第一章 總 則
第一條 為加強風險控制管理�,建立規范��、有效的風險控制體系�����,提高風險防范能力�,保證集團安全���、穩健運行���,提高經營管理水平���,根據相關法律�����、法規和規范性文件的有關規定�����,結合集團的實際情況����,制定本制度�。
第二條 本制度旨在集團為實現以下目標提供合理保證:
(一)將風險控制在與總體目標相適應并可承受的范圍內���;
(二)實現集團內外部信息溝通的真實����、可靠�;
(三)確保法律法規的遵循��;
(四)提高集團經營的效益及效率����;
(五)確保集團建立針對各項重大風險發生后的危機處理預案�,使其不因災害性風險或人為失誤而遭受重大損失��。
第三條 本制度所稱風險控制管理��,是指集團圍繞戰略及經營目標�����,通過在管理的各環節和經營過程中執行風險控制管理的基本流程�����,建立健全風險控制管理體系����,為實現風險控制管理的總體目標提供保證的過程和方法�����。
第四條 集團風險是指未來的不確定性事項可能對集團實現其經營目標的影響�。
第五條 按照集團目標的不同對風險進行分類��,集團風險分為:戰略風險��、法律風險��、財務風險和經營風險���。
(一)戰略風險:沒有制定或制定的戰略決策不正確��,影響戰略目標實現的負面因素��。
(二)法律風險:沒有全面��、認真執行國家法律�����、法規和政策規定規定���,影響合規性目標實現的因素�。
(三)財務風險:包括財務報告失真風險�、資產安全受到威脅風險和舞弊風險�����。
1.財務報告失真風險:沒有完全按照相關會計準則��、會計制度的規定組織會計核算和編制財務會計報告�,沒有按規定披露相關信息���,導致財務會計報告和信息披露不完整��、不準確�����、不及時�。
2.資產安全受到威脅風險:沒有建立或實施相關資產管理制度��,導致集團的資產如設備和其他資產的使用價值和變現能力的降低或消失���。
3.舞弊風險:以故意的行為獲得不公平或非正當的收益�。
(四)經營風險:經營決策的不當����,妨礙或影響經營目標實現的因素���。包括但不限于:
1.生產環節:包括擬定生產計劃�����、開出用料清單���、儲存原材料�、投入生產��、計算存貨生產成本�、計算銷貨成本��、質量控制等��。
2.采購及付款環節:包括采購申請�����、處理采購單�、驗收貨物�����、填寫驗收報告等�。
3.銷貨及收款環節:包括訂單處理�、信用管理����、運送貨物�����、開出銷貨發票�����、確認收入及應收賬款等�。
4.固定資產管理環節:包括固定資產的自建�、維護�����、保管與記錄等���。
5.貨幣資金管理環節:包括貨幣資金的入賬�、劃出����、記錄�����、報告�、出納和財務人員的授權等�。
6.投資環節:包括投資股權�����、不動產����、經營性資產����、短期投資����、募集資金使用的決策�����、執行�、保管與記錄等���。
7.人事管理環節:包括雇用�、簽訂聘用合同����、培訓��、辭退�、計算薪金���、計算個人所得稅及各項代扣款�、薪資記錄����、薪資支付�、考勤及考核等����。
第六條 按照風險的影響程度�,風險分為低�����、中���、高風險�����。
第七條 本制度適用于集團及集團子公司�。
第二章 風險管理組織體系及職責分工
第八條 集團風險控制管理的組織體系由集團董事會(下設風險管理委員會)���、監事會����、各職能部門及子公司內設的風險管控職能部門或崗位構成��。
第九條 集團各職能部門為風險控制管理第一道防線���;風險控制管理委員會及監事會為風險控制管理第二道防線�;董事會為風險控制管理第三道防線�����。
第十條 集團各職能部門在風險控制管理方面的主要職責:
(一)集團各職能部門按照集團風險控制管理委員會制定的風險評估的總體方案���,根據業務分工��,配合內控組織�����,識別�、分析相關業務流程的風險�,確定風險反應方案�����;
(二)根據識別的風險和確定的風險反應方案���,按照集團確定的控制設計方法�����,設計并記錄相關控制����,根據風險控制管理的要求��,修改完善控制設計�。包括:建立控制管理制度����,按照規定的方法描述業務流程���,編制風險控制文檔和程序文件等��;
(三)組織控制制度的實施��,監督控制制度的實施情況��,發現�����、收集����、分析控制缺陷�����,提出控制缺陷改進意見并予以實施�����。對于重大缺陷和實質性漏洞�,除向各子公司領導匯報情況外����,還應向集團領導及董事會反饋情況����,以便集團監控內部控制體系的運行情況�����;
(四)配合內控組織等部門對控制失效造成重大損失或不良影響的事件進行調查�、處理�。
第十一條 集團董事會負責推動集團風險控制管理體系的建設�,并監督其實施的有效性��;監事會和風險控制管理委員會負責建立集團風險控制管理體系���、制度和流程等日常管理工作�。
第十二條 集團各職能部門負責人和子公司負責人為風險控制的第一責任人��,履行風險控制職能���,執行具體的風險控制管理制度�。建立部門內權責明確����、相互制衡的崗位職責和部門內全面�、合理的風險控制制度��,并針對業務主要風險環節制定業務操作流程�。
第三章 風險控制管理目標和基本流程
第十三條 集團風險控制管理的總體目標是:通過風險確認與識別程序�,預先發現風險征兆��,提前采取必要的預控措施����,
以達到規避風險����,減少損失的目標�����;對于已發生的風險�,首先通過已有的控制措施予以控制��,進而采取補償措施進行控制����,把風險損失降低到最小限度�。
第十四條 集團風險控制管理基本流程主要包括:
(一)風險管理策略的制定與實施��;
(二)風險評估�;
(三)風險監控報告與預警��;
(四)風險與危機的處理��;
(五)風險管理的監督與改進�。
第四章 風險控制管理策略的制定與實施
第十五條 風險控制管理策略是指集團根據內外部環境及董事會制定的集團發展戰略所確定的集團風險管理總體方針����。
第十六條 風險控制管理策略由風險控制管理委員會制定�����,經董事會�、監事會評估后確定�。監事會����、風險管理委員會負責將集團風險控制管理策略落實到集團制度和流程管理中�,協助各業務部門完善其業務制度和流程�����,并對風險控制管理策略的實施情況和效果進行檢查和評價�����。
第十七條 現有風險控制管理策略��、制度����、流程的可行性或有效性�����,如因內外部環境發生變化而受到嚴重影響����,應及時進行修訂和調整���。
第十八條 集團在實施風險控制管理策略的過程中�����,建立和不斷完善授權體系�����,集團所有部門和分支機構必須在集團授權范圍內開展工作��。
在各項規章制度中要明確報告路線和程序����,使風險信息能夠及時傳遞到相關的部門和集團領導��。
第十九條 集團各職能部門可以根據本辦法��,針對本部門業務的特點�����,制定本部門業務的風險控制管理實施細則���,納入集團管理制度體系����。
第五章 風險評估
第二十條 風險評估是指根據集團內外部環境的變化�����,對集團所面臨的風險進行風險辨識�����、風險分析��、風險對策�。
第二十一條 集團風險評估主要經過確立風險控制管理理念和風險接受程度��、目標制定��、風險識別��、風險分析和風險對策等六個基本程序來進行����。
第二十二條 確立集團風險控制管理理念和風險接受程度是集團進行風險評估的基礎�。
(一)集團風險控制管理理念是集團如何認知整個經營過程(從戰略制定和實施到集團日?�;顒樱┲械娘L險為特征的集團共有的信念和態度���。集團實行穩健的風險控制管理理念�,對于高風險投資項目采取謹慎介入的態度����。
(二)風險接受程度是指集團在追求目標實現過程中愿意接受的風險程度����。一般來講�����,集團可將風險接受程度分為三類:“高”�����、“中”或“低”�����。
集團從定性角度考慮風險接受程度�,整體上講����,集團把風險接受程度確定為“低”類���,即集團在經營管理過程中��,采取謹慎的風險控制管理態度�,可以接受較低程度的風險發生����。
集團的風險接受程度選擇也與集團的風險控制管理理念保持一致����。
第二十三條 目標制定是風險識別�、風險分析和風險對策的前提��。集團必須首先制定目標�,在此之后�,才能識別和評估影響目標實現的風險并且采取必要的行動對這些風險實施控制���。集團目標包括戰略目標��、經營目標�����、合規性目標和財務報告目標四個方面�。目標確定必須符合國家的法律法規和行業發展規劃����,符合集團戰略發展計劃�。
第二十四條 風險識別就是識別可能阻礙實現集團目標�、阻礙集團創造價值或侵蝕現有價值的因素��。集團可以采取問卷調查�、小組討論�、專家咨詢�、情景分析���、政策分析�����、行業標桿比較等識別風險�����。集團應當準確識別與實現控制目標相關的內部風險和外部風險�����,以便確定相應的風險承受度�。
(一)公司識別內部風險�,應當關注下列因素:
1.董事�、監事��、經理及其他高級管理人員的職業操守����、員工專業勝任能力等人力資源因素�����。
2.組織機構�����、經營方式��、資產管理���、業務流程等管理因素����。
3.研究開發����、技術投入����、信息技術運用等自主創新因素���。
4.財務狀況�����、經營成果��、現金流量等財務因素�。
5.營運安全��、員工健康����、環境保護等安全環保因素�。
6.其他有關內部風險因素���。
(二)公司識別外部風險�,應當關注下列因素:
1.經濟形勢��、產業政策�����、市場競爭���、資源供給等經濟因素���。
2.法律法規����、監管要求等法律因素�。
3.技術進步��、工藝改進等科學技術因素�����。
4.自然災害�����、環境狀況等自然環境因素���。
5.其他有關外部風險因素��。
第二十五條 風險分析主要從風險發生的可能性和對集團目標的影響程度兩個角度��,對識別的風險進行分析和排序��,確定關注重點和優先控制的風險�����。集團進行風險分析�����,應當充分吸收專業人員�,組成風險分析團隊�����,按照嚴格規范的程序開展工作�����,以確保風險分析結果的準確性���。
風險分析方法一般采用定性和定量方法組合而成��。在風險分析不適宜采取定量分析的情況下�����,或者用于定量分析所需要的足夠可信的數據無法獲得����,或者獲取成本很高時���,集團通常使用定性分析法�����。集團對風險進行分析�,確認哪些風險應當引起重視���、哪些風險予以一般關注�,對于需要重視的風險���,再進一步劃分�����,分別確認為“重要風險”與“一般風險”���,從而為風險對策奠定基礎�����。風險的重要程度的判斷主要根據風險發生的可能性和影響程度來確定:
(一)如果風險發生的可能性屬于“極小可能發生”的��,該風險就可不被關注����;
(二)如果風險發生的可能性高于或等于“可能發生”��,且風險的影響程度小���,就將該類風險確定為一般風險���;
(三)如果風險發生的可能性等于或高于“風險可能發生”�����,且風險的影響程度大��,就將該類風險確定為重要風險�����。
第二十六條 風險對策�����。集團應該根據風險分析的結果���,結合風險發生的原因以及承受度�����,權衡風險與收益����,選擇風險應對方案:規避風險�����、接受風險�����、減少風險或分擔風險����。
第二十七條 集團在確定具體的風險應對方案時����,應考慮以下因素:
1.風險應對方案對風險可能性和風險程度的影響����,風險應對方案是否與集團的風險容忍度一致��;
2.對方案的成本與收益比較��;
3.對方案中可能的機遇與相關的風險進行比較����;
4.充分考慮多種風險應對方案的組合�;
5.合理分析�、準確掌握董事���、集團管理層及其他高級管理人員�����、關鍵崗位員工的風險偏好�����,采取適當的控制措施���,避免因個人風險偏好給集團經營帶來重大損失�;
6.結合不同發展階段和業務拓展情況��,持續收集與風險變化相關的信息�,進行風險識別和風險分析�,及時調整風險應對策略����。
第六章 風險監控和預警
第二十八條 集團通過有效的溝通和反饋�,使集團領導和有關部門及時了解公司業務和資產的風險狀況���,相應調整風險控制管理政策和管理措施�。
第二十九條 監事會��、風險控制管理委員會對集團的經營計劃���、戰略方案的實施進行實時監控�,對各類信息進行記錄���、匯總�、分析和處理����,并保留風險控制管理記錄�����。各部門或崗位向內審機構報送本部門業務風險情況��。
第三十條 集團各職能部門每年對業務范圍內的集團風險的控制水平進行一次書面分析和評估�����,風險控制管理委員會負責匯總風險評估報告���,經監事會審核后上報集團董事會���。
第三十一條 集團制定合理��、有效的內控措施�����,包括以下內容:
(一)建立內控崗位授權制度����。對內控所涉及的各崗位明確規定授權的對象�、條件�����、范圍和額度等�,任何組織和個人不得超越授權做出風險性決定���;
(二)建立內控報告制度��。明確規定報告人與接受報告人��,報告的時間�、內容�����、頻率�、傳遞路線���、負責處理報告的部門和人員等���;
(三)建立內控批準制度�。對內控所涉及的重要事項�����,明確規定批準的程序�����、條件�����、范圍和額度�、必備文件以及有權批準的部門和人員及其相應責任��;
(四)建立內控責任制度�����。按照權利�、義務和責任相統一的原則��,明確規定各有關部門和崗位�、人員應負的責任和獎懲制度��;
(五)建立內控審計檢查制度���。結合內控的有關要求�����、方法���、標準與流程���,明確規定審計檢查的對象��、內容���、方式和負責審計檢查的部門等��;
(六)建立重大風險預警制度和突發事件應急處理機制���。
明確風險預警標準���,對可能發生的重大風險或突發事件���,制定應急預案��、明確責任人員�����,確保突發事件得到及時妥善處理�����;
(七)建立健全集團法律顧問制度�。大力加強集團法律風險防范機制建設�����,形成由集團決策層主導���、集團法規風控審計部牽頭提供業務保障��、全體員工共同參與的法律風險責任體系��。完善集團重大法律糾紛案件的備案管理制度�;
(八)建立重要崗位權力制衡制度��,明確規定不相容職責的分離���。主要包括:授權批準��、業務經辦����、會計記錄���、財產保管等職責�����。對內控所涉及的重要崗位可設置一崗雙人��、雙職�、雙責�����,相互制約�����;明確該崗位的上級部門或人員對其應采取的監督措施和應負的監督責任��;將該崗位作為內部審計的重點等�。
第三十二條 集團相關部門建立風險預警系統���,以發現并應對可能出現的風險:
(一)建立財務預警系統��。集團及各分支機構的財務部門���,通過設置并觀察一些敏感性財務指標的變化�,對可能或將要面臨的財務危機實現進行預測預報���。
(二)建立經營管理預警系統����。集團及各分支機構的經營管理人員����,根據各個業務環節特有的性質來設計不同的風險控制機制�,徹底掌握風險的來源和可能的影響�。
(三)建立全面的風險信息報告系統��。各部門�����、分支機構���,有責任及時���、無保留地向集團內審部門報告有關風險的真實信息��。
第七章 風險處理
第三十三條 集團建立靈敏高效的風險處理和應急管理機制�����,以降低風險損失��。對新出現的���、缺乏風險應急預案的重大風險��,風險控制管理委員會應立即與監事會及集團相關部門協調�����,組織人員研究制定風險應對方案�,并報集團董事會審批后實施���。
第三十四條 當風險已經發生�,風險單位負責人必須立即向集團風險控制管理委員會和監事會報告�����。
第三十五條 風險控制管理委員會和監事會收到風險報告后���,及時對風險進行初步的評判�,確定是屬于一般性內部風險��,還是對集團聲譽�、經營活動和內部管理造成強大壓力和負面影響的集團危機��。
第八章 風險控制管理的監督與改進
第三十六條 集團建立貫穿于整個風險控制管理基本流程���,連接各上下級��、各部門和子公司的風險控制管理信息溝通渠道����,確保信息溝通的及時��、準確��、完整����,為風險控制管理監督與改進奠定基礎��。
第三十七條 集團各有關部門���、子公司定期對風險控制管理工作進行自查和檢驗�����,及時發現缺陷并改進�����,其檢查報告報送集團內審部門備案���。
第三十八條 集團監事會和風險控制管理委員會定期或不定期對各有關部門�����、子公司能否按照有關規定開展風險控制管理工作及其工作效果進行監督評價��,并將監督評價報告上報董事會���。
魯公網安備 37110202371122號