山东省省管企业全面风险管理指引(试行)第一章总则第一条为指导省管企业开展全面风险管理工作,提高企业管理水平和市场竞争力,根据《中华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规,参照《中央企业全面风险管理指引》,结合省管企业实际,制定本指引。第二条本指引适用于山东省人民政府国有资产监督管理委员会(以下简称省国资委)履行出资人职责的国有独资和国有控股企业(以下简称省管企业)。第三条本指引所称企业风险,是指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等。第四条本指引所称全面风险管理,是指企业围绕总体经营目标,建立健全全面风险管理体系,通过在企业管理和企业经营的各个环节执行风险管理的基本流程,培育良好的风险管理文化,从而为实现风险管理的总体目标提供有效保证的过程和方法。第五条省管企业开展全面风险管理的总体目标是:(一)确保将风险控制在与企业战略目标相适应并可承受的范围内。(二)确保内外部,尤其是企业与股东之间实现真实可靠的信息沟通。(三)确保遵守有关法律法规。(四)确保企业规章和制度措施的贯彻执行,保障经营管理的有效性,减少实现经营目标的不确定性。(五)确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。第六条企业开展全面风险管理工作应与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中,特别加强对重大风险、重大事件的管理和重要流程的内部控制工作。第二章全面风险管理工作基本要求第七条省管企业开展全面风险管理工作,应包括以下内容:(一)收集风险管理初始信息。风险管理初始信息是企业全面风险管理工作的基础依据,包括与风险及风险管理相关的宏观经济、政策法规、市场状况、技术革新、公司资源、财务状况、人力配置、管理措施、工具应用、信息报告等方面的信息。(二)进行风险评估。风险评估是企业及时辨识、科学分析和评价影响经营管理目标实现的各种不确定因素并确定重大风险的过程,包括风险辨识、风险分析、风险评价三个主要步骤。(三)制定风险管理策略。风险管理策略是企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。(四)提出风险管理解决方案。风险管理解决方案是风险管理策略分解落实到具体风险的管理措施,一般包括:风险管理的具体目标,具体风险的对策,风险管理的组织领导、管理流程、投入资源,风险事件发生前、中、后可采取的具体管理措施及风险管理工具。(五)完善内部控制系统。内部控制系统是指围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,制定并执行的风险管理规章制度、程序和措施。(六)建立风险管理的监督与改进机制。风险管理的监督是及时跟踪风险及管理状况,传递、汇总与分析相关信息,并按管理需求生成与提交报告的过程,企业根据风险监督结果对风险管理工作进行相应改进与提升,从而保证企业全面风险管理的效果。第八条实施全面风险管理,应广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位,并根据实际情况选择合适的形式进行记录和整理,根据风险管理和监控的结果,对相关信息进行补充与修订,建设并及时更新风险信息库。第九条企业应定期(每年至少一次)开展风险评估工作,并形成风险评估报告。企业风险评估包括对企业各层面、各业务单元、各项重要经营活动及其重要业务流程中存在的风险进行全面辨识;对辨识出的风险及其特征进行明确的定义描述,分析发生风险可能性的高低、风险发生的条件;通过定性或定量分析,评价风险对企业实现目标的影响程度;对各项风险进行比较,确定对各项风险的管理优先顺序和策略。第十条企业应根据发展战略、风险评估结果和自身条件,制定统一的风险管理策略。在制定风险管理策略中,应确定企业统一的风险偏好与风险承受度,并据此确定风险的预警线及相应采取的对策,同时明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。第十一条企业应定期总结和分析已制定风险管理策略的有效性和合理性,根据风险评估结果,结合管理实际情况不断修订和完善。其中,应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效,并提出定性或定量的有效性标准。第十二条企业应组织各层面、各部门、各业务单位根据风险管理策略,针对各类风险或每一项重大风险制定风险管理解决方案。其中外包方案应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等,并制定相应的预防和控制措施。应当按照各有关部门和业务单位的职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。第十三条企业应建设内部控制系统,通过制度、程序、措施等要素来落实风险管理解决方案的具体内容。企业建设内控系统应针对重大风险所涉及的各项管理及业务流程,制定涵盖各个环节的全流程控制措施;同时对其他风险所涉及的业务流程,应把关键环节作为控制点,采取相应的控制措施。第十四条企业制定内控措施,一般应包括以下内容:(一)建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权做出风险性决定。(二)建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等。(三)建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以权批准的部门和人员及其相应责任。(四)建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度。(五)建立内控审计检查制度。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等。(六)建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩。(七)建立重大风险预警制度。对重大风险进行持续不断的监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施。(八)建立健全企业法律顾问制度。加强企业法律风险防控机制建设,形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。(九)建立重要岗位权力制衡制度。明确规定不相容职责的分离,主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约;明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任;将该岗位作为内部审计的重点等。第十五条企业应建立贯穿于整个风险管理基本流程,连接各上下级、各部门和业务单位的风险管理信息沟通渠道和报告机制,确保信息沟通的及时、准确、完整,为风险管理决策、监督与改进奠定基础。第十六条企业风险管理专职部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验,提出调整或改进建议,并结合各部门的风险监控报告结果出具综合分析报告,及时报送经营决策层。第十七条企业内部审计部门每年至少一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价,监督评价报告应直接报送董事会。此项工作也可结合年度审计、任期审计或专项审计工作一并开展。第十八条企业经理层每年向董事会提交完整的企业全面风险管理年度工作报告,报告应包括以下主要内容:(一)企业当前的重大风险及其影响分析。(二)风险管理监督评价中发现的主要问题及其管理或改进状况。(三)上一年度全面风险管理主要工作任务的完成情况。(四)下一年度全面风险管理主要的工作计划。第十九条企业应向省国资委报告重大风险信息。企业董事会在每年向省国资委报告工作时应将本企业的全面风险管理情况作为重点内容之一。第三章全面风险管理组织体系第二十条企业应建立健全风险管理组织体系,主要包括规范的公司法人治理结构,风险管理专职部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。第二十一条董事会在全面风险管理工作中主要履行以下职责:(一)审议并向省国资委提交企业全面风险管理年度工作报告。(二)确定企业风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理解决方案。(三)了解和掌握企业面临的各项重大风险及其风险管理现状,做出有效控制风险的决策。(四)批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制。(五)批准重大决策的风险评估报告。(六)批准内部审计部门提交的风险管理监督评价审计报告。(七)批准风险管理组织机构设置及其职责方案。(八)批准风险管理措施,纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为。(九)督导培育风险管理文化。(十)全面风险管理其他重大事项。第二十二条董事会应设立风险管理和审计委员会。委员会召集人应由外部董事担任。该委员会成员中需有熟悉企业重要管理及业务流程的董事,以及具备风险管理经验的董事。第二十三条风险管理和审计委员会对董事会负责,在风险管理方面履行以下职责:(一)审议全面风险管理年度报告。(二)审议风险管理策略和重大风险管理解决方案。(三)审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告。(四)审议内部审计部门提交的风险管理监督评价审计综合报告。(五)审议风险管理组织机构设置及其职责方案。(六)办理董事会授权的有关全面风险管理的其他事项。第二十四条企业总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员,负责组织全面风险管理的日常工作。第二十五条企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。该部门对总经理或其委托的高级管理人员负责,主要履行以下职责:(一)研究提出全面风险管理工作报告。(二)研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制。(三)研究提出跨职能部门的重大决策风险评估报告。(四)研究提出风险管理策略和跨职能部门的重大风险管理解决方案,并负责该方案的组织实施和对该风险的日常监控。(五)负责对全面风险管理有效性评估,研究提出全面风险管理的改进方案。(六)负责组织建立风险管理信息系统。(七)负责组织协调全面风险管理日常工作。(八)负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作。(九)办理全面风险管理其他有关工作。第二十六条企业应通过法定程序,指导和监督其全资、控股子企业建立与企业相适应或符合全资、控股子企业自身特点,能有效发挥作用的风险管理组织体系。第四章全面风险管理信息系统第二十七条企业应将信息技术应用于全面风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。第二十八条应确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据,未经批准,不得更改。第二十九条风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测试;能够实时反映重大风险和重要业务流程的监控状态;能够对超过风险预警上限的重大风险实施信息报警;能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。第五章全面风险管理文化第三十条企业应注重建立具有风险意识的企业文化,促进企业风险管理水平、员工风险管理素质的提升,保障企业全面风险管理目标的实现。第三十一条企业风险管理文化建设应与薪酬制度和人事制度相结合,有利于增强各级管理人员特别是高级管理人员的风险意识,防止忽