《高鸿股份:内部控制管理制度(3月)》由会员分享,可在线阅读,更多相关《高鸿股份:内部控制管理制度(3月)(25页珍藏版)》请在金锄头文库上搜索。
1、大唐高鸿数据网络技术股份有限公司内部控制管理制度目录(经 2012 年第六届第二十七次董事会审议通过)1.0 总则 . 12.0 目标与原则 . 12.1 目标目标 . 12.2 原则原则 . 23.0 内容与要求 . 23.1 控制环境控制环境 . 23.1.1 决策机构和内部审计机构决策机构和内部审计机构 . 33.1.2 组织结构组织结构 . 43.1.3 授权和职责分工授权和职责分工 . 43.1.4 公司文化公司文化 . 53.1.5 人力资源政策人力资源政策 . 63.2 风险评估风险评估 . 73.2.1 目标设定目标设定 . 73.2.2 风险识别风险识别 . 83.2.3 风
2、险评估风险评估 . 83.2.4 风险应对风险应对 . 93.3 控制活动控制活动 . 93.3.1 职责分工控制职责分工控制 . 103.3.2 授权控制授权控制 . 103.3.3 审核批准控制审核批准控制 . 113.3.4 预算控制预算控制 . 113.3.5 财产保护控制财产保护控制 . 113.3.6 会计系统控制会计系统控制 . 113.3.7 内部报告控制内部报告控制 . 113.3.8 经济活动分析控制经济活动分析控制 . 123.3.9 绩效考评控制绩效考评控制 . 123.3.10 信息系统控制信息系统控制 . 123.3.11 内部审计控制内部审计控制 . 123.3.
3、12 重大风险预警控制重大风险预警控制 . 123.3.13 重点关注的控制活动重点关注的控制活动 . 123.4 信息与沟通信息与沟通 . 193.4.1 信息信息 . 193.4. 2 沟通沟通 . 203.5 监控监控 . 213.5.1 监督监督 . 213.5.2 检查检查 . 224.0 组织实施 . 235.0 附则 . 24、 、 、大唐高鸿数据网络技术股份有限公司内部控制管理制度1.0 总则总则1.1 为规范和加强大唐高鸿数据网络技术股份有限公司(以下简称:“公司”)及下属各分、子公司内部控制与管理,提高公司经营管理水平和风险防范能力,保护投资者合法权益,根据中华人民共和国公
4、司法中华人民共和国证券法 企业内部控制基本规范 深圳证券交易所上市公司内部控制指引等相关法律、行政法规制定本制度。1.2 本制度所称的内部控制是指由公司董事会、监事会、经理层和全体员工共同实施的、旨在合理保证实现包括但不限于公司战略、经营的效率和效果、财务报告及管理信息的真实与可靠及完整、资产的安全完整、遵循国家法律法规和有关监管要求等控制目标的一系列控制过程。1.3 本制度适用于公司及下属分、子公司。1.4 各分、子公司应当依据国家有关规定和本制度以及相关内控指引的要求,建立并完善本公司或本系统内部控制相关制度、流程。1.5 董事会负责内部控制的建立健全和有效实施,下设审计委员会是公司内部控
5、制的决策机构。 监事会对董事会建立与实施内部控制进行监督; 经理层负责公司内部控制的运行,经营管理部负责日常协调公司内部控制管理与实施内控评价。2.0 目标与原则2.1 目标公司的内部控制应能实现以下目标:2.1.1 确保公司及下属分子公司的总体目标与公司整体战略规划相一致,将风险控制在与总体目标相适应并可承受的范围内。2.1.2 强调公司的基本经营目标,提高经营的效率和效果。2.1.3 规范公司的各项经济业务行为,保证财务报告信息真实、准确、完整。页次/页数: 1 / 252.1.4 确保国家有关法律法规、相关监管要求和公司内部规章制度的贯彻执行。2.1.5 强化公司资产购买、使用或处置等流
6、程控制,保护公司资产的安全、完整。2.2 原则公司建立和实施内部控制遵循以下基本原则:2.2.1 合法性原则。内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要合法性原则。内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。2.2.2 全面性原则。内部控制在层次上应当涵盖公司决策层、管理层和全体员工,在对象上应当覆盖公司各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。2.2.3 重要性原则。内部控制应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。2.2.
7、4 有效性原则。内部控制应当能够为内部控制目标的实现提供合理保证。公司全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。2.2.5 制衡性原则。公司的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。2.2.6 适应性原则。内部控制应当合理体现公司经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着公司外部环境的变化、经营业务的调整、管理要求的提高等不断改
8、进和完善。2.2.7 成本效益原则。内部控制应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。3.0 内容与要求3.1 控制环境本制度所称的控制环境是指影响、制约公司内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括组织结构、决策层、管理层授权和职责分工、页次/页数: 2 / 25公司文化、人力资源政策等内容。3.1.1 决策机构和内部审计机构公司依据法律法规的规定,结合公司章程和实际情况,建立规范的法人治理结构,明确股东大会、董事会、监事会和经理层的权利义务,保证决策层依法履行职责,形成高效运转、有效制衡的监督约束机制
9、。股东大会是公司最高权力机构;董事会依据公司章程和股东大会授权,对公司经营进行决策管理;监事会依据公司章程和股东大会授权,对董事会、经理层及公司运营进行监督;公司经理层由董事会聘任或解聘,依据公司章程和董事会授权,对公司经营进行管理。3.1.1.1 董事会董事会对股东大会负责,并履行如下与内部控制相关的职责:确定公司内部控制总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理解决方案;了解和掌握公司面临的各项重大风险及其风险管理现状,做出有效控制风险的决策;批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,批准重大决策的风险评估报告;批准公司内部控制自我评估报告;批
10、准内部审计机构提交的风险管理监督评价审计报告;批准内部控制组织机构设置及其职责方案;督导公司文化的培育。3.1.1.2 审计委员会公司在董事会下设立审计委员会,审计委员会成员具备良好的职业操守和专业胜任能力,具有相应的独立性。审计委员会直接对董事会负责,其成员由董事组成,其中至少二名为独立董事委员,独立董事委员中至少有一名为专业会计人士。公司应当赋予审计委员会监督公司内部控制建立和实施情况的相应职权。审计委员会在公司内部控制建立和实施中承担的职责一般包括:页次/页数: 3 / 25审核公司内部控制及其实施情况,并向董事会做出报告;指导公司内部审计机构的工作,监督检查公司的内部审计制度及其实施情
11、况;处理有关投诉与举报,督促公司建立畅通的投诉与举报途径;审核公司的财务报告及有关信息披露内容;负责内部审计与外部审计之间的沟通协调。3.1.1.3 内部审计机构公司设立专门的内部审计机构,保证内部审计机构具有相应的独立性,并配备与履行内部审计职能相适应的人员和工作条件。内部审计人员应当拥有与工作职责相匹配备的道德操守和专业胜任能力。内部审计机构不得置于财会机构的领导之下或者与财会机构合署办公。内部审计机构依照法律规定和公司授权开展审计监督,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向董事会及其审计委员会、监事会报告。3.1.2 组织结构公司负责督
12、导各分、子公司建立和执行内部控制制度,以此类推,各子公司负责督导下级子公司建立和执行内部控制制度。公司应当科学界定决策、管理、执行、监督各层面的地位、职责与任务,形成有效的分工和制衡机制,切实发挥相关机构的职能作用,为公司内部控制的建立和实施提供强有力的组织结构保障和工作机制保障。公司内部机构的设置应当科学合理,能够适应公司经营管理的实际需要和外部环境的变化,有利于减少管理层级和提高管理效能,避免机构重叠和效率低下,促进内部控制的有效实施。公司在设置内部机构时应考虑设立专职部门或确定相关职能部门履行内部控制的日常维护职责。3.1.3 授权和职责分工授权和职责分工页次/页数: 4 / 25公司应
13、当根据经营目标、职能划分和管理要求,明确董事、监事、高级管理人员、各职能部门和分支机构以及基层作业单位的职责权限,将权利与责任分解到具体岗位,为内部控制的有效实施创造良好条件。高级管理人员,是指对公司决策、经营、管理负有领导职责的人员,包括经理、副经理、董事会秘书、财务负责人和公司章程规定的其他人员等。公司应当通过内部管理制度汇编、员工手册、组织结构图、业务流程图、岗位描述、权限指引等适当方式,使公司员工了解和掌握内部机构设置及权责分配情况,促进公司各层级员工明确职责分工,正确行使职权,并加强对权责履行的监督。3.1.4 公司文化公司文化,是指公司在经营管理过程中形成的、影响公司内部环境和内部
14、控制效力的精神、意识和理念,主要包括公司的整体价值观,员工的诚信和道德价值观,公司的管理理念、经营风格与职业操守等。公司在建立公司文化过程中应将风险管理文化建设融入公司文化建设全过程。3.1.4.1 整体价值观董事、监事、经理及其他高级管理人员有责任在公司范围内培育健康向上的整体价值观,培养社会感和遵纪守法意识,倡导爱岗敬业、进取创新、团队协作和遵规守纪精神。3.1.4.2 员工的诚信和道德价值观员工的诚信和道德价值观是员工行为准则,是告诉员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的措施。在员工的诚信和道德价值观方面要做好以下几个方面:协调利益冲突。避免私人利益与公司利益
15、的冲突,在发生冲突时每一个员工都有责任将公司利益放在第一位;遵守法律法规。倡导诚实和诚信原则,并遵循所有适用的法律和规章制度;报告违规事项。明确员工有对所发现的违反法律、规章制度或行为准则的问题进行报告的义务,并同时有被保护的权利;遵守道德准则。各分、子公司应建立与公司要求相一致的道德准则,并建立惩罚机制;规范工作行为。明确禁止员工利用公司资源为个人牟取商业机遇;页次/页数: 5 / 25履行保密义务。要求员工保护公司各项机密信息,即使在终止雇佣之后,仍然有义务保护公司的机密信息;执行公平交易。倡导公平对待顾客、供应商、竞争者、公众,并遵循商业道德规范,杜绝各种商业贿赂;保护、使用公司资产。要
16、求员工在使用公司资产时应保证资产的安全完整,并对发现的资产被侵占的现象及时报告;规范数据文件。管理层必须建立和保持适当的内控,遵循公司已有的业务流程,保证交易记录的完整和准确;在诚信和道德价值观方面管理层应以身作则,对违反准则的员工应予以相应惩罚,加强教育培训。3.1.4.3 管理理念和经营风格与职业操守董监事、经理及其他高级管理人员应当树立有利于实现公司内部控制目标的管理理念和经营风格,强化风险意识,避免因个人风险偏好可能给公司带来的不利影响和损失。公司应当根据董监事、经理及其他高级管理人员、中层管理人员和一般员工的职责权限,结合不同层级人员对实现公司内部控制目标的影响程度和不同要求,分别制
17、定适合不同层级人员的职业操守准则或者行为守则,并明确相应的监督约束机制。董监事、经理及其他高级管理人员应当恪守以诚实守信为核心的职业操守,不得损害投资者、债权人、客户、员工和社会公众的利益。公司董事会有责任制定并完善信息披露管理制度,明确重大信息披露事项的判定标准和报告程序,确定信息披露事项的收集、汇总和披露程序,不断强化为投资者、债权人和社会公众提供真实、可靠、完整的会计信息及依法应当披露的其他信息的法制意识和责任意识。3.1.5 人力资源政策人力资源政策是影响公司内部环境的关键因素。公司的人力资源政策应当科学、规范、公平、公开、公正,有利于调动员工在内部控制和经营管理活动中的积极性、主动性
18、和创造性。人力资源政策至少应当包括以下内容:员工的聘用、培训、劳动关系的终止与解除;页次/页数: 6 / 25员工的薪酬、考核、晋升与奖惩;关键岗位员工的轮岗制衡要求;对掌握重要商业秘密或核心技术等关键岗位员工离岗的限制性规定;有关人力资源管理的其他政策。公司将职业道德素养和专业胜任能力作为选拔和聘用员工的重要标准,并适当关注应聘者的价值取向和行为特征是否与本公司的公司文化和内部控制的有关要求相适应。公司重视并加强员工培训,制定科学、合理的培训计划,提高培训的针对性和实效性,不断提升员工的道德素养和业务素质。公司建立和完善针对各层级员工的激励约束机制,通过制定合理的目标、建立明确的标准、执行严
19、格的考核和落实配套的奖惩,促进员工责、权、利的有机统一和公司内部控制的有效执行。3.1.6 法律理念加强法制教育,增强董事、监事、经理及其他高级管理人员和员工的法律观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。公司根据企业业务发展的需要,从法律人员的配置与管理制度的建立,逐步形成完善的法律风险防范机制。3.2 风险评估本制度所称的风险评估是指及时识别、科学分析影响公司内部控制目标实现的各种不确定因素并采取应对策略的过程。风险是指对实现内部控制目标可能产生负面影响的不确定性因素。风险评估一般应当按照目标设定、风险识别、风险分析、风险应对等程序进行。3.2
20、.1 目标设定目标设定是风险识别、风险分析和风险应对的前提。公司应当按照战略目标,设定相关的经营目标、财务报告目标、合规性目标与资产安全完整目标,并根据设定的目标合理确定公司整体风险承受能力和具体业务层次上的可接受的风险水平。然后将目标层层分解到各分子公司,各分子公司应根据总体目标制定本公司的战略规划目标,并确定本公司的业务活动层面目标。业务活动层面的目标应该清楚,易于理解,以便从事该操作的人能努力实现其目标,同时还必须是可衡量的,以便于考核。页次/页数: 7 / 253.2.2 风险识别公司在充分调研和科学分析的基础上,广泛收集公司战略、财务、市场、运营、法律等方面的风险信息,准确识别影响公
21、司内部控制目标实现的内部风险因素和外部风险因素。公司关注的内部风险因素一般包括:董监事、经理及其他高级管理人员职业操守、员工专业胜任能力、团队精神等人员素质因素;经营方式、资产管理、业务流程设计、财务报告编制与信息披露等管理因素;财务状况、经营成果、现金流量等基础实力因素;研究开发、技术投入、信息技术运用等技术因素;营运安全、员工健康、环境污染等安全环保因素。公司关注的外部风险因素一般包括:经济形势、产业政策、资源供给、利率调整、汇率变动、融资环境、市场竞争等经济因素;法律法规、监管要求等法律因素;文化传统、社会信用、教育基础、消费者行为等社会因素;技术进步、工艺改进、电子商务等科技因素;自然
22、灾害、环境状况等自然环境因素。公司在进行风险识别时,采取座谈讨论、问卷调查、案例分析、咨询专业机构意见等方法识别相关的风险因素,特别应注意总结、吸取公司过去的经验教训和同行业的经验教训,加强对高危性、多发性风险因素的关注。3.2.3 风险评估公司针对已识别的风险因素,从风险发生的可能性和影响程度两个方面进行分析。公司应当根据实际情况,针对不同的风险类别确定科学合理的定性、定量分析标准。公司根据风险分析的结果,依据风险的重要性水平,运用专业判断,按照风险发生的可能性大小及其对公司影响的严重程度进行风险排序,确定应当重点关注的重要风险。页次/页数: 8 / 25公司重视风险评估的持续性,及时收集风
23、险及与风险变化相关的各种信息,定期或者不定期地开展风险评估。3.2.4 风险应对公司根据风险分析情况,结合风险成因、公司整体风险承受能力和具体业务层次上的可接受风险水平,确定风险应对策略。风险应对策略一般包括风险回避、风险承担、风险降低和风险分担等。公司对超出整体风险承受能力或者具体业务层次上的可接受风险水平的风险,应当实行风险回避。公司对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险,在权衡成本效益之后无意采取进一步控制措施的,可实行风险承担。公司对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险,在权衡成本效益之后愿意单独采取进一步的控制措施以降低风险、提高收益或
24、者减轻损失的,可以实行风险降低。公司对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险,在权衡成本效益之后愿意借助他人力量,采取包括业务分包、购买保险等进一步的控制措施以降低风险、提高收益或者减轻损失的,可以实行风险分担。风险应对策略与公司的具体业务或者事项相联系,不同的业务或事项可以采取不同的风险应对策略,同一业务或事项在不同的时期可以采取不同的风险应对策略,同一业务或事项在同一时期也可以综合运用风险降低和风险分担应对策略。3.3 控制活动本制度所称的控制活动是指公司根据风险评估结果,结合风险应对策略,确保内部控制目标得以实现的方法和手段。公司应当综合运用控制措施实现对具体业务与
25、事项的控制,合理保证将剩余风险控制在可接受水平之内。剩余风险是指公司采取控制措施之后仍可能发生的风险。控制措施的运用,并不能保证公司可以杜绝全部风险,但可以合理保证将剩余风险控制在可接受水平之内,可以合理保证公司不出现内部控制的重大缺陷,可以合理保证公司内部控制目标的实现。公司完整收集、妥善保存控制措施实施过程中的相关记录或者资料,确保控制措施实施页次/页数: 9 / 25过程的可验证性。公司根据业务活动至少做好法律法规、财务管理、投资管理、固定资产管理、工程项目管理、存货管理、产品研发、无形资产、采购与付款管理、销售与收款管理、生产和质量管理、安全保卫、环境保护等方面的控制。财务管理至少应包
26、括货币资金、筹资、担保、应收款项管理等内容。控制措施通常包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制、内部审计控制、重大风险预警控制以及其他重点控制等。3.3.1 职责分工控制职责分工控制要求根据公司目标和职能任务,按照科学、精简、高效的原则,合理设置职能部门和工作岗位,明确各部门、各岗位的职责权限,形成各司其职、各负其责、便于考核、相互制约的工作机制。公司在确定职责分工过程中,应当充分考虑不相容职务相互分离的制衡要求。不相容职务通常包括:授权、批准、业务经办、会计记录、财产保管、稽核检查等。公司根据
27、各项经济业务与事项的流程和特点,系统、完整地分析、梳理执行该经济业务与事项涉及的不相容职务,并结合岗位职责分工采取分离措施。有条件的公司,可以借助计算机信息技术系统,通过权限设定等方式自动实现不相容职务的相互分离。公司结合岗位特点和重要程度,明确财会等关键岗位员工轮岗的期限和有关要求,建立规范的岗位轮换制度,对关键岗位的员工,可以实行强制休假制度,并确保在最长不超过五年的时间内进行岗位轮换,防范并及时发现岗位职责履行过程中可能存在的重要风险,以强化职责分工控制的有效性。3.3.2 授权控制授权控制要求公司根据职责分工,明确各部门、各岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容。公
28、司内部各级管理人员必须在授权范围内行使职权和承担责任,业务经办人员必须在授权范围内办理业务。授权一般包括常规性授权和临时性授权。常规性授权是指公司在日常经营管理活动中按照既定的职责和程序进行的授权,临时性授权是指公司在特殊情况、特定条件下进行的应急页次/页数: 10 / 25性授权。公司根据常规性授权编制权限指引并以适当形式予以公布,提高权限的透明度,加强对权限行使的监督和管理。公司加强对临时性授权的管理,规范临时性授权的范围、权限、程序、责任和相关的记录措施。有条件的公司,可以采用远程办公等方式逐步减少临时性授权。公司对于金额重大、重要性高、技术性强、影响范围广的经济业务与事项,实行集体决策
29、审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策意见。未经授权的部门和人员,不得办理公司各类经济业务与事项。3.3.3 审核批准控制审核批准控制要求公司各部门、各岗位按照规定的授权和程序,对相关经济业务和事项的真实性、合规性、合理性以及有关资料的完整性进行复核与审查,通过签署意见并签字或者签章,做出批准、不予批准或者作其他处理的决定。3.3.4 预算控制预算控制要求公司加强预算编制、执行、分析、考核等各环节的管理,明确预算项目,建立预算标准,规范预算的编制、审定、下达和执行程序,及时分析和控制预算差异,采取改进措施,确保预算的执行。3.3.5 财产保护控制财产保护控制要求公司限制
30、未经授权的人员对财产的直接接触和处置,采取财产记录、实物保管、定期盘点、账实核对、财产保险等措施,确保财产的安全完整。3.3.6 会计系统控制会计系统控制要求公司依据中华人民共和国会计法、国家统一的会计准则,制定适合本公司的会计制度,明确会计凭证、会计账簿和财务报告以及相关信息披露的处理程序,规范会计政策的选用标准和审批程序,建立、完善会计档案保管和会计工作交接办法,实行会计人员岗位责任制,充分发挥会计的监督职能,确保公司财务报告真实、可靠和完整。3.3.7 内部报告控制内部报告控制内部报告控制要求公司建立和完善内部报告制度,明确相关信息的收集、分析、报告和页次/页数: 11 / 25处理程序
31、,及时提供业务活动中的重要信息,全面反映经济活动情况,增强内部管理的时效性和针对性。内部报告方式通常包括例行报告、实时报告、专题报告、综合报告等。3.3.8 经济活动分析控制经济活动分析控制要求公司综合运用生产、购销、投资、财务等方面的信息,利用比较分析、比率分析、因素分析、趋势分析等方法,定期对公司经营管理活动进行分析,发现存在的问题,查找原因,并提出改进意见和应对措施。3.3.9 绩效考评控制绩效考评控制要求公司科学设置业绩考核指标体系,对照预算指标、盈利水平、投资回报率、安全生产目标等方面的业绩指标,对各部门和员工当期业绩进行考核和客观评价,将考评结果作为确定员工薪酬、奖金、职务晋升、评
32、优、降级、调岗、辞退等的依据,强化了对各单位和员工的激励与约束。3.3.10 信息系统控制信息系统控制要求公司结合实际情况和计算机信息技术应用程度,建立与本公司经营管理业务相适应的信息化控制流程,提高业务处理效率,减少和消除人为操纵因素,同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全、有效运用。3.3.11 内部审计控制内部审计控制要求结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等。3.3.12 重大风险预警控制重大风险预警控制要求对重大风险进行持续不断的监测,及时发布预警信
33、息,制定应急预案,并根据情况变化调整控制措施。3.3.13 重点关注的控制活动3.3.13.1 对控股公司的管理控制对控股公司的管理控制公司制定对控股子公司的控制政策及程序,并在充分考虑控股子公司业务特征等的基础页次/页数: 12 / 25上,督促其建立内部控制制度。(1)公司对控股子公司实行管理控制,主要包括:依法建立对控股子公司的控制架构,确定控股子公司章程的主要条款,选任董事、监事、经理及财务负责人;根据公司的战略规划,协调控股子公司的经营策略和风险管理策略,督促控股子公司据以制定相关业务经营计划、风险管理程序;建立控股子公司的业绩考核与激励约束制度;制定母子公司业务竞争、关联交易等方面
34、的政策及程序;制定控股子公司重大事项的内部报告制度。控股子公司应及时向公司董事会秘书报送其董事会决议、股东大会决议等重要文件,通报可能对公司股票及其衍生品种交易价格产生重大影响的事项;控股子公司应及时向公司分管负责人报告重大业务事项、重大财务事项以及其他可能对公司股票及其衍生品种交易价格产生重大影响的信息,并严格按照授权规定将重大事项报公司董事会审议或股东大会审议,重大事项包括但不限于发展计划及预算、重大投资、收购出售资产、提供财务资助、为他人提供担保、从事证券及金融衍生品投资、签订重大合同、海外控股子公司的外汇风险管理等;定期取得控股子公司月度财务报告和管理报告,定期取得并分析各控股子公司的
35、季度(月度)报告,包括营运报告、产销量报表、资产负债报表、损益报表、现金流量报表、向他人提供资金及提供担保报表等,并根据相关规定,委托会计师事务所审计控股子公司的财务报告;公司对控股子公司内控制度的实施及其检查监督工作进行评价。(2)公司的控股子公司同时控股其他公司的,公司督促其控股子公司参照本指引要求,逐层建立对其下属子公司的管理控制制度。(3)公司比照上述要求,对分公司内控制度做出安排。3.3.13.2 重大投资的内部控制(1)公司重大投资的内部控制遵循合法、审慎、安全、有效的原则,控制投资风险、注重投资效益。页次/页数: 13 / 25(2)公司在公司章程中明确股东大会、董事会对重大投资
36、的审批权限,制定相应的审议程序。公司原则上不得涉及与主业无关的委托理财、金融衍生品等高风险业务,如确因规避风险和业务发展需要开展以上业务的,由公司董事会审议并报股东大会审议批准,并且不得将委托理财审批权授予公司董事(长)个人或经营管理层行使。(3)公司指定专门机构,负责对公司重大投资项目的可行性、投资风险、投资回报等事宜进行专门研究和评估,监督重大投资项目的执行进展,如发现投资项目出现异常情况,应及时向公司董事会报告。(4)公司原则上不进行以股票、利率、汇率和商品为基础的期货、期权、权证等衍生产品投资,如确因规避风险和业务发展需要开展上述投资的,应制定严格的决策程序、报告制度和监控措施,并根据
37、公司的风险承受能力,限定公司的衍生产品投资规模。公司从事高风险业务,应选择资信状况、财务状况良好,无不良诚信记录及盈利能力强的合格专业理财机构作为合作方,并与其签订书面合同,明确双方的权利义务及法律责任等。公司董事会应要求公司指派专人跟踪高风险业务的安全状况,出现异常情况时应要求其及时报告,以便董事会立即采取有效措施回收资金,避免或减少公司损失。(5)公司董事会定期了解重大投资项目的执行进展和投资效益情况,如出现未按计划投资、未能实现项目预期收益、投资发生损失等情况,公司董事会应查明原因,追究有关人员的责任。3.3.13.3 关联交易的内部控制(1)公司关联交易的内部控制应遵循诚实信用、平等、
38、自愿、公平、公开、公允的原则,不得损害公司和其他股东的利益。(2)公司应按照有关法律、行政法规、部门规章以及上市规则等有关规定,明确划分公司股东大会、董事会对关联交易事项的审批权限,规定关联交易事项的审议程序和回避表决要求。(3)公司应参照上市规则及其他有关规定,确定公司关联方的名单,并及时予以更新,确保关联方名单真实、准确、完整。公司及其下属控股子公司在发生交易活动时,相关责任人应仔细查阅关联方名单,审慎页次/页数: 14 / 25判断是否构成关联交易。如果构成关联交易,应在各自权限内履行审批、报告义务。(4)公司审议需独立董事事前认可的关联交易事项时,前条所述相关人员应于第一时间通过董事会
39、秘书将相关材料提交独立董事进行事前认可。独立董事在做出判断前,可以聘请中介机构出具专门报告,作为其判断的依据。(5)公司在召开董事会审议关联交易事项时,会议召集人应在会议表决前提醒关联董事须回避表决。关联董事未主动声明并回避的,知悉情况的董事应要求关联董事予以回避。公司股东大会在审议关联交易事项时,公司董事会及见证律师应在股东投票前,提醒关联股东须回避表决。(6)公司在审议关联交易事项时,应做到:详细了解交易标的真实状况,包括交易标的运营现状、盈利能力、是否存在抵押、冻结等权利瑕疵和诉讼、仲裁等法律纠纷;详细了解交易对方的诚信纪录、资信状况、履约能力等情况,审慎选择交易对手方;根据充分的定价依
40、据确定交易价格;遵循上市规则的要求以及公司认为有必要时,聘请中介机构对交易标的进行审计或评估;公司不应对所涉交易标的状况不清、交易价格未确定、交易对方情况不明朗的关联交易事项进行审议并做出决定;公司与关联方之间的交易应签订书面协议,明确交易双方的权利义务及法律责任;公司董事、监事及高级管理人员有义务关注公司是否存在被关联方挪用资金等侵占公司利益的问题。公司独立董事、监事至少应每季度查阅一次公司与关联方之间的资金往来情况,了解公司是否存在被控股股东及其关联方占用、转移公司资金、资产及其他资源的情况,如发现异常情况,及时提请公司董事会采取相应措施;公司发生因关联方占用或转移公司资金、资产或其他资源
41、而给公司造成损失或可能造成损失的,公司董事会应及时采取诉讼、财产保全等保护性措施避免或减少损失。3.3.13.4 对外担保的内部控制对外担保的内部控制(1)公司(公司之控股子公司)原则上不得为控股之子公司以外单位提供担保,公司为控页次/页数: 15 / 25股子公司提供担保的内部控制也应遵循合法、审慎、互利、安全的原则,严格控制担保风险。(2)公司按照有关法律、行政法规、部门规章以及上市规则等有关规定,在公司章程中明确股东大会、董事会关于对外担保事项的审批权限,以及违反审批权限和审议程序的责任追究机制。在确定审批权限时,公司执行上市规则关于对外担保累计计算的相关规定。(3)公司调查被担保人的经
42、营和信誉情况。董事会应认真审议分析被担保方的财务状况、营运状况、行业前景和信用情况,审慎依法做出决定。公司可在必要时聘请外部专业机构对实施对外担保的风险进行评估,以作为董事会或股东大会进行决策的依据。(4)公司对外担保应尽可能要求对方提供反担保,谨慎判断反担保提供方的实际担保能力和反担保的可执行性。(5)公司独立董事应在董事会审议对外担保事项时发表独立意见,必要时可聘请会计师事务所对公司累计和当期对外担保情况进行核查。如发现异常,应及时向董事会和监管部门报告并公告。(6)公司应妥善管理担保合同及相关原始资料,及时进行清理检查,并定期与银行等相关机构进行核对,保证存档资料的完整、准确、有效,注意
43、担保的时效期限。在合同管理过程中,一旦发现未经董事会或股东大会审议程序批准的异常合同,应及时向董事会和监事会报告。(7)公司指派专人持续关注被担保人的情况,收集被担保人最近一期的财务资料和审计报告,定期分析其财务状况及偿债能力,关注其生产经营、资产负债、对外担保以及分立合并、法定代表人变化等情况,建立相关财务档案,定期向董事会报告。如发现被担保人经营状况严重恶化或发生公司解散、分立等重大事项的,有关责任人将及时报告董事会。董事会有义务采取有效措施,将损失降低到最小程度。(8)对外担保的债务到期后,公司将督促被担保人在限定时间内履行偿债义务。若被担保人未能按时履行义务,公司将及时采取必要的补救措
44、施。(9)公司担保的债务到期后需展期并需继续由其提供担保的,作为新的对外担保,重新履页次/页数: 16 / 25行担保审批程序。(10)公司控股子公司的对外担保比照上述规定执行。公司控股子公司在其董事会或股东大会做出决议后,及时通知公司按规定履行信息披露义务。3.3.13.5 募集资金使用的内部控制(1)公司募集资金使用的内部控制应遵循规范、安全、高效、透明的原则,遵守承诺,注重使用效益。(2)公司建立募集资金管理制度,对募集资金存储、审批、使用、变更、监督和责任追究等内容进行明确规定。(3)公司对募集资金进行专户存储管理,与开户银行签订募集资金专用账户管理协议,掌握募集资金专用账户的资金动态
45、。(4)公司制定严格的募集资金使用审批程序和管理流程,保证募集资金按照招股说明书所列资金用途使用,按项目预算投入募集资金投资项目。(5)公司跟踪项目进度和募集资金的使用情况,确保投资项目按公司承诺计划实施。相关部门应细化具体工作进度,保证各项工作能按计划进行,并定期向董事会和公司财务部门报告具体工作进展情况。确因不可预见的客观因素影响,导致项目不能按投资计划正常进行时,公司按有关规定及时履行报告和公告义务。(6)公司由内部审计部门机构跟踪监督募集资金使用情况并每季度向董事会报告。独立董事和监事会应监督募集资金使用情况,定期就募集资金的使用情况进行检查。独立董事可根据公司章程规定聘请会计师事务所
46、对募集资金使用情况进行专项审核。(7)公司配合保荐人的督导工作,主动向保荐人通报其募集资金的使用情况,授权保荐代表人到有关银行查询募集资金支取情况以及提供其他必要的配合和资料。(8)公司如因市场发生变化,确需变更募集资金用途或变更项目投资方式的,必须经公司董事会审议、通知保荐机构及保荐代表人,并依法提交股东大会审批。(9)公司决定终止原募集资金投资项目的,应尽快选择新的投资项目。公司董事会对新募集资金投资项目的可行性、必要性和投资效益作审慎分析。页次/页数: 17 / 25(10)公司在每个会计年度结束后全面核查募集资金投资项目的进展情况,并在年度报告中作相应披露。3.3.13.6 信息披露的
47、内部控制(1)公司建立信息披露管理制度和重大信息内部报告制度,明确重大信息的范围和内容,指定董事会秘书为公司对外发布信息的主要联系人,并明确各相关部门(包括总部及下属各分、子公司)的重大信息报告责任人。(2)公司明确规定,当出现、发生或即将发生可能对公司股票及其衍生品种的交易价格产生较大影响的情形或事件时,负有报告义务的责任人应及时将相关信息向公司董事会和董事会秘书进行报告;当董事会秘书需了解重大事项的情况和进展时,相关部门(包括总部及下属各分、子公司)及人员应予以积极配合和协助,及时、准确、完整地进行回复,并根据要求提供相关资料。(3)公司建立重大信息的内部保密制度。因工作关系了解到相关信息
48、的人员,在该信息尚未公开披露之前,负有保密义务。若信息不能保密或已经泄漏,公司采取及时向监管部门报告和对外披露的措施。(4)公司建立内幕信息知情人登记管理制度,按照规定公司会如实、完整记录内幕信息在公开前的报告、传递、编制、审核、披露等各环节所有内幕信息知情人名单,以及知情人知悉内幕信息的时间等相关档案,供公司自查和相关监管机构查询。并制定相关措施保证内部信息的安全。(5)公司按照证券交易所的有关规定,规范公司对外接待、网上路演等投资者关系活动,确保信息披露的公平性。(6)公司董事会秘书对上报的内部重大信息进行分析和判断。如按规定需要履行信息披露义务的,董事会秘书及时向董事会报告,提请董事会履
49、行相应程序并对外披露。(7)公司及相关股东方存在公开承诺事项的,公司指定专人跟踪承诺事项的落实情况,关注承诺事项履行条件的变化,及时向公司董事会报告事件动态,按规定对外披露相关事实。(8)公司使用计算机信息系统,并制定信息管理的内控制度。信息管理的内控制度涵盖下列内容:信息处理部门与使用部门权责的划分;页次/页数: 18 / 25信息处理部门的功能及职责划分;系统开发及程序修改的控制;程序及资料的存取、数据处理的控制;档案、设备、信息的安全控制;在交易所网站或公司网站上进行公开信息披露活动的控制。3.3.13.7 其他风险的内部控制(1)公司根据行业特点、战略目标和风险管理策略的不同,就特有风
50、险做出相关内控制度安排。(2)公司制定危机管理和突发事件管理控制制度。公司以书面形式或者其他适当的形式,记录公司制定的控制措施,促进控制措施的有效执行。3.4 信息与沟通本制度所指的信息与沟通是指及时、准确、完整地收集与公司经营管理相关的各种信息,并使这些信息以适当的方式在公司有关层级之间进行及时传递、有效沟通和正确应用的过程。信息是指来源于公司内部及外部、与公司经营相关的财务及非财务的信息;沟通是指信息在公司内部各层次、各部门、上下级公司之间,在公司与顾客、供应商、监管者和股东等外部环境之间的流动。公司应为信息与沟通的建立设置部门和人员,制定相关的制度规范,优化信息系统的采集、存储、加工、分
51、析、测试、传递、报告、披露等环节,保证信息在公司内外部间的顺畅传递。重要信息应当及时传递给董事会、监事会和经理层。3.4.1 信息公司收集的信息尽可能真实、准确、完整、及时、相关。公司应当准确识别、全面收集来源于公司外部及内部、与公司经营管理相关的财务及非财务信息,为内部控制的有效运行提供信息支持。3.4.1.1 内部信息内部信息主要包括会计信息、生产经营信息、资本运作信息、人员变动信息、技术创新信息、综合管理信息等。页次/页数: 19 / 25、 、公司可以通过会计资料、经营管理资料、调查研究报告、会议记录纪要、专项信息反馈、内部报刊网络等渠道和方式获取所需的内部信息。3.4.1.2 外部信
52、息外部信息主要包括政策法规信息、经济形势信息、监管要求信息、市场竞争信息、行业动态信息、客户信用信息、社会文化信息、科技进步信息等。公司可以通过监管部门、社会中介机构、行业协会组织、业务往来单位、市场调查研究、外部来信来访、新闻传播媒体等渠道和方式获取所需的外部信息。3.4. 2 沟通公司采取互联网络、电子邮件、电话传真、信息快报、例行会议、专题报告、调查研究、员工手册、教育培训、内部刊物等多种方式,实现所需的内部信息、外部信息在公司内部准确、及时传递和共享,确保决策层、经理层和公司员工之间有效沟通。有效的信息沟通需要合理考虑来自不同部门和岗位、不同渠道的相关信息进行合理筛选和相互核对。公司有
53、责任建立良好的外部沟通渠道,对外部有关方面的建议、投诉和收到的其他信息进行记录,并及时予以处理、反馈。外部沟通应当重点关注以下方面:3.4.2.1 与投资者和债权人的沟通公司根据中华人民共和国公司法中华人民共和国公司法 中华人民共和国证券法国有资产监督管理条例等法律法规、公司章程的规定,通过股东大会、投资者会议、定向信息报告、情况汇报(适用于非公司制公司)等方式,及时向投资者报告公司的战略规划、经营方针、投融资计划、年度预算、经营成果、财务状况、利润分配方案以及重大担保、合并分立、资产重组等方面的信息,听取投资者的意见和要求,妥善处理公司与投资者之间的关系。3.4.2.2 与客户的沟通公司通过
54、客户座谈会、走访客户等多种形式,定期听取客户对消费偏好、销售政策、产品质量、售后服务、货款结算等方面的意见和建议,收集客户需求和客户的意见,妥善解决可能存在的控制不当问题。页次/页数: 20 / 253.4.2.3 与供应商的沟通公司通过供需见面会、订货会、业务洽谈会等多种形式与供应商就供货渠道、产品质量、技术性能、交易价格、信用政策、结算方式等问题进行沟通,及时发现可能存在的控制不当问题。3.4.2.4 与监管机构的沟通公司及时向监管机构了解监管政策和监管要求及其变化,并相应完善自身的管理制度;同时认真了解自身存在的问题,积极反映诉求和建议,努力加强与监管机构的协调。3.4.2.5 与外部审
55、计师的沟通公司定期与外部审计师进行会晤,听取外部审计师有关财务报表审计、内部控制等方面的建议,以保证内部控制的有效运行以及双方工作的协调。3.4.2.6 与律师的沟通公司根据法定要求和实际需要,聘请律师参与有关重大业务、项目和法律纠纷的处理,并保持与律师的有效沟通。3.5 监控本制度所指的监控是指公司对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面检查报告并作出相应处理的过程。公司应当利用信息与沟通情况,提高监控工作的针对性和时效性;同时,通过实施监控,不断提高信息与沟通的质量和效率。公司加强对内部控制及其实施情况的监控。监控的方式主要包括持续性监控和专项监控等。持续性监控,是
56、指公司对建立和实施内部控制的整体情况所进行的连续的、全面的、系统的、动态的监控。专项监控,是指公司对内部控制建立与实施的某一方面或者某些方面的情况所进行的不定期的、有针对性的监控。持续性监控和专项监控应当有机结合。3.5.1 监督公司董事会所属审计委员会、内部审计机构或者实际履行内部控制监督职责的其他有关机构应当根据国家法律法规要求和公司授权,采取适当的程序和方法,对内部控制的建立与实施情况进行监督检查,形成检查结论并出具书面检查报告。履行内部控制监控职责的机构加强队伍职业道德建设和业务能力建设,不断提高监控工页次/页数: 21 / 25作的质量和效率,树立并增强监控的权威性。公司对在监控过程
57、中发现的内部控制缺陷,采取适当的形式及时进行报告。对于监控中发现的重大缺陷或者重大风险,应当及时向董事会及其审计委员会和经理层汇报。内部控制缺陷,是指内部控制的设计存在漏洞、不能有效防范错误与舞弊,或者内部控制的运行存在弱点和偏差、不能及时发现并纠正错误与舞弊的情形。重大缺陷,是指业已发现的内部控制缺陷可能严重影响财务报告的真实可靠和资产的安全完整。公司分析内部控制缺陷产生的原因,并有针对性地提出和实施改进方案,不断健全和完善公司内部控制。公司结合其内部控制,对在监控中发现的违反内部控制规定的行为,及时通报情况和反馈信息,并严格追究相关责任人的责任,维护内部控制的严肃性和权威性。3.5.2 检
58、查公司结合内部控制监控工作,定期对内部控制的健全性、合理性与有效性进行自我评估,形成书面评估报告。评估报告应当全面反映公司一定时期内建立与实施内部控制的总体情况。内部控制自我评估的方式、范围、程序和频率,由公司根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等多种因素合理确定,但是至少应当每一年进行一次,法律、行政法规和有关监管规则另有规定的除外。公司根据国家有关法律、行政法规或者有关监管规则的规定提交并披露(以财务报告为主的)内部控制自我评估报告时,至少应当在内部控制自我评估报告中披露以下内容:声明公司决策层对建立健全和有效实施内部控制负责,并履行了指导和监督职责,能够保证财务报告
59、的真实可靠和资产的安全完整;声明已经遵循有关的标准和程序对内部控制设计与运行的健全性、合理性和有效性进行了自我评估;对开展内部控制自我评估所涉及的范围和内容进行简要描述;声明通过内部控制自我评估,可以合理保证本公司的内部控制不存在重大缺陷;如果在自我评估过程中发现内部控制存在重大缺陷,应当披露有关的重大缺陷及其影页次/页数: 22 / 25响,并专项说明拟采取的改进措施;保证除了已披露的内部控制重大缺陷之外,不存在其他重大缺陷;自资产负债表日至内部控制自我评估报告报出日之间,如果内部控制的设计与运行发生重大变化的,应当说明重大变化情况及其影响。依法应当披露的内部控制自我评估报告,经决策层审议批
60、准后公布。4.0 组织实施4.1 公司根据本制度的要求,发挥自身力量,或者适当借助中介机构提供的咨询服务,不断改进和完善经营管理制度和内部控制,不断提高经营管理和内部控制效能。4.2 公司通常可以采取以下方法和程序建立健全本公司的内部控制:4.2.1 对公司的组织体系、机构设置、营业范围、经营方式、主要业务、营运情况、管理水平、员工情况、财务状况、经营成果以及所处的外部环境等进行全面总结和分析。4.2.2 按照一定的方法,合理归集、构建适应公司经营管理状况和内部控制要求的相关子系统,包括职责确定、机构设置、职能划分、人员配备等决策管理系统;采购、生产、销售、储存、运输等经营系统;会计、统计、审
61、计、计算机信息技术等支持保障系统。4.2.3 对各相关子系统进行认真研究和梳理,确定各子系统运行过程中的主要风险、关键环节和关键控制点,并针对每一个关键环节和关键控制点制定有效的控制措施。4.2.4 用文字、流程图、风险控制文档等多种形式将各相关子系统及其业务和事项加以规定和说明,形成与经营管理制度有机结合的内部控制。4.2.5 运用计算机信息技术手段实施内部控制的公司,在建立健全本公司内部控制时,应当充分考虑手工控制与计算机信息技术控制的特点和差异,但不得因实行计算机信息技术控制而免除或减少必要的控制程序。4.3 公司采取分步实施、逐步完善的方法建立健全本公司的内部控制。公司在建立与财务报告
62、真实可靠、资产安全完整密切相关的内部控制时,先行对本公司的财务报表项目进行全面分析,在此基础上,按照重要性水平和对财务报告真实可靠、资产安全完整的影响程度,有重点地选择部分报表项目及与之紧密相关的业务或事项作为关键控制对象,按照有关要求建立相应的内部控制。页次/页数: 23 / 254.4 公司应当加强宣传引导和教育培训,通过多种途径广泛宣传公司内部控制,建立高级管理人员职业操守准则和员工行为守则,引导管理层和全体员工掌握公司内部控制的本质要求,促进管理层和全体员工加强职业道德修养、提高专业胜任能力,自觉遵守公司内部控制的各项规定。4.5 公司法定代表人、总经理和其他高级管理人员有责任带头执行
63、内部控制,为全体员工做公司法定代表人、总经理和其他高级管理人员有责任带头执行内部控制,为全体员工做出表率。公司法定代表人、总经理有责任为公司及所属分、子公司依法履行职责、实施内部控制提供保障和支持。4.6 公司应当充分考虑包括经理层凌驾、串通舞弊、人为错误或者疏漏、制度滞后等内部控制的局限给公司带来的风险,并采取适当的措施将可能发生的风险控制在合理的范围之内。4.7 公司建立突发事件应急管理机制,针对经营管理和内部控制中的潜在隐患以及可能发生的突出事件,制定应急预案、明确责任人员、规范处置程序和信息发布、做好善后处理和总结评估,举一反三,防微杜渐,确保突发事件得到及时、妥善处理,切实将不利影响和损失降低到最小程度。4.8 公司有确凿证据表明外部人为强制力对公司实现内部控制目标有重大不利影响的,有权向有关部门或者直接向施加不利影响的人员的上级主管人员进行反映和举报,并有权拒绝办理被强令的有关业务与事项;同时,详细记录有关情况以备查。5.0 附则5.1 本制度由公司董事会负责解释。5.2 本制度自发布之日起施行。页次/页数: 24 / 25
