茂化实华:9.内部控制与风险管理规定

茂名石化实华股份有限公司
内部控制与风险管理规定
（2024 年修订）
（2024年10 月24日第十三届董事会第五次临时会议审议通过）
第一章 总则
第一条 为规范和加强茂名石化实华股份有限公司（以下简称“公司”）内部控制与风险管理，统筹推进公司内部控制体系（以下简称“内控体系”）建设和运行监管，提高公司经营管理水平和风险防范能力，促进公司可持续发展，维护社会公众权益，保护投资者的合法权益，根据《中华人民共和国公司法》、《企业内部控制基本规范》及其配套指引、《深圳证券交易所上市公司自律监管指引第1 号---主板上市公司规范运作》、《茂名石化实华股份有限公司章程》（以下简称“《公司章程》”）等相关规定，制定本规定。
第二条 本规定适用于公司、全资子公司和控股子公司。
第三条 本规定所称内部控制，是指由公司党委、董事会、监事会、经理层以及全体员工实施的、旨在实现控制目标的过程。本规定所称“风险管理”，是指公司围绕战略和经营目标，在管理的各环节和经营的各项活动中执行风险管理的基本流程，评
估可能影响公司正常生产经营的潜在事项并管理风险的过程。
第四条 公司内控体系包含内部控制、风险管理和合规管
理。
公司通过建立健全以风险管理为导向、以合规管理监督为重点，严格、规范、全面、有效的风险管理与内部控制体系，保障公司战略目标和经营管理目标的实现。
第五条 组织与职责
公司建立由党委和董事会统一领导，各部门、子公司按照职责具体实施，各司其责、齐抓共管的风险管理与内部控制组织责任体系。
（一）党委、董事会及审计委员会
1.公司党委按照《公司章程》及公司“三重一大”相关规定对风险管理与内部控制重大事项进行研究。
2.董事会为公司内控体系管理的决策机构，负责审批内控体系建设总体目标；审批内控体系基本制度；审批内控体系相关报告，对公司内控体系有效性进行评价；以及审批内控体系相关的其他重大事项。
3.审计委员会负责审议需要董事会决议的内控体系基本制度和相关报告，为董事会决策提供意见；指导公司内控体系建设；监督、评估、检查内控体系运行质量和效果，并向董事会报告；协调内部控制审计及其他相关事宜等。
（二）监事会
监事会对董事会建立与实施内部控制进行监督。

（三）经理层
经理层负责组织公司内部控制的日常运行和有效性检查，对董事会负责。
（四）内部控制工作办公室
公司内部控制工作办公室为公司内控体系的归口管理职能部门，具体实施风险管理和内部控制管理工作。主要职责：
1.负责组织推进公司内控体系建设与持续完善工作。
2.负责牵头组织公司层面内部控制制度的制订、完善与实施工作。
3.负责组织公司内部控制制度宣贯培训，指导、监督各单位/部门内部控制制度的内部培训落实情况。
4.负责组织开展公司内部控制年度评价和专项评价等评价监督检查工作。
5.负责跟踪监督公司内部控制缺陷整改方案的制订与落实工作。
6.负责拟订内部控制考核方案，组织实施公司内部控制考核工作。
7.负责配合外部机构对公司内部控制的监督检查工作。
8.负责公司内部控制档案保管工作。
9.公司安排的其他内部控制工作。
（五）审计部
审计部是对公司内部控制有效性实施审计监督的部门，按照
内部审计职能，对公司及各机构的内部控制有效性进行审计监督检查。
（六）公司本部各职能部门
公司各职能部门是其归口管理范围内的专项业务风险管理与内部控制的责任主体，主要职责：。
1. 建立、完善与本部门职能相关内控管理制度及配套指导文件等。
2. 根据部门内控职责，结合风险管理、合规管理要 求，落实本部门内控建设、执行评价、整改优化等工作。
3. 配合内外部机构对公司内控体系的检查、评价。
4. 对子公司相关内控制度的建设及实施情况予以指 导和监督检查。
5. 对子公司相关专项内部控制及风险管理、合规管 理工作执行情况进行监控和管理指导。
6. 根据部门职责，开展公司重大决策活动相关的专 项风险分析、评估，并提出专项风险分析、评估意见。
7.负责协助开展本机构的内部控制考核评价工作。
8. 妥善应对本业务领域的包括合规风险在内的重大 风险事项，并及时向内部控制工作办公室通报。
9. 其他与内控体系建设、运行、管理、评价等有关 的工作。
（七）公司各子公司

各子公司是其经营管理范围内风险管理与内部控制的责任主体。主要职责：
1.建立健全本单位风险管理与内部控制组织责任体系，
明确职能部门或机构统筹内控体系建设与监督工作职责。
2.按照行业监管规定和公司管理要求，建立健全和有 效运行本单位风险管理与内部控制体系。
3.加强监督评价和缺陷整改，促进本单位风险管理与 内部控制体系持续完善。
4.按照规定，及时、准确向公司报告风险管理与内部 控制工作有关情况。
第二章 内部环境
第六条 公司须根据国家有关法律法规和《公司章程》，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。
第七条 内部控制工作办公室应根据职责权限，组织建立健全公司内部控制体系，对公司各部室、全资子公司和控股子公司实施内部控制目标管理和运营监控，保持公司内部控制有效性。
公司应通过编制内部控制手册和常规授权指引，使公司员工熟知内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。
第八条 内部审计部门应结合内部审计监督，对内部控制的
有效性进行监督检查。内部审计部门对监督检查中发现的内部控制缺陷，应按照公司内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。
第九条 公司应将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。
第十条 公司应加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理观念，强化风险意识。
董事、监事、总经理及其他高级管理人员应在公司文化建设中发挥主导作用。公司员工应遵守员工行为守则，认真履行岗位职责。
第十一条 公司应加强法治教育，增强董事、监事、总经理及其他高级管理人员和员工的法治观念，严格依法决策、依法经营、依法监督，建立健全合规管理体系。
第三章 风险管理
第十二条 公司按照“分级分类”的原则分解落实风险管理责任。各级风险管理责任主体应根据风险管理职责分别承担本公司、本部门的风险管理责任。
第十三条 风险管理应贯穿公司的管理决策、制度制定、业
务执行、监督评价等各环节，把风险管理的各项要求融入公司管理和业务流程中。
第十四条 风险评估。公司应根据设定的控制目标，全面系统地收集相关信息，结合公司业务实际情况，通过经营分析会、安全环保等专项检查，及时识别公司业务面临的各项风险因素。
风险主要分为战略风险、财务风险、市场风险、运营风险和法律风险等五大种类。
第十五条 公司应准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。
风险承受度是公司能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。
第十六条 公司识别内部风险，应关注下列因素：
（一）董事、监事、总经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。
（二）组织机构、经营方式、资产管理、业务流程等管理因素。
（三）研究开发、技术投入、信息技术运用等自主创新因素。
（四）财务状况、经营成果、现金流量等财务因素。
（五）环境保护、安全生产、职业健康等因素。
（六）其他有关内部风险因素。
第十七条 公司识别外部风险，应关注下列因素：
（一）经济形势、产业政策、融资环境、市场竞争、资源供
给等经济因素。
（二）法律法规、监管要求等法律因素。
（三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
（四）技术进步、工艺改进等科学技术因素。
（五）自然灾害、环境状况等自然环境因素。
（六）其他有关外部风险因素。
第十八条 公司应对识别的风险进行分级管理。按照风险发生的可能性及其影响程度等，划分为重大风险、重要风险和一般风险。
公司应定期组织有关部门讨论面临的内部风险和外部风险，形成重大风险管控清单。
各部门负责归口管理范围内重大风险管控清单的编制与维护。内部控制工作办公室负责公司重大风险管控清单的汇总整理与定期维护。各子公司结合本单位实际情况，编制本单位重大风险管控清单。
公司进行风险分析，必要时聘请专业机构、专业人员，确保风险分析结果的准确性。
第十九条 公司要建立健全全面覆盖、突出重点的常态化、制度化、与业务紧密融合的风险评估机制。
（一）年度全面风险评估。对经营环境变化、发展趋势等进行综合分析和预判，同时结合内控体系监督评价工作中发现的经
营管理缺陷和问题，综合评估公司内外部风险水平，有针对性地制定风险应对方案。
1.公司及各子公司每年至少开展一次涵盖所有业务的年度全面风险评估。
2.年度全面风险评估应围绕战略目标、年度经营管理目标和重点工作，结合日常风险监控情况，全面评估本年度面临的风险，确定年度重大风险及风险管理重点。
公司内部控制工作办公室应于每年年初组织开展公司年度全面风险评估工作，提出公司年度重大风险评估结果及建议，经公司总经理办公会审议通过后，组织落实重大风险管控措施。
（二）专项风险评估。对重大合同、新业务、重大投资并购、改革改制重组、重要组织结构调整等决策事项应开展专项风险评估，充分揭示风险、提出风险应对措施及解决预 案，并将风险评估报告作为重大经营管理事项决策的必备支撑材料。
第二十条 风险应对。公司应根据风险评估的结果，围绕公司发展战略，确定总体风险偏好、风险承受度、风险管理有效标准，选择风险回避、风险降低、风险分担、风险承受等风险应对策略。
公司应根据风险应对策略，针对评估出的重大风险，建立重大风险的管控机制（明确重大风险的管控目标，设定监控具体指标或预警指标，制定可操作性的应对措施以及应急预案）。
第二十一条 风险监控。公司应以重大风险、重大事件、重
大决策、主要业务流程为重点，对风险管理的实施情况进行监督。
第四章 控制活动
第二十二条 公司应结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。
控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
第二十三条 不相容职务分离控制要求公司全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。
第二十四条 授权审批控制要求公司根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
公司应编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权是指公司在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指公司在特殊情况、特定条件下进行的授权。
公司各级管理人员应在授权范围内行使职权和承担责任。
第二十五条 会计系统控制要求公司严格执行国家统一的会计准则、制度，加强会计基础