企业风险管理规定

企业风险管理规定

1. 原则和目标

1.1 原则

企业全方位风险管理遵循以下原则：

1)目标导向原则。必须紧密围绕企业战略目标、规划和计划，特别是关键目标节点，为其提供支撑、服务和保证。

2)责任明确原则。应明确管理责任，组织和领导责任。

3)全员全程原则。全方位风险管理工作是企业全体领导干部员工的工作职责。其中业务部门是全方位风险管理的第一道防线，归口管理部门是第二道防线，企业审计部门是第三道防线。应实现动态监控和全程、全方位的管理。

1.2 目标

企业开展全方位风险管理工作要努力实现以下总体目标：

1)确保企业依法合规经营,遵守有关法律法规。

2)确保将风险控制在可承受的范围内，推动企业安全、高质量发展。

3)确保企业与各利益相关方之间实现真实、有效的信息沟通。

4)提高经营活动的效率，保障经营管理的有效性，降低实现经营目标的不确定性。

5)确保企业不因灾害性风险或人为失误而遭受重大损失。

2. 风险管理文化建设

2.1 应将风险管理文化融入企业文化建设全过程，大力培育和塑造良好的风险管理文化，树立正确的风险管理理念，增强员工风险管理意识，促进全方位风险管理目标的实现。各级风险管理人员应在风险管理文化培育过程中发挥骨干作用。

2.2 企业全体员工应当及时揭示工作中存在的风险，努力传播企业风险管理文化，牢固树立风险无处不在、风险无时不有、风险管理人人有责等理念。

3. 主要职责

3.1 第一道防线

企业总经理是企业全方位风险管理工作的第一责任人，各下属单位行政一把手是各自单位全方位风险管理工作的第一责任人，负责组织、领导和部署企业全方位风险管理工作。主要职责是：

1)审核企业风险管理工作规划、实施方案等管理文件。

2)审核企业风险管理顶层制度。

3)审核企业风险管理年度报告。

4)审核企业年度风险评估结果、重大风险和重要风险管理策略和管控措施。

5)听取企业全方位风险管理半年度报告、审核企业全方位风险管理工作的其他事项。

企业经营层其他领导人员负责分管领域内全方位风险管理工作的研究部署、组织实施和持续督促。

3.2 第二道防线

法律部是企业全方位风险管理归口管理部门，主要职

责是：

1)组织制定、维护企业全方位风险管理相关制度文件、组织编制企业全方位风险管理体系建设实施方案。

2)组织制定企业全方位风险管理年度工作计划、组织开展企业全方位风险评估工作，建立并维护企业风险分类框架和重大风险、重要风险事件库。

3)对企业全方位风险管理工作落实情况进行检查、组织制定企业级重大风险和重要风险管理策略和管控措施。

4)组织编制企业年度和半年度全方位风险管理报告、组织建立和维护企业风险评估标准和风险评估专家库。

各一级过程所有者负责主管过程下的风险管理组织、指导、监督和报告，组织制定主管过程下重大风险和重要风险的管理策略和管控措施，确保主管领域过程下风险持续受控。

3.3 第三道防线

审计部负责将全方位风险管理工作纳入专项审计计划，研究提出全方位风险管理审计监督评价体系，对企业及各单位全面风险管理工作进行审计与评价，出具审计评价报告。

4. 风险管理策划

4.1 企业法律部负责企业全方位风险管理策划，各一级过程所有者负责主管过程的风险管理策划。

4.2 组织明确重大风险、重要风险等企业重点关注风险范围和管理目标、总体管理策略、管控机制、绩效指标要求、评估指标、维度、方法和承受度等。

4.3 每年度组织梳理相关基础性重大风险事件和重要风险事件、各一级过程所有者负责逐级进行细化分解，层层落实管理责任。

4.4 建立风险上报机制，相关风险应上升为企业级重大风险和重要风险的，应及时上报，由一级过程所有者或企业法律部组织评估通过后纳入管理范畴。

4.5 风险管理策略的主要类型包括：a)风险规避，是指对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失；b)风险缓解，是指在权衡成本效益之后，采取适当的控制措施降低风险或确保风险在承受度范围内；c)风险转移，是指借助他方力量，采取业务外包、购买保

险等方式和适当的控制措施，将风险转移至第三方或与第三方分担，从而将风险控制在承受度之内；d)风险接受，是指在权衡内外部要求、业务实际情况、风险管理成本收益比之后，不采取管控措施缓解风险或减轻损失而对风险直接予以接受。

4.6 风险管理策略由相关一级过程所有者组织拟定。相关单位、部门应根据不同业务特点确定风险偏好和风险承受度，明确风险最低限度和不能超过的最高限度，并据此确定风险预警线及相应采取的对策。

4.7 企业级重大风险、重要风险的管理策略由相关一级过程所有者先行拟定，经与法律部协商后形成管理策略预案，报企业总经理办公会审议审批。经审批通过后，企业法律部将企业重大风险管理策略通报各相关单位。

5. 建立风险信息库

5.1 各部门应有针对性的持续关注和收集与职责相关的风险信息。

5.2 应广泛收集本行业企业战略风险失控导致企业蒙受损失的案例，并收集与本单位相关的宏观经济规范、经济运行情况、行业前沿技术发展动态、主要客户、供应商及主要竞争对手的有关情况；以及战略规划、经营计划及重大投资的执行情况、重大投资项目的运营环境的变化分析等。

5.3 应广泛收集国内外企业财务风险失控导致危机的案例，并收集本单位负债、或有负债、负债率、偿债能力、现金流、应收账款及其占销售收入的比重、资金周转率、产品存货及其占销售成本的比重、应付账款及其占购货额的比重、制造成本和管理费用、财务费用、营业费用、盈利能力，以及会计政策、会计估算、与国际会计制度的差异与调节以及税收政策等信息。

5.4 应广泛收集国内外企业忽视市场风险、缺乏管控措施而蒙受损失的案例，并收集与本单位相关的产品或服务的价格及供需变化、能源、原材料、配件等物资供应的充足性、稳定性和价格变化、潜在竞争者、竞争者及其主要产品、替代品情况等。

5.5 应收集本单位、本行业相关的新产品研发信息、产品或服务定价与销售渠道、市场营销环境状况、组织效能、管理现状、人员保障情况、质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节、对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力、曾经出现过且可能重复发生、多次发生的问题和不良事件库、案例等。

5.6 应广泛收集国内外企业忽视法律法规风险、缺乏管控措施而蒙受损失的案例，并收集国内外政策法律环境、法律法

规和相关政策变化、本单位重要合同的订立、执行情况、本单位重大法律纠纷、重大诉讼案件、投资并购活动中涉及法律事务的尽职调查文件、竞争对手的商标、专利、版权和商业秘密等。

5.7 应收集与全方位风险管理相关的专题研究、专项报告和专项审计的结果及专家意见。

6. 风险评估

6.1 风险评估按风险辨识、风险分析、风险评价三个步骤开展。风险辨识是指在决策环节和持续执行环节中，查找各业务单元、各项经营活动和业务流程有无风险、有哪些风险的过程；风险分析是对辨识出的风险及其特征进行明确表述，分析和描述风险发生可能性高低、风险发生条件的过程；风险评价是评估风险对企业实现目标的影响程度、风险价值等情况的过程。

6.2 企业过程相关的重大事项、重大项目应当进行决策风险评估，其他决策事项按需进行风险评估。

6.3 决策风险评估由相关一级过程所有者牵头开展，系统梳理相关风险事件，对风险事件的发生概率和影响程度等级进行定性或定量分析，形成风险事件库或风险事件清单。应紧密贴合相关工作和项目目标，对于风险的辨识、分析和评价应对

标目标的具体绩效指标和要求；应在决策论证过程中开展，填写《决策风险评估与管控清单》（见附件一），作为决策时的重要呈报材料和考量因素之一，必要时针对某些重大风险事件应设立一票否决项；

6.4 企业现有制度文件或流程文件规定了决策风险评估要求、评估流程和评估模板的，从其规定。

6.5 在执行决策要求和开展具体管理活动的过程中，应结合过程管理，对持续执行风险进行全方位评估。

6.6 风险评估的结果应转化为风险等级，风险评估指数与风险等级的关联原则上按照下图确定。企业经营层可根据工作实际，将经风险评估的较低等级的风险上升为较高等级风险。

影

响

等

级

发生概率

图1 企业全方位风险管理评估等级矩阵

6.7 可以视具体情况并按照业务最佳实践，对风险等级定义、风险评估指数与风险等级对应关系等内容进行调整，相关程序应经法律部会签。

6.8 对于辨识出的风险事件的描述应符合本制度的要求，风险事件的规范表述为：由于某种[原因或条件]，可能产生某种[不良或不符合预期的事件或情况]，对[目标]造成不利影响，并导致[其他后果]。

6.9 风险评估应结合《风险评估标准》（见附件二），采取定性评估与定量评估相结合的方法。定性评估可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量评估可采用统计推论、计算机模拟、失效模式与影响分析、事件树分析等。

6.10 应建立风险管理例会机制，对相关重大和重要风险事件进行专门评估，组织落实风险管控措施、实施计划，动态跟踪风险管控效果。

7. 风险管控措施

7.1 风险具体管控责任人应对各项相关风险事件采取管控措施,针对重大风险事件和重要风险事件，风险管控措施还应包括风险一旦发生的应急预案。措施包括：管控目标、管控手段

和实施计划。决策风险的管控手段一般包括前期论证、可行性研究、专业把关、替代方案、决策执行成效考核等；持续执行风险的管控手段一般包括制度、流程、内部控制、培训、保险、技术手段应用等。

7.2 风险管控措施在各一级过程所有者的组织下具体拟。企业级重大和重要风险管控措施由相关一级过程所有者组织拟定后，经与法律部协商形成管控措施预案，报企业总经理办公会审议审批通过后纳入相关年度工作计划。

7.3 通过外包方式采取风险管控措施的，应对外包方的背景信息、资质、资信情况、能力和其他有关信息严格进行尽职调查，注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防和控制措施。

7.4 风险管控措施与内部控制体系紧密结合。可以通过管理流程和管理要求予以固化的风险管控措施，应及时纳入企业内部控制体系，形成内部控制指引或内部控制方案。

7.5 企业各一级过程所有者应每月将本过程内重大风险事件和重要风险事件的风险信息报送企业法律部。相关信息包括：风险类别，对标的工作目标，所属的基础性重大风险事件，细化风险事件描述，风险事件的成因/风险源、发生概率、影响程

度和风险等级，风险事件管理责任，风险事件管控措施、管控计划和管控进展，以及风险事件管理的二次评估情况等。

7.6 风险管理报告包括全方位风险管理报告和专项风险管理报告。风险主责部门应于每年12 月上旬向企业法律部提交单位全方位风险管理年度报告和企业重大风险、重要风险管理年度报告，于每年7 月上旬向法律部提交半年度报告。报告内容包括：前一年度或当年上半年度风险管理情况回顾、当期风险评估开展情况、当期重大风险管理策略和管控措施制定情况、后续风险管理工作计划、全方位风险管理工作开展建议与意见等。

7.7 专项风险管理报告由企业各一级过程所有者、各单位组织编制，应报企业法律部备案。内容应包括：专项评估事项说明、风险评估范围、风险评估参加人员、风险评估过程、风险评估结论、风险管控措施和应对计划等。

8. 风险管理监督与改进

8.1 应以重大风险、重大事件、重大决策及重要管理及业务流程为重点，对风险信息收集、风险评估、风险管理策略和管控措施的制定和实施情况进行监督。

8.2 应定期对本单位和本部门的风险管理工作进行自查，及时发现缺陷并进行整改。

8.3 法律部定期对全方位风险管理工作落实情况进行检查，对重大风险和重要风险管控措施落实情况和落实效果进行评价并向企业经营层报告。报告经审批后，将评价结果及改进要求通报各各单位，监督整改落实情况。

9. 风险管理考核与奖惩

9.1 全方位风险管理考核工作应纳入企业考核体系。

9.2 对于积极开展风险管理工作，取得显著成绩的单位和个人，应给予表彰或奖励。

9.3 对于未按规定履行风险管理制度建设职责，导致风险管理制度缺失，风险管控流程存在重大缺陷，导致重大风险或重要风险发生，以及未严格执行企业风险管理相关制度，对企业重大风险、重要风险失察，或虽发现相关风险但瞒报、漏报、谎报或迟报，导致重大风险或重要风险发生，造成重大资产损失或其他严重不良后果的，严肃追究相关人员责任。

附件一

决策风险评估与管控清单

附件二

风险评估标准

风险发生可能性评价标准

风险发生影响程度评估标准