國有公司全面風險管理手冊

國有公司全面風險管理手冊第一章總則第一條目的為完善和加強XX公司的風險管理工作，提高經(jīng)營質(zhì)量，促進XX公司總體戰(zhàn)略和經(jīng)營目標的實現(xiàn)，XX公司編制本手冊。本手冊旨在說明XX公司風險管理體系的性質(zhì)和任務，實施風險管理體系應遵循的原則、方法、步驟，以及對各相關責任人的要求。本手冊用于提升XX公司實現(xiàn)風險管理工作的規(guī)范化和標準化。第二條制定依據(jù)本手冊所使用的風險管理工作方法主要依據(jù)下述規(guī)定：（1）國資委《中央企業(yè)全面風險管理指引》：國務院國有資產(chǎn)監(jiān)督管理委員會于2006年6月6日頒布了《中央企業(yè)全面風險管理指引》，作為中央企業(yè)開展全面風險管理工作的指導文件，并要求中央企業(yè)結合企業(yè)自身實際情況貫徹該指引。本手冊的制訂旨在符合《中央企業(yè)全面風險管理指引》的要求。（2）《企業(yè)內(nèi)部控制基本規(guī)范》：財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會于2008年6月28日頒布了《企業(yè)內(nèi)部控制基本規(guī)范》，其中第二十條至第二十七條對上市公司風險評估工作做出了明確的指導和規(guī)范。本手冊的制訂遵循了《企業(yè)內(nèi)部控制基本規(guī)范》的要求。第三條適用范圍本手冊適用于XX公司風險管理工作，相關人員有責任遵守本手冊中的各項規(guī)定。第四條風險管理工作目標XX公司風險管理工作的整體目標是通過合理、統(tǒng)一、科學的管理模式，以實現(xiàn)：（1）控制那些有礙戰(zhàn)略目標實現(xiàn)的風險，將其控制在公司管理層可承受的范圍內(nèi)；（2）逐步提高經(jīng)營的效率和效果，降低實現(xiàn)戰(zhàn)略目標的不確定性；（3）確保財務報告可靠性；（4）合理保障XX公司遵從監(jiān)管機構相關法律法規(guī)和SP集團有關規(guī)章制度。第五條風險管理基本原則(1)全面與重點相結合的原則：XX公司的風險管理工作應覆蓋XX公司經(jīng)營與管理過程中所面臨的各種風險，并對其中關鍵風險實施重點管理。(2)分級分類管理原則：XX公司集中管理公司各層級所面臨的風險，同時，根據(jù)風險的不同特點實施分類管理，不同類別風險由相應的職能部門或?qū)I(yè)的管理人員負責管理。(3)風險收益匹配原則：在風險管理工作過程中，XX公司各級員工不應單純追求業(yè)績而忽略風險管控，也不要因過度防范風險而制約公司發(fā)展。(4)流程統(tǒng)一原則：XX公司風險管理工作需遵循統(tǒng)一的流程，即本手冊所描述的工作流程、工作方法與匯報體系，以便于從整體角度管理風險。(5)科學化、系統(tǒng)化、日?；瓌t：XX公司的風險管理工作需遵循科學、系統(tǒng)的工作方法，將其融入日常的管理體系中，以達到及時監(jiān)控關鍵風險的目的。第六條風險管理執(zhí)行原則(1)全員參與原則。風險管理工作應當在管理層高度重視的前提下，由各部門支持配合以促進風險管理體系的有效運行。各職能部門需按照要求安排與協(xié)調(diào)相關人員，各司其職，收集風險信息、管理相關風險。(2)日常管理原則。風險管理是戰(zhàn)略、投資項目管理、經(jīng)營計劃與活動被正確執(zhí)行的主要保障，貫穿于XX公司的各個層級，應融入日常管理工作。(3)及時性、準確性原則。XX公司各業(yè)務單元、各職能部門相關人員應保障及時、準確提供風險管理工作所需要的相關資料和數(shù)據(jù)，以供全面風險管理專職部門和監(jiān)督者進行有效分析。圖片第二章風險及風險管理定義第七條風險定義本手冊所稱風險，是指未來的不確定性對XX公司實現(xiàn)公司戰(zhàn)略和經(jīng)營目標影響的任何因素。XX公司風險可以是那些對XX公司的成功潛能(如聲譽)、資產(chǎn)、資本、盈利情況或流動性(現(xiàn)金)等造成實質(zhì)性影響的事故、事件或行為。第八條風險管理定義風險管理，是指圍繞戰(zhàn)略和經(jīng)營目標，通過在公司管理的各關鍵環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程以培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)公司總體目標提供合理保證的過程和方法。第三章組織體系與基本職責分工第九條風險管理組織體系公司的全面風險管理體系：各部門為第一道防線，全面風險管理委員會與全面風險管理專職部門為第二道防線，審計委員會為第三道防線。按照“分層管理、分類管理、集中管理”原則設置并組織運轉。(1)分層管理：公司在決策層(公司高管，A層)、執(zhí)行層(各職能部門負責人，B層)、操作層(具體業(yè)務辦理人員，C層及以下)，分別明確管理分工和管理重點，落實管理責任，實現(xiàn)風險和內(nèi)控的分層管理。(2)分類管理：按照公司各職能部門職責范圍和風險種類的不同，突出主要和重要風險，履行對具體風險及內(nèi)控的管理責任，實現(xiàn)分類管理。(3)集中管理：由公司高管和各職能部門負責人組成的全面風險管理委員會，負責重大風險及內(nèi)控事項的集中決策和審議；全面風險專職部門，對風險及內(nèi)控系統(tǒng)實施監(jiān)控和匯總分析，以實現(xiàn)集中管理。第十條風險管理的組織機構及職責（一）全面風險管理委員會公司的全面風險管理委員會應由公司高層領導和各職能部門負責人組成。其中，公司總經(jīng)理應在委員會中擔任總負責人，董事會秘書擔任委員會組長。公司全面風險管理委員會的主要職責如下：(1)負責設置本公司全面風險管理體系的組織機構，明確其工作職責；(2)審批本公司全面風險管理體系相關制度細則(按自身需要根據(jù)本制度細化)；(3)審批本公司年度風險管理及內(nèi)部控制工作目標和計劃；(4)審批本公司年度風險管理及內(nèi)部控制評估報告、專題分析報告以及重大風險的管理策略、應對方案和預警指標；(5)倡導、培育公司風險管理及內(nèi)部控制文化，推進相關的文化建設工作；(6)負責監(jiān)督指導公司風險管理及內(nèi)部控制實施情況，并進一步明確工作方向；(7)審批本公司各部門的全面風險管理工作績效考核結果。（二）全面風險管理專職部門全面風險管理專職部門由公司的內(nèi)控部擔任。在匯報路線上應同時向本公司全面風險管理委員會和SP集團全面風險管理部門進行匯報。全面風險管理專職部門的主要職責如下：(1)負責公司風險管理和內(nèi)部控制工作的具體計劃和目標；(2)負責組織對參與風險管理和內(nèi)部控制工作的內(nèi)部團隊進行必要的培訓；(3)監(jiān)督全面風險管理工作的實施(包括對工作進度和工作質(zhì)量的監(jiān)督)；(4)負責公司內(nèi)部控制手冊和風險管理數(shù)據(jù)庫的編寫、更新和維護；(5)負責督促各責任部門執(zhí)行風險應對措施和內(nèi)控缺陷的整改建議；(6)負責公司內(nèi)部就全面風險管理工作的進度匯報和結果溝通；(7)負責風險管理及內(nèi)部控制文化的建設；(8)負責就全面風險管理工作對各責任部門進行考核及評價。（三）業(yè)務及各職能部門業(yè)務及各職能部門是全面風險管理工作的重要主體，承擔獨立、明確的職責。業(yè)務及各職能部門負責人是本部門風險評估工作和內(nèi)控評估工作的第一責任人，負責落實本部門風險管理及內(nèi)部控制的責任和具體工作。業(yè)務及各職能部門應根據(jù)本部門的業(yè)務復雜程度配置一至兩名全面風險管理專員(業(yè)務復雜程度越高，需要配置的全面風險管理專員越多，各部門至少應配置一名全面風險管理專員，可兼職)。業(yè)務及各職能部門的主要職責如下：(1)在本部門落實各崗位、各業(yè)務流程中風險管理及內(nèi)部控制的責任，在工作流程中識別風險點，制定控制措施和預警指標；(2)配合、參與全面風險管理專職部門組織開展的定期和日常的風險管理與內(nèi)部控制工作；(3)風險評估工作完成后，風險責任部門應對所管理的公司重大風險制定合理有效的風險應對措施，并在提交專職部門審查后有效實施。風險配合部門應積極配合風險責任部門制定和實施風險管理解決方案；(4)內(nèi)控評估工作完成后，缺陷責任部門應對其負責的內(nèi)部控制缺陷整改建議進行確認，并按時有效地執(zhí)行；(5)接受全面風險管理專職部門的協(xié)調(diào)、指導和監(jiān)督，配合專職部門提出的資料查閱和提供解釋的需求，受理全面風險管理專職部門移送或建議的事項，反饋整改落實情況。圖片第四章風險管理信息收集第十一條信息收集的范圍XX公司在實施風險管理過程中，應廣泛、持續(xù)地收集與公司風險和風險管理相關的內(nèi)部、外部信息，包括歷史數(shù)據(jù)和未來預測。信息收集的范圍包括但不限于以下內(nèi)容：（一）戰(zhàn)略風險方面：(1)國內(nèi)外宏觀經(jīng)濟政策以及經(jīng)濟運行情況、本行業(yè)狀況、國家產(chǎn)業(yè)政策；(2)科技進步、技術創(chuàng)新的有關內(nèi)容；(3)市場對本企業(yè)產(chǎn)品或服務的需求；(4)與企業(yè)戰(zhàn)略合作伙伴的關系，未來尋求戰(zhàn)略合作伙伴的可能性；(5)本企業(yè)主要客戶、供應商及競爭對手的有關情況；(6)與主要競爭對手相比，本企業(yè)實力與差距；(7)本企業(yè)發(fā)展戰(zhàn)略和規(guī)劃、投融資計劃、年度經(jīng)營目標、經(jīng)營戰(zhàn)略，以及編制這些戰(zhàn)略、規(guī)劃、計劃、目標的依據(jù)；(8)本企業(yè)對外投融資流程中曾發(fā)生或易發(fā)生錯誤的業(yè)務流程或環(huán)節(jié)。（二）財務風險方面：(1)負債、或有負債、資產(chǎn)負債率等反應償債能力的財務數(shù)據(jù)；(2)現(xiàn)金流、應收賬款及應收賬款周轉率、資金周轉率；(3)產(chǎn)品存貨及存貨周轉率、應付賬款及其占購貨額的比重；(4)制造成本和管理費用、財務費用、營業(yè)費用；(5)盈利能力；(6)財務管理中曾發(fā)生或易發(fā)生錯誤的業(yè)務流程或環(huán)節(jié)；(7)與本企業(yè)相關的行業(yè)會計政策、會計估算、與國際會計制度的差異與調(diào)整(如退休金、遞延稅項等)等信息。（三）市場風險方面：(1)產(chǎn)品或服務的價格及供需變化；(2)能源、原材料、配件等物資供應的充足性、穩(wěn)定性和價格變化；(3)主要客戶、主要供應商的信用情況；(4)稅收政策和利率、匯率、股票價格指數(shù)的變化；(5)潛在競爭者、競爭者及其主要產(chǎn)品、替代品情況。（四）運營風險方面：(1)產(chǎn)品結構、新產(chǎn)品研發(fā)；(2)新市場開發(fā)，市場營銷策略，包括市場定位、產(chǎn)品定價、銷售渠道與促銷方式等；(3)企業(yè)組織效能、管理現(xiàn)狀、企業(yè)文化，高、中層管理人員和重要業(yè)務流程中專業(yè)人員的知識結構、專業(yè)水平；(4)質(zhì)量、安全、環(huán)保、信息安全等管理中曾發(fā)生或易發(fā)生失誤的業(yè)務流程或環(huán)節(jié)；(5)因企業(yè)內(nèi)、外部人員的道德風險致使企業(yè)遭受損失或業(yè)務控制系統(tǒng)失靈的事件；(6)給企業(yè)造成損失的自然災害以及除上述有關情形之外的其他純粹風險；(7)對現(xiàn)有業(yè)務流程和信息系統(tǒng)操作運行情況的監(jiān)管、運行評價及持續(xù)改進能力；(8)企業(yè)風險管理的現(xiàn)狀和能力。（五）法律風險方面：(1)國內(nèi)外與本企業(yè)相關的政治、經(jīng)濟、法律環(huán)境；(2)影響企業(yè)的新法律法規(guī)和政策；(3)員工道德操守的遵從性；(4)本企業(yè)簽訂的重大協(xié)議和有關貿(mào)易合同；(5)本企業(yè)發(fā)生重大法律糾紛案件的情況；(6)企業(yè)和競爭對手的知識產(chǎn)權情況。第十二條職責分工本手冊規(guī)定適用范圍內(nèi)的各職能部門的風險管理崗位均有義務對與本單位或本部門相關的風險管理信息進行收集，并在需要時及時提供風險管理專職部門備案。風險管理專職部門應定期對風險管理初始信息進行收集、篩選、提煉、對比、分類、組合，以便進行風險評估。圖片第五章風險評估第十三條風險評估定義本手冊所稱風險評估，是指及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)公司戰(zhàn)略目標相關的風險，以便合理確定風險應對策略。風險評估包括風險識別、風險分析、風險評價三個步驟。其中，風險識別是指查找公司各業(yè)務單元、各職能部門的重要經(jīng)營活動及其重要業(yè)務流程中有無面臨風險、若有為哪種風險；風險分析是指對辨識出的風險及其特征進行明確的定義，分析和描述該風險在公司的具體表現(xiàn)形式、風險發(fā)生的條件等，然后從風險發(fā)生的可能性和對公司實現(xiàn)戰(zhàn)略目標的影響程度兩方面評估風險的價值，并進行風險排序。第十四條實施風險評估風險評估是一個持續(xù)性和重復性的循環(huán)，相關責任人應在風險管理委員會的領導下，定期或不定期地開展風險評估工作。第十五條風險識別(1)確定階段性工作目標每年初，風險管理委員會負責確定本年度階段性工作目標，并以書面文件形式下發(fā)執(zhí)行，風險管理專職部門應負責協(xié)調(diào)與監(jiān)督階段性工作目標的執(zhí)行。(2)識別公司風險風險識別是風險評估的基礎。各職能部門和各級風險管理崗位人員通過日常風險信息的收集，識別公司在實現(xiàn)其戰(zhàn)略目標過程中所面臨的環(huán)境、運營、決策信息方面的不確定事項并匯總提交至風險管理專職部門,風險管理專職部門匯總各職能部門提供的風險信息并結合“XX行業(yè)風險數(shù)據(jù)庫”形成“XX公司風險數(shù)據(jù)庫”。為了能使風險評估的范圍既滿足完整性(重要的風險沒有遺漏)，又滿足有效性(以最小的管理成本完成風險評估)，在風險評估前，需要進一步明確評估范圍。確定風險評估的范圍，風險管理專職部門應基于歷史數(shù)據(jù)并結合公司環(huán)境現(xiàn)狀從“XX公司風險數(shù)據(jù)庫”中梳理出本期所面臨的關鍵風險形成本期的“關鍵風險數(shù)據(jù)庫”，關鍵風險的總量應當控制在50個左右。第十六條風險分析首先，風險管理專職部門對梳理出來的關鍵風險及其特征進行定義，對相應的風險事件進行描述并匯總形成風險評估調(diào)查問卷的初稿。其次，風險管理專職部門通過風險訪談的方式對風險評估調(diào)查問卷作出補充和調(diào)整。風險管理專職部門編制具體的訪談提綱針對公司高管及各職能部門負責人進行訪談。訪談采用自下而上的方式進行，全面了解他們對風險的看法、態(tài)度。風險訪談應將訪談內(nèi)容記錄在《風險訪談紀要》中。風險訪談作為風險評估調(diào)查問卷結果的補充和修正，為確定最后的風險評估結果提供重要的信息。之后，風險管理專職部門依據(jù)風險訪談結果對風險評估調(diào)查問卷作出修改與調(diào)整，并將修改后的問卷提交給公司領導，公司領導審核關注問卷中風險點是否齊備，風險事件的定義與描述是否準確，問卷本身的形式是否合理等，確認無誤后予以定稿。最后，采用定量與定性相結合的方法分析風險的大小。在定性(風險訪談)的指導下進行定量(問卷調(diào)查)的分析，在定量(問卷調(diào)查)的基礎上作定性(風險研討會)的結論。第六章風險應對第十七條風險應對定義風險應對，是指在之前工作的基礎上，根據(jù)風險性質(zhì)和風險主體對風險的承受能力而制定的回避、承受、降低或者分擔風險的防范措施。第十八條風險應對策略的選擇風險研討會評選出公司前十大風險后，會上由風險管理委員會總負責人明確各風險相對應的責任部門。風險責任部門在會后制定本部門所管理的重大風險的應對措施，選擇應對策略，風險應對策略主要有四種方式：規(guī)避、分擔、降低、承受。風險責任部門在選擇應對策略的過程中，應考慮下列因素：（1）所要采取的應對策略實施后對該風險的影響效果；（2）所要采取的應對措施需與XX公司的整體風險偏好相協(xié)調(diào)；（3）所要采取的應對策略的成本與效益；（4）所要采取的應對策略是否對于XX公司實現(xiàn)戰(zhàn)略目標有影響。第十九條風險應對策略的實施風險責任部門應根據(jù)風險應對策略，針對每一項重大風險制定風險管理的具體解決方案。方案一般包括風險控制的活動、所需配合的部門及人員、必要的資源支持等。在風險責任部門制定風險解決方案時，需要本著完整、真實的原則，并考慮如下事項：（1）所采取的控制活動與風險及風險應對策略的關聯(lián)性；（2）所采取的控制活動的成本與效益；（3）所采取的控制活動是否能夠?qū)L險降低到可接受的水平。風險解決方案確定后，風險管理專職部門負責編制XX公司全面風險評估報告，評估報告編制完成后依次提交全面風險管理委員會、公司領導、董事會審核。其后風險責任部門執(zhí)行經(jīng)審核通過后的風險應對措施，風險管理專職部門監(jiān)督并定期向全面風險管理委員會匯報風險應對措施執(zhí)行情況。第七章風險管理報告體系第二十條日常匯報風險管理工作的進度與效果需及時向公司領導及風險管理委員會報告，以便于公司領導及風險管理委員會及時把握風險管理工作方向、了解公司目前所處的風險管理水平和所面臨的風險，并對風險應對、風險管理工作做出決策。第二十一條緊急事項匯報本手冊所稱緊急事項，是指突然發(fā)生、造成或者可能造成重大人員傷亡、財產(chǎn)損失、生態(tài)環(huán)境破壞和嚴重社會危害、危及公共安全和公司、員工生命及財產(chǎn)安全的緊急事項，主要包括：(1)自然災害。水旱災害、氣象災害、地震災害、地質(zhì)災害、海洋災害、生物災害和森林草原田地火災等；(2)事故災難。各類安全事故、交通運輸事故、公共設施和設備事故、環(huán)境污染和生態(tài)破壞事故等。(3)公共衛(wèi)生事件。傳染病疫情、群體性不明