电科网安: 内部控制体系建设与监督管理基本制度
中电科网络安全科技股份有限公司
(第 1 版)
第一章 总 则
(资料图片)
第一条 为建立和规范中电科网络安全科技股份有限公
司(以下简称“电科网安”)的内部控制体系,提高风险防
范能力,促进电科网安可持续、健康发展,按照财政部等五
部委联合下发的《企业内部控制基本规范》(财会〔2008〕
内部控制体系建设与监督工作的实施意见》(国资发监督规
〔2019〕101 号)及上级单位制度精神,根据公司业务特点
和管理需要,制定本制度。
第二条 本制度适用于电科网安及下属子公司。
第三条 本制度所称的内部控制体系(以下简称“内控
体系”),主要包括内控管理、风险管理和合规管理监督,
是由电科网安党委、董事会、管理层和全体员工实施的,旨在
实现控制目标的过程。内控体系管理主要是指内控体系的建
设与监督工作。
第四条 电科网安内部控制体系的建设与监督工作,以
“强内控、防风险、促合规”为目标,紧紧围绕公司发展战
略,以风险管理为导向,合规管理监督为重点,不断完善制
度体系建设、强化内控的执行及监督评价、加强信息化管控
和工作保障机制,构建相互融合、协同高效、全面覆盖的内
控体系,合理保证公司经营管理合法合规、资产安全、财务
报告及相关信息真实完整,提高经营效率和效果,为公司战
略目标的实现提供保障。
第五条 电科网安建立与实施内控体系管理,应遵循以
下基本原则:
(一)合法合规性原则:内部控制必须符合国家法律、
法规和政策,符合上市公司监管规定,符合中国电子科技网
络信息安全有限公司(以下简称“中国网安”)的管理要求,
符合电科网安党委、董事会等相关规定和要求。
(二)全面性原则:内部控制应贯穿决策、执行和监督
全过程,覆盖公司及子公司的各种业务和事项,涉及全体员
工。
(三)重要性原则:内部控制应当在全面控制的基础上,
关注公司及子公司战略决策、重要业务事项和高风险域。
(四)制衡性原则:内部控制在治理结构、机构设置及
权责分配、业务流程等方面达到相互制约、相互监督,同时
兼顾运营效率。
(五)适应性原则:内部控制应当与公司经营规模、业
务范围、竞争状况和风险水平等相适应,并随着情况的变化
及时加以调整。
(六)成本效益原则:内部控制应当权衡实施成本与预
期效益,以适当的成本实现有效的控制。
(七)包容性原则:内部控制应力求避免与公司现行各
项管理制度相矛盾,尽可能包容现行制度中的内部控制。对
确实脱离实际的其他各项管理制度,应及时修改、完善。
第二章 内控体系组织建设与职责
第六条 电科网安内控体系管理组织体系包括电科网安
党委、董事会、董事会审计委员会、总经理办公会、内控体
系管理部门、其他部门及子公司。董事会是内控体系最高决
策机构,公司主要领导人是内控体系建设和监管工作第一责
任人。
第七条 电科网安内部控制管理组织体系中各机构的管
理职能为:
(—)党委
电科网安党委把握内部控制重大方向问题,履行前置审
议程序,提升公司抗风险能力。具体包括:
报告》;
(二)董事会
电科网安董事会主要负责审议和决定电科网安内控体
系建设和监督工作重大事项及工作安排。具体包括:
(三)董事会审计委员会
电科网安董事会审计委员会主要负责监督和指导公司
内控体系建设工作。具体包括:
(四)总经理办公会
电科网安总经理办公会在董事会的领导下,负责组织制
定具体内控制度与措施,开展与经营事项相关的内控管理工
作。具体包括:
(五)内控体系管理部门
内控体系管理部门主要负责落实电科网安内控体系管
理工作部署,推动内控体系管理各项工作落地。具体包括:
电科网安及子公司内控体系管理工作;
设方案、制度;
估、内部控制建设与监督以及牵头组织缺陷整改工作;
合上级单位组织的专项评价工作,负责组织落实内控体系缺
陷整改工作;
(六)电科网安其他部门
其他部门主要负责本部门内控体系制度的建设及执行、
各单位业务领域内控体系建设的指导和监督等工作。具体包
括:
定本部门内控体系管理工作内容;
系管理手册》的编写和及时修订,并提交电科网安内控体系
管理部门;
导、监督和检查子公司的内控体系管理工作,配合开展内控
体系监督等工作;
陷整改工作,并跟踪整改落实。
(七)子公司
各子公司是本单位内控体系有效运行的执行机构,主要
负责按照上级单位内控体系建设与监督工作的总体部署,确
定本单位内控体系建设与监督工作内容。具体包括:
体系管理工作机构,设立内控体系建设及监督专职岗位,与
上级单位内控相关机构工作对接;成立内控体系评价工作组,
组织和协调本单位内控体系评价工作;
管理协调一致;
注采购、销售、投资管理、资金管理、工程项目、产权(资
产)交易流转等业务岗位,并在流程层面明确和落实各岗位
风险防控责任;
合上级单位组织的内控体系现场评价及专项评价工作;
第三章 内控体系建设与监督框架基础
第八条 电科网安的内控体系建设及监督工作以管理和
业务流程为主线,按照以下五项基本要素建立健全内控体系
管理工作。
(一)内部环境:建立规范的公司治理结构和议事规则,
明确决策、执行、监督等方面的职责权限,形成科学有效的
职责分工和制衡机制,是公司内控体系建设与监督管理的基
础,包括公司治理架构、机构设置、权责分配、管理层经营
理念、员工职业道德、企业文化等;
(二)风险评估:及时识别、系统分析经营活动中与实
现内部控制目标相关的风险,合理确定风险应对策略;
(三)控制活动:运用相应的控制措施,将风险控制在
可接受的程度之内,包括岗位职责分离、授权审批、验证核
对、绩效考核等;
(四)信息与沟通:及时、准确、完整地收集、加工、
整理决策所需的内部控制相关信息并有效传递,是管理活动
的重要组成部分;
(五)内部监督:公司对内控体系建立与实施情况进行
监督检查,评价内控体系设计和运行的有效性,发现内部缺
陷,提出改进措施并监督整改情况的过程。
上述内容以《内部控制体系管理手册》的形式体现。《内
部控制体系管理手册》是电科网安各部门、各子公司在日常
管理、业务活动中须遵照执行的基本要求和自我检查的基本
依据,也是内部控制体系评价的依据。
第四章 内控体系建设工作要求
第九条 按照中国电子科技集团有限公司(以下简称“集
团公司”)和中国网安“集中、分层、分类”的内控体系建
设模式,不断优化内控、风险和合规管理监督相关制度,建
立以“内控体系建设与监督制度”为统领,各项具体操作规
范为支撑的“1+N”内部控制制度体系。
第十条 集中管理是指集团公司统一领导内控体系建设
与监督工作。
分层管理是指按照分级管理要求,各层级的内控体系管
理组织都应按照上级组织的要求,开展本层级的内控体系建
设与监督工作;各级内控体系专门管理部门负责组织本层级
的内部体系管理的实施和完善工作。
分类管理是指电科网安及子公司的各部门按照职责对
内部控制实行分类管理。《内部控制体系管理手册》的具体
内容分为若干类别,每一个类别对应一个主要负责部门(以
下简称“主责部门”),主责部门负责职责相关的内部控制
建设工作。
第十一条 《内部控制体系管理手册》的制定和维护。
电科网安及子公司均需要编制内部控制手册,开展内控
管理。建立《内部控制体系管理手册》修订工作机制。当发
生下列事项时,应及时修订和完善内部控制手册:国家相关
法律法规、行业规定、监管部门要求、中国网安要求等发生
变化;公司战略调整、组织机构、管理职责等内部环境发生
调整变化;新业务的实施、业务管理要求发生变化;风险评
估结果发生重大变化;发生内部控制重大失控事件。
第十二条 电科网安《内部控制体系管理手册》修改、
审核、批准、更新程序。
(一)提出修改申请:在第十一条所述事项发生时,各
部门或子公司应在其管理范围内及时向内控体系管理部门
提出修改申请。修改申请应对修改事项、修改原因和修改意
见进行说明解释。
(二)审核、批准修改申请:内控体系管理部门组织相
关部门对报送的修改意见的合理性和必要性进行审核。如有
必要,可组织内外部专家对修改意见做出审核和评判。
(三)更新与发布:内控体系管理部门负责《内部控制
体系管理手册》的统一更新与发布。涉及管理制度的修改或
补充,由制度归口部门按照相关规定负责管理。更新后的内
控手册,按照相应管理层级进行审批后正式生效。涉及内部
控制的重大调整事项,需履行相关决策和审批程序。
第十三条 内控体系信息化。
将内控体系信息化管控纳入电科网安及子公司信息化
建设总体规划,推动业务流程信息化,不断优化信息系统中
审批流程、权限设置等信息系统的关键控制点;推动集团管
控信息系统的集成应用,逐步实现内控体系与业务信息系统
互联互通、有机融合;提高重要领域和关键环节的信息化覆
盖率,增强内控体系刚性约束,借助信息化手段实现实时监
测、自动预警等功能,进一步提高内控体系有效性。
第五章 内控体系监督工作要求
第十四条 内控体系监督。
(一)内控体系监督包括日常监督、专项监督和年度评
价。
(二)内控体系监督的范围包括内控设计与执行有效性、
风险及合规制度建设及实施情况等。
(三)专项监督和年度评价程序根据中国网安有关规定,
结合公司实际情况开展。统筹风险、合规、内外部审计、监
事会、纪检监察、巡察等监督资源,加强事前、事中、事后
监督各项职责的统筹、部署和协调力度,形成工作合力,提
高内控监督效率,提升工作质量与效果。
(四)内控体系监督工作应全面、客观、充分地综合评
价内部控制有效性,评价工作底稿或评价表要记录完整,缺
陷认定信息真实、充分和客观,并提出切实可行的内部控制
体系缺陷整改建议。
第十五条 电科网安各部门在各自职责范围内定期或不
定期开展内部控制体系日常监督和专项监督工作,分析确认
关键控制点并有效实施控制。日常监督是指对建立与实施内
部控制的情况进行常规、持续的监督检查;专项监督是指每
年从电科网安年度工作会提出的重点工作中,选择一项或几
项进行监督检查。
第十六条 年度评价包括自评价和现场评价。
(一)内控体系自评价工作。
年度评价以每年 1 月至 12 月为评价期间,组织各部门
及子公司对内控体系有效性进行全面自评,客观、真实、准
确揭示经营管理中存在的内控缺陷、风险和合规管理存在的
问题,形成内控体系自评价报告。
子公司的自评价报告经决策机构批准后按规定报送电
科网安,电科网安汇总形成电科网安内控体系自评价报告,
经决策机构批准后进行披露和报告,同时抄送电科网安纪检
监察部门、人力资源管理部门,根据整改工作需要,还应当
抄送各相关职能部门。
(二)内控体系现场评价工作。
根据评价工作需要,电科网安内控体系管理部门可以聘
请专业机构,组织开展内控体系现场评价工作。
第十七条 内控体系监督结果的运用。
(一)跟踪整改。
各部门、子公司针对内控评价发现的问题拟定整改方案,
经决策机构批准后实施;内控体系管理部门协同主责部门定
期跟踪检查整改落实情况。
发现的问题和缺陷属于需要修订《内部控制体系管理手
册》的,相关主责部门应按照手册维护流程进行修订完善。
(二)考核评价。
电科网安对各部门、子公司的内控体系建设与监督情况
纳入考核。
(三)责任追究。
未按规定履行内控体系建设职责、未执行或执行不力,
瞒报、漏报、谎报或迟报内控缺陷事件,被确认存在重大舞
弊行为导致公司利益受损、国有资产形成损失,以及其他内
部控制体系重大缺陷、导致外部审计机构对公司内部控制有
效性出具否定意见的,由公司按有关规定追究责任。
第六章 附则
第十八条 本制度由电科网安内控体系管理部门负责解
释。
第十九条 本制度自印发之日起施行。
查看原文公告