内部控制组织架构 - 董事会是风险管理与内部控制决策机构[4] - 管理层是内部控制管理机构，综合管理部为常务机构[5] - 各子公司、事业部、职能部门是内部控制体系责任落实主体[6] - 审计委员会、内审部门、外部审计机构是内部控制体系监督机构[6] 内部控制目标与原则 - 风险管理与内部控制目标是保证公司经营合法合规等[9] - 建立与实施内部控制体系遵循全面性等五项原则[9] - 公司风险管理应遵循全面管理与重点防控等六项原则[18][19] 内部控制要素与措施 - 内部控制体系包括内部环境等五要素[10] - 控制活动结合风险评估结果，运用多种控制措施[10] - 公司各级组织建立工作制度引入多种控制手段[11] 公司层面内控制度 - 公司应编制和执行公司章程等至少八项公司层面内控制度[21] - 公司应建立常规授权和特别授权制度，重大业务实行集体决策审批或联签制度[13] 具体业务控制制度 - 建立信息系统管理制度、操作流程，分离不相容岗位，建立安全防护、灾备和应急处理机制[24] - 建立合同管理制度，逐步搭建体系化合同管理平台[24] - 建立印章管理制度，明确保管职责和使用审批权限[24] - 对供应链各环节进行制度规范和流程描述[25] - 对实物资产、无形资产等进行严格管理[25] 风险评估与管理 - 公司每年底开展一次全面风险评估，各单位部门可按需开展专项评估[31] - 按风险类别和等级确定风险偏好和承受度，选择合适风险管理策略[31] - 针对关键或重大风险制定解决方案，报决策主体审议批准后实施[32] 监控与报告 - 研究建立风险监控指标体系，完善预警机制，实时监控风险管理状况[32] - 公司各单位应制定应急处置预案并及时调整优化，做好自身风险监控指标监测[33] - 公司管理层年初结合内控评价向董事会报送年度《全面风险管理工作报告》及后续风险监控情况报告[33] 内部控制评价 - 公司内审部组织各部门开展内部控制评估，结果经审计委员会确认后提交董事会审议[37] - 内部控制评价工作每年至少开展一次，具体以工作细则为准[37] - 公司至少每年年末出具年度内部控制评价报告，可年中开展半年度评价或专项审计[39] 信息披露 - 公司或股东聘请的会计师事务所出具年度审计报告时，应对内部控制有效性发表审计意见[40] - 公司应披露募集资金、董监高人员股份、信息披露等内部控制制度并及时更新[42] - 内部控制评价报告每年至少披露一次，重大影响信息应充分披露[42] - 公司年度内部控制评价报告经董事会审议通过，与年度报告一并对外披露[43] 制度管理 - 本制度由董事会负责解释和修订，自批准通过之日起施行[46]