陕西旅游(603402):陕西旅游:内部控制及风险管理制度
内部控制及风险管理制度 第一章总则 第一条为了规范陕西旅游文化产业股份有限公司(以下简称“公司”)内部控制与风险管理工作,建立健全内部控制体系,有效实施及监督内部控制,提高风险防范能力,促进公司持续、健康发展,根据五部委《企业内部控制基本规范》及配套指引、《中央企业全面风险管理指引》、《上海证券交易所上市公司自律监管指引第1号——规范运作》等相关法律法规及《公司章程》,结合公司实际,制定本制度。 第二条内部控制,是指公司董事会、管理层及全体员工共同实施的,为了合理保证企业经营管理合理合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略目标的控制过程。 第三条风险管理,是指企业在经营过程中为了应对战略风险、财务风险、市场风险、运营风险、法律风险等方面风险建立起的风险管理流程、风险管理文化和风险管理体系,用于识别可能对公司经营造成不确定影响的控制过程。 第四条公司应当完善内部控制制度,确保董事会及其专门委员会、股东会等机构合法运作和科学决策,建立有效的激励约束机制,树立风险防范意识,培育良好的企业精神和内部控制文化,创造全体职工充分了解并履行职责的环境。 第二章管理组织体系 第五条公司风险管理是以内部控制为重点的风险管控,其组织体系是由董事会、审计委员会、管理层、内部审计部门等各职能部门及各子公司共同构成。 第六条内部控制与风险管理应嵌入到具体业务、管理制度和操作流程中,公司各部门及子公司各业务部门是分管相关业务内部控制制度建立、有效实施及风险管理的直接责任单位。 第七条董事会是公司内部控制和风险管理的最高决策机构,职权是:(一)确定公司内部控制建设的总体目标; (二)对公司内部控制制度的制定和有效执行负责; (三)审批公司内部控制审计报告; (四)监督公司内部控制文化的培养建设; 1 (五)决策公司内部控制管理的其他重大事项。 第八条董事会审计委员会对内部审计机构日常工作进行监督指导。 第九条董事会审计委员会监督及评估内部控制工作,应当履行下列职责:(一)指导和监督内部控制制度的建立和实施; (二)审核公司年度内部控制工作计划; (三)监督内部控制审计计划的实施及有效运作; (四)审阅公司内部控制评价及风险管理评估报告并对其发表意见;(五)听取内部审计机构对内部控制审计工作进度及发现重大问题或线索的汇报; (六)监督内外部审计工作中发现内部控制缺陷的整改。 (七)协调内部审计机构与会计师事务所、国家审计机构等外部审计单位之间的关系。 第十条管理层内部控制与风险管理的职权: (一)建立公司内部控制制度体系,明确向子公司委派董事、重要高级管理人员的选任方式和职责权限; (二)根据风险管控目标,协调公司和子公司的经营策略和风险管理策略,督促子公司制定相关业务计划和内部控制制度; (三)推动公司及子公司内控制度的完善和执行; (四)识别、评估、应对、决策内部控制和风险管理具体问题; (五)制定子公司重大事项内部报告制度,严格按照授权制度将重大事件上报公司董事会或股东会审议; (六)要求子公司及时向公司董事会秘书报送董事会决议、股东会决议等重要文件; (七)定期分析公司及子公司运营、资金借贷及对外担保报表和财务报告等,委托会计师事务所开展对公司及子公司的审计工作; (八)制定子公司的业绩考核与激励机制; (九)对公司及子公司内部控制制度的实施及监督进行评价; (十)负责组织完成内部控制和风险管理的其他重大事项。 第十一条公司内部审计机构在董事会的授权下,负责收集、评估、分析、应对重大风险,组织实施风险管理和内部控制评价工作。 第十二条公司内部审计机构的职责: (一)拟定公司内部控制管理相关制度; 2 (二)制定公司年度风险管理实施方案,开展公司及各子公司风险管理评估工作; (三)根据风险评估结果,向审计委员会提交风险评估报告; (四)制定公司年度(或半年)内部控制评价工作方案并开展公司及子公司内部控制评价工作; (五)编制年度(或半年)内部控制评价报告并提交审计委员会审核;(六)监督、协调外部审计机构按计划完成年度内控审计工作,组织相关各方沟通发现的内控缺陷和管理建议; (七)向审计委员会、管理层及时汇报内、外部审计提出的内控问题及建议,督导公司各部门及各子公司对内控缺陷的整改; (八)在风险管控中若发现问题,可开展针对风险的专项审计; (九)实施内部控制和风险管理其他相关工作。 第十三条公司各职能部门内部控制与风险管理的职责: (一)严格执行公司各项管理制度; (二)建立本部门各项管理制度和流程,并有效执行,确保不出现重大或重要风险事项; (三)识别、评估、分析和应对部门业务中涉及的内控缺陷,并提出改进措施; (四)配合内审、外审开展内控及风险管理工作,针对发现的内控缺陷及时沟通整改; 第十四条各子公司总经理为本企业实施内部控制与风险管理工作的第一责任人,对本企业内部控制实施的有效性负责,确保不出现重大或重要风险事件。 第十五条各子公司内部控制与风险管理的职责: (一)根据本制度建立健全本企业的内控制度体系,确保本企业内部控制体系设计和运行有效; (二)按照公司年度内部控制与风险管理工作计划,配合公司完成本企业的内部控制与风险管理相关工作; (三)识别、评估、分析和应对本企业涉及的内控缺陷、重大或重要风险,并制定和完善相应的管控措施; (四)及时向上级主管部门报告经营中发现的重大风险和内控缺陷;(五)对涉及重大或重要缺陷造成的损失和影响,追究责任; (六)负责其他与内控和风险管理相关事项。 第三章内部控制与披露 3 第十六条公司内部控制的目标: (一)合理保证企业经营管理合法合规; (二)维护资产安全; (三)保证财务报告及相关信息真实完整; (四)提高经营效率和效果; (五)促进公司实现发展战略。 第十七条公司内部控制建立应考虑的基本要素: (一)内部环境。内部环境是影响、制约公司内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础,内部环境主要包括治理结构、组织机构设置与权责分配、公司文化、人力资源政策、内部审计机构设置、反舞弊机制等;(二)风险评估。风险评估是及时识别、科学分析和评价影响公司内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。 风险评估主要包括目标设定、风险识别、风险分析和风险应对; (三)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合公司具体业务和事项的特点与要求制定; (四)信息与沟通。信息与沟通是及时、准确、完整地收集与公司经营管理相关的各种信息,并使这些信息以适当的方式在公司有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件; (五)监督检查。监督检查是公司对内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。主要包括对建立并执行内部控制的整体情况进行监督检查,对内部控制的某一方面或某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等,公司内部控制自我评估是内部控制监督检查的一项重要内容。 第十八条公司内部控制管理工作应遵循的原则: (一)合法性原则。内部控制符合法律、法规的规定和有关政府监管部门的监管要求; (二)全面性原则。内部控制在层次上涵盖公司董事会、管理层和全体员工,在对象上覆盖公司各项业务和管理活动,在流程上渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞; (三)重要性原则。内部控制在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷;(四)有效性原则。内部控制能够为其目标的实现提供合理保证,公司全体员工自觉维护内部控制的有效执行,内部控制建立和实施过程中存在的问题能够得到及时地纠正和处理; 4 (五)制衡性原则。公司的组织、岗位设置和权责分配科学合理,并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和利于相互监督,以及履行内部控制监督检查职责的部门具有良好的独立性; (六)适应性原则。内部控制合理体现公司经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着公司外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善; (七)成本效益原则。内部控制在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。 第十九条公司内部控制活动涵盖公司所有的运营环节,具体参照公司《内部控制手册》。 第一节内部环境 第二十条公司根据经营管理的需要设置组织、部门,配备相应人员。 第二十一条公司内部组织设置、岗位设置及职能划分应符合内部控制原则和目标。 第二十二条国家法律、法规、政策对组织设置和管理人员的资格、任免、回避已有规定的,公司在设置该组织和任命管理人员时,应严格遵守相关规定。 第二十三条组织、岗位的设置与职责划分坚持不相容职务相互分离和回避的原则,保证内部组织、岗位及其职责权限的合理设置和分工,提高岗位效率,确保不同组织和岗位之间权责明确、相互制约、相互监督。 第二节风险评估 第二十四条风险是指对实现内部控制目标可能产生负面影响的不确定性因素。 风险评估是指及时识别、科学分析影响公司内部控制目标实现的各种不确定因素,并采取应对策略的过程。 第二十五条风险管理的程序是收集风险管理初始信息、风险评估、制定风险管理策略、提出和实施风险管理解决方案、风险监督与改进措施。 第二十六条风险评估的程序是目标设定、风险识别、风险分析、风险应对。 第二十七条公司按照战略目标设定相关经营目标、财务报告目标、合规性目标5 与资产安全完整目标,并根据目标合理确定公司整体风险承受能力和具体业务层次上的可接受的风险水平。 第二十八条内部风险因素一般关注:高级管理人员职业操守、员工专业胜任能力、团队精神等人员素质因素,营运安全、员工健康、环境污染等安全环保因素。 第二十九条外部风险因素一般关注:经济形势、产业政策、资源供给、利率调整、汇率变动、融资环境、市场竞争等经济因素;法律法规、监管要求等法律因素;文化传统、社会信用、教育基础、消费者行为等社会因素;技术进步、工艺改进、电子商务等科技因素;自然灾害、环境状况等自然环境因素。 第三十条公司针对已识别的风险因素、从风险发生的可能性和影响程度两个方面进行分析,公司根据实际情况,会对不同的风险类别确定科学合理的定性、定量分析标准。 第三十一条公司根据风险分析情况,结合风险成因、公司整体风险承受能力和具体业务层次上的可接受风险水平,确定风险应对策略,一般包括风险回避、风险承担、风险降低和风险分担等。 第三十二条公司内部审计机构汇总各职能部门及各子企业风险评估资料,展开相应的风险评估,向董事会审计委员会提交风险评估报告提请管理层采取防范措施。 第三节控制措施 第三十三条公司制定合理、有效的内控措施,包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考核控制、重大风险预警和突发事件应急处理机制。 (一)建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责,定期梳理业务流程中所涉及的不相容职务并实施分离; (二)建立内控岗位授权审批制度。对内控所涉及的各岗位明确规定授权的对象、条件、权限范围、审批程序等,按照权利、义务和责任相统一的原则,明确规定公司各职能部门和业务单位、岗位、人员应负的责任及奖惩;(三)建立内控审计检查报告制度。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式等,明确报告的时间、内容、频率、报告的主体等; 6 (四)建立内控考核评价制度。设置考核指标体系,对员工的工作、业绩进行定期考核和客观评价,把各部门风险管理执行情况与绩效相挂钩;(五)建立重大风险预警机制和突发事件应急处理机制。对重大风险进行持续不断的监测,明确预警标准和责任人员,制定应急预案,规范处理程序,确保事件得到及时妥善处理。 第三十四条公司及各子公司各项业务活动遵守本制度及其他管理制度执行,加强对关联交易、担保、募集资金使用、重大投资、信息披露等活动的控制,建立相应控制政策及程序。 第三十五条公司各部门妥善保管各类业务资料,保证内部控制档案的完整、内部控制档案原则上不得外用,有特殊需要须经公司批准,内部控制档案按照不同业务类型分别确定保管期限及销毁方式。 第四节信息与沟通 第三十六条信息与沟通是指及时、准确、完整地收集与公司经营管理相关的各种信息,并使这些信息以适当的方式在公司有关层级之间及时传递,有效沟通和正确应用的过程。 第三十七条公司全面收集来源于公司外部及内部、与公司经营管理相关的财务及非财务信息,为内部控制的有效运行提供信息支持。 第三十八条内部信息主要包括会计信息、生产经营信息、资本运作信息、人员变动信息、技术创新信息、综合管理信息等,公司通过会计资料、经营管理资料、调查研究报告、会议记录纪要、专项信息反馈、内部报刊网络等渠道和方式获取所需的内部信息。 第三十九条外部信息主要包括政策法规信息、经济形势信息、监管要求信息、市场竞争信息、行业动态信息、客户信用信息、社会文化信息、科技进步信息等。 公司通过立法监管部门、社会中介机构、行业协会组织、业务往来单位、市场调研、外部信访、新闻传播媒体等渠道和方式获取所需的外部信息。 第四十条公司建立良好的外部沟通渠道,对外部有关方面的建议、投诉和收到的其他信息进行记录,并及时处理、反馈。 第四十一条外部沟通重点关注: 7 (一)与投资者和债权人的沟通。公司根据有关规定,通过股东会、投资者说明会等方式,及时向投资者报告公司的战略规划、投融资计划、年度预算、经营成果、财务状况、利润分配方案及重大担保、合并分立、资产重组等方面的信息。 听取投资者的意见和要求,妥善处理公司与投资者之间的关系; (二)与客户的沟通。公司通过客户座谈会、走访客户等形式,定期听取客户对消费偏好、销售政策、产品质量、售后服务、货款结算等方面的意见和建议、需求和客户意见,妥善解决可能存在的控制不当问题; (三)与供应商的沟通。公司通过供需见面会、订货会、业务洽谈会等形式与供应商就供货渠道、产品质量、技术性能、交易价格、信用政策、结算方式等进行沟通,及时发现可能存在的控制不当问题; (四)与监管机构的沟通。公司通过及时向监管机构了解监管政策和监管要求及其变化,相应完善自身的管理制度。同时,认真了解自身存在的问题,积极反映诉求和建议,努力加强与监管机构的协调; (五)与外部审计的沟通。公司通过定期与外部审计师进行会晤,听取外部审计机构有关财务报告审计、内控等方面的建议,以保证内部控制的有效运行及双方工作的协调。 第五节监督与检查 第四十二条监督检查是指对内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面检查报告并做出相应处理的过程。 第四十三条内部控制缺陷,是指内部控制的设计存在漏洞、不能有效防范错误与舞弊,或者内部控制的运行存在弱点或偏差,不能及时发现并纠正错误与舞弊的情形;重大缺陷,是指已发现的内部控制缺陷或能严重影响财务报告的真实可靠和资产的安全完整。 第四十四条监督检查的方式,包括但不限于外部检查、内部自查、内部审计等:(一)外部检查,包括上级单位不定期的审计检查; (二)内部自查,公司内审部门对各部门及子公司一年进行一次内部控制评价,及时发现缺陷并督促整改; (三)内部审计,内审部门根据公司年度风险管理与内部控制要求,不定期开展风险与内部控制管理专项监督检查。 第四十五条对内部控制评价,专项检查过程中发现的内部控制缺陷、重要或重大风险,责任单位应分析其性质、产生原因和影响程度,提出整改方案,内控部8 门跟踪落实缺陷整改或风险管控措施,严格追究相关责任人的责任,维护其严肃性和权威性。 第四十六条公司内部审计机构结合监督检查结果,对内部控制的健全性、合理性与有效性进行自我评估形成书面评估报告。自我评估的方式、范围、程序和频率,由公司根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等多种因素合理确定,法律法规和有关监督规则另有规定的除外。 第四十七条根据有关法律法规或有关监督规则的要求,公司董事会将定期对外披露(以财务报告为主)公司内部控制自我评价报告。 第四十八条公司应当建立健全信息披露内部控制制度,建立公告核稿、校验及披露错误追责问责机制,配备充足的、具备专业能力的人员,确保信息披露真实、准确、完整。 第四章附则 第四十九条本制度适用于公司及各子公司。 第五十条本制度由公司董事会负责解释。 第五十一条本制度自董事会审议通过之日起生效。 9 中财网
 |