集团公司风险管理办法(正式发文稿).doc

1、中国国有集团公司全面风险管理办法（试行）第一章 总 则第一条 为加强中国国有集团公司（以下简称集团公司）全面风险管理和内部控制体系建设，提高风险管理水平，增强抗风险能力，促进集团公司持续、健康、稳定发展，根据国务院国资委中央企业全面风险管理指引、财政部企业内部控制基本规范等规范性文件，结合集团公司实际情况，制定本办法。第二条 本办法适用于集团公司、分支机构、区域公司、产业公司和基层企业（以下统称“企业”)的全面风险管理工作。第三条 本办法所称风险，是指未来的不确定性对企业实现其经营发展目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等五大类。第四条 本办法所称全面

2、风险管理包括内部控制体系建设的工作，具体是指企业围绕总体经营发展目标，在管理的各环节和经营过程中执行风险管理基本流程，建立健全全面风险管理体系（包括组织机构、制度流程和方法技术等），培育良好的风险管理文化，从而为实现风险管理总体目标提供合理保证的过程和方法。第五条 风险管理基本流程主要包括以下工作：（一） 风险初始信息收集；（二） 风险识别；（三） 风险评估;（四） 风险应对；（五） 风险管理的监督与改进。第六条 企业开展全面风险管理要努力实现以下风险管理总体目标：（一） 确保将风险控制在与企业总体经营发展目标相适应并可承受的范围内，促进企业实现战略目标；（二） 确保企业实现内外部真实、可靠和

3、有效的信息沟通；（三） 确保遵守有关法律法规，履行相应的社会责任；（四） 确保经营管理的有效性，提高经营活动的效率和效果；（五） 确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。第七条 风险管理是企业的基础管理工作和日常经营管理活动的重要内容。企业开展全面风险管理应与其他职能管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。全面风险管理体系应与其他职能管理体系相互协调、相互促进，共同构成科学合理的有机整体，共同服务于企业总体经营发展目标。第八条 企业应按照风险分类和分层管理的要求，制定开展全面风险管理的总体规划，统筹兼顾，循序推进

4、。在开展全面风险管理的起步阶段，可选择战略规划、投资决策、资金保障、安全生产、工程建设、市场营销、人力资源、监察审计、法律事务等一项或多项业务深入开展风险管理工作，建立单项或多项风险管理和内部控制子系统。通过积累经验，培养人才，逐步建立起全方位、全过程、全员参与的全面风险管理体系。第九条 企业开展全面风险管理工作，应注重防范和控制风险可能给企业造成的损失和危害，也应把风险中蕴含的机会视为企业的特殊资源，通过有效管理，为企业创造价值，促进经营发展目标的实现。第二章 管理职责第十条 企业应结合实际情况，规范法人治理结构，建立健全风险管理组织体系，明确决策、执行、监督等方面的风险管理职责，形成科学有

5、效的职责分工和制衡机制。第十一条 设有董事会的企业，应结合实际情况，逐步创造条件，充分发挥董事会在风险管理中的作用。条件具备时，由董事会全面履行以下主要职责：（一） 审议并向股东（大）会提交企业全面风险管理年度工作报告；（二） 确定企业风险管理总体目标和要求，批准风险管理策略和重大风险管理解决方案；（三） 了解和掌握企业面临的各项重大风险及其风险管理现状，做出有效控制风险的决策；（四） 批准重大决策、重大风险的判断标准或判断机制；（五） 批准重大决策的风险评估报告；（六） 批准内部审计部门提交的风险管理监督评价报告；（七） 批准风险管理组织机构设置及其职责方案；（八） 批准风险管理措施，纠正和

6、处理任何组织或个人超越风险管理制度做出的风险性决定行为；（九） 督导企业风险管理文化的培育；（十） 批准全面风险管理的其他重大事项。在开展全面风险管理的起步阶段，董事会要重点了解和掌握企业面临的重大风险及其风险管理现状，逐步加强对管理层风险管理工作的监督指导。第十二条 具备条件的企业，可在董事会下设风险管理委员会。该委员会召集人按有关规定由董事长或独立董事担任，成员中应有熟悉企业重要管理及业务流程的董事，以及具备风险管理监管知识或经验、具有一定法律知识的董事。董事会风险管理委员会的主要职责是：根据董事会的要求，对董事会需要决定或审批的风险管理事项进行审议，为董事会履行风险管理职能提供支持。第十

7、三条 按照相关法律法规要求设有战略委员会、审计委员会、薪酬委员会等董事会专门委员会的企业，应发挥专门委员会在保证企业风险管理充分性、有效性方面的作用。第十四条 企业监事会对董事会、管理层履行风险管理职责的情况进行监督。第十五条 企业应根据公司章程等基本制度规定、风险管理要求和实际情况，明确由总经理（厂长）办公会履行以下主要职责：（一） 审批企业风险管理总体目标、风险偏好、风险承受度；（二） 审批企业风险管理方面的制度和流程；（三） 审批企业全面风险管理工作计划、全面风险管理报告；（四） 审批企业风险应对总体方案，决策重要和重大风险管理中的有关具体问题；（五） 审批内部审计部门提交的企业风险管理

8、监督评价报告；（六） 审批、决定企业风险管理中的其他重要事项。设立董事会且董事会具备全面履行风险管理职责条件的企业，总经理（厂长）办公会在履行上述相应职责时向董事会负责。未设立董事会或董事会暂不具备全面履行风险管理职责条件的企业，总经理（厂长）办公会还须履行第十一条规定的董事会有关职责。第十六条 企业应结合实际情况，建立健全管理层的风险管理协调议事机构，其成员应包括总经理（厂长)或其委托的分管领导、有关职能部门负责人等。管理层风险管理协调议事机构履行以下主要职责：（一） 审议企业风险管理总体目标、风险偏好、风险承受度；（二） 审议企业风险管理方面的制度和流程；（三） 审议企业全面风险管理工作计

9、划、全面风险管理报告；（四） 审议企业风险应对总体方案，研究重要和重大风险管理中的有关具体问题；（五） 协调解决企业风险管理中跨部门的重要事项；（六） 审议企业风险管理中的其他重要事项。第十七条 企业管理层设有安全生产、规划投资、预算财务、廉政建设等方面跨部门协调议事机构，以及专家顾问、民主管理等方面有关机构的，应充分发挥其在加强专项风险管理方面的保障和支持作用。第十八条 企业应结合实际情况，落实全面风险管理归口部门（以下简称风险管理部门），设立专职或兼职风险管理岗位（包括部门负责人和具体工作人员）。 风险管理部门对总经理（厂长)或其委托的分管领导负责，履行以下主要职责：（一） 拟订综合性风险

10、管理制度和流程，参与拟订专业性风险管理制度和流程；（二） 研究提出企业全面风险管理工作计划；（三） 组织研究提出跨部门重大风险应对策略和方案，对方案的组织实施进行日常监督；（四） 组织编制企业全面风险管理报告；（五） 掌握、分析各职能部门、业务单位风险管理工作总体情况，研究提出风险管理工作持续改进意见；（六） 协同各职能部门，指导督促下属单位开展全面风险管理工作；（七） 办理风险管理方面的其他综合性工作。应保证风险管理部门能够获得开展工作所必需的条件和资源，充分和及时了解企业经营管理中的重要信息，掌握有关第一手资料。第十九条 各职能部门应紧密结合各自职能和日常工作，在执行管理和业务流程的过程中

11、履行相应的风险管理职责，主要包括：（一） 拟订相关专业性风险管理制度和流程；（二） 协助风险管理部门研究提出企业全面风险管理工作计划；（三） 做好风险信息收集、风险识别、风险评估、风险应对策略和措施制订等各环节的工作；（四） 具体落实风险应对策略和措施的执行；（五） 协助风险管理部门研究提出企业全面风险管理报告；（六） 指导督促下属单位做好专业性风险管理工作；（七） 办理风险管理方面的其他专业性工作。第二十条 内部审计部门除履行第十九条所述职责外，还应负责研究提出全面风险管理监督评价体系，制订监督评价相关制度，开展监督与评价，出具监督评价报告。应保证内部审计部门设置、人员配备和工作的独立性。第

12、三章 风险识别与评估第二十一条 集团公司在战略、财务、市场、运营、法律等五大风险分类的基础上，根据风险发生原因和影响结果，结合集团公司实际情况，细化风险分类，形成风险分类总目录，统一具体风险的定义和术语，以便于沟通和交流，保证风险识别的系统性和全面性。集团公司所属各级企业应根据集团公司制订的风险分类总目录，结合业务实际，进一步细化完善本单位的风险分类子目录。风险分类目录可作为开展风险评估工作的基础，并应根据具体风险评估结果动态调整，不断改进完善。第二十二条 企业应结合日常工作，通过各种渠道，广泛、持续地收集与本企业风险和风险管理相关的内部、外部初始信息，包括历史数据、未来预测以及本企业和国内外

13、相关企业发生的风险损失事件案例等，建立和完善风险信息库，对风险信息进行动态管理。内部信息收集渠道包括发展规划、项目前期、预算计划、财务会计、经济活动分析、工作调研等方面的资料，以及各类工作简报、内部刊物、动态信息和办公网络等。外部信息收集渠道包括行业协会组织、社会中介机构、业务往来单位、网络媒体和有关监管部门，以及市场调查、来信来访等方面的资料等。第二十三条 企业应根据实际情况，选择合适的方式对风险初始信息进行整理、汇总、统计、分析和存档，提高信息的有用性。应将风险初始信息收集的职责分工落实到各有关职能部门和业务单位，建立健全部门间风险信息共享和沟通机制。第二十四条 企业应以收集的风险初始信息

14、为基础，结合对各项重要管理及业务流程的分析，开展风险识别和评估。第二十五条 开展风险识别，应查找企业各项重要经营活动以及重要管理、业务流程中有无风险，有哪些风险。通过风险识别，应确定风险的来源、主要影响因素，风险发生后的影响对象与范围、风险发生的可能表现形式等。第二十六条 风险评估包括风险分析和风险评价两方面的工作。开展风险分析，应对识别出的风险及其特征进行明确的定义，分析和描述风险发生可能性的高低、风险发生的条件。开展风险评价，主要是研究判断风险对企业实现经营发展目标的影响程度。应根据风险类型特点和风险管理实际需要，合理选择定性和定量评估方法。第二十七条 企业应根据风险发生可能性的高低和对经

15、营发展目标影响程度的大小，区分重大风险、重要风险、中等风险和低风险4个等级（参见附件)。风险评估过程中，应针对具体风险，结合相关经营发展目标，制订适用的重大、重要、中等和低等4级风险的定性或定量评估标准。在评估多项具体风险时，应对各项具体风险进行比较，确定关注重点和管理优先顺序。第二十八条 风险评估过程中，应对各具体风险之间的关系进行分析，以便发现各具体风险之间的抵消、叠加和正负相关性等组合效应，从风险策略上对风险进行统一集中管理。第二十九条 企业应采取定期和日常相结合的方式开展风险评估。定期评估由风险管理部门组织有关职能部门和业务单位实施，形成风险评估报告。开展定期评估，应根据需要成立跨部门

16、的风险评估小组，提高风险评估的协同性和评估工作质量。日常评估由各职能部门结合战略规划、设计审查、预算制订、经济活动分析、安全性评价、危险源辨识、工程质量监督等业务工作进行，评估结果应体现在有关专业报告中，并提供给风险管理部门共享。第三十条 风险评估应由企业自行组织实施，必要时也可聘请有资质、信誉好、风险管理专业能力强的咨询机构协助实施。第四章 风险应对第三十一条 企业应根据自身业务特点，统一确定风险偏好（即愿意承担哪些风险，承担多大风险）和风险承受度（即根据风险与收益的关系，针对具体风险明确风险的最低限度和不能超过的最高限度）。确定风险偏好和风险承受度，要正确认识和把握风险与收益的平衡，既要防

17、止片面追求收益而忽视风险，又要防止单纯为规避风险而放弃发展机遇。第三十二条 企业应根据风险评估结果，结合风险偏好和风险承受度，权衡风险与收益，合理确定各类各级风险的应对策略。第三十三条 针对低风险，一般可由各职能部门通过现有制度与流程加以有效控制，不增加额外控制，但风险事件实际发生后应及时进行分析总结，并将分析结果报风险管理部门备案。第三十四条 针对中等风险，各职能部门应对现有制度与流程进行评估，查找差距与不足，补充完善控制措施，设定预警指标，跟踪分析发展趋势，并将分析结果及时报风险管理部门备案。第三十五条 针对重要和重大风险，应根据需要在企业整体层面上加以应对。一般应由相关职能部门会同风险管

18、理部门共同研究提出风险应对方案，内容主要包括风险应对具体目标，所需的组织领导和职责分工，所涉及的管理及业务流程，所需的条件和资源，量化的风险预警线，细化的分级控制措施，相关工作的进度安排，监督考核机制等。第三十六条 企业应建立健全重大风险预警机制和突发事件应急处理机制，明确风险预警指标，对可能发生的重大风险和突发事件，制订应急预案，明确责任部门和人员，规范处置程序，开展必要的演练和培训，确保重大风险和突发事件得到及时妥善处理。第三十七条 重要和重大风险应对方案须经风险管理委员会或风险管理协调议事机构研究后，报董事会或总经理（厂长）办公会审批。下级单位的重要和重大风险应对方案应报上级单位备案。第

19、三十八条 各职能部门应按照职责分工认真组织实施风险应对方案，指导监督下属单位开展相关工作，确保各项风险应对措施落实到位。第三十九条 企业应定期总结分析风险评估标准、风险应对策略和措施的有效性和合理性，结合实际不断修订完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。第四十条 企业应由风险管理部门牵头组织，定期编制全面风险管理报告，系统地总结前一阶段风险管理工作情况及成效，分析下一阶段企业面临的风险形势，提出相应的风险管理工作建议，经风险管理委员会或风险管理协调议事机构审议后，报董事会或总经理（厂长）办公会审批。下级单位的全面风险管理

20、报告应报上级单位备案。第五章 控制活动第四十一条 控制活动是指确保风险应对得以有效执行的措施和程序。企业应结合风险评估结果和应对策略，建立健全各项内部控制制度和流程，综合运用各种内部控制措施，对各项业务和管理活动实施有效控制，将风险控制在可承受的范围内。第四十二条 企业应按照权利、义务和责任相统一的原则，明确规定各职能部门的岗位设置及相应职责。各职能部门应结合业务实际，落实专职或兼职的风险管理岗位。第四十三条 企业应全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。企业应创造条件，逐步在重要管理及业务流程中嵌入风险审核环节，强化风

21、险管理部门和风险管理岗位的独立评估和审核作用。第四十四条 企业应规范常规授权和特别授权的有关制度，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业各级管理人员应在授权范围内行使职权和承担责任。企业“三重一大”事项（重大决策、重要人事任免、重要项目安排、大额度资金使用），应实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。第四十五条 企业应依法设置会计机构，合理设置相关岗位，配备合格的会计人员，严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。第四十六条 企业应建立健全财产日常管理制度和定

22、期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。第四十七条 企业应建立健全预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。第四十八条 企业应建立健全经济活动分析制度，综合运用生产经营活动中的各种相关信息，通过因素分析、对比分析、趋势分析等方法，定期开展经营情况分析，加强中长期经营预测，发现问题，及时查明原因并加以改进。第四十九条 企业应建立健全绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为员工奖惩、聘任、交流、培训的依据。具备条件的企业，应逐步将风

23、险管理纳入绩效考核体系，设置单独的风险管理考核指标，将风险管理执行情况与绩效薪酬挂钩。第五十条 企业应按要求建立健全法律顾问制度和法律事务管理机构，加强对重要管理制度、经济合同以及经营决策事项的法律审核把关，完善重大法律纠纷案件的备案管理。第五十一条 企业应结合建立健全惩治和预防腐败体系的工作，完善反舞弊机制，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。第五十二条 企业应从确保风险应对策略和措施有效执行的角度，梳理分析现有的管理及业务流程，实现风险应对与控制流程的有效衔接，针对具体流程明确关键控制点和关键岗位，结合实际情

24、况制订风险管理手册等规范性文件，使全体员工掌握内部机构设置、岗位职责、业务流程、工作要求和标准，正确行使职权。第六章 风险管理监督与改进第五十三条 企业各有关职能部门和业务单位应定期对风险管理工作进行自查，及时发现缺陷并加以改进，检查评价结果应报风险管理部门备案。第五十四条 风险管理部门应定期汇总各职能部门和业务单位风险管理工作（主要包括风险信息收集、风险识别、风险评估、风险应对策略和措施制订、关键控制活动等）情况，分析其充分性和有效性，提出改进意见。第五十五条 内部审计部门应建立健全风险管理审计制度，定期对包括风险管理部门在内的各有关职能部门和下属单位能否按照有关规定开展风险管理工作及其工作

25、效果进行独立监督评价，出具监督评价报告。此项工作可结合年度审计、任期审计或专项审计工作一并开展。第五十六条 企业可自行组织或根据需要聘请有资质、信誉好、风险管理专业能力强的咨询机构对企业全面风险管理工作进行专项诊断或评价。第五十七条 对审计监督评价、专项诊断等过程中发现的缺陷，企业应分析其性质、产生原因和影响程度，提出整改方案，跟踪落实缺陷整改。第七章 风险管理信息系统第五十八条 集团公司按照统一规划、统一设计、统一实施、同步运行的原则，将建立风险管理信息系统的需求纳入信息化建设总体规划，统筹考虑并组织各级企业有效实施，实现风险管理信息系统与其他业务信息系统的有效集成。第五十九条 企业应将信息

26、技术应用于风险管理各项工作，建立涵盖风险管理各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。第六十条 企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。第六十一条 风险管理信息系统应能对具体风险进行度量和定量分析、定量测试，能够实时反映风险重要性排序、重大风险和重要业务流程的监控状态，能够对超过风险预警线的重大风险实施信息提示和报警，能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。第六十二条 风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要

27、求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。第六十三条 企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。第八章 风险管理文化第六十四条 在构建以“三色公司”理念为核心的企业文化体系的过程中，应注重建立具有风险意识的企业文化，促进企业风险管理水平、员工风险管理素质的提升，保障企业风险管理目标的实现。第六十五条 风险管理文化建设应融入企业文化建设全过程，树立正确的风险管理理念，增强员工风险管理意识，将风险管理意识转化为员工的共同认识和自觉行动，促进企业建立系统、规范、高效的风险管理机制。第六十六条 企业应通过多种形式，努力传播风险管理文化，使全

28、体员工尤其是各级管理人员和业务操作人员牢固树立风险无处不在、风险无时不在、风险与机遇并存、岗位风险管理责任重大等意识和理念。第六十七条 企业应大力加强员工法律素质教育，制定员工道德诚信准则，形成人人讲道德诚信、合法合规经营的风险管理文化。对于不遵守国家法律法规和企业管理制度、弄虚作假、徇私舞弊等违法及违反道德诚信准则的行为，企业应严肃查处。第六十八条 风险管理文化建设应与薪酬制度和人事制度相结合，促进各级管理人员特别是高级管理人员风险意识的提高。第六十九条 企业应建立重要管理和业务流程以及风险控制点的管理人员和业务操作人员岗前风险管理培训制度。采取多种途径和形式，加强对风险管理理念、知识、流程、方法等内容的培训，培养风险管理专业人才，培育风险管理文化。第九章 附 则第七十条 集团公司各级企业可根据本办法，结合本单位实际情况，制订具体实施办法或细则。第七十一条 本办法由集团公司负责解释。第七十二条 本办法自发布之日起施行。附件风险分级标准风险发生可能性由低到高依次为低、较低、中、较高和高。风险对经营发展目标的影响程度由小到大依次为低、较低、中、较高和高。综合考虑上述两个维度，风险分级标准如下图所示：21