内部控制及风险管理制度
荣丰控股集团股份有限公司
内部控制及风险管理制度
第一章总则
第一条为进一步完善荣丰控股集团股份有限公司(以下简称“公司”)
的法人治理结构,加强公司内部控制,促进公司规范运作和健康发展,保护投资者合法权益,根据《中华人民共和国公司法》《中华人民共和国证券法》《企业内部控制基本规范》《上市公司治理准则》及《深圳证券交易所股票上市规则》(以下简称《上市规则》)、《深圳证券交易所上市公司自律监管指引第
1号——主板上市公司规范运作》等法律法规和规范性文件的有关规定,结合
公司的实际情况,制定本制度。
第二条公司内部控制的目标是:
(一)合理保证公司经营管理合法合规及公司内部规章制度的贯彻执行;
(二)经济且有效地利用公司资源,提高经营效率和效果;
(三)保证公司财务报告及相关信息真实、完整;
(四)有效保护公司资源,保障公司的资产安全;
(五)确保公司发展战略目标和经营计划的有效实现。
第三条公司建立与实施内部控制,应遵循下列原则:
(一)全面性原则:内部控制应当做到事前、事中、事后控制相统一;覆
盖公司的所有业务、部门和人员,贯穿决策、执行、监督、反馈等各个环节和过程,确保不存在内部控制的漏洞;
(二)重要性原则:内部控制在全面控制的基础上,关注重要业务事项和高风险领域;
(三)制衡性原则:内部控制应在治理结构、机构设置及权责分配、业务
流程等方面形成相互制约、相互监督的机制,同时兼顾运营效率;
(四)适应性原则:内部控制应符合国家有关法律法规和中国证监会的有关规定,与公司经营规模、业务范围、风险状况及公司所处的环境相适应,应权衡实施成本与预期效益,以适当的成本实现有效控制,并随着情况的变化及内部控制及风险管理制度时加以调整;
(五)独立性原则:承担内部控制监督检查职能的部门应当独立于公司其他部门,业务部门中后台岗位独立于业务操作岗位。
第四条公司建立与实施有效的内部控制,应充分考虑以下要素:
(一)内部环境:指影响公司内部控制制度制定、运行及效果的各种综合因素,包括公司组织结构、企业文化、风险理念、经营风格、人事管理政策等;
(二)风险评估:公司经营管理层对影响其目标实现的内、外各种风险进行分析,考虑其可能性和影响程度,以便公司制定必要的对策;
(三)控制活动:公司经营管理层为确保风险对策有效执行和落实所采取
的措施和程序,主要包括批准、授权、验证、协调、复核、定期盘点、记录核对、财产的保护、职责的分离、绩效考核等内容;
(四)信息与沟通:指识别、采集来自公司内部和外部的相关信息,并及时向相关人员有效传递;
(五)内部监督:内部监督是指公司对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
第二章内部控制和风险管理的要求
第五条公司建立完善内部控制和风险管理制度,确保股东会、董事会及
其专门委员会等机构合法运作和科学决策,建立有效的激励约束机制,树立风险防范意识,培育良好的企业精神和内部控制文化,创造全体职工充分了解并履行职责的环境。
公司董事会对公司内部控制和风险管理制度的制定和有效执行负责,并定期对内部控制和风险管理制度建设及实施情况进行全面检查和效果评估。审计委员会负责审查公司内部控制和风险管理,监督内部控制和风险管理的有效实施和内部控制评价情况,协调内部控制审计及其他相关事宜等。
第六条公司经营管理层负责组织领导公司内部控制和风险管理的日常运行,全面推进内部控制和风险管理制度的执行,检查公司各职能部门、分支机构和子公司(包括全资、控股子公司以及对公司具有重大影响的参股公司,下同)制定、执行各专项内部控制和风险管理制度的情况。
第七条公司内审部门对董事会负责,向董事会审计委员会报告工作。内内部控制及风险管理制度
审部门在对公司业务活动、风险管理、内部控制、财务信息、子公司管理等情
况进行检查监督过程中,应当接受审计委员会的监督指导。
第八条公司应当加强内部审计工作,保证内部审计机构设置、人员配备
和工作的独立性。内审中心作为公司内部审计机构,应当结合内部审计监督对内部控制的有效性进行监督检查,对监督检查中发现的内部控制缺陷,应当按照内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会报告。
第三章内部控制的内容
第九条公司的内部控制活动涵盖公司经营活动中与财务报告和信息披露
事务相关的所有业务环节,包括但不限于:销货与收款、采购及付款、存货管理、投资与融资管理、人力资源管理、固定资产管理、资金管理、信息系统管理和信息披露事务管理等。
第十条公司依据国家有关法律法规和公司章程,建立科学有效的职责分
工和组织架构,确保各项工作责权到位:
(一)股东会是公司最高权力机构;
(二)董事会依据公司章程和股东会授权,对公司经营进行决策管理;
(三)审计委员会依据公司章程和股东会授权,独立行使公司监督权,对
董事会、总经理和其他高级管理人员、公司财务进行监督;
(四)总经理和其他高级管理人员,依据公司章程和董事会授权,对公司日常经营实施管理。
(五)公司依据经营实际需要设置各职能管理部门及分支机构。各职能管
理部门贯彻执行职责和业务范围内的规章制度,编制各项业务流程,修订并完善业务管理规范,并负责实施;各职能部门对分支机构进行专业指导、监督及服务,指导执行公司各项规章制度,发现问题督促整改。
第十一条公司明确界定各分子公司、各部门、各岗位的职责、权限和目标。建立相应的逐级授权、检查和问责机制,确保其在授权范围内履行职能。
对授权实行动态管理,建立有效的评价和反馈机制,对已不适用或不适当的授权及时修改或取消。
第十二条公司内审部门对内部控制的有效性进行监督检查和对内部控制内部控制及风险管理制度进行自我评价。发现内部控制缺陷应当按照内部审计工作程序进行报告,并有权直接向董事会及其审计委员会报告。
第十三条公司重点加强对关联交易、对外担保、募集资金使用、重大投
资、信息披露等活动的控制,并建立相应的控制政策和程序;重点加强对子公司的管理控制,并督促其充分结合自身业务特征等因素建立内部控制制度。
第十四条公司应当将职业道德修养和专业胜任能力作为选拔和聘用员工
的重要标准,切实加强员工培训和继续教育,不断提升员工素质。
第十五条公司应加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。
公司董事、总裁及高级管理人员应当在公司文化建设中发挥主导作用;员
工应当遵守员工手册,认真履行岗位职责。
第十六条公司应加强法治教育,增强董事、总裁及高级管理人员和员工
的法治观念,严格依法决策、依法办事、依法监督。
第十七条公司应当重视履行社会责任,切实做到经济效益与社会效益、短期利益和长远利益、自身发展与社会发展相互协调,实现公司与员工、公司与社会、公司与环境的健康和谐发展。
第四章风险管理的内容
第十八条公司根据设定的控制目标,全面系统持续地收集相关信息,及
时进行风险评估。结合实际情况由公司内审部门牵头,联合各相关部门组建风险评估小组,对公司面临的各类风险进行全面排查与评估;根据评估结果,采取针对性控制措施或对现有措施进行优化调整。
第十九条公司开展风险评估,应准确识别与实现控制目标相关的内部风
险和外部风险,确定相应的风险承受度。风险承受度是公司能够承担的风险程度,包括整体风险承受能力和具体业务层面上的可接受风险水平。
第二十条公司识别内部风险,重点关注下列因素:
(一)董事、总裁及高级管理人员的职业操守、员工专业胜任能力等人力资源因素;
(二)组织机构、经营方式、资产管理、业务流程等管理因素;内部控制及风险管理制度
(三)研究开发、技术投入、信息技术运用等自主创新因素;
(四)财务状况、经营成果、现金流量等财务因素;
(五)营运安全、员工健康、环境保护等安全环保因素;
(六)其他有关内部风险因素。
第二十一条公司识别外部风险,重点关注下列因素:
(一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;
(二)法律法规、监管要求等法律因素;
(三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;
(四)技术进步、工艺改进等科学技术因素;
(五)自然灾害、环境状况等自然环境因素;
(六)其他有关外部风险因素。
第二十二条公司应当采用定性与定量相结合的方法,按照风险发生的可
能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。公司进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
第二十三条公司根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。
公司应当合理分析、准确掌握董事及高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给公司经营带来重大损失。
第二十四条公司应综合运用风险规避、风险降低、风险分担和风险承受
等风险应对策略,实现对风险的有效控制。
风险规避是公司对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。
风险降低是公司在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。
风险分担是公司准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。
风险承受是公司对风险承受度之内的风险,在权衡成本效益之后,不准备内部控制及风险管理制度采取控制措施降低风险或者减轻损失的策略。
第二十五条公司应结合不同发展阶段和业务拓展情况,持续收集与风险
变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
第五章控制措施
第二十六条公司应制定合理、有效的内控措施,包括:不相容职务分离
控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控
制、绩效考核控制、重大风险预警和突发事件应急处理机制。
第二十七条公司及各子公司各项业务活动遵守本制度及其他管理制度执行,加强对关联交易、担保、募集资金使用、重大投资、信息披露等活动的控制,建立相应控制政策及程序。
第二十八条公司各部门妥善保管各类业务资料,保证内部控制档案的完
整、内部控制档案原则上不得外用,有特殊需要须经公司批准,内部控制档案按照不同业务类型分别确定保管期限及销毁方式。
第六章信息与沟通
第二十九条信息与沟通是指及时、准确、完整地收集与公司经营管理相
关的各种信息,并使这些信息以适当的方式在公司有关层级之间及时传递,有效沟通和正确应用的过程。
第三十条公司全面收集来源于公司外部及内部、与公司经营管理相关的
财务及非财务信息,为内部控制的有效运行提供信息支持。
第三十一条公司内部信息主要包括会计信息、生产经营信息、资本运作
信息、人员变动信息、技术创新信息、综合管理信息等,公司通过会计资料、经营管理资料、调查研究报告、会议记录纪要、专项信息反馈等渠道和方式获取所需的内部信息。
第三十二条外部信息主要包括政策法规信息、经济形势信息、监管要求
信息、市场竞争信息、行业动态信息、客户信用信息、社会文化信息、科技进步信息等。公司通过立法监管部门、社会中介机构、行业协会组织、业务往来单位、市场调研、外部信访、新闻传播媒体等渠道和方式获取所需的外部信息。
第三十三条公司建立良好的外部沟通渠道,对外部有关方面的建议、投内部控制及风险管理制度
诉和收到的其他信息进行记录,并及时处理、反馈。
(一)与投资者的沟通。公司根据有关规定,通过股东会、投资者说明会等方式,及时向投资者报告公司的战略规划、投融资计划、年度预算、经营成果、财务状况、利润分配方案及重大担保、合并分立、资产重组等方面的信息。
听取投资者的意见和要求,妥善处理公司与投资者之间的关系;
(二)与客户的沟通。公司通过客户座谈会、走访客户等形式,定期听取
客户对消费偏好、销售政策、产品质量、售后服务、货款结算等方面的意见和建议,妥善解决可能存在的控制不当问题;
(三)与供应商的沟通。公司通过供需见面会、订货会、业务洽谈会等形
式与供应商就供货渠道、产品质量、技术性能、交易价格、信用政策、结算方
式等进行沟通,及时发现可能存在的控制不当问题;
(四)与监管机构的沟通。公司通过及时向监管机构了解监管政策和监管
要求及其变化,相应完善自身的管理制度。同时,认真了解自身存在的问题,积极反映诉求和建议,努力加强与监管机构的协调;
(五)与外部审计的沟通。公司通过定期与外部审计师进行会晤,听取外
部审计机构有关财务报告审计、内控等方面的建议,以保证内部控制的有效运行及双方工作的协调。
第七章监督与检查
第三十四条监督检查是指对内部控制的健全性、合理性和有效性进行监
督检查与评估,形成书面检查报告并做出相应处理的过程。
第三十五条内部控制缺陷,是指内部控制的设计存在漏洞、不能有效防
范错误与舞弊,或者内部控制的运行存在弱点或偏差,不能及时发现并纠正错误与舞弊的情形;重大缺陷,是指已发现的内部控制缺陷或能严重影响财务报告的真实可靠和资产的安全完整。
第三十六条监督检查的方式,包括但不限于外部检查、内部自查、内部
审计等:
(一)外部检查,包括上级单位不定期的审计检查;
(二)内部自查,公司内审部门对各部门及子公司一年进行一次内部控制评价,及时发现缺陷并督促整改;内部控制及风险管理制度
(三)内部审计,内审部门根据公司年度风险管理与内部控制要求,不定期开展风险与内部控制管理专项监督检查。
第三十七条对内部控制评价,专项检查过程中发现的内部控制缺陷、重
要或重大风险,责任单位应当分析其性质、产生原因和影响程度,提出整改方案,内控部门跟踪落实缺陷整改或风险管控措施,严格追究相关责任人的责任,维护其严肃性和权威性。
第三十八条公司内部审计机构结合监督检查结果,对内部控制的健全性、合理性与有效性进行自我评估形成书面评估报告。自我评估的方式、范围、程序和频率,由公司根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等多种因素合理确定,法律法规和有关监督规则另有规定的除外。
第三十九条公司内部审计机构根据年度内部控制评价结果、内部控制缺
陷认定结果等相关资料,按照监管机构规定的格式和要求,编写公司内部控制自我评价报告,经董事会批准后对外披露。
第八章附则
第四十条本制度未尽事宜,按国家有关法律、行政法规、规范性文件及
《公司章程》的规定执行。本制度如与国家颁布的有关法律、行政法规、规范性文件及经合法程序修改后的《公司章程》相抵触时,按国家有关法律、行政法规、规范性文件及《公司章程》执行。
第四十一条本制度由公司董事会负责解释。
第四十二条本制度自公司董事会审议通过之日起施行。
沪公网安备31011802005267号
