云南一乘驾驶培训股份有限公司
全面风险管理制度
第一章 总则
第一条 为落实公司全面风险管理工作要求,明确风险管理责任制度,建立健全风险管理机制体系,细化公司全面风险管理工作,有效防范和化解各类风险,合理保证公司各项业务流程和经济活动的持续、健康发展,根据《中华人民共和国公司法》、《企业内部控制基本规范》等法律法规和《公司章程》,结合公司实际情况,制定本制度。
第二条 本制度中所称全面风险管理,是指公司围绕战略目标,通过在管理的各环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全风险管理体系,为实现风险管理的总体目标提供保障的过程和方法。
第三条 本制度所称公司专指云南一乘驾驶培训股份有限公司;所称所属企业专指云南一乘驾驶培训股份有限公司下属各分公司;所称部门专指云南一乘驾驶培训股份有限公司总部各部门;所称所属企业各单位专指云南一乘驾驶培训股份有限公司各分公司和各部门。
第四条 本制度适用于公司及所属企业各单位的全面风险管理工作。
第五条 风险管理的基本目标 (一) 合规目标
公司通过识别、分析经营活动中与实现控制目标相关的风险因素,采用科学合理的风险应对策略,合理保证经营活动合法合规。 (二) 资产安全目标
通过对风险的识别、衡量与控制,以合理的成本支出,使风险损失有效降低,合理保证公司资产安全。
(三) 财务报告目标
通过风险管理,识别财务报告错报风险并采取相应的控制措施,合理保证编制和提供真实、可靠的财务报告。
(四) 经营目标
通过在日常经营管理中对风险进行全面、实时、动态监控管理,降低风险事故发生的可能性和影响,提高公司经营活动的可预测性。
(五) 战略目标
通过建立健全公司风险管理体系,在战略转型过程中将风险控制在公司可承受的范围之内,为战略执行保驾护航,促进公司战略目标的实现。分析和评估经营活动中的各种风险,持续改进控制程序、不断优化控制措施,提高公司的抗风险能力。
第六条 全面风险管理遵循以下原则:
(一) 全面性原则
风险管理涵盖公司的所有部门和岗位,渗透到各项业务和环节中,贯穿于每项业务全过程。需通过不断提高员工对风险的识别和防范能力,树立全员风险意识。
(二) 有效性原则
在全面风险管理的理念下,建设全面反映公司风险状况的风险控制体系,确保该体系能有效指导业务,并能有效防范和化解风险。
(三) 防范和控制原则
风险控制关口前移,努力在前期做好风险管理工作,加强风险的事前预防和统筹管理。并能在风险发生时及时识别和处理
(四) 独立性原则
承担风险管理监督检查职能的部门独立于公司其他部门,确保监督检查工作的独立性。
(五) 成本效益原则
风险管理充分考虑成本与效益的关系,公司保持足够的风险投入,以降低风险损失。同时在保证风险可控的前提下,尽量减少冗余步骤,提高处理效率。
第二章 风险评估的管理体系建设及运行
第一节 风险管理体系建设和管控方式
第七条 公司全面风险管理工作实行全面风险分级管理,工作的开展采用“各单位实时动态风险防范机制和公司定期全面风险评估机制”相结合的方式。
第八条 公司的全面风险管理组织体系包括:董事会、校领导班子会、总经理或总经理办公会、内控部、审计部、其他各职能部门及相关所属企业。所属企业可根据实际建设本单位的风险管理组织体系。
第九条 董事会为全面风险管理最高决策机构,负责对公司层面重大风险事项进行决策。
第十条 校领导班子会是风险管理的组织、领导机构,负责风险评估方案的审核和专业风险事项的把控。
第十一条 总经理或总经理办公会是风险评估的工作协调机构,负责协调各部门配合完成风险评估工作和负责培育和塑造公司风险管理文化,为全面风险管理提供文化保障。
第十二条 内控部是全面风险管理日常管理部门,组织开展全面风险日常动态风险防范,组织定期全面风险评估,定期编制并更新风险清单,督促各部门对已识别风险采取相应的控制活动。
第十三条 审计部是年度全面风险评估组织部门,组织开展年度全面风险评估及内部控制评价工作。监督内部控制管理体系的建设和运行,编制公司年度风险评估报告
第十四条 公司各部门是全面风险管理实施的具体责任单位,负责日常风险信息收集、识别和分析分管业务的风险因素、制定相对应的应对措施并及时进行风险防范,参与公司的全面风险评估及内部控制评价工作。
第十五条 所属企业风险管理采用部门垂直管控方式,即公司职能部门对所属企业相同职能单位进行垂直管理。
第十六条 动态风险防范机制由公司各单位及所属企业按照职责分工实时收集各种内外部风险因素、分析对公司的影响程度、采取有效的应对措施进行防范。
第二节 风险管理体系中风险分类
第十七条 公司按经营活动模块分类建立风险管理体系,其中包括战略风险、市场风险、运营风险、财务风险和法律风险。
第十八条 战略风险包括:社会环境、政治环境、法律环境、国内外宏观经济政策、经济运行情况、国内外产业政策、行业状况、技术进步、市场状况、战略合作资源、供应商合作能力、客户合作能力、经营和管控模式等因素。
第十九条 市场风险包括:市场环境、竞争对手、品牌建设、渠道建设、客户服务等因素
第二十条 运营风险包括:
(一) 投资运营风险:投资过程合法合规、项目管控能力、项目资金运营能力、项目收益实现等因素。
(二) 人力资源运营风险:高管操守、员工能力、团队精神、人才流动、反舞弊等因素。
(三) 管理运营风险:经营方式、组织架构运行(治理结构和职能机构)、资产管理、业务流程、信息系统、信息披露等因素。
(四) 业务运营风险:市场策略、客户管理、招生政策、市场推广、人员培训等因素。
(五) 安全运营风险:营运安全、资产状态、安全监管政策等因素。
(六) 质量运营风险:教学模式、教学经验积累、管控程序、日常监控、应急机制等因素。
(七) 环保和资源节约运营风险:环保和资源节约政策、环保管理、资源节约管理等因素。
第二十一条 财务风险包括:
(一) 价格风险:利率、汇率、商品价格、权益、金融工具等因素。
(二) 流动性风险:现金流量、机会成本、融资渠道集中等因素。 (三) 信用风险:违约、客户集中、市场交割、担保等因素。 (四) 财务报告:全面预算管理、资金计划管理、会计信息、税务、报告合规、财务状况、盈利能力等因素。
第二十二条 法律风险包括:新政策法规、监管要求变化、以往重大法律纠纷案件、合同管理等因素。
第三章 全面风险管理流程
第一节 风险因素信息收集与评估
第二十三条 公司各单位按月收集与本单位风险管理相关的内外部信息,对收集信息进行必要的筛选、提炼、分类、组合、分析,在单位内部学习传阅,并建立“风险因素信息收集库”。每年全面风险评估和内部控制评价前,各单位将收集的最新“风险因素信息收集库”报内控部汇总。
第二十四条 各单位在完成日常风险收集后需对所收集风险进行风险识别以及对重要的业务流程进行对标。风险识别需关注它的全面性、综合性、连续性、制度性。
第二十五条 结合公司实际情况,风险识别可采用财务报表分析法、列表检查法、案例分析法、问卷调查法、流程图法。
第二节 风险的应对策略与控制
第二十六条 各单位依据风险信息收集与评估情况,合理选择风险应对策略。风险应对策略包括:风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等。公司应根据风险分析结果,结合风险承受度,权衡风险与收益,合理选择风险应对策略,实现对风险有效控制。
风险应对策略确定后,承担风险控制直接责任的单位应当结合风险评估结果,运用相应的控制措施,将风险控制在可承受度之内。
第二十七条 控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制、投资与资产处置项目控制等。 第二十八条 不相容职务分离控制需公司全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。
第二十九条 授权审批控制需公司根据收集管理制度中一般授权和临时授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
第三十条 会计系统控制需公司严格执行国家统一的会计准则,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。
公司应当依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术资格。
第三十一条 财产保护控制需公司需建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。公司应当严格限制未经授权的人员接触和处置财产。
第三十二条 预算控制需公司实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
第三十三条 运营分析控制要求公司建立运营情况分析制度,经营层应当综合运用主营业务、投资、融资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
第三十四条 绩效考评控制要求公司建立和实施绩效考评制度,科学设置考核指标体系,对公司内部各责任部门和员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。公司应当建立风险控制的激励约束机制,将各单位和员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。
第三十五条 投资与资产处置项目控制要求公司及所属企业建立和实施投资与资产处置的项目管理办法,明确立项、尽职调查与风险评估、决策、项目组织管理、谈判与签约管理、履约管理、争议处置、项目后评估等管理流程,控制投资与资产处置的风险,避免错误决策、不必要的损失或额外成本。
第三节 风险的动态监控
第三十六条 公司日常风险防范严格按照风险管理体系的职责分工进行动态监控。开展风险监控时需要对以下风险信息予以持续关注:
(一)关键风险指标的变化情况;
(二)新出现的风险或原有风险的重大变化;
(三)既定风险应对方案的执行情况及执行效果。
第三十七条 当风险监控分析结果中关键监控指标达到预警值或者出现重大风险变化,相关管理责任部门应按照内部报告程序进行报告,分析指标异常原因并提示可能存在的风险,制定或调整可执行、有效的控制措施进行风险防范。
第四节 突发重大风险事件应对及预警
第三十八条 在日常风险工作运作中,相关职能部门及所属企业单位需建立灵敏高效的危机处理和应急管理机制,以降低风险损失。对日常经营活动中新出现的、缺乏风险应急预案的重大风险,风险发生部门应立即协调、组织人员研究制定风险应对预案,并协同内控部针对此项重大风险编制应对方案,经部门负责人、公司分管领导、校领导班子会审核,报董事长审批后,下发至相关单位具体实施。
第三十九条 公司各单位需对重大风险实施持续监控,对需要改进的业务,提出改进方案,经相关单位负责人、公司分管领导、内控部、校领导班子会审核,董事长审批后执行。
第四十条 面对公司紧急危机情况,公司有关单位应在第一时间成立危机处理小组。对于特别重大的危机,该小组应由董事长担任组长。对于重大的危机,由董事长指定相关人员担任组长。小组成员至少应包括:董事会代表、发生危机单位的负责人、财务部、审计部、内控部和其他相关人员。
董事会应授权危机处理小组为处理危机事件的最高权力机构和协调机构,有权调动公司可用资源。有必要时,危机处理小组应分为决策组、执行组,分清权责,避免危机处置中的擅自决策与无人监督。
第四十一条 危机处理小组应及时根据现有的资料和信息,以及公司拥有或可支配的资源来制订危机处理计划。计划必须体现出危机处理目标、程序、组织、人员及分工、后勤保障、行动时间表以及各个阶段要实现的目标,同时还应包括社会资源的调动和支配、费用控制和实施责任人及其目标。计划制订完成并获通过后,应立即开始进行资源调配和准备,展开全面的危机处理行动。
第四十二条 危机后续处理
(一) 对于尚未造成社会影响的事件,在对危机事件进行详细的调查了解和核实的基础上,根据法律法规或相关规定,果断做出处理决定,以避免事态的进一步恶化。 (二) 对于已造成社会影响的事件,应保持与社会各方的良好沟通,及时披露事实真相,以有助于对事件做出客观公正的报道和评价。
(三) 在处理过程中,应处理好与危机事件对方当事人的关系,及时安抚,避免出现纠纷。
(四) 在事件处理的全过程,危机处理小组均应与当地政府、监管机构保持紧密联系,及时通报事件进展。
第四十三条 总结与责任认定
危机事件处理完成后,危机处理小组应及时提交总结报告,如实反映事件的起因、发生过程、处理方法和结果、责任认定、反映的问题等,并提出整改建议或意见,以避免新的风险和危机发生。
第四章 风险管理文化的建设
第四十四条 公司应将风险管理文化建设作为企业文化的组成部分,培育和塑造良好的风险管理文化,营造合规经营的制度文化环境,将风险管理文化融于公司文化建设的全过程中,在相关政策和制度文件中明确规定风险管理文化的建设要求和内容,在各层面营造风险管理文化的氛围。公司应当加强员工的道德风险意识、风险责任意识和法制观念的培养和教育,增强全员的道德观、责任心和风险意识,维护公司利益。
第四十五条 公司应将对员工风险意识和风险管理的培训纳入培训计划。通过各类风险案例教育和公司制度流程培训,对公司全体人员进行岗前和上岗后的持续性风险管理培训。
第四十六条 公司应建立和强化对风险管理考核的激励和约束机制,完善风险考核体系,引导员工逐步形成良好的风险管理意识,并将这种意识运用到工作当中。
第五章 责任追究
第四十七条 对于员工违反公司风险管理制度的行为,总经理办公会、审计部、内控部或分管领导均可提出处理建议,报请董事长批准后,由人力资源部门落实对具体责任人进行追责和处罚。对于管理层、部门负责人违反风险管理制度的行为,总经理办公会有权向董事长提出处理建议。对于董事、管理层违反公司风险管理制度的行为,监事会有权向股东大会提出处理建议。
第四十八条 对因决策失误、管理失职、行为失当、违规违法等原因致使公司出现一般性风险、中等风险的责任人及单位负责人,可视情节轻重、损失大小、责任人的态度给予责任人降薪降职、解除其职务、除名辞退等处理,并有权要求其赔偿损失。对因决策失误、管理失职、行为失当、违规违法等原因致使公司出现重大风险或危机,并造成有形或无形损失的责任人及单位负责人,应追究其直接责任或领导责任(含刑事责任、行政责任、民事责任),并有权要求其赔偿损失。
第四十九条 对因决策失误、管理失职、违规违法等原因致使公司业务出现风险的,其问责范围和追责程序按公司业务责任追究办法执行。
第六章 附则
第五十条 本办法由董事会授权内控部负责解释。 第五十一条 本办法自颁布之日起实施。
