黔源电力:内控合规风险管理实施办法
贵州黔源电力股份有限公司内控合规风险管理实施办法
(2023年8月)
第一章 总 则
第一条 为加强贵州黔源电力股份有限公司(以下简称公司)内部控制、合规管理、风险管理(以下简称内控合规风险管理),发挥内部控制强基固本作用,提升合规经营水平,增强风险防控能力,保障公司持续健康发展,根据国务院国资委《关于全面推进法治央企建设的意见》《关于加强中央公司内控体系建设与监督工作的实施意见》《中央公司全面风险管理指引(试行)》《中央公司合规管理指引(试行)》、财政部《公司内部控制基本规范》及其配套指引等相关规定、《贵州黔源电力股份有限公司章程》等规定,制定本办法。
第二条 本办法所称内部控制,是指由公司董事会、经理层和全体员工实施的,为实现控制目标而开展的明确权责、制定制度、规范流程、有效执行、评价改进等的管理过程。
本办法所称合规,是指公司经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求。
本办法所称风险,是指未来的不确定性对公司实现其经营目标的影响。本办法所称合规风险,是指公司及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。
第三条 公司按照“能合则合、可分可合、高效协同”的要求,
统筹推进内控合规风险管理一体化建设、运行与监督评价,健全完善以风险管理为导向、以合规管理为基础、以内部控制为手段,与公司治理体系和治理能力现代化相适应的内控合规风险管理体系,全面提升公司风险防控能力水平,保障公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进公司实现发展战略。
第四条 内控合规风险管理工作应遵循以下原则:
(一)坚持党的领导。健全完善党的领导融入公司治理的运行机制,充分发挥公司党委全面领导作用,把党的领导贯穿内控合规风险管理全过程。
(二)坚持全面覆盖。将内控合规要求嵌入经营管理各领域各环节,贯穿决策、执行、监督全过程,落实到公司、各部门和全体员工,实现多方联动、上下贯通。
(三)坚持权责清晰。按照“管业务必须管内控合规风险”的要求,明确业务及职能部门、内控合规风险管理部门和监督部门职责,筑牢内控合规风险管理“三道防线”。
(四)坚持务实高效。建立健全符合公司实际的内控合规风险管理体系,突出对重点领域、关键环节和重要人员的管理,充分利用信息化手段,切实提高管理效能。
第五条 本实施办法适用于公司本部及系统各单位。各单位负责在公司统一的内控合规风险管理体系框架下,建立健全本单位内控合规风险管理体系,推进内控合规风险管理常态化运行。公司内控合规风险管理体系应与证券监管要求相适应,满足监管要求。
第二章 组织和职责第六条 公司建立健全党委全面领导、董事会决策督导、经理层组织实施、牵头部门归口管理、业务及职责部门主责推动、监督部门执行监督、全体员工有效参与的内控合规风险管理职责体系。
公司通过公司章程、议事规则、“三重一大”事项决策权责清单、规章制度等,明确各治理主体、各管理层级的内控合规风险管理职责。
第七条 公司党委发挥把方向、管大局、保落实的领导作用,前置研究讨论内控合规风险管理基本制度、体系建设方案和年度报告,以及重大风险管理策略和解决方案、内控合规风险管理机构的设置和调整方案,定期听取内控合规风险管理工作情况汇报,推动内控合规风险管理要求在公司得到严格遵循和落实,不断提升公司依法合规经营管理水平和风险防控能力。具有人财物重大事项决策权且未设立党委的公司,由党支部参照履行相关职责。
公司严格遵守党内法规制度,公司党建工作机构在党委的领导下,按照有关规定履行相应职责,推动相关党内法规制度有效贯彻落实。
第八条 公司董事会(未设立董事会的公司由相应决策机构承担)是内控合规风险管理的决策机构,发挥定战略、作决策、防风险作用。主要职责包括:
(一)审议批准内控合规风险管理基本制度、体系建设方案和年度报告等;
(二)推动完善内控合规风险管理体系,并对其有效性进行总体监控和评价;
(三)研究决定内控合规风险管理重大事项;
(四)定期听取内控合规风险管理工作情况汇报。
公司董事会审计委员会负责监督指导内控管理工作,向董事会负责并报告工作,主要职责包括:
1.指导公司内控管理体系和相关制度建设;
2.听取内控工作情况汇报,并审议公司年度内控工作报告文件;
3.对内控管理体系的完整性和有效性进行评估和督导;
4.完成董事会授权或安排的其他事宜。
公司董事会战略发展委员会负责监督指导合规风险管理工作,向董事会负责并报告工作,主要职责包括:
1.指导公司合规风险管理体系和相关制度建设;
2.听取合规风险工作情况汇报,并审议公司年度合规管理报告、年度风险评估报告等文件;
3.审议公司风险管理总体目标、风险偏好、风险承受度以及风险管理策略和重大风险解决方案;
4.对合规风险管理体系的完整性和有效性进行评估和督导;
5.完成董事会授权或安排的其他事宜。
第九条 公司经理层发挥谋经营、抓落实、强管理作用。主要职责包括:
(一)组织落实公司党委、董事会关于内控合规风险管理的决议;
(二)组织推进内控合规风险管理体系的建设与运行;
(三)组织重大风险事件处置和重大内控缺陷整改;
(四)指导监督各部门和所属公司开展内控合规风险管理工作;
(五)组织推进内控合规风险管理信息化建设。
第十条 公司设立内控合规风险管理委员会,可以与法治建设领
导机构等合署办公,统筹协调内控合规风险管理工作。主要职责包括:
(一)统筹协调解决内控合规风险管理重大问题,研究决定内控合规风险管理重大事项或提出意见建议;
(二)推动完善内控合规风险管理体系;
(三)组织开展公司特别重大内控合规风险管理事项审查,并提出合规审查意见;
(四)审核公司内控合规风险管理制度和年度报告;
(五)指导、监督、评价和考核内控合规风险管理工作。
根据会议内容,委员会会议由主任或副主任主持召开,也可授权其他委员主持召开。
第十一条 公司主要负责人是内控合规风险管理工作的第一责任人,应切实履行内控合规风险管理重要组织者、推动者和实践者的职责,组织领导建立健全覆盖各级公司、部门、岗位,涵盖各业务领域全面有效的内控合规风险管理体系。公司领导班子其他成员应组织抓好分管业务领域的内控合规风险管理工作,健全分管业务领域的内控合规管理机制并推动有效运行。
第十二条 公司首席合规官对公司主要负责人负责。主要职责如下:
(一)领导合规管理部门组织开展日常工作,指导公司加强合规管理;
(二)审查重大决策事项的合法合规审查意见;
(三)组织开展合规问题监督检查,牵头组织应对重大合规风险事件。
第十三条 公司业务及职能部门按照“业务谁主管,内控合规风
险管理谁负责”的原则,承担本部门业务领域内控合规风险管理主体责任,做实内控合规风险管理的“第一道防线”。主要职责包括:
(一)梳理本部门业务领域应遵循的外部法律法规、监管规定和行业准则等,建立健全管理制度与流程,编制重点业务领域的《内控合规风险管理手册》;
(二)将内控合规风险管理要求纳入岗位职责,督促落实岗位业务合规审查要求;
(三)开展本部门经营管理行为的合法合规审查;
(四)开展本部门业务领域的风险识别评估,编制风险清单,制定并落实风险防控措施;
(五)按规定报告重大风险事件,组织或者配合开展风险应对处置工作;
(六)开展本部门业务领域的内控合规评价,对发现的内控缺陷和合规问题进行整改;
(七)抓好内控合规风险牵头管理部门、审计监督部门移交的内控缺陷、合规问题整改,定期反馈整改情况。涉及所属公司的问题,督导相关单位抓好整改;对于共性问题、突出问题,研究健全完善相应的长效机制;
(八)推动将内控合规风险管理要求融入业务管理信息系统。
业务及职能部门应设置内控合规风险管理员,由业务骨干担任,接受内控合规风险牵头管理部门的业务指导和培训,负责组织协调本部门开展内控合规风险管理有关工作。
第十四条 公司证券法务部是内控合规工作牵头管理部门(简称牵头管理部门),财务资产部是风险管理牵头部门,按照统筹协调、
组织推动、督促落实的职能定位,做实内控合规风险管理的“第二道防线”。主要职责包括:
(一)组织起草内控合规风险管理制度、体系建设方案和年度计划等,经批准后推进落实;
(二)组织开展内控合规风险管理体系建设与运行,并对其有效性进行评价,牵头督促内控缺陷、合规问题整改;
(三)负责规章制度、经济合同、重大决策的合法合规审查;
(四)组织开展风险识别评估、监测预警和防范应对工作;
(五)受理职责范围内的违规举报,提出分类处置意见,组织或者参与对违规行为的调查;
(六)组织实施内控合规风险管理信息化建设;
(七)组织或者协助业务及职能部门开展内控合规风险管理培训,受理相关工作咨询。
公司配备与经营规模、业务范围、风险水平相适应的内控合规风险管理专(兼)职人员,加强业务培训,提升专业化能力水平。
第十五条 公司纪检监察和监督、巡察、审计等部门在职责范围内对内控合规风险管理要求落实情况进行监督检查,按照职责分工对违规行为进行调查,按照有关规定开展责任追究,做实内控合规风险管理的“第三道防线”。
第三章 内控合规风险管理制度体系建设
第十六条 公司建立健全层次分明、协调配套、务实管用的内控合规风险一体化管理制度体系。
第十七条 公司制定《内控合规风险管理办法》,作为内控合规风
险管理的基本制度,明确总体目标、机构职责、运行机制、考核问责等。
第十八条 公司参照相应的示范手册,针对各重点业务领域分别编制《内控合规风险管理手册》,构建优化业务管理流程,建立健全《规范清单》《风险控制矩阵清单》《责任与权限指引清单》(简称“三单一流程”)。
(一)构建优化业务管理流程。公司深入分析重点业务领域管控的流程逻辑和关键环节,通过自查、互查、专家诊断等多种方式,结合年度风险评估工作形成的《风险清单》,对业务流程运行中的风险高发点、管理薄弱点、操作易错点等进行梳理识别,细化形成业务流程的各个风险点,确定对应的控制点,并明确各个控制点的归口管理部门,构建形成、持续优化业务管理流程。
(二)建立健全《规范清单》。公司定期梳理本公司适用的外法内规,全面识别公司遵循的合规义务条款,建立健全各重点业务领域的《规范清单》。
(三)建立健全《风险控制矩阵清单》。公司针对业务管理流程中的管控重点和关键环节,以落实《规范清单》和风险防范要求为重点,按照内控的方法和原则,制定各重点业务领域每一个风险点、控制点的相应内控措施,建立健全《风险控制矩阵清单》。
(四)建立健全《责任与权限指引清单》。公司在“三重一大”事项决策权责清单、各部门职能和岗位职责的基础上,本着相互衔接、相互制衡、相互监督的原则,优化职责权限分配和审批程序设置,建立健全《责任与权限指引清单》。对一人履职可能发生错误或舞弊风险的岗位职责,按照不相容岗位职责相分离的要求,落实岗位职责分
离措施。
第十九条 公司结合主要业务范围,针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域,以及风险较高的业务和新领域、新业态,制定专项管理规范。
第四章 内控合规风险管理体系运行
第一节 风险管理
第二十条 公司定期(每年至少一次)开展风险的全面梳理识别与分析工作,广泛收集与公司生产经营相关的内外部风险信息,包括内控缺陷和合规风险等,分析风险成因和突出表现,结合行业和公司实际,建立并及时更新《风险清单》。风险信息包括但不限于以下方面:
(一)战略风险方面:国内外宏观经济形势、产业政策、行业发展状况、国际化经营、改革与业务转型、科技创新、战略伙伴、资本运作、并购重组等;
(二)市场风险方面:电力、煤炭等商品行情、价格信息,市场竞争情况,客户信用和回款情况等;
(三)财务风险方面:公司现金流量、债务、金融衍生品交易、金融业务等信息,行业会计政策、会计估计信息,汇率、利率等融资政策和信息等;
(四)运营风险方面:公司经营效益信息,非主业投资、投资计划完成信息,安全生产事故、生态环保事故、网络安全等信息,重大自然灾害预警信息,国家和地方安全生产、节能与环保政策,煤炭、物资采购与供应链信息,工程质量、进度控制等;
(五)法律合规风险方面:与本公司相关的法律法规环境,法律法规、监管规定等调整变化情况,相关合规要求遵循情况,公司发生的重大法律诉讼案件、行政处罚和刑事处罚等;
(六)其他风险方面:其他对公司经营发展造成影响的信息。
第二十一条 公司根据《风险清单》和风险评估标准,采用定性与定量相结合的方式,组织开展全面风险评估工作,客观分析、科学研判公司面临的风险,确定风险等级。
公司根据有关要求开展专项风险评估,并将专项风险评估要求纳入业务管理制度。在投资并购、改革改制重组等重大经营事项决策前,由业务部门组织开展专项风险评估,出具重大决策风险评估报告(含风险应对措施或处置预案),或在项目可研报告等文件中对风险评估情况进行专项说明,履行相关审批程序后作为决策的参考依据。对超出公司风险承受能力或风险应对措施不到位的事项不得决策,已经决策的事项不得组织实施。
第二十二条 公司根据风险的突出表现和评估结果,围绕公司战略规划和经营目标,细化制定切实可行的风险防范应对措施,并纳入全年工作部署,明确责任部门和责任人,确保各项措施落实到位。
公司在做好本公司风险有效应对的同时,应全面分析上级公司相关风险特别是前十大风险在本公司的突出表现,做好上级公司风险防范应对措施的对接落实,确保一贯到底、层层夯实、有效防控。
第二十三条 公司针对前十大风险,建立可量化的风险监测预警指标体系,合理设置预警区间,密切跟踪风险监测预警指标运行情况,发生异动时及时发布预警提示,并调整风险防范应对措施。
第二十四条 公司建立健全风险全过程动态管控机制,业务及职
能部门应将风险防范应对措施融入业务管理和职能管理,在日常工作中同步推进风险防控应对。每季度末,业务及职能部门应将风险防控工作落实情况、风险变化分析情况和重大风险事件情况报送牵头管理部门。牵头管理部门应定期编制季度风险监测报告,经公司主要负责人审定后按要求报送。
公司结合所处行业特点和公司经营实际,深入分析宏观政策、市场环境及大宗商品价格等形势变化,及时研判风险走势,加强前十大风险的监测预警,定期排查风险隐患,针对新风险、新情况、新问题,及时更新风险清单、风险突出表现并调整风险防范应对措施。
第二十五条 公司是重大风险事件处置和报告的责任主体,应按照重大风险事件管理的有关规定,健全重大风险事件处置和首报、续报、终报的报告工作机制,明确责任分工,畅通报送渠道。
发生重大风险事件,有关业务及职能部门应及时采取措施应对处置,按照规定及时向本公司董事会或其他决策机构报告,并报送内控合规风险管理牵头部门,客观准确反映风险事件情况,有效防范重大风险蔓延和叠加。
公司内控合规风险管理牵头部门应按照规定,及时向上级管理单位的内控合规风险管理牵头部门报送本公司重大风险事件发生情况。对于需长期应对处置或整改落实的,应纳入重大风险月度报表台账持续跟踪,定期报告处置进展情况。处置结束或整改完毕,应做好终报工作。
第二节 合规管理
第二十六条 公司在开展全面风险识别及评估的过程中,应全面
梳理经营管理活动中的合规风险,建立并定期更新《合规风险清单》。
第二十七条 公司将合规审查作为必经程序嵌入经营管理流程。业务及职能部门对本部门经营管理行为的合法合规性进行审查。规章制度、经济合同、重大决策须经法律合规管理部门审查。业务及职能部门、法律合规管理部门应完善合规审查的标准、流程、重点等,定期对审查情况开展后评估。
对于需要法律合规管理部门出具合法合规审查意见书或进行法律合规会签的重大决策事项,业务及职能部门应先履行合法合规审查职责。法律合规管理部门在业务部门合法合规审查的基础上,研究出具合法合规审查意见书,由首席合规官(总法律顾问或法律合规工作分管领导)审核签字并对决策事项的合法合规性提出明确意见。
第二十八条 公司发生合规风险,相关业务及职能部门应及时采取应对措施,重大合规风险的处置和报告按照本办法第二十五条执行。
公司因违规行为引发重大法律纠纷案件、重大行政处罚、刑事案件等重大合规风险事件,造成或者可能造成公司重大资产损失或者严重不良影响的,应当由首席合规官牵头,内控合规风险牵头管理部门统筹协调,相关部门协同配合,及时采取措施妥善应对。
第二十九条 公司定期对合规风险、违法违规和单位犯罪问题进行全面排查处置,并将问题及处置情况完整如实层报。
公司建立合规风险和违规问题整改机制,通过健全规章制度、优化业务流程等,堵塞管理漏洞,提升公司依法合规经营管理水平。
第三十条 公司动态跟踪相关法律法规、监管政策等变化情况,及时对公司规章制度进行修订完善,对执行落实情况进行监督检查。
第三十一条 公司和全体员工应严格遵守《贵州黔源电力股份有
限公司合规行为准则》。
第三十二条 公司设立违规举报平台,公布举报电话、邮箱或信箱。合规管理部门根据举报内容和职责权限,分送移交相关部门就举报问题进行调查和处理。
公司对举报人的身份和举报事项严格保密,任何单位和个人不得以任何形式对举报人进行打击报复。
第三节 内部控制
第三十三条 公司构建完善权责清晰、治理现代、照章办事、规范高效的内控环境,在各经营管理领域和业务管理流程中融合嵌入并持续完善内控措施,规范公司经营行为,夯实风险防范基础。
第三十四条 公司推动内控合规风险管理措施融入规章制度和岗位职责,嵌入业务流程和信息管理系统。
(一)融入制度。公司在制(修)订制度时,应清晰描述权责设置、业务处理程序和管理执行标准,明确关键管理环节的内控措施和要求。对于审批事项或具有规范性程序的业务,应在相应制度中附流程图及风险控制矩阵清单。
(二)融入岗位职责。公司结合《责任与权限指引清单》的定期梳理,将各业务领域的内控执行要求融入岗位职责文件,确保内控要求落实到岗、责任到人。
(三)嵌入业务流程。公司将内控措施融合嵌入业务流程的关键环节,在开展经营管理决策和各项业务管理活动时,同步严格执行相关内控合规管理要求,做好内控合规审查,确保经营行为合规、风险有效防范。
(四)嵌入信息系统。公司推进重点业务领域的信息化建设应用,提高各项经营管理决策和业务执行活动的信息化覆盖率。将内控合规风险管理要求提炼形成系统嵌入规则并固化融入业务管理信息系统,科学设置系统权限,有效减少人为违规操纵因素,增强内控刚性约束和有效制衡。
第三十五条 公司结合风险评估结果,在经营管理决策和业务执行活动中,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用各项控制措施,将风险控制在可承受度之内。
(一)授权审批控制。公司加强重要岗位授权管理和权力制衡,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。重点规范采购、销售、投资管理、资金管理、工程项目、产权(资产)交易流转等业务领域各岗位的职责权限和审批程序。对于重大业务和事项,应实行集体决策审批,任何个人不得单独决策或者擅自改变集体决策。
(二)不相容职务分离控制。公司全面系统地分析、梳理业务流程中所涉及的不相容职务,严格规范重要岗位和关键人员在授权、审批、执行、报告等方面的权责,实现可行性研究与决策审批、决策审批与执行、执行与监督检查等岗位职责的有效分离。
(三)会计系统控制。公司严格执行《公司会计准则》,加强会计基础工作,明确会计凭证、会计账簿和财务报告的处理程序,保证会计资料真实完整。
(四)财产保护控制。公司建立健全财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。严格限制未经授权的人员接触和处置财产。
(五)预算控制。公司建立健全全面预算管理体系,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
(六)运营分析控制。公司建立健全运营情况分析制度,综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期分析运营情况,发现存在的问题,及时查明原因并加以改进。
(七)绩效考评控制。公司建立健全绩效考评制度,科学设置考核指标体系,对全体员工和所属公司进行绩效考评,并将结果作为确定薪酬、职务调整等的重要依据。
第三十六条 公司结合实际,在内控合规风险管理体系有效运行的基础上,突出重点领域、重点环节、重点岗位和重点人员、重点单位的内控合规管理,切实有效防控风险。
(一)强化重点领域的内控合规管理
加强投资管理、工程建设、招投标管理、安全环保、检修技改、资金管理、产权(资产)交易以及劳动用工、税务管理、知识产权、商业伙伴、数据保护等重点领域的内控合规管理,强化业务运营的综合管控。
(二)强化重点环节的内控合规管理
制度制定环节。强化对规章制度、改革方案等重要文件的合规审查,确保符合法律法规、监管规定等要求。
经营决策环节。严格落实“三重一大”决策管理制度,细化各层级决策事项和权限,加强对重大决策事项的合法合规论证把关,保障决策依法合规。
生产运营环节。严格执行规章制度,加强对重点流程执行情况的过程监督检查,重点关注商务谈判、合同订立、结算、付款、交割、验收、注册、注销、银行密钥和印章使用等与权力行使密切相关的重点环节,确保生产经营过程中照章办事、按章操作。
(三)强化重点部门、岗位和人员的内控合规管理
权力集中部门和岗位。对投资并购、工程建设、采购销售、人力资源等权力集中的部门和岗位实行分事行权、分岗设权、分级授权,定期轮岗,强化内部流程控制,防止权力滥用。完善内部层级监督和专门监督,建立常态化的监督机制。
资金密集部门和岗位。建立资金集中管控模式,推进业务、财务、支付一体化管理信息系统有效运行,强化现金流量预算管理,实现对大额特殊资金的逐笔监控。
资源资产富集部门和岗位。明确资源资产权属,量化资源资产金额,监控资源资产情况,规范资源资产交易。
管理人员。促进管理人员切实提高内控合规风险意识,带头依法依规开展经营管理活动,认真履行承担的内控合规管理职责,强化考核与监督问责。
(四)强化内控合规管理
重点加强公司治理、控股股东行为、关联交易、内幕信息知情人管理、同业竞争、募集资金使用、并购重组、会计处理、独立性、信息披露等方面的内控合规风险管理。
第四节 一体化协同运行管理
第三十七条 公司以风险管理为导向,统领开展合规风险、内控
操作风险和内控缺陷的管理工作。开展全面风险识别分析,应涵盖相关业务内控操作风险和合规风险的识别分析,整合建立公司《风险清单》。发生的合规风险事件、发现的重大违法违规问题和重大内控缺陷等,应纳入风险事件统筹管理,开展处置整改、报告和问责等工作,跟踪整改落实效果,健全长效管理机制,并将其作为风险评估的重要依据。
第三十八条 公司以合规管理为基础,筑牢内控防线和风险底线。以法律法规、监管政策、行业准则等外部要求和公司规章制度、规范性文件等内部要求作为内控的重要依据,全面识别合规义务,建立岗位合规审查要点,持续更新内控标准,筑牢内控防线。开展合规风险排查治理,及时处置化解合规风险隐患,守好合规底线。对于风险管理、内控评价发现的合规问题,应及时改进合规管理,促进提升依法合规经营能力水平。
第三十九条 公司以内部控制为手段,落实合规要求,防范应对风险。建立健全《内控合规风险管理手册》“三单一流程”,通过业务流程关键环节的内控点,链接业务的风险防控点、合规审查点,在执行内控措施的同时落实风险防范措施和合规审查要求。开展内控监督评价,应将风险评估结果、风险预警指标运行情况、合规风险事件等信息,作为确定监督评价范围的重要依据,重点关注风险事件、违规问题易发高发领域。通过合规问题和风险事件整改,推动“三单一流程”持续完善。
第四十条 公司全面总结内部控制、合规管理、风险防控以及内控合规风险管理体系监督评价等情况,形成年度内控合规风险管理工作报告,经本单位董事会(或其他决策机构)审议批准后报送上级单
位。
第五章 监督评价管理第四十一条 公司建立健全内控合规风险管理体系监督评价机制,围绕内控合规风险管理的职责落实、制度建设、机制运行,以及重点领域的风险防控等,制定定性与定量相结合的监督评价标准,明确监督评价的方式、方法、内容、程序以及整改落实、成果应用要求等,统筹开展内控体系监督评价与合规管理体系有效性评价工作,强化重点领域内控合规风险管理,推动一体化管理体系持续完善和有效运行,及时防范化解风险。
第四十二条 监督评价方式包括:公司自评价、上对下监督评价、外部审计监督。
(一)公司自评价。公司每年应以规范流程、消除盲区、有效运行为重点,对一体化管理体系的有效性进行全面自评,聚焦重要领域、关键环节及重要岗位,客观、真实、准确揭示经营管理中存在的内控缺陷和合规问题,形成评价记录及缺陷汇总,制定整改方案并按计划跟踪整改。
(二)上对下监督评价。公司对所属基层单位一体化管理体系的有效性实施上对下监督评价,确保每3年全覆盖。围绕重要领域、关键环节和重要岗位,重点关注制度流程健全性、关键岗位制衡性、信息系统刚性约束以及内控缺陷、合规问题和风险隐患易发多发频发领域等方面。对新型商业模式、新兴业务领域每年必评,对新并入公司、发生重大风险事件或重大违法违规问题的公司实现当年上对下监督评价全覆盖。
(三)外部审计监督。对内控监督不到位、风险事件和合规问题频发的公司,由上级公司聘请具有相应资质的社会中介机构进行内控审计评价,出具内控审计报告。上市公司等相关单位应按照监管规定,委托具有相应资质的外部审计机构开展内控审计工作,出具内控审计报告。
第四十三条 公司加强监督评价发现内控缺陷、合规问题和风险隐患的整改,建立整改台账,逐项明确整改措施、整改责任人和整改时限,实行销号管理。
第四十四条 公司建立整改督导机制,牵头管理部门及时向业务及职能部门反馈移交上对下监督评价发现的内控缺陷、合规问题和风险隐患。业务及职能部门应落实整改督导责任,针对本部门业务领域的整改工作进行过程督导和整改结果核查,定期报告整改情况,逐项对账销号。牵头管理部门应将整改情况纳入下一年度上对下监督评价范围,对整改不力的单位印发提示函并进行通报,确保问题见底清零。
第四十五条 公司强化业务及职能监督、内控合规监督评价、巡视巡察、审计监督之间的信息共享和良性互动,统筹开展监督检查、整治治理等工作,推动“三道防线”高效协同、相互促进。
第六章 内控合规风险管理文化建设
第四十六条 公司将内控合规风险管理纳入党委(或党委中心组)法治专题学习,推动公司领导人员强化内控合规风险意识,带头强内控、重合规、防风险。
第四十七条 公司建立常态化的内控合规风险管理培训机制,将内控合规风险管理作为管理人员、重点岗位人员和新入职人员等
培训的内容。
第四十八条 公司加强合规宣传教育,组织全员签订合规承诺,强化全员守法诚信、合规经营意识,严格落实全员内控合规风险管理责任。
第四十九条 公司加强内控合规风险管理文化建设,引导全体员工自觉践行合规理念,遵守合规要求,接受合规培训,对自身行为的合规性负责。
第七章 信息化建设
第五十条 公司系统各级企业建设应用内控合规风险一体化管理信息平台(以下简称“一体化平台”)。
第五十一条 公司以《内控合规风险管理手册》“三单一流程”信息化应用为重点,通过一体化平台在线开展合规义务识别、全面风险评估和过程管控、内控合规评价、问题缺陷整改、报告报表编报等工作,不断提升内控合规风险管理工作的标准化、规范化、智能化水平。
第五十二条 公司有序推进一体化平台与各业务管理信息系统的集成对接,逐步实现一体化平台与业务管理信息系统的互联互通和有机融合。通过将内控合规管理要求嵌入到业务管理信息系统,将业务管理信息系统中内控合规管理要求的执行监测信息反馈至一体化平台,着力实现内控合规管理的“多点联控”和“中心管控”,增强内控合规执行的刚性约束。
第五十三条 公司探索利用大数据应用和系统集成等手段,建立并持续丰富业务管理信息系统和一体化平台的风险监控预警指标,对重要领域关键节点内控合规执行和风险情况进行智能监控,及时预警、
快速处置。
第八章 考核与问责
第五十四条 公司建立健全内控合规风险管理考核机制,对所属公司内控合规风险管理工作开展情况、监督评价结果、违法违规问题等进行考核评价,并将考核评价结果纳入绩效考核。
第五十五条 公司建立员工履职违规行为记录,将违规行为性质、发生次数、危害程度等作为考核评价、职级评定等工作的重要依据。
第五十六条 公司建立健全违规行为追责问责机制,明确追责问责范围,细化追责问责标准。内控合规风险牵头管理部门应将风险事件、违法违规问题和内控缺陷中存在的问题线索,按照有关规定及时移交纪检监察、监督等部门根据职责分工开展调查、追责问责。
因故意或重大过失应当发现而未发现违规问题,或者因违规行为引发合规风险事件,或者由于内控管理不到位、风险应对不力,给公司造成损失或者不良影响的,按照有关规定追究责任。
第九章 附 则
第五十七条 本实施办法由公司董事会负责解释。
第五十八条 本办法自印发之日起施行。2022年4月24日印发的《贵州黔源电力股份有限公司内控合规风险管理实施办法(试行)》同时废止。
附件:内控风险合规管理图
附件
内控风险合规管理图
内控风控合规三位一体流程图
内部环境
收集风险管理初始信息风险评估确定风险管理策略制定风险管理解决方案
内部环境
运行机制
保障机制
管理目标
实施风险管理解决方案
风险事件处置监督评价与改进信息应用
内控措施
其他措施控制活动控制措施
合规措施
风险预警
风险对冲
风险转移
等
是否
信息化建设