风险管理目标 - 将风险控制在可承受范围、确保信息沟通真实可靠等[3] 风险分类 - 分为战略、市场、运营、财务、法律风险等[5] 管理流程 - 包括收集初始信息、评估、制定策略、实施应对措施、监督与改进[12] 董事会职责 - 最少每年检讨一次公司及其附属公司的风险管理及内部监控系统有效性[14] - 每年检讨重大风险转变、管理层监控工作等事项[16] 信息披露 - 在《企业管治报告》内披露遵守风险管理及内部监控守则条文情况[17] 审计职责 - 审计委员会监管公司财务申报、风险管理及内部监控系统[19] - 审计部评估风险管理及内部监控系统[20] 信息收集 - 广泛收集与风险和风险管理相关的内外部初始信息[21] 风险评估 - 经过确立理念和接受程度、目标设定等五个基本程序[23] - 实行稳健风险管理理念，风险接受程度为“低”类[24] - 目标包括战略、经营、合规性和财务报告四个方面[24] 风险识别 - 人资部通过问卷调查等方法识别风险[26] 风险因素 - 内部关注人力资源、管理、自主创新等因素[27] - 外部关注经济、法律、社会等因素[33] 风险分析 - 从可能性和影响程度排序，分重要和一般风险[38] 管理策略 - 有规避、降低、分担和承受[42] - 确定策略考虑对风险影响、成本收益等因素[43] 控制措施 - 包括不相容职务分离、授权审批等[45] 措施落实 - 组织实施风险应对措施确保落实到位[49] 信息沟通 - 建立风险管理信息沟通渠道，确保信息及时、准确、完整[50] 监督评价 - 各部门和业务单位定期自查并向人资部反馈[50] - 人资部定期或不定期监督评价各部门工作，报告报送董事会[50] - 可结合年度审计等审计工作开展[50] 制度说明 - 未尽事宜按有关法律等规定执行[51] - 由人资部会同有关职能部门制定，经董事会审议通过，自H股上市之日起生效[51] - 由人资部负责解释，根据实际情况修订完善并报董事会批准[51]