海优新材:内控管理制度(2024年7月修订)
上海海优威新材料股份有限公司
内控管理制度(2024年7月修订)
第一章 总则第一条 目的
为了加强上海海优威新材料股份有限公司(以下简称“公司”)内部控制制度建设,保障公司经营战略目标的实现,根据《公司法》、《证券法》、《会计法》和其他有关法律法规要求,结合本公司的战略需要,制定本制度。第二条 适用范围
本制度适用于上海海优威新材料股份有限公司及其子公司。第三条 内部控制的定义
内部控制是指公司董事会、经理层及所有员工共同实施的,为了保护公司资产的安全、完整;防范、规避经营风险;防止各种欺诈和舞弊;确保公司规章制度的贯彻执行;最终保证各项经营管理活动效率达到预期的目标等而制定和实施的一系列具有控制职能的业务操作程序、管理方法与控制措施的总称。第四条 内部控制的目标
内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
合规目标:合规目标是指合理保证公司经营管理合法合规。公司要在法律允许的经营范围内开展经营活动,严禁违法经营、非法获利。
资产安全目标:资产安全目标是指维护资产安全,防止资产流失。确保公司的各项存款等货币资金的安全,防止被挪用、转移、侵占、盗窃。同时还要保护实物资产和无形资产,防止低价出售,要充分发挥资产效能,提高资产管理水平。
报告目标:报告目标是指保证财务报告及相关信息真实完整。财务报告及相关信息反映了公司的经营业绩,乃至公司的价值增值过程。财务报告反映公司的过去与现状,并可预测公司的未来发展,是投资人进行投资决策、债权人进行信贷决策、管理者进行管理决策和宏观经济调控部门进行政策决策的重要依据。同时,财务报告作为社会的公共产品,其真实完整地体现了公司履行的社会责任。
经营目标:经营目标是指提高经营效率和效果。公司建立和实施内部控制的内在要求之一是相互制衡、相互监督,这一要求看似与提高效率效果相矛盾,实际上是协调一致的。因为忽视控制的经营管理,将导致重大风险的发生,可能造成公司难以为继,最终降低了经营的效率效果。
战略目标:战略目标是指促进公司实现发展战略。只要公司切实保证经营管理合法合规、资产安全完整、财务报告及相关信息真实可靠、经营效率效果稳步提高,就一定能提高核心竞争力,促进实现发展战略。第五条 内部控制遵循的原则
全面性原则:内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。
重要性原则:内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。
制衡性原则:内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
适应性原则:内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
成本效益原则:内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
第二章 内部控制五要素第六条 治理结构
公司根据国家有关法律法规和公司章程,建立起较为规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成较为科学有效的职责分工和制衡机制。股东大会享有法律法规和公司章程规定的合法权利,依法行使公司经营方针、筹资、投资、利润分配等重大事项的表决权。董事会对股东大会负责,依法行使公司的经营决策权。监事会对股东大会负责,监督公司董事、总裁和其他高级管理人员依法履行职责。经理层负责组织实施股东大会、董事会决议事项,主持公司的生产经营管理工作。第七条 机构设置及权责分配
董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。
公司结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。
公司实行不相容职务、岗位分离制度。遵循互相制约、权力分割、稽核对证等原则,关键岗位的设置体现了不相容职务分离原则,使不同岗位真正起到相互制约、相互监督的作用。
公司成立风险控制小组具体负责组织协调内部控制的建立实施及日常工作。风险控制小组是由公司副总裁担任组长,负责小组的整体工作。由公司各部门负责人及相关工作人员组成,包括但不限于财务管理中心、人力行政中心、法务部等。
公司通过编制《内部控制手册》,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权。第八条 内部审计
公司在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。
公司重视内部审计工作,设立了审计部,其在机构设置、人员配备和工作上具有独立性。审计部结合内部审计监督,对内部控制的有效性进行监督检查;对监督检查中发现的内部控制缺陷,按照公司内部审计工作程序进行逐层报告。第九条 人力资源政策
公司围绕“选育用留”制定和实施有利于企业可持续发展的人力资源政策,将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。
公司加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。
公司董事、监事、总裁等在企业文化建设中发挥主导作用,并制定《员工手册》提供全体员工在职业道德操守、行为规范等方面的指导和培训。
企业不断加强法制教育,增强董事、监事、总裁及其他高级管理人员和员工
的法制观念,严格依法决策、依法办事、依法监督。第十条 风险评估公司风险是指企业在经营过程中未来存在的不确定性对公司实现其经营目标的影响,主要包括战略风险、经营风险、财务风险和法律风险等。公司通过建立规范、有效的风险控制体系,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估,不断提高公司风险防范能力,保证公司安全、稳健运行,实现企业设定的控制目标。公司各部门、风险控制小组为风险管理第一道防线:
公司各部门根据业务分工配合风险控制小组识别、分析相关业务流程的风险,制定风险应对方案;在业务实施过程中,及时发现、记录、分析控制缺陷,提出控制缺陷改进意见并在审批后予以实施。配合审计等部门对控制失效造成重大损失或不良影响的事件进行调查、处理。审计委员会和审计部为风险管理第二道防线,对公司经营层面的风险管理进行监督;董事会及股东大会为风险管理第三道防线,对公司重大的风险项目进行评估审议。
(一)风险识别
风险识别是在目标设定的基础上,密切关注内外部主要风险因素。
公司识别内部风险,主要关注下列因素:
董事、监事、总裁及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素;组织机构、经营方式、资产管理、业务流程等管理因素;
研究开发、技术投入、信息技术运用等自主创新因素;
财务状况、经营成果、现金流量等财务因素;
营运安全、员工健康、环境保护等安全环保因素;
其他有关内部风险因素。
公司识别外部风险,主要关注下列因素:
经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;
法律法规、监管要求等法律因素;
安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;
技术进步、工艺改进等科学技术因素;自然灾害、环境状况等自然环境因素;其他有关外部风险因素。
(二)风险评估
公司进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,以确保风险分析结果的准确性。公司从风险发生的可能性和对公司目标的影响程度两个角度,对识别的风险进行分析,并将风险分为A、B、C、D四级(见下风险分析和风险分级标准图),确定关注重点和优先控制的风险:
A:重要风险——风险发生可能性较高,而且影响程度较高,应给予重点控制和预防。
B:次重要风险——风险发生可能性较低,但影响程度较高,应给予重点关注和控制。
C:一般风险——风险发生可能性较高,但影响程度较低,应给予一般关注。
D:低风险——风险发生可能性较低,而且影响程度较低,关注程度较低。
图0-1:风险分析和风险分级标准
(三)风险应对
公司根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。风险应对策略包括风险规避、风险降低、风险分担和风险承受。
风险规避:是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。
风险降低:是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。风险分担:是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。风险承受:是企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
(四)风险管理的监督与改进
公司结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
公司各有关部门和业务单位应定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查、检验报告应及时报送公司风险控制小组。
审计部定期或不定期对各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价,监督评价报告应直接报送董事会下设的审计委员会。第十一条 控制活动
控制活动是指结合具体的业务和事项,应用相应的控制政策和程序,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。不相容职务分离控制
不相容职务分离控制要求公司全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。授权审批控制
授权审批控制要求公司根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
公司规定常规授权的权限,规范特别授权的范围、权限、程序和责任,严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。
公司各级管理人员在授权范围内行使职权和承担责任。
公司对于重大的业务和事项,实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。
应急审批机制:相关工作执行过程中如遇紧急情况无法及时获得书面审批,可采用电话、微信、短信等其他形式进行审批,并经相关工作负责人与相关人员确认后可先行实施;事后补齐相关审批手续。会计系统控制
会计系统控制要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。
公司依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。财产保护控制
财产保护控制要求公司建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。
公司严格限制未经授权的人员接触和处置财产。预算控制
预算控制要求公司实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。运营分析控制
运营分析控制要求公司建立运营情况分析制度,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。绩效考评控制
绩效考评控制要求公司建立和实施绩效考评制度,科学设置考核指标体系,对公司内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。第十二条 重大风险预警机制和突发事件应急处理机制
公司建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程
序,确保突发事件得到及时妥善处理。第十三条 信息与沟通公司建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。信息收集公司对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。公司可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。公司可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。信息处理与传递公司将内部控制相关信息在内部各管理级次、责任单位、业务环节之间,以及与外部投资者、债权人、客户、供应商、中介机构和监管部门等关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。
重要信息应当及时传递给董事会、监事会和经理层。公司利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。公司加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。第十四条 反舞弊公司建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。企业至少应当将下列情形作为反舞弊工作的重点:
(1)未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益。
(2)在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。董事、监事、总裁及其他高级管理人员滥用职权。相关机构或人员串通舞弊。
公司应建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。第十五条 内部监督内部监督是公司内部控制得以有效实施的机制保障,在内部控制构成要素中,具有十分重要的作用。公司制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。内部监督的方法内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。内部控制缺陷公司制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,组织分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。
内部控制缺陷包括设计缺陷和运行缺陷。公司跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任单位或者责任人的责任。内部控制自我评价
内部控制自我评价是内部监督的一种实现形式,是建立在日常监督和专项监督基础上,定期对内部控制的有效性进行综合评价并出具自我评价报告的过程。公司结合内部监督情况,当期(一般于年终)对内部控制的有效性进行自我评价,出具年度自我评价报告。内部控制文档记录与保管
公司以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。
内部控制的管理组织
图0-2:内部控制的管理组织架构图董事会:负责内部控制的建立健全和有效实施。风险控制小组:主要负责具体组织、协调公司及其子公司内部控制的建立实施与日常工作。审计部:为公司内部控制的内部监督机构,具体承担内部控制监督评价职能。审计部根据需要开展日常监督和专项监督,对内部控制有效性作出整体评价和提出整改计划,督促其他有关机构整改;定期向审计委员会汇报内部控制监督检查情况;组织实施年度内部控制自我评价工作,配合外部审计机构进行内部控制审计等。公司各部门和子公司:为公司内部控制建设的具体实施机构。公司各部门负责人、子公司负责人为本部门或本子公司内部控制建设具体责任人,主要负责包括:
根据有关法律法规、企业内部控制基本规范及其配套办法,制定并完善相关模块的内部控制制度并组织实施;负责相关模块内部控制执行情况日常监督,制定内部控制自查计划并进行自查,分析识别内部控制缺陷等;
董事会
董事会各部门
各部门审计部
审计部各子公司
各子公司建设
建设评价
评价审计委员会
审计委员会总裁
总裁总裁办
总裁办风险控制小组
负责跟踪日常监督、专项监督及年度内部控制自我评价的内部控制整改情况,并将整改情况报送风险控制小组;结合外部宏观环境变化及公司的经营情况组织对公司层面、业务层面的风险进行定期评估,及时更新“风险与关键控制点”,并据此指导年度内控检查的重点事项和范围;
负责相应模块《内部控制手册》的更新及培训等工作。第十六条《内部控制手册》结构、生效及更新《内部控制手册》结构
根据《企业内部控制基本规范》、《企业内部控制应用指引》,结合公司价值链分析,公司《内部控制手册》主要包括20章节。
表0-1:《内部控制手册》结构
章节序号
章节序号 | 章节名称 | 章节序号 | 章节名称 | |
前言 | 第11章 | 资产管理 | ||
第1章 | 组织架构 | 第12章 | 担保管理 | |
第2章 | 战略与预算管理 | 第13章 | 业务外包管理 | |
第3章 | 人力资源管理 | 第14章 | 财务报告管理 | |
第4章 | 社会责任 | 第15章 | 采购管理 | |
第5章 | 企业文化 | 第16章 | 合同管理 | |
第6章 | 研发管理 | 第17章 | 工程项目管理 | |
第7章 | 生产管理 | 第18章 | 内部信息传递管理 | |
第8章 | 质量管理 | 第19章 | 信息系统管理 | |
第9章 | 业务管理 | |||
第10章 | 资金管理 |
《内部控制手册》使用规范
《内部控制手册》使用规范包含对总则、控制目标、职责权限、风险及关键控制点、控制活动、流程图、相关制度与表单的基本要求。总则:
总则主要描述本章业务的管理范围、管理特点、相关管理原则等。
控制目标:
控制目标主要是指通过对企业内部的研发活动、生产活动、质量活动、营销活动、财务活动、人力资源管理活动等多方面的规范与风险防控,达到所需实现的相关目标。职责权限:
职责权限是指所述业务的相关部门或岗位的主要职责、相关授权情况或业务执行权限。风险及关键控制点:
业务风险:是指在业务开展过程中,由于没有准确、有效地按照规定的相关业务流程进行规范性操作,而导致影响内部控制功效发挥和目标实现,或导致内部控制失效的不确定性因素;按照风险发生的可能性与影响程度,将业务风险划分为A、B、C、D等4个等级。
关键控制点:是指为了防控风险,在各项控制活动过程中识别出的、可能对控制活动的成效造成较大影响的业务环节。控制活动:
控制活动是指企业结合风险评估结果,为了将风险控制在可承受度之内,而运用的一系列控制措施。流程图:
流程图是一种描述企业内各部门、人员之间业务关系、作业顺序和管理信息流向的图表,包含了流程名称、相关职能部门/岗位、简要的流程步骤、生成的相关文档、流程顺序关键控制点等要素。
表:流程图基本流程符号对照表
基本流程符号
基本流程符号 | 流程符号说明 |
表示流程的开始/结束 | |
简要表述流程步骤 | |
表示流程步骤生成的文档 |
表示逻辑判断
表示逻辑判断 |
表示进入预定的子流程 |
表示流程顺序 |
表示参与流程 |
相关制度与表单:
相关制度与表单是指与具体流程相关的公司重要内部管理制度,以及主要表单。《内部控制手册》生效及更新《内部控制手册》的生效《内部控制手册》经公司总裁办审批后正式生效,由风险控制小组下发给各相关部门及子公司执行。《内部控制手册》的更新公司将随着内外部环境及相关管理要求等改变、部门建议、内外部监查单位的评价等,适时更新《内部控制手册》。公司各部门可根据需要在权限范围内组织相关人员对内控制度进行相关修订,并报风险控制小组确认;集中更新一般每年进行一次,由风险控制小组组织实施,并经审批后生效。
上海海优威新材料股份有限公司
2024年7月