国睿科技股份有限公司全面风险管理制度
第一章 总则第一条 为认真贯彻落实中央防范化解重大风险的部署,进一步规范国睿科技股份有限公司(以下简称公司)风险管理工作,建立健全风险管理机制,提高风险管理与防范能力,促进公司持续、健康发展,根据国务院国资委《中央企业全面风险管理指引》、《关于加强中央企业内部控制体系建设与监督工作的实施意见》、财政部《企业内部控制基本规范》、《公司章程》,结合公司实际,制定本制度。
第二条 本制度所称风险是指未来的不确定性因素对公司实现经营目标的影响。根据公司目标的不同,公司风险分为战略风险、市场风险、运营风险、财务风险和法律风险等。
第三条 本制度所称全面风险管理,是指围绕公司战略目标,培育良好的风险管理文化,建立健全全面风险管理体系,在日常经营活动中开展风险因素识别、风险评估、制定并执行风险管理方案、实施风险管理监督与改进等活动,防范经营管理过程中的各类风险,为实现公司全面风险管理总体目标提供合理保证的过程。
第四条 公司全面风险管理总体目标:
(一)确保将风险控制在与公司总体战略目标相适应并可承受的范围内;
(二)确保公司内外部之间实现真实、可靠的信息沟通,提供真实、可靠的财务报告;
(三)确保国家有关法律、法规和公司内部规章制度的贯彻执行;
(四)保障公司经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;
(五)确保公司建立针对各项重大风险发生后的危机处理计划,保护公司不因灾害性风险或人为失误而遭受重大损失,保障公司资产的安全、完整。
第五条 全面风险管理遵循原则
(一)全面性原则:风险管理应当覆盖公司总部、各全资和控股子公司的所有业务、部门和人员,渗透到决策、执行、监督、反馈等各个环节。
(二)重要性原则:风险管理应当在全面风险管理的基础上,应突出对重点业务领域和高风险事项的有效管控。
(三)适应性原则:风险管理应当与单位经营规模、业务特点等相适应,并随着情势的变化随时加以调整。
(四)成本效益原则:应平衡实施风险管理的成本和因为实施管理而避免的损失和产生的效益,以适当成本实现对风险的有效管理。
第二章 职责分工
第六条 公司建立“统一领导、分工负责、全员参与”的全面风险管理工作机制,明确全面风险管理组织体系中各层级的相关职责,发挥“三线模型”的作用。
公司董事会是全面风险管理的最高领导机构,负责对风险管理第一线、第二线、第三线职责的总体决策。
(一)第一线、第二线:公司管理层总体负责公司风险防控第一线、第二线。公司及各子公司业务部门为风险防控第一线,各职能管理部门为风险防控第二线。为实现公司总体战略目标,第一线、第二线的防控可以进行适当融合,第二线应当从单一“防控”向“防控”与“提供专业知识服务”转变。第一线承担风险管理的主要责任,第二线可专注于风险管理的特定目标,为第一线分配相关专家,提供专业服务支持、监控和挑战相关风险事项。
(二)第三线:纪检监察审计部负责通过系统的方法监督评价风险管理工作中风险管理部门及各业务单位是否按章履职,风险管理相关制度是否有效实施,风险管理部门的管理结果是否与实际一致等,促进公司完善风险管理、控制和治理流程效益,帮助公司实现经营目标。负责对各全资和控股公司的风险管理工作进行监督。
第七条 公司董事会是风险管理的决策机构,负责确定公司风险管理总体目标,了解和掌握公司面临的各项重大风险以及风险管理现状,做出有效控制风险的决策。公司董事会可成立下属风险管理委员会,并授权风险管理委员会执行公司全面风险管理的日常决策。
第八条 公司总经理是全面风险管理第一责任人,负责建立健全公司全面风险管理的管理架构,整体负责全面风险管理的工作。分管风险业务的公司领导负责主持全面风险管理的日常工作;分管其他业务的副总经理对各自分管业务范围内的风险管理负领导责任;各下属子公司、事业部总经理是各子公司、事业部全面风险管理的第一责任人;各公司部门负责人或具体经办人为本部门及本部门职责范围业务风险管理直接责任人。
第九条 公司纪检监察审计部是公司风险管理归口管理部门,负责的全面风险管理职责有:
(一)负责牵头组织公司风险识别、评估、分析工作,汇总审核各部门、子公司提出的重大风险评估表和风险应对措施,并拟定公司重点风险评估表和风险应对措施及风险管理方案;
(二)负责组织每年更新公司全面风险管理信息库;
(三)负责督促各部门、子公司研究提出全面风险管理策略和重大风险管理解决改进方案,并负责该方案的组织实施和对相关风险的日常监控;
(四)负责指导和监督有关职能部门、各业务单位以及子公司开展全面风险管理工作;
(五)负责对公司全面风险管理的有效性进行评估;
(六)负责向总经理、董事会做全面风险管理工作报告;
(七)负责办理有关全面风险管理的其他事项。
第十条 公司综合管理部全面风险管理职责:
(一)负责公司内部控制制度及流程建设工作;
(二)负责对公司内部控制建设及实施工作进行日常监督检查,推进内部控制与风险控制相结合的体系建设,优化流程、控制风险;
(三)负责为全面风险管理提供法律及合规支持;
(四)负责为各部门、子公司开展内部控制建设及实施提供咨询及协助。
第十一条 公司各部门以及子公司(以下称本单位)负责各自业务范围内的全面风险管理工作,并履行以下职责:
(一)负责制定本单位的风险应对措施及管理方案并组织执行;
(二)推进本单位业务内部控制制度及流程建设,落实内部制度执行日常自我监督;
(三)收集与本单位内相关的风险信息,应用风险管理技术和方法进行风险评估与识别;积极开展风险应对措施及管控重大风险;
(四)每年组织不少于一次的全面风险评估,并更新本单位的风险管理信息库;
(五)负责办理本单位全面风险管理的其他工作。
第三章 风险信息收集
第十二条 公司各单位是风险信息收集的责任主体,应广泛、持续地收集与本公司风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预测。各部门、各子公司风险信息收集完成之后,应当将完整的风险信息提交至公司纪检监察审计部进行汇总,由纪检监察审计部组织审核。
第十三条 在战略风险方面,广泛收集国内外公司战略风险失控导致公司蒙受损失的案例,并收集以下重要信息:
(一)与公司相关的宏观经济政策、本行业状况、国家产业政策;
(二)本行业相关的科技进步、技术创新的有关内容;
(三)公司产品的市场需求、主要客户、竞争对手状况等方面的重要信息;
(四)公司战略合作伙伴的相关信息;
(五)本公司发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据。
第十四条 在市场风险方面,广泛收集国内外公司忽视市场风险,缺乏应对措施导致公司蒙受损失的案例,并收集以下重要信息:
(一)收集公司产品价格、供求变化;
(二)原材料、关键设备元器件等物资供应的充足性、稳定性和价格变化;
(三)主要客户、主要供应商的信用情况;
(四)竞争对手、税收政策、利率、汇率等方面的重要信息。
第十五条 在运营风险方面,应收集以下重要信息:
(一)公司产品结构、新产品研发;
(二)新市场开发、市场营销政策;
(三)组织绩效、管理现状、企业文化、人力资源;
(四)质量、安全、环保、信息安全等管理中曾发生或者易发生失误的业务流程或环节;
(五)现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进的能力;
(六)分析公司风险管理的现状和能力。
第十六条 在财务风险方面,广泛收集国内外企业财务风险失控导致危机的案例,应收集以下重要信息:
(一)负债、或有负债、负债率、偿还能力;
(二)现金流、应收账款及其占销售收入的比重、资金周转率;
(三)存货、成本、费用;
(四)与公司获利能力、资产运营能力、偿债能力、发展能力指标相关的重要信息,重点关注成本核算、资金结算和现金管理业务中曾发生或者易发生差错的业务流程或环节。
第十七条 在法律风险方面,广泛收集国内外公司忽视法律法规风险、缺乏应对措施导致公司蒙受损失的案例,应收集以下重要信息:
(一)与公司法律环境、重大协议合同、重大法律纠纷案件、员工道德、员工廉洁从业等方面的信息;
(二)公司和竞争对手的知识产权情况。
第十八条 公司各部门、各子公司应当对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合,以便进行风险评估。
第四章 风险评估
第十九条 公司风险评估的执行主体是各部门、子公司。风险评估的实施频率应当至少每年一次,风险评估的范围是全公司。各部门、子公司需对收集的风险管理初始信息和公司各项业务管理以及重要业务流程进行风险评估。风险评估包括风险识别、风险分析、风险评价三个步骤。
第二十条 风险评估可由各部门、子公司自行组织实施,也可委托有资质、信誉好、风险管理专业能力强的中介机构协助实施。
第二十一条 风险识别是指识别可能阻碍实现公司目标、阻碍公司创造价值或侵蚀现有价值的因素。可以采取问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、访谈方式等识别风险。各部门、子公司应当准确识别与实现控制目标相关的内部风险和外部风险,以便确定相应的风险承受度。
第二十二条 风险分析主要从风险发生的可能性和对公司目标的影响程度角度,对识别的风险进行分析和排序,确定关注的重点和优先控制的风险。在风险分析不适宜采取定量分析的情况下、或者用于定量分析所需要足够可信的数据无法获得、或者获取成本很高时,公司可使用定性分析方法。
第二十三条 各部门、子公司对风险进行分析,应确认哪些风险应当引起重视、哪些风险予以一般关注。对于需要重视的风险,要分别确认为“重要风险”与“一般风险”。风险的重要程度的判断主要根据风险发生的可能性和影响程度来确定:
(一)如果风险发生的可能性属于“极小可能发生”的,该风险可不被关注;
(二)如果风险发生的可能性高于或等于“可能发生”,且风险的影响度小,可将该类风险确定为一般风险;
(三)如果风险发生的可能性等于或者高于“可能发生”,且风险的影响较大,可将该类风险确定为重要风险。
第二十四条 各部门、子公司对风险管理信息实行动态管理,定期或不定期实施风险识别、分析、评价,以便对新的风险和原有风险的变化重新评估。
第二十五条 各单位在投资并购、改革改制重组等重大经营事项决策前需开展专项风险评估,并将风险评估报告(含风险应对措施和处置预案)作为重大经营事项决策的必备支撑材料,对超出企业风险承受能力或风险应对措施不到位的决策事项不得组织实施。专项风险评估报告由重大经营事项的牵头单位组织相关部门编制。
第五章 风险管理方案
第二十六条 各部门、子公司针对风险评估结果,制定相应的管理方案或措施并严格执行。
第二十七条 制定风险管理方案,应当根据其对公司战略目标、年度经营目标的影响程度,选择风险规避、风险降低、风险分担或风险承受等风险管理策略。
第二十八条 制定方案时应当满足合规的要求,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,防止忽视风险,片面追求收益;同时也应防止单纯为规避风险而放弃发展机遇。
第二十九条 风险管理方案一般包括风险解决的具体目标,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施。
第三十条 各单位需将内部控制作为管控风险的基础手段,应当在业务流程中落实风险管理解决方案。各单位需将各类业务内部流程制度化,以开展宣贯并组织落实,确保风险可控。
第三十一条 各单位应当积极探索信息化风险管理方案,对于可以采用信息化手段控制的风险,应当主动与公司信息中心对接,讨论可行性,并落实信息化控制措施。第三十二条 各单位要按照各相关部门、单位的职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。
第六章 风险管理的监督与改进
第三十三条 公司建立贯穿于整个风险管理的基本流程,连接各上下级、各部门和业务单位的风险管理信息沟通渠道,确保信息沟通的及时、准确、完整,为风险管理监督与改进奠定基础。
第三十四条 公司各相关部门和子公司应当定期对风险管理工作进行自查和检验,及时发现缺陷并改进,有关检查、检验报告及时报送公司纪检监察审计部。
第三十五条 公司纪检监察审计部、综合管理部应对各部门风险管理及内部控制工作实施情况和有效性进行检查和检验,并会同相关部门及时分析原因,编制风险管理解决方案,视风险的重要程度向分管领导报告。
第三十六条 公司纪检监察审计部应对各部门、子公司能否按照有关规定开展风险管理工作以及工作效果进行监督评价,包括风险评估的充分性、风险管理的科学性、有效性以及风险管理效果、督促相关部门对风险管理工作存在的问题进行改进。
第三十七条 违反国家法律法规和公司管理规定,未履行或未正确履行职责致使公司资产损失或者产生其他不良后果的,按相关规定严肃追责。
第七章 风险管理文化建设
第三十八条 公司各部门、子公司设立风险管理联络员,负责收集与本部门、业务单位相关的风险信息,处理本单位风险管理联络的相关事宜。将风险管理文化建设融入企业文化建设全过程,努力将风险管理意识转化为员工的共同认识和自觉行动,促进企业建立系统、规范、高效的风险管理机制。
第三十九条 公司应在内部各个层面营造风险管理文化氛围。公司重要管理及业务流程和风险控制点的管理人员和业务操作人员应成为培育风险管理文化的骨干。
第四十条 公司员工牢固树立风险无处不在、风险无时不在、严格防控风险、岗位风险管理责任重大的意识和理念,提高公司风险管理能力和水平。
第四十一条 公司采取多种途径和形式,加强对风险管理理念、知识、流程、管控等核心内容的培训,培养风险管理人才,培育风险管理文化。
第四十二条 充分发挥考核导向作用,形成风险管理“团队合力”。设置风险防范和应急管理能力考核指标,加强对风险防控工作的绩效考核,进一步增强各级管理人员和业务人员的风险防范意识。
第八章 附则
第四十三条 本制度由公司纪检监察审计部负责解释。
第四十四条 本制度经公司董事会批准下发之日起执行。