AI assistant
KPC PHARMACEUTICALS, INC. — Governance Information 2011
Sep 7, 2011
56720_rns_2011-09-07_310456be-4260-492b-bfbb-ea9994f67d1e.PDF
Governance Information
Open in viewerOpens in your device viewer
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
昆明制药集团股份有限公司
内部控制及全面风险管理办法
第一章 总则
第一条 目的
为加强和规范企业内部控制及全面风险管理,推动和指导公司各 责任中心、职能部门及子公司建立健全和有效实施内部控制制度及全 面风险管理,提高公司风险管理水平和风险防范能力,增强企业竞争 力,促进公司持续、稳步、健康发展,保护投资者的合法权益,依据 财政部 审计署 中国保险监督管理委员会 中国银行业监督管理委 员会 中国证券监督管理委员会财会[2008]7 号《企业内部控制基本 规范》、华立集团股份有限公司全面风险管理办法 (HOLLEY-CX02-2008-09094Z)《关于发布〈华立集团股份有限公司全 面风险管理办法〉的通知》等规定,结合公司实际,制订本办法。 第二条 适用范围
本办法适用于公司各责任中心、职能部门及各控、参股公司。
第三条本办法所称内部控制是指公司为了保证公司战略目标的实 现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度 安排。是由公司董事会、监事会、管理层和全体员工实施的、旨在实 现控制目标的过程。具体包括围绕风险管理策略目标,针对企业战略、 规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、
1
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保 护、企业文化等各项业务管理及其重要业务流程,通过执行风险管理 基本流程,制定并执行的规章制度、程序和措施。
第四条 本办法所称风险是指公司未来发展过程中,各种不确定 性对公司实现其战略及经营目标的影响。企业风险一般可分为战略风 险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企 业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可 能性)和机会风险(带来损失和盈利的可能性并存)。
第五条 本办法所称全面风险管理是指公司围绕战略目标及总体 经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的 基本流程,培育良好的风险管理文化,建立健全全面风险管理体系, 包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险 管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供 合理保证的过程和方法。
公司通过良好的法人治理和内部控制实施全面风险管理。公司股 东大会、董事会、管理层应依据公司章程的授权行使职权、承担责任。 公司的内部控制由公司董事会、监事会、管理层和全体员工实施,旨在 实现合理保证公司经营管理合法合规、资产安全与减少损失、财务报 告及相关信息真实完整与可靠性,提高经营效率和效果的风险管理目 标。
2
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
第六条 公司内部控制及全面风险管理基本流程主要包括以下几 项工作:
==> picture [345 x 18] intentionally omitted <==
(二) 内部控制及风险管理制度的制定与实施 (三) 风险评估 (四) 风险控制
(五) 风险的监督、评价与考核
==> picture [153 x 17] intentionally omitted <==
==> picture [233 x 16] intentionally omitted <==
==> picture [129 x 16] intentionally omitted <==
第二章 内部控制及风险管理的目标、原则与框架
第七条 公司内部控制及全面风险管理的总体目标:
(一)保证公司经营管理合法合规及公司内部规章制度的贯彻执 行;
(二)保证公司各项资产的安全性,避免风险失控导致公司资产、 资金损失;
(三)保证将风险控制在与总体目标相适应并可承受的范围内; (四)保证内外部,尤其是公司各职能机构之间、公司与股东之
间、公司与子公司之间实现真实、可靠的信息沟通,包括编制和提供 真实、可靠的财务报告;
3
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
(五)保障经营管理的有效性,提高经营活动的效率和效果,降低 实现经营目标的不确定性,促进公司实现发展战略。
(六)确保公司建立针对各项重大风险发生后的危机处理计划, 保护公司不因灾害性风险或人为失误而遭受重大损失;
(七) 形成良好的风险管理文化,使全体员工强化风险管理意识。
第八条 公司建立和实施内部控制及全面风险管理,应当遵循健 全、重要、制衡、独立、适应、成本效益的原则,确保内部控制及全 面风险管理的有效性。
(一) 健全性:内部控制及风险管理应当做到事前、事中、事后 控制相统一;覆盖公司的所有业务、部门和人员,渗透到决策、执行、 监督、反馈等各个环节,确保不存在风险管理的空白或漏洞。
(二) 重要性:内部控制及风险管理应当在全面控制的基础上, 关注重要业务事项和高风险领域。
(三) 制衡性与独立性:公司治理结构、部门和岗位的设置应当 权责分明、相互制约、相互监督,一线业务运作与二线管理支持适当 分离;承担内部控制及风险管理监督检查职能的部门应当独立于公司 其他部门。
(四) 适应性:内部控制及风险管理应当与公司经营规模、业务 范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调 整。
4
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
(五) 成本效益性:内部控制及风险管理应当权衡实施成本与预 期效益,以合理的成本实现有效控制及风险管理目标。
第九条 公司内控制度及全面风险管理应按照全面、完整的原 则,从以下层面作出安排:
(一)公司层面;
(二)公司下属各责任中心、职能部门及子公司层面;
(三)公司各业务环节层面。
第十条 公司内部控制及全面风险管理由上述总体目标和五项 相互关联的要素组成,公司建立和实施内部控制及全面风险管理时, 应考虑以下基本要素:
(一) 内控环境,指公司的组织文化以及其他影响员工风险意识 的综合因素,一般包括治理结构、机构设置及权责分配、内部审计、 人力资源政策、企业文化等。
(二) 风险评估,是公司及时识别、系统分析经营活动中与实现 内部控制目标相关的风险,合理确定风险应对策略或管理风险的方法。
(三) 控制活动,是公司根据风险评估结果,采取相应的控制措 施,即为确保风险管理策略有效执行而制定的制度和程序,包括但不 限于核准、授权、验证、调整、复核、定期盘点、记录核对、职能分 工、资产保全、绩效考核等, 将风险控制在可承受度之内。
5
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
(四) 信息沟通,是公司及时、准确地收集、传递与内部控制及全 面风险管理相关的信息,确保信息在公司内部、公司与外部之间进行 有效沟通。
(五) 内部监督,是公司对内部控制及全面风险管理建立与实施情 况进行监督检查,评价内部控制的有效性,发现内部控制缺陷应当及 时加以改进。
第十一条 公司应当按照法律、法规、规章极其配套办法建立健 全内部控制制度(以下简称内控制度),保证内控制度的完整性、合 理性。
第十二条 公司下属各责任中心、职能部门及子公司,应在符合 公司总体战略目标的基础上,针对各单位、业务环节的特点,建立相 应的内控制度及全面风险管理。
第十三条 公司内部控制及全面风险管理通常应涵盖经营活动中 所有业务环节,包括但不限于:
(一) 生产环节:包括拟定生产计划、开出用料清单、
储存原 料、投入生产、计算存货生产成本、计算销货成本、质量控制 等。
- (二) 采购及付款环节:包括采购申请、处理采购单、
验收货物、填写验收报告或处理退货、记录应付账款、核准付款等。
6
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
-
(三) 销货及收款环节:包括订单处理、信用管理、运送货物、
-
开出销货发票、确认收入及应收账款等。
-
(四)固定资产管理环节:包括固定资产的自建、购置、处置、维
-
护、保管与记录等。
-
(五) 货币资金管理环节:包括货币资金的入账、划出、
记 录、报告、出纳人员和财务人员的授权等。
-
(六)关联交易环节:包括关联方的界定,关联交易的定价、授权、
-
执行、报告和记录等。
-
( 七) 担保与融资环节:包括借款、担保、承兑、租赁、发行新 股、发行债券等的授权、执行与记录等。
(八) 投资环节:包括投资有价证券、股权、不动产、经营性资 产、金融衍生品及其他长、短期投资、委托理财、 募集资金使用的决 策、执行、保管与记录等。
-
(九) 研发环节:包括基础研究、产品设计、技术开发、产品测试、
-
报批、研发记录及文件保管等。
-
(十) 人事管理环节:包括雇用、签订聘用合同、培训、请假、
-
加班、离岗、辞退、退休、计时、计算薪金、计算个人所得税及各项 代扣款、薪资记录、薪资支付、考勤及考核等。
7
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
(十一) 媒体管理环节:包括对产品市场推广,资本市场信息披露, 新闻采访,内部媒体(内部网站、刊物、板报)等任何形式的关于公 司的媒体报道进行事先引导、事后跟踪控制等。
第十四条 公司内控制度及全面风险管理除涵盖对经营活动各环节 的控制及风险管理外,还包括贯穿于经营活动各环节之中的各项管理 制度,包括但不限于:印章使用管理、票据领用管理、预算管理、资 产管理、质量管理、担保管理、职务授权及代理制度、定期沟通制度、 信息披露管理制度及对子公司的管理制度等。
第十五条 因公司使用计算机信息系统,因此综合管理部信息办和 董事会办公室应建立和完善信息管理的内控制度。信息管理的内控制 度至少应涵盖下列内容:
(一)信息处理部门与使用部门权责的划分;
(二)信息处理部门的功能及职责划分;
(三)系统开发及程序修改的控制;
(四)程序及资料的存取、数据处理的控制;
(五)档案、设备、信息的安全控制;
(六)在《公司章程》规定的信息披露媒体、上海证券交易所网 站或公司网站上进行公开信息披露活动的控制。
8
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
第十六条 公司财务运营部应根据国家财政主管部门的有关规定, 建立和完善内部会计控制规范。
第十七条 公司聘请会计师事务所和律师事务所等中介机构协助 建立和完善内控制度及风险管理。
公司将委托从事内部控制审计的会计师事务所,根据《企业内部 控制基本规范》极其配套办法和相关执业准则,对公司建立与实施内 部控制的有效性进行审计,出具审计报告。
第十八条 公司内部控制及风险管理的信息披露按照国家相关法 律、法规及《企业内部控制基本规范》的规定执行。
第三章 内部控制及风险管理的组织体系与职责分工 第十九条 公司内部控制及全面风险管理的组织体系由公司董事 会、监事会、管理层、审计及法务部、各责任中心、各部门及各子公 司内设的有内部控制及风险管理职能的部门或岗位构成。董事会、管 理层应重视公司内部控制及风险管理的组织机构的配置(职能、人员), 通过该配置实现内部控制及风险管理各层次、各系统的具体工作。
第二十条 董事会审计与风险控制委员会代表公司董事会全面 负责公司的内部控制及风险管理,建立健全公司风险防范、监控体系, 负责推进公司内部控制及风险管理制度建设,督促公司管理层对公司 各业务风险的日常管理,对公司经营管理活动中的各类风险实施有效
9
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
==> picture [163 x 18] intentionally omitted <==
的事前评估和过程监控。
董事会审计与风险控制委员会还负责审查公司内部控制,监督内 部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其 他相关事宜。
第二十一条 管理层负责领导公司内部控制及风险管理的日常 运行,按照董事会的要求和自身的管理职责建立健全公司业务与管理 流程的风险防范、内部监控体系,管理公司各职能部门、各责任单元、 控参股公司的日常风险,有效化解和降低公司整体的运营风险。公司 总裁是管理层负责前述风险管理事项的代表和第一责任人。
第二十二条 监事会对董事会、管理层建立健全公司风险防范、 监控体系的工作进度与效果进行监督,对董事、高级管理人员违反风 险管理制度、风险管理职责而给公司造成重大损失的行为给予查处。 公司监事会主席是监事会负责前述风险工作监督事项的代表和第一责 任人。
第二十三条 审计及法务部独立于公司各责任中心、各控参股公 司、各部门,负责协助公司识别和评价重大风险问题,帮助公司改进风 险管理与控制系统;通过评价控制的效率与效果、促进其持续改善等 工作,帮助公司维持有效的控制系统;评价公司治理过程并提出改进 公司治理的恰当建议,履行检查与评价、咨询与服务的职能;对子公 司实施内部控制与风险管理的综合评价和专项内审。
第二十四条 公司各责任中心、各职能部门负责人为本部门所涉 风险控制事项的第一责任人,履行本部门的风险控制职能,执行具体 的风险管理制度,建立部门内权责明确、相互制衡的岗位职责和部门
10
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
==> picture [163 x 18] intentionally omitted <==
内全面、合理的风险控制制度,并针对本部门业务的主要风险环节制 定业务操作流程。
第二十五条 公司各子公司董事长、总经理以及财务负责人,为 所在子公司所涉风险控制事项的共同的第一责任人,履行所在子公司 的风险控制职能,建立健全子公司风险防范、监控体系,制定、执行 具体的风险管理制度。子公司的业务风险日常管理由子公司总经理负 责并承担责任;子公司总经理应针对子公司各部门业务的主要风险环 节领导制定业务操作流程。各子公司董事长、总经理以及财务负责人, 应按照子公司股东会、董事会授予的权限决定子公司的风险决策事项。 第二十六条 公司加强对各子公司的风险管理。公司通过董事会 审计与风险控制委员会把子公司纳入公司的整体风险管理建设与风险 监督、评价体系。公司的董事会办公室、财务运营部、人力资源部等 相关部门除承担本部门内部的风险控制职能外,对子公司的投资决策 风险、财务运营风险、资产与资金的安全管理、人力资源风险等方面 作为公司授权机构承担对各子公司的内部控制及风险监督职能。公司 董事会办公室除承担本部门内部的风险控制职能外,对子公司的法人 治理、股东会决策、董事会风险管理职责履行方面作为公司授权机构 承担对各子公司的风险监督职能。
公司通过公司委派到各子公司的董事、监事及推荐到各子公司的 管理人员,按照岗位职责具体介入子公司的业务、事务的内部控制及 风险管理。公司委派到各子公司的董事,应按照所在子公司章程规定 的董事职权承担董事的内部控制及风险管理责任,并按照公司的外派 董事管理办法以及董事会办公室的要求及时向公司汇报重大风险管理
11
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
事项、向公司申请股东决策、完成公司交付的工作任务;公司委派到 各子公司的监事,应按照所在子公司章程规定的监事职权承担监事的 内部控制及险监督责任,并按照公司的外派监事管理办法以及董事会 办公室的要求及时向公司汇报重大风险监督事项、完成公司交付的工 作任务;公司推荐或委派到各子公司的管理人员,应按照所在子公司 章程规定的管理职权承担内部控制及风险管理责任,并按照公司的委 派或推荐制度以及公司相关机构的要求及时向公司汇报重大风险管理 事项、完成公司交付的工作任务。
第二十七条 公司对控股子公司实行管理控制,主要包括:
(一)依法建立对控股子公司的控制架构,确定控股子公司章程 的主要条款,选任董事、监事、经理及财务负责人等。
(二)根据公司的战略规划,协调控股子公司的经营策略和风险 管理策略,督促控股子公司据以制定相关业务经营计划、风险管理程 序。
(三)制定控股子公司的业绩考核与激励约束制度。
(四)制定母子公司业务竞争、关联交易等方面的政策及程序。
(五)制定控股子公司重大事项的内部报告制度。重大事项包括 但不限于公司治理、战略与经营、资产财务管理、核心管理制度、重 大事件、产品与研发、品牌建设及信息披露、营运管理等。
12
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
(六)定期取得控股子公司月度财务报告和管理报告,并根据相关 规定,委托会计师事务所审计控股子公司的财务报告。
第二十八条 公司应对控股子公司内控制度及风险管理的实施及 其检查监督工作进行评价。
第二十九条 公司应比照上述要求,对分公司和具有重大影响的 参股公司的内控制度及风险管理作出安排。
第四章 内部控制及风险管理策略的制定与实施
第三十条 内部控制及全面风险管理策略是指公司根据内外部 环境及董事会制定的公司发展战略,结合财政部等部委联合颁布的《企 业内部控制基本规范》所确定的公司内部控制及全面风险管理的总体 方针准则。
第三十一条 内部控制及全面风险管理策略由董事会审计与风 险控制委员会制定,经董事会进行评估后确定。董事会审计与风险控 制委员会、管理层代表负责将公司内部控制及风险管理策略落实到公 司制度和流程管理中,协助各业务部门完善其业务制度和流程,并对 内部控制及风险管理策略的实施情况和效果进行检查和评价。
第三十二条 现有内部控制及风险管理策略、制度、流程的可行 性或有效性,如因内外部环境发生变化而受到严重影响,应及时进行 修订和调整。
13
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
第三十三条 公司在实施内部控制及风险管理策略的过程中,应 建立和不断完善授权体系,公司所有责任中心、所有部门、子公司必 须在公司授权范围内开展工作。在各项规章制度中要明确报告路线和 程序,使风险信息能够及时传递到相关的部门和公司领导。
第五章 风险评估
第三十四条 风险评估是指根据公司内外部环境的变化,对公司 所面临的风险进行风险辨识、风险分析、风险评价,包括对公司各项 管理制度、各项经营发展计划、经营与投资方案的事前风险评估。
公司开展风险评估,应当准确识别与实现控制目标相关的内部风 险和外部风险,确定相应的风险承受度。
第三十五条 公司各项管理制度应按规定程序征求意见,对其中 涉及内部控制及风险管理的部分是否符合公司内部控制及风险管理政 策,需经董事会审计与风险控制委员会进行会签。
第三十六条 各责任中心、各部门、各子公司制订的重大经营计 划和创新业务方案应包含业务部门自身对于计划、方案的风险判断和 采取的风险管理措施,并由管理层组织进行风险评估。董事会审计与 风险控制委员会对计划、方案的市场风险、法律风险、信用风险、操 作风险、技术风险、政策风险和道德风险等进行确认,对风险发生的 概率及其产生结果的影响程度进行评估,对计划、方案中相应的风险 管理措施是否充分有效等进行分析,并出具风险评估报告或意见书。
14
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
第三十七条 公司应建立风险管理综合信息的收集与积累机制。 风险管理综合信息包括与风险及风险管理相关的宏观经济、政策法规、 市场状况、技术革新、公司资源、财务状况、人力配置、管理措施、 工具应用、信息报告等方面的信息。公司及各部门、各分支机构应广 泛地、持续不断地收集与公司风险及管理相关的信息,并送交董事会 办公室、审计及法务部、董事会审计与风险控制委员会对相关信息进 行整理和修订,以建设和更新公司的风险管理综合信息库。公司各部 门以及人员应将重要风险信息及时传递给董事会、监事会和管理层。
公司应当将内部控制相关信息在企业内部各管理级次、责任单 位、业务环节、母公司与子公司之间,以及企业与外部投资者、债权 人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和 反馈,信息沟通过程中发现的问题应当及时报告并加以解决。
公司可以通过财务会计资料、经营管理资料、调研报告、专项信 息、内部刊物、办公网络等渠道,获取内部信息。公司应当利用信息 技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作 用。
第六章 风险的控制
第三十八条 公司应当结合风险评估结果,通过手工控制与自动 控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施, 将风险控制在可承受度之内。
15
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
控制措施一般包括:不相容职务分离控制、授权审批控制、会计 系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制 等。
第三十九条 不相容职务分离控制:要求公司全面系统地分析、 梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各 司其职、各负其责、相互制约的工作机制。
第四十条 授权审批控制:要求公司根据常规授权和特别授权的 规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
公司应当编制常规授权的权限指引,规范特别授权的范围、权限、 程序和责任,严格控制特别授权。常规授权是指公司在日常经营管理 活动中按照既定的职责和程序进行的授权。特别授权是指公司在特殊 情况、特定条件下进行的授权。
公司各级管理人员应当在授权范围内行使职权和承担责任。
公司对于重大的业务和事项,应当实行集体决策审批或者联签制 度,任何个人不得单独进行决策或者擅自改变集体决策。
第四十一条 会计系统控制:要求公司严格执行国家统一的会计 准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计 报告的处理程序,保证会计资料真实完整。
公司应当依法设置会计机构,配备会计从业人员。从事会计工作 的人员,必须取得会计从业资格证书。会计机构负责人应当具备会计 师以上专业技术职务资格。
16
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
第四十二条 财产保护控制:要求公司建立财产日常管理制度和 定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措 施,确保财产安全。
公司应当严格限制未经授权的人员接触和处置财产。
第四十三条 预算控制:要求公司实施全面预算管理制度,明确 各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达 和执行程序,强化预算约束。
第四十四条 运营分析控制:要求公司建立运营情况分析制度, 管理层应当综合运用生产、购销、投资、筹资、财务等方面的信息, 通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析, 发现存在的问题,及时查明原因并加以改进。
第四十五条 绩效考评控制:要求公司建立和实施绩效考评制 度,科学设置考核指标体系,对公司内部各责任单位和全体员工的业 绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务 晋升、评优、降级、调岗、辞退等的依据。公司应当建立内部控制实 施的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳 入绩效考评体系,促进内部控制的有效实施。
第四十六条 投资与资产处置项目控制:要求公司建立和实施投 资与资产处置的项目管理办法,明确立项、尽职调查与风险评估、决 策、项目组与管理、谈判与签约管理、履约管理、争议处置、项目后 评估等管理流程,控制投资与资产处置的风险,避免错误决策、不必 要的损失或额外成本。
17
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
==> picture [163 x 18] intentionally omitted <==
第四十七条 公司应当根据内部控制目标,结合风险应对策略, 综合运用控制措施,对各种业务和事项实施有效控制。
==> picture [263 x 16] intentionally omitted <==
第四十八条 公司应建立风险监督、评价与考核机制。风险管理 的监督、评价与考核是指对风险管理的效果和效率进行持续监督与考 核评价,包括对公司风险管理相关部门的风险管理工作执行情况进行 定期检查,对风险管理工作任务的完成情况进行考核,并根据监督或 考核的结果,对公司风险管理工作进行改进与提升。
第四十九条 各责任中心、各部门、子公司向董事会办公室、审 计及法务部报送本单位重大业务风险情况。董事会办公室、审计及法 务部将所有涉及重大风险管理的相关资料必须向董事会审计与风险控 制委员会报备,或向董事会审计与风险控制委员会开放信息系统。董 事会审计与风险控制委员会有权检查原始资料。
第五十条 审计及法务部负责向公司管理层、董事会审计与风险 控制委员会等递交公司的风险报告。公司的风险报告分为年度全面风 险管理报告和不定期的专项风险报告。年度全面风险管理报告是对届 满一个年度公司经营发展中存在的风险和纠正的情况进行汇总的报 告;不定期专项风险报告是对监控中或风险专项检查中发现的重大风 险或风险隐患问题进行汇报的专项报告。
第五十一条 在风险监控中发现问题时,董事会审计与风险控制 委员会可以进行风险专项检查,必要时可指定审计及法务部进行重点
18
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
内控及风险管理审计或组织专项内控及风险管理审计。对其它不方便 检查或无法检查的事项,董事会审计与风险控制委员会可以向公司有 关部门提出风险管理建议。
第五十二条 公司建立由公司审计及法务部负责组织完成的风险 内部监督与评价制度,并对各级管理人员、员工遵守公司风险管理相 关制度和流程的合规性情况进行监督、检查。内部监督与评价分为日 常监督与评价和专项监督与评价。日常监督与评价是指审计及法务部 对建立与实施内部控制的情况进行常规、持续的监督检查,对公司风 险管理总体状态和内部控制的效率与效果进行检查和评价;专项监督 与评价是指审计及法务部在企业发展战略、组织结构、经营活动、业 务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制 的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频 率应当根据风险评估结果以及日常监督的有效性等予以确定。
公司各责任中心、子公司、职能机构负责人及员工负有对涉及所 属岗位的风险管理年度工作开展的自我监督和对下一级员工的风险管 理工作实施监督的责任,并应当在年度工作总结时专门说明具体风险 管理工作、风险事件处置、风险管理职能履行等相关事项。
第五十三条 公司应当制定由审计及法务部拟定、总裁审核,并 提交董事会审计与风险控制委员会、董事长核准的《企业内部控制缺 陷认定标准》,对监督过程中发现的内部控制缺陷,应当分析缺陷的 性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、 监事会或者管理层报告。
企业内部控制缺陷包括设计缺陷和运行缺陷。公司审计及法务部
19
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
应当跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷, 向董事会、监事会提请追究相关责任单位或者责任人的责任的建议。
第五十四条 公司应当结合内部监督情况,定期(年度或半年度) 由审计及法务部负责组织对公司、下属子公司内部控制的有效性进行 自我评价,出具公司、子公司风险管理监督评价审计综合报告或企业 系统风险评价报告。
公司应当制定由审计及法务部拟定、总裁审核,并提交董事会审 计与风险控制委员会、董事长核准的《企业系统风险等级评价标准》 以及报告指引。
第五十五条 公司应建立多层级内控及风险责任机制。把各责任 中心、各部门内控及风险管理工作纳入绩效考核体系。
(一) 公司及子公司为第一级内控及风险管理单位,公司及各子 公司的董事长、总经理为内控及风险责任承担人,全面负责本单位的 内控及风险管理。
(二) 公司及各子公司按照组织架构细分二级风险单位,每个风 险单位,如各责任中心、各部门的第一负责人为风险责任承担人,全 面负责本单位的内控及风险管理。
(三) 各子公司及其各责任中心、各部门必须评估每一个操作程 序所遇到的风险,再把每一个风险细分为主次风险,据此制定内控及 风险管理的操作程序。
(四) 各级风险单位必须把风险管理的责任落实到每一环节的相 关人员,真正做到风险控制到人。
第五十五条 年度内控及风险管理考核指标与考核标准由董事会
20
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
办公室、审计及法务部、财务运营部、人力资源部门进行沟通,报总 裁审核后,报公司董事会审计与风险控制委员会、董事长核准后下发 执行。
第五十六条 考核指标和考核标准的设定,主要考虑以下方面:
(一) 公司内部控制及风险管理体系或部门风险管理流程的建设 工作按计划进度完成情况。
(二) 对公司或部门的重大风险进行系统的评估或预防的情况。
(三) 根据公司内控及风险管理策略,落实部门有关内控及风险 管理制度和流程及实施的情况。
(四) 对公司或部门的内控及风险管理职责进行清晰的界定和落 实的情况。
(五) 相关内控及风险报告和预警工作的及时性、有效性情况。
(六) 超出预警范围的重大风险发生并对公司经营目标造成重大 影响的情况。
第八章 风险的预警
第五十七条 公司各责任中心、子公司、相关部门应建立风险预 警系统,以发现并应对可能出现的风险: (一) 建立财务预警系统:公司及各子公司的财务部门,通过设 置并观察一些敏感性财务指标的变化,对可能或将要面临的财务危机 进行预测预报。
(二) 建立经营管理预警系统:公司及各子公司的经营管理人员,
21
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
根据各个业务环节特有的性质来设计不同的风险控制机制,彻底掌握 风险的来源和可能的影响。
(三) 建立全面的风险信息报告系统:公司各责任中心、各部门、 子公司及其下级风险管理单位,有责任及时、无保留地向公司董事会
审计与风险控制委员会、管理层等报告有关风险的真实信息。
第五十八条 公司相关机构负责人、各员工都负有公司风险预警 的义务,在处理公司具体事项时,对知悉或遇到的公司风险,及时向 上一级管理者以及相关职能部门书面报告;重大风险,应同时向分管 副总裁、公司总裁、董事会审计与风险控制委员会、董事长等书面报 告。
==> picture [265 x 17] intentionally omitted <==
第五十九条 公司应建立灵敏高效的危机处理和应急管理机制, 以降低风险损失。对新出现的、缺乏风险应急预案的重大风险,董事 会审计与风险控制委员会应立即与公司管理层、相关部门协调,组织 人员研究制定风险应对方案,经公司董事会审计与风险控制委员会、 董事长审批后实施。
从便于报告风险管理和处置风险管理的角度出发,公司的突发风 险与危机等级划分为;一般性内部风险(指预期经济损失不超过50 万元或商誉受外部微小影响的风险);中等风险(指预期经济损失超 过50 万元但在500 万元以内或商誉受外部较大影响但还可控的风险); 重大风险(指预期经济损失超过500 万元,或对公司声誉、经营活动
22
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
和内部管理、资产安全造成强大压力和外部负面影响的事件,或影响 公司存续的危机事件)。
第六十条 当风险已经发生,任何第一手接触或认知到风险的 人员均必须向其上一级管理者报告。
接获该报告信息的人员应及时组织有关部门、相关人员对风险进 行初步的评判,确定是属于一般性内部风险、中等风险,还是重大风 险。对一般性风险,该接获报告信息的管理者应立即责成有关机构负 责人或有关人员负责组织处理,并向分管副总裁报告;对中等风险, 该接获报告信息的管理者应立即向公司分管副总裁、总裁、董事长、 董事会审计与风险控制委员会主任报告,并由公司总裁责成有关机构 负责人或有关人员负责组织处理;对重大风险,该接获报告信息的管 理者应立即向公司总裁、董事会审计与风险控制委员会主任、董事长 报告,并由董事长责成有关机构负责人或有关人员负责组织处理。对 于无法识别风险等级的风险,接获该报告信息的人员应立即向公司分 管副总裁、总裁、董事会审计与风险控制委员会主任报告,以便后者 区分风险等级并组织处置。
第六十一条 对于已经知悉的重大风险或公司危机,董事长、董 事会审计与风险控制委员会主任、总裁应尽快启动危机处理程序。 第六十二条 重大风险或公司危机处理程序 (一) 成立风险和危机的处理机构
该类危机发生后,公司应在第一时间成立危机处理小组;对于极 其重大的危机,该小组应由公司董事长担任主任;对于其他重大的危 机,由董事长指定董事会审计与风险控制委员会主任、公司总裁、分
23
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
管副总裁担任主任。小组成员至少应包括:董事会秘书、发生危机单 位的第一负责人、财务运营部门、审计及法务部门、相关部门负责人 及公司法律顾问、其他相关人员,小组应配备小组秘书及后勤保障人 员。
公司董事会应授权危机处理小组为处理危机事件的最高权力机 构和协调机构,有权调动公司可用资源;危机处理小组主任有权独立 代表公司作出声明、承诺或和解;必要时, 危机处理小组应分为决策 组、执行组,分清权责,避免危机处置中的擅自决策与无人监督。 (二) 制订危机处理计划
危机处理小组应及时根据现有的资料和情报,以及公司拥有或可 支配的资源来制订危机处理计划,计划必须体现出危机处理目标、程 序、组织、人员及分工、后勤保障、行动时间表以及各个阶段要实现 的目标,同时还应包括社会资源的调动和支配、费用控制和实施责任 人及其目标。计划制订完成并获通过后,应立即开始进行物质资源调 配和准备,展开全面的危机处理行动。
(三) 危机处理
-
对于尚未造成社会影响的事件,在对危机事件进行详细的调 查了解和核实的基础上,根据法律和公理,果断做出处理决定,以避 免事态的进一步恶化。
-
对于已造成社会影响的事件,应保持与社会各方、投资者的 良好沟通,及时披露事实真相,以有助于对事件做出客观公正的报道 和评价。
-
在处理过程中,应处理好与危机事件对方当事人的关系,及
24
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
时安抚,避免出现纠纷。
- 在事件处理的全过程,危机处理小组均应与当地政府、监管
机构保持紧密联系,及时通报事件进展。
(四) 教训总结与责任认定
危机事件处理完成后,危机处理小组应及时提交总结报告,如实 反映事件的起因、发生过程、处理方法和结果、责任认定、反映的问 题等,并提出整改建议或意见,以避免新的风险和危机发生。
第十章 内部控制及风险管理文化的建设
第六十三条 公司应将内部控制及风险管理文化建设作为公司 发展战略的组成部份,培育和塑造良好的内部控制及风险管理文化, 促进公司内部控制及全面风险管理目标的实现。
第六十四条 公司应营造合法、合规经营的制度文化环境。将内 控及风险管理文化融入公司文化建设全过程,在相关政策和制度文件 中明确规定内控及风险管理文化的建设要求和内容,在各层面营造内 控及风险管理文化的氛围。
公司应当加强法制教育,增强董事、监事、总裁及其他高级管 理人员和员工的法制观念,严格依法决策、依法办事、依法监督,建 立健全法律顾问制度和重大法律纠纷案件备案制度。
25
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
第六十五条 公司应引导员工遵循良好的行为准则和道德规范, 树立正确的风险管理理念,增强内控及风险管理意识,将风险管理意 识转化为员工的共同认识和自觉行动,促进企业建立系统、规范、高 效的内控及风险管理机制。
第六十六条 公司应将对员工风险意识和风险管理的培训纳入 培训计划。通过各类风险案例教育和公司制度流程培训,对公司全体 人员,尤其是重要管理及业务流程、风险控制点的管理人员和业务操 作人员进行岗前和岗上的持续性风险管理培训,不断强化对内部控制 及风险管理理念、知识、流程、管控核心内容的认识和理解,培养风 险管理人才,培育风险管理文化。
==> picture [161 x 17] intentionally omitted <==
第六十七条 对于各级管理人员、员工违反公司内部控制及风险 管理制度的行为,将按照公司相关管理制度规定进行处理。对于董事 违反公司内部控制及风险管理制度的行为,监事会有权向董事长、股 东大会提出处理建议。
第六十八条 对因决策失误、管理失职、行为失当、违法违规等 原因致使公司出现一般性风险、中等风险的责任人及单位负责人,公 司可视情节轻重、损失大小、责任人的态度给予责任人降薪降职、单 方解聘其职务、单方解雇等处理,并有权要求其赔偿公司损失。对因 决策失误、管理失职、行为失当、违法违规等原因致使公司出现重大
26
内部控制及全面风险管理办法 KPC-AT2.15A-2011(R)
风险或公司危机,并造成直接或间接损失的责任人及单位负责人,公 司应追究其直接责任或领导责任,构成犯罪的移交司法机关处理,并 要求其赔偿公司损失;公司还有权解聘其职务、单方解除对该责任人 的雇佣或劳动关系。
第十二章 附 则
第六十九条 公司依据国家主管部门颁布的《企业内部控制基本 规范》指引制定相应的实施细则和流程,公司管理层、各责任中心、 各部门应遵照本办法履行相应的职责。
公司各子公司可参照本办法执行本公司的风险管理。公司各子公 司发生涉及中等以及以上风险时,因该类风险会严重影响股东权益, 公司各子公司的董事长、总经理应按照本办法第五十九条、第六十条 的规定向公司派遣到该子公司的董事以及监事、公司分管副总裁、董 事长、董事会审计与风险控制委员会主任报告,不得隐瞒或延误报告。 第七十条 本办法由公司董事会授权审计及法务部负责解释。 第七十一条 若公司原有相关管理制度规定与本办法规定不一致 的,以本办法规定为准。
第七十二条 本办法经2011 年9 月5 日公司六届二十一次董事 会、六届十二次监事会审议通过,并从发文之日起实施,原印发的昆 药集团发〔2009〕35 号《关于印发〈昆明制药集团股份有限公司内部 控制及全面风险管理办法〉的通知》(修订稿)同时废止。
27