安徽山河药用辅料股份有限公司
风险管理制度
目 录第一章 总则第二章 风险管理及职责分工第三章 风险识别第四章 风险评估和分析第五章 风险应对第六章 风险管理的监督与改进第七章 附则
第一章 总则
第一条 为规范安徽山河药用辅料股份有限公司(以下简称“公司”) 的风险管理, 建立规范、有效的 风险控制体系, 提高公司的风险防范能力, 促进公司持续、健康、稳定地运行,提高经营管 理水平, 根据《企业内部控制基本规范》等法律、法规及《公司章程》的相关规定, 结合公 司实际情况,特制定本制度。第二条 本制度所称风险管理,指公司围绕总体经营目标,通过在公司管理的各个环节和经营过程中执行风险管理的基本流程, 培育良好的风险管理文化, 建立健全全面风险管理体系,包括风险管理策略、风险应对措施、风险管理的组织职能体系, 从而为实现风险管理的总体目标提供合理保证的过程和方法。第三条 本制度所指公司风险,指未来的不确定性对公司实现其经营目标的影响。
第四条 按照公司目标的不同,公司风险可分为: 战略风险、经营风险、财务风险、合规风险和投融资风险。
(一) 战略风险:没有制定或制定的战略决策不正确,影响战略目标实现的负面因素;
(二) 经营风险:经营决策的不当,妨碍或影响经营目标实现的负面因素;
(三) 财务风险:包括财务报告失真风险、资产安全受到威胁风险和舞弊风险;
1. 财务报告失真风险:没有完全按照相关会计准则、会计制度的规定组织会计核算和编制财务会计报告,没有按规定披露相关信息,导致财务会计报告和信息披露不完整、不准确、不及时;
2. 资产安全受到威胁风险: 没有建立或实施相关资产管理制度,导致公司的资产如设备、存货、有价证券和其他资产的使用价值和变现能力的降低或消失;
3. 舞弊风险:以故意的行为获得不公平或非正当的收益。
(四) 合规风险: 没有全面、认真执行法律、法规、部门规章、规范性文件的规定以及证券监管政策,影响合规性目标实现的因素;
(五) 投融资风险:投融资决策不当,不能实现预计投资收益或融资目的。
第五条 按照风险能否为公司带来盈利机会, 风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。
第六条 按照风险的影响程度,风险可分为一般风险、重要风险和重大风险。第七条 本制度所称风险管理基本流程包括以下主要工作:
(一) 收集风险管理初始信息来识别风险;
(二) 进行风险评估及分析;
(三) 制定风险管理策略应对风险;
(四) 提出和实施风险管理解决方案;
(五) 风险管理的监督与改进。
第八条 风险管理要努力实现以下风险管理总体目标:
(一) 确保将风险控制在与总体目标相适应并可承受的范围内;
(二) 确保内外部,尤其是公司与股东之间实现真实、可靠的信息沟通;
(三) 确保遵守有关法律法规;
(四) 确保有关规章制度和为实现经营目标而采取重大措施的贯彻执行, 保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;
(五) 确保建立针对各项重大风险发生后的危机处理计划, 保护不因灾害性风险或人为失误而遭受重大损失。
第九条 开展风险管理工作应注重防范和控制风险可能给公司造成的损失和危害,也应把机会风险视为公司的特殊资源,通过对其管理,为公司创造价值,促进经营目标的实现。
第二章 风险管理及职责分工
第十条 公司建立风险控制体系三道防线。其中, 业务单元作为第一道防线,是风险控制体系中最基础、最关键的防线, 是风险管理的第一责任人, 负责业务前端识别、评估、应对、监控与报告风险。财务、法务等合规职能部门作为第二道防线, 负责从控制角度对交易的真实性、完整性、准确性进行判断和把关, 进一步对合规性、合理性进行判断, 对内部制度控制的设计、建立、执行、监控提供指导。内部审计作为第三道防线, 对公司管理制度、流程和各项风险的控制程序和活动进行独立监督。第十一条 公司风险管理过程分四个步骤,即风险识别、风险评估及分析、风险应对、风
险监督。
风险管理定期循环一次, 第一阶段各部门进行风险识别, 按各自部门做信息收集、筛选、提炼、识别。第二阶段进行风险评估及分析, 各部门将风险发生的可能性、影响程度及可控度进行评估,内部审计部门将评估结果进行汇总、归纳, 列出公司一般风险、重要风险和重大风险, 对重要风险和重大风险再进行评估分析、提炼, 形成公司风险评估表; 第三阶段进行风险应对, 各部门对重要风险、重大风险制定矫正防范措施并将其执行。第四阶段内部审计部门针对各部门重要风险、重大风险的改善措施进行追踪、稽查、并评估其有效性。第十二条 风险管理职责:
(一) 公司设立风险管理工作小组, 负责管理公司各类风险, 董事长为组长, 公司总经理为副组长, 监事会主席、审计委员会主任委员、财务负责人、董事会秘书为成员, 负责制定公司风险评估的总体方案,确定公司重要风险、重大风险应对方案;
(二) 各部门按照公司制定的风险评估的总体方案, 根据业务分工, 进行风险识别、分析相关业务流程的风险, 对一般风险、重要风险和重大风险制定风险应对方案, 各部门指定专人与风险管理工作小组沟通信息, 汇报各自在运作过程中所出现的重要风险、重大风险及其解决方案;
(三) 内部审计部门负责重要风险及重大风险汇总分析, 必要时召集公司风险管理工作小组成员会议讨论确定重要风险、重大风险应对方案;
(四) 各部门根据识别的风险和确定的风险应对方案, 按照公司确定的控制设计方法, 设计并记录相关控制方案,根据风险管理的要求,完善风险控制设计;
(五) 各部门组织控制制度的实施,内部审计部门监督控制制度的实施情况, 发现、收集、分析控制缺陷, 提出控制缺陷改进意见并督促相关部门实施。对于重大缺陷和实质性漏洞,除向风险管理工作小组汇报情况外, 还应向公司董事会反馈情况, 以便公司监控内部控制体系的运行情况;
(六) 各部门配合内部审计部门等部门对控制失效造成重大损失或不良影响的事件进行调查、处理;
(七) 内部审计部门定期总结反映公司实际情况的风险案例;动态评估和调整风险评估结果;将公司风险管理信息及时传递到风险管理工作小组; 不定期对各有关部门和业务单位宣导风
险管理知识,以提升公司整体风险意识。
第三章 风险识别
第十三条 风险识别就是识别可能阻碍实现公司目标、阻碍公司创造价值或侵蚀现有价值的因素。可以采取科学的方法识别风险。
(一) 公司识别内部风险,应当关注下列因素:
1. 董事、监事、高级管理人员及其他经理人员的职业操守、员工专业胜任能力等人力资源的因素;
2. 组织机构、经营方式、资产管理、业务流程等管理因素;
3. 研究开发、技术投入、信息技术运用等自主创新因素;
4. 财务状况、经营成果、现金流量等财务因素;
5. 营运安全、员工健康、环境保护等安全环保因素;
6. 其他有关内部风险因素。
(二) 公司识别外部风险,应当关注下列因素:
1. 全球及国内的经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;
2. 法律、法规、部门规章、规范性文件及证券监管要求等法律因素;
3. 安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;
4. 科技进步、技术创新、工艺改进等科学技术因素;
5. 市场对本行业产品或服务的需求;
6. 自然灾害、环境状况等自然环境因素;
7. 其他有关外部风险因素。
第十四条 公司各责任部门对收集的初始信息进行筛选、提炼、对比、分类、组合,以便进行风险评估和分析。
第四章 风险评估和分析
第十五条 公司应当根据设定的控制目标, 全面系统持续地收集相关信息, 结合实际情况,及时进行风险评估和分析。第十六条 公司风险评估和分析主要经过确立风险管理理念和风险承受度、目标制定、风险识别、风险发生频率、风险不可探测度等基本程序来进行。第十七条 确立公司风险管理理念和风险承受度是公司进行风险评估和分析的基础。
(一) 公司风险管理理念是以公司如何认知整个经营过程中的风险为特征的公司共有的信念和态度。公司实行稳健的风险管理理念,对于高风险投资项目采取谨慎介入的态度;
(二) 风险承受度是指公司在追求目标实现过程中愿意接受的风险程度。公司将风险分为三类:“高”、“中”、“低”。公司从定性角度考虑风险承受度, 从整体上, 公司把风险确定为“低”类,即公司在经营管理过程中,采取谨慎的风险管理态度,可以接受较低程度的风险发生。公司的承受度选择也与公司的风险管理理念保持一致。
第十八条 风险评估和分析主要从风险发生的可能性和对公司目标的影响程度以及风险是否容易被发现的机率三个角度进行, 对识别的风险进行分析和排序; 根据科学方法, 设定风险可能性参数;确定关注重点和优先控制的风险。第十九条 风险评估和分析一般采用定性和定量相结合的方法,建立相应的风险等级划分标准。在风险评估和分析不适宜采取定量分析的情况下, 或者用于定量分析所需要的足够可信的数据无法获得, 或者获取成本很高时, 公司通常使用定性分析法。公司对风险进行评估和分析, 确认哪些风险应当引起重视、哪些风险予以一般关注, 对于需要重视的风险, 再进一步划分, 分别确认为“重大风险”、“重要风险”、“一般风险”,从而为制定风险对策奠定基础。按照风险发生的可能性及其影响程度等,对识别的风险进行评估、分析和等级划分,重点关法需优先控制的风险; 风险的重要程度的判断主要根据风险发生的可能性、影响程度及不可探测度的分值来确定:
(一) 风险发生的可能性分“大、中、小”三类,估计一年内发生的次数情况判定;
(二) 风险发生的影响程度分“高、中、低”三类, 按每次发生的直接和间接损失的金额来判定;
(三) 风险不可探测度分“高、中、低”三类, 评估能够用特定的方法找出后续发生风险的可能性的评估指标, 评估风险是否容易被发现;
(四) 公司进行风险评估和分析, 应当充分吸收专业人员, 组成风险分析团队, 按照严格规范的程序开展工作,以确保风险评估及分析结果的准确性。
第五章 风险应对
第二十条 公司应该根据风险评估和分析的结果,结合风险发生的原因以及承受度,权衡风险与收益, 选择并综合运用风险应对策略:风险规避、风险降低、风险分担和风险承受,实现对风险的有效控制。
(一) 风险规避:指公司对超出风险承受度的风险, 通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略;
(二) 风险降低:指公司在权衡成本效益之后, 准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略;
(三) 风险分担:指公司准备借助他人力量, 采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略;
(四) 风险承受:指公司对风险承受度之内的风险, 在权衡成本效益之后, 不准备采取控制措施降低风险或者减轻损失的策略。
第二十一条 公司在确定具体的风险应对方案时,应考虑以下因素:
(一) 风险应对方案对风险可能性和风险程度的影响, 风险应对方案是否与公司的风险承受度一致;
(二) 对方案的成本与收益比较;
(三) 对方案中可能的机遇与相关的风险进行比较;
(四) 充分考虑多种风险应对方案的组合;
(五) 合理分析、准确掌握董事、总经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给公司经营带来重大损失;
(六) 结合公司不同发展阶段和业务拓展情况, 持续收集与风险变化相关的信息, 进行风险识别和分析,及时调整风险应对策略。
第二十二条 公司根据风险应对策略, 针对各类风险或每项重大风险制定风险管理解决方案。
第二十三条 根据经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,公司制定风险解决的内控方案, 针对重大风险所涉及的各管理及业务流程, 制定涵盖各个环节的全流程控制措施; 对其他风险所涉及的业务流程, 要把关键环节作为控制点, 采取相应的控制措施。第二十四条 公司制定合理、有效的内控措施,包括以下内容:
(一) 不相容职务分离控制。公司应当全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制;
(二) 授权审批控制。公司根据常规授权和特别授权的规定, 明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
公司应当编制常规授权的权限指引, 规范特别授权的范围、权限、程序和责任, 严格控制特别授权。常规授权是指公司在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指公司在特殊情况、特定条件下进行的授权。公司各级管理人员应当在授权范围内行使职权和承担责任。
公司对于重大的业务和事项, 应当实行集体决策审批或者联签制度, 任何个人不得单独进行决策或者擅自改变集体决策。
(三) 会计系统控制。公司应当严格执行国家统一的会计准则制度, 加强会计基础工作, 明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整;公司应当依法设置会计机构, 配备会计从业人员。从事会计工作的人员, 必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。
(四) 财产保护控制。公司应当建立财产日常管理制度和定期清查制度, 采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全;公司应当严格限制未经授权的人员接触和处置财产;
(五) 预算控制。公司应当实施全面预算管理制度, 明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束;
(六) 运营分析控制。公司建立运营情况分析制度, 经理层应当综合运用研发、生产、购销、投资、筹资、财务等方面的信息, 通过因素分析、对比分析, 趋势分析等方法, 定期开展运
营情况分析,发现存在的问题,及时查明原因并加以改进;
(七) 绩效考评控制。公司应当建立和实施绩效考评制度, 科学设置考核指标体系, 对公司内部各责任单位和全体员工的业绩进行定期考核和客观评价, 将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据;
(八) 建立重大风险预警制度和突发事件应急处理机制。 明确风险预警标准, 对可能发生的重大风险或突发事件, 制定应急预案、明确责任人员、规范处置程序, 确保突发事件得到及时妥善处理;
(九) 公司应根据内部控制目标, 结合风险应对策略, 综合运用控制措施, 对各种业务和事项实施有效控制;
(十) 建立健全公司法律顾问制度。大力加强公司法律风险防范机制建设, 形成由公司决策层主导、公司法务部牵头、公司法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善公司重大法律纠纷案件的备案管理制度。
第二十五条 公司应当按照各有关部门和业务单元的职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。
第六章 风险管理的监督与改进
第二十六条 公司各部门应根据自身的职能及业务建立贯穿于整个风险管理基本流程,连接各上下级、各部门和业务单元的风险管理信息沟通渠道, 确保信息沟通的及时、准确、完整,为风险管理监督与改进奠定基础。第二十七条 公司应当跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任部门或者责任人的责任。第二十八条 公司应结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。
第七章 附则
第二十九条 本制度未尽事宜,依照国家有关法律法规及《公司章程》执行。第三十条 本制度由公司董事会负责解释。第三十一条 本制度经董事会审议通过之日起生效。