华峰测控:华峰测控内部控制总体规则

北京华峰测控技术股份有限公司
内部控制总体规则
第一章 总则
第一条 为规范和加强北京华峰测控技术股份有限公司（以下简称“公司”）内部控制，提高公司经营管理水平和风险防范能力，保护投资者合法权益，根据《中华人民共和国公司法》、《中华人民共和国证券法》、《企业内部控制基本规范》等法律法规和《公司章程》规定，结合公司实际，制定本制度。
第二条 公司应当完善公司内部控制制度，确保董事会、监事会和股东大会等机构合法运作和科学决策，建立有效的激励约束机制，树立风险防范意识，培育良好的企业精神和内部控制文化，创造全体职工充分了解并履行职责的环境。
本制度所称内部控制，是指由公司董事会、监事会、管理层以及全体员工参与实施的、旨在实现战略目标而提供合理保证的过程。
第三条 内部控制的目标是：
（一）合理保证公司经营管理合法合规。
（二）保障公司资产安全。
（三）保证公司财务报告及相关信息真实完整。
（四）提高经营效率和效果。
（五）促进公司实现发展战略。
公司应当不断完善的控制架构，并制定各层级之间的控制程序，保证董事会及高级管理人员下达的指令能够被严格执行。
第四条 公司建立与实施内部控制制度，应遵循下列原则：

（一）全面性原则。内部控制贯穿决策、执行和监督全过程，覆盖公司及其所属单位的各种业务和事项。
（二）重要性原则。内部控制在全面控制的基础上，关注重要业务事项和高风险领域。
（三）制衡性原则。内部控制在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。
（四）适应性原则。内部控制与公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。
（五）成本效益原则。内部控制权衡实施成本与预期效益，以适当的成本实现有效控制。
第五条 公司建立与实施有效的内部控制，包括下列基本要素：
（一）内部环境，是指公司实施内部控制的基础，包括公司治理结构、机构设置及权责分配、内部审计、人力资源政策、公司文化等。
（二）风险评估，是指公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。
（三）控制活动，是指公司根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。
（四）信息与沟通，是指公司及时、准确地收集、传递与内部控制相关的信息，确保信息在公司内部、公司与外部之间进行有效沟通。
（五）内部监督，是指公司对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。
第二章 内部控制职责与权限
第六条 董事会职责与权限
公司董事会应当对公司内部控制制度的制定和有效执行负责。

（一）负责公司内部控制体系的建立健全和有效实施，并定期对公司内部控制情况进行全面检查和效果评估；
（二）负责审批公司内部控制和风险管理制度；审批审计委员会提交的重大风险评估报告；审批公司的内部控制评价管理制度、内部控制年度评价计划；审批公司年度内部控制自我评价报告。
第七条 监事会职责与权限
（一）对董事会建立与实施内部控制的情况、内部控制评价情况进行监督；
（二）监督公司的风险防范和控制情况，列席公司风险评估会议；参与审核公司管理层提交的风险评估报告；审议公司内部控制自我评价报告并发表意见；审议审计部提交的定期内部控制评价报告。
第八条 董事会审计委员会职责与权限
（一）负责审查公司内部控制制度，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。
（二）对审计部的日常监控工作进行指导；指导和监督内部控制评价管理制度的建立和实施；审议年度内部控制评价工作计划和自评报告；审核审计部提交的日常内部控制评价报告等。
（三）对企业管理部的日常工作进行指导；指导和监督内部控制管理制度及文件的制定、维护和更新；审核内部控制制度及文件。
第九条 总经理及高管层职责与权限
（一）负责组织建立、制订和修订公司风险数据库和内部控制制度。
（二）根据审计委员会的决议组织更新重要风险数据库及关键控制文档和相应的内部控制制度。
（三）负责组织领导公司内部控制的日常运行；负责审核适用公司的基本内部控制制度和符合国家相关法律法规的具体管理制度。

（四）审核部门提交的业务层面风险与内部控制评价报告；根据业务层面的风险与内部控制评价报告及公司层面的风险和内部控制管理情况，组织编制定期管理层风险与内部控制评价报告。
（五）执行董事会或审计委员会下达的风险和内部控制应对措施、整改意见。
第十条 公司审计部职责与权限
（一）负责拟定公司内部控制评价工作计划、方案；组织、实施内部控制评价工作；将内部控制监控情况及时上报审计委员会；
（二）就内控评价结果与被评价单位或部门负责人进行沟通，在此基础上编制内部控制评价报告，提交公司审计委员会审议；
（三）负责指导和监督下属子公司的内部控制监控管理工作；
（四）监督内部控制制度及整改意见执行情况；
（五）审计委员会指定的其他事项。
第十一条 其他相关部门职责与权限
（一）负责本部门的内部控制制度运行和持续完善；
（二）负责组织本部门业务层面风险的收集、识别和评估，制作相应的业务流程及风险控制文档；
（三）定期对本部门管辖业务进行风险评估，形成部门业务层面风险评估报告并对发现的遗漏风险及缺陷的控制措施提出初步建议；
（四）向本部门员工传达公司风险与内部控制管理制度，指导其按要求执行内部控制措施；
（五）负责本部门内部控制情况的自查；协助公司审计部开展内控监控工作；
（六）积极参与内部控制年度评价工作；

（七）组织本部门员工贯彻执行公司各级领导提出的风险管理和内部控制整改措施。
第十二条 内部控制专员职责与权限
（一）负责本单位、本部门内部控制制度和流程梳理；
（二）牵头负责本单位、本部门内部控制手册编写与维护更新；
（三）监控本单位、本部门内部控制制度规范执行情况，及时反映内部控制设计和运行中的缺陷，会商相关职能部门后提出改进意见，监督整改方案的落实情况；
（四）自行或按照上级公司要求，组织本单位、本部门内部控制的日常评价、专项评价和年度评价，起草相关评价报告。
第三章 内部环境
第十三条 公司须根据国家有关法律法规和公司章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。
（一）股东大会是公司最高权力机构，依法行使公司经营方针、筹资、投资、利润分配等重大事项的表决权。
（二）董事会对股东大会负责，依法行使公司的经营决策权。
（三）监事会对股东大会负责，监督董事会、经理层及其他高级管理人员依法履行职责。
（四）经理层及其他高级管理人员负责组织实施股东大会、董事会决议事项，主持公司的经营管理工作。
（五）公司根据实际经营需要设置部门、投资并管理子公司。公司对子公司实施预算管理和监控管理，子公司负责各自的具体经营管理工作。
第十四条 董事会负责内部控制的建立健全和有效实施；监事会对董事会
建立与实施内部控制进行监督；公司在董事会下设立审计委员会，负责审查公司内部控制制度，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等；管理层负责公司内部控制的日常运行。
第十五条 公司编制内部控制管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。
第十六条 公司加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计工作，对内部控制的有效性进行评价。内部审计机构对评价中发现的内部控制缺陷，按照公司内部审计工作程序进行报告；对评价中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。
第十七条 公司制定和实施有利于公司可持续发展的人力资源政策。人力资源政策包括下列内容：
（一）员工的聘用、培训、劳动关系的终止与解除；
（二）员工的薪酬、考核、晋升与奖惩；
（三）关键岗位员工的强制休假制度和定期岗位轮换制度；
（四）掌握重要商业秘密的员工离岗的限制性规定；
（五）有关人力资源管理的其他政策。
第十八条 公司将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。
第十九条 公司加强文化建设，培训积极向上的价值观和社会责任感，倡导独有的企业精神，树立现代管理观念，强化风险意识。董事、监事及其他高级管理人员应当在公司文化建设中发挥主导作用。公司员工应当遵守员工行为守则，认真履行岗位职责。
第二十条 公司加强法制教育，增强董事、监事及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。

第四章 风险评估
第二十一条 公司根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。
第二十二条 公司开展风险评估，准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。
第二十三条 公司识别内部风险，重点关注下列因素：
（一）董事、监事及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素；
（二）组织机构、经营方式、资产管理、业务流程等管理因素；
（三）研究开发、技术投入、信息技术运用等自主创新因素；
（四）财务状况、经营成果、现金流量等财务因素；
（五）营运安全、员工健康、环境保护等安全环保因素；
（六）其他有关内部风险因素。
第二十四条 公司识别外部风险，重点关注下列因素：
（一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素；
（二）法律法规、监管要求等法律因素；
（三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；
（四）技术进步、工艺改进等科学技术因素；
（五）自然灾害、环境状况等自然环境因素；

（六）其他有关外部风险因素。
第二十五条 公司采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。
第二十六条 公司根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。公司合理分析、准确掌握董事及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给公司经营带来重大损失。
第二十七条 公司综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。
第二十八条 公司结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。
第五章 控制活动
第一节 控制方法
第二十九条 公司结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制、重大风险预警机制和突发事件应急