XX有限公司
合规管理办法(试行)
第一章 总 则
第一条 为进一步加强和提升XX集团有限公司(以下简称:公司)及所属各子公司依法规范管理、依法合规经营能力和水平,建立健全合规管理体系,实现公司合规管理的制度化、规范化,有效防范重大合规风险,保障公司高质量发展,根据《中华人民共和国公司法》《中华人民共和国企业国有资产法》《关于全面推进法治央企建设的意见》《中央企业合规管理指引(试行)》《企业境外经营合规管理指引》等有关法律法规,结合公司实际,制定本办法。
第二条 本办法适用于公司及其全资、控股或有实质控制权的各级子公司(以下简称:子公司)。
第三条 本办法所称合规,是指公司及各子公司及其员工的经营管理行为符合所适用的法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。
第四条 本办法所称合规风险,是指公司和各子公司及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。
第五条 本办法所称合规管理,是指以有效防控合规风险为目的,以公司和各子公司及其员工的经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。
第六条 合规管理应遵循以下原则:
(一)全面覆盖原则。公司合规管理应覆盖所有业务领域、各部门、各子公司和分支机构、全体员工,贯穿决策、执行、监督全流程。(二)强化责任原则。合规管理应作为公司主要负责人履行推进法治建设第一责任人职责的重要工作内容。建立全员合规责任制,明确管理人员和各岗位员工的合规责任并督促有效落实。(三)协同联动原则。公司合规管理与法律风险防范、纪检、审计、内控、风险管理等工作相统筹、衔接,确保合规管理体系有效运行。(四)客观独立原则。严格依照法律法规等规定对公司和员工行为进行客观评价和处理。合规工作机构独立履行职责,不受其他部门和人员的干涉。
第七条 公司应当牢固树立合规经营理念,大力营造合规文化氛围,为全员树立正确的价值观,积极引导员工合规从业,做到合规经营、人人有责,切实有效防范合规风险。
第八条 公司应建立与公司经营范围、组织结构、业务规模、行业特征相适应的合规管理体系。
合规管理体系应包括以下方面:
1.合规管理组织体系:包括合规管理决策机构、领导机构、合规负责人、合规工作机构、合规工作人员的设置等及其合规管理职责;2.合规管理制度体系:包括公司合规管理所依据的各项经营管理规章制度和流程,合规管理基本制度及流程、专项合规管理制度和流程等;3.合规管理运行机制:包括合规重点领域、环节、人员和行为的确定、合规风险识别及管控、合规事项调查及奖惩机制等;4.合规管理保障机制:包括合规理念的宣导、合规文化的培育、合规培训与教育制度等。
第二章 合规管理组织机构及职责
第九条 公司董事会合规管理职责主要包括:
(一)批准公司合规管理战略规划;(二)推动完善公司合规管理体系;(三)研究决定公司合规管理有关重大事项。
第十条 公司监事会的合规管理工作职责主要包括:
(一)监督公司董事会的决策与流程是否合规;(二)监督公司董事和高级管理人员合规管理职责履行情况;(三)对引发重大合规风险负有主要责任的公司董事、高级管理人员提出罢免建议;(四)向董事会提出撤换公司合规负责人的建议。
第十一条 公司设立合规管理委员会,合规管理委员会职责主要包括:
(一)根据公司董事会决定,建立健全合规管理组织架构;(二)审议公司合规管理战略规划、基本制度、年度工作报告和工作方案;(三)审议、批准公司合规管理具体制度规定、合规管理计划和合规管理流程,采取措施确保合规制度得到有效执行和合规要求融入业务领域;(四)审议、批准向公司报告的重大合规风险事项;(五)决定公司重大合规风险或合规事项的解决方案;(六)监督各单位合规管理规章制度建设与执行情况,促进建立企业依法合规管理长效机制;(七)保障合规负责人、合规工作机构及合规工作人员独立履行合规管理职责,并提供相应的履职条件;(八)倡导和培育公司的合规文化;(九)及时制止并纠正不合规的经营行为,并按照公司违规问责相关规定对有关违规人员进行责任追究或提出处理建议;(十)指导、监督和评价公司的合规管理工作;(十一)经公司董事会授权的或其他规章制度规定的职责。公司合规管理委员会下设办公室,设在法律事务部,作为合规工作的牵头部门,负责委员会日常工作。
第十二条 公司合规管理的“第一道防线”为公司业务部门。
公司业务部门是本业务领域合规管理责任部门,按照“业务工作谁主管,合规责任谁承担”原则,负责本业务领域的日常合规管理工作,在合规管理工作中的主要职责包括:
(一)按要求完善业务管理制度和流程,并确保有效执行;(二)主动开展合规风险识别和隐患排查,发布合规预警;(三)组织合规审查,及时向公司法律事务部报告合规风险事项,妥善应对处置合规风险事件;(四)进行合规宣贯和培训及对商业伙伴合规调查等工作,并配合对违规问题的调查及组织开展整改等工作。
第十三条 公司合规管理的“第二道防线”为法律事务部。
整体负责组织、协调和监督合规管理工作,研究起草合规管理方案和计划、基本制度和专项制度,组织开展风险识别与预警,参与重大事项合规审查和风险应对,为其他部门提供合规支持。
第十四条 公司合规管理的“第三道防线”为公司纪检、审计等相关部门,在职权范围内履行合规管理监督职责。
审计部门负责组织合规审计,当发现违规问题时,督促违规整改,纪检部门负责在其职责范围内,履行合规管理监督职责,并加强工作协同和衔接,确保合规管理体系有效运行。
第三章 合规管理重点
第十五条 公司应当根据外部环境变化,结合自身实际,在全面推进合规管理的基础上,突出重点领域、重点环节和重点人员,切实加强对合规风险的防范。
第十六条 公司及各子公司应加强对以下重点领域的合规管理:
(一)公司管控1.贯彻执行党和国家方针政策、决策部署、国家法律法规、公司规章制度,按照“三重一大”、以及规章制度规定的程序和权限履行决策。2.执行国资委、集团国有资产监管的相关规定,定期开展风险评估,对经营投资重大风险及时分析、识别、评估、预警、应对,对发现的重大风险隐患、风险事件及时报告、处理。3.定期开展内控测试和评价,对发现的内控缺陷等问题及时处理、报告。4.及时整改落实上级监管机构就重大问题提出的整改工 作要求。5.规章制度、经济合同和重要决策法律审核率达到 100%。(二)市场交易1.完善交易管理制度,建立健全自律诚信体系。2.严格遵守反商业贿赂、反垄断、反不正当竞争相关法律法规,严禁各种方式的商业贿赂、垄断、不正当竞争行为。3.正确履行合同,不得无正当理由放弃应得合同权益。4.严禁开展融资性贸易或“空转”“走单”等虚假贸易业务。5.按照规定开展招投标、赊销信用、资质、担保或预付款项等业务。6.按照规定对应收账款及时追索或采取有效保全措施。7.对重要商业伙伴和存在潜在合规风险的商业伙伴开展合规调查,通过签订合规协议、要求作出合规承诺等方式促进商业伙伴行为合规。(三)安全环保。严格执行国家安全生产、环境保护法律法规,完善企业生产规范和安全环保制度,加强监督检查,开展安全、环境保护、职业健康相关合规风险识别与排查, 及时发现并整改违规问题。(四)产品质量。完善质量管控体系,加强过程管理,严把各环节质量关,提供优质产品和服务。(五)劳动人事。严格遵守劳动法律法规,健全完善劳动合同管理制度,规范劳动合同签订、履行、变更和解除,切实维护劳动者合法权益。(六)财务税收。健全完善财务内部控制体系,严格执行财务事项操作和审批流程,严守财经纪律,强化依法纳税意识,严格遵守税收法律政策。(七)转让产权、股权、资产。按照审批程序和权限履行决策程序,按照规定要求开展审计和资产评估,按照规定要求和公开公平交易的原则定价,按照规定执行回避制度,按照规定进场交易。(八)投资并购1.按照规定履行决策和审批程序,决策时充分考虑重大风险因素并制定风险防范预案。2.按照规定开展可行性研究、尽职调查并进行风险分析,尽职调查不存在重大疏漏。3.按照规定进行财务审计、资产评估和估值。4.确保相关报告内容真实有效,不得出具虚假报告。5.按规定对项目概算进行审查,确保不出现严重偏离实际情况。6.外部环境和项目本身情况发生重大变化,按规定及时调整投资方案并采取止损措施。7.严格执行投资项目负面清单的有关规定。(九)知识产权。及时申请注册知识产权成果,规范实施许可和转让,加强对商业秘密和商标的保护,依法规范使用他人知识产权,防止侵权行为。(十)赞助捐赠。建立健全赞助捐赠管理制度,严格履行审批决策程序,正确履行企业社会责任;(十一)境外经营。围绕市场热点、监管重点和集团核心业务,关注和研究相关合规风险,及时发布相关风险提示,建立健全境外业务管理制度,建立风险排查、预警及应对机制,遵循当地关于外商投资的各项监管规定,切实防控境外合规风险。(十二)进出口贸易。遵守全球业务的贸易管制和制裁规范。在实施禁运的国家或地区,任何个人或公司都不得参与或协助对被禁运国及其国民或居民的商品或服务,做到进出口合规。(十三) 其他需要重点关注的领域。
第十七条 公司及各子公司应加强对以下重点环节的合规管理:
(一)制度制定环节。强化对规章制度、重组改制方案等重要文件的合规审查,确保符合法律法规、监管规定等要求;(二)经营决策环节。严格落实“三重一大”决策制度,细化各层级决策事项和权限,加强对决策事项的合规论证把关,保障决策依法合规;(三)生产运营环节。严格执行合规制度,加强对重点流程的监督检查,确保生产经营过程中照章办事、按章操作。(四)其他需要重点关注的环节。
第十八条 公司及各子公司应加强对以下重点人员的合规管理:
(1)管理人员。促进管理人员切实提高合规意识,带头依法依规开展经营管理活动,认真履行承担的合规管理职责,强化考核与监督问责;(2)重要风险岗位人员。根据合规风险评估情况明确界定重要风险岗位,有针对性加大培训力度,使重要风险岗位人员熟悉并严格遵守业务涉及的各项规定,加强监督检查和违规行为追责;(3)海外人员。将合规培训作为海外人员任职、上岗的必备条件,确保遵守我国和所在国法律法规等相关规定。(4)其他需要重点关注的人员。
第十九条 公司及各子公司应加强对海外投资经营行为的合规管理:
(一)深入研究投资所在国法律法规及相关国际规则,全面掌握禁止性规定,明确海外投资经营行为的红线、底线;(二)健全海外合规经营的制度、体系、流程,重视开展项目的合规论证和尽职调查,依法加强对境外机构的管控,规范经营管理行为;(三)定期排查梳理海外投资经营业务的风险状况,重点关注重大决策、重大合同、大额资金管控和境外子企业公司治理等方面存在的合规风险,妥善处理、及时报告,防止风险或影响的扩大蔓延。
第四章 合规管理运行
第二十条 公司及各子公司应建立健全合规管理制度,制定全员普遍遵守的合规行为规范,针对重点领域制定专项合规管理制度,并根据法律、规则和准则变化和监管动态,及时将外部有关合规要求转化为内部规章制度。
第二十一条 公司及各子公司应建立合规风险识别预警机制,全面系统梳理经营活动中存在的合规风险,对风险发生的可能性、影响程度、潜在后果等进行系统分析,对于典型性、普遍性和可能产生较严重后果的风险及时发布预警。
第二十二条 公司及各子公司应加强合规风险应对,针对发现的合规风险制定预案,采取有效措施,及时应对处置。公司及各子公司在经营管理活动中因违反法律法规、上级监管规定或内部规章发生(或将发生)以下重大合规风险事件的,由公司合规管理委员会统筹协调处理,及时明确或指定具体负责人,有关业务主管部门为主支撑,相关部门协同配合,最大限度化解风险、降低损失。
(一)被省部级及以上监管机关立案调查的(例如反垄断、反不正当竞争调查);(二)被责令停产停业、吊销营业证照或许可证的;(三)受到严重市场准入限制或被采取严重信用惩戒措施的;(四)被国家机关处罚金额超过50万元人民币的;(五)造成资产损失5000万元人民币以上的;(六)被媒体大范围负面报道的;(七)其他可能对公司产生重大影响的事件。
第二十三条 公司及各子公司应建立健全合规审查机制,将合规审查作为规章制度制定、重大事项决策、重要合同签订、重大项目运营等经营管理行为的必经程序,及时对不合规的内容提出修改建议,未经合规审查不得实施。
第二十四条 公司及各子公司应强化违规问责,完善违规行为处罚机制,明晰违规责任范围,细化惩处标准。畅通举报渠道,针对反应的问题和线索,及时开展调查。调查证实存在违规行为的,应按照相应规章制度和流程进行处理,严肃追究违规单位和违规人员责任。
(一)对发现的违规行为,公司审计部应向有关单位发出书面整改通知,有关部门应及时整改并反馈整改结果。(二)违规行为对公司造成损失或其他严重不良后果的,按照公司有关规定处理。对触犯国家刑事法律者,将移送司法机关处理。(三) 违规行为未对公司造成损失或其他严重不良后果的,给予责任单位和责任人员相应的惩戒。相关负责人已经按照规定履行合规政策的传达、劝阻和制止职责的,可予以从轻处理。(四) 发现违规事件或行为,应报未报,或迟报、谎报、瞒报、漏报的,或者经核实确认有其他失职、违规行为的,根据情节和不良影响程度等,按照国家或公司有关规定追究责任,对触犯国家刑事法律者,将移送司法机关处理。(五) 违规问责情况抄送法律事务部备案。
第二十五条 公司及各子公司应开展合规管理评估,定期对合规管理体系的有效性进行分析,对重大或反复出现的合规风险和违规问题,深入查找根源,完善相关制度,堵塞管理漏洞,强化过程管理,持续改进提升。
第二十六条 公司发生第二十二条所述重大合规风险事件的,应在事件发生时立即向公司业务分管领导口头报告,同步报告公司法律事务部,并在事件发生后 3 日内形成专题报告上报。
专题报告应包括但不限于以下内容:
(一)合规风险事件基本描述,包括发生时间、地点、岗 位、相关责任人和具体经过;(二)合规风险事件的认定依据;(三)可能或已经形成的不良影响或损失程度的估计;(四)已经采取的措施和后续措施;(五)报告单位认为需要说明的其他事项。
各业务部门在经营管理活动中,经风险识别和预判,可能发生重大合规风险事件的,也应及时报告公司业务主管领导,同步报告公司法律事务部。公司各子公司发生第二十二条所述重大合规风险事件的,应在事件发生时立即向公司业务主管部门口头报告,同步报告公司法律事务部,并在事件发生后3日内形成专题报告上报。公司各子公司在经营管理活动中,经风险识别和预判,可能发生重大合规风险事件的,也应及时报告公司业务主管部门,同步报告公司法律事务部。
第五章 合规管理保障
第二十七条 公司及各子公司应加强合规考核评价,把合规管理情况纳入各部门和所属企业负责人的年度综合考核,细化评价指标。对各业务部门和员工合规职责履行情况进行评价,并将结果作为员工考核、干部任用、评先选优等工作的重要依据。
第二十八条 公司及各子公司应加强合规管理信息化建设,通过信息化手段优化管理流程,记录和保存相关信息,加强对企业经营管理行为依法合规情况的实时在线监控和风险分析,实现信息集成与共享。
第二十九条 公司及各子公司应建立专业化、高素质的合规管理队伍。在合规管理机构设置专职合规岗位,在各业务部门设置合规专员岗位。公司及各子公司应根据业务规模、合规风险水平等因素配备专职合规管理人员,持续加强业务培训,提升队伍能力水平。规模较小的子公司,可以不设立专门的合规管理机构,由相关部门履行合规管理职责,同时明确相关负责人和联系人员。海外经营重要地区、重点项目应明确合规管理机构或配备专职合规工作人员,切实防范合规风险。
第三十条 公司及各子公司合规工作机构应制定年度合规培训计划,并与本单位人事部门或其他相关部门建立协作机制,逐步将合规培训列入员工年度培训计划;公司及各子公司应每年组织至少一次全员合规培训。
第三十一条 公司及各子公司应积极培育合规文化,通过组织合规培训、签订合规承诺书、制作传播合规宣传媒介等方式,增强全体员工合规意识,树立依法合规、守法诚信的价值观,筑牢合规经营的思想基础。
第三十二条 公司及各子公司建立合规管理表彰奖励政策,对合规管理先进单位和个人,给予表彰奖励。
第三十三条 公司各子公司每年十二月中旬应向公司提交书面报告本单位开展合规管理的年度合规管理工作报告。公司法律事务部应在每年十二底前完成公司年度合规管理工作报告。
年度合规管理工作报告主要包括以下基本内容:
(一)本年度的合规管理工作开展情况,包括:合规管理组织体系建设及职责履行情况,合规管理制度体系建设情况,合规风险管控机制建设及运行情况,违规行为的调查及处理情况,合规管理保障机制建设及运行情况等;(二)下一年度合规管理工作方案;(三)年度合规管理工作报告数据表(年度合规管理工作报告数据表见附录一)公司年度合规工作报告,经公司合规负责人审定后报公司董事会。
第六章 附 则
第三十四条 公司各子公司根据本办法,结合实际情况制定本单位的合规管理制度。
第三十五条 本办法未尽事宜,依照国家有关法律法规执行。
第三十六条 本办法经公司董事会批准之日起施行。
XX有限公司全面风险管理办法(试行)
第一章 总则
第一条 为了建立规范、有效的XX有限公司(以下简称“公司”)全面风险管理体系,防范、控制和化解公司在经营管理过程中可能发生或出现的风险,促进企业健康持续稳定发展,保障企业资产保值增值,根据《中华人民共和国公司法》、《中央企业全面风险管理指引》等法律法规及规章制度,结合公司实际,制定本办法。
第二条 本办法适用于公司总部。公司下属各级全资、控股子公司(以下简称“下属企业”)应结合本单位的经营管理实际,根据本办法制定相应的风险管理与内部控制管理实施细则。
第三条 本办法所称风险,指未来的不确定性对企业实现其战略目标和经营目标的影响。
第四条 本办法所称全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。
第二章 全面风险管理的目标、原则和框架
第五条 公司全面风险管理的总体目标:(一)确保公司各项经营管理活动遵守有关法律法规;(二)确保将风险控制在与总体目标相适应并可承受的范围内;(三)确保公司有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果;(四)确保公司建立针对各项重大风险发生后的危机处理方案,保护企业不因灾害性风险或人为失误而遭受重大损失;(五)不断提高公司员工风险管理意识,形成良好的风险管理文化。
第六条 公司全面风险管理遵循全面、重要、合理、制衡、独立的原则,确保风险管理的有效性。(一)全面性。公司风险管理应当做到事前、事中、事后控制相统一;覆盖公司所有业务、部门和人员,渗透到决策、执行、监督、反馈等各个环节。(二)重要性。在全面风险管理的基础上,关注重要业务、重点项目和高风险领域。(三)合理性。全面风险管理应与公司经营规模、业务范围、风险状况及所处的环境相适应,应以合理的成本实现风险管理目标。公司应本着从实际出发,务求实效的原则,制定开展全面风险管理的总体规划,分步予以实施。(四)制衡性。风险管理应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。(五)独立性。承担风险管理监督检查职能的部门应当独立于公司其他部门。
第七条 全面风险管理的基本流程包括以下主要工作:(一) 收集风险管理初始信息;(二) 进行风险评估;(三) 制定风险管理策略;(四) 提出和实施风险管理解决方案;(五) 风险日常监控预警;(六) 风险与危机的处理;(七) 风险管理的监督与改进。
第八条 全面风险管理应涵盖公司治理与经营管理活动中所有环节,包括:(一)公司治理环节:主要包括股东大会、董事会、党组织委员会与总经理办公会的会议运作和管理层的职权等。(二)重大资产购买和出售环节:主要包括重大资产自建、购置、处置、维护、保管与记录等。(三)对外投资环节:包括投资有价证券、股权、金融衍生品及其他长、短期投资、委托理财、募集资金使用的决策、执行、保管与记录等。(四)对外担保、筹融资环节:包括借款、担保、承兑、租赁、发行债券等的授权、执行与记录等。(五) 关联交易环节:包括关联方的界定,关联交易的定价、授权、执行、报告和记录等。(六)日常经营管理环节:主要包括生产、采购与付款、销售与收款、财务会计管理、全面质量管理、产品研发、人事管理、环境保护、安全管理等。
第三章 风险管理的组织体系与职责分工
第九条 公司建立统一领导、分工负责、专业监督与全员参与相结合的全面风险管理工作机制。
第十条 公司全面风险管理组织体系由公司董事会、总经理办公会(公司经理层)、风险管理职能部门、风险管理监督部门及其他职能和业务部门构成。
第十一条 公司董事会负责规划公司整体的风险控制体系。提出全面风险管理的目标和实施要求,审议公司风险管理和企业内控制度、组织机构设置及其职责方案,以及其他涉及公司重大权益的风险处置方案。
第十二条 总经理办公会负责按照董事会要求,制定公司风险控制体系的总体方案和实施步骤。落实全面风险管理体系建设,持续改善公司整体的风险管理体系;对重大风险问题提出解决方案并组织实施,对危机事件设立临时性处理机构;指导和督促下属企业的全面风险管理工作。
第十三条 公司综合管理部为公司风险管理的职能部门,向公司经理层负责并报告工作。主要职责为:(一)负责公司全面风险管理体系的建设、推进和管理工作,指导各部门风险管理工作的具体实施,协调解决日常风险管理过程中的一般性问题;(二)组织编制公司全面风险管理年度工作报告并向经理层提交;(三)组织制定公司风险管理有关规章制度;(四)组织建立公司风险管理信息系统;(五)配合人力资源部组织风险管理有关的培训活动;(六)组织研究并提出风险管理策略和跨部门的重大风险解决方案,监督检查解决方案的实施情况;(七)负责风险管理有效性的持续评估,研究提出风险管理改进方案;(八)负责组织风险管理工作考核;(九)负责公司风险管理文化建设;(十)负责经理层交办的与全面风险管理相关的其他工作。
第十四条 审计部门是企业全面风险管理的监督部门,负责企业全面风险管理的监督和评价。
第十五条 公司各职能部门和业务部门是风险管理的执行机构。各部门负责人为本部门职责范围内风险控制的第一责任人。主要职责为:(一)有效执行风险管理规章制度和基本工作流程;(二)负责本部门风险管理初始信息的收集整理工作,建立健全本部门的风险管理内控子系统,提出本部门业务流程中风险点和控制点的初步识别信息;(三)研究提出本部门的重要事项和重要业务流程风险的识别和判断标准,提出本部门重要风险的风险解决方案,并负责对该方案的组织实施和对该风险的日常监控;(四)负责提出本部门重要业务风险评估报告;(五)参与起草全面风险管理年度报告;(六)负责风险管理信息化系统在本部门的运行操作;(七)负责组织制定本部门各项业务的风险管理制度,或在编制各项业务管理制度时建立风险控制的内容;(八)负责本部门风险管理工作的自查和风险管理文化建设等有关工作。
第十六条 参照《中央企业全面风险管理指引》,公司面临的风险分为战略风险、运营风险、市场风险、财务风险、法律与合规风险及廉洁风险六大类别。公司风险实行归口管理、分工负责的管理原则,各部门应按照本办法之规定,对各自负责的风险领域实施管理与监控。(一)战略风险:由公司董事会和总经理办公会负责企业战略风险的管理与监控;(二)运营风险:由公司各部门负责各自所属运营管理风险的管理与监控;(三)市场风险:由公司业务部门负责各自所属业务领域市场风险的管理与监控;(四)财务风险:由公司财务部门负责财务风险的管理与监控;(五)法律与合规风险:由公司综合管理部、董事会办公室、环保合规部、废家电事业部负责企业合规和法律事务等风险的管理与监控;(六)廉洁风险:由综合管理部、人力资源部负责公司职工廉洁从业风险的管理和监控。
第四章 风险信息、风险识别和风险评估
第十七条 公司建立风险管理信息的收集与积累机制。风险管理信息包括与风险及风险管理相关的宏观经济、政策法规、市场状况、技术革新、财务状况、人力配置、管理措施、信息报告等方面的信息。公司各部门应广泛、持续不断地收集风险信息,并通过信息化系统或其他方式送交公司。风险管理职能部门,公司风险管理职能部门应对风险信息进行整理和辨识,应用于风险识别和风险评估工作。
第十八条 公司在辨识风险信息的基础上,根据自身经营管理实际,组织公司各部门开展风险识别工作。(一)战略风险。指未来的不确定性对企业实现其战略目标的影响。(二)运营风险。指企业在运营过程中,由于外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性,而导致的运营失败或使运营活动达不到预期目标的可能性及其损失。(三)市场风险。指由于市场及相关的外部环境的不确定性而导致企业市场萎缩、达不到预期的市场效果乃至影响企业生存与发展的一种可能性。(四)财务风险。指财务基础管理制度不完备,运营日常经费控制不当使公司运营经费支出和日常管理成本未在指标控制范围内;在各项财务活动中,因各种内外因素使财务状况不明确,导致公司财务蒙受严重经济损失的风险。(五)法律与合规风险。指由于企业外部法律环境发生变化,或由于包括企业自身在内的法律主体未按照法律规定或合同约定有效行使权利、履行义务,而对企业造成负面法律后果的可能性。(六)廉洁风险。指公司管理层或员工在执行公司事务过程中或日常生活中出现谋求私利等腐败行为的可能性。
第十九条 公司根据风险发生的原因,结合实际情况,对上述风险细化分类,形成风险分类总目录(见附件1)。
第二十条 公司按照风险发生的概率以及影响程度,结合定量数据和定性分析进行风险评估。一般而言,公司可经风险评估将风险分为重大风险、重要风险、一般风险和低风险等四个等级(见附件2)。
第二十一条 公司按照风险评估标准描述、说明、归类各种具体风险,并对重大风险和重要风险形成风险管理清单。公司在评估多项具体风险时,对各项具体风险进行比较,确定关注重点和管理的优先顺序。
第二十二条 风险评估由公司组织各部门自行组织实施,必要时也可聘请有资质、信誉好的风险管理专业咨询机构协助实施。
第五章 风险管理策略
第二十三条 风险管理策略,是指根据公司自身条件和外部环境,围绕公司发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择适当的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。
第二十四条 公司根据不同业务特点确定风险偏好和风险承受度,明确风险的最低限度和不能超过的最高限度,并据此确定风险预警线及相应采取的对策。
第二十五条 公司根据风险与收益相平衡的原则,明确风险管理成本的资金预算和控制风险的组织体系、应对措施等总体安排。
第二十六条 风险管理策略应包括风险规避、风险转移、风险降低、风险接受等四种方式:(一)风险规避:即为了避免受风险影响而退出业务活动的应对方式;(二)风险转移:即利用工具将风险部分或全部转移给第三方,防止遭受灾难性损失的应对方式;(三)风险降低:即采取控制措施以降低风险事件的影响程度或发生概率,以将风险控制在可接受范围内的应对方式;(四)风险接受:即在风险规避、风险转移、风险降低策略均不可行,或采取措施的成本超过接受风险成本的情况下,不对风险采取任何措施,接受该风险的应对方式。
第二十七条 公司根据自身的风险偏好和风险承受度,采用一种或多种应对方式相结合,以有效管理和应对风险。
第二十八条 针对低风险,一般可通过现有制度与流程加以有效控制,不增加额外控制,但风险事件实际发生后应及时分析总结,并将结果报风险管理职能部门备案。
第二十九条 针对一般风险,公司应对现有制度与流程进行评估,查找差距与不足,补充完善控制措施,应对风险,防范风险升级扩散,并将结果报风险管理职能部门备案。
第三十条 针对重要风险和重大风险,应在公司整体层面上加以应对。应由相关部门会同风险管理职能部门共同研究提出风险管理措施和解决方案,内容包括但不限于对风险的具体目标,所需的组织领导,所涉及的管理及业务流程、所需要的资源,相关工作进度安排等。
第三十一条 公司定期总结和分析已制定的风险管理策略的有效性和合理性,结合实际不断修订和完善。
第六章 风险管理的内控机制
第三十二条 公司按照经营战略与风险策略一致、风险控制与运营效率相平衡的原则,建立和完善风险管理的内控机制。
第三十三条 公司建立风险管理的内控机制,至少应建立健全以下制度和包括以下内容:(一)岗位授权制度。对所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权做出决定;(二)审批流程制度。明确规定各类审批事项的批准程序、条件、范围和额度、必备文件以及有权批准的部门和人员等;(三)内控责任制度。按照权利、义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度;(四)预算管理制度,明确各部门在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束;(五)审计检查制度。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等;(六)考核评价制度。应科学设置考核指标体系,对企业各部门和全体员工的业绩进行定期考核和客观评价,将考评结果作为员工奖惩、聘任、交流、培训的依据;(七)重大风险预警制度。对重大风险进行持续不断的监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施;(八)坚持不相容岗位职责分离原则,建立重要岗位权力制衡机制。坚持将授权与执行、执行与监督等不相容岗位分离设置,确有必要时可对关键岗位设置一岗双人,以相互制约,减少错误和舞弊的管理风险。
第三十四条 条件成熟时,公司将信息技术应用于全面风险管理工作,将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。
第三十五条 公司根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。
第七章 风险的监控报告与预警
第三十六条 公司建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
第三十七条 公司建立风险报告和预警制度。通过有效的沟通和反馈,使公司领导和有关部门及时了解公司业务和资产的风险状况,相应调整风险管理政策和管理措施。
第三十八条 公司的风险报告分为定期风险报告和不定期专项风险报告。定期风险报告是对一个阶段公司经营发展中存在的风险和纠正的情况进行的汇总报告;不定期专项风险报告是对监控中或风险专项检查中发现的重大风险或风险隐患问题进行的专项报告。风险报告要按照规定的报告程序报送公司领导、相关部门。
第三十九条 在风险监控中发现问题时,审计部可以进行风险专项检查,如发现内部控制存在重大缺陷或存在重大风险,应及时向风险管理职能部门报告。
第四十条 公司相关部门应建立风险预警系统,以发现并应对可能出现的风险。各部门有责任及时、无保留地向公司风险管理职能部门报告有关风险的真实信息。
第八章 风险与危机的处理
第四十一条 公司建立灵敏高效的危机处理和应急管理机制,以降低风险损失。对新出现的、缺乏风险应急预案的重大风险,风险管理职能部门应立即与公司相关部门协调,组织人员研究制定风险应对方案,并报公司经理层审批后实施。
第四十二条 当风险已经发生,风险部门负责人必须立即向风险管理职能部门报告。
第四十三条 风险管理职能部门应及时对风险进行初步的评判,确定是属于一般性内部风险,还是对公司声誉、经营活动和内部管理造成强大压力和负面影响的公司危机。对一般性风险,责成部门负责人组织处理;对公司危机,必须按照本办法所列危机处理程序处理。
第四十四条 危机处理程序:(一)成立风险和危机的处理机构危机发生后,公司应在第一时间由风险管理职能部门牵头成立危机处理小组,该小组应由公司总经理担任组长。小组成员至少应包括:发生危机单位的第一负责人、董事会办公室、综合管理部、环保合规部、运营管理部、投资部、审计部、财务部、人力资源部等部门负责人及其他相关人员,小组应配备小组秘书及后勤保障人员。公司董事会应授权危机处理小组为处理危机事件的权力机构和协调机构,有权调动公司可用资源。(二)制订危机处理计划危机处理小组应及时根据现有的资料和情报,以及公司拥有或可支配的资源来制订危机处理计划。计划必须体现出危机处理目标、程序、组织、人员及分工、后勤保障、行动时间表以及各个阶段要实现的目标,同时还应包括社会资源的调动和支配、费用控制和实施责任人及其目标。计划制订完成并获通过后,应立即开始进行物质资源调配和准备,展开全面的危机处理行动。(三)危机处理1.对于尚未造成社会影响的事件,在对危机事件进行详细的调查了解和核实的基础上,根据法律、法规和公司管理制度,果断做出处理决定,以避免事态的进一步恶化。2.对于已造成社会影响的事件,应保持与社会各方的良好沟通,及时披露事实真相,以有助于对事件做出客观公正的报道和评价。3.在处理过程中,应处理好与危机事件对方当事人的关系,及时安抚,避免出现纠纷。4.在事件处理的全过程,危机处理小组均应与当地政府、监管机构保持紧密联系,及时通报事件进展。(四)教训总结与责任认定危机事件处理完成后,危机处理小组应及时提交总结报告,如实反映事件的起因、发生过程、处理方法和结果、责任认定、反映的问题等,并提出整改建议或意见,以避免新的风险和危机发生。
第四十五条 对因决策失误、管理失职、行为失当等原因致使公司出现风险或危机,并造成有形或无形损失的责任人,公司应追究其直接责任或领导责任。
第九章 风险管理监督与改进
第四十六条 风险管理的监督与改进是指对风险管理的效果和效率进行持续监督与考核评价,并根据监督或考核的结果,对风险管理工作进行改进与提升。
第四十七条 公司以重大风险、重大事件和重大决策、重要管理及业务流程为重点,对风险识别、风险评估、风险管理策略和内控机制的实施情况进行自我评估和检验,根据变化情况和存在的缺陷及时加以改进。
第四十八条 公司审计部门应至少每年一次对风险管理部门、各有关部门开展风险管理工作情况及其工作效果进行监督和评价。监督和评价主要考虑以下方面:(一)实施风险管理的总体情况。(二)风险管理内控机制的情况。(三)落实风险识别、风险评估或风险管理措施的情况。(四)是否发生重大风险和危机事件并对企业造成的影响。(五)重大风险和危机事件的事后救济情况。
第十章 风险管理文化
第四十九条 公司将风险管理文化建设作为公司发展战略的重要组成部分,致力于培育和塑造良好的风险管理文化,促进公司全面风险管理目标的实现。
第五十条 公司应将风险管理文化融于企业文化建设的过程中,应在相关制度文件中明确规定风险管理文化的建设要求和内容。
第五十一条 公司应引导员工遵循良好的行为准则和道德规范,增强风险管理意识,培养按规章制度做事的习惯。公司将对员工风险意识和风险管理的培训纳入培训计划。
第十一章 附 则
第五十二条 本办法由公司综合管理部负责解释。
第五十三条 本办法自公司董事会审议通过之日起实施。
XX有限公司
内部控制管理办法
第一章 总 则
第一条 目的为了加强和规范集团内部控制规范建设,提高集团经营管理水平和风险防范能力,促进集团可持续发展,同时规范内部控制评价程序,依据国家有关法律法规、《企业内部控制基本规范》及其配套指引和集团《内部审计管理办法》等相关制度要求制定本办法。
第二条 适应范围本办法适应于奥凯煤业集团及纳入合并报表范围内的子公司。
第三条 术语本管理办法所称内部控制,是由集团及其各单位、董事会、监事会、管理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
第四条 基本原则内部控制建设应当围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等五个要素进行。并且遵循全面性、重要性、原则制、制衡性、适应性及成本效益原则进行具体实施。
第二章 实施步骤
第五条 集团应当根据国家有关法律法规和公司章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。第六条集团须建立内部控制组织架构并明确汇报机制;根据集团发展战略规划,按照战略目标确定集团内部控制规范建设整体目标。
第七条 集团经营管理中心下属审计组织负责内部控制规范建设推进工作,并按规定向董事长及相关领导汇报建设进度。内部控制规范建设包括设计、运行和评价,经营管理中心负责《内部控制管理手册》和《内部控制评价手册》的编制,且协助各职能中心、分公司负责《内部控制制度手册》的编制。
第八条 董事会(董事长)负责决策公司内部控制管理工作的重大方针和政策,保证内部控制的建立健全和有效实施,在出现重大内部控制缺陷时,及时决策内部控制缺陷解决方案。具体包括:
1、批准内部控制建设与实施的工作计划;
2、批准年度内部控制自我评价的工作方案;
3、批准集团内部控制的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
4、审阅和批准集团内部控制自我评价报告;
5、批准内部控制重要、重大缺陷认定报告(含缺陷整改方案);
6、批准内部控制与风险管理的重要文档及重大、重要报告;
7、批准内部控制组织架构设计及职责方案;
8、督导集团内部控制与风险管理文化的培育;
9、批准按照公司章程规定由董事会(董事长)批准的内部控制管理相关制度以及其他事项。
第九条 集团经营管理中心审计组织对董事会(董事长)负责,是其内部控制规范建设的常设机构,负责集团内部控制建设日常管理和监督工作,并组织实施集团各单位的内部控制自我检查与整个集团的内部控制自我评价工作。其主要职责包括:
1、组织审议内部控制建设工作计划;
2、组织实施集团内部控制体系的建立、实施与完善;
3、组织内部控制手册的编写工作;
4、对内部控制建设工作中出现的重要问题提出解决方案并汇报;
5、组织编制并审核年度内部控制自我评价的工作方案;
6、组织实施内部控制自我评价工作,并对过程中违规违纪事件进行调查和处理;
7、组织审核内部控制自我评价报告;
8、审核其他需要提交董事会(董事长)解决的相关内部控制重要事项及文档。
第十条 各职能中心、分公司按分级管理的原则对所辖业务涉及的内部控制建设(设计、运行和自我检查)管理工作的有效性负责,负责主持内部控制管理的日常工作,集团各职能中心、分公司为内部控制管理执行机构,主要履行以下职责:
1、负责组织制定本组织的内部控制制度及流程;
2、负责执行本组织的内部控制制度及流程,并根据本业务及管理变化情况,开展风险评估,对照风险点,制定或完善相应的内部控制措施,及时更新内部控制流程文档,确保内部控制有效;
3、根据公司内部控制工作整体部署,负责组织落实本年度内部控制相关工作;
4、负责向集团经营管理中心提供本业务内部控制相关信息,主要包括内部控制设计、运行情况和对内部控制自我检查情况,如遇内部控制重大变化应及时沟通;
5、按照集团年度内部控制评价方案,执行内部控制自我检查工作,完成内部控制自我检查底稿;并按照集团《内部控制评价手册》提出所辖业务内部控制缺陷的初步认定(含内部控制缺陷整改方案),报经集团内控管理部门及决策机构批准后进行内部控制的整改;
6、负责培育员工良好的内部控制管理素质。
第十一条 集团各职能中心、分公司在实施内部控制时应按规定记录相关内部控制文档,文档的编制方法应符合《内部控制评价手册》所附要求。主要包括:
1、集团及各职能中心、分公司的各项规章制度;
2、各项业务生成的各种原始资料;
3、与内部控制相关的各项记录及会议资料;
4、内部控制自我检查及评价过程中的资料。
第十二条 集团各职能中心、分公司内部控制建设岗位的所有人员应具备相应的职业道德和任职能力,拥有完整专业的知识和对应的业务熟悉程度。
第三章 奖 惩
第十三条 对于违反内部控制相关规范的行为导致内部控制发生重要或重大缺陷时,包括设计和运行活动中的相关人员或单位,按规定给予惩罚。
第十四条 在内部控制建设中有突出贡献的,应给予表扬或奖励。
第十五条 未经授权批准或许可,任何个人或权属单位不得对外公布涉及内部控制过程的保密文件,凡擅自泄露的,应追究有关人员的责任。
第四章 附 则
第十六条 本办法未尽事宜按照公司章程、《企业内部控制基本规范》及其配套指引的相关规定执行。
第十七条 本办法解析权属经营管理中心审计组织所有。
第十八条 本办法自颁布批准之日起实施。
- END -
法务、合规、内控与风险一体化管理高级研修班(深圳站)
课程内容:
第一天:启航+深入
模块一:基于商业思维的法务管理
模块二:基于底线思维的合规管理
模块三:基于底线思维的合规管理
模块四:基于制衡思维的内部控制
第二天:扩展+整合
模块五:基于认知与能力的全面风险管理及体系建设
模块六:法务、合规、内控与风险管理的关系
模块七:法务、合规、内控与风险管理一体化思路
模块八:法务、合规、内控与风险管理一体化案例
时间地点:2021年3月27日-28日,深圳福田 皇庭V酒店27层V7厅
课程导师:
陶光辉律师,德衡律师集团管委会成员(2021),高级合伙人,一法网创始人。武汉大学法学硕士,高级经济师,曾任500强法务总监,获ALB2016中国最佳总法律顾问称号,担任大连大学法学院客座教授,北京大学全球高端法商人才计划未来领袖授课专家,中国人民大学企业法治研究所兼职研究员,青岛仲裁委互联网仲裁院副院长,北京律师协会企业法律顾问专业委员会副主任等职务,著有《公司法务部》、《法务之道》、《合规管理十论》等。
课程价格:
4800元/位
扫码报名:
010-57804780