风险管理办法
第一章总则
第一条为了防范、控制、化解、处理企业在复杂多变的经营环境中,随时可能发生或出现的风险与危机,保证公司各项业务和公司整体经营的持续、稳定、健康发展,根据《公司法》、《证券法》、《中小企业板上市公司内部审计工作指引》的规定,结合公司实际情况,特制订本办法。
第二条本办法适用于公司各部门及各分支机构、子公司的风险管理工作。
第三条本办法所称分支机构是指,公司投资参股、控股的所有分公司、办事处、子公司。
第四条本办法所称风险,是指在公司未来发展过程中,各种不确定性对公司实现其战略及经营目标的影响。
第五条本办法中所称全面风险管理,是指公司围绕战略目标,通过在管理的各环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全风险管理体系,包括风险管理制度体系、风险管理组织体系和风险管理系统,为实现风险管理的总体目标提供保证的过程和方法。
第六条公司风险管理基本流程主要包括以下几项工作:
(一)风险管理策略的制定与实施
(二)风险管理制度的制定与实施
(三)风险评估
(四)风险的监控报告与预警
(五)风险与危机的处理
(六)风险管理的监督与考核 第二章风险管理的目标、原则与框架 第七条公司风险管理的总体目标:
(一)保证经营的合法合规及公司内部规章制度的贯彻执行;
(二)保证将风险控制在与总体目标相适应并可承受的范围内;
(三)确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失;
(四)保证内外部,尤其是公司与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告;
第八条公司风险管理应当遵循健全、合理、制衡、独立的原则,确保风险管理的有效性。
(一)健全性:风险管理应当做到事前、事中、事后控制相统一;覆盖公司的所有业务、部门和人员,渗透到决策、执行、监督、反馈等各个环节,确保不存在风险管理的空白或漏洞。
(二)合理性:风险管理应当符合国家有关法律法规和中国证监会的有关规定,与公司经营规模、业务范围、风险状况及公司所处的环境相适应,以合理的成本实现风险管理目标。
(三)公司部门和岗位的设置应当权责分明、相互牵制,一线业务运作与二线管理支持适当分离。
第九条公司的全面风险管理通常应涵盖经营活动中所有业务环节,包括但不限于:
(一)生产环节:包括拟定生产计划、开出用料清单、储存原材料、投入生产、计算存货生产成本、计算销货成本、质量控制等。
(二)采购及付款环节:包括采购申请、处理采购单、验收货物、填写验收报告或处理退货、记录应付账款、核准付款等。
(三)销货及收款环节:包括订单处理、信用管理、运送货物、开出销货发票、确认收入及应收账款等。
(四)固定资产管理环节:包括固定资产的自建、购置、处置、维护、保管与记录等。
(五)货币资金管理环节:包括货币资金的入账、划出、记录、报告、出纳和财务人员的授权等。
(六)关联交易环节:包括关联方的界定,关联交易的定价、授权、执行、报告和记录等。
(七)担保与融资环节:包括借款、担保、承兑、租赁、发行新股、发行债券等的授权、执行与记录等。
(八)投资环节:包括投资有价证券、股权、不动产、经营性资产、金融衍生品及其他长、短期投资、委托理财、募集资金使用的决策、执行、保管与记录等。
(九)研发环节:包括基础研究、产品设计、技术开发、产品测试、研发记录及文件保管等。
第三章风险管理的组织体系与职责分工
第十条公司风险管理的组织体系由公司审计委员会、审计监察部、法律顾问、各部门及分支机构内设的有风险职能的部门或岗位构成。
第十一条审计委员会由董事会设立,由独立董事担任主任委员,除公司《内部审计制度》规定的职责外,还负责提出公司经营管理过程中防范风险的指导意见,审定公司风险控制制度;对公司风险状况和风险管理能力及水平进行评价,提出完善公司风险管理和内部控制的建议。
第十二条审计监察部独立于公司各部门和分支机构,负责协助公司识别和评价重大风险问题,帮助公司改进风险管理与控制系统;通过评价控制的效率与效果、促进其持续改善等工作,帮助公司维持有效的控制系统;评价公司治理过程并提出改进公司治理的恰当建议,履行检查与评价、咨询与服务的职能。审计监察部向董事会负责并报告工作。
第十三条审计监察部下设风险管理职能,全面负责公司的风险管理,建立健全公司风险防范、监控体系,负责公司风险管理制度建设,并监督执行情况;负责公司各业务风险的日常管理,对公司经营管理活动中的各类风险实施有效的事前评估和过程监控,有效化解和降低公司运营风险。
第十四条法律顾问承担公司的政策法律事务,为领导决策和公司业务开展提供法律参考意见;审核相关法律文书及合同,防范法律风险;负责牵头处理公司诉讼事务和经济纠纷事务,代表公司对外处理相关法律事务,维护公司的合法权益。
第十五条公司各部门和和分支机构负责人为风险控制的第一责任人,履行风险控制职能,执行具体的风险管理制度,建立部门内权责明确、相互制衡的岗位职责和部门内全面、合理的风控制度,并针对业务主要风险环节制定业务操作流程。
第十六条公司加强对各分支机构的财务管理,由集团财金资源部归口管理各分支机构的财务部,集团财金资源部除承担本部门内部的风控职能外,还在财务核算、资金管理等方面承担对分支机构的风控职能。
第四章风险管理策略的制定与实施
第十七条风险管理策略是指,公司根据内外部环境及董事会制定的公司发展战略,结合《中小企业板上市公司内部审计工作指引》所确定的公司风险管理总体方针准则。
第十八条风险管理策略由审计监察部制定,经审计委员会进行评估后确定。审计监察部负责将公司风险管理策略落实到公司制度和流程管理中,协助各业务部门完善其业务制度和流程,并对风险管理策略的实施情况和效果进行检查和评
第十九条现有风险管理策略、制度、流程的可行性或有效性,如因内外部环境发生变化而受到严重影响,应及时进行修订和调整。
第二十条公司在实施风险管理策略的过程中,应建立和不断完善授权体系,公司所有部门和分支机构必须在公司授权范围内开展工作。在各项规章制度中要明确报告路线和程序,使风险信息能够及时传递到相关的部门和公司领导。
第五章风险评估
第二十一条风险评估是指根据公司内外部环境的变化,对公司所面临的风险进行风险辨识、风险分析、风险评价。包括对公司各项管理制度、各项经营发展计划、经营方案的事前风险评估。
第二十二条公司各项管理制度,应按规定程序征求意见。对其中涉及风险管理的部分是否符合公司风险管理政策,要经审计监察部进行会签。
第二十三条公司各部门可以根据本办法,针对本部门业务的特点,制定本部门业务的风险管理实施细则,经审计监察部会签确认后,按规定程序纳入公司管理制度体系。
第二十四条各部门制订的重大经营计划和创新业务方案应包含业务部门自身对于计划、方案的风险判断和采取的风险管理措施,并由审计监察部、法律顾问联合进行风险评估。审计监察部和法律顾问对计划、方案的市场风险、法律风险、信用风险、操作风险、技术风险、政策风险和道德风险等进行确认,对风险发生的概率及其产生结果的影响程度进行评估,对计划、方案中相应的风险管理措施是否充分有效等进行分析,并出具风险评估报告或法律意见书。
第二十五条公司应建立风险管理综合信息的收集与积累机制。风险管理综合信息包括与风险及风险管理相关的宏观经济、政策法规、市场状况、技术革新、公司资源、财务状况、人力配置、管理措施、工具应用、信息报告等方面的信息。公司及各部门、各分支机构应广泛地、持续不断地收集与公司风险及管理相关的信息,并送交审计监察部对相关信息进行整理和修订,以建设和更新公司的风险管理综合信息库。
第六章风险的监控报告与预警
第二十六条公司建立风险报告和预警制度。通过有效的沟通和反馈,使公司领导和有关部门及时了解公司业务和资产的风险状况,相应调整风险管理政策和管理措施。
第二十七条审计监察部对各部门的经营计划、方案的实施进行实时监控,及时对各类信息进行记录、汇总、分析和处理,并保留风险管理记录。各部门或岗位向审计监察部报送本部门业务风险情况。各部门所有涉及风险管理的相关资料必须向审计监察部报备,或向审计监察部开放信息系统。审计监察部有权检查原始资料。
第二十八条公司的风险报告分为定期风险报告和不定期的专项风险报告。定期风险报告是对一个阶段公司经营发展中存在的风险和纠正的情况进行的汇总报告;不定期专项风险报告是对监控中或风险专项检查中发现的重大风险或风险隐患问题进行的专项报告。风险报告要按照规定的报告程序报送公司领导、相关部门和履行垂直管理职责的管理部门。
第二十九条在风险监控中发现问题时,审计监察部可以进行风险专项检查,必要时可进行重点审计或组织专项审计。对其它不属于审计监察部职责范围内的事项,审计监察部可以向公司有关部门提出风险管理建议。
第三十条公司相关部门应建立风险预警系统,以发现并应对可能出现的风险:
(一)建立财务预警系统:公司及各分支机构的财务部门,通过设置并观察一些敏感性财务指标的变化,对可能或将要面临的财务危机实现进行预测预报。
(二)建立经营管理预警系统:公司及各分支机构的经营管理人员,根据各个业务环节特有的性质来设计不同的风险控制机制,彻底掌握风险的来源和可能的影响。
(三)建立全面的风险信息报告系统。各部门、分支机构及其下级风险管理单位,有责任及时、无保留地向公司审计监察部报告有关风险的真实信息。
第七章风险与危机的处理
第三十一条公司建立灵敏高效的危机处理和应急管理机制,以降低风险损失。对新出现的、缺乏风险应急预案的重大风险,审计监察部应立即与公司相关部门协调,组织人员研究制定风险应对方案,并报公司审计委员会审批后实施。
第三十二条当风险已经发生,风险单位负责人必须立即向公司审计监察部报告(可以越级报告)。
第三十三条审计监察部应及时对风险进行初步的评判,确定是属于一般性内部风险,还是对企业声誉、经营活动和内部管理造成强大压力和负面影响的企业危机。对一般性风险,责成单位负责人或有关人员负责组织处理;对企业危机,必须按照下列程序处理。
第三十四条企业危机处理程序
(一)成立风险和危机的处理机构
危机发生后,公司应在第一时间成立危机处理小组,该小组应由公司总经理或副总经理担任组长。小组成员至少应包括:发生危机单位的第一负责人,公司法律顾问、财金资源部、总经理办公室、人力资源部、审计监察部等部门负责人及其他相关人员,小组应配备小组秘书及后勤保障人员。
公司董事会应授权危机处理小组为处理危机事件的最高权力机构和协调机构,有权调动公司可用资源,有权独立代表公司作出声明、承诺或妥协。
(二)制订危机处理计划
危机处理小组应及时根据现有的资料和情报,以及企业拥有或可支配的资源来制订危机处理计划。计划必须体现出危机处理目标、程序、组织、人员及分工、后勤保障、行动时间表以及各个阶段要实现的目标,同时还应包括社会资源的调动和支配、费用控制和实施责任人及其目标。计划制订完成并获通过后,应立即开始进行物质资源调配和准备,展开全面的危机处理行动。
(三)危机处理
1.对于尚未造成社会影响的事件,在对危机事件进行详细的调查了解和核实的基础上,根据法律和公理,果断做出处理决定,以避免事态的进一步恶化。
2.对于已造成社会影响的事件,应保持与社会各方的良好沟通,及时披露事实真相,以有助于对事件做出客观公正的报道和评价。
3.在处理过程中,应处理好与危机事件对方当事人的关系,及时按抚,避免出现纠纷。
4.在事件处理的全过程,危机处理小组均应与当地政府、监管机构保持紧密联系,及时通报事件进展。
(四)教训总结与责任认定
危机事件处理完成后,危机处理小组应及时提交总结报告,如实反映事件的起因、发生过程、处理方法和结果、责任认定、反映的问题等,并提出整改建议或意见,以避免新的风险和危机发生。
第三十五条对因决策失误、管理失职、行为失当等原因致使公司出现风险或危机,并造成有形或无形损失的责任人及单位负责人,公司应追究其直接责任或领导责任。
第八章风险管理的监督与考核
第三十六条风险管理的监督与考核是指对风险管理的效果和效率进行持续监督与考核评价,包括对公司风险管理相关部门的风险管理工作执行情况进行定期检查,对风险管理工作任务的完成情况进行考核,并根据监督或考核的结果,对公司风险管理工作进行改进与提升。
第三十七条审计监察部对公司风险管理相关制度和流程在各部门和分支机构的执行情况进行监督和检查,对公司风险管理总体状态和内部控制的效率与效果进行检查和评价,对公司总部及各分支机构的各项经营管理活动和财务收支活动进行审计。各类审计报告按照规定程序上报。
第三十八条审计监察部负责对风险管理工作进行总结,对发现的问题应及时分析原因,改进所发现的风险管理设计和运行的缺陷,并据以修订风险管理相关制度。审计监察部应将有关风险管理资料抄送相关部门。
第三十九条公司建立多层级风险责任机制。各部门风险管理工作纳入绩效考核体系。
(一)公司及各分支机构为第一级风险管理单位,公司及各分支机构总经理为风险责任承担人,全盘负责本单位的风险管理。
(二)公司及各分支机构按照组织架构细分二级风险单位,每个风险单位的第一负责人为风险责任承担人,全盘负责本单位的风险管理。
(三)各分支机构及其二级风险单位必须评估每一个操作程序所遇到的风险,再把每一个风险细分为次风险,据此制定风险管理的操作程序。
(四)各级风险单位必须把风险管理的责任落实到每一环节的相关人员,真正做到风险控制到人。
第四十条年度风险管理考核指标与考核标准由审计监察部与人力资源部进行沟通确定后,报公司批准下发执行。
第四十一条考核指标和考核标准的设定,主要考虑以下方面:
(一)公司风险管理体系或部门风险管理流程的建设工作按计划进度完成情况。
(二)对公司或部门的重大风险进行系统的评估或预防的情况。
(三)根据公司风险管理策略,落实部门有关风险的管理制度和流程及实施的情况。
(四)对公司或部门的风险管理职责进行清晰的界定和落实的情况。
(五)风险相关报告和预警工作的及时、有效性情况。
(六)超出预警范围的重大风险发生并对公司经营目标造成重大影响的情况。
第四十二条对于违反公司风险管理制度的,由审计监察部提出处理建议,报请公司批准后,由人力资源部落实对具体责任人进行处罚。
第九章风险管理文化的建设
第四十三条公司应将风险管理文化建设作为公司发展战略的组成部分,培育和塑造良好的风险管理文化,促进公司全面风险管理目标的实现。
第四十四条公司应营造合规经营的制度文化环境。将风险管理文化融于企业文化建设的全过程中,在相关政策和制度文件中明确规定风险管理文化的建设
要求和内容,在各层面营造风险管理文化的氛围。
第四十五条公司应引导员工遵循良好的行为准则和道德规范,增强风险管理意识,培养按制度规章做事的习惯。
第四十六条公司应将对员工风险意识和风险管理的培训纳入培训计划。通过各类风险案例教育和公司制度流程培训,对公司全体人员进行岗前和岗上的持续性风险管理培训。
第十章附则
第四十七条公司各部门和分支机构应遵照本办法履行相应的职责,公司根据需要制定相应的实施细则和流程。
第四十八条本办法由公司董事会授权审计监察部负责解释。
第四十九条本办法自公司董事会批准之日起实施。
