云南白药：全面风险管理制度（2023年8月）

　　（九）办理风险管理其他有关工作。

　　第十二条 各部门（单位）负责人为所辖业务范围风险管理工作的第一责任人，对本部门（单位）存在的风险及其应对方案、重大风险预警及监控措施、风险评估报告等进行确认，督促落实集团要求的各项风险管理措施。

　　第十三条 各部门（单位）应根据自身人员配置情况，设置专门的风控部门或指定专、兼职风控岗位，并报风控中心备案。各单位风控部门岗位设置及人员任免，集团风控中心有权提出建议。各风控部门或者岗位负责本部门（单位）的日常业务风险管理事项，风控部门工作计划和成果需报送集团风控中心。

　　第三章 全面风险管理工作流程

　　第一节 风险识别与评估

　　第十四条 风险识别

　　各部门（单位）结合行业、市场等信息，充分考虑影响集团战略目标实现的内外部因素，包括历史数据、未来预测以及本单位和国内外相关企业发生的风险损失事件案例等，重点监控影响各部门（单位）目标达成的风险及风险表现，查找各项重要经营活动及重要业务流程中存在的风险，形成本部门（单位）的风险数据库。

　　风控中心定期不定期组织各部门（单位）对风险数据库进行统一的筛选及合并，更新、维护集团的风险数据库。

　　第十五条 风险评估

　　（一）定期风险评估

　　风险评估包括风险辨识、风险分析和风险评价。风险辨识是指查找集团各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。进行风险评估时，风控中心根据风险类型特点和风险管理实际需要，选取定性和定量评估方法。定性方法可采用问卷调查、专家咨询、管理层访谈等，定量方法可采用统计推论、计算机模拟、事件树分析等。风险评估过程中，风控中心结合经营发展目标，制定适用的风险等级定性或定量评估标准。

　　风控中心负责每年组织开展集团定期风险评估工作，汇总集团各部门（单位）风险评估结果后形成《集团风险评估报告》，报内部控制改进工作领导小组审批后确认集团当年风险排序和重大风险，统一集团的风险认知。

　　（二）重大决策风险评估

　　针对《公司章程》《董事会议事规则》《办公会议事规则》、各部门（单位）业务制度中规定在提交股东大会、董事会、集团办公会决策前需要进行风险评估的重大决策事项，提交决策前提案部门（单位）负责编制《风险评估报告》经内部审核后提交至风控中心，内容需包括项目概况、相关风险描述、评价及应对措施、风险评估结论及风险管理建议、措施及应急处置预案及相关支持资料。风控中心对该重大决策事项的风险评估完整性、全面性、合理性进行讨论审核并提出审核意见，待提案部门（单位）修改后，连同议案提交至集团决策会议审批。

　　第二节 风险应对

　　第十六条 风险应对是指根据风险评估的结果，结合总体风险策略及总体风险偏好和承受度，明确每一类风险的应对策略。总体风险偏好指集团在实现经营目标的过程中愿意承担的风险水平，是集团对待风险的基本态度，为战略制定、经营计划实施及资源分配提供指导。风险偏好主要分为：积极利用（激进型）、适度承担（稳健型）、坚决避免（保守型）。总体风险承受度是指在集团目标实现过程在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。风险容忍度较大，说明集团承受风险的意愿较强，在容忍度范围内的风险可以采取通常日常应对措施；反之，需加强专项应对措施，妥善防范风险。

　　第十七条 各部门（单位）根据定期风险评估确定的风险排序开展风险应对工作，选择风险管理策略、制定风险应对措施。针对集团重大风险，风险责任部门（单位）还应当编制重大风险应对方案。

　　第十八条 风险管理策略，指集团根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。

　　第十九条 风险管理策略选择，根据风险排序及风险管理策略的选择由牵头组织研讨并提出初步策略、应对措施。风控中心进行统一的收集整理，纳入集团年度全面风险管理报告。

　　第二十条 风险管理应对方案，集团重大风险应对方案由风控中心牵头组织各部门（单位）根据分工进行编制后负责整理汇总，提出补充或调整意见以及跨部门（单位）的风险应对建议。

　　重大风险应对方案应纳入集团年度全面风险管理报告，主要内容包括风险描述、风险表现、风险应对目标及风险管理策略、所涉及的管理及业务流程、所需的条件和资源、职责与分工、风险预警指标、细化的分级控制措施、相关工作的进度安排等。

　　第三节 风险预警

　　第二十一条 根据集团定期风险评估结果，确认集团重大风险后，风控中心组织风险管理责任部门（单位）编制重大风险预警指标，纳入集团年度全面风险管理报告，一并报送审批。

　　各部门（单位）应指定专人对风险预警指标开展监测、评估和记录，并综合考虑未来影响因素，对指标本期的偏离度和级别进行预判，编制《预警信息记录表》经部门（单位）确认后，采取定期和不定期两种方式报送风控中心：

　　（一）各部门（单位）指定专人编制本部门（单位）预警信息记录表，每季度后10个工作日内报送至风控中心；

　　（二）对于需特别关注的重大风险预警信息，可随时报送风控中心，由风控中心对风险预警信息进行初步分析和研判，必要时报内部控制改进工作领导小组。

　　第四节 风险事件报送

　　第二十二条 重大经营风险事件报送

　　风险责任部门（单位）应及时对风险进行初步的评判，确定是否属于对集团声誉、经营活动造成较大压力和负面影响的风险。重大经营风险事件应及时报告风控中心。

　　第二十三条 风控中心对各部门（单位）报送的重大经营风险事件进行初步评估，必要时向内部控制改进工作领导小组报告并抄报董事会。内部控制改进工作领导小组按有关职能和工作分工，组织相关部门协同或督促指导各部门（单位）做好重大经营风险事件应对工作，跟踪处置情况，加强重大经营风险管控和防范。

　　第二十四条 各部门（单位）需按季度填报风险事件报表至风控中心，由风控中心纳入重大经营风险事件监测台账。对于需要长期应对处置或整改落实的进行跟踪监测，并定期报告重大经营风险事件处置进展情况。

　　第二十五条 对具有普遍性的重大经营风险事件，风控中心应联合各部门（单位）深入分析原因、研究管理措施，视情及时向各单位发送预警提示或通报。

　　第二十六条 集团安全生产、节能减排、环境保护、维稳事件等相关安全应急事件报告工作按《安全应急管理办法》执行。

　　第五节 风险监控

　　第二十七条 风险责任部门（单位）持续跟进集团重大风险的应对方案措施落实情况，并依据情况更新应对措施，开展重大风险预警工作，负责本部门（单位）的重大经营风险事件报送，每季度形成《重大风险应对方案进度报告》《重大风险预警信息表》《重大经营风险事件填报表》报送风控中心。内容涵盖：

　　（一）重大风险应对方案的执行情况、执行效果及调整建议；

　　（二）新出现的风险或原有风险的重大变化；

　　（三）风险预警风险指标的月度数据及变化情况分析；

　　（四）新出现的重大经营风险事件。

　　第二十八条 风控中心根据各部门（单位）季度报送的报告，编制《风险管理季度简报》报送内部控制改进工作领导小组审阅。

　　第二十九条 围绕每年全面风险管理工作情况、重大风险的治理情况及下年度全面风险管理计划，各部门应编制本部门年度风险管理工作总结材料，各单位应编制本单位《年度全面风险管理工作报告》，提交至风控中心。风控中心汇总编制集团《年度全面风险管理工作报告》，提交内部控制改进工作领导小组审议、董事会审批。

　　第四章 风险管理的监督与考核

　　第三十条 集团风险管理工作纳入集团目标管理和年度绩效考评体系，风险管理考核指标及标准由风控中心与人力资源中心沟通确定，按照集团相关流程审批并下发执行。

　　第三十一条 董事会审计委员会督导内部审计部门开展集团专项风险检查和审计工作。

　　第五章 风险管理信息化建设

　　第三十二条 风控中心根据业务管理需求和集团整体信息化建设情况，推动各项业务的风险管理工作与业务管理信息系统融合，逐步建立涵盖风险信息收集、评估分析、监控预警、应对处置等风险管理基本流程的风险管理信息系统。

　　第六章 风险管理文化

　　第三十三条 集团应大力培育和塑造良好的风险管理文化，树立良好的风险价值理念，增强员工风险管理意识，将风险意识转化为员工的共同认识和自觉行动，促进企业建立系统、规范、高效的风险管理体系。

　　第三十四条 集团董事、监事和高级管理人员应在培育风险管理文化中起表率作用，各级管理人员和业务操作人员应加强岗位风险管理意识，提高全面风险管理能力和水平。

　　第三十五条 风控中心定期会同人力资源中心讨论制定风险管理培训方案，通过组织课程、研讨、案例分析、项目实践等方式，加强风险管理人才素质，完善风险管理人才储备，培育风险管理文化。

　　第七章 附 则

　　第三十六条 本制度自董事会审议通过之日起执行。

　　第三十七条 本制度由风控中心负责解释，本制度与《全面风险管理制度实施细则》配套实施。