全面風險管理與內(nèi)部控制管理規(guī)范

1、全面風險管理與內(nèi)部控制管理標準【最新資料，WOR皮檔，可編輯修改】全面風險管理與內(nèi)部控制管理標準1范圍本標準規(guī)定了攀鋼集團有限公司全面風險管理與內(nèi)部控制的組織機構與職責、管理內(nèi)容與要求、檢 查與考核等。本標準適用于攀鋼集團有限公司及所屬各子（分）公司、直屬單位、托管單位。子（分）公司、直 屬單位、托管單位可直接引用或轉化為本單位管理標準，在轉化過程中應保持公司統(tǒng)一設置的管理控制 流程和過程控制基本規(guī)則。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。國資發(fā)改革2006

2、108號 中央企業(yè)全面風險管理指引財會20087號企業(yè)內(nèi)部控制基本規(guī)范財會201011號 企業(yè)內(nèi)部控制應用指引、企業(yè)內(nèi)部控制評價指引、企業(yè)內(nèi)部控制審計指引國資發(fā)評價201268號關于加快構建中央企業(yè)內(nèi)部控制體系有關事項的通知鞍鋼政發(fā)201359號鞍鋼集團公司全面風險管理與內(nèi)部控制管理辦法（暫行）鞍鋼政發(fā)201375號 鞍鋼集團公司內(nèi)部控制評價管理暫行辦法3術語、定義與縮略語下列術語、定義與縮略語適用于本標準。1.1 公司指攀鋼集團有限公司。1.2 各單位指公司下屬各子（分）公司、直屬單位和托管單位。1.3 XX管理部門公司規(guī)定的某項管理職能的主管部門。各單位對上述部門的確定和調(diào)整按相應的職責管

3、理規(guī)定執(zhí)行。1.4 風險指未來的不確定性對公司實現(xiàn)經(jīng)營目標的影響。一般分為戰(zhàn)略風險、財務風險、市場風險、運營風 險、法律風險等；也可以能否為公司帶來盈利等機會為標志，分為純粹風險和機會風險。1.5 全面風險管理指公司圍繞總體經(jīng)營目標，通過在公司管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培 育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險管理措施，以及構建風險管理組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理總體目標提供合理保證的過程和方法。1.6 內(nèi)部控制指公司董事會、監(jiān)事會、管理層和全體員工為了保證公司戰(zhàn)略目標的實現(xiàn)，針對公司各項業(yè)務管理及其重

4、要業(yè)務流程，通過執(zhí)行風險管理基本流程，制定并執(zhí)行的規(guī)章制度、程序和措施。1.7 內(nèi)部控制規(guī)范體系指企業(yè)內(nèi)部控制基本規(guī)范及其配套指引的規(guī)定和其他內(nèi)部控制監(jiān)管要求。4 組織機構與職責公司全面風險管理與內(nèi)部控制的組織體系主要包括公司董事會、監(jiān)事會、經(jīng)理層、全面風險管理與內(nèi)部控制管理部門、審計部門、其他各職能管理部門及各單位。4.1 公司董事會是公司全面風險管理與內(nèi)部控制工作的最高決策機構，對公司全面風險管理與內(nèi)部控制的建立健全和實施的有效性負責，主要履行以下職責：a) 決定全面風險管理與內(nèi)部控制體系；b) 審批全面風險管理與內(nèi)部控制工作年度計劃；c) 審批公司全面風險管理報告及內(nèi)部控制評價報告，認定

5、公司內(nèi)部控制重大缺陷并實施整改；d) 確定公司全面風險管理與內(nèi)部控制總體目標、風險偏好、風險承受度，批準風險管理策略和重大風險管理解決方案；e) 了解和掌握公司面臨的各項重大風險及其內(nèi)部控制現(xiàn)狀，做出有效控制風險的決策；f) 批準重大決策、重大風險、重大事件和重要業(yè)務流程的判斷標準或判斷機制；g) 批準重大決策的風險評估報告；h) 批準風險管理與內(nèi)部控制監(jiān)督評價的審計報告；i) 督導公司風險管理文化的培育；j) 其他有關公司全面風險管理與內(nèi)部控制的重大事項。公司董事會下設風險控制與審計委員會，具體辦理董事會授權的全面風險管理與內(nèi)部控制相關事項。4.2 公司監(jiān)事會是公司全面風險管理與內(nèi)部控制監(jiān)督

6、機構，對公司建立與實施全面風險管理與內(nèi)部控制進行監(jiān)督，主要履行以下職責：a) 監(jiān)督董事會、經(jīng)理層建立完善全面風險管理與內(nèi)部控制體系；b) 監(jiān)督董事會、經(jīng)理層正確履行全面風險管理與內(nèi)部控制職責；c) 審核公司年度全面風險管理報告及內(nèi)部控制評價報告；d) 監(jiān)督公司內(nèi)部控制缺陷整改。4.3 公司經(jīng)理層負責組織領導公司內(nèi)部控制的日常運行和全面風險管理的日常工作，就全面風險管理與內(nèi)部控制的有效性向董事會負責，主要履行以下職責：a) 組織建立全面風險管理與內(nèi)部控制體系；b) 審批全面風險管理與內(nèi)部控制制度；c) 審核公司全面風險管理與內(nèi)部控制年度工作計劃；d) 審核公司內(nèi)部控制評價報告及全面風險管理報告，

7、認定公司內(nèi)部控制重要缺陷并實施整改；提出公司重大決策、重大風險、重大事件和重要業(yè)務流程的判斷標準或判斷機制等風險管理相關建議；e) 審核風險管理與內(nèi)部控制監(jiān)督評價的審計報告；f) 審批專項風險報告；g) 其他全面風險管理與內(nèi)部控制事項。公司經(jīng)理層成立以總經(jīng)理為組長、副總經(jīng)理為副組長、各職能管理部門負責人為成員的全面風險管理與內(nèi)部控制領導小組，具體辦理在公司授權范圍內(nèi)的全面風險管理與內(nèi)部控制相關事項。4.4 公司管理創(chuàng)新部門是公司全面風險管理與內(nèi)部控制建設和評價的歸口管理部門，對公司總經(jīng)理委托授權的全面風險管理與內(nèi)部控制主管領導負責，主要履行以下職責：a) 研究提出公司全面風險管理與內(nèi)部控制體系

8、建設方案、管理制度、規(guī)劃及年度計劃；b) 組織開展年度風險評估及應對工作，負責對風險評估結果匯總分析，對其他職能管理部門和單位開展的風險評估提供指導和支持；c) 根據(jù)風險評估結果，提出風險管理策略和內(nèi)部控制調(diào)整建議，組織協(xié)助相關部門制定重大風險應對方案；d) 對年度風險管理與內(nèi)部控制工作情況進行評估，編制公司全面風險管理報告和內(nèi)部控制手冊；e) 為公司各職能部門管理重大風險提供專業(yè)支持，組織協(xié)調(diào)跨部門的風險管理事宜，對專項風險評估報告進行合規(guī)性審查，對公司重大風險管理提出意見。；f) 組織開展對公司重要業(yè)務流程的內(nèi)部控制及重大風險的日常監(jiān)控與專項調(diào)查；g) 對重大風險管理策略和解決方案的制定、

9、執(zhí)行和效果情況進行監(jiān)督檢查；h) 負責組織實施公司內(nèi)部控制評價，提出內(nèi)部控制評價報告；i) 負責組織實施內(nèi)部控制缺陷整改；j) 負責組織協(xié)調(diào)公司全面風險管理與內(nèi)部控制其他日常工作。4.5 公司審計部門、紀檢監(jiān)察部門是公司全面風險管理與內(nèi)部控制的日常監(jiān)督部門，主要履行以下職責：a) 將風險管理與內(nèi)部控制納入審計和紀檢監(jiān)察范圍，對公司全面風險管理與內(nèi)部控制的有效性進行日常監(jiān)督檢查和評價；b) 結合內(nèi)部審計和紀檢監(jiān)察日常工作，揭示公司內(nèi)部控制缺陷和重大風險并按照工作程序進行報告；c) 負責組織提出揭示的內(nèi)部控制與風險管理設計與運行缺陷的整改方案，并對整改方案執(zhí)行進行 監(jiān)督檢查。4.6 公司財務部門是

10、聘請會計師事務所對公司開展內(nèi)部控制審計的主管部門，主要履行以下職責：a) 負責簽署協(xié)議確定公司內(nèi)部控制審計會計師事務所和內(nèi)部控制評價機構；b) 協(xié)調(diào)會計師事務所開展公司內(nèi)部控制審計和評價；c) 向內(nèi)部控制主管部門提供內(nèi)部控制審計和評價情況。3.7 公司董事會辦公室是公司全面風險管理與內(nèi)部控制信息披露管理部門，主要履行以下職責：a) 負責收集有關公司全面風險管理與內(nèi)部控制工作相關的董事會議案；b) 負責公司全面風險管理與內(nèi)部控制信息披露。3.8 公司各職能管理部門是本專業(yè)管理和業(yè)務范圍內(nèi)的風險管理與內(nèi)部控制責任主體和實施主體，主要履行以下職責：a) 研究提出本專業(yè)管理范圍內(nèi)的風險管理模式、制度建

11、設、管理流程，制定控制目標，評估流程主要風險點，確定關鍵控制點，制定風險防范和控制措施。b) 研究提出本專業(yè)管理范圍內(nèi)的重大決策、重大風險、重大事件和重要業(yè)務流程的判斷標準或判 斷機制并對本專業(yè)范圍內(nèi)涉及的重大風險作出判斷；c) 研究提出本專業(yè)重大決策的風險評估報告；d) 研究提出本專業(yè)重大及重要風險管理策略與解決方案，建立風險預警機制，做好風險的日常監(jiān)控工作，制定和適時啟動應急預案；e) 負責建立和完善本專業(yè)管理范圍的內(nèi)部控制體系，對本專業(yè)的管理體系實施管理評審和自我評 價。f) 完成日常風險信息報送、年度風險辨識和評估，向風險管理部門提供專業(yè)的風險管理信息。g) 接受風險管理部門的組織、協(xié)

12、調(diào)、指導和監(jiān)督。3.9 各單位主要履行以下職責：a) 制定本單位的全面風險管理與內(nèi)部控制規(guī)章制度，建立健全組織體系； b) 研究提出本單位重大決策、重大風險、重大事件和重要業(yè)務流程的判斷標準或判斷機制； c) 研究提出本單位的重大決策風險評估報告，撰寫本單位年度全面風險管理報告；d) 建立健全本單位的內(nèi)部控制系統(tǒng)，編制內(nèi)部控制手冊； e) 研究本單位關鍵風險預警指標，做好風險的日常監(jiān)控工作； f) 向公司風險管理部門提供風險管理信息和報送相關材料。g) 負責培育本單位風險管理文化；5 管理流程管理流程圖見附錄A。6 管理內(nèi)容與要求公司全面風險管理與內(nèi)部控制實行“統(tǒng)一領導、分類分級”的管理模式和

13、“業(yè)務誰主管、風險誰負責”的管理原則。即：全面風險管理與內(nèi)部控制工作由公司統(tǒng)一領導，公司各職能管理部門負責本專業(yè)管理和業(yè)務范圍內(nèi)的風險管理與內(nèi)部控制，各單位在公司管理層級權限范圍內(nèi)負責本單位全面風險管理與內(nèi)部控制。公司全面風險管理與內(nèi)部控制工作主要包括以下內(nèi)容：內(nèi)部環(huán)境、風險評估、風險控制、風險監(jiān)控及報告、重大風險事件應對、內(nèi)部監(jiān)督與改進、風險文化建設等。6.1 內(nèi)部環(huán)境內(nèi)部環(huán)境包括公司治理結構、內(nèi)部機構設置及權責分配、發(fā)展戰(zhàn)略、人力資源政策、內(nèi)部審計、社會責任和企業(yè)文化等。公司及具有獨立法人資格的子公司，應根據(jù)國家有關法律法規(guī)和公司章程，建立規(guī)范的公司治理結構和議事規(guī)則，明確決策、執(zhí)行、監(jiān)督

14、等方面的職責權限，形成科學有效的職責分工和制衡機制。不具備獨立法人資格的分公司、直屬單位，應按照公司管控模式，建立決策機構和管理機構，明確權責分工。公司應結合業(yè)務特點和內(nèi)部控制要求，設置內(nèi)部機構，明確職責權限，將權利與責任落實到各部門和單位。公司應對現(xiàn)實狀況和未來趨勢進行綜合分析和科學預測，制定并實施發(fā)展目標和戰(zhàn)略規(guī)劃。公司應制定和實施有利于企業(yè)可持續(xù)發(fā)展的人力資源政策，將職業(yè)道德修養(yǎng)和專業(yè)勝任能力作為選拔和聘用員工的重要標準，并加強員工培訓和后續(xù)教育。公司應設置內(nèi)部審計機構，結合內(nèi)部審計監(jiān)督，對公司風險管理與內(nèi)部控制的有效性進行監(jiān)督檢查。公司經(jīng)營發(fā)展過程中，應在安全生產(chǎn)、產(chǎn)品質(zhì)量、環(huán)境保護、

15、資源節(jié)約、促進就業(yè)、員工權益保護，以及供應商、客戶（消費者）、股東和債權人權益保護、公共關系和社會公益事業(yè)等方面履行社會責任和義務。公司有關部門及各單位根據(jù)鞍鋼集團公司對區(qū)域子公司的管控模式，按照企業(yè)內(nèi)部控制基本規(guī)范及其第1 號至第 5號應用指引規(guī)范性要求，就內(nèi)部環(huán)境相關內(nèi)容進行梳理，制定管理制度并認真貫徹實施，為公司風險管理與內(nèi)部控制提供組織保證、制度約束，營造良好的風險管理與內(nèi)部控制環(huán)境。6.2 風險評估風險評估是在信息收集的基礎上根據(jù)公司內(nèi)外部環(huán)境的變化，對公司所面臨的與實現(xiàn)控制目標相關的內(nèi)部和外部風險進行風險辨識、風險分析和風險評價，包括對公司各項管理制度、各項經(jīng)營發(fā)展計劃、經(jīng)營與投資

16、方案等的事前風險評估。公司建立風險管理初始信息收集與積累機制。公司各部門、各單位按照中央企業(yè)全面風險管理指引、企業(yè)內(nèi)部控制基本規(guī)范、企業(yè)內(nèi)部控制應用指引中風險管理初始信息收集范圍及應當關注的風險因素，廣泛、持續(xù)不斷地收集與本部門、本單位風險管理相關的內(nèi)、外部風險初始信息，包括歷史數(shù)據(jù)和未來預測，并把收集風險初始信息的職責分工落實到具體工作崗位。篩選、對比、提煉，規(guī)范各專業(yè)風險名稱和定義，對風險進行分類分級，并對其具體表現(xiàn)進行分析描述，逐步建立和及時更新維護本部門、本單位風險信息庫。公司每年年初定期組織開展一次年度全面風險評估，確定年度影響公司戰(zhàn)略、經(jīng)營目標實現(xiàn)的重大、重要風險。公司建立重大事項

17、專項風險評估機制?！叭匾淮蟆狈秶鷥?nèi)事項，事項提出部門或單位應進行專項風險評估，起草專項風險評估報告，充分揭示風險和應對措施，經(jīng)公司業(yè)務主管部門審查和風險管理職能部門程序性合規(guī)審核后，作為議案一部分提交公司公司決策機構審議；國家對相關行業(yè)明確提出需要做專項風險評估的事項，應按照國家規(guī)范性要求提出專項風險評估報告。風險評估實行動態(tài)管理，公司及各單位應在經(jīng)營環(huán)境發(fā)生變化、戰(zhàn)略規(guī)劃及經(jīng)營目標調(diào)整時，同步開展風險評估工作。6.3 風險的控制風險管理策略公司風險管理部門結合公司的發(fā)展戰(zhàn)略，擬訂公司風險管理戰(zhàn)略和重大風險的管理策略，報公司主管領導審核后送公司董事會審批。各單位應結合本單位實際制定本單位風險

18、管理戰(zhàn)略和重大風險管理策略。公司風險管理部門和各單位應定期總結和分析已制定的風險管理策略的有效性和合理性，結合實際不斷修訂和完善，重點檢查依據(jù)風險偏好、風險承受度和風險控制預警線制定的風險策略實施結果是否有效。風險管理解決方案風險管理解決方案是風險管理策略分解落實到具體風險的管理措施, 內(nèi)容一般包括: 風險管理的具體目標 , 風險監(jiān)控指標、指標的目標值和里程碑事件的完成時間，風險事件發(fā)生前、中、后所采取的具體應對措施及風險管理工具，所需的組織領導, 所需投入的條件和資源，所涉及的管理制度流程及關鍵控制點等。建立完善內(nèi)部控制系統(tǒng)6.4 風險監(jiān)控及報告公司各職能部門和各單位應根據(jù)制定的風險監(jiān)控指標

19、和風險控制預警線，有序開展日常監(jiān)控。同時，應每半年開展一次對重大、重要風險管理策略及解決方案執(zhí)行情況的自查，總結風險管控效果，撰寫風險監(jiān)控報告報送風險管理部門。當影響公司的風險發(fā)生重大變化或產(chǎn)生實質(zhì)性損失事件時，相關部門和單位應在5日內(nèi)撰寫風險監(jiān)控報告報送上一級風險管理部門。公司風險管理部門形成公司風險監(jiān)控報告報公司主管領導。公司建立日常風險信息通報機制。各單位和部門結合年度工作會議、預算計劃會議以及月度、季度經(jīng)營活動分析會議等例行工作機制，建立適時風險分析、提示、報告和通報機制，確保與重大風險管控相關的信息和報告能及時送達到公司決策層和經(jīng)營層，不斷建立完善公司重大風險動態(tài)監(jiān)控和報告機制。公司

20、建立風險管理年度報告機制。每年 1-4 月份，公司風險管理主管部門組織編制企業(yè)年度全面風險管理報告。公司及各單位應全面總結上一年度全面風險管理與內(nèi)部控制工作完成情況、本年度開展風險評估、制定風險管理策略和解決方案、建立完善內(nèi)部控制等工作情況，在此基礎上編制本單位全面風險管理報告，經(jīng)本單位董事會或類似權力機構審批后，報上一級風險管理主管部門。6.5 重大風險事件應對當風險已經(jīng)發(fā)生，任何第一手接觸或認知到風險的人員必須向其上一級管理者報告，同時報送風險管理職能部門。公司各項重大、重要風險管理責任部門和單位應建立靈敏高效的應急管理機制，明確風險預警標準，對可能發(fā)生的重大、重要風險或突發(fā)事件，按照專業(yè)

21、管理要求制定應急預案，明確責任人員、規(guī)范處置程序，確保重大、重要風險或突發(fā)事件得到及時妥善處理，以降低風險損失和影響。對新出現(xiàn)的、缺乏風險應急預案的重大、重要風險，相關部門和單位應立即協(xié)調(diào)組織人員研究制定應急預案，報公司風險控制與審計委員會審批后實施。6.6 監(jiān)督與改進風險管理與內(nèi)部控制的監(jiān)督與改進應以重大決策、重大風險和重要管理及業(yè)務流程為重點, 對風險管理初始信息、風險評估、風險管理策略、關鍵控制活動及風險管理解決方案的實施情況進行監(jiān)督, 對風險管理和內(nèi)部控制的有效性進行測試和評價, 根據(jù)存在的缺陷和變化趨勢加以改進。公司內(nèi)部審計部門、紀檢監(jiān)察部門、風險管理與內(nèi)部控制主管部門以及各級業(yè)務管

22、理部門和單位應根據(jù)各自的職責，對風險管理與內(nèi)部控制的設計和運行情況執(zhí)行日常監(jiān)督，對重大事項實行專項監(jiān)督，并對發(fā)現(xiàn)的重大風險及內(nèi)部控制缺陷按規(guī)定的程序向相關部門報告。公司結合日常監(jiān)督情況，每年度開展一次內(nèi)部控制自我評價。公司按照上級監(jiān)管機構的監(jiān)管要求，聘請會計師事務所對公司內(nèi)部控制進行獨立審計。公司內(nèi)部控制與財務報表實行整合審計，但單獨出具內(nèi)部控制審計報告。公司可以聘請有資質(zhì)、信譽好、風險管理與內(nèi)部控制專業(yè)能力強的中介機構對全面風險管理與內(nèi)部控制工作進行評價, 出具全面風險管理報告和內(nèi)部控制評價報告。為公司提供內(nèi)部控制審計服務的會計師事務所，不得同時為公司提供內(nèi)部控制咨詢和評價服務。公司或者鞍鋼集團公司統(tǒng)一組織中介機構開展對公司年度全面風險管理與內(nèi)部控制評價工作，各單位未經(jīng)批準不得單獨開展。對公司內(nèi)部監(jiān)督、自我評價和外部審計過程中發(fā)現(xiàn)的內(nèi)部控制缺陷，各責任部門和單位應及時采取應對策略實施整改，切實將風險控制在可承受范圍之內(nèi)；內(nèi)部監(jiān)督及內(nèi)部控制評價管理部門對整改情況進行跟蹤檢查。公司風險管理部門及其他各