金自天正:北京金自天正智能控制股份有限公司全面风险与内部控制管理实施办法

北京金自天正智能控制股份有限公司
全面风险与内部控制管理实施办法
第一章总则
第一条为建立和健全北京金自天正智能控制股份有限公司（以下简称“公司”）全面
风险与内部控制（以下简称“风控”）管理体系，提高合规经营水平和风险防范能力，促进公司实现高质量发展，根据财政部等五部委印发的《企业内部控制基本规范》及其配套指引、国资委《中央企业全面风险管理指引》等法律法规，结合公司实际情况，制定本办法。
第二条定义
1.本办法所称全面风险管理，是指围绕总体战略目标，建立健全全面风险管理体系，执
行风险管理基本流程，培育良好风险管理文化，从而为实现风险管理的总体目标提供合理保证的过程和方法。
2.本办法所称内部控制，是指由公司实施的、旨在合理保证实现控制目标的过程。内部
控制包括内部环境、风险评估、控制活动、信息与沟通、内部监督五项基本要素。本办法所称授权，是指公司董事会在一定条件和范围内将法律法规、《公司章程》所赋予其职权中的部分事项委托其他主体代为行使的行为。本办法所称行权，是指授权对象按照公司董事会要求依法代理行使被委托职权的行为。
第三条公司开展风控管理，要实现以下目标：
（一）确保将风险控制在与公司战略目标相适应并可承受的范围内；
（二）确保内外部实现真实、可靠的信息沟通，包括编制和提供真实完整的财务报告及相关信息；
（三）确保经营管理合法合规，实现资产安全；
（四）确保公司有关规章制度和为实现战略目标而采取重大措施的贯彻执行，保障经营
管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；
（五）确保公司建立针对各项重大风险发生后的危机处理机制，保护公司不因灾害性风险或人为失误而遭受重大损失。
第四条建立和实施风控管理，遵循以下原则。
（一）全面性原则：全员参与、全流程覆盖，涵盖公司所有业务和事项，贯穿决策、执
行、监督、反馈全过程。（二）系统性原则：统筹考虑内外部风险因素间的相关性及相互影响，树立风险组合观，从全局出发系统管理风险。
（三）重要性原则：在全面控制的基础上，重点关注核心业务和高风险领域，防范关口前移，加强风险事前防范和过程管控。
（四）适应性原则：与公司经营规模、发展阶段、业务范围、竞争状况等相适应，充分
衡量实施成本与减低损失、预期效益间的关系，立足实际，选择适当风险管理策略和有效成本控制。
（五）制衡性原则：合理规划治理结构、机构设置、权责分配及业务流程，相互制约、相互监督，同时兼顾运营效率。
第五条本办法适用于北京金自天正智能控制股份有限公司总部、子公司及分公司。
第二章风控管理组织体系
第六条公司风控管理组织体系包括：公司党总支、董事会、董事会审计委员会、风控
管理办公室、风控管理责任主体。
第七条风控管理职责
（一）公司党总支
公司党总支是公司风控管理的前置审议机构。主要职责包括：
1.监督、指导风险管理体系和内部控制体系的建设，参与风险管理重大策略和重大风险
解决方案的前置研究；
2.参与风控管理组织机构设置及职责方案的讨论并发表意见；
3.参与风险管理和内部控制的基本制度的起草；
5.参与重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制的研究；
6.督导培育风控管理文化；
7.参与有关风控管理的其他重大事项。
（二）董事会
公司董事会是公司风控管理的决策机构，负责公司风险管理体系和内部控制体系的建立健全和有效实施，主要职责包括：
1.决定风险管理体系和内部控制体系的建设，批准风险管理重大策略和重大风险解决方案；
2.批准风控管理组织机构设置及职责方案；3.批准风险管理和内部控制的基本制度；
4.批准年度风险评估报告、年度内控体系工作报告、重大决策的风险评估报告等重要工
作报告；
5.对风险管理和内部控制及其有效性进行总体监控和评价；
6.督导培育风控管理文化；
7.决定有关风控管理的其他重大事项。
（三）风控管理办公室公司风控管理办公室成员
主任：总经理
副主任：风控主管高管
成员：职能部门负责人
主要职责包括：
1.建立适应风控管理的管理架构，明确各部门在风控管理中的职责分工，建立部门之间
相互协调、有效制衡的运行机制；
2.研究提出风控管理的制度、流程、标准等，推动风控管理工作的规范运行；
3.审议并批准年度风控管理工作计划和具体项目实施方案；
4.组织开展年度重大风险评估、制定应对措施、重大经营事项决策前专项风险评估；
5.组织开展流程测试或风险辨识，查找制度缺失或流程缺陷，评价内部控制设计及执行
的有效性；
6.提交年度风险评估报告、年度内控体系工作报告、重大决策的风险评估报告等重要工
作报告；
7.指导、监督、检查各风控管理责任主体风控管理工作，督促对内控缺陷或重大风险事
件的整改落实；
8.组织、协调风控管理过程中的重大事项；
9.风控决策机构交办的有关风控管理的其他事项。
公司综合管理部是负责风控管理的牵头部门，承担风控管理办公室的日常组织与协调以及重大事项管理工作。
公司各职能部门对本部门主管职能所涉及的业务领域，履行风控管理责任主体职责，拟订流程与制度、细化执行标准、管控监督分管业务领域日常的风控管理工作。
（四）、风控管理责任主体公司各单位、分公司、子公司是风控管理工作的责任主体，要按照公司风控管理体系的要求，实施业务领域所涉及的日常风控管理工作。
第三章风控管理模式
第八条公司风控管理采取“集中、分层、分类”的管理模式，强化顶层设计和控制执行，搭建信息化平台，聚焦重点领域和关键措施，强化监督评价，不断夯实基础、持续优化完善。
（一）集中管理。公司统一领导风控管理体系工作，在公司战略引领下，制定和实施风
控管理规划，统一制定和维护风控管理制度和标准，统一组织下一年度重大风险评估和上一年度内部控制评价工作等。
（二）分层管理。各层级的组织都要按照上级组织的要求，开展本层级的风控管理体系建设工作；各级风控管理牵头部门负责组织本层级的风控管理体系的实施和维护工作。
（三）分类管理。公司总部职能管理部门根据工作职责，对风控管理的执行标准与管控
内容实行分类管理，负责职能范围内流程制度的设计、细化标准的维护、控制措施的执行、缺陷整改的落实工作等；风控管理责任主体参照公司总部分类管理方式，结合本单位的具体业务和管理工作，建立与公司总部主责部门的对应关系，落实相关工作，接受指导与监督。
第九条公司风控管理聚焦重点领域、关键业务、改革重点、运营重要环节以及境外国
有资产监管，提高对经营环境变化、发展趋势的预判能力，不断深化风控管理与各项业务工作的有机结合，持续优化采购、销售、投资管理、资金管理和工程项目、产权（资产）交易流转等业务领域各岗位的职责权限和审批程序。
第十条公司根据战略要求和业务实际分步实施风控管理信息化建设，推进企业“三重一大”、投资和项目管理、财务和资产、物资采购、人力资源等集团管控信息系统的集成应用，逐步实现风控体系与业务信息系统互联互通、有机融合，利用数字化技术，实现实时监测、自动预警、监督评价等在线监管功能，进一步提升集团管控的信息化和智能化水平。
第十一条公司总部对各单位、分公司、子公司风控管理实施监督评价工作，在全面自
评的基础上，组织对各单位、分公司、子公司风控管理进行监督评价，确保每3年全面覆盖各单位、分公司、子公司。根据监督评价工作结果，结合业务实际，充分发挥外部审计的专业性和独立性，委托外部审计机构对部分子企业风控体系有效性开展专项审计。
第十二条公司风控管理体系建立严格的报告机制，分为定期报告和不定期报告。定期
报告包括：年度重大风险评估报告、年度内控体系工作报告等工作报告。不定期报告包括：重大决策的风险评估报告、重大（重要）风险事件和重大（重要）内控缺陷报告等专门事项报告。发生突发重大经营风险事件要第一时间报告至公司、风控管理部门，相关情况由公司书面报告上级主管单位。
第十三条公司将各风控管理责任主体的风控管理工作纳入绩效考核体系，定期对各风
控管理责任主体的风控管理工作实施情况和有效性进行评价，提出调整或改进建议。
第四章风控管理内容与流程
第十四条公司各风控管理责任主体要将全面风险管理和内部控制有机结合、辩证统一，通过风险评估促进内控优化、确保控制活动的方向性与针对性，通过优化流程和制度、实施控制活动有效防范风险。
第一节全面风险管理内容与流程
第十五条全面风险管理内容与流程包括：收集风险管理初始信息，进行风险评估，制
定风险管理策略，提出和实施风险管理解决方案，风险管理的监督与改进。
第十六条风险信息收集。公司各风控管理责任主体要广泛收集涉及战略风险、财务风
险、市场风险、运营风险、法律风险的相关内外部风险初始信息，包括历史数据、环境政策和未来预测等。根据战略规划，明确风险信息收集的内容、范围、方法，完善风险信息收集渠道。风控管理办公室要对各风险管理责任主体报送的风险信息进行筛选、提炼、对比、分类、组合，以便进行风险评估。
第十七条风险评估。公司对风险管理初始信息和业务管理流程进行风险评估，包括：
风险辨识、风险分析和风险评价。风险辨识是对各管理流程和各项重要经营活动中存在的影响战略目标和年度经营目标实现的风险因素进行识别，确定风险的来源、主要影响因素、风险表现形式等。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对公司战略规划和年度目标的影响程度、风险的价值等。
（一）各风控管理责任主体辨识风险包括外部风险和内部风险。外部风险要关注下列因
素：经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素；法律法规、监管要
求等法律因素；安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；技术
进步、工艺改进等科学技术因素；自然灾害、环境状况等自然环境因素；其他有关外部风险因素。内部风险要关注下列因素：董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素；组织机构、经营方式、资产管理、业务流程等管理因素；研究开发、技术投入、信息技术运用等自主创新因素；财务状况、经营成果、现金流量等财务因素；营运安全、员工健康、环境保护等安全环保因素；其他有关内部风险因素。
（二）风险评估分为日常风险评估和年度风险评估。日常风险评估由各风控管理责任主
体自行组织，年度风险评估由公司风控管理办公室统一组织。
（三）风险评估的方法包括定性与定量方法。定性方法可采用问卷调查、集体讨论、专
家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论（如集中趋势法）、计算机模拟（如蒙特卡罗分析法）、失效模式与影响分析、事件树分析等。
（四）风险评估结果按照发生可能性与影响程度分为重大风险、重要风险和一般风险。
各风控管理责任主体结合本单位实际情况制定本单位风险评估标准，风险评估标准应按规定程序进行审批。
（五）公司总部及各风控管理责任主体可自行组织开展风险评估，也可聘请有资质、信
誉好、风险管理专业能力强的中介机构协助实施风险评估。
第十八条风险管理策略是指根据风险评估结果，结合风险偏好和风险承受度，权衡风
险与收益，确定风险应对策略，制定合理的风险管理解决方案，防范风险发生的过程。风险管理策略包括：风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿和风险控制等。
第十九条风险管理解决方案是根据风险管理策略，针对各类风险或重大风险所采取的
具体的、可操作的控制措施和方案，包括完善制度、流程，调整部门和岗位职责，完善授权体系，专项应对方案等，通过内部控制的控制活动（具体参见第二十六条）加以贯彻执行。
第二十条各风控管理责任主体要把握风险与收益的平衡，选择合适的风险管理策略，制定风险管理解决方案。针对一般风险，可通过现有流程和制度有效控制，不需要增加其他管理措施，但风险事件发生后应及时进行分析总结，并将分析结果报风控管理部门备案；针对重要风险，应对现有流程和制度进行评估，查找差距与不足，补充完善控制措施，必要时增加其他管理措施，包括加大资源投入，细化控制措施，设定预警指标和开展风险监控与预警等。
第二十一条公司建立突发重大风险事件应急处理机制。各风控管理责任主体要对可能
发生的重大风险和突发事件，制定应急预案，明确责任部门和人员，规范处理程序，开展必要的演练和培训，确保重大风险和突发事件得到及时妥善处理。第二十二条各风控管理责任主体要定期总结和分析已制定的风险管理策略及风险应对措施的有效性和合理性，结合实际不断修订和完善，包括对重大风险和突发事件应急预案完善。
第二节内部控制管理内容与流程
第二十三条内部控制体系框架。公司各风控管理责任主体要建立与实施有效的内部控制，包括以下要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。
第二十四条内部环境是实施内部控制的基础，指组织文化以及其他影响员工风险意识
的综合因素，涵盖治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
第二十五条风险评估是各风控管理责任主体及时识别、系统分析经营活动中与战略目
标相关的风险，合理确定风险应对策略。（具体参见第十八条）
第二十六条控制活动是根据风险评估结果，为确保风险管理策略有效执行，通过手工
控制与自动控制、预防性控制与发现控制相结合的方法，制定的流程、制度和控制措施，将风险控制在可接受的程度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
（一）不相容职务分离控制要求各风控管理责任主体全面系统分析、梳理业务流程中涉
及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。
（二）授权审批控制要求公司各层级根据常规授权和特别授权的规定，明确各岗位办理
业务和事项的权限范围、审批程序和相应责任。常规授权是日常经营管理活动中按照既定的职责和程序进行的授权；特别授权是在特殊情况、特定条件下进行的授权。各级管理人员要在授权范围内行使职权和承担责任。对于重大的业务和事项，要实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。
（三）会计系统控制要求各风控管理责任主体严格执行国家、集团统一的会计准则与制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。依法设置会计机构，配备会计从业人员；从事会计从业人员必须进行会计继续教育与培训；财务总监要具备注册会计师等职业资格，或者高级会计师等类似专业技术职称。
（四）财产保护控制要求各风控管理责任主体建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。严格限制未经授权的人员接触和处置财产。
（五）预算控制要求各风控管理责任主体实施全面预算管理制度，明确预算工作职责，规范预算的编制、审定、下达和执行程序，强化预算约束。（六）运营分析控制要求各风控管理责任主体建立运营情况分析制度，经理层要综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。
（七）绩效考评控制要求各风控管理责任主体建立和实施考评制度，科学设置考核指标体系，对各责任单位和全体员工的业绩进行定期考核和客观评价，将考核结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
第二十七条信息与沟通是指及时、准确、完整地收集、整理、传递与内部控制相关的
信息并适时向使用者提供的过程，确保信息在企业内部、企业与外部之间进行有效传递。各风控管理责任主体要加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存
与保管、网络安全等方面的控制，保证信息系统安全稳定运行。
第二十八条内部监督。内部监督是对内部控制建立与实施情况进行监督检查，评价内
部控制的有效性，发现内部控制缺陷并及时改进，改善内部控制体系。
（一）内部监督分为日常监督和专项监督。日常监督是指对建立健全内部控制的情况进
行常规、持续的监督检查，包括但不限于年度内部控制自评价、公司总部监督评价、内部控制审计等，专项监督是指发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。
（二）各风控管理责任主体要建立内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，分析缺陷的性质和产生的原因，提出整改方案，定期向董事会、监事会报告。内部控制缺陷包括设计缺陷和运行缺陷。根据内部控制缺陷的影响程度分为重大缺陷、重要缺陷和一般缺陷。
（三）各级风控管理部门跟踪内部控制缺陷整改情况，就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。
（四）各风控管理责任主体要定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制评价工作可以委托中介机构实施，但提供内部控制建设咨询的中介机构，不得同时提供内部控制评价服务。
第五章风控管理文化
第二十九条各风控管理责任主体要建立具有风险合规意识的企业文化，促进企业风险
管理水平、员工风险管理素质的提升，保障公司风控管理目标的实现。第三十条风控管理文化要融入企业文化建设全过程。培育和塑造良好的风控管理文化，树立正确的风控管理理念，增强员工风控管理意识，将其转化为员工的共同认识和自觉行动，促进建立系统、规范、高效的风控管理机制。
第三十一条全体员工尤其是各级管理人员和业务操作人员要牢固树立风险无处不在、风险无时不在、严格防控纯粹风险、审慎处理机会风险、岗位风险管理责任重大等意识和理念。
第三十二条风控管理部门要通过多种形式广泛、深入、持续的宣扬风控管理理念，进
行风控管理知识和技能培训，总结剖析风控管理案例，不断提高全体员工的风控管理技能。
第六章奖惩
第三十三条对在风控管理工作中做出突出贡献的单位或个人，按照公司有关考评制度予以表彰和奖励。
第三十四条对因违规决策、管理失职、行为失当、内控缺失、有令不行等原因致使企业出现重大风险、重大缺陷、危机事件并造成损失或产生严重不良影响的，按照《违规经营投资责任追究实施暂行办法》追究相关人员责任。
第三十五条在风控管理中涉嫌违纪的，移交纪检及上级纪委部门处理；违反国家法律
法规构成犯罪的，移交司法机关依法处理。
第七章附则
第三十六条本办法由公司董事会负责解释，自董事会表决通过之日起生效。
北京金自天正智能控制股份有限公司
2022年8月18日