CHINA CAMC ENGINEERING CO., LTD. — Governance Information 2017

Mar 31, 2017

中工国际工程股份有限公司 全面风险管理与内部控制制度

第一章 总 则

第一条 为顺利开展全面风险管理工作,强化中工国际工程股份 有限公司(以下简称"公司")内部管理,稳步实现公司战略目标, 促进公司持续、健康、稳定发展,根据国务院国资委《中央企业全面 风险管理指引》、财政部等五部委《企业内部控制基本规范》、《企业 内部控制配套指引》和《深圳证券交易所上市公司内部控制指引》等 相关法规,结合公司实际情况制定本制度。

第二条 本制度所称公司风险,是指在公司未来发展过程中存在 的不确定性对公司实现战略及经营目标的影响。风险类型主要分为战 略风险、财务风险、市场风险、运营风险和法律风险五大类。

第三条 本制度中所称全面风险管理,是指公司围绕公司总体战 略目标,通过在管理的各个环节和经营过程中执行风险管理的基本流 程,培育风险管理文化,建立健全全面风险管理体系,包括风险管理 策略、风险管理的组织职能体系、风险管理信息系统和内部控制系统, 从而为实现风险管理的总体目标提供合理保证的过程和方法。

第四条 本制度中所称内部控制,是由公司董事会、监事会、经 理层和全体员工围绕公司战略目标、参照风险管理策略,共同实施的 针对投融资、财务、内部审计、法律事务、人力资源、工程管理、安 全生产等各项业务管理及其重要业务流程,旨在合理保证公司经营管

理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效 率和效果,制定并执行规章制度、程序和措施的过程。

第五条 全面风险管理与内部控制(以下简称"风险与内控") 本质上是将风险预测与应对、制衡和监督的要求贯彻落实到业务管理 体系与流程中,形成有效的管理体系,二者不是孤立于公司业务的独 立的管理活动,而是融入公司各项活动中的不可或缺的管理行为,是 体现在公司内部各层次、各部门、各岗位,且贯穿于整个公司、全员 全过程参与的管理行为。

第六条 公司开展全面风险管理与内部控制工作应实现以下总 体目标:

(一) 确保将风险控制在与公司战略目标相适应并可承受的范 围内;

(二) 确保公司内外部信息沟通的真实、充分、可靠;

(三) 确保公司经营管理遵守有关法律法规;

(四) 确保公司有关规章制度和为实现经营目标而采取重大措 施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果, 降低实现经营目标的不确定性。

第七条 本制度适用于中工国际工程股份有限公司本部以及所 属全资、控股子企业(以下简称"所属企业")。

第二章 组织及责任体系

第八条 风险与内控工作决策机构由公司董事会、审计委员会、 全面风险管理与内部控制工作领导小组(以下简称"领导小组")组

成,分别负责风险与内控理念的确立、文化宣贯的落实,重大风险策 略决策、制度性文件的审议等工作。

其中,领导小组由公司总经理、副总经理组成,负责指导、监督 风险与内控工作的开展。

第九条 风险与内控工作执行机构由全面风险管理与内部控制 工作小组(以下简称"工作小组")、各职能部门、业务部门组成,负 责风险与内控管理具体流程的执行。

其中,工作小组由公司副总经理、各部门总经理及相关人员组成, 负责风险与内控工作的具体执行。

第十条 公司董事会作为最高决策机构,具体履行以下职责:

(一) 确定公司风险与内控工作总体目标和原则,统一公司风险 内控管理理念,督导公司风险内控管理文化的培育;

(二) 审议批准公司风险与内控工作组织架构设置及其职责方 案;

(三) 审议批准公司全面风险管理报告、年度内部控制评价报告 等专项报告;

(四) 决定对重大风险事件进行专项调查和重大风险事件的责 任追究;

(五) 审议批准风险与内控工作其他重大事项。

第十一条 审计委员会对风险与内控工作的有效性向董事会负 责,主要履行以下职责:

(一) 审议公司风险与内控组织结构和职能体系、流程体系、报

告体系以及考核体系,并提出建议和意见;

(二) 审议公司年度风险与内控工作计划,并监督和指导工作小 组落实执行;

(三) 审议公司重大风险的关键监控指标、预期实现关键监控指 标的风险承受度以及重大风险管理解决方案,并提出建议和意见;

(四) 监督和指导公司重大风险管理解决方案的落实,以及公司 风险与内控体系运行有效性的监督检查和改进工作;

(五) 审议公司全面风险管理报告、内部控制评价等专项报告;

(六) 办理董事会授权的其他事项。

第十二条 领导小组对董事会负责,主持风险与内控日常工作, 主要履行以下职责:

(一) 贯彻和落实董事会关于公司风险与内控管理理念、文化;

(二) 建立公司风险与内控工作职能体系,审核公司风险、内控 工作制度文件、其他风险与内控管理方面的重要文档;

(三) 审核公司年度风险与内控工作计划,批准公司风险与内控 工作的阶段性计划;

(四) 审核公司重大风险管理策略和重大风险管理解决方案,并 推动解决方案的落实;

(五) 推动公司风险与内控体系的监督与评价工作,确保公司风 险与内控体系运行的有效性;

(六) 审核公司全面风险管理报告等专项报告;

(七) 批准公司风险与内控工作绩效考核方案和绩效考核评定

结果;

(八) 批准工作小组提出聘请外部机构开展风险与内控咨询工 作的申请;批准审计部提出聘请外部机构开展对风险与内控工作的评 价、审计的申请;

(九) 推动风险与内控体系建设工作在所属企业的开展;

(十) 对风险事件进行责任认定及追究;

(十一) 完成董事会、审计委员会授权的其他事项。

第十三条 工作小组负责风险与内控日常工作,主要履行以下 职责:

(一) 编制、更新和维护公司风险与内控工作制度文件及其他相 关的重要文档;

(二) 编制公司风险与内控工作建设总体规划、年度风险与内控 工作计划和阶段性工作计划,报送领导小组审核;

(三) 组织制定公司重大风险管理策略和重大风险解决方案,组 织开展公司重大风险解决方案落实情况的监督检查工作;

(四) 负责组织开展风险识别和风险评估的具体工作,根据需要 更新公司风险事件库、风险分类框架、风险评价标准、风险等级图谱 等,编制中工国际风险评估诊断报告;

(五) 组织开展对风险与内控体系的监督与评价工作;

(六) 组织编制公司全面风险管理报告、内部控制评价报告等专 项报告;

5

(七) 编制风险管理绩效考核方案,组织开展风险管理绩效考核

工作;

(八) 负责提出风险与内控信息系统建设需求,协助信息管理部 门开发并维护系统;

(九) 负责提出风险与内控工作管理文化培育与宣传工作建议 方案,并组织专项培训;

(十) 负责提出聘请外部机构开展风险与内控咨询工作的申请;

(十一) 指导所属企业建立健全风险与内控体系以及风险识别、 风险评估、重大风险管理策略制定、重大风险解决方案制定、完善内 控措施以及监督和改进等工作的开展;

(十二) 对风险事件进行调查核实,并根据风险领导小组的处理 意见制作《责任追究处理决定书》;

(十三) 完成董事会、审计委员会、工作领导小组授权的有关的 其他事项。

第十四条 公司各部门是风险防范、内控工作的具体实施部门, 负责与本部门业务相关的风险与内控工作。

(一) 贯彻执行风险与内控工作相关制度,配合工作小组开展具 体工作;

(二) 贯彻执行公司风险与内控管理理念,参与公司组织的风险 与内控文化活动;

(三) 在工作小组的统一组织下,完成本部门职能相关风险的识 别和评估;

(四) 在工作小组的统一组织下,完成本部门负责的重大风险关

键监控指标的确定以及风险承受度的定义,编写重大风险应对策略和 具体解决方案,并参与本部门辅助的重大风险管理策略和解决方案的 制定;

(五) 落实本部门负责的重大风险解决方案,并持续监控解决方 案的执行效率和效果,及时调整和修正;

(六) 配合工作小组,完成对本部门落实重大风险解决方案情况 的监督检查;

(七) 配合完成工作小组组织和安排的其他风险与内控管理工 作。

第十五条 审计部主要负责开展风险与内控管理监督与评价工 作,出具风险与内控监督评价的专项审计报告。

(一) 对公司建立与实施风险与内控工作的情况进行常规、持续 的监督检查,对公司发展战略、组织结构、经营活动、业务流程等发 生较大调整或变化的情况下,进行有针对性的监督检查。对监督检查 中发现的一般问题,按照内部审计工作程序进行报告;对于发现的重 大问题,应直接向审计委员会报告;

(二) 建立健全公司内部审计执行流程中的风险管理与内控制 度;

(三) 配合工作小组做好公司风险识别、风险评估、制定风险策 略,以及完善内控流程等工作;

(四) 督促、监督工作小组、人力资源部做好风险与内控考核工 作,根据各部门、所属企业开展风险与内控工作情况出具考核意见;

(五) 提出聘请外部机构开展风险与内控工作评价、审计的申请;

(六) 完成上级领导安排的其他事项。

第十六条 所属企业可结合企业实际情况,采取循序渐进方式, 先设立风险与内控管理岗位,履行风险与内控管理的职责,待条件成 熟后逐步健全风险与内控管理组织机构。

所属企业应按照公司总部风险与内控管理组织架构建立风险与 内控体系,完成自身各项风险与内控管理工作的同时,也应配合公司 总部相关工作。

第三章 风险管理流程

第十七条 收集风险初始信息,开展风险识别工作。

(一) 工作小组应将收集风险初始信息的职责分配到各有关职 能部门、业务部门及(分)子公司。相关单位要广泛、持续不断地收 集对公司经营目标有影响的风险事件、风险事件成因等资料;

(二) 收集公司风险初始信息应关注人力资源因素、管理因素、 创新因素、财务因素以及安全环保等内部因素,也应关注经济因素、 法律因素、社会因素,以及自然环境等外部因素,既包括历史数据也 包括对未来的预测;

(三) 工作小组将收集的风险初始信息汇总、归类以及分析,形 成风险调查问卷下发。根据风险调查问卷结果,通过对管理层、相关 人员进行访谈,确实掌握公司面临的各种风险信息,最终确定公司风 险名单;

(四) 领导小组应对公司风险名单进行审核,检查风险名单是否

全面、完整,覆盖了公司战略、财务、市场、运营以及法律等各个层 面,风险描述是否准确清晰。

第十八条 对已识别风险进行定性、定量分析以及对风险事件 进行评估,确定公司应关注的重大风险及主要风险,积极开展风险评 估工作。

(一) 工作小组主要根据风险影响程度和风险发生可能性两个 维度编制风险评估标准,根据风险名单设计风险评估调查问卷;

风险影响程度指该风险会对公司经营目标产生影响的程度;风险 发生可能性指在目前的管理水平下,风险事件发生概率或频繁程度;

(二) 领导小组负责对风险评估标准及评估调查问卷进行审核, 检查风险评估标准是否准确,评估调查问卷设计是否合理;

(三) 工作小组根据风险评估调查结果编制重大风险排序表和 绘制风险图谱,初步确定对各项风险的管理优先顺序和策略;

(四) 领导小组对重大风险排序表和风险图谱进行审核;

(五) 公司应对风险信息实行动态管理,根据公司发展的实际情 况,定期或不定期实施风险评估,以便对新的风险和原有风险的变化 重新评估。

第十九条 制定风险管理策略,提出风险解决方案,开展风险 应对工作。

(一) 工作小组通过访谈了解公司风险偏好及承受度,拟定风险 应对策略和解决方案;

9

风险管理策略是指公司应根据内部条件和外部环境,围绕发展战

略确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、 风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等 适合的管理工具的总体策略;

(二) 风险解决方案,针对重大风险所涉及的各个管理及业务流 程,制定涵盖各环节的全流程控制措施;对其他风险所涉及的业务流 程,将关键环节作为控制点,采取相应的控制措施;

(三) 公司相关部门应充分讨论风险应对策略的适应性和风险 解决方案的可行性,并提出修改意见;

(四) 领导小组应对风险应对策略和风险解决方案进行审核,重 点审核风险应对策略与公司战略目标是否一致,是否符合风险控制与 运营效果相平衡的原则;

(五) 相关部门根据风险管理策略、风险解决方案修订内控制度 和完善内部控制措施,相关原则、方法参见内部控制活动;

(六) 公司应定期总结和分析已制定的风险管理策略的有效性 和合理性,结合实际不断修订和完善。

第二十条 为保证风险管理的有效性,及时调整全面风险管理 的薄弱环节,组织实施风险监督与报告环节。

(一) 工作小组应组织相关部门建立风险预警体系,实现对重大 风险实时监控和预警,领导小组对预警体系相关内容进行审批。风险 预警体系包括风险预警指标、风险应急预案;

风险预警指标指公司根据识别的整体层面风险范围、管理层风险 偏好以及风险承受度确定风险预警指标,用来反映风险的变化情况;

(二) 相关部门负责监控预警指标的变化情况,及时向工作小组 报告预警指标异常变化,并编制本部门季度风险监控报告;

(三) 工作小组汇总各部门季度风险监控报告,形成公司季度风 险监控报告上报领导小组审批,并根据领导小组指示落实意见。如遇 预警指标异常变化,工作小组也可随时向领导小组进行报告;

(四) 公司相关部门应定期对风险事件收集、内控措施整改等情 况进行检验和自查,及时发现缺陷并向工作小组报送相关报告;

(五) 工作小组应定期对风险流程、内控整改工作实施情况和有 效性进行监督和检查,提出调整或改进建议,督促相关部门落实;

(六) 审计部定期对工作小组和公司各个部门的风险与内控工 作及其效果进行监督评价,根据发现问题重要程度,按照内部审计工 作程序进行报告或直接向审计委员会进行报告。

第四章 内部控制活动

第二十一条 各部门应结合风险管理策略、风险解决方案查找相 关制度、内部控制措施中的不足,通过手工控制与自动控制、预防性 控制与发现性控制相结合的方法及时进行完善、实施,将风险控制在 可承受范围之内。

第二十二条 内部控制措施的一般要求:

(一) 不相容职务分离控制;要求全面、系统地分析、梳理业务 流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、 各负其责、相互制约的工作机制;

(二) 授权审批控制:应明确常规授权和特别授权的规定,明确

各岗位办理业务和事项的权限范围、审批程序和相应责任;

(三) 会计系统控制:应严格执行国家统一的会计准则制度,加 强会计基础工作,明确会计凭证、会计帐薄和财务会计报告的处理程 序,保证会计资料真实、完整;

(四) 资产管理控制:应建立资产日常管理制度和定期清查制度, 采取资产记录、实物保管、定期盘点、账实核对等措施,确保资产安 全;

(五) 预算管理控制:应实施全面预算管理,明确各部门在预算 管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化 预算约束;

(六) 运营分析控制:应综合运用工程、贸易、投资、筹资、财 务等方面的信息,通过因素分析、对比分析、趋势分析等方法,对照 公司战略目标,定期开展运营情况分析,发现存在的问题,及时查明 原因并加以改进;

(七) 绩效考评控制:应建立、实施和不断完善绩效考评制度, 对公司内部各职责单位和全体员工的业绩进行定期考核和客观评价, 将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞 退等的依据。

第五章 考核

第二十三条 公司应建立风险与内控工作的考核机制,在条件成 熟时,风险与内控工作的考核应纳入公司年度绩效考核范围,公司各 部门及所属企业应将风险与内控工作纳入年度工作计划。

第二十四条 公司风险与内控考核工作主要包括对风险与内控体 系建设、体系执行情况的考核,一般包括以下内容:

(一) 风险与内控体系的建设工作按计划进度完成情况;

• (二) 风险与内控流程的执行、改进情况;
• (三) 重大风险解决方案的制定和执行情况;

(四) 重大风险监控、预警的及时、有效性情况。

第二十五条 公司人力资源部负责制定的相关考核办法,应将公 司风险与内控考核纳入其中,负责开展具体考核工作;公司各部门及 所属企业需积极配合相关考核工作。

第六章 文化与信息系统

第二十六条 公司应在各个层面营造风险与内控管理文化氛围, 贯彻"稳健经营、防控风险、持续发展"的风险与内控管理文化核心 内容,确保风险与内控体系有效运行。

第二十七条 风险与内控管理文化建设应融入到公司的企业文化 整体建设中,增强员工风险管理意识,将风险管理意识转化为员工的 共同认识和自觉的内部控制行动,促进公司建立系统、规范、高效的 风险与内控管理机制。

第二十八条 公司应将内控与风险管理信息化,落实"管理制度 化、制度流程化、流程信息化",使得风险与内控管理更具及时性、 客观性与可控性。

第七章 风险责任追究管理

第二十九条 各事业部、职能部门及所属各级子企业主要负责人 为其所属事业部、职能部门及各级子企业风险管理主要责任人,对职 责范围内的风险承担主要管理责任。

第三十条 责任人有下列情形之一,公司将按照《中央企业资产 损失责任追究暂行办法》(以下简称"暂行办法")等法律、法规及规 范性文件要求进行责任认定及追究:

(一)因决策失误或管理不善,造成重大经济损失的:

1. 对于重大投资或资产重组事项,出现违反法律、法规及规范性 文件等应当追究管理责任的情形,包括:未恰当履行决策程序;可行 性研究报告等材料缺乏科学性、严谨性,导致决策偏差;项目执行出 现重大偏差;未制定及采取有效的风险应对措施;未实现投资项目目 标责任约定的承诺事项等,造成重大损失的。对于重大经营合同,存 在承接决策缺乏科学合理依据、合同执行管理不当,造成重大损失的。 重大损失是指单项损失达到所属企业上年末合并净资产的 8%或 10,000 万元以上。

2. 因资金管理、采购、销售、实物资产管理、抵押担保、从事 高风险投资及其他日常管理缺陷,造成单项较大损失的。单项较大损 失是指单项损失达到所属企业上年末合并净资产的 2%或 3,000 万元 以上。

(二)从事国资委明令禁止的行为,虽尚未造成重大经济损失, 但仍应承担管理不当责任的;

(三)对企业或国家声誉产生重大影响的;

(四)出现较大级及以上生产安全责任事故或重大突发责任事件;

(五)年度财务报告被出具否定意见或无法表示意见,以及其他 财务信息严重失真的;

(六)严重违反国家法律法规或其他对企业持续经营能力产生重 大不利影响的事项。

第三十一条 第三十条所述责任事件按照国资委"暂行办法"要 求认定并追责后,公司应在各事业部、职能部门及所属各级子企业中, 分解落实风险管理责任,确保责权清晰、奖惩分明,并逐级进行问责 处理。

第三十二条 除第三十条之外的责任事件,由公司按照本制度进 行责任认定及追究。相关责任事件主要包括:

(一)违反公司制度或工作流程,造成不良后果的;

(二)放纵、包庇违规、违纪行为的;

(三)工作中徇私舞弊,泄露机密,造成不良后果的;

(四)故意拖延或拒不执行上级领导的决定,造成不良后果的;

(五)工作中推诿、拖拉造成不良后果的;

(六)因工作中玩忽职守而造成不良后果的;

(七)在工作中超越权限,造成不良后果的;

(八)有其它过错责任,应当受到追究的。

第三十三条 过错责任由过错行为人承担。两人以上共同过错的, 依其责任大小,分别承担。过错事件中负有领导责任的,追究领导责

任。

第三十四条 因不可抗力或意外事件造成不能履行职责或产生职 能过错的,不承担责任。

第三十五条 责任处罚包括经济处罚和行政处分:

(一)经济处罚:扣减业绩薪金、扣减中长期激励等;

(二)行政处分:通报批评、警告、记过、降级(职)、撤销职 务、解聘、开除等。

第三十六条 追究过错责任,应当按照既定程序,公正、公开, 实事求是,追究责任与改进工作相结合,教育与处罚相结合,责任与 处罚相适应,区别对待故意与过失,保障被追究人的陈述权、申辩权, 责任自负的原则。 追究过错责任,应当事实清楚,证据确凿,定性 准确,处理恰当,手续完备。

第三十七条 责任追究程序

(一)上报程序:风险管理工作小组例行日常风险检查时发现或 收到各事业部、职能部门及所属各级子企业举报后对风险事项进行评 估。事项属于上述第三十条所述行为时上报上级主管单位;其余事项 上报公司风险管理领导小组,由风险管理领导小组按照本制度进行责 任认定及追究。

(二)处理决定的执行程序:风险工作小组负责调查事件经过、 影响程度等,在调查核实后上报风险领导小组。风险管理领导小组根 据调查核实结果组织进行责任认定及追究。风险工作小组根据风险管 理领导小组处理意见制作《责任追究处理决定书》并送达人力资源部。 人力资源部备案并按程序下达具体执行部门,监督各事业部、职能部 门及所属各级子企业的执行情况。

(三)具体执行部门在接到《责任追究处理决定书》后 3 个工作 日内将执行结果上报人力资源部。

(四)当事人对责任追究处理决定有异议的,可以在接到《责任 追究处理决定书》3 日内向董事会提请复审并提交相关证据材料,董 事会研究决定最终责任追究意见,由人力资源部答复当事人。申诉期 间不停止处理决定的执行。

第八章 附 则

第三十八条 本制度由公司董事会负责解释。

第三十九条 本制度自发布之日起执行。