广安爱众:风险管理制度(修订稿)
四川广安爱众股份有限公司
风险管理制度(修订稿)
第一章 总则第一条 为建立健全四川广安爱众股份有限公司(以下简称"公司")风险管理体系,全面提升风险管理能力,保证公司安全、稳健运行,根据《中华人民共和国公司法》《企业内部控制基本规范》及配套指引等法律、法规、规章的相关规定,结合公司实际,特制定本管理制度。
第二条 本制度适用于公司总部、各子(分)公司的风险管理工作。国家法律法规有特殊规定的,从其规定。
合营和参股公司可参照执行。
第三条 风险是指未来的不确定性因素对公司实现战略目标和经营目标的影响,一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等。
第四条 风险管理是指围绕公司战略目标和经营目标,在经营管理过程中识别和分析影响公司潜在的重大事件、重大风险,通过制定和执行相应的控制措施和策略,将风险控制在可承受的程度内。
第五条 风险管理原则
— 2 —
(一) 全面性原则。风险管理应覆盖公司的所有业务、部门和人员,渗透到决策、执行、监督、反馈等各个环节,实行全过程管理,确保不存在风险管理的空白或漏洞处。
(二) 重要性原则。在全面风险管理的基础上,重点关注重要业务事项和高风险领域。
(三) 合理性原则。风险管理应当符合国家有关法律法规、行业监管的有关规定,并与公司经营规模、业务范围、风险状况及公司所处的环境相适应,以合理的成本实现风险管理目标。
第二章 风险管理组织与职责
第六条 风险管理体系建设应建立三道风险防线,以保证风险管理工作顺利实施并取得成效。第一道防线为开展具体业务的子(分)公司(含基层站所),第二道防线为总部职能部门,第三道防线为公司审计委员会及内审机构。
第七条 公司党委、董事会是公司风险管理工作的领导机构,负责研究、决策风险管理中的重大事项,其主要职责有
(一)批准公司风险管理体系建设方案。
(二)批准公司风险管理策略和重大风险解决方案。
(三)批准公司风险管理组织机构设置及其职责方案。
(四)批准风险管理工作自我评价报告。
(五)批准重大风险事件调查方案和相关责任追究意见,并向股东大会报告重大风险事件及其应对情况。
(六)批准风险管理绩效考核方案和年度绩效考评结果。
(七)批准风险管理文化培育和宣贯方案。
(八)其他重大事项。
第八条 审计委员会审计委员会是公司风险管理工作的专业指导、监督评价机构,其主要职责有
(一)审查公司风险管理工作自我评价报告。
(二)审查风险管理策略和重大风险解决方案。
(三)审查公司风险管理组织机构设置及其职责方案。
(四)审查风险管理绩效考核方案和年度绩效考评结果。
(五)审查风险管理文化培育和宣贯方案。
(六)其他重大事项。
第九条 总经理办公会公司总经理办公会是风险管理体系建设工作的实施机构,其主要职责有
(一)负责组织落实风险管理体系建设方案。
(二)负责组织落实全面风险评估或专项风险评估工作。
(三)负责指导监督重大风险应对方案的执行情况,掌握风险指标的重大变化。
(四)负责审核公司风险管理工作自我评价报告。
(五)负责协调跨专业、跨部门的风险管理事项。
(六)组织相关部门制定风险管理绩效考核方案,指导风险管理绩效考核工作。
(七)组织落实公司党委、董事会关于公司风险管理的决议事项。
(八)负责完成风险管理企业文化建设工作。
— 4 —
(九)其他重要事项。
第十条 内审机构公司党委、董事会指定内审机构作为公司风险管理的归口部门,其主要职责有:
(一)负责制定公司风险管理体系建设方案。
(二)配合中介咨询机构对公司业务进行风险梳理、诊断,协助完成重大风险、重大事件和重要业务流程的判断标准及判断机制。
(三)收集、汇总各部门、子(分)公司发现的风险问题,制定年度检查计划和实施方案。
(四)组织开展全面风险评估或重大决策、重要业务的专项风险评估。
(五)组织并协助相关部门研究、制定重大风险应对策略和应对方案,并对其执行结果进行后续追踪和评价。
(六)负责制定或修订公司风险管理制度,并对已建立的风险评价标准和风险数据库进行维护和更新。
(七)协助IT管理部门建设、开发、维护风险管理信息系统。
(八)负责对风险管理制度的执行情况进行监督、检查、评价,完成自我评价报告,并提出风险管理改进建议。
(九)其他事项。
第十一条 总部职能部门
总部职能部门组成公司风险管理的第二道防线,其主要职责有
(一)负责建立健全本单位风险管理体系建设工作。
(二)根据公司统一部署,负责组织落实风险管理计划和实施方案。
(三)负责开展全面风险评估和重大决策、重要业务的专项风险评估,形成风险评估报告。
(四)负责制定本单位、本业务领域重大风险应对方案,并组织实施。
(五)负责对本单位、本业务领域存在的风险及相关指标变化情况进行监控,及时维护风险数据库,形成风险监控报告。
(六)负责组织开展本单位风险管理自我评价活动,收集、汇总风险管理信息,编制风险管理自我评价报告。
(七)协助完成本单位、本业务领域的风险管理信息系统建设工作。
(八)负责培育和宣贯风险管理企业文化。
(九)其他重要事项。
第十二条 子(分)公司
各子(分)公司及其职能部门、基层站所等组成风险管理第一道防线,其主要职责
(一)负责建立健全本单位风险管理组织体系。
(二)负责组织落实风险管理制度和风险管理实施方案。
(三)负责监控本单位风险及相关指标变化,及时维护风险数据库,形成风险监控报告。
(四)组织开展风险管理自我评价活动,编制风险管理自我评价报告。
— 6 —
(五)发现重大风险、重大事件,应及时向内审机构报告,并拟订风险应对方案。
(六)其他重要事项
第三章 风险管理的主要内容
第一节 风险管理目标、关键内容与程序第十三条 风险管理目标
(一)确保将风险控制在与公司战略目标相适应并可承受的范围内。
(二)确保实现公司内外部信息沟通的真实、可靠。
(三)确保公司遵守国家法律、法规、行政规章及上海证券交易所规章。
(四)确保公司规章制度和各项措施的贯彻执行,提高经营活动的效率和效果,降低实现经营目标的不确定性。
(五)确保公司建立各项重大风险危机处理应急预案,降低因灾害性风险或人为失误而造成的重大损失。
第十四条 风险管理关键内容
公司风险管理应涵盖公司治理与经营管理活动中所有环节,包括但不限于
(一)公司治理机构及其运行:包括股东会、董事会、监事会及总经理办公会的职责权限的划分与履行;股东、董事、监事、高级管理人员的诚信规范要求等。
(二)证券事务:主要包括信息披露、投资者关系管理等。
(三)关联交易:包括关联方的界定,关联交易的定价、授权、执行、报告和记录等。
(四)重大资产购买与处置:包括重大资产自建、购置、处置、维护、保管与记录等。
(五)融资与对外担保:包括借款、承兑、租赁、发行新股、发行债券、担保等的授权、执行与记录等。
(六)对外投资:包括投资股权、有价证券、金融衍生品及其他长期或短期投资、募集资金使用的决策、执行、保管与记录等。
(七)生产运营:包括生产运营过程、采购与付款、销售与收款、财务会计管理、人力资源管理、安全、环保等。
(八)信息系统管理与运行:包括计算机及相关配套设备、设施(含网络)等硬件环境的安全,软件系统的运行环境安全,存在于信息系统的数据、信息的安全等。
第十五条 风险管理的基本程序
公司开展风险管理,应履行以下基本程序
(一)收集风险管理初始信息。
(二)进行风险评估。
(三)制定风险管理策略。
(四)提出风险管理解决方案。
(五)实施内部控制活动。
(六)风险管理的监督与改进。
(七)风险管理报告。
— 8 —
第二节 风险管理初始信息收集
第十六条 收集风险管理的初始信息有
(一)战略风险方面
主要收集与公司相关的宏观经济政策、技术环境、市场需求、竞争状况等方面的重要信息。重点关注公司发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据。
(二)运营风险方面
收集与公司相关的组织效能、经营策略、资产质量、技术更新、管理现状、人员结构等方面的重要信息。重点关注现有业务流程操作运行情况及持续改进能力和风险管理的现状和能力,公司质量、安全、环保、信息等管理中曾发生或易发生失误的业务流程或环节。
(三)市场风险方面
收集与公司相关的市场供求、销售价格、竞争对手、主要客户和供应商信用、税收政策以及利率、汇率、股票价格指数的变化等方面的重要信息,重点关注原材料、产品价格及市场供需的变化趋势。
(四)财务风险方面
收集与公司获利能力、资产营运能力、偿债能力、发展能力指标的重要信息,重点关注成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节。
(五)法律风险方面
收集与公司相关的法律法规、产业政策、员工道德、重大协议合同、重大法律纠纷案件、知识产权等方面的信息。此外,还应广泛收集国内外公司忽视战略风险、运营风险、市场风险、财务风险、法律法规风险和缺乏应对措施导致公司蒙受损失的案例,分析总结原因,有助于公司的风险管理。
第三节 风险评估
第十七条 风险评估主要是对收集的初始信息和各项业务管理流程进行风险辨识、分析和评价并确定重大风险的过程,包括风险辨识、风险分析、风险评价三个主要步骤。
第十八条 风险评估一般采取定性与定量相结合的方法。
风险定量评估应统一制定风险的度量单位和模型、假设前提和参数等,当定量法所需要的足够可信的数据无法获得或者获取成本很高时,通常使用定性法。
定性法可采用问卷调查、专家咨询、政策分析、行业标杆比较、管理层访谈和调查研究等。
第十九条 在评估风险时,应结合公司的业务特点和管理现状,对风险发生可能性的高低和对经营目标的影响程度的评估和对比,确定各项风险分类、风险层级及风险管理的优先顺序。
(一)如果风险发生的可能性属于极小可能,并且风险影响程度确定为极小影响,则将该类风险的重要性水平确定为低。
— 10 —
(二)如果风险发生的可能性属于较大可能,但风险的影响程度属于极小影响;或者风险发生的可能性属于极小可能,但风险的影响程度属于较大影响,则将该类风险的重要性水平确定为中。
(三)如果风险发生的可能性属于较大可能,并且风险的影响程度属于较大影响,则将该类风险的重要性水平确定为高。
第二十条 公司应定期开展全面风险评估工作,对重大决策和重要业务可根据管理需要开展专项风险评估。风险管理信息应实施动态管理,对新的风险和原有风险的变化要及时进行重新评估。
第二十一条 风险评估实施程序
(一)风险评估方案获得审批同意后,由内审机构组织各职能部门、子(分)公司开展风险评估工作,或聘请中介机构(外部专家)协助实施。子(分)公司负责完成本单位的风险评估报告,总部部门负责完成本部门(业务领域)的风险评估报告。
(二)内审机构对子(分)公司、总部各职能部门提交的风险评估报告进行汇总、分析,形成风险评估报告初稿,提交公司总经理办公会审查,确认公司级重大风险。
(三)依据总经理办公会审查意见,内审机构对风险评估报告初稿进行修改,最终形成公司风险评估报告。
(四)经总经理办公会审查通过后,提交公司审计委员会进行审核。审核通过后,再提交公司党委、董事会审批,并按要求进行披露。
第四节 风险管理策略及运用
第二十二条 制定风险管理策略是根据公司内部条件和外部环境,以及风险评估的结果,围绕公司发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择适合的风险管理工具,并确定风险管理所需人力资源和财务资源的配置原则。
第二十三条 确定风险偏好和风险承受度的原则
(一)要正确把握风险与收益的平衡关系。既要纠正忽视风险片面追求收益的做法,也要防止为规避风险而放弃发展机遇。
(二)结合公司业务特点,确定重大风险的预警线及相应的对策。
第二十四条 根据风险偏好和风险承受度,可选择的主要风险管理工具有
(一)风险承担
风险承担是指公司对风险承受度之内的风险,在权衡成本效益之后,不准备采取任何控制措施降低风险或者减轻损失的对策。
(二)风险规避
风险规避是指公司对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的对策。
(三)风险转移
风险转移是指公司借助他方力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的对策。
(四)风险控制
风险控制是指公司在权衡成本效益之后,采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的对策。
第二十五条 公司选择风险管理工具的原则
— 12 —
(一)对于符合公司发展战略、管理能力强或带来获利可能的风险,应采取积极利用或适度承担的策略。
(二)对于背离战略目标、管理能力差或没有获利可能的风险,应采取规避、转移或加强控制的策略。
第二十六条 公司选择风险管理工具时,应考虑以下因素
(一)风险应对方案是否与公司的风险承受度相一致。
(二)风险应对方案中成本与收益的比较。
(三)应对方案中可能的发展机遇与相关风险的比较。
(四)充分考虑多种风险应对方案的组合。
(五)充分考虑公司董事、经理及其他高级管理人员、关键岗位员工的风险偏好,避免因个人的风险偏好给公司经营带来重大损失。
(六)结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
第二十七条 公司配置风险管理资源时,应明确风险管理的优选顺序,明确风险管理成本和控制风险的组织体系、人力资源、资金预算、应对措施等总体安排。
第二十八条 公司应定期总结和分析已制定的风险管理策略的有效性和合理性,重点检查风险偏好、风险承受度和风险控制预警线实施的结果是否有效,并提出定性或定量的风险管理有效性标准。
第五节 风险管理解决方案
第二十九条 风险管理解决方案是风险管理策略分解落实到具体风险的管理措施。其主要内容有
(一)风险管理解决方案的组织领导。
(二)风险管理解决方案的具体目标。
(三)具体风险的对策。
(四)风险管理解决方案涉及的业务流程。
(五)风险管理解决方案所需要投入的资源。
(六)风险事件发生前、中、后可采取的管理措施及风险管理工具。
第三十条 采用业务外包形式解决风险管理中存在的问题,应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护、以及对外包解决问题产生的依赖性风险等,应制定相应的预防和控制措施。
第三十一条 各单位、各部门组织实施风险管理解决方案,应对重大风险进行持续监测,及时发布预警信息和调整应急预案。
第三十二条 内审机构应对各部门、子(分)公司经营管理活动中的重要领域、关键岗位、高风险环节进行适时监督,及时对各类信息进行记录、汇总、分析和处理,保留相关风险管理日志。根据公司风险管理需要,可开展专项审计或者专项调查。
第三十三条 公司应建立灵敏高效的危机处理和应急管理机制,对可能发生的重大风险或突发事件,制定应急预案,明确责任人员,规范处置程序,确保突发事件得到及时妥善处理。
第六节 风险管理内部控制活动
— 14 —
第三十四条 制定合理有效的内部控制机制和措施来落实风险管理解决方案。主要包括以下内容
(一)建立内控授权与批准机制。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,在授权外必须严格审批,任何组织和个人不得超越授权做出风险性决定。
(二)建立内控报告管理机制。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等。
(三)建立内控责任机制。按照权利、义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度。
(四)建立内控审计管理机制。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等。
(五)建立内控考核评价管理机制。将公司风险管理情况与单位主要负责人薪酬绩效挂钩。
(六)建立法律顾问管理机制。加强法律风险防范机制建设,形成由决策层主导、法律事务管理部门牵头、法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。
(七)建立重要岗位权力制衡管理机制。明确规定不相容职责的分离,主要包括授权批准、业务经办、会计记录、财产保管和稽核检查等职责。
第三十五条 风险监控与报告实施程序
(一)各单位、各部门应对本管辖范围内已识别风险进行持续监测,并形成监控报告。内审机构对子(分)公司、职能部门提交的监控报告进行汇总、分析,编制公司风险监控报告初稿。
(二)内审机构对达到预警条件的风险,应建议公司启动风险应急预案;对尚未制定风险应急预案的责任单位(部门),应督促整改;当原有应急预案与风险事件所在环境不相符,应组织相关单位及时调整应急预案。
(三)内审机构向公司提交风险监控报告初稿,按照组织程序进行审批。
(四)内审机构应对各单位、各部门风险应对方案的执行情况进行检查、评价,形成持续监督。
第七节 风险管理的监督与改进
第三十六条 风险管理的监督与改进应以重大决策、重大风险和重要管理事项、重要业务流程为重点,对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督,对风险管理的有效性进行测试和评估,根据存在的缺陷和变化趋势加以改进。
第三十七条 公司建立健全贯穿于整个风险管理的基本流程,连接业务单位和职能部门的风险管理信息沟通渠道,确保沟通及时、准确、完整,为风险管理监督与改进奠定基础。
— 16 —
第三十八条 公司各单位、各部门应对本管辖范围内的风险管理工作定期开展自查活动,及时发现缺陷并改进。内审机构应对风险管理情况进行检查、评价,提出改进建议。
第三十九条 内审机构按照上市公司的监管要求,对公司风险管理工作的规范性和有效性进行监督评价,编制《风险管理工作自我评价报告》,经董事会审批后对外公告。
第四十条 公司可聘请有资质、信誉好、专业能力强的中介机构对公司风险管理工作进行检查、评价,出具风险管理评估报告或审计报告。
第八节 风险管理报告
第四十一条 风险管理报告是按照公司风险管理职责、程序、内容的相关要求,对公司风险管理体系建设与执行的工作报告。
第四十二条 风险管理工作主要形成以下工作报告
(一)风险评估报告。主要是对风险评估工作开展情况、风险评估结果、重大风险分析以及风险事件库的更新和完善等内容的报告。
(二)风险管理策略报告。主要是对重大风险应对方案制定背景、重大风险管理现状以及重大风险应对计划等内容的报告。
(三)风险监控报告。主要是对重大风险指标的监控信息、新增风险信息以及重大风险应对方案的执行情况等内容的报告。
(四)风险管理年度工作报告。主要是对风险管理体系和风险管理文化的建设现状、年度风险管理工作完成情况以及下年度风险管理工作计划等内容的报告。
(五)风险管理工作自我评价报告。主要是对全面风险管理体系建设情况、全面风险管理工作的有效性以及内部控制体系的有效性进行监督评价的专项报告。
第四章 风险管理信息系统
第四十三条 公司应建立风险管理信息系统,将风险管理与各项业务流程和管理软件统一规划、统一设计、统一实施、同步运行。
第四十四条 公司风险管理信息系统应涵盖风险管理和内部控制系统的基本流程,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等,形成风险辨识评估、风险应对、风险监控、风险评价与改进的闭环管理。
第四十五条 公司风险管理信息系统,应实现风险信息的收集与统一管理、风险信息的综合分析与评估、风险信息的实时跟踪与监控预警、风险管理执行效果的检查与评价、专项风险管理与决策支持、风险管理工作的日常沟通等基本功能。
第四十六条 公司风险管理信息系统,应实现信息在各职能部门、子(分)公司之间的集成与共享,既能满足单项业务风险管理的要求,也能满足公司整体和跨部门、跨专业的风险管理综合要求。
第四十七条 公司应采取措施确保风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完
— 18 —
整性,确保风险管理信息系统的稳定运行和安全,并根据实际需要不断进行改进、完善或更新。
第五章 风险管理文化建设
第四十八条 公司应将风险管理文化融入企业文化建设的全过程,构建或提升良好的风险管理氛围,帮助干部员工树立正确的风险管理理念,促进公司建立系统、规范、高效的风险管理机制。
第四十九条 公司应将风险管理纳入干部员工的培训计划,采取多种途经和方式,开展风险管理理念、知识、制度、流程等培训,大力提升风险管理水平。
第五十条 公司应加强风险管理宣传工作,教育、引导员工自觉遵循公司制度、行为准则和道德规范要求,养成按章办事、遵守公共秩序的良好习惯。
第六章 风险管理绩效评价与运用
第五十一条 风险管理绩效评价是对公司风险管理体系建设和执行效果、效率情况进行评价,是公司年度绩效考核评价体系的重要组成部分。
第五十二条 内审机构依据职责对公司风险管理绩效评价工作进行监督,并将考核结果向审计委员会报告。
第五十三条 风险管理考核结果与各单位、各部门主要负责人的薪酬绩效挂钩。
因风险管理不到位、措施不力、整改不及时,造成公司重大损失的责任单位、责任部门的主要负责人、直接责任人按照国家法律法规、公司相关管理制度等进行问责或移送处理。
第七章 附则
第五十四条 本制度由公司董事会通过后发布,修改程序亦同。
第五十五条 本制度由公司内部审计机构负责解释。
第五十六条 本制度自发布之日实施,原2021版《风险管理制度》同时废止。