1、浙江南洋科技股份有限公司全面风险管理办法第一章 总 则第一条 为了防范、控制和化解公司在复杂多变的经营环境中,随时可能发生或出现的风险与危机,保证公司战略目标的实现和公司经营的持续、稳定、健康发展,根据公司法、证券法、企业内部控制基本规范、中小企业板上市公司内部审计工作指引和其他有关法律法规,结合公司实际情况,特制订本办法。第二条 本办法适用于公司各部门及各子公司的风险管理工作。第三条 本办法所称风险,是指在公司未来发展过程中,各种不确定性对公司实现其战略及经营目标的影响。第四条 本办法中所称全面风险管理,是指公司围绕战略目标,通过在管理的各环节和经营过程中执行风险管理的基本流程,培育良好的风
2、险管理文化,建立健全风险管理体系,为实现风险管理的总体目标提供保证的过程和方法。第二章 风险管理的目标、原则与框架第五条 公司风险管理的总体目标:(一) 保证经营的合法合规及公司内部规章制度的贯彻执行;(二) 保证将风险控制在与总体目标相适应并可承受的范围内;(三) 确保公司建立针对各项重大风险发生后的危机处理计划,保护公司不因灾害性风险或人为失误而遭受重大损失;(四) 保证公司内外部,尤其是公司与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告;(五) 形成良好的风险管理文化,使全体员工强化风险管理意识。第六条 公司风险管理应当遵循全面、重要、合理、制衡、独立的原则,确保
3、风险管理的有效性.(一) 全面性:风险管理应当做到事前、事中、事后控制相统一;覆盖公司的所有业务、部门和人员,渗透到决策、执行、监督、反馈等各个环节,确保不存在风险管理的空白或漏洞。(二)重要性.风险管理应当在全面风险管理的基础上,关注重要业务事项和高风险领域。(三) 合理性:风险管理应当符合国家有关法律法规、中国证监会和证券交易所的有关规定,与公司经营规模、业务范围、风险状况及公司所处的环境相适应,以合理的成本实现风险管理目标。(四)制衡性。风险管理应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。(五) 独立性:承担风险管理监督检查职能的部门应当独
4、立于公司其他部门。第七条 全面风险管理通常应涵盖公司治理与经营管理活动中所有环节, 包括但不限于:(一)公司治理环节:主要包括“三会” 运作,“三会”和管理层的职权等。(二)证券事务环节:主要包括持股 5以上股东、董事、监事、高级管理层的诚信规范要求,信息披露,投资者关系管理等。(三)重大资产购买和出售环节:主要包括重大资产自建、购置、处置、维护、保管与记录等.(四) 对外投资环节:包括投资有价证券、股权、金融衍生品及其他长、短期投资、委托理财、募集资金使用的决策、执行、保管与记录等。(五) 对外担保与融资环节:包括借款、担保、承兑、租赁、发行新股、发行债券等的授权、执行与记录等。(六) 关联
5、交易环节:包括关联方的界定,关联交易的定价、授权、执行、报告和记录等。(七)日常经营环节:主要包括:生产、采购与付款、销售与收款、财务会计管理、全面质量管理、产品研发、人事管理等第三章 风险管理的组织体系与职责分工第八条 公司风险管理的组织体系由公司审计委员会、内审部、法律顾问、各部门及子公司内设的有风险职能的部门或岗位构成.第九条 审计委员会由董事会设立,由独立董事担任主任委员,除公司内部审计制度规定的职责外,还负责提出公司经营管理过程中防范风险的指导意见,制订公司风险控制制度;对公司风险状况和风险管理能力及水平进行评价,提出完善公司风险管理和内部控制的建议。第十条 内审部独立于公司各部门和
6、子公司,负责协助公司识别和评价重大风险问题,帮助公司改进风险管理与控制系统;通过评价控制的效率与效果,促进其持续改善等工作,帮助公司维持有效的控制系统;评价公司治理过程并提出改进公司治理的恰当建议,履行检查与评价、咨询与服务的职能.内审部向审计委员会负责并报告工作,审计委员会对董事会负责并报告工作.第十一条 内审部下设风险管理职能,全面负责公司的风险管理,建立健全公司风险防范、监控体系,负责公司风险管理制度建设,并监督执行情况;负责公司各业务风险的日常管理,对公司经营管理活动中的各类风险实施有效的事前评估和过程监控,有效化解和降低公司运营风险。第十二条 法律顾问承担公司的政策法律事务,为领导决
7、策和公司业务开展提供法律参考意见;审核相关法律文书及合同,防范法律风险;负责牵头处理公司诉讼事务和经济纠纷事务,代表公司对外处理相关法律事务,维护公司的合法权益。第十三条 公司各部门和和子公司负责人为风险控制的第一责任人,履行风险控制职能,执行具体的风险管理制度,建立部门内权责明确、相互制衡的岗位职责和部门内全面、合理的风控制度,并针对业务主要风险环节制定业务操作流程。第四章 风险评估第十四条 风险评估是指根据公司内外部环境的变化,对公司所面临的风险进行风险辨识、风险分析、风险评价.包括对公司各项管理制度、各项经营发展计划、经营方案的事前风险评估.第十五条 公司各项管理制度,应按规定程序征求意
8、见。对其中涉及风险管理的部分是否符合公司风险管理政策,要经内审部进行会签.第十六条 公司各部门可以根据本办法,针对本部门业务的特点,制定本部门业务的风险管理实施细则,经内审部会签确认后,按规定程序纳入公司管理制度体系。第十七条 各部门制订的重大经营计划和创新业务方案应包含业务部门自身对于计划、方案的风险判断和采取的风险管理措施,并由内审部、法律顾问联合进行风险评估。内审部和法律顾问对计划、方案的市场风险、法律风险、信用风险、操作风险、技术风险、政策风险和道德风险等进行确认,对风险发生的概率及其产生结果的影响程度进行评估,对计划、方案中相应的风险管理措施是否充分有效等进行分析,并出具风险评估报告
9、或法律意见书.第十八条 公司应建立风险管理综合信息的收集与积累机制。风险管理综合信息包括与风险及风险管理相关的宏观经济、政策法规、市场状况、技术革新、公司资源、财务状况、人力配置、管理措施、工具应用、信息报告等方面的信息.公司及各部门、各子公司应广泛地、持续不断地收集与公司风险及管理相关的信息,并送交内审部对相关信息进行整理和修订,以建设和更新公司的风险管理综合信息库.第五章 风险管理解决方案的制定与实施第十九条 根据经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,公司制定风险解决的内控方案,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及
10、的业务流程,要把关键环节作为控制点,采取相应的控制措施。第二十条 公司制定合理、有效的内控措施,包括以下内容:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。第二十一条 不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制.第二十二条 授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。公司应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权.常规授权是指公司在日常经营管理
11、活动中按照既定的职责和程序进行的授权。特别授权是指公司在特殊情况、特定条件下进行的授权。公司各级管理人员应当在授权范围内行使职权和承担责任.公司对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。第二十三条 会计系统控制要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。公司应当依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书.财务负责人应当具备会计师以上专业技术职务资格。第二十四条 财产保护控制要求公司建立财产日常管理制度和定期清查制度
12、,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全.公司应当严格限制未经授权的人员接触和处置财产。第二十五条 预算控制要求公司实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。第二十六条 运营分析控制要求公司建立运营情况分析制度,管理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。第二十七条 绩效考评控制要求公司建立和实施绩效考评制度,科学设置考核指标体系,对公司内部各责任单位和全体员工的业绩进行定期考核和客观
13、评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据.第二十八条 公司应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。第二十九条 公司应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。第六章 风险的监控报告与预警第三十条 公司建立风险报告和预警制度.通过有效的沟通和反馈,使公司领导和有关部门及时了解公司业务和资产的风险状况,相应调整风险管理政策和管理措施。第三十一条 公司的风险报告分为定期风险报告和不定期的专项风
14、险报告。定期风险报告是对一个阶段公司经营发展中存在的风险和纠正的情况进行的汇总报告;不定期专项风险报告是对监控中或风险专项检查中发现的重大风险或风险隐患问题进行的专项报告.风险报告要按照规定的报告程序报送公司领导、相关部门和履行垂直管理职责的管理部门。第三十二条 在风险监控中发现问题时,内审部可以进行风险专项检查,必要时可进行重点审计或组织专项审计.对其它不属于内审部职责范围内的事项,内审部可以向公司有关部门提出风险管理建议。第三十三条 公司相关部门应建立风险预警系统,以发现并应对可能出现的风险.各部门、子公司有责任及时、无保留地向公司内审部报告有关风险的真实信息。第七章 风险与危机的处理第三
15、十四条 公司建立灵敏高效的危机处理和应急管理机制,以降低风险损失。对新出现的、缺乏风险应急预案的重大风险,内审部应立即与公司相关部门协调,组织人员研究制定风险应对方案,并报公司审计委员会审批后实施.第三十五条 当风险已经发生,风险单位负责人必须立即向公司内审部报告(可以越级报告).第三十六条 内审部应及时对风险进行初步的评判,确定是属于一般性内部风险,还是对公司声誉、经营活动和内部管理造成强大压力和负面影响的公司危机。对一般性风险,责成单位负责人或有关人员负责组织处理;对公司危机,必须按照下列程序处理。第三十七条 危机处理程序:(一) 成立风险和危机的处理机构危机发生后,公司应在第一时间成立危
16、机处理小组,该小组应由公司总经理或副总经理担任组长。小组成员至少应包括:发生危机单位的第一负责人,公司法律顾问,内审部、证券部、办公室、人力资源部等部门负责人及其他相关人员,小组应配备小组秘书及后勤保障人员.公司董事会应授权危机处理小组为处理危机事件的最高权力机构和协调机构,有权调动公司可用资源。(二) 制订危机处理计划危机处理小组应及时根据现有的资料和情报,以及公司拥有或可支配的资源来制订危机处理计划。计划必须体现出危机处理目标、程序、组织、人员及分工、后勤保障、行动时间表以及各个阶段要实现的目标,同时还应包括社会资源的调动和支配、费用控制和实施责任人及其目标.计划制订完成并获通过后,应立即
17、开始进行物质资源调配和准备,展开全面的危机处理行动。(三) 危机处理1。 对于尚未造成社会影响的事件,在对危机事件进行详细的调查了解和核实的基础上,根据法律、法规和公司管理制度,果断做出处理决定,以避免事态的进一步恶化。2。 对于已造成社会影响的事件,应保持与社会各方的良好沟通,及时披露事实真相,以有助于对事件做出客观公正的报道和评价。3。 在处理过程中,应处理好与危机事件对方当事人的关系,及时按抚,避免出现纠纷.4。 在事件处理的全过程,危机处理小组均应与当地政府、监管机构保持紧密联系,及时通报事件进展。(四) 教训总结与责任认定危机事件处理完成后,危机处理小组应及时提交总结报告,如实反映事
18、件的起因、发生过程、处理方法和结果、责任认定、反映的问题等,并提出整改建议或意见,以避免新的风险和危机发生.第三十八条 对因决策失误、管理失职、行为失当等原因致使公司出现风险或危机,并造成有形或无形损失的责任人及单位负责人,公司应追究其直接责任或领导责任.第八章 风险管理的监督与考核第三十九条 风险管理的监督与考核是指对风险管理的效果和效率进行持续监督与考核评价,包括对公司风险管理相关部门的风险管理工作执行情况进行定期检查,对风险管理工作任务的完成情况进行考核,并根据监督或考核的结果,对公司风险管理工作进行改进与提升。第四十条 内审部对公司风险管理相关制度和流程在各部门和子公司的执行情况进行监
19、督和检查,对公司风险管理总体状态和内部控制的效率与效果进行检查和评价,对公司总部及各子公司的各项经营管理活动和财务收支活动进行审计。各类审计报告按照规定程序上报.第四十一条 内审部负责对风险管理工作进行总结,对发现的问题应及时分析原因,改进所发现的风险管理设计和运行的缺陷,并据以修订风险管理相关制度。内审部应将有关风险管理资料抄送相关部门.第四十二条 公司建立多层级风险责任机制。各部门风险管理工作纳入绩效考核体系。(一) 公司及各子公司为第一级风险管理单位,公司及各子公司总经理为风险责任承担人,全盘负责本单位的风险管理。(二) 公司及各子公司按照组织架构细分二级风险单位,每个风险单位的第一负责
20、人为风险责任承担人,全盘负责本单位的风险管理。(三) 各子公司及其二级风险单位必须评估每一个操作程序所遇到的风险,再把每一个风险细分为次风险,据此制定风险管理的操作程序.(四) 各级风险单位必须把风险管理的责任落实到每一环节的相关人员,真正做到风险控制到人。第四十三条 年度风险管理考核指标与考核标准由内审部与人力资源部进行沟通确定后,报公司批准下发执行。第四十四条 考核指标和考核标准的设定,主要考虑以下方面:(一) 公司风险管理体系或部门风险管理流程的建设工作按计划进度完成情况.(二) 对公司或部门的重大风险进行系统的评估或预防的情况.(三) 根据公司风险管理策略,落实部门有关风险的管理制度和
21、流程及实施的情况。(四) 对公司或部门的风险管理职责进行清晰的界定和落实的情况.(五) 风险相关报告和预警工作的及时、有效性情况。(六) 超出预警范围的重大风险发生并对公司经营目标造成重大影响的情况.第四十五条 对于违反公司风险管理制度的,由内审部提出处理建议,报请公司批准后,由人力资源部落实对具体责任人进行处罚。第九章 风险管理文化的建设第四十六条 公司应将风险管理文化建设作为公司发展战略的组成部分,培育和塑造良好的风险管理文化,促进公司全面风险管理目标的实现。第四十七条 公司应营造合规经营的制度文化环境。将风险管理文化融于企业文化建设的全过程中,在相关政策和制度文件中明确规定风险管理文化的建设要求和内容,在各层面营造风险管理文化的氛围.第四十八条 公司应引导员工遵循良好的行为准则和道德规范,增强风险管理意识,培养按制度规章做事的习惯。第四十九条 公司应将对员工风险意识和风险管理的培训纳入培训计划。通过各类风险案例教育和公司制度流程培训,对公司全体人员进行岗前和岗上的持续性风险管理培训。第十章 附 则第五十条 公司各部门和子公司应遵照本办法履行相应的职责,公司根据需要制定相应的实施细则和流程。第五十一条 本办法由内审部负责解释。第五十二条 本办法自公司董事会批准之日起实施。