大龙地产: 风险管理制度（2024年12月修订）内容摘要

（原标题：风险管理制度（2024年12月修订））

风险管理制度 （2024年 12月修订）

第一章 总则 第一条 为规范北京市大龙伟业房地产开发股份有限公司（以下简称“公司”）的风险管理，建立规范、有效的风险控制体系，提高风险防范与管理水平，保障公司稳定经营和持续发展，结合公司实际，制定本制度。 第二条 本制度适用于公司（含分公司）、所属全资子公司、控股子公司（以下简称“所属单位”）。 第三条 本制度中所称风险是指未来的不确定性对公司实现其经营目标的影响。风险管理，是指围绕公司战略目标，通过在管理的各个环节和经营过程中执行风险管理基本流程，培育良好的风险管理文化，建立健全风险管理体系，为实现风险管理的总体目标提供保证的过程和方法。 第四条 风险管理的目标是确保公司经营管理活动稳健进行，规避和减少风险可能造成的损失，保证战略目标的实现。 第五条 风险管理遵循以下原则： (一) 战略导向原则：以公司发展战略为导向，从战略目标出发，为实现战略目标服务； (二) 重要性原则：风险管理工作的重点是评估并管理对公司发展有重大影响的风险； (三) 实际需求原则：反映公司目前的风险状况，满足业务发展和风险管理的需要； (四) 防范控制原则：把风险管理向业务工作的前端推进，加强风险的事前防范和统筹管理。

第六条 按照风险的影响程度，风险可分为： (一) 特别重大风险：公司全面爆发风险，涉及范围广泛，无法继续经营，导致公司财产、人员及投资者利益遭受重大损失，造成区域性甚至全国性的重大影响。 (二) 重大风险：公司爆发大规模风险，涉及范围广泛，无法正常经营或受到重大影响，导致公司财产、人员及投资者利益遭受损失，造成区域性甚至全国性的重大影响。 (三) 较大风险：公司发生重大突发风险，正常经营受到影响，导致公司财产、人员及投资者利益遭受损失，有可能导致或转化为严重影响证券市场稳定的重大突发事件。 (四) 一般风险：公司发生突发风险，正常经营受到一定影响，可能导致公司财产、人员及投资者利益遭受损失。

第七条 风险管理的主要内容如下： (一) 公司建立内部控制体系。 (二) 建立事前控制的风险分析、风险评估模式。 (三) 内部控制要素涵盖：内控环境、风险评估、控制活动、信息与沟通、内部监督。 1. 内部环境：指影响公司内部控制制度制定、运行及效果的各种综合因素，包括公司组织结构、企业文化、风险理念、经营风格、人事管理政策等。 2. 目标设定：公司管理层根据风险偏好设定公司战略目标，并在公司内层层分解和落实。 3. 事项识别：公司管理层对影响公司目标实现的内外部事件进行识别，分清风险和机会。 4. 风险评估：公司管理层对影响其目标实现的内、外部各种风险进行分析，考虑其可能性和影响程度，以便公司制定必要的对策。 5. 风险对策：公司管理层按照公司的风险偏好和风险承受能力，采取规避、降低、分担或接受的风险应对方式，制定相应的风险控制措施。 6. 控制活动：公司管理层为确保风险对策有效执行和落实所采取的措施和程序，主要包括批准、授权、验证、协调、复核、定期盘点、记录核对、财产的保护、职责的分离、绩效考核等内容。 7. 信息与沟通：指识别、采集来自于公司内部和外部的相关信息，并及时向相关人员有效传递。 8. 检查监督：指对公司内部控制的效果进行监督、评价的过程，通过持续性监督活动、专项监督评价或者两者的结合进行。 (四) 建立主要风险管理控制措施： 1. 建立科学的公司治理结构，保证股东会、董事会、监事会的合法运作和科学决策。 2. 公司明确界定各部门和各岗位的目标、职责和权限，建立相应的授权、检查和逐级问责制度，确保其在授权范围内履行职能。 3. 公司建立相关部门之间、岗位之间的制衡和监督机制，并设立专门负责监督检查的内部审计部门，定期检查公司内部控制缺陷，评估其执行的效果和效率，并及时提出改进建议。 4. 公司制定内部信息和外部信息的管理政策，确保信息能够准确传递，确保董事会、监事会、高级管理人员及内部审计部门及时了解公司及所属单位的经营和风险状况，确保各类风险隐患和内部控制缺陷得到妥善处理。 5. 公司的内部控制活动涵盖公司所有营运环节，包括：生产（包括项目立项、项目设计、工程建设、工程成本）、销售与收款（包括：销售管理、销售收款与收入核算）、采购及付款（包括：招标采购与付款、非招标采购与付款、合约规划、采购后评估）、资产管理（包括：存货入库、保管、发出、入库及出库成本核算等存货管理，固定资产、投资性房地产增加、折旧、保险、维修及更新改造、清查、处置，无形资产的取得、摊销、清查、处置）、财务管理（包括筹资、资金、费用报销、往来、纳税、发票、会计核算、资产减值、权益管理、会行档案、财务报告、财务系统运行与维护）、全面预算管理、法务管理、行政管理、信息传递与披露、信息化管理、内部监督（包括：经营业绩考核、内部审计、反舞弊、内部举报投诉）、人力资源管理等。

第二章 组织机构与职责分工 第八条 公司风险管理工作实行分级管理，公司的风险管理组织体系包括：董事会、审计委员会、总经理、战略运营部门、审计部门、其他各职能部门及所属单位。所属单位应参照公司的风险管理组织体系进行管理。 公司各部门为风险管理第一道防线；公司战略运营部为第二道防线；公司内控及风险管理工作领导小组为风险管理第三道防线。 第九条 董事会是公司风险管理工作的领导机构，对风险管理的有效性负责。其主要职责包括： (一) 批准风险管理策略及对重大风险、重大活动、重要事项的评价标准； (二) 对包括年度风险管理工作的总结评价和改进计划、年度风险评估结果、重大风险应对方案等进行审批； (三) 审阅重大风险应对方案执行情况及公司风险的变化情况，批准公司重大风险应对调整方案及其他重大事项； (四) 批准风险管理组织机构设置及其职责方案； (五) 批准绩效考核方案和绩效考核评定结果； (六) 批准重要管理制度，其中包括风险管理制度、内部控制管理手册、内部控制评价手册等； (七) 公司内部机构、组织架构的设置与调整的审批； (八) 公司内部控制体系建设、运行监督、内部评价的审批。 第十条 审计与风险委员会根据董事会授权，审议风险管理重大事项，行使相应的决策职能。其主要职责包括： (一) 审议审计部门提交的年度风险评估结果、风险管理策略调整方案，以及各职能部门制定的重大风险应对方案，包括突发风险事件应急预案，提出修改或调整建议； (二) 审议战略运营部门根据风险变化情况，提出的风险应对策略的调整或改进方案，并提交董事会审阅； (三) 审议重大风险应对方案执行情况，审议重大风险应对调整方案； (四) 审议投资风险评估意见，提交董事会作为决策参考； (五) 审议绩效考核方案及年度绩效考核评定结果； (六) 审议风险管理组织机构设置及其职责方案，提交董事会审批； (七) 公司内部控制体系建设、运行监督、内部评价的审议； (八) 审议风险管理信息系统建设方案。 第十一条 总经理对风险管理工作的有效性负责，根据职责向董事会报告风险管理工作，具有风险管理事项的决策权，可将部分职权授予分管领导负责。其主要职责包括： (一) 批准审计部门提交的年度风险管理工作计划并监督其执行； (二) 审核风险管理组织机构设置及其职责方案； (三) 公司内部控制体系建设、运行监督、内部评价的审核； (四) 审核重大风险应对方案的制定、执行和调整情况，以及年度重大风险管控自我评估报告，并提交审计与风险委员会审议； (五) 审核风险管理相关制度和重大风险管理办法并提交审计与风险委员会审议； (六) 审核绩效考核方案及年度绩效考核评定结果，并提交审计与风险委员会审议； (七) 审核风险应急预案。 第十二条 公司的内部机构设置及运行评价、内部控制体系建设由战略运营部门负责，并组织实施。主要职责包括： (一) 根据公司行业特点和经营规模等，按照公司经营管理的需要设计公司职能部门。部门设置原则要精干高效： 1. 部门之间既要协调又要保持必要的监督；2. 部门之间保持必要的连接点，但职能不能重叠。 内部机构设置草案由分管领导审核并补充完善后形成内部机构设置初步方案，经总经理审核、董事会审批后下发后实施。 (二) 提出内部机构调整草案：战略运营部门根据每年的组织架构运行评价结果或者根据公司管理层的指示提出内部机构设置调整草案。 (三) 组织委托中介机构进行内控体系建设：中介机构根据公司运营面临的重要风险（包括现有的和潜在的风险）识别关键控制点、建立关键控制文档、程序文件、修订或新建制度、设计控制权限和控制实施证据，形成内部控制管理手册，由战略运营部门负责人报分管领导后、经董事会秘书、总经理审核、董事会审议通过后发布实施。 (四) 战略运营部门作为实施内部控制体系的主导部门，可以委托中介机构进行督导服务，也可以组织各部门负责人自行推行、每月进行实施情况检查。 第十三条 日常风险管理部门为公司审计部门，其主要职责除对公司组织架构的运行评价并出具《组织架构运行自我评价报告》、公司内控体系运行监督并出具《内控检查报告》及整改意见、公司内控体系评价并出具《内部控制自我评价报告》外还包括： (一) 为公司各职能部门管理重大风险提供专业支持，组织协调跨部门的风险管理事宜，对公司重大风险管理决策提出专业意见。 (二) 汇总分析所属单位报送的风险信息，整理重大风险监控信息，对重大风险应对方案的执行情况和效果进行监督检查，并对以上信息在公司风险数据库中进行修订、调整。 (三) 负责拟定或修订风险管理相关制度并监督落实，指导和协助所属单位制定完善具体风险的管理办法。 (四) 对审计与风险委员会负有报告义务。 第十四条 各职能部门负责执行具体风险管理措施，监督控制制度的实施情况，发现、收集、分析控制缺陷，提出控制缺陷改进意见并予以实施。对于重大缺陷和实质性漏洞，除向部门分管领导汇报情况外，还应向内控及风险管理工作领导小组汇报，以便公司监控内部控制体系的运行情况。各职能部门及所属单位接受公司审计部门内部控制自我评价或内控专项检查的组织、协调、指导及考核。 第十五条 所属单位根据自身实际情况明确风险管理的主管部门，负责与公司审计部门的对口工作，并报公司审计部门备案。

第三章 风险管理日常工作 第十六条 公司各职能部门及所属单位在日常工作中，应持续的收集与本单位风险相关的内外部相关信息，包括历史数据和未来预测数据，并进行整理和记录。 第十七条 公司战略运营部或委托中介机构对各职能部门及所属单位报送的风险信息进行统一的筛选、提炼，建立、更新风险数据库。通过专业分析和判断，对重大风险进行提示，组织相关部门制定具体应对方案，形成、更新关键控制文档。 第十八条 风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险。 第十九条 审计部门每年至少组织开展一次风险评估工作，结合内部控制体系的运行监督。 第二十条 公司各职能部门及所属单位根据自身的专业经验，对评估出的重大风险出具意见，确定管理重点，落实管理责任；对需要协同管理的重大风险，研究制定解决方案。 第二十一条 重要业务活动和重大决策（包括新项目评价、现有项目重大投资变更、投资年度计划制定等）专项风险的评估由主管部门组织开展实施，公司审计部门组织审议可行性研究报告中有关风险的部分，出具风险评估意见。评估意见由审计与风险委员会审议后提交董事会，为决策提供参考。

第四章 风险评估工作 第二十二条 公司风险评估主要经过确立风险管理理念和风险接受程度、目标制定风险识别、风险分析和风险对策等五个基本程序来进行。 第二十三条 确立公司风险管理理念和风险接受程度是公司进行风险评估的基础。 (一) 公司风险管理理念是公司如何认知整个经营过程（从战略制定和实施到公司日常活动）中的风险为特征的公司共有的信念和态度。公司实行稳健的风险管理理念，对于高风险投资项目采取谨慎介入的态度。 (二) 风险接受程度是指公司在追求目标实现过程中愿意接受的风险程度。一般来讲，公司可将风险接受程度分为三类：“高”、“中”或“低”。公司从定性角度考虑风险接受程度，整体上讲，公司把风险接受程度确定为“低”类，即公司在经营管理过程中，采取谨慎的风险管理态度，可以接受较低程度的风险发生。公司的风险接受程度选择也与公司的风险管理理念保持一致。 第二十四条 目标制定是风险识别、风险分析和风险对策的前提。公司必须首先制定目标，在此之后，才能识别和评估影响目标实现的风险并且采取必要的行动对这些风险实施控制。公司目标包括战略目标、经营目标、合规性目标和财务报告目标四个方面。目标确定必须符合国家的法律法规和行业发展规划，符合公司战略发展计划。 第二十五条 风险识别就是识别可能阻碍实现公司目标、阻碍公司创造价值或侵蚀现有价值的因素。公司可以采取问卷调查、小组讨论、专家咨询、情景分析、政策分析、行业标杆比较、访谈法等识别风险。公司应当准确识别与实现控制目标相关的内部风险和外部风险，以便确定相应的风险承受度。 (一) 公司识别内部风险，应当关注下列因素： 1. 董事、监事、总经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。 2. 组织机构、经营方式、资产管理、业务流程等管理因素。 3. 研究开发、技术投入、信息技术运用等自主创新因素。 4. 财务状况、经营成果、现金流量等财务因素。 5. 营运安全、员工健康、环境保护等安全环保因素。 6. 其他有关内部风险因素。 (二) 公司识别外部风险，应当关注下列因素： 1. 经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。 2. 法律法规、监管要求等法律因素。 3. 安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。 4. 技术进步、工艺改进等科学技术因素。 5. 自然灾害、环境状况等自然环境因素。 6. 其他有关外部风险因素。 第二十六条 风险分析主要从风险发生的可能性和对公司目标的影响程度两个角度，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。风险分析方法一般采用定性和定量方法组合而成。在风险分析不适宜采取定量分析的情况下，或者用于定量分析所需要的足够可信的数据无法获得，或者获取成本很高时，公司通常使用定性分析法。公司对风险进行分析，确认哪些风险应当引起重视、哪些风险予以一般关注，对于需要重视的风险，再进一步划分，分别确认为“重要风险”与“一般风险”，从而为风险对策奠定基础。风险的重要程度的判断主要根据风险发生的可能性和影响程度来定： (一) 如果风险发生的可能性属于“极小可能发生”的，该风险就可不被关注； (二) 如果风险发生的可能性高于或等于“可能发生”，且风险的影响程度小，就将该类风险确定为一般风险； (三) 如果风险发生的可能性等于或高于“风险可能发生”，且风险的影响程度大，就将该类风险确定为重要风险。公司进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，以确保风险分析结果的准确。 第二十七条 风险对策。公司应该根据风险分析的结果，结合风险发生的原因以及承受度，权衡风险与收益，选择风险应对方案：风险规避、风险降低、风险分担或风险承受。 (一) 风险规避：指公司对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的对策。 (二) 风险降低：指公司在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的对策。 (三) 风险分担：指公司准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的对策。 (四) 风险承受：指公司对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。 第二十八条 公司在确定具体的风险应对方案时，应考虑以下因素： (一) 风险应对方案对风险可能性和风险程度的影响，风险应对方案是否与公司的风险容忍度一致； (二) 对方案的成本与收益比较； (三) 对方案中可能的机遇与相关的风险进行比较； (四) 充分考虑多种风险应对方案的组合； (五) 合理分析、准确掌握董事、总经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失； (六) 结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信 息，进行风险识别和风险分析，及时调整风险应对策略。 第二十九条 对重要工作进行风险评估，所属单位及总部对项目可研报告、项目经营计划、项目开盘、项目交付等重要工作节点进行风险评估制定防范措施；针对新政及市场变化，不定期进行项目运行风险评估制定应对措施；对年报半年报信息披露进行风险评估；对重大施工方案、产品策划定位、设计单位的选择进行风险评估。

第五章 重大风险监测及预警 第三十条 公司建立重大风险预警制度和突发事件应急处理机制。明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。 第三十一条 建立重大风险预警机制。总部及所属单位对政策和市场变化，项目的进度、质量、安全、成本、公司运营阶段的现金流、筹资情况、回款情况、员工离职率、岗位空缺率、员工敬业度、地区、行业、专业薪酬调研等重要风险进行监控，出现异常及时预警；总部董事会办公室对股价波动情况实时监测预警。 第三十二条 公司成立应急处置工作小组，由董事长任组长，总经理任副组长，总经理办公会成员为组员，负责处理公司重大风险的管理及处置工作。公司对重大风险的处置以“切实可行、积极应对”为原则，实行统一领导、统一组织、分级负责、快速反应、协同应对。 第三十三条 应急处置工作小组对重大风险和突发事件作出应急反应，研究并提出处置方案和建议，按照政府有关部门和证券监管部门的决策，具体组织实施各项应急措施，并结合实际情况进行处置，完善应急手段和措施。 第三十四条 公司各部门负责人应在第一时间了解事件并进行跟踪分析，及时向公司应急处置工作小组报告事件信息，并提供专业分析意见。 第三十五条 重大风险发生后，公司应严格遵照相关规定，及时公平地向所有投资者披露公司的重大突发事件，有针对性的提供公司相关内容及情况，批驳谣言，报告真相。努力在投资者中树立公平、诚信的公司形象，切实保护投资者的合法权益。 第三十六条 重大风险发生后，公司在应急处置工作小组的统一指挥下，按国家政府的有关部门和证券监管部门的组织安排，及时开展处置工作；在处置过程中，公司应对可能产生的连锁事件作出评估，采取相应措施。

第六章 风险管理的监督及内部控制评价 第三十七条 风险管理考核内容主要是内部控制体系运行的有效性；内部控制评价的执行情况；风险事件发生及应对的情况；各部门和员工参与风险管理的积极性和执行到位程度。 (一) 内部控制体系的运行监督情况 内部监督分为日常监督和专项监督： 1. 日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。 2. 专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。 专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。 由审计部门负责人组建内控检查小组（也可以委托中介机构进行对业务流程进行测试），按照审计计划进行检查监督：主要是检查关键控制是否切实执行，是否有遗漏的风险需要防范，是否有应建的控制措施未建等，内控小组检查后提交《内控检查报告》，经审计部门负责人复核后报总经理审批。 审计部门负责人根据内控检查小组（或委托中介机构）提交的内部控制测试报告发布整改通知，并追踪相关部门整改清理。 (二) 内部控制体系的运行效果 公司委托中介机构进行内控体系建设，形成《内部控制管理手册》，审计部门通过日常监督和测试检查，筛选重要业务流程，判断是否发现例外事项，评价是否构成重要和重大缺陷，总结公司内部控制体系的运行是否有效，评价各部门执行内控手册是否到位。 (三) 风险事件发生及应对的情况 公司各职能管理部门和所属单位在日常风险监控中，如发生突发事件、风险事件，按应急预案采取相应的应对措施，并及时向总经理报告。 公司审计部门应对突发风险事件进行判断，考虑可能造成重大影响的风险，以及需要跨部门协作应对的重大事项，做出风险应对方案，总经理召开紧急会议，共同讨论完善风险应对方案，经总经理审批后组织实施，并提交董事会备案。 (四) 风险分析与风险评价情况 风险分析是对识别出来的风险进行定义描述，分析风险发生的可能性高低和发生风险的条件。风险评价是评估风险对实现公司目标的影响程度、风险重要性程度。 参与风险识别的相关人员提供现有经营管理的资料，考虑公司现有业务和新增业务活动面临的风险，报送业务活动变化和风险变动信息。 审计部门指定人员收集相关信息，组织开展业务流程持续性的风险评估，修订更新风险数据库进行风险分析、风险评价。 每半年检查风险数据库是否及时更新，是否及时调整风险应对策略。各部门是否积极配合审计管理部进行风险数据库的维护和更新。 (五) 内部控制的评价结果 审计部门结合日常监督和专项监督对发现的内部控制缺陷及其持续改进情况进行综合分析，年度进行缺陷认定，做出内部控制自我评价，形成《内部控制自我评价报告》。 需要委托外部中介机构进行内控评价的，由审计部门负责人委托已合作的中介机构进行评价，形成《内部控制评价报告》。 《内部控制自我评价报告》（或《内部控制评价报告》）经审计部门负责人审核，公司领导审核，提交审计委员会审阅，董事会审议后对外进行信息披露。

第七章 附则 第三十八条 本制度解释权属董事会，战略运营部和审计管理部配合解释工作。 第三十九条 本制度的制定、修改、废除由董事会批准，自签发之日起生效。