先导智能:风险管理制度(H股发行并上市后适用)

无锡先导智能装备股份有限公司
风险管理制度
一、 总则
1.1 为了进一步加强风险管理工作，建立规范、有效的风险管理体系，促进公司持续、健
康、稳定发展，根据公司股票上市地证券监管规则及《公司章程》的规定，结合公司实际情况，特制定本制度。
1.2 公司开展风险管理工作旨在为实现以下目标提供合理保证：
1.2.1 将风险控制在与总体目标相适应并可承受的范围内；
1.2.2 实现公司内外部信息沟通的真实、可靠；
1.2.3 确保法律法规的遵循；
1.2.4 提高公司经营的效益及效率；
1.2.5 确保公司建立针对各项重大风险发生后的危机处理计划，使其不因灾害性风险或
人为失误而遭受重大损失。
1.3 本制度所称公司风险，指未来的不确定性对公司实现其经营目标的影响。
1.4 公司风险一般可分为战略风险、市场风险、运营风险、财务风险、法律风险等。
1.4.1 战略风险：包括宏观政策、经济风险、行业风险和并购风险等。
1.4.2 市场风险：包括商品价格风险、客户及供应商信用风险、利率风险等。
1.4.3 运营风险：包括安全生产风险、信息系统安全和人力资源风险等。
1.4.4 财务风险：包括财务报告风险、投资风险、融资风险、流动性风险和税收风险等。
1.4.5 法律风险：包括法律与政策合规风险、员工道德操守行和法律纠纷等。
1.5 按风险能否为公司带来盈利等机会，将风险分为纯粹风险（只有带来损失一种可能性）
和机会风险（带来损失和盈利的可能性并存）。
1.6 风险管理基本流程包括以下主要工作：

1.6.1 收集风险管理初始信息；
1.6.2 进行风险评估；
1.6.3 制定风险管理策略；
1.6.4 制定并实施风险应对措施；
1.6.5 风险管理的监督与改进。
1.7 本制度适用于公司本部、全资及控股子公司。
二、 风险管理与内部监控
2.1 公司应注重风险管理，在原有的内部监控体系的基础上，建立适合本公司的风险管理
体系，推进风险管理与内部监控融合。
2.2 公司管理层应负责设计、实施及监察风险管理及内部监控系统，定期就风险管理及内
部监控体系的有效性向董事会提供管理报告，使其信任管理层已知悉该等风险、实施及监察适当的政策及监控，以保证董事会及时、持续了解公司相关体系运作的有效性情况。
2.3 董事会应负责评估及厘定公司达成策略目标时所愿意接纳的风险性质及程度，监督管
理层对风险管理及内部监控系统的设计、实施及监察，并确保公司设立及维持合适及有效的风险管理及内部监控系统。为此：
2.3.1 董事会应持续监督公司的风险管理及内部监控系统，并确保最少每年检讨一次公
司及其附属公司的风险管理及内部监控系统是否有效，并在《企业管治报告》中向股东汇报已经完成有关检讨。有关检讨应涵盖所有重要的监控方面，包括财务监控、运作监控及合规监控。
2.3.2 董事会每年进行检讨时，应确保公司在会计、内部审计及财务汇报职能方面以及
与公司环境、社会及管治表现和汇报相关的资源、员工资历及经验，以及员工所接受的培训课程及有关预算是足够的。
2.3.3 董事会每年检讨的事项应特别包括下列各项：
2.3.3.1 自上年检讨后，重大风险（包括环境、社会及管治风险）的性质及严重程度的转
变、以及公司应付其业务转变及外在环境转变的能力；
2.3.3.2 管理层持续监察风险（包括环境、社会及管治风险）及内部监控系统的工作范畴
及素质，及内部审计功能及其他保证提供者的工作；
2.3.3.3 向董事会（或其辖下委员会）传达监控结果的详尽程度及次数，此有助董事会评
核公司的监控情况及风险管理的有效程度；
2.3.3.4 期内发生的重大监控失误或发现的重大监控弱项，以及因此导致未能预见的后果
或紧急情况的严重程度，而该等后果或情况对公司的财务表现或情况已产生、可能已产生或将来可能会产生的重大影响；及
2.3.3.5 公司有关财务报告及遵守《上市规则》规定的程序是否有效。
2.3.4 公司应在《企业管治报告》内以叙述形式披露其如何在报告期内遵守风险管理及
内部监控的守则条文。
具体而言，有关内容应包括：
2.3.4.1 用于辨认、评估及管理重大风险的程序；
2.3.4.2 风险管理及内部监控系统的主要特点；
2.3.4.3 董事会承认其须对风险管理及内部监控系统负责，并有责任检讨该等制度的有效
性。董事会亦应阐释该等系统旨在管理而非消除未能达成业务目标的风险，而且只能就不会有重大的失实陈述或损失作出合理而非绝对的保证；
2.3.4.4 用以检讨风险管理及内部监控系统成效有效性的程序；解决严重的内部监控缺失
的程序；及
2.3.4.5 处理及发布内幕消息的程序和内部监控措施。
2.3.5 审计委员会负责监管公司财务申报制度、风险管理及内部监控系统：
2.3.5.1 检讨公司的财务，以及检讨公司的风险管理及内部监控系统；
2.3.5.2 与管理层讨论风险管理及内部监控系统，确保管理层已履行职责建立有效的系统。
讨论内容应包括公司在会计及财务汇报职能方面的资源、员工资历及经验是否足够，以及员工所接受的培训课程及有关预算又是否充足；
2.3.5.3 主动或应董事会的委派，就有关风险管理及内部监控事宜的重要调查结果及管理
层对调查结果的响应进行研究；

2.3.5.4 确保内部审计和外部审计师的工作得到协调；也须确保内部审计功能在公司内部
有足够资源运作，并且有适当的地位；以及检讨及监察其成效；
2.3.5.5 检讨集团的财务及会计政策及实务；
2.3.5.6 检查外聘核数师给予管理层的《审核情况说明函件》、核数师就会计纪录、财务
账目或监控系统向管理层提出的任何重大疑问及管理层作出的回应；
2.3.5.7 确保董事会及时回应于外聘核数师给予管理层的《审核情况说明函件》中提出的
事宜；
2.3.5.8 就《企业管治守则》的事宜向董事会汇报；及
2.3.5.9 研究其他由董事会界定的课题。
2.4 公司设立内部审计功能，由审计部负责，对公司的风险管理及内部监控系统是否足够
和有效作出分析及独立评估。
2.5 公司各部门及业务单位应配合人资部的组织、协调、指导和监督，执行风险管理基本
流程，并根据风险管理的要求，完善控制设计。
三、 收集风险管理初始信息
3.1 广泛、持续不断地收集与公司风险和风险管理相关的内部、外部初始信息，包括历史
数据和未来预测，应把收集初始信息的职责分工落实到各部门及业务单元。
3.2 在战略风险方面，广泛收集国内外企业战略风险失控导致公司蒙受损失的案例，并收
集公司相关的宏观经济政策、技术环境、市场需求、竞争状况等方面的重要信息，重点关注本公司发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制这些战略、规划、计划、目标的有关依据。
3.3 在财务风险方面，广泛收集国内外企业财务风险失控导致危机的案例，收集公司获利
能力、资产营运能力、偿债能力、发展能力指标的重要信息，重点关注成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节。
3.4 在市场风险方面，广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损
失的案例，收集公司产品价格、供需变化、原材料等物资供应、竞争对手、税收政策、利率、汇率、主要客户和供应商等方面的重要信息。

3.5 在运营风险方面，收集公司产品结构、产品研发、市场营销、人力资源、质量管理、
安全环保等方面的重要信息，对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进情况，分析公司风险管理的现状和能力。
3.6 在法律风险方面，广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙
受损失的案例，收集公司法律环境、员工道德、重大协议合同、重大法律纠纷案件等方面的信息。
3.7 公司对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险
评估。
四、 风险评估
4.1 公司风险评估主要经过确立风险管理理念和风险接受程度、目标设定、风险识别、风
险分析和风险评价等五个基本程序来进行。
4.2 确立公司风险管理理念和风险接受程度是公司进行风险评估的基础。
4.2.1 公司风险管理理念是公司如何认知整个经营过程（从战略制定和实施到公司日常
活动）中的风险为特征的公司共有的信念和态度。公司实行稳健的风险管理理念，对于高风险投资项目采取谨慎介入的态度。
4.2.2 风险接受程度是指公司在追求目标实现过程中愿意接受的风险程度。一般来讲，
公司可将风险接受程度分为三类：“高”、“中”和“低”。 公司从定性角度考虑风险接受程度，从整体上，公司把风险接受程度确定为“低”类，即公司在经营管理过程中，采取谨慎的风险管理态度，可以接受较低程度的风险发生。公司的风险接受程度选择也与公司的风险管理理念保持一致。
4.3 目标设定是风险识别、风险分析和风险评价的前提。公司必须首先设定目标，在此之
后，才能识别和评估影响目标实现的风险并且采取必要的行动对这些风险实施控制。公司目标包括战略目标、经营目标、合规性目标和财务报告目标四个方面。目标设定必须符合国家的法律法规和行业发展规划，符合公司战略发展计划，符合证券交易所和证券监管机构的规定。
4.4 风险识别指识别公司各业务单元、各项重要经营活动、业务流程中有无风险、有哪些
风险，查找可能阻碍实现公司目标、阻碍公司创造价值或侵蚀现有价值的因素。公司人资部
门通过问卷调查、小组讨论、专家咨询、情景分析、政策分析、行业标杆比较、访谈等方法识别风险。
公司应当准确识别与实现控制目标相关的内部风险和外部风险，以便确定相应的风险承受度。
4.4.1 公司识别内部风险，应当关注下列因素：
4.4.1.1 董事、监事、高级管理人员及其他管理人员的职业操守、员工专业胜任能力等人
力资源因素。
4.4.1.2 组织机构、经营方式、资产管理、业务流程等管理因素。
4.4.1.3 研究开发、技术投入、信息技术运用等自主创新因素。
4.4.1.4 财务状况、经营成果、现金流量等财务因素。
4.4.1.5 营运安全、员工健康、环境保护等安全环保因素。
4.4.1.6 其他有关内部风险因素。
4.4.2 公司识别外部风险，应当关注下列因素：
4.4.2.1 经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。
4.4.2.2 法律法规、监管要求等法律因素。
4.4.2.3 安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
4.4.2.4 技术进步、工艺改进等科学技术因素。
4.4.2.5 自然灾害、环境状况等自然环境因素。
4.4.2.6 其他有关外部风险因素。
4.5 风险分析是根据识别出的风险及其特征，分析描述风险发生可能性的高低、风险发生
的条件。风险评价是评估风险对公司实现目标的影响程度、风险的价值等。
风险分析和风险评价主要从风险发生的可能性和对公司目标的影响程度两个角度，对识别的风险