内部控制制度

第一条为强化公司内部管理，保障公司经营管理的安全性和财务信息的可靠性，提高信息披露质量，实现公司治理目标，根据《公司法》《证券法》《深圳证券交易所股票上市规则》《企业内部控制基本规范》等法律、法规及《公司章程》的规定，制定本制度。

第三条本制度所称内部控制，是指由董事会、监事会、经理层以及全体员工实施的、旨在实现控制目标的过程。

第二章内部控制的原则和目标

第四条公司建立和实施内部控制，遵循以下原则：

(一)全面性原则。内部控制贯穿决策、执行和监督全过程，覆盖公司各种业务和事项。

(三)制衡性原则。内部控制在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

(四)适应性原则。内部控制与公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

(五)成本效益原则。内部控制权衡实施成本与预期效益，以适当的成本实现有效控制。

第五条公司内部控制的目标：

（一）合理保证公司经营遵守国家法律、法规、规章及公司内部规章制度；

（二）提高公司经营的效益及效率；

（三）保障公司资产的安全、完整；

（四）确保公司信息披露的真实、准确、完整和公平。

（五）促进公司实现发展战略。

第三章组织与职责

第六条董事会负责内部控制的建立健全和有效实施，主要职责包括：

(一)制订公司内部控制基本制度和出具年度内部控制自我评价报告；

(二)决定公司内部管理机构的设置；

(三)推动完善内部控制管理体系；

(四)法律法规及公司章程规定的其他管理职责。

第八条公司设立由经理层成员组成的合规、内控及风险管理领导小组，领导小组的内控职责主要包括：

（一）根据董事会的决定，建立健全内部控制组织架构；

（二）在权限范围内审议公司的规章制度；

（三）审议公司年度合规、内控及风险管理工作计划，采取措施确保内部控制体系得到有效执行；

第九条内部控制管理牵头部门负责组织、协调内部控制日常工作，主要职责包括：

（一）研究起草、修订公司内部控制管理制度及内部控制手册；

（二）组织开展公司风险识别与评估工作；

（三）指导下属单位内部控制管理工作；

（四）推动公司合规及风险管理文化建设；

（五）审计与风险管理委员会或合规或内控及风险管理领导小组交办的其他工作。

第十条审计部门是公司的内部审计机构，主要负责对内部控制的有效性进行监督检查，负责内部控制自我评价工作。

（一）指定本部门风险与合规专员协助统筹本部门内部控制工作的开展；

（二）按照内部控制要求建立健全本部门职能领域的管理制度和流程；

（三）参与及配合公司年度内部控制自我评价工作；

（四）就内控自评、综合监督、内部审计过程中发现的内控缺陷及时整改；

（五）指导分子公司在本职能领域的内部控制工作。

第四章内部控制的主要内容

第一节环境控制

第十六条公司对全资子公司实行扁平化的直线管理，对控股子公司通过控制其股东会、董事会及监事会对其行使管理、协调、监督、考核等职能。公司各职能部门对应控股子公司相应部门进行指导、支持和监督。

第十七条通过人力资源管理控制，建立科学的员工聘用、培训、辞退与辞职、薪酬、考核等人力资源管理制度，健全优化人才机制，确保高效配置公司人力资源，促进公司发展战略实现。

（一）为保证人员配置满足公司经营管理和发展需要，公司应制定招聘和录用管理制度。人员招聘途径包括内、外部招聘；人员招聘遵照公平、公正、公开的原则，择优录取。

（二）公司应制定系统的培训管理制度，鼓励员工持续学习，努力提高自身的素质和职业技能，积极提倡员工参加继续教育活动。

（三）为贯彻实施公司发展战略，公司应按照“公平性和竞争性相结合、激励和约束相结合、差异性”的原则，兼顾国家薪资政策法规、企业人力资源战略、企业支付能力与人才市场价格水平，制定公司绩效与个人绩效挂钩的薪酬激励制度及股权激励制度。

（四）公司坚持德才兼备、以德为先的管理人员选人用人标准，建立科学有效的管理人员选聘制度。

（六）公司根据劳动法律、法规的有关规定，结合公司的实际，规范员工辞退、离职的管理，维护公司与员工的合法权益，避免劳务纠纷，保障公司健康发展。

第十八条公司人力资源管理部门应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。

第十九条人力资源管理部门应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险及合规意识。

公司员工应当遵守员工行为守则，认真履行岗位职责。

第二十条法务部门应当加强法制教育及合规培训，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全总法律顾问制度和重大法律纠纷案件报告制度。

第二节风险评估

第三节业务控制

第二十三条公司业务控制包括规划与计划业务控制、融资与投资业务控制、生产与服务业务控制、销售及收款业务控制、测评与改进业务控制等。

第二十四条规划与计划业务控制主要内容包括：

（一）制定科学的公司发展战略形成程序，并按程序制定公司的中、长期发展战略规划；每年根据公司内外因素变化情况对规划内容滚动调整，战略规划应报董事会批准。

（二）根据公司发展战略规划，公司应在每年年初确定发展目标、分级目标、业务计划与资金预算，指导全年工作。

第二十五条融资与投资业务控制主要内容包括：

（二）根据有价证券、不动产及其他长、短期投资等投资业务的不同特点进行合理的投资组合决策，并制定不同的操作流程、作业标准和风险防范措施。

第二十六条生产和服务业务控制主要内容包括：

（一）公司应综合分析市场环境、生产要素等情况，拟定生产计划，以确保生产系统安全、低耗、高效地运行；确保公司经营目标的实现。

（二）生产和服务岗位要接受必要的岗位技能及安全培训，以保证工作质量和工作安全；对关键岗位、工种予以识别，同时制定确保有效控制的办法。

（三）制定科学合理的工艺流程及岗位安全作业指引。

（四）保障适宜的生产和服务设备、监测设备，对过程关键点予以识别并跟进监测；对监测设备制定并实施相应保养规定，以确保设备持续有效。

（五）制定产品售后服务规定，发现存在严重质量缺陷、隐患的产品，应及时召回或采取有效措施降低或消除缺陷、隐患产品的社会危害。

第二十七条销售及收款业务控制主要内容包括：

（一）公司建立合理的定价机制和信用方式，灵活运用销售折扣、销售折让、信用销售等多种策略和营销方式，促进业务目标实现，提高产品市场占有率。

（三）制定发票管理制度，规范发票的使用程序，严格按照发票管理规定开具销售发票，严禁开具虚假发票。

（四）结合会计控制系统，制定严格的入账管理制度，保证收入的准时准确入账。

（五）明确现金收取及记录现金收取的程序，控制现金收入过程中的风险。

（六）建立应收账款管理制度，定期与客户对账，及时催收，避免呆、坏账的产生。

第二十八条测评与改进业务控制主要内容包括：

（一）公司不断寻求对业务过程有效性和效率的改进，在问题出现之前采取预防措施，减少公司损失。

（二）公司应建立识别和管理改进活动的过程、制度，并有确定的机构组织实施。

（四）公司应创造一种全员积极参与改进的文化，以提高组织绩效。这些持续改进活动包括但不限于：合理化建议，标杆学习，技术改进，QCC改进小组活动等。

第四节会计系统控制

第二十九条会计系统控制是通过会计的核算和监督系统进行的控制，主要内容包括：

（一）根据《会计法》《会计准则》《企业会计制度》《企业财务通则》《会计基础工作规范》等法律法规，制定公司会计制度、财务管理制度、会计工作操作流程和财务岗位工作制度，作为公司财务管理和会计核算工作的依据。

（四）公司制订完善的会计档案保管和财务交接制度。会计档案管理由专人负责。会计人员调动工作或者离职，必须与接管人员办理交接手续。一般会计人员办理交接手续，由相应单位会计机构负责人或会计主管人员监交；会计主管办理交接手续，由会计机构负责人或财务负责人监交；会计机构负责人办理交接手续，由财务负责人或总经理监交；财务负责人办理交接手续，须由总经理监交，必要时上级财务部门可派人会同监交。

（五）公司在强化会计核算的同时，建立计划和预算管理体系，强化会计的事前和事中控制。公司各级单位的年度经营计划需在上一年度末制定，经董事会批准后下发执行，在执行过程中要定期对计划的完成情况进行分析并根据变化的情况滚动调整相应的计划。

（六）公司建立完善的财务收支审批制度和费用报销管理办法，对各项经济业务的开支权限进行明确的规定和划分。

（七）公司建立健全各项资产管理制度，包括货币资金、票据、存货、固定资产等管理制度。对各项资产的购置、保管、处置等通过制度进行约束，对各项资产状况进行实时跟踪，定期、不定期地进行盘点，不断完善各项管理制度，确保资产的安全完整。

第五节信息系统管理

第三十条公司信息系统管理制度包括网络管理、信息系统管理、信息资产管理和机房管理等，公司信息系统管理指定专门部门实施归口管理。

第三十一条网络管理制度的主要内容包括：

（一）公司确保网络设备处于适宜的运行状态；同时监督用户的操作情况，对造成网络破坏造成公司损失、故意或重大过失泄露公司秘密信息的部门或个人提出问责意见。

（二）原则上不允许在网络上进行与工作无关的行为，通过公司网络向互联网站点提供或发布的信息，应当遵守公司有关保密规定，不发布涉密信息、违法违规信息等。

（三）工作场所变动、建筑物改造等涉及对网络物理连接产生变更的工作，应事先通知IT部门确定变更方案后做出决定。

第三十二条信息系统管理制度的主要内容包括：

（一）公司统一对信息系统软件进行安装调试。任何个人原则上不得安装与工作无关的软件，软件使用部门要承担软件正版化责任，不安装盗版软件。

（三）公司定期对信息系统的数据进行备份，定期对备份磁带、存储设备进行检查，确保备份数据的完整性、可靠性。

第三十三条信息资产管理制度的主要内容包括：

（二）信息资产应由使用部门负责正常使用、保管和维护，并指定个人，做到“责任落实到人”。

（三）公司对信息资产统一申购、统一调配、统一报废，各单位、部门信息资产负责人对信息资产的配置进行日常保管和维护，并定期配合公司做好盘点工作。

第三十四条机房管理制度的主要内容包括：

（一）未经批准，任何人员不得擅自进入机房；严禁在机房内进行与正常工作无关的行为；未经许可，任何人不得随意移动、拆装或使用机房内的服务器、网络设备等设施。

（二）机房管理的资料原则上不外借。特殊情况需外借时，借阅人对借阅的书籍、文档以及光盘、软盘等必须登记并及时归还。

（三）定期检查机房内服务器和网络的状态；定期检查机房内电力，空调，消防，防雷设施；定期对机房进行清洁和清理。

（四）建立机房内网络与设备的运行、应用、维护等情况登记档案，并做好系统日志。对发生的故障（隐患）以及排除故障情况做好详细记录；

第六节内部信息传递控制

第三十五条公司建立内部信息传递体系，制定部门沟通的方式、内容、时限等相应的控制程序。

（一）信息传递控制部门分工如下：公司办公室为公司内部信息收集和处理部门，指定专人负责业务信息的收集、整理、存档工作。公司职能部门、全资子公司、控股子公司等业务部门负责本部门工作范围内的信息收集、处理、传递和控制。各业务单位第一负责人为本部门信息传递控制的责任人。各业务部门员工，负责本工作岗位职责范围内的信息控制和沟通。

（四）信息提供人应当遵循公司保密制度，对所提供的保密信息进行必要的控制，非因业务需要，不得将保密信息提供给无关人员和部门。

第三十六条公司建立信息披露责任制度，将信息披露的责任明确到人，确保董事会秘书能及时知悉公司各类信息并及时、准确、完整地对外披露。

第三十七条公司建立举报投诉机制，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为公司有效掌握信息的重要途径。

第七节内部审计控制

第四十一条被审计单位应全力配合内部审计人员的审计工作，及时提供审计所需的信息和资料，不得刻意阻挠，或进行行政干预。

第四十二条对内部控制审计报告提出的关于完善内部控制的整改意见，整改责任单位必须认真对待，落实整改措施，并按要求适时向内审机构汇报整改进度。

第四十三条严格审计人员奖惩制度，对滥用职权、徇私舞弊、玩忽职守的，应追究有关部门和人员的责任；对在审计工作中表现突出的，应予以适当的表彰与奖励。

第五章内部控制的自我评估

第四十四条公司建立内部控制的自我评估制度，定期对内部控制进行自我评估。

第四十五条公司每年定期检查内部控制，并由审计工作部为内部控制评价部门，负责按年度组织各部门及分子公司开展内部控制自评价工作，对所发现的内部控制缺陷进行分析、复核、报告及跟踪整改。

第四十七条公司应当编制内部控制评价标准，并根据内部控制变化情况定期对其进行修订。内部控制评价标准应包括内控测试程序、检查清单、内控缺陷认定标准、评价底稿等内容。

第四十八条内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。

第五十条审计工作部对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析，按照对控制目标的影响程度判定缺陷等级并编制内部控制评价报告，并报送审计与风险管理委员会及董事会，由董事会最终审定后对外披露。

第五十一条内部控制缺陷包括设计缺陷和运行缺陷。依据缺陷对内部控制目标的影响程度,将缺陷分为一般缺陷、重要缺陷和重大缺陷。

第五十二条公司根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，确定适用于本公司的内部控制缺陷具体认定标准：

1、财务报告内部控制缺陷认定标准

定性标准&定量标准

重大缺陷

具有以下特征之一的缺陷，应认定为重大缺陷：错报≥资产总额的1.0%

1.该缺陷涉及董事、监事和高级管理人员舞弊

2.控制环境无效

3.注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报

4.审计委员会和内部审计机构对内部控制的监督无效

重要缺陷

具有情况之一的，应认定为重要缺陷：

1.已被认定的重要缺陷没有在合理的期间得到纠正

2.更正已经公布的财务报表

3.内部审计职能无效

4.对于是否根据一般公认会计原则对会计政策进行选择和应用的控制无效

资产总额的0.5%≤错报＜资产总额的1.0%

一般缺陷

除上述重大缺陷、重要缺陷之外的其他控制缺陷

错报＜资产总额的0.5%

2、非财务报告内部控制缺陷认定标准

具有以下特征的缺陷，应认定为重大缺陷：

1.因严重违犯国家法律、行政法规和规范性文件而受到处罚的；

2.因严重缺乏“三重一大”的决策程序，决策过程不民主而造成决策严重失误，公司蒙受重大经济损失的；

4.涉及公司生产经营的重要业务缺乏制度控制或制度系统失效；

5.内部控制评价的结果是重大缺陷而在十二个月之内未完成有效整改的。

错报≥资产总额的1.0%

具有以下特征的缺陷，应认定为重要缺陷：

1.因部分缺乏“三重一大”的决策

程序，决策过程不民主而造成决策失误，公司蒙受一定经济损失的；

3.涉及公司生产经营的重要业务制度不完整或部分失效；

4.内部控制评价的结果是重大缺陷而在六个月之内未完成有效整改的。

1.因未完全履行“三重一大”决策程序，导致决策过程不民主而造成决策失误，公司蒙受较小经济损失的；

3.涉及公司生产经营的一般业务制度不完整或部分失效；

4.对于一般缺陷的整改在六个月之内未完成的错报＜资产总额的0.5%

第五十四条公司内部控制自我评价报告至少应包括如下内容:

（一）内部控制工作的总体情况；

（二）内部控制评价的依据；

（三）内部控制评价的范围。

（四）内部控制评价的程序和方法；

（五）内部控制缺陷及其认定情况；

（六）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；

（七）内部控制有效性的结论。

第五十五条公司应将内部控制制度的健全完备和有效执行情况，作为对公司各部门、控股子公司（分公司）的绩效考核重要指标之一，并建立起责任追究机制。对违反内部控制制度和影响内部控制制度执行的有关责任人予以责任追究。

第六章附则

第五十六条本制度由法律与风控事务部负责修订和解释。

第五十七条本制度自董事会通过之日起实施。2012年实施的《内部控制制度》自本制度实施之日起同步废止。