企業全面風險管理辦法
第一章 總則
第一條 為了建立規範、有效的**有限公司(以下簡稱“公司”)全面風險管理體系,防範、控制和化解公司在經營管理過程中可能發生或出現的風險,促進企業健康持續穩定發展,保障企業資產保值增值,根據《中華人民共和國公司法》、《中央企業全面風險管理指引》等法律法規及規章制度,結合公司實際,制定本辦法。
第二條 本辦法適用於公司總部。公司下屬各級全資、控股子公司(以下簡稱“下屬企業”)應結合本單位的經營管理實際,根據本辦法制定相應的風險管理與內部控制管理實施細則。
第三條 本辦法所稱風險,指未來的不確定性對企業實現其戰略目標和經營目標的影響。
第四條 本辦法所稱全面風險管理,指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,從而為實現風險管理的總體目標提供合理保證的過程和方法。
第二章 全面風險管理的目標、原則和框架
第五條 公司全面風險管理的總體目標:
(一)確保公司各項經營管理活動遵守有關法律法規;
(二)確保將風險控制在與總體目標相適應並可承受的範圍內;
(三)確保公司有關規章制度和為實現經營目標而採取重大措施的貫徹執行,保障經營管理的有效性,提高經營活動的效率和效果;
(四)確保公司建立針對各項重大風險發生後的危機處理方案,保護企業不因災害性風險或人為失誤而遭受重大損失;
(五)不斷提高公司員工風險管理意識,形成良好的風險管理文化。
第六條 公司全面風險管理遵循全面、重要、合理、制衡、獨立的原則,確保風險管理的有效性。
(一)全面性。公司風險管理應當做到事前、事中、事後控制相統一;覆蓋公司所有業務、部門和人員,滲透到決策、執行、監督、反饋等各個環節。
(二)重要性。在全面風險管理的基礎上,關注重要業務、重點專案和高風險領域。
(三)合理性。全面風險管理應與公司經營規模、業務範圍、風險狀況及所處的環境相適應,應以合理的成本實現風險管理目標。公司應本著從實際出發,務求實效的原則,制定開展全面風險管理的總體規劃,分步予以實施。
(四)制衡性。風險管理應當在治理結構、機構設定及權責分配、業務流程等方面形成相互制約、相互監督,同時兼顧運營效率。
(五)獨立性。承擔風險管理監督檢查職能的部門應當獨立於公司其他部門。
第七條 全面風險管理的基本流程包括以下主要工作:
(一)收集風險管理初始資訊;
(二)進行風險評估;
(三)制定風險管理策略;
(四)提出和實施風險管理解決方案;
(五)風險日常監控預警;
(六)風險與危機的處理;
(七)風險管理的監督與改進。
第八條 全面風險管理應涵蓋公司治理與經營管理活動中所有環節,包括:
(一)公司治理環節:主要包括股東大會、董事會、黨組織委員會與總經理辦公會的會議運作和管理層的職權等。
(二)重大資產購買和出售環節:主要包括重大資產自建、購置、處置、維護、保管與記錄等。
(三)對外投資環節:包括投資有價證券、股權、金融衍生品及其他長、短期投資、委託理財、募集資金使用的決策、執行、保管與記錄等。
(四)對外擔保、籌融資環節:包括借款、擔保、承兌、租賃、發行債券等的授權、執行與記錄等。
(五)關聯交易環節:包括關聯方的界定,關聯交易的定價、授權、執行、報告和記錄等。
(六)日常經營管理環節:主要包括生產、採購與付款、銷售與收款、財務會計管理、全面質量管理、產品研發、人事管理、環境保護、安全管理等。
第三章 風險管理的組織體系與職責分工
第九條 公司建立統一領導、分工負責、專業監督與全員參與相結合的全面風險管理工作機制。
第十條 公司全面風險管理組織體系由公司董事會、總經理辦公會(公司經理層)、風險管理職能部門、風險管理監督部門及其他職能和業務部門構成。
第十一條 公司董事會負責規劃公司整體的風險控制體系。提出全面風險管理的目標和實施要求,審議公司風險管理和企業內控制度、組織機構設定及其職責方案,以及其他涉及公司重大權益的風險處置方案。
第十二條 總經理辦公會負責按照董事會要求,制定公司風險控制體系的總體方案和實施步驟。落實全面風險管理體系建設,持續改善公司整體的風險管理體系;對重大風險問題提出解決方案並組織實施,對危機事件設立臨時性處理機構;指導和督促下屬企業的全面風險管理工作。
第十三條 公司綜合管理部為公司風險管理的職能部門,向公司經理層負責並報告工作。主要職責為:
(一)負責公司全面風險管理體系的建設、推進和管理工作,指導各部門風險管理工作的具體實施,協調解決日常風險管理過程中的一般性問題;
(二)組織編制公司全面風險管理年度工作報告並向經理層提交;
(三)組織制定公司風險管理有關規章制度;
(四)組織建立公司風險管理資訊系統;
(五)配合人力資源部組織風險管理有關的培訓活動;
(六)組織研究並提出風險管理策略和跨部門的重大風險解決方案,監督檢查解決方案的實施情況;
(七)負責風險管理有效性的持續評估,研究提出風險管理改進方案;
(八)負責組織風險管理工作考核;
(九)負責公司風險管理文化建設;
(十)負責經理層交辦的與全面風險管理相關的其他工作。
第十四條 審計部門是企業全面風險管理的監督部門,負責企業全面風險管理的監督和評價。
第十五條 公司各職能部門和業務部門是風險管理的執行機構。各部門負責人為本部門職責範圍內風險控制的第一責任人。主要職責為:
(一)有效執行風險管理規章制度和基本工作流程;
(二)負責本部門風險管理初始資訊的收集整理工作,建立健全本部門的風險管理內控子系統,提出本部門業務流程中風險點和控制點的初步識別資訊;
(三)研究提出本部門的重要事項和重要業務流程風險的識別和判斷標準,提出本部門重要風險的風險解決方案,並負責對該方案的組織實施和對該風險的日常監控;
(四)負責提出本部門重要業務風險評估報告;
(五)參與起草全面風險管理年度報告;
(六)負責風險管理資訊化系統在本部門的執行操作;
(七)負責組織制定本部門各項業務的風險管理制度,或在編制各項業務管理制度時建立風險控制的內容;
(八)負責本部門風險管理工作的自查和風險管理文化建設等有關工作。
第十六條 參照《中央企業全面風險管理指引》,公司面臨的風險分為戰略風險、運營風險、市場風險、財務風險、法律與合規風險及廉潔風險六大類別。公司風險實行歸口管理、分工負責的管理原則,各部門應按照本辦法之規定,對各自負責的風險領域實施管理與監控。
(一)戰略風險:由公司董事會和總經理辦公會負責企業戰略風險的管理與監控;
(二)運營風險:由公司各部門負責各自所屬運營管理風險的管理與監控;
(三)市場風險:由公司業務部門負責各自所屬業務領域市場風險的管理與監控;
(四)財務風險:由公司財務部門負責財務風險的管理與監控;
(五)法律與合規風險:由公司綜合管理部、董事會辦公室、環保合規部、廢家電事業部負責企業合規和法律事務等風險的管理與監控;
(六)廉潔風險:由綜合管理部、人力資源部負責公司職工廉潔從業風險的管理和監控。
第四章 風險資訊、風險識別和風險評估
第十七條 公司建立風險管理資訊的收集與積累機制。風險管理資訊包括與風險及風險管理相關的巨集觀經濟、政策法規、市場狀況、技術革新、財務狀況、人力配置、管理措施、資訊報告等方面的資訊。公司各部門應廣泛、持續不斷地收集風險資訊,並通過資訊化系統或其他方式送交公司。
風險管理職能部門,公司風險管理職能部門應對風險資訊進行整理和辨識,應用於風險識別和風險評估工作。
第十八條 公司在辨識風險資訊的基礎上,根據自身經營管理實際,組織公司各部門開展風險識別工作。
(一)戰略風險。指未來的不確定性對企業實現其戰略目標的影響。
(二)運營風險。指企業在運營過程中,由於外部環境的複雜性和變動性以及主體對環境的認知能力和適應能力的有限性,而導致的運營失敗或使運營活動達不到預期目標的可能性及其損失。
(三)市場風險。指由於市場及相關的外部環境的不確定性而導致企業市場萎縮、達不到預期的市場效果乃至影響企業生存與發展的一種可能性。
(四)財務風險。指財務基礎管理制度不完備,運營日常經費控制不當使公司運營經費支出和日常管理成本未在指標控制範圍內;在各項財務活動中,因各種內外因素使財務狀況不明確,導致公司財務蒙受嚴重經濟損失的風險。
(五)法律與合規風險。指由於企業外部法律環境發生變化,或由於包括企業自身在內的法律主體未按照法律規定或合同約定有效行使權利、履行義務,而對企業造成負面法律後果的可能性。
(六)廉潔風險。指公司管理層或員工在執行公司事務過程中或日常生活中出現謀求私利等腐敗行為的可能性。
第十九條 公司根據風險發生的原因,結合實際情況,對上述風險細化分類,形成風險分類總目錄(見附件1)。
第二十條 公司按照風險發生的概率以及影響程度,結合定量資料和定性分析進行風險評估。一般而言,公司可經風險評估將風險分為重大風險、重要風險、一般風險和低風險等四個等級(見附件2)。
第二十一條 公司按照風險評估標準描述、說明、歸類各種具體風險,並對重大風險和重要風險形成風險管理清單。公司在評估多項具體風險時,對各項具體風險進行比較,確定關注重點和管理的優先順序。
第二十二條 風險評估由公司組織各部門自行組織實施,必要時也可聘請有資質、信譽好的風險管理專業諮詢機構協助實施。
第五章 風險管理策略
第二十三條 風險管理策略,是指根據公司自身條件和外部環境,圍繞公司發展戰略,確定風險偏好、風險承受度、風險管理有效性標準,選擇適當的風險管理工具的總體策略,並確定風險管理所需人力和財力資源的配置原則。
第二十四條 公司根據不同業務特點確定風險偏好和風險承受度,明確風險的最低限度和不能超過的最高限度,並據此確定風險預警線及相應採取的對策。
第二十五條 公司根據風險與收益相平衡的原則,明確風險管理成本的資金預算和控制風險的組織體系、應對措施等總體安排。
第二十六條 風險管理策略應包括風險規避、風險轉移、風險降低、風險接受等四種方式:
(一)風險規避:即為了避免受風險影響而退出業務活動的應對方式;
(二)風險轉移:即利用工具將風險部分或全部轉移給第三方,防止遭受災難性損失的應對方式;
(三)風險降低:即採取控制措施以降低風險事件的影響程度或發生概率,以將風險控制在可接受範圍內的應對方式;
(四)風險接受:即在風險規避、風險轉移、風險降低策略均不可行,或採取措施的成本超過接受風險成本的情況下,不對風險採取任何措施,接受該風險的應對方式。
第二十七條 公司根據自身的風險偏好和風險承受度,採用一種或多種應對方式相結合,以有效管理和應對風險。
第二十八條 針對低風險,一般可通過現有制度與流程加以有效控制,不增加額外控制,但風險事件實際發生後應及時分析總結,並將結果報風險管理職能部門備案。
第二十九條 針對一般風險,公司應對現有制度與流程進行評估,查詢差距與不足,補充完善控制措施,應對風險,防範風險升級擴散,並將結果報風險管理職能部門備案。
第三十條針 對重要風險和重大風險,應在公司整體層面上加以應對。應由相關部門會同風險管理職能部門共同研究提出風險管理措施和解決方案,內容包括但不限於對風險的具體目標,所需的組織領導,所涉及的管理及業務流程、所需要的資源,相關工作進度安排等。
第三十一條 公司定期總結和分析已制定的風險管理策略的有效性和合理性,結合實際不斷修訂和完善。
第六章 風險管理的內控機制
第三十二條 公司按照經營戰略與風險策略一致、風險控制與運營效率相平衡的原則,建立和完善風險管理的內控機制。
第三十三條 公司建立風險管理的內控機制,至少應建立健全以下制度和包括以下內容:
(一)崗位授權制度。對所涉及的各崗位明確規定授權的物件、條件、範圍和額度等,任何組織和個人不得超越授權做出決定;
(二)審批流程制度。明確規定各類審批事項的批准程式、條件、範圍和額度、必備檔案以及有權批准的部門和人員等;
(三)內控責任制度。按照權利、義務和責任相統一的原則,明確規定各有關部門和業務單位、崗位、人員應負的責任和獎懲制度;
(四)預算管理制度,明確各部門在預算管理中的職責許可權,規範預算的編制、審定、下達和執行程式,強化預算約束;
(五)審計檢查制度。結合內控的有關要求、方法、標準與流程,明確規定審計檢查的物件、內容、方式和負責審計檢查的部門等;
(六)考核評價制度。應科學設定考核指標體系,對企業各部門和全體員工的業績進行定期考核和客觀評價,將考評結果作為員工獎懲、聘任、交流、培訓的依據;
(七)重大風險預警制度。對重大風險進行持續不斷的監測,及時釋出預警資訊,制定應急預案,並根據情況變化調整控制措施;
(八)堅持不相容崗位職責分離原則,建立重要崗位權力制衡機制。堅持將授權與執行、執行與監督等不相容崗位分離設定,確有必要時可對關鍵崗位設定一崗雙人,以相互制約,減少錯誤和舞弊的管理風險。
第三十四條 條件成熟時,公司將資訊科技應用於全面風險管理工作,將風險管理與企業各項管理業務流程、管理軟體統一規劃、統一設計、統一實施、同步執行。
第三十五條 公司根據內部控制目標,結合風險應對策略,綜合運用控制措施,對各種業務和事項實施有效控制。
第七章 風險的監控報告與預警
第三十六條 公司建立重大風險預警機制和突發事件應急處理機制,明確風險預警標準,對可能發生的重大風險或突發事件,制定應急預案、明確責任人員、規範處置程式,確保突發事件得到及時妥善處理。
第三十七條 公司建立風險報告和預警制度。通過有效的溝通和反饋,使公司領導和有關部門及時瞭解公司業務和資產的風險狀況,相應調整風險管理政策和管理措施。
第三十八條 公司的風險報告分為定期風險報告和不定期專項風險報告。定期風險報告是對一個階段公司經營發展中存在的風險和糾正的情況進行的彙總報告;不定期專項風險報告是對監控中或風險專項檢查中發現的重大風險或風險隱患問題進行的專項報告。風險報告要按照規定的報告程式報送公司領導、相關部門。
第三十九條 在風險監控中發現問題時,審計部可以進行風險專項檢查,如發現內部控制存在重大缺陷或存在重大風險,應及時向風險管理職能部門報告。
第四十條 公司相關部門應建立風險預警系統,以發現並應對可能出現的風險。各部門有責任及時、無保留地向公司風險管理職能部門報告有關風險的真實資訊。
第八章 風險與危機的處理
第四十一條 公司建立靈敏高效的危機處理和應急管理機制,以降低風險損失。對新出現的、缺乏風險應急預案的重大風險,風險管理職能部門應立即與公司相關部門協調,組織人員研究制定風險應對方案,並報公司經理層審批後實施。
第四十二條 當風險已經發生,風險部門負責人必須立即向風險管理職能部門報告。
第四十三條 風險管理職能部門應及時對風險進行初步的評判,確定是屬於一般性內部風險,還是對公司聲譽、經營活動和內部管理造成強大壓力和負面影響的公司危機。對一般性風險,責成部門負責人組織處理;對公司危機,必須按照本辦法所列危機處理程式處理。
第四十四條 危機處理程式:
(一)成立風險和危機的處理機構
危機發生後,公司應在第一時間由風險管理職能部門牽頭成立危機處理小組,該小組應由公司總經理擔任組長。小組成員至少應包括:發生危機單位的第一負責人、董事會辦公室、綜合管理部、環保合規部、運營管理部、投資部、審計部、財務部、人力資源部等部門負責人及其他相關人員,小組應配備小組祕書及後勤保障人員。公司董事會應授權危機處理小組為處理危機事件的權力機構和協調機構,有權調動公司可用資源。
(二)制訂危機處理計劃
危機處理小組應及時根據現有的資料和情報,以及公司擁有或可支配的資源來制訂危機處理計劃。計劃必須體現出危機處理目標、程式、組織、人員及分工、後勤保障、行動時間表以及各個階段要實現的目標,同時還應包括社會資源的調動和支配、費用控制和實施責任人及其目標。計劃制訂完成並獲通過後,應立即開始進行物質資源調配和準備,展開全面的危機處理行動。
(三)危機處理
1.對於尚未造成社會影響的事件,在對危機事件進行詳細的調查瞭解和核實的基礎上,根據法律、法規和公司管理制度,果斷做出處理決定,以避免事態的進一步惡化。2.對於已造成社會影響的事件,應保持與社會各方的良好溝通,及時披露事實真相,以有助於對事件做出客觀公正的報道和評價。
3.在處理過程中,應處理好與危機事件對方當事人的關係,及時安撫,避免出現糾紛。
4.在事件處理的全過程,危機處理小組均應與當地政府、監管機構保持緊密聯絡,及時通報事件進展。
(四)教訓總結與責任認定
危機事件處理完成後,危機處理小組應及時提交總結報告,如實反映事件的起因、發生過程、處理方法和結果、責任認定、反映的問題等,並提出整改建議或意見,以避免新的風險和危機發生。
第四十五條 對因決策失誤、管理失職、行為失當等原因致使公司出現風險或危機,並造成有形或無形損失的責任人,公司應追究其直接責任或領導責任。
第九章 風險管理監督與改進
第四十六條 風險管理的監督與改進是指對風險管理的效果和效率進行持續監督與考核評價,並根據監督或考核的結果,對風險管理工作進行改進與提升。
第四十七條 公司以重大風險、重大事件和重大決策、重要管理及業務流程為重點,對風險識別、風險評估、風險管理策略和內控機制的實施情況進行自我評估和檢驗,根據變化情況和存在的缺陷及時加以改進。
第四十八條 公司審計部門應至少每年一次對風險管理部門、各有關部門開展風險管理工作情況及其工作效果進行監督和評價。監督和評價主要考慮以下方面:
(一)實施風險管理的總體情況。
(二)風險管理內控機制的情況。
(三)落實風險識別、風險評估或風險管理措施的情況。
(四)是否發生重大風險和危機事件並對企業造成的影響。
(五)重大風險和危機事件的事後救濟情況。
第十章 風險管理文化
第四十九條 公司將風險管理文化建設作為公司發展戰略的重要組成部分,致力於培育和塑造良好的風險管理文化,促進公司全面風險管理目標的實現。
第五十條 公司應將風險管理文化融於企業文化建設的過程中,應在相關制度檔案中明確規定風險管理文化的建設要求和內容。
第五十一條 公司應引導員工遵循良好的行為準則和道德規範,增強風險管理意識,培養按規章制度做事的習慣。公司將對員工風險意識和風險管理的培訓納入培訓計劃。
第十一章 附則
第五十二條 本辦法由公司綜合管理部負責解釋。
第五十三條 本辦法自公司董事會審議通過之日起實施。