ST实华:29.内部控制与风险管理规定

茂名石化实华股份有限公司
内部控制与风险管理规定
（2023年修订）
（2023年8月21日第十二届董事会第二次会议审议通过）
第一章总则第一条为规范和加强茂名石化实华股份有限公司（以下简称“公司”）内部控制，提高公司经营管理水平和风险防范能力，促进公司可持续发展，维护社会公众权益，保护投资者的合法权益，根据《中华人民共和国公司法》、《企业内部控制基本规范》及其配套指引、《深圳证券交易所上市公司自律监管指引第1号---主板上市公司规范运作》、《茂名石化实华股份有限公司章程》（以下简称“《公司章程》”）
等相关规定，制定本规定。
第二条本规定适用于公司、全资子公司和控股子公司。
第三条本规定所称内部控制，是指由公司董事会、监
事会、经营层以及全体员工实施的、旨在实现控制目标的过程。
内部控制的目标是合理保证公司经营管理合法合规、资
产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进公司实现发展战略。
第四条职责范围(一)董事会及审计委员会
1、董事会负责内部控制的建立健全和有效实施。
2、审计委员会负责审查公司内部控制，监督内部控制
的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。
(二)监事会监事会对董事会建立与实施内部控制进行监督
(三)经营层
经营层负责组织公司内部控制的日常运行和有效性检查，对董事会负责。
(四)内部控制工作办公室
公司为加强内部控制管理，成立内部控制工作办公室，作为公司内部控制的归口管理职能部门。主要职责：
1.负责组织推进公司内部控制体系建设与持续完善工作。
2.负责牵头组织公司层面内部控制制度的制订、完善与实施工作。
3.负责组织公司内部控制制度宣贯培训，指导、监督各单
位/部门内部控制制度的内部培训落实情况。
4.负责组织开展公司内部控制年度评价和专项评价等评
价监督检查工作。
5.负责跟踪监督公司内部控制缺陷整改方案的制订与落实工作。6.负责拟订内部控制考核方案，组织实施公司内部控制考核工作。
7.负责配合外部机构对公司内部控制的监督检查工作。
8.负责公司内部控制档案保管工作。
9.公司安排的其他内部控制工作。
(五)审计部
审计部是对公司内部控制有效性实施审计监督的部门，按照内部审计职能，对公司及各机构的内部控制有效性进行审计监督检查。
（五）公司各部室、全资子公司和控股子公司
公司各部室、全资子公司和控股子公司是实施本机构内部
控制管理、保持内部控制有效性的主体责任机构。
1.负责宣传、贯彻落实公司的内部控制制度。
2.负责制订与完善本机构的内部控制制度。
3.负责宣贯、组织落实本机构的内部控制要求。
4.负责对本机构内部控制执行情况开展检查监督。
5.负责做好内部控制检查评价、外部审计的迎检配合工作。
6.负责制订本机构的内部控制缺陷整改方案，并组织落实缺陷整改工作。
7.负责协助开展本机构的内部控制考核评价工作。
8.负责本机构的内部控制档案保管工作。
9.公司安排的其他内部控制工作。第二章内部环境
第五条公司须根据国家有关法律法规和《公司章程》，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。
第六条内部控制工作办公室应根据职责权限，组织建
立健全公司内部控制体系，对公司各部室、全资子公司和控股子公司实施内部控制目标管理和运营监控，保持公司内部控制有效性。
公司应通过编制内部控制手册和常规授权指引，使公司员工熟知内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。
第七条内部审计部门应结合内部审计监督，对内部控制的有效性进行监督检查。内部审计部门对监督检查中发现的内部控制缺陷，应按照公司内部审计工作程序进行报告；
对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。
第八条公司应将职业道德修养和专业胜任能力作为选
拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。
第九条公司应加强文化建设，培育积极向上的价值观
和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理观念，强化风险意识。董事、监事、总经理及其他高级管理人员应在公司文化建设中发挥主导作用。公司员工应遵守员工行为守则，认真履行岗位职责。
第十条公司应加强法治教育，增强董事、监事、总经
理及其他高级管理人员和员工的法治观念，严格依法决策、依法经营、依法监督，建立健全合规管理体系。
第三章风险评估
第十一条公司应根据设定的控制目标，全面系统地收
集相关信息，结合公司业务实际情况，通过经营分析会、安全环保等专项检查，及时识别公司业务面临的各项风险因素。
公司相关职能部门根据监管部门或公司要求，开展专项风险评估工作，形成专项风险报告及建议措施，报告公司领导，防范、化解相关领域的专项风险。
第十二条公司开展风险评估，应准确识别与实现控制
目标相关的内部风险和外部风险，确定相应的风险承受度。
风险承受度是公司能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。
第十三条公司识别内部风险，应关注下列因素：
（一）董事、监事、总经理及其他高级管理人员的职业
操守、员工专业胜任能力等人力资源因素。
（二）组织机构、经营方式、资产管理、业务流程等管理因素。（三）研究开发、技术投入、信息技术运用等自主创新因素。
（四）财务状况、经营成果、现金流量等财务因素。
（五）环境保护、安全生产、职业健康等因素。
（六）其他有关内部风险因素。
第十四条公司识别外部风险，应关注下列因素：
（一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。
（二）法律法规、监管要求等法律因素。
（三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
（四）技术进步、工艺改进等科学技术因素。
（五）自然灾害、环境状况等自然环境因素。
（六）其他有关外部风险因素。
第十五条公司应采用定性与定量相结合的方法，按照
风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。
公司进行风险分析，必要时聘请专业机构、专业人员，确保风险分析结果的准确性。
第十六条公司应根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。
公司应合理分析、准确掌握董事、总经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给公司经营带来重大损失。
第十七条公司应综合运用风险规避、风险降低、风险
分担和风险承受等风险应对策略，实现对风险的有效控制。
第十八条公司应结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。
第四章控制活动
第十九条公司应结合风险评估结果，通过手工控制与
自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。
控制措施一般包括：不相容职务分离控制、授权审批控
制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
第二十条不相容职务分离控制要求公司全面系统地分
析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。
第二十一条授权审批控制要求公司根据常规授权和特
别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
公司应编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权是指公司在日常经营管理活动中按照既定的职责和程序进行的授权。
特别授权是指公司在特殊情况、特定条件下进行的授权。
公司各级管理人员应在授权范围内行使职权和承担责任。
第二十二条会计系统控制要求公司严格执行国家统一的
会计准则、制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。
公司依法设置会计机构，配备会计从业人员。会计人员应具备从事会计工作所需要的专业能力。会计机构负责人原则上应具备会计师以上专业技术职称或注册会计师资格。
第二十三条财产保护控制要求公司建立财产日常管理
制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。公司严格限制未经授权的人员接触和处置财产。
第二十四条预算控制要求公司实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。
第二十五条运营分析控制要求公司应综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，开展月度、季度、年度运营情况分析，发现存在的问题，及时查明原因并加以改进。
第二十六条绩效考评控制要求公司建立和实施绩效考评制度，科学设置考核指标体系，对公司内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
第二十七条公司应逐步建立重大风险预警机制和突发
事件应急处理机制、明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。
第五章专项风险的内部控制
第二十八条公司应对全资子公司和控股子公司实行管理控制，主要包括：
（一）依法建立对全资子公司和控股子公司的控制架构，确定全资子公司和控股子公司章程的主要条款，选任董事、监事、总经理及财务负责人。
（二）根据公司的战略规划，协调全资子公司和控股子公
司的经营策略和风险管理策略，督促全资子公司和控股子公司据以制定相关业务经营计划和风险管理程序。
（三）全资子公司和控股子公司的业绩考核与激励约束制度。
（四）母子公司关联交易等方面的政策及程序。
（五）全资子公司和控股子公司重大事项的内部报告制度。
重大事项包括但不限于发展计划及预算、重大投资、收购出
售资产、提供财务资助、为他人提供担保、签订重大合同等的管理。
（六）定期取得全资子公司和控股子公司财务报告，并
根据相关规定，委托会计师事务所审计全资子公司和控股子公司的财务报告。
（七）公司认为需要管控的其他事项。
第二十九条公司应对全资子公司和控股子公司内部控制制度的实施及其检查监督工作进行评价。
第三十条公司对外担保应遵循合法合规、互利、安全的原则，执行公司对外担保管理制度，严格控制担保风险。
公司应调查被担保人的经营和信誉情况。
第三十一条公司募集资金使用的内部控制应遵循规范、安全、高效、透明的原则，遵守承诺，注重使用效益，执行公司募集资金使用管理制度。
第三十二条公司重大投资的内部控制应遵循合法、审
慎、安全、有效的原则，控制投资风险、注重投资效益，执行公司投资管理办法。
投资管理部门负责对重大投资项目的可行性、投资风险、
投资回报等事宜进行专门研究和评估，监督重大投资项目的执行进展，如发现投资项目出现异常情况，应及时向公司报告。
第三十三条公司董事会应定期了解重大投资项目的执
行进展和投资效益情况，关注未按计划投资、未能实现项目预期收益、投资发生损失等情况。
第三十四条公司应建立委托理财管理制度，选择资信
状况、财务状况良好，无不良诚信记录及盈利能力强的合格专业理财机构作为受托方，并与受托方签订书面合同，明确委托理财的金额、期间、投资品种、双方的权利义务及法律责任等。
第三十五条公司应建立信息披露管理制度和重大信息
内部报告制度，明确重大信息的范围和内容，指定专人为公司对外发布信息的主要联系人。对外发布信息的联系人需了解重大事项的情况和进展时，相关部门（包括全资子公司和控股子公司）及人员应予以积极配合和协助，及时、准确、完整地进行回复，并根据要求提供相关资料。
第三十六条公司应按照有关规定，规范公司对外接待
等投资者关系活动，确保信息披露的公平性。
第三十七条公司应建立内幕信息及知情人保密管理制度。因工作关系了解到相关信息的人员，在该信息尚未公开之前，负有保密义务。如信息不能保密或已经泄漏，应采取及时向监管部门报告和对外披露的措施。
第三十八条公司关联交易的内部控制应遵循诚实信用、平等、自愿、公平、公开、公允的原则，不得损害公司和股东的权益。公司应建立关联交易管理制度，明确公司股东大会、董事会、经营层对关联交易事项的审批权限，规定关联交易事项的审批程序和回避表决要求。
第六章信息与沟通
第三十九条公司应建立信息与沟通制度，明确内部控
制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。
第四十条公司应将内部控制相关信息在公司内部各管
理级次、责任单位、业务环节之间，以及公司与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之
间进行沟通和反馈。信息沟通过程中发现的问题，应及时报告并加以解决。重要信息应及时传递给董事会、监事会和经营层。
第四十一条公司应利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。公司应加强对信息系统开发与维护、访问与变更、数据输入与输出、文
件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。
第四十二条公司应建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和相关部门在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。
第四十三条公司应建立举报投诉和举报人保护机制，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为公司有效掌握信息的重要途径。
第七章内部控制的检查监督和披露
第四十四条公司内部控制工作办公室应对内部控制制度的落实情况进行定期和不定期的检查。通过内部控制制度的检查监督，发现内部控制制度是否存在缺陷以及实施中是否存在问题，并及时予以改进，确保内部控制制度的有效实施。
第四十五条内部控制工作办公室应结合自身实际情况，制定年度内部控制检查监督计划，按照《企业内部控制评价指引》的相关要求和程序，开展内部控制检查评价工作，并作为评价内部控制运行情况的依据。
第四十六条内部控制工作办公室应制定公司内部控制年度自我评价方案。年度内部控制评价实施方案经分管领导审核、总经理审批。
第四十七条公司董事会、审计委员会对内部控制检查
监督工作进行指导，并审阅检查审计部提交的年度内部控制检查监督工作报告。
第四十八条检查监督过程中发现的内部控制缺陷及实
施中存在的问题，将列为各部门绩效考核的重要项目。
对已发现的重大缺陷，追究相关单位或者责任人的责任。
内部控制检查监督的工作资料保存时间不少于三十年。
第四十九条内部控制工作办公室应结合内部监督情况及相关信息评价公司内部控制的建立和实施情况，形成年度
内部控制自我评价报告，提交分管领导、总经理审核，总经理办公会、审计委员会审议，董事会审批。公司董事会依据有关监管部门的要求，在审议年度财务报告等事项的同时，对内部控制评价报告形成决议，同年度报告一并对外披露。
第五十条会计师事务所在对公司进行年度审计时，应就公司财务报告内部控制情况出具评价意见。
第五十一条如会计师事务所对公司内部控制有效性出具非标准审计报告或指出公司非财务报告内部控制存在重
大缺陷的，公司董事会、监事会应当针对所涉及事项作出专项说明，专项说明至少应当包括下列内容：
（一）所涉及事项的基本情况；
（二）该事项对公司内部控制有效性的影响程度；
（三）公司董事会、监事会对该事项的意见；
（四）消除该事项及其影响的具体措施。
第五十二条公司应当在年度报告披露的同时，在中国证监会指定网站上披露内部控制自我评价报告和内部控制
审计报告（如有）。
第八章附则
第五十三条本规定未尽事宜，依照国家有关法律、法
规以及《公司章程》的规定执行。本规定与国家有关法律、法规以及《公司章程》的规定不一致的，以国家有关法律、法规以及《公司章程》的规定为准，并及时修改本规定。第五十四条本规定由公司董事会负责解释。
第五十五条本规定经公司董事会审议通过，自通过之日起实施，修改时亦同。原《茂名石化实华股份有限公司内部控制制度》同时废止。