xxxx有限公司全面风险管理办法
第一章总则
第一条 为加强及规范xxxx有限公司(以下简称“xxxx公司”或“公司”)及其属下各级企业的风险管理工作,建立规范、有效的风险控制体系,防范、控制和化解在复杂多变的经营环境中随时可能发生或出现的风险与危机,促进公司战略的实现和经营的持续、稳定、健康发展,根据国务院国资委《中央企业全面风险管理指引》和财政部等五部委《企业内部控制基本规范》及相关配套指引,结合xxxx公司实际,制订本办法。
第二条 本办法适用于xxxx公司和属下全资子公司,控股和参股公司可参照执行。
第三条 本办法所称“风险”,是指在公司发展过程中各种不确定性对实现公司战略及经营目标的影响。企业风险一般可分为战略风险、运营风险、财务风险、市场风险和法律风险等。
第四条 本办法所称的“全面风险管理”,是指围绕公司总体经营目标,通过在管理各环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化等,建立健全风险管理体系,从而为实现风险管理总体目标提供保证的过程和方法。
第五条 风险管理基本流程包括以下主要工作:
(一)收集风险管理初始信息;
(二)进行风险评估;
(三)制订并实施风险管控方案;
(四)风险监控报告及预警;
(五)风险管理的监督与考核。
第六条 公司在制订并实施战略规划、年度经营计划过程中应当充分考虑风险及制订应对措施,在投融资、市场运营、财务、人力资源、法律事务、安全生产等各项经营管理活动中应执行风险管理基本流程,制订并执行相应的制度、程序和措施。
第七条 企业内部控制是全面风险管理的重要组成部分,内部控制以风险管理为导向,公司及属下各级企业应按照财政部等五部委颁布的《企业内部控制基本规范》及相关配套指引,结合实际,建立健全企业内部控制体系。
第八条 公司及属下各级企业应根据自身经营规模、业务特点和所处的发展阶段等因素,确定风险偏好。应选择若干能够衡量风险的具体指标(如资产负债率等)作为预警指标,并明确风险的最低限度和不能超过的最高限度,作为量化的风险容忍边界。
xxxx公司现阶段实行稳健的经营理念,对风险采取谨慎的态度。
第九条公司大力培育和塑造良好的风险管理文化,树立正确的风险管理理念,增强员工风险管理意识,将风险管理意识转化为员工的共同认知和自觉行动,促进企业风险管理目标的实现。
第二章 风险管理的目标、原则
第十条 公司开展全面风险管理要努力实现以下总体目标:
(一)确保将风险控制在与公司总体目标相适应并可承受的范围内;
(二)确保遵守有关法律法规;
(三)确保公司有关规章制度和实现经营目标而采取的重大措施得到贯彻执行,保障经营管理的有效性,降低实现经营目标的不确定性。
(四)建立针对各项重大风险发生后的危机处理机制,保护公司不因灾难性风险或人为失误而遭受重大损失。
第十一条 为确保风险管理的有效性,开展风险管理应当遵循以下原则:
(一)战略导向原则:风险管理为公司战略服务,公司开展的各项风险管理活动均应围绕战略目标开展,为战略目标的实现提供支持;
(二)制衡性原则:风险管理应当在公司治理结构、机构设置、权责分配、业务流程方面形成相互制约、相互监督的机制,同时兼顾运营效率;
(三)全员参与、全方位管理原则:风险管理是全体员工的共同职责,每位员工均应充分认识担负的风险管理责任,履行相应的风险管理职责,自觉防范和控制风险。同时,风险管理应覆盖公司的所有业务流程,如法人治理、重组改制、并购上市、重大投融资和对外担保等业务,渗透到决策、执行、监督、反馈等各环节,确保不存在风险管理空白或漏洞;
(四)充分融合、合理开展原则:风险管理体系应与公司其他管理体系充分融合,通过对现有组织职能、规章制度、业务流程和信息系统的梳理、调整及完善,加入相关风险管理要素,让风险管理融入日常经营管理与决策活动;风险管理还应当与经营规模、业务范围、风险状况以及所处的环境相适应,以合理的成本实现风险管理目标。
第三章 风险管理组织体系及职责
第十二条 公司建立风险管理的三道防线:各职能部门和各级企业为第一道防线;风险管理委员会和风险管理职能部门为第二道防线;内部审计部门和审计监察委员会为第三道防线。
第十三条 公司风险管理组织体系由各业务部门和各一级企业、风险管理职能部门、内审部门、风险管理委员会、审计监察委员会、董事会组成。
第十四条 风险管理委员会由公司主要领导担任主任委员,全面负责公司的风险管理工作,主要履行以下职责:
(一)根据公司总体战略,审核和修订公司风险战略、风险管理制度和内部控制流程,对其实施情况及效果进行监督和评价,向公司领导班子提出建议;
(二)审议和评价公司战略、财务、市场、营运、法律等重大风险管控方案;审议重大风险事件专项分析报告并提出整改意见;
(三)审议风险管理组织机构设置及其职责方案,监督和评价风险管理部门的设置、组织方式、工作程序和效果,并提出整改意见;
(四)审议和评价内部审计部门提交的风险管理专项审计报告;
(五)审议和评价一级企业和重点子企业提交的年度风险管理报告;
(六)监督风险管理工作进度,协调所需人、财、物资源;
(七)办理董事会或经营班子授权的有关全面风险管理的其他事项。
第十五条 法律与董事会事务部是风险管理的职能部门,主要履行以下职责:
(一)制订风险管理的规章制度、工作标准和工作流程;
(二)指导公司各职能部门和属下公司执行全面风险管理的制度和流程;
(三)定期组织开展风险信息收集、识别、分析与评估,制订统一的风险评估标准;
(四)组织协调各职能部门拟订风险管控方案,组织、督促管控措施的实施;
(五)组织开展公司重大项目的风险评估工作;
(六)编制公司全面风险管理年度报告;
(七)组织全面风险管理考核工作;
(八)负责风险管理信息系统的开发和推广运用;
(九)负责全面风险管理委员会的各项日常工作,办理风险管理委员会交办的其他事项;
(十)负责全面风险管理相关的其他工作。
第十六条 公司各业务部门主要履行以下职责:
(一)贯彻执行公司全面风险管理办法等制度,认真做好本部门的全面风险管理工作,有效控制风险;
(二)对收集的风险信息进行梳理,识别、分析本部门业务管辖范围的风险点;
(三)负责本部门业务管辖范围内风险发生可能性和影响程度评估标准的制订;
(四)参与公司组织的风险评估工作,主要负责对本部门业务管辖范围内的风险进行评价;
(五)拟订本部门业务管辖范围内风险的应对措施和方案,并组织管控措施实施;
(六)对本部门业务管辖范围内的风险进行监控和预警,形成部门风险监控报告,并及时反馈风险管理职能部门;
(七)协助开展风险管理文化宣传和风险信息系统建设的有关工作;
(八)负责办理与本部门业务相关的其他风险管理工作。
公司各业务部门负责人为本部门风险管理的第一责任人,负责所在部门风险管理,设置风险管理岗,由熟悉部门业务的骨干兼职风险管理员,负责风险管理具体工作的推进及协调。
第十七条 审计与监事工作部负责行使独立的审计监督、评价职能,主要履行以下职责:
(一)定期对包括风险管理职能部门在内的各有关部门和属下一级企业风险管理工作进行监督评价,出具审计报告;
(二)根据风险评估结果或日常风险监控的结果,对可能存在重大风险的管理环节进行专项检查。
审计与监事工作部就风险管理监督、检查的情况,向审计监察委员会汇报。
第十八条 公司审计监察委员会负责监督、检查公司及所属企业全面风险管理、内部控制制度的健全性和有效性,对重大事项要向董事会、党委会报告。
第十九条 公司属下全资子公司应结合本企业的实际,结合xxxx公司风险管理的要求,开展以下方面工作:
(一)建立完善本企业风险管理的组织机构及职能、风险管理制度、风险管理流程和风险管理报告体系;
(二)组织开展本企业的全面风险评估或重要业务流程的专项风险评估;
(三)制订重大风险的应对措施、方案并组织实施;
(四)向xxxx公司提交风险管理年度报告;
(五)开展风险管理文化宣传和风险信息系统建设的有关工作。
第四章 风险收集和评估
第二十条 公司各业务部门和各企业,应广泛、持续不断地收集与经营管理相关的、影响公司目标实现的内部和外部风险信息,包括宏观经济政策、法律法规、产业导向、治理结构、市场状况、财务状况、人力配置、管理流程、管理措施、信息系统运用、信息沟通和报告等方面的历史数据和未来预测信息,以及本单位或其他企业风险失控导致企业损失的案例等。
第二十一条 在战略风险方面,应收集与公司相关的宏观经济政策、产业导向、技术环境、市场需求、竞争状况等方面的重要信息,重点关注公司发展战略、规划、投融资计划、年度经营目标以及编制这些战略、规划、计划和目标的有关依据。
在财务风险方面,应收集公司盈利能力、负债率、偿债能力、现金流、应收账款、资金周转率等指标的重要信息,并关注成本核算、资金集中管理、结算,以及与公司相关的行业会计政策、税收政策等信息。
在市场风险方面,应收集与公司相关的市场供需、销售价格、竞争对手、主要客户和供应商方面的重要信息,关注资本市场运作、股票价格指数等方面的信息。
在运营风险方面,应收集与公司相关的组织效能、经营策略、资产量、安全、环保、技术更新、管理现状、人员结构等方面的重要信息,关注现有业务流程运行状况和改进能力,以及风险管理的现状和能力。
在法律风险方面,应收集与公司相关的政策、法律法规、重大合同、重大法律纠纷案件、知识产权保护等方面的信息。
第二十二条风险管理职能部门负责将各业务部门、各一级企业收集上报的风险信息进行归集,建立风险信息数据库,作为公司开展风险管理工作的基础。
第二十三条 各业务部门和各企业对收集到的风险信息进行必要的梳理和分类,并对收集的风险信息进行评估,风险评估包括风险识别、风险分析和风险评价三个步骤。
第二十四条 公司和各企业可以采用风险访谈、问卷调查、头脑风暴、小组讨论等方式,识别各业务单元、各项重要经济活动及其重要业务流程中的风险点,并在此基础上整理出风险清单。
第二十五条 各部门和各企业对风险清单列示的风险点,从外部环境、内部管理、制度、流程等方面进行成因分析。风险分析不仅要明确公司所面临的风险现状,更要找出诱发风险发生的源头。
对于初步分析认为特别重要的风险信息应及时向风险管理职能部门和风险管理委员会报告。
第二十六条 风险管理职能部门根据公司既定的风险偏好和风险容忍度,组织各业务部门和相关企业制定统一的、可量化的《风险评估标准》。风险评估标准应包括《风险发生可能性评估标准》和《风险发生影响评估标准》两部分。《风险评估标准》须提交风险管理委员会审核确认。
第二十七条 风险管理职能部门组织相关业务部门、企业和人员,对识别出来的风险进行评价。风险评价既要对固有风险进行评价,更要充分考虑公司现有管控措施的作用,对风险现状进行客观评价。
第二十八条 风险管理职能部门根据评估结果拟订《风险评估报告》,并提出各项风险的优先管控顺序,高风险优先管控。
《风险评估报告》经风险管理委员会审核确认后,作为制定风险管控方案的依据。
第二十九条公司对风险管理信息实行动态管理,原则上每半年进行一次风险收集、识别、分析、评价,以便对新的风险和原有风险的变化重新评估。
第五章 风险管控方案的制订与实施
第三十条 在风险评估的基础上,各业务部门和各企业应针对本部门和本单位所涉及的风险,从改进业务流程、组织智能化、制度程序完善等方面提出风险管控措施和建议。
风险管控措施应符合公司当期的风险管理偏好和风险容忍度要求。
第三十一条 风险管理职能部门以各业务部门和各企业提出的风险管控措施和建议为基础,制定公司的风险管控方案。风险管控方案应包括风险管理的具体目标、对策、组织领导、管理流程、责任部门及完成时间等内容。
为合理配置资源,公司应主要针对高风险制定覆盖各管理环节的全流程管控方案;对于中、低风险,则以其所涉业务流程的关键环节作为控制点,采取相应的管控措施。
第三十二条 风险管控方案提交风险管理委员会审议,并呈公司领导审定后,由风险管理职能部门负责制订实施计划,组织实施。相关业务部门和企业应按照职责分工,认真组织实施,保证各项管控措施落实到位。
在管控方案的实施过程中,风险管理职能部门负责跟踪、评价其可行性、有效性,必要时提出调整的意见。
第六章 风险监控报告与预警
第三十三条 公司建立风险报告和预警制度。通过有效的沟通和反馈,使公司领导和有关部门及时了解公司各项业务的风险状况,相应调整风险管理政策和管理措施。
第三十四条 风险报告分为定期风险报告和专项风险报告。定期风险报告是指对经营发展中存在的风险和管控情况进行年度报告;专项风险报告是指对风险监控中或风险专项检查中发现的重大风险或风险隐患进行的专项报告。各业务部门、一级企业和各级企业应及时、无保留地向公司风险管理职能部门和风险管理委员会报告有关风险的真实情况。
第三十五条 在风险监控过程中发现问题时,风险管理委员会可以进行风险专项检查,必要时可联合审计监察委员会,组织审计与监事会工作部进行专项审计。
第三十六条 公司和各企业应选择资产负债率、应收账款、合同纠纷标的、市场占有率等能直观反映企业风险大小的关键指标,建立重大风险预警系统,对重大风险进行持续不断的监控,及时发布预警信息,及时调整管控措施。
第三十七条 公司逐步建立涵盖风险管理基本流程,包括风险信息的收集、识别、分析、评估、传递、报告和披露等各项功能的风险管理信息系统,提高风险管理的效率和水平。
第七章 风险管理的监督与考核
第三十八条风险管理的监督与考核是指对风险管理的效果和效率进行持续监督和考核评价,包括对各业务部门和属下企业风险管理工作开展情况和风险管控方案的实施情况进行检查和考核。
公司各业务部门和属下企业应定期对风险管理工作进行自查,及时发现缺陷并改进,检查报告应及时报送公司风险管理职能部门。
第三十九条 公司建立风险管理责任制度,确定年度风险管理考核指标与考核标准,将风险管理工作纳入绩效考核体系。
第四十条 对因决策失误、管理失职、行为失当等原因致使公司出现重大风险、危机事件,并造成有形或无形损失的责任人,公司按照有关问责的制度,追究其直接责任或领导责任,并取消相关责任部门评先、评优的资格。
第四十一条 公司审计与监事工作部对公司的风险管理工作进行独立监督,定期对包括风险管理职能部门在内的各有关业务部门和属下企业开展风险管理工作及其效果进行监督评价。
第八章 附 则
第四十二条 本办法由xxxx有限公司负责解释。
第四十三条本办法自公布之日起施行。
