内部控制组织体系 - 公司设立由董事会、审计委员会等构成的内部控制管理组织体系[5] - 董事会是内部控制管理的最高决策机构[5] - 审计委员会负责监督内部控制制度设计与执行[6] - 管理层审批风险管理总体目标和应对方案[5] - 审计部门确定内部控制建设总体目标等[5] - 各职能部门严格执行制度并识别内控缺陷[7] - 各子公司法定代表人是内控第一责任人[8] 内部控制目标与原则 - 公司内部控制目标包括保证经营合法合规等[11] - 内部控制管理遵循全面性等原则[11] 内部控制活动 - 内部控制活动涵盖组织架构等运营环节[13] - 公司及子公司财务严格执行国家统一会计准则制度[15] - 公司及子公司建立财产日常管理和定期清查制度[15] - 公司及子公司建立运营情况分析制度[15] - 公司及子公司建立绩效考评制度[15] - 公司及子公司建立重大风险预警和突发事件应急处理机制[15] 风险识别与评估 - 审计部门每年对业务风险全面识别与评估[18] - 公司风险管理初始信息来自战略、财务等方面，包括宏观政策、财务指标等[39] - 公司从市场、运营、法律三方面收集风险初始信息[40][41][42] - 审计部门组织相关职能部门及各子公司开展风险评估，结果汇总报至审计部门[41] 内部控制缺陷认定 - 内部控制缺陷按成因、严重程度和表现形式分类[25] - 公司董事会确定适用的内部控制缺陷认定标准[28] - 财务报告内部控制缺陷定量标准：税前利润错报≥10%为重大缺陷，5%≤错报＜10%为重要缺陷，错报＜5%为一般缺陷；资产总额错报≥0.5%为重大缺陷，0.25%≤错报＜0.5%为重要缺陷，错报＜0.25%为一般缺陷[31] - 业务层面非财务报告内部控制缺陷定量标准：税前利润错报≥10%为重大缺陷，5%≤错报＜10%为重要缺陷，错报＜5%为一般缺陷[33] - 业务层面非财务报告内部控制重大缺陷：严重违规重罚或担刑责、停产3天及以上、声誉重大损害、人员死亡或无法康复性损害、环境永久污染[33] - 业务层面非财务报告内部控制重要缺陷：违规被处罚、停产2天以内、区域声誉较大损害、一人死亡或职工重要损害、周围环境较重污染[33] - 业务层面非财务报告内部控制一般缺陷：轻微违规已整改、生产短暂暂停半天内恢复、内部负面消息、短暂影响健康、污染破坏可控[33] 内部控制评价与报告 - 内部控制评价程序包括制订方案、组成工作组等[20] - 一般和重要缺陷至少每年报告一次，重大缺陷立即报告[24] - 内部控制评价报告基准日为12月31日，应于基准日后4个月内报出，内部控制审计报告与之同时披露和报送[37] 内部控制整改 - 认定内部控制缺陷，内控评价工作组提整改意见，责任单位制订整改方案并按期完成[34] - 认定内部控制重大缺陷，责任部门或子企业采取应对策略，控制风险并追究责任[34] 风险应对与监督 - 公司风险应对策略包括规避、降低、转移、承担四种类型[42] - 一般风险通过现有制度与流程控制，重要和重大风险需编制报告并制定管控措施[42][43] - 公司健全重大风险预警和突发事件应急处理机制，制订应急预案[43] - 外部审计机构每年一次进行内部控制审计[45] - 公司各职能部门和子公司定期对内部控制自检，对全面风险管理工作自查[45] - 审计部门不定期开展风险与内部控制管理工作专项监督检查[45] - 对检查发现的内控缺陷或风险，责任单位需分析并提出整改方案[45]