广安爱众:四川广安爱众股份有限公司风险管理制度(修订稿)2024-03-14
四川广安爱众股份有限公司
风险管理制度(修订稿)
第一章 总则
第一条 为建立健全四川广安爱众股份有限公司(以下简称"
公司")风险管理体系,全面提升风险管理能力,保证公司安全、稳
健运行,根据《中华人民共和国公司法》《企业内部控制基本规范》
及配套指引等法律、法规、规章的相关规定,结合公司实际,特
制定本管理制度。
第二条 本制度适用于公司总部、各子(分)公司的风险管
理工作。国家法律法规有特殊规定的,从其规定。
合营和参股公司可参照执行。
第三条 风险是指未来的不确定性因素对公司实现战略目
标和经营目标的影响,一般可分为战略风险、财务风险、市场风
险、运营风险、法律风险等。
第四条 风险管理是指围绕公司战略目标和经营目标,在经
营管理过程中识别和分析影响公司潜在的重大事件、重大风险,
通过制定和执行相应的控制措施和策略,将风险控制在可承受的
程度内。
第五条 风险管理原则
— 1 —
(一) 全面性原则。风险管理应覆盖公司的所有业务、部门和
人员,渗透到决策、执行、监督、反馈等各个环节,实行全过程
管理,确保不存在风险管理的空白或漏洞处。
(二) 重要性原则。在全面风险管理的基础上,重点关注重要
业务事项和高风险领域。
(三) 合理性原则。风险管理应当符合国家有关法律法规、行
业监管的有关规定,并与公司经营规模、业务范围、风险状况及
公司所处的环境相适应,以合理的成本实现风险管理目标。
第二章 风险管理组织与职责
第六条 风险管理体系建设应建立三道风险防线,以保证风
险管理工作顺利实施并取得成效。第一道防线为开展具体业务的
子(分)公司(含基层站所),第二道防线为总部职能部门,第三
道防线为公司审计委员会及内审机构。
第七条 公司党委、董事会是公司风险管理工作的领导机构,
负责研究、决策风险管理中的重大事项,其主要职责有
(一)批准公司风险管理体系建设方案。
(二)批准公司风险管理策略和重大风险解决方案。
(三)批准公司风险管理组织机构设置及其职责方案。
(四)批准风险管理工作自我评价报告。
(五)批准重大风险事件调查方案和相关责任追究意见,并向
股东大会报告重大风险事件及其应对情况。
(六)批准风险管理绩效考核方案和年度绩效考评结果。
(七)批准风险管理文化培育和宣贯方案。
— 2 —
(八)其他重大事项。
第八条 审计委员会
审计委员会是公司风险管理工作的专业指导、监督评价机构,
其主要职责有
(一)审查公司风险管理工作自我评价报告。
(二)审查风险管理策略和重大风险解决方案。
(三)审查公司风险管理组织机构设置及其职责方案。
(四)审查风险管理绩效考核方案和年度绩效考评结果。
(五)审查风险管理文化培育和宣贯方案。
(六)其他重大事项。
第九条 总经理办公会
公司总经理办公会是风险管理体系建设工作的实施机构,其主
要职责有
(一)负责组织落实风险管理体系建设方案。
(二)负责组织落实全面风险评估或专项风险评估工作。
(三)负责指导监督重大风险应对方案的执行情况,掌握风险
指标的重大变化。
(四)负责审核公司风险管理工作自我评价报告。
(五)负责协调跨专业、跨部门的风险管理事项。
(六)组织相关部门制定风险管理绩效考核方案,指导风险管
理绩效考核工作。
(七)组织落实公司党委、董事会关于公司风险管理的决议事
项。
(八)负责完成风险管理企业文化建设工作。
— 3 —
(九)其他重要事项。
第十条 内审机构
公司党委、董事会指定内审机构作为公司风险管理的归口部
门,其主要职责有:
(一)负责制定公司风险管理体系建设方案。
(二)配合中介咨询机构对公司业务进行风险梳理、诊断,协
助完成重大风险、重大事件和重要业务流程的判断标准及判断机
制。
(三)收集、汇总各部门、子(分)公司发现的风险问题,制
定年度检查计划和实施方案。
(四)组织开展全面风险评估或重大决策、重要业务的专项风
险评估。
(五)组织并协助相关部门研究、制定重大风险应对策略和应
对方案,并对其执行结果进行后续追踪和评价。
(六)负责制定或修订公司风险管理制度,并对已建立的风险
评价标准和风险数据库进行维护和更新。
(七)协助 IT 管理部门建设、开发、维护风险管理信息系统。
(八)负责对风险管理制度的执行情况进行监督、检查、评价,
完成自我评价报告,并提出风险管理改进建议。
(九)其他事项。
第十一条 总部职能部门
总部职能部门组成公司风险管理的第二道防线,其主要职责有
(一)负责建立健全本单位风险管理体系建设工作。
— 4 —
(二)根据公司统一部署,负责组织落实风险管理计划和实施
方案。
(三)负责开展全面风险评估和重大决策、重要业务的专项风
险评估,形成风险评估报告。
(四)负责制定本单位、本业务领域重大风险应对方案,并组
织实施。
(五)负责对本单位、本业务领域存在的风险及相关指标变化
情况进行监控,及时维护风险数据库,形成风险监控报告。
(六)负责组织开展本单位风险管理自我评价活动,收集、汇
总风险管理信息,编制风险管理自我评价报告。
(七)协助完成本单位、本业务领域的风险管理信息系统建设
工作。
(八)负责培育和宣贯风险管理企业文化。
(九)其他重要事项。
第十二条 子(分)公司
各子(分)公司及其职能部门、基层站所等组成风险管理第一
道防线,其主要职责
(一)负责建立健全本单位风险管理组织体系。
(二)负责组织落实风险管理制度和风险管理实施方案。
(三)负责监控本单位风险及相关指标变化,及时维护风险数
据库,形成风险监控报告。
(四)组织开展风险管理自我评价活动,编制风险管理自我评
价报告。
— 5 —
(五)发现重大风险、重大事件,应及时向内审机构报告,并
拟订风险应对方案。
(六)其他重要事项
第三章 风险管理的主要内容
第一节 风险管理目标、关键内容与程序
第十三条 风险管理目标
(一)确保将风险控制在与公司战略目标相适应并可承受的
范围内。
(二)确保实现公司内外部信息沟通的真实、可靠。
(三)确保公司遵守国家法律、法规、行政规章及上海证券
交易所规章。
(四)确保公司规章制度和各项措施的贯彻执行,提高经营
活动的效率和效果,降低实现经营目标的不确定性。
(五)确保公司建立各项重大风险危机处理应急预案,降低
因灾害性风险或人为失误而造成的重大损失。
第十四条 风险管理关键内容
公司风险管理应涵盖公司治理与经营管理活动中所有环节,
包括但不限于
(一)公司治理机构及其运行:包括股东会、董事会、监事
会及总经理办公会的职责权限的划分与履行;股东、董事、监事、
高级管理人员的诚信规范要求等。
(二)证券事务:主要包括信息披露、投资者关系管理等。
— 6 —
(三)关联交易:包括关联方的界定,关联交易的定价、授
权、执行、报告和记录等。
(四)重大资产购买与处置:包括重大资产自建、购置、处
置、维护、保管与记录等。
(五)融资与对外担保:包括借款、承兑、租赁、发行新股、
发行债券、担保等的授权、执行与记录等。
(六)对外投资:包括投资股权、有价证券、金融衍生品及
其他长期或短期投资、募集资金使用的决策、执行、保管与记录
等。
(七)生产运营:包括生产运营过程、采购与付款、销售与
收款、财务会计管理、人力资源管理、安全、环保等。
(八)信息系统管理与运行:包括计算机及相关配套设备、
设施(含网络)等硬件环境的安全,软件系统的运行环境安全,存在
于信息系统的数据、信息的安全等。
第十五条 风险管理的基本程序
公司开展风险管理,应履行以下基本程序
(一)收集风险管理初始信息。
(二)进行风险评估。
(三)制定风险管理策略。
(四)提出风险管理解决方案。
(五)实施内部控制活动。
(六)风险管理的监督与改进。
(七)风险管理报告。
— 7 —
第二节 风险管理初始信息收集
第十六条 收集风险管理的初始信息有
(一)战略风险方面
主要收集与公司相关的宏观经济政策、技术环境、市场需求、
竞争状况等方面的重要信息。重点关注公司发展战略和规划、投
融资计划、年度经营目标、经营战略,以及编制这些战略、规划、
计划、目标的有关依据。
(二)运营风险方面
收集与公司相关的组织效能、经营策略、资产质量、技术更
新、管理现状、人员结构等方面的重要信息。重点关注现有业务
流程操作运行情况及持续改进能力和风险管理的现状和能力,公
司质量、安全、环保、信息等管理中曾发生或易发生失误的业务
流程或环节。
(三)市场风险方面
收集与公司相关的市场供求、销售价格、竞争对手、主要客
户和供应商信用、税收政策以及利率、汇率、股票价格指数的变
化等方面的重要信息,重点关注原材料、产品价格及市场供需的
变化趋势。
(四)财务风险方面
收集与公司获利能力、资产营运能力、偿债能力、发展能力
指标的重要信息,重点关注成本核算、资金结算和现金管理业务
中曾发生或易发生错误的业务流程或环节。
(五)法律风险方面
— 8 —
收集与公司相关的法律法规、产业政策、员工道德、重大协议
合同、重大法律纠纷案件、知识产权等方面的信息。
此外,还应广泛收集国内外公司忽视战略风险、运营风险、市
场风险、财务风险、法律法规风险和缺乏应对措施导致公司蒙受
损失的案例,分析总结原因,有助于公司的风险管理。
第三节 风险评估
第十七条 风险评估主要是对收集的初始信息和各项业务管
理流程进行风险辨识、分析和评价并确定重大风险的过程,包括
风险辨识、风险分析、风险评价三个主要步骤。
第十八条 风险评估一般采取定性与定量相结合的方法。
风险定量评估应统一制定风险的度量单位和模型、假设前提
和参数等,当定量法所需要的足够可信的数据无法获得或者获取
成本很高时,通常使用定性法。
定性法可采用问卷调查、专家咨询、政策分析、行业标杆比较、
管理层访谈和调查研究等。
第十九条 在评估风险时,应结合公司的业务特点和管理现
状,对风险发生可能性的高低和对经营目标的影响程度的评估和
对比,确定各项风险分类、风险层级及风险管理的优先顺序。
(一)如果风险发生的可能性属于极小可能,并且风险影响程
度确定为极小影响,则将该类风险的重要性水平确定为低。
— 9 —
(二)如果风险发生的可能性属于较大可能,但风险的影响程
度属于极小影响;或者风险发生的可能性属于极小可能,但风险
的影响程度属于较大影响,则将该类风险的重要性水平确定为中。
(三)如果风险发生的可能性属于较大可能,并且风险的影响
程度属于较大影响,则将该类风险的重要性水平确定为高。
第二十条 公司应定期开展全面风险评估工作,对重大决策
和重要业务可根据管理需要开展专项风险评估。风险管理信息应
实施动态管理,对新的风险和原有风险的变化要及时进行重新评
估。
第二十一条 风险评估实施程序
(一)风险评估方案获得审批同意后,由内审机构组织各职能
部门、子(分)公司开展风险评估工作,或聘请中介机构(外部
专家)协助实施。子(分)公司负责完成本单位的风险评估报告,
总部部门负责完成本部门(业务领域)的风险评估报告。
(二)内审机构对子(分)公司、总部各职能部门提交的风险
评估报告进行汇总、分析,形成风险评估报告初稿,提交公司总
经理办公会审查,确认公司级重大风险。
(三)依据总经理办公会审查意见,内审机构对风险评估报告
初稿进行修改,最终形成公司风险评估报告。
(四)经总经理办公会审查通过后,提交公司审计委员会进行
审核。审核通过后,再提交公司党委、董事会审批,并按要求进
行披露。
第四节 风险管理策略及运用
— 10 —
第二十二条 制定风险管理策略是根据公司内部条件和外部
环境,以及风险评估的结果,围绕公司发展战略,确定风险偏好、
风险承受度、风险管理有效性标准,选择适合的风险管理工具,
并确定风险管理所需人力资源和财务资源的配置原则。
第二十三条 确定风险偏好和风险承受度的原则
(一)要正确把握风险与收益的平衡关系。既要纠正忽视风险
片面追求收益的做法,也要防止为规避风险而放弃发展机遇。
(二)结合公司业务特点,确定重大风险的预警线及相应的对
策。
第二十四条 根据风险偏好和风险承受度,可选择的主要风
险管理工具有
(一)风险承担
风险承担是指公司对风险承受度之内的风险,在权衡成本效
益之后,不准备采取任何控制措施降低风险或者减轻损失的对策。
(二)风险规避
风险规避是指公司对超出风险承受度的风险,通过放弃或者停
止与该风险相关的业务活动以避免和减轻损失的对策。
(三)风险转移
风险转移是指公司借助他方力量,采取业务分包、购买保险等
方式和适当的控制措施,将风险控制在风险承受度之内的对策。
(四)风险控制
风险控制是指公司在权衡成本效益之后,采取适当的控制措施
降低风险或者减轻损失,将风险控制在风险承受度之内的对策。
第二十五条 公司选择风险管理工具的原则
— 11 —
(一)对于符合公司发展战略、管理能力强或带来获利可能的
风险,应采取积极利用或适度承担的策略。
(二)对于背离战略目标、管理能力差或没有获利可能的风险,
应采取规避、转移或加强控制的策略。
第二十六条 公司选择风险管理工具时,应考虑以下因素
(一)风险应对方案是否与公司的风险承受度相一致。
(二)风险应对方案中成本与收益的比较。
(三)应对方案中可能的发展机遇与相关风险的比较。
(四)充分考虑多种风险应对方案的组合。
(五)充分考虑公司董事、经理及其他高级管理人员、关键岗
位员工的风险偏好,避免因个人的风险偏好给公司经营带来重大
损失。
(六)结合不同发展阶段和业务拓展情况,持续收集与风险变
化相关的信息,进行风险识别和风险分析,及时调整风险应对策
略。
第二十七条 公司配置风险管理资源时,应明确风险管理的
优选顺序,明确风险管理成本和控制风险的组织体系、人力资源、
资金预算、应对措施等总体安排。
第二十八条 公司应定期总结和分析已制定的风险管理策略
的有效性和合理性,重点检查风险偏好、风险承受度和风险控制
预警线实施的结果是否有效,并提出定性或定量的风险管理有效
性标准。
第五节 风险管理解决方案
— 12 —
第二十九条 风险管理解决方案是风险管理策略分解落实到
具体风险的管理措施。其主要内容有
(一)风险管理解决方案的组织领导。
(二)风险管理解决方案的具体目标。
(三)具体风险的对策。
(四)风险管理解决方案涉及的业务流程。
(五)风险管理解决方案所需要投入的资源。
(六)风险事件发生前、中、后可采取的管理措施及风险管
理工具。
第三十条 采用业务外包形式解决风险管理中存在的问题,
应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保
护、以及对外包解决问题产生的依赖性风险等,应制定相应的预
防和控制措施。
第三十一条 各单位、各部门组织实施风险管理解决方案,应
对重大风险进行持续监测,及时发布预警信息和调整应急预案。
第三十二条 内审机构应对各部门、子(分)公司经营管理活
动中的重要领域、关键岗位、高风险环节进行适时监督,及时对
各类信息进行记录、汇总、分析和处理,保留相关风险管理日志。
根据公司风险管理需要,可开展专项审计或者专项调查。
第三十三条 公司应建立灵敏高效的危机处理和应急管理机
制,对可能发生的重大风险或突发事件,制定应急预案,明确责
任人员,规范处置程序,确保突发事件得到及时妥善处理。
第六节 风险管理内部控制活动
— 13 —
第三十四条 制定合理有效的内部控制机制和措施来落实风
险管理解决方案。主要包括以下内容
(一)建立内控授权与批准机制。对内控所涉及的各岗位明
确规定授权的对象、条件、范围和额度等,在授权外必须严格审
批,任何组织和个人不得超越授权做出风险性决定。
(二)建立内控报告管理机制。明确规定报告人与接受报告
人,报告的时间、内容、频率、传递路线、负责处理报告的部门
和人员等。
(三)建立内控责任机制。按照权利、义务和责任相统一的
原则,明确规定各有关部门和业务单位、岗位、人员应负的责任
和奖惩制度。
(四)建立内控审计管理机制。结合内控的有关要求、方法、
标准与流程,明确规定审计检查的对象、内容、方式和负责审计
检查的部门等。
(五)建立内控考核评价管理机制。将公司风险管理情况与
单位主要负责人薪酬绩效挂钩。
(六)建立法律顾问管理机制。加强法律风险防范机制建设,
形成由决策层主导、法律事务管理部门牵头、法律顾问提供业务
保障、全体员工共同参与的法律风险责任体系。
(七)建立重要岗位权力制衡管理机制。明确规定不相容职
责的分离,主要包括授权批准、业务经办、会计记录、财产保管
和稽核检查等职责。
第三十五条 风险监控与报告实施程序
— 14 —
(一)各单位、各部门应对本管辖范围内已识别风险进行持
续监测,并形成监控报告。内审机构对子(分)公司、职能部门
提交的监控报告进行汇总、分析,编制公司风险监控报告初稿。
(二)内审机构对达到预警条件的风险,应建议公司启动风
险应急预案;对尚未制定风险应急预案的责任单位(部门),应
督促整改;当原有应急预案与风险事件所在环境不相符,应组织
相关单位及时调整应急预案。
(三)内审机构向公司提交风险监控报告初稿,按照组织程
序进行审批。
(四)内审机构应对各单位、各部门风险应对方案的执行情
况进行检查、评价,形成持续监督。
第七节 风险管理的监督与改进
第三十六条 风险管理的监督与改进应以重大决策、重大风
险和重要管理事项、重要业务流程为重点,对风险管理初始信息、
风险评估、风险管理策略、关键控制活动及风险管理解决方案的
实施情况进行监督,对风险管理的有效性进行测试和评估,根据
存在的缺陷和变化趋势加以改进。
第三十七条 公司建立健全贯穿于整个风险管理的基本流
程,连接业务单位和职能部门的风险管理信息沟通渠道,确保沟
通及时、准确、完整,为风险管理监督与改进奠定基础。
— 15 —
第三十八条 公司各单位、各部门应对本管辖范围内的风险
管理工作定期开展自查活动,及时发现缺陷并改进。内审机构应
对风险管理情况进行检查、评价,提出改进建议。
第三十九条 内审机构按照上市公司的监管要求,对公司风
险管理工作的规范性和有效性进行监督评价,编制《风险管理工
作自我评价报告》,经董事会审批后对外公告。
第四十条 公司可聘请有资质、信誉好、专业能力强的中介
机构对公司风险管理工作进行检查、评价,出具风险管理评估报
告或审计报告。
第八节 风险管理报告
第四十一条 风险管理报告是按照公司风险管理职责、程序、
内容的相关要求,对公司风险管理体系建设与执行的工作报告。
第四十二条 风险管理工作主要形成以下工作报告
(一)风险评估报告。主要是对风险评估工作开展情况、风
险评估结果、重大风险分析以及风险事件库的更新和完善等内容
的报告。
(二)风险管理策略报告。主要是对重大风险应对方案制定
背景、重大风险管理现状以及重大风险应对计划等内容的报告。
(三)风险监控报告。主要是对重大风险指标的监控信息、
新增风险信息以及重大风险应对方案的执行情况等内容的报告。
(四)风险管理年度工作报告。主要是对风险管理体系和风
险管理文化的建设现状、年度风险管理工作完成情况以及下年度
风险管理工作计划等内容的报告。
— 16 —
(五)风险管理工作自我评价报告。主要是对全面风险管理
体系建设情况、全面风险管理工作的有效性以及内部控制体系的
有效性进行监督评价的专项报告。
第四章 风险管理信息系统
第四十三条 公司应建立风险管理信息系统,将风险管理与
各项业务流程和管理软件统一规划、统一设计、统一实施、同步
运行。
第四十四条 公司风险管理信息系统应涵盖风险管理和内部
控制系统的基本流程,包括信息的采集、存储、加工、分析、测
试、传递、报告、披露等,形成风险辨识评估、风险应对、风险
监控、风险评价与改进的闭环管理。
第四十五条 公司风险管理信息系统,应实现风险信息的收
集与统一管理、风险信息的综合分析与评估、风险信息的实时跟
踪与监控预警、风险管理执行效果的检查与评价、专项风险管理
与决策支持、风险管理工作的日常沟通等基本功能。
第四十六条 公司风险管理信息系统,应实现信息在各职能
部门、子(分)公司之间的集成与共享,既能满足单项业务风险
管理的要求,也能满足公司整体和跨部门、跨专业的风险管理综
合要求。
第四十七条 公司应采取措施确保风险管理信息系统输入的
业务数据和风险量化值的一致性、准确性、及时性、可用性和完
— 17 —
整性,确保风险管理信息系统的稳定运行和安全,并根据实际需
要不断进行改进、完善或更新。
第五章 风险管理文化建设
第四十八条 公司应将风险管理文化融入企业文化建设的全
过程,构建或提升良好的风险管理氛围,帮助干部员工树立正确
的风险管理理念,促进公司建立系统、规范、高效的风险管理机
制。
第四十九条 公司应将风险管理纳入干部员工的培训计划,
采取多种途经和方式,开展风险管理理念、知识、制度、流程等
培训,大力提升风险管理水平。
第五十条 公司应加强风险管理宣传工作,教育、引导员工
自觉遵循公司制度、行为准则和道德规范要求,养成按章办事、
遵守公共秩序的良好习惯。
第六章 风险管理绩效评价与运用
第五十一条 风险管理绩效评价是对公司风险管理体系建设
和执行效果、效率情况进行评价,是公司年度绩效考核评价体系
的重要组成部分。
第五十二条 内审机构依据职责对公司风险管理绩效评价工
作进行监督,并将考核结果向审计委员会报告。
第五十三条 风险管理考核结果与各单位、各部门主要负责
人的薪酬绩效挂钩。
— 18 —
因风险管理不到位、措施不力、整改不及时,造成公司重大
损失的责任单位、责任部门的主要负责人、直接责任人按照国家
法律法规、公司相关管理制度等进行问责或移送处理。
第七章 附则
第五十四条 本制度由公司董事会通过后发布,修改程序亦
同。
第五十五条 本制度由公司内部审计机构负责解释。
第五十六条 本制度自发布之日实施,原 2021 版《风险管理
制度》同时废止。
— 19 —