潮宏基:风险管理制度(草案)(H股发行并上市后适用)

广东潮宏基实业股份有限公司
风险管理制度（草案）
（H 股发行并上市后适用）
第一章 总则
第一条 为规范公司风险管理，建立规范、有效的风险控制体系，提高风险
防范能力，保证公司安全、稳健、持续发展，提高经营管理水平，依据国家法律、法规、监管规定和《广东潮宏基实业股份有限公司章程》（以下简称“《公司章程》”），结合公司实际情况，制定本制度。
第二条 本制度适用于公司及各全资和控股子公司、分支机构。
第三条 本制度所称风险是指未来的不确定性对实现公司战略目标和经营
目标的影响。
第四条 本制度所称风险管理，是指围绕公司发展战略，通过在管理的各个
环节和经营过程中进行风险识别、评估和应对，培育良好的风险管理文化，完善风险管理的组织体系，建立风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。
第五条 公司风险管理的目标为：
（一） 合规目标。通过识别、分析经营活动中与实现控制目标相关的风险因素，采用科学合理的风险应对策略，合理保证经营活动合法合规。
（二） 资产安全目标。通过对风险的识别、衡量与控制，以合理的成本支出，使风险损失有效降低，合理保证公司资产安全。
（三） 财务报告目标。通过风险管理，识别财务报告错报风险并采取相应的控制措施，合理保证编制和提供真实、可靠的财务报告。
（四） 战略目标。通过建立健全公司风险管理体系，为战略执行保驾护航，促进公司战略目标的实现。
（五） 经营目标。通过在日常经营管理中对风险进行全面、实时、动态监控
第六条 风险管理工作遵循以下原则：
（一）全面性原则。公司风险控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。
（二）重要性原则。风险控制应当在全面控制的基础上，对重要业务、重大事项、重点操作环节和高风险领域实施重点管理。
（三）制衡与独立性原则。风险控制应当在治理结构、机构设置及权责分配、业务流程等方面权责分明、相互制约和独立监督，承担风险管理的监督检查部门独立于其他部门。
（四）适应性原则。风险控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。
（五）成本效益原则。风险控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。
第二章 职责与分工
第七条 公司按照“统一领导，分级管理，全员参与”原则建立风险管理组
织体系。包括以下组成部分：公司董事会（包括下设的审计委员会)；总经理；审计部；内部风险管理部门；各分/子公司、职能部门。
第八条 公司实行分级授权的经营管理策略，在实施风险管理过程中，建立
和不断完善授权体系，公司所有部门和子公司必须在公司授权范围内开展工作。
董事会应确保有足够的资源就公司及其分/子公司的风险管理及内部监控系统的效能进行（至少每年一次）的检讨。
第九条 公司董事会作为公司风险管理的最高决策机构，在公司章程和董事
会授权范围内履行职责。董事会或经董事会书面授权的审计委员会的主要职责为：
（一） 负责确定公司风险管理总体目标，确定公司风险偏好、风险承受度；
（二） 批准风险管理策略和重大风险管理解决方案；
（三） 审议公司风险管理制度及年度风险评估报告；
（四） 审议批准风险管理其他重大事项。

第十条 公司总经理就全面风险管理工作的有效性向董事会负责，主持全面
风险管理工作。根据职责向董事会报告风险管理工作，具有风险管理方案、风险管理事项的决策权。主要职责为：
（一） 批准风险管理主管部门提交的年度风险管理工作措施并监督其执行；
（二） 批准风险管理组织机构设置及其职责方案；
（三） 指导分/子公司制定经营策略、风险管理策略，并据以制定相关业务经营计划、风险管理程序和内部控制制度；
（四） 执行风险管理其他重大事项。
第十一条 公司审计部主要职责为：
（一） 对公司的业务活动、风险管理、内部控制、财务信息等事项进行监督检查；
（二） 统筹风险评估及内部控制评价工作，编制年度风险评估报告及内控评价报告，检讨范围应涵盖所有重大监控措施，包括财务、营运及合规监控措施，其中应特别考虑：
（1） 自上年检讨后，重大风险（包括环境、社会及管治风险）的性质及严
重程度的转变、以及公司应付其业务转变及外在环境转变的能力；
（2） 管理层持续监察风险（包括环境、社会及管治风险）及内部监控系统
的工作范畴及素质，及（如适用）内部审核功能及其他保证提供者的工作；
（3） 向董事会（或其辖下委员会）传达监控结果的详尽程度及次数，以助
董事会评核公司的风险管理及内部监控系统是否充足及有效；
（4） 检讨风险管理及内部监控系统期间发现的重大监控失误或弱项，以
及因此导致未能预见的后果或紧急情况的严重程度，而该等后果或情况对公司的财务表现或情况已产生、可能已产生或将来可能会产生的重大影响，以及为解决有关监控失误或弱项而采取的任何措施；
（5） 公司有关财务报告及遵守公司股票上市地证券交易所规则规定的程
序是否有效；
（6） 公司用于设计、实施及监察风险管理及内部监控系统的内部及外部
资源（包括员工资历及经验、培训课程以及公司在会计、内部审核及财务汇报职能方面的预算）以及与公司环境、社会及管治表现和汇报相关的资源是否足够；
（7） 法律、行政法规、公司股票上市地证券监督管理机构和公司股票上市
地证券交易所规定和《公司章程》规定的其他事项。
（三） 向董事会或者审计委员会报告审查过程中发现的重大缺陷或者重大风险。
第十二条 内部风险管理部门是风险管理日常管理部门，主要职责为：
（一） 负责公司风险管理体系的建立、运行与监督；
（二） 组织开展风险评估自我评价，对评估结果汇总分析，汇总相关风险信息；
（三） 组织协调跨部门的风险管理事宜，督促各部门对已识别的风险采取相应的控制活动；
（四） 协助相关部门制定重大风险应对方案；
（五） 完成公司领导交办的其他风险管理相关工作。
第十三条 分/子公司负责人及各部门负责人为承担业务职能领域风险控制
的主体责任，为相应风险控制第一责任人。主要职责为：
（一）建立内部权责明确、相互制衡的岗位和机制，制定或执行本单位的风险管理制度，针对业务主要风险环节制定业务操作流程和风险控制措施；
（二）监控风险事件的变化状态，适时制定和启动应急预案，并及时向公司内部风险管理的部门及审计部报告或备案；
（三）针对管理职责内的重大风险，组织拟订及实施应对方案；
（四）配合执行风险管理其他重大事项。
第十四条 公司全员具有风险管理职能，应当遵循良好的行为准则和道德规
范，增强风险管理意识，自觉执行公司管理制度、各项风险管理政策和流程。
公司人力绩效考评部门负责组织公司风险管理考核并根据结果兑现奖惩。
第三章 风险分类
第十五条 从不同的风险管理角度，公司风险分类有：
（一） 按照公司目标的不同对风险进行分类：公司风险分为战略风险、市场风险、经营风险、财务风险、合规风险、舆情风险及其他风险等。

（二） 按照风险能否为公司带来盈利机会，风险可分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。
（三） 按照风险的可能性及影响程度，风险可分为重大风险、重要风险、一般风险和低风险。
第四章 风险评估
第十六条 风险评估是指对影响公司战略目标的内、外部风险进行辨识、分
析、评价的过程。
风险评估是风险管理的基础，也是公司加强内部控制的前提，基本程序包括确定风险管理理念和风险承受度、风险识别、风险分析评价和风险对策。
第十七条 公司开展风险评估，应当确定风险管理理念和相应的风险承受度。
公司应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给经营带来重大损失。
风险承受度是公司能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。
第十八条 风险识别是用判断、分类的方式对公司经营和业务活动中潜在的
风险进行鉴别的过程。公司各部门应当根据风险评估方案的要求，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估，准确识别与实现控制目标相关的内部风险和外部风险。
第十九条 公司各部门在进行风险识别时，可以采取财务报表分析、座谈讨
论、问卷调查、案例分析、行业标杆比较、政策分析、咨询专业机构意见等方法识别相关的风险因素，特别应注意总结、吸取企业过去的经验教训和同行业的经验教训，加强对高危性、多发性风险因素的关注。
第二十条 风险分析主要从风险发生的可能性和对公司目标的影响程度两
个角度来对识别的风险进行分类和排序，确定关注重点和优先控制的风险。
风险分析方法一般采用定性和定量方法组合而成。在风险分析不适宜采取定量分析的情况下，或者用于定量分析所需要的足够可信的数据无法获得，或者获取成本很高时，公司通常使用定性分析法。

第二十一条 确定风险对策。公司在进行风险分析后，应该根据风险分析结
果，结合风险发生的原因选择风险应对方案：规避风险、分担风险、减少风险或接受风险。
1、 规避风险：指公司对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的对策；
2、 分担风险：指公司采取业务分包、购买保险、金融工具等方式和适当的控制措施，借助第三方资源，将风险控制在风险承受度之内的对策；
3、 减少风险：指公司在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的对策；
4、 接受风险：指公司对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。
第二十二条 确定风险应对对策时，公司应考虑以下因素：
1、 风险应对对策对风险可能性和风险程度的影响，风险应对对策是否与公司风险容忍度一致；
2、 风险应对对策的成本与收益比较；
3、 对风险应对对策中可能的机遇与相关的风险进行比较；
4、 充分考虑多种风险应对对策的组合。
第五章 风险管理解决方案
第二十三条 公司风险管理策略为：通过风险确认与识别程序，预先发现风
险征兆，提前采取必要的预控措施，以达到规避风险，减少损失的目标。对于已发生的风险，首先通过已有的控制措施予以控制，进而采取补偿措施进行控制，把风险损失降低到最小限度。
第二十四条 内部风险管理部门对公司战略方案、经营计划的实施进行实时
监控，对各类风险信息进行记录、汇总、分析和处理，并保留风险管理记录。
第二十五条 内部风险控制是风险管理解决方案的重要基础和工具，应合理
采用内部风险控制措施，保证各项内控制度制定的合理性和制度执行的有效性。
第二十六条 内部风险控制措施一般包括以下内容：不相容职务分离控制、
授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制、重大风险预警制度和突发事件应急处理机制、内控审计控制等。
1、 不相容职务分离控制。公司系统分析、梳理业务流程