（来源：衡水市工商业联合会）

第六章 内控、风险与合规管理

第一节 一般规定

第九十一条 【内控、风险、合规管理体系建设】企业应建立健全内控、风险、合规管理体系，保障公司战略有效执行，防范决策与经营风险，提升治理水平。内控、风险、合规管理体系应与企业的规模、业务复杂性、行业特点等相适应，确保其有效性和可操作性。

企业主要负责人、实际控制人应高度重视内控、风险、合规体系建设工作，履行组织者、推动者和实践者的职责，应对重点问题亲自研究、部署协调、推动解决，从顶层推动管理体系有效建设；定期评估管理体系的有效性，并根据内外部环境的变化及时调整和完善管理体系。

董事会发挥战略规划、科学决策、风险防范的作用，负责建立健全内控、风险、合规综合监督管理体系，承担推动内部控制、风险管理、合规管理建设的主体责任，负责确定管理目标，确保合规资源配置，对管理的有效性承担最终责任。董事会应定期审查和评估内控、风险、合规管理体系的运行情况，并根据需要调整管理策略和资源配置。

董事会下设审计委员会或指定董事负责审查企业内部控制建设，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜；统筹协调企业风险、合规工作，定期审议管理制度的执行和持续优化。企业经理层发挥谋经营、抓落实、强管理作用，发挥内控管理、风险管理、合规管理组织实施者的角色定位，负责落实管理目标，对主管或者分管领域业务风险可控性、合规性、内控措施落实承担组织执行责任。经理层应定期向董事会报告内控、风险、合规管理的执行情况，并提出改进建议。

企业可设置审计负责人负责本企业的内部控制管理，组织内部控制审查，监督内部控制的有效实施和内部控制自我评价等；设置首席合规官/合规负责人负责本机构的风险管理、合规管理工作，组织推动管理体系建设，监督风险合规管理部门和岗位的履职情况，组织推动风险合规规范在机构内严格执行与有效落实。审计负责人、首席合规官或合规负责人应具备相应的独立性，具备专业知识和经验，并拥有足够的权力和资源来履行其职责。

第九十二条 【内控、风险、合规管理协同治理机制】企业应建立健全以风险管理为导向、合规管理监督为重点，权责清晰、制衡有力、运行有效、监督到位的内控体系。树立和强化“管理制度化、制度流程化、流程信息化、信息系统化”的内控理念，通过“强监管、严问责”和加强信息化管理，严格落实各项规章制度，将风险管理和合规管理要求嵌入业务流程，促使企业依法合规开展各项经营活动，实现“强内控、防风险、促合规”的管控目标，形成全面、全员、全过程、全链条的风险防控机制，切实全面提升内控体系有效性，加快实现高质量发展。

企业应全面梳理内控、风险和合规管理相关制度，推动内控、风险、合规三类管理制度的协同嵌入，及时将风险管理、合规管理拟采取的控制措施，转化为企业内部控制制度和业务管控流程。在业务制度的制定、审核、实施和修订中嵌入内控体系管控要求，明确重要业务领域和关键环节的控制要求和风险应对措施。建立健全企业内部问责及信息反馈机制，将违规经营投资责任追究内容纳入企业内部管理制度中，强化制度执行刚性约束。

第九十三条 【内控、风险、合规管理三道防线】按照“管业务必须管合规，管业务必须管风险”的原则，业务和职能部门是第一道防线，对本部门、本机构风险合规管理承担首要责任，负责落实本部门、本机构的风险合规管理和内部控制措施，实现管理目标；负责本部门经营管理行为的风险合规审查，将风险合规要求嵌入岗位职责和业务流程，抓好重点领域合规管理等措施，有效防范和及时处置合规风险。

合规管理部门（风险管理部门）是第二道防线，企业可设立独立的内控、法务机构，发挥统筹协调、组织推动、督促落实作用，为业务和职能部门提供专业指引和支持，加强内控风险合规制度建设，牵头组织实施风险合规审查、检查、评价、风险监测与事件处理，督促落实内部控制措施和流程，推进合规规范得到严格执行，负责规章制度、经济合同、重大决策合规审查，保障体系有效运行，提升管理效率。

内部审计、内部监察部门是第三道防线，负责组织开展内部审计及巡查工作，对风险合规要求落实情况进行监督，对违规行为进行调查，按照规定开展责任追究。

第九十四条 【内控、风险、合规管理制度建设】企业应建立健全内控、风险和合规相关制度，把法律法规等外部监管要求转化为内部规章制度，明确内控、风险管理和合规管理的总体目标、机构职责、运行机制、考核评价、监督问责等内容。在具体业务制度的制修订中，嵌入统一的内控、风险和合规管理要求。企业应根据法律法规、监管政策等变化情况，及时修订完善内控、风险和合规制度体系，并对执行落实情况进行检查，确保制度的有效执行。建立健全监督问责机制，对违规行为进行严肃处理，强化制度执行的刚性约束，保障企业依法合规经营。

第九十五条 【一体化管理信息系统】企业可充分运用信息技术手段，建立集财务、审计、风险预警为一体的管理信息系统，结合数字化能力，探索智能化应用场景，运用信息系统或智能工具，有效提高管理效能。深化合同管理、案件管理、合规管理等重点领域信息化、数字化建设；将合规审查、风险审查嵌入重大决策、重要业务管理流程。通过大数据等手段，实现关键业务的流程化、数据化、可视化，实现风险在线识别、分析、评估、防控，提升风险监测的自动化、实时性与可视化水平，提升内部监督的效率与覆盖面，为风险防控与决策提供有力支撑。

第九十六条 【建立完善反舞弊举报调查机制】企业应建立反舞弊举报调查机制，设立违规举报平台，公布举报电话、邮箱或者信箱，确保举报渠道畅通且易于使用。相关部门按照职责权限受理违规举报，就举报问题进行调查和处理，并确保调查过程由具备相应能力且与被举报事项无直接利益关系的人员独立进行，以确保调查的公正性和客观性。

企业应保留有关调查的文件化信息，定期向治理机构或最高管理者报告调查的次数和结果；视情况根据调查结果改进内控、风险、合规管理体系；接受匿名举报，应对举报人的身份和举报事项严格保密，对举报属实的举报人，可给予适当奖励，防范举报人被打击报复。定期开展培训，提高员工对反舞弊举报机制的认识和理解。

第九十七条 【加强责任追究】企业应完善违规行为追责问责机制，明确责任范围，细化问责标准，针对问题和线索及时展开调查。根据调查结果，区分直接责任、间接责任和领导责任，并按照有关规定严肃追究违规人员责任。对违反法律法规及内部制度，导致重大风险或损失的行为，应根据责任程度实施通报批评、岗位调整、经济处罚、移交责任追究部门、移交司法机关等处理措施。同时跟踪落实整改情况，建立整改监督机制，确保整改措施有效执行。对拒不整改或整改不力的，应采取进一步措施，直至问题彻底解决。

第九十八条 【问责程序与原则】企业在实施问责时需遵循权责法定原则,通过章程或专项制度明确问责程序，确保程序合法合规、证据确实充分、问责严谨客观，处理决定应经治理机构集体审议通过，形成书面决议并归档。实施问责应遵循公平公正、权责统一、责罚适当、实事求是的原则，不得以企业法人责任代替个人责任，不得以身份特殊豁免责任。

第九十九条 【问责清单与动态管理机制】企业可建立问责清单动态管理机制，结合行业特性、监管要求及企业发展阶段，定期评估并调整问责范围、标准及程序。可运用数字化工具，对问责流程实施全程留痕和可追溯管理，提升问责工作的规范化和效率。

第一百条 【重点领域专项问责细则】针对安全生产、财务、工程项目、采购、销售、人力资源、资产清收等重点领域，以及数据安全、算法合规、环境保护、员工权益保障等新兴领域及社会责任事项，企业可制定专项问责细则，明确具体问责情形、认定标准及处置措施。

第一百〇一条 【健全法律事务机构】企业可根据自身规模和业务需要设立法律事务机构或者配置、聘请一定数量的法律顾问。符合规定条件的企业可申请开展公司律师试点工作。企业应完善法律顾问和公司律师发挥作用的机制，为企业重大经营决策事项出具法律意见，对企业重要规章制度、重要合同协议等加强法律审核，帮助企业完善内控、风险、合规管理体系，防范化解法律风险，促进依法决策、依法经营。