上海剑桥科技股份有限公司
风险管理制度
(H 股发行并上市后适用)
(根据 2025 年 5 月 28 日召开的第五届董事会第十四次会议决议修订)
第一章 总则
第一条 为加强上海剑桥科技股份有限公司(以下简称“公司”)的风险管
理,及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定
风险承受度和风险应对策略,提高风险防范能力,保证公司安全、稳健运行,提
高经营管理水平,保护股东的合法权益,依据《公司法》《企业内部控制基本规
范》等法律、法规、规范性文件以及《公司章程》的要求,结合公司的实际情况,
制定本制度。
第二条 本制度旨在为公司实现以下目标提供合理保证:
(一)将风险控制在与总体目标相适应并可承受的范围内;
(二)提高公司经营的效果与效率;
(三)实现公司内外部信息沟通的真实、可靠,增强公司信息披露的可靠性;
(四)确保公司行为合法合规,以实现公司战略目标;
(五)确保公司建立针对各项重大风险发生后的危机处理计划,使其不因灾
害性风险或人为失误而遭受重大损失。
第三条 公司风险是指未来的不确定性对公司实现其经营目标的影响。
第四条 按照公司目标的不同对风险进行分类,公司风险分为战略风险、运
营风险、财务风险和法律风险。
(一)战略风险:没有制定或制定的战略决策不当,影响战略目标实现的负
面因素;
(二)运营风险:广义标准定义是指由于采用的战略不当,资源不足,或者
经济环境或竞争环境发生变化而不能达成经营目标的风险。包括经营决策不当,
妨碍或影响经营目标实现的因素,以及市场风险、政治风险、操作风险、项目风
险、信用风险、流动性风险、环境风险等;
风险、汇率风险、商品价格风险和股票价格风险;
及当地的政治制度;
事件而导致的直接或间接损失的风险;
可能超支、项目不能达到预定规格,或者项目成果可能会遭到顾客拒绝等风险;
险;
担损失的风险。
(三)财务风险:包括财务报告失真风险、资产安全受到威胁风险和舞弊风
险;
会计核算和编制财务会计报告,没有按规定披露相关信息,导致财务会计报告和
信息披露不完整、不准确、不及时;
的资产如设备、存货、有价证券和其他资产的使用价值和变现能力的降低或消失;
(四)法律风险:没有全面、认真执行国家法律、法规和政策规定以及香港
联合交易所有关文件的规定,影响合规性目标实现的因素。
第五条 按照风险的影响程度,风险分为一般风险和重要风险。
第六条 按风险能否为公司带来盈利机会,风险可分为纯粹风险和机会风
险。
第七条 公司内部控制制度涵盖以下层面:
(一)公司层面;
(二)公司下属部门或下属公司(包括控股子公司、分公司和具有重大影响
的参股公司)层面;
(三)公司各业务单元或业务流程环节层面。
第二章 风险管理及职责分工
第八条 公司董事会负责风险管理制度的建立和实施,确保风险管理制度
健全和有效运行。
第九条 公司各部门及控股子公司为风险管理第一道防线,负责日常业务
中的风险识别、评估与应对;审计委员会及监察审计部(审计委员会为监督主体,
监察审计部为执行部门)为风险管理第二道防线,负责对第一道防线的风险管理
工作进行监督、检查和评价;董事会为风险管理第三道防线,对公司整体风险管
理体系的有效性进行监督,股东会保留对重大风险决策的最终审批权。
第十条 公司各部门在风险、控制管理方面的主要职责:
(一)公司各部门按照风险评估的总体方案,根据业务分工,识别、分析相
关业务流程的风险,确定风险应对方案;
(二)根据识别的风险和确定的风险反应方案,按照公司确定的控制设计方
法和描述工具,设计并记录相关控制,根据风险管理的要求,修改完善控制设计。
包括:建立控制管理制度,按照规定的方法和工具描述业务流程,编制风险控制
文档和程序文件等;
(三)组织控制制度的实施,监督控制制度的实施情况,发现、收集、分析
控制缺陷,提出控制缺陷改进意见并予以实施。对于重大缺陷和实质性漏洞,应
在发现后 24 小时内向部门分管领导汇报,并在 48 小时内形成书面报告提交公司
董事会,以便公司监控内部控制体系的运行情况;
(四)配合监察审计等部门对控制失效造成重大损失或不良影响的事件进行
调查、处理。
第十一条 控股子公司参照总部制定的标准化风险管理模板,补充个性化
条款,设置风险管理和职责分工。
第十二条 监察审计部负责制定明确的风险管理年度工作计划,并提交公
司审计委员会审阅,审核通过按照年度工作计划规范执行。
第十三条 董事长负责定期召集各部门、各控股子公司风险控制负责人召
开风险分析与总结会议,总结前期风险控制发现的问题以及解决方案,分析后期
风险控制可能存在的问题等。
第三章 风险管理初始信息的收集
第十四条 利用跨部门信息共享平台(如 ERP 系统)广泛、持续不断地收集
与公司风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预测。
明确战略委员会负责战略风险信息收集,财务管理中心负责财务风险信息收集等
牵头部门,避免多头管理。
第十五条 在战略风险方面,广泛收集国内外公司战略风险失控导致公司
蒙受损失的案例,并收集与公司相关的宏观经济政策、技术环境、市场需求、竞
争状况等方面的重要信息,重点关注本公司发展战略和规划、投融资计划、年度
经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据。
第十六条 在财务风险方面,广泛收集国内外公司财务风险失控导致危机
的案例,收集与公司获利能力、资产营运能力、偿债能力、发展能力指标的重要
信息,重点关注成本核算、资金结算和现金管理业务中曾发生或易发生错误的业
务流程或环节。
第十七条 在运营风险方面,广泛收集国内外公司忽视市场风险、缺乏应对
措施导致公司蒙受损失的案例,收集与公司产品结构、市场需求、竞争对手、主
要客户和供应商等方面的重要信息,对现有业务流程和信息系统操作运行情况的
进行监管、运行评价及持续改进,分析公司风险管理的现状和能力。
第十八条 在法律风险方面,广泛收集国内外公司忽视法律法规风险、缺乏
应对措施导致公司蒙受损失的案例,收集与公司法律环境、员工道德、重大协议
合同、重大法律纠纷案件等方面的信息。
第十九条 公司对收集的初始信息应进行必要的筛选、提炼、对比、分类、
组合,以便进行风险评估。
第四章 风险评估
第二十条 公司风险评估主要经过确立风险管理理念和风险接受程度、目
标制定、风险识别、风险分析和风险对策等五个基本程序来进行。
第二十一条 确立公司风险管理理念和风险接受程度是公司进行风险评估
的基础。
(一)公司风险管理理念是公司如何认知整个经营过程(从战略制定和实施
到公司日常活动)中的风险为特征的公司共有的信念和态度。公司实行稳健的风
险管理理念,对于高风险投资项目采取谨慎介入的态度;
(二)风险接受程度是指公司在追求目标实现过程中愿意接受的风险程度。
一般来讲,公司可将风险接受程度分为三类:“高”“中”或“低”。公司从定
性角度考虑风险接受程度,整体上讲,公司把风险接受程度确定为“低”类,即
公司在经营管理过程中,采取谨慎的风险管理态度,可以接受较低程度的风险发
生。公司的风险接受程度选择也与公司的风险管理理念保持一致,但各业务单元
可根据自身风险承受能力,在授权范围内设定差异化接受程度。
第二十二条 目标制定是风险识别、风险分析和风险对策的前提。公司必须
首先制定目标,在此之后,才能识别和评估影响目标实现的风险并且采取必要的
行动对这些风险实施控制。
第二十三条 公司目标包括战略目标、经营目标、合规性目标和财务报告目
标四个方面。目标确定必须符合国家的法律法规和行业发展规划,符合公司战略
发展计划,符合公司股票上市地证券监管机构的规定。
第二十四条 风险识别就是识别可能阻碍实现公司目标、阻碍公司创造价
值或侵蚀现有价值的因素。公司可以采取小组讨论、专家咨询、情景分析、政策
分析、行业标杆比较等识别风险。
公司应当准确识别与实现控制目标相关的内部风险和外部风险,以便确定相
应的风险承受度。
(一)公司识别内部风险,应当关注下列因素:
(二)公司识别外部风险,应当关注下列因素:
第二十五条 风险分析主要从风险发生的可能性和对公司目标的影响程度
两个角度,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
风险分析方法一般采用定性和定量方法组合而成。在风险分析不适宜采取定
量分析的情况下,或者用于定量分析所需要的足够可信的数据无法获得,或者获
取成本很高时,公司通常使用定性分析法。公司对风险进行分析,确认哪些风险
应当引起重视、哪些风险予以一般关注,对于需要重视的风险,再进一步划分,
分别确认为“重要风险”与“一般风险”,从而为风险对策奠定基础。
风险重要性的判断主要根据风险发生的可能性和影响程度来确定:
(一)如果风险发生的可能性属于“极小可能发生”的,该风险就可不被关
注;
(二)如果风险发生的可能性高于或等于“可能发生”,且风险的影响程度
小,就将该类风险确定为一般风险;
(三)如果风险发生的可能性等于或高于“可能发生”,且风险的影响程度
大,就将该类风险确定为重要风险。
公司进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格
规范的程序开展工作,以确保风险分析结果的准确性。
第二十六条 风险对策。公司应该根据风险分析的结果,结合风险发生的原
因以及承受度,权衡风险与收益,选择风险应对方案:规避风险、降低风险、转
移风险或保留风险。
(一)规避风险:指公司对超出风险承受度的风险,通过放弃或者停止与该
风险相关的业务活动以避免和减轻损失的对策。如停止向一个新的地理区域市场
扩大业务,或者出售公司的一个分支;
(二)降低风险:指公司在权衡成本效益之后,准备采取适当的控制措施降
低风险或者减轻损失,将风险控制在风险承受度之内的对策;
(三)转移风险:指公司准备借助他人力量,采取业务分包、购买保险等方
式和适当的控制措施,将风险控制在风险承受度之内的对策;
(四)保留风险:指公司对风险承受度之内的风险,在权衡成本效益之后,
不准备采取控制措施降低风险或者减轻损失的策略。包括风险接受、风险吸收和
风险容忍。
公司在确定具体的风险应对方案时,按风险影响>成本效益>风险可能性的
优先级考虑以下因素:
(一)风险应对方案对风险可能性和风险程度的影响,风险应对方案是否与
公司的风险容忍度一致;
(二)对方案的成本与收益比较;
(三)对方案中可能的机遇与相关的风险进行比较;
(四)充分考虑多种风险应对方案的组合;
(五)合理分析、准确掌握董事、高级管理人员、关键岗位员工的风险偏好,
采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失;
(六)结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,
进行风险识别和风险分析,及时调整风险应对策略。
第五章 风险管理解决方案
第二十七条 公司根据风险应对策略,针对各类风险或每一项重大风险制
定风险管理解决方案。方案一般应包括风险解决的具体目标,所需的组织领导,
所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后
所采取的具体应对措施以及风险管理工具。
第二十八条 根据经营战略与风险策略一致、风险控制与运营效率及效果
相平衡的原则,公司制定风险解决的内控方案,针对重大风险所涉及的各管理及
业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,
要把关键环节作为控制点,采取相应的控制措施。
第二十九条 公司制定合理、有效的内控措施,包括以下内容:
(一)建立内控岗位授权制度:对内控所涉及的各岗位明确规定授权的对象、
条件、范围和额度等,任何组织和个人不得超越授权做出风险性决定;
(二)建立内控批准制度:对内控所涉及的重要事项,明确规定批准的程序、
条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任;
(三)建立内控责任制度:按照权利、义务和责任相统一的原则,明确规定
各有关部门和业务单位、岗位、人员应负的责任和奖惩制度;
(四)建立内控审计检查制度:结合内控的有关要求、方法、标准与流程,
明确规定审计检查的对象、内容、方式和负责审计检查的部门等;
(五)建立内控考核评价制度:对公司内部各责任单位和全体员工的绩效进
行定期考核和客观评价,将考评结果作为确定员工薪酬以及晋升、评优等依据;
(六)建立重大风险预警制度和突发事件应急处理机制:明确风险预警标准,
对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程
序,确保突发事件得到及时妥善处理。财务风险预警标准设定为资产负债率>70%、
流动比率<1.2,市场风险预警标准设定为单一客户销售额占比>30%。对常见风险
(如市场风险、财务风险)制定标准化预案模板,明确各层级决策权限和处置时
限;
(七)建立健全公司法律顾问制度:大力加强公司法律风险防范机制建设,
形成由公司决策层主导、公司法务部牵头、公司法律顾问提供业务保障、全体员
工共同参与的法律风险责任体系。完善公司重大法律纠纷案件的备案管理制度;
(八)建立重要岗位权力制衡制度:明确规定不相容职责的分离。主要包括:
授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的
重要岗位可设置一岗双人、双职、双责,相互制约;明确该岗位的上级部门或人
员对其应采取的监督措施和应负的监督责任;将该岗位作为内部审计的重点等。
第三十条 公司应当按照各有关部门和业务单位的职责分工,认真组织实
施风险管理解决方案,确保各项措施落实到位。
第六章 风险管理的监督与改进
第三十一条 公司建立贯穿于整个风险管理基本流程,连接各上下级、各部
门和业务单位的风险管理信息沟通渠道,确保信息沟通的及时、准确、完整,为
风险管理监督与改进奠定基础。
第三十二条 公司各有关部门和业务单位中,低风险部门每半年末前完成
风险管理自查,高风险部门每季度末前完成风险管理自查,提交《风险管理自查
表》,内容包括风险识别清单、控制措施有效性评估、缺陷整改计划等,及时发
现缺陷并改进。
第三十三条 公司监察审计部结合年度审计同步对各有关部门和业务单位
能否按照有关规定开展风险管理工作及其工作效果进行监督评价,监督评价报告
应直接报送董事会或董事会下设的审计委员会。
第七章 附则
第三十四条 建立制度动态修订机制,当外部环境(如法规、行业政策)变
化时,随时启动对本制度及配套细则的修订。非重大调整由审计委员会审批,重
大调整经董事会审议通过后发布。
第三十五条 本制度由董事会负责制定、解释和修改。
第三十六条 本制度自公司董事会通过后,自公司发行的 H 股股票在香港
联合交易所有限公司挂牌上市之日起生效。
首页
微信公众号
证券之星APP
