企业风险管理核心制度.doc

1、企业风险管理制度第一章 总则第一条 为企业风险管理,建立规范、有效风险控制体系,提升风险防范能力,确保企业安全、稳健运行,提升经营管理水平,依据中国企业法、企业内部控制基础规范等法律、法规和规范性文件相关要求,结合企业实际情况,制订本制度。 第二条 本制度意在企业为实现以下目标提供合理确保: (一)将风险控制在和总体目标相适应并可承受范围内; (二)实现企业内外部信息沟通真实、可靠; (三)确保法律法规遵照; (四)提升企业经营效益及效率; (五)确保企业建立针对各项重大风险发生后危机处理计划,使其不因灾难性风险或人为失误而遭受重大损失。 第三条 企业风险是指未来不确定性对企业实现其经营目标影

2、响。 第四条 根据企业目标不一样对风险进行分类,企业风险分为:战略风险、经营风险、财务风险和法律风险。 (一)战略风险:没有制订或制订战略决议不正确,影响战略目标实现负面原因。 (二)经营风险:经营决议不妥,妨碍或影响经营目标实现原因。 (三)财务风险:包含财务汇报失真风险、资产安全受到威胁风险和舞弊风险。 1、财务汇报失真风险。没有完全按摄影关会计准则要求组织会计核实和编制财务会计汇报,没有按要求披露相关信息,造成财务会计汇报和信息披露不完整、不正确、不立即。 2、资产安全受到威胁风险。没有建立或实施相关资产管理制度,造成企业资产如设备、存货、有价证券和其它资产使用价值和变现能力降低或消失。

3、 3、舞弊风险。以有意行为取得不公平或非正当收益。 (四)法律风险:没有全方面、认真实施国家法律、法规和政策要求和深圳证券交易所(以下简称“深交所”)相关文件要求,影响合规性目标实现原因。 第五条 按风险能否为企业带来盈利机会,风险可分为纯粹风险和机会风险。第六条 根据风险影响程度,风险可分为通常风险和关键风险。 第七条 本制度适适用于企业及企业控股子企业。 第二章 风险管理及职责分工 第八条企业各部门为风险管理第一道防线;审计部和董事会下设审计委员会为 风险管理第二道防线;董事会及股东大会为风险管理第三道防线。 第九条 企业各部门在风险、控制管理方面关键职责: (一)企业各部门根据企业内控部

4、门制订风险评定总体方案,依据业务分工,配合内控项目组识别、分析相关业务步骤风险,确定风险反应方案。 (二)依据识别风险和确定风险反应方案,根据企业确定控制设计方法和描述工具,设计并统计相关控制,依据风险管理要求,修改完善控制设计。包含:建立控制管理制度,根据要求方法和工具描述业务步骤,编制风险控制文档和程序文件等。 (三)组织控制制度实施,监督控制制度实施情况,发觉、搜集、分析控制缺点,提出控制缺点改善意见并给予实施。对于重大缺点和实质性漏洞,除向部门分管领 导汇报情况外,还应向企业董事会反馈情况,方便企业监控内部控制体系运行情况。 (四)配合审计部等部门对控制失效造成重大损失或不良影响事件进

5、行调查、处理。 第十条 控股子企业风险管理和职责分工设置,分别参考上述第八条、第九条要求制订。 第三章 风险管理初始信息搜集第十一条 广泛、连续不停地搜集和企业风险和风险管理相关内部、外部初始信息,包含历史数据和未来估计,应把搜集初始信息职责分工落实到各部门及控股子企业。 第十二条 在战略风险方面,广泛搜集中国外企业战略风险失控造成企业蒙受损失案例,并搜集和企业相关宏观经济政策、技术环境、市场需求、竞争情况等方面关键信息,关键关注企业发展战略和计划、投融资计划、年度经营目标、经营战略,和编制这些战略、计划、计划、目标相关依据。 第十三条 在财务风险方面,广泛搜集中国外企业财务风险失控造成危机案

6、例,搜集和企业赢利能力、资产营运能力、偿债能力、发展能力指标关键信息,关键关注成本核实、资金结算和现金管理业务中曾发生或易发生错误业务步骤或步骤。 第十四条 在经营风险方面,广泛搜集中国外企业忽略市场风险、缺乏应对方法造成企业蒙受损失案例,搜集和企业产品结构、市场需求、竞争对手、关键用户和供给商等方面关键信息,对现有业务流程和信息系统操作运行情况进行监管、运行评价及连续改善,分析企业风险管理现实状况和能力。 第十五条 在法律风险方面,广泛搜集中国外企业忽略法律法规风险、缺乏应对方法造成企业蒙受损失案例,搜集和企业法律环境、职员道德、重大协议协议、重大法律纠纷案件等方面信息。 第十六条 企业对搜

7、集初始信息应进行必需筛选、提炼、对比、分类、组合,方便进行风险评定。 第四章 风险评定第十七条 企业风险评定关键经过确立风险管理理念和风险接收程度、目标制订、风险识别、风险分析和风险对策等五个基础程序来进行。 第十八条 确立企业风险管理理念和风险接收程度是企业进行风险评定基础。 (一)企业风险管理理念是企业怎样认知整个经营过程(从战略制订和实施到企业日常活动)中风险为特征企业共有信念和态度。企业实施稳健风险管理理念,对于高风险投资项目采取谨慎介入态度。 (二)风险接收程度是指企业在追求目标实现过程中愿意接收风险程度。通常来讲,企业可将风险接收程度分为三类:“高”、“中”或“低”。企业从定性角度

8、考虑风险接收程度,整体上讲,企业把风险接收程度确定为“低”类,即企业在经营管理过程中,采取谨慎风险管理态度,能够接收较低程度风险发生。企业风险接收程度选择也和企业风险管理理念保持一致。 第十九条 目标制订是风险识别、风险分析和风险对策前提。企业必需首先制订目标,在此以后,才能识别和评定影响目标实现风险而且采取必需行动对这些风险实施控制。企业目标包含战略目标、经营目标、合规性目标和财务汇报目标四个方面。目标确定必需符合国家法律法规和行业发展计划,符合企业战略发展计划,符合深交所和监管机构要求。 第二十条 风险识别就是识别可能阻碍实现企业目标、阻碍企业发明价值或侵蚀现有价值原因。企业能够采取问卷调

9、查、小组讨论、教授咨询、情景分析、政策分析、行业标杆比较、访谈法等识别风险。 企业应该正确识别和实现控制目标相关内部风险和外部风险,方便确定对应风险承受度。 (一)企业识别内部风险,应该关注下列原因: 1、董事、监事、经理及其它高级管理人员职业操守、职员专业胜任能力等人4力资源原因。 2、组织机构、经营方法、资产管理、业务流程等管理原因。 3、研究开发、技术投入、信息技术利用等自主创新原因。 4、财务情况、经营结果、现金流量等财务原因。 5、营运安全、职员健康、环境保护等安全环境保护原因。 6、其它相关内部风险原因。 (二)企业识别外部风险,应该关注下列原因: 1、经济形势、产业政策、融资环境

10、、市场竞争、资源供给等经济原因。 2、法律法规、监管要求等法律原因。 3、安全稳定、文化传统、社会信用、教育水平、消费者行为等社会原因。 4、技术进步、工艺改善等科学技术原因。 5、自然灾难、环境情况等自然环境原因。 6、其它相关外部风险原因。 第二十一条 风险分析关键从风险发生可能性和对企业目标影响程度两个角度,对识别风险进行分析和排序,确定关重视点和优先控制风险。风险分析方法通常采取定性和定量方法组合而成。在风险分析不宜采取定量分析情况下,或用于定量分析所需要足够可信数据无法取得,或获取成本很高时,企业通常使用定性分析法。企业对风险进行分析,确定哪些风险应该引发重视、哪些风险给予通常关注,

11、对于需要重视风险,再深入划分,分别确定为“关键风险”和“通常风险”,从而为风险对策奠定基础。 风险关键程度判定关键依据风险发生可能性和影响程度来确定: (一)假如风险发生可能性属于“极小可能发生”,该风险就可不被关注; (二)假如风险发生可能性高于或等于“可能发生”,且风险影响程度小,就将该类风险确定为通常风险; (三)假如风险发生可能性等于或高于“风险可能发生”,且风险影响程度大,就将该类风险确定为关键风险。 企业进行风险分析,应该充足吸收专业人员,组成风险分析团体,根据严格规范程序开展工作,以确保风险分析结果正确性。 第二十二条 风险对策。企业应该依据风险分析结果,结合风险发生原因和承受度

12、,权衡分险和收益,选择风险应对方案:规避风险、接收风险、降低风险或分担风险。(一)规避风险:指企业对超出风险承受度风险,经过放弃或停止和该风险相关业务活动以避免和减轻损失对策。如停止向一个新地理区域市场扩大业务,或出售企业一个分支。 (二)降低风险:指企业在权衡成本效益以后,准备采取合适控制方法降低风险或减轻损失,将风险控制在风险承受度之内对策。 (三)分担风险:指企业准备借助她人力量,采取业务分包、购置保险等方法和合适控制方法,将风险控制在风险承受度之内对策。 (四)接收风险:指企业对风险承受度之内风险,在权衡成本效益以后,不准备采取控制方法降低风险或减轻损失策略。 企业在确定具体风险应对方

13、案时,应考虑以下原因: 1、风险应对方案对风险可能性和风险程度影响,风险应对方案是否和企业风险容忍度一致; 2、对方案成本和收益比较; 3、对方案中可能机遇和相关风险进行比较; 4、充足考虑多个风险应对方案组合; 5、合理分析、正确掌握董事、经理及其它高级管理人员、关键岗位职员风险偏好,采取合适控制方法,避免因个人风险偏好给企业经营带来重大损失; 6、结合不一样发展阶段和业务拓展情况,连续搜集和风险改变相关信息,进行风险识别和风险分析,立即调整风险应对策略。 第五章 风险管了处理方案第二十三条 企业依据风险应对策略,针对各类风险或每一项重大风险制订风险管了处理方案。方案通常应包含风险处理具体目

14、标,所需组织领导,所包含管理及业务流程,所需条件、手段等资源,风险事件发生前、中、后所采取具体应对方法和风险管理工具。 第二十四条 依据经营战略和风险策略一致、风险控制和运行效率及效果相平衡标准,企业制订风险处理内控方案,针对重大风险所包含各管理及业务步骤,制订涵盖各个步骤全步骤控制方法;对其它风险所包含业务步骤,要把关键步骤作为控制点,采取对应控制方法。 第二十五条 企业制订合理、有效内控方法,包含以下内容: (一)建立内控岗位授权制度。对内控所包含各岗位明确要求授权对象、条件、6范围和额度等,任何组织和个人不得超越授权作出风险性决定; (二)建立内控汇报制度。明确要求汇报人和接收汇报人,汇

15、报时间、内容、频率、传输路线、负责处理汇报部门和人员等; (三)建立内控同意制度。对内控所包含关键事项,明确要求同意程序、条件、范围和额度、必备文件和有权同意部门和人员及其对应责任; (四)建立内控责任制度。根据权利、义务和责任相统一标准,明确要求各相关部门和业务单位、岗位、人员应负责任和奖惩制度; (五)建立内控审计检验制度。结合内控相关要求、方法、标准和步骤,明确要求审计检验对象、内容、方法和负责审计检验部门等; (六)建立内控考评评价制度。含有条件企业应把各业务单位风险管理实施情况和绩效薪酬挂钩; (七)建立重大风险预警制度和突发事件应急处理机制。明确风险预警标准,对可能发生重大风险或突

16、发事件,制订应急预案、明确责任人员、规范处理程序,确保突发事件得到立即妥善处理; (八)建立健全企业法律顾问制度。大力加强企业法律风险防范机制建设,形成由企业决议层主导、企业法律顾问提供业务保障、全体职员共同参与法律风险责任体系。 完善企业重大法律纠纷案件立案管理制度; (九)建立关键岗位权力制衡制度,明确要求不相容职责分离。关键包含:授权同意、业务经办、会计统计、财产保管和稽核检验等职责。对内控所包含关键岗位可设置一岗双人、双职、双责,相互制约;明确该岗位上级部门或人员对其应采取监督方法和应负监督责任;将该岗位作为内部审计关键等。 第二十六条 企业应该根据各相关部门和业务单位职责分工,认真组

17、织实施风险管了处理方案,确保各项方法落实到位。 第六章 风险管理监督和改善第二十七条 企业建立贯穿于整个风险管理基础步骤,连接各上下级、各部门和业务单位风险管理信息沟通渠道,确保信息沟通立即、正确、完整,为风险管理监督和改善奠定基础。 第二十八条 企业各相关部门和业务单位应定时对风险管理工作进行自查和检验,立即发觉缺点并改善,其检验、检验汇报应立即报送企业风险管理职能部门。 第二十九条 企业审计部定时或不定时对各相关部门和业务单位能否根据相关7 要求开展风险管理工作及其工作效果进行监督评价,监督评价汇报应直接报送董事会下 设审计委员会。此项工作也可结合年度审计、任期审计、离任审计或专题审计工作一并开展。