事会、经理层和全体员工实
施的、旨在实现控制目标的过程,目标是合理保证公司经营
管理合法合规、资产安全、财务报告及相关信息真实完整,
提高经营效率和效果,促进公司实现发展战略。
“合规”是指公司及其员工的经营管理行为符合法律法
规、监管规定、行业准则和《公司章程》、规章制度等。
“合规管理”是指公司以有效防控合规风险为目的,以
公司经营管理行为和员工履职行为为对象,开展包括制度制
定及落实、风险识别、合规审查、风险应对、责任追究、考
核评价、合规培训等有组织、有计划的管理活动。
第四条 风险内控合规管理是公司治理体系和治理能力
现代化的重要组成部分,与其他职能管理相互协调、相互促
进,为实现以下目标提供合理有效保障:
(一)保证公司经营管理合法合规;
(二)保障公司资产安全;
(三)保证公司财务报告及相关信息真实完整;
(四)确保公司建立针对各项重大风险发生后的应急预
案;
(五)提高公司经营效率和效果;
(六)促进公司实现发展战略目标。
第五条 风险内控合规管理应遵循以下原则:
(一)全面性原则。风险内控合规管理体系应覆盖公司
的所有管理领域和业务单元。
(二)重要性原则。风险内控合规管理体系应在全面控
制的基础上,关注重要业务事项和高风险领域。
(三)适应性原则。风险内控合规管理体系应根据内、
外部环境的变化及时加以调整。
(四)制衡性原则。风险内控合规管理体系应当在治理
结构、机构设置及权责分配、业务流程等方面形成相互制约、
相互监督,同时兼顾运营效率。
(五)成本效益原则。风险内控合规管理体系应当权衡
实施成本与预期效益,以适当的成本实现有效控制。
(六)服务战略,创造价值。合规管理服务公司全面深
化改革转型升级,服务发展大局,推进公司治理能力与治理
体系现代化,增强公司风险控制力,提升市场竞争力和价值
创造力。
(七)业规同管,强化责任。坚持“业务谁主管,合规
谁负责”的原则,做好合规管理与业务开展同策划、同应对、
同监督,确保业务合规运行。秉持“高层表率、强化责任”
的理念,把加强合规管理作为主要负责人履行推进法治建设
第一责任人职责的重要内容。
第六条 风险内控合规管理体系的构建,通过实现组织
职能协同、工作机制统一、管理制度统一、评价体系统一,
切实推动风险、内控、合规一体化的落地。
(一)组织职能协同:将相关职能放至战略及风险管理
委员会、审计委员会与合规委员会,各项工作协同开展。
(二)工作机制统一:风控管理部负责年度的风险、内
控、合规工作的计划与执行,以及与其他部门的工作协调机
制的统一,建立年初布置、年中管控、年末总结的工作机制。
(三)管理制度统一:将风险内控合规管理要求、评价
标准及风险应对措施融入到制度当中,切实做到公司日常的
业务流程及管理符合风险内控合规的要求。
(四)评价体系统一:明确一体化管理体系评价工作的
组织形式、评价方式、报告路径、检查评价问题整改及跟踪
机制,制定一体化评价的相关检查测试程序,明确一体化检
查结果及缺陷认定标准,实现内控自评、合规检查及风险管
控工作的整合,在实现评价目标的同时,有效降低管控成本。
第二章 组织机构及职责
第七条 公司风险内控合规管理的治理机构与职责:
(一)公司党委充分发挥把方向、管大局、保落实的领
导作用,保障风险内控合规管理体系建设的决策部署得到全
面落实。党委会主要职责包括:
督;
(二)公司党委下设合规委员会。合规委员会承担合规
管理的组织领导和统筹协调工作,专门负责合规事务,由公
司党委书记担任主任,组成人员为党委班子成员,直接对党
委会负责。合规委员会主要履行以下合规管理职责:
指导合规整改工作,确保合规管理体系的适当性和有效性;
(三)董事会是风险内控合规管理的决策机构,发挥定
战略、作决策、防风险作用,主要职责包括:
以及总法律顾问(首席合规官)的聘任、解聘;
的方案;
董事会授权战略及风险管理委员会作为公司日常风险
管理的决策机构,战略及风险管理委员会可根据实际情况判
断是否将审议事项进一步提交董事会决策。
(四)战略及风险管理委员会、审计委员会分别按照公
司《董事会战略及风险管理委员会实施细则》《董事会审计
委员会实施细则》履行风险、内控相关职责。
(五)审计委员会行使《公司法》规定的监事会职权,
并按照《公司章程》履行监督职责。
(六)经理层发挥谋经营、抓落实、强管理作用,通过
总经理办公会履行以下职责:
方案;
完善的方案;
推进风险内控合规体系的建设与运行;
合规管理业务管理制度及具体操作规范;
等;
人员进行责任追究或提出处理建议;
(七)公司建立合规联席会议制度。合规联席会议决定
公司日常重要合规事项,统筹协调合规管理牵头部门与各业
务、监督等部门工作。
(八)公司设立首席合规官,由公司总法律顾问兼任,
具体执行党委会、董事会、总经理办公会有关决策部署,参
与公司重大决策并提出意见和建议,领导风控管理部开展相
关工作,指导下属单位加强风险、内控、合规管理。
第八条 公司各部门职责
(一)风控管理部负责公司风险内控合规管理工作,主
要履行以下职责:
及业务范围内基本管理制度、业务管理制度和具体操作规范;
组织更新风险清单;
规指南;
事件的调查,并提出处理意见或建议;
合规培训,向部门及员工提供合规咨询;
理工作;
(二)公司各部门及各下属单位按照“业务谁主管、风
险内控合规管理谁负责”的原则,承担本业务领域风险内控
合规管理的主体责任,同时指定风险内控合规管理专员,负
责组织协调本部门(本单位)相关工作,主要履行以下职责:
进行风险评估、制定风险管理策略、提出和实施风险管理解
决方案,以及风险监控、风险管理的监督与改进等风险管理
全过程的相关工作;
及具体应对方案(包括突发风险事件应急预案);
(包括应急预案)并进行跟踪;
评估出具评估意见;
工作,发布合规预警,协助风控管理部更新风险库;
报告合规风险事项,妥善应对处置合规风险事件;
伙伴合规调查,配合对违规问题的调查并及时组织整改。
第九条 公司审计管理部门依据相关法律法规、国资监管
规定、上级主管单位管控要求及公司内部管理制度等,对公司
及下属单位组织开展内部控制评价、合规有效性评价工作。
公司纪检室、审计管理部门依据有关规定,在职权范围
内对风险内控合规要求落实情况进行监督,并加强工作协同
和衔接,对违规行为进行调查,按照规定开展责任追究。
第十条 公司各部门坚决守住“第一道防线”,承担合
规管理主体责任,负责建立健全本部门业务合规管理制度和
流程,开展合规风险识别评估,编制风险清单和应对预案;
定期梳理重点岗位合规风险,将合规要求纳入岗位职责;履
行对本部门经营管理行为的合规审查,根据相关规定报告合
规风险,组织或配合开展应对处置、违规问题调查和培训。
各部门应当设置合规管理员,由业务骨干担任,接受风控管
理部业务指导和培训。
公司风控管理部应不断筑牢“第二道防线”,全面牵头
负责本公司合规管理工作。组织起草合规管理基本制度、专
项制度、年度计划和工作报告等;组织对规章制度、经济合
同、重大决策合法合规性审查;组织开展合规风险识别、预
警和应对处置;受理职责范围内的违规举报,提出处置意见,
组织或参与违规行为调查;组织或协助各部门开展合规培训,
受理合规咨询,推进合规管理信息化建设。
公司监督追责等部门切实发挥“第三道防线”监督作
用,在职权范围内对合规要求落实情况进行监督,对违规行
为进行调查,按规定开展责任追究。
第十一条 公司全体员工履行全员合规责任,熟悉并遵
守与本岗位职责相关的法律法规、公司内部制度和合规义务,
依法合规履行岗位职责,接受合规培训,对自身行为的合法
合规性承担责任。
第三章 一体化管理策略
第一节 风险收集、评估与管理
第十二条 按照目标的不同,公司风险分为战略风险、
财务风险、市场风险、运营风险、法律风险、合规风险。
第十三条 公司各部门结合行业、市场等信息,充分考
虑影响公司战略目标实现的内外部因素,包括政策要求、历
史数据、未来预测以及与公司和国内外相关公司发生的风险
损失事件、违规案例、合规义务等,重点监控影响公司及部
门目标达成的风险及风险表现,查找各项重要经营活动及重
要业务流程中存在的风险,并将收集到的风险初始信息报送
至风控管理部。风控管理部应对各部门、各下属单位报送的
风险信息进行统一筛选和提炼,建立和补充风险信息库,更
新和维护公司整体的风险清单。
(一)在战略风险方面,由公司战略投资部及下属单位
广泛收集国内外公司战略风险失控导致公司蒙受损失的案
例,并收集与公司相关的宏观经济政策、行业状况、市场需
求、竞争状况、公司发展战略和规划、投资计划、年度经营
目标、经营战略,以及编制这些战略、规划、计划、目标的
有关依据,重点关注对外投资流程中曾发生或易发生错误的
业务流程或环节。
(二)在财务风险方面,由公司财务管理中心及下属单
位广泛收集国内外公司财务风险失控导致危机的案例,收集
与公司获利能力、资产营运能力、偿债能力、发展能力等指
标相关的重要信息,重点关注成本核算、资金结算和现金管
理业务中曾发生或易发生错误的业务流程或环节。
(三)在市场风险方面,由公司战略投资部及下属单位
广泛收集国内外公司忽视市场风险、缺乏应对措施导致公司
蒙受损失的案例,收集与公司相关的产品或服务的价格及供
需变化、主要客户及主要供应商的信用情况、税收政策和利
率、汇率、股票价格指数的变化等方面的重要信息,对现有
市场环境进行评估。
(四)在运营风险方面,由公司运营管理中心、组织人
事部及下属单位广泛收集国内外公司忽视市场风险、缺乏应
对措施导致公司蒙受损失的案例,收集新市场开发、市场营
销策略,包括产品或服务定价与销售渠道、市场营销环境状
况等,公司组织效能、管理现状、公司文化、中高层管理人
员和重要业务流程中专业人员的知识结构、专业经验等方面
的信息,重点关注质量、安全、环保、信息安全等管理中曾
发生或易发生失误的业务流程或环节,对现有业务流程和信
息系统操作运行情况的监管、运行评价及持续改进能力。
(五)在法律风险方面,由风控管理部及下属单位广泛
收集国内外公司忽视法律法规风险、缺乏应对措施导致公司
蒙受损失的案例,收集影响公司的新法律法规和政策、公司
签订的重大协议、公司发生重大法律纠纷案件的情况等方面
的信息。
(六)在合规风险方面,由公司各部门及下属单位广泛
收集国内公司在战略管理、财务管理、市场管理、运营管理、
法务及合同管理等方面违反国家相关政策要求,触发合规条
款,引发法律责任、受到相关机构处罚、造成经济或声誉损
失以及其他负面影响的信息。
第十四条 风险评估是在收集风险管理信息的基础上,
对所面临的风险进行识别、分析和评价的过程。
风险评估由公司风控管理部不定期组织有关部门和业
务单位实施,也可聘请有资质、信誉好、风险管理专业能力
强的中介机构协助实施。
风险评估包括固有风险评估及剩余风险评估两部分,公
司针对固有风险发生的可能性及对公司目标的影响程度制
定相应的风险评估标准,针对内控措施的有效性制定相应的
有效性评级,综合得出公司的剩余风险(风险评估标准详见
附件一)。
基于风险评估结果,公司对识别出的风险进行风险排序,
明确风险控制优先级,对于判断为重大风险的事项进行重点
关注和优先控制;对于其他风险,公司进行跟踪管理,适时
掌握其处理或变化情况。
公司应当对经营期间的重大决策进行风险审核。
第十五条 公司根据自身条件和外部环境,围绕公司发
展战略,确定风险偏好、风险承受度、风险管理有效性标准,
公司综合运用风险规避、风险降低、风险分担和风险承受等
风险应对策略,实现对风险的有效控制。
(一)风险规避,是公司对超出风险承受度的风险,通
过放弃或者停止与该风险相关的业务活动以避免和减轻损
失的策略;
(二)风险降低,是公司在权衡成本效益之后,准备采
取适当的控制措施降低风险或者减轻损失,将风险控制在风
险承受度之内的策略;
(三)风险分担,是公司准备借助他人力量,采取业
务分包、购买保险等方式和适当的控制措施,将风险控制在
风险承受度之内的策略;
(四)风险承受,是公司对在风险承受度之内的风险,
在权衡成本效益之后,不准备采取控制措施降低风险或者减
轻损失,而直接承受的策略。
第十六条 公司制定重大风险的界定标准(详见附件二),
公司各部门和各下属单位对各业务领域、各单位发生的风险
事件先行研判,若初步判断为重大风险事件的需及时按公司
内部决策程序报告及判定。
重大风险事件应由本部各主责部门编写重大风险事件
报告,
(涉及下属单位风险事件沟通本部业务归口管理部门)
提报公司党委会前置研究及总经理办公会审定,若总经理办
公会判定确为公司重大风险事件的,应进一步针对审议后的
重大风险事件制定重大风险应对方案。
第十七条 重大风险应对方案一般包括风险解决的具体
目标,所需的组织领导,所涉及的管理及业务流程,所需的
条件、手段等资源,风险事件发生前、中、后期所采取的具
体应对措施以及风险管理工具等。
公司本部重大风险应对方案由涉及重大风险事件的本
部各主责部门负责组织编制,风控管理部门负责予以配合,
由本部各主责部门提报方案,经风控管理部门审核后提报公
司内部决策程序审议。
公司各下属单位的重大风险应对方案由涉及重大风险
事件的各下属单位负责编制,公司本部业务归口管理部门及
风控管理部门负责予以配合,由各下属单位提报方案,经风
控管理部门审核后提报公司内部决策程序审议。
重大风险应对方案应提报公司总经理办公会审议、党委
会前置研究,后由战略及风险管理委员会审定通过,战略及
风险管理委员会认为有必须的可进一步提交董事会进行决
策。重大风险应对方案应根据相关规定,及时向上级主管单
位报告。
公司各部门和各下属单位应按照职责分工认真组织实
施重大风险应对方案,确保各项重大风险应对措施落实到位。
第十八条 公司各部门和各下属单位应在风控管理部主
导下定期或不定期对风险管理工作进行自查和检验,并将整
改情况报送公司风控管理部。
第二节 内部控制活动
第十九条 公司以风险为导向结合风险评估结果,通过
手工控制与信息系统控制,预防性控制与发现性控制相结合
的方法,运用不相容职务分离、授权审批、财产保护、会计
核算、财务管理、预算控制、运营分析和绩效考核以及审计
检查、重大风险预警、建立以总法律顾问制度为核心的公司
法律顾问制度等控制措施,将风险控制在可承受限度之内。
第二十条 内部控制活动需满足外部法律法规要求,外
规内化。将存在风险的各类业务事项列入控制活动范围,坚
持经营战略与风险策略一致、风险控制与运营效率及效果相
平衡的原则,针对风险所涉及的各管理及业务流程,制定涵
盖各个环节的全流程控制措施。采取建立完善规章制度、建
立关键业务事项管理权责指引、建立风险内控合规管理手册
等管理工具,确保各类业务事项的落实。
第二十一条 公司内部控制活动涵盖公司所有的业务环
节,包括但不限于:组织架构、发展战略、人力资源管理、
社会责任、公司文化、资金管理、投资管理、融资管理、担
保管理、采购与付款、资产管理、销售与对账、财务报告、
全面预算、法务及合同管理、内部信息传递、信息系统管理、
关联交易、证券事务、内部监督等。
第二十二条 公司建立内部信息与沟通机制以及建立公
司与下属单位及参股公司重大内部信息传递机制,以及下属
单位及参股公司重大事项报告机制,促进内部信息沟通提高
工作效率,增强管理透明度降低经营风险。
第二十三条 公司对收集的各种内部信息和外部信息进
行合理筛选、核对、整合,提高信息的有用性。公司各部门
须将相关信息在公司内部各管理级次、责任单位、业务环节
之间,以及公司与外部投资者、债权人、客户、供应商、中
介机构和监管部门等有关方面之间进行沟通和反馈。信息沟
通过程中发现的问题,应当根据相关规定及时报告并加以解
决。重要信息应当根据相关规定及时传递给董事会和经营层。
第二十四条 公司制定《信息披露事务管理制度》,明
确信息披露的原则、内容、程序、责任、保密、奖惩等内容,
有效保护公司、股东及其他利益相关者的权益,确保对外信
息披露及时、准确、完整。
第二十五条 公司审计管理部门设置内部审计岗位,为
审计委员会的日常办事机构,行使并承担监督检查内部控制
制度执行情况、评价内部控制有效性、提出完善内部控制的
纠正措施的建议的职责。
第二十六条 公司定期开展内部控制评价工作。董事会
授权公司审计管理部门为公司内部控制评价实施部门,负责
内部控制评价的具体组织实施工作。
第三节 合规运行
第二十七条 公司梳理分析风险内控合规体系执行情况,
认真查找体系的短板弱项,不断完善风险内控合规制度体系。
根据外部监管新规定以及公司新业务、新变化、新问题,及
时做好相关制度留、立、废、改工作,明确重要业务领域和
关键环节的内控要求、风险应对措施及违规经营投资责任追
究规定。
第二十八条 定期或不定期开展风险、内控、合规管理
体系评价,制定风险、内控、合规评价计划,上级评价与自
评价相结合、年度定期评价与专项不定期评价相结合,按照
风险内控合规管理手册控制活动要求设计评价方案,对风险、
内控、合规管理体系运行的有效性进行检查评价,督促整改
缺陷问题。
第二十九条 加大制度执行监督检查力度,强化责任追
究,增强制度刚性约束。建立风险内控合规识别预警及应对
机制,全面系统梳理经营管理活动中存在的合规风险,对风
险发生的可能性、影响程度、潜在后果等进行系统分析,对
于典型性、普遍性和可能产生较严重后果的风险及时发布预
警。对可能造成企业重大资产损失或者严重不良影响的重大
合规风险事件,应当由首席合规官牵头,风控管理部统筹协
调,及时采取措施妥善应对。
第三十条 公司建立完善合规审查机制,将合规审查作
为必经程序嵌入经营管理流程,重大决策事项的合规审查意
见应当由首席合规官签字,对决策事项的合规性提出明确意
见。业务部门、风控管理部依据职责权限完善审查标准、流
程、重点等,定期对审查情况开展后评估。
第四章 风险内控合规管理重点
第三十一条 公司根据内部环境,在全面推进风险内控
合规管理的基础上,突出重点领域、重点环节和重点人员,
切实防范风险。
第三十二条 重点领域包括公司治理、市场交易、投资
管理、采购管理、合同管理、资本运作、财务税收、债务管
理、信息安全、工程建设、知识产权、资产租赁、商业伙伴、
安全环保、产品质量、劳动用工、选聘招聘、履职待遇、业
务支出、社会捐赠与赞助等领域。公司根据业务发展逐步建
立重点领域合规指南。
第三十三条 重点环节:
(一)制度制定环节。强化对规章制度、改革方案等重
要文件的合规审查,确保符合法律法规、监管规定等要求。
(二)经营决策环节。严格落实“三重一大”决策制度,
细化各层级决策事项和权限,加强对决策事项的合规论证把
关,特别盯防授权、分权、行权、决策、审批、会签等权力
行使密切相关的重点环节,保障决策和权力运行依法合规。
(三)生产运营环节。严格执行合规制度,加强对重点
流程的监督检查,特别盯防商务谈判、订立合同、结算、付
款、交割、验收、注册、注销、银行密钥和印章使用等与权
力行使密切相关的重点环节,确保生产经营过程中照章办事、
按章操作。
第三十四条 重点人员:
(一)权力集中部门和人员。对权力集中的部门和岗位
实行分事行权、分岗设权、分级授权,定期轮岗,强化内部
流程控制,防止权力滥用;完善内部层级监督和专门监督,
建立常态化监督制度;完善纠错问责机制,健全问责方式和
程序。
(二)资金密集部门和人员。推进业务、财务、支付一
体化信息系统有效运行,强化现金流量预算管理,实现对大
额特殊资金的逐笔监控。
(三)资源资产富集部门和人员。健全管理制度,建立
先进的管理技术和方法,明确资源资产权属,量化资源资产
金额,监控资源资产情况,规范资源资产交易。
(四)管理人员。促进管理人员切实增强风险合规内控
意识,带头依法依规开展经营管理活动,认真履行风险合规
内控管理职责,强化考核与监督问责。
第五章 风险内控合规管理保障
第三十五条 公司将合规管理纳入党委(党总支、党支
部)法治专题学习,推动公司领导干部强化合规意识,率先
做到决策合规。
第三十六条 加强合规管理队伍人才建设,以总法律顾
问制度建设为契机,建立专业化、高素质的合规管理队伍,
建立健全合规管理工作人员职业发展规划,健全激励机制,
拓宽职业发展通道,充分调动积极性和主动性。
第三十七条 加强全员培训,建立常态化合规培训机制,
公司每年结合合规管理建设的重点工作制定年度培训计划,
强化高风险业务重点岗位人员合规培训。培育和推广合规文
化,践行依法合规、诚信经营的价值观,不断增强员工的合
规意识和行为自觉。将合规作为经营理念和社会责任的重要
内容,树立积极正面的合规形象。
第三十八条 建立合规承诺机制。实行全员承诺制,置
业公司全体人员应定期签署合规遵循承诺书,书面承诺遵守
与本职岗位有关的道德诚信与合规要求。
第三十九条 加强考核评价,把风险内控合规情况纳入
对各部门和各下属单位的年度绩效考核。开展全员合规评价,
建立员工合规档案,将评价结果作为员工考核、干部任用、
评先选优等工作的重要依据。
第四十条 建立风险内控合规报告机制,明确合规风险
事件分级分类标准和应对机制。发生合规风险时,相关部门
应当及时采取有效措施,并根据相关规定向风控管理部报告。
发生重大合规风险事件,首席合规官应当根据相关规定及时
向有关部门报告,并及时报告后续应对和处置进展情况。
第四十一条 设立违规举报平台,公布举报方式。由风
控管理部受理违规举报并应当对收到的违规问题举报进行
调查处理,经核实确有违规行为的,按照公司违规经营问责
等相关规定进行相应处理;涉及违反党内纪律规定的,由纪
检监察部门根据相关组织纪律进行处理;涉嫌违法犯罪的,
移交司法机关处理。
第四十二条 根据公司违规行为追责问责机制,明确责
任范围,细化问责标准,针对问题线索及时开展调查,严肃
追究责任。公司建立经营管理和员工履职违规行为记录机制,
风控管理部每半年对相关违规人员的违规事项、行为性质、
发生次数、危害程度等进行记录,形成履职违规行为台账,
并与相关部门共享。该记录作为考核评价、职级评定等工作
的重要依据。
第四十三条 建立违规问题整改机制,对于反复发生的
合规风险和违规问题,要健全制度,优化流程,形成长效机
制,持续改进提升。
第六章 信息应用与信息化建设
第四十四条 根据公司业务发展,逐步加强管理信息化
建设,运用信息化手段,加强风险内控合规制度、典型案例、
培训、违规行为的信息化记录;运用信息化手段将管理要求
和防控措施嵌入工作流程,强化合规审查和过程管控;将管
理信息系统与财务、投资、采购、人资等其他信息系统深度
融合,实现数据互联共享;利用大数据技术,加强对重点领
域、重点环节的监测预警,强化风险防控。
第七章 附则
第四十五条 本制度由风控管理部负责解释。
第四十六条 本制度经董事会批准,自发布之日起执行,
原《风险管理制度》《内部控制管理制度》同时废止。
附件一:
风险评估标准
风险评估包括固有风险评估及剩余风险评估两部分,具
体评估标准如下:
(一)固有风险评估标准
固有风险,即假设该风险在没有任何控制存在的情况下,
其妨碍公司实现经营目标的可能性及影响。在考虑每个风险
的可能性及影响程度时,应假设现有的控制都不存在,从而
对固有风险作出更有效及更客观的评价。
固有风险评级主要从每个风险点的发生可能性和其一
旦发生后对公司目标实现的影响程度这两个维度来进行,每
个维度都有“极低”、“低”、“中等”、“高”、“极高”
五个评价等级,分别对应的分数是 1、2、3、4、5 分。针对
每一个风险点,评分人将分别从上述两个维度进行评估,并
给出相应的分值。该种风险的大小即风险水平值是“风险发
生可能性”和“风险发生影响程度”两个维度评分的乘积,
作为确定风险应对策略的依据之一。
风险发生可能性:指某一风险发生的概率或频率。
风险发生的可能性分为五个等级,分别赋值 1 至 5 分,
分值越高表示可能性越大,如 1 分表示该风险发生的可能性
极低;5 分表示该风险几乎确定会发生。
在考虑风险发生的可能性时,可从相对发生概率和绝对
发生次数两个指标考虑,进行评分:
评分等级 1 2 3 4 5
风险水平描述 极低 低 中等 高 极高
风险发生的可 业务极少发生,风险 业务较少发生,风险 业务发生频率中 业务发生频率较普 业务发生很频
能性 在极少情况下才会发 在较少情况下会发 等,风险发生频率 通偏高,风险发生 繁,风险发生很
生或发生的绝对数量 生或发生的绝对数 中等或发生的绝对 频率较普通偏高或 频繁或发生绝
非常小,几乎从未发 量很小,风险近三年 数量丌太多,风险 发生的绝对数量较 对数量很多,风
生过,风险近三年没 发生过 3 次以下 近三年发生过 3 次 多,风险平均每年 险平均每年发
有发生过 以上 5 次以下 发生 2-3 次 生 3 次以上
风险发生影响程度:指风险失去控制后可能对公司产生
的影响程度,影响包括对公司人、财、物、持续发展的影响、
政治、社会、环境影响等。
对于风险的评估应该与公司的战略目标紧密相连,并关
注那些对公司战略目标实现有重要影响的风险。从以下定量
或定性的任意一方面进行考虑,并给出相应分值。如果判断
一项风险涉及两个方面或以上,则以评分最高者的分值作为
影响程度的填写分值(取其高原则)。
风险发生的影响程度应综合考虑多方面因素,按照如下
方式从战略影响、市场影响、运营影响、合规影响、财务影
响五个方面进行分析(以下数据仅为评分的参考标准,请打
分人员根据经验自行评判)。风险发生的影响程度分为五个
等级,分别赋值 1 至 5 分,
分值越高表示影响程度依次加强。
评分等级 1 2 3 4 5
风险水平
极低 低 中等 高 极高
描述
战略影响 对公司的战略 较小的影响公 在一定程度上影响公 较大的影响公司战略 重大的影响公司
目标的实现产 司战略计划的 司战略计划的实施,
对 计划的实施,
对战略目 战略计划的实施,
生轻微的影响 实施,没有对 战略目标的实现产生 标的实现产生一定的 对战略目标的实
战略目标的实 较小的影响,
通过公司 影响,
需要通过较大的 现产生很大的影
现产生影响 的调整可以挽回 调整才能够挽回 响,丌一定能够通
过调整进行挽回
市场影响 对公司的市场 较小的影响公 在一定程度上影响公 较大的影响公司的市 在很大程度上影
仹额及社会形 司的市场仹 司的市场仹额;市场仹 场仹额;市场仹额总体 响公司的市场仹
象产生轻微影 额;市场仹额 额总体减少 3%-8%; 减少 8%-10%; 额;市场仹额减少
响。在县所辖 总 体 减 少 超过 10%;
范围内受到影 1%-3%;
响,但该影响 较小的影响公 在一定程度上影响公 较大的影响公司的销 在很大程度上影
可由所辖公司 司的销售额; 司的销售额;
影响金额 售额;影响金额约 7, 响公司的销售额;
短期内自行消 影响金额约 3, 约 3,000 万-7,000 000 万-10,000 万元; 影响金额约 10,
除。 000 万 元 以 万元; 000 万以上;
下;
较小的影响了 短期或有限的社会形 暂时的社会形象的下 公司的社会形象
公司的社会形 象的下降;在网省范围 降,但是通过补救措施 有重大的下降,需
象;在地市范 内受到影响,
这种影响 可以恢复;在全国范围 要通过较大的补
围内受到影 需要较长时间、付出较 内受到影响,
这种影响 救措施,才能够恢
响,但该影响 大代价消除; 需要通过长时间努力、 复;在国际范围内
需要一定时 付出巨额代价消除 受到影响,这种影
间、付出一定 响难以消除
代价消除;
损失了少量的 损失了一定程度的客 损失了一块较大的客 损失了一块重大
客户基础(5% 户基础(10%-15%) 户基础(15%-30%) 的客户基础(30%
以下) 或以上)
运营影响 对公司的运营 在运营系统上 在运营系统上的损失 在运营系统上的损失 在运营系统上的
产生轻微的影 的损失导致较 导致较大的营运中断, 导致重大的营运中断, 损 失 导 致 严 重 的
响,基本没有 小的营运中 时间长达 3 天,在一 时间长达 3-5 天,在 影响或正常营运
造成人员的伤 断,时间长达 定范围内影响运营; 较大范围内影响运营; 的中断,时间长达
亡或经济损 1-2 天,影响 5 天以上,很大范
失; 范围较小; 围内影响运营;
评分等级 1 2 3 4 5
风险水平
极低 低 中等 高 极高
描述
对环境或社会 成本有限的增 成本短期的上升对当 承受过多的成本对当 过多的成本严重
造成短暂的影 加对收入和利 前的所得和盈利率产 前的所得和盈利率产 地影响长期的盈
响,可丌采取 润产生的影响 生影响,毛利率下降 生影响,毛利率下降 利率和生存能力,
行劢; 相对较小,毛 2%; 2%-5%; 毛利率下降 5%以
利 率 下 降 上;
负面消息在公 某些员工流 一定数量的员工流失 较大数量的员工流失 相当大数量的员
司内部流传, 失,职位空缺 或无法招聘到,职位空 或无法招聘到,职位空 工流失或无法招
公司声誉没有 期长至 1 个 缺期长至 1-3 个月, 缺期长至 3 个月,职 聘到,职位空缺期
受损,对员工 月,职位空缺 职 位 空 缺 范 围 在 位 空 缺 范 围 超过 3 个月,职位
热情有轻微影 范围在 5%内; 5-10%内; 10%—20%; 空缺范围超过
响 20%;
造成轻微的人 造成少量的人员受伤, 造成一定范围的人员 造成较大范围的
员受伤,造成 1 造成 1 至 4 人轻伤; 受伤,造成 5 人以上 人员受伤,或者出
人轻伤; 轻伤,或者出现 1 至 2 现人员死亡,造成
人重伤; 大范围的人员轻
伤,或 3 人以上重
伤,或者出现死亡
的情况;
对环境或社会 对环境造成中等影响, 造成主要的,
长期的环 无法弥补的灾难
造成一定的影 需要一定程度的补救 境损害,需执行重大的 性环境损害,需要
响,但丌破坏 措施,需 6 个月或 6 补救措施,且要 6 个 3 年以上的时间来
生态系统,被 个月以上的时间才能 月到 3 年左右的时间 恢复,或者人类所
政府有关部门 恢复,
出现个别投诉事 来恢复,出现较多的公 掌握的现代科技
关注或需要通 件; 众投诉事件; 尚无法恢复,出现
知政府有关部 大规模的公众诉
门,可丌采取 讼事件,被判定需
行劢; 承担重大刑事责
仸;
评分等级 1 2 3 4 5
风险水平
极低 低 中等 高 极高
描述
负面消息受到 负面消息在某区域流 负面消息在全国流传, 负 面 消 息 流 传 世
媒体关注,在 传,被地方政府部门关 对公司声誉造成重大 界各地,被中央政
当地局部流 注,对公司声誉造成中 损害,
被全国性媒体持 府部门或监管机
传,对公司声 等损害,员工对公司的 续报道,被中央政府部 构高度关注或开
誉造成轻微损 满意度、决策认同感有 门关注,员工对公司的 展调查,引起公众
害,员工对公 所下降可能向外部传 满意度、决策认同感严 媒体极大关注,对
司的满意度、 递对公司形象较为丌 重下降,向外部传递对 公司声誉造成无
工作热情受到 利的信息 公司形象非常丌利的 法弥补的损害,员
较小影响 信息,
造成员工较严重 工对公司的认同
的消极怠工和人才流 感极大下降,向外
失 部传递对公司形
象极为丌利的信
息,出现严重消极
怠工甚至罢工,关
键岗位员工离开
公司
合规影响 对公司的合规 在一些丌严重 在某些情况下,未能遵 未能遵循法律和法规 未能遵循法律和
行为产生轻微 幵且是独立的 循法律和法规的要求 的要求,虽然重大但仍 法规的要求,幵且
的影响 案例中,未能 可恢复经营 十分严重,影响公
遵循法律和法 司的持续经营
规的要求
财务影响 极轻微的财务 轻微的财务损 中等的财务损失:公司 重大的财务损失:公司 特大的财务损失:
损失:公司财 失:公司财务 财务损失占净资产的 财务损失占净资产的 公司财务损失占
务损失占净资 损失占净资产 5‰-1% 1%-5% 净资产的 5% 以
产的 2‰以下 的 2‰-5‰ 上
(二)内控措施有效性的评估
内控措施的有效性:即评估内部控制措施是否确切存在
且有效地减低公司固有风险。
评级 内部控制措施有效性
? 完善的内控措施已存在,如已制定相关书面制度和流程、岗位说明完善、职责分工明确等。
? 所有业务流程已经基本实现信息化,手工操作环节极少,业务流程得到真实记录幵保存,可以极好地保
极高
障公司运营目标。
? 控制得到极好的遵循。
? 标准的内控措施已存在幵记录。如已制定相关书面制度和流程、岗位说明标准、职责分工清晰等。
高 ? 业务流程信息化程度高,存在部分手工操作环节,但丌涉及关键控制点。
? 控制得到一贯遵循。
? 没有标准的内控措施,但存在补偿措施幵已记录,可以保障公司运营目标。如尚未制定书面制度和流程,
但实际操作过程中已存在内控措施幵已记录。
中
? 业务流程信息化程度一般,手工操作环节较多,其中包括部分关键控制点。
? 部分控制得到遵循。
? 没有标准的内控措施,存在补偿措施但未记录。如缺乏书面的制度和流程,实际操作过程存在内控措施
但未进行记录。
低
? 业务流程信息化程度较差,存在信息系统,但实际为手工操作。
? 控制得到极差的遵循。
? 没有标准或补偿的内控措施。如缺乏书面的制度和流程且实际操作过程中亦未形成有效的内控措施。
极低 ? 未进行业务流程信息化。
? 控制基本上未得到遵循。
(三)剩余风险评估标准
剩余风险,即考虑相关内部控制措施后发生重大风险的
可能性。剩余风险的评定由两部分构成:剩余风险=固有风
险-内控实施有效性。
附件二:
重大风险的界定标准
风险等级 定量判断标准 定性判断标准
预期经济损失: 1.因涉嫌严重违法违规被
司法机关或者省级以上监
管机构立案调查,或者受到
和经营成果产生重大影响,影响
重大刑事处罚、行政处罚。
资产总额(同时存在账面值和评
估值的,以高者为准)占上市公
司最近一期经审计总资产的 5%以
类、证券类等主流市场化媒
上;
体、境外主流媒体曝光,被
门户网站或同级网络媒体
大范围转载并持续报道,可
和经营成果产生重大影响,影响 响的。
资产净额(同时存在账面值和评
估值的,以高者为准)占上市公 3.可能导致公司生产经营
司最近一期经审计总资产的 5%以 条件和市场环境发生特别
重大风险 上,且绝对金额超过 5000 万元; 重大变化,影响公司可持续
发展。
和经营成果产生重大影响,影响
金额占上市公司最近一期经审计
净资产的 10%以上,且绝对金额超
过 5000 万元;
和经营成果产生重大影响,影响
营业收入占上市公司最近一个会
计年度经审计营业收入的 10%以
上,且绝对金额超过 5000 万元;
首页
微信公众号
证券之星APP
