申昊科技:内部控制管理制度
杭州申昊科技股份有限公司
内部控制管理制度
第一章 总则第一条 编写目的为了落实《上市公司治理准则》、《深圳证券交易所上市公司自律监管指引第2号——创业板上市公司规范运作》《企业内部控制基本规范》对公司治理结构、健全内部控制制度,实施完善的内部控制体系,有效管理经营风险等要求,公司特制定本制度。第二条 总体要求为贯彻落实中华人民共和国财政部、中国证券监督管理委员会(以下简称“证监会”)发布的《关于强化上市公司及拟上市企业内部控制建设推进内部控制评价和审计的通知》精神,公司应当建立风险管理与内部控制相关工作制度,并设立专职部门或者指定内设部门负责对公司的重要经营活动、下属公司管控、财务信息披露和法律法规遵守执行情况进行检查和监督。公司应当完善内部控制制度,确保董事会、监事会和股东大会等机构合法运作和科学决策,建立有效的激励约束机制,树立风险防范意识,培育良好的企业精神和内部控制文化,创造全体职工充分了解并履行职责的环境。
公司依照有关规定定期披露内部控制制度建设及实施情况,会计师事务所定期对公司内部控制有效性发表审计意见。
第三条 术语和定义
(一)风险与风险管理
本制度所规范的风险,指未来的不确定性对企业实现战略规划和经营管理目标产生的潜在影响。公司将企业风险分为外部风险和内部风险进行区分管理,外部风险包括政治风险、法律合规风险、社会文化风险、技术风险和市场风险,内部风险包括战略风险、运营风险、财务风险。
本制度所规范的风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
(二)内部控制
本制度所规范的内部控制是由公司董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制以内部环境、风险评估、控制活动、信息与沟通、内部监督五要素为核心,与每项业务和管理活动的工作目标相对应,通过公司的制度、流程和关键控制点进行明确和细化。
第四条 适用范围
本章程适用于申昊及所属控股子公司各级组织和人员。
公司为实现战略目标而开展的各项经营活动均纳入风险管理与内部控制体系,所有影响财务报告的业务和非财务报告的关键经营活动均应当建立内部控制机制并保持其运转良好。
第五条 职责分工
(一)董事会是风险管理与内部控制决策机构
公司董事会应当对公司风险管理体系设计、实施,内部控制制度的制定和有效执行负责。根据内部内审部门出具的评价报告及相关资料,对与财务报告和信息披露事务相关的内部控制制度的建立和实施情况出具年度内部控制评价报告。
(1)审定内部控制体系框架及实施计划;
(2)审定内部控制体系建立、测试和评估方案,对内部控制体系建设工作进行安排、部署;
(3)协调解决内部控制体系建设工作中的重大问题;
(4)督导、督促内部控制体系的建立、完善和运行。
(二)管理层是内部控制管理机构
根据董事会的授权和决议,管理层负责公司风险管理与内部控制体系的建设、运行,落实职能部门、事业部、各子公司的风险管理与内部控制责任,建立、完善内部控制制度和流程,并按照相关规范执行控制措施,接受内部监督。综合管理部作为管理层内控管理的常务机构。
(1)组织编制内部控制及风险管理体系建设规划、体系框架,并组织实施;
(2)建立对各职能部门、事业部、子公司进行内部控制体系建设的考核方案,并组织实施;
(3)负责组织外部、内部风险评估工作,确定重大风险和机遇,建立风险数据库,实施控制措施,管理风险,促成经营机会;
(4)负责组织和协调各业务管理制度、流程的相关工作。
(三)各子公司、事业部、职能部门是内部控制体系责任的落实主体公司各职能部门、事业部、子公司为风险管理、内部控制体系建设和运行的执行者,按照内部控制体系和风险管理的统一要求,编制内部控制制度和流程,具体组织落实内部控制活动。
(四)审计委员会、内审部门、外部审计机构是内部控制体系监督机构审计委员会负责评估公司内部控制的有效性,对公司内部控制有效性出具书面评估意见,并向董事会报告。评估的职责至少包括:(1)评估上市公司内部控制制度设计的适当性;(2)审阅内部控制评价报告;(3)审阅外部审计机构出具的内部控制审计报告,与外部审计机构沟通发现的问题与改进方法;(4)评估内部控制评价和审计的结果,督促内控缺陷的整改。内审部接受审计委员会的委托,定期开展公司内部控制评价,在人力资源不足或时间紧张等特殊情况下,可以委托中介机构实施内部控制评价。同时,对各级管理人员的风险管控能力进行评估,对各级单位的经营风险识别、内部控制体系的设计和运行提出改进建议。
外部审计机构,即接受公司委托从事内部控制审计的会计师事务所,应当根据《企业内部控制基本规范》及配套指引和相关执业准则,对公司内部控制的有效性进行审计,出具内部控制审计报告。为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。
第二章 风险管理与内部控制体系的构成
第六条 风险管理与内部控制目标
合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
第七条 建立与实施内部控制体系的基本原则
(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖公司及所属单位的各种业务和事项。
(二)重要性原则。内部控制应当在全面控制的基础上,关注公司战略决策、重要业务事项和高风险领域。
(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等
方面相互制约、相互监督,同时应兼顾运营效率。
(四)适应性原则。内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
第八条 内部控制五要素公司建立与实施有效的内部控制体系,包括下列五项基本要素:
(一)内部环境
合法合规且健康运行的组织环境,是保证内部控制有效的前提。治理结构、机构设置及权责分配、内部审计、人力资源政策、公司文化等都应当形成规范的制度并被有效执行。
(二)风险评估
在公司正常运转的过程中,不断识别、评估和应对经营风险(机会)是内部控制体系运行的第二个要素。由董事会和管理层确认影响公司目标实现的内部和外部风险因素,并及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
(三)控制活动
应当结合对公司整体层面和业务层面风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,在各项经营活动中运用相应的控制措施,将风险控制在可承受度之内。
公司各级组织在建立工作制度和程序时,需引入如下控制手段:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制和风险预警与应急处置流程。
(1)不相容职务分离控制
要求公司系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。
(2)授权审批控制
要求公司根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
公司应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。各级管理人员应当在授权范围内行使职权和承担责任。对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。
(3)会计系统控制
公司应当严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书。
(4)财产保护控制
公司应当建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。同时,应当严格限制未经授权的人员接触和处置财产。
(5)预算控制
公司可以实施全面预算管理,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
(6)运营分析控制
公司应当建立运营情况分析机制,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
(7)绩效考评控制
公司应当建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
(8)风险预警与应急处置控制
公司应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
(四)信息与沟通
公司应当建立信息与沟通机制,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。内部控制相关信息,包括来源于公司内部及外部、与公司经营管理相关的信息,包括各类文本信息、数据库信息、多媒体信息、内部管理报告等。沟通,是指信息在公司内部各层级、各部门之间以及公司与客户、供应商、监管者和股东等之间的传递。重要信息应当及时传递给董事会、监事会和经理层。公司应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。同时,加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。
建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。
(五)内部监督
公司应当制定内部控制监督机制,明确内部审计机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。
内部监督分为日常监督和专项监督。日常监督是指公司对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。
公司应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。
内部控制缺陷包括设计缺陷和运行缺陷。公司应当跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任机构或者责任人的责任。
第九条 建立与实施风险管理体系的基本原则
公司应当在完善内部控制体系运行的基础上,开展风险管理体系的建设与实施。风险管理体系是对内部控制五要素的“风险评估”要素进行扩充,在内部控制制度和措施基础上,以“风险”为导向,从风险识别到风险监控,建立一套工作机制,保持对风险信息的不断收集与应对。公司风险管理应遵循以下原则:
(一)全面管理与重点防控相结合。企业风险管理应覆盖改革发展和经营管理过程中所面临的各种风险,并对其中关键风险实施重点管理。
(二)分级分类管理。管理层以管理系统性、组合性重大风险为主,并根据不同种类的风险特点实施分类监控,由相应职能部门、事业部、子公司负责具体管理。各单位分别负责管理本单位面临的风险。
(三)领导主抓与全员参与相结合。公司管理层、各机构部门管理人员、全体员工都要把风险管理融入岗位职责,把防控风险贯彻落实到分管业务各领域和岗位工作全过程。
(四)可知、可控、可承受。公司应对风险进行事前预测,做到风险可知,通过分析、评估并制定切实可行的风险管理策略和措施加以防范控制,将风险降至可承受范围之内。
(五)管业务必须管风险。公司本部各职能部门和各单位是风险管理的责任主体,对具体业务风险的管理情况负直接责任。
(六)持续改进,动态适应。风险管理要主动适应公司内、外部环境变化,动态研究风险防控方案,持续完善风险管理体系。
第三章 内部控制制度公司通过建立、健全内部控制制度,来落实内部控制五要素在具体经营活动中的体现,以制度和流程来保证公司运行的效率、合法合规性、资产安全和财务报告的可靠性。
第十条 公司层面内控制度公司应当至少编制和执行符合法律规范要求的下列制度:
(一)公司章程
应当履行有关法律规范的要求,对公司的组建、运转,包括股东大会、董事会、监事会、经理层等机构和董事、监事、高级管理人员如何行使权利义务进行明确规范,并就“三会”运行和重大事项决策、重要干部任免、重大项目投资决策以及大额资金使用的
集体决策机制进行明确,同时将《公司章程》信息对外及时完整地披露。
(二)公司股份变动的管理制度
公司针对股本发生变更的情形及其操作程序、信息披露的规范应当制定有关工作制度或流程。包括但不限于:发行新股、权益工具,董监高之间股份转让,股权激励,股利分配,股份回购,配股等。
(三)质量管理制度
公司应当建立产品与服务质量的管理制度,规范安全生产管理、产品质量管理、环境保护与资源节约等工作,履行必要的社会责任。
(四)员工手册
应当明确公司的企业文化如何构建与维护,公司各级机构的员工职业道德、操守、行为准则,以及如何营造积极向上的工作氛围,保护员工权益。
(五)对子公司的管理
公司应当重点加强对控股子公司的管理控制,制定对控股子公司的控制政策及程序,并在充分考虑控股子公司业务特征等的基础上,督促其建立内部控制制度。
(六)信息披露制度
公司应当建立、健全信息披露内部控制制度及程序,保证信息披露的公平性。包括:
(1)公司应当制定接待和推广制度,内容应当至少包括接待和推广的组织安排、活动内容安排、人员安排、禁止擅自披露、透露或者泄露未公开重大信息的规定等;
(2)公司应当制定信息披露备查登记制度,对接受或者邀请特定对象的调研、沟通、采访等活动予以详细记载,内容应当至少包括活动时间、地点、方式(书面或者口头)、双方当事人姓名、活动中谈论的有关公司的内容、提供的有关资料等,公司应当在定期报告中将信息披露备查登记情况予以披露。
(七)会计核算与预算管理制度
公司应当真实、全面、及时地记载各项业务,充分发挥会计的核算监督职能,确保信息资料的真实与完整。建立会计核算、分析、报告系统,防止出现账外经营、账目不清等问题。建立预算管理制度,对预算内资金或费用开支实行责任人或授权人限额审批,超预算额度及预算外的费用开支按照公司预算管理办法及公司费用管理办法相关规定办理。
(八)信息系统管理制度
对信息系统统一归口管理。建立信息系统的管理制度、操作流程,开发、测试、运维等不相容岗位适当分离,建立信息系统安全防护机制,建立灾备和应急处理机制。
(九)合同管理制度
公司应当建立合同管理制度,确保合同的签署、履行符合国家法律、法规和公司内部规章制度的要求。依据公平公正及诚实信用原则订立合同,依法有效监督、管理,保证履约顺利进行,维护本公司合法权益;逐步建立体系化合同管理平台,实现资源共享,提高本公司整体合约管理水平,保证合同数据库信息的真实、准确、完整,符合本公司合同管理及信息披露的要求。
第十一条 业务层面内控制度
(一)日常经营性业务规范
(1)资金管理制度,不得有资金被控股股东、实际控制人及其控制的其他企业以借款、代偿债务、代垫款项或者其他方式占用的情形。重点关注募集资金存储、使用、变更、监督和责任追究的内部控制制度,明确募集资金使用的分级审批权限、决策程序、风险控制措施及信息披露要求。
(2)印章管理制度。公司应当建立健全印章管理制度,明确印章的保管职责和使用审批权限,并指定专人保管印章和登记使用情况。
(3)供应链管理制度,包括采购活动、研发活动、生产活动、销售活动、委外加工等,均应当针对不同产品、不同服务的特点,对其产出过程进行制度规范和流程描述,提高工作效率,降低经营成本。
(4)资产管理制度。对公司实物资产、无形资产、品牌商誉等进行严格管理,做好账实相符,保护资产减少意外损失。
(5)项目与工程建设管理制度。应当对各类销售、研发和工程建造项目实施项目化管理,规范计划、实施、验收、成本控制的各项要求,提高项目交付成功率和投资效益。
(二)非日常经营性业务规范
(1)对外担保制度。公司应当制定对外担保的管理制度,包括审批权限和审议程序。
(2)证券投资与衍生品交易的高风险领域投资管理制度。董事会在审议证券投资与衍生品交易等高风险投资等事项时,董事应当充分关注上市公司是否建立专门内部控
制制度,投资风险是否可控以及风险控制措施是否有效,投资规模是否影响公司正常经营,资金来源是否为自有资金,是否存在违反规定的投资等情形。
(3)财务资助制度。公司应当建立健全有关财务资助的内部控制制度,在公司章程或者公司其他规章制度中明确股东大会、董事会审批提供财务资助的审批权限、审议程序以及违反审批权限、审议程序的责任追究机制,采取充分、有效的风险防范措施。
(4)关联交易管理制度。公司应当加强对关联交易、提供担保、募集资金使用、重大投资、信息披露等活动的控制,按照有关规范要求建立相应控制政策和程序。
第十二条 内控制度的编写、更新与检查公司各职能部门、事业部、子公司的内部控制制度应当遵照公司内部规章制度的相关要求发布、更新和维护,因工作需要和业务变更而新编、修改相关内部控制制度的,除履行内部审批会签手续外,应提交内审部检查,判断是否与有关风险管理、内部控制规范相抵触。
第四章 风险管理工作的开展公司风险管理工作以公司发展战略为指导,确定风险管理总体目标,统筹安全,充分发挥信息技术在全面风险管理工作中的基础性、支撑性作用。
第十三条 风险管理内容与流程公司综合管理部统筹风险识别与分类,各单位部门应根据自身经营管理实际确定风险管理重点内容,保证重大风险防控不遗漏。重点管理的风险不限于战略风险、市场风险、财务风险、运营风险、法律风险等。公司应遵循风险管理基本流程开展工作,风险管理基本流程包括:(一)收集、识别风险信息;(二)开展风险评估;(三)制定并实施风险管理策略和解决方案;(四)风险监控、预警和报告;(五)监督与改进。第十四条 风险信息收集和管理
(一)风险信息分类
各单位部门应广泛、全面、持续的收集与风险和风险管理相关的内外部信息,包括历史数据和未来预测。信息内容包括但不限于:
(1)战略风险方面:国内外宏观经济形势、产业政策、行业发展状况、战略伙伴或竞争对手情况等信息。
(2)市场风险方面:大宗原材料和能源等商品行情、价格信息、关键零部件、装
备等物资供应信息。
(3)财务风险方面:自身财务信息,行业会计政策、会计估算信息,汇率、利率等融资政策和信息,行业平均指标、先进指标等。
(4)运营风险方面:自身安全生产事故、生态环保事故、信息安全等信息,重大自然灾害预警信息,国家和地方安全生产、节能环保政策信息,产品质量、项目进度控制等信息,资本运作、并购重组等信息。
(5)法律风险方面:与本单位部门相关的法律环境信息,如“工业大健康”数据收集是否在合同中体现以及如何应对《数据安全法》对公司大数据战略的影响等,另外包括这些法律法规调整变化情况,发生的重大法律纠纷案件等信息。
(6)其他风险方面:企业品牌影响,与本单位部门相关的政治和意识形态信息如舆情信息、党风廉政建设等其他信息。
(二)收集整理的方法
综合管理部统筹经营风险有关信息的收集和积累机制,风险信息收集采取定期集中收集与不定期动态收集方式开展。
子公司、事业部、职能部门应对所收集的风险信息进行识别、分析,并对其真实性负责,风险管理信息应按管理关系实现与综合管理部的共享,并及时通报公司内审部。
第十五条 风险评估
(一)风险评估步骤
各职能部门、子公司、事业部应根据收集到的相关信息,对相关风险事项,按照风险识别、风险分析和风险评价的步骤开展风险评估工作。
风险识别是指识别经营活动及业务流程中是否存在风险以及存在何种风险。
风险分析是指对识别出的风险进行分析,判断风险发生的可能性及风险发生的条件。
风险评价是指评估风险可能产生损失的大小及对企业实现经营目标的影响程度。
风险等级原则上分三级:一般风险、中等风险和重大风险。一般风险,指风险发生可能性较低且风险影响程度较小;中等风险,指风险发生可能性与风险影响程度介于一般风险与重大风险之间;重大风险,指风险发生的可能性较高且风险影响程度较大。
各职能部门、子公司、事业部应根据风险评估结果,确定各项风险的管理优先顺序和管理策略。
(二)风险评估频率
公司每年底组织开展一次全面风险评估,各单位部门应按照确定的风险评估模型开展规范评估。各单位部门根据工作需要,可以组织开展专项风险评估,相关风险评估模型由组织单位确定。
综合管理部负责组织建立公司风险信息库,主要包括风险分类、监控指标等信息,对长期存在或动态变动的风险根据风险评估结果及时修订。
第十六条 风险管理策略和应对
(一)风险管理策略的选择
职能部门、子公司、事业部,应根据自身条件、经营特点和外部环境,围绕发展战略和经营目标,在进行风险评估基础上,制定风险管理策略。按风险类别和等级确定其风险偏好和风险承受度,选择风险承担、风险规避、风险转移、风险对冲、风险补偿、风险控制等适合的风险管理策略。
(二)制定风险管理策略
公司根据战略规划和年度经营目标确定总体风险管理策略,并根据各业务板块的关键风险按类别确定风险管理策略。
公司在制订年度投资经营计划和预算中应当充分考虑各种主要风险因素,并体现年度风险管理策略。各职能部门、子公司、事业部应根据年度投资经营计划和预算编制安排完成风险管理策略的制定工作。
(三)风险(机会)发生时的应对
各职能部门、子公司、事业部应根据风险管理策略,针对各类关键风险或每一项重大风险制定风险管理解决方案,报有关决策主体审议批准后实施。风险管理解决方案应包括风险解决具体目标、所涉及的管理及业务流程、所需手段、条件等资源,以及风险事件发生前、中、后所采取的应对措施等。公司专项风险管理策略和应对方案由相关业务主管部门负责制订,会签内审部,经业务部门分管领导审核同意后,提交公司有关会议审议决策。超出自身权限的风险管理解决方案应报总经理审批。
第十七条 风险监控、预警和报告
公司应研究建立风险监控指标体系,完善风险预警机制,对风险管理状况进行实时监控,及时预警。风险预警指标应与公司生产经营核心绩效指标有机融合,按照相关性、敏感性、可行性、可衡量性原则设定,根据行业、公司实际情况合理设置正常区域、异
常区域和报警区域的阈值。
综合管理部负责对风险监控指标进行监控、汇总、分析,出现异常或报警信息时,及时向公司领导报告。各职能部门、子公司、事业部负责本业务领域的监控指标设计、监测实施和报告等工作。各单位应在公司重大风险应急处置指导原则下制定应急处置预案,根据实际情况对预案及时调整、优化、做好自身风险监控指标的监测。公司建立风险管理沟通与报告制度,管理层与所辖各职能部门、子公司、事业部每年初结合内部控制评价情况,向董事会报送年度《全面风险管理工作报告》以及后续风险监控情况报告。事业部、子公司在日常工作中突然发生风险事件(事故)或发现重大风险隐患,应及时向归口职能部门、分管领导报告。各职能部门日常工作中突然发生风险事件(事故)或发现重大风险隐患,应及时向公司总经理报告,不得拖延和隐瞒。第十八条 风险文化培育公司各级管理人员和全体员工要牢固树立风险意识,强化以风险管理为导向的经营发展理念,将风险管理贯穿于经营管理的全过程,内化为自觉行动。
各职能部门、子公司、事业部要进一步将风险管理理念融入企业文化,培育具有自身特色的风险管理文化。结合本单位实际情况和历史经验,加强风险管理理念、风险管理方法、风险管理制度体系和风险典型案例的宣传,大力营造良好的风险管理氛围。
第十九条 监督、考核和问责
各事业部、子公司应加强风险管理工作自查,可以与本单位内控自评工作协同开展,发现问题及时整改。公司各职能部门负责对所属各单位相关领域的风险管理工作进行监督与检查,并向公司有关领导报告相关情况。
公司人事行政部门每年末对各部门和各单位的风险管理、内部控制工作进行考核评价,重点考核风险管理体系的健全性和有效性,考核结果纳入公司绩效考评体系。
公司内审部定期组织开展风险管理责任的落实检查,指导督促各单位提升风险管理水平,评价各级管理人员的风险管控能力。
第五章 内部控制评价与审计
第二十条 内部控制评价的组织、范围、频率
内部控制评价是内部控制五要素“内部监督”的形式之一。公司应根据有关上市公司有关规范,定期组织对内部控制体系建设与运行、内部控制制度设计与执行的有效性进行评价,出具内部控制评价报告。
公司内审部根据每年度的审计计划,组织各职能部门、事业部、子公司开展内部控制评估。评估结果经审计委员会讨论确认后提交董事会审议,并作为董事会出具年度内部控制评价报告的基准。内部控制评价发现的缺陷,各被审计机构在应当制定改进措施、步骤,由内审部跟踪其整改情况,并进行考核。
公司及所属机构、部门的所有经营活动都纳入内部控制评价的范畴,内部控制评价工作每年至少开展一次,具体工作程序和要求以内审部制定的内部控制评价工作细则为准。各职能部门、事业部、子公司应当建立内部控制联络人机制,根据内审部的要求,安排各自的人员访谈、证据收集和内部控制制度维护的统筹工作,提升内部控制评价工作效率。
第二十一条 内部控制评价的工作程序
内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷汇总评价结果、编报评价报告等环节。
内审部应当拟订评价工作方案,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报董事会或其授权机构审批后实施。
内部控制评价部门应当根据经批准的评价方案,组成内部控制评价工作组,具体实施内部控制评价工作。评价工作组应当吸收公司内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本机构的内部控制评价工作应当实行回避制度。
公司可以委托中介机构实施内部控制评价。为公司提供内部控制审计服务的会计师事务所,不得同时为公司提供内部控制评价服务。
内部控制评价工作组应当对被评价机构进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价机构内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
第二十二条 内部控制评价报告
公司应当以内部控制评价工作获取的测试、评价证据为基础,如实编制和对外提供年度内部控制评价报告,不得含有虚假的信息或者隐瞒重要事实。
内部控制评价的结论以内部控制评价报告的形式体现。公司至少应当在每年年末出具年度内部控制评价报告,并根据内控工作需要可在年中期间执行半年度内部控制评价或专项审计工作。
第二十三条 内部控制审计报告
公司或股东聘请的会计师事务所在出具年度审计报告的同时,应当对公司内部控制的有效性发表审计意见,形成内部控制审计报告。内部控制审计报告的编制与披露由注册会计师参照《企业内部控制审计指引》和有关审计准则开展工作。
公司内部控制审计报告应当与内部控制评价报告同时对外披露或报送。
第六章 内部控制相关信息披露
第二十四条 内部控制制度的披露
根据对上市公司的各类监管要求,至少下列有关内部控制制度的建立、更新都要履行对外信息披露义务。
(一)募集资金管理制度。公司应当将募集资金存储、使用和管理的内部控制制度及时报所属证券交易所备案并在该所网站上披露。
(二)董监高人员股份管理制度。公司应当建立董事、监事、高级管理人员所持本公司股份及其变动的专项管理制度,明确上述人员买卖本公司股份的报告、申报和监督程序,并对外披露。
(三)信息披露制度。公司应当将其信息披露的内部控制制度公开。
(四)根据公司经营活动发生的变化和监管要求的变化,及时调整和更新业已披露的内部控制相关制度。
第二十五条 年度内部控制评价报告的披露内部控制评价报告每年至少披露一次。但是无论是否有明确要求,凡对投资者投资决策有重大影响的内部控制信息,公司均应充分披露。
公司董事会及全体董事应保证提供的年度内部控制评价报告不存在虚假记载、误导性陈述或重大遗漏,并就年度内部控制评价报告的真实性、准确性、完整性承担个别和连带的法律责任。公司编制的年度内部控制评价报告经董事会审议通过,并按定期报告相关要求审核后,与年度报告一并对外披露。披露的格式可参考证监会、财政部联合发布的《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》、证
监会发布的《公开发行证券的公司信息披露内容与格式准则第2号——年度报告的内容与格式》的规定执行。
第七章 附则第二十六条 本制度由董事会负责解释和修订,风险管理、内部控制具体工作的开展以各职能部门具体规定为准。第二十七条 未尽事宜以最新补充规定为准。第二十八条 本制度自董事会批准通过之日起施行。
杭州申昊科技股份有限公司
2024年4月21日