重庆百货:重庆百货大楼股份有限公司全面风险管理制度

重庆百货大楼股份有限公司

全面风险管理制度

第一章总则

第一条为建立健全重庆百货大楼股份有限公司（以下简称“公司”）风险管理体系，规范、提升风险管理能力，确保重大风险可控在控，制定本制度。

第二条本制度适用于公司总部及公司直接或间接控制的以及

其他纳入公司合并会计报表范围的分（子）公司。

第三条术语及定义

（一）风险：是指未来的不确定性因素对公司实现经营目标的影响。简单概括就是制度缺陷、操作失范等。

（二）风险事件：是对已识别的风险进行阐述，并辅助说明可能会酿成事故和损失的原因和条件。

（三）一般、重要、重大风险事件：本制度所称一般、重要、重大

风险应根据风险评估标准表（附件3）进行判定。

（四）全面风险管理：是指围绕公司总体经营目标，通过管理的

各环节和经营过程中执行风险管理的工作流程，培育良好的风险管理文化，建立健全全面风险管理体系，为实现风险管理总体目标提供合理保证的过程和方法。

第四条风险管理应遵循以下原则：

（一）战略导向原则--为公司战略发展服务，为战略目标的实现提供支持。

（二）全面系统原则--覆盖公司经营管理全部活动，贯穿决策、执行和监督全过程。

（三）相互制衡原则--应当在公司治理结构、机构设置、权责分

配、业务流程方面形成相互制约、相互监督的机制，同时兼顾经营效益。

1（四）重点防控原则--对重要性高、紧迫性强的风险进行重点管理，强化事情预防。

第二章组织与职责

第五条董事会是公司全面风险管理工作的最高决策机构，公司总经理对全面风险管理工作的有效性向董事会负责。公司在董事会下建立风险管理三道防线：第一道防线是公司下属各经营单位业务

部门及职能部门；第二道防线是公司履行投融资管理、运营、风险

管理、内部控制、合规管理、法律事务、财务管理、人力资源、信

息系统、安全管理、招投标、信息披露、公共事务等职能的部门；第

三道防线是公司履行审计、监事等监督职能的部门。

第六条董事会主要履行以下职责：

（一）审批公司风险管理基本制度、组织机构设置及其职责方案。

（二）审批公司风险管理建设发展规划与实施方案。

（三）审批经营层提交的重大风险管理策略和解决方案。

（四）审批全面风险管理其他重大事项。

第七条董事会下设审计委员会，主要履行以下职责：

（一）负责研究公司全面风险管理体系建设规划、计划和重大风

险管理策略、化解方案，向董事会提出决策建议。

（二）负责监督、评估公司内部控制体系运行情况，针对重大内

部控制缺陷，向董事会提出管理建议。

（三）负责组织、监督及评估公司内、外部审计工作，就聘任或更换外部审计机构提出建议意见。

（四）负责指导、监督及评价公司法治建设工作，研究法治建设

重大事项，向董事会提出建议意见。

（五）审批公司风险管理总体目标、风险偏好、风险承受度、重大风险的判断标准或判断机制。

2（六）审议公司风险管理相关的年度工作报告。

（七）审议公司经营层提交的重大风险管理策略和解决方案，并督促实施。

（八）督导公司风险管理文化的培育。

（九）负责董事会授权或交办的其他事项。

第八条公司审计法务部（纪检）主要履行以下职责：

（一）组织建立公司全面风险管理体系，指导开展风险管理体系建设。

（二）起草公司全面风险管理基础制度。

（三）组织、协助公司各职能部门和经营单位开展其职责范围内

的风险管理工作，并对上述信息进行汇总分析，撰写风险管理年度工作报告。

（四）组织研究公司中、高风险管理策略和解决方案。

（五）组织风险管理有关的培训活动。

（六）根据董事会安排，实施公司日常、年度内控自评及各项专项审计工作。

（七）办理全面风险管理其他有关工作。

第九条第一道防线主要履行以下职责：

（一）设立风险管理专职或兼职岗位，负责风险管理日常的组织、协调和沟通工作，逐步建立自身风险管理体系，开展风险管理工作。

（二）搜集、整理、分析行业、政策等外部信息，以及经营、财

务等内部信息，研究风险预警指标并做好监控，判别经营活动中的异动事项，识别各项经营活动及其业务流程中的潜在风险，分析风险类别、产生原因、风险发生后可能带来的影响等。

（三）控制、预防风险，提出风险管理策略和解决方案，并及时采取措施应对风险。

（四）及时汇报与反馈重大风险事件信息，定期向审计法务部（纪检）和其他相关部门报告风险管理有关信息。

（五）执行风险管理相关的其他事项。

3第十条第二道防线主要履行以下职责：

（一）设立风险管理专职或兼职岗位，负责风险管理日常的组织、协调和沟通工作，开展风险管理工作。

（二）研究提出本部门领域风险的识别和判断标准，对涉及本部

门领域管辖的具体风险管理工作进行指导，定期完成本部门领域的风险识别、评估工作。

（三）负责控制、预防本部门领域风险，制订风险管理策略和解决方案，并实施应对方案。

（四）负责对本部门领域风险的日常监控和预警，对风险进行监控，及时汇报与反馈重大风险事件信息，定期向公司审计法务部（纪检）报告风险管理有关信息。

（五）办理风险管理其他相关工作。

第十一条第三道防线主要履行以下职责：

（一）制订风险管理监督评价标准及内容。

（二）组织开展风险管理监督与评价工作。

（三）编制风险管理监督评价报告。

（四）通过履行自身监督职能，做好事前、事中、事后的风险防控。

第三章工作内容与流程

第一节风险识别

第十二条风险识别是指广泛利用各种方式和途径搜集、整理与

公司相关的内、外部初始风险信息，采集信息包括但不限于风险分类（附件1）中列举的风险类别，并依据风险识别方法（附件2）收集、分析影响目标实现的相关风险信息，分析识别风险的来源、成因及影响等，形成风险清单。

第十三条第一道防线应重点收集以下风险管理信息：本单位领

域战略风险、财务风险、市场风险、运营风险、法律风险等。

第十四条第二道防线负责根据业务管理范围，重点收集相关风

4险管理信息，其中：

（一）公共事务部（战略投资）应重点收集以下风险管理信息

1.公司治理、信息传递、档案管理、公共关系与沟通、业务

伙

伴、舆情维稳、安全保密等相关的风险因素。

2.公司战略规划的编制、分解、调整以及执行情况跟踪、投资

管理、公司相关外部宏观环境变化等相关的风险因素。

（二）运营与创新孵化中心应重点收集以下风险管理信息：活动

策划、客户服务、资源整合与协调、政策研究与申报、市场研究等相关的风险因素。

（三）财务管理部门应重点收集以下风险管理信息：现金流情况、公司财务指标及各经营单位财务报告、税收风险等相关的风险因素。

（四）人力资源部门应重点收集以下风险管理信息：人员结构与

岗位职责要求能力匹配，人才流失、委派人员管控、薪酬管理等相关风险因素。

（五）资产运营部应重点收集以下风险管理信息：资产使用、闲置、损失及对外出租等相关的风险因素。

（六）安全物管保卫部应重点收集以下风险管理信息：涉及公司物

业、消防、电力安全方面等相关的风险因素。

（七）审计法务部（纪检）应根据自身内控管理、合规管理、法务

等相关职能条线等管理范围，重点收集以下风险管理信息：制度建设、法律审查、法律纠纷案件、合同管理等相关风险因素。

第十五条审计法务部（纪检）应建立风险清单及风险信息库。

第一、二道防线应及时将收集的重要风险管理信息和识别出来的风

险事件报送审计法务部（纪检），以便优化更新风险清单，审计法务部（纪检）结合日常专项审计、内控自评结果完善风险信息库，为风险评估奠定基础。

第二节风险评估

5第十六条第一、二道防线根据风险评估标准表（附件3），结合实

际业务发生情况填写风险预警指标结果，公司审计法务部（纪检）汇总评估公司面临的风险，对各类风险进行分级定性，并对公司及各经营单位总体风险进行评估。审计法务部（纪检）应根据公司实际经营情况，组织各部门动态调整风险评估标准表（附件3）。

第十七条风险综合评估

（一）定期风险综合评估：第一、二道防线应围绕每年确定的公

司经营发展目标，结合公司年度或半年度工作总结、年度投资计划完成情况报告等工作，每半年开展定期评估。定期评估对象主要包括：

1.对职责范围内的风险问题进行自我评估，并分析、判断现有内

部控制措施的有效性。

2.重点关注内外审计监督在日常检查、专项检查中揭示的风险和控制不足。

3.风险管理职能履行、流程运转有效性。

4.风险管理策略和解决方案实施效果、主责风险、重大风险管控情况等。

（二）风险不定期综合评估：由第一、二道防线在日常工作过程中，结合收集的风险管理信息、识别的风险及自身业务状况开展，涉及跨职能部门的风险评估事项由审计法务部（纪检）牵头。风险不定期综合评估对象主要包括：

1.内外部政策、战略、市场、经营、财务等环境发生的重大变化。

2.在日常运营管理中对已经发生、发现或预测出的对公司经营目

标实现产生重大影响的潜在风险事项。

3.根据董事会、经营层、审计委员会的要求或实际工作需要开展。

第十八条风险专项评估主要是针对具体的风险项目和重大经营风险事件进行的评估。

第三节风险应对

6第十九条第一、二道防线应根据风险管理策略（附件4），针对各

类风险或每一项重大风险制订风险管理解决方案，经本单位、本部门负责人审批后报送审计法务部（纪检）。方案一般应包括：

（一）风险解决的具体目标，所需的组织领导，所涉及的管理及

业务流程，所需的条件、手段等资源。

（二）风险事件发生前、中、后所采取的具体内控措施以及风

险管理工具，包括风险预警指标、风险响应机制、风险预案等。

（三）对重要、重大风险应给予重点关注与特别说明。

（四）风险管理的具体应对措施应满足内控合规的要求。

第二十条审计法务部（纪检）收集、汇总第一、二道防线报送

的风险管理策略和解决方案，并结合自身监督工作结果组织开展研究工作。

第二十一条一般风险事项的管理策略和解决方案应经相关部

门或经营单位分管领导审批后实施，若分管领导认为有必要的，应提请公司经理办公会审批。公司重要、重大风险事项的管理策略和解决方案应由相关部门自行提请公司经理办公会审批后实施。经公司经理办公会审议，认为有必要提交董事会审批的重大风险管理策略和解决方案，应提交董事会审批。

第四节风险报告

第二十二条风险报告是指对风险识别、风险评估、风险应对及

处置结果进行汇报，应从实际出发，紧密围绕当前经济形势和公司发展的实际需要，坚持全面性和重要性原则，客观真实地反映当前经营活动中可能存在的问题和应对措施。

第二十三条第一、二道防线应定期向审计法务部（纪检）报送

以下内容：

（一）每半年开始的10个工作日内报送风险评估标准表（附件

3）。

（二）每半年开始的10个工作日内报送风险台账（附件5）。如

7遇重要、重大风险事项需当天内报送。审计法务部（纪检）应1小时

内及时报告总经理及分管领导。

（三）每年开始的10个工作日内报送风险评估报告（附件6）。

（四）每年1月30日前，审计法务部（纪检）应汇总上述台账及报告，形成风险管理年度工作报告。

第二十四条审计法务部（纪检）形成的风险年度工作报告应及

时与公司总经理、董事长授权的领导充分沟通取得反馈意见、公司审计

委员会审议后，呈董事长审批。

第五节风险监控与改进

第二十五条风险监控流程是贯穿风险管理的重要工作，是指以重

大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决

方案的实施情况进行监督，确保风险应对措施得到有效执行而采取的持续监控过程。

第二十六条审计法务部（纪检）应组织第一、二道防线建立重大

风险预警指标体系。第一、二道防线应在各自管理范围内，跟踪和分析

风险监控指标，并与审计法务部（纪检）实现数据共享。

第二十七条第一、二道防线应对监督检查所指出的问题与不足，

提出整改方案，提交审计法务部（纪检）并予以改进。整改方案包括但不限于风险管理情况说明与风险管理改进措施。

第二十八条公司经营层和三道防线应强化风险管理的结果应用，在日常决策和监督检查的过程中，重点关注公司中、高风险事项。

第四章风险管理信息系统

第二十九条审计法务部（纪检）应综合风险管理需要，提出相

关信息系统的建设需求，实现风险管控相关工作的线上运行，达到公司的风险工作流程规范、数据标准统一，为风险管理与业务工作有效融合打下基础，并通过对接各业务管理系统，实现智能化分析和

8处理，对重大重要风险的实时预警，持续优化管理环境，提升管理体

系成熟度，逐步实现公司风险智能化管控的目标。

第五章风险管理文化建设

第三十条经营层负责督导风险管理文化的培育，审计法务部（纪检）应负责风险管理文化的日常宣贯及相关答疑事项。公司上下要牢固树立全员风险意识，强化以风险管理为导向的经营发展理念，将风险管理贯穿于经营管理的全过程，内化为自觉行动。

第三十一条各部门及各经营单位应加强对风险管理理念、知识、重要管理及业务流程、风险控制点、管控核心等内容的培训，培养风险管理人才，培育风险管理文化。审计法务部（纪检）应将风险管理相关培训纳入年度培训计划。

第六章保障与监督

第三十二条各部门在编制各项业务管理制度时应包含风险管

理的内容，将经营合规风险点、关键控制点等融入业务运营、操作流程、信息系统当中，并有效执行制度和基本工作流程。

第三十三条监督部门负责全面风险管理体系建设及执行情况的监督检查。

（一）在日常监督中将全面风险管理体系建设及执行情况作为检

查的重要内容，必要时开展专项检查，并对内控制度体系建设及执行情况进行监督评价。

（二）对检查揭示的问题跟踪督促整改。

（三）根据检查结果提出全面风险管理体系完善建议。

第三十四条公司各部门及各经营单位未按照本制度规定履职

或未正确履职，且造成不良后果的，由公司追责问责部门追究相应责任。

第七章附则

9第三十五条本制度自发布之日起施行。

第三十六条本制度由董事会负责解释。

附件1风险分类

风险信息的搜集总体围绕以下包含但不限于五类风险开展，结合具体业务，广泛搜集与之相关风险的信息，并进行梳理以便及时组织分析评估。

一、战略风险：主要参考以下因素：

（一）国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策。

（二）行业科技进步、技术创新的有关内容。

（三）市场对商品或服务的需求。

（四）与战略合作伙伴的关系，未来寻求战略合作伙伴的可能性。

（五）主要客户、供应商及竞争对手的有关情况。

（六）与主要竞争对手相比，公司实力与差距。

（七）公司发展战略和规划、投融资计划、年度经营目标、经营战略，以

及编制这些战略、规划、计划、目标的有关依据。

（八）公司对外投融资流程中曾发生或易发生错误的业务流程或环节。

二、业绩风险：指在筹措资金、长短期投资、分配利润等各项财务活动中

由于各种难以预料和无法控制的因素，使企业在一定时期、一定范围内所获取的最终财务成果与预期的经营目标发生偏差，从而形成的使企业蒙受经济损失或减少收益的可能性。主要参考以下因素：

（一）负债、或有负债、负债率、偿债能力。

（二）现金流、应收账款及其占收入的比重、资金周转率。

（三）存货及其占销售成本的比重、应付账款及其占购货额的比重。

（四）资产减值迹象及减值计提的充分性合理性。

（五）收入、成本、管理费用、财务费用、销售费用真实性。

（六）成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节。

（七）预算未达成情况原因分析、盈利能力。

10（八）与行业相关会计政策、会计估算、与国际会计制度的差异与调节（如退休金、递延税项等）等信息。

三、市场风险：主要参考以下因素：

（一）商品或服务的价格及供需变化。

（二）主要客户、供应商的信用情况。

（三）税收政策、利率、股票价格指数的变化。

（四）潜在竞争者、竞争者及其主要商品、替代品情况。

四、运营风险：企业在生产经营管理过程中，由于经营管理行为等引起的

经济不确定性，从而影响企业价值的可能性。主要参考以下因素：

（一）新市场开发、市场营销策略，包括商品或服务定价与销售渠道，市场营销环境状况等。

（二）投资项目管理与最初目的发生偏离，或投资项目无法及时退出、无

法及时止损，最终影响投资目标的达成，影响战略的实现。

（三）对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力。

（四）公司风险管理的现状和能力。

（五）公司组织效能、管理现状、企业文化，高、中层管理人员和重要业

务流程中专业人员的知识结构、专业经验，人才梯队建设，薪酬结构与激励效果。

（六）安全、环保、信息安全、质量等管理中易发生失误的业务流程或环节。

五、法律风险：指因不合规行为，引发法律责任、受到相关处罚、造成经济

或声誉损失以及其他负面影响的可能性。主要参考以下因素：

（一）国内外与公司相关的政治、法律环境。

（二）影响公司的新法律法规和政策。

（三）员工道德操守的遵从性。

（四）公司签订的重大协议和合同。

（五）公司发生重大法律纠纷案件的情况。

（六）公司和竞争对手的知识产权情况。

11附件2

风险识别方法

常见的风险识别方法包括但不限于：

（一）财务报表分析法。通过分析资产负债表、营业报表，以及财务记录，识别公司或项目当前的所有财产、责任和人身损失风险。将这些报表和财务预测、经费预算联系起来发现未来的风险。

（二）流程图分析法。通过建立项目的总流程图与各分流程图来展示项目

实施的全部活动。统一描述项目工作步骤，显示出项目的重点环节，将实际的流程与想象中的状况进行比较，以便检查工作的进展情况。

（三）资料查阅法。获取公司相关制度、会议资料、管理报告、外部行业

研究、业务台账、法律纠纷案件等文档，查阅、汇总风险管理现状信息。通常资料查阅法是风险信息收集中必不可少的方法之一。

（四）问卷调查法。依据公司相关风险管理目标，确定相应的风险因素，按照类别形成表格，向相关人员发放，获得相关风险的重要信息。

（五）面谈采访法。预先制订访谈提纲，对利益相关者进行访谈并记录相关要点，了解潜在风险，确认风险事件。

（六）历史事件分析法。分析曾经发生的对公司治理目标造成一定影响的

历史事件（例如法律纠纷诉讼案件），进一步剖析导致事件发生的相关风险。

12附件3

风险评估标准表

评估风险对公司影响程度时，按照风险对目标影响程度高低的评估标准，划分为重大风险、重要风险和一般风险3个等级。

级别整体影响程指标1指标2指标3指标4指标5度经营目标实违法违规声誉损失财产损失健康安全现威胁

*董事、监事和高

1.重大风险1.利润总额负面消息在直接财产损一次性死

级管理人员舞弊，潜在错报≥全国各地流失金额1000亡1人以给公司造成重要

利润总额的传，对公司万元及以上损失和不利影响。

5%；*未被公司内部声誉造成重上。

2.资产总额控制识别或需要大损害，被

潜在错报≥更正已经公告的全国性媒体财务报告。

资产总额的持续报道，*外部审计发现

1%；被中央政府

当期财务报告存

3.经营收入在重大错报公司部门关注，

潜在错报≥在运行过程中未影响到企业经营收入总能发现该错报。发展环境*重要业务缺乏

额的1%；

内部控制或控制

4.所有者权系统失效。

益潜在错报*公司审计委员

≥所有者权会和内部审计对益总额的内部控制的监督无效。

1%。

*违犯国家法律、法规或规范性文件。

*重大决策程序不科学。

*制度缺失可能导致系统性失效。

*管理层人员及关键岗位人员流失严重，严重影响

13公司生产经营。

*重大风险不能得到及时整改。

1.利润总额*未按公认会计

2.重要风险负面消息在直接财产损无死亡，

的3%≤错报准则选择和应用重庆市流失金额500一次性重

<利润总额会计政策。

传，被地方万元-1000伤1人的5%；*未建立反舞弊

2.资产总额程序和控制措施。政府部门关万元。以上

的0.5%≤错*对于非常规或注，一定程报<资产总特殊交易的账务度的形象损

额的1%；处理未建立相应失，威胁到

3.经营收入的控制机制或未

企业发展环

总额的0.5%实施且没有相应

≤错报<经的补偿性控制。境营收入总额*对于期末财务

的1%；报告过程的控制

4.所有者权存在一项或多项

益总额的缺陷且不能合理

0.5%≤错报保证编制的财务

<所有者权报表达到真实、准益总额的确的目标。

1%。

3.一般风险1.错报<利不构成重大或重媒体关注，直接财产损无重伤以

润总额的要风险的其他风负面消息在失金额<500上，一次

3%；险。局部流传，万元。性多人轻

2.错报<资但危害还未伤

产总额的发生

0.5%；

3.错报<经

营收入总额

的0.5%；

4.错报<所

有者权益总额的0.5%。

注：本附件应根据实际情况动态调整。本附件所称“以上”均含本数，“以下”均不含本数。

14附件4

风险管理策略

风险管理策略主要包括风险预防、风险降低、风险分担和风险承受：

风险序说明可采取的具体措施管理号策略

1风险风险规避是公司对超出风险承受度的风险，通过放弃或者停停止业务活动

止与该风险相关的业务活动以避免和减轻损失的策略。这是退出市场预防

控制风险的一种最彻底、最有力的措施，它与其他的控制风撤资

险方法不同，是在风险事故发生之前，将所有风险因素完全改变或重新确立目标消除，从而彻底排除某一特定风险事故发生的可能性，同时也是一种消极的风险应对措施，因为选择这一策略也就放弃加强监督检查、重新设计业务了可能从风险中获得的收益。流程及系统缩小规模

2风险改变组织体系

风险降低是公司在权衡成本效益之后，准备采取适当的控制修订发展战略方针降低

措施降低风险或者减轻损失，将风险控制在风险承受度之内改善经营措施的策略。这是风险管理中最积极主动也是最常见的一种处理进行实时监控方法。

3风险购买保险

风险分担是公司准备借助他人力量，采取业务分包、购买保分担业务共享

险等方式和适当的控制措施，将风险控制在风险承受度之内业务外包的策略。其主要措施包括业务分包、保险、出售、开脱责任合同以及合同中的转移责任条款5种。业务多样化/业务扩展套期保值

4风险完全接受该风险

制定亏损目标和容忍标准承受

风险承受是公司对风险承受度之内的风险，在权衡成本效益建立并监控关键性风险指标之后，不准备采取控制措施降低风险或者减轻损失的策略。

制订完善的应急措施制订恢复计划

15调查并采取后续行动

注：本附件应根据实际情况动态调整。

附件5

重庆百货大楼股份有限公司风险台账(模版)风险管理风险识别与评估风险应对备注责任体系序风风管控措分

号存在问题下一步部门存量/险险评估结果管控施管联系及改进措负责新增名描（高中低）措施执行情领人原因分析施人风险称述况导

1**风**风*级风险1…..1.哪项1.已执行1.针对

险概险事2…..措施已的措施存已执行

述件详执行，具在的问题的措施情，体执行及原因（若如何改可能情况/执有）；进完善或已行进展2.未执行（若造成（结合措施存在需）；

的损实际开问题及原2.针对失及展工因。未执行影作）；的措施响。2.哪项如何改措施未善/或者执行。预计何时开始执行。

注：本附件应根据实际情况动态调整。

负责人（分管领导）签字：

单位盖章：

16附件6

风险评估报告

一、风险评估的目标和范围。

二、风险评估计划：包括风险评估工作的组织安排、时间、风险评估的标准、方

法与程序，以及相关的文件模版等三、风险评估结果。

四、本期风险评级为“重要”和“重大”的原因分析。

五、风险应对经验总结与分析：针对前期评估风险水平为“重大”，而本期评估

结果降低到“重要”或以下风险的风险管控经验分析与共享。

六、新识别的风险。

七、管理改进措施计划。

注：本附件应根据实际情况动态调整。