国有公司全面风险管理手册

国有公司全面风险管理手册第一章总则第一条目的为完善和加强XX公司的风险管理工作，提高经营质量，促进XX公司总体战略和经营目标的实现，XX公司编制本手册。本手册旨在说明XX公司风险管理体系的性质和任务，实施风险管理体系应遵循的原则、方法、步骤，以及对各相关责任人的要求。本手册用于提升XX公司实现风险管理工作的规范化和标准化。第二条制定依据本手册所使用的风险管理工作方法主要依据下述规定：（1）国资委《中央企业全面风险管理指引》：国务院国有资产监督管理委员会于2006年6月6日颁布了《中央企业全面风险管理指引》，作为中央企业开展全面风险管理工作的指导文件，并要求中央企业结合企业自身实际情况贯彻该指引。本手册的制订旨在符合《中央企业全面风险管理指引》的要求。（2）《企业内部控制基本规范》：财政部会同证监会、审计署、银监会、保监会于2008年6月28日颁布了《企业内部控制基本规范》，其中第二十条至第二十七条对上市公司风险评估工作做出了明确的指导和规范。本手册的制订遵循了《企业内部控制基本规范》的要求。第三条适用范围本手册适用于XX公司风险管理工作，相关人员有责任遵守本手册中的各项规定。第四条风险管理工作目标XX公司风险管理工作的整体目标是通过合理、统一、科学的管理模式，以实现：（1）控制那些有碍战略目标实现的风险，将其控制在公司管理层可承受的范围内；（2）逐步提高经营的效率和效果，降低实现战略目标的不确定性；（3）确保财务报告可靠性；（4）合理保障XX公司遵从监管机构相关法律法规和SP集团有关规章制度。第五条风险管理基本原则(1)全面与重点相结合的原则：XX公司的风险管理工作应覆盖XX公司经营与管理过程中所面临的各种风险，并对其中关键风险实施重点管理。(2)分级分类管理原则：XX公司集中管理公司各层级所面临的风险，同时，根据风险的不同特点实施分类管理，不同类别风险由相应的职能部门或专业的管理人员负责管理。(3)风险收益匹配原则：在风险管理工作过程中，XX公司各级员工不应单纯追求业绩而忽略风险管控，也不要因过度防范风险而制约公司发展。(4)流程统一原则：XX公司风险管理工作需遵循统一的流程，即本手册所描述的工作流程、工作方法与汇报体系，以便于从整体角度管理风险。(5)科学化、系统化、日常化原则：XX公司的风险管理工作需遵循科学、系统的工作方法，将其融入日常的管理体系中，以达到及时监控关键风险的目的。第六条风险管理执行原则(1)全员参与原则。风险管理工作应当在管理层高度重视的前提下，由各部门支持配合以促进风险管理体系的有效运行。各职能部门需按照要求安排与协调相关人员，各司其职，收集风险信息、管理相关风险。(2)日常管理原则。风险管理是战略、投资项目管理、经营计划与活动被正确执行的主要保障，贯穿于XX公司的各个层级，应融入日常管理工作。(3)及时性、准确性原则。XX公司各业务单元、各职能部门相关人员应保障及时、准确提供风险管理工作所需要的相关资料和数据，以供全面风险管理专职部门和监督者进行有效分析。图片第二章风险及风险管理定义第七条风险定义本手册所称风险，是指未来的不确定性对XX公司实现公司战略和经营目标影响的任何因素。XX公司风险可以是那些对XX公司的成功潜能(如声誉)、资产、资本、盈利情况或流动性(现金)等造成实质性影响的事故、事件或行为。第八条风险管理定义风险管理，是指围绕战略和经营目标，通过在公司管理的各关键环节和经营过程中执行风险管理的基本流程以培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现公司总体目标提供合理保证的过程和方法。第三章组织体系与基本职责分工第九条风险管理组织体系公司的全面风险管理体系：各部门为第一道防线，全面风险管理委员会与全面风险管理专职部门为第二道防线，审计委员会为第三道防线。按照“分层管理、分类管理、集中管理”原则设置并组织运转。(1)分层管理：公司在决策层(公司高管，A层)、执行层(各职能部门负责人，B层)、操作层(具体业务办理人员，C层及以下)，分别明确管理分工和管理重点，落实管理责任，实现风险和内控的分层管理。(2)分类管理：按照公司各职能部门职责范围和风险种类的不同，突出主要和重要风险，履行对具体风险及内控的管理责任，实现分类管理。(3)集中管理：由公司高管和各职能部门负责人组成的全面风险管理委员会，负责重大风险及内控事项的集中决策和审议；全面风险专职部门，对风险及内控系统实施监控和汇总分析，以实现集中管理。第十条风险管理的组织机构及职责（一）全面风险管理委员会公司的全面风险管理委员会应由公司高层领导和各职能部门负责人组成。其中，公司总经理应在委员会中担任总负责人，董事会秘书担任委员会组长。公司全面风险管理委员会的主要职责如下：(1)负责设置本公司全面风险管理体系的组织机构，明确其工作职责；(2)审批本公司全面风险管理体系相关制度细则(按自身需要根据本制度细化)；(3)审批本公司年度风险管理及内部控制工作目标和计划；(4)审批本公司年度风险管理及内部控制评估报告、专题分析报告以及重大风险的管理策略、应对方案和预警指标；(5)倡导、培育公司风险管理及内部控制文化，推进相关的文化建设工作；(6)负责监督指导公司风险管理及内部控制实施情况，并进一步明确工作方向；(7)审批本公司各部门的全面风险管理工作绩效考核结果。（二）全面风险管理专职部门全面风险管理专职部门由公司的内控部担任。在汇报路线上应同时向本公司全面风险管理委员会和SP集团全面风险管理部门进行汇报。全面风险管理专职部门的主要职责如下：(1)负责公司风险管理和内部控制工作的具体计划和目标；(2)负责组织对参与风险管理和内部控制工作的内部团队进行必要的培训；(3)监督全面风险管理工作的实施(包括对工作进度和工作质量的监督)；(4)负责公司内部控制手册和风险管理数据库的编写、更新和维护；(5)负责督促各责任部门执行风险应对措施和内控缺陷的整改建议；(6)负责公司内部就全面风险管理工作的进度汇报和结果沟通；(7)负责风险管理及内部控制文化的建设；(8)负责就全面风险管理工作对各责任部门进行考核及评价。（三）业务及各职能部门业务及各职能部门是全面风险管理工作的重要主体，承担独立、明确的职责。业务及各职能部门负责人是本部门风险评估工作和内控评估工作的第一责任人，负责落实本部门风险管理及内部控制的责任和具体工作。业务及各职能部门应根据本部门的业务复杂程度配置一至两名全面风险管理专员(业务复杂程度越高，需要配置的全面风险管理专员越多，各部门至少应配置一名全面风险管理专员，可兼职)。业务及各职能部门的主要职责如下：(1)在本部门落实各岗位、各业务流程中风险管理及内部控制的责任，在工作流程中识别风险点，制定控制措施和预警指标；(2)配合、参与全面风险管理专职部门组织开展的定期和日常的风险管理与内部控制工作；(3)风险评估工作完成后，风险责任部门应对所管理的公司重大风险制定合理有效的风险应对措施，并在提交专职部门审查后有效实施。风险配合部门应积极配合风险责任部门制定和实施风险管理解决方案；(4)内控评估工作完成后，缺陷责任部门应对其负责的内部控制缺陷整改建议进行确认，并按时有效地执行；(5)接受全面风险管理专职部门的协调、指导和监督，配合专职部门提出的资料查阅和提供解释的需求，受理全面风险管理专职部门移送或建议的事项，反馈整改落实情况。图片第四章风险管理信息收集第十一条信息收集的范围XX公司在实施风险管理过程中，应广泛、持续地收集与公司风险和风险管理相关的内部、外部信息，包括历史数据和未来预测。信息收集的范围包括但不限于以下内容：（一）战略风险方面：(1)国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策；(2)科技进步、技术创新的有关内容；(3)市场对本企业产品或服务的需求；(4)与企业战略合作伙伴的关系，未来寻求战略合作伙伴的可能性；(5)本企业主要客户、供应商及竞争对手的有关情况；(6)与主要竞争对手相比，本企业实力与差距；(7)本企业发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制这些战略、规划、计划、目标的依据；(8)本企业对外投融资流程中曾发生或易发生错误的业务流程或环节。（二）财务风险方面：(1)负债、或有负债、资产负债率等反应偿债能力的财务数据；(2)现金流、应收账款及应收账款周转率、资金周转率；(3)产品存货及存货周转率、应付账款及其占购货额的比重；(4)制造成本和管理费用、财务费用、营业费用；(5)盈利能力；(6)财务管理中曾发生或易发生错误的业务流程或环节；(7)与本企业相关的行业会计政策、会计估算、与国际会计制度的差异与调整(如退休金、递延税项等)等信息。（三）市场风险方面：(1)产品或服务的价格及供需变化；(2)能源、原材料、配件等物资供应的充足性、稳定性和价格变化；(3)主要客户、主要供应商的信用情况；(4)税收政策和利率、汇率、股票价格指数的变化；(5)潜在竞争者、竞争者及其主要产品、替代品情况。（四）运营风险方面：(1)产品结构、新产品研发；(2)新市场开发，市场营销策略，包括市场定位、产品定价、销售渠道与促销方式等；(3)企业组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业水平；(4)质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节；(5)因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵的事件；(6)给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险；(7)对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力；(8)企业风险管理的现状和能力。（五）法律风险方面：(1)国内外与本企业相关的政治、经济、法律环境；(2)影响企业的新法律法规和政策；(3)员工道德操守的遵从性；(4)本企业签订的重大协议和有关贸易合同；(5)本企业发生重大法律纠纷案件的情况；(6)企业和竞争对手的知识产权情况。第十二条职责分工本手册规定适用范围内的各职能部门的风险管理岗位均有义务对与本单位或本部门相关的风险管理信息进行收集，并在需要时及时提供风险管理专职部门备案。风险管理专职部门应定期对风险管理初始信息进行收集、筛选、提炼、对比、分类、组合，以便进行风险评估。图片第五章风险评估第十三条风险评估定义本手册所称风险评估，是指及时识别、系统分析经营活动中与实现公司战略目标相关的风险，以便合理确定风险应对策略。风险评估包括风险识别、风险分析、风险评价三个步骤。其中，风险识别是指查找公司各业务单元、各职能部门的重要经营活动及其重要业务流程中有无面临风险、若有为哪种风险；风险分析是指对辨识出的风险及其特征进行明确的定义，分析和描述该风险在公司的具体表现形式、风险发生的条件等，然后从风险发生的可能性和对公司实现战略目标的影响程度两方面评估风险的价值，并进行风险排序。第十四条实施风险评估风险评估是一个持续性和重复性的循环，相关责任人应在风险管理委员会的领导下，定期或不定期地开展风险评估工作。第十五条风险识别(1)确定阶段性工作目标每年初，风险管理委员会负责确定本年度阶段性工作目标，并以书面文件形式下发执行，风险管理专职部门应负责协调与监督阶段性工作目标的执行。(2)识别公司风险风险识别是风险评估的基础。各职能部门和各级风险管理岗位人员通过日常风险信息的收集，识别公司在实现其战略目标过程中所面临的环境、运营、决策信息方面的不确定事项并汇总提交至风险管理专职部门,风险管理专职部门汇总各职能部门提供的风险信息并结合“XX行业风险数据库”形成“XX公司风险数据库”。为了能使风险评估的范围既满足完整性(重要的风险没有遗漏)，又满足有效性(以最小的管理成本完成风险评估)，在风险评估前，需要进一步明确评估范围。确定风险评估的范围，风险管理专职部门应基于历史数据并结合公司环境现状从“XX公司风险数据库”中梳理出本期所面临的关键风险形成本期的“关键风险数据库”，关键风险的总量应当控制在50个左右。第十六条风险分析首先，风险管理专职部门对梳理出来的关键风险及其特征进行定义，对相应的风险事件进行描述并汇总形成风险评估调查问卷的初稿。其次，风险管理专职部门通过风险访谈的方式对风险评估调查问卷作出补充和调整。风险管理专职部门编制具体的访谈提纲针对公司高管及各职能部门负责人进行访谈。访谈采用自下而上的方式进行，全面了解他们对风险的看法、态度。风险访谈应将访谈内容记录在《风险访谈纪要》中。风险访谈作为风险评估调查问卷结果的补充和修正，为确定最后的风险评估结果提供重要的信息。之后，风险管理专职部门依据风险访谈结果对风险评估调查问卷作出修改与调整，并将修改后的问卷提交给公司领导，公司领导审核关注问卷中风险点是否齐备，风险事件的定义与描述是否准确，问卷本身的形式是否合理等，确认无误后予以定稿。最后，采用定量与定性相结合的方法分析风险的大小。在定性(风险访谈)的指导下进行定量(问卷调查)的分析，在定量(问卷调查)的基础上作定性(风险研讨会)的结论。第六章风险应对第十七条风险应对定义风险应对，是指在之前工作的基础上，根据风险性质和风险主体对风险的承受能力而制定的回避、承受、降低或者分担风险的防范措施。第十八条风险应对策略的选择风险研讨会评选出公司前十大风险后，会上由风险管理委员会总负责人明确各风险相对应的责任部门。风险责任部门在会后制定本部门所管理的重大风险的应对措施，选择应对策略，风险应对策略主要有四种方式：规避、分担、降低、承受。风险责任部门在选择应对策略的过程中，应考虑下列因素：（1）所要采取的应对策略实施后对该风险的影响效果；（2）所要采取的应对措施需与XX公司的整体风险偏好相协调；（3）所要采取的应对策略的成本与效益；（4）所要采取的应对策略是否对于XX公司实现战略目标有影响。第十九条风险应对策略的实施风险责任部门应根据风险应对策略，针对每一项重大风险制定风险管理的具体解决方案。方案一般包括风险控制的活动、所需配合的部门及人员、必要的资源支持等。在风险责任部门制定风险解决方案时，需要本着完整、真实的原则，并考虑如下事项：（1）所采取的控制活动与风险及风险应对策略的关联性；（2）所采取的控制活动的成本与效益；（3）所采取的控制活动是否能够将风险降低到可接受的水平。风险解决方案确定后，风险管理专职部门负责编制XX公司全面风险评估报告，评估报告编制完成后依次提交全面风险管理委员会、公司领导、董事会审核。其后风险责任部门执行经审核通过后的风险应对措施，风险管理专职部门监督并定期向全面风险管理委员会汇报风险应对措施执行情况。第七章风险管理报告体系第二十条日常汇报风险管理工作的进度与效果需及时向公司领导及风险管理委员会报告，以便于公司领导及风险管理委员会及时把握风险管理工作方向、了解公司目前所处的风险管理水平和所面临的风险，并对风险应对、风险管理工作做出决策。第二十一条紧急事项汇报本手册所称紧急事项，是指突然发生、造成或者可能造成重大人员伤亡、财产损失、生态环境破坏和严重社会危害、危及公共安全和公司、员工生命及财产安全的紧急事项，主要包括：(1)自然灾害。水旱灾害、气象灾害、地震灾害、地质灾害、海洋灾害、生物灾害和森林草原田地火灾等；(2)事故灾难。各类安全事故、交通运输事故、公共设施和设备事故、环境污染和生态破坏事故等。(3)公共卫生事件。传染病疫情、群体性不明