《公司全面风险管理指引》

3〔暂行》的通知各单位、机关各部室：为加强风险治理工作，建立标准、有效的风险治理和内部把握体系，提高经营治理水平和风险防范力气，促进公司总体战略和经营目标的实现，特制定《全面风险管理指引〔暂行〕》，现予以下发，请遵照执行。公司全面风险治理指引〔暂行〕第一章总则第一条为加强公司〔以下简称“公司”〕风险治理工作，建立标准、有效的风险治理和内部把握体系，提高经营治理水平和风险防范力气，促进公司总体战略和经营目标的实现，依据《中心企业全面风险治理指引》、《企业内部把握根本标准》、《企业内部把握应用指引》、《企业内部把握评价指引》、《风险治理—原则与指南》及其他有关法律、法规和标准性文件，结合公司实际制定本指引。其次条本指引适用于公司及所属分公司、全资子公司、控股子公司、重要的联营合营企业、相关的事业单位〔以下简称“经营单位”〕，其他企业参照执行。第三条本指引是基于现阶段公司风险治理实际状况，并借鉴国内先进企业风险治理理念与阅历，通过阶段性建设不断提升公司风险治理水平。本指引为现阶段公司风险治理工作实施的暂行文件。第四条本指引所称风险是指将来的不确定性对公司实现战略和经营目标的影响。公司风险包括：战略风险、运营风险、财务风险、市场风险和法律风险等。第五条本指引所指风险包括纯粹风险和时机风险。纯粹风险指仅能带来损失的风险，公司应乐观实行把握、躲避和转移纯粹风险，避开损失或降低纯粹风险的影响程度。机会风险是指可能带来损失或收益的风险，公司应乐观应对、担当进而驾驭时机风险，削减损失并猎取超额收益。第六条本指引所称全面风险治理是指公司围绕总体战略和经营目标，通过在经营治理的各个环节和过程中执行风险治理的根本流程，培育良好的风险治理文化，建立健全风险治理体系，从而为实现风险治理的总体目标供给合理保证的过程和方法。全面风险治理包含内部把握。第七条本指引所称的内部把握是指围绕公司进展战略及经营目标，全员参与实施，通过对目标实现过程的把握及有关机制、制度、流程等进展的持续优化、科学治理，以实现公司经营治理合法合规、资产安全、财务报告及相关信息真实完整、不断提升公司经营治理绩效和风险防范力气的过程。其次章风险治理目标和原则第八条公司全面风险治理的目标是保障经营治理的有效性，降低实现战略目标的不确定性，通过削减损失和危害制造价值。依据智能风险治理理念，风险治理力气一般可分为无意识型、松散型、自上而下型、系统型和智能型。公司现阶段致力于自上而下建立健全全面风险治理体系，阶段性目标是依据ISO31000:2023标准，通过两至三年时间建设完成系统2023年建设成为先进的智能型风险治理体系，将风险治理打造成为公司核心竞争力之一。第九条依据公司战略规划和经营目标，全面风险治理遵循如下原则：〔一〕全面性原则。风险治理应当贯穿决策、执行和监督全过程，掩盖公司及各经营单位的各种风险。〔二关留意大风险，实施重点治理。〔三〕适应性原则。风险治理应当与公司经营实际状况相适应，并随着状况的变化持续调整改进。〔四〕制衡性原则。风险治理应当在治理构造、机构设置及权责安排、业务流程等方面形成相互制约、相互监视。〔五上下结合，左右互动，形成合力”，由公司各职能部门、业务板块和经营单位应相互协作、协同合作、流程顺畅、保障效率，取得实效。〔六〕主体责任原则。风险治理应当明确主体责任，各职能部门、业务板块和经营单位在各自经营治理范围内担当风险治理责任，即“谁负责损益，谁治理风险；谁履行职能，谁治理风险”。〔七〕本钱效益原则。风险治理应当权衡风险治理本钱与经营效益，以适当的本钱实现有效风险治理。〔八〕循序渐进原则。风险治理应当针对现阶段薄弱环节，选取有代表性的经营单位试点开展，并逐步在公司范围内推广。第三章风险治理组织体系第十条公司全面风险治理的组织体系包括董事会、风险把握委员会、风险把握部、各职能部门、各业务板块、各经营单位和审计治理中心。第十一条公司风险治理由三道防线构成，公司各职能部门、业务板块和经营单位为第一道防线；风险把握部和风险把握委员会为其次道防线；审计治理中心为第三道防线。第十二条董事会是公司全面风险治理工作的领导机构，其在风险治理方面的职责包括：〔一〕批准公司年度全面风险治理报告；〔二〕确定公司风险治理总体目标、风险偏好、风险承受度，批准风险治理策略和重大风险治理应对方案；〔三〕了解和把握公司面临的各项重大风险及其风险管理现状，做出有效把握风险的决策，批准重大风险的评估报告；〔四〕批准公司风险治理与内部把握组织机构设置及其职责方案；〔五〕批准审计部门或机构提交的风险治理监视评价报告、内部把握评价报告；〔六〕督导公司风险治理文化的培育；〔七〕批准全面风险治理的其他重大事项。第十三条风险把握委员会是公司董事会设立的风险治理特地机构，在董事会授权范围内行使以下职责：〔一〕审议公司全面风险治理报告；〔二〕审议风险治理策略和重大风险治理应对方案；〔三〕审议重大风险的评估报告；〔四〕审议公司风险治理与内部把握组织机构设置及其职责方案；〔五〕审议审计部门提交的风险治理监视评价报告、内部把握评价报告；〔六〕在董事会授权下审批风险治理与内部把握制度；〔七〕办理董事会授权的有关风险治理的其他事项。第十四条风险把握部是公司全面风险治理工作的主管部门，是公司的风险策略争论中心、风险决策支持中心、风险预警监测中心、风险治理报告中心、风险治理协调中心。风险把握部主要履行以下职责：〔一〕争论提出公司全面风险治理报告；〔二〕争论提出风险治理与内部把握制度、流程并监视实施；〔三〕争论提出风险治理策略和重大风险治理应对方案，并负责组织实施方案和日常监控风险；〔四〕争论提出重大风险的评估报告；〔五〕负责对全面风险治理有效性的评估，争论提出风险治理与内部把握的改进方案；〔六〕负责组织建立风险治理信息系统；〔七〕负责协调、指导、监视有关职能部门、业务板块和各经营单位开展风险治理与内部把握工作；〔八〕风险治理人员资质治理；〔九〕办理与风险治理和内部把握有关的其他工作。第十五条公司其他职能部门在全面风险治理工作中，应承受风险把握部的协调、指导和监视。风险把握部监视各职能部门履行风险治理职能，侧重于风险治理制度和流程执行状况，并不介入和替代其具体治理工作。各职能部门主要履行以下职责：〔一〕执行公司风险治理原则与流程，依据本部门职能对具体风险进展治理；〔二〕争论提出本部门的风险治理报告；〔三〕做好本部门的内部把握流程、制度的编写及内部把握自我评价工作；〔四〕做好本部门与风险治理信息系统相关工作；〔五〕做好本部门风险治理文化建设工作；〔六〕办理风险治理其他有关工作。第十六条公司各职能部门应设立风险治理、内部把握治理岗位。第十七条公司各经营单位负责本单位的全面风险治理工作，建立符合自身特点的风险治理与内部把握组织体系，并承受公司风险把握部的指导与监视。第十八条各经营单位负责人为风险治理与内部把握第一责任人。各经营单位应由总经理或总经理托付的高级治理人员负责主持全面风险治理的日常工作。第十九条各经营单位应确定相关职能部门履行全面风险治理与内部把握职责；如依据实际状况需设立专职风险管理部门，应符合公司相关要求。未设立专职风险治理部门的单位应设置特地的风险治理与内部把握治理岗位。其次十条公司审计治理中心负责争论提出全面风险治理出具监视评价报告。审计治理中心负责公司内部把握评价工作，出具内部控制评价报告。其次十一条风险治理与内部把握治理岗位任职人员应具备风险治理专业力气。风险把握部负责通过培训、考核等方式，建立风险治理人员资质治理制度，提高风险治理队伍人员素养。第四章风险治理流程其次十二条风险治理流程包括：风险治理信息收集、风险评估、风险治理策略制定、风险治理解决方案和风险管理监视与改进。其次十三条公司各职能部门、业务板块和经营单位应广泛、持续不断地收集与风险和风险治理相关的内部、外部信息，包括历史数据和将来推想。其次十四条公司各职能部门、业务板块和经营单位应对收集的初始信息进展必要的筛选、提炼、比照、分类、组合，以便进展风险评估。其次十五条风险评估包括风险识别、风险分析、风险评价三个步骤。风险识别是指查找各项重要经营活动及业务流程中是否存在风险，存在哪些风险。风险分析是对识别出的风险及其特征进展明确的定义描述，分析风险发生可能性的凹凸、风险发生的条件。风险评价是评估风险的影响程度、风险的价值等。其次十六条风险评估应依据风险特点，将定性与定量方法相结合。定性方法可承受问卷调查、集体争论、专家询问、情景定量方法可承受统计推论、计算机模拟、失效模式与影响分析、大事树分析等。其次十七条风险把握部负责全面评估公司风险，建立公司风险数据库和风险矩阵。风险数据库实行动态治理，每年度更维护。风险数据库的内容包括风险点、风险产生原因、风险发生后果、风险发生可能性及影响程度等。其次十八条各职能部门、业务板块和经营单位负责评估自身风险，建立风险数据库，每年度更维护，并向风险把握部报送评估结果。其次十九条风险把握部每年至少进展一次风险问卷调查，调查范围应掩盖公司治理层、各职能部门和各经营单位负责人。调查内容应包含风险发生可能性和影响程度，并针对不同的调查对象设置相应的权重。第三十条公司整体或重大工程的风险评估，经批准可聘请有资质、信誉好、风险治理专业力气强的中介机构帮助实施。10第三十一条公司应依据自身条件和外部环境，围绕公司进展战略，逐步依据不同业务特点确定风险偏好、风险承受度，明确风险的最低限度和最高限度，并据此确定风险的预警线及相应实行的对策。第三十二条公司和经营单位应建立风险监测预警体系，设定监测指标和监测预警值，并定期监测。监测指标应为定量化指标，并掩盖各类重大风险。监测预警值应实行行业标杆比较、行业绩效对标、历史数据法、预算值法、行业监管值法等方式确定。第三十三条公司应结合实际状况，选取试点单位，适时引入风险预算机制。第三十四条公司风险治理应选择风险担当、风险躲避、风险转移、风险转换、风险对冲、风险补偿、风险把握等适合的方法。第三十五条公司应依据风险与收益相平衡的原则以及各类风险在风险矩阵中的位置，进一步确定风险治理的优选挨次，明确风险治理本钱的资金预算和把握风险的组织体系、人力资源、应对措施等总体安排。第三十六条公司应依据风险治理策略，制定风险治理解决方案。方案应包括风险解决的具体目标，所需的组织领导，所涉及的治理及业务流程，所需的条件、手段等资源，风险大事发生前、中、后所实行的具体应对措施以及风险管理工具。公司各职能部门、业务板块和经营单位应依据职责分工，认真组织实施风险治理解决方案，确保各项措施落实到位。第三十七条各经营单位按要求每季度编制风险治理报告，向风险把握部报送并同时抄报其主管部门。风险把握部可依据风险治理实际需求，要求经营单位每月度编制风险管理报告。第三十八条各职能部门按要求每季度编制风险治理报告，并向风险把握部报送。第三十九条风险把握部负责每季度编制公司风险治理报告，并向风险把握委员会报送。公司年度全面风险治理报告经风险把握委员会审议后，报董事会批准。第四十条风险治理报告内容应包括风险治理工作完成状况、风险评估状况、重大风险治理状况、风险监测预警情况、风险治理工作安排和风险治理建议等。第四十一条各职能部门、业务板块和经营单位对重大风险事项应准时形成风险治理报告，并向风险把握部、风险把握委员会报送。第四十二条公司应以重大风险、重大大事和重大决策、重要治理及业务流程为重点，对风险治理初始信息、风险评估、风险治理策略、关键把握活动及风险治理解决方案的实施状况进展监视，依据变化状况和存在的缺陷准时加以改进。第四十三条各职能部门、业务板块和经营单位应结合年度经营打算和工作打算提出风险治理工作打算、目标和实施措施。第四十四条风险把握部依据实际需要对各职能部门和经营单位风险治理工作实施状况和有效性进展抽查和检验，对风险治理策略进展评估，对各职能部门和经营单位的风险治理解决方案进展评价，提出调整或改进建议。第四十五条审计治理中心应对包括风险把握部门在内的各职能部门和经营单位能否依据有关规定开展风险治理工作及其工作效果进展监视评价，监视评价报告应直接报送风险把握委员会。第四十六条各职能部门、业务板块和经营单位的风险治理执行状况应适时与绩效薪酬挂钩。各经营单位风险治理工作完成状况，应纳入公司“五型”企业评比体系。第五章内部把握治理第四十七条公司及各经营单位应建立并完善内部把握制度。各单位应依据相关法律法规与公司内部把握制度，结合本单位实际状况，制定相关内部把握治理制度。第四十八条公司及各经营单位应依据相关制度，结合本单位实际状况，制定并完善《内控治理手册》。《内控管理手册》包括内部把握制度、流程等，《内控治理手册》至少每年度维护更一次。第四十九条各经营单位应每年度至少组织实施一次内部把握自我评价，形本钱单位内部评价并报送风险把握部。第五十条内部把握评价，是指对内部把握的有效性进行全面评价、形成评价结论、出具评价报告的过程。第五十一条内部把握评价包括各单位自我评价、公司评价和外部评价。〔一〕各单位自我评价由本单位内部把握或风险治理机构组织实施。〔二〕公司评价由审计治理中心组织实施。〔三〕外部评价由公司或各单位聘请外部机构组织实施。第五十二条内部把握评价程序包括：制定评价工作方案、组成评价工作组、实施现场测试、认定把握缺陷、汇总评价结果、编报评价报告等环节。第五十三条内控评价应围绕内部环境、风险评估、把握活动、信息与沟通、内部监视五要素，确定核心指标和评价标准。〔一〕内部环境评价，应当对内部环境的设计及实际运行状况进展认定和评价。〔二〕风险评估机制评价，应当对日常经营治理过程中的风险识别、风险分析、应对策略等进展认定和评价。〔三〕把握活动评价，应当对相关把握措施的设计和运行状况进展认定和评价。〔四〕信息与沟通评价，应当对信息收集、处理和传递的准时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部把握的有效性等进展认定和评价。〔五〕内部监视评价，应当对内部监视机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部把握设计和运行中有效发挥监视作用。第五十四条公司及各经营单位应对内部把握评价与监视过程中觉察的内部把握缺陷的性质及产生缘由进展分析，并制定相应的措施进展整改。第五十五条公司应当建立内部把握实施的鼓舞约束机制，将各单位和全体员工实施内部把握的状况纳入绩效考评体系，依据《公司内控建设治理考核方法》等制度执行，促进内部把握的有效实施。第六章风险治理信息系统第五十六条风险治理信息系统是全面风险治理体系的重要组成局部。公司应建立涵盖风险治理根本流程和内部控制各环节的风险治理信