全面风险管理制度 篇一
全面风险管理制度的重要性
全面风险管理制度是指一个组织或企业为了有效地应对各种风险而建立的一套管理制度和措施。这些风险可能来自于内部的运营风险,也可能来自于外部的市场风险、信用风险、法律风险等等。全面风险管理制度的建立和执行,可以帮助组织或企业更好地识别、评估、控制和监控风险,以保证其持续稳健的发展。
首先,全面风险管理制度可以帮助组织或企业提前发现和识别潜在的风险。通过建立完善的风险识别机制和流程,组织或企业可以对可能存在的风险进行全面的调查和分析。这样一来,组织或企业就能够提前预警,并在风险出现之前采取相应的措施来避免或减轻风险带来的影响。
其次,全面风险管理制度可以帮助组织或企业评估和测量风险的程度和影响。通过建立一套科学的评估模型和指标体系,组织或企业可以对不同类型的风险进行量化和分级,从而更加准确地判断风险的严重程度和可能造成的影响。这样一来,组织或企业就能够有针对性地制定相应的风险管理策略和措施,提高应对风险的效果和效益。
再次,全面风险管理制度可以帮助组织或企业制定和实施相应的风险控制和防范措施。通过建立一套严密的风险控制机制和规范,组织或企业可以对各类风险进行有效的控制和防范。无论是内部的运营风险还是外部的市场风险,组织或企业都可以通过制定相应的管理制度和措施来规避风险,降低风险发生的概率和影响。
最后,全面风险管理制度可以帮助组织或企业建立健全的风险监控和反馈机制。通过建立一套科学的监控系统和流程,组织或企业可以对风险的演变和变化进行及时的监控和反馈。这样一来,组织或企业就可以在风险发生之后,及时采取相应的应对措施,避免风险进一步扩大和蔓延,保证组织或企业的持续稳健发展。
综上所述,全面风险管理制度的建立和执行对于组织或企业来说具有重要的意义和价值。它可以帮助组织或企业提前发现和识别风险,评估和测量风险的程度和影响,制定和实施风险控制和防范措施,建立健全的风险监控和反馈机制。通过这些措施,组织或企业可以更好地应对各种风险,保证其持续稳健的发展。因此,建立和完善全面风险管理制度对于组织或企业来说是非常必要和重要的。
全面风险管理制度 篇二
全面风险管理制度的实施策略
全面风险管理制度是指一个组织或企业为了应对各种风险而建立的一套管理制度和措施。为了有效地实施全面风险管理制度,组织或企业需要制定相应的策略和措施,以确保风险管理工作的顺利进行。
首先,组织或企业应该建立一套完善的风险管理框架和体系。这包括明确的风险管理目标和原则,明确的风险管理职责和权限,以及完善的风险管理流程和环节。建立完善的风险管理框架和体系,可以为全面风险管理制度的实施提供基础和保障。
其次,组织或企业应该加强风险管理的组织和人员支持。这包括建立专门的风险管理部门或岗位,安排专门的风险管理人员,以及提供必要的培训和支持。只有有专门的人员和部门来负责风险管理工作,才能确保风险管理工作的专业性和有效性。
再次,组织或企业应该建立一套科学的风险评估和测量模型。这包括建立相应的评估指标和评估方法,以及建立相应的风险测量和监控体系。通过科学的评估和测量模型,组织或企业可以更加准确地判断风险的严重程度和可能造成的影响,从而有针对性地制定相应的风险管理策略和措施。
最后,组织或企业应该建立一套完善的风险控制和防范措施。这包括建立相应的内部控制和风险管理规范,制定相应的操作流程和管理制度,以及加强对风险控制和防范的监督和检查。通过建立一套完善的风险控制和防范措施,组织或企业可以有效地降低风险发生的概率和影响,保证其持续稳健的发展。
综上所述,为了实施全面风险管理制度,组织或企业需要制定相应的策略和措施。这包括建立完善的风险管理框架和体系,加强风险管理的组织和人员支持,建立科学的风险评估和测量模型,以及建立完善的风险控制和防范措施。通过这些策略和措施,组织或企业可以更好地应对各种风险,保证其持续稳健的发展。因此,组织或企业应该重视全面风险管理制度的实施,为其提供必要的支持和保障。
全面风险管理制度 篇三
第一章总则
第一条为加强中国泛海控股集团有限公司(以下简称“集团公司”)及所属各公司全面风险管理,保障稳健经营,根据财政部等五部委发布的《企业内部控制基本规范》及其18个企业内部控制应用指引,结合集团实际情况,制订本制度。
第二条本制度适用于集团公司各部门、所属各公司及受托管理公司(以下总称为“集团”)的风险管理工作。集团公司所属上市公司、公众公司风险管理工作按照国家法律法规和监管部门的规定要求,结合实际分别制定。三级及以下公司全面风险管理建设工作,由所属各公司负责。
第三条本制度所称风险,是指在集团未来经营管理中,各种不确定性对集团实现其战略及经营目标的影响。集团风险分为集团层面的常见风险与业务流程控制风险两个方面。
第四条本制度所称“全面风险管理”,是集团公司董事会、管理层及各部门、所属各公司和全体员工共同参与的,围绕集团总体战略目标和经营目标,通过在管理的各个环节和经营过程中,执行风险管理的基本流程,对集团运营中要面临的内部的、外部的可能危及集团利益的不确定性,执行相应的控制措施,以获得集团利益的最大化。
第五条集团全面风险管理的目标,是通过识别、评估影响集团战略和经营目标实现的内外部风险,建立和落实有效的管理措施,确保将风险控制在与总体目标相适应并在可承受的范围内。
第六条集团全面风险管理遵循全面、重要、制衡、适应、成本效益的原则,确保风险管理的有效性。
(一)全面性原则:风险管理应当做到事前、事中、事后控制相统一;覆盖集团的所有业务、部门和人员,渗透到决策、执行、监督、反馈等各个环节,确保不存在风险管理的空白或漏洞。
(二)重要性原则:风险管理应当在全面风险管理的基础上,关注重要业务事项和高风险领域。
(三)制衡性原则:风险管理应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(四)适应性原则:风险管理应当与集团经营规模、业务范围、竞争状况以及风险水平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则:风险管理应考虑实施成本与预期效益的匹配,以适当的成本实现有效控制。
第七条集团全面风险管理涵盖公司治理与经营管理活动中所有环节,包括但不限于:
(一)公司治理环节:主要包括“三会”运作,“三会”和管理层的职权等。
(二)重大资产购买和出售环节:主要包括重大资产自建、购置、处置、维护、保管与记录等。
(三)对外投资环节:包括投资有价证券、股权、金融衍生品及其他长、短期投资、委托理财、募集资金使用的决策、执行、保管与记录等。
(四)对外担保与融资环节:包括借款、担保、承兑、租赁、发行新股、发行债券等的授权、执行与记录等。
(五)日常经营环节:主要包括:生产、采购与付款、销售与收款、财务会计管理、全面质量管理、产品研发、人事管理等。
第二章组织体系与职责分工
第八条集团应按照国家有关法律法规和公司章程,建立科学、完善的公司治理结构和组织架构,明确董事会、监事会、管理层和执行层(公司内部各层级)的职责权限、议事规则、工作程序和相关要求的制度安排,确保决策、执行和监督相互分离,形成制衡,避免职权交叉、缺失或职权过于集中,明确责任,减少内耗,形成各司其职、各负其责、相互制约、相互协调的工作机制。
第九条集团公司董事会是全面风险管理工作的决策领导机构,对集团全面风险管理的有效性负最终领导责任。其主要职责如下:
(一)建立完善的公司组织架构并确保其有效运行。
(二)制定集团发展战略,建立全面预算管理制度,明确集团风险管理目标,有效规范集团经营行为。
全面风险管理制度 篇四
(四)审定集团公司全面风险管理组织机构设置及其职责方案。
(五)审批集团全面风险管理年度报告。
(六)监督、评价集团全面风险管理体系建设和运转的有效性。
第十条集团公司管理层负责日常风险管理工作。其主要职责如下:
(一)根据集团发展战略、年度预算以及风险管理目标,确保集团经营目标的实现和年度预算的有效执行。
(二)拟定集团全面风险管理制度和相关的风险管理工作流程,报董事会审批。
(三)拟定集团公司全面风险管理组织机构设置及其职责方案,报董事会审批。
(四)建立健全风险管理监督评价和考核机制,对风险管理实施有效的日常监督检查与评价,并进行严格考核。
(五)向集团公司董事会提交全面风险管理年度报告。
(六)组织集团全面风险管理信息体系和集团风险管理文化建设。
(七)落实集团公司董事会决定的有关全面风险管理的其它事项。
第十一条集团公司设立风险控制总监,负责集团日常风险管理工作的组织、协调和管理。集团公司成立风险控制管理总部作为全面风险管理工作的职能部门,并向集团公司风险控制总监汇报工作。
风险控制总监的职责如下:
(一)拟定集团风险管理制度,参与集团重大经营决策以及经营目标、预算目标的设定。
(二)拟订风险管理工作具体管理办法和工作流程。
(三)指导集团风险管理与其他经营计划和管理活动的整合。
(四)提出集团公司全面风险管理组织职能体系建设建议方案。
(五)监督检查集团公司各部门和所属各公司贯彻执行全面风险管理流程情况。
(六)推动集团整体风险管理能力的提升,包括风险管理知识的培训、风险管理意识的增强以及风险管理技能的提高。
(七)组织起草集团全面风险管理年度报告。
(八)负责组织协调集团全面风险管理日常工作。
第十二条全面风险管理是集团各层面、各岗位、每位员工的重要工作职责之一,集团各部门、所属各公司以及每位员工,应充分认识自身的风险管理责任,履行风险管理工作职责,自觉防范和控制风险,将风险管理意识贯穿于集团经营管理的各方面和业务流程的各环节。
第十三条集团公司各部门负责人为本部门风险管理责任人,并指定一名员工为风险管理联系人,负责组织本部门风险识别、风险评估、风险报告及风险控制等工作。
第十四条所属各公司董事会是本公司风险管理的决策领导机构,所属公司董事长或授权风险控制总监为本公司风险管理的第一责任人,执行风险管理制度,履行风险管理职能。
所属各公司应结合本公司的实际情况,逐步建立全面风险管理组织体系。
所属各公司风险控制总监由集团公司委派或任命,负责所属公司日常风险管理工作的组织、协调和管理。未独立设置风险控制总监的所属公司应指定分管风险管理的领导,并报集团公司批准。
所属各公司应设立风险管理部门或指定资产财务部门作为本公司风险管理的职能部门。
第十五条集团公司各部门和所属各公司在风险管理过程中主要履行以下职责:
全面风险管理制度 篇五
(二)研究提出本单位的重大决策风险评估报告,并配合风险管理主管部门开展与本单位有关的风险评估工作。
(三)研究提出由本单位负主导管理责任的重大风险的管控措施。
(四)对本单位的相关风险进行管理监控和分析,向风险管理主管部门提交风险日常监控信息和风险预警信息。
(五)做好本单位有关建立风险管理信息体系的工作。
(六)做好本单位培育风险管理文化的有关工作。
(七)办理风险管理其他有关工作。
第三章风险管理流程
6
第十六条集团风险管理的基本流程包括:风险评估、风险控制、风险监督、改进与报告。
(一)风险评估包括:收集信息、梳理流程、对风险进行识别、分析和评价。
(二)风险控制包括:修订完善集团各项规章制度、明确风险管理目标、制定风险控制措施、建立健全内部控制体系。
(三)风险管理的监督与改进包括:定期对风险管理流程及其有效性进行自我评估;定期集团的风险管理工作进行检查;聘请外部中介机构对集团的风险管理进行检查;逐步建立符合集团实际情况的风险管理指标体系;建立风险提示机制;督促风险管理问题的及时改进。
(四)评估报告:风险管理部门每年向管理层和董事会提交风险评估报告;发生重大风险事项应随时报告。
第四章风险评估
第十七条风险评估是集团风险管理过程中的一个关键环节,它包括收集信息、梳理流程、识别风险,评价风险等几个方面,并通过对风险影响程度的分析,给出集团风险控制的优先次序等。
第十八条收集信息。集团公司各部门、所属各公司应广泛、持续不断地收集与集团经营管理相关的内外部初始信息,包括历史数据和未来预测,建立有效的风险收集与管理系统,对初始信息进行筛癣提炼、对比、分类、组合等必要的管理,以便进行风险评估。这些初
始信息主要包括与战略风险、财务风险、市场风险、运营风险、法律风险相关的内外宏观经济形势、经济运行情况、产业与金融政策、市场供需、行业及竞争对手情况、集团战略与内部运行、财务状况以及法律法规等。
第十九条梳理流程。就是对涉及集团经营管理全过程的各项管理及其重要业务流程进行梳理和分类,确定现有流程体系现状,为集团识别风险,优化流程创造条件。
第二十条风险识别。集团应当查找各业务单元、各项重要管理活动及其重要业务流程中有无风险,有哪些风险。识别经营过程中面临的各类风险。
(一)集团公司各部门、所属各公司为风险识别的主要实施单位。
(二)风险识别方法主要包括:风险清单识别法、财务报表分析法、流程识别法、现场调查法等。
(三)风险识别的步骤包括:阅读风险清单、辨识公司常见风险、访谈、绘制流程图、撰写流程说明、识别流程风险点、提出控制措施、填写风险控制矩阵、整理风险识别文档等。
第二十一条风险分析。风险管理部门应当对识别出的风险采用定性与定量相结合的方法进行分析和评估,统一制定各风险的度量单位和风险度量模型,确保评估的假设前提、参数、数据来源和评估程序的合理性和准确性。
第二十二条对各种风险之间的相关性进行分析,以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应,对风险
8
进行统一集中管理。
第二十三条风险评价。在风险分析和整合的基础上,评价风险可能产生损失的大小以及对集团实现经营目标的影响程度。
第五章风险控制
第二十四条风险控制包括修订完善集团各项规章制度、明确风险管理目标、制定风险控制措施、建立健全内部控制体系。
第二十五条修订完善集团各项规章制度。集团成立制度建设小组,根据调整确定后的公司治理结构、内部机构、三定方案(定岗、定编、定职责)以及各项管理及重要业务流程优化方案,按照财政部等五部委发布的《企业内部控制基本规范》及其18个企业内部控制应用指引,结合集团实际情况,对集团现行各项规章制度进行全面清理、审阅、修订与完善,建立健全全面风险管理制度体系。
第二十六条明确风险管理目标、制定风险控制措施。集团根据风险管理总体目标,针对各类风险或每一项重大风险制定风险控制措施。控制措施主要包括:
(一)解决该项风险所要达到的具体目标。
(二)所涉及的管理及业务流程。
(三)所需要的条件和资源。
(四)所采取的具体措施。
第二十七条风险控制措施的组织实施。根据风险涉及的职能部
门和业务单位进行分工,认真组织实施风险控制措施,确保风险得到有效控制。
第二十八条建立健全集团内部控制体系。
(一)根据经营战略与风险管理目标一致、风险控制与运营效率及效果相平衡的原则,集团制定风险解决的内控方案,针对重大风险所涉及的各项管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。
(二)集团制定合理、有效的内控措施,包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
(三)不相容职务分离控制要求全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。
(四)授权审批控制要求根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
常规授权是指集团在日常经营管理活动中按照既定的职责和程序进行的授权;特别授权是指集团在特殊情况、特定条件下进行的授权。
集团各级管理人员应当在授权范围内行使职权和承担责任。集团对于重大的业务和事项,实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。
(五)会计系统控制要求严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。
集团依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书。财务负责人应当具备会计师以上专业技术职务资格。
(六)财产保护控制要求建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。公司严格限制未经授权的人员接触和处置财产。
(七)预算控制要求实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,严格预算考核,强化预算约束。
(八)运营分析控制要求建立运营情况分析制度,管理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
(九)绩效考评控制要求建立和实施绩效考评制度,科学设置考核指标体系,对集团内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
(十)集团根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。
第六风险的监督、改进与报告
第二十九条风险管理的监督包括集团公司监事会对董事会风险管理工作的监督;集团公司董事会对管理层风险管理工作的监督;集团公司管理层以及风险控制管理总部对其他部门以及所属各公司风险管理工作的监督。
第三十条集团公司董事会负责定期或不定期地对管理层及风险控制管理总部的风险管理工作进行检查,对是否按照有关规定开展风险管理工作及其工作效果进行评价;也可根据工作需要,聘请独立第三方对公司风险管理工作进行独立检查评价。
第三十一条集团公司风险控制管理总部要定期或不定期对各部门和所属各公司风险管理工作实施情况和有效性进行检查和检验,对风险管理解决方案进行评价,提出调整改进建议,出具评价和建议报告。
集团公司风险控制管理总部要以公司重大风险、重大事件和重要决策、重要管理及业务流程为重点,对集团风险管理基本流程实施情况进行监督。
第三十二条集团公司各部门和所属各公司要定期对其风险管理工作进行自查,及时发现缺陷并改进,其自查报告应及时报送给集团公司风险管理总部。
第三十三条集团公司风险控制管理总部要逐步建立符合公司实际情况的风险管理指标体系,并将其作为搜集各部门和所属各公司风
险管理信息的基础,用以量化评价考核集团各方面风险管理情况,对风险评估所确定的由其管理的重大风险和其他需关注的风险进行持续的日常监控。
第三十四条建立风险提示机制。对在经营过程中,通过监测、检验、检查发现的风险,风险管理部门以《风险提示函》的形式,及时向有关部门或所属公司发出风险提示,并促进其改进。
第三十五条建立风险评估报告制度。集团风险评估报告分为定期报告和不定期报告。定期风险报告是对某一个阶段公司经营发展中存在的风险和纠正的情况进行的综合报告;不定期专项风险报告是对监控中或风险检查中发现的重大风险或风险隐患问题进行的专项报告。风险报告要按照规定的报告程序报送集团公司领导、相关职能部门。
报告主要包括以下内容:集团总体经营与运行情况;风险管理组织体系和基本流程的建立与维护;公司内控制度及其执行情况;各类风险的评估方法及结果;重大风险事件情况及未来风险的预测;公司日常经营与风险管理的改进建议。
第三十六条集团公司各部门和所属各公司风险管理主管部门在对重大风险的日常监控中,要建立重要事件快速报告制度和报送责任人制度,就业务经营、财务管理、资金运用、工程管理等方面出现的重大问题以及与集团有关的敏感问题、群体性事件、重大突发事件、重大违法违纪事件等情况,在所监控的风险达到预警条件时,相关部门或单位应当立即报告集团公司。所属各公司的风险管理主管部门在
发出风险预警报告时,应立即启动风险应急预案,采取风险应对措施,并及时向集团风险控制管理总部报告。
第三十七条对于重大突发风险和跨所属公司并可能对集团造成重大影响的风险,所属各公司的风险管理部门应在发出风险预警报告后立即采取相关措施,尽量控制风险,并随时向风险控制管理总部报告当地重大风险变化情况、原因、趋势及下一步对策建议。风险控制管理总部应立即组织分析情况、统筹制订、实施风险应对方案,尽量降低突发风险对集团的影响,并报董事会。
第三十八条集团风险管理要纳入绩效考核管理,作为绩效考核的一个指标或组成部分。
对因工作失职、渎职而迟报、漏报重要事件,甚至有意见隐瞒不报造成严重后果的,按管理程序将追究有关责任人的责任。
第七章全面风险管理信息体系建设
第三十九条全面风险管理工作应充分利用信息技术手段,建立涵盖风险管理流程和内部控制系统的风险管理信息体系,包括风险管理信息的采集、存储、加工、分析、测试、传递、报告、披露等各项功能。
第四十条风险控制管理总部负责提出风险管理信息体系的功能需求,并与集团信息化管理部门配合,根据集团信息化建设总体规划提出风险管理信息体系的建设规划方案,同时配合集团信息技术专
业机构等相关力量,进行集团风险管理信息体系的具体开发、建设和应用工作。
第四十一条集团各部门和所属各公司应确保输入数据的准确性、及时性、可用性和完整性。对输入信息系统的数据,未经特殊的批准程序不得更改。
第四十二条集团公司信息管理部门应确保风险管理信息体系运行的稳定性、安全性和权限管理有效性,并根据实际需要不断进行系统改进、完善或更新。
第八章风险管理文化建设
第四十三条集团大力培育和塑造良好的风险管理文化,树立正确的风险管理理念,增强员工风险管理意识,促进集团全面风险管理目标的实现。
第四十四条集团将风险管理文化融于企业文化建设全过程,在各层面营造风险管理文化的氛围,在企业文化管理的相关政策和制度文件中明确规定风险管理文化的建设要求和内容。
第四十五条集团公司和所属各公司的负责人应在培育风险管理文化中起表率作用,重要业务流程和风险控制点的管理人员和岗位操作人员应成为培育风险管理文化的骨干力量。
第四十六条集团定期对高级管理人员以及全体员工进行风险管理理念、知识、流程以及控制方式等内容的培训,以增强风险管理
意识和能力。
第四十七条各级管理人员和岗位操作人员应牢固树立风险无处不在、风险无时不在、合理利用机会风险的意识,发扬光大“人人都是一道屏障”的风险控制文化,树立岗位上的风险管理责任重于泰山的理念。
第四十八条集团公司和所属各公司将通过多种形式广泛、深入、持久地宣传道德诚信准则和风险意识,进行风险管理案例教育,针对不同对象,开展风险管理制度和流程的操作人员岗前风险管理培训。
第九章附则
第四十九条本制度由集团公司风险控制管理总部负责解释。第五十条本制度自印发之日起执行。
全面风险管理制度 篇六
第一章 总则
第一条 为规范公司的风险管理,建立规范、有效的风险控制体系,提高风险防范能力,保证公司安全、稳健运行,提高经营管理水平,按照《公司法》、《会计法》及中国人民银行相关规定并结合公司经营和管理实际,制定本制度。
第二条 本制度所称公司风险,指未来的不确定性对公司实现其经营目标的影响。公司风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为公司带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。
第三条 本制度所称风险管理,指公司围绕总体经营目标,通过在公司管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全公司风险管理体系,包括风险管理策略、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
第四条 本制度所称风险管理基本流程包括以下主要工作:
(一)收集风险管理初始信息;
(二)进行风险评估;
(三)制定风险管理策略;
(四)提出和实施风险管理解决方案;
(五)风险管理的监督与改进。
第五条 本制度所称内部控制系统,指围绕风险管理策略目标,针对公司各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。
第六条 公司开展风险管理工作,注重防范和控制风险可能给公司造成损失和危害,把机会风险视为公司的特殊资源,通过对其管理,为公司创造价值,促进经营目标的实现。
第七条 公司本着从实际出发,务求实效的原则,以对重大风险、重大事件(指重大风险发生后的事实)的管理和重要流程的内部控制为重点,积极开展风险管理工作。
第二章 风险管理的目标、原则与框架
第八条本制度旨在公司为实现以下目标提供合理保证:
1.将风险控制在与总体目标相适应并可承受的范围内。
2. 确保法律法规的遵循。
3. 提高公司经营的效益及效率。
4. 确保公司建立针对各项重大风险发生后的危机处理计划,使其不因灾害性风险或人为失误而遭受重大损失。
第九条公司风险管理应当遵循健全、合理、制衡、独立的原则,确保风险管理的有效性。
(一) 健全性:风险管理应当做到事前、事中、事后控制相统一;覆盖公司的所有业务、部门和人员,渗透到决策、执行、监督、反馈等各个环节,确保不存在风险管理的空白或漏洞。
(二) 合理性:风险管理应当符合国家有关法律法规和中国证监会的有关规定,与公司经营规模、业务范围、风险状况及公司所处的环境相适应,以合理的成本实现风险管理目标。
(三) 制衡性:公司部门和岗位的设置应当权责分明、相互牵制,一线业务运作与二线管理支持适当分离。
(四) 独立性:承担风险管理监督检查职能的部门应当独立于公司其他部门。
第十条公司的风险管理通常应涵盖经营活动中所有业务环节,包括公司战略、规划、产品研发、市场运营、业务运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量等各项业务管理及其重要业务流程。
第十一条公司内控制度及风险管理除涵盖对经营活动各环节的控制及风险管理外,还包括贯穿于经营活动各环节之中的各项管理制度,包括但不限于:印章使用管理、票据领用管理、预算管理、资产管理、质量管理、职务授权及代理制度、定期沟通制度及信息披露管理制度的管理制度等。
第三章 风险管理组织体系
第十二条 公司风险管理的组织体系由公司总裁办公会、审计部、风险管理部、法律顾问、各部门内设的有风险职能的部门或岗位构成。
第十三条总裁办公会负责提出公司经营管理过程中防范风险的指导意见,审定公司风险控制制度;对公司风险状况和风险管理能力
及水平进行评价,提出完善公司风险管理和内部控制的建议。
第十四条 审计部独立于公司各部门,负责协助公司识别和评价重大风险问题,帮助公司改进风险管理与控制系统;通过评价控制的效率与效果、促进其持续改善等工作,帮助公司维持有效的控制系统;评价公司治理过程并提出改进公司治理的恰当建议,履行检查与评价、咨询与服务的职能。
第十五条风险管理部,全面负责公司的风险管理,建立健全公司风险防范、监控体系,负责公司风险管理制度建设,并监督执行情况;负责公司各业务风险的日常管理,对公司经营管理活动中的各类风险实施有效的事前评估和过程监控,有效化解和降低公司运营风险。
第十六条 法律顾问承担公司的政策法律事务,为领导决策和公司业务开展提供法律参考意见;审核相关法律文书及合同,防范法律风险;负责牵头处理公司诉讼事务和经济纠纷事务,代表公司对外处理相关法律事务,维护公司的合法权益。
第十七条 公司各部门负责人为风险控制的第一责任人,履行风险控制职能,执行具体的风险管理制度,建立部门内权责明确、相互制衡的岗位职责和部门内全面、合理的风控制度,并针对业务主要风险环节制定业务操作流程。
第四章 风险评估
第十八条 公司应建立风险管理综合信息的收集与积累机制。风险管理综合信息包括与风险及风险管理相关的宏观经济、政策法规、市场状况、技术革新、公司资源、财务状况、人力配置、管理措施、工具应用、信息报告等方面的信息。公司及各部门应广泛地、持续不断地收集与公司风险及管理相关的信息,并送交风险管理部对相关信息进行整理和修订,以建设和更新公司的风险管理综合信息库。
第十九条 公司对公司各项业务管理及其重要业务流程进行风险评估。风险评估包括风险辨识、风险分析、风险评价三个步骤。
第二十条 风险评估由公司组织各部门实施。
第二十一条 风险辨识是指查找公司各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对公司实现目标的影响程度、风险的价值等。
第二十二条 进行风险辨识、分析、评价时,采用定性与定量方法相结合的方式进行。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分
析、行业标杆比较、管理层访谈等。定量方法可采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、事件树分析、压力测试等。
第二十三条 进行风险定量评估时,统一制定各风险的度量单位和风险度量模型,并通过测试等方法,确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。要根据环境的变化,定期对假设前提和参数进行复核和修改,并将定量评估系统的估算结果与实际效果对比,据此对有关参数进行调整和改进。
第二十四条 风险分析包括风险之间的关系分析,以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应,从风险策略上对风险进行统一集中管理。
第二十五条 在评估多项风险时,根据对风险发生可能性的高低和对目标的影响程度的评估,绘制风险坐标图,对各项风险进行比较,初步确定对各项风险的管理优先顺序和策略。
第二十六条 公司对风险管理信息实行动态管理,定期或不定期实施风险辨识、分析、评价,以便对新的风险和原有风险的变化重新评估。
第五章 风险管理策略
第二十七条 本制度所称风险管理策略,指公司根据自身条件和外部环境,围绕公司发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。
第二十八条 一般情况下,对战略、财务、运营和法律风险,可采取风险承担、风险规避、风险转换、风险控制等方法。对能够通过金融手段进行理财的风险,可以采用风险转移、风险对冲、风险补偿等方法。
第二十九条 根据不同业务特点统一确定风险偏好和风险承受度,即公司愿意承担哪些风险,明确风险的最低限度和不能超过的最高限度,并据此确定风险的预警线及相应采取的对策。确定风险偏好和风险承受度,要正确认识和把握风险与收益的平衡,防止和纠正忽视风险,片面追求收益而不讲条件、范围,认为风险越大、收益越高的观念和做法;同时,也要防止单纯为规避风险而放弃发展机遇。
第三十条 公司根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置,进一步确定风险管理的优选顺序,明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。
第三十一条 定期总结和分析已制定的风险管理策略的有效性和合理性,结合实际不断修订和完善。其中,重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效,并提出定性或定量的有效性标准。
第六章 风险的监控报告与预警
第三十二条 公司建立风险报告和预警制度。通过有效的沟通和反馈,使公司领导和有关部门及时了解公司业务和资产的风险状况,相应调整风险管理政策和管理措施。
第三十三条 风险管理部对各部门的经营计划、方案的实施进行实时监控,及时对各类信息进行记录、汇总、分析和处理,并保留风险管理记录。各部门或岗位向风险管理部报送本部门业务风险情况。各部门所有涉及风险管理的相关资料必须向风险管理部报备,或向风险管理部开放信息系统。风险管理部有权检查原始资料。
第三十四条 公司的风险报告分为定期风险报告和不定期的专项风险报告。定期风险报告是对一个阶段公司经营发展中存在的风险和纠正的情况进行的汇总报告;不定期专项风险报告是对监控中或风险专项检查中发现的重大风险或风险隐患问题进行的专项报告。风险报告要按照规定的报告程序报送公司领导、相关部门和履行垂直管理职责的管理部门。
第三十五条 在风险监控中发现问题时,风险管理部可以进行风险专项检查,必要时可进行重点审计或组织专项审计。对其它不属于审计监察部职责范围内的事项,风险管理部可以向公司有关部门提出风险管理建议。
第三十六条公司相关部门应建立风险预警系统,以发现并应对可能出现的风险:
(一) 建立财务预警系统:公司的财务中心,通过设置并观察一些敏感性财务指标的变化,对可能或将要面临的财务危机实现进行预测预报。
(二) 建立经营管理预警系统:公司的经营管理人员,根据各个业务环节特有的性质来设计不同的风险控制机制,彻底掌握风险的来源和可能的影响。
(三) 建立风险信息管理系统。各部门有责任及时、无保留地向公司风险管理部报告有关风险的真实信息。
1、风险管理信息系统应涵盖风险管理基本流程和内部控制系统各环节包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。
2、公司须采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据,未经批准,不得更改。
3、风险管理信息系统能够进行对各种风险的计量和定量分析、定量测试;能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态;能够对超过风险预警上限的重大风险实施信息报警;能够满足风险管理内部信息报告制度和公司对外信息披露管理制度的要求。
4、风险管理信息系统须实现信息在各部门之间的集成与共享,既能满足单项业务风险管理的要求,也能满足公司整体和各部门的风险管理综合要求。
5、公司确保风险管理信息系统的稳定运行和安全,并根据实际需要不断进行改进、完善或更新。
第七章 风险管理解决方案
第三十七条 公司根据风险管理策略,针对各类风险或每一项重大风险制定风险管理解决方案。方案一般需要包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如:关键风险指标管理、损失事件管理等)。
第三十八条 制定风险解决的内控方案,满足合规的要求,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。
第三十九条 公司制定内控措施,一般至少包括以下内容:
(一) 建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权做出风险性决定;
(二) 建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等;
(三) 建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任;
(四) 建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定各部门、岗位、人员应负的责任和奖惩制度;
(五) 建立内控审计检查制度。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等;
(六) 建立内控考核评价制度。把各部门风险管理执行情况与绩效薪酬挂钩;
(七) 建立重大风险预警制度。对重大风险进行持续不断的监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施;
(八) 建立健全公司法律顾问制度,大力加强公司法律风险防范机制建设,形成由公司决策层主导、公司法律顾问提供业务保障、全体员工共同参与的法律风险责任体系,完善公司重法律纠纷案件的备案管理制度;
(九) 建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约;明确该岗位的上级部门或人员对其采取的监督措施和应负的监督责任;将该岗位作为内部审计的重点等。
第四十条公司建立灵敏高效的危机处理和应急管理机制,以降低风险损失。对新出现的、缺乏风险应急预案的重大风险,风险管理部应立即与公司相关部门协调,组织人员研究制定风险应对方案,并报公司总裁办公会审批后实施。
第四十一条 当风险已经发生,风险单位负责人必须立即向公司风险管理部报告。风险管理部应及时对风险进行初步的评判,确定是属于一般性内部风险,还是对企业声誉、经营活动和内部管理造成强大压力和负面影响的企业危机。对一般性风险,责成负责人或有关人员负责组织处理;对企业危机,必须按照下列程序处理:
(一) 第一时间成立危机处理小组,该小组应由公司总裁或副总裁担任组长。小组成员至少应包括:发生危机单位的第一负责人,公司法律顾问、财务中心、总裁办公会成员、人力资源部、风险管理部等部门负责人及其他相关人员,小组应配备小组秘书及后勤保障人员。公司董事会应授权危机处理小组为处理危机事件的最高权力机构和协调机构,有权调动公司可用资源,有权独立代表公司作出声明、承诺或妥协。
(二)危机处理小组应及时根据现有的资料和情报,以及企业拥有或可支配的资源来制订危机处理计划。计划必须体现出危机处理目标、程序、组织、人员及分工、后勤保 障、行动时间表以及各个阶段要实现的目标,同时还应包括社会资源的调动和支配、费用控制和实施责任人及其目标。计划制订完成并获通过后,应立即开始进行物 质资源调配和准备,展开全面的危机处理行动。
(三)危机应按如下程序处理:
1. 对于尚未造成社会影响的事件,在对危机事件进行详细的调查了解和核实的基础上,根据法律和公理,果断做出处理决定,以避免事态的进一步恶化。
2. 对于已造成社会影响的事件,应保持与社会各方的良好沟通,及时披露事实真相,以有助于对事件做出客观公正的报道和评价。
3. 在处理过程中,应处理好与危机事件对方当事人的关系,及时按抚,避免出现纠纷。
4. 在事件处理的全过程,危机处理小组均应与当地政府、监管机构保持紧密联系,及时通报事件进展。
(四) 危机事件处理完成后,危机处理小组应及时提交总结报告,如实反映事件的起因、发生过程、处理方法和结果、责任认定、反映的问题等,并提出整改建议或意见,以避免新的风险和危机发生。
第四十二条 对因决策失误、管理失职、行为失当等原因致使公司出现风险或危机,并造成有形或无形损失的责任人及部门负责人,公司应追究其直接责任或领导责任。
第四十三条 公司按照各部门的职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。
第八章 风险管理的监督与改进
第四十四条 公司以重大风险、重大事件和重大决策、重要管理及业务流程为重点,对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督,采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。
第四十五条 公司建立贯穿于整个风险管理基本流程,连接各上下级、各部门的风险管理信息沟通渠道,确保信息沟通的及时、准确、完整,为风险管理监督与改进奠定基矗
第四十六条 公司各部门定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查、检验报告及时报送公司风险管理部。
第四十七条 公司风险管理部定期对各部门的风险管理工作实施情况和有效性进行检查和检验,要根据本制度第三十条要求对风险管理策略进行评估,对跨部门的风险管理解决方案进行评价,提出调整或改进建议,出具评价和建议报告,及时报送公司总裁或其委托分管风险管理工作的高级管理人员。
第四十八条 公司审计部至少每年一次对包括风险管理部在内的各部门能否按照有关规定开展风险管理工作及其工作效果进行监督评价,监督评价报告直接报送总裁办公会及董事会。此项工作也可结合年度审计、任期审计或专项审计工作一并开展。
第九章 风险管理文化
第四十九条 公司须注重建立具有风险意识的公司文化,促进公司风险管理水平、员工风险管理素质的提升,保障公司风险管理目标的实现。
第五十条 风险管理文化建设须融入公司文化建设全过程。大力培育和塑造良好的风险管理文化,树立正确的风险管理理念,增强员工风险管理意识,将风险管理意识转化为员工的共同认识和自觉行动,促进公司建立系统、规范、高效的风险管理机制。
第五十一条 公司在内部各个层面营造风险管理文化氛围。从董事会开始高度重视风险管理文化的培育,总裁负责培育风险管理文化的日常工作。高级管理人员须在培育风险管理文化中起表率作用。重要管理及业务流程和风险控制点的管理人员和业务操作人员应成为培育风险管理文化的骨干。
第五十二条 大力加强员工法律素质教育,制定员工道德诚信准则,形成人人讲道德诚信、合法合规经营的风险管理文化。对于不遵守国家法律法规和公司规章制度、弄虚作假、徇私舞弊等违法及违反道德诚信准则的行为,严肃查处。
第五十三条 公司全体员工尤其是各级管理人员和业务操作人员须通过多种形式,努力传播公司风险管理文化,牢固树立风险无处不在、风险无时不在、严格防控纯粹风险、审慎处置机会风险、岗位风险管理责任重大等意识和理念。
第五十四条 风险管理文化建设与薪酬制度和人事制度相结合,有利于增强各级管理人员特别是高级管理人员风险意识,防止盲目扩张、片面追求业绩、忽视风险等行为的发生。
第五十五条 建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度。采取多种途经和形式,加强对风险管理理念、知识、流程、管控核心内容的培训,培养风险管理人才,培育风险管理文化。
第十章 附则
第五十六条 本制度由公司总裁办公会组织制定并负责解释。
第五十七条 本制度自印发之日起施行。