全面风险管理指引.docx
- 文档编号:1780830
- 上传时间:2023-05-01
- 格式:DOCX
- 页数:16
- 大小:46.65KB
全面风险管理指引.docx
《全面风险管理指引.docx》由会员分享,可在线阅读,更多相关《全面风险管理指引.docx(16页珍藏版)》请在冰点文库上搜索。
全面风险管理体系指引
目录
第一章总则
第二章风险管理组织体系
第三章风险信息的收集和识别
第四章风险评估
第五章风险应对
第六章内部控制管理
第七章全面风险风险管理信息系统
第八章风险管理文化
第九章全面风险管理考核与责任追究
第十章附则
第一章总则
第一条为指导集团各中心及各分子公司落实《天明全面风险管理制度》,
实施开展集团全面风险管理工作,增强企业竞争力,提高投资回报,促进企业持续、健康、稳健发展,根据《中国人民共和国公司法》、《全面风险管理制度》等相关法律法规,制定本指引
第二条集团各中心及分子公司根据自身情况贯彻执行本指引。
由集团决策委员会负责督导本指引的实施
第三条本指引所称的企业风险,是指未来的内外部不确定性对企业实现经营目标的影响
第四条本指引所称呼的集团为XXXXX集团有限责任公司
第五条本指引所称的全面风险管理,是指集团围绕总体战略经营目标,通过在各个管理环节和日常经营过程中执行风险管理的基本流程;培育良好的风险管理文化;建立健全全面风险管理体系
第六条本指引所称的风险管理基本流程指:
1收集风险管理的初始信息
2对风险信息的识别
3进行风险评估
4制定风险管理策略
5提出和实施风险管理解决方案
6风险管理的监督和改进
第七条本指引所称的内部控制系统,是指根据风险管理策略目标以及集团相关规定,针对集团战略、投融资、财务、审计监察、法律事务、人力资源、招采、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,以及其他外部可能影响企业的因素等,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施
第八条集团开展全面风险管理要实现的风险管理目标如下:
1确保将风险控制在与总体目标相适应并可承受的范围内
2确保企业内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告确保遵守国家在什么方面的相关法律法规
3确保集团有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性
第九条确保集团建立针对各项重大风险发生后的危机处理计划,保护集团不因人为失误或灾害性风险而遭受重大损失
第十条集团开展全面风险管理工作,应注重防范和控制风险可能给企业造成损失和危害,也应把机会风险视为集团的特殊资源,通过对其管理,为集团创造价值,促进经营目标的实现
第十一条集团应本着从实际出发,务求实效的原则,以对重大风险、重大事件(指重大风险发生后的事实)的管理和重要流程的内部控制为重点,积极开展全面风险管理工作
第十二条集团全面风险管理体系共设置三道防线。
集团各有关职能部门和业务单位为第一道防线;董事会下设的决策委员会和风险管理职能部门为第二道防线;董事会下设的审计监察委员会和审计监察部为第三道防线
第二章风险管理组织体系
第十三条全面风险管理组织体系,主要包括规范的公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责
第十四条集团需建立健全规范的公司法人治理结构,股东会、董事会、监事会、经理层依法履行职责,形成高效运转、有效制衡的监督约束机制
第十五条决策委员会就全面风险管理工作的有效性对董事会负责。
决策委员会在全面风险管理方面主要履行以下职责:
1审议并向董事会提交集团全面风险管理年度工作报告
2确定集团风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理解决方案
3了解和掌握企业面临的各项重大风险及其风险管理现状,做出有效控制风险的决策
4审核批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制
5审核批准重大决策的风险评估报告
6审核批准审计监察部门提交的风险管理监督评价审计报告
7审核批准风险管理组织机构设置及其职责方案
8审核批准风险管理措施,纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为
9督导企业风险管理文化的培育
10董事会审批的其他关于全面风险管理的事项
第十六条审计监察部对全面风险管理工作的有效性向决策委员会负责。
由审计监察负责人负责主持全面风险管理的日常工作,负责组织拟订企业风险管理组织机构设置及其职责方案。
主要履行以下职责:
1研究并协调各部门研究并提出全面风险管理工作报告
2研究并协调各部门研究并提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制
3研究并协调各部门研究并提出跨职能部门的重大决策风险评估报告
4协调各部门研究并提出风险管理策略和跨职能部门的重大风险管理解决方案,并负责该方案的组织实施和对该风险的日常监控
5负责对全面风险管理有效性评估,研究并提出全面风险管理的改进方案
6负责对组织建立风险管理信息系统的运行进行监督和评价
7负责组织协调对全面风险管理日常工作进行监督和评价
8负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作
董事会交办的风险管理其他有关工作
第十七条集团风险管理职能部门、法律事务管理部门、其他职能部门其他部门及各分、子公司在全面风险管理工作中,应接受决策委员会和审计监察部的组织、协调、指导和监督,主要履行以下职责:
1执行风险管理基本流程
2研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制
3研究提出本职能部门或业务单位的重大决策风险评估报告
4做好本职能部门或业务单位建立风险管理信息系统的工作
5做好培育风险管理文化的有关工作
6建立健全本职能部门或业务单位的风险管理内部控制子系统
7风险管理其他有关工作
第三章风险信息的收集和识别
第十八条实施全面风险管理,各有关职能部门和业务单位需广泛、持续不断地收集风险和风险管理相关的内外部的历史数据及未来预测
第十九条根据一般企业过程中风险是否具有可分散性,将风险分为系统风险和非系统风险。
非系统风险可以通过合理决策予以降低乃至消除;而系统风险则不能,系统风险只能通过市场交易进行规避和转移
1非系统风险是指仅对市场内个别企业产生影响,可以由企业控制的个别风险(如项目开发地点)
2系统风险是指对市场内所有企业均产生影响,企业无法控制的风险
第二十条本指引所称的风险信息包括并不限于:
1战略风险
n战略风险是指企业在战略的制订和实施上出现错误,或因未能随环境的改变而作出适当的调整,从而导致经济上的损失
n常见的战略风险包括:
宏观政策及形势把握风险、新产品推广策略风险、对新市场开发投入风险、并购风险
n收集战略风险信息的渠道:
l外部渠道
Ø国家、行业宏观政策与信息的发布平台和网络
Ø新闻、媒体报道及专业机构的出版物
Ø商业伙伴(客户、供应商)提供的战略信息
Ø私人社交与社会网络等
l内部渠道
Ø内部会议纪要及战略分析报告
Ø以往战略决策的成功案例及重大偏差
Ø企业自身的战略规划、计划等决策信息
Ø企业战略规划方面的内部控制机制
2财务风险
n财务风险是指融资安排、会计核算与管理以及会计或财务报告失误而对企业造成的损失
n常见的财务风险包括:
资金结构与现金流风险、会计核算与流程的风险、会计及财务报告风险等
l资金结构风险是指企业资金结构不合理,因而需要承担昂贵的资金成本,甚至导致资金链断裂。
如:
企业负债过多,资产与负债不匹配,偿还能力出现问题,资金周转不力;企业无法筹措足够的资金以发展业务
l现金流风险是指企业存货留存过多,应收账款不能及时回笼,导致资金周转出现问题
l会计核算及流程风险是指企业的系统流程缺乏适当的控制,使企业会计核算(如成本与费用核算、现金管理等)出现严重错误,为企业带来的损失。
包括:
成本计算方法选择不当;成本管理出现问题,导致盈利能力下降;各种费用的管理及记录不合理;资金管理出现问题,导致资金挪用或贪污
l会计及财务报告风险是指企业的系统流程缺乏适当的控制,使企业的财务报告和信息出现严重的错漏而为企业带来的损失,包括:
资产流失、因错误信息而导致管理层作出错误的决定、因违规而被处罚(如中国证券法,香港上市条例等)、企业及董事声誉受损
n收集财务风险信息的渠道:
l外部渠道
Ø金融信息平;
Ø专业机构出版报;
l内部渠道
Ø企业财务管理内部控制体;
Ø内部监察与审计结果
Ø以往企业财务损失事件分析
3市场风险
n市场风险是指因市场等外界条件变化而使企业产生经济损失的风险
n市场风险包括:
商品价格与物资供应风险、客户、供应商信用风险、税收风险、利率及汇率风险、竞争风险
n收集市场风险信息的渠道:
l外部渠道
Ø信用评级机构报告
Ø政府行业信息
Ø专业机构的市场调研报告与竞争对手分析报告
l内部渠道
Ø企业内部的市场信息与情报收集机制
Ø客户关系管理系统
Ø企业信用管理制度及损失事件
Ø利率、汇率的敏感性分析
4运营风险
n运营风险是指企业内部流程和系统、人为或外部因素而给企业造成的经济损失
n运营风险包括:
企业产品与营销风险、内部管理风险、业务流程与信息系统风险、企业风险管理现状与能力
n收集市场风险信息的渠道:
l外部渠道
Ø行业信息网络与平台
Ø行业与专业机构的报告与调研或其他沟通平台
Ø重大安全环保事件案例
Ø金融衍生品风险案例分析
l内部渠道
Ø企业主要业务流程,如产品开发、市场策略制定、销售、采购、售后服务、金融衍生品业务等
Ø企业重大安全环保事件案例
Ø对现有流程制度的监管机制与报告
Ø企业信息系统的管理与监控等
5法律风险
n法律风险是指企业因违反法律、法规或规定,或侵害其他利益相关者的权益,而导致企业遭受经济或声誉损失的风险
n法律风险包括:
国内外政治法律环境与政策、员工道德操守、重大协议与合同的遵守与履行、法律纠纷、知识产权
n收集法律风险信息的渠道:
l外部渠道
Ø政府、专业与行业网站与沟通平台
Ø专业机构的调研与分析报告
Ø法律纠纷事件案例
l内部渠道
Ø企业法律部或外聘法律专家
Ø企业合同条款法律审批流程
Ø企业法律纠纷事件
Ø企业知识产权保护与管理流程
Ø员工道德行为准则的制度、发布、培训及监督机制
第四章风险评估
第二十一条风险评价是评估风险的影响程度、风险的价值等。
风险评估应根据风险特点,将定性与定量方法相结合
n定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈和调查研究等
n定量方法可采用统计推论、计算机模拟、失效模式与影响分析、事件树分析等
第二十二条各职能部门、业务板块和经营单位负责评估自身风险,建立风险数据库,每月度更新维护,并向审计监察部报送评估结果
第二十三条审计监察部每季度进行一次风险问卷调查,调查范围应覆盖公司管理层、各职能部门和各经营单位负责人。
调查内容应包含风险发生可能性和影响程度,并针对不同的调查对象设置相应的权重
第二十四条集团各部门及分子公司应由一把手负责组织召开风险事项研讨会,会议纪要于会议结束后一周内报审计监察部备案,会议应每半年至少召开一次
第二十五条集团整体或重大项目的风险评估,经决策委员会批准可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。
第二十六条决策委员会应领导组织各职能中心及分子公司根据自身条件和外部环境,围绕集团发展战略,逐步根据不同业务特点确定风险偏好、风险承受度,明确风险的最低限度和最高限度,并据此确定风险的预警线及相应采取的对策
第二十七条各职能中心及分子公司应建立风险监测预警体系,设定监测指标和监测预警值,每季度监测至少一次。
监测指标应为定量化指标,并覆盖各类重大风险。
监测预警值应采取行业标杆比较、行业绩效对标、历史数据法、预算值法、行业监管值法等方式确定
第二十八条各部门及分子公司应于根据自身情况,按“重、大、急”原则制定本部门年度风险管理计划,于每年3月底前报送审计监察部。
年度风险管理计划应包含但不限于本年度风险管理的目标、重点管理的风险事项、参与风险管理活动的人员及职责安排、风险管理进度等
第二十九条公司应根据风险与收益相平衡的原则以及各类风险在风险矩阵中的位置,进一步确定风险管理的优选顺序,明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。
第五章风险应对
第三十条各职能中心及分子公司应根据风险管理策略,针对各类风险或每一项重大风险制定风险管理解决方案。
方案一般应包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如:
关键风险指标管理、损失事件管理等)
第三十一条制定风险管理解决的外包方案,应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等,并制定相应的预防和控制措施
第三十二条各实施部门应对所识别的风险进行评估,根据评估的结果对风险采取措施,从而达到降低或消除风险的目的,风险应对的方法包括:
1风险接受
2风险降低
3风险规避
第三十三条对风险所采取的措施应考虑尽可能的消除风险,在无法消除或暂无有效的方法或者采取消除风险的方法的成本高出风险存在时造成损失时,再选择采取降低风险或者风险接受的风险应对方法
第三十四条风险接受是指企业本身承担风险造成的损失。
风险接受一般适用于那些造成损失较小、重复性较高的风险,当出现以下情况时可采取接受风险的方法:
1采取风险规避措施所带来的成本远超出潜在风险所造成的损失时
2造成的损失较小且重复性较高的风险
3既无有效的风险降低的措施,又无有效的规避风险的方法时
4按本文件要求的风险评估准则中计算得出风险系数低于5的低风险
第三十五条风险降低即采取措施降低潜在风险所带来的损坏或损失,风险评估实施单位应制定的详细的风险降低措施降低风险,当出现以下情况时,可采取风险降低方法:
1采取风险规避措施所带来的成本远超出潜在风险所造成的损失
2无法消除风险或暂无有效的规避措施规避风险时
3按本文件要求的风险评估准则中计算得出风险系数为5至15之间的一般性风险
第三十六条风险规避是指通过有计划的变更来消除风险或风险发生的条件,保护目标免受风险的影响。
风险规避并不意味着完全消除风险,我们所要规避的是风险可能给我们造成的损失。
一是要降低损失发生的机率,这主要是采取事先控制措施;二是要降低损失程度,这主要包括事先控制、事后补救两个方面
第六章内部控制管理
第三十七条决策委员会负责组织建设内部控制系统,通过制度、程序、措施等要素来落实风险管理解决方案的具体内容。
建设内控系统应针对重大风险所涉及的各项管理及业务流程,制定涵盖各个环节的全流程控制措施;同时对其他风险所涉及的业务流程,应把关键环节作为控制点,采取相应的控制措施。
第三十八条集团制定内控措施,应包括但不限于以下内容:
1建立内控岗位授权制度。
对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权做出风险性决定。
2建立内控报告制度。
明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等。
3建立内控批准制度。
对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以权批准的部门和人员及其相应责任。
4建立内控责任制度。
按照权利、义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度。
5建立内控审计检查制度。
结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等。
6建立内控考核评价制度。
具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩。
7建立重大风险预警制度。
对重大风险进行持续不断的监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施。
8建立健全企业法律顾问制度。
加强企业法律风险防控机制建设,形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系
9建立重要岗位权力制衡制度。
明确规定不相容职责的分离,主要包括:
授权批准、业务经办、会计记录、财产保管和稽核检查等职责。
对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约;明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任;将该岗位作为内部审计的重点等
第三十九条各职能中心及分子公司应建立并完善内部控制制度。
各单位应依据相关法律法规与公司内部控制制度,结合本单位实际情况,制定相关内部控制管理制度
第四十条各职能中心及分子公司应依据相关制度,结合本单位实际情况,协助审计监察部制定并完善《内控管理手册》。
《内控管理手册》包括内部控制制度、流程等,《内控管理手册》至少每年度维护更新一次
第四十一条各单位应每年度至少组织实施一次内部控制自我评价,形成本单位内部评价并报送审计监察部
第四十二条内部控制评价,是指对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程
第四十三条内部控制评价包括各单位自我评价、公司评价和外部评价
1各单位自我评价由本单位内部控制或风险管理机构组织实施
2公司评价由审计管理中心组织实施
3外部评价由公司或各单位聘请外部机构组织实施
第四十四条内部控制评价程序包括:
制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节
第四十五条内控评价应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素,确定核心指标和评价标准
1内部环境评价,应当对内部环境的设计及实际运行情况进行认定和评价
2风险评估机制评价,应当对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价
3控制活动评价,应当对相关控制措施的设计和运行情况进行认定和评价
4信息与沟通评价,应当对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价
5内部监督评价,应当对内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用
第四十六条公司及各经营单位应对内部控制评价与监督过程中发现的内部控制缺陷的性质及产生原因进行分析,并制定相应的措施进行整改
第四十七条公司应当建立内部控制实施的激励约束机制,将各单位和全体员工实施内部控制的情况纳入绩效考评体系,按照《公司内控建设管理考核办法》等制度执行,促进内部控制的有效实施
第七章全面风险管理信息系统
第四十八条风险管理信息系统是全面风险管理体系的重要组成部分。
集团决策委员会应组织建立涵盖风险管理基本流程和内部控制各环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等
第四十九条集团各职能部门、业务板块和经营单位应确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。
对输入信息系统的数据,未经批准,不得更改
第五十条信息化管理部门负责风险管理信息系统的建设管理及运行维护过程中的软硬件配置管理、网络安全等技术管理工作
第五十一条决策委员会应组织各职能中心和分子公司在整合现有管理信息系统的基础上,通过补充、调整、更新管理流程和管理程序,建立完善的风险管理信息系统
第八章风险管理文化
第五十二条企业应注重建立具有风险意识的企业文化,促进企业风险管理水平、员工风险管理素质的提升,保障企业风险管理目标的实现
第五十三条风险管理文化建设应融入企业文化建设全过程。
大力培育和塑造良好的风险管理文化,树立正确的风险管理理念,增强员工风险管理意识,将风险管理意识转化为员工的共同认识和自觉行动,促进企业建立系统、规范、高效的风险管理机制
第五十四条企业应在内部各个层面营造风险管理文化氛围。
董事会应高度重视风险管理文化的培育,总经理负责培育风险管理文化的日常工作。
董事和高级管理人员应在培育风险管理文化中起表率作用。
重要管理及业务流程和风险控制点的管理人员和业务操作人员应成为培育风险管理文化的骨干
第五十五条企业应大力加强员工法律素质教育,制定员工道德诚信准则,形成人人讲道德诚信、合法合规经营的风险管理文化。
对于不遵守国家法律法规和企业规章制度、弄虚作假、徇私舞弊等违法及违反道德诚信准则的行为,企业应严肃查处
第五十六条企业全体员工尤其是各级管理人员和业务操作人员应通过多种形式,努力传播企业风险管理文化,牢固树立风险无处不在、风险无时不在、严格防控纯粹风险、审慎处置机会风险、岗位风险管理责任重大等意识和理念
第五十七条风险管理文化建设应与薪酬制度和人事制度相结合,有利于增强各级管理人员特别是高级管理人员风险意识,防止盲目扩张、片面追求业绩、忽视风险等行为的发生
第五十八条企业应建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度。
采取多种途经和形式,加强对风险管理理念、知识、流程、管控核心内容的培训,培养风险管理人才,培育风险管理文化
第九章全面风险管理的考核与责任追究
第五十九条决策委员会负责领导组织建立对全面风险管理工作的考核机制,根据集团全面风险管理工作情况,设定合理的考核范围、内容、标准和方法,并将风险管理考核纳入到企业经营业绩考核之中,将风险管理考核结果与企业员工的奖惩挂钩
第六十条全面风险管理考核主要包括对风险管理体系建设工作的考核和对风险管理工作绩效的考核,各职能中心及分子公司可根据本单位全面风险管理工作所处的阶段,设定合理的考核内容和侧重点
第六十一条设定考核指标和考核标准,应主要考虑以下6个方面:
1是否按计划完成了全面风险管理体系建设工作
2是否对本企业的重大风险进行了系统的评估
3是否根据企业的风险管理策略制定了相关风险的有效管理解决方案并予以积极实施
4企业内部的风险管理职责是否得到了清晰的界定和落实。
5企业风险的监控报告、预警及应急反应是否全面、及时、有效
6有无超出预警范围的重大风险发生并对企业经营目标造成重大影响
第六十二条集团应根据风险管理考核结果,决定各部门、各业务单位领导人员和相关风险管理责任人的奖惩和职位变动,对出现重大风险损失事件的责任人应追究其责任。
第六十三条审计监察部将对各职能中心及分子公司的全面风险管理工作进行评价,并将企业全面风险管理的评价结果作为企业领导人员业绩考核的重要内容
第十章附则
第六十四条本指引适用于集团及下属所有分子公司
第六十五条本指引由审计监察部负责修订及解释
第六十六条本指引自董事会审批签发之日起施行
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 全面 风险 管理 指引