读取中,请稍候

云南旅游股份有限公司全面风险管理制度

第一章 总 则第一条 为建立有效的全面风险管理体制和机制，保障云南旅游股份有限公司（以下简称“公司”）稳定经营和持续发展，提高风险防范与管理水平。根据《公司

法》、《企业内部控制基本规范》及其配套指引和《公司章程》相关规定的要求，结合公司的实际情况，制定本制度。第二条 本制度适用于公司及下属全资子公司和控股公司(以下简称“下属企业”)。第三条 术语和定义：

（一）企业风险：指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险和法律风险。

（二）全面风险管理：指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。第四条 全面风险管理的目标是确保公司经营管理活动健康进行，规避和减少风险可能造成的损失，保证战略目标的实现。

第二章 全面风险管理应遵循的原则和总体目标第五条 全面风险管理遵循以下原则：

（一）合规性原则：以公司发展战略为导向，从战略目标出发，为实现战略目标服务；应符合《中华人民共和国公司法》和中华人民共和国财政部、审计署等五部委制定的《企业内部控制基本规范》和配套指引的原则要求，遵守公司有关风险管理及内部控制的规定；

（二）全面性和重要性原则：风险管理及内部控制应当贯穿决策、执行和监督全

过程，覆盖公司日常管理的主要业务和重要事项，应当在全面控制的基础上，关注重要业务事项和高风险领域；

（三）制衡性原则：风险管理及内部控制应当在公司治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率；

（四）适应性原则：风险管理与内部控制应当同公司管理、业务范围、动态发展相适应，并随着情况的变化及时加以调整，促进管理的改进；

（五）成本效益原则：在确定风险管理优先顺序的基础上，应当考虑管理成本和风险成本的匹配，实施成本与预期效益的权衡，以适当的成本实现有效控制。第六条 开展全面风险管理要努力实现以下风险管理总体目标：

（一）确保将风险控制在公司可承受的范围内，确保公司经营目标的实现；

（二）确保公司财务报告的真实性和完整性，在公司内外部，包括世博集团总部、各下属企业与投资者间实现及时、可靠的信息传递与沟通；

（三）确保公司经营管理的有效性，提高经营活动的效率和效果；

（四）确保公司经营管理活动中对相关法律法规、监管要求的遵循；

（五）确保公司的资产安全，实现国有资产的保值增值。

第三章 全面风险管理组织体系与职责分工第七条 公司风险评估实施全面风险管理，采用从董事会到审计部到业务部门的分级管理方式，全面风险管理组织体系包括:董事会、总经理、分管领导、审计部、其他各职能中心（部门）及所属企业。所属企业可根据实际建立本企业的风险管理组织体系。第八条 公司董事会是全面风险管理最高决策机构，负责对公司层面重大风险事项进行决策。其主要职责包括:

（一）批准风险管理策略及对重大风险、重大活动、重要事项的评价标准；

（二）批准风险管理组织机构设置及其职责方案；

（三）批准风险管理绩效考核方案和年度绩效考核评定结果；

（四）批准全面风险管理制度、内部控制管理手册、内部控制评价手册及管理办法等；

（五）批准公司总体《风险明细表》；

（六）督导风险文化的培育与宣贯工作；

（七）落实出资人要求的有关全面风险管理的其它重大事项。

第九条 总经理对全面风险管理工作的有效性负责，根据职责向董事长或董事会报告风险管理工作，具有风险管理事项的决策权，可将部分职权授予风险分管领导负责。其主要职责包括:

（一）审核全面风险管理组织机构设置及其职责方案；

（二）审阅并批示审计部所提交的《企业风险评价及控制缺陷报告》；

（三）审核重大风险状况《专项应对方案》的制定、执行和调整情况；

（四）审核重大风险关键监控指标和分解指标，以及预期实现关键监控指标的风险承受度；

（五）审核风险管理绩效考核方案及年度绩效考核评定结果，并提交董事会审议；

（六）审核风险应急预案；

（七）审核风险管理的其他重要事项。

第十条 风险管理分管领导主持全面风险管理的日常工作，对总经理负责，行使总经理授权范围内的风险管理职责。

第十一条 风险管理主管部门为公司审计部，负责全面风险管理体系的建设和整体运转，以及风险管理工作的组织与协调，为重大风险决策提供专业意见。其主要职责包括:

（一）组织开展年度风险评估及应对工作，负责对评估结果汇总分析，对所属企业开展的专项业务风险评估提供指导和支持；

（二）根据风险分析结果，提出风险管理策略调整建议，组织并协助相关部门制定重大风险《专项应对方案》；

（三）对年度风险管理工作情况进行评估，组织推动全面风险管理体系的建设和改进提升，指导所属企业开展风险管理体系建设；

（四）为公司各职能中心（部门）管理重大风险提供支持，组织协调跨部门的风险管理事宜，对公司重大风险管理决策提出意见；

（五）对重大风险《专项应对方案》的执行情况和效果进行监督检查；

（六）提出风险管理组织机构设置及其职责分工的建议；

（七）负责拟定或修订风险管理相关制度并监督落实，指导和协助所属企业制定完善具体风险的管理办法；

（八）负责董事会会议有关风险管理部分的组织、会议纪要的整理和决议事项的督促与落实；

（九）组织公司各职能中心（部门）及下属企业开展内控自评价工作，汇总自评价工作底稿及相关材料，并根据公司正面临的风险、风险成因、可能导致后果及已采取的风险控制措施编制《企业风险评价及控制缺陷报告》，编制完成后提交风险管理分管领导审核；

（十）对各职能中心（部门）及下属企业所提交的自评价工作成果进行审核；

（十一）完成公司领导交办的其他风险管理相关工作。

第十二条 党群工作部负责培育和塑造公司风险管理文化，为全面风险管理提供文化保障。

第十三条 公司各职能中心（部门）负责具体风险的管理，接受公司审计部的组织、协调、指导。中心（部门）负责人为本中心（部门）风险管理负责人，各职能中心（部门）基本职责包括：

（一）贯彻执行《全面风险管理制度》和《内部控制管理手册》，以及其他的风险管理相关制度，配合公司审计部开展风险管理工作；

（二）树立全面风险管理理念，积极参与风险管理文化建设；

（三）完成风险辨识和评估，形成《风险明细表》，并根据公司要求及时报送审计部；

（四）完成年度重大风险关键监控指标和分解指标的确定，以及风险承受度的定义；

（五）确定年度重大风险应对策略及具体应对措施，完成剩余风险评估；

（六）严格根据风险《专项应对方案》，实施应对措施，并持续监控应对方案的执行效率和效果，及时提请修正；

（七）监控风险事件的变化状态，适时制定和启动应急预案，并及时向审计部通报或备案；

（八）配合审计部完成内控自评价工作；

（九）配合公司审计部完成其他风险管理工作。

第十四条 所属企业依据部门垂直管理原则，由公司归口管理部门明确信息收集职责与内容，接受归口管理部门的指导和监督。根据自身实际情况设立风险管理职能机构或明确风险管理的主管部门，负责与公司审计部的对口工作，并报公司审计部备案。各业务部门设置相关岗位负责本部门业务风险信息收集和风险识别，并按要求向风险管理的主管部门、垂直管理部门报送风险管理相关成果文件。风险管理职能机构(或主管部门)负责本企业风险管理工作的协调和推进，其主要职责包括:

（一）协调推进本企业内部的风险管理活动；

（二）针对本企业管理职责内的重大风险，组织拟订应对方案；

（三）按照公司统一要求，汇总整理并上报本企业风险相关信息，完成风险信息报送、年度风险辨识和评估，并形成《风险清单》、《风险明细表》、《风险管理过程工作表》、重大风险《专项应对方案》等；

（四）编制本企业《企业风险评价及控制缺陷报告》；

（五）负责权限范围内的风险管理信息维护工作，包括风险清单、内控手册的更新等；

（六）监控风险事件的变化状态，适时制定和启动应急预案，并及时向公司审计部报告或备案；

（七）按照本企业风险管理制度的要求，履行风险管理工作的其他职责，完成本企业负责人授权的有关全面风险管理的其他事项。

第四章 全面风险管理工作流程

第一节 风险评估第十五条 风险评估是根据公司内外部环境的变化，对所面临的风险进行辨识、分析以及评价。公司各职能中心（部门）及所属企业应定期分析所处的内外部风险环境，并对整体所面临的重大风险进行评估。第十六条 公司各职能中心（部门）及所属企业在日常工作中，应持续收集与本企业风险相关的内外部相关信息，包括历史数据和未来预测数据，并进行整理和记录。第十七条 公司应当准确识别与实现控制目标相关的内部风险和外部风险，以

便确定相应的风险承受度。

（一）公司识别内部风险，应当关注下列因素：

1．董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素；2．组织机构、经营方式、资产管理、业务流程等管理因素；3．研究开发、技术投入、信息技术运用等自主创新因素；4．财务状况、经营成果、现金流量等财务因素；5．其他有关内部风险因素。

（二）公司识别外部风险，应当关注下列因素：

1．经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素；

2．法律法规、监管要求等法律因素；

3．安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；

4．技术进步、工艺改进等科学技术因素；

5．自然灾害、环境状况等自然环境因素；

6．其他有关外部风险因素。

第十八条 针对公司业务覆盖的范围，应对以下风险（但不限于）进行识别：

（一）战略风险；

（二）运营风险；

（三）财务风险；

（四）法律风险；

（五）市场风险；

（六）其他能够影响公司经营目标的风险。

第十九条 每年年末，公司审计部对各职能中心（部门）及所属企业编制并下发《风险梳理通知》，要求各业务部门及所属企业对其面临的风险因素进行识别、梳理，填报《风险明细表》。

第二十条 《风险明细表》应根据日常风险信息收集情况，《内部控制管理手册》控制措施落实情况、《风险管理过程工作表》对控制效果的意见反馈进行填列，填写内容包括：风险所存在业务流程、风险因素、风险描述、发生可能性、影响程

度、应对措施、责任部门等。第二十一条 所属企业《风险明细表》经部门负责人审核，公司领导审批后上报公司归口业务部门；公司业务部门将本部门及所属企业《风险明细表》汇总后，经部门负责人审核、公司分管领导审批后报审计部。第二十二条 公司审计部汇总各业务中心（部门）《风险明细表》，通过专业分析和判断，对重大风险进行提示，并完善各中心（部门）遗漏风险和企业整体风险，确定常规风险管控措施，汇总编制公司总体《风险明细表》，经部门负责人审核，分管领导审批后上报董事会审议。第二十三条 公司中高层管理者通过董事会对识别风险进行集体讨论和补充，对公司整体或重大风险应采取的有效控制措施进行提议和决策。

第二节 风险应对策略的制定及实施第二十四条 风险管理策略是指根据公司内外部环境及发展战略所确定的全面风险管理总体方针准则，包括:风险偏好、关键风险指标及其警戒值、针对当前重大风险的总体应对策略 (即风险规避、风险降低、风险分担、风险承受)，以及风险管理资源的配置原则。

（一）风险规避：指公司对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的对策。如停止向一个新的地理区域市场扩大业务，或者出售公司的一个分支；

（二）风险降低：指公司在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的对策；

（三）风险分担：指公司准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的对策；

（四）风险承受：指公司对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。第二十五条 公司应根据风险分析结果，结合风险承受度，权衡风险与收益，合理选择风险应对策略，实现对风险有效控制。第二十六条 审计部会同资产财务内控中心研究、确定影响公司目标实现的关键风险指标，并对关键指标设定一个预警范围。关键指标可选用主营业务收入、资

产周转率、资产负债率、股票价格、市盈率、基本每股收益、稀释每股收益等。

第二十七条 财务内控中心负责对上述指标进行实时监控，一旦指标超出预警范围，预示可能存在重大风险，财务部应编制《风险预警报告》，分析指标异常原因并提示可能存在的风险。

第二十八条 《风险预警报告》经财务内控中心总监、公司财务总监审核后，报送公司经营层领导审阅并批示意见。

第二十九条 出现重大风险情况时，审计部会同相关中心（部门）针对重大风险编制《专项应对方案》，经中心（部门）负责人、公司分管领导审核，报董事会审议批准后，下发至相关业务部门或所属企业实施。

第三十条 公司在确定具体的《专项应对方案》时，应考虑以下因素：

（一）风险应对方案对风险可能性和风险程度的影响；

（二）风险应对方案是否与公司的风险容忍度一致；

（三）对方案的成本与收益比较；

（四）对方案中可能的机遇与相关的风险进行比较；

（五）分析考虑多种风险应对方案的组合；

（六）合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失；

（七）结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

第三十一条 一般情况下，对战略、财务、运营和法律风险，可采取风险承担、风险规避、风险转换、风险控制等方法。对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险对冲、风险补偿等方法。

第三十二条 风险管理解决方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如：关键风险指标管理、损失事件管理等)。

第三十三条 公司制定风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风

险等，并制定相应的预防和控制措施。第三十四条 重大风险《专项应对方案》应满足合规的要求。针对重大风险所涉及的各项管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。第三十五条 相关业务部门按照《专项应对方案》，将应对措施落实到部门业务流程中，并对风险控制效果进行评估和及时反馈。

第三十六条 审计部根据实施效果反馈意见对风险应对措施进行改进和完善，并对重大及突发风险实施持续监控原则，充分利用信息技术提高风险控制的效率和效果。第三十七条 每年年末，公司审计部需组织公司各职能中心（部门）及下属企业开展内控自评价工作，审核并汇总自评价工作成果及相关材料，并根据公司正面临的风险、风险成因、可能导致后果及已采取的风险控制措施编制《企业风险评价及控制缺陷报告》，编制完成后提交风险管理分管领导审核。第三十八条 各职能中心（部门）及下属企业需积极配合公司审计部完成公司内控自评价工作，并根据审计部要求及时完成并提交内控自评价工作成果及相关材料。

第五章 风险管理的监督与考核

第三十九条 风险管理的监督与考核是指对风险管理的效果和效率进行持续监督与考核评价，包括对风险管理工作执行情况进行定期检查，对风险管理工作任务的完成情况进行考核，并根据监督或考核的结果，对全面风险管理工作进行改进与提升。

第四十条 公司审计部负责对各职能中心（部门）及所属企业的风险管理工作进行监督检查，拟定风险管理考核标准，并协助开展考核评价工作。

第四十一条 风险管理考核内容包括对风险管理建设工作效果的考核和对风险管理工作绩效的考核。公司审计部根据各职能中心（部门）和所属企业在年度工作计划中提出的风险管理工作目标，与考核对象进行沟通，确定考核指标与考核标准。

第四十二条 全面风险管理考核指标和考核标准主要由以下几方面组成:

（一）是否按计划完成了本企业的全面风险管理体系建设；

（二）是否按要求参与了风险管理的各项工作；

（三）风险管理职责是否得到了清晰的界定和落实；

（四）重大风险的监控报告和预警应对是否全面、及时、有效；

（五）有无超出预警范围的重大风险发生，并对经营目标造成重大影响。第四十三条 公司审计部应当定期对各职能中心（部门）和所属企业风险管理工作开展情况及其工作效果进行监督评价。

第六章 风险管理文化的建设第四十四条 公司党群工作部负责培育和塑造公司风险管理文化，为全面风险管理提供文化保障。

第四十五条 公司各职能中心（部门）和所属企业需配合党群工作部大力培育和塑造良好的风险管理文化，树立正确的风险管理理念，增强员工风险管理意识，促进全面风险管理目标的实现。第四十六条 风险管理文化建设应融入企业文化建设全过程。大力培育和塑造良好的风险管理文化，树立正确的风险管理理念，增强员工风险管理意识，将风险管理意识转化为员工的共同认识和自觉行动，促进企业建立系统、规范、高效的风险管理机制。

第四十七条 公司各职能中心（部门）和所属企业领导人员在培育风险管理文化中应发挥表率作用，重要业务流程和风险控制点的管理人员和岗位操作人员应当成为培育风险管理文化的骨干力量。

第四十八条 各级管理人员和岗位操作人员应当牢固树立风险无处不在、风险无时不在、严格防控纯粹风险、审慎处置机会风险、岗位风险管理责任重大的意识和理念。

第四十九条 应当通过多种形式广泛、深入、持久地宣传道德诚信准则和风险意识，进行正反两方面的风险管理案例教育，针对不同对象，开展风险管理制度和流程的操作人员岗前风险管理培训。

第七章 附则

第五十条 本制度由公司董事会负责解释和修订。

第五十一条 本制度自批准发布之日起生效。2016年8月18日公司第六届董事会第二次会议审议通过的《云南旅游股份有限公司全面风险管理制度》同时废止。

2022年12月30日