公司全面风险管理标准

1、 1 风险管理标准1 范围本标准规定了集团公司风险管理工作的职责与分工、风险管理的目的与风险、风险的分类、风险的分级、风险库的管理、风险管理的基本流程、风险管理机制、风险管理绩效考核等内容。本标准适用于集团公司总部、二级单位及项目部的风险管理工作。2 规范性引用文件及术语和定义2.1 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 2.2 术语和定义2.2.1 风险指未来的不确定性对目标的影响。注1：影响是指偏离预期，可以是负面的也可以是正面的。注2：通常用潜在事件、后果

2、或者两者的组合来区分和描述风险。注3：通常用事件后果（包括情形的变化）和事件发生可能性的组合来分析风险。注4：不确定性是指对事件及其后果或可能性的信息缺失或了解片面的状态。2.2.2 事件某一类情形的发生或变化，一般指风险事件，有时可称为“事故”。注1：事件可能是一个或多个情形，并且可以由多个原因导致。注2：事件包括两种状态：没有发生的情形和已经发生的情形，当事件发生并产生后果时，风险的可能性即变为现实，此时已不是严格意义上的风险。如已经发生的风险事件是因为企业内部控制的设计或运行有效性不足而导致的，则应准确界定导致风险事件发生的内部控制缺陷。注3：某一事件，可能是产生后果的直接原因，也可能是

3、产生后果的间接原因。2.2.3 风险源可能单独或共同引发风险的内在要素。注：风险源可以是有形的，也可以是无形的。2.2.4 危险指潜在伤害的来源，是风险源中的一类。2.2.5 风险评估包括风险识别、风险分析、风险评价的全过程。2.2.6 风险识别发现、确认和描述风险的过程。注：风险识别包括对风险源、事件及其原因和潜在后果的识别。2.2.7 风险分析理解风险的性质、确定风险等级的过程。注：风险分析是风险评价和风险应对的决策基础。2.2.8 风险评价对比风险分析结果和风险准则，以确定风险及其大小是否可以接受的过程。2.2.9 风险应对处理风险的过程。注1：风险应对可以包括：不开始或不再继续导致风险

4、的行动，以规避风险；为寻求机会而承担或增加风险；消除风险源；改变可能性；改变后果；与其他各方分担风险；慎重考虑后决定保留风险。注2：风险应对可能产生新的风险或改变现有风险。2.2.10 剩余风险风险应对之后仍然存在的风险。注：剩余风险可包括未识别的风险。2.2.11 缺陷未满足预期或规定的控制要求。按其成因分为设计缺陷和运行缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷。注1：缺陷可是一个或多个缺陷的组合。注2：缺陷必然带来风险，缺陷可能增加风险发生的可能性，也可能直接导致风险事件的发生。2.2.12 风险类型库指供企业识别风险参考使用的按照风险类型进行划分的风险因素的集合。2.2.13

5、风险信息库指企业在一定期限内识别的具体风险的集合。3 职责3.1 集团董事会职责3.1.1 审批并向上级单位提交集团年度内部控制与全面风险管理报告。3.1.2 批准集团公司风险管理组织机构设置及其职责方案。3.1.3 确定集团公司风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案。3.1.4 了解和掌握集团公司面临的各项重大风险及其风险管理现状，必要时做出有效控制风险的决策。3.1.5 批准集团公司重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制。3.1.6 批准集团公司重大决策的风险评估报告。3.1.7 批准集团公司重大风险应对措施/解决方案，纠正和

6、处理任何组织或个人超越风险管理制度做出的风险性决定的行为。3.1.8 督导集团公司风险管理文化的培育。3.1.9 集团公司全面风险管理中其他重大事项。3.2 集团总经理职责3.2.1 负责主持集团公司全面风险管理工作，对全面风险管理工作的有效性向董事会负责。3.2.2 审核集团公司风险管理组织机构设置及其职责方案。3.2.3 审核并向董事会提交集团公司年度内部控制与全面风险管理报告。3.2.4 审核集团公司风险管理策略和重大风险管理解决方案，审批集团公司重要风险应对措施/解决方案。3.2.5 在董事会授权下和职权范围内做出有效控制风险的决策。3.2.6 审核重大决策、重大风险、重大事件和重要业

7、务流程的判断标准或判断机制。3.2.7 审核重大决策的风险评估报告。3.2.8 审核集团公司重大风险应对措施/解决方案，审批重要风险应对措施/解决方案，在董事会授权下和职责范围内纠正和处理组织或个人超越风险管理制度做出的风险性决定的行为。3.2.9 负责集团公司风险管理文化的建立。3.2.10 全面风险管理其他重要事项。3.3 风险管理领导小组职责3.3.1 集团公司风险管理领导小组组长为总经理，常务副组长为分管发展规划部的副总经理，其他副组长为集团公司有分管职能部门的副总经理级领导。风险管理领导小组办公室为发展规划部。3.3.2 领导小组的主要职责包括研究、审议集团公司风险管理相关制度/标准

8、；研究、审议重大风险的判断标准或判断机制；组织集团公司年度重大、重要风险评估工作，组织制定集团公司年度重大、重要风险控制措施/解决方案；组织制定集团公司总体风险管理工作计划；组织落实风险管理相关工作任务；监督、评价风险管理基本流程、管理机制的运行效果并组织持续改进。3.4 集团分管领导职责3.4.1 发展规划部分管领导负责部署和安排集团公司的全面风险管理工作；审批集团公司年度风险调查问卷；审核集团公司年度风险排序表、年度内部控制与全面风险管理报告。3.4.2 集团各部门分管领导负责审核所分管部门对应业务的风险评估结果，审核重大、重要风险应对措施，审核分管部门风险管理自我评价报告；填写集团公司年

9、度风险调查问卷，对年度风险打分；根据职责分工审批工程项目实施阶段的重大风险信息、风险应对方案。3.5 集团发展规划部职责3.5.1 负责集团公司全面风险管理工作的组织落实。3.5.2 编制风险相关管理制度，拟订集团公司重大、重要风险的判断标准或判断机制。3.5.3 编制集团公司风险管理年度工作计划并组织实施。3.5.4 指导并监督各部门/单位开展风险评估、风险应对与控制工作。3.5.5 负责定期收集、更新、发布风险类型库、风险应对方案和风险管理案例，适时发布集团公司风险管理简报。3.5.6 负责汇总各部门收集及管理的风险信息，形成集团公司的风险信息库。3.5.7 汇总、审核部门/单位的风险管理

10、自评报告。3.5.8 组织开展集团公司风险管理专项监督检查，编制集团公司风险管理监督及评价报告。3.5.9 组织编写集团公司年度风险调查问卷，并对调查结果进行汇总分析，编制集团公司年度风险排序表。3.5.10 汇总、审核各部门制定的集团重大风险、重要风险应对措施/解决方案，编制集团年度内部控制与全面风险管理报告，并对重大风险、重要风险管理情况进行监督。3.5.11 了解和掌握集团公司风险管理推进情况，适时向集团公司主管领导、风险管理领导小组报告。3.5.12 协调筹备集团公司风险管理领导小组会议。3.6 集团各部门职责3.6.1 负责本部门职责范围内的风险信息的收集与评估、风险的应对与控制、风

11、险的监督与改进。3.6.2 负责本部门风险管理的自我评价。3.6.3 负责填写集团公司年度风险调查问卷，对年度风险进行评估打分。3.6.4 负责编制本部门负责的集团公司重大风险、重要风险的应对措施/解决方案，并组织落实，并编制本部门年度风险管理总结。3.6.5 负责将本部门的日常风险固化在标准/制度中进行常规控制。3.6.6 负责编制本部门主责业务的专项风险评估报告（如有必要），并按照专项风险评估报告开展相应的风险管理工作。3.6.7 配合完成风险管理归口部门交办的其他工作。3.7 二级单位主管领导职责3.7.1 审批本单位内部控制与全面风险管理的相关报告。3.7.2 确定本单位风险管理总体目

12、标、风险偏好、风险承受度，批准本单位风险管理策略和重大风险管理解决方案。3.7.3 了解和掌握本单位面临的各项重大风险及其风险管理现状，必要时做出有效控制风险的决策。3.7.4 批准本单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制。3.7.5 批准本单位重大决策的风险评估报告。3.7.6 批准本单位风险管理组织机构设置及其职责方案。3.7.7 批准本单位重大风险、重要风险应对措施/管理措施，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为。3.7.8 负责本单位风险管理文化的建立。3.7.9 本单位全面风险管理的其他重大事项。3.8 二级单位分管领导职责3.8

13、.1 发展规划部分管领导负责部署和安排本单位的风险管理工作；审核本单位年度内部控制与全面风险管理相关报告。3.8.2 二级单位各部门分管领导负责审核分管部门的风险评估结果，重大、重要风险应对措施/解决方案，风险管理自我评价报告；根据分工审核项目实施阶段的重大、重要风险信息、风险应对方案。3.9 二级单位发展规划部职责3.9.1 负责本单位风险管理工作的组织落实。3.9.2 编制本单位风险相关管理制度。3.9.3 编制本单位风险管理年度工作计划并组织实施。3.9.4 指导并监督本单位各部门开展风险评估、风险应对与控制工作。3.9.5 负责定期收集、更新、发布本单位风险类型库、风险应对方案和风险管

14、理案例，酌情发布本单位风险管理简报。3.9.6 负责汇总本单位各部门收集及管理的风险信息，形成本单位风险信息库。3.9.7 负责汇总、审核本单位各部门的风险自评报告，并向集团公司上报本单位的风险自评报告。3.9.8 组织开展本单位的风险管理专项监督检查，编制风险管理监督及评价报告。3.9.9 按照集团公司的要求，组织开展本单位年度重大风险评估工作。3.9.10 汇总、审核各部门制定的本单位重大风险、重要风险应对措施/解决方案，编制本单位年度内部控制与全面风险管理报告，并对重大风险、重要风险管理情况进行监督。3.9.11 了解和掌握本单位风险管理推进情况，适时向公司领导报告。3.9 二级单位各部

15、门职责3.9.1 负责本部门职责范围内的风险信息的收集与评估、风险的应对与控制、风险的监督与改进；3.9.2 负责本部门风险管理的自我评价；3.9.3 负责编制本部门负责的重大风险、重要风险的应对措施/解决方案，并组织实施，编制本部门年度风险管理总结；3.9.4 负责将本部门的日常风险进行常规控制（包括但不限于：按照集团公司的标准/制度对风险进行常规控制，将日常风险固化在本单位的标准/制度中进行常规控制）；3.9.5 负责编制本部门主责业务的专项风险评估报告（如有必要），并按照专项风险评估报告开展相应的风险管理工作。3.9.6 根据职责分工负责工程项目相关风险信息的收集与评估、风险的监督与改进

16、，审核项目风险管理总结。3.9.7 配合完成上级单位直管部门及本单位风险管理归口部门交办的其他工作。3.10 项目部职责3.10.1 作为项目风险管理直接责任主体，对所在项目部的风险管理过程和结果负责。3.10.2 负责所在项目实施阶段的风险信息的收集与评估、风险的应对与控制、风险的监督与改进。3.10.3 按照集团公司和二级单位的要求编制项目风险管理评估报告和风险管理总结。3.10.4 负责项目部的日常风险管理工作。4 风险管理的目的与风险4.1 集团公司风险管理的目的是将风险控制在与总体目标相适应并可承受的范围内，合理保障企业经营、生产、管理合法合规、资产安全、财务报告及相关信息真实完整，

17、提高经营活动的效率和效果，降低实现目标的不确定性，保护企业不因灾害性风险或人为失误而遭受重大损失，促进企业实现发展战略。4.2 集团公司全面风险管理的原则包括：融入企业管理过程：风险管理不是独立于企业日常管理、工作流程之外的活动，而是企业各项管理过程中不可缺少的重要组成部分；实行全面、全过程、全员管理：集团公司实施全面风险管理。风险管理不是个别人、专项业务、专业部门的事情，所有员工/部门/单位都应对其负责的目标所产生的风险进行管理，集团公司对所有业务进行全面、全过程的风险管理；全面性与重要性兼顾：企业应在全面风险管理的基础上，务求实效，对重要业务领域、重要流程、重大风险进行重点防控；持续改进：

18、风险管理是适应环境变化的动态过程，随着内部和外部事件的发生、环境及信息的变化，以及控制措施的落实，风险可能会发生变化，一些新的风险可能出现，另一些风险则可能消失。因此，应持续不断地对各种变化保持敏感并做出恰当反应，通过监督检查、绩效评价、调整优化等手段，使风险管理得到持续改进。4.3 集团公司全面风险管理的关键绩效指标包括：重大风险识别率；重大风险发生次数；重大风险事件对企业的影响（包含经济、声誉等方面）。4.4 集团公司全面风险管理需应对的主要风险包括：风险识别不及时、不准确、不全面，或对风险的分析不准确，可能遗漏重大风险，从而无法对其进行有效防控；风险应对措施实施不到位，尤其对于集团年度重

19、大风险、重要风险的控制措施缺乏针对性、操作性，风险防控的有效性不足；重大、重要风险事件上报不及时，可能导致风险事件的进一步恶化，对集团的经济和声誉造成重大损失；项目投标阶段、合同签订阶段以及项目实施阶段风险管理脱节，从而影响项目管控目标的实现；重大事项未开展专项风险评估，或风险评估流于形式，未起到应有的决策辅助作用，从而增加了重大决策失误的可能性。5 风险的分类5.1 集团公司的风险按照大的专业划分可分为五大类：战略类风险、财务类风险、市场类风险、运营类风险、法律类风险等；按照具体的职能专业划分又可分为：投资风险、人力资源风险、质量风险、安全风险、物资风险等，与各部门的职能模块相对应。5.2

20、以能否为企业带来盈利机会为标志，可将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。5.3 按照风险的来源不同可划分为内部风险和外部风险。5.4 根据不同类型的项目（如房地产项目、施工总承包项目），以及项目的不同阶段（如实施阶段、竣工阶段）也可对风险进行分类，例如，根据业务类型可分为房地产项目风险，施工总承包项目风险；根据项目阶段可分为项目实施风险、项目竣工风险。5.5 风险分类本身没有绝对的正确和错误之分，风险分类的目的是便于风险的管理和责任的划分。5.6 应区分风险类型名称与具体的风险:风险是指未来的不确定性对目标的影响，通常用潜在事件、后果或者两者的组

21、合来区分和描述风险，用事件后果（包括情形的变化）和事件发生可能性的组合来分析风险。类似于“战略风险”、“财务风险”、“施工总承包项目风险”等，没有描述潜在事件及后果，因此不能作为具体的风险进行管理，一般只能作为风险类型的名称。6 风险的分级6.1 概述风险的分级主要包括两种方式：1）根据风险涵盖的范围对风险进行分级“风险层级”；2）按照风险发生的可能性与影响程度的组合进行分级“风险等级”。6.2 风险层级6.2.1 根据风险涵盖的范围将风险分为“一级风险”、“二级风险”、“三级风险”等不同层级。如将“财务风险”定为一级风险，则可继续分解出二级风险“资金风险”、“预算风险”等，二级风险“预算风险

22、”又可继续分解出三级风险“预算编制风险”、“预算执行风险”等。风险层级的划分方式总体上与职能与流程划分的等级相对应。6.2.2 风险被有效管理的前提是被清晰的描述。为提高风险管理的针对性和效果，在进行风险管理时，应按照风险层级分解至可管理的具体风险，对潜在事件及后果进行具体描述说明。6.3 风险等级6.3.1 概述6.3.1.1 集团公司风险等级的划分分为定量分析和定性分析两种。定量分析方法将风险等级划分为“极低风险”、“低风险”、“中风险”、“高风险”、“极高风险”五个等级；定性分析方法将风险等级划分为“一般风险”、“重要风险”、“重大风险”。6.3.1.2 在对风险等级进行定性分析前，一般

23、先进行定量分析。6.3.2 风险等级定量分析6.3.2.1 集团公司风险等级定量分析方法主要采用“两维55分析矩阵”：a)将风险发生的可能性和影响程度两个维度分为“极低”、“低”、“中等”、“高”、“极高”五个等级，分别赋予“1”、“2”、“3”、“4”、“5”五个分值。b)风险等级分值=风险发生可能性分值风险影响程度分值，风险等级分值越大，风险等级越高。风险发生可能性和影响程度的具体评分参考标准见附录M、附录N。对于附录M、附录N中的参考标准不适用或不完全适用的风险，相关风险责任部门可根据业务特点单独制定风险等级划分标准，并报本级单位的发展规划部备案或在相关制度/标准中明确，但风险影响程度的

24、严重性标准不应低于附录N中的等级标准。6.3.2.2 集团公司通过“两维55分析矩阵”划分的五个风险等级的对应分值区间依次为：极低风险：风险等级评分3分；低风险：3分风险等级评分6分；中等风险：6分风险等级评分12分；高风险：12分风险等级评分20分；极高风险：风险等级评分20分。6.3.2.3 集团公司各层级单位/部门识别的风险原则上都应使用定量分析方法对风险进行评分和等级划分。6.3.3 风险等级定性分析6.3.3.1 集团公司风险等级定性分析是在风险等级定量分析的基础上，用定性的方法将风险等级进一步划分为“一般风险”、“重要风险”、“重大风险”的过程。风险等级定性分析的主要目的是便于对风

25、险进行沟通与汇报，优化风险应对与监督机制，提高企业资源的利用效率和风险管理效果。6.3.3.2 当对风险等级在定量分析基础上进行定性分析时，一般按照以下原则和方法依次进行风险等级的定性分析：a）风险评分在15分及以上的，一般应为重大风险；评分在8分-15分的，一般应为重要风险；评分低于8分的，一般应为一般风险； b）有具体的风险等级清单的，应按照风险等级清单划分重大、重要风险。例如，在市场经营风险中，将投标评审过程中的“项目需要垫资”、“建设行政审批手续不齐全”等作为风险等级清单中的重大风险项。注：集团各部门应逐步总结归纳、完善本专业的风险等级清单；风险等级清单应在相关业务的管理标准/制度中予

26、以明确。c）对于集团公司/二级单位年度风险评估，一般将风险评分从高到低排序，排名前10的作为年度重大风险候选，排名在11位至20位的风险作为重要风险候选，并可根据风险的关联性以及在各专业部门的分布适当调整重大、重要风险的分布及数量；注：集团公司/二级单位的年度重大、重要风险的确定应经过集体决策（具体程序见本标准9.3.4条的相关规定），并经过董事会或类似机构最终批准。d）可采用情景分析法、头脑风暴法、业务影响分析等方法穿插在上述原则、方法中，或对风险等级进行进一步分析确定。6.3.3.3 当进行“风险专项管理”、“项目型专项风险管理”时，应同时对相关风险进行定量和定性分析；当进行“常规风险管理

27、”时，可只对风险进行定量分析。“风险专项管理”、“项目型专项风险管理”、“常规风险管理”三种风险机制具体见本标准“9 风险管理机制”的相关内容。6.3.3.4 对风险等级进行定性划分时应注意：a)集团公司重大、重要风险判定的关键不在于风险是哪个层级单位、哪个部门识别出来的，关键在于风险对集团公司目标的影响程度及其发生的可能性。各二级单位识别的本单位的某些重大、重要风险如对集团公司也会造成潜在重大影响，且发生的可能性较大的，则这样的风险不仅是二级单位的重大、重要风险，也应该作为集团公司的重要风险甚至重大风险。同样，集团总部各部门识别的本专业的风险也可能是集团公司重要甚至重大风险。b)风险的严重性

28、等级和实施具体风险管控的组织层级是不同的概念，并不是简单的对应关系：集团的重大、重要风险并不一定都是由集团总部直接管理，而二级单位、项目部管理的风险并不一定只是集团公司层面的一般风险。例如，对于集团总部的一项重大风险“应收账款风险”，各二级单位是此风险的直接管控主体，集团总部相关部门是牵头和监管部门，“应收账款风险”需要集团各层级、相关部门共同管控；同样，某些二级单位识别的风险如果管理不到位，可能演变为集团公司的重大风险事故，例如，某二级单位某一个项目部出现了重大安全隐患（风险），管理、整改的直接责任主体仍然是项目部，但是二级单位相关部门应加强指导、监督与整改验收，集团总部相关部门也应对二级单

29、位及项目部的相关工作进行指导、监督检查和复核。7 风险库的管理7.1 总要求各级单位的发展规划部是本级单位风险类型库、风险信息库和风险案例库的统一归口管理部门，负责定期收集、更新、发布风险类型库和风险信息库，必要时收集、发布各部门/单位在风险管理方面成功或失败的案例，建立本单位的风险管理案例库，与风险类型库和风险信息库一起作为风险管理方面的知识库，供相关部门、单位参考使用。7.2 风险类型库的管理7.2.1 风险类型库（参见附录K）按照一定的格式进行建立，主要包括：编号、一级风险类型、二级风险类型、三级风险类型等部分组成，一级风险类型以战略、市场、运营、财务和法律五大类风险为基础进行归类管理，

30、二级风险类型以各大类风险下的业务类型为基础进行分类管理，三级风险类型以二级风险类型为基础对相关的风险因素进一步细化。如有必要，可分解至四级甚至五级风险类型，以增强风险类型库的参考价值。风险类型库的风险层级并不是固定的，可根据企业管理的需要、职能的变化等因素由归口管理部门进行适当调整，如：直接按照一级职能/流程分类作为风险类型库中的一级风险，并按照职能/流程的分级分解出二级风险、三级风险。7.2.2 风险类型库的维护是一项日常工作。风险类型的收集应尽量涵盖集团公司生产经营管理的各方面、各环节和各业务模块，以达到对内部业务的全覆盖；各类风险归口管理部门负责收集本部门职责范围内的风险管理相关信息，归

31、纳风险类型，持续更新与完善，当有变化时应及时向本级发展规划部报送。各级单位的发展规划部动态收集、整理、维护集团公司风险类型库。风险类型信息的来源包括但不限于：a)国内外标准、法律法规，上级单位的要求；b)企业风险信息收集表；c)企业已发生的风险案例；d)管理标准中的风险控制矩阵。7.3 风险信息库的管理7.3.1 风险信息库主要来源于各部门/单位提交的风险信息收集表、流程/标准中的风险控制矩阵、各单位/部门接受内外部审核、评价发现的缺陷及风险、上级单位的相关文件、集团领导要求关注的风险等。7.3.2 各级单位的发展规划部负责收集、整理本单位的风险信息库，并不断积累、更新，必要时予以发布。风险信

32、息库可作为集团年度重大风险识别与评价的重要输入。7.4 风险管理案例库的管理7.4.1 风险案例库的建立是一项日常工作，各部门、单位、岗位均有收集职责范围内相关风险事件案例的职责。7.4.2 风险案例可包括集团公司内部发生的案例，也可是国内外其他同行、跨行企业的相关风险案例；可以是因风险管理不到位导致企业受损失的案例，也可以是风险管理机制有效运行、风险管理措施有效执行从而为避免损失、增加收益的案例。能为集团公司某方面的管理起到风险警示作用的均可作为风险案例进行收集与整理。7.4.3 风险案例应包括风险事件过程描述、造成损失和影响、原因剖析、给企业风险管理工作带来的启示等内容。各部门/单位应随时

33、收集风险案例，尤其是重大风险事件、具有较大影响力的典型案例，并根据各级发展规划部的要求按时提交。风险案例一般与部门/单位的风险信息同时提交。7.4.4 各级发展规划部应及时对收集的风险案例进行整理，根据管理需要适时发布。发布的方式可以包括但不限于：在公司的OA系统上对风险案例进行专项发布；整理装订成风险案例汇编材料进行发放；在相关工作报告中进行介绍。8 风险管理的基本流程及总体性要求8.1 概述风险管理的基本流程主要包括：收集风险初始信息，风险评估，风险应对，风险监督与改进。8.2 风险初始信息的收集8.2.1 风险初始信息收集的方法主要包括：资料收集、访谈、调查问卷、流程梳理、历史事件分析等

34、。集团公司各单位/部门应广泛、持续不断地关注、收集与本单位/部门风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。风险信息收集是各部门/单位、各岗位日常工作的一部分，是风险识别的基础。风险初始信息不一定需要形成正式的文件或记录，具体收集及整理的方式方法由各部门/单位自行决定。8.2.2 战略风险初始信息集团发展规划部作为战略风险的归口管理部门，应广泛收集国内外企业战略风险失控导致企业蒙受损失的案例，重点关注、收集的风险初始信息包括但不限于：国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策；市场对集团公司产品或服务的需求；与集团公司战略合作伙伴的关系，未来寻求战略合作伙

35、伴的可能性；集团公司主要客户、供应商及竞争对手的有关情况；与主要竞争对手相比，集团公司的优势与差距；集团公司战略规划、投融资计划、年度经营目标，以及编制这些战略、规划、计划、目标的有关依据；集团公司对外投融资业务中曾发生或易发生错误的业务流程或环节等。8.2.3 市场风险初始信息集团经营计划部、国际事业部分别作为集团公司国内、国外市场开发的归口管理部门，应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例，重点关注、收集的市场风险初始信息包括但不限于：国内外政治经济环境、行业政策的变化；产品或服务的价格及供需变化；核心客户、重点客户的信用情况；客户满意度、客户忠诚度的变化；税收

36、政策和利率、汇率指数的变化；潜在竞争者、竞争者及其主要产品、替代品情况。8.2.4 财务风险信息收集集团财务部作为集团公司财务风险的归口管理部门，应广泛收集国内外企业财务风险失控导致危机的案例，重点关注、收集的风险初始信息包括但不限于：负债、或有负债、负债率、偿债能力；现金流、应收账款及其占销售收入的比重、资金、资金周转率；产品存货及其占销售成本的比重、应付账款及其占购货额的比重、可能产生坏账的信息；生产成本和管理费用、财务费用、营业费用；盈利能力；成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节；与本企业相关的行业会计政策、税务政策、会计估算、与国际会计制度的差异与调整等

37、信息。8.2.5 法律风险信息收集集团法律合规部作为集团公司法律风险的归口管理部门，应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例，应重点关注、收集的风险初始信息包括但不限于：国内外与本企业相关的政治、法律环境；影响企业的新法律法规和政策；集团公司签订的重大协议及有关贸易合同；集团公司发生重大法律纠纷案件的情况；集团公司竞争对手的知识产权情况。8.2.6 运营风险初始信息运营风险根据集团各部门的职责分工由相应部门分别负责。集团各部门应广泛收集与本部门职责相关的国内外企业忽视运营风险、缺乏应对措施导致企业蒙受损失的案例，应重点关注、收集的风险初始信息包括但不限于：企业组

38、织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验；企业人力资源的开发、激励，关键人员的流动及内外部招聘等方面；常用设备的故障和缺陷等方面；集团公司各类项目外委过程中可能出现的风险；质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节；分包方、物资与设备等外部供应的充足性、稳定性和价格变化；企业内部的各项管理流程是否合规、高效，以及内部管理混乱造成的风险；因企业内、外部人员的职业道德风险致使企业遭受损失或业务控制系统失灵；给企业造成损失的自然灾害、舆论危机等；对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力；企业风险管理的

39、现状和能力；项目投标、实施和收尾阶段的内部和外部风险。8.3 风险评估8.3.1 风险评估包括风险识别、风险分析和风险评价三个步骤。风险评估应由企业组织有关职能部门和业务单位实施，也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。8.3.2 风险识别8.3.2.1 风险识别是指对风险初始信息进行分析，识别风险源、影响范围、事件及其原因和潜在的后果，并对具体风险进行描述的过程。识别风险不仅要考虑有关事件可能带来的损失，也要考虑其中蕴含的机会。风险识别时，应重视已经发生的风险事件，特别是新近发生的风险事件。8.3.2.2 风险识别的常用方法包括情景分析、检查表法、历史事件/案例分析法、

40、访谈、头脑风暴法、压力测试等。8.3.2.3 集团公司所有员工均有识别其职责范围内工作风险的责任。8.3.3 风险分析8.3.3.1 风险分析是对识别出的风险进行定性/定量分析的过程，风险分析是风险评价和风险应对的前提和基础。风险分析要考虑导致风险的原因和风险源，风险事件的正面和负面的后果及其发生的可能性，还要考虑现有的管理措施及其效率与效果。8.3.3.2 在风险分析中，应考虑企业的风险承受度，并适时与上级管理者、其他利益相关者及时沟通。8.3.3.3 根据风险分析的目的、获得的信息数据和资源，风险分析可以是定性的、定量的或以上方法的组合。一般情况下，可首先采用定性分析，初步判定风险等级；必

41、要时，进行更具体的定量分析。集团公司的风险分析的方法与要求见本标准“9 风险管理机制”的相关要求。8.3.3.4 风险分析的常用方法包括风险调查问卷、专题会议或专家评估等。8.3.4 风险评价8.3.4.1 风险评价是根据风险分析的结果进一步确定风险等级的过程，是风险应对的基础。8.3.4.2 进行风险评价时，可将风险分析的结果与风险准则比较，也可在各种风险的分析结果之间进行横向比较。风险准则是评价风险重要性的依据，可采用定性或定量的方式进行说明，风险准则一般与各项管理规定中的分级管理的严重性标准相对应，例如，在项目进度管理中，如将总工期延误超过60天作为工期严重滞后的等级标准，则在项目进度风

42、险管理中可将工期延误超过60天作为项目工期风险等级判定的准则。8.3.4.3 集团各部门应逐步对职责范围内的工作进行分级管理，制定不同事项等级划分的标准，并在相关制度/标准中予以明确，作为相关风险评价的准则性依据；对于没有制定或不易制定等级划分标准/风险准则的，一般应通过相关人员集体研究确定风险的最终等级。8.4 风险应对8.4.1 风险应对是指在风险分析与评价的基础上，选择并执行一种或多种改变风险的措施（包括改变风险事件发生的可能性或后果的措施）的过程。风险应对决策应当考虑各种环境信息，包括内部和外部利益相关者的风险承受度，以及法律、法规和其他方面的要求。8.4.2 风险应对措施的制订和评估

43、可能是一个递进的过程。应评估采取风险应对措施后的剩余风险是否可以承受，如果剩余风险不可承受，应调整或制定新的风险应对措施，并评估新的风险应对措施的效果，直到剩余风险可以承受。执行风险应对措施会引起风险的改变，因此需要跟踪、监控风险应对措施的执行效果和企业的有关环境信息，并对变化的风险进行评估，必要时重新制订风险应对措施。8.4.3 风险应对措施可包括下列各项：决定停止或退出可能导致风险的活动以规避风险；增加风险或承担新的风险以寻求机会；消除具有负面影响的风险源；改变风险事件发生的可能性的大小及其分布的性质；改变风险事件发生的可能后果；转移风险；分担风险；保留风险等。8.4.4 集团公司常用的风

44、险应对策略包括风险规避、风险降低、风险分担和风险承受等四种，不同的风险应对策略对应的风险特征和需要采取的控制措施有所不同：风险规避：对于发生概率高，影响程度大的风险，可以采取风险规避策略，通过放弃或停止与风险相关的业务活动以避免和减轻损失；风险降低：对于发生概率高，影响程度不大的风险，可以采取风险降低策略，通过采取适当的控制措施降低风险事件发生概率或减轻风险事件发生后的损失，将风险控制在可承受范围之内；风险分担：对于发生概率不高，但影响程度较大的风险，可以采取风险分担对冲策略，通过采取业务分包、购买保险等补偿方式和适当的控制措施，将风险控制在可承受范围之内；风险承受：对于发生概率较低，影响程度

45、也较小的风险，综合比较风险的后果和控制的成本，可以采取风险承受策略，即不采取特殊控制措施。其中，“应急管理”是“风险降低”策略中减轻风险发生后损失的重要机制。集团公司各相关部门应注重自然灾害、事故灾难、公共卫生事件、社会安全事件及其与集团生产、经营、管理相关的突发事故/事件的应急管理，按照集团办公室的要求做好应急预案管理，具体见集团公司办公室制定的应急预案管理制度。8.4.5 选择风险应对措施8.4.5.1 选择适当的风险应对措施时需考虑的因素包括但不限于：法律、法规、社会责任和环境保护等方面的要求；风险应对措施的实施成本与收益；选择几种应对措施，将其单独或组合使用；利益相关者的要求和价值观、

46、对风险的认知和承受度以及对某一些风险应对措施的偏好。8.4.5.2 风险应对措施在实施过程中可能会无效或未达到控制目标。因此，应把监督作为风险应对措施的实施计划的有机组成部分，以保证应对措施持续有效。8.4.5.3 风险应对措施可能引起次生风险，对次生风险也需要评估、应对、监督和检查，必要时及时调整风险应对措施。8.4.5.4 各级风险管理责任部门/岗位在选择风险应对措施时应充分考虑采取风险应对措施后的剩余风险的性质和程度。8.4.6 制定风险应对计划8.4.6.1 在选择了风险应对措施之后，需要制定相对应的风险应对计划。风险应对计划中应当包括以下信息：风险管理责任人及实施风险应对措施的人员安

47、排；风险应对措施涉及的具体业务和管理活动；选择多种可能的风险应对措施时，实施风险应对措施的优先次序；能够起到风险监控和预警的绩效指标及其标准（如有）；报告和监督、检查的要求；与适当的利益相关者的沟通安排；执行时间表等。8.4.6.2 风险应对计划应尽量与日常管理过程和管理体系文件整合，能固化到制度/标准中的应固化在相关规范文件中，对相关风险进行常规化、日常化控制。8.5 监督检查8.5.1 风险的监督和检查工作包括：监测事件，分析变化及其趋势并从中吸取经验与教训；发现内部和外部环境信息的变化，包括风险本身的变化、可能导致的风险应对措施及其实施优先次序的改变；监督并记录风险应对措施实施后的剩余风

48、险，以便在适当时做进一步处理；适用时，对照风险应对计划，检查工作进度与计划的偏差，保证风险应对措施的设计和执行有效；报告关于风险、风险应对计划的进度和效果；实施风险管理绩效评估。8.5.2 风险管理的专项绩效考核应纳入集团公司的绩效管理体系中，按照集团公司绩效管理的相关制度/标准的进行整体性设计与实施。8.5.3 监督和检查活动包括定期或不定期检查，相关检查应被列入风险应对计划。需要时，监督和检查的结果应当有记录并对内或对外报告。8.6 信息与沟通8.6.1 各部门/单位在风险管理过程中应当与内部和外部利益相关者有效沟通，以保证实施风险管理的责任人和利益相关者能够理解集团风险管理决策的依据，以

49、及需要采取某些行动的原因。8.6.2 集团公司各层级单位/部门应加强内部沟通和报告，以明确风险的责任和归属，风险管理的相关信息在适当的层次和时间予以获得和共享。8.6.3 集团公司各层级单位/部门应加强外部沟通和报告，沟通与报告的事项包括但不限于：法律法规和管理要求的遵守情况，紧急或突发事件发生及处理情况，风险管理目标完成情况等。8.6.4 集团公司各层级单位风险报送的渠道要求：一般情况下，集团公司项目部的风险信息上报单位为二级单位相关风险归口管理部门，二级单位各部门风险信息报送单位遵循两条路径：本单位发展规划部和集团公司对应风险归口管理部门，集团公司各部门的风险信息报送单位为集团发展规划部（

50、在报送发展规划部前应先报送分管领导审核）；特殊情况下，当出现紧急且重大或重要风险（含风险事故）时，项目部应同时向二级单位及集团公司相关部门报送相关风险信息，必要时直接向集团公司相关领导报告；二级单位相关部门应同时向本单位相关领导及集团公司相关部门报送相关风险信息，必要时直接向集团公司相关领导报告；集团相关部门应同时与集团相关风险涉及部门沟通、向集团相关领导报告。报告可采用书面形式，也可采用口头形式。当风险（含风险事故）得到有效控制后，应按照上述一般情况下的报送渠道报送风险管控相关信息。8.6.5 集团公司各部门应在制度/标准中明确职责范围内相关业务风险信息沟通与汇报具体时限及渠道要求。8.6.

51、6 风险信息应尽量融入在相关书面工作报告或口头汇报中，不必单独沟通或汇报；必要时，按照相关归口部门的要求进行专题沟通或汇报。9 风险管理机制9.1 总则9.1.1 风险管理是集团公司各层级组织、员工日常工作的一部分。基于风险的思维是实现风险管理目标的重要基础，在企业管理的各个环节和过程中执行风险管理的基本流程是实现风险管理目标的重要手段，建立具有风险意识的企业文化是实现风险管理目标的重要保障。9.1.2 集团公司各级组织、各层级员工在决策、计划、组织、指导、协调、控制各项管理活动中都应以风险为导向，应用风险管理的理念、原则、流程、方法和工具，促进各类管理目标的实现和企业持续的成功。9.2 风险

52、管理机制概述为提高集团公司风险管理的效率和效果，提升集团公司风险管理水平，根据工作特点和风险管理方式的不同，将集团公司风险管理分为三种主要管理机制，三种机制与工作特点、风险管理方式的对应关系如下图所示：a)“风险专项管理”将风险作为一项专项工作进行管理：每年年底对下一年度的风险进行识别与分析，评价出重大风险、重要风险，作为下一年度企业各项重点工作的重要输入，各重大、重要风险管理责任单位/部门动态跟踪监控重大、重要风险管理情况，评估剩余风险并识别新的风险，对风险进行动态管理。除年度重大风险、重要风险外，各级单位/部门开展日常风险信息收集、风险评估与应对工作，并按照风险归口管理部门的要求，及时报送

53、风险管理专项信息。风险专项管理中的重大、重要风险管理是集团公司年度重点工作中的重要组成部分。b)“常规风险管理”将风险管理融入到集团公司各部门、各层级单位的标准（含流程）/制度中，进行规范化、标准化、日常化管理。在标准/制度制定/修订过程中，对与标准/制度内容相关的风险进行识别、分析、评价，在标准/制度和流程中固化风险应对措施，并在日常工作中执行相关措施。常规风险管理是集团公司风险管理工作的基本形式。c)“项目型专项风险管理”对个性化、项目型事务开展专项风险评估，充分揭示风险，制定专项风险应对措施。必要时，应编制专项风险评估报告，供相关领导、单位/部门进行决策。个性化、项目型工作包括但不限于具

54、体工程项目（尤其是投融资项目、海外项目）的跟踪、投标、项目实施，以及“三重一大”事务（具体见党委工作部制定的“三重一大”管理相关制度/标准）。项目型专项风险管理是集团公司需要不断强化的方面。9.3 风险专项管理9.3.1 日常风险信息的收集与评估9.3.1.1 集团各部门/单位/岗位应持续开展风险信息的收集与识别，需要重点开展风险信息收集与识别的时机一般包括但不限于：每年年底对年度风险工作进行总结后，开始收集与识别未来一年的风险；在制定部门年度/季度/月度工作计划时,开始收集与识别与完成年度/季度/月度工作目标相对应的风险信息；接收到风险管理归口部门通知或要求时；在日常工作中认为有必要时。9.

55、3.1.2 各部门/单位/岗位可参照风险类型库（见附录K）中相关因素进行风险识别，也可根据上级单位、领导的要求和工作实际进行识别。各层级单位各相关部门应及时对风险信息进行筛选整理，将风险信息填写到风险信息识别表中（见附录F），并对风险发生的可能性（见附录M）和影响程度（见附录N）进行分析、打分，提交上级领导审核。对于重大、重要风险或需要快速做出应对的风险，各部门相关人员可先向上级管理部门及领导进行书面或口头汇报，汇报后再填写风险信息识别表。具备条件的相关部门/单位可直接在信息系统中收集、评估、上传风险，但相关风险信息应形成记录，并且做到可查阅和追溯。9.3.1.3 一般情况下，集团/二级单位各

56、部门于每个季度首月的3个工作日内，将本部门季度风险评估结果报送至本单位发展规划部，发展规划部应在3个工作日内汇总整理本单位季度风险评估结果，报分管领导审批。二级单位各部门应将本部门季度风险评估结果报送本级发展规划部的同时也报送至集团总部直属上级管理部门，二级单位发展规划部将本单位季度风险评估结果进行汇总整理后报送至集团发展规划部，集团各业务部门对本专业的风险信息识别表进行汇总整理后报送至集团发展规划部。对于有重大风险或重要风险的，应在评估后第一时间按照上述程序报送。集团公司及二级单位发展规划部对各部门风险信息收集、评估及报送情况开展不定期检查，发现重大、重要风险（包含已发生的风险事件，下同）不

57、及时上报的将纳入风险与内控专项绩效考核中。9.3.1.4 集团公司及二级单位的发展规划部可甄选出有代表性的风险管理信息（非涉密）适时登载在内部信息系统，供全系统进行交流、参考和警示。9.3.1.5 日常风险信息收集与评估流程及相关要求详见附录A。9.3.2 日常风险应对与控制9.3.2.1 各责任单位、责任部门根据职责分工，在规定的时间内确定风险应对策略、制定风险应对措施，形成风险解决方案。风险应对策略包括但不限于风险规避、风险分担、风险降低、风险承受，风险应对措施应满足以下要求：风险应对措施应基于风险原因的充分分析，在考虑成本与收益的同时，保证风险应对措施有针对性、操作性，能起到实际效果；风

58、险应对措施应关注风险全过程管理、突出事前防范，防患于未然；风险应对措施应经过各部门内部充分研究、分析，对于复杂的跨部门的风险，牵头责任部门应组织相关部门共同研究、确定风险应对措施；必要时，可考虑几种应对措施相结合。9.3.2.2 集团/二级单位各部门、相关岗位员工应将控制风险作为日常工作的一部分，将风险应对措施与年度、季度、月度、周工作计划相结合，形成文件并记录存档。9.3.2.3 重大、重要风险的应对措施应经过各责任部门分管领导审批，审批通过后由责任部门进行风险控制，并将重大、重要风险应对措施提交至发展规划部。对于二级单位，各部门还应将重大、重要风险应对措施即时报送至集团总部直属管理部门。对

59、于非重大风险、重要风险，由各责任部门制定应对措施后直接进行风险控制，同时做好相关文件的存档工作。9.3.2.4 二级单位发展规划部汇总各责任部门制定的重大、重要风险应对措施后报送至集团发展规划部。集团发展规划部对集团相关部门和二级单位发展规划部报送的重大、重要风险应对措施的适应性和有效性进行审核，若应对措施不适宜，应报公司分管领导甚至总经理审批，并将领导的意见向相关部门/单位反馈，同时对相关部门的修改情况进行审核确认。各责任部门/责任单位在报送重大、重要风险应对措施的同时，应注重对风险的应急处置和危机处理，避免风险事件的发生或进一步恶化。对于涉及多部门、多业务的重大风险因素，集团公司/二级单位

60、相关风险责任部门的分管领导应组织相关部门进行研讨、分析，以保证风险管理方案具有可操作性，切实能够将风险控制在可接受的范围内。9.2.2.5 日常风险应对与控制流程及相关要求详见附录B。9.3.3 日常风险监督与改进9.3.3.1 集团/二级单位相关部门应在风险控制计划中的时间节点对风险应对情况进行监督检查，重点关注重大、重要风险应对措施的落实情况及效果，重大、重要风险管控不到位或未达到预期效果的，应及时向上级领导汇报。对日常风险进行监督检查后应填写风险监控信息表（模板见附录G），同时评价风险控制效果以及是否有剩余风险：如风险应对措施无法有效防控识别的风险，应重新制定风险应对措施；如产生了新的次