金陵药业股份有限公司全面风险管理制度
(经第九届董事会第七次会议审议通过)
第一章 总则第二章 风险管理组织职责与分工第三章 风险管理的流程第一节 风险信息收集第二节 风险识别第三节 风险评估第五节 风险监控及预警第六节 风险报告第四章 全面风险管理保障体系建设第五章 对下属单位的风险管理第六章 风险管理的监督与问责第七章 附则
第一章 总则 第一条 为规范和加强金陵药业股份有限公司(简称“公司”)及所属企业的风险管理工作,有效识别、控制企业整体经营投资风险,构建全方位、多层次、高质量的全面风险管理体系,持续提升企业风险管理水平,结合公司实际,制定本制度。 第二条 本风险管理办法主要依据《中华人民共和国公司法》等相关法律法规,《金陵药业股份有限公司章程》、《金陵药业股份有限公司“三重一大”决策制度实施办法》等相关制度。 第三条 本制度适用于公司(含分支机构)、全资及控股子公司(以下简称下属单位)。 第四条 本制度所称全面风险管理是指围绕总体经营目标,建立健全全面风险管理体系,通过在管理的各环节和经营过程中执行风险管理基本流程,培育良好的风险管理文化,为实现公司发展总目标提供保证的过程和方法。第五条 风险管理目标:
(一) 确保将风险控制在与公司战略目标相适应并可承受的范围内; (二) 确保内外部,尤其是公司与各下属单位之间真实可靠的信息沟通;
(三) 确保公司与各下属单位遵守有关法律法规;
(四) 确保公司规章和制度措施的贯彻执行,保障经营管理的有效性;
(五)建立针对各项重大风险发生后的风险应对和危机处理机制,保护企业免受重大资产损失; (六) 开展全面风险管理工作应与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中,特别加强对重大风险、重大事件的管理和重要流程的内部控制工作。 第六条 公司应当建立与公司经营发展战略相协调的风险管理体系与风险管理制度,建立健全的组织架构、权责清晰的授权体系、量化的风险指标体系以及安全的信息系统。第七条 公司风险管理基本原则包括:
(一) 战略导向原则:风险管理工作应以公司发展战略为导向,从战略目标出发,为实现战略目标服务。 (二) 合规性原则:风险管理必须符合国家法律、法规、上级管理部门和董事会、股东大会及公司章程的要求和规定。 (三) 重大性原则:风险管理应在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取严格的控制措施,把风险控制在可接受的水平。 (四) 有效性原则:风险管理应符合公司业务特点和经营模式,能够有效实现风险控制目标。 (五) 成本效益原则:风险管理应在有效控制风险的同时,合理权衡成本与效益的关系,争取以较小的成本实现有效的风险控制。 (六) 防范控制原则:风险管理应向日常管理工作的前端推进,加强风险的事前防范和统筹管理。
第二章 风险管理组织职责与分工
第八条 公司全面风险管理工作实行分级管理,公司董事会下设立审计委员会,对董事会负责,向董事会汇报。公司设立审计部门。各下属单位按公司要求并结合自身实际情况建设本单位全面风险管理组织体系。 第九条 公司审计委员会负责公司全面风险管理工作,在董事会的授权下行使职权,向董事会负责并报告工作,为董事会提供专业建议。审计委员会在全面风险管理中的主要职责包括:
(一) 审议公司风险管理制度、风险管理程序;
(二) 审议公司风险管理组织机构设置及其职责方案; (三) 审议公司全面风险管理的总体目标、风险偏好、风险承受度,审议公司全面风险管理策略和重大风险解决方案;
(四) 审议风险管理方案、报告,向董事会提交相关报告。 (五) 审议重大决策、重大风险、重大事件和重要业务流程的风险评估标准,以及重大决策的风险评估报告;
(六) 办理董事会授权的有关其他风险管理事项。
第十条 公司审计部门负责组织并协调全面风险管理日常工作,牵头组织开展公司全面风险管理。审计部门风险管理主要职责如下:
(一) 拟定公司风险管理规章制度等并督导各部门及下属单位执行; (二) 拟定公司全面风险管理的总体目标、风险偏好、风险承受度,拟定公司全面风险管理策略,督促各部门及下属单位制定重大风险管理解决方案;汇总、整理公司职能部门与下属单位提交的风险管理工作总结等,编制公司风险管理年度工作报告;
(三) 拟定公司重大决策、重大风险、重大事件和重要业务流程的风险评估标准;对公司及下属单位风险管理工作进行指导、协调与督促;牵头组织开展风险管理信息系统建设和督导工作; (四) 对风险管理制度的执行情况和风险管理过程进行评价,提供风险管理的相关建议;
(五) 负责与外部机构的风险管理协调工作等;
(六) 其他公司要求的风险管理事项。
第十一条 公司各部门及下属单位是风险管理的责任主体和执行单位,其主要全面风险管理职责如下:
(一) 负责本部门或单位职责范围内的日常风险管理工作,落实风险管理责任; (二) 组织制定本部门、本单位风险管理规章制度、管理策略和风险解决方案; (三) 负责拟定本部门或单位重大决策、重大风险、重大事件和重要业务流程的风险评估标准;
(四) 负责本部门或单位风险管理工作报告的拟定工作;
(五) 负责本部门或单位风险管理信息规划拟定和实施工作; (六) 配合公司针对风险管理工作所做的组织、协调和监督检查等工作。
(七) 其他公司要求的风险管理事项。
第三章 风险管理的流程
(一) 公司风险管理包括以下流程:
(二) 收集风险管理信息,进行风险排查;
(三) 识别风险,建立风险清单、编制和完善风险手册;
(四) 制定风险管理策略,确定风险评估标准,进行风险评估;
(五) 提出和实施风险应对方案;
(六) 开展风险监控与预警;
(七) 执行风险报告机制;
(八) 对风险管理进行监督和改进。
第一节 风险信息收集 第十二条 公司各部门及下属单位根据各自业务收集整理各项管理经营活动中与风险和风险管理相关的内部信息和外部信息,对相关风险点进行排查,建立和完善风险信息清单。风险信息收集工作具体内容如下:
(一) 公司各部门及下属单位应根据风险管理工作的统一部署和安排负责所属单位风险管理相关的信息收集,定期分析所处的内外部风险环境并编制相关报告或建议; (二) 公司各部门及下属单位在日常工作中,应持续收集与本单位风险相关的内外部相关信息,包括历史数据和未来预测数据,并进行整理和记录。
第二节 风险识别 第十三条 公司各部门及下属单位收集整理各项管理经营活动中与风险和风险管理相关的内、外部信息,包括历史数据和未来预测;从内部或外部风险,直接或间接风险,财务或非财务风险,政治性或经济性风险等多角度对公司经营活动中所面临的风险进行识别,形成公司风险信息清单,并根据风险来源、风险特性对风险事项进行归类,
将相关信息、方案等提交公司审计部门。
第三节 风险评估 第十四条 风险管理策略是指根据公司内外部环境及发展战略所确定的全面风险管理总体方针准则,包括风险偏好、关键风险指标及其警戒值、针对当前重大风险的总体应对策略(即风险承担、风险规避、风险转移、风险控制),以及风险管理资源的配置原则。 第十五条 公司审计部门应根据年度风险管理工作的结果和公司的发展战略,研究制定或调整风险管理策略、风险评估标准,上报公司及审计委员会审议。 第十六条 公司审计部门每年负责组织各部门及下属单位开展风险评估工作,依据风险评估标准,从风险发生可能性和风险影响程度两方面,对本部门、本单位开展全面风险评估,确定重大风险、形成相关工作成果、提交公司审计部门。 第十七条 公司风险级次分为“一般风险、较大风险、重大风险”三种,其判断标准采取“定量判断和定性判断”相结合,也可单独使用定量判断标准或定性判断标准。 (一) 风险级次的定性判断是指,按照风险清单中风险发生可能性和影响程度的乘积,对公司声(信)誉影响程度大小进行的判断。具体由公司根据定期评估的数据进行评定后由审计委员会确定后公布执行。 (二) 风险级次的定量判断按照:可能给公司造成的损失额来确定,具体由公司根据定期评估的数据进行评定后由审计委员会确定后公布执行。
(三) 风险事件级次划分参照风险级次评判标准执行。
(四)安全事故等专项工作风险级次划分按照公司有关规定执行。 第十八条 公司审计部门负责收集汇总各部门及各下属单位风险评估结果,形成公司整体层面的风险等级分布。风险评估结果作为风险管理资源分配的有效依据。
第四节 风险应对 第十九条 风险事件要严格遵循“即发即报”原则,即若发生风险事件,相关部门、单位应及时履行内部汇报程序并同时向公司审计部门报告。 第二十条 针对中、低风险事件,相关部门、单位应及时组织调查,分析事件发展趋势,根据事件的可控程度,制定处理方案,并在一周内上报风险事件调查及控制结果报告至公司审计部门。针对重大风险事件,公司审计部门负责组织应对、调查,共同研究处置方案,经公司批准后实施,避免风险影响持续扩大,并在事后出具专题调查报告,向公司汇报。安全风险事件调查按公司相关规定执行。 第二十一条 公司各部门及控股公司根据风险管理策略、风险评估结果,提出和实施风险应对方案,报公司审计部门备案。风险管理解决方案应包括具体风险的管理控制目标、相关岗位的管理责任分工、针对该风险的事前、事中、事后的具体应对措施等。 第二十二条 公司审计部门负责对各部门及下属单位提出的具体风险解决方案进行整理汇总并提出管理建议,反馈给各部门及下属单位;将重大风险解决方案纳入年度风险管理工作的报告内容,提交审计委员会审议。
第二十三条 公司各部门及下属单位风险管理责任人负责组织推动风险管理工作实施,将风险控制责任落实到具体岗位或流程,制定可执行的实施计划,推动方案实施,并跟踪执行情况。
第五节 风险监控及预警 第二十四条 公司各部门及下属单位应对其管理的重大风险和相关风险进行持续的日常监控,并及时向公司审计部门上报潜在重大风险变化。开展风险监控时需要对以下风险信息予以持续关注:
(一) 关键风险指标的变化状况;
(二) 新出现的风险或原有风险的重大变化;
(三) 风险应对方案的执行情况及效果。
第二十五条 公司审计部门根据各单位提交的风险监控分析结果以及报告,对风险情况进行汇总分析和评价,包括年度重大风险的变化和应对情况、风险承受度的执行情况、风险排序的变化情况等,并将以上信息归入风险库存档,同时根据风险的重大变化提出跨部门的风险应对建议。
第六节 风险报告 第二十六条 风险报告分为定期报告、专项报告和即时报告。定期报告为风险年度报告,专项报告是针对高风险项目单独编制的风险报告,即时报告是发生重大或需要紧急处置的风险事项发生后编制的报告。 第二十七条 公司审计部门根据风险监控信息,编制年度风险管理工作相关报告,提交审计委员会进行审议。 第二十八条 审计委员会应审议年度风险管理工作相关报告,
对于报告中涉及的重大风险应对策略调整方案、风险承受度调整方案和其他需要决策的重大事项,按《金陵药业股份有限公司章程》《金陵药业股份有限公司“三重一大”决策制度实施办法》等相关制度召开会议进行审议。
第四章 全面风险管理保障体系建设 第二十九条 公司应将全面风险管理与企业经营管理相结合,根据风险评估结果和风险管理需要,将全面风险管理的要求落实到各项内部管理制度和流程。 第三十条 公司应将信息技术应用于风险管理的各个环节,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,不断改进公司经营管理流程监督的方式和途径,做到信息可监控、行为留痕迹、过失可追溯。 第三十一条 公司应建立具有风险意识的企业文化,将风险管理文化建设融入公司文化建设全过程,将风险管理意识转化为员工的共同认识和自觉行动,促进公司建立系统、规范、高效的风险管理机制。
第五章 对下属单位的风险管理 第三十二条 公司下属单位应结合单位实际及相关行业监管规定,根据本制度,制定本单位的风险管理具体规章制度。 第三十三条 公司下属单位按照公司关于风险管理的工作要求,开展风险识别、评估和控制等活动,形成年度风险管理工作成果。发现重大和重要风险控制缺陷或发生重大风险事故必须及时按内部管理流程进行处置并向公司审计部门书面报告。
第六章 风险管理的监督与问责 第三十四条 公司审计部门负责组织风险管理考核工作,包括制定考核指标、考核标准等,并督导纳入公司经济责任制考核体系。 第三十五条 公司审计部门是风险管理的监督部门,负责为组织治理和风险管理工作的适当性和有效性提供独立且客观的确认和咨询,评价和改进风险管理、控制和治理过程的效果,推动和协助企业实现可持续的进步。 第三十六条 对应当履行职责而未履行,或者未按照规定的职责和程序履行,造成风险事故的相关责任人,按相关业务管理制度和公司奖惩制度给予处分。
第七章 附则 第三十七条 本制度由公司董事会授权审计部门具体负责解释与修订。第三十八条 本制度经董事会审议通过后实施。