集團公司風險管理辦法

1、某上市公司風險管理辦法第一章總則第一條為加強本公司（以下簡稱“公司”）的風險管理，建立規(guī)范、有效的風險 控制體系，提高風險防范能力，及時識別、系統(tǒng)分析經營活動中與實現(xiàn)內部控制目標 相關的風險，合理確定風險承受度和風險應對策略，根據(jù)企業(yè)內部控制基本規(guī)范 及其配套指引、中央企業(yè)全面風險管理指引、上海證券交易所上市公司內部控 制指引和公司章程，結合公司實際，制定本辦法。第二條本辦法所稱風險是指公司經營活動中與公司實現(xiàn)內部控制目標相關的風險, 包括戰(zhàn)略風險、財務風險、市場風險、運營風險和法律風險等。本制度所稱風險評估 是指通過對基于事實的信息進行分析，就如何處理特定風險以及如何選擇風險應對策 略進行科

2、學決策。第三條本制度適用于公司及各全資、控股子公司（以下統(tǒng)稱“子公司”）。第二章風險管理機構設置第四條公司風險管理的組織體系由公司董事會、總經理辦公會、風險管理部門、 內部審計部門、各職能部門 /子公司構成。第五條公司各職能部門為風險管理第一道防線；風險管理部門為風險管理第二道 防線；內部審計部門及審計委員會為風險管理第三道防線。第六條公司各職能部門在風險控制管理方面的主要職責：（一）按照公司風險管理部門制定的風險評估的總體方案，根據(jù)業(yè)務分工，配合 風險管理部門，識別、分析相關業(yè)務流程的風險，確定風險反應方案。（二）根據(jù)識別的風險和確定的風險反應方案，按照公司確定的控制設計方法和 描述工具，設

3、計并記錄相關控制，根據(jù)風險管理的要求，修改完善控制設計。包括：建立控制管理制度，按照規(guī)定的方法和工具描述業(yè)務流程，編制風險控制文檔和程序 文件等。（三）組織控制制度的實施，監(jiān)督控制制度的實施情況，發(fā)現(xiàn)、收集、分析控制 缺陷，提出控制缺陷改進意見并予以實施。對于重大缺陷和實質性漏洞，除向部門負 責人匯報情況外，還應向公司領導及時反饋情況，以便公司監(jiān)控內部控制體系的運行 情況。（四）配合內控審計部門等部門對控制失效造成重大損失或不良影響的事件進行 調查、處理。第七條風險管理部門負責建立公司風險管理體系、制度和流程等日常管理工作， 并監(jiān)督其實施的有效性。具體職責如下：（一）負責制定公司的風險評估方案

4、；（二）負責組建風險評估小組；（三）負責審核風險清單、應對預案；（四）擬定公司風險評估報告，上報公司管理層；（五）負責建立經營環(huán)境監(jiān)控體系，切實監(jiān)控并記錄內、外部經營環(huán)境和條件的 變化，以修正風險識別與評估；（六）負責建立風險預警指標體系，要求各具體部門定期提供數(shù)據(jù)，進行指標分 析；對于超過風險預警值的指標，應確定相應的整改措施。第八條總經理辦公會主要職責為：（一）審定公司各部門風險管理工作職責；（二）批準風險應對預案；（三）研究、確定公司重大風險事項及應對預案；（四）審定風險管理部門提交的公司風險管理方面的報告，并報董事會審議。第九條董事會的主要職責為：（一）確定公司風險目標；（二）審議公司

5、風險管理制度、風險管理辦法；（三）批準公司風險評估報告；（四）批準風險管理其他重大事項。第十條董事會下設的審計委員會負責指導公司審計部門開展對全面風險管理的相關工 作。第十一條公司內部審計部門在審計委員會的業(yè)務指導下，主要履行以下職責：（一）負責研究提出全面風險管理監(jiān)督評價體系；（二）制定監(jiān)督評價相關制度，開展監(jiān)督與評價，出具監(jiān)督評價審計報告；（三）對全面風險管理歸口部門和各職能 /業(yè)務部門的風險管理工作的有效性進行檢查 和評價，將審計結果及時報送審計委員會，并根據(jù)審計委員會的審議決定報送董事會。第十二條公司各職能部門負責人和子公司負責人為風險控制的第一責任人，履行 風險管理職能，執(zhí)行具體的風

6、險管理制度。建立單位內權責明確、相互制衡的崗位職 責和單位內全面、合理的風險控制制度，并針對業(yè)務主要風險環(huán)節(jié)制定業(yè)務操作流程。第十三條 子公司的風險管理和職責分工的設立，參照公司的規(guī)定制定。第三章風險評估的頻率第十四條風險評估每年至少進行一次，并根據(jù)實際需要增加評估的頻率第十五條當出現(xiàn)下述情況時，應考慮重新進行風險評估:（一）公司經營模式發(fā)生重大變動；（二）公司所使用的信息技術發(fā)生重大變動；（三）關鍵人員變動；（四）公司所適用的會計準則發(fā)生重大變動；（五）購并的發(fā)生、金融工具的使用等涉及到復雜的會計處理要求的事項發(fā)生；（六）其他需要重新進行風險評估的。第四章控制目標的設定和傳達第十六條董事會應

7、當按照戰(zhàn)略目標，設定相關的經營目標、財務報告目標、合規(guī) 性目標與資產安全完整目標，并根據(jù)設定的目標合理確定企業(yè)整體風險承受能力和具 體業(yè)務層次上的可接受的風險水平。第十七條 董事會應定期更新和修正公司的經營目標、風險管理目標；第十八條 管理層應向各部門清晰傳達公司的戰(zhàn)略目標、經營目標和風險管理目標 （如通過工作準備會等），并進行目標分解。第十九條風險管理部門負責風險評估方案的制訂，風險評估方案須經公司總經理 辦公會審批后執(zhí)行，風險評估工作由風險管理部門組建風險評估小組負責具體實施。第五章風險識別第二十條公司各部門/子公司應當根據(jù)風險評估方案的要求，全面系統(tǒng)持續(xù)地收集 相關信息，結合實際情況，及

8、時進行風險評估，準確識別與實現(xiàn)控制目標相關的內部 風險和外部風險。第二十一條 公司各部門/子公司在進行風險識別時， 可以采取座談討論、 問卷調查、 案例分析、咨詢專業(yè)機構意見等方法識別相關的風險因素，特別應注意總結、吸取企 業(yè)過去的經驗教訓和同行業(yè)的經驗教訓，加強對高危性、多發(fā)性風險因素的關注。第二十二條各部門/子公司應廣泛、持續(xù)不斷地收集與本公司風險和風險管理相關 的內外部信息，包括歷史數(shù)據(jù)和未來預測。風險信息的收集主要包括以下內容：（一）戰(zhàn)略風險方面，收集國內外企業(yè)戰(zhàn)略風險失控導致企業(yè)蒙受損失的案例，重點收集國內外宏觀經濟政策以及經濟運行情況、行業(yè)狀況，國內外產業(yè)政策、項目 工程市場需求與

9、供給狀況等與戰(zhàn)略有關的信息；（二）財務風險方面，收集國內外企業(yè)財務風險失控導致危機的案例，重點收集 企業(yè)財務報表、資產質量、盈利能力、償債能力、現(xiàn)金流量、成本核算、資金結算等 方面的信息；（三）市場風險方面，收集國內外企業(yè)忽視市場風險、缺乏應對措施導致企業(yè)蒙受損失的案例，重點收集主要客戶資信、競爭對手等方面的信息；（四）運營風險方面，收集國內外企業(yè)忽視運營風險、缺乏應對措施導致企業(yè)蒙 受損失的案例，重點收集與企業(yè)治理、投資決策、項目管理、人力資源等各方面的信 息；（五）法律風險方面，收集國內外企業(yè)忽視法律法規(guī)風險、缺乏應對措施導致企 業(yè)蒙受損失的案例，重點收集國內外法律法規(guī)和政策、以往重大法律

10、糾紛案件、競爭 對手的知識產權等方面的信息。第二十三條 公司識別內部風險，應當關注下列因素：（一）董事、監(jiān)事、經理及其他高級管理人員的職業(yè)操守、員工專業(yè)勝任能力等人力資源因素；（二）組織機構、經營方式、資產管理、業(yè)務流程等管理因素；（三）研究開發(fā)、技術投入、信息技術運用等自主創(chuàng)新因素；（四）財務狀況、經營成果、現(xiàn)金流量等財務因素；（五）營運安全、員工健康、環(huán)境保護等安全環(huán)保因素；（六）其他有關內部風險因素。第二十四條 公司識別外部風險，應當關注下列因素：（一）經濟形勢、產業(yè)政策、融資環(huán)境、市場競爭、資源供給等經濟因素；（二）法律法規(guī)、監(jiān)管要求等法律因素；（三）安全穩(wěn)定、文化傳統(tǒng)、社會信用、教育

11、水平、消費者行為等社會因素；（四）技術進步、工藝改進等科學技術因素；（五）自然災害、環(huán)境狀況等自然環(huán)境因素；（六）其他有關外部風險因素。第二十五條 公司根據(jù)收集的信息，建立風險數(shù)據(jù)庫，包括風險種類、風險描述、風險應對措施等，并在未來的工作中不斷對其進行完善。第六章風險分析第二十六條公司各部門/子公司應當針對已識別的風險因素， 從風險發(fā)生的可能性 和影響程度兩個方面進行分析。 各部門/子公司應當根據(jù)實際情況， 針對不同的風險類 別確定科學合理的定性、定量分析標準。具體如下：表一：風險發(fā)生的可能性程度描述說明I大致確定事件可能在多數(shù)情況下發(fā)生II可能事件有時可能發(fā)生III可能性不高事件只在少數(shù)情況

12、下可能發(fā)生IV罕見事件僅在很少的情況下發(fā)生V極不可能事件極少的情況下發(fā)生表二：風險的后果或影響程度描述說明1微不足道沒有經濟損失2輕微輕微經濟損失3中度可以得到控制，經濟損失不大4高度經濟損失較大5災難性經濟損失巨大第二十七條 公司/子公司應當根據(jù)風險分析的結果，依據(jù)風險的重要性水平，運用 專業(yè)判斷，按照風險發(fā)生的可能性大小及其對企業(yè)影響的嚴重程度進行風險排序，確 定應當重點關注的重要風險。表三：風險程度定性分析表可能性后果微不足道輕微中度高度災難性12345大致確疋ICCDEE可能nBCCDE可能性不高川ABCDE罕見IVAABCD極不可能VAABCC注：E=極高：要立刻停止有關工作，直到風

13、險減低。在風險減低前有關工作須完全禁 止進行。D=高風險：要停止有關工作，直到風險減低。如有關工作現(xiàn)正在進行中，須提供 有效監(jiān)控及緊急應變程序。=中等風險：須規(guī)定有關管理職責及指引把危害控制，或在可行下進一步減低風險，如有關風險可能產生嚴重的危害，應作進一步危害評估及加強控制。接受的風險：按正常運作程序管理，在不影響成本下可作進一步改善。A= 微不足道的風險：無須作任何行動，按慣常運作。第七章風險匯總及應對預案第二十八條 公司各部門/子公司應當根據(jù)風險分析情況，結合風險成因、公司整體 風險承受能力和具體業(yè)務層次上的可接受風險水平，確定風險應對策略。風險應對策 略主要包括風險回避、風險承擔、風險

14、管理和風險分擔經營。第二十九條 公司各部門/子公司應根據(jù)風險分析的結果編制風險清單，并制訂相應的應對預案，風險清單、應對預案須報公司風險評估小組審核后，報總經理辦公會審 批。重大風險應對預案還需要報董事會審批。第八章風險評估報告及執(zhí)行第三十條公司風險評估小組負責編制風險評估報告，風險評估報告經公司總經理 辦公會審核后，報公司董事會審議。第三十一條 風險評估報告應包括以下內容：（一）風險評估的范圍；（二）風險評估的方法；（三）風險清單；（四）風險應對預案。第三十二條 各部門/子公司應根據(jù)董事會批準的風險評估報告進行實施，對風險應對預案的執(zhí)行情況進行實時監(jiān)控，并及時反饋風險應對、解決的執(zhí)行情況。第三十三條 內部審計部門（或協(xié)同風險管理部門或風險評估小組）負責定期或不 定期對各部門/子公司風險管理工作實施情況和有效性進行監(jiān)督和檢查，提出調整或改進建議，出具評價和建議報告第三十四條各部門/子公司未按照公司規(guī)定