第壹章總則第壹條為加強公司風險管理,建立規範有效的風險控制體系,提高風險防範能力,保障公司安全穩健經營,提升管理水平,根據《中華人民共和國公司法》、《企業內部控制基本規範》等相關法律法規和規範性文件,結合公司實際,制定本制度。第二條本制度的目的是為公司實現以下目標提供合理保障: (壹)將風險控制在與總體目標相適應的可接受範圍內;(二)實現公司內外部信息溝通的真實可靠;(三)確保遵守法律法規;(四)提高公司運營的效率和效益;(5)確保公司對所有重大風險建立危機處理預案,使其不會因災難性風險或人為失誤而遭受重大損失。第三條公司風險是指未來不確定性對公司實現經營目標的影響。第四條風險根據不同的公司目標進行分類。公司風險分為戰略風險、經營風險、財務風險和法律風險。(1)戰略風險:因尚未制定或制定的不正確戰略決策而影響戰略目標實現的負面因素。(2)經營風險:經營決策不當,阻礙或影響經營目標實現的因素。(3)財務風險:包括財務報告失真風險、資產安全受到威脅風險和欺詐風險。1.財務報告失真的風險。未完全按照相關會計準則組織核算和編制財務會計報告,未按要求披露相關信息,導致財務會計報告和信息披露不完整、不準確、不及時。2.資產安全受到威脅。未建立或執行相關資產管理制度,導致公司設備、存貨、有價證券等資產的使用價值和流動性降低或消失。3.欺詐風險。通過故意行為獲取不公平或不正當利益。(4)法律風險:因未能全面、認真執行國家法律法規政策和深圳證券交易所(以下簡稱“深交所”)相關文件規定而影響合規目標實現的因素。第五條風險根據能否給公司帶來盈利機會,可分為純風險和機會風險。第六條根據風險的影響程度,風險分為壹般風險和重要風險。第七條本制度適用於公司及其控股子公司。第二章風險管理和職責分工第八條公司各部門是風險管理的第壹道防線;董事會下設的審計部和審計委員會是風險管理的第二道防線;董事會和股東大會是風險管理的第三道防線。第九條公司各部門在風險與控制管理中的主要職責: (壹)公司各部門應根據公司內控部和事業部制定的整體風險評估計劃,識別和分析相關業務流程的風險,並在內控項目組的配合下確定風險應對方案。(2)根據識別出的風險和確定的風險應對計劃,按照公司確定的控制設計方法和描述工具設計和記錄相關控制,並根據風險管理的要求修改和完善控制設計。包括:建立控制管理體系,按照規定的方法和工具描述業務流程,編制風險控制文件和程序文件。(三)組織實施控制制度,監督控制制度的實施,發現、收集和分析控制缺陷,提出改進控制缺陷的建議並實施。對於重大缺陷和實質性漏洞,除向主管部門報告外,還應向公司董事會反饋,以便公司監督內控體系的運行。(四)配合審計部門等部門調查處理因控制失效造成重大損失或不良影響的事件。第十條控股子公司的風險管理和責任劃分應分別參照上述第八條和第九條的規定制定。第三章風險管理初始信息的收集第十壹條廣泛、持續地收集與公司風險和風險管理相關的內外部初始信息,包括歷史數據和未來預測,並將初始信息收集的責任分工落實到各部門和控股子公司。第十二條在戰略風險方面,廣泛收集國內外公司戰略風險失控導致損失的案例,收集與公司宏觀經濟政策、技術環境、市場需求、競爭形勢等相關的重要信息。,重點是公司的發展戰略和規劃、投融資計劃、年度經營目標、經營戰略,以及編制這些戰略、規劃、計劃和目標的相關依據。第十三條在財務風險方面,廣泛收集國內外公司財務風險失控引發的危機案例,收集與公司盈利能力、資產運營能力、償債能力和發展能力相關的重要信息,重點關註在成本核算、資金結算、現金管理等方面已經發生或容易發生差錯的業務流程或環節。第十四條在操作風險方面,應廣泛收集國內外公司忽視市場風險和缺乏應對措施的案例,收集公司產品結構、市場需求、競爭對手、主要客戶和供應商等重要信息,監督、評估和持續改進現有業務流程和信息系統的運行,分析公司風險管理的現狀和能力。第十五條在法律風險方面,廣泛收集境內外公司忽視法律法規風險、缺乏應對措施導致公司虧損的案例,收集公司法律環境、員工道德、重大協議合同、重大法律糾紛等信息。第十六條公司應對收集的初始信息進行篩選、提煉、比較、分類和組合,以進行風險評估。第四章風險評估第十七條公司風險評估主要通過建立風險管理理念和風險接受、設定目標、風險識別、風險分析和風險對策五個基本程序進行。第十八條確立公司的風險管理理念和風險接受程度是公司風險評估的基礎。(1)公司的風險管理理念是公司* * *的信念和態度,其特征是公司如何識別整個業務流程(從戰略制定和實施到公司的日常活動)中的風險。本公司實施穩健的風險管理理念,對高風險投資項目采取謹慎態度。(2)風險接受度是指在追求目標的過程中,公司願意接受的風險程度。壹般來說,公司可以將風險接受度分為“高”、“中”或“低”三類。公司從定性的角度考慮風險接受程度。綜合來看,公司將風險接受程度定義為“低”,即公司在經營管理過程中,通過采取謹慎的風險管理態度,可以接受較低程度的風險發生。公司的風險接受程度也與公司的風險管理理念相壹致。第十九條目標設定是風險識別、風險分析和風險對策的前提。公司必須首先設定目標,之後才能識別和評估影響目標實現的風險,並采取必要的行動控制這些風險。公司目標包括戰略目標、業務目標、合規目標和財務報告目標。目標確定必須符合國家法律法規和行業發展規劃,符合公司戰略發展規劃,符合深圳證券交易所和監管機構的規定。第二十條風險識別是識別可能阻礙公司目標實現、阻止公司創造價值或侵蝕現有價值的因素。公司可以通過問卷調查、小組討論、專家咨詢、情景分析、政策分析、行業標桿對比、訪談等方式識別風險。公司應準確識別與實現控制目標相關的內部風險和外部風險,從而確定相應的風險容忍度。(1)公司在識別內部風險時,應關註以下因素:1,董事、監事、經理及其他高級管理人員的職業道德,員工的專業勝任能力。2.組織機構、運營模式、資產管理、業務流程等管理因素。3、研發、技術投入、信息技術應用等自主創新要素。4.財務狀況、經營成果、現金流量等財務因素。5.安全和環境保護因素,如操作安全、員工健康和環境保護。6.其他內部風險因素。(二)公司在識別外部風險時,應關註以下因素:1、經濟形勢、產業政策、融資環境、市場競爭、資源供給等經濟因素。2、法律法規、監管要求等法律因素。3.安全穩定、文化傳統、社會信用、教育水平、消費行為等社會因素。4、技術進步、工藝改進等科技因素。5、自然災害、環境條件等自然環境因素。6.其他外部風險因素。第二十壹條風險分析主要從風險發生的可能性和對公司目標的影響程度兩個角度對已識別的風險進行分析和排序,確定重點和優先控制的風險。風險分析方法通常是定性和定量方法的結合。在定量分析不適合風險分析的情況下,或者在沒有足夠可靠的數據用於定量分析的情況下,或者在獲取成本較高的情況下,公司通常會使用定性分析。公司對風險進行分析,確定哪些風險應予以關註,哪些風險應予以壹般關註,並進壹步將需要關註的風險分別劃分為“重要風險”和“壹般風險”,為風險對策奠定基礎。風險重要性的判斷主要依據風險發生的可能性和影響:(1)如果風險發生的可能性“極不可能”,則可以忽略該風險;(2)如果風險發生的概率高於或等於“可能發生”,且風險的影響較小,則該類風險確定為壹般風險;(3)如果某壹風險發生的可能性等於或高於“該風險可能發生”,且該風險的影響很大,則將該類風險確定為重要風險。公司在進行風險分析時,應充分吸收專業人士,組成風險分析團隊,按照嚴格規範的程序開展工作,確保風險分析結果的準確性。第二十二條風險對策。公司要根據風險分析的結果,結合風險產生的原因和承受能力,權衡風險和收益,選擇風險應對方案:規避風險、接受風險、降低風險或分擔風險。5 (1)風險規避:是指公司通過放棄或停止與超過風險承受能力的風險相關的經營活動來避免和減輕損失的對策。例如,停止向新的地理市場擴展業務,或者出售公司的壹個分支機構。(2)降低風險:是指公司在權衡成本和收益後,準備采取適當的控制措施來降低風險或損失,將風險控制在風險承受範圍內的對策。(三)風險分擔:是指公司在他人的幫助下,通過分包、購買保險等適當的控制措施,準備將風險控制在風險承受範圍內的對策。(4)接受風險:指公司在權衡成本和收益後,不準備采取控制措施以減少風險或損失的策略。在確定具體的風險應對方案時,公司應考慮以下因素:1、風險應對方案對風險發生的可能性和程度的影響,以及風險應對方案是否與公司的風險承受能力相壹致;2.比較方案的成本和收益;3.比較方案中可能存在的機會和相關風險;4.充分考慮各種風險應對方案的組合;5.合理分析和準確把握董事、經理、其他高級管理人員和關鍵崗位員工的風險偏好,采取適當的控制措施,避免個人風險偏好對企業經營造成嚴重損失;6.結合不同發展階段和業務拓展,持續收集風險變化相關信息,進行風險識別和風險分析,及時調整風險應對策略。第五章風險管理解決方案第二十三條公司應根據風險應對策略,針對各類風險或各類重大風險制定風險管理解決方案。通常,該計劃應包括風險解決的具體目標、所需的組織和領導、涉及的管理和業務流程、所需的條件、手段和其他資源、風險事件發生前、發生中和發生後采取的具體應對措施以及風險管理工具。第二十四條公司根據經營戰略與風險戰略相壹致、風險控制與經營效率和效果相平衡的原則,制定風險化解內部控制計劃,並對涉及重大風險的所有管理和業務流程制定涵蓋所有環節的全過程控制措施;對於涉及其他風險的業務流程,要以關鍵環節為控制點,采取相應的控制措施。第二十五條公司應當制定合理有效的內部控制措施,包括以下內容: (壹)建立內部控制崗位授權制度。明確規定內部控制涉及的各崗位的授權對象、條件、範圍和金額,任何組織和個人不得超越授權進行風險決策;(2)建立內部控制報告制度。明確規定舉報人和接收人、舉報的時間、內容、頻率、傳播途徑、負責處理舉報的部門和人員等。;(3)建立內部控制審批制度。對於涉及內部控制的重要事項,明確規定審批程序、條件、範圍和額度、必要的文件、有權審批的部門和人員及其相應的責任;(4)建立內部控制責任制。按照權利、義務和責任相統壹的原則,明確規定各相關部門和業務單位、崗位和人員的職責和獎懲制度;㈤建立內部控制審計檢查制度。結合內部控制的相關要求、方法、標準和流程,明確規定審計檢查的對象、內容、方法和負責部門;(六)建立內部控制評價體系。有條件的公司應將各業務單元風險管理的執行情況與績效工資掛鉤;(七)建立重大風險預警系統和應急機制。針對可能出現的重大風險或突發事件,明確風險預警標準,制定應急預案,明確責任人員,規範處置程序,確保突發事件得到及時妥善處置;(八)建立健全公司法律顧問制度。大力加強公司法律風險防範機制建設,形成由公司決策層主導、公司法律顧問提供、全體員工參與的法律風險責任體系。完善公司重大法律糾紛的備案管理制度;(九)建立重要崗位的權力制衡制度,明確規定不相容職責的分離。主要包括:授權審批、業務辦理、會計記錄、財產保管、審計檢查。涉及內部控制的重要崗位可設置壹崗兩人、兩職兩責,相互制約;明確本崗位的上級部門或人員應采取的監督措施和責任;把這個崗位作為內審的重點等。第二十六條公司應當按照相關部門和業務單元的職責分工,認真組織實施風險管理方案,確保各項措施落實到位。第六章風險管理的監督與改進第二十七條公司建立了貫穿整個風險管理的基本流程,連接各級、各部門、各業務單元的風險管理信息溝通渠道,確保信息溝通及時、準確、完整,為風險管理監督與改進奠定基礎。第二十八條公司各相關部門和業務單位應定期對風險管理進行自查和檢查,及時發現缺陷並進行改進,並及時向公司風險管理職能部門提交檢查和檢查報告。第二十九條公司審計部應定期或不定期監督和評估各相關部門和業務單位是否能夠按照7的相關規定開展風險管理工作及其工作效果,監督和評估報告應直接提交董事會下設的審計委員會。這項工作也可以結合年度審計、任期審計、離任審計或專項審計進行。