国电南自:国电南自内控合规风险管理办法（2023年）

国电南京自动化股份有限公司
内控合规风险管理办法
（已经2023年8月23日公司第八届董事会第八次会议审议通过）
第一章总则
第一条为深入贯彻习近平法治思想，落实总体国家安全观，加强内部控制、合规管理、风险管理（以下简称内控合规风险管理）工作，防范化解重大风险，服务保障公司高质量发展，根据国务院国资委《关于进一步深化法治央企建设的意见》《中央企业合规管理办法》《关于加强中央企业内控体系建设与监督工作的实施意见》《中央企业全面风险管理指引》，以及财政部等五部门《企业内部控制基本规范》及其配套指引等相关规定，结合公司系统管理实际，制定本办法。
第二条本办法所称内部控制，是指由企业董事会、经理层
和全体员工实施的，为实现控制目标而开展的明确权责、制定制度、规范流程、有效执行、评价改进等的管理过程。
本办法所称合规，是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则，以及公司章程、相关规章制度等要求。
本办法所称风险，是指未来的不确定性对企业实现其经营目标的影响。本办法所称合规风险，是指企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其
—1—他负面影响的可能性。
第三条公司系统各级企业应按照“能合则合、可分可合、高效协同”的要求，统筹推进内控合规风险管理一体化建设、运行与监督评价，健全完善以风险管理为导向、以合规管理为基础、以内部控制为手段，与企业治理体系和治理能力现代化相适应的内控合规风险管理体系，全面提升企业风险防控能力水平，保障企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。
第四条内控合规风险管理工作应遵循以下原则：
（一）坚持党的领导。健全完善党的领导融入公司治理的运行机制，充分发挥企业党委全面领导作用，把党的领导贯穿内控合规风险管理全过程。
（二）坚持全面覆盖。将内控合规要求嵌入经营管理各领域各环节，贯穿决策、执行、监督全过程，落实到各企业、各部门和全体员工，实现多方联动、上下贯通。
（三）坚持权责清晰。按照“管业务必须管内控合规风险”的要求，明确业务及职能部门、内控合规风险管理部门和监督部门职责，筑牢内控合规风险管理“三道防线”。
（四）坚持务实高效。建立健全符合企业实际的内控合规风
险管理体系，突出对重点领域、关键环节和重要人员的管理，充分利用信息化手段，切实提高管理效能。
—2—第五条本办法适用于公司本部及各基层企业（以下统称各企业）。对上市公司、金融企业、境外企业另有专门监管规定的，从其规定。
第二章组织和职责
第六条各企业应建立健全党委全面领导、董事会决策督
导、经理层组织实施、牵头部门归口管理、业务及职责部门主责
推动、监督部门执行监督、全体员工有效参与的内控合规风险管理职责体系。
各企业应通过公司章程、议事规则、“三重一大”事项决策
权责清单、规章制度等，明确各治理主体、各管理层级的内控合规风险管理职责。
第七条企业党委发挥把方向、管大局、保落实的领导作用，前置研究讨论内控合规风险管理基本制度、体系建设方案和年度报告，以及重大风险管理策略和解决方案、内控合规风险管理机构的设置和调整方案，定期听取内控合规风险管理工作情况汇报，推动内控合规风险管理要求在本企业得到严格遵循和落实，不断提升企业依法合规经营管理水平和风险防控能力。具有人财物重大事项决策权且未设立党委的企业，由党总支（党支部）参照履行相关职责。
各企业应严格遵守党内法规制度，企业党建工作机构在党委的领导下，按照有关规定履行相应职责，推动相关党内法规制度—3—有效贯彻落实。
第八条企业董事会（未设立董事会的企业由相应决策机构承担）是内控合规风险管理的决策机构，发挥定战略、作决策、防风险作用。主要职责包括：
（一）审议批准内控合规风险管理基本制度、体系建设方案和年度报告等；
（二）推动完善内控合规风险管理体系，并对其有效性进行总体监控和评价；
（三）研究决定内控合规风险管理重大事项；
（四）定期听取内控合规风险管理工作情况汇报。
董事会审计委员会负责监督指导企业内控合规风险管理体系建设，为董事会内控合规风险管理的相关决策提供咨询意见和建议。
第九条各企业经理层发挥谋经营、抓落实、强管理作用。
主要职责包括：
（一）组织落实企业党委、董事会关于内控合规风险管理的决议；
（二）组织推进内控合规风险管理体系的建设与运行；
（三）批准内控合规风险管理实施细则、手册；
（四）组织重大风险事件处置和重大内控缺陷整改；
（五）指导监督各部门和所属企业开展内控合规风险管理
—4—工作；
（六）组织推进内控合规风险管理信息化建设。
第十条各企业应设立内控合规风险管理委员会，可以与法
治建设领导机构等合署办公，统筹协调内控合规风险管理工作。
主要职责包括：
（一）研究贯彻落实党中央、国务院相关重要部署要求的意见和措施；
（二）统筹推动落实企业党委、董事会关于内控合规风险管理的决策部署和工作安排；
（三）研究解决内控合规风险管理的重点难点问题。
根据会议内容，委员会会议由主任或副主任主持召开，也可授权其他委员主持召开。
第十一条各企业主要负责人是内控合规风险管理工作的
第一责任人，应切实履行内控合规风险管理重要组织者、推动者
和实践者的职责，组织领导建立健全覆盖各级企业、部门、岗位，涵盖各业务领域全面有效的内控合规风险管理体系。各企业领导班子其他成员应组织抓好分管业务领域的内控合规风险管理工作，健全分管业务领域的内控合规管理机制并推动有效运行。
第十二条企业首席合规官对企业主要负责人负责。主要职
责如下：
（一）领导合规管理部门组织开展日常工作，指导所属企业
—5—加强合规管理；
（二）审查重大决策事项的合法合规审查意见；
（三）组织开展合规问题监督检查，牵头组织应对重大合规风险事件。
第十三条各企业业务及职能部门按照“业务谁主管，内控合规风险管理谁负责”的原则，承担本部门业务领域内控合规风险管理主体责任，做实内控合规风险管理的“第一道防线”。主要职责包括：
（一）梳理本部门业务领域应遵循的外部法律法规、监管规
定和行业准则等，建立健全管理制度与流程，编制重点业务领域的《内控合规风险管理手册》；
（二）将内控合规风险管理要求纳入岗位职责，督促落实岗位业务合规审查要求；
（三）开展本部门经营管理行为的合法合规审查；
（四）开展本部门业务领域的风险识别评估，编制风险清单，制定并落实风险防控措施；
（五）按规定报告重大风险事件，组织或者配合开展风险应对处置工作；
（六）开展本部门业务领域的内控合规评价，对发现的内控缺陷和合规问题进行整改；
（七）抓好内控合规风险牵头管理部门、审计监督部门移交
—6—的内控缺陷、合规问题整改，定期反馈整改情况。涉及所属企业的问题，督导相关单位抓好整改；对于共性问题、突出问题，研究健全完善相应的长效机制；
（八）推动将内控合规风险管理要求融入业务管理信息系统。
业务及职能部门应设置内控合规风险管理员，由业务骨干担任，接受内控合规风险牵头管理部门的业务指导和培训，负责组织协调本部门开展内控合规风险管理有关工作。
第十四条证券法务部是内控合规风险管理工作的牵头部门，各企业应明确内控合规风险管理工作的牵头部门，按照统筹协调、组织推动、督促落实的职能定位，做实内控合规风险管理
的“第二道防线”。主要职责包括：
（一）组织起草内控合规风险管理制度、体系建设方案和年
度计划等，经批准后推进落实；
（二）组织开展内控合规风险管理体系建设、完善与运行，督促内控缺陷、合规问题整改；
（三）负责规章制度、经济合同、重大决策的合法合规审查；
（四）组织开展风险识别评估、监测预警和防范应对工作；
（五）受理职责范围内的违规举报，提出分类处置意见，组织或者参与对违规行为的调查；
（六）组织实施内控合规风险管理信息化建设；
（七）组织或者协助业务及职能部门开展内控合规风险管理
—7—培训，受理相关工作咨询。
各企业应配备与经营规模、业务范围、风险水平相适应的内
控合规风险管理专（兼）职人员，加强业务培训，提升专业化能力水平。
第十五条各企业纪检监督、巡察、审计等部门在职责范围
内对内控合规风险管理要求落实情况进行监督检查，按照职责分工对违规行为进行调查，按照有关规定开展责任追究，做实内控合规风险管理的“第三道防线”。
公司审计部负责内控合规风险管理体系监督评价工作，对公司系统内控合规风险管理体系的健全性和有效性进行监督评价。
公司审计部每年至少组织开展一次内控合规风险管理体系监督
评价工作，并按照上市公司监管要求对公司各内部机构、控股子公司以及对公司具有重大影响的参股公司的内部控制制度的完
整性、合理性及其实施的有效性进行检查和评估。
公司纪委办（监督部、巡察办）负责责任追究工作，依规对未履行或未正确履行内控合规风险管理职责、造成资产损失或其
他严重不良后果的情形，进行追责问责。
第三章内控合规风险管理制度体系建设
第十六条各企业应建立健全层次分明、协调配套、务实管
—8—用的内控合规风险一体化管理制度体系。
第十七条各企业应制定《内控合规风险管理办法》，作为
内控合规风险管理的基本制度，明确总体目标、机构职责、运行机制、考核问责等。
第十八条各企业应参照相应的示范手册，针对各重点业务
领域分别编制《内控合规风险管理手册》，构建优化业务管理流程，建立健全《规范清单》《风险控制矩阵清单》《责任与权限指引清单》（简称“三单一流程”）。
（一）构建优化业务管理流程。各企业应深入分析重点业务
领域管控的流程逻辑和关键环节，通过自查、互查、专家诊断等多种方式，结合年度风险评估工作形成的《风险清单》，对业务流程运行中的风险高发点、管理薄弱点、操作易错点等进行梳理识别，细化形成业务流程的各个风险点，确定对应的控制点，并明确各个控制点的归口管理部门，构建形成、持续优化业务管理流程。
（二）建立健全《规范清单》。各企业应定期梳理本企业适
用的外法内规，全面识别企业应遵循的合规义务条款，建立健全各重点业务领域的《规范清单》。
（三）建立健全《风险控制矩阵清单》。各企业应针对业务
管理流程中的管控重点和关键环节，以落实《规范清单》和风险防范要求为重点，按照内控的方法和原则，制定各重点业务领域—9—每一个风险点、控制点的相应内控措施，建立健全《风险控制矩阵清单》。
（四）建立健全《责任与权限指引清单》。各企业应在“三重一大”事项决策权责清单、各部门职能和岗位职责的基础上，本着相互衔接、相互制衡、相互监督的原则，优化职责权限分配和审批程序设置，建立健全《责任与权限指引清单》。对一人履职可能发生错误或舞弊风险的岗位职责，按照不相容岗位职责相分离的要求，落实岗位职责分离措施。
第十九条各企业应结合本企业主要业务范围，针对反垄
断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、
数据保护等重点领域，以及风险较高的业务和新领域、新业态，制定专项管理规范。对于涉外业务重要领域，应根据所在国家（地区）法律法规等，结合实际制定专项管理制度。
第四章内控合规风险管理体系运行
第一节风险管理
第二十条各企业应定期（每年至少一次）开展风险的全面
梳理识别与分析工作，广泛收集与企业生产经营相关的内外部风险信息，包括内控缺陷和合规风险等，分析风险成因和突出表现，结合行业和企业实际，建立并及时更新《风险清单》。风险信息包括但不限于以下方面：
—10—（一）战略风险方面：国内外宏观经济形势、产业政策、行
业发展状况、国际化经营、改革与业务转型、科技创新、战略伙
伴、资本运作、并购重组等；
（二）市场风险方面：电力、煤炭等商品行情、价格信息，市场竞争情况，客户信用和回款情况等；
（三）财务风险方面：企业现金流量、债务、金融衍生品交
易、金融业务等信息，行业会计政策、会计估计信息，汇率、利率等融资政策和信息等；
（四）运营风险方面：企业经营效益信息，非主业投资、投
资计划完成信息，安全生产事故、生态环保事故、网络安全等信息，重大自然灾害预警信息，国家和地方安全生产、节能与环保政策，煤炭、物资采购与供应链信息，工程质量、进度控制等；
（五）法律合规风险方面：与本企业相关的法律法规环境，法律法规、监管规定等调整变化情况，相关合规要求遵循情况，企业发生的重大法律诉讼案件、行政处罚和刑事处罚等；
（六）其他风险方面：其他对企业经营发展造成影响的信息。
第二十一条各企业应根据《风险清单》和风险评估标准，采用定性与定量相结合的方式，组织开展全面风险评估工作，客观分析、科学研判企业面临的风险，确定风险等级。
各企业应根据有关要求开展专项风险评估，并将专项风险评估要求纳入业务管理制度。在投资并购、改革改制重组等重大经—11—营事项决策前，由业务部门组织开展专项风险评估，出具重大决策风险评估报告（含风险应对措施或处置预案），或在项目可研报告等文件中对风险评估情况进行专项说明，履行相关审批程序后作为决策的参考依据。对超出企业风险承受能力或风险应对措施不到位的事项不得决策，已经决策的事项不得组织实施。
第二十二条各企业应根据风险的突出表现和评估结果，围
绕企业战略规划和经营目标，细化制定切实可行的风险防范应对措施，并纳入全年工作部署，明确责任部门和责任人，确保各项措施落实到位。
各企业在做好本企业风险有效应对的同时，应全面分析上级企业相关风险特别是前十大风险在本企业的突出表现，做好上级企业风险防范应对措施的对接落实，确保一贯到底、层层夯实、有效防控。
第二十三条各企业应针对前十大风险，建立可量化的风险
监测预警指标体系，合理设置预警区间，密切跟踪风险监测预警指标运行情况，发生异动时及时发布预警提示，并调整风险防范应对措施。
第二十四条各企业应建立健全风险全过程动态管控机制，业务及职能部门应将风险防范应对措施融入业务管理和职能管理，在日常工作中同步推进风险防控应对。每季度末，业务及职能部门应将风险防控工作落实情况、风险变化分析情况和重大风
—12—险事件情况报送牵头管理部门。牵头管理部门应定期编制季度风险监测报告，经企业主要负责人审定后按要求报送。
各企业应结合所处行业特点和企业经营实际，深入分析宏观政策、市场环境及大宗商品价格等形势变化，及时研判风险走势，加强前十大风险的监测预警，定期排查风险隐患，针对新风险、新情况、新问题，及时更新风险清单、风险突出表现并调整风险防范应对措施。
第二十五条各企业是重大风险事件处置和报告的责任主体，应按照重大风险事件管理的有关规定，健全重大风险事件处置和首报、续报、终报的报告工作机制，明确责任分工，畅通报送渠道。
发生重大风险事件，有关业务及职能部门应及时采取措施应对处置，按照规定及时向本企业董事会或其他决策机构报告，并报送内控合规风险管理牵头部门，客观准确反映风险事件情况，有效防范重大风险蔓延和叠加。
各企业内控合规风险管理牵头部门应按照规定，及时向上级管理单位的内控合规风险管理牵头部门报送本企业重大风险事件发生情况。对于需长期应对处置或整改落实的，应纳入重大风险月度报表台账持续跟踪，定期报告处置进展情况。处置结束或整改完毕，应做好终报工作。
第二节合规管理
—13—第二十六条各企业在开展全面风险识别及评估的过程中，应全面梳理经营管理活动中的合规风险，建立并定期更新《合规风险清单》。
第二十七条各企业应将合规审查作为必经程序嵌入经营管理流程。业务及职能部门对本部门经营管理行为的合法合规性进行审查。规章制度、经济合同、重大决策须经法律合规管理部门审查。业务及职能部门、法律合规管理部门应完善合规审查的标准、流程、重点等，定期对审查情况开展后评估。
对于需要法律合规管理部门出具合法合规审查意见书或进
行法律合规会签的重大决策事项，业务及职能部门应先履行合法合规审查职责。法律合规管理部门在业务部门合法合规审查的基础上，研究出具合法合规审查意见书，由首席合规官（总法律顾问或法律合规工作分管领导）审核签字并对决策事项的合法合规性提出明确意见。
第二十八条企业发生合规风险，相关业务及职能部门应及
时采取应对措施，重大合规风险的处置和报告按照本办法第二十五条执行。
本企业因违规行为引发重大法律纠纷案件、重大行政处罚、
刑事案件，或者被国际组织制裁等重大合规风险事件，造成或者可能造成企业重大资产损失或者严重不良影响的，应当由首席合规官牵头，内控合规风险牵头管理部门统筹协调，相关部门协同—14—配合，及时采取措施妥善应对。
第二十九条各企业应每月对合规风险、违法违规和单位犯
罪问题进行全面排查处置，并将问题及处置情况完整如实层报。
各企业应建立合规风险和违规问题整改机制，通过健全规章制度、优化业务流程等，堵塞管理漏洞，提升企业依法合规经营管理水平。
第三十条各企业应动态跟踪相关法律法规、监管政策等变化情况，及时对企业规章制度进行修订完善，对执行落实情况进行监督检查。
第三十一条各企业和全体员工应严格遵守《合规手册》，从事境外业务的企业和员工还应严格遵守《境外合规手册》。从事境外业务的企业应结合所在国家（地区）的实际情况，制订相应的《合规手册》。
第三十二条各企业应设立违规举报平台，公布举报电话、邮箱或信箱。合规管理部门根据举报内容和职责权限，分送移交相关部门就举报问题进行调查和处理。
各企业应对举报人的身份和举报事项严格保密，任何单位和个人不得以任何形式对举报人进行打击报复。
第三节内部控制
第三十三条各企业应构建完善权责清晰、治理现代、照章
办事、规范高效的内控环境，在各经营管理领域和业务管理流程—15—中融合嵌入并持续完善内控措施，规范企业经营行为，夯实风险防范基础。
第三十四条各企业应推动内控合规风险管理措施融入规
章制度和岗位职责，嵌入业务流程和信息管理系统。
（一）融入制度。各企业在制（修）订制度时，应清晰描述
权责设置、业务处理程序和管理执行标准，明确关键管理环节的内控措施和要求。对于审批事项或具有规范性程序的业务，应在相应制度中附流程图及风险控制矩阵清单。
（二）融入岗位职责。各企业应结合《责任与权限指引清单》
的定期梳理，将各业务领域的内控执行要求融入岗位职责文件，确保内控要求落实到岗、责任到人。
（三）嵌入业务流程。各企业应将内控措施融合嵌入业务流
程的关键环节，在开展经营管理决策和各项业务管理活动时，同步严格执行相关内控合规管理要求，做好内控合规审查，确保经营行为合规、风险有效防范。
（四）嵌入信息系统。各企业应推进重点业务领域的信息化
建设应用，提高各项经营管理决策和业务执行活动的信息化覆盖率。将内控合规风险管理要求提炼形成系统嵌入规则并固化融入业务管理信息系统，科学设置系统权限，有效减少人为违规操纵因素，增强内控刚性约束和有效制衡。
第三十五条各企业应结合风险评估结果，在经营管理决策
—16—和业务执行活动中，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用各项控制措施，将风险控制在可承受度之内。
（一）授权审批控制。各企业应加强重要岗位授权管理和权力制衡，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。重点规范采购、销售、投资管理、资金管理、工程项目、产权（资产）交易流转等业务领域各岗位的职责权限和审批程序。
对于重大业务和事项，应实行集体决策审批，任何个人不得单独决策或者擅自改变集体决策。
（二）不相容职务分离控制。各企业应全面系统地分析、梳
理业务流程中所涉及的不相容职务，严格规范重要岗位和关键人员在授权、审批、执行、报告等方面的权责，实现可行性研究与决策审批、决策审批与执行、执行与监督检查等岗位职责的有效分离。
（三）会计系统控制。各企业应严格执行《企业会计准则》，加强会计基础工作，明确会计凭证、会计账簿和财务报告的处理程序，保证会计资料真实完整。
（四）财产保护控制。各企业应建立健全财产日常管理制度
和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。严格限制未经授权的人员接触和处置财产。
—17—（五）预算控制。各企业应建立健全全面预算管理体系，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。
（六）运营分析控制。各企业应建立健全运营情况分析制度，综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期分析运营情况，发现存在的问题，及时查明原因并加以改进。
（七）绩效考评控制。各企业应建立健全绩效考评制度，科
学设置考核指标体系，对全体员工和所属企业进行绩效考评，并将结果作为确定薪酬、职务调整等的重要依据。
第三十六条各企业应结合实际，在内控合规风险管理体系
有效运行的基础上，突出重点领域、重点环节、重点岗位和重点人员、重点单位的内控合规管理，切实有效防控风险。
（一）强化重点领域的内控合规管理
加强投资管理、购销管理、工程建设、招投标管理、安全环
保、产品质量、燃料管理、检修技改、境外投资经营、资金管理、产权（资产）交易以及劳动用工、税务管理、知识产权、商业伙
伴、数据保护等重点领域的内控合规管理，强化业务运营的综合管控。
（二）强化重点环节的内控合规管理制度制定环节。强化对规章制度、改革方案等重要文件的合—18—规审查，确保符合法律法规、监管规定等要求。
经营决策环节。严格落实“三重一大”决策管理制度，细化各层级决策事项和权限，加强对重大决策事项的合法合规论证把关，保障决策依法合规。
生产运营环节。严格执行规章制度，加强对重点流程执行情况的过程监督检查，重点关注商务谈判、合同订立、结算、付款、交割、验收、注册、注销、银行密钥和印章使用等与权力行使密
切相关的重点环节，确保生产经营过程中照章办事、按章操作。
（三）强化重点部门、岗位和人员的内控合规管理
权力集中部门和岗位。对投资并购、工程建设、采购销售、人力资源等权力集中的部门和岗位实行分事行权、分岗设权、分级授权，定期轮岗，强化内部流程控制，防止权力滥用。完善内部层级监督和专门监督，建立常态化的监督机制。
资金密集部门和岗位。建立资金集中管控模式，推进业务、财务、支付一体化管理信息系统有效运行，强化现金流量预算管理，实现对大额特殊资金的逐笔监控。
资源资产富集部门和岗位。明确资源资产权属，量化资源资产金额，监控资源资产情况，规范资源资产交易。
管理人员。促进管理人员切实提高内控合规风险意识，带头依法依规开展经营管理活动，认真履行承担的内控合规管理职责，强化考核与监督问责。
—19—海外人员。将内控合规风险管理培训作为海外人员任职、上岗的必备条件，确保遵守我国和相关国家法律法规以及企业内部规章制度等相关规定。
（四）强化重点单位的内控合规管理境外企业。聚焦财务主管人员派出管理、主要负责人提级管理和任职备案、境外工程项目承揽、大额资金支付、境外项目中
介费用监管以及境外国有产权管理等重要领域、关键环节和重要岗位，持续健全管理制度和内控机制，不断优化业务流程和操作规程。
上市公司、金融企业以及相关专业公司。重点加强公司治理、控股股东行为、关联交易、内幕信息知情人管理、同业竞争、募
集资金使用、并购重组、会计处理、独立性、信息披露等方面的内控合规风险管理。
第四节一体化协同运行管理
第三十七条各企业应以风险管理为导向，统领开展合规风
险、内控操作风险和内控缺陷的管理工作。开展全面风险识别分析，应涵盖相关业务内控操作风险和合规风险的识别分析，整合建立企业《风险清单》。发生的合规风险事件、发现的重大违法违规问题和重大内控缺陷等，应纳入风险事件统筹管理，开展处置整改、报告和问责等工作，跟踪整改落实效果，健全长效管理机制，并将其作为风险评估的重要依据。
—20—第三十八条各企业应以合规管理为基础，筑牢内控防线和风险底线。以法律法规、监管政策、行业准则等外部要求和企业规章制度、规范性文件等内部要求作为内控的重要依据，全面识别合规义务，建立岗位合规审查要点，持续更新内控标准，筑牢内控防线。开展合规风险排查治理，及时处置化解合规风险隐患，守好合规底线。对于风险管理、内控评价发现的合规问题，应及时改进合规管理，促进提升依法合规经营能力水平。
第三十九条各企业应以内部控制为手段，落实合规要求，防范应对风险。建立健全《内控合规风险管理手册》“三单一流程”，通过业务流程关键环节的内控点，链接业务的风险防控点、合规审查点，在执行内控措施的同时落实风险防范措施和合规审查要求。开展内控监督评价，应将风险评估结果、风险预警指标运行情况、合规风险事件等信息，作为确定监督评价范围的重要依据，重点关注风险事件、违规问题易发高发领域。通过合规问题和风险事件整改，推动“三单一流程”持续完善。
第四十条各企业应全面总结内部控制、合规管理、风险防
控以及内控合规风险管理体系监督评价等情况，形成年度内控合规风险管理工作报告，经本单位董事会（或其他决策机构）审议批准后报送上级单位。
第五章监督评价管理
—21—第四十一条各企业应建立健全内控合规风险管理体系监
督评价机制，围绕内控合规风险管理的职责落实、制度建设、机制运行，以及重点领域的风险防控等，制定定性与定量相结合的监督评价标准，明确监督评价的方式、方法、内容、程序以及整改落实、成果应用要求等，统筹开展内控体系监督评价与合规管理体系有效性评价工作，强化重点领域内控合规风险管理，推动一体化管理体系持续完善和有效运行，及时防范化解风险。
第四十二条监督评价方式包括：企业自评价、上对下监督
评价、外部审计监督。
（一）企业自评价。各企业每年应以规范流程、消除盲区、有效运行为重点，对一体化管理体系的有效性进行全面自评，聚焦重要领域、关键环节及重要岗位，客观、真实、准确揭示经营管理中存在的内控缺陷和合规问题，形成评价记录及缺陷汇总，制定整改方案并按计划跟踪整改。
（二）上对下监督评价。公司对所属基层企业一体化管理体
系的有效性实施上对下监督评价，确保每3年覆盖全部企业。围绕重要领域、关键环节和重要岗位，重点关注制度流程健全性、关键岗位制衡性、信息系统刚性约束以及内控缺陷、合规问题和
风险隐患易发多发频发领域等方面。对新型商业模式、新兴业务领域每年必评，对新并入企业、发生重大风险事件或重大违法违规问题的企业应实现当年上对下监督评价全覆盖。
—22—（三）外部审计监督。对内控监督不到位、风险事件和合规问题频发的企业，公司委托具有相应资质的外部审计机构开展内控审计工作，出具内控审计报告。
第四十三条各企业应加强监督评价发现内控缺陷、合规问
题和风险隐患的整改，建立整改台账，逐项明确整改措施、整改责任人和整改时限，实行销号管理。
第四十四条公司应建立整改督导机制，牵头管理部门及时
向业务及职能部门反馈移交上对下监督评价发现的内控缺陷、合
规问题和风险隐患。业务及职能部门应落实整改督导责任，针对本部门业务领域所属企业的整改工作进行过程督导和整改结果核查，按季报告整改情况，逐项对账销号。牵头管理部门应将整改情况纳入下一年度上对下监督评价范围，对整改不力的单位印发提示函并进行通报，确保问题见底清零。
第四十五条各企业应强化业务及职能监督、内控合规监督
评价、巡视巡察、审计监督之间的信息共享和良性互动，统筹开展监督检查、整治治理等工作，推动“三道防线”高效协同、相互促进。
第六章内控合规风险管理文化建设
第四十六条各企业应将内控合规风险管理纳入党委法治
专题学习，推动企业领导人员强化内控合规风险意识，带头强内—23—控、重合规、防风险。
第四十七条各企业应建立常态化的内控合规风险管理培训机制，制定内控合规风险管理年度培训计划，将内控合规风险管理作为管理人员、重点岗位人员和新入职人员培训的必修内容。
第四十八条各企业应加强合规宣传教育，组织全员签订合规承诺，强化全员守法诚信、合规经营意识，严格落实全员内控合规风险管理责任。
第四十九条各企业应加强内控合规风险管理文化建设，引
导全体员工自觉践行合规理念，遵守合规要求，接受合规培训，对自身行为的合规性负责。
第七章信息化建设
第五十条公司按照“平台统一、管理融合、监控智能”的
功能定位，组织公司系统各级企业建设应用内控合规风险一体化管理信息平台（以下简称“一体化平台”）。
第五十一条各企业应以本企业《内控合规风险管理手册》
“三单一流程”信息化应用为重点，通过一体化平台在线开展合规义务识别、全面风险评估和过程管控、内控合规评价、问题缺
陷整改、报告报表编报等工作，不断提升内控合规风险管理工作的标准化、规范化、智能化水平。
—24—第五十二条各企业应在公司的统筹下有序推进一体化平
台与各业务管理信息系统的集成对接，逐步实现一体化平台与业务管理信息系统的互联互通和有机融合。通过将内控合规管理要求嵌入到业务管理信息系统，将业务管理信息系统中内控合规管理要求的执行监测信息反馈至一体化平台，着力实现内控合规管理的“多点联控”和“中心管控”，增强内控合规执行的刚性约束。
第五十三条各企业应探索利用大数据应用和系统集成等手段，建立并持续丰富业务管理信息系统和一体化平台的风险监控预警指标，对重要领域关键节点内控合规执行和风险情况进行智能监控，及时预警、快速处置。
第八章考核与问责
第五十四条各企业应建立健全内控合规风险管理考核机制，对所属企业内控合规风险管理工作开展情况、监督评价结果、违法违规问题等进行考核评价，并将考核评价结果纳入绩效考核。
第五十五条各企业应建立员工履职违规行为记录，将违规
行为性质、发生次数、危害程度等作为考核评价、职级评定等工作的重要依据。
第五十六条各企业应建立健全违规行为追责问责机制，明
—25—确追责问责范围，细化追责问责标准。内控合规风险牵头管理部门应将风险事件、违法违规问题和内控缺陷中存在的问题线索，按照有关规定及时移交纪检监察、监督等部门根据职责分工开展
调查、追责问责。
因故意或重大过失应当发现而未发现违规问题，或者因违规行为引发合规风险事件，或者由于内控管理不到位、风险应对不力，给企业造成损失或者不良影响的，按照有关规定追究责任。
第九章附则
第五十七条本办法自董事会审议通过之日起施行。
—26—