风险管理 - 制度适用于各职能部门及境内子公司，境外子公司可参照实施[2] - 总体目标是将风险控制在可承受范围、确保信息沟通真实可靠等[4] - 工作原则为全面覆盖、分级分类、重在预防、促进发展[5] - 按内容分战略、财务、市场、运营、法律五类风险[6] - 按损失分纯粹风险和机会风险[7] - 按影响程度分重大、重要、一般风险[7] - 董事会是决策机构，审计委员会提供咨询建议[7] - 审计部是日常工作归口管理责任部门[8] - 所属子企业防范化解经营层面风险[9] - 机会风险管控依赖公司治理和运营管理，纯粹风险控制依赖内部控制和应急管理[10] - 基本流程包括风险识别、评估、应对、监督和改进[11][12] - 重大、重要风险管理程序包括识别与评估、监控与应对、状态跟踪与报告[13] 制度建设 - 涵盖规范业务流程、健全内控制度、完善应急预案、加强制度执行监督[14][15][16] - 内控制度规范明确关键环节、建立岗位制约、采取控制措施、统一控制指标[14][15] - 应急预案包括应急组织、运行、保障和其他管理机制[15][16] - 所属子企业按公司预案执行并结合自身情况建立预案，报对口部门和审计部备案[16] 信息化建设 - 配合集团建设信息系统、事项库、文件库，实现自动预警和控制[16][17] 沟通机制 - 在本级与子企业间建立沟通渠道，方式有风险提示、报告、监控、工作报告[17][18] - 配合集团建立风险提示、报告、监控、工作报告机制[18] - 发生重大经营风险事件或内控缺陷，子企业24小时内书面报告审计部，特别紧急事件第一时间电话报告[18] - 形成规范的风险管理工作报告[19] 内部控制体系建设 - 总体目标是建立以风险管理为导向、合规管理监督为重点的内控体系，实现“强内控、防风险、促合规”[21] - 遵循合法性、全面性、重要性、制衡性、有效性原则[22] - 包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素[22] - 建立规范的公司治理结构和议事规则，明确职责权限[22] - 结合业务特点和内控要求设置内部机构，明确职能和职责权限[23] - 通过编制内控文档对接规章制度与外部监管要求[23] - 风险评估识别内外部风险因素，采用定性与定量结合方法分析排序[25][26] - 综合运用风险规避、降低、分担和承受等策略应对风险[26] - 结合风险评估结果，运用控制措施将风险控制在可承受度之内[27] 内控体系组成与职责 - 由内部环境、风险评估、控制活动、信息与沟通、内部监督子体系组成[32] - 所属子企业内控体系是公司内控体系组成部分，涉及内控五要素主要方面[33] - 董事会是内控管理工作决策机构，负责决策或授权批准重大事项[33] - 审计委员会为董事会决策提供咨询意见和建议，指导内控体系建设[33] - 管理层负责内部控制日常运行[33] - 审计部是内控工作牵头及归口管理部门，负责组织协调建设和实施工作[34] - 各职能部门及所属子企业是内部控制具体实施单位[34] - 所属子企业根据自身情况健全内控管理体系，设定专职归口部门[35] 其他制度 - 实施全面预算管理制度，强化预算约束[29] - 建立运营情况分析制度，定期开展运营分析并改进[29] 内控制度立项与评价 - 立项途径包括审计部提要求、职能部门完善、子企业建立[36] - 审计部提制度完善要求含控制目标等并履行程序[37] - 子企业每年对内控体系有效性全面自评并形成报告报审计部[37] - 审计部在子企业自评基础上制定年度监督评价方案[37] - 子企业按评价结果整改内控缺陷，整改结果30日内书面报审计部备案[38] - 子企业建立与内控评价结果挂钩的考核机制[38] 制度生效 - 本制度由董事会负责解释[40] - 本制度自董事会审议通过之日起生效[40]