企业风险管理制度

企业风险管理系统第一章总则一是建立公司的风险管理、规范有效的风险控制体系，提高风险防范能力，确保公司安全稳定的运营，提高经营水平，根据中华人民共和国公司法、企业内部控制基本规范等法律、法规和规范文件的相关规定，结合公司实际情况制定本制度。第二条本制度旨在公司实现以下目标的合理保证： (a)符合整体目标，在可承受范围内提供风险控制。(b)实现公司内部外部信息通信的真实可靠；(c)确保遵守法律法规；(4)提高公司运营的效率和效率。(e)公司制定各种重大风险发生后的危机处理计划，防止灾难风险或人为失误造成重大损失。第三条公司风险是指未来的不确定性对公司实现经营目标的影响。第四条风险按：战略风险、经营风险、财务风险和法律风险分类的公司目标分类。(a)战略风险：制定或未制定的错误战略决策是影响战略目标实现的消极因素。(b)经营风险：销售决策不恰当，妨碍或影响业务目标实现的因素。(c)财务风险：包括财务报告失真风险、资产安全威胁风险和欺诈风险。1、财务报告失真风险。没有按照有关会计标准的规定组织会计，编制财务会计报告，没有按照规定公开相关信息，财务会计报告和信息披露不完整、不准确、不及时。2、资产安全面临风险。不建立或实施导致设备、库存、有价证券和其他资产的使用价值和实现能力减少或消失的相关资产管理系统。3、欺诈危险。故意行为获得不公平或不正当的利益。(d)法律风险：是国家法律、法规和政策规定，以及深圳证券交易所(以下简称“深圳证券交易所”)相关文件的规定没有完全和认真地执行，影响实现法规遵从目标的因素。第五条风险能否给企业带来利益可以分为纯粹风险和机会风险。第六条根据风险的影响程度，风险可分为一般风险和重要风险。第七条本制度适用于公司及公司控股子公司。第二章风险管理和责任分担第八条公司各部门是风险管理的第一道防线。监查部和董事会下属的监查委员会是风险管理的第二条防线。董事会和股东大会是风险管理的第三条防线。第九条各公司对风险、控制管理的主要责任：(a)公司各部门根据公司内部控制部门制定的风险评估总体计划，根据工作分工配合内部控制项目组，识别、分析相关业务流程的风险，确定风险应对方案。(b)根据确定的风险和确定的风险响应计划，根据公司确定的控制设计方法和说明工具设计和记录相关控制，根据风险管理的要求修改完整的控制设计。包括建立：的控制管理系统，根据规定的方法和工具说明业务流程，准备风险管理文档和程序文件。(三)监督组织控制制度的实施，监督控制制度的实施，发现、收集、分析控制缺陷，提出和执行关于改善控制缺陷的意见。在重大缺陷及实质弱点的情况下，除了向部门指示情况报告外，还要向公司董事会反馈情况，监视公司内部控制系统的运行。(d)与审计部门和其他部门合作，调查和处理对控制失败造成重大损失或不利影响的事件。第十条控股子公司的风险管理和责任分担设置，分别参照上述第8，9条的规定制定。第三章风险管理原始信息的收集第十一条广泛持续地收集历史数据和未来预测等与企业风险和风险管理相关的内部和外部初始信息，应当将初始信息收集的责任分担实施到各部门和控股子公司。第十二条在战略风险方面，广泛收集国内外企业因战略风险控制不良而遭受损失的事例，并根据公司的发展战略和计划、投资资金分配计划、年度经营目标、经营战略和这些战略、计划、计划、目标准备的相关依据，收集有关企业相关宏观经济政策、技术环境、市场需求、竞争情况等重要信息。第十三条在财务风险方面，广泛收集国内外企业财务风险失控引起的危机案例，收集有关公司盈利能力、资产运营能力、偿付能力、发展能力指标的重要信息，重点关注成本会计、资金结算和现金管理工作中容易发生或出错的业务流程或流程。第十四条在经营风险方面，国内外企业忽视市场风险，广泛收集因应对措施不足而损失的案例，收集与公司产品结构、市场需求、竞争对手、主要客户和供应商等有关的重要信息，对现有业务流程和信息系统运营运行进行监管、运营评价和持续改进，分析公司的风险管理现状和能力。第十五条在法律风险方面，国内外企业无视法律和法规风险，广泛收集公司因应对措施不足而损失的事例，收集公司法律环境、员工道德、主要合同合同合同、主要法律纠纷案件等相关信息。第十六条企业必须对收集的初始信息进行风险评估所需的筛选、提炼、对比、分类、组合等。第四章风险评估第十七条企业风险评估主要是通过建立风险管理概念和风险接受水平、制定目标、识别风险、风险分析和风险对策等五个基本程序进行的。第十八条确立公司的风险管理理念和风险接受度是公司风险评估的基础。(a)企业风险管理哲学是公司如何认识到以整个经营过程中的风险为特征的公司的共同信念和态度，从战略的制定和实施到公司的日常活动。公司采取坚定的风险管理理念，慎重介入高风险投资项目的态度。(b)风险接受度是指公司在追求目标实现的过程中愿意接受的风险程度。通常，企业可以将风险接受分为三类：“高”、“中”或“低”。公司从质的角度考虑风险接受程度，总体上，企业将风险接受程度确定为“低”类别。也就是说，企业在经营管理过程中可以采取慎重的风险管理态度，接受更低水平的风险发生。公司风险接受程度的选择也符合公司的风险管理理念。第十九条目标的制定是风险识别、风险分析和风险应对的前提。企业必须确定和评估影响目标实现的风险，并在采取必要的措施控制这些风险之前制定目标。公司的目标包括四个方面：战略目标、业务目标、法规遵从性目标和财务报告目标。目标是要遵守国家的法律规定和产业发展计划，遵守公司的战略发展计划，遵守深层次的交流所和监管机构的规定。第二十条风险意识是识别妨碍公司实现目标、阻碍公司创造价值或侵蚀现有价值的因素。企业可以通过调查、小组讨论、专业咨询、方案分析、政策分析、行业基准评估、访谈方法等确定风险。企业必须准确识别与实现控制目标相关的内部和外部风险，以确定适当的风险敏感度。(a)公司确定内部风险，应重点关注以下因素： 1、董事、主管、经理和其他高级管理人员的职业道德、员工专业能力等四个资源因素。2、管理元素，如组织、运营方式、资产管理、业务流程等。3、研发、技术投入、信息技术利用等独特的创新要素。4、财务状况、运营绩效、现金流量等财务要素。5、运营安全、员工健康、环境保护等安全和环境因素。6、其他相关内部风险因素。(b)企业认识到外部风险，应注意以下因素： 1、经济状况、产业政策、融资环境、市场竞争、资源供给等经济因素。2、法律法规、法规要求和其他法律因素。3、安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。4、技术进步、工艺改进等科学技术因素。5、自然灾害、环境状况等自然环境因素。6、其他相关外部风险因素。第二十一条风险分析主要从风险发生可能性和对公司目标的影响两个角度分析和整理确定的风险，确定重点和优先控制的风险。风险分析方法通常是结合定性和定量方法来完成的。企业通常在风险分析不适于定量分析、定量分析所需的足够可靠的数据不可用或购置成本高的情况下使用定性分析。企业通过分析风险，详细了解哪些风险应该被视为重要，哪些风险应该被普遍关注，以及重要考虑的风险，分别确定为“重要风险”和“一般风险”，为风险响应奠定了基础。对风险重要性的判断主要根据风险发生的可能性和影响程度决定：(a)如果风险发生的可能性“很小”，则可能不注意风险。(b)如果风险发生的可能性高于或等于“发生的可能性”，并且风险影响较小，则将此类风险标识为一般风险。(c)如果风险发生的可能性等于或大于“风险发生的可能性”，并且风险影响很大，则将此类风险确定为重要风险。企业必须进行风险分析，最大限度地吸收专业人员，然后组建风险分析团队，按照严格管制的程序进行工作，确保风险分析结果的准确性。第22条风险对策。企业应根据风险分析结果选择风险发生原因和风险负担、风险和收益平衡、风险因素响应方案：以规避风险、接受风险、减少风险或共享风险。(a)风险规避：是指公司通过超越风险负担放弃或停止与风险相关的业务活动来避免和减轻损失的应对措施。停止对新地理区域市场的业务扩展或销售公司分支机构。(b)减少风险：意味着权衡成本效益后，准备采取适当的控制措施减少风险或减少损失，以控制风险负担内的风险。(三)风险分担：意味着公司准备借助他人的力量，采取业务分包、保险购买等方式和适当的控制措施，在风险负担内管理风险。(d)风险接受：是指在衡量成本效益后，不采取减少风险或减少损失的控制措施的公司风险负担内的风险。企业在决定具体的风险应对方案时，要考虑以下因素： 1、风险应对方案对风险可能性和风险水平的影响、风险应对方案是否符合公司的风险容限等。2、方案的成本和收入比较；3、方案可能的机会和相关风险比较；4、充分考虑各种风险应对方案的组合。5、对董事、经理和其他高级管理人员、主要工作人员的风险偏好进行合理分析，正确掌握，采取适当的控制措施，防止个人风险偏好对企业运营造成重大损失。6、将各种开发阶段和业务扩展情况结合起来，持续收集与风险变化相关的信息，进行风险识别和风险分析，并及时调整风险响应战略。第五章风险管理解决方案第二十三条企业根据风险应对策略制定各种风险或每种主要风险的风险管理解决方案。该计划通常应包括解决风险的具体目标、所需的组织领导、相关的管理和业务流程、所需的条件、手段等资源，以及风险事故发生前、中、后具体的应对措施和风险管理工具。第二十四条企业根据业务战略和风险战略的一致性、风险控制与运营效率和效果的平衡原则，制定解决风险的内部控制方案，对与重大风险相关的每个管理和业务流程，制定全方位的流程控制措施。对于与其他风险相关的业务流程，将主要方面作为控制点，并采取适当的控制措施。第二十五条公司制定合理有效的内部控制措施，包括：(a)建立内部控制职务许可制度。任何组织和个人都不能明确规定与内部控制相关的职位的授权对象、条件、6范围和限制，从而做出超出相应权限的风险决策。(b)建立内部控制报告系统。明确规定报告员和接收者、报告时间、说明、频率、传送路径以及负责处理报表的部门和人员。(c)建立内部控制审批制度；关于内部控制的重要事项，明确规定了审批程序、条件、范围和限制、必要文件和具有审批权限的部门和人员及其责任。(4)建立内部控制责任制。根据统一权利、义务和责任的原则，明确规定各有关部门和事业单位、职责、人员应承担的责任和奖惩制度。(e)建立内部控制审计检查制度；结合内部控制相关要求、方法、标准和流程，明确规定审计检查的对象、内容、方法和负责审计检查的部门等。(六)建立内部控制评价体系。具备条件的公司必须将各部门的风险管理实施与绩效工资相关联。(7)建立重大风险预警系统和应急响应机制。明确风险预警标准，对可能发生的重大风险或突发事故制定应急计划，明确责任人，标准化处置程序，确保突发事件及时妥善处理。(八)建立和完善公司法律顾问制度；积极加强公司法律风险防范机制的建设，以公司决策层为主导，公司的法律顾问提供业务保障，形成全体员工共同参与的法律风险责任体系。完善公司重大法律纠纷案件的记录管理体系。(九)建立了重要的职务制衡制度，明确规定了不相容责任的分离。主要包括：许可证审批、业务处理、会计记录、财产保存和审计检查等责任。有关内部控制的重要职责可以设置双重、双重、双重责任、相互制约。明确该职位的上级部门或人员应采取的监督措施及对其的监督责任。把这个职位作为内部审计的重点。第二十六条公司应根据各有关部门和业务部门的责任分担，认真组织风险管理解决方案的实施，并确保各项措施落实到位。第六章风险管理监督与完善第二十七条企业通