1、地产股份有限公司风险控制管理制度第一章 总则第一条 为规范地产股份有限公司(以下简称“公司”)的风险管理,建立设计规范、运行有效的内部控制体系,健全内部控制机制,提高风险防范能力,满足证券监管机构的要求,保证公司安全稳健运行,提高经营管理水平,根据国家内部控制方面相关法律法规和上市地证券监管机构的规定,结合公司生产经营和管理实际,制定本制度。第二条 本制度适用于公司总部和所属全资、控股(及有实际控制权)公司(以下简称“所属企业”)。第二章 风险管理机构及职责分工第三条 公司审计委员会作为公司风险管理的决策机构,负责审定风险管理机构的设置及其职责,审定风险管理重大方针、政策和工作总体安排,审定风
2、险数据库和关键控制管理文件及其他相关重要文件。第四条 公司内控工作小组在公司审计委员会的领导下,负责公司风险管理日常工作。公司内控工作小组在风险、控制日常管理工作方面的主要职责: (一)制订和完善公司风险控制管理制度并监督实施。(二)制定风险评估的总体方案,确定风险评估方法及工具,确定风险评估的总体范围和方法。(三)组织开展公司风险评估工作,编制风险数据库,分析、确定风险数据库的完整性和准确性,组织新增业务的风险识别和风险数据库的更新。(四)确定控制记录方法及工具,指导和帮助业务管理部门进行控制设计,对公司相关部门和所属企业的控制设计进行有效性分析,提出改进意见。(五)确定公司关键控制,编制、
3、下发、更新公司关键控制管理文件。(六)收集控制特别是关键控制的实施情况,并结合情况反馈,对控制设计进行有效性分析。(七)对控制瑕疵和控制失效进行专项检查或专题分析,提出改进意见。(八)对违反风险管理制度及相关内部控制制度,导致管理失控、控制失败并给公司造成重大损失或不良影响的,依据公司相关规定,配合审计、监察部门提出处理意见。第五条 公司职能部门在风险、控制管理方面的主要职责:(一)公司职能部门按照公司内控部门制定的风险评估的总体方案,根据业务分工,配合内控工作小组识别、分析相关业务流程的风险,确定风险反应方案。(二)根据识别的风险和确定的风险反应方案,按照公司确定的控制设计方法和描述工具,设
4、计并记录相关控制,根据内控项目组的建议,修改、完善内部控制设计。包括:建立控制管理制度,按照规定的方法和工具描述业务流程,编制风险控制文档和程序文件等。(三)组织控制制度的实施,监督控制制度的实施情况,发现、收集、分析控制缺陷,提出控制缺陷改进意见并予以实施。对于重大缺陷和实质性漏洞,除向部门分管领导汇报情况外,还应向公司内控工作小组反馈情况,以便公司内控工作小组监控内部控制体系的运行情况。(四)配合风险控制部门对控制失效造成重大损失或不良影响的事件进行调查、处理。第六条 公司总部、所属企业的内控职能部门在风险、控制管理方面的主要职责,分别参照上述第四条、第五条的规定制定。第三章 风险的定义与
5、分类第七条 风险是指任何可能影响公司实现其目标的负面因素。第八条 按照公司目标的不同对风险进行分类。公司不同的目标决定了不同类别的风险,公司目标包括战略目标、经营目标、财务报告目标和合规性目标。与之相对应,公司风险分为:战略决策风险、经营决策风险、财务风险和违反法律法规风险。财务风险按其表现形式又分为:财务报告失真风险、资产安全受到威胁风险和舞弊风险。第九条 战略决策风险。没有制定或制定的战略决策不正确,影响战略目标实现的负面因素。第十条 经营决策风险。经营决策的不当,妨碍或影响经营目标实现的因素。如:不能适应市场的需求和变化导致市场份额丢失、没能以市场公允价格取得物资和服务等。第十一条 违反
6、法律法规风险。没有全面、认真执行国家法律、法规和政策规定以及上市地证券监管规定,影响合规性目标实现的因素。如:偷税、违反合同约定、逃汇套汇等。第十二条 财务风险。财务风险包括:财务报告失真风险、资产安全受到威胁风险和舞弊风险。(一)财务报告失真风险。没有完全按照相关会计准则、会计制度的规定组织会计核算和编制财务会计报告,没有按规定披露相关信息,导致财务会计报告和信息披露不完整、不准确、不及时。如:账实账表不符、资产和负债不真实、虚假利润等。(二)资产安全受到威胁风险。没有建立或实施相关资产管理制度,导致公司的资产如设备、存货、有价证券和其他资产的使用价值和变现能力的降低或消失。如:货币资金被挪
7、用、存货毁损被盗、未经授权的资产处置等。(三)舞弊风险。以故意的行为获得不公平或非正当的收益。如:编造伪造财务会计报告、伪造篡改报销单据贪污侵占公司资产等。第十三条 按照风险的层次不同,公司风险分为公司层面风险和业务层面风险。(一)公司层面的风险是属于公司层面整体关注的、影响公司全局和战略实现方面的风险,如:与控股股东的利益冲突风险、关联交易公平性风险等。(二)业务层面的风险是产生于各具体业务环节的风险。如:市场营销、技术研发等。第十四条 条按照风险的影响程度,风险分为一般风险和重要风险。第四章 风险评估第十五条 公司制定专门的风险评估方法和标准,明确风险评估的范围、风险评估的基本程序和方法。
8、公司按照该方法组织、实施公司层面和业务层面的风险评估,建立并更新维护风险数据库。第五章控制活动的定义与分类第十六条 控制活动是指为了规避风险,实现公司目标,确保管理层的指示得到贯彻执行而采取的行动。控制活动包括控制政策和控制程序两个方面。第十七条 控制活动的分类:(一)基于控制活动对应的公司目标不同,控制活动分为:战略目标控制活动、经营控制活动、财务报告控制活动和合规性控制活动。(二)基于控制活动的作用不同,控制活动分为:预防性控制和发现性控制。(三)基于控制活动的手段不同,控制活动分为:人工控制和自动控制。(四)按照控制活动的内容不同,控制活动分为:公司层面的控制和业务层面的控制。第六章 控
9、制设计的原则和控制方法第十八条 控制设计的原则(一)合法、合规性原则。公司控制设计应当符合国家的法律法规,符合企业实际,同时满足上市地法律监管要求。(二)规范、统一性原则。公司控制设计应当坚持规范、统一的原则。(三)适应性原则。公司控制设计应当随着经营管理实际情况的变化而不断修订和完善,使之更具可操作性,符合经营管理需要。(四)内部牵制原则。公司控制设计应当保证机构、岗位的合理设置及其职责权限的合理划分,坚持不相容职务相分离,确保不同机构和岗位之间权责分明、相互制约、相互监督。(五)成本效益原则。公司控制设计应遵循成本效益原则,尽量做到以合理的控制成本达到最佳的控制效益。第十九条 公司控制设计
10、时,要按照上述原则,通过相应的控制方法或多个控制方法的组合,达到控制设计有效的目标。公司控制体系中主要采用以下控制方法:(一)职责分工控制。按照不相容职务相分离的原则,设置合理的岗位,明确职责权限,形成相互制衡机制。(二)授权批准控制。各单位必须就相关业务建立明确的授权审批程序,在办理各项经济业务时,按规定的程序实施。(三)全面预算控制。全面预算控制涵盖经营活动全过程,包括筹资、采购、生产、销售、投资等各方面。通过预算的编制,检查、分析预算执行情况,提出改进措施,利用权、责、利的对等关系来实施控制。(四)资产安全控制。包括接近控制和定期盘点控制等。接近控制指严格限制无关人员对资产的接触,只有经
11、过授权的人员才能接触资产。定期盘点是指定期对实物资产进行盘点,并将盘点结果与会计记录进行比较,分析溢余和损耗的原因,确保账实相符。除此之外,定期与债务方进行债权核对和签认,确保债权真实安全。核对银行存款账,也属于资产安全控制的范畴。(五)信息系统控制。运用电子信息技术手段实施的系统控制,能够减少和消除人为操纵因素,确保控制的有效实施。(六)会计系统控制。运用会计专门方法,通过对经济业务事项进行确认、计量、记录、报告等程序而实施的控制。包括设置合理的会计核算程序、原始凭证的审核、记账凭证的审核、期末对账、期末结账、财务会计报告的编制与审核等。(七)管理层经营业绩分析评价。各单位定期将实际经营业绩
12、与预算、预测、前期经营业绩以及竞争对手的业绩情况进行对比、分析,对主要生产经营活动进行跟踪,以评价公司目标的实现程度和差距,查找管理缺陷。第七章 控制设计与记录第二十条 公司层面的控制设计。公司层面的控制包括以下主要内容:风险管理政策、人力资源管理政策、审计委员会、内部审计、董事会和高级管理层的监督、举报机制、信息技术环境和组织结构、财务会计报告、经营活动分析评价等。第二十一条 业务层面的控制设计。基于公司已经建立并实施了相对全面、系统的内部管理制度,现阶段业务层面的控制设计与描述可与风险评估工作相结合,并按下列程序进行:(一)根据风险评估过程中确定的重要业务流程,按照统一的格式和标准绘制业务
13、流程图。(二)根据确定的业务流程风险,结合控制现状,开展风险控制分析,编制风险控制文档(RCD),对现有控制措施进行整理。根据公司确定的关键控制点,确认公司的关键控制。(三)结合流程风险,按照控制设计原则,开展风险控制差异分析,查找控制缺陷,提出控制设计改进意见。(四)进一步改进、完善控制设计,修改相关管理制度。第二十二条 控制的记录。公司建立并实施统一的控制记录标准。各单位按照统一的标准和要求记录相关控制。(一)控制记录的范围主要包括:内部管理制度、业务流程图、风险控制文档(RCD)、程序文件等。(二)控制记录要求:标准统一,内容完整,结构清晰,层次分明,表述准确。第八章 关键控制的确认第二
14、十三条 关键控制的定义。公司确认的关键控制是在经营管理中,为了防范财务风险,实现财务控制目标而制定的最有影响力的一项或多项控制。如果缺少这些控制,将会在很大程度上产生财务报告错报、资产安全受到威胁和舞弊的风险。第二十四条 确认关键控制的目的。通过关键控制确认:一是突出控制重点,规范公司重要控制点的设计。二是可以为公司管理层测试内控体系的完整性和有效性提供统一的范围和标准。三是可以为外部审计师评估、测试公司内控体系完整性和有效性提供基础性资料。第二十五条 确认关键控制的原则和程序:按照统一性、规范性、可操作性的确认原则,在全面梳理相关业务流程控制措施的基础上,由内控项目组和相关业务管理部门,通过
15、重要风险的识别,逐项分析判断关键控制点,规范关键控制的控制内涵和实施证据,形成关键控制管理文件,经公司审计委员会审定后下发实施。第二十七条 公司确认的关键控制,既是达到控制目标的最低要求,也是业务流程的控制重点,各单位在控制设计中,除非有恰当的理由不得遗漏,在控制实施中必须严格执行。第九章 控制设计评价第二十八条 控制设计和描述完成后,业务管理部门和内控项目组应当对控制设计的有效性进行评价。评价主要关注以下方面:(一)控制设计是否符合本制度第十八条规定的设计原则。(二)控制是否与公司的业务流程及相关风险匹配。(三)控制的执行人员是否被要求具备相应的资质、足够的知识和经验。(四)控制的实施是否会
16、有必要的控制证据,以供内、外部审计师查验。(五)关键控制点是否符合公司的关键控制管理文件的规定。控制是否满足完整性、准确性、有效性和接触性等四个控制目标。其中:1、完整性:生产经营管理和财务信息的采集、记录和处理,达到了完整、无遗漏、不重复的目标。2、准确性:所有信息和数据都被准确地计算、归集、记录和反映。3、有效性:所有的生产经营管理活动都经过适当的授权和批准,并按规定保存有效的原始文件。4、接触性:指只能由得到特别授权的人,才能在相关岗位上实施控制。主要体现在对重要信息的收集和处理、对特殊资产的保管和处置。 第十章 控制实施与监督第二十九条 控制由相关业务管理部门按照职责分工和权限负责实施
17、。内控工作小组、风险控制部门等按照各自的权限对控制的实施情况进行跟踪、检查和监督。第三十条 业务管理部门在实际工作中实施控制时,要认真遵守控制文件规定的控制政策和控制程序,保留控制实施证据,确保控制得到全面、准确、有效实施。第三十一条 风险控制部门对控制实施的监督与评价。风险控制部门通过定期开展公司内部控制体系的健全性和有效性的测试、评价,对控制实施情况进行评估和监督。第三十二条 监察部门对控制实施的监督。内部控制体系作为公司内部管理体系的一部分,监察部门负责对控制失效造成重大损失和不良后果的事件进行调查、处理,依据公司内部相关制度规定追究有关人员的责任。触犯刑法的,依法追究有关人员的刑事责任。第十一章 控制的完善与改进第三十三条 控制的完善与改进是一个长期的、循环的过程,包括控制设计和控制实施两个方面。通过这一过程不断强化控制,防范企业风险。下列情况的发生,应当对控制进行完善和改进:(一)经营管理环境发生变化,相关控制不能防范其风险。(二)国家法律法规的颁布和修订,需增加或修订相关控制。(三)内部审计或外部审计对内控体系测试、评价发现的控制瑕疵或控制无效。(四)经营管理过程中因控制无效发生重大损失或造成不良影响。第十二章 附则第三十四条 本制度由公司董事会制定,其修改权、解释权归董事会所有。第三十五条 本制度自公司董事会审议批准并正式颁布之日起生效。