公司风险管理与内部控制办法.docx

《公司风险管理与内部控制办法.docx》由会员分享，可在线阅读，更多相关《公司风险管理与内部控制办法.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、公司风险管理与内部控制方法第一章总那么第一条为全面提升公司风险管控能力，加快构建以法律管 控为主的“大风控”体系，健全风险信息的收集、分析、应用机 制，牢牢守住不发生重大风险的底线，把风险管理、内部控制、 法律合规与公司中心工作、业务工作深度融合，遵循实事求是、 守正创新、行稳致远”工作方针，根据中华人民共和国公司法 企业全面风险管理指引企业内部控制基本规范及配 套 指引、企业合规管理指弓1（试行）等相关政策、法律法 规， 结合公司实际，制定本方法。第二条本方法适用于中国铁道建筑集团、中国铁 建股份（以下简称公司）及所属各单位，包括公司控股 和具有实际控制权的单位。第三条风险是指未来的不确定性

2、对公司实现战略及经营管 理目标的影响。风险管理应围绕战略及经营管理目标，明确风险管理要求， 提升风险意识，确定风险偏好和承受度，规范管理流程，健全工 作协同和信息共享机制，突出特别重大风险及重大风险（以下合 并简称为重大风险）全方位管控,减少各类风险损失和威胁。第四条内部控制是指公司董事会、监事会、经理层和全体第二十四条 各单位、各部门应以风险管理为导向，以内部 控制为抓手，不断健全规章制度，完善业务流程，综合运用不相 容职务别离控制、授权审批控制、会计系统控制、财产保护控制、 预算控制、运营分析控制和绩效考评控制等内部控制方法，将风 险控制在可承受范围之内。第二十五条 在强调每位员工、每个岗

3、位内部控制职责的同 时，各单位、各部门应通过风险评估，识别主要风险点，认定重 点人、重点事和重点环节，并制定内部控制应对措施。第二十六条各单位、各部门应强化业务发起者的首要责任, 全面、逐级落实每一道把关责任，认真负责进行核准、审批或进 行风险提示，提出修改完善意见。对于效益不可行、超出风险承 受能力或风险应对措施不到位的事项，应及时发表否认意见，严 控决策风险。第二十七条 各单位应健全内部控制评价机制，定期开展自 我评价和监督评价，接受第三方内部控制审计，落实内控缺陷整 改工作。对于重大缺陷、重要缺陷和重复发生的缺陷，要深入分 析形成原因，以点带面、举一反三，采取有效措施，彻底整改。第二十八

4、条 根据风险内控工作开展情况，结合内外部监管 要求，各单位编制并向上级单位报送经董事会批准的”内控体系 工作报告”。第二十九条按照档案管理要求及有关规定，各单位、各部12门应及时将内部控制相关记录、资料以书面或其他适当形式，妥 善保存、保管。第五章信息系统第三十条公司逐步建立健全涵盖风险管理和内部控制基本 流程的信息管理系统，为“大风控体系有效运行提供支撑。第三十一条公司积极探索利用大数据、云计算、人工智能 等技术，实现风险信息的收集、统计、分析、发布、预警和监测 等功能，进一步提升信息化和智能化管理水平。第三十二条风险内控牵头部门参与业务信息系统建设方案 的评审及后续验收工作，协调推动各部门

5、将内部控制要求嵌入业 务信息系统。第三十三条 各单位、各部门在运用信息技术进行风险防 控时，应注意网络平安、数据平安、系统平安等技术风险； 加强网络平安防护、数据治理、数据平安防护等工作，全面 保障信息系统和公司数据的稳定和平安。第六章监督考核与责任追究第三十四条公司建立健全监督检查工作机制,将日常监督、 专项监督、评价监督等工作相结合，综合利用平安、审计、纪检、 巡视等内外部监督成果，实现信息共享、成果共用、共同催促整 改和问责追责的“大监督”工作机制。13第三十五条 公司逐级建立风险内控考核工作机制，明确考 核对象、内容、期间、程序、指标及考核结果应用要求，对风险 内控工作实施考核。第三十

6、六条各单位应充分利用考核结果，健全奖惩工作机 制。对于在风险内控工作中做出突出成绩的集体和个人，给予表 彰和奖励。对于因内控机制缺失、内控重大缺陷、重大风险事件等造成 重大损失和影响，以及瞒报、漏报、谦报或迟报重大风险事件及 内控重大缺陷的单位、部门和个人，由责任追究机构依照有关规 定和程序追究相关人员的直接责任、主管责任和领导责任。第七章附那么第三十七条各单位应依照本方法制订实施方法或细那么，并 报公司法律合规部备案。第三十八条 本方法由公司法律合规部负责解释。员工实施的、旨在实现控制目标的过程。内部控制旨在合理保证公司经营管理依法合规、资产平安、 财务报告及相关信息真实完整,提高经营效率和

7、效果，促进公司 战略目标的实现。第五条 “大风控”体系建设与运行应突出集团管控，强调 全员、全面、全过程，覆盖所有单位、部门和员工，包括各业务 领域、环节及各类风险，坚持事前防范、事中控制为主，事后救 济为辅，始终将重大风险防控作为重中之重，做到提前预见、提 前发现、提前管控，推动资源整合、信息共享、同防共治、不断 提升，以实现公司高质量稳健开展。第六条工作原那么：（一）健全组织、明确责任。贯彻”横向到边、纵向到底 的工作要求，各单位健全并持续完善风险内控组织体系，明确细 化风险管控责任。（二）统一领导、分级负责。公司总部负责风险内控工作的 统筹规划，各单位结合自身实际，分类别、分阶段、分层级

8、推进 落实。（三）全面覆盖、突出重点。公司坚持战略导向、问题导向, 在进行全方位风险管控同时，更要关注重点人（岗位）、重点事 和重点环节。（四）信息共享、持续完善。公司持续完善风险信息的收集、 统计、分析、发布机制，实现及时传递、合理共享，不断改进和4 优化“大风控”体系。第七条各单位应加强宣贯和培训，引导每一位员工特别是 各级领导人员树立正确的风险管理理念，增强忧患意识、风险意 识、责任意识，培育风险管理文化，将内部控制与风险管理要求 转化为全体员工的共同认识和自觉行动。第二章组织机构与职责第八条 公司采取党委把关定向、董事会统筹领导、经理层 组织实施的”纵横结合、协同监督”的风险内控组织架

9、构，构建 风险管理四道防火墙和三道防线。第九条工程部等基层单位、三级单位、二级单位与公司总 部构成风险管理的四道防火墙。各单位应健全风险内控体系，明确各部门、风险内控牵头部 门、经理层、董事会、党委的风险管控职责，配备满足需要的专 职工作人员，业务单一、规模较小的单位至少应明确兼职工作人 员,组织、协调、推动风险内控工作。第十条各单位应完善履责依据和履责要求，压实所管辖各 级领导人员的具体责任。严格界定分管领导对本人负责或主要参与事项的直接责任， 对直接主管（分管）工作的主管责任。严格界定主管领导对本人负责或主要参与事项的直接责任， 对直接主管工作的领导责任。严格界定董事会的责任，明确各级董事

10、会对本单位风险内控 工作有效性负责。第十一条各单位应根据部门职责分工，划分风险管理三道 防线，强化重大风险管控要求，全方位做好风险防控工作。所有部门作为风险管理的责任主体，在履行与部门自身管理 直接相关风险管控职责时为第一道防线，是风险管理的前线和战 线，应坚持守土有责、守土尽责，增强责任感和自觉性，不能把 防控责任推给上面、留给后面，确保绝大多数风险在这一环节得 到有效管控。风险内控、法律合规、平安、质量、合同管理、贯标、人事、 财务、内部审计、纪检、巡视等部门在履行支持、服务、调查、 评价、审计、检查和督导职责时为第二道防线，是监督保障线， 应做好服务支持、监督指导、信息共享、管理赋能工作

11、。纪律检查委员会、违规经营投资责任追究工作管理委员会和 平安生产委员会等机构为第三道防线，是问责追责线，应深入剖 析、追根溯源，严肃问责追责，促进管理提升。各部门应明确部门负责人、业务主管、一般工作人员的岗位 责任，细化落实标准，确保风险管控要求层层落实，保证工作效 果。第十二条工程部等基层单位要将一线作业人员作为风险管 理第一道防线，业务部门为第二道防线，领导班子为第三道防线, 责任到人，齐抓共管，确保现场风险得到有效管控。第十三条所有员工（特别是各级领导人员）首先要履职尽 责，保证自身不发生风险事件，否那么应承当直接责任；各级领导 人员要加强管理，保证所分管业务（如有）不发生风险事件，否

12、那么应承当主管责任；各级领导人员要加强对下属人员的领导，保 证所管理人员（如有）不发生风险事件，否那么应承当领导责任。第十四条为提升风险管控效果，有效防范、化解重大风险, 各法人单位应设立风险管理委员会，通过定期会商、重点会商等 工作机制，研究解决重大风险、系统性风险等问题，组织实施跨 部门、跨单位重大风险管控。第十五条公司总部风险管控职责分工：（一）各部门为风险内控工作责任部门，履行风险管理的主 体职责，应强化对各类风险提前预见、提前发现、提前管控，及 时总结、交流、推广，举一反三，全面提升管控能力。负责履行部门业务条线的内控与风险管理职能;健全并及时 更新相关规章制度、业务流程；持续开展教

13、育培训，提升风险意 识；按业务条线收集风险信息，辨识、评估重大风险，提出应对 措施并跟踪管控;建立健全风险监测、预警、报告及应急管理机 制，将内部控制要求嵌入业务信息系统；明确由部门副职或业务 骨干兼任的风险内控专员，对接、配合风险内控牵头部门开展相 关工作。（二）风险内控牵头部门为法律合规部，承当风险管理委员 会办公室职能。应组织建立健全风险内控体系，落实各项日常工7 作，指导、协调、催促各单位、各部门开展风险内控工作。负责落实党委会、董事会、经理层工作要求;贯彻内控与风 险管理法规、政策，提出风险管理标准，完善风险管理机制；拟 订风险内控工作规划和规章制度，编写工作报告；收集风险信息, 建

14、立并更新风险数据库，组织公司层面风险评估和内部控制自我 评价、监督评价及内控缺陷整改；协助各部门认定重大风险，开 展重大风险管控；组织实施风险内控工作考核；严格法律合规审 核，坚持没有法律意见，领导不签字、议题不上会、单位不用 印、上级不受理，对触及风险管控底线的事项，敢于说不。（三）经理层贯彻落实党委及董事会关于风险内控工作要求 并组织实施。负责拟订大风控”体系建设方案、重大风险管控方案和年 度风险内控评价及考核方案；组织风险管理教育培训，提升全员 风险意识；审议各项风险管理标准、规划、规章制度、工作报告, 推进全系统风险内控工作开展。（四）董事会统筹领导风险内控工作。批准风险管理标准、规划

15、、规章制度、工作报告、风险内控 评价及考核方案；健全风险管控决策机制，确定重大决策、重大 风险、重要业务流程的判断标准以及重大风险管理策略。审计与 风险管理委员会代表董事会持续监督风险内控系统，至少每年一 次对风险内控系统有效性进行审核。（五）党委把关定向风险内控工作。8坚持把防范化解重大风险作为重要工作，为增强公司风险防 控能力提供坚强政治和组织保障;支持董事会和经理层依法行使 职权；推动各类监督有机贯通、相互协调，形成监督合力，提高 监督效能；审议”大风控”体系建设方案，研究、处理重大风险 问题。第三章风险管理第十六条 公司对风险实行分类、分级、分层管理，积极主 动、未雨绸缪、防患未然、见

16、微知著、防微杜渐,对各类风险早 识别、早预警、早处置。第十七条风险可能带来有形损失、无形损失和威胁。在做 好有形损失管控的同时，更要注重无形损失和威胁的管控，减少 风险发生带来的负面影响和损失。第十八条 根据风险对公司目标实现产生影响的因素，公司 确定战略风险、财务风险、市场风险、运营风险、法律合规风险 为一级风险。为实现精准识别和管控，各单位应围绕风险源至少 将上述一级风险细化至三级风险。第十九条 根据风险发生的可能性，可能造成有形损失、无 形损失和威胁的大小，公司区分特别重大风险、重大风险、较大 风险、一般风险和其他风险，采取不同策略进行管控。特别重大风险是指可能对公司造成1亿元（含）以上

17、特别严 重损失；在国家层面（含国资委机关代表国家履职）造成很坏影9 响;媒体或国际主流媒体负面报道;对日常运营或战略经营目 标影响特别重大，对商誉、地位、形象等可能带来特别严重损 失和威胁的风险。重大风险是指可能对公司造成5000万（含）以上1亿元（不 含）以下严重损失;在省部级范围造成很坏影响；省部级媒体负 面报道;对日常运营或战略经营目标影响重大，对商誉、地位、 形象等可能带来严重损失和威胁的风险。特别重大风险、重大风险，应作为风险管控的重中之重。较大风险是指可能对公司造成500万（含）以上5000万元 （不含）以下较大损失；在市厅级范围造成很坏影响；市厅级媒 体负面报道;对日常运营或战略

18、经营目标影响较大,对商誉、地 位、形象等可能带来较大损失和威胁的风险；以及发生可能性较 高但造成损失和威胁较小或发生可能性极高的各类风险。应持续 关注，重点管控。一般风险是指可能对公司造成100万（含）以上500万元（不 含）以下损失；在县处级范围造成很坏影响；县处级媒体负面报 道;对日常运营或战略经营目标有一定影响，对商誉、地位、形 象等可能带来一定损失和威胁,但发生可能性较低的风险；以及 影响不大，损失和威胁较小，发生可能性较高或风险影响程度轻 微但频繁发生的风险。应合理调配资源，正常管控。其他风险是指影响程度轻微、发生可能性较低,未到达上述 标准的风险。在做好特别重大风险、重大风险、较大

19、风险和一般10风险管控时，兼顾管控。第二十条 各单位、各部门应按规定向风险内控牵头部门提 交重大风险“专项报告”和定期报告”。法律合规、平安、质量、合同管理、贯标、人事、财务、内 部审计、纪检、巡视等部门应将认定的问题、缺陷、案例等及时 向有关部门、单位移交，同时抄送风险内控牵头部门，做到信息 共享、同防共治，最大限度防止相同或类似事件的重复发生。风险内控牵头部门应加强对收集信息的整理、统计、分析工 作，及时发布、预警、提示，全面提升各类风险信息的利用效率。第二十一条 各单位、各部门应划分风险预警等级，设计风 险预警指标，规范风险处置程序，建立健全重大风险预警和突发 事件应急处理机制，制定风险预警响应措施并对执行情况进行跟 踪，开展必要应急演练和培训，确保风险事件得到及时妥善处理。第二十二条 各单位、各部门应及时总结分析重大风险事件， 吸取教训I,制定和落实整改措施，优化完善“大风控”体系，健 全风险防范长效机制。第四章内部控制第二十三条 根据国家法律、法规要求，结合管理需要，公 司建立全员、全面、全过程的，涵盖生产、经营和管理等各个领 域，突出重要业务、重点领域、关键环节和岗位的内部控制体系。11