合兴汽车电子股份有限公司
内部控制制度第一章总 则第一条 为规范和加强合兴汽车电子股份有限公司(以下简称“公司”)内部控制,提高公司经营管理水平和风险防范能力,保护投资者合法权益,根据《中华人民共和国公司法》(以下简称《公司法》)、《中华人民共和国证券法》(以下简称《证券法》)、《企业内部控制基本规范》(以下简称《规范》)、《上海证券交易所股票上市规则》(以下简称《上市规则》)、《上海证券交易所上市公司内部控制指引》(以下简称《内控指引》)等法律、法规和《公司章程》规定,结合公司实际,制订本制度。
第二条 本制度所称内部控制,是指由公司董事会、监事会、管理层以及全体员工实施的、旨在实现控制目标的过程。第三条 本制度适用于公司所属各单位(部门)及各子(孙)公司的内部控制管理。第四条 内部控制管理目标:
(一)确保公司经营管理合法合规,以及内部规章制度的贯彻执行;
(二)建立良性的内部环境,提高经营效率和效果,促进公司实现发展战略;
(三)建立切实有效的风险管理机制,从而保证公司的经营管理和资产的安全;
(四)保证内部、外部的信息有效沟通,财务报告及相关信息的真实、完整。
第五条 公司内部控制应遵循以下主要原则:
(一)全面性原则。内部控制应当覆盖所有业务、部门和人员,渗透到决策、执行、监督、反馈等各个环节;
(二)重要性原则。内部控制应当关注重要业务事项、高风险领域;
(三)制衡性原则。公司治理机构、部门及岗位的设置应当权责分明、相互制约、相互监督;
(四)适应性原则。内部控制应当与公司经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面相适应,并随着情况的变化及时调整;
(五)成本效益原则。内部控制应当合理权衡成本与效益的关系,以合理的成本实现有效的控制。
第二章 内部控制的总体框架
第六条 内部控制基本要素:
(一)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等;
(二)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略;
(三)控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内;
(四)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通;
(五)内部监督评价。内部监督与评价是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
第七条 内部控制制度的层次:
(一)公司层面:公司按照法律、法规、规章及其配套办法、指引,建立健全内部控制制度,保证其完整性、合理性;
(二)各单位(部门)层面:在符合公司总体战略目标的基础上,针对自身业务环节的特点,建立相应的专业管理制度;
(三)各类业务层面:内部控制涵盖公司经营活动中所有的业务环节,主要包括但不限于以下:
1.组织架构环节:包括股东大会、董事会、监事会、管理层和公司内部各层级机构设置、职责权限、人员编制、工作程序的建立、评估、修订等;
2.发展战略环节:包括发展战略的分析、制订、实施与调整;
3.人力资源环节:包括人力资源的规划、引进、开发、使用、退出等;
4.社会责任环节:包括安全生产、产品质量、环境保护与节约资源、促进就业与员工权益保护等;
5.公司文化环节:包括公司文化的建设、评估与改进等;
6.资金活动环节:包括筹资、投资、资金运营等;
7.采购业务环节:包括计划、申购、审批、采购、验收、付款、评估等;
8.资产管理环节:包括固定资产、仓储存货及无形资产等;
9.销售业务环节:包括市场与客户开发、信用管理、业务谈判、订单处理、发货与退货处理、开票与收款、记账等;
10.研究与开发环节:包括基础研究、产品设计、技术开发、产品测试、成果保护、研发记录及文件保管等;
11.工程项目环节:包括项目的立项、招标、造价、建设、验收、评估等;
12.担保业务环节:包括调查、评估、审批、执行与监控等;
13.业务外包环节(不涉及工程项目外包):包括对承包方的选择、审批,以及业务外包的实施、控制、验收、评估等;
14.全面预算环节:包括预算的编制、执行与考核等;
15.合同管理环节:包括合同的谈判、订立、履行、保密与评估等;
16.财务报告环节:包括财务报告的编制、对外提供与分析利用等;
17.内部信息传递环节:包括内部报告的内容设计、及时形成、传递范围和方式与时效、密级分类与使用安全等;
18.信息系统环节:包括信息系统的规划、开发、运行与维护、安全管理等。第八条 公司制定组织结构图、业务流程图、岗(职)位说明书和权限指引等内部管理制度或相关文件,使员工了解和掌握组织架构设计及权责分配情况,正确履行职责。
第三章 内部环境第九条 根据国家有关法律法规和《公司章程》,建立规范的治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制:
(一) 公司股东大会是公司最高权力机构,依法行使公司经营方针、筹资、投资、利润分配等重大事项的表决权;
(二)公司董事会对股东大会负责,依法行使公司的经营决策权;
(三)公司监事会对股东大会负责,监督董事会、管理层及其他高级管理人员依法履行职责;
(四)公司管理层负责组织实施股东大会、董事会决议事项,主持公司的经营管理工作。
第十条 公司董事会是内部控制的决策机构,负责与内部控制有关重大事项的决定,负责审定内部控制体系框架及实施计划、内部控制体系管理的重大方针政策、规章制度、方法标准以及公司风险评估报告、内部控制评价报告等。
第十一条 公司管理层负责内部控制战略规划和有效实施,内审部负责公司内部控制日常管理,包括内部控制体系的建设运行、检查、提出整改建议和督促整改、维护及完善。第十二条 各单位(部门)主要领导负责建立本单位的符合内部控制要求的管理制度、岗位职责、业务操作流程,并落实到日常工作中。第十三条 公司应加强对子公司、控股公司等下属单位的内部控制管理:
(一)内审部指导各子公司、控股公司内部控制体系建设、运行、检查和效果评估;
(二)公司各职能部门,应作为公司授权机构,同时承担对子公司、控股公司在本专业方面的内部控制管理职能;
(三)各子公司、控股公司负责组织建立符合内部控制要求的管理制度、岗位职责和业务操作流程,并落实到日常工作中;
(四)委派到各子公司、控股公司的管理人员介入各业务环节内部控制管理,并按要求及时向母公司汇报。
第十四条 制定和实施可持续发展的人力资源政策,包括:
(一)员工的聘用、培训、劳动关系的终止与解除;
(二)员工的薪酬、考核、晋升与奖惩;
(三)关键岗位员工的休假制度和定期岗位轮换制度;
(四)掌握重要商业秘密的员工离岗的限制性规定;
(五)有关人力资源管理的其他政策。
第十五条 加强文化建设,培养积极向上的价值观和社会责任感。公司员工应当认真履行岗位职责,强化风险意识。
第十六条 加强法制教育,增强高级管理人员及员工的法制观念,严格依法决策、依法办事、依法监督。
第四章 风险评估
第十七条 公司各单位(部门)应当根据设定的控制目标,广泛收集与风险管理相关信息。
第十八条 公司开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。
第十九条 识别内部风险,重点关注下列因素:
(一)董事、监事及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素;
(二)组织机构、经营方式、资产管理、业务流程等管理因素;
(三)研究开发、技术投入、信息技术运用等自主创新因素;
(四)财务状况、经营成果、现金流量等财务因素;
(五)营运安全、员工健康、环境保护等安全环保因素;
(六)其他有关内部风险因素。
第二十条 识别外部风险,重点关注下列因素:
(一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;
(二)法律法规、监管要求等法律因素;
(三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;
(四)技术进步、工艺改进等科学技术因素;
(五)自然灾害、环境状况等自然环境因素;
(六)其他有关外部风险因素。
第二十一条 风险评估应采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。进行风险分析时,应当充分吸收专业人员组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性,避免因个人风险偏好给公司经营带来重大损失。
第二十二条 公司根据风险分析的结果,结合风险承受度,权衡风险与收益,综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。
第五章 控制活动
第二十三条 公司结合风险评估结果,通过手工控制与自动控制、预防性控制与检查性控制相结合的方法,将风险控制在可承受度之内。采取的控制措施主要包括但不限于以下:
(一)不相容职务分离控制。将业务流程中所涉及的不相容职务相互分离,形成各司其职、各负其责、相互制约的工作机制;
(二)授权审批控制。根据常规授权和特别授权的规定,明确各岗位权限范围、审批程序和相应责任,各级管理人员应当在授权范围内行使职权和承担责任。公司对于重大的业务和事项实行集体决策审批制度;
(三)会计系统控制。严格执行国家统一的会计准则,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。公司依法设置会计机构,配备会计专业人员;
(四)财产保护控制。建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。公司须严格限制未经授权的人员接触和处置财产;
(五)预算控制。实施全面预算管理制度,明确各预算责任主体在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
(六)运营分析控制。建立运营情况分析制度,管理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进;
(七)绩效考评控制。建立和实施绩效考评制度,科学设置考核指标体系,对公司内部各预算责任主体和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据;
(八)重大风险预警机制和突发事件应急处理机制。公司对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
第二十四条 公司应根据内部控制目标,结合风险应对策略,综合运用控制措施,对本制度第七条所列各业务环节及以下特定风险事项实施有效控制措施:
(一)对控股公司的控制管理;
(二)对关联交易的控制管理;
(三)对对外担保的控制管理;
(四)对募集资金使用的控制管理;
(五)对重大投资的控制管理;
(六)对信息披露的控制管理;
(七)对控股股东及关联方占用公司资金的控制管理。
第六章 信息与沟通
第二十五条 建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,建立明确的管理报告体系,确保信息及时沟通,促进内部控制有效运行。
第二十六条 对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。内部信息主要来自于:财务会计资料、经营管理资料、调研报告、专
项信息、内部刊物、办公网络等渠道。外部信息主要来自于:行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道。第二十七条 将内部控制相关信息在各单位、业务环节之间,以及公司与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中若发现问题,应当及时加以解决。
第二十八条 利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。加强对信息系统开发与维护、访问与变更、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
第二十九条 建立反舞弊机制,开展多种反舞弊教育,防范重点领域、关键环节舞弊案件的发生和实施补救。建立举报投诉、举报人保护等制度,设置举报专线和专用邮箱,明确举报投诉处理程序和办结要求,确保举报、投诉成为公司有效掌握信息的重要途径。
第七章 内部监督与评价
第三十条 内审部采取日常监督与专项监督相结合的方式,每年定期或不定期组织内部控制自查。
第三十一条 内部控制的监督检查主要包括:内部控制制度的建立与健全、内部控制制度执行情况、评价内部控制的科学性和有效性、提出完善内部控制和纠正错弊的建议等。
第三十二条 内审部按公司内控缺陷认定标准及认定流程对监督过程中发现问题进行缺陷认定,组织分析缺陷的性质和产生的原因,提出整改方案。
第三十三条 内审部应向公司管理层提交年度或不定期工作报告,据实反映内部控制监督检查中发现的缺陷及实施中存在的问题,并进行追踪记录。若为重大缺陷,应及时向公司管理层报告,并在管理层指导下,督促缺陷的改进和完善。
第三十四条 员工对内部控制执行情况负有自我监督与相互监督的责任,可通过多种形式向内审部反映实施中存在的问题及提出合理化建议。
第三十五条 内审部制订内部控制管理相关考核办法,合理设置考核指标,对各单位(部门)内部控制体系建设及运行效果提出考核意见。
第三十六条 内审部结合内部监督检查情况,对内部控制的建立、实施及其有效性进行自我评价,出具内部控制自我评价报告,报董事会审议形成决议,与年度报告同时对外披露。
第三十七条 内审部应妥善保存内部控制建立、实施及监督检查过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。
第八章 附 则
第三十八条 本制度未尽事宜,依照国家有关法律、法规、部门规章以及《公司章程》的规定执行。
第三十九条 本制度经公司董事会批准后生效,修改亦同。
第四十条 本制度由公司董事会负责解释。