ST英飞拓:全面风险管理制度(2024年10月)
深圳英飞拓科技股份有限公司
全面风险管理制度第一章 总则第一条 为提高深圳英飞拓科技股份有限公司(以下简称“公司”)风险防控能力,建立规范、有效的风险管理体系,根据《深圳证券交易所股票上市规则》《深圳证券交易所上市公司自律监管指引第1号——主板上市公司规范运作》《上市公司治理准则》《企业内部控制基本规范》等规范性文件和公司内部制度,结合公司实际情况,制定本制度。第二条 本制度适用于公司及控股子公司。第三条 本制度所称风险,是指未来的不确定性对公司实现经营目标的影响。一般可分为:战略风险、财务风险、市场风险、运营风险、法律及合规风险、其他风险等。
第四条 本制度所称“全面风险管理”,是指围绕公司总体经营目标,通过建立健全全面风险管理体系,在管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,为实现风险管理的总体目标提供合理保证。第五条 全面风险管理的目标:
(一)将风险控制在与公司总体经营目标相适应并可承受的范围内;
(二)保证公司经营合法合规;
(三)通过全面风险管理体系的有效运作,保障经营管理的有效性,提高经营效率和效果,促进公司可持续发展;
(四)建立针对重大风险发生后的危机处理机制,防止公司因重大风险或危机发生而遭受重大损失;
(五)形成良好的风险管理文化,强化公司全体员工风险管理意识。
第六条 全面风险管理应遵循以下基本原则:
(一)全面性原则。全面风险管理覆盖公司所有部门和岗位,覆盖各个业务条线,贯穿决策、执行、监督、反馈、考核及改进等各个管理环节。
(二)独立性原则。公司建立独立的全面风险管理组织架构,赋予风险管理
条线足够的授权、人力资源及其他资源配置,建立科学合理的报告渠道,与业务部门或条线之间形成相互制衡的运行机制。
(三)一致性原则。公司建立全面风险管理体系时,应确保风险管理目标与公司战略发展目标一致。
(四)时效性原则。业务发生时能及时准确识别、控制和管理风险;监管政策、市场环境、公司经营战略以及业务现状发生变化时,能适时适度调整风险管理措施。
(五)定性与定量相结合原则。公司应根据自身业务性质、规模和复杂程度开发相适应的风险量化技术,推广应用先进成熟的风险管理经验,实现定量与定性方法的有机结合。
第二章 风险管理策略
第七条 风险管理策略是指公司根据内外部环境及发展战略所确定的全面风险管理总体方针,具体包括:风险偏好、风险容忍度、风险应对策略以及风险管理所需资源的配置原则。
第八条 公司根据不同业务特点确定相应的风险偏好和风险容忍度、风险限额,明确风险的最低限度和最高限度,确定风险预警线以及应采取的对策。
第九条 公司每年对风险管理策略进行有效性和合理性审查,并不断修订和完善。当市场环境和经营状况发生重大变化时,公司应首先评估现有风险偏好是否适用,必要时及时进行调整更新。在此基础上,考虑重大变化对各类风险水平的影响,对风险容忍度和风险限额进行调整,维持风险偏好的整体稳定性。
第十条 公司在风险识别与评估后平衡风险和收益,针对不同类型的风险,选择风险承担、风险规避、风险转移、风险控制等风险总体应对策略。
(一)风险承担。风险承担是公司对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
(二)风险规避。风险规避是公司对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。
(三)风险转移。风险转移是公司准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。
(四)风险控制。风险控制是公司在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。
第三章 风险管理组织体系与职责分工
第十一条 公司风险管理组织体系由董事会、监事会、审计与风险管理委员会、管理层、审计与风险管理部及各部门、控股子公司组成。
第十二条 公司董事会为风险管理最高决策机构,对全面风险管理的有效性负责。主要风险管理职责包括:
(一)领导公司全面风险管理工作,统筹全面风险管理体系的建设和有效实施;
(二)统筹风险管理文化的建设;
(三)批准公司全面风险管理相关报告;
(四)确定公司风险管理总体目标、风险偏好、风险承受度,批准风险管理的基本制度、风险管理策略和重大风险管控方案;
(五)了解和掌握公司面临的各项重大风险及其风险管理现状,做出有效控制风险的决策等;
(六)审批其他重大的全面风险管理事项。
董事会可将部分风险管理职责授权给审计与风险管理委员会及管理层。
第十三条 公司监事会负责对公司风险管理体系的建立、健全及执行情况进行监督检查。
第十四条 董事会下设审计与风险管理委员会,在董事会授权范围内,指导公司风险管理工作,为董事会重大决策提供建议。主要风险管理职责包括:
(一)督导公司风险管理体系的有效运行;
(二)审议公司全面风险管理相关报告;
(三)制定公司整体风险管理策略;
(四)审议公司风险管理总体目标、基本政策,并提出意见;
(五)审议风险管理组织机构设置及其职责方案;
(六)对需董事会审议的重大决策事项以及该事项所涉及的重大风险解决方案进行评估并提出意见;
(七)公司重大突发危机事件处理的决策和指挥;
(八)风险管理其他有关工作。
第十五条 公司管理层根据董事会的授权主要履行以下风险管理职责:
(一)负责公司全面风险管理的日常工作,确保公司风险在可接受的风险容忍度之内;
(二)执行董事会审定的风险管理策略;
(三)建立公司内部风险责任机制和重大风险应急机制;
(四)推动公司风险管理文化的建设;
(五)风险管理其他有关工作。
第十六条 公司审计与风险管理部是公司全面风险管理的牵头部门,负责公司全面风险管理日常工作的组织、推动和协调,主要履行以下风险管理职责:
(一)统筹公司全面风险管理体系建设,推动协调各职能部门按照职责分工开展各项风险管理具体工作;
(二)拟定或修订全面风险管理制度相关的规章制度;
(三)编制年度风险管理工作计划、编写全面风险管理相关报告;
(四)对公司重大业务进行风险审查,为公司重大决策事项提供专业意见;
(五)组织各部门及控股子公司开展风险识别与评估,整理、汇总形成全面风险评估结果;
(六)组织各部门及控股子公司制定重大风险管控方案,对重大风险管控方案的充分性及可行性,出具专业意见;
(七)对各部门及控股子公司风险管理职责的履行及风险管理工作的开展情况进行审计、监督;
(八)风险管理其他有关工作。
第十七条 业务中心、物联中心、研究院、财经中心、行政中心、安全生产管理办公室、总经理办公室、董事会办公室等部门根据公司的职责要求履行相应的风险管理职能,主要风险管理职责如下:
(一)贯彻执行公司《全面风险管理制度》,以及其他的风险管理相关制度,配合审计与风险管理部开展风险管理工作;
(二)负责开展本部门职责范围内的风险管理初始信息收集和风险评估,及
时识别重大风险;
(三)负责制定并落实本部门职责范围内的重大风险管控方案;
(四)根据关键风险点,持续完善本部门职责范围内管理制度、操作流程;
(五)风险管理其他有关工作。
公司部门职能架构发生调整的,由调整后承接相应职能的部门承担相应风险管控职责。第十八条 控股子公司根据自身实际情况设立风险管理职能机构或明确风险管理的主管部门,风险管理职能机构负责子公司具体的风险管理,贯彻执行公司风险管理的各项规章制度,接受审计与风险管理部的组织、协调、指导。具体职责如下:
(一)建立健全风险管理组织体系,明确子公司各部门全面风险管理的职责;
(二)组织制定子公司风险管理制度和风险解决方案,研究提出子公司的重大决策风险评估报告;
(三)严格遵照风险管理制度执行风险管理流程,包括收集风险管理初始信息、开展风险识别与评估、编制风险管理自评价报告;
(四)检查督导风险管理工作开展情况;
(五)风险管理其他有关工作。
第四章 风险管理工作流程第一节 风险管理初始信息收集
第十九条 公司各部门及控股子公司应按照风险管理分工要求,结合日常工作,通过各种渠道,广泛、持续地收集与公司风险相关的内部、外部初始信息,包括历史数据、未来预测以及公司国内外相关企业发生的风险损失事件案例等,每季度对风险信息进行动态管理。第二十条 在战略风险方面,应广泛收集国内外企业战略风险失控导致蒙受损失的案例,收集以下重要信息:
(一)国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策;
(二)科技进步、技术创新的有关内容;
(三)市场对公司产品或服务的需求;
(四)与公司战略合作伙伴的关系,未来寻求战略合作伙伴的可能性;
(五)公司主要客户、供应商及竞争对手的有关情况;
(六)与主要竞争对手相比,公司实力与差距;
(七)公司发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据;
(八)公司对外投融资流程中曾发生或易发生错误的业务流程或环节;
(九)其他影响战略风险的信息。
第二十一条 在财务风险方面,应广泛收集国内外企业财务风险失控导致危机的案例,并收集以下重要信息(其中有行业平均指标或先进指标的,也应尽可能收集):
(一)负债、或有负债、负债率、偿债能力;
(二)现金流、应收账款及其占销售收入的比重、资金周转率;
(三)产品存货及其占销售成本的比重、应付账款及其占购货额的比重;
(四)成本和费用;
(五)盈利能力;
(六)成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节;
(七)与公司相关的行业会计政策、会计估算、与国际会计制度的差异与调节(如退休金、递延税项等)等信息;
(八)其他影响财务风险的信息。
第二十二条 在市场风险方面,应广泛收集国内外企业忽视市场风险、缺乏应对措施导致蒙受损失的案例,并收集以下重要信息:
(一)产品或服务的价格及供需变化;
(二)原材料、设备等物资供应的充足性、稳定性和价格变化;
(三)主要客户、主要供应商的信用情况;
(四)税收政策和利率、汇率、股票价格指数的变化;
(五)潜在竞争者、竞争者及其主要产品、替代品情况;
(六)其他影响市场风险的信息。
第二十三条 在运营风险方面,应收集以下重要信息:
(一)产品结构、新产品研发;
(二)新市场开发,市场营销策略,包括产品或服务定价与销售渠道,市场营销环境状况等;
(三)公司组织效能、管理现状、企业文化,高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验;
(四)期货等衍生产品业务中曾发生或易发生失误的流程和环节;
(五)质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节;
(六)因公司内、外部人员的道德风险致使公司遭受损失或业务控制系统失灵;
(七)给公司造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险;
(八)对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力;
(九)公司风险管理的现状和能力;
(十)其他影响运营风险的信息。
第二十四条 在法律及合规风险方面,应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致蒙受损失的案例,并收集以下重要信息:
(一)国内外与公司相关的政治、法律环境;
(二)影响公司的新法律法规和政策;
(三)员工道德操守的遵从性;
(四)公司签订的重大协议和有关贸易合同;
(五)公司发生重大法律纠纷案件的情况;
(六)公司和竞争对手的知识产权情况;
(七)其他影响法律及合规风险的信息。
第二十五条 公司各部门及控股子公司应对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合,以便进行风险识别与评估。
第二节 风险识别与评估
第二十六条 公司及控股子公司应全面、系统、持续地收集和分析可能影响
公司经营管理的内外部信息,识别影响公司战略和业务目标的风险。
第二十七条 公司及控股子公司识别内部风险,主要关注下列因素:
(一)董事、监事及高级管理人员的职业操守、员工专业胜任能力等人力资源因素;
(二)组织机构、经营方式、资产管理、业务流程等管理因素;
(三)研究开发、技术投入、信息技术运用等自主创新因素;
(四)财务状况、经营成果、现金流量等财务因素;
(五)营运安全、员工健康、环境保护等安全环保因素;
(六)其他有关内部风险因素。
第二十八条 公司及控股子公司识别外部风险,主要关注下列因素:
(一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;
(二)法律法规、监管要求等法律因素;
(三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;
(四)技术进步、工艺改进等科学技术因素;
(五)自然灾害、环境状况等自然环境因素;
(六)其他有关外部风险因素。
第二十九条 公司及控股子公司根据风险发生的可能性及其影响程度,采取定性与定量相结合的方法,对识别的风险进行分析和排序,确定重点关注和优先控制的风险,并在考虑风险关联性的基础上,审慎评估面临的总体风险水平。
第三十条 风险评估包括风险辨识、风险分析、风险评价三个步骤。
(一)风险辨识是指查找公司各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。
(二)风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。
(三)风险评价是评估风险对企业实现目标的影响程度、风险的价值等。
第三十一条 公司各部门及控股子公司需对收集的风险管理初始信息及公司重要的业务流程进行风险评估。审计与风险管理部负责组织开展风险评估工作,具体流程如下:
(一)公司各部门及控股子公司持续开展风险初始信息收集、风险识别与评
估等工作,梳理风险清单、编制《风险跟踪监测表》,每季度提交至审计与风险管理部;
(二)审计与风险管理部对公司各部门及控股子公司的《风险跟踪监测表》进行审核分析并编制《重大风险季度跟踪监测表》,经审核后提交董事会审计与风险管理委员会;
(三)控股子公司每年编制《风险管理自查报告》提交至审计与风险管理部;
(四)审计与风险管理部每年出具《重大风险评估报告》,经审核后提交管理层、审计与风险管理委员会及董事会。
第三十二条 风险评估由审计与风险管理部组织公司各部门和控股子公司实施,也可聘请有资质、信誉好、风险管理专业能力强的外部机构协助实施。
第三十三条 公司主要关注战略风险、财务风险、市场风险、运营风险、法律及合规风险、其他风险等。
第三节 风险管理解决方案
第三十四条 公司各部门根据各类风险管控责任分工及风险总体应对策略,针对每一项重大风险制定风险管控方案。控股子公司在公司规范要求基础上,制定风险管控方案。
第三十五条 公司及控股子公司根据经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,制定风险管控的内控方案,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务与流程,要把关键环节作为控制点,采取相应的控制措施。
第三十六条 公司各部门及控股子公司按照各类风险管控责任分工,组织实施重大风险管控方案,将风险管控责任落实到具体岗位和流程。
第四节 风险管理的监督与改进
第三十七条 监督与改进主要包括监控风险状态的变化,检查重大风险应对方案的制定和实施情况,评估重大风险管控的有效性,实现风险管理的持续改进。
第三十八条 公司各部门及控股子公司根据各类风险管控责任分工及内外部环境的变化,对风险进行日常监控,重点关注内外部环境的改变是否会导致新的风险或风险的评级是否发生重大变化。
第三十九条 审计与风险管理部每年组织开展重大风险管控方案实施情况的检查和跟踪,对全面风险管理体系运行的有效性进行评估,研究提出全面风险管理的改进方案。
第五节 应急管理和风险事件管理
第四十条 公司及控股子公司应以预防为主、预防与应急处置相结合为原则,充分识别重大专项风险事件,有针对性的建立重大专项风险事件的应急处置机制。重大专项风险事件指一旦发生会对公司或控股子公司持续经营、资金状况、法律合规、员工安全或声誉等造成重大不利影响的,需要公司及控股子公司高度重视的风险事件。
第四十一条 公司及控股子公司应明确重大专项风险管理组织体系、职责分工以及汇报路线,明确重大专项风险管理的预防措施及保障机制,根据实际情况分类设立防范化解重大风险领导小组,定期开展重大风险分析研判,及时捕捉并报告“弱信号”。
第四十二条 风险事件是指风险已经发生,并对公司或控股子公司造成或将要造成损失的事件。公司及控股子公司应根据风险事件性质、影响范围或程度做好报告、应对与处置工作,并对风险事件变化情况进行持续跟踪监控。
第六节 风险管理报告
第四十三条 风险管理报告主要包括全面风险管理报告、风险监控类报告、重大风险事件报告和专项风险管理报告等。
第四十四条 全面风险管理报告主要内容包括年度风险评估及重大风险管控措施、本年度风险管理工作计划等。风险监控类报告包括投资项目投后管理报告、监测预警报告等。重大风险事件报告用于重大风险事件发生后的首报、续报和终报。专项风险管理报告用于高风险业务、重大改革以及重大投资等重要事项以及可能引发社会稳定问题的重大事项的专项风险识别与评估。
第四十五条 公司全面风险管理报告的编制工作由审计与风险管理部负责组织开展。风险监控类报告、重大风险事件报告和专项风险管理报告由重大风险管控责任部门根据相关制度规定及实际情况编写。
第四十六条 控股子公司根据公司相关要求编制并上报风险管理相关报告。
控股子公司监事和财务总监应按照相关制度规定参与全面风险管理工作,上报风险监控、风险事件等相关报告,包括但不限于重大事项报告、定期工作报告和专项工作报告等。
第五章 风险管理信息系统第四十七条 风险管理信息系统应能对具体风险进行计量、定量分析和测试。能够实时反应风险重要性排序、重大风险和重要业务流程的监控状态,能够对超过风险预警线的重大风险实施信息提示和报警,能够满足风险管理内部信息报告制度和对外信息披露管理制度的要求。
第四十八条 公司及控股子公司根据信息化建设总体规划研究制定风险管理信息系统的建设规划方案,组织开展风险管理信息系统的开发、建设和应用工作。
第六章 风险管理文化
第四十九条 公司及控股子公司大力培育和塑造良好的风险管理文化,树立正确的风险管理理念,增强员工风险管理意识,促进全面风险管理目标的实现。
第五十条 公司及控股子公司加强意识形态工作的管控,将风险管理文化融入企业文化建设全过程,在内部各个层面营造风险管理文化氛围。
第五十一条 公司及控股子公司全体员工应通过多种形式,努力传播风险管理文化,牢固树立风险无处不在、无时不在、岗位风险管理责任重大等意识和理念,严格防控纯粹风险,审慎处置机会风险。
第七章 考核与责任追究
第五十二条 公司采取风险管理考核机制。风险管理考核意见、监督评价结果纳入公司各部门及控股子公司的年度业绩考核指标。
第五十三条 相关人员违反规定,未履行或未正确履行职责造成公司资产损失或其他严重不良后果的,应当追究相应责任。
第八章 附 则第五十四条 本制度自公司董事会审议通过之日起生效。第五十五条 本制度由董事会负责解释和修订。
| 深圳英飞拓科技股份有限公司 |
| 二〇二四年十月 |