600710 沪市 苏美达

        苏美达股份有限公司

      内部控制与风险管理办法

    （经苏美达股份有限公司第九届董事会第九次会议审议通过）
                  第一章  总  则

    第一条  为加强和规范苏美达股份有限公司（以下简称
“公司”）内部控制与风险管理，统筹推进公司内部控制体系（以下简称“内控体系”）建设和运行监管，提升经营管理水平和风险防范能力，促进公司高质量发展，根据国资委、财政部有关企业内部控制与风险管理等规定和要求，结合公司实际，制定本办法。

    第二条  本办法适用于公司及所有具有实际控制权的
子公司（以下简称子公司）。

    第三条  本办法所称“内部控制”，是指由公司党委、
董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。内部控制的目标是保证公司经营管理合法合规、资产安全、报告及相关信息真实完整，提高经营效率和效果，促进公司实现发展战略。

    第四条  本办法所称“风险管理”，是指公司围绕战略
和经营目标，在管理的各环节和经营的各项活动中执行风险管理的基本流程，评估可能影响公司正常生产经营的潜在事项并管理风险的过程。风险管理的目标是以公司总体风险可控、不发生系统性风险为底线，将风险控制在与公司发展战略及经营现状相适应的范围。

    第五条  公司内控体系包含内部控制、风险管理和合规
管理。


    第六条  公司内控体系建设与运行，应遵循下列基本原
则：

    （一）全面性原则。贯穿决策、执行和监督全过程，覆盖公司的全部业务和经营管理事项。

    （二）重要性原则。在全面管控的基础上，关注重要业务、事项和高风险领域。

    （三）制衡性原则。在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

    （四）适应性原则。内控体系与公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

    （五）成本效益原则。权衡实施成本与预期效益，以适当的成本实现管控目标。

              第二章  组织体系与职责分工

    第七条  公司内控组织体系包括公司党委、董事会、审
计与风险控制委员会、内控及风险合规领导小组、内控及风险合规工作小组，公司相关职能部门以及各下属企业相应建立的本企业内控组织体系等。

    第八条  公司董事会为公司内控体系管理的决策机构，
职责如下：

    （一）审批内控体系建设总体目标；

    （二）审批内控体系基本制度；

    （三）审批内控体系相关报告，对公司内控体系有效性进行评价；


    （四）审批内控体系相关的其他重大事项。

    第九条  公司董事会审计与风险控制委员会在公司内
控体系中主要职责为：

    （一）审议需要董事会决议的内控体系基本制度和相关报告，为董事会决策提供意见；

    （二）指导公司内控体系建设；

    （三）监督、评估、检查内控体系运行质量和效果，并向董事会报告；

    （四）审议内控体系相关的其他重大事项。

    第十条  内控及风险合规领导小组（以下简称领导小组）
由总经理担任组长，财务总监担任副组长，各子公司总经理担任领导小组成员。职责包括：

    （一）审核内控体系建设总体目标；

    （二）组织内控体系建设工作，推动内控体系的良好运行；

    （三）审核公司内部控制、风险管理、合规管理的基本制度；

    （四）审核年度内控体系工作重点；

    （五）审核年度风险评估、内控体系工作等相关报告，按程序提交审计与风险控制委员会及董事会审议，并监督各专项整改方案的落实；

    （六）指导子公司的内控体系建设工作，并监督其执行效果；

    （七）审核与内控体系相关的其他工作。

    第十一条  内控工作小组在领导小组的指导下，具体实
施内部控制管理工作。由资产财务部总经理担任组长，各职能部门负责人及子公司财务负责人担任工作小组成员，工作小组办公室设在资产财务部，具体职责包括：

    （一）拟定内部控制管理制度，组织拟订相关配套指引；
    （二）具体实施公司内部控制建设工作，对各子公司内控建设进行跟踪与指导；

    （三）编制并持续优化公司内部控制管理手册；

    （四）具体实施公司及子公司的内部控制评价工作，并向领导小组提交评价报告并汇报内控情况；

    （五）跟踪监督公司及子公司内部控制缺陷整改情况，并向领导小组汇报；

    （六）配合外部审计师进行内部控制审计工作；

    （七）领导小组交办的其他内部控制相关工作。

    第十二条  风险与合规工作小组，具体开展全面风险管
理体系建设和运行、专项风险管理工作。由公司法律及风控合规分管领导任组长，各职能部门负责人为工作小组成员，工作小组办公室设在法律及风控合规部，工作小组职责分工如下：

    法律及风控合规部：工作小组办公室，负责组织协调风险管理工作，对接上级单位风险管理部门，按其要求并经公司董事长核准签发提交年度报告、季度报告和临时报告，根据职责分工负责法律风险管控；

    审计部：对所属公司风险管理的有效性进行监督，并根据职责分工负责审计风险的管控；

    工作小组其他成员：根据部门职责分工，对战略风险（含
风险、研发风险、安全生产风险、道德风险等）、财务风险进行管控。

    具体职责包括：

    （一）提出公司全面风险管理组织体系的建设方案，拟定风险管理相关制度文件；

    （二）起草公司全面风险管理报告，并组织执行风险管理解决方案；

    （三）根据风险管理需求，建立完善风险管理信息系统；
    （四）指导子公司全面风险管理工作的开展，根据小组成员分工，负责对子公司的重大专项风险进行监控、预警、评价、问责及管理指导；

    （五）根据职责分工，参与公司重大决策活动相关的专项风险分析，并出具专项风险分析意见；

    （六）对子公司的重大风险事件提出责任处理方案；
    （七）开展其他与风险管理相关的工作。

    第十三条  公司各职能部门内控体系职责包括：

    （一）建立、完善与本部门职能相关内控管理制度及配套指导文件等；

    （二）根据部门内控职责，结合风险管理、合规管理要求，落实本部门内控建设、执行评价、整改优化等工作；
    （三）配合内外部机构对公司内控体系的检查、评价；
    （四）对子公司相关内控制度的建设及实施情况予以指导和监督检查；

    （五）对子公司相关专项内部控制及风险管理、合规管
理工作执行情况进行监控和管理指导；

    （六）根据部门职责，开展公司重大决策活动相关的专项风险分析、评估，并提出专项风险分析、评估意见；

    （七）妥善应对本业务领域的包括合规风险在内的重大风险事项，并及时向小组办公室通报；

    （八）其他与内控体系建设、运行、管理、评价等有关的工作。

    第十四条  公司各职能部门设合规专员，合规专员应熟
悉本部门主要控制活动、主要风险类别及合规管理要求，负责协调、组织与本部门职能相关的内控制度建设及执行、优化管理。

    第十五条  各子公司总经理为内控体系监管工作第一
责任人，对本单位内控体系的建立健全和有效实施负责。
    第十六条  各子公司依据本办法，建立适合本单位风险
管理需要的内部控制组织机构，各子公司应指定内部控制人员和公司内控及风险合规工作小组对接。

    第十七条  各子公司在公司内控及风险合规工作小组
的指导下，开展内部控制自我评价，落实内部控制各项要求，实施内部控制缺陷整改，定期检查内部控制管理手册及管理制度执行情况，配合公司进行内部控制审计工作。审计部要加强内控体系监督检查工作，不断发挥查错纠弊作用，促进公司不断优化内控体系。

                  第三章  风险管理

  第十八条  公司按照“分级分类”的原则分解落实风险管理责任。各级风险管理责任主体应根据风险管理职责分别
承担本公司、本部门的风险管理责任。

  风险主要分为战略风险、财务风险、市场风险、运营风险和法律风险等五大种类。

  第十九条  各级风险管理责任主体包括公司、全级次各子公司及其各职能、业务部门。各公司负责本公司各类经营管理活动的风险管理，公司的各职能、业务部门根据部门职责分工，负责职责范围内各类经营管理活动的风险管理。

  各级风险管理责任主体应主动识别风险、深入分析风险，在全体员工中形成良好的风险防控意识，落实全员风险责任。
  第二十条  风险管理应贯穿公司的管理决策、制度制定、业务执行、监督评价等各环节，各公司应强化事前防范、细化事中监控、落实事后评价及问责。

  第二十一条  开展风险管理应与公司其他管理工作紧密结合，把风险管理的各项要求融入公司管理和业务流程中。
    公司应建立风险管理“三道防线”体系。各有关职能、业务部门为第一道防线，风险管理职能部门为第二道防线，内部审计部门为第三道防线。

  第二十二条  风险评估。公司应根据内外部环境的变化，对影响公司战略目标和经营目标实现的内部风险和外部风险进行风险辨识、风险分析、风险评价。

    第二十三条  公司外部风险关注因素主要包括经济因
素、法律法规、监管因素、自然环境、科学技术及其他有关外部风险因素。

    第二十四条  公司内部风险关注因素主要包括决策、管
理结构、人员、创新、资产财务及其他有关内部风险因素。

    第二十五条  风险评估一般采用定性与定量相结合的
方法，按照风险发生的可能性、影响程度及可控程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

    公司进行风险评估，应充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险评估结果的准确性。必要时，可聘请外部专业中介机构协助实施。

    第二十六条  风险评估包括全面风险评估和专项风险
评估。

    （一）全面风险评估。对经营环境变化、发展趋势等进行综合分析和预判，同时结合内控体系监督评价工作中发现的经营管理缺陷和问题，综合评估公司内外部风险水平，有针对性地制定风险应对方案。公司至少每年开展一次全面风险评估。

    （二）专项风险评估。对重大合同、新业务、重大投资并购、改革改制重组、重要组织结构调整等决策事项应开展专项风险评估，充分揭示风险、提出风险应对措施及解决预案，并将风险评估报告作为重大经营管理事项决策的必备支撑材料。

  第二十七条  风险应对策略。公司应根据风险评估结果，围绕公司发展战略，确定总体风险偏好、风险承受度、风险管理有效性标准，选择风险回避、风险降低、风险分担、风险接受等基本风险应对策略，并配置风险管理所需要的人力和财力资源。

    第二十八条  风险管理解决方案。公司应根据风险应对
策略，针对评估出的重大风险，制定可操作的控制措施。风险管理解决方案应根据重大风险变化情况及执行效果进行动态调整。

    第二十九条  风险监控。公司应以重大风险、重大事件、
重大决策、主要业务流程为重点，对风险管理的实施情况进行监督。

  各级风险管理责任主体应对职责范围内主要风险进行监控预警，应明确监控指标、预警标准以及应急预案等。

    第三十条  风险管理报告。公司各职能、业务部门应定
期对风险管理工作进行自查和检验，及时发现缺陷和问题并改进，并报送风险管理职能部门。公司风险管理职能部门应定期对各有关职能、业务部门风险管理工作实施情况进行评估，提出改进建议。

    风险管理报告包括定期报告和临时报告。定期报告包括年度风险评估报告、季度风险监控报告等，临时报告包括各级风险管理责任主体提出的专项重大风险报告、新发的重大风险事件报告等。各级风险管理责任主体应根据相关规定及时上报重大风险事项，做好风险应对预案。