《公司全面风险管理指引》

关于下发《公司全面风险管理指引（暂

行）》的通知

各单位、机关各部室：

为加强风险管理工作，建立规范、有效的风险管理和内部控制体系，提高经营管理水平和风险防范能力，促进公司总体战略和经营目标的实现，特制定《有限公司全面风险管理指引（暂行）》，现予以下发，请遵照执行。

公司全面风险管理指引

（暂行）

第一章 总 则

第一条 为加强公司有限公司（以下简称“公司”）风险管理工作，建立规范、有效的风险管理和内部控制体系，提高经营管理水平和风险防范能力，促进公司总体战略和经营目标的实现，根据《中央企业全面风险管理指引》、《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》、《风险管理—原则与指南》及其他有关法律、法规和规范性文件，结合公司实际制定本指引。

第二条 本指引适用于公司及所属分公司、全资子公司、控股子公司、重要的联营合营企业、相关的事业单位（以下简称“经营单位”），其他企业参照执行。

第三条 本指引是基于现阶段公司风险管理实际情况，并借鉴国内先进企业风险管理理念与经验，通过阶段性建设不断提升公司风险管理水平。本指引为现阶段公司风险管理工作实施的暂行文件。

第四条 本指引所称风险是指未来的不确定性对公司实现战略和经营目标的影响。公司风险包括：战略风险、运营风险、财务风险、市场风险和法律风险等。

第五条 本指引所指风险包括纯粹风险和机会风险。纯粹风险指仅能带来损失的风险，公司应积极采取控制、规避和转移纯粹风险，避免损失或降低纯粹风险的影响程度。机会风险是指可能带来损失或收益的

风险，公司应积极应对、承担进而驾驭机会风险，减少损失并获取超额收益。

第六条 本指引所称全面风险管理是指公司围绕总体战略和经营目标，通过在经营管理的各个环节和过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全风险管理体系，从而为实现风险管理的总体目标提供合理保证的过程和方法。全面风险管理包含内部控制。

第七条 本指引所称的内部控制是指围绕公司发展战略及经营目标，全员参与实施，通过对目标实现过程的控制及有关机制、制度、流程等进行的持续优化、科学管理，以实现公司经营管理合法合规、资产安全、财务报告及相关信息真实完整、不断提升公司经营管理绩效和风险防范能力的过程。

第二章 风险管理目标和原则

第八条 公司全面风险管理的目标是保障经营管理的有效性，降低实现战略目标的不确定性，通过减少损失和危害创造价值。

按照智能风险管理理念，风险管理能力一般可分为无意识型、松散型、自上而下型、系统型和智能型。公司现阶段致力于自上而下建立健全全面风险管理体系，阶段性目标是按照ISO31000:2009标准，通过两至三年时间建设完成系统型风险管理体系框架，至2020年建设成为先进的智能型风险管理体系，将风险管理打造成为公司核心竞争力之一。

第九条 根据公司战略规划和经营目标，全面风险管理遵循如下原则：

（一）全面性原则。风险管理应当贯穿决策、执行和监督全过程，

覆盖公司及各经营单位的各种风险。

（二）重要性原则。风险管理应当在全面管理的基础上，关注重大风险，实施重点管理。

（三）适应性原则。风险管理应当与公司经营实际情况相适应，并随着情况的变化持续调整改进。

（四）制衡性原则。风险管理应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督。

（五）协同性原则。风险管理应当“自上而下，自下而上，上下结合，左右互动，形成合力”，由公司各职能部门、业务板块和经营单位应相互配合、协同合作、流程顺畅、保障效率，取得实效。

（六）主体责任原则。风险管理应当明确主体责任，各职能部门、业务板块和经营单位在各自经营管理范围内承担风险管理责任，即“谁负责损益，谁管理风险；谁履行职能，谁管理风险”。

（七）成本效益原则。风险管理应当权衡风险管理成本与经营效益，以适当的成本实现有效风险管理。

（八）循序渐进原则。风险管理应当针对现阶段薄弱环节，选取有代表性的经营单位试点开展，并逐步在公司范围内推广。

第三章 风险管理组织体系

第十条 公司全面风险管理的组织体系包括董事会、风险控制委员会、风险控制部、各职能部门、各业务板块、各经营单位和审计管理中心。

第十一条 公司风险管理由三道防线构成，公司各职能部门、业务

板块和经营单位为第一道防线；风险控制部和风险控制委员会为第二道防线；审计管理中心为第三道防线。

第十二条 董事会是公司全面风险管理工作的领导机构，其在风险管理方面的职责包括：

（一）批准公司年度全面风险管理报告；

（二）确定公司风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理应对方案；

（三）了解和掌握公司面临的各项重大风险及其风险管理现状，做出有效控制风险的决策，批准重大风险的评估报告；

（四）批准公司风险管理与内部控制组织机构设置及其职责方案；

（五）批准审计部门或机构提交的风险管理监督评价报告、内部控制评价报告；

（六）督导公司风险管理文化的培育；

（七）批准全面风险管理的其他重大事项。

第十三条 风险控制委员会是公司董事会设立的风险管理专门机构，在董事会授权范围内行使以下职责：

（一）审议公司全面风险管理报告；

（二）审议风险管理策略和重大风险管理应对方案；

（三）审议重大风险的评估报告；

（四）审议公司风险管理与内部控制组织机构设置及其职责方案；

（五）审议审计部门提交的风险管理监督评价报告、内部控制评价报告；

（六）在董事会授权下审批风险管理与内部控制制度；

（七）办理董事会授权的有关风险管理的其他事项。

第十四条 风险控制部是公司全面风险管理工作的主管部门，是公司的风险策略研究中心、风险决策支持中心、风险预警监测中心、风险管理报告中心、风险管理协调中心。

风险控制部主要履行以下职责：

（一）研究提出公司全面风险管理报告；

（二）研究提出风险管理与内部控制制度、流程并监督实施；

（三）研究提出风险管理策略和重大风险管理应对方案，并负责组织实施方案和日常监控风险；

（四）研究提出重大风险的评估报告；

（五）负责对全面风险管理有效性的评估，研究提出风险管理与内部控制的改进方案；

（六）负责组织建立风险管理信息系统；

（七）负责协调、指导、监督有关职能部门、业务板块和各经营单位开展风险管理与内部控制工作；

（八）风险管理人员资质管理；

（九）办理与风险管理和内部控制有关的其他工作。

第十五条 公司其他职能部门在全面风险管理工作中，应接受风险控制部的协调、指导和监督。风险控制部监督各职能部门履行风险管理职能，侧重于风险管理制度和流程执行情况，并不介入和替代其具体管理工作。

各职能部门主要履行以下职责：

（一）执行公司风险管理原则与流程，依据本部门职能对具体风险

进行管理；

（二）研究提出本部门的风险管理报告；

（三）做好本部门的内部控制流程、制度的编写及内部控制自我评价工作；

（四）做好本部门与风险管理信息系统相关工作；

（五）做好本部门风险管理文化建设工作；

（六）办理风险管理其他有关工作。

第十六条 公司各职能部门应设立风险管理、内部控制管理岗位。

第十七条 公司各经营单位负责本单位的全面风险管理工作，建立符合自身特点的风险管理与内部控制组织体系，并接受公司风险控制部的指导与监督。

第十八条 各经营单位负责人为风险管理与内部控制第一责任人。各经营单位应由总经理或总经理委托的高级管理人员负责主持全面风险管理的日常工作。

第十九条 各经营单位应确定相关职能部门履行全面风险管理与内部控制职责；如根据实际情况需设立专职风险管理部门，应符合公司相关要求。未设立专职风险管理部门的单位应设置专门的风险管理与内部控制管理岗位。

第二十条 公司审计管理中心负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，出具监督评价报告。

审计管理中心负责公司内部控制评价工作，出具内部控制评价报告。

第二十一条 风险管理与内部控制管理岗位任职人员应具备风险管

理专业能力。风险控制部负责通过培训、考核等方式，建立风险管理人员资质管理制度，提高风险管理队伍人员素质。

第四章 风险管理流程

第二十二条 风险管理流程包括：风险管理信息收集、风险评估、风险管理策略制定、风险管理解决方案和风险管理监督与改进。

第二十三条 公司各职能部门、业务板块和经营单位应广泛、持续不断地收集与风险和风险管理相关的内部、外部信息，包括历史数据和未来预测。

第二十四条 公司各职能部门、业务板块和经营单位应对收集的初始信息进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估。

第二十五条 风险评估包括风险识别、风险分析、风险评价三个步骤。

风险识别是指查找各项重要经营活动及业务流程中是否存在风险，存在哪些风险。

风险分析是对识别出的风险及其特征进行明确的定义描述，分析风险发生可能性的高低、风险发生的条件。

风险评价是评估风险的影响程度、风险的价值等。

第二十六条 风险评估应根据风险特点，将定性与定量方法相结合。

定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈和调查研究等。

定量方法可采用统计推论、计算机模拟、失效模式与影响分析、事件树分析等。

第二十七条 风险控制部负责全面评估公司风险，建立公司风险数据库和风险矩阵。风险数据库实行动态管理，每年度更新维护。风险数据库的内容包括风险点、风险产生原因、风险发生后果、风险发生可能性及影响程度等。

第二十八条 各职能部门、业务板块和经营单位负责评估自身风险，建立风险数据库，每年度更新维护，并向风险控制部报送评估结果。

第二十九条 风险控制部每年至少进行一次风险问卷调查，调查范围应覆盖公司管理层、各职能部门和各经营单位负责人。调查内容应包含风险发生可能性和影响程度，并针对不同的调查对象设置相应的权重。

第三十条 公司整体或重大项目的风险评估，经批准可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。

第三十一条 公司应根据自身条件和外部环境，围绕公司发展战略，逐步根据不同业务特点确定风险偏好、风险承受度，明确风险的最低限度和最高限度，并据此确定风险的预警线及相应采取的对策。

第三十二条 公司和经营单位应建立风险监测预警体系，设定监测指标和监测预警值，并定期监测。监测指标应为定量化指标，并覆盖各类重大风险。监测预警值应采取行业标杆比较、行业绩效对标、历史数据法、预算值法、行业监管值法等方式确定。

第三十三条 公司应结合实际情况，选取试点单位，适时引入风险

预算机制。

第三十四条 公司风险管理应选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的方法。

第三十五条 公司应根据风险与收益相平衡的原则以及各类风险在风险矩阵中的位置，进一步确定风险管理的优选顺序，明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。

第三十六条 公司应根据风险管理策略，制定风险管理解决方案。方案应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具。公司各职能部门、业务板块和经营单位应按照职责分工，认真组织实施风险管理解决方案，确保各项措施落实到位。

第三十七条 各经营单位按要求每季度编制风险管理报告，向风险控制部报送并同时抄报其主管部门。风险控制部可根据风险管理实际需求，要求经营单位每月度编制风险管理报告。

第三十八条 各职能部门按要求每季度编制风险管理报告，并向风险控制部报送。

第三十九条 风险控制部负责每季度编制公司风险管理报告，并向风险控制委员会报送。公司年度全面风险管理报告经风险控制委员会审议后，报董事会批准。

第四十条 风险管理报告内容应包括风险管理工作完成情况、风险评估情况、重大风险管理情况、风险监测预警情况、风险管理工作安排

和风险管理建议等。

第四十一条 各职能部门、业务板块和经营单位对重大风险事项应及时形成风险管理报告，并向风险控制部、风险控制委员会报送。

第四十二条 公司应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，根据变化情况和存在的缺陷及时加以改进。

第四十三条 各职能部门、业务板块和经营单位应结合年度经营计划和工作计划提出风险管理工作计划、目标和实施措施。

第四十四条 风险控制部根据实际需要对各职能部门和经营单位风险管理工作实施情况和有效性进行抽查和检验，对风险管理策略进行评估，对各职能部门和经营单位的风险管理解决方案进行评价，提出调整或改进建议。

第四十五条 审计管理中心应对包括风险控制部门在内的各职能部门和经营单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价，监督评价报告应直接报送风险控制委员会。

第四十六条 各职能部门、业务板块和经营单位的风险管理执行情况应适时与绩效薪酬挂钩。各经营单位风险管理工作完成情况，应纳入公司“五型”企业评比体系。

第五章 内部控制管理

第四十七条 公司及各经营单位应建立并完善内部控制制度。各单位应依据相关法律法规与公司内部控制制度，结合本单位实际情况，制定相关内部控制管理制度。

第四十八条 公司及各经营单位应依据相关制度，结合本单位实际情况，制定并完善《内控管理手册》。《内控管理手册》包括内部控制制度、流程等，《内控管理手册》至少每年度维护更新一次。

第四十九条 各经营单位应每年度至少组织实施一次内部控制自我评价，形成本单位内部评价并报送风险控制部。

第五十条 内部控制评价，是指对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。

第五十一条 内部控制评价包括各单位自我评价、公司评价和外部评价。

（一）各单位自我评价由本单位内部控制或风险管理机构组织实施。

（二）公司评价由审计管理中心组织实施。

（三）外部评价由公司或各单位聘请外部机构组织实施。

第五十二条 内部控制评价程序包括：制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。

第五十三条 内控评价应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素，确定核心指标和评价标准。

（一）内部环境评价，应当对内部环境的设计及实际运行情况进行认定和评价。

（二）风险评估机制评价，应当对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。

（三）控制活动评价，应当对相关控制措施的设计和运行情况进行认定和评价。

（四）信息与沟通评价，应当对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。

（五）内部监督评价，应当对内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。

第五十四条 公司及各经营单位应对内部控制评价与监督过程中发现的内部控制缺陷的性质及产生原因进行分析，并制定相应的措施进行整改。

第五十五条 公司应当建立内部控制实施的激励约束机制，将各单位和全体员工实施内部控制的情况纳入绩效考评体系，按照《公司内控建设管理考核办法》等制度执行，促进内部控制的有效实施。

第六章 风险管理信息系统

第五十六条 风险管理信息系统是全面风险管理体系的重要组成部分。公司应建立涵盖风险管理基本流程和内部控制各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。

第五十七条 公司各职能部门、业务板块和经营单位应确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。

第五十八条 信息化管理部门负责风险管理信息系统的建设管理及运行维护过程中的软硬件配置管理、网络安全等技术管理工作。

第五十九条 公司应在整合现有管理信息系统的基础上，通过补充、调整、更新管理流程和管理程序，建立完善的风险管理信息系统。

第七章 风险管理文化

第六十条 公司应建立具有风险意识的企业文化，促进企业风险管理水平、员工风险管理素质的提升，保障企业风险管理目标的实现。

第六十一条 风险管理文化建设应融入企业文化建设全过程。大力培育和塑造良好的风险管理文化，树立正确的风险管理理念，增强员工风险管理意识，将风险管理意识转化为员工的共同认识和自觉行动，促进企业建立系统、规范、高效的风险管理机制。

第六十二条 公司全体员工应努力传播企业风险管理文化，牢固树立风险无处不在、风险无时不在、岗位风险管理责任重大等意识和理念，严格防控纯粹风险、审慎处置机会风险。

第六十三条 风险控制部负责公司的风险管理文化建设工作，组织各职能部门与经营单位采取多种途径和形式，加强对风险管理理念、知识、流程的培训，培养风险管理人才，培育风险管理文化。

第八章 附则

第六十四条 公司所属各经营单位应依据本指引，结合各自实际情况，制定风险管理制度、流程和手册，并向公司风险控制部报备。

第六十五条 公司授权风险控制部负责解释本指引，并制定相关管理办法、实施细则及手册。

第六十六条 本办法自发布之日起执行。