某國有上市公司內控合規(guī)風險管理辦法

華電能源股份有限公司內控合規(guī)風險管理辦法（試行）

第一章 總 則

第一條 為加強華電能源股份有限公司（以下簡稱公司）內部控制、合規(guī)管理、風險管理（以下簡稱內控合規(guī)風險管理），發(fā)揮內部控制強基固本作用，提升合規(guī)經營水平，增強風險防控能力，服務保障公司高質量發(fā)展，根據(jù)國務院國資委《關于全面推進法治央企建設的意見》（國資發(fā)法規(guī)〔2015〕166號）《關于加強中央企業(yè)內控體系建設與監(jiān)督工作的實施意見》（國資發(fā)監(jiān)督規(guī)〔2019〕101號）《中央企業(yè)全面風險管理指引(試行)》（國資發(fā)改革〔2006〕108號）《中央企業(yè)合規(guī)管理指引(試行)》（國資發(fā)法規(guī)〔2018〕106號）、財政部《企業(yè)內部控制基本規(guī)范》(財會〔2008〕７號）及其配套指引等相關規(guī)定，結合公司實際，制定本辦法。

第二條 公司貫徹“管理制度化、制度流程化、流程信息化”的內部控制理念，建立健全以風險管理為導向，以合規(guī)管理為重點，嚴格、規(guī)范、全面、有效的內部控制體系，形成全面、全員、全過程、全體系的風險防控機制，實現(xiàn)“強內控、促合規(guī)、防風險”的管控目標，有力保障公司高質量發(fā)展。

內部控制是指由企業(yè)董事會、經理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。合規(guī)管理是指以有效防控合規(guī)風險為目的，以企業(yè)和員工經營管理行為為對象，開展包括制度制定、風險識別、合規(guī)審查、風險應對、責任追究、考核評價、合規(guī)培訓等有組織、有計劃的管理活動。

風險管理是指企業(yè)圍繞總體經營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全風險管理體系，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。

風險管理是內部控制的導向，內部控制的實質是控制風險，合規(guī)管理是內部控制得以有效實施的一項基礎工作、是風險管理的一項重要活動。

第三條 內控合規(guī)風險管理是企業(yè)治理體系和治理能力現(xiàn)代化的重要組成部分，各項管理要求應嵌入融入業(yè)務活動、制度流程、信息管理系統(tǒng)等經營管理全過程。內控合規(guī)風險管理與其他職能管理相互協(xié)調、相互促進，為實現(xiàn)以下目標提供合理有效保障：

（一）保證企業(yè)經營管理合法合規(guī)；

（二）保障企業(yè)資產安全；

（三）保證企業(yè)財務報告及相關信息真實完整；

（四）確保企業(yè)建立針對各項重大風險發(fā)生后的應急預案，保護企業(yè)不因災害性風險或人為失誤而遭受重大損失；

（五）提高企業(yè)經營效率和效果；

（六）促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略目標。

第四條 公司內控合規(guī)風險管理應緊密聯(lián)系實際，加強協(xié)同，統(tǒng)籌推進：

（一）堅持領導主抓與全員參與相結合。明確企業(yè)主要負責人是加強內部控制第一責任人職責；建立全員責任制，把內部控制要求植入崗位職責，落實到崗位工作全過程。

（二）堅持全面管理與重點突出相結合。內部控制應覆蓋全業(yè)務領域、全業(yè)務過程、全組織層級和全體員工，貫穿決策、執(zhí)行、監(jiān)督全過程，突出重要領域、重點環(huán)節(jié)、重點人員及重點單位的管理。

（三）堅持分類管理與“三道防線”相結合。內部控制應實施分級分類管控，落實公司三級管控職責，根據(jù)不同類別的內控合規(guī)風險特點實施分類管理；筑牢由財務資產部、業(yè)務職能部門和審計監(jiān)督部門組成的內部控制“三道防線”，各司其職、協(xié)同聯(lián)動。

（四）堅持成本與效益、控制與效率相統(tǒng)一。內部控制應有效兼顧成本與效益、控制與效率，以適當?shù)某杀竞托蕦崿F(xiàn)有效防控。

第五條 本辦法適用于公司本部、內核單位、控股公司及托管企業(yè)（以下簡稱各單位）。

第二章 組織與職責

第六條 公司管理機構與職責

（一）公司黨委領導內控合規(guī)風險管理工作。

（二）公司董事會是內控合規(guī)風險管理的決策機構，主要職責包括：

1．決定公司的內控合規(guī)風險管理體系；

2．批準公司內控合規(guī)風險管理基本制度、年度內控工作報告、年度合規(guī)管理報告、年度風險評估報告等文件；

3．確定公司風險管理總體目標、風險偏好、風險承受度，批準風險管理策略和重大風險解決方案；

4．對公司內控合規(guī)風險管理體系的實施進行總體監(jiān)控和評價；

5．定期聽取內控合規(guī)風險工作情況匯報；

6．決定其他重大事項。

董事會審計委員會負責監(jiān)督指導內控合規(guī)風險管理工作，向董事會負責并報告工作，主要職責包括：

1．指導公司內控合規(guī)風險管理體系和相關制度建設；

2．審議公司年度內控工作報告、年度合規(guī)管理報告、年度風險評估報告等文件；

3．審議公司風險管理總體目標、風險偏好、風險承受度以及風險管理策略和重大風險解決方案；

4．對內控合規(guī)風險管理體系的完整性和有效性進行評估和督導；

5．聽取內控合規(guī)風險工作情況匯報；

6．完成董事會授權或安排的其他事宜。

（三）公司主要負責人是內控合規(guī)風險管理工作第一責任人，負責組織領導建立健全覆蓋各業(yè)務領域、部門、崗位，涵蓋各級企業(yè)的內控合規(guī)風險管理體系。

（四）公司經理層負責內控合規(guī)風險管理體系的建設與運行?？偨浝磙k公會負責研究和審議內控合規(guī)風險管理重大事項，主要職責包括：

1．組織實施公司董事會會議關于內控合規(guī)風險管理的決議；

2．組織推進內控合規(guī)風險管理體系的建設與運行；

3．批準重要的內控合規(guī)風險管理實施細則類制度；

4．組織推進內控合規(guī)風險管理信息化建設；

5．審議《內控合規(guī)風險管理手冊》、《風險評估與內控合規(guī)評價手冊》；

6．完成董事會授權的其他事項。

第七條 公司本部部門職責

（一）財務資產部是內控合規(guī)風險管理工作的職能部門，主要職責包括：

1．貫徹落實公司關于內控建設、風險管理的工作部署；

2．組織擬定并推進落實內控合規(guī)風險管理體系建設方案；

3．研究起草內控合規(guī)風險管理制度，組織編制《內控合規(guī)風險管理手冊》、《風險評估與內控合規(guī)評價手冊》等操作規(guī)范中內控建設及風險管理內容；

4．組織開展風險評估工作；

5．組織編制年度內控工作報告、年度風險評估報告等文件；

6．協(xié)調本部業(yè)務職能部門、督導各單位開展內控建設風險管理工作；

7．完成其他事項。

（二）辦公室(法律事務部)負責全面組織和協(xié)調公司系統(tǒng)合規(guī)管理工作，為其他部門提供合規(guī)支持，主要職責包括：

1．貫徹落實公司關于合規(guī)管理的工作部署；

2．研究起草合規(guī)管理實施計劃、制度及相關規(guī)定，組織編制《內控合規(guī)風險管理手冊》等操作規(guī)范中合規(guī)管理內容；

3．組織編制年度合規(guī)管理報告等文件；

4．協(xié)調本部業(yè)務職能部門、督導各單位開展合規(guī)管理工作；

5．完成其他事項。

（三）公司審計部是負責全面組織、協(xié)調內控合規(guī)評價工作，主要職責包括：

1．審計部負責貫徹落實公司關于內控合規(guī)評價的工作部署；

2．研究起草內控合規(guī)評價實施計劃、制度及相關規(guī)定，并組織編制《內控合規(guī)風險管理手冊》、《風險評估與內控合規(guī)評價手冊》等操作規(guī)范中內控合規(guī)評價內容；

3．組織編制內控合規(guī)評價報告等文件；

4．組織開展年度內控合規(guī)評價工作，對公司系統(tǒng)內控合規(guī)風險管理體系的健全性和有效性進行監(jiān)督；

5．完成其他事項。

（四）公司監(jiān)督部主要職責包括：

監(jiān)督部依規(guī)對未履行或未正確履行內控合規(guī)風險管理職責、造成資產損失或其他嚴重不良后果的情形，進行追責問責。

（五）公司業(yè)務職能部門按照“業(yè)務誰主管、內控合規(guī)風險管理誰負責”的原則，承擔本部門業(yè)務領域內控合規(guī)風險管理的責任，同時指定內控合規(guī)風險管理聯(lián)絡員，負責組織協(xié)調本部門相關工作，主要職責包括：

1．制訂完善本業(yè)務領域各項管理制度和業(yè)務管控流程，并將內控體系管控要求嵌入制度流程和業(yè)務管理信息系統(tǒng)；

2．組織開展本業(yè)務領域的風險評估、隱患排查、合規(guī)審查，發(fā)布風險預警，制定并落實防控措施；

3．受理財務資產部、審計監(jiān)督部門移交或建議的事項，督導相關單位改進并反饋整改落實情況；

4．完成其他事項。

第八條 各單位應結合實際建立健全內控合規(guī)風險管理組織體系和工作機制，明確公司各治理主體的職責，落實企業(yè)主要負責人為內控合規(guī)風險管理第一責任人的職責，筑牢內控合規(guī)風險管理“三道防線”，形成科學有效的職責分工和制衡機制，主要職責包括：

（一）貫徹落實公司內控合規(guī)風險管理工作部署；

（二）組織推進本單位內控合規(guī)管理體系建設，制訂完善本單位內控合規(guī)風險管理操作規(guī)范；

（三）及時將法律法規(guī)等外部監(jiān)管要求轉化為企業(yè)內部規(guī)章制度并持續(xù)完善；

（四）在制度流程中嵌入內控體系管控要求；

（五）組織開展風險評估、合規(guī)管理和內控自評，接受外部監(jiān)督評價，對各單位開展內控監(jiān)督評價，并整改落實監(jiān)督評價發(fā)現(xiàn)的問題；

（六）組織編制年度內控工作報告、年度風險評估報告等文件；

（七）組織推進本單位相關信息系統(tǒng)建設；

（八）開展內控合規(guī)風險管理文化宣貫和培訓；

（九）完成其他事項。

第三章 內部環(huán)境

第九條 內部環(huán)境是實施內控合規(guī)風險管理的基礎和前提。內部環(huán)境包括公司治理結構、組織架構、發(fā)展戰(zhàn)略和規(guī)劃、人力資源、內部審計、企業(yè)文化和社會責任等。

第十條 各單位應根據(jù)國家有關法律法規(guī)和公司章程，建立規(guī)范的公司治理結構、議事規(guī)則，明確內部組織機構設置權責分配，確保“三重一大”決策制度有效落實，確保員工正確履職盡責。

第十一條 各單位應制定和實施發(fā)展戰(zhàn)略和規(guī)劃，應把握新發(fā)展階段，堅持新發(fā)展理念，融入新發(fā)展格局，貫徹國家戰(zhàn)略，對接區(qū)域、專項等發(fā)展戰(zhàn)略，順應行業(yè)發(fā)展趨勢，符合企業(yè)實際，著力推進高質量發(fā)展。

第十二條 各單位應制定和實施有利于企業(yè)可持續(xù)發(fā)展的人力資源政策，將職業(yè)道德修養(yǎng)、專業(yè)勝任能力等作為聘用和選拔員工的重要標準，將內控合規(guī)風險管理人才隊伍建設和員工培訓等作為人力資源政策的重要組成部分。

第十三條 各單位應將內控合規(guī)風險管理文化建設融入企業(yè)文化建設全過程，培育和推廣內控合規(guī)風險管理文化，將內控合規(guī)風險管理作為經營理念和社會責任的重要內容，增強員工的內控意識、合規(guī)意識、風險意識并轉化為員工的共同認識和自覺行為，營造穩(wěn)健合規(guī)的經營環(huán)境。

第四章 風險評估與監(jiān)測

第十四條 各單位應廣泛、全面、持續(xù)收集與風險和風險管理相關的內外部信息，并對所收集的風險信息進行核查、提煉、分析和動態(tài)管理，提高信息的有用性。信息內容包括但不限于：

（一）戰(zhàn)略風險方面：國內外宏觀經濟形勢、產業(yè)政策、行業(yè)發(fā)展狀況、國際化經營、改革與業(yè)務轉型、科技創(chuàng)新、戰(zhàn)略伙伴情況、資本運作、并購重組等信息；

（二）市場風險方面：電力、煤炭等商品行情、價格信息，市場競爭情況，客戶信用和回款情況等信息；

（三）財務風險方面：企業(yè)現(xiàn)金流量、債務、金融衍生品交易、金融業(yè)務等財務信息，行業(yè)會計政策、會計估計信息，匯率、利率等融資政策和信息，行業(yè)平均指標、先進指標等信息；

（四）運營風險方面：企業(yè)經營效益信息，非主業(yè)投資、投資計劃完成信息，安全生產事故、生態(tài)環(huán)保事故、網絡安全等信息，重大自然災害預警信息，國家和地方安全生產、節(jié)能環(huán)保政策信息，煤炭、物資采購與供應鏈信息，工程質量、進度控制等信息；

（五）法律與合規(guī)風險方面：與本企業(yè)相關的法律法規(guī)環(huán)境，法律法規(guī)、監(jiān)管規(guī)定等調整變化情況，法律法規(guī)、監(jiān)管規(guī)定等相關合規(guī)要求遵循情況，企業(yè)發(fā)生的重大法律訴訟案件、重大監(jiān)管處罰等信息；

（六）其他風險方面：其他對企業(yè)經營發(fā)展造成影響的信息。

第十五條 各單位應進行風險分類，建立風險清單，統(tǒng)一風險名稱、定義和描述，保證風險清單的系統(tǒng)性和科學性，并根據(jù)內外部形勢變化和風險識別分析結果動態(tài)調整、不斷改進。各單位應參照公司風險清單建立適合本企業(yè)的風險清單。

定期（每年至少一次）全面分析識別本部門業(yè)務領域面臨的風險挑戰(zhàn)，編制本業(yè)務領域的風險清單，經部門負責人審核同意后提交給財務資產部。

第十六條 各單位定期（每年至少一次）開展風險評估工作，根據(jù)風險評估標準，結合風險偏好，從是否存在風險、存在何種風險、風險發(fā)生可能性、對企業(yè)實現(xiàn)經營目標影響程度等方面，對風險進行評估，確定重大風險、重要風險、中等風險和低風險等四個等級，綜合形成本單位年度風險評估報告。

各單位應根據(jù)要求和工作需要組織開展專項風險評估。在發(fā)展戰(zhàn)略、資產收購、改制重組等重大經營事項決策前應開展專項風險評估、合法合規(guī)審查，并將風險評估報告及合法合規(guī)審查報告作為重大決策必備的支撐材料。對超出企業(yè)風險承受能力的事項不得決策，已經決策的事項不得組織實施。

第十七條 各單位應根據(jù)自身條件、經營特點和外部環(huán)境，圍繞公司發(fā)展戰(zhàn)略和經營目標，在進行風險評估基礎上，確定風險管理策略。按風險類別和等級確定其風險偏好和風險承受度，選擇風險承擔、風險規(guī)避、風險轉移、風險對沖、風險補償、風險控制等適合的風險管理策略。

各單位在制訂年度投資經營計劃和預算時應充分考慮各種主要風險因素，并體現(xiàn)年度風險管理策略。

各單位應根據(jù)年度投資經營計劃和預算編制安排,完成風險管理策略的制定工作。

第十八條 各單位應根據(jù)風險管理策略，針對各類風險或每一項重大風險制定風險管理解決方案。風險管理解決方案包括風險解決具體目標、所涉及的管理及業(yè)務流程、所需資源，以及風險事件發(fā)生前、中、后所采取的應對措施等。

年度前十大風險解決方案由相關業(yè)務職能部門負責制訂，經部門負責人審核同意后，由財務資產部統(tǒng)一提請公司董事會審批；其他風險解決方案由相關業(yè)務職能部門自行制訂并組織實施。

對于跨職能部門的風險應對，職能部門應從整體風險應對效果出發(fā)，聯(lián)合相關業(yè)務職能部門制定風險管理策略及解決方案。

第十九條 各單位應研究建立健全風險監(jiān)測指標體系，在重點領域開展風險量化工作，完善風險預警機制，對風險管理情況進行實時監(jiān)控、及時預警。

相關業(yè)務職能部門負責本業(yè)務領域的監(jiān)控指標設計、監(jiān)測實施和報告等工作，于每季度結束后5日內將本部門業(yè)務領域內的年度前十大風險管理情況和監(jiān)測指標運行情況提交給財務資產部。

財務資產部負責對風險監(jiān)測指標進行整體監(jiān)控和匯總分析，及時通報有關情況或進行風險提示，督促落實風險應對預案。

第五章 內部控制活動

第二十條 各單位應將以風險管理為導向、以合規(guī)管理為重點的內控體系建設情況，編制形成《內控合規(guī)管理手冊》《合規(guī)行為準則》等，并定期對內控體系的有效性、合理性進行復審，根據(jù)管理要求變化及發(fā)現(xiàn)的缺陷不斷優(yōu)化完善。

第二十一條 各單位應加強制度建設。梳理分析風險內控體系執(zhí)行情況，認真查找內控體系的短板弱項，不斷完善內控制度體系。根據(jù)外部監(jiān)管新規(guī)定以及企業(yè)新業(yè)務、新變化、新問題，及時做好相關制度留、立、廢、改工作，明確重要業(yè)務領域和關鍵環(huán)節(jié)的內控要求、風險應對措施及違規(guī)經營投資責任追究規(guī)定。加大制度執(zhí)行監(jiān)督檢查力度，強化責任追究，增強制度剛性約束。

第二十二條 各單位應結合風險評估結果和風險監(jiān)測情況，通過預防性控制與發(fā)現(xiàn)性控制、手工控制與自動控制相結合的方法，執(zhí)行相應的控制措施，針對重大風險所涉及的各管理及業(yè)務流程，實施涵蓋各個環(huán)節(jié)的全流程控制措施；對其他風險所涉及的業(yè)務流程，把關鍵環(huán)節(jié)作為控制點，執(zhí)行相應控制措施，將風險控制在可承受范圍之內。

第二十三條 內部控制一般采取以下控制措施：組織機構和人員分工控制、制度流程控制、不相容職務分離控制、授權審批控制、計劃預算控制、陽光交易控制、財產保護控制、營運分析控制、績效考評控制、信息系統(tǒng)控制等，其中：

（一）不相容職務分離控制。全面梳理業(yè)務流程中所涉及的不相容職務，嚴格規(guī)范重要崗位和關鍵人員在授權、審批、執(zhí)行、報告等方面的權責，實現(xiàn)可行性研究與決策審批、決策審批與執(zhí)行、執(zhí)行與監(jiān)督檢查等崗位職責的分離。

（二）授權審批控制。規(guī)范授權放權管理，完善授權放權管理制度，編制權限指引、責任清單或授權放權清單，加強重要崗位授權管理和權力制衡，明確各崗位辦理業(yè)務和事項的權限范圍、審批程序和相應責任，強化重要業(yè)務領域各崗位的職責權限和審批程序，形成相互銜接、相互制衡、相互監(jiān)督的工作機制。

（三）計劃預算控制。堅持計劃預算引領，強化計劃預算約束，開展運營分析，發(fā)揮資源配置作用，保障績效目標實現(xiàn)。

（四）財產保護控制。保管財產文件資料，核對賬表實情況，盤點實物資產和有價憑單，嚴格限制未經授權人員直接接觸財產，確保資產安全。

（五）績效考評控制。對單位內部各責任單位和全體員工工作績效進行考評，并將結果作為確定薪酬、職務調整等的重要依據(jù)。

第二十四條 合規(guī)管理重點采取以下控制措施：外法內化、合規(guī)審查、合規(guī)咨詢、合規(guī)培訓、合規(guī)承諾、違規(guī)舉報等，其中：

（一）外法內化。跟蹤研究法律法規(guī)變化和監(jiān)管動態(tài)，針對重點領域制定具體合規(guī)管理辦法，及時將外部合規(guī)要求轉化為內部規(guī)章制度。

（二）合規(guī)承諾。實行全員承諾制，制定并組織簽訂《合規(guī)承諾書》，實現(xiàn)合規(guī)思想認識、制度要求與執(zhí)行效果的統(tǒng)一，增強企業(yè)合規(guī)管控能力。

（三）合規(guī)審查。將合規(guī)審查融入業(yè)務流程，規(guī)章制度制定、重大事項決策、重要合同簽訂、重大項目運營等經營管理行為必須納入合規(guī)事項審查清單，未經合規(guī)審查不得實施。

事項簡單、合規(guī)風險不大的合規(guī)管理事項，按一般合規(guī)管理事項管理，由業(yè)務職能部門負責審核；對于復雜且存在重大合規(guī)風險的事項、需提交決策會議決策的事項，按重要合規(guī)管理事項管理，由業(yè)務部門及相關部門審核；對于特別復雜且存在特別重大合規(guī)風險的事項，按特別重要合規(guī)管理事項管理，須提請相關會議進行審核。

（四）合規(guī)咨詢。業(yè)務職能部門及其員工在履職過程中需要對關鍵領域或重要環(huán)節(jié)的法律合規(guī)事項進行咨詢時，應主動向辦公室（法律事務部）尋求支持。辦公室（法律事務部）組織研究后及時答復或啟動法律合規(guī)審核流程。對于復雜或專業(yè)性強且存在重大合規(guī)風險的事項，辦公室（法律事務部）應按規(guī)定聽取法律顧問意見，或委托專業(yè)機構召開論證會后再形成審核意見。

（五）合規(guī)培訓。加強全員合規(guī)培訓，強化境外、高風險業(yè)務等重點崗位人員合規(guī)培訓。培育和推廣合規(guī)文化，踐行依法合規(guī)、誠信經營的價值觀，不斷增強員工的合規(guī)意識和行為自覺。

（六）合規(guī)報告。發(fā)生較大合規(guī)風險事件，相關業(yè)務職能部門應及時向合規(guī)管理負責人、分管領導報告。發(fā)生重大合規(guī)風險事件，應及時向公司報告。相關業(yè)務職能部門應對合規(guī)風險事件進行分級分類管理。

（七）違規(guī)舉報。公司設立違規(guī)舉報平臺，對外公布舉報電話、郵箱和信箱，員工、客戶、第三方均有權利進行投訴。相關部門按照職責范圍受理違規(guī)舉報，并就舉報問題進行調查和處理。

（八）違規(guī)問責。完善違規(guī)行為處罰機制。針對反映的問題和線索，及時開展調查，嚴肅追究違規(guī)人員責任。違規(guī)情節(jié)輕的，給予批評教育并責令整改；違規(guī)情節(jié)重的，按照公司相關違規(guī)處罰規(guī)定給予相應處罰；涉嫌犯罪的，移送相關國家機關處理。

第二十五條 各單位發(fā)生重大經營風險事件（重大內控缺陷），應執(zhí)行公司《重要情況報告制度》《重大突發(fā)事件應急管理辦法》等有關規(guī)定，在落實即發(fā)即報要求的同時，做好應急處置，最大程度化解風險、降低損失。

第六章 管理重點

第二十六條 各單位應根據(jù)外部環(huán)境變化，結合企業(yè)實際，在全面推進內控合規(guī)風險管理體系有效運行的基礎上，突出重點領域、重點環(huán)節(jié)、重點部門和人員、重點單位的內控合規(guī)風險管理，切實防范風險。

第二十七條 各單位應在開展風險評估、應對、事件處置全過程管理的基礎上，重點關注重大風險、重大風險事件和重大決策。完善重大風險防控機制，建立健全重大風險研判機制、決策風險評估機制、重大風險防控協(xié)同機制、重大風險防控責任機制。強化防范化解重大風險全過程管控，加強對經營環(huán)境變化的監(jiān)測及趨勢研判，提升對經營管理的缺陷和問題的整改及風險應對水平，有效做好企業(yè)間風險隔離，防止風險疊加、轉化和聯(lián)動，避免發(fā)生系統(tǒng)性、顛覆性重大風險。

第二十八條 內控管理應覆蓋組織機構和人力資源管理、國資國企改革、投資管理、財務管理、資本運營、并購重組、采購管理、銷售管理、生產運營管理、安全環(huán)保管理、工程建設管理、科技創(chuàng)新管理。同時加強對以下重點領域的合規(guī)管理：

（一）市場交易。完善交易管理制度，嚴格履行決策批準程序，建立健全自律誠信體系，突出反商業(yè)賄賂、反壟斷、反不正當競爭，規(guī)范資產交易、煤炭購銷、招投標等活動。

（二）安全環(huán)保。嚴格執(zhí)行國家安全生產、環(huán)境保護法律法規(guī)，完善企業(yè)生產規(guī)范和安全環(huán)保制度，加強監(jiān)督檢查，及時發(fā)現(xiàn)并整改違規(guī)問題。

（三）質量管理。完善質量體系，加強過程控制，嚴把各環(huán)節(jié)質量關，提供優(yōu)質產品和服務，加強大修、技改以及工程建設質量管理。

（四）勞動用工。嚴格遵守勞動法律法規(guī)，健全完善勞動合同管理制度，規(guī)范勞動合同簽訂、履行、變更和解除，切實維護勞動者合法權益。

（五）財務稅收。健全完善財務內部控制體系，嚴格執(zhí)行財務事項操作和審批流程，嚴守財經紀律，強化依法納稅意識，嚴格遵守稅收法律政策。

（六）知識產權。及時申請注冊知識產權成果，規(guī)范實施許可和轉讓，加強對商業(yè)秘密和商標的保護，依法規(guī)范使用他人知識產權，防止侵權行為。

（七）商業(yè)伙伴。對重要商業(yè)伙伴開展合規(guī)調查，通過簽訂合規(guī)協(xié)議、要求作出合規(guī)承諾等方式促進商業(yè)伙伴行為合規(guī)。

（八）并購重組。企業(yè)整體資產或企業(yè)股權的購買、兼并或無償劃轉應符合國家產業(yè)政策、宏觀調控政策和公司發(fā)展戰(zhàn)略，嚴格遵守國家法律法規(guī)和政策，并購投資操作程序應依法合規(guī)。

第二十九條 加強對以下重點環(huán)節(jié)的內控合規(guī)管理：

（一）制度制定環(huán)節(jié)。強化對規(guī)章制度、改革方案等重要文件的合規(guī)審查，確保符合法律法規(guī)、監(jiān)管規(guī)定等要求。

（二）經營決策環(huán)節(jié)。嚴格落實“三重一大”決策制度，細化各層級決策事項和權限，加強對決策事項的合規(guī)論證把關，特別盯防授權、分權、行權、決策、審批、會簽等權力行使密切相關的重點環(huán)節(jié)，保障決策和權力運行依法合規(guī)。

（三）生產運營環(huán)節(jié)。嚴格執(zhí)行合規(guī)制度，加強對重點流程的監(jiān)督檢查，特別盯防商務談判、訂立合同、結算、付款、交割、驗收、注冊、注銷、銀行密鑰和印章使用等與權力行使密切相關的重點環(huán)節(jié)，確保生產經營過程中照章辦事、按章操作。

第三十條 加強以下重點部門和崗位人員的內控合規(guī)管理：

（一）權力集中部門和人員。對權力集中的部門和崗位實行分事行權、分崗設權、分級授權，定期輪崗，強化內部流程控制，防止權力濫用；完善內部層級監(jiān)督和專門監(jiān)督，建立常態(tài)化監(jiān)督制度；完善糾錯問責機制，健全問責方式和程序。

（二）資金密集部門和人員。建立資金集中管控模式，推進業(yè)務、財務、支付一體化信息系統(tǒng)有效運行，強化現(xiàn)金流量預算管理，實現(xiàn)對大額特殊資金的逐筆監(jiān)控。

（三）資源資產富集部門和人員。健全管理制度，建立先進的管理技術和方法，明確資源資產權屬，量化資源資產金額，監(jiān)控資源資產情況，規(guī)范資源資產交易。

（四）管理人員。促進管理人員切實提高內控合規(guī)意識，帶頭依法依規(guī)開展經營管理活動，認真履行內控合規(guī)管理職責，強化考核與監(jiān)督問責。

第七章 信息應用與信息化建設

第三十一條 各單位應建立健全信息應用和報送制度。組織編制年度內控工作報告、年度合規(guī)管理報告、年度風險評估報告，履行審批程序后報送公司。公司財務資產部應組織各單位按要求開展年度內控工作報告、年度風險評估報告編制工作；公司辦公室（法律事務部）應組織各單位按要求開展年度合規(guī)管理報告編制工作；公司審計部應組織各單位按要求開展年度內部控制評價報告編制工作。

（一）各單位于每年12月20日前將年度風險評估報告提請本單位董事會或類似決策機構批準后上報公司。

（二）各單位根據(jù)內控監(jiān)督評價結果，形成年度內部控制工作報告，經本單位董事會或類似決策機構審議批準后，于每年1月20日前報送至公司，同時抄送本單位監(jiān)事會（如有）。

年度內控工作報告包括內控體系建設及執(zhí)行情況、合規(guī)管理情況、風險管理情況以及年度監(jiān)督評價情況等。

（三）各單位在做好重大經營風險事件即發(fā)即報的基礎上，于次月8日前將重大經營風險事件月度報表報送至公司，重大經營風險事件處置或整改工作結束后2個工作日內向公司報送專項整改報告。

第三十二條 各單位應規(guī)范業(yè)務管理信息系統(tǒng)的審批流程及各層級管理人員權限設置，將內控控制措施嵌入業(yè)務管理信息系統(tǒng)，確保自動識別并終止超越權限、逾越程序和審核材料不健全等行為，逐步實現(xiàn)各項經營管理決策和執(zhí)行活動可控制、可追溯、可檢查，有效減少人為違規(guī)操縱因素。

第三十三條 按公司要求統(tǒng)籌開展內控合規(guī)風險管理信息化統(tǒng)一平臺建設，有序推進內控合規(guī)風險管理信息化統(tǒng)一平臺與ERP、辦公自動化系統(tǒng)等信息系統(tǒng)的集成應用，逐步實現(xiàn)統(tǒng)一平臺與業(yè)務信息系統(tǒng)互聯(lián)互通、有機融合；積極探索利用現(xiàn)代信息技術，逐步實現(xiàn)風險實時監(jiān)測、自動預警以及內控監(jiān)督評價等在線監(jiān)管功能。

第三十四條 公司內控合規(guī)風險管理信息化統(tǒng)一平臺運行后，各單位依托統(tǒng)一平臺，開展風險評估、風險監(jiān)控預警、風險事件管理、監(jiān)督評價、問題缺陷整改、報告報表編報等工作。

第八章 監(jiān)督評價與改進

第三十五條 各單位應建立健全內部控制監(jiān)督評價機制，統(tǒng)籌推進內控合規(guī)風險管理的監(jiān)督評價工作，將內控合規(guī)風險管理體系建設及實施情況納入內部控制監(jiān)督評價范疇，制定定性與定量相結合的內控缺陷認定標準、合規(guī)評價標準和風險評估標準，規(guī)范監(jiān)督評價方式、方法、內容、程序、整改落實和成果應用等事項。

第三十六條 內部控制監(jiān)督評價方式包括：企業(yè)年度自評、上級年度抽評、審計評價、審計監(jiān)督：

（一）企業(yè)年度自評。各單位每年以規(guī)范流程、消除盲區(qū)、有效運行為重點，對內控體系有效性進行全面自評。

（二）上級年度抽評。公司每年組織對所屬企業(yè)內控體系有效性進行抽查評價，確保每3年覆蓋全部企業(yè)。

（三）審計評價。對內控監(jiān)督不到位、風險事件和合規(guī)問題頻發(fā)的企業(yè)，由審計部門聘請具有相應資質的社會中介機構進行內控審計評價，出具內控審計報告。

（四）審計監(jiān)督。審計監(jiān)督部門對企業(yè)內控體系健全性和有效性開展審計監(jiān)督。

第三十七條 內部控制監(jiān)督評價重點內容：

（一）內控合規(guī)風險管理體系建設情況，主要包括：組織職責體系建設情況，各項管理工作機制建立健全情況，制度建設情況，信息系統(tǒng)建設情況等；

（二）內控合規(guī)風險管理體系執(zhí)行情況，主要包括：各項管理工作機制和制度執(zhí)行情況、信息系統(tǒng)操作和運行情況等；

（三）風險評估和應對化解效果，主要包括：風險評估的完整性和針對性，風險和風險事件報告和應對化解的及時性和有效性等；

（四）經營管理關鍵業(yè)務、重點環(huán)節(jié)以及改革重點領域、境外投資等情況；

（五）內外部監(jiān)督檢查反映的重大及共性問題。

第三十八條 內部控制監(jiān)督評價技術方法包括：個別訪談、專題討論、調查問卷、穿行測試、控制測試、抽樣、比較分析等方法。實施中應綜合考慮選擇多種評價方法，獲取充分、相關、可靠的證據(jù)對內部控制設計和運行的有效性進行評價。

第三十九條 內部控制監(jiān)督評價程序一般包括制定評價工作方案、組成評價工作組、組織評價培訓、開展現(xiàn)場評價、認定內控缺陷、交換評價意見、編報評價報告、制定整改方案、評價資料歸檔、監(jiān)督評價成果應用等環(huán)節(jié)。

各單位根據(jù)需要可以聘請外部專業(yè)機構協(xié)助開展內部控制評價等工作。

第四十條 內部控制監(jiān)督評價中發(fā)現(xiàn)的重大缺陷應由被評價單位通過相關程序予以認定，并及時采取應對措施。

第四十一條 各單位應統(tǒng)籌開展內部控制監(jiān)督評價和內部控制審計監(jiān)督工作，有效利用監(jiān)事會（監(jiān)事）、內部審計等的監(jiān)督檢查工作成果，以及外部審計檢查、紀檢監(jiān)察、巡視巡察反饋問題情況，促進內控體系持續(xù)優(yōu)化。

第四十二條 各單位應加強內控缺陷、合規(guī)問題和風險隱患整改，立行立改、舉一反三，建立問題臺賬，實行銷號管理，開展整改工作“回頭看”。對整改不力的印發(fā)提示函或通報，進一步落實整改責任。

第四十三條 各單位應把內部控制審計監(jiān)督評價結果作為改善管理、防控風險、完善制度、強化考核和責任追究的重要依據(jù)，并將內控合規(guī)風險管理考評結果納入年度績效考核。

第四十四條 各單位應強化責任追究，未履行或未正確履行內控合規(guī)風險管理職責，造成資產損失或其他嚴重不良后果等情形的，依照公司《違規(guī)經營投資責任追究實施辦法》《管理人員處分規(guī)定（試行）》等制度規(guī)定，追究有關企業(yè)和人員責任。

第九章 附 則

第四十五條 本辦法由公司財務資產部會同辦公室（法律事務部）負責解釋。

第四十六條 本辦法自董事會審議通過之日起施行。

附：內控風險合規(guī)管理圖