威创股份：风险管理制度

威创集团股份有限公司

风险管理制度

第一章 总 则第一条 为了加强威创集团股份有限公司（以下简称“公司”）风险管理工作，建立规范、有效的风险管理和内部控制体系，提高风险管理水平，增强抗风险能力，促进公司持续、健康、稳定发展和目标的实现，根据《中华人民共和国公司法》《中华人民共和国证券法》等法律法规和《深圳证券交易所上市公司自律监管指引第1号——主板上市公司规范运作》《企业内部控制基本规范》等规范性文件和公司章程的规定，结合公司实际情况，制定本制度。第二条 本制度适用于公司各部门、分支机构、各控股子公司的风险管理工作。第三条 本制度所称风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等。

（一） 战略风险：战略环境和战略管理过程的不确定因素对实现经营目标的影响。常见的战略风险有宏观政策及形势把握风险、战略选择风险、重大投资风险、多元化经营风险、新产品开发投入风险、并购风险、声誉风险等；

（二） 财务风险：融资安排、会计核算、财务报告等财务管理活动中不确定性因素对实现经营目标的影响。常见的财务风险有：财务报告风险、财务控制风险、现金流风险、应收账款风险、盈利能力风险、资金管理风险、资本运作风险、税收风险、借贷风险、对外担保风险等；

（三） 市场风险：市场环境的不确定因素对实现经营目标的影响。常见的市场风险有：需求风险、价格风险、竞争风险、原材料供应风险、供应商产品质量风险、客户与供应商信用风险、利率与汇率风险等；

（四） 运营风险：内部流程和系统、人为或外部等不确定性因素对实现经营目标的影响。常见的运营风险有：公司治理风险、人力资源风险、流程管理风险、管理模式风险、技术风险、产品质量风险、信息管理风险、外部事件风险等；

（五） 法律风险：法律环境以及相关利益主体法律行为等方面不确定因素对实现经营目标的影响。常见的法律风险有：国内外政治法律环境及政策风险、合同风险、企业环境、信息披露风险、法律纠纷风险、知识产权风险、员工劳动关系风险、第三方责任风险等。

第四条 本制度所称风险管理，指企业围绕经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的目标提供合理保证的过程和方法。公司应按照风险分类和分层管理的要求，制定开展风险管理的总体规划，统筹兼顾，循序推进。

第五条 风险管理基本流程主要包括以下工作：

（一）风险初始信息收集；

（二）进行风险评估；

（三）制定风险管理策略；

（四）提出和实施风险管理解决方案；

（五）风险管理的监督与改进。

第六条 公司开展风险管理要努力实现以下风险管理总体目标：

（一） 确保将风险控制在与公司总体经营发展目标相适应并可承受的范围内；

（二） 确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；

（三） 确保遵守有关法律法规；

（四） 确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；

（五） 确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。

第二章 风险管理的组织体系

第七条 公司风险管理的组织体系包括董事会、各部门、各分支机构、各控股子公司。公司各部门、各分支机构、各控股子公司是风险管理的第一责任人。第八条 董事会就风险管理工作的有效性对股东大会负责，其在风险管理方面的职责包括：

（一） 确定公司风险管理总体目标和要求、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案；

（二） 了解和掌握公司面临的各项重大风险及其风险管理现状，做出有效控制风险的决策；

（三） 批准重大决策、重大风险的判断标准或判断机制；

（四） 批准重大决策的风险评估报告和风险监督评价报告；

（五） 督导企业风险管理文化的培育；

（六） 批准风险管理的其他重大事项。

第九条 公司总经理对风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员，负责主持风险管理的日常工作，负责组织拟订企业风险管理组织机构设置及其职责方案。第十条 公司成立风险管理小组履行风险管理的职责。该小组对总经理或其委托的高级管理人员负责，主要履行以下职责：

(一)研究提出风险管理工作报告；

(二)研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

(三)研究提出跨职能部门的重大决策风险评估报告；

(四)研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控；

(五)负责对风险管理有效性评估，研究提出风险管理的改进方案；

(六)负责组织协调风险管理日常工作；

(七)负责协助各部门、各分支机构、各控股子公司开展风险管理工作；

(八)办理风险管理其他有关工作。

第十一条 公司各部门、各分支机构、各控股子公司在风险管理工作中，

应接受风险管理小组和内审部的组织、协调、指导和监督，主要履行以下职责：

(一)执行风险管理基本流程；

(二)研究提出本部门、本分支机构、本控股子公司重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

(三)研究提出本部门、本分支机构、本控股子公司的重大决策风险评估报告；

(四)做好培育风险管理文化的有关工作；

(五)建立健全本部门、本分支机构、本控股子公司的风险管理内部控制子系统；

(六)办理风险管理其他有关工作。

第十二条 内审部是风险管理工作的主要部门，负责研究提出风险管理监督评价体系，制订监督评价相关制度，开展监督与评价，出具监督评价报告。

第三章 风险评估第十三条 公司各部门、各分支机构、各控股子公司应广泛、持续不断地收集与风险和风险管理相关的内部、外部信息，包括与风险相关的宏观经济、政策法规、市场状况、技术革新、财务状况、人力配置、管理措施、信息报告、全面预算、风险事件等方面的信息，风险管理小组对收集的初始信息进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估。

第十四条 公司应以收集的风险初始信息为基础，结合对各项重要管理及业务流程的分析，开展风险识别和评估。

第十五条 风险评估包括风险识别、风险分析和风险评价三个步骤。

风险识别，应查找公司各项重要经营活动以及重要管理、业务流程中有无风险，有哪些风险。通过风险识别，应确定风险的来源、主要影响因素，风险发生后的影响对象与范围、风险发生的可能表现形式等。

风险分析，应对识别出的风险及其特征进行明确的定义，分析和描述风险发生可能性的高低、风险发生的条件。

风险评价，主要是研究判断风险对公司实现经营发展目标的影响程度。

第十六条 风险评价应根据风险类型特点和风险管理实际需要，合理选择

定性和定量评估方法。

定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈和调查研究等。定量方法可采用统计推论、计算机模拟、失效模式与影响分析、事件树分析等。

第十七条 公司应根据风险发生可能性的高低和对经营发展目标影响程度的大小，区分重大风险、重要风险和一般风险。

风险评估过程中，应针对具体风险，结合相关经营发展目标，制订适用的重大、重要和一般风险的定性或定量评估标准。

在评估多项具体风险时，应对各项具体风险进行比较，确定关注重点和管理优先顺序。

第十八条 风险评估过程中，应对各具体风险之间的关系进行分析，以便发现各具体风险之间的抵消、叠加和正负相关性等组合效应，从风险策略上对风险进行统一集中管理。

第十九条 各部门、分支机构和各控股子公司负责评估自身风险，建立风险数据库，每年度更新维护，并向风险管理小组报送评估结果。

第二十条 风险管理小组根据评估结果，建立公司风险数据库和风险矩阵。风险数据库实行动态管理，每年度更新维护。风险数据库的内容包括风险点、风险产生原因、风险发生后果、风险发生可能性及影响程度等。

第二十一条 风险评估应由公司自行组织实施，必要时也可聘请有资质、信誉好、风险管理专业能力强的咨询机构协助实施。

第四章 风险管理策略 第二十二条 公司应根据风险评估结果，结合风险偏好和风险承受度，权衡风险与收益，合理确定各类各级风险的应对策略。

第二十三条 公司风险管理应对策略有接受风险、终止风险、控制风险、转移风险四种方法。第二十四条 公司应根据风险管理策略，制定风险管理解决方案。方案应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条

件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具。公司各部门应按照职责分工，认真组织实施风险管理解决方案，确保各项措施落实到位。

第二十五条 公司应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，根据变化情况和存在的缺陷及时加以改进。第二十六条 重要和重大风险应对方案须报董事会或总经理审批。第二十七条 各部门应按照职责分工认真组织实施风险应对方案，确保各项风险应对措施落实到位。 第二十八条 公司应由风险管理小组牵头组织，定期编制风险管理报告，系统地总结前一阶段风险管理工作情况及成效，分析下一阶段企业面临的风险形势，提出相应的风险管理工作建议，报董事会或总经理审批。

第五章 关键控制活动

第二十九条 公司应结合风险评估结果和应对策略，建立健全各项内部控制制度和流程，综合运用各种内部控制措施，对各项业务和管理活动实施有效控制，将风险控制在可承受的范围内。

第三十条 公司应按照权利、义务和责任相统一的原则，明确规定各部门的岗位设置及相应职责。

第三十一条 公司应全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

第三十二条 公司应规范常规授权和特别授权的有关制度，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。公司各级管理人员应在授权范围内行使职权和承担责任。

第三十三条 公司应依法设置会计机构，合理设置相关岗位，配备合格的会计人员，严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。

第三十四条 公司应建立健全财产日常管理制度和定期清查制度，采取财产

记录、实物保管、定期盘点、账实核对等措施，确保财产安全。第三十五条 公司应建立健全预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。第三十六条 公司应建立健全经济活动分析制度，综合运用生产经营活动中的各种相关信息，通过因素分析、对比分析、趋势分析等方法，定期开展经营情况分析，加强中长期经营预测，发现问题，及时查明原因并加以改进。第三十七条 公司应建立健全绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为员工奖惩、聘任、交流、培训的依据。

第三十八条 公司应按要求成立法务部门，加强对重要管理制度、经济合同以及经营决策事项的法律审核把关，完善重大法律纠纷案件的备案管理。

第六章 风险管理监督与改进

第三十九条 公司各部门、各分支机构、各控股子公司应定期对风险管理工作进行自查，及时发现缺陷并加以改进，检查评价结果应报风险管理小组备案。

第四十条 风险管理小组应定期汇总各部门、各分支机构、各控股子公司风险管理工作（主要包括风险信息收集、风险识别、风险评估、风险应对策略和措施制订、关键控制活动等）情况，分析其充分性和有效性，提出改进意见。

第四十一条 内审部应建立健全风险管理审计制度，定期对包括风险管理小组在内的各有关部门能否按照有关规定开展风险管理工作及其工作效果进行独立监督评价，出具监督评价报告。

第四十二条 公司可自行组织或根据需要聘请有资质、信誉好、风险管理专业能力强的咨询机构对公司风险管理工作进行专项诊断或评价。

第四十三条 对审计监督评价、专项诊断等过程中发现的缺陷，公司应分析其性质、产生原因和影响程度，提出整改方案，跟踪落实缺陷整改。

第七章 风险管理文化

第四十四条 公司应建立具有风险意识的企业文化，促进企业风险管理水平、员工风险管理素质的提升，保障企业风险管理目标的实现。

第四十五条 风险管理文化建设应融入公司文化建设全过程，树立正确的风险管理理念，增强员工风险管理意识，将风险管理意识转化为员工的共同认识和自觉行动，促进公司建立系统、规范、高效的风险管理机制。第四十六条 公司应通过多种形式，努力传播风险管理文化，使全体员工尤其是各级管理人员和业务操作人员牢固树立风险无处不在、风险无时不在、风险与机遇并存、岗位风险管理责任重大等意识和理念。第四十七条 公司应大力加强员工法律素质教育，制定员工道德诚信准则，形成人人讲道德诚信、合法合规经营的风险管理文化。对于不遵守国家法律法规和公司管理制度、弄虚作假、徇私舞弊等违法及违反道德诚信准则的行为，公司应严肃查处。第四十八条 公司应建立重要管理和业务流程以及风险控制点的管理人员和业务操作人员岗前风险管理培训制度。采取多种途径和形式，加强对风险管理理念、知识、流程、方法等内容的培训，培养风险管理专业人才，培育风险管理文化。

第八章 附 则

第四十九条 本制度由公司董事会负责解释。

第五十条 本制度自董事会审议批准之日起施行。

威创集团股份有限公司

2022年12月