第一条为规范和加强恒力石化股份有限公司（以下简称“公司”）内部控制和风险管理，提高公司经营管理水平和风险防范能力，防范和化解各类风险，从而保证和促进公司规范经营和可持续发展，依据《中华人民共和国公司法》（以下简称“《公司法》”）、《中华人民共和国证券法》（以下简称“《证券法》”）、《中华人民共和国会计法》《企业内部控制基本规范》《企业内部控制配套指引》《上海证券交易所上市公司自律监管指引第1号——规范运作》等有关法律、法规、规范性文件的规定，结合公司实际情况，制定本制度。

　　第三条本制度所称的“内部控制”，是指由公司董事会、管理层和全体员工实施的、旨在实现控制目标的过程。

　　（一）合理保证公司经营管理遵守国家法律、法规、规章及其他相关规定；（二）提高公司经营效益及效率，提升公司质量；

　　（一）全面性原则。内部控制应贯穿决策、执行和监督全过程，覆盖公司及其所属单位的各种业务和事项。

　　（二）重要性原则。内部控制应在全面控制的基础上，关注公司重要业务事项和高风险领域，并制定严格的控制措施，确保不存在重大缺陷。

　　（三）制衡性原则。内部控制应在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

　　（四）适应性原则。内部控制应与公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着公司外部环境的变化、经营业务的调整、管理要求的提（五）成本效益原则。内部控制应权衡实施成本与预期效益，以适当的成本实现有效控制。

　　（一）内部环境。内部环境是公司实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、内部审计机制等方面。

　　（二）风险评估。风险评估是及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

　　（三）控制活动。控制活动是根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

　　（四）信息与沟通。信息与沟通是及时、准确地收集、传递与内部控制相关的信息，确保信息在公司内部、公司与外部之间进行有效沟通。

　　（五）内部监督。内部监督是对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

　　第七条公司内部控制涵盖经营活动中所有业务环节，包括组织架构、人力资源、社会责任、企业文化、发展战略、采购管理、销售管理、资金管理、资产管理、工程项目、财务报告、全面预算、信息系统、研发与开发、担保管理、反舞弊、内部审计等方面。

　　第八条公司依法建立健全法人治理结构，建立科学有效的职责分工和组织架构，确保各项工作权责到位：

　　（二）董事会对股东会负责，根据《公司章程》和股东会的授权，依法行使公司的经营决策权；

　　（三）审计委员会根据《公司章程》和股东会的授权，对公司董事、高级管理人员依法履行职责的情况进行监督；

　　（四）管理层负责组织实施股东会、董事会决议事项，主持公司的生产经营管理工作。

　　第九条公司创造良好的内部控制环境，不断完善治理结构，确保董事会和股东会等机构的合法运作和科学决策，不断完善激励和约束机制，树立风险防范意识，培育良好的企业文化，提高员工素质，调动广大员工的工作积极性，使全体员工充分履行职责。

　　第十条公司董事会对公司内部控制的建立健全和有效执行负责，审计委员会对董事会建立和实施内部控制进行监督，管理层负责组织领导企业内部控制的日常运行。

　　第十一条公司执行内部审计制度，保证内部审计机构设置、人员配备和工作的独立性。内审部是公司内部审计的执行部门，对内部控制的有效性进行监督检查，对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会报告。

　　第十二条公司根据法律法规制定人力资源相关政策。人力资源政策包括组织管理、人力资源规划、招聘、培训、离职、考核、薪酬、奖惩、休假、劳动合同等一系列有关人事的活动和程序。

　　第十三条公司应将职业道德素养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。

　　第十四条公司应加强文化建设，培育员工积极向上的价值观和社会责任感、企业责任感。董事、高级管理人员应当在公司文化建设中发挥主导作用。

　　第十五条公司董事会、管理层及全体员工应本着诚实守信的理念，增强法制观念和风险意识，严格依法决策、依法办事、依法监督。

　　第十六条公司根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。

　　第十七条公司开展风险评估，以准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。

　　第十八条公司采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

　　第十九条公司根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。公司应当合理分析、准确掌握董事及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给公司经营带来重大损失。

　　第二十条公司应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。

　　第二十一条公司应当结合不同发展阶段和业务拓展情况，动态持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

　　（一）公司结合风险评估结果，运用不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等措施，将风险控制在可承受度之内。

　　（二）不相容职务分离控制是指公司全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

　　（三）授权审批控制是指公司根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。公司各级管理人员应当在授权范围内行使职权和承担责任。对于重大的业务和事项实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。

　　（四）会计系统控制是指公司严格执行国家统一的会计准则，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。公司依法设置会计机构，配备会计从业人员。

　　（五）财产保护控制是指公司建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全，严格限制未经授权的人员接触和处置财产。

　　（六）公司实施全面预算管理制度，明确各职能单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

　　（七）公司定期对运营情况进行分析，经营层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

　　（八）公司建立和实施绩效考评制度，科学设置考核指标体系，对公司内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

　　（九）公司根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。

　　（十）公司建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

　　（一）对控股子公司的风险控制。公司应制定对控股子公司的控制政策及程序，并在充分考虑控股子公司业务特征等的基础上，督促其建立内部控制制度。

　　（二）对关联交易的内部控制。公司应制定关联交易管理制度，明确公司股东会、董事会、管理层对关联交易事项的审批权限，规定关联交易事项的审批程序和回避表决要求。

　　（三）对外担保的内部控制。公司应根据《证券法》《公司法》等有关法律、法规以及《上海证券交易所股票上市规则》的有关规定，在《公司章程》中明确规定股东会、董事会关于对外担保事项的审批权限。

　　（四）募集资金使用的内部控制。公司应根据相关法律法规，制定募集资金专项管理制度，对募集资金存储、审批、使用、变更、监督和责任追究等内容进行明确规定。

　　（五）重大投资的内部控制。公司应根据《证券法》《公司法》等有关法律、法规以及《上海证券交易所股票上市规则》的有关规定，在《公司章程》中明确规定股东会、董事会对重大投资的审批权限以及相应的审议程序。

　　（六）信息披露的内部控制。公司应根据相关法律法规，制定信息披露管理制度，明确规定重大信息的范围和内容，指定董事会秘书为公司对外发布信息的主要联系人。

　　（七）控股股东及关联方占用公司资金的内部控制。公司严格防止控股股东、关联方及其附属公司的非经营资金占用的行为，并持续建立防止控股股东非经营性资金占用的长效机制。

　　第二十四条公司明确内部控制相关信息的收集、处理和传递程序，确保信息的及时沟通，促进内部控制有效运行。公司建立《信息披露管理制度》《内幕信息及知情人管理制度》等制度，建立信息传递与反馈机制，加强公司定期报告、临时报告及重大事项编制、审议的流程管理以及披露期间的外部信息使用人管理，规范内、外部信息报送管理事务，杜绝泄露内幕信息、内幕交易等违法违规行为。

　　第二十五条公司严格履行监管部门规定的对外信息披露义务，制定《信息披露管理制度》，明确信息披露的范围和内容、程序、职责、保密措施、内部控制和监督、档案管理、法律责任等内容，按照规定的形式和渠道，全面、真实、及时地依法披露有关的信息内容。

　　第二十六条公司应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。公司应当加强对信息系统规划、信息系统的开发变更与维护、信息系统访问安全、计算机日常维护和日常管理等方面的控制，保证信息系统安全稳定运行

　　第二十七条公司建立投资者关系管理制度，规范与投资者信息沟通，增进投资者对公司的了解。

　　第二十八条公司董事会审计委员会下设的审计部负责对公司内部控制制度的监督与检查。审计部应定期检查公司内部控制制度缺陷，评估其执行的效果和效bwin官网率，并及时提出改进建议。

　　第二十九条审计部应每年对公司的内部控制进行一次检查监督，公司各部门、单位应积极配合内控审计部的检查监督。公司还应不定期对公司内部控制开展专项检查监督工作。

　　第三十条审计部对公司内部控制运行情况进行检查监督，并将检查中发现的内部控制缺陷和异常事项、改进建议及解决进展情况形成内部审计报告，向公司董事会报告。如发现公司存在重大异常情况，可能或已经遭受重大损失时，立即报告公司董事会。公司董事会应提出切实可行的解决措施，必要时及时报告上海证券交易所并公告。

　　第三十一条公司审计委员会应根据内部控制检查监督工作报告及相关信息评价公司内部控制的建立和实施情况，形成内部控制评价报告。公司董事会依据有关监管部门的要求，在审议年度财务报告等事项的同时，对公司内部控制评价报告进行决议，并与年度财务报告同时对外披露。

　　第三十三条本制度未尽事宜，应当依照国家有关法律、法规、规范性文件和公司相关规定执行。本制度如与国家日后颁布的法律、法规或经合法程序修改后的公司有关规定相抵触时，按国家有关法律、法规以及修订后的公司有关规定执行。