紫江企业:上海紫江企业集团股份有限公司内部控制制度(2024年3月)

上海紫江企业集团股份有限公司
内部控制制度
第一章 总则
第一条 为了加强上海紫江企业集团股份有限公司（以下简称“公司”）内部控制与风险管理工作，建立健全内部控制体系，有效实施及监督内部控制，提高风险防范能力，促进公司持续、健康发展。根据《中华人民共和国公司法》、《中华人民共和国证券法》、《上海证券交易所股票上市规则》、《企业内部控制基本规范》和配套指引、其他相关法律法规及《公司章程》，结合公司实际，制定本制度。
第二条 本制度适用于公司及各子公司。具体涉及管理组织体系，内部控制管理，检查、考核与责任追究管理等内容。
第三条 定义
（一）内部控制：是由公司董事会、监事会、管理层及全体员工实施的、旨在实现公司发展目标的控制过程。
（二）风险：是指未来的不确定性对公司实现其经营发展目标的影响。公司风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等五大类。
（三）全面风险管理：是指公司围绕总体经营目标，通过在公司管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。
（四）公司层面内部控制缺陷，是指由那些对公司的整个内部控制体系具有广泛影响的控制所产生的内部控制缺陷，如发生在组织架构、发展战略、人力资源管理方面的内部控制缺陷。
（五）业务层面的内部控制缺陷，是指由那些可直接作用于公司生产经营业务活动的具体业务控制所产生的内部控制缺陷，如发生业务处理程序中的批准
与授权、审核与复核、以及为保证资产安全而采用的限制接近等控制的内部控制缺陷。
第二章 管理组织体系
第四条 公司设立内部控制管理组织体系，由董事会、监事会、审计委员会、战略与投资决策委员会、预算与执行委员会、薪酬与考核委员会、管理层、审计部门、各职能部门及各子公司构成。
第五条 董事会是公司内部控制管理的最高决策机构，其职权是：
（一）确定公司内部控制建设的总体目标；
（二）了解和掌握公司面临的重大内部控制管理现状；
（三）审批公司内控管理报告；
（四）监督公司内部控制文化的培养建设；
（五）决策公司内部控制管理的其他重大事项。
第六条 监事会负责监督公司内部控制制度的设计与执行，对发现的内部控制缺陷，可要求公司整改。
第七条 审计与各管理委员会的管理职权：
（一）监督及评估外部审计机构工作；
（二）审议内部控制有效性；
（三）审阅公司的财务报告并对其发表意见；
（四）协调管理层、内部审计部门及相关部门与外部审计机构的沟通。
第八条 管理层内部控制的职权：
（一）负责内部控制制度体系的建立、完善；
（二）审批公司内部控制制度，推进制度的执行；
（三）检查公司制度的制定、实施情况；
（四）审批风险管理总体目标和风险应对总体方案，决策重要和重大风险管理中的有关具体问题；
（五）负责组织完成涉及内部控制管理的其他重大事项。
第九条 公司审计部门的内部控制的职责：
（一）拟定公司内部控制管理相关制度；
（二）制定公司年度内控评价管理工作方案；

（三）按照审批的工作方案组织开展内控工作；
（四）收集、分析各职能部门及各子公司的内控管理的信息、资料；
（五）审核公司各部门及各子公司年度内控评价报告，编制公司年度内部控制评价报告；
（六）监督、协调外部审计机构按计划完成年度内控审计工作，并组织相关各方沟通发现的内控缺陷和管理建议；
（七）向管理层及时汇报内、外部审计提出的内控问题及建议，并随时关注缺陷整改完成情况；
（八）督导各职能部门及各子公司内控缺陷的整改；
（九）沟通、确认外部审计机构出具的内控审计意见。
第十条 公司各职能部门内部控制的职责：
（一）严格执行公司各项管理制度；
（二）识别、分析部门业务中涉及的内控缺陷，制定或完善内部控制制度，确保内部控制设计有效；
（三）梳理本部门业务制度，评价本部门内部控制管理活动；
（四）及时向管理层报告业务中发现的重大或重要内控缺陷；
（五）指导各子公司相关业务的内部控制管理工作，落实内部控制措施，监督检查其执行的有效性，跟踪落实内部控制缺陷改善；
（六）配合内审、外审开展内控审计工作，针对发现的内控缺陷及时沟通并整改；
（七）建立健全本部门管理制度和流程，并有效执行，确保本部门不出现重大或重要风险事项；
（八）对本部门涉及重大或重要风险须及时识别、分析和应对，并制定和完善管控措施。
第十一条 各子公司的法定代表人为本企业内部控制与风险管理工作的第一责任人，对本公司内部控制设计的健全性和执行的有效性等负责，确保本企业不出现重大内部控制缺陷和风险事项。
第十二条 各子公司内部控制管理的职责：
（一）根据本制度建立健全本企业的内控制度体系，确保本企业内部控制体系设计和运行有效，不出现重大、重要内部控制缺陷；

（二）按照公司制定的年度内部控制与风险管理工作方案，结合年度重点工作制定和安排本企业的内部控制管理工作方案和相关工作；
（三）梳理、评价本企业内部控制，编制年度内部控制评价报告；
（四）识别、分析本企业涉及重大或重要内控缺陷和风险事项，并制定和完善相应的管控措施；
（五）及时向上级部门报告业务中发现的重大内控缺陷和风险事项；
（六）对涉及重大或重要缺陷造成的损失和影响，进行责任追究；
（七）负责涉及内部控制管理的其他事项。
第十三条 内部控制管理应嵌入到具体业务制度、管理制度和操作流程中，各部门是分管相关业务内部控制建立、有效执行的直接责任单位。
第三章 内部控制管理
第十四条 公司内部控制的目标：
（一）合理保证公司经营管理合法合规；
（二）维护资产安全；
（三）保证财务报告及相关信息真实完整；
（四）提高经营效率和效果；
（五）促进公司实现发展战略。
第十五条 公司内部控制管理工作应遵循以下原则：
（一）全面性原则。内部控制要贯穿决策、执行和监督全过程，覆盖公司及各子企业的各种业务和事项。
（二）重要性原则。内部控制应当在全面控制的基础上，关注重要事项环节和高风险领域。
（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。
（四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。
（五）成本效益原则。内部控制应权衡实施成本与预期效益，以适当的成本实现有效控制。

第十六条 公司内部控制活动涵盖公司所有的运营环节，包括但不限于：组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购活动、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递及信息系统等。具体参照《紫江企业内控手册》
第十七条 公司各职能部门及各子公司应制订解决风险的内控措施。针对重大风险所涉及的各项管理及业务活动，制订涵盖各个环节的全流程控制措施；对其他风险所涉及的业务活动，以关键环节作为控制点，制订相应控制措施。
第十八条 公司采用的内部控制措施包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考核控制、重大风险预警和突发事件应急处理机制。
第十九条 公司及各子公司按照不相容职务分离控制要求全面系统地分析、定期梳理业务流程中所涉及的不相容职务，实施相应的分离措施。
第二十条 公司及各子公司按照授权审批控制要求制定常规授权和特别授权的相关规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
第二十一条 公司及各子公司财务部门参照《企业内部控制基本规范》及配套指引关于会计系统控制的要求，严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。
第二十二条 公司及各子公司要建立财产日常管理制度和定期清查制度，加强对财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全等的财产保护控制。
第二十三条 公司及各子公司建立运营情况分析制度，综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。
第二十四条 公司及各子公司建立和实施绩效考评制度，设置考核指标体系，对公司内部各责任单位和全体员工的业绩进行定期考核和客观评价，考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

第二十五条 公司及各子公司建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。
第二十六条 公司相关职能部门及各子公司对其相应的内部控制制度负责，检查内部控制措施建立和执行的有效性。内部控制措施的具体要求参照《企业内部控制基本规范》及配套指引。
第二节 内部控制文档的更新与维护
第二十七条 审计部门应结合公司经营模式、组织架构、业务变更及风险状况，对内部控制设计的健全性及执行情况进行持续性评估及动态化更新。
第二十八条 审计部门每年通过问卷调查、访谈等形式，组织各职能部门、各子公司对本年度业务风险进行全面识别与评估。
第二十九条 根据经营模式、组织架构、业务变更及风险状况，公司各职能部门及各子公司每年定期对现有制度或业务流程进行评价，判定内部控制活动是否需要补充、完善、修改或调整。
（一）每年对公司制度框架和流程框架进行梳理，对制度和流程体系建设的规范性、完整性、时效性提出修订意见，对各职能部门的内控制度和流程等体系文件提出修订意见；
（二）各职能部门根据修订意见，完成本部门的内控制度和流程等体系文件修订后，指导各子公司对相关业务适用的内控制度和流程等体系文件进行修订；
（三）各职能部门、各子公司应当主动对相关的新业务实施、内部控制流程变更、控制环节调整等重要事项进行关注，及时进行风险和内部控制的评价，提出对相应制度和流程的修改意见，并进行修订、重新发布；
（四）对由于内、外部审计在内控评价时发现的内部控制不足或控制不当，而提出的相关修改建议，相关部门应及时反馈或进行整改、修订和完善。
第三节 内部控制评价
第三十条 内部控制评价程序包括：制订评价工作方案，组成评价工作组，实施现场测试，认定控制缺陷，汇总评价结果，编报评价报告。
第三十一条 制定评价工作方案。公司审计部门组织各职能部门及各子公司
实施内部控制评价工作，制定下一年度的工作方案。方案内容包括：评价范围与内容、工作组织、评价依据及方法、具体实施安排等内容；评价工作方案由公司分管负责人审核，总经理批准。
第三十二条 审计部门根据经批准的评价工作方案要求的时间开始组织各职能部门开展内控评价工作，确定评价工作组成员，由业务胜任能力强、熟悉公司内部相关情况、参与日常工作的业务骨干等组成；各子公司根据公司内控评价方案，制定本公司的内控评价工作方案，适时安排并完成内控评价工作。
第三十三条 公司各职能部门在开展内控评价工作