公司风险管理暂行规定（修订稿）

1、附件：公司全面风险管理暂行规定第一章 总 则第一条为加强公司全面风险管理（以下简称风险管理）工作，提高风险管理能力和水平，依据国务院国资委中央企业全面风险管理指引和集团公司全面风险管理规定及制定本规定。第二条本规定所称风险，指未来的不确定性对公司实现经营目标的影响。公司将风险分为战略风险、财务风险、市场风险、运营风险、法律风险等五大类进行分类管理，便于各职能管理部门履行职责。第三条 公司风险管理工作的总体目标是通过建立健全风险管理体系，培育风险管理文化，支持日常管理和经营决策，提升管理水平，为公司战略目标的实现提供合理保障。第四条 公司风险管理工作遵循以下原则：（一）统一领导、分级管理。在公司

2、统一领导下，对本单位(部门)的风险管理工作负责，建立健全风险管理组织体系和风险管理相关工作制度，执行风险管理基本流程，完善风险管理职能。（二）风险管理与内部控制相融合。公司应按照企业内部控制基本规范（财会（2008）7号文）要求建立健全内部控制体系，并以内部控制体系为基础,实现风险管理与内部控制相融合的风险管理体系；（三）全面性原则。做到对风险的事前防范、事中控制、事后处置相统一，覆盖所有业务、部门和人员，渗透到决策、执行、监督、反馈等各个环节，确保不存在风险管理的漏项；（四）重要性原则。在全面控制的基础上，关注重要业务事项和高风险领域；（五）适应性原则。风险管理应与企业规模、业务范围、竞争状

3、况和风险水平等相适应；（六）成本效益原则。风险管理工作应当权衡管理成本与预期效益，以适当的成本实现有效管理。第五条 本规定适用于公司及所属各单位的风险管理工作。第二章 风险管理体系建设第六条公司风险管理体系框架按照“系统管理、业务融合、突出重点、讲求实效”的原则来设计，具体详见公司风险管理体系框架示意图：（一）公司最高管理层应制定和维护清晰的战略目标和各层级、各业务领域的目标，并明确本单位的风险管理原则及风险偏好，为企业开展风险管理工作创造良好的内部环境；（二）公司应结合自身特点建立本单位风险管理的基本制度，为风险管理工作提供制度保障和考核奖惩依据；（三）公司应结合工作实际建立本单位的主要业务

4、流程体系，特别是重要业务、跨部门业务均应有清晰的业务流程图，并对流程各环节进行风险识别、风险评估和风险应对，采取适当的控制措施管理好风险事项。公司至少每一个年度须对本单位的业务流程体系运行情况进行评估，并及时向最高管理层报告相关信息；（四）公司应建立健全本单位的风险管理组织体系，确保风险管理工作的有效开展，并实现风险管理信息在内部畅通；（五）公司应设计好风险管理与各种行业标准指引、质量体系文件等的衔接模式，避免制度及管理工作的重叠或相互抵触的现象；（六）公司每年至少应进行一次对风险管理初始信息的采集及整理分析工作，并及时向最高管理层报告内外部风险信息对本单位实现目标的影响；（七）公司每年至少应

5、进行一次对重要风险的重新评估确认的工作，并根据评估情况对原有风险管理策略、方案进行适当调整。重要风险的评估可以采取问卷调查、专题会议等多种方式进行；（八）公司应在制度管理流程中，增加对各项业务管理制度的风险管理专项评审。业务管理制度应与各单位的业务流程紧密相关；（九）公司应注意积累与本单位特点相适应的风险预警方法、风险管理指标体系的设计及运用方法、内部管理信息的报告机制等方面的成功经验，并保持持续的改进能力；（十）公司应当通过编制风险管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。第三章 风险管理组织体系和职能第七条 公司风险管理组织体系包括董事会、

6、风险管理委员会、风险管理主管部门、各业务部门或业务单位风险管理责任人及直达最基层组织的风险管理联络员。第八条 公司董事会应按以下要求履行风险管理职责：（一）研究公司面临的各项重大风险及其管理现状，确定单位风险管理总体目标、风险偏好、风险承受度，做出有效控制风险的决策；（二）审定风险管理组织机构设置及其职责方案；（三）审定本单位风险管理重要规章制度；（四）审定本单位风险管理年度工作报告；（五）审定风险管理主管部门的风险管理评价报告；（六）审定风险管理其他重大事项。第九条 公司设立风险管理委员会，对董事会负责，执行董事会关于对风险管理工作的有关决议,并履行以下职责：（一）负责公司风险管理体系建设方

7、案的制定和组织实施；（二）负责公司风险管理文化建设；（三）审议风险管理组织机构设置及其职责方案；（四）审议风险管理策略和重大风险管理解决方案；（五）审议风险管理有关规章制度；（六）审议风险管理主管部门风险管理年度工作报告。第十条 公司风险管理主管部门的主要职责包括：（一）组织编制风险管理有关规章制度并监督执行；（二）组织编制公司风险管理工作年度计划，并组织实施；（三）组织编制风险管理年度工作报告（四）指导和检查各相关部门开展风险管理工作，组织协调风险管理日常工作；（五）组织建立公司风险管理信息系统；（六）组织编制公司风险管理报告；（七）组织对风险管理开展有效性评估，提出风险管理的改进方案；（八

8、）组织开展对风险管理人员的培训工作；（九）负责组织风险管理文化建设相关工作；（十）办理风险管理其他有关工作。第十一条 公司各职能部门及业务单位是风险管理的执行机构，负责各自职责范围内业务风险的管理工作，主要履行以下职责：（一）执行风险管理基本流程；（二）研究提出本部门牵头业务的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及风险管理策略和重大风险管理解决方案，并负责该方案的组织实施和风险的日常监控；（三）研究提出本部门牵头业务的重大决策风险评估报告；（四）制定本部门各项业务的风险管理制度；（五）负责本部门业务风险管理信息系统的有关工作；（六）负责建立健全本部门的风险管理子系

9、统；（七）做好本部门业务风险管理文化建设有关工作。第十二条 公司各级组织主要行政负责人为本单位的风险管理责任人，风险管理联络员是各级职能部门或业务单位风险管理工作的执行人和报告人。各级风险管理责任人对管理范围内的风险管理工作负有设计、指导及敦促的责任，各级风险管理联络人对风险管理工作负有执行、信息收集及报告的责任。第十三条 公司风险管理主管部门负责制定风险管理相关监督评价制度,建设风险管理监督评价体系，开展监督与评价，出具风险管理评价报告。第四章 风险管理基本流程与要求第十四条 风险管理基本流程包括收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案与风险管理的监督

10、与改进等主要工作。第十五条 公司要广泛、持续不断地收集与本单位风险和风险管理相关的内部、外部初始信息，并对风险信息进行必要的筛选、提炼、分类、对比和分析，逐步建立健全本单位的风险信息库，并纳入统一建立的风险管理信息系统进行管理。第十六条 公司要根据外部环境和自身条件，围绕单位发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险应对策略，并确定风险管理所需人力和财力等资源的配置原则。第十七条 公司要根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案：（一）制定风险管理解决的外包方案，应注重成本与收益平衡、外包工作的质量、自身商业秘密的保护以及防止自身对外包产生依赖性风

11、险等因素，并制定相应的预防和控制措施；（二）制定风险解决的内控方案要满足合规的要求，针对重大风险所涉及的各项管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。第十八条 公司应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理基本流程的实施情况进行监督，对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。（一）公司各职能部门及业务单位应定期对风险管理工作进行自查，自查报告应及时报送风险管理主管部门；（二）风险管理主管部门定期对各单位（部门）风险管理工作的实施情况进行专项检查，编制检查报告并及时

12、报送风险管理委员会；（三）风险管理主管部门至少每年一次对风险管理各相关职能部门及业务单位的风险管理工作情况开展监督评价，评价报告及时报送风险管理委员会。第十九条 公司要建立贯穿于整个风险管理流程，连接各级单位、各个部门的风险管理信息沟通渠道，确保向风险管理信息系统输入信息的一致性、准确性、及时性和完整性。第二十条 公司应建立风险监控指标体系，对重大风险的关键指标进行日常监控，定期编制风险监控报告，经风险管理委员会审议批准后，报送公司领导。公司风险管理主管部门应定期对各类风险关键指标的监控结果进行汇总、分析，形成公司风险监控报告，报送公司风险管理委员会。第二十一条 公司风险管理主管部门应每年对本

13、单位风险管理工作情况进行总结，按要求编制年度全面风险管理报告，经风险管理委员会审议批准后，报送上级主管单位。第五章 风险管理文化第二十二条 公司要大力营造进取型的风险管理文化，促进单位风险管理水平和员工风险管理素质的提升，保障单位风险管理目标的实现。公司各个岗位、各个层级的从业人员，除了完成各项例行工作任务以外，应同时对影响本岗位、本部门目标完成的各类不确定性风险因素，负有发现、报告和提出应对建议的职责，以不断提高企业管理水平。第二十三条 风险管理文化建设应融入企业文化建设全过程。将风险管理意识转化为员工的共同认识和自觉行动，促进系统、规范、高效的风险管理机制的建立。第二十四条 公司全体员工尤

14、其是各级管理人员应通过多种形式，努力传播企业风险管理文化，牢固树立风险无处不在、风险无时不在、岗位风险管理责任重大等意识和理念。第二十五条 公司要将风险管理文化建设与人事和薪酬制度相结合，增强各级管理人员特别是高级管理人员的风险意识，防止盲目扩张、片面追求业绩、忽视风险等行为的发生。第二十六条 公司要建立重要管理人员和业务操作人员岗前风险管理培训制度，加强对风险管理理念、知识的培训，培养风险管理人才，培育风险管理文化。 第六章 风险管理报告第二十七条 风险管理报告的形成应遵循“先横向再纵向、由基层到高层”的机制，即先由职能部门或业务负责人将本部门或分管领域的风险分析报告逐级汇总报告至风险管理主

15、管部门，再由风险管理主管部门负责对所有的分析报告进行提炼加工，最终形成公司的风险管理报告。第二十八条 风险管理报告的主要作用是使最高管理层掌握公司一定时期风险管理体系的运行情况及存在的问题，以便让管理层能及时根据情况的改变对人员组织架构、业务流程、业务政策进行调整，进而调整企业资源配置，甚至战略目标，使企业能迅速应对内外部变化，实现企业价值最大化。第二十九条 企业全面风险管理报告的主要内容包括以下内容：（一）流程风险分析。对公司业务流程体系的运行情况进行分析，重点是例外事项、风险事项或已形成实质性不良影响的事项的分析，并提出相应的应对策略；（二）环境风险分析。即根据中央企业全面风险管理指引中风

16、险管理初始信息的分类，对影响企业目标实现的内外部环境变化风险作出的分析判断；（三）信息风险分析。对公司组织体系内的各个层级、横向各个部分之间在信息传递与沟通方面进行分析，研究和判断存在的问题或阻碍，并提出相应的改进建议。第三十条 风险管理报告的每一类均应由问题、对策和建议构成。报告可以采取定期和不定期相结合的方式：定期为每年；不定期的可由公司根据实际的具体需要决定。第七章 风险管理手册第三十一条 公司应基于企业的全面风险管理实务，建立和完善风险管理手册，作为公司全面风险管理框架的重要支撑文件。第三十二条 风险管理手册一般应收录以下内容：（一）企业风险管理的基本制度；（二）企业风险管理组织体系设立情况；（三）企业所有重要业务的流程图及其指引或说明；（四）企业重要的历史风险案例；（五）企业认为应该收录的其他内容。第三十三条 风险管理手册应能被全体员工查阅，并对企业风险管理工作起到实质性指导、备查和明确评价标准的作用。第三十四条 公司可根据实际情况，对风险管理手册