福瑞股份(300049):30、福瑞股份:风险评估管理制度(2025.08)
风险评估管理制度 第一章总则 第一条为加强内蒙古福瑞医疗科技股份有限公司(以下简称“公司”)的风险管理,及时识别、监控公司潜在风险及其发生概率,系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险承受度和风险应对策略,根据有关法律法规和《企业内部控制基本规范》等的有关规定,结合公司实际情况,制定本制度。 第二条本制度所称风险是指公司经营管理活动中与公司实现内部控制目标相关的风险,包括战略风险、经营风险、财务风险、市场风险、信息与技术风险、政策法规风险和道德风险等。风险评估是指根据公司内外部环境的变化,对收集的风险信息进行风险分析、风险评价,就如何处理特定风险以及如何选择风险应对策略进行科学决策。 第三条公司下属子公司应对照本制度的要求,根据自身实际情况,制定风险评估管理办法,及时报告经营管理过程中所可能出现的风险及其风险应对策略。 第二章风险管理组织体系结构 第四条公司各职能部门为风险管理的第一道防线,系统化地对各自业务单位风险进行分析、确认、计量、管理和监控;董事会下设的审计委员会和审计部为风险管理的第二道防线;董事会及股东会为风险管理的第三道防线,独立于业务单位监控公司内控和其他问题。 第五条董事会是公司风险管理的领导机构,通过对风险管理提供监督对风险管理的有效性负责。审计委员会具体负责风险管理体系的建设和运行,为风险的决策提供专业意见和建议。 第六条审计委员会负责风险评估工作的监督和风险管理体系的建设和运行,其职责主要包括: (一)负责监控公司整体的风险状况,就认为重大的风险事项向董事会提出建议; (二)负责监督有关职能部门、各业务单位开展全面风险评估工作;(三)负责审核年度风险评估报告; (四)审计部作为审计委员会的办事机构,负责日常联络、资料准备、部门协调等工作;负责对各部门、各业务单位的日常风险工作进行监督和风险管理体系的建设与运行,为风险的决策提供专业意见和建议。 第七条公司管理层负责风险评估的实施工作,其职责主要包括: (一)负责组织开展公司风险评估、识别工作; (二)负责督导公司全面风险评估文化的培育; (三)负责建立全面的风险评估管理体系; (四)负责对风险评估有效性评估,研究提出风险评估的改进方案;(五)负责对各部门上报的风险评估情况进行审核; (六)研究、提出公司的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制; (七)研究提出风险评估策略和公司的重大风险管理解决方案,并领导该方案的组织实施和对该风险的日常监控。 第八条公司各部门与下属各子公司负责评估各自在运作过程中可能的风险及其应对措施,及时报送公司审计部。 第三章风险信息收集及识别 第九条公司应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估,准确识别与实现控制目标相关的内部风险和外部风险。 第十条公司识别内部风险,应当关注下列因素: (一)董事、审计委员会委员、高级管理人员的职业操守、员工专业胜任能力等人力资源因素; (二)组织机构、经营方式、资产管理、业务流程等管理因素; (三)研究开发、技术投入、信息技术运用等自主创新因素; (四)财务状况、经营成果、现金流量等财务因素; (五)营运安全、员工健康、环境保护等安全环保因素; (六)其他有关内部风险因素。 第十一条公司识别外部风险,应当关注下列因素: (一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;(二)法律法规、监管要求等法律因素; (三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;(四)技术进步、工艺改进等科学技术因素; (五)自然灾害、环境状况等自然环境因素; (六)其他有关外部风险因素。 第十二条各部门及子公司应广泛、持续不断地收集与本公司风险和风险管理相关的内外部初始信息,包括历史数据和未来预测。风险信息的收集主要包括以下内容: (一)在战略风险方面,企业应广泛收集国内外企业战略风险失控导致企业蒙受损失的案例,并至少收集与本企业相关的以下重要信息: 1. 国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策;2.科技进步、技术创新的有关内容; 3.市场对本企业产品或服务的需求; 4.与企业战略合作伙伴的关系,未来寻求战略合作伙伴的可能性; 5.本企业主要客户、供应商及竞争对手的有关情况; 6. 与主要竞争对手相比,本企业实力与差距; 7.本企业发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据; 8.本企业对外投融资流程中曾发生或易发生错误的业务流程或环节。 (二)在财务风险方面,企业应广泛收集国内外企业财务风险失控导致危机( 的案例,并至少收集本企业的以下重要信息其中有行业平均指标或先进指标的,也应尽可能收集): 1.负债、或有负债、负债率、偿债能力; 2.现金流、应收账款及其占销售收入的比重、资金周转率; 3.产品存货及其占销售成本的比重、应付账款及其占购货额的比重;4. 制造成本和管理费用、财务费用、营业费用; 5.盈利能力; 6. 成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节; 7.与本企业相关的行业会计政策、会计估算、与国际会计制度的差异与调节(如退休金、递延税项等)等信息。 (三)在市场风险方面,企业应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与本企业相关的以下重要信息:1.产品或服务的价格及供需变化; 2.能源、原材料、配件等物资供应的充足性、稳定性和价格变化; 3.主要客户、主要供应商的信用情况; 4.税收政策和利率、汇率、股票价格指数的变化; 5. 潜在竞争者、竞争者及其主要产品、替代品情况。 (四)在运营风险方面,企业应至少收集与本企业、本行业相关的以下信息:1.产品结构、新产品研发; 2.新市场开发,市场营销策略,包括产品或服务定价与销售渠道,市场营销环境状况等; 3. 企业组织效能、管理现状、企业文化,高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验; 4.期货等衍生产品业务中曾发生或易发生失误的流程和环节; 5.质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节; 6. 因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵;7.给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险;8. 对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力; 9.企业风险管理的现状和能力。 (五)在法律风险方面,企业应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与本企业相关的以下信息:1. 国内外与本企业相关的政治、法律环境; 2.影响企业的新法律法规和政策; 3.员工道德操守的遵从性; 4.本企业签订的重大协议和有关贸易合同; 5.本企业发生重大法律纠纷案件的情况; 6. 企业和竞争对手的知识产权情况。 第十三条企业对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合,以便进行风险评估。 第四章风险评估文档 第十四条各部门及子公司拟提交的风险评估文档要求至少具备本章所规定的要素并力求详尽充分。 第十五条各部门及子公司应就其所展开的业务、职能过程分阶段实施风险评估,每一阶段的各个关键点都应该有风险评估文档记载。 第十六条每一文档应包括风险评估所存在的假设、评估方法、数据来源及评估结果。 第十七条风险评估文档要求但不限于: (一)正确完备地描述风险过程; (二)为风险识别及分析提供一个系统的方法依据。 第十八条风险评估文档的管理要求但不限于: (一)提供公司风险记录并开发组织信息数据库; (二)为风险管理提供可计量的机制与工具; (三)促进对风险的持续监控并审视考评相关结果; (四)提供风险审计轨迹; (五)共享并交流风险信息。 第五章风险评估工具方法、程序及指标体系的一般性选择 第十九条风险识别的主要方法: (一)小组讨论。风险评估小组组织风险管理人员和相关部门具有丰富经验的管理人员,按业务类别和人员构成进行分组讨论,形成意见; (二)访谈法。风险评估小组组织人员,制定详细的访谈计划,对相关部门熟悉业务流程的管理人员进行访谈,了解和讨论存在的风险,形成访谈记录;(三)问卷调查法。风险评估小组发放风险调查问卷,收集、整理反馈意见确定相关风险; (四)案例分析法。风险评估小组定期收集公司或同行业发生的有关案例,组织相关人员进行讨论,通过对案例中妨碍目标实现的负面因素进行分析来识别风险; (五)参考专业机构咨询意见。风险评估小组通过向专业机构(如风险管理咨询公司、公司法律顾问等)进行咨询,参考专业机构提供的风险数据库或咨询意见,结合公司实际情况识别风险; (六)征求专家意见。风险评估小组对初步识别形成的风险数据库,通过召开座谈会、评审会等形式,向公司内、外部有关专家、学者征求意见。 第二十条风险评估主要经过确立风险管理理念和风险接受程度、风险识别、目标制定、风险分析和风险反应等五个基本程序、六个步骤来进行。 第一步:成立评估小组,确立公司风险管理理念和风险接受程度。 ( (一)公司风险管理理念是公司如何认知整个经营管理过程从战略制定和实施到公司日常活动)中的风险为特征的公司共有的信念和态度。公司实行稳健的风险管理理念,对于高风险投资项目采取谨慎介入的态度。 (二)风险接受程度是指公司在追求目标实现过程中愿意接受的风险程度。 一般来讲,公司可将风险接受程度分为高、中、低三类。公司的风险接受程度选, 择与公司的风险管理理念保持一致。公司从定性角度考虑风险接受程度整体上讲,公司把风险接受程度确定为“低”类,即公司在经营管理过程中,采取谨慎的风险管理态度,可以接受较低程度的风险发生。 第二步:识别风险、风险来源与风险类别,详细记载识别的风险等级。 风险识别就是识别可能阻碍实现公司目标、阻碍公司创造价值或侵蚀现有价值的因素。本制度所指的风险来源包括: (一)来源于环境的风险,指影响公司实现目标进而对公司生存构成威胁的外部力量,即影响经营模式变动的不确定性,包括来自于竞争对手、股东关系、自然灾害、政策法规、法律监管、行业风险、金融市场、资本的可获得性等方面的风险。 ( ) (二)来源于程序流程的风险,指影响公司内部业务程序有效实施而导致的各种资产损耗、流失和破坏的内部力量,即影响经营模式实施的不确定性。具体可以分为: 1.源于顾客、采购与产品定价、人力资源、产品开发、经营效率、生产能力、折旧/损耗、业务干扰、合同执行、品牌侵害、现场质询、健康和安全、符合性等导致的业务风险; 2.源于领导者才能、权力/限制、绩效考评、意愿转变、传递系统等导致的授权风险; 3.源于税务、汇率、利率、价格结算、资金流动性和信贷、投融资的信用预算、会计信息的财务风险; 4. 源于组织系统及其体系结构的权限、整合性、相关性、获得性的信息技术风险; 5.源于领导人失误、员工职权、非法行为、信誉诚信等的授权风险;6.源于管理或职员串通、欺诈、屈从压力、超越凌驾权限的廉政风险。 (三)来源于战略决策信息的风险,指造成战略决策、业务决策和财务决策信息失真、过时或使用失当的外部资源可能引起的业务重组、价值评估、组织架构、资源分配的风险,即影响作出价值创造决策所需信息的可信性与可靠性的风险。 (四)来源于公司内外部的风险(参见内外部风险因素)。 第三步:确定风险评估指标体系及标准。 风险评估指标体系要求能够充分和全面地评估公司的已经发生的和潜在的风险,以识别和评估影响目标实现的风险并且采取必要的行动对这些风险实施控制。 风险评估指标体系的设计要求以股东利益和公司价值最大化为导向、经营战略为先导,强化高效运营机制、建立客户和供应链战略伙伴管理系统、定义核心业务、发展集成化的产品等目标来区分层次,逐层深入细致地表述问题,揭示风险及其损失。 目标包括战略目标、经营目标、合规性目标、资产安全目标和财务报告目标五个方面。目标确定必须符合国家的法律法规和行业发展方向,符合公司战略发展规划,符合深交所证券监管机构的规定。具体指标包括定性指标、定量指标(影) 响程度和发生的可能性和综合性指标三种类型。 定性指标通常用于获取风险等级的一般性指示信息,使用文字格式或对该等风险发生的概率和所导致的后果使用描述性维度,包括当风险不适于定量分析时、当缺乏充足可信的数据来进行定量分析时、当获取分析数据需要投入高成本时。 定量指标用于对风险概率及其价值的确定性的数字维度度量表述。包括当有充足的信息对风险发生的可能性或影响进行分析时、当经济活动复杂,需要更高的精确度时、当定性分析方法不能满足管理要求时。 第四步:分析风险,并确认其所可能带来的损失。 风险分析主要从风险发生的可能性和对公司目标的影响程度两个维度来分析。风险分析方法一般采用定性和定量方法组合而成。在风险分析不适宜采取定量分析的情况下,或者用于定量分析所需要的足够可信的数据无法获得,或者获取, , 成本很高时公司通常使用定性分析法。公司对风险进行分析确认哪些风险应当引起重视、哪些风险予以一般关注,对于需要重视的风险,再进一步划分,分别确认为“重要风险”与“一般风险”,从而为风险对策的制订奠定基础。风险的重要程度的判断主要根据风险发生的可能性和影响程度来确定的。 (一)如果风险发生的可能性属于“极小可能发生(发生的可能性大于0但5%) 小于或等于 ”的该风险可不被关注; (二)如果风险发生的可能性高于或等于“可能发生(指发生的可能性大于50%但小于或等于95%)”,但风险的影响程度小,就将该类风险确定为一般风险;(三)如果风险发生的可能性等于或高于“可能发生”,且风险的影响程度大,就将该类风险确定为重要风险。 第五步:确定风险对策。 根据识别的风险拟订相应的解决方案。公司在进行风险分析后,应该根据风险分析结果,结合风险发生的原因选择风险应对方案:规避风险、接受(承受)风险、控制(减少或降低)风险或转移(分担)风险,也可以通过一定的措施将风险创造为机会。从而将风险矫正在公司的风险容忍水平范围之内。 (一)规避风险:退出产生风险的各种活动。规避风险的例子可能有退出使用生产线、停止向一个新的地理区域市场扩大业务,或者出售公司的一个分支;(二)减少风险:采取行动减少风险的可能性或降低风险影响程度或两者同时降低。减少风险一般涉及大量的日常经营决策; (三)分担风险:通过将风险转移或者分担部分风险来减少风险的可能性和影响。包括购买保险产品、实施期货的套期保值交易或将某一活动外包等方法;(四)接受风险:不采取任何行动去影响风险的可能性或影响。但应当设定损失目标和容忍水平、设定并监控关键风险指标、制定恢复计划、准备补救措施等。 风险分析后,确定风险应对方案时,公司应考虑以下因素: (一)风险应对方案对风险可能性和风险程度的影响,风险应对方案是否与公司的风险容忍度一致; (二)对方案的成本与收益比较; (三)对方案中可能的机遇与相关的风险进行比较; (四)充分考虑多种风险应对方案的组合。 第六步:建立一个动态监控、审核和防范机制,就有关事项形成风险评估管, 理文档跟踪控制,与各有关部门和子公司沟通共享风险信息。以财务报告风险为主线,设计基于公司经营目标和业务特点需求的内控政策和措施。 第二十一条公司各部门及子公司对风险监控结果进行分析评价,包括风险变化的原因、潜在影响、变化趋势以及对跨部门风险应对方案的调整建议等,并将监控及分析结果汇总提交审计部。 第六章风险管理解决方案 第二十二条公司根据风险应对策略,针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的硬件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具。 第二十三条根据经营战略与风险策略相一致、风险控制与运营效率、效果相平衡以及相互制衡、协调配合、岗位匹配、整体优化的原则,公司制定风险解决的内控方案,针对重大风险所涉及的各项管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,把关键环节作为控制点,采取相应的控制措施。 第二十四条公司制定合理、有效的内控措施,包括以下内容: (一)建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权作出风险性决定;(二)建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的职能部门和人员等; (三)建立内控审批制度。对内控所涉及的重要事项,明确规定批准的程序、范围和额度、必备文件以及有权批准的职能部门和人员及其相应责任;(四)建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定各有关职能部门、子公司、岗位、人员应负的责任和奖惩制度; (五)建立内控审计检查制度。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的职能部门等;(六)建立内控考核评价制度。公司应把子公司、各业务单元、各部门风险管理执行情况与负责人绩效薪酬挂钩; (七)建立重大风险预警制度。对重大风险进行持续不断的监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施; (八)建立健全公司法律顾问制度。加强公司法律风险防范机制建设,形成由公司决策层主导、公司综合管理部牵头、公司法律顾问提供业务保障、全体员, 工共同参与的法律风险责任体系完善公司重大法律纠纷案件的备案管理制度;, (九)建立重要岗位权力制衡制度明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查以及独立的监督检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约;明确该岗位的上级职能部门或人员对其应采取的监督措施和应负的监督责任;将该重要岗位作为内部审计的重点等。 第二十五条公司应当按照各有关职能部门和子公司的职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。 第七章风险预警机制及监控体系 第二十六条风险预警考察指标主要包括风险发生的水平及概率,所产生的后果以及现有控制手段是否充分。针对不同业务单元或不同子公司,建立不同强度的风险预警指标,通过对风险预警指标的管理,体现不同的管控意图。当风险监控分析结果中关键监控指标达到预警值,各职能部门及子公司向公司审计部报告,并积极采取防范措施,将实施结果及时提交公司审计部。开展风险监控时,对以下风险信息予以持续关注: (一)关键和重要风险指标的变化; (二)出现新的风险或原有风险发生重大变化; (三)既定风险应对方案的执行情况和执行效果。 第二十七条风险监控的办法可以是将有关风险根据损失大小设置优先等级,划分类别,力求做到实时监控。 第二十八条公司审计部就公司各层次的各类风险评估文档进行分析,提出各类风险的系统界限或函数定义临界值。 第二十九条公司各职能管理部门和子公司在日常风险监控中,如发生重大突发事件,按应急预案采取相应的应对措施,并及时向审计部报告。审计部在接到突发风险报告后,及时组织评价突发事件的影响,制定风险应对方案。对可能造成重大影响的风险,以及需要跨部门协作应对的重大事项,组织讨论完善风险应对方案,由总经理审批后组织实施,并提交董事会备案。 第八章风险管理的监督与持续改进 第三十条风险管理的监督与考核是指对风险管理的效果和效率进行持续监督与考核评价,包括对风险管理工作执行情况进行定期检查,对风险管理工作任务的完成情况进行考核,并根据监督或考核的结果,持续对风险管理工作进行改进与提升。考核内容包括对风险管理建设工作效果的考核和对风险管理工作绩效的考核。包括: (一)是否按计划完成了本企业的全面风险管理体系建设; (二)是否按要求参与了风险管理的各项工作; (三)风险管理职责是否得到了清晰的界定和落实; (四)重大风险的监控报告和预警应对是否全面、及时、有效; (五)有无超出预警范围的重大风险发生,并对经营目标造成重大影响。 第三十一条公司建立贯穿于整个风险管理基本流程,连接各上下级、各部门和各业务单元的风险管理信息沟通渠道,确保信息沟通的及时、准确、完整,为风险管理监督与改进奠定基础。 第三十二条公司各有关部门和子公司应定期对风险管理工作进行自查和检, 验及时发现缺陷并改进,其检查、检验报告应及时报送公司审计部。 第三十三条公司审计部定期或不定期对各有关部门和子公司能否按照有关规定开展风险管理工作及其工作效果进行监督、检查和评价,监督评价报告和年度全面风险管理工作报告应直接报送董事会或董事会下设的审计委员会。也可结合年度审计、任期经济责任审计、离任经济责任审计或专项审计工作一并开展。 第九章附则 第三十四条本制度由公司董事会负责解释与修订。 第三十五条本制度经公司董事会审议通过之日起执行。 内蒙古福瑞医疗科技股份有限公司 二〇二五年八月 附件:风险评估管理部分文档标准样 附件1:风险登记文档
中财网
 |