昆明制药内部控制以及全面风险控制制度

昆明制药内部控制及全面风险管理办法第一章 总则第一条 为推动和指导公司各责任中心、职能部门及子公司建立健全和有效实施内部控制制度及全面风险管理,提高公司风险管理水平,增强企业竞争力,促进公司持续、稳步、健康发展,保护投资者的合法权益,依据公司法、证券法及上海证券交易所上市公司内部控制指引等法律、法规,结合公司实际,制定本办法.第二条 本办法所称内部控制是指公司为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排.它是由公司董事会、管理层及全体员工共同参与的一项活动.具体包括围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施.第三条 本办法所称企业风险,指未来的不确定性对企业实现其经营目标的影响.企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存).本办法所称全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法.第四条 公司对内部控制及全面风险管理的总体目标:(一)确保将风险控制在与总体目标相适应并可承受的范围内;2(二)确保内外部,尤其是公司与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告;(三)确保遵守有关法律法规;(四)确保公司有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;(五)确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失.第五条 公司开展全面风险管理工作,应注重防范和控制风险可能给企业造成损失和危害,也应把机会风险视为企业的特殊资源,通过对其管理,为公司创造价值,促进经营目标的实现.第六条 公司本着从实际出发,务求实效的原则,以对重大风险、重大事件(指重大风险发生后的事实)的管理和重要流程的内部控制为重点,积极开展全面风险管理工作.通过积累经验,培养人才,逐步建立健全全面风险管理体系.第七条 公司开展内控及全面风险管理工作应与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中创造价值,促进经营目标的实现.第八条 公司应当按照法律、法规、规章以及股票上市规则的规定建立健全内部控制制度(以下简称内控制度),保证内控制度的完整性、合理性.第九条 董事会对公司内控制度及全面风险管理的建立健全、有效实施及其检查监督负责,董事会及其全体成员应保证内部控制及全面风险管理相关信息披露内容的真实、准确、完整.公司董事会授权审计法务部督导本办法的实施.3第二章 内部控制及全面风险管理的框架第十条 公司内控制度及全面风险管理应按照全面、完整的原则,从以下层面作出安排:(一)公司层面;(二)公司下属各责任中心、职能部门及子公司层面;(三)公司各业务环节层面.第十一条 公司内部控制及全面风险管理由四大目标(即战略目标、报告目标、营运目标、遵循目标)和八项相互关联的要素组成,公司建立和实施内控制度及全面风险管理时,应考虑以下基本要素:(一)目标设定,指董事会和管理层根据公司的风险偏好设定战略目标.内控环境,指公司的组织文化以及其他影响员工风险意识的综合因素,包括员工对风险的看法、管理层风险管理理念和风险偏好、职业道德规范和工作氛围、董事会和监事会对风险的关注和指导等.(二)风险确认,指董事会和管理层确认影响公司目标实现的内部和外部风险因素.(三)风险评估,指董事会和管理层根据风险因素发生的可能性和影响,确定管理风险的方法.(四)风险管理策略选择,指董事会和管理层根据公司风险承受能力和风险偏好选择风险管理策略.(五)控制活动,指为确保风险管理策略有效执行而制定的制度和程序,包括核准、授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效考核等.(六)信息沟通,指产生服务于规划、执行、监督等管理活动的信息并适时向使用者提供的过程.4(七)检查监督,指公司自行检查和监督内部控制运行情况的过程.第十二条 公司下属各责任中心、职能部门及子公司,应在符合公司总体战略目标的基础上,针对各单位、业务环节的特点,建立相应的内控制度及全面风险管理.第十三条 公司内部控制及全面风险管理通常应涵盖经营活动中所有业务环节,包括但不限于:(一)生产环节:包括拟定生产计划、开出用料清单、储存原材料、投入生产、计算存货生产成本、计算销货成本、质量控制等.(二)采购及付款环节:包括采购申请、处理采购单、验收货物、填写验收报告或处理退货、记录应付账款、核准付款、支付现款及其记录等.(三)销货及收款环节:包括订单处理、信用管理、运送货物、开出销货发(四)票、确认收入及应收账款、收到现款及其记录等.(四)固定资产管理环节:包括固定资产的自建、购置、处置、维护、保管与记录等.(五)货币资金管理环节:包括货币资金的入账、划出、记录、报告、出纳人员和财务人员的授权等.(六)关联交易环节:包括关联方的界定,关联交易的定价、授权、执行、报告和记录等.(七)担保与融资环节:包括借款、担保、承兑、租赁、发行新股、发行债券等的授权、执行与记录等.(八)投资环节:包括投资有价证券、股权、不动产、经营性资产、金融衍生品及其他长、短期投资、委托理财、募集资金使用的决策、执行、保管与记录等.(九)研发环节:包括基础研究、产品设计、技术开发、产品测试、研发记录及文件保管等.5(十)人事管理环节:包括雇用、签订聘用合同、培训、请假、加班、离岗、辞退、退休、计时、计算薪金、计算个人所得税及各项代扣款、薪资记录、薪资支付、考勤及考核等.(十一)媒体管理环节:包括对产品市场推广,资本市场信息披露、新闻采访、内部刊物等任何形式的关于公司的媒体报道进行事先引导、事后跟踪控制等.第十四条 公司内控制度及全面风险管理除涵盖对经营活动各环节的控制及风险管理外,还包括贯穿于经营活动各环节之中的各项管理制度,包括但不限于:印章使用管理、票据领用管理、预算管理、资产管理、质量管理、担保管理、职务授权及代理制度、定期沟通制度、信息披露管理制度及对子公司的管理制度等.第十五条 因公司使用计算机信息系统,因此信息部或董事会办公室应建立和完善信息管理的内控制度.信息管理的内控制度至少应涵盖下列内容:(一)信息处理部门与使用部门权责的划分;(二)信息处理部门的功能及职责划分;(三)系统开发及程序修改的控制;(四)程序及资料的存取、数据处理的控制;(五)档案、设备、信息的安全控制;(六)在上海证券交易所网站或公司网站上进行公开信息披露活动的控制.第十六条 公司资产财务部应根据国家财政主管部门的有关规定,建立和完善内部会计控制规范.第十七条 公司聘请会计师事务所和律师事务所等中介机构协助建立和完善内控制度及风险管理.第三章 内部控制及全面风险管理设计原则、方法和标准6第十八条 内部控制及全面风险管理设计的总体思路是:借鉴内部控制理论,参考内部控制范例,遵循内部控制法规、结合公司管理实际.内部控制及全面风险管理设计应遵循:合法全面原则、授权牵制原则、协调配合原则、成本效益原则、整体结构原则、有效适用原则、预防为主原则、信息基础原则.第十九条 内部控制及全面风险管理设计既要有效益又要有效率,同时能适应公司机构变化和满足特殊要求.重点应进行风险管理组织体系设计、业务流程设计、运营信息系统设计.第二十条 公司应建立健全风险管理组织体系,主要包括规范的公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责.第二十一条 公司内部控制及全面风险管理设计采用的方法是:业务流程图设计.它是指企业经营过程的一个阶段,由若干项作业组成,而作业由若干项任务组成.为有利于内部控制及全面风险管理的实施,流程设计应按照编制流程目录、绘出流程图、编制风险控制文档的基本顺序及标准进行.编制流程目录:本办法流程目录分为一级至几级流程,各单位可根据实际需要选择流程级数,并顺序编号(参见模板一)绘出流程图:本办法流程图描述采用纵向垂直方式,自上而下表示流程的时间或逻辑顺序,职能带区设置为纵向 ,并采用通常的流程图符号(如下图所示几何图形),进行绘制(参见模板二).形成文档进程岗位判定控制点7编制风险控制文档:为配合对流程图的理解,应另行编制文字说明表主要反映各控制点的控制措施以及对应的控制目标(参见模板三).控制点的描述格式为:x.xM,x.xA,M表示人工控制,A表示自动控制.第二十三条 公司各责任中心或部门,在实际工作中可按照上述内部控制及全面风险管理设计原则、方法和标准,参考所附的设计模板,结合公司生产、经营、管理等实际情况,进行关键业务控制流程及其风险控制文档的设计、制订.第四章 专项风险的内部控制第一节 对子公司的管理控制本办法所称专项风险是指:公司某项特殊业务其未来的不确定性对公司实现经营目标的影响.本章对特殊业务的内部控制进行了规范,包括对子公司的管理控制和其他风险的内部控制.第二十四条 公司对控股子公司实行管理控制,主要包括:(一)依法建立对控股子公司的控制架构,确定控股子公司章程的主要条款,选任董事、监事、经理及财务负责人等.(二)根据公司的战略规划,协调控股子公司的经营策略和风险管理策略,督促控股子公司据以制定相关业务经营计划、风险管理程序.(三)制定控股子公司的业绩考核与激励约束制度.(四)制定母子公司业务竞争、关联交易等方面的政策及程序.(五)制定控股子公司重大事项的内部报告制度.重大事项包括但不限于发展计划及预算、重大投资、收购出售资产、提供财务资助、为他人提供担保、从事证券及金融衍生品投资、签订重大合同、海外控股子公司的外汇风险管理等.(六)定期取得控股子公司月度财务报告和管理报告,并根据相关规定,委托会计师事务所审计控股子公司的财务报告.8第二十五条 公司应对控股子公司内控制度的实施及其检查监督工作进行评价.第二十六条 公司应比照上述要求,对分公司和具有重大影响的参股公司的内控制度作出安排.第二节 其他风险的内部控制第二十七条 公司应根据行业特点、战略目标和风险管理策略的不同,就特有风险作出相关内控制度安排.第二十八条 公司应制定危机管理控制制度.第五章 内部控制的检查监督及信息披露第二十九条 公司应对内控制度的落实情况进行定期和不定期的检查.董事会及管理层应通过内控制度的检查监督,发现内控制度是否存在缺陷和实施中是否存在问题,并及时予以改进,确保内控制度的有效实施.第三十条 公司审计法务部负责内部控制的日常检查监督工作,并根据相关规定以及公司的实际情况配备专门的内部控制检查监督人员.第三十一条 公司应制定内部控制检查监督办法,该办法至少包括如下内容:(一)董事会或相关机构对内部控制检查监督的授权;(二)公司各责任中心、职能部门及子公司对内部控制检查监督的配合义务;(三)内部控制检查监督的项目、时间、程序及方法;(四)内部控制检查监督工作报告的方式;(五)内部控制检查监督工作相关责任的划分;(六)内部控制检查监督工作的激励制度.9第三十二条 公司根据自身经营特点制定年度内部控制检查监督计划,并作为评价内部控制运行情况的依据.公司应将收购和出售资产、关联交易、提供财务资助、为他人提供担保、募集资金使用、委托理财等重大事项作为内部控制检查监督计划的必备事项.第三十三条 审计法务部应在检查监督项目结束后提交内部控制检查监督工作报告,也可在进行其他项目审计时进行内部控制检查,一并提交审计报告.第三十四条 检查监督工作人员对于检查中发现的内部控制缺陷及实施中存在的问题,应在内部控制检查监督工作报告或审计报告中据实反映,并在报告后进行后续追踪,以督促相关部门及时采取适当的改进措施.公司可将前款所发现的内部控制缺陷及实施中存在的问题列为各部门绩效考核的重要项目.第三十五条 检查监督部门的工作资料,包括内部控制检查监督工作报告、审计报告、工作底稿及相关资料,应按公司要求及时归档,保存时间不少于十年.第三十六条 公司内部控制的信息披露按照国家相关法律、法规及上海证券交易所上市公司内部控制指引的规定执行.第六章 内部控制及风险管理文化第三十七条 公司应注重建立具有内控及风险意识的企业文化,促进企业风险管理水平、员工风险管理素质的提升,保障企业内控及风险管理目标的实现.第三十八条 内部控制及风险管理文化建设应融入企业文化建设全过程.大力培育和塑造良好的风险管理文化,树立正确的风险管理理念,增强员工风险管理意识,将风险管理意识转化为员工的共同认识和自觉行动,促进企业建立系统、规范、高效的内控及风险管理机制.第三十九条 公司应在内部各个层面营造内控及风险管理文化氛围.董事会应高度重视风险管理文化的培育,总裁负责培育风险管理文化的日常工作.董事和高级管理人员应10在培育风险管理文化中起表率作用.重要管理及业务流程和风险控制点的管理人员和业务操作人员应成为培育风险管理文化的骨干.第四十条 公司应大力加强员工法律素质教育,制定员工道德诚信准则,形成人人讲道德诚信、合法合规经营的风险管理文化.对于不遵守国家法律法规和企业规章制度、弄虚作假、徇私舞弊等违法及违反道德诚信准则的行为,公司应严肃查处.第四十一条 公司全体员工尤其是各级管理人员和业务操作人员应通过多种形式,努力传播企业风险管理文化,牢固树立风险无处不在、风险无时不在、严格防控纯粹风险、审慎处置机会风险、岗位风险管理责任重大等意识和理念.第四十二条 内控及风险管理文化建设应与薪酬制度和人事制度相结合,有利于增强各级管理人员特别是高级管理人员风险意识,防止盲目扩张、片面追求业绩、忽视风险等行为的发生.第四十三条 公司应建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前内部控制及风险管理培训制度.采取多种途经和形式,加强对内部控制及风险管理理念、知识、流程、管控核心内容的培训,培养风险管理人才,培育风险管理文化.第七章 附则第四十四条 本办法由公司董事会授权审计法务部负责解释.第四十五条 本办法自发文之日起施行.11附件:一、采购与付款流程目录(模板一);二、采购与付款流程图(模板二);三、采购与付款风险控制文档(模板三).昆明制药集团股份有限公司2008 年5月19 日第1页共5页采购与付款流程目录流程编号 一级流程 二级流程 三级流程 四级流程RCM05 采购与付款RCM05.01 物资采购RCM05.01.01 请购计划管理RCM05.01.02 采购实施计划RCM05.01.02.01 电子采购RCM05.01.02.02 招标采购RCM05.01.02.03 非招标采购RCM05.01.03 资金计划RCM05.01.04 价格确定及供应商选择RCM05.01.05 合同签订与审批管理RCM05.01.06 物资退换RCM05.01.07 检验入库RCM05.01.08 结算确认负债RCM05.01.08.01 预付账款RCM05.01.08.02 应付账款RCM05.01.08.03 现付账款RCM05.01.08.04 应付票据RCM05.01.09 供应商管理RCM05.01.10 物流管理RCM05.01.11采购文档收集、统计、归档RCM05.02 固定资产采购RCM05.03 服务采购RCM05.03.01 确认服务需要RCM05.03.02 确认采购方式RCM05.03.02.01 招标采购RCM05.03.02.02 非招标采购RCM05.03.03 编制资金计划RCM05.03.04 供方准入审查RCM05.03.05 签订采购合同RCM05.03.06 验收RCM05.03.07 结算确认负债RCM05.03.07.01 预付账款RCM05.03.07.02 应付账款RCM05.03.07.03 现付账款RCM05.03.07.04 应付票据RCM05.03.08 采购信息统计第2页共5页物资采购 0501-1采购部 财务部门 仓储部 其他有关部门物资需求计划岗01.提出物资需求申请需求单02.负责人审批采购与付款流程图及其风险控制文档1.1M计划岗03.编制物资请购计划 通过请购单2.1M06.负责人审批1.3M未通过05.负责人审核1.2M04.是否为预算内采购岗07.编制物资采购实施计划3.1M08.负责人审批 09.负责人审批会计岗10.编制资金计划资金计划11.负责人审核接0501-21.4M 1.5M未通过未通过4.1M1.6M未通过通过未通过第3页共5页物资采购 0501-2采购部 财务部门 仓储部 其他有关部门接0501-1采购岗12.选择供应商,确定采购价格13.负责人审核5.1M采购岗15.拟定采购合同1.7M 1.8M14.负责人审批未通过 未通过6.1A16.会签、法律事务处、相关领导审批1.9M未通过负责人18.监督合同执行8.1M负责人17.签署如同,或授权他人签署授权委托书、采购合同7.1M通过19.检验人员对货物进行检验9.1M采购岗20.编制不合格品退货或折让处理方案退货折让方案21.负责人审批10.1M22.是否为折让产品采购岗23.办理退货不合格仓储岗24.办理入库会计岗25.收到采购发票办理会计手续,结算10.1M会计岗26.定期与采购岗核对账务通过未通过是不是第4页共5页物资采购风险控制文档单位名称: 单位编码:业务流程名称:采购与付款 业务流程编码:05当前子流程名称:物资采购 当前子流程编码:0501最后更新时间: 版本:编制部门: 编制人:风险类别 控制目标的类型控制点编号经营决策风险违反