中国海诚：全面风险管理与内部控制制度(试行)

中国海诚工程科技股份有限公司全面风险管理与内部控制制度(试行)

1 总 则

1.0.1 为规范中国海诚工程科技股份有限公司(以下简称“中国海诚”或“公司”) 全面风险管理工作,加强公司内部控制建设,切实守住不发生系统性风险底线、 增强抗风险能力,提高企业管理水平,实现高质量发展,依据国家法律法规以及 中央企业有关全面风险管理与内部控制体系建设的规章制度和规范性文件,根据 上级单位全面风险管理与内部控制有关制度以及中国海诚《公司章程》等规定, 结合公司实际,制定本制度。

1.0.2 本规定所称“中国海诚”或“公司”是指中国海诚工程科技股份有限公司 总部,“各经营单位”是指中国海诚直接或间接全资、控股或实际控制的境内外 各级次下属公司,包括上海本部。

1.0.3 全面风险管理和内部控制作为管理风险的过程和方法,要求将风险控制在 可承受范围内,促进企业实现发展战略。其中,全面风险管理侧重于风险评估与 前瞻性应对,明确风险管控边界,支持风险与预期收益匹配的决策。内部控制侧 重于设计与执行控制措施,规范流程操作,避免违法违规。中国海诚及其下属各 经营单位应建立健全以风险管理为导向、以合规管理监督为重点,严格、规范、 全面、有效的全面风险管理与内部控制体系。

1.0.4 全面风险管理与内部控制工作目标

1 确保公司贯彻落实上级重大决策部署,保证生产经营管理遵守国家法律法 规、国有资产监管规章制度、保利集团、保利中轻以及中国海诚内部管理规定。

2 确保公司风险可控、在控,不发生系统性、颠覆性风险事件,保障中国海 诚战略目标和经营管理目标实现。

3 确保公司全面风险管理与内部控制体系持续优化,促进经营管理水平持续 提升和国有资产保值增值,实现中国海诚高质量发展。

1.0.5 全面风险管理与内部控制的工作原则

(一)权责匹配。按照“管业务”与“控风险”相匹配的原则明确全面风险管理 责任,公司及其下属各经营单位主要负责人是全面风险管理与内部控制体系监管 工作第一责任人,全体员工按照职责承担全面风险管理与内部控制的具体责任。

(二)系统全面。覆盖中国海诚所有业务领域和所有管理层级,贯穿决策、管理、

执行、监督全部环节,实现事前、事中、事后全过程管理,形成全业务、全过程、 全员的全面风险管理与内部控制体系。

(三)突出重点。在全面管控的基础上,加强对重要业务、关键环节和重点岗位 人员等的全面风险管理与内部控制,强化重大风险管控,做好风险事件处置,处 理好风险与收益、控制与效率之间的平衡。

(四)融入日常。将全面风险管理与内部控制融入公司经营管理各个方面和环节, 在具体业务制度流程中落实全面风险管理与内部控制要求,在日常经营管理活动 中严格执行,并通过信息系统加强制度流程执行的刚性约束。

(五)持续优化。根据上级监管要求、内外部环境变化和公司改革发展实际,及 时优化完善全面风险管理与内部控制体系。加大监督评价力度,严格落实整改, 严肃追责问责,推进全面风险管理与内部控制体系改进完善。

1.0.6 本制度适用于中国海诚及其下属各经营单位。

2 术语与定义

2.0.1 企业风险

企业风险指未来的不确定性对企业实现其经营目标的影响。企业风险一般可 分为战略风险、财务风险、市场风险、运营风险、法律风险等。

2.0.2 全面风险管理

全面风险管理指公司围绕战略发展目标,通过建立健全全面风险管理体系, 在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险 管理文化,从而为实现风险管理的总体目标提供合理保证的过程和方法。

2.0.3 内部控制

本办法所称内部控制,指由公司各级管理层和全体员工共同实施的、旨在实 现控制目标的过程。内部控制的目标是合理保证公司经营管理合法合规、资产安 全、财务报告及相关信息真实完整,提高经营效率和效果,促进公司战略目标的 实现。

3 组织与分工

3.0.1 中国海诚建立由党委和董事会统一领导,总裁经理层、公司各部门、各经 营单位按照职责具体实施、齐抓共管的全面风险管理与内部控制组织责任体系。

3.0.2 董事会是公司全面风险管理与内部控制的最高决策机构,对全面风险管理

的有效性负责,在公司章程授权范围内履行职责。董事会履行的主要职责为:

1 决定公司全面风险管理和内部控制体系,批准公司全面风险管理与内部控

制基本制度;

2 批准公司年度重大风险评估报告、重大决策的风险评估报告、年度内控体

系工作报告;

3 确定公司全面风险管理总体目标、风险偏好、风险承受度,批准公司全面

风险管理策略和重大风险管理解决方案;

4 批准公司全面风险管理机构设置及其职责方案;

5 督导公司全面风险管理文化的建设;

6 研究决定全面风险管理与内部控制的其他重大事项。

按照中国海诚公司章程和“三重一大”有关制度规定,党委研究讨论是董事

会决策全面风险管理与内部控制重大事项的前置程序。

3.0.3 董事会审计委员会对董事会负责,负责指导公司全面风险管理与内部控制

工作,对公司全面风险管理与内部控制体系的完整性和运行的有效性进行评估和

督导,审议研究全面风险管理与内部控制的其他重大事项。

3.0.4 总裁经理层负责贯彻落实公司董事会关于全面风险管理和内部控制工作

的决策,负责组织实施全面风险管理与内部控制日常工作。

3.0.5 公司成立内部控制体系建设工作小组和体系评价工作小组,分别由法律合

规中心、审计部牵头,各相关部门配合开展工作。

3.0.6 公司法律合规中心负责牵头组织开展中国海诚全面风险管理与内部控制

体系建设与运行。其主要职责为:

1 拟订公司全面风险管理与内部控制基本制度,牵头组织编制和维护公司风

险管控清单和内部控制手册;

2 组织开展公司年度重大风险评估、组织编制公司年度内控体系工作报告、

季度风险管理工作报告、组织开展公司重大风险事件督办;

3 督促总部各部门、各经营单位整改处置风险事件和内部控制缺陷,持续改

进全面风险管理与内部控制;

4 会同信息化管理部门组织实施公司风险管理信息系统开发与运行。

3.0.7 公司审计部负责牵头组织开展全面风险管理与内部控制体系建设及运行

效果的监督评价,主要负责:

1 拟订公司内部控制评价管理制度和相关实施细则,组织建立健全公司内部 控制评价工作机制。

2 组织实施公司内部控制评价工作,配合编制公司年度内控体系工作报告。

3 结合内部审计工作,对公司全面风险管理与内部控制体系建设及运行情况 进行监督,对内部审计和内控评价发现的内部控制缺陷、风险隐患和合规问题予 以督促整改。

3.0.8 公司纪检部按照职能定位,结合日常工作做好全面风险管理与内部控制监 督。

3.0.9 公司各部门是其职能范围内业务(以下简称“专项业务”)全面风险管理 与内部控制建设的责任主体,按照本制度规定组织开展全面风险管理与内部控制 建设工作。

1 部门负责人为本部门全面风险管理和内部控制第一责任人,组织本部门落 实专项业务全面风险管理与内部控制责任,并明确部门工作联络人。

2 将全面风险管理和内部控制的有关要求落实到本部门职责业务范围内的 相关管理制度、业务流程中,通过开展职能监督,确保各经营单位使用有效的专 项业务风险管控清单,组织开展专项业务风险评估及风险管控。

3 通过开展专项业务监督检查和督促整改,持续改进专项业务全面风险管理 与内部控制工作。对其归口管理范围内的各单位发生的风险事件处置工作进行指 导、督办和检查。

4 按照规定及时、准确报告归口管理范围内全面风险管理与内部控制工作有 关情况。

3.0.10 各经营单位是其经营管理范围内全面风险管理与内部控制的责任主体。

1 建立健全本单位全面风险管理与内部控制组织责任体系,本单位主要负责 人是全面风险管理与内部控制体系监管工作第一责任人。

2 明确专门职能部门或机构归口统筹全面风险管理与内部控制工作,审计职 能部门负责全面风险管理与内部控制的监督评价工作,配备必要专门人员,开展 全面风险管理与内部控制工作。

3 按照行业监管规定和中国海诚管理要求,建立健全和有效运行本单位全面

风险管理与内部控制体系。

4 加强监督评价和问题整改促进本单位全面风险管理与内部控制体系持续 完善。

5 按规定,及时、准确向公司报告全面风险管理与内部控制工作有关情况。

3.0.11 中国海诚及其下属各经营单位外派参股企业的股权代表(包括股东代表、 董事、监事、高级管理人员),依托所在企业的治理结构充分履职行权,督导参 股企业按照监管要求建立健全和有效实施全面风险管理与内部控制体系并有效 防控风险,保障参股企业持续健康发展和我方股东权益。

4 风险管理

4.0.1 中国海诚及其下属各经营单位根据外部监管规定、国有资产保值增值要求、 业务竞争环境及自身风险管理能力,审慎确定风险承受度及风险管理目标,避免 超出风险承受度的经营管理行为;依据风险承受度和风险管理目标,结合风险评 估情况,合理选择风险控制、风险承担、风险规避、风险转换、风险转移、风险 对冲、风险补偿或上述方式组合的风险管理策略,科学制定以内部控制为基础、 以重大风险管控为重点的风险管理方案。

4.0.2 中国海诚及其下属各经营单位在日常生产经营管理活动中同步做好风险 信息收集、评估与管控,着力健全风险评估机制、重大风险动态管理机制、重大 风险监控预警机制、风险事件处置机制、突发事件应急管理机制,形成风险管理 与业务管理融合一体的工作机制,不断提高风险管理实效。

4.0.3 公司根据业务发展情况,建立完善覆盖主要管理职能和主要业务类型的风 险管控清单,明确风险分类、关键风险点、风险管理责任部门及风险管控措施, 并根据风险评估结果及日常风险管理情况动态调整和更新。

公司各部门负责归口管理范围内风险管控清单的编制与维护。各经营单位可 参照公司风险分类,结合本单位实际情况,编制本单位风险管控清单。

4.0.4 中国海诚及其下属各经营单位建立全面覆盖、突出重点的常态化、制度化、 与日常业务紧密融合的风险评估机制。

1 全面风险评估 中国海诚及其下属各经营单位建立覆盖各个组织层级、涵 盖所有管理职能和业务领域的全面风险评估机制,至少每年开展一次年度全面风 险评估,日常根据管理需要及时组织开展。

年度全面风险评估应当围绕战略目标和年度经营管理目标、重点工作任务, 结合风险管控清单及日常风险跟踪监控情况,全面评估本年度面临的内外部风险, 确定年度重大风险及风险管理重点,制定重大风险管理策略及解决方案。

公司法律合规中心于每年年末组织开展公司下年度全面风险评估工作,提出 中国海诚年度重大风险评估结果建议,报经中国海诚党委会前置研究、总裁办公 会审议、董事会批准后,组织实施年度重大风险管控并按要求报送保利中轻。

各经营单位于总部每年要求的时限前完成本单位下年度全面风险评估工作, 评估结果经本单位董事会审议批准后报送中国海诚总部。

2 具体事项风险评估 中国海诚及其下属各经营单位结合自身业务特点,逐 步健全与业务深度融合的风险评估机制和工具方法,发挥好风险评估对日常业务 风险的预判、预控作用;建立完善重大事项风险评估机制,将风险评估嵌入到重 大投资、改革发展重大事项、高风险业务等重大事项决策过程。提交决策机构研 究决定的重大事项议案或请示中,应包括充分揭示风险及相应风险管理方案的内 容,为决策提供支持。

中国海诚及其下属各经营单位加强投资项目风险评估,投资实施主体应在投 资项目前期工作中同步开展风险评估,在履行前期立项、投资决策程序时,应分 别提交满足决策需要的投资项目专项风险评估报告。

4.0.5 中国海诚及其下属各经营单位建立完善重大风险动态管理机制。针对重大 风险制定并执行事前防范、事中控制、事后补救的全过程风险管理方案,充分匹 配人、财、物各方面资源,坚决守住不发生系统性、颠覆性风险事件的底线。应 在各类生产经营例会中对重大风险管控情况进行分析会商,针对风险变化情况研 究制定应对措施。中国海诚党委及各经营单位党委按季度研判重大风险情况,据 此做出调整重大风险管理策略或解决方案的决策。

4.0.6 中国海诚及其下属各经营单位建立完善重大风险监控预警机制。合理设定 定性或定量风险指标,制定风险监测措施,规范风险预警响应程序;加强信息化 建设,积极推动实现风险关键指标“实时在线”监控,确保重大风险预警信息全 面收集、及时报告、准确分析、科学处置。

4.0.7 中国海诚及其下属各经营单位建立完善风险事件报告和处置工作机制。细 化重大经营风险事件报告标准,畅通报告渠道,加强对敏感性信息识别和预判预

警,确保风险事件隐患早发现、早报告、早处置。事件发生主体单位按规定及时 报告风险事件情况,采取有效措施,避免或减少资产损失,消除或降低不良后果; 风险事件处置完成后,应剖析风险事件成因,查找管理漏洞,总结经验教训,改 进风险管理方案,提高风险防控水平。

中国海诚对风险事件进行分级管控,对其中的重大风险事件建立督办机制。 风险管理职能部门负责督办工作的组织和协调,业务归口管理部门负责指导、督 促、检查。各经营单位抓好本单位风险事件督办工作,确保各项风险隐患得到及 时有效化解。

4.0.8 中国海诚及其下属各经营单位建立健全突发事件应急管理机制。完善应急 预案体系,强化应急预案演练、应急队伍建设和应急物资装备保障,依法、迅速、 科学、有序应对突发事件,最大程度减少突发事件及其造成的损失。

4.0.9 在各经营单位配合下,中国海诚总部持续推动建立完善风险管理信息系统, 为风险管理工作开展提供信息化支持,提高工作的效率、效果。打通风险管理信 息系统与其他主要业务管理信息系统的接口,实现相关业务关键风险信息集中采 集和监控。

5 内部控制

5.0.1 中国海诚及其下属各经营单位根据国家法律法规和监管要求,围绕内部环 境、风险评估、控制活动、信息与沟通、内部监督等五项基本要素,建立健全以 风险管理为导向、以合规管理监督为重点,严格、规范、全面、有效的内部控制 体系。

5.0.2 中国海诚及其下属各经营单位持续建立完善内部控制规范,按照管理制度 化、制度流程化、流程信息化的要求,建立健全内部控制,通过“强监管、严问 责”和加强信息化管理确保内部控制有效执行。

5.0.3 中国海诚及其下属各经营单位将内部控制管控要求嵌入日常经营管理,保 障各项业务规范有序开展。内部控制措施包括但不限于不相容职务分离控制、授 权审批控制、计划预算控制、会计系统控制、财产保护控制、合规审查控制、运 营分析控制、工作督办、绩效考评控制、违规经营投资责任追究等。

5.0.4 中国海诚及其下属各经营单位充分识别不相容岗位,按照不相容职务分离 控制、授权审批控制等内部控制要求,严格规范重点岗位人员在授权、审批、执

行、报告等方面的权责,实现可行性研究与决策审批、决策审批与执行、执行与 监督检查等岗位职责的分离,形成相互衔接、相互制衡、相互监督的内部控制工 作机制。

5.0.5 中国海诚及其下属各经营单位规范授权放权管理。综合考虑各经营单位功 能定位、治理能力、管理水平等因素,对各单位实施分类管控,按照“一企一策” 原则开展授权放权。通过健全制度流程,严格监督问责,确保授权放权行权规范 有序。建立动态调整机制,根据实际情况调整授权放权事项。

5.0.6 中国海诚及其下属各经营单位加强合规经营管控,建立合规审查机制,确 保各项经营活动符合法律法规、监管规定、行业准则、国际条约和规则、商业惯 例、道德规范等外部合规要求及内部规章制度。

5.0.7 中国海诚及其下属各经营单位按照内部控制要求,建立健全内部管理制度, 明确各项经营管理活动的内部控制措施,结合合规管理工作,及时将法律法规等 外部监管要求转化为内部管理制度规定。

5.0.8 中国海诚及其下属各经营单位建立科学规范、精简高效、有序衔接、风险 受控的业务流程,通过制定相关管理制度及标准规范,明确业务流程的程序环节 及操作规范、关键风险点及管控措施。

5.0.9 中国海诚及其下属各经营单位结合信息化建设,逐步将业务流程及其控制 要求固化于业务信息系统中,运用信息技术促进各项经营管理决策和执行活动可 控制、可追溯、可检查,最大限度减少人为违规操纵。

6 工作报告

6.0.1 中国海诚及其下属各经营单位建立本企业季度风险管理报告制度。报告内 容应包括但不限于:

1 年度重大风险变化及管控情况,生产经营管理过程中新增重大风险及管控 情况,风险事件及处置管理情况。

2 全面风险管理与内部控制体系建设运行情况,监督检查发现的内部控制缺 陷、风险隐患和合规问题及整改处置情况;

3 全面风险管理与内部控制工作建议及其他需要说明的问题等。

6.0.2 各经营单位应于每季度结束后2 个工作日内按有关规定向公司总部报送 季度风险管理报告。法律合规中心汇总整理编制中国海诚季度风险管理报告,并

定期向公司党委、总裁办公会、董事会审计委员会、董事会报告重大风险管控情 况。

6.0.3 各经营单位发生重大经营风险事件后应当快速反应,按照中国海诚重大经 营风险事件报告工作机制及时报告公司。

6.0.4 各经营单位应建立本单位年度内控体系工作报告制度。报告内容应包括但 不限于:

1 本年度全面风险管理与内部控制体系建设运行情况,重大风险管控情况, 风险事件管理情况,全面风险管理与内部控制体系监督评价情况等内容。

2 下年度重大风险评估结果及风险管理重点、重大风险管理策略及解决方案, 全面风险管理与内部控制体系建设与监督评价工作安排。

3 全面风险管理与内部控制工作建议与其他需要说明的问题等。

6.0.5 各经营单位按规定编制年度内控体系工作报告,经董事会批准后报送至公 司总部。公司法律合规中心会同相关部门编制中国海诚年度内控体系工作报告, 经公司党委会前置研究、总裁办公会审议、董事会批准后报送保利中轻。

7 监督与改进

7.0.1 中国海诚及其下属各经营单位聚焦关键业务、改革重点领域、国有资本运 营重要环节以及境外国有资产监管,定期开展制度缺陷评估工作,查找制度缺失 或流程缺陷,梳理分析相关内部控制措施执行情况,及时研究制定改进措施,做 好制度“立改废释”工作。

7.0.2 中国海诚及其下属各经营单位加强全面风险管理与内部控制监督,及时发 现经营管理中存在的内控缺陷、风险隐患和合规问题并予以整改处置。

1 总部各部门加强对归口管理范围内全面风险管理、内部控制与合规管理情 况的监督检查,审计部结合审计工作加强对重大风险管控及重要业务、重要流程、 关键环节的监督。

2 对发现的内部控制缺陷、风险隐患和合规问题,监督部门提出整改处置要 求并跟踪督促落实,对违纪违规问题按规定移交相关部门处理。

7.0.3 中国海诚及其下属各经营单位建立健全内部控制评价机制

1 中国海诚及其下属各经营单位每年组织开展一次内部控制自评价,全面查 找经营管理中存在的内控缺陷、风险隐患和合规管理问题,系统评价全面风险管

理与内部控制体系建设运行的有效性。

2 中国海诚总部围绕重点业务、关键环节和重要岗位,每年组织开展全面风 险管理与内部控制有效性监督评价工作,确保每3 年覆盖全部子公司。按照分级 管控原则,对重点关注的经营单位每年进行一次监督评价。

7.0.4 中国海诚及其下属各经营单位加强对内部控制缺陷、风险隐患和合规 管理问题整改处置工作的监督检查,将整改处置情况作为职能监督、内部审计、 监督评价等各类监督检查的重点,对整改处置不力的责任部门(公司)印发提示 函并予以通报。

7.0.5 中国海诚及其下属各经营单位强化监督评价结果运用。对违反国家法 律法规、上级集团和中国海诚管理规定,未履行或未正确履行职责致使资产损失 或其他不良后果的情形,按相关规定严肃追责,并按相关规定纳入年度绩效考核。

7.0.6 中国海诚及其下属各经营单位应将风险管理和内部控制文化建设作 为企业文化建设的重要内容,加强风险管理和内部控制的知识培训,大力培育和 塑造良好的风险管理和内部控制文化,树立正确的风险管理和内部控制理念,增 强员工风险和内控意识,使之成为员工的共同认识和自觉行动,促进风险管理长 效机制的建立。

8 附 则

8.0.1 各经营单位根据本制度及外部监管要求,制定本单位全面风险管理与内部 控制制度,报中国海诚法律合规中心备案。

8.0.2 本制度由中国海诚法律合规中心归口管理并负责解释。

8.0.3 本制度经中国海诚董事会审议通过,自印发之日起实施。