风险控制与危机管理制度

张家港保税科技股份有限公司

风险控制与危机管理制度

第一章总则

第一条为规范公司、控股子公司风险控制与危机管理工作，及时发现和及时处置重大风险和及时应对危机，确保公司正常有序运行，根据《企业内部控制基本规范》及其他国家有关法律法规和本公司《章程》制定本制度。

第二条本制度所称风险是指公司在未来经营中面临的、可能影响其经营目标实现的所有不确定性。

第三条公司努力实现全面风险管理。全面风险管理是指公司围绕总体目标，制定风险管理策略，在公司经营管理的各个方面和业务过程中的各个环节进行风险管理的基本流程和措施，培育良好的风险管理文化，建立健全风险管理的组织体系、信息系统和内部控制系统的过程和方法。

第四条《张家港保税科技股份有限公司内部控制指引》为本公司全面风险管理的具体实施细则。

第五条公司的危机管理是指当公司面临突发性灾难及与社会大众或顾客有密切关系且后果严重的重大事故，而为了应付危机的出现在企业内预先建立防范和处理这些重大事故的体制和措施。

第六条公司的危机管理要素为：

1、危机监测。指在企业顺利发展时期，应有强烈的危机意识和危机应变的心理准备，建立一套危机管理机制，对危机进行检测。

2、危机预警。指对在危机在爆发之前的危机征兆进行警戒，把一些可以避免的危机消灭在萌芽之中，对于另一些不可避免的危机通过预警系统能够及时得到解决。

3、危机决策。指危机发生后，根据收集的与危机相关的信息，确认危机程度，找出危机产生的原因，辨认危机影响的范围和影响的程度及后果，对各种可行的处理方案进行比较后，选择出最佳解决危机方案的过程。

4、危机处理。指企业能够及时、有效地将危机决策运用到实际中化解危机或遏止危机的扩散使其不影响其他人或事物，避免危机给企业造成进一步的损失。

第七条本公司危机管理中的“危机监测管理”及“危机预警管理”比照《张家港保税科技股份有限公司内部控制指引》中对风险进行全面管理的相关内容执行。

第二章组织机构

第八条公司董事会为公司风险控制及危机处置的决策机构；董事长为公司风险控制及危机处置的第一责任人，公司、控股子公司危机处置预案启动的唯一下令人；公司总经理为公司风险控制及危机日常管理的第一责任人和公司危机公关的第一责任人。

第九条董事会秘书为公司、控股子公司风险控制和危机处置的唯一信息发布人。第十条公司的内部控制审计部（内审部）为公司风险控制及危机管理的日常工作机构。

第十一条风险控制及危机管理工作人员应当由具备相应资格和

业务能力的人员承担，应当具备与内部审计人员相同的任职条件。

第十二条公司每年对风险控制及危机管理人员实施专业及后续教育，保证危机管理人员具有足够的专业胜任能力。

第十三条公司风险控制及危机管理人员应当遵守职业道德规范，保持应有的客观性、独立性和职业谨慎。

第三章全面风险控制与危机管理工作内容第十四条确定全面风险管理目标

1、公司风险管理目标要与公司发展战略目标相关联和保持一贯性。

2、公司经营计划和财务预算与风险管理目标具有一致性。

3、所有重要业务流程与业务活动风险目标要具有相关性。

4、业务活动风险目标要具体。

5、管理层参与制定公司风险目标并对其负责。

第十五条、持续不断地收集与本公司风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。

（一）在财务风险方面，公司至少收集以下信息：

1、负债、或有负债、负债率、偿债能力。

2、现金流、应收账款及其占营业收入的比重、资金周转率。

3、成本和管理费用、财务费用、营业费用。

4、盈利能力。

5、成本核算、资金结算和现金管理业务中曾发生或易发生错误

的业务流程或环节。

（二）在市场风险方面，公司至少收集以下信息：

1、货物的价格及供需变化。

2、货物供应的充足性、稳定性和价格变化。

3、主要客户、主要供应商的信用情况。

4、潜在竞争者、竞争者及其主要产品情况。

（三）在运营风险方面，公司至少收集以下信息：

1、新市场开发，市场营销策略，包括货物供应渠道，市场营销环境状况等。

2、公司组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验。

3、质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节。

4、因公司内、外部人员的道德风险致使公司遭受损失或业务控制系统失灵。

5、给公司造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险。

6、对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力。

7、公司风险管理的现状和能力。

（四）在法律风险方面，公司至少收集以下信息：

1、与公司相关的政治、法律环境。

2、影响公司的新法律法规和政策。

3、员工道德操守的遵从性。

4、公司签订的重大协议和有关贸易合同。

5、公司发生重大法律纠纷案件的情况。

公司对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估。

第十六条、公司将定性与定量方法相结合进行风险的识别并建立有效的风险识别数据库。

定性方法采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。为保证风险识别的规范性和科学性的具体措施有：

1、建立科学的风险识别方法体系。

2、对风险识别方法进行规范化和制度化，确保公司和各职能部门使用统一的识别方法体系对风险识别结果进行描述。

3、利用历史事件，关注未来事件等对风险进行趋势分析和关注。

4、建立损失事件数据库，通过事件列表、事件分类、内部分析、推动讨论和会谈、流程分析等方法进行风险识别，确定风险因素发展趋势和根源。

5、定期评估风险识别方法的科学性和系统性，对不适用的方法进行修正和完善。

第十七条公司采用定性和定量的分析方法，特别是利用数学模

型进行风险分析，使风险管理建立在科学的基础上，并为最终的决策提供可靠的依据。

第十八条公司在风险识别、风险分析的基础上，定期或不定期地实施风险对公司可能产生的影响以及确定风险的重要性水平等进行风险评价。公司风险评价包括两个方面的内容，即分析风险可能产生的影响、确定风险的重要性水平。

第十九条、公司的风险管理策略，采取风险规避、风险降低、风险分担、风险承受等方法，将风险控制在承受度之内。

第二十条做好危机预防工作。持续做好员工危机管理教育，提高全员的危机意识。定期开展危机管理培训，让员工掌握危机管理知识，提高危机处理技能和面对危机的心理素质。

第二十一条建立危机预警系统包括不限于以下方面：

1、危机信息的收集与监测：随时收集公众对公司、控股子公司工作及服务的反馈信息，对可能引起危机的各种因素和表象进行严密的监测。

2、公司、控股子公司相关业务部门应该掌握行业信息及动态，及时向经理层及内审部提供相关信息

3、内审部对监测到的信息进行鉴别、分类和分析，对未来可能发生的危机类型及其危害程度做出预测，并在必要时发出危机警报。

第四章危机管理处置预案与程序

第二十二条公司、控股子公司应该根据公司可能发生的信誉危机、决策危机、经营管理危机、灾难危机、财务危机、法律危机、人

才危机、媒介危机制定相应其实可行的危机管理计划和处置预案。

第二十三条公司、子公司总经理应对危机处置预案的可行性承担应的责任；公司、控股子公司的危机处置预案演炼每年不少于一次。

第二十四条公司、控股子公司的危机处置预案必须在该预案的标题下注明：“本预案经张家港保税科技股份有限公司XXXX 年XX 次董事会批准”。

第二十五条公司危机处理程序

1、发出危机信息的报告人，必须在第一时间向公司风险控制及危机管理第一责任人报告危机的真实情况；紧急情况下可以通过直接报告、电话、短信等可以利用的联系方式进行报告；发出危机报告后，报告人要提交本人签字的相应的书面情况说明或报告。

2、接到危机报告后，风险控制及危机管理第一责任人根据危机情况有决定向政府相关危机处理部门和（或）政府相关部门及时报告的责任和权利。

3、公司风险控制及危机处置第一责任人以书面签字的形式下令启动相应的应急处置预案。

4、危机处置预案所以涉及的部门、控股子公司、人员必须执行预案规定的程序和处理步骤，对执行不力的相关人员风险控制及危机处置第一责任人有权当场撤换，保证危机得到控制和化解。

第五章危机处置评价

第二十六条危机处置过后，内审部必须比照《张家港保税科技股份有限公司内部控制评价制度》对处置结果进行客观真实的评价，

向公司董事会提交相应的评价报告。

第二十七条如果危机给公司造成损失，应由专业机构对损失情况进行评估，由内审部根据权限上报核销。

第六章附则

第二十八条本制度由董事会审计委员会解释，由董事会审议修改报股东大会批准执行。

第二十九条本制度自公司股东大会批准之日起执行。