全面风险管理手册

1保利建设集团有限公司全面风险管理手册二0一三年十二月2第一章总则1.1编制目的本手册作为保利建设集团有限公司（以下简称“公司”）开展全面风险管理工作的指导性文件，旨在通过建立并运行系统的风险管理机制（即全面风险管理体系），提升公司风险管理水平，有效防范、化解，并合理承担或利用所面临的风险，简化管理行为、整合管理资源、降低管理成本、提高管理效率的目的，在公司管理各项系统进行有效整合促进公司持续、健康、稳定发展，为公司实现既定目标提供充分的保障。1.2依据国资委《中央企业全面风险管理指引》《国资委2013年度中央企业全面风险管理报告（模板）》、财政部等五部委《企业内部控制基本规范》（财会[2008]7号）财政部等五部委《企业内部控制配套指引》（财会[2010]11号）《中国保利公司全面风险管理手册》GB/T2453-2009《风险管理原则与实施指南》；ISO31000：2009《风险管理原则和指导方针》GB/T19001-2008/ISO9001：2008质量管理体系；GB/T50430工程建设施工企业质量管理规范；GB/T50380：2006工程建设设计企业质量管理规范GB/T24001-2004/ISO14001：2004环境管理体系OHSMS18000；GB/T28001-2011：职业健康安全管理体系31.3适用范围本手册适用于公司范围内，所有人员应当遵循手册要求，开展全面风险管理工作。本手册对控股子公司具有指导意义，各控股子公司应根据本手册的基本框架，结合自身特点参照实施，开展全面风险管理工作。1.4手册的颁布本手册于2013年月经公司董事会审议批准后颁布，自颁布之日起生效。1.5手册维护本手册由风险管理委员会委托有关职能部门负责进行日常维护和更新。当对手册内容进行重大调整时，需经过相关程序审批。第二章全面风险管理概述2.1全面风险管理的定义公司的活动都包含着一定程度的风险，而风险往往同机遇并存，没有风险就没有机遇和成功。因此，并非所有的风险都对企业有害，都应当被消除。但每个风险都要被辨别出来，并结合公司实际确定风险承受度。本手册所称全面风险管理，是指公司围绕总体经营目标，由公司的董事会、管理层和员工共同参与，以风险识别模型为基础，辨识可能对公司造成潜在影响的事项、设计公司风险管理的基本流程，培养良好的风险管理文化、建立健全全面的风险管理体系。具体包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统等部分。42.2全面风险管理的特征2.2.1战略性风险管理更重要的应用于公司战略管理层面，站在战略层面整合和管理企业风险是全面风险管理的价值所在。2.2.2全员化公司全面风险管理时一个由公司董事会、管理层和所有员工参与的，旨在把风险控制在风险容量以内，增进企业价值的过程。在这个过程中，只有将风险意识转化为全体员工的共同认识和自觉行动，才能确保风险管理目标的实现。2.2.3专业性要求公司内部必须实施专业化的风险管理。2.2.4二重性全面风险管理既要管理纯粹的风险，也要管理机会风险。当风险损失可能发生可能不发生时，设法降低风险发生的可能；当风险损失不能避免时，见谅减少损失至最小化；当风险预示着机会时，化风险为增进企业价值的机会。2.2.5系统性全面风险管理必须拥有一套系统的、规划的方法，来确保所有的风险都得到识别，资源能够被有效地利用于紧迫风险的管理。2.3全面风险管理的意义1、从公司战略出发，统一风险度量，建立风险预警机制和应对策略。2、明确风险管理职责，将风险管理责任落实到企业的各个层面。3、形成风险管理信息收集、分析、报告系统，为有效监控风险和应对风险提供依据。4、避免企业重大损失，支持企业战略目标的实现。5、使外部投资人、监管者了解企业风险。6、行成自我运行、自我完善的风险管理机制。2.4全面风险管理的基本流程全面风险管理的基本流程可分为五个阶段，即风险事件初始信息5——风险管理评估——制定风险管理策略——提出和实施风险管理解决方案——风险管理监督与改进。流程的工作内容和相关文档如下图所示：工作内容文件资料阅读、学习风险清单分析自身、相关因素识别风险风险识别报告定性/定量评价定性/定价评价结果查找或制定公司风险管理策略提出可能的解决措施建议《风险评估报告》评估解决措施的风险控制效果确定风险解决方案《风险解决方案》《重大风险应对方案》；实施风险解决/控制方案风险管理改进并存档总结、评估风险管理工作《风险管理工作总结》第一阶段风险管理初始信息第二阶段风险管理评估第三阶段风险管理策略第四阶段风险管理总结、改进收集风险事件初始信息第四阶段提出和实施风险管理解决方案风险管理监察《重大风险监控报告》6表1-1工作内容和相关文档说明工作内容说明相关文档第一阶段收集初始信息通过阅读风险清单，熟悉各类风险的定性描述和指标体系，准确理解和掌握各类风险的特征。在上述工作基础上，结合自身情况和外部环境，从战略、市场、运营、法律、财务五个方面逐一辨识自身可能存在的风险。《风险识别报告》第二阶段风险评估企业以风险定性评价模型和风险定量评价模型为基础，对第一阶段识别出的风险进行评价。《风险评估报告》附件：定性评价结果定量评价结果第三阶段制定风险管理策略在第二阶段的基础上，针对重大风险，紧密结合公司自身风险管理现状、风险偏好、风险控制目标，提出可能的风险解决措施建议。《风险解决方案》《重大风险应对方案》第四阶段实施风险管理方案为确保风险控制/化解工作的顺利开展，企业对第三阶段提出的解决方案进行评估，找到最佳方案付诸实施《重大风险监控报告》第五阶段风险回顾在本阶段，公司对风险管理工作进行总结、评估，形成《风险管理工作总结》。并将其妥善保管，用于指导下一阶段的风险管理工作。《风险管理工作总结》2.4全面风险管理基本要求全面风险管理与内部控制是为了实现既定的各项经营目标，公司董事会、监事会、风险管理委员会和全体员工按照国家和企业的规范、标准、制度，识别、评估风险并采取适当控制措施的过程，是公司各级权力决策主体（机构、部门、岗位）和对应的职能管理主体（机构、部门、岗位）之间形成的具有制衡、监督以及服务支撑的工作机制。全面风险管理、内部控制与安、质、环体系不是孤立于公司业务的独立的管理活动，而是融入公司各项业务活动中的不可或缺的管理行为，是体现在公司内部各层次、各部门、各岗位，且贯穿于整个公司、全员全过程参与的管理行为，即风险分类管理。7第三章组织架构与职责3.1体系文件组成公司全面风险管理体系文件主要由风险管理手册、风险管理工作流程、风险管理制度三个主要部分构成。这三个主要部分相互依存、相互作用、协作运转，保障企业全面风险管理功能的发挥。3.2全面风险管理组织架构公司具体风险事件管理组织基本架构是风险管理体系的纲领性文件，由公司全面风险管理委员会负责组织编制、维护和执行。是日常工作中的风险控制和办事流程，由公司各职能部门负责组织编制、维护和执行。是日常工作中的风险控制的质量标准和要求，由各职能部门负责组织编制、维护和执行。8公司全面风险管理年度报告及考核组织架构公司全面风险审计管理架构风险管理组织体系主要包括规范的公司法人治理结构，风险管理归口职能部门、内部审计单位和法律事务部门以及其他有关职能部门、分支机构和项目经理部的组织领导机构及其职责公司建立风险管理三道防线，即各有关职能部门和各分支机构为第一道防线；风险管理的主管职能部门和董事会下设的风险管理委员会（公司领导班子）为第二道防线；董事会下设的审计委员会或委托内部审计部门为第三道防线。93.3风险管理决策机构职责公司董事会为公司风险管理最终决策机构，公司风险管理委员会，可依据授权对重大风险管理事项进行决策。在全面风险管理、内部控制与安质环体系方面主要履行以下职责：3.3.1督导公司全面风险管理、内部控制与安质环体系的建立健全与有效实施，督导企业风险管理文化的培育，了解和掌握公司面临的各项重大风险及其风险管理现状，做出有效控制风险的决策；3.3.2确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理组织机构设置及其职责方案，批准公司年度内部控制建设发展规划、实施方案及内部控制自我评估报告；3.3.3听取、审批公司《全面风险管理年度报告》，并按照要求报上级单位；3.3.4批准风险管理策略和重大风险管理解决方案；批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；3.3.5向公司股东大会提请聘请或更换内部控制审计机构；3.3.6批准全面风险管理、内部控制与安质环体系其他重大事项。3.4风险管理委员会（风险管理领导机构）职责公司董事会下设风险管理委员会，其成员来自公司领导班子组成，在全面风险管理和内部控制方面的主要职责包括：3.4.1审议公司年度全面风险管理报告，并提交董事会；3.4.2审议公司风险管理策略和重大风险解决方案，并监督其执行；3.4.3审议公司内部控制建设发展规划及实施方案，并监督其执行；3.4.4审议公司全面风险管理和内部控制组织机构设置及其职责方案；3.4.5审议重大决策、重大风险、重大事件和重要业务流程的判断机制或评价标准，以及重大决策的风险评估报告及各项风险管理报告，10提出修改或调整建议并提交董事会审议。根据职责，负责具体风险管理措施的推进和实施；3.4.6审议公司的风险管理和内部控制信息系统建设方案；3.4.7听取公司内部控制符合性测试报告；3.4.8办理董事会授权的有关全面风险管理、内部控制的其他事项。根据工作需要，总经理可将上述职责范围内部分职权授予风险管理的分管领导，分管领导对总经理负责，行使总经理授权范围内的风险管理职责。3.5风险审计委员会（监督机构）职责公司在董事会下设立审计委员会。审计委员会负责审查股份公司全面风险管理和内部控制，监督全面风险管理和内部控制的有效实施和自我评价情况，协调全面风险管理和内部控制审计的相关事宜。审计执行机构（商法监察部）负责对公司全面风险管理运行整体情况进行监督评价，其主要职责包括：3.5.1研究制定风险管理、内部控制监督评价办法；3.5.2组织开展风险管理、内部控制监督与评价；3.5.3编制风险管理监督评价报告。3.6风险管理执行机构职责3.6.1公司经营管理部公司经营管理部是公司风险集中（归口）管理执行机构，其主要职责是履行风险集中（归口）管理活动，负责全面风险管理、内部控制的体系建设和整体运转工作，以及风险管理、内部控制工作的组织协调，为重大风险决策提供专业意见，其主要职责包括：113.6.1.1组织推动公司全面风险管理、内部控制体系建设，指导所属各职能部门或分支机构开展风险管理、内部控制体系建设；3.6.1.2组织编制《风险管理年度报告》；3.6.1.3组织起草风险管理、内部控制基本制度及重大风险管理办法等，并监督落实；3.6.1.4组织、协助各职能部门开展其职责范围内的重大事项的风险预测和风险评估工作，并对上述信息进行汇总分析，并及时向管理层（风险管理委员会）揭示风险信息；3.6.1.5负责对全面风险管理有效性评估，研究提出全面风险管理的相关措施和方案；3.6.1.6组织人力资源管理部门编制企业风险文化培育与宣贯工作方案和计划，组织协调风险管理培训；3.6.1.7办理公司领导交办的其他风险管理工作。3.6.2具体风险管理部门（公司各职能部门）具体风险管理部门是公司风险分类管理执行机构，其主要职责是配合风险管理职能部门开展工作，并根据附录三开展具体风险管理。2.6.2.1协助经营管理部定期完成风险事件库的更新、风险评估等相关工作；2.6.2.2协助经营管理部制定公司重大风险应对方案，并实施应对方案；2.6.2.3对本部门工作所涉及各类风险进行监控，及时向经营管理部报告风险信息（每半年至少一次）；2.6.2.4针对本部门的重要管理、业务活动，建立健全风险管理控制措施；2.6.2.5协助经营管理部对下属分支机构和项目部具体风险管理工作12进行指导；2.6.2.6办理风险管理其他相关工作。第四章全面风险管理基本流程和要求4.1公司具体风险管理包括以下主要工作4.1.1收