光迅科技(002281):武汉光迅科技股份有限公司全面风险与内部控制管理办法
全面风险与内部控制管理办法 (2019年8月制订,2025年10月第一次修订) 第一章总则 第一条为加强武汉光迅科技股份有限公司(以下简称公司)全面风险管理工作,规范内部控制体系的运行,提高风险防范与控制水平,促进公司持续、健康、稳定发展,根据国务院国资委《中央企业全面风险管理指引》财政部等五部委《企业内部控制基本规范》及配套指引、集团《中国信息通信科技集团有限公司全面风险与内部控制管理办法》的要求,结合公司实际情况,制定本办法。 第二条本办法适用于公司及各子公司。 第三条公司全面风险管理与内部控制工作力求实现以下四个方面的目标:(一)合规目标:遵守有关法律法规,合理保证公司经营管理合法合规;(二)报告目标:实现企业内外部真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告,合理保证公司资产安全,财务报告及相关信息真实完整;(三)经营目标:提升企业经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性; (四)战略目标:将风险控制在与总体目标相适应并可承受的范围内,避免遭受重大损失,促进公司实现发展战略。 第四条公司全面风险管理与内部控制工作遵循以下五个原则: (一)全面性原则。全面风险管理与内部控制工作应当贯穿决策、执行和监督全过程,覆盖公司及所属各企业的各种业务和事项。 (二)重要性原则。全面风险管理与内部控制工作应当在全面控制的基础上,关注重要业务事项和高风险领域。 (三)制衡性原则。全面风险管理与内部控制工作应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约相互监督,同时兼顾运营效率。 (四)适应性原则。全面风险管理与内部控制工作应当与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。 (五)成本效益原则。全面风险管理与内部控制工作应当权衡实施成本与预期效益,以适当的成本实现有效控制。 第五条公司及各子公司应将全面风险管理与内部控制工作与日常经营管理紧密结合,将全面风险管理与内部控制的理念贯穿于经营管理的各方面、业务流程的各环节,以重大风险评估、重大风险事件管理和重要流程内部控制为重点,逐步建立健全全面风险管理与内部控制体系,构建全面风险管理与内部控制服务于日常经营管理和重大事项决策的长效机制。 第二章组织体系与职能分工 第六条公司全面风险管理与内部控制组织体系包括四个层级,第一层级为公司董事会,第二层级为公司全面风险管理委员会,第三层级为公司全面风险与内控管理专职部门及其他风险管理、内部控制相关的职能部门,第四层级为公司各部门。 第七条公司董事会在全面风险管理与内部控制方面主要履行以下职责:(一)负责批准公司全面风险管理与内部控制体系基本制度; (二)负责批准公司全面风险管理报告、内部控制评价报告; (三)负责督导全面风险管理和内部控制文化的培育; (四)其他重大事项。 第八条公司全面风险管理委员会分为领导小组和工作小组,领导小组由公司高管组成,公司总经理担任领导小组组长,工作小组由一级部门负责人及子公司负责人组成,分管全面风险管理的高管担任工作小组组长,主要履行以下职责: (一)负责设置公司全面风险管理和内部控制体系的组织架构,明确其工作职责;(二)负责审议公司全面风险管理和内部控制相关制度; (三)负责审议公司年度全面风险管理报告; (四)负责审议内部控制评价报告; (五)倡导、培育公司全面风险管理及内部控制文化,推进相关的文化建设工作;(六)公司面临重要紧急风险事件时,全面风险管理委员会下设风险事件处置工作小组,负责对风险事件组织专项研讨,完成相关信息的搜集、风险评估、制订风险应对策略,编制《风险应急预案》,明确风险管控的目标和方法,负责向公司全面风险管理委员会及时汇报风险事件处置相关进展,执行风险管理委员会的决议,确保风险管控目标达成。 (七)其他工作。 第九条公司全面风险与内控管理专职部门主要职责如下: (一)负责拟订全面风险管理与内部控制相关制度; (二)牵头组织公司全面风险管理工作,提出公司全面风险管理报告;(三)负责组织开展公司内部控制的各项工作,提出内部控制评价报告;(四)牵头组织制定重大风险管理解决方案;对重大风险进行日常监控;(五)研究提出重大风险、重要业务流程、重大缺陷的判断标准或判断机制;(六)定期汇总、分析、整理公司风险监控信息和内控缺陷信息,并向公司全面风险管理委员会和集团全面风险管理与内部控制归口管理部门报告,定期向集团全面风险管理与内部控制归口管理部门报送本企业年度风险管理报告、内部控制评价报告等相关报告; (七)负责组织开展公司全面风险管理与内部控制培训,指导公司所属各企业的全面风险管理与内部控制工作; (八)其他工作。 第十条公司各部门遵循“既管经营,也管风险”的原则,一级抓一级,层层贯彻风险管控责任。公司各部门负责人是本部门全面风险管理与内部控制的第一责任人,负责落实本部门的全面风险管理与内部控制的责任和具体工作。其主要职责如下:(一)在本部门落实各岗位、各业务流程中全面风险管理及内部控制的责任,在工作流程中识别风险点,制定控制措施和预警指标; (二)配合、参与公司全面风险与内控管理专职部门组织开展的定期和日常的全面风险管理和内控评价工作; (三)风险评价工作完成后,风险责任部门应制定和实施风险管理解决方案;(四)内控评价工作完成后,缺陷责任部门应对其负责的内部控制缺陷进行有效整改;(五)定期分析、整理部门风险监控信息和内控缺陷信息,并向公司全面风险管理与内部控制专职部门报告,定期向公司全面风险管理与内部控制专职部门报送部门年度风险管理工作小结。 (六)其他工作。 第十一条各子公司负责人是本企业全面风险管理与内部控制的第一责任人,负责落实本企业的全面风险管理与内部控制的责任和具体工作,并应结合本企业的实际情况,建立企业全面风险管理与内部控制组织体系。 第十二条公司各部门及各子公司应根据本部门或本企业的业务复杂程度和工作需要配置风险管理(内控)人员。在风险管理与内部控制工作中,风险管理(内控)人员应接受本单位风险管理与内部控制归口管理部门的组织、协调、指导和监督。 第三章全面风险管理 第十三条本办法中所称企业风险,是指公司在未来发展过程中,各种不确定性对实现战略及经营目标的影响。企业风险可分为战略风险、财务风险、市场风险、运营风险、法律风险等。 第十四条本办法中所称全面风险管理,是指公司围绕战略目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理制度体系、风险管理组织体系和风险管理系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。 第十五条全面风险管理流程一般包括的步骤:收集风险管理初始信息、风险评估、制定风险管理策略,制定实施解决方案以及监督改进,见下图: 第十六条收集风险管理初始信息指风险管理(内控)人员应在日常工作中持续收集与本部门风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预测,并根据本企业全面风险管理归口管理部门的相关要求进行定期汇总。 第十七条风险评估是指企业根据内外部环境的变化,对影响企业战略目标和经营目标实现的风险进行风险辨识、风险分析、风险评价,开展全面风险评估与风险损失事件评估工作。 (一)全面风险评估。各部门每年组织开展一次部门层面的全面风险评估工作,按照定性与定量相结合的方法,从风险发生概率、风险影响程度两个维度对各项业务单元、各项经营活动及业务流程等风险管理初始信息进行风险辨识、风险分析、风险评价工作,并初步确定对各项风险的管理优先顺序,各部门应将各自的风险评估结果汇总报送公司全面风险与内控管理专职部门。全面风险与内控管理专职部门每年组织开展一次公司层面的全面风险评估工作,同时结合各部门风险评估结果,对年度公司重大风险进行综合研判,初步确定公司年度重大风险。 (二)风险事件处置。应急风险事件发生时部门填报风险事件基本信息,经公司全面风险与内控管理专职部门判断后,启动应急突发风险事件处置程序。发生业务中断事件,应视为重大风险事件,立即启动应急风险处置程序。风险事件处置工作小组对风险事件组织专项研讨,完成相关信息的搜集、风险评估、制订风险应对策略,编制《风险应急预案》,明确风险管控的目标和方法。 (三)风险损失事件评估。风险损失事件是指在企业的日常生产经营及管理过程中,因内部或外部因素导致在财务、声誉、法律、安全、营运中一个或多个方面产生损失的事件。 公司各部门要对风险损失事件进行定期和不定期风险评估,对风险损失事件发生的原因、造成的影响及损失、控制措施、事件进展情况进行及时总结。对于重大风险损失事件,各部门及子公司要及时上报公司全面风险与内控管理专职部门,严禁瞒报、漏报、谎报或迟报重大风险或风险损失事件。 第十八条风险管理策略指公司各部门应根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财务资源的配置原则。在确定风险管理策略后,应定期总结和分析已制定的风险管理策略的有效性和合理性,结合实际不断修订和完善。其中,应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效,并提出定性或定量的有效性标准。 第十九条风险管理解决方案指公司各部门应根据风险管理策略,针对各类风险或每一项重大风险制定风险管理解决方案并认真组织实施。方案一般应包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生、中、后所采取的具体应对措施以及风险管理工具(如:关键风险指标管理、损失事件管理等)。 第二十条风险解决内控方案指公司各部门应在满足合规要求的基础上,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。 第二十一条 风险管理的监督与改进指公司各部门应以重大风险、重大事件和重大决策、重要管理及业务流程为重点,对风险管理初始信息、风险评估、风险管理策略、风险管理解决方案及风险解决内控方案和实施情况进行监督,采用压力测试、返回测试、穿行测试以及风险控制自我评价等方法对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。 第二十二条 各子公司应当根据国资委年度全面风险管理报告模板的要求,结合本公司的实际情况,向公司全面风险与内控管理专职部门上报《年度全面风险管理报告》。 公司全面风险与内控管理专职部门在汇总分析公司各部门及各子公司风险管理评价工作情况的基础上,结合国资委年度全面风险管理报告模板的相关要求,编制《公司全面风险管理报告》,并按年度向集团全面风险与内控管理专职部门上报。 第四章内部控制 第二十三条 本办法所称内部控制,是指由公司董事会、经理层和全体员工实施的、旨在实现控制目标的过程。 第二十四条 公司依据《企业内部控制基本规范》及其应用指引建立与实施有效的内部控制。公司内部控制体系包括下列要素 (一)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。 (二)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。 (三)控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。 (四)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。 (五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。 第二十五条 公司内部控制涵盖公司所有的运营环节,包括但不限于:组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购活动、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递及信息系统等。 公司各部门应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括: (一)不相容职务分离控制。公司按照不相容职务分离控制要求全面系统地分析、定期梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。 (二)授权审批控制。公司按照根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任,编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。企业各级管理人员应当在授权范围内行使职权和承担责任。 (三)会计系统控制。公司严格执行国家统的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。 (四)财产保护控制。公司建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。 (五)预算控制。公司实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。 (六)运营分析控制。公司建立运营情况分析制度,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。 (七)绩效考评控制。公司建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。 第二十六条 公司建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。 第二十七条 内部审计机构对内部控制的有效性进行监督检査。监督检查包括常规、持续的日常监督检查和对内部控制的某一或某些方面进行有针对性的专项监督检查。 第二十八条 内部审计机构对监督检查中发现的内部控制缺陷,按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会报告。 第二十九条 公司全面风险与内控管理专职部门根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,定期组织对公司及各子公司内部控制设计与运行情况进行自我评价工作,对公司及所属各企业内部控制的有效性进行全面评价、形成评价结论、出具评价报告。内控自我评价程序包括: (一)制定内控自我评价工作方案。内控自我评价工作方案应明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容。 (二)开展内控自我评价工作。评价时可以根据具体的控制点内容综合运用个别访谈、穿行测试、执行有效性抽样和比较分析等方法,充分收集被评价的部门或单位所负责的内部控制活动的设计和执行是否有效的证据,按照评价的具体内容,如实填写(更新)评价工作文档,并识别和记录内部控制缺陷。 (三)汇总和报告内控自我评价结果。公司应根据本年度内部控制自我评价结果分别编制《内部控制自我评价报告》。报告应当分别从内部环境、风险评估、控制活动、信息与沟通、内部监督等方面进行描述,并记录内部控制评价的全过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容。 第五章文化与信息系统 第三十条公司各部门应注重建立具有风险和内控意识的企业文化,促进企业风险管理和内部控制水平、员工风险管理和内部控制素质的提升,保障企业风险管理和内部控制目标的实现。 第三十一条 公司各部门应营造合规经营的制度文化环境,在相关政策和制度文件中明确规定风险管理和内部控制文化的建设要求和内容,在各层面营造风险管理和内部控制文化的氛围。 第三十二条 公司各部门应建立重要管理及业务流程、关键控制点的管理人员和业务操作人员岗前风险管理培训制度。采取多种途径和形式,加强对风险管理和内部控制理念、知识、流程、管控核心内容的培训,培养风险管理和内部控制人オ,培育风险管理和内部控制文化。 为推进公司全面风险管理和内部控制工作的进一步深化,应将全面风险管理和内部控制工作的开展情况纳入企业考核评价体系。 第三十三条 公司根据实际情况,逐步建立涵盖风险管理基本流程和内部控制的信息系统,将信息技术应用于全面风险管理和内部控制的各项工作。 第六章附则 第三十四条 本制度由公司全面风险与内控管理专职部门负责解释。 第三十五条 公司经营管理有关人员违反规定,未履行或未正确履行风险管理与内部控制职责,造成国有资产损失或其他严重不良后果的,应当按照《国务院办公厅关于建立国有企业违规经营投资责任追究制度的意见》(国办发(2016)63号)、《中央企业违规经营投资责任追究实施办法(试行)》(国资委第37号令)等法律法规及公司有关制度规定追究相应责任。 第三十六条 本制度自印发之日起实施。 武汉光迅科技股份有限公司董事会 二○二五年十月二十五日 中财网
 |