黔源电力:贵州黔源电力股份有限公司内控合规风险管理实施办法（试行）

贵州黔源电力股份有限公司
内控合规风险管理实施办法（试行）
第一章总则
第一条为加强贵州黔源电力股份有限公司（以下简称公司）内部控制、合规管理、风险管理（以下简称内控合规风险管理），有效防范合规风险，发挥内部控制强基固本作用，提升合规经营水平，增强风险防控能力，保障公司持续健康发展，根据国务院国资委《关于全面推进法治央企建设的意见》《关于加强中央企业内控体系建设与监督工作的实施意见》《中央企业全面风险管理指引(试行)》《中央企业合规管理指引(试行)》、
财政部《企业内部控制基本规范》及其配套指引等相关规定、《贵州黔源电力股份有限公司章程》等规定，制定本实施细则。
第二条公司贯彻“管理制度化、制度流程化、流程信息化”的内部控制理念，建立健全以风险管理为导向，以合规管理为重点，严格、规范、全面、有效的内部控制体系，形成全面、全员、全过程、全体系的风险防控机制，实现“强内控、促合规、防风险”的管控目标，有力保障公司高质量发展。本实施细则中下列用语的含义是：
“内部控制”是指由公司董事会、经理层和全体员工实施
的、旨在实现控制目标的过程。
“合规管理“是指以有效防控合规风险为目的，以公司和—1—员工经营管理行为为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。
“风险管理”是指公司围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全风险管理体系，从而为实现风险管理的总体目标提供合理保证的过程和方法。
风险管理是内部控制的导向，内部控制的实质是控制风险，合规管理是内部控制得以有效实施的一项基础工作、是风险管理的一项重要活动。
第三条内控合规风险管理是企业治理体系和治理能力现
代化的重要组成部分，各项管理要求应嵌入融入业务活动、制度流程、信息管理系统等经营管理全过程。内控合规风险管理与其他职能管理相互协调、相互促进，为实现以下目标提供合理有效保障：
（一）保证公司经营管理合法合规；
（二）保障公司资产安全；
（三）保证公司财务报告及相关信息真实完整；
（四）确保公司建立针对各项重大风险发生后的应急预案，保护公司不因灾害性风险或人为失误而遭受重大损失；
（五）提高公司经营效率和效果；
（六）促进公司实现发展战略目标
—2—第四条公司内控合规风险管理应紧密联系实际，加强协同，统筹推进：
（一）坚持领导主抓与全员参与相结合。明确公司主要负
责人是加强内部控制第一责任人职责；建立全员责任制，把内部控制要求植入岗位职责，落实到岗位工作全过程。
（二）坚持全面管理与重点突出相结合。内部控制应覆盖
全业务领域、全业务过程、全组织层级和全体员工，贯穿决策、执行、监督全过程，突出重要领域、重点环节、重点人员及重点单位的管理。
（三）坚持分类管理与“三道防线”相结合。内部控制实
施分级分类管控，落实公司两级管控职责，根据不同类别的内控合规风险特点实施分类管理；筑牢由牵头管理部门、业务职
能部门和审计监督部门组成的内部控制“三道防线”，各司其职、协同联动。
（四）坚持成本与效益、控制与效率相统一。内部控制有
效兼顾成本与效益、控制与效率，以适当的成本和效率实现有效防控。
第五条本实施办法适用于公司本部及系统各单位。各单
位负责在公司统一的内控合规风险管理体系框架下，建立健全本单位内控合规风险管理体系，推进内控合规风险管理常态化运行。公司内控合规风险管理体系应与证券监管要求相适应，满足监管要求。
—3—第二章组织与职责
第六条公司管理机构与职责
（一）公司党委领导内控合规风险管理工作。
（二）公司董事会是内控合规风险管理的领导机构，主要
职责包括：
1．决定公司的内控合规风险管理体系；
2．批准公司内控合规风险管理基本制度；
3.审批公司年度风险评估报告和重大风险解决方案;
4.对公司内控合规风险管理体系的实施进行总体监控
和评价；
5.定期听取内控合规风险工作情况汇报；
6.决定其他与内控合规风险管理相关的重大事项。
公司董事会审计委员会负责监督指导内控管理工作，向董事会负责并报告工作，主要职责包括：
1．指导公司内控管理体系和相关制度建设；
2．听取内控工作情况汇报，并审议公司年度内控工作报告文件；
3．对内控管理体系的完整性和有效性进行评估和督导；
4．完成董事会授权或安排的其他事宜。
公司董事会战略发展委员会负责监督指导合规风险管理工作，向董事会负责并报告工作，主要职责包括：
—4—1．指导公司合规风险管理体系和相关制度建设；
2．听取合规风险工作情况汇报，并审议公司年度合规管理
报告、年度风险评估报告等文件；
3．审议公司风险管理总体目标、风险偏好、风险承受度以
及风险管理策略和重大风险解决方案；
4．对合规风险管理体系的完整性和有效性进行评估和督导；
5．完成董事会授权或安排的其他事宜。
（三）董事长是内控合规风险管理工作第一责任人，负责
组织领导建立健全覆盖各业务领域、部门、岗位，涵盖各级企业的内控合规风险管理体系。
（四）公司经理层负责内控合规风险管理体系的建设与运行。总经理办公会负责研究和审议内控合规风险管理重大事项，主要职责包括：
1．组织实施公司党委会会议、董事会会议关于内控合规风
险管理的决议；
2．组织推进内控合规风险管理体系的建设与运行；
3．批准重要的内控合规风险管理实施细则类制度；
4．组织推进内控合规风险管理信息化建设；
5．完成董事会授权的其他事项。
第七条公司本部部门职责
（一）公司证券法务部是内控合规风险管理工作牵头管理
部门(简称牵头管理部门)，财务资产部是风险管理部门，主要—5—职责包括：
1．贯彻落实公司关于内控合规风险管理的工作部署；
2．组织拟定并推进落实内控合规风险管理体系建设方案；
3．研究起草内控合规风险管理制度，组织编制内控合规风
险管理操作规范；
4．组织编制年度内控合规风险管理工作报告、年度内控合
规管理报告、年度风险评估报告等文件；
5．负责对风险监测指标进行整体监控和汇总分析，及时通
报有关情况或进行风险提示，督促落实风险应对预案；
6．组织开展风险评估和内控监督评价工作；
7．组织推进内控合规风险管理信息化建设；
8．开展内控合规风险管理文化宣贯和培训；
9.指导基层单位内控合规风险管理工作；
10.完成其他事项。
（二）公司业务职能部门按照“业务谁主管、内控合规风险管理谁负责”的原则，承担本部门业务领域内控合规风险管理的责任，同时指定一名工作人员作为内控合规风险管理联络员，负责组织协调本部门相关工作，主要职责包括：
1.制订完善本业务领域各项管理制度和业务管控流程，并
将内控体系管控要求嵌入制度流程和业务管理信息系统；并定期开展自评工作。
2.编制本业务领域的风险清单，组织开展相关风险评估、—6—隐患排查、合规审查，发布风险预警，制定且落实防控措施，并定期对风险工作进行总结。
3.按季将本业务领域内公司十大风险监测指标及应对措施
完成情况上报财务资产部。
4.受理公司证券法务部、审计监督部门移交或建议的事项，
督导相关单位改进并反馈整改落实情况；
5.完成其他事项。
（三）公司审计和监督部门负责审计监督和责任追究，主
要职责包括：
1.审计部负责内控合规风险管理审计监督工作，对公司系
统内控合规风险管理体系的健全性和有效性进行审计监督；
2.巡视办（监督部）依规对未履行或未正确履行内控合规
风险管理职责、造成资产损失或其他严重不良后果的情形，进行追责问责。
第八条成立公司风险管理委员会，承担内控合规风险管理
的组织领导和统筹协调工作，主要职责包括：
（一）统筹协调解决内控合规风险管理重大问题，研究决定内控合规风险管理重大事项或提出意见建议；
（二）推动完善内控合规风险管理体系；
（三）组织开展公司特别重大内控合规风险管理事项审查，并提出合规审查意见；
（四）审核公司内控合规风险管理制度和年度报告；
—7—（五）指导、监督、评价和考核内控合规风险管理工作。
第三章内控合规风险管理重点
第九条公司本部及各基层单位应根据内部环境，在全面
推进内控合规风险管理的基础上，突出重点领域、重点环节和重点人员，切实防范合规风险。
第十条加强对以下重点领域的合规管理：
（一）市场交易。完善交易管理制度，严格履行决策批准程序，建立健全自律诚信体系，突出反商业贿赂、反垄断、反不正当竞争，规范资产交易、物资采购、招投标等活动；
（二）安全环保。严格执行国家安全生产、环境保护法律法规，完善企业生产规范和安全环保制度，加强监督检查，及时发现并整改违规问题；
（三）质量管理。完善质量体系，加强过程控制，严把各环节质量关。加强大修、技改以及工程建设质量管理；
（四）劳动用工。严格遵守劳动法律法规，健全完善劳动
合同管理制度，规范劳动合同签订、履行、变更和解除，切实维护劳动者合法权益；
（五）财务税收。健全完善财务内部控制体系，严格执行
财务事项操作和审批流程，严守财经纪律，确保资金安全，强化依法纳税意识，严格遵守税收法律政策；
（六）知识产权。及时申请注册知识产权成果，规范实施
—8—许可和转让，加强对商业秘密和商标的保护，依法规范使用他人知识产权，防止侵权行为；
（七）商业伙伴。对重要商业伙伴开展合规调查，通过
签订合规协议、要求作出合规承诺等方式促进商业伙伴行为合规；
（八）其他需要重点关注的领域。
第十一条加强对以下重点环节的内控合规管理：
（一）制度制定环节。强化对规章制度、改革方案等重要
文件的合规审查，确保符合法律法规、监管规定等要求；
（二）经营决策环节。严格落实“三重一大”决策制度，细化各层级决策事项和权限，加强对决策事项的合规论证把关，保障决策依法合规；
（三）生产运营环节。严格执行内控合规制度，加强对重
点流程的监督检查，确保生产经营过程中照章办事、按章操作；
（四）其他需要重点关注的环节。
第十二条加强对以下重点人员的内控合规管理：
（一）管理人员。促进管理人员切实提高合规意识，带头
依法依规开展经营管理活动，认真履行承担的合规管理职责，强化考核与监督问责；
（二）重要风险岗位人员。根据合规风险评估情况明确界
定重要风险岗位，有针对性加大培训力度，使重要风险岗位人员熟悉并严格遵守业务涉及的各项规定，加强监督检查和违规—9—行为追责；
（三）其他需要重点关注的人员。
第十三条加强公司治理、控股股东行为、关联交易、内
幕信息知情人管理、同业竞争、募集资金使用、并购重组、内
部控制、财务基础和会计处理、独立性、信息披露等方面内控合规风险管理。
第四章内控合规风险管理运行
第十四条公司以风险管理为导向、以合规管理为重点的
内控体系建设情况，编制形成《内控合规管理手册》《合规行为准则》等，并定期对内控体系的有效性、合理性进行复审，根据管理要求变化及发现的缺陷不断优化完善。
第十五条公司加强制度建设。梳理分析风险内控体系执行情况，认真查找内控体系的短板弱项，不断完善内控制度体系。根据外部监管新规定以及公司新业务、新变化、新问题，及时做好相关制度留、立、废、改工作，明确重要业务领域和关键环节的内控要求、风险应对措施及违规经营投资责任追究规定。加大制度执行监督检查力度，强化责任追究，增强制度刚性约束。建立内控合规风险识别预警及应对机制，全面系统梳理经营管理活动中存在的合规风险，对风险发生的可能性、影响程度、潜在后果等进行系统分析，对于典型性、普遍性和可能产生较严重后果的风险及时发布预警。
—10—对于重大合规风险事件，公司战略发展委员会统筹指导；
公司合规风险管理负责人牵头，相关部门协同配合，最大限度化解风险、降低损失。
第十六条公司结合风险评估结果和风险监测情况，通过
预防性控制与发现性控制、手工控制与自动控制相结合的方法，执行相应的控制措施，针对重大风险所涉及的各管理及业务流程，实施涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，把关键环节作为控制点，执行相应控制措施，将风险控制在可承受范围之内。
第十七条建立健全内控合规风险审查机制，将内控合规风
险审查融入业务流程，规章制度制定、重大事项决策、重要合同签订、重大项目运营等经营管理行为必须纳入内控合规管理
事项审查清单，未经内控合规管理审查不得实施。
事项简单、合规风险不大的内控合规管理事项，按一般合规管理事项管理，由部门负责审核；对于复杂且存在重大合规风险的事项、需提交决策会议决策的事项，按重要合规管理事项管理，由业务部门、相关部门及合规管理牵头部门审核；对于特别复杂且存在特别重大合规风险的事项，按特别重要合规管理事项管理，须提请风险管理委员会进行审核。
第五章内控合规风险管理保障
第十八条加强全员合规培训，强化高风险业务重点岗位
—11—人员合规培训。培育和推广合规文化，践行依法合规、诚信经营的价值观，不断增强员工的合规意识和行为自觉。将合规作为经营理念和社会责任的重要内容，树立积极正面的合规形象。
第十九条根据公司董事会统筹安排，建立内控合规风险
管理信息系统，通过信息化手段记录和保存相关合规信息，实现信息集成与共享，推进对经营管理行为依法合规情况的实时在线监控。
第二十条加强合规考核评价，把内控合规风险管理情况
纳入对各部门和各单位的年度绩效考核。开展全员合规评价，建立员工合规档案，将评价结果作为员工考核、干部任用、评先选优等工作的重要依据。
第二十一条建立内控合规风险管理报告制度，发生较大
合规风险事件，合规管理牵头部门和相关部门应及时向合规管理负责人、分管领导报告。发生重大合规风险事件，应及时向公司报告。相关业务部门应对合规风险事件进行分级分类管理。
第二十二条各单位应于每年底全面总结内控合规风险管理情况，形成年度内控合规风险报告报送公司。
内控合规风险报告主要包括以下内容：
（一）内控合规风险管理各项工作开展情况，包括合规规
范识别、合规风险评估预警、合规隐患排查、合规制度建设、
合规培训、合规论证审查、商业伙伴合规管理以及合规考核评价等情况；
—12—（二）违规问题及其调查处理和整改情况；
（三）合规监督检查开展情况；
（四）合规管理中存在的问题及改进情况。
第六章信息应用与信息化建设
第二十三条公司相关部门在董事会专委会的指导下，组织
编制年度内控工作报告、年度合规管理报告、年度风险评估报告，履行董事会专委会审批程序。各基层单位按要求开展编制工作，并向公司报送本单位相关报告。
第二十四条公司本部及各单位应规范业务管理信息系统
的审批流程及各层级管理人员权限设置，将内控控制措施嵌入业务管理信息系统，确保自动识别并终止超越权限、逾越程序和审核材料不健全等行为，逐步实现各项经营管理决策和执行活动可控制、可追溯、可检查，有效减少人为违规操纵因素。
第二十五条公司本部及各单位统筹开展内控合规风险管
理信息化统一平台建设，有序推进内控合规风险管理信息化统一平台与ERP、办公自动化系统等信息系统的集成应用，逐步实现统一平台与业务信息系统互联互通、有机融合；积极探索利
用现代信息技术，逐步实现风险实时监测、自动预警以及内控监督评价等在线监管功能。
第二十六条在内控合规风险管理信息化统一平台运行后，公司本部及各单位依托统一平台，开展风险评估、风险监控预—13—警、风险事件管理、监督评价、问题缺陷整改、报告报表编报等工作。
第七章监督评价与改进
第二十七条公司建立健全内部控制监督评价机制，统筹
推进内控合规风险管理的监督评价工作，将内控合规风险管理体系建设及实施情况纳入内部控制监督评价范畴，制定定性与定量相结合的内控缺陷认定标准、合规评价标准和风险评估标准，规范监督评价方式、方法、内容、程序、整改落实和成果应用等事项。
第二十八条内部控制监督评价方式包括：公司年度自评、年度抽评、审计评价、审计监督：
（一）年度自评。每年以规范流程、消除盲区、有效运行为重点，对内控体系有效性进行全面自评。
（二）年度抽评。每年组织对所属单位内控体系有效性进
行抽查评价，确保每3年覆盖全部企业。
（三）审计评价。公司聘请具有相应资质的社会中介机构
按要求进行内控审计评价，出具内控审计报告。
（四）审计监督。审计监督部门对公司内控体系健全性和有效性开展审计监督。
第二十九条内部控制监督评价重点内容：
（一）内控合规风险管理体系建设情况，主要包括：组织
—14—职责体系建设情况，各项管理工作机制建立健全情况，制度建设情况，信息系统建设情况等；
（二）内控合规风险管理体系执行情况，主要包括：各项
管理工作机制和制度执行情况、信息系统操作和运行情况等；
（三）风险评估和应对化解效果，主要包括：风险评估的
完整性和针对性，风险和风险事件报告和应对化解的及时性和有效性等；
（四）经营管理关键业务、重点环节以及改革重点领域、境外投资等情况；
（五）内外部监督检查反映的重大及共性问题。
第三十条内部控制监督评价技术方法包括：个别访谈、专题讨论、调查问卷、穿行测试、控制测试、抽样、比较分析等方法。实施中应综合考虑选择多种评价方法，获取充分、相关、可靠的证据对内部控制设计和运行的有效性进行评价。
第三十一条内部控制监督评价程序一般包括制定评价工
作方案、组成评价工作组、组织评价培训、开展现场评价、认
定内控缺陷、交换评价意见、编报评价报告、制定整改方案、
评价资料归档、监督评价成果应用等环节。
公司根据需要可以聘请外部专业机构协助开展内部控制评价等工作。
第三十二条内部控制监督评价中发现的重大缺陷应由被
评价单位通过相关程序予以认定，并及时采取应对措施。
—15—第三十三条公司统筹开展内部控制监督评价和内部控制
审计监督工作，有效利用监事会（监事）、内部审计等的监督检查工作成果，以及外部审计检查、纪检监察、巡视巡察反馈问题情况，促进内控体系持续优化。
第三十四条公司加强内控缺陷、合规问题和风险隐患整改，立行立改、举一反三，建立问题台账，实行销号管理，开展整改工作“回头看”。对整改不力的印发提示函或通报，进一步落实整改责任。
第三十五条公司把内部控制审计监督评价结果作为改善
管理、防控风险、完善制度、强化考核和责任追究的重要依据，并将内控合规风险管理考评结果纳入年度绩效考核。
第三十六条公司强化责任追究，未履行或未正确履行内
控合规风险管理职责，造成资产损失或其他严重不良后果等情形的，依照公司《违规经营投资责任追究实施办法》及相关制度办法的规定，追究有关部门和人员责任。
第八章附则
第三十七条本实施办法由公司证券法务部负责解释。
第三十八条本办法自印发之日起施行。2014年12月9日印发的《贵州黔源电力股份有限公司风险控制管理制度》（黔源财制〔2014〕10号）、2019年11月19日印发的《贵州黔源电力股份有限公司合规管理办法（试行）》同时废止。
—16—附内控风险合规管理图内控风控合规三位一体流程图内部环内部环境境管理目标收集风险管理初始信息风险评估运行确定风险管理策略机制制定风险管理解决方案实施风险管理解决方案是否控制措施控制活动其他措施风险内控合规风险风险措施转移措施预警对冲等风险事件处置监督评价与改进信息应用保障机制信息化建设
—17—