風險管控制度

1

目錄

第一章總則....................................................2

第二章組織體系與職責分工.....................................3

第三章風險辨識...............................................5

第四章風險分析...............................................6

第五章解決方案...............................................7

第六章風險評估報告..........................................10

第七章報告與預警...........................................11

第八章風險與危機的處理......................................11

第九章監督與考核............................................13

第十章風險管控文化..........................................14

第十一章附則................................................14

起草人審核人批準人

部門

姓名

簽名

日期

頒發部門/報告部門執行日期/報告日期

2

第一部分風險管控制度

第一章總則

第一條為建立規范、有效的風險控制體系,提高風險防范能力,增強公司

競爭力，保證公司安全、穩健、持續發展，提高經營管理水平，依據國家有關法

律、法規，結合公司實際，制定本管理制度.

第二條本制度所稱風險,是指未來的不確定性對公司實現其經營目標的影

響,按類型可分為戰略風險、財務風險、市場風險、運營風險、法律風險等。

第三條本制度所稱風險管控,指公司圍繞總體經營目標，通過在公司管理

的各個環節和經營過程中執行風險管控的基本流程,培育良好的風險管控文化，

建立健全全面風險管控體系（包括風險管控策略、風險管控措施、風險管控的組

織職能體系、風險管控信息系統和內部控制系統），從而為實現風險管控的總體

目標提供合理保證的過程和方法。

第四條公司開展風險管控力求實現以下風險管控總體目標:

（一）確保將風險控制在與總體目標相適應并可承受的范圍內；

（二)確保內外部,尤其是公司與股東間實現真實、可靠的信息溝通,包括編

制和提供真實、可靠的財務報告;

（三）確保遵守有關法律、法規及醫藥行業相關規定；

（四)確保公司有關規章制度和為實現經營目標而采取重大措施的貫徹執

行，保障經營管理的有效性，提高經營活動的效率和效果，降低實現經營目標的

不確定性；

（五)確保公司建立針對各項重大風險發生后的危機處理計劃，保護公司不

因災害性風險或人為失誤而遭受重大損失.

第五條風險管控工作遵循以下原則：

（一）全面性原則.風險控制應當貫穿決策、執行和監督全過程,覆蓋公司及

其所屬單位的各種業務和事項.

（二）重要性原則。風險控制應當在全面控制的基礎上，關注重要業務事項

和高風險領域。

（三）制衡性原則。風險控制應當在治理結構、機構設置及權責分配、業務

流程等方面形成相互制約、相互監督，同時兼顧運營效率。

3

（四）適應性原則。風險控制應當與公司經營規模、業務范圍、競爭狀況和

風險水平等相適應，并隨著情況的變化及時加以調整。

（五)成本效益原則。風險控制應當權衡實施成本與預期效益,以適當的成本

實現有效控制。

第六條公司以對重大風險、重大事件（指重大風險發生后的事實）的管理

和重要流程的內部控制為重點，開展全面風險管控工作，建立全面風險管控體系。

第七條全面風險管控通常應涵蓋公司治理與經營管理活動中所有環節，包

括但不限于：

（一）日常經營環節：主要包括：生產、采購與付款、工程建設、銷售與收

款、財務會計管理、全面質量管理、產品研發、人事管理等.

（二）重大資產購買和出售環節：主要包括重大資產自建、購置、處置、維

護、保管與記錄等。

（三)對外投資環節:包括投資有價證券、股權、金融衍生品及其他長、短期

投資、委托理財、募集資金使用的決策、執行、保管與記錄等。

（四)對外擔保與融資環節：包括借款、擔保、承兌、租賃、發行新股、發

行債券等的授權、執行與記錄等。

（五）證券事務環節：主要包括持股5％以上股東、董事、監事、高級管理

層的誠信規范要求，信息披露，投資者關系管理等.

（六）關聯交易環節：包括關聯方的界定，關聯交易的定價、授權、執行、

報告和記錄等。

(七）公司治理環節:主要包括“三會”（股東會、董事會、監事會）運作，

“三會”和管理層的職權等。

第八條本制度適用于公司及各分、子公司。

第二章組織體系與職責分工

第九條公司風險管控的組織體系由公司運委會、高管層、審監部、法務部、

部門及分子公司內設的有風險管控職能的部門或崗位構成。

第十條公司運委會作為公司全面風險管控的最高決策機構，主要履行以下

風險管控職責：

（一）審議并向股東會提交公司全面風險管控年度工作報告；

4

(二）確定公司風險管控總體目標、風險偏好、風險承受度，批準風險管控

策略和重大風險管控解決方案;

（三）了解和掌握公司面臨的各項重大風險及其風險管控現狀，做出有效控

制風險的決策;

（四）批準重大決策、重大風險、重大事件和重要業務流程的判斷標準或判

斷機制；

（五)全面風險管控其他重大事項。

第十一條公司高管層作為公司全面風險管控的監督責任主體，主要履行以

下風險管控職責:

（一）批準重大決策的風險評估報告；

（二）批準審監部門提交的風險管控監督評價審計報告；

（三）批準風險管控組織機構設置及其職責方案；

（四）批準風險管控措施，糾正和處理任何組織或個人超越風險管控制度

做出的風險性決定的行為;

（五）督導公司風險管控文化的培育。

（六）審議風險管控策略和重大風險管控解決方案；

（七）審議重大決策、重大風險、重大事件和重要業務流程的判斷標準或

判斷機制，以及重大決策的風險評估報告;

（八）審議內部審監部門提交的風險管控監督評價報告；

（九）審議風險管控組織機構設置及其職責方案；

（十）辦理運委會授權的有關全面風險管控的其他事項。

第十二條公司審監部作為公司全面風險管控的管理、執行部門，主要履行

以下風險管控職責：

（一）研究提出全面風險管控工作報告；

（二）研究提出跨職能部門的重大決策、重大風險、重大事件和重要業務

流程的判斷標準或判斷機制;

（三）研究提出跨職能部門的重大決策風險評估報告；

（四）研究提出風險管控策略和跨職能部門的重大風險管控解決方案，并

負責該方案的組織實施和對該風險的日常監控;

5

（五）評估全面風險管控的有效性，研究提出全面風險管控的改進方案；

（六）負責組織建立風險管控信息系統；

（七）負責組織協調全面風險管控日常工作；

（八）負責指導、監督有關職能部門以及分子公司開展全面風險管控工作；

（九）辦理風險管控其他有關工作。

第十三條法務部負責公司的法律事務，為領導決策和公司業務開展提供法

律參考意見；審核相關法律文書及合同,防范法律風險;負責牽頭處理公司訴訟事

務和經濟糾紛事務，代表公司對外處理相關法律事務,維護公司合法權益.

第十四條公司其它職能部門及分、子公司作為公司全面風險管控的參與部

門,主要履行以下風險管控職責：

(一）按照公司風險管控總體安排，完成本部門業務流程的風險辨識、分析

及評價,并對相關風險進行審核和確認;研究提出本職能部門或業務單位重大決

策、重大風險、重大事件和重要業務流程的判斷標準或判斷機制；

(二)研究提出本職能部門或業務單位的重大決策風險評估報告；

（三）做好本職能部門或業務單位建立風險管控信息系統的工作;

（四)做好培育風險管控文化的有關工作；

（五）建立健全本職能部門或業務單位的風險管控內部控制子系統;

（六）及時收集、分析、反饋風險管控中發現的問題，并做好記錄。

第三章風險辨識

第十五條風險辨識是指查找公司各業務單元、各項重要經營活動及其重要

業務流程中有無風險,存在哪些風險。

第十六條風險辨識要求各職能部門及業務單位廣泛、持久地收集與公司風

險和風險管控相關的內部、外部初始信息，包括歷史數據和未來預測.

第十七條針對公司業務覆蓋的范圍，應對以下風險進行辨識：

(一)在戰略風險方面,有宏觀環境風險、政策法規風險、戰略規劃決策風險、

文化風險和組織結構風險.

（二）在運營風險方面，有制度管理風險、權責分配風險、人才管理風險、

管控風險、投資決策風險、公司并購風險、項目可行性分析風險、招標管理風險、

采購管理風險、安全生產風險、工程項目風險、信息管理風險和內控建設風險。

6

（三）財務風險方面，有預算管理風險、資金管控風險、資金鏈斷裂風險、

融資管理風險、費用控制風險、納稅管理風險、盈利能力風險、收益分配風險、

信息披露風險。

（四）法律風險方面,有合同訂立風險、法律事務風險。

（五）市場風險方面，有市場拓展風險、品牌管理風險、營銷策略風險、產

品質量風險、銷售管理風險、售后服務管理風險。

（六）其他能夠影響公司實現其經營目標的風險.

第四章風險分析

第十八條風險分析指對風險之間關系的分析，以便發現各風險之間的自然

對沖、風險事件發生的正負相關性等組合效應，從風險策略上對風險進行統一集

中管理.

第十九條根據對風險發生可能性的高低和對目標的影響程度的評估，繪制

風險坐標圖，對各項風險進行比較，初步確定對各項風險的管理優先順序和策略，

根據具體風險發生的概率和影響程度將風險進行分級。

第二十條公司采用定性與定量相結合的方法，按照風險發生的可能性及其

影響程度，對識別的風險進行分析和排序,確定關注重點和優先控制的風險。各

部門、分子公司應按照嚴格規范的程序開展工作，確保風險分析結果的準確性。

第二十一條公司風險分析由審監部組織各職能部門及分、子公司實施。審

監部對風險分析工作可以聘請外部專業機構協助工作。

第二十二條作為風險管控的組織部門，審監部應從公司發展的整體目標實

現及醫藥行業政策導向對公司面臨的各類風險進行全面的風險管控分析。

第五章解決方案

第二十三條公司針對各類風險或每一項重大風險制定風險管控解決方案，

包括風險解決的具體目標，所需的組織領導,所涉及的管理及業務流程，所需的

條件、手段等資源，風險事件發生前、中、后所采取的具體應對措施。

第二十四條公司風險管控解決方案具體應包括風險規避、風險降低、風險

分擔和風險承受等風險解決策略，實現對風險的有效控制.

風險規避是公司對超出風險承受度的風險，通過放棄或者停止與該風險相關

的業務活動以避免和減輕損失的策略.

7

風險降低是公司在權衡成本效益之后,準備采取適當的控制措施降低風險或

者減輕損失,將風險控制在風險承受度之內的策略.

風險分擔是公司準備借助他人力量，采取業務分包、購買保險等方式和適當

的控制措施，將風險控制在風險承受度之內的策略。

風險承受是公司對風險承受度之內的風險，在權衡成本效益之后，不準備采

取控制措施降低風險或者減輕損失的策略。

第二十五條內部風險控制是風險管控解決方案的重要基礎和工具，公司應

保證各項內控制度制定的合理性和制度執行的有效性。

第二十六條公司制定風險解決的內控方案，應滿足合法合規的要求，堅持

經營戰略與風險策略一致、風險控制與運營效率及效果相平衡的原則，針對重大

風險所涉及的各項管理及業務流程，制定涵蓋各個環節的全流程內部控制制度和

措施；對其他風險所涉及的業務流程，要把關鍵環節作為控制點，采取相應的控

制措施。

第二十七條公司建立內控制度，包含以下基本內容：

（一)建立內控崗位授權制度。對內控所涉及的各崗位明確規定授權的對象、

條件、范圍和額度等，任何組織和個人不得超越授權做出風險性決定;

（二）建立內控報告制度。明確規定報告人與接受報告人,報告的時間、內

容、頻率、傳遞路線、負責處理報告的部門和人員等；

（三）建立內控批準制度。對內控所涉及的重要事項，明確規定批準的程序、

條件、范圍和額度、必備文件以及有權批準的部門和人員及其相應責任；

(四)建立內控責任制度。按照權利、義務和責任相統一的原則，明確規定各

有關部門和業務單位、崗位、人員應負的責任和獎懲制度；

（五)建立內控審計檢查制度。結合內控的有關要求、方法、標準與流程，

明確規定審計檢查的對象、內容、方式和負責審計檢查的部門等；

（六）建立內控考核評價制度。具備條件的公司應把各業務單位風險管控執

行情況與績效薪酬掛鉤；

（七)建立重大風險預警制度。對重大風險進行持續不斷的監測，及時發布

預警信息,制定應急預案，并根據情況變化調整控制措施;

(八）建立健全以合同管理為核心的公司法務制度。大力加強公司法律風險

8

防范機制建設，形成由公司決策層主導、公司法務負責人牽頭、公司法務人員提

供法律業務保障、全體員工共同參與的法律風險責任體系，完善公司重大法律糾

紛案件的管理制度。

（九）建立重要崗位權力制衡制度,明確規定不相容職責的分離.主要包括:

授權批準、業務經辦、會計記錄、財產保管和稽核檢查等職責.對內控所涉及的

重要崗位可設置一崗雙人、雙職、雙責，相互制約；明確該崗位的上級部門或人

員對其應采取的監督措施和應負的監督責任；將該崗位作為內部審計的重點等。

第二十八條公司制定合理、有效的內控措施，包括以下內容:不相容職務分

離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控

制和績效考評控制等。

（一）不相容職務分離控制.指公司全面系統地分析、梳理業務流程中所涉

及的不相容職務，實施相應的分離措施，形成各司其職、各負其責、相互制約的

工作機制。

（二)授權審批控制.指公司根據常規授權和特別授權的規定，明確各崗位辦

理業務和事項的權限范圍、審批程序和相應責任.公司應當編制常規授權的權限

指引，規范特別授權的范圍、權限、程序和責任，嚴格控制特別授權.常規授權

是指公司在日常經營管理活動中按照既定的職責和程序進行的授權。特別授權是

指公司在特殊情況、特定條件下進行的授權。公司各級管理人員應當在授權范圍

內行使職權和承擔責任.對于重大的業務和事項，應當實行集體決策審批或者聯

簽制度，不得單獨進行決策或者擅自改變集體決策。

（三)會計系統控制。指公司嚴格執行國家統一的會計準則制度，加強會計

基礎工作，明確會計憑證、會計賬簿和財務會計報告的處理程序,保證會計資料

真實完整。公司應當依法設置會計機構，配備會計從業人員。從事會計工作的人

員，必須取得會計從業資格證書。財務負責人應當具備會計師以上專業技術職務

資格.

（四)財產保護控制。指公司建立財產日常管理制度和定期清查制度，采取

財產記錄、實物保管、定期盤點、賬實核對等措施，確保財產安全。公司應當嚴

格限制未經授權的人員接觸和處置財產。

（五）預算控制。指公司實施全面預算管理制度，明確各責任單位在預算管

9

理中的職責權限,規范預算的編制、審定、下達和執行程序,強化預算約束.

（六）運營分析控制。指公司建立運營情況分析制度,管理層綜合運用生產、

購銷、投資、籌資、財務等方面的信息，通過因素分析、對比分析、趨勢分析等

方法，定期開展運營情況分析，發現問題，及時查明原因并加以改進。

（七）績效考評控制。指公司建立和實施績效考評制度，科學設置考核指標

體系，對公司內部各責任單位和全體員工的業績進行定期考核和客觀評價，將考

評結果作為確定員工薪酬以及職務晉升、評優、降級、調崗、辭退等的依據。

第二十九條公司各職能部門及分、子公司應在公司審監部的組織下按照本

制度賦予其的職責分工,認真組織實施風險管控解決方案，確保各項風險管控措

施落實到位.

第三十條公司審監部作為風險管控的組織部門應從公司可持續發展的角度

組織各部門和分子公司制定、審議風險解決方案，要求風險解決方案不僅能夠解

決在該階段凸顯出的風險，更要從醫藥行業市場形勢及國家對于醫藥行業的政策

導向進行方案的方向性管控。

第六章風險評估報告

第三十一條公司風險評估報告由審監部組織各職能部門及分、子公司經過

風險識別和風險評價，從實際出發，緊密圍繞當前市場形勢和公司發展的實際需

要而最終形成。

第三十二條風險評估報告的制定應堅持全面性和重要性原則，客觀真實的

反映當前生產經營管理活動中存在的問題和針對性的風險解決方案。

第三十三條風險評估報告分為年度綜合報告和重大事項特殊報告。年度綜

合報告是指公司審監部年末收集公司各職能部門及分、子公司提交的針對其自身

當前主要風險的識別、評估、解決和監控的報告,最終匯總完成的公司年度整體

風險管控綜合性報告。重大事項特殊報告是指公司針對臨時性、突發性、影響公

司全局的風險因素進行識別、評估和解決等方面工作的風險報告。

第三十四條公司各職能部門及分、子公司應于每年12月底前，按照本制度

的要求向公司審監部提交本部門（公司)的年度風險管控報告。該報告應具備全

面性、真實性、針對性、及時性，能夠反映出該部門（公司）在該時期的全面風

險點及具備實操性的解決方案.公司審監部經匯總、分析、整理后，形成公司年

10

度風險管控報告,并于每年1月底前上報公司運委會.公司年度風險管控報告內

容應包括風險管控基本情況、上一年度風險解決情況總結、本年度風險評估結果

及本年度風險解決方案等。

第三十五條重大事項特殊報告由各職能部門及分、子公司根據其實際情況

編纂，并及時報送公司審監部，由其提交公司運委會審議。重大事項特殊報告應

重點報告公司突發事件及重大決策事項，報告內容應簡明扼要，內容包括但不限

于風險描述、風險分析、風險解決方案、現有解決措施及風險解決反應時限等。

第三十六條公司審監部必要時可以聘請外部專業機構協助進行風險評估報

告的分析及制定.

第三十七條風險評估報告的填寫和報送應嚴格遵守公司的保密規定,任何

參與風險報告填報工作的部門、單位和個人均對報告相關事項負有保密義務，不

得擅自披露有關信息。

第七章報告與預警

第三十八條公司建立風險監控報告和預警制度.通過有效的報告、溝通和反

饋,使公司領導和有關部門及時了解公司業務和資產的風險狀況，相應調整風險

管控政策和管理措施。

第三十九條公司的風險監控報告分為季度風險報告和不定期的專項風險報

告.季度風險報告是對季度內公司經營發展中存在的風險和糾正的情況進行的匯

總報告;不定期專項風險報告是對監控中或風險專項檢查中發現的重大風險或

風險隱患問題進行的專項報告.風險監控報告由審監部牽頭財務部等相關部門制

作，報送公司領導和相關部門。

第四十條在風險監控中發現問題時，審監部要進行風險專項檢查，必要時

可進行重點審計或組織專項審計。對其它不屬于審監部職責范圍內的事項,審監

部可以向公司有關部門提出風險管控建議。

第四十一條公司各部門應建立風險預警系統，以發現并應對可能出現的風

險。各部門、子公司有責任及時、無保留地向審監部報告有關風險的真實信息。

第八章風險與危機的處理

第四十二條公司建立靈敏高效的危機處理和應急管理機制，以降低風險損

失.對新出現的、缺乏風險應急預案的重大風險，審監部應立即與公司相關部門

11

協調，組織人員研究制定風險應對方案,并報公司運委會審批后實施。

第四十三條當風險已經發生，風險單位負責人必須立即向公司總經辦報告

(可以越級報告）。

第四十四條總經辦應及時對風險進行初步的評判，確定是屬于一般性內部

風險，還是對公司聲譽、經營活動和內部管理造成強大壓力和負面影響的公司危

機。對一般性風險，責成單位負責人或有關人員負責組織處理;對公司危機,必須

按照程序處理。

第四十五條危機處理程序

（一)成立風險和危機的處理機構

危機發生后，公司應在第一時間成立危機處理小組，該小組應由公司總經理

或副總經理擔任組長。小組成員至少應包括：總經辦、發生危機單位的第一負責

人、公司法律顧問、審監部、行政部、人力資源部等部門負責人及其他相關人員，

小組應配備小組秘書及后勤保障人員。

（二）制訂危機處理計劃

危機處理小組應及時根據現有的資料和情報,以及公司擁有或可支配的資源

來制訂危機處理計劃.計劃必須體現出危機處理目標、程序、組織、人員及分工、

后勤保障、行動時間表以及各個階段要實現的目標，同時還應包括社會資源的調

動和支配、費用控制和實施責任人及其目標。

（三）危機處理

1、對于尚未造成社會影響的事件，在對危機事件進行詳細的調查了解和核

實的基礎上，根據法律、法規和公司管理制度，果斷做出處理決定，以避免事態

的進一步惡化。

2、對于已造成社會影響的事件，應保持與社會各方的良好溝通,及時披露事

實真相，以有助于對事件做出客觀公正的報道和評價。

3、在處理過程中，應處理好與危機事件對方當事人的關系，及時按撫，避

免出現糾紛。

4、在事件處理的全過程，危機處理小組均應與當地政府、監管機構保持緊

密聯系,及時通報事件進展。

(四）教訓總結與責任認定

12

危機事件處理完成后，危機處理小組應及時提交總結報告，如實反映事件的

起因、發生過程、處理方法和結果、責任認定、反映的問題等，并提出整改建議

或意見，以避免新的風險和危機發生。

第四十六條對因決策失誤、管理失職、行為失當等原因致使公司出現風險

或危機，并造成有形或無形損失的責任人及單位負責人，公司應追究其直接責任

或領導責任。

第九章監督與考核

第四十七條風險管控的監督與考核是指對風險管控的效果和效率進行持續

監督與考核評價，包括對公司風險管控相關部門的風險管控工作執行情況進行定

期檢查,對風險管控工作任務的完成情況進行考核,并根據監督或考核的結果,對

公司風險管控工作進行改進與提升。

第四十八條審監部在公司風險管控中,應該以重大風險、重大事件和重大決

策、重要管理及業務流程為重點，對風險管控初始信息、風險評估、風險管控策

略、關鍵控制活動及風險管控解決方案的實施情況進行監督,采用壓力測試、返

回測試、穿行測試以及風險控制自我評估等方法對風險管控的有效性進行檢驗，

根據變化情況和存在的缺陷及時分析原因，改進所發現的風險管控設計和運行的

缺陷，并據以修訂風險管控的具體制度.

第四十九條公司建立多層級風險責任機制,各部門及各分子公司按照公司

組織架構細分為不同級別的風險單位,每個風險單位的第一負責人為風險責任承

擔人，全盤負責本單位的風險管控。各部門風險管控工作納入績效考核體系。

各部門、分子公司及其下級風險單位必須評估每一個操作程序所遇到的風

險，再把每一個風險細分為次風險，據此制定風險管控的操作程序，各級風險單

位必須把風險管控的責任落實到每一環節的相關人員,真正做到風險控制到人.

第五十條年度風險管控考核指標與考核標準由審監部與人力資源部進行溝

通確定后,報公司批準下發執行.

第五十一條考核指標和考核標準的設定，主要考慮以下方面：

（一)風險管控體系或風險管控流程的建設工作按計劃進度完成情況。

（二)對重大風險進行系統的評估或預防的情況。

(三）根據公司風險管控策略，落實部門有關風險的管理制度和流程及實施

13

的情況。

（四）對風險管控職責進行清晰的界定和落實的情況。

（五）風險相關報告和預警工作的及時、有效性情況。

（六）超出預警范圍的重大風險發生并對經營目標造成重大影響的情況。

第五十二條審監部每年對各部門和業務單位風險管控工作實施情況和有效

性進行檢查，對跨部門和業務單位的風險管控解決方案進行評價，提出調整或改

進建議，出具評價和建議報告,并報送公司運委會審議。

第五十三條公司對風險管控工作采取問責制，如有下列行為之一的對于相

關責任人按公司《責任追究制度》進行處罰：故意舞弊、瞞報風險；重大過失遺

漏風險；故意捏造、夸大、低報風險；故意或重大過失擬定與風險不匹配的風險

解決方案;未及時上報重大事項的風險報告等行為.

第十章風險管控文化

第五十四條公司應將風險管控文化建設作為公司發展戰略的組成部分，培

育和塑造良好的風險管控文化，營造合規經營的制度文化環境，將風險管控文化

融于公司文化建設的全過程中，在相關政策和制度文件中明確規定風險管控文化

的建設要求和內容，在各層面營造風險管控文化的氛圍,促進公司全面風險管控

目標的實現。

第五十五條公司應通過多種形式，向員工傳播公司風險管控文化，牢固樹

立風險無處不在、風險無時不在、嚴格防控純粹風險、審慎處置機會風險、崗位

風險管控責任重大等意識和理念。

第五十六條公司應引導員工遵循良好的行為準則和道德規范,增強風險管

控意識，培養按制度規章做事的習慣。

第五十七條公司應將對員工風險意識和風險管控的培訓納入培訓計劃。通

過各類風險案例教育和公司制度流程培訓，對公司全體人員進行崗前和崗上的持

續性風險管控培訓。

第十一章附則

第五十八條本制度由審監部負責解釋。

第五十九條本制度自下發之日起施行.