搜索
关于下发《公司全面风险管理指引(暂行)》的通知各单位、机关各部室:为加强风险管理工作,建立规范、有效的风险管理和内部控制体系,提高经营管理水平和风险防范能力,促进公司总体战略和经营目标的实现,特制定《有限公司全面风险管理指引(暂行)》,现予以下发,请遵照执行。公司全面风险管理指引(暂行)第一章总则第一条为加强公司有限公司(以下简称“公司”)风险管理工作,建立规范、有效的风险管理和内部控制体系,提高经营管理水平和风险防范能力,促进公司总体战略和经营目标的实现,根据《中央企业全面风险管理指引》、《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》、《风险管理—原则与指南》及其他有关法律、法规和规范性文件,结合公司实际制定本指引。第二条本指引适用于公司及所属分公司、全资子公司、控股子公司、重要的联营合营企业、相关的事业单位(以下简称“经营单位”),其他企业参照执行。第三条本指引是基于现阶段公司风险管理实际情况,并借鉴国内先进企业风险管理理念与经验,通过阶段性建设不断提升公司风险管理水平。本指引为现阶段公司风险管理工作实施的暂行文件。第四条本指引所称风险是指未来的不确定性对公司实现战略和经营目标的影响。公司风险包括:战略风险、运营风险、财务风险、市场风险和法律风险等。第五条本指引所指风险包括纯粹风险和机会风险。纯粹风险指仅能带来损失的风险,公司应积极采取控制、规避和转移纯粹风险,避免损失或降低纯粹风险的影响程度。机会风险是指可能带来损失或收益的风险,公司应积极应对、承担进而驾驭机会风险,减少损失并获取超额收益。第六条本指引所称全面风险管理是指公司围绕总体战略和经营目标,通过在经营管理的各个环节和过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。全面风险管理包含内部控制。第七条本指引所称的内部控制是指围绕公司发展战略及经营目标,全员参与实施,通过对目标实现过程的控制及有关机制、制度、流程等进行的持续优化、科学管理,以实现公司经营管理合法合规、资产安全、财务报告及相关信息真实完整、不断提升公司经营管理绩效和风险防范能力的过程。第二章风险管理目标和原则第八条公司全面风险管理的目标是保障经营管理的有效性,降低实现战略目标的不确定性,通过减少损失和危害创造价值。按照智能风险管理理念,风险管理能力一般可分为无意识型、松散型、自上而下型、系统型和智能型。公司现阶段致力于自上而下建立健全全面风险管理体系,阶段性目标是按照ISO31000:2009标准,通过两至三年时间建设完成系统型风险管理体系框架,至2020年建设成为先进的智能型风险管理体系,将风险管理打造成为公司核心竞争力之一。第九条根据公司战略规划和经营目标,全面风险管理遵循如下原则:(一)全面性原则。风险管理应当贯穿决策、执行和监督全过程,覆盖公司及各经营单位的各种风险。(二)重要性原则。风险管理应当在全面管理的基础上,关注重大风险,实施重点管理。(三)适应性原则。风险管理应当与公司经营实际情况相适应,并随着情况的变化持续调整改进。(四)制衡性原则。风险管理应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督。(五)协同性原则。风险管理应当“自上而下,自下而上,上下结合,左右互动,形成合力”,由公司各职能部门、业务板块和经营单位应相互配合、协同合作、流程顺畅、保障效率,取得实效。(六)主体责任原则。风险管理应当明确主体责任,各职能部门、业务板块和经营单位在各自经营管理范围内承担风险管理责任,即“谁负责损益,谁管理风险;谁履行职能,谁管理风险”。(七)成本效益原则。风险管理应当权衡风险管理成本与经营效益,以适当的成本实现有效风险管理。(八)循序渐进原则。风险管理应当针对现阶段薄弱环节,选取有代表性的经营单位试点开展,并逐步在公司范围内推广。第三章风险管理组织体系第十条公司全面风险管理的组织体系包括董事会、风险控制委员会、风险控制部、各职能部门、各业务板块、各经营单位和审计管理中心。第十一条公司风险管理由三道防线构成,公司各职能部门、业务板块和经营单位为第一道防线;风险控制部和风险控制委员会为第二道防线;审计管理中心为第三道防线。第十二条董事会是公司全面风险管理工作的领导机构,其在风险管理方面的职责包括:(一)批准公司年度全面风险管理报告;(二)确定公司风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理应对方案;(三)了解和掌握公司面临的各项重大风险及其风险管理现状,做出有效控制风险的决策,批准重大风险的评估报告;(四)批准公司风险管理与内部控制组织机构设置及其职责方案;(五)批准审计部门或机构提交的风险管理监督评价报告、内部控制评价报告;(六)督导公司风险管理文化的培育;(七)批准全面风险管理的其他重大事项。第十三条风险控制委员会是公司董事会设立的风险管理专门机构,在董事会授权范围内行使以下职责:(一)审议公司全面风险管理报告;(二)审议风险管理策略和重大风险管理应对方案;(三)审议重大风险的评估报告;(四)审议公司风险管理与内部控制组织机构设置及其职责方案;(五)审议审计部门提交的风险管理监督评价报告、内部控制评价报告;(六)在董事会授权下审批风险管理与内部控制制度;(七)办理董事会授权的有关风险管理的其他事项。第十四条风险控制部是公司全面风险管理工作的主管部门,是公司的风险策略研究中心、风险决策支持中心、风险预警监测中心、风险管理报告中心、风险管理协调中心。风险控制部主要履行以下职责:(一)研究提出公司全面风险管理报告;(二)研究提出风险管理与内部控制制度、流程并监督实施;(三)研究提出风险管理策略和重大风险管理应对方案,并负责组织实施方案和日常监控风险;(四)研究提出重大风险的评估报告;(五)负责对全面风险管理有效性的评估,研究提出风险管理与内部控制的改进方案;(六)负责组织建立风险管理信息系统;(七)负责协调、指导、监督有关职能部门、业务板块和各经营单位开展风险管理与内部控制工作;(八)风险管理人员资质管理;(九)办理与风险管理和内部控制有关的其他工作。第十五条公司其他职能部门在全面风险管理工作中,应接受风险控制部的协调、指导和监督。风险控制部监督各职能部门履行风险管理职能,侧重于风险管理制度和流程执行情况,并不介入和替代其具体管理工作。各职能部门主要履行以下职责:(一)执行公司风险管理原则与流程,依据本部门职能对具体风险进行管理;(二)研究提出本部门的风险管理报告;(三)做好本部门的内部控制流程、制度的编写及内部控制自我评价工作;(四)做好本部门与风险管理信息系统相关工作;(五)做好本部门风险管理文化建设工作;(六)办理风险管理其他有关工作。第十六条公司各职能部门应设立风险管理、内部控制管理岗位。第十七条公司各经营单位负责本单位的全面风险管理工作,建立符合自身特点的风险管理与内部控制组织体系,并接受公司风险控制部的指导与监督。第十八条各经营单位负责人为风险管理与内部控制第一责任人。各经营单位应由总经理或总经理委托的高级管理人员负责主持全面风险管理的日常工作。第十九条各经营单位应确定相关职能部门履行全面风险管理与内部控制职责;如根据实际情况需设立专职风险管理部门,应符合公司相关要求。未设立专职风险管理部门的单位应设置专门的风险管理与内部控制管理岗位。第二十条公司审计管理中心负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价报告。审计管理中心负责公司内部控制评价工作,出具内部控制评价报告。第二十一条风险管理与内部控制管理岗位任职人员应具备风险管理专业能力。风险控制部负责通过培训、考核等方式,建立风险管理人员资质管理制度,提高风险管理队伍人员素质。第四章风险管理流程第二十二条风险管理流程包括:风险管理信息收集、风险评估、风险管理策略制定、风险管理解决方案和风险管理监督与改进。第二十三条公司各职能部门、业务板块和经营单位应广泛、持续不断地收集与风险和风险管理相关的内部、外部信息,包括历史数据和未来预测。第二十四条公司各职能部门、业务板块和经营单位应对收集的初始信息进行必要的筛选、提炼、对比、分类、组合,以便进行风险评估。第二十五条风险评估包括风险识别、风险分析、风险评价三个步骤。风险识别是指查找各项重要经营活动及业务流程中是否存在风险,存在哪些风险。风险分析是对识别出的风险及其特征进行明确的定义描述,分析风险发生可能性的高低、风险发生的条件。风险评价是评估风险的影响程度、风险的价值等。第二十六条风险评估应根据风险特点,将定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈和调查研究等。定量方法可采用统计推论、计算机模拟、失效模式与影响分析、事件树分析等。第二十七条风险控制部负责全面评估公司风险,建立公司风险数据库和风险矩阵。风险数据库实行动态管理,每年度更新维护。风险数据库的内容包括风险点、风险产生原因、风险发生后果、风险发生可能性及影响程度等。第二十八条各职能部门、业务板块和经营单位负责评估自身风险,建立风险数据库,每年度更新维护,并向风险控制部报送评估结果。第二十九条风险控制部每年至少进行一次风险问卷调查,调查范围应覆盖公司管理层、各职能部门和各经营单位负责人。调查内容应包含风险发生可能性和影响程度,并针对不同的调查对象设置相应的权重。第三十条公司整体或重大项目的风险评估,经批准可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。第三十一条公司应根据自身条件和外部环境,围绕公司发展战略,逐步根据不同业务特点确定风险偏好、风险承受度,明确风险的最低限度和最高限度,并据此确定风险的预警线及相应采取的对策。第三十二条公司和经营单位应建立风险监测预警体系,设定监测指标和监测预警值,并定期监测。监测指标应为定量化指标,并覆盖各类重大风险。监测预警值应采取行业标杆比较、行业绩效对标、历史数据法、预算值法、行业监管值法等方式确定。第三十三条公司应结合实际情况,选取试点单位,适时引入风险预算机制。第三十四条公司风险管理应选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的方法。第三十五条公司应根据风险与收益相平衡的原则以及各类风险在风险矩阵中的位置,进一步确定风险管理的优选顺序,明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。第三十六条公司应根据风险管理策略,制定风险管理解决方案。方案应包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具。公司各职能部门、业务板块和经营单位应按照职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。第三十七条各经营单位按要求每季度编制风险管理报告,向风险控制部报送并同时抄报其主管部门。风险控制部可根据风险管理实际需求,要求经营单位每月度编制风险管理报告。第三十八条各职能部门按要求每季度编制风险管理报告,并向风险控制部报送。第三十九条风险控制部负责每季度编制公司风险管理报告,并向风险控制委员会报送。公司年度全面风险管理报告经风险控制委员会审议后,报董事会批准。第四十条风险管理报告内容应包括风险管理工作完成情况、风险评估情况、重大风险管理情况、风险监测预警情况、风险管理工作安排和风险管理建议等。第四十一条各职能部门、业务板块和经营单位对重大风险事项应及时形成风险管理报告,并向风险控制部、风险控制委员会报送。第四十二条公司应以重大风险、重大事件和重大决策、重要管理及业务流程为重点,对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督,根据变化情况和存在的缺陷及时加以改进。第四十三条各职能部门、业务板块和经营单位应结合年度经营计划和工作计划提出风险管理工作计划、目标和实施措施。第四十四条风险控制部根据实际需要对各职能部门和