朗玛信息:风险评估管理制度

风险评估管理制度
第一章 总则
第一条 为加强贵阳朗玛信息技术股份有限公司(以下简称“公司”)风险管理，及时识别、评估和控制公司运营过程中可能面临的各类风险，确保公司战略目标的实现，依照《企业内部控制基本规范》等法律、行政法规、规范性文件的相关规定以及《贵阳朗玛信息技术股份有限公司章程》（以下简称《公司章程》），结合公司的实际情况，制定本制度。
第二条 本制度所指风险包括但不限于战略风险、财务风险、市场风险、运营风险、法律合规风险、内部控制风险、技术风险、信息安全风险等。
第三条 本制度所称战略风险评估是指依据风险评估标准对所收集的战略风险初始信息及重要战略业务流程进行辨识、分析和评价，辨明纯粹风险和机会风险，根据风险影响程度确定战略风险值和风险等级的过程。
第四条 本制度适用于公司及下属各业务线。公司控股子公司可对照本制度的要求，根据自身实际情况，制定风险评估管理办法，及时报告经营过程中所可能出现的风险及其风险应对策略。
第二章 风险评估管理组织体系及职责
第五条 各部门为公司风险评估管理工作的责任机构，具体职责：
(一)对公司日常经营活动中的风险进行识别；
(二)对识别的风险进行评估，根据评估结果对识别出的风险排序，结合公司的风险偏好与风险承受度，确定关键风险；
(三)对关键风险制定应对策略；
(四)评估现有控制活动设计与运行的有效性，制定适用于本部门的风险应对措施，主要包括人员与资源投入、业务流程优化等事项。
第六条 公司内部审计部门负责审核、汇总各部门的风险评估表，编制公司年度风险评估报告，报总经理办公会审议。
第七条 公司证券部按照法律法规的要求对外披露重大风险。
第八条 公司管理层主要职责为：

（一）审定各部门的风险应对措施，并监督重大风险的整改与落实。
（二）审定内部审计部门提交的公司风险评估报告，并报总经理办公会审议。
第九条 总经理办公会负责审议公司管理层提交的公司风险评估报告，批准风险管理其他重大事项。
第三章 风险评估流程
第十条 各部门应全面梳理业务流程，识别可能存在的风险点，包括但不限于政策法规变化、市场竞争加剧、技术更新换代、数据泄露等。
第十一条 对识别出的风险进行定性和定量分析，评估其发生的可能性和对公司目标的影响程度。可采用风险矩阵、风险热图等工具，确定风险的优先级。
第十二条 各部门应根据风险分析结果，编制风险评估报告，内容包括风险描述、风险等级、可能的影响、已采取的控制措施及改进建议等。
第十三条 根据风险评估报告，制定相应的风险应对策略，包括风险规避、风险降低、风险转移和风险接受等。明确每项策略的责任人、实施步骤和时间节点。
第四章 风险监控与预警
第十四条 公司根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估，准确识别与实现控制目标相关的内部风险和外部风险。
第十五条 公司各部门应广泛、持续不断地收集与本公司风险和风险管理相关的内外部信息，包括历史数据和未来预测。风险信息的收集主要包括以下内容：
（一）战略风险方面，收集国内外企业战略风险失控导致企业蒙受损失的案例，重点收集国内外宏观经济政策、产业政策、经济运行情况、行业状况、产品需求与供给状况等方面的信息；
（二）财务风险方面，收集国内外企业财务风险失控导致危机的案例，重点收集企业财务报表、资产质量、盈利能力、偿债能力、现金流量、成本核算、资金结算等方面的信息；
（三）市场风险方面，收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例，重点收集市场需求、主要客户资信、竞争对手的竞争策略等方面的信息；
（四）运营风险方面，收集国内外企业忽视运营风险、缺乏应对措施导致企业
蒙受损失的案例，重点收集与企业治理、资金营运、项目管理、人力资源等各方面的信息；
（五）法律风险方面，收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例，重点收集国内外法律法规和政策、以往重大法律纠纷案件、竞争对手的知识产权等方面的信息。
第十六条 公司识别内部风险，应当关注下列因素：
（一）董事、总经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。
（二）组织机构、经营方式、资产管理、业务流程等管理因素。
（三）研究开发、技术投入、信息技术运用等自主创新因素。
（四）财务状况、经营成果、现金流量等财务因素。
（五）营运安全、员工健康、环境保护等安全环保因素。
（六）其他有关内部风险因素。
第十七条 公司识别外部风险，应当关注下列因素：
（一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。
（二）法律法规、监管要求等法律因素。
（三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
（四）技术进步、工艺改进等科学技术因素。
（五）自然灾害、环境状况等自然环境因素。
（六）其他有关外部风险因素。
第十八条 公司依据企业内部控制规范体系及公司内部控制评价管理办法，组织开展内部控制评价工作，防范和化解公司内部控制风险。公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用本公司的内部控制缺陷具体认定标准：
1、财务报告内部控制缺陷认定标准
公司确定的财务报告内部控制缺陷评价的定量标准如下：
影响项目 一般缺陷 重要缺陷 重大缺陷
影响金额＜资产总额 资产总额 0.5%≤影响金 影响金额≥资产总额
资产总额
0.5% 额＜资产总额 1% 1%

影响项目 一般缺陷 重要缺陷 重大缺陷
营业收入 1%≤影响金额 影响金额≥营业收入
营业收入 影响金额＜营业收入 1%
＜营业收入 2% 2%
公司确定的财务报告内部控制缺陷评价的定性标准如下：
（1）重大缺陷：一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。
出现下列情形，认定为重大缺陷：
① 公司董事和高级管理人员任何程度的舞弊行为；
② 注册会计师发现当期财务报告存在重大错报，而内部控制在运行过程中未能发现该错报；
③ 审计委员会和内审部对内部控制的监督无效；
④ 严重违反法律法规导致公司被监管机构责令停业整改。
（2）重要缺陷：一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业管理层关注。
出现下列情形的，认定为重要缺陷：
① 沟通后的重要缺陷没有在合理的期间得到纠正；
② 对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制；
③ 未依照公认会计准则选择和应用会计政策；
④ 未建立反舞弊程序和控制措施；
⑤ 对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、完整的目标；
⑥ 重要信息泄露并对公司业务运作带来重大损失。
（3）一般缺陷：不构成重大缺陷或重要缺陷的其他内部控制缺陷。
2、非财务报告内部控制缺陷认定标准
公司确定的非财务报告内部控制缺陷评价定量标准如下：
影响项目 一般缺陷 重要缺陷 重大缺陷
300 万元≤财产损失金
财产损失金额 财产损失金额＜300 万元 财产损失金额≥500 万元
额＜500 万元

公司确定的非财务报告内部控制缺陷评价定性标准如下：
（1）出现以下情形的，认定为非财务报告内部控制重大缺陷：
① 缺乏重大决策程序；
② 决策程序导致重大失误；
③ 高级管理人员或高级技术人员流失严重；
④ 公司重要业务缺乏制度控制或制度体系失效；
⑤ 内部控制评价的结果特别是重大或重要缺陷未得到整改。
（2）出现以下情形的，认定为非财务报告内部控制重要缺陷：
① 违反内部控制制度形成较大损失；
② 重要内部控制制度或系统存在缺陷，导致局部性管理失效；
③ 公司重要业务缺乏制度控制或制度体系存在缺陷。
（3）一般缺陷是指除上述重大缺陷、重要缺陷之外的其他控制缺陷。
第五章 风险评估文档管理
第十九条 风险评估过程中形成的各类文档，包括风险评估计划、风险清单、风险分析报告、风险评估报告、风险应对策略等，应完整、准确、规范，并妥善保存。
第二十条 随着公司业务的发展和外部环境的变化，风险评估文档应及时更新，确保其时效性和有效性。
第六章 附则
第二十一条 本制度未尽事宜或与国家有关法律法规、部门规章、规范性文件或《公司章程》相冲突的，以国家法律法规、部门规章、规范性文件和《公司章程》的规定为准。
第二十二条 本制度自公司董事会审议通过之日起生效，修改时亦同。
第二十三条 本制度由公司董事会负责解释。
贵阳朗玛信息技术股份有限公司
2025 年 10 月