东江环保股份有限公司
全面风险管理规定
第一章 总 则
第一条 为规范和加强东江环保股份有限公司(以下简
称“公司”)全面风险管理体系建设,建立健全风险管理基
本制度,提高公司风险防控能力,促进公司高质量发展,根
据《中华人民共和国公司法》等法律法规以及广东省国资委
《关于省属企业全面推行风险管理和内部控制工作的通知》
《关于加强省属企业全面风险管理与内部控制工作的实施
意见》及广晟控股集团《全面风险管理规定》等有关规定,
参照《中央企业全面风险管理指引》,结合公司实际,制定
本规定。
第二条 本规定所称风险,指在企业发展过程中各种不
确定性对实现企业战略及经营目标的影响。风险等级从低至
高原则上分三级:一般风险、较大风险和重大风险。
本规定所称风险信息,指经营过程中一切有可能引发风
险事件的情况反馈。
本规定所称风险事件,指已发生的给企业的战略及经营
目标达成带来负面影响,可能或已造成企业财务损失或非财
务损失,甚至导致企业无法继续经营的事件。
本规定所称全面风险管理,指企业围绕总体经营发展目
标,通过在企业管理的各个环节和经营过程中执行风险管理
的基本流程,培育良好的风险管理文化,建立健全全面风险
- 1 -
管理体系,从而为实现风险管理的总体目标提供合理保证的
过程和方法。
本规定所称风险性决定的行为是指组织或个人在企业
经营管理中所做出的可能导致损失或不良后果的决定。
第三条 本规定适用于公司总部及其所属全资、控股、实
际控制的企业(以下简称“所属企业”)。
第四条 公司及所属企业是全面风险管理的责任主体,
开展全面风险管理工作应努力实现以下风险管理目标:
(一)确保将风险控制在与企业经营发展目标相适应并
可承受的范围内;
(二)确保企业内外部,尤其是企业与股东之间实现真
实、可靠的信息沟通;
(三)确保企业经营管理行为和员工履职行为遵守有关
法律法规;
(四)确保企业有关规章制度和为实现经营目标而采取
重大措施的贯彻执行,保障经营管理的有效性,提高经营活
动的效率和效果,降低实现经营目标的不确定性;
(五)确保企业建立针对各项重大风险发生后的危机处
理计划,保护企业不因系统性、颠覆性风险或人为失误而遭
受重大损失。
第五条 公司及所属企业开展全面风险管理工作应当遵
循以下原则:
(一)全面覆盖原则。企业风险管理要全面覆盖各级运
- 2 -
营企业的各项业务和管理活动,要贯穿各项经营管理活动的
全过程、各环节,实现治理层、管理层和全体员工全员参与、
全员有责。
(二)重点突出原则。企业风险管理应在全面性基础上
抓住重点,针对重要业务与事项、高风险领域与环节采取严
格的管理措施,严控重大风险。
(三)动态防控原则。企业应对风险进行事前预测、
动态监测,根据内外部环境变化,以及时、合理的方式动
态研究、制定、调整风险管理策略和防控措施,将风险降
至可承受范围之内,并持续改进工作体系。
(四)成本效益原则。企业风险管理要权衡实施成本与
预期效益,以适当的成本实现有效的风险管理成果。
第六条 公司及所属企业应注重培育风险管理文化,将
风险管理积极融入企业文化建设,增强全体员工风险管理意
识,树立正确的风险管理理念,董事和高级管理人员应在培
育风险管理文化中起表率作用。
公司各部门及各所属企业要加强风险管理理念、制度、
方法及风险典型案例的宣贯,加强风险管理人才培养,对重
要管理及业务流程、风险控制点的管理人员和业务操作人员
进行岗前风险管理培训。
第二章 组织体系
第七条 公司党委应持续在完善公司治理中加强党的领
- 3 -
导,充分发挥党委“把方向、管大局、促落实”的领导作用,
加强对风险管理工作的领导,将风险管理重大工作纳入研究
讨论事项范围,落实党委对涉及风险管理重大事项决策把关
定向职责,并定期听取公司存在的重大风险隐患及全面风险
管理工作情况报告。
第八条 公司应建立健全全面风险管理组织体系。公司
建立以总部各职能部门及业务中心和所属企业为第一道防
线、风险管理部门为第二道防线、内部审计监督部门和纪律
检查部门为第三道防线的全面风险管理三道防线组织体系。
(一)公司总部各职能部门及业务中心和各所属企业是
其业务领域风险管理的第一道防线,对相关业务风险的管理
负有直接责任,在实现战略目标和经营任务的过程中,应及
时识别、分析、评估风险并主动管理风险,及时报告重大风
险。
(二)公司总部风险管理部门作为风险管理的第二道防
线,协助第一道防线完善其风险控制流程与措施,促进第一
道防线对风险管控的实施,在整个公司范围内树立和宣传对
风险管理的统一认识。
(三)公司内部审计监督部门和纪律检查部门为风险管
理的第三道防线。公司内部审计监督部门对公司重大风险管
理及风险管理体系的有效性进行测评或审计,实施独立监督。
第九条 公司董事会发挥“定战略、作决策、防风险”的
作用,就风险管理工作的有效性向股东负责。董事会履行以
- 4 -
下职责:
(一)审议批准公司风险管理基本制度、年度报告。
(二)推动完善公司风险管理体系建设。
(三)推动风险管理文化建设。
(四)了解和掌握公司面临的各项重大风险及其风险管
理现状,做出有效控制风险的决策;
(五)法律法规、公司章程规定的其他风险管理事项。
董事会下设审计与风险管理委员会,对董事会负责。审
计与风险管理委员会履行以下职责:
(一) 督导公司风险管理体系的有效运行。
(二) 审议公司风险管理年度报告。
(三) 批准风险管理规划。
(四)董事会授权的其他风险管理事项。
第十条 公司经营班子负责组织全面风险管理体系的日
常运行,主要履行以下职责:
(一)审批风险管理考核方案等具体风险管理制度以及
风险预警指标的调整。
(二)审议风险管理的基本制度。
(三)审核风险管理总体目标、风险管理策略、风险评
估标准和重大风险应对方案。
(四)纠正任何组织或个人超越风险管理制度做出的风
险性决定的行为。
(五)根据董事会授权,履行董事会有关风险管理的
- 5 -
相关工作。
(六)执行董事会风险管理相关决议。
第十一条 公司董事长是全面风险管理第一责任人,负
责组织领导建立健全公司全面风险管理体系。各分管领导具
体负责分管领域风险管理工作,督促将风险管理要求融入日
常经营管理活动。
第十二条 公司设立公司全面风险管理和内部控制委员
会(以下称风控委员会,与合规管理委员会合署),风控委
员会主任由董事长担任,常务副主任由总裁担任,副主任由
公司领导班子成员担任,其他成员包括公司各部室、业务中
心负责人,承担风险管理的组织领导和统筹协调工作,定期
召开会议,研究风险管理重大事项或提出意见建议,指导、
监督和评价风险管理工作。风控委员会的风险管理职责主要
包括:
(一)审核风险管理制度。
(二)审核风险管理机构设置方案。
(三)定期召开会议,研究重大违规事项,向董事会
提出管理意见或建议。
(四)法律法规或董事会授权的其他管理职责。
(五)经董事会或经理层授权,风控委员会可以审定
年度计划、具体制度等重大事项。
第十三条 公司总部各职能部门及业务中心负责本部门
业务领域的全面风险管理工作,部门主要负责人对本部门的
- 6 -
风险管理负有主管责任,主要履行以下职责:
(一)贯彻执行公司全面风险管理相关制度,落实董事
会及经营班子对公司重大风险管理的意见。
(二)收集本部门业务领域的风险信息,在适当范围内
共享或报告风险信息。
(三)定期开展本部门业务领域重大风险的识别、评估,
拟订重大风险的管控方案并组织实施。
(四)对本部门业务领域重大风险实施风险预警,对所
属企业风险预警事项提出管控建议。
(五)其他涉及本部门业务领域的风险管理事项。
第十四条 总部各职能部门及业务中心应当指定一名业
务骨干担任本部门风险管理员,协助部门主要负责人推动本
部门风险管理有关工作。风险管理员接受风险管理部门的业
务指导和培训,具体组织落实涉及本部门的风险管理工作任
务,并反馈工作结果。
总部各职能部门及业务中心可以定期更换部门风险管
理员,加大员工在风险管理工作中的参与程度,提升风险管
理水平。各部门及业务中心主要负责人在工作考评中要充分
考虑风险管理员承担的风险管理职责和履职情况。风险管理
员与合规管理员可以由同一人兼任。
第十五条 公司证券法务部是公司风险管理部门,接受
风控委员会的业务指导,负责落实公司风险管理工作目标和
责任,检查、督促、指导总部各部门和所属企业开展风险管
- 7 -
理工作,主要履行以下职责:
(一)组织拟订公司风险管理总体目标、风险管理策略、
公司年度风险管理工作计划。
(二)研究拟订公司全面风险管理相关制度,建立风险
评估、预警、管控、考核、报告及应急处理机制。
(三)负责定期组织开展风险信息的收集、分析与评估,
动态管理公司风险评估标准和跟踪监控机制,维护更新公司
风险管理清单。
(四)对公司在经营中的重大风险及应对进行跟踪监控,
提出应对建议和意见,做好日常各类风险的监测。
(五)督促公司总部各部门和所属企业落实重大风险管
控措施,指导所属企业重大风险的应对处置和化解工作。
(六)指导所属企业建立和完善全面风险管理组织体系
和相关制度,对所属企业全面风险管理工作开展情况及成效
进行监督、考核。
(七)定期分析、总结公司全面风险管理情况,汇总编
制公司年度风险管理报告。
(八)负责风险管理信息系统建设,推动风险预警指标
体系建设,提升风险预判能力,实现风险管理信息化。
(九)负责培育公司风险管理文化,组织风险管理知识
技能培训和交流活动。
(十)完成公司领导交办的其他风险管理工作。
第十六条 公司审计部作为内部审计监督部门,依据公
- 8 -
司内部审计有关制度对公司及所属企业经营管理过程中的
重大风险管理及风险管理体系的有效性实施独立审计监督,
督促落实相关问题的整改工作。
公司纪律检查室对违纪违法行为依规依纪依法予以处
理。
第十七条 所属企业承担本企业全面风险管理主体责任,
总经理(企业主要负责人)是全面风险管理第一责任人。所
属企业应明确负责全面风险管理工作的归口管理部门,主要
履行以下职责:
(一)制定年度全面风险管理工作计划。
(二)建立和完善全面风险管理的组织机构及职责体系,
明确组织及人员的风险管理责任。
(三)设立风险管理部门或确定履行全面风险管理职责
的部门,配备专职或兼职的风险管理人员。
(四)建立和完善全面风险管理制度和流程体系,制定
符合本企业经营特点的全面风险管理相关文件并有效实施,
建立清晰的风险管理工作流程。
(五)建立和完善重大风险评估、风险预警、风险报告、
风险考核及应急处理等机制,组织开展全面风险评估或重要
业务流程的专项风险评估,制定年度风险管控方案并组织实
施。
(六)组织开展本企业全面风险管理相关培训,培育全
面风险管理文化。
- 9 -
(七)接受公司有关职能部门的组织、协调、指导和监
督,按要求向公司风险管理部门报送风险管理相关报告及报
表。
(八)其他本企业全面风险管理事项。
第十八条 公司总部各部门应将风险管理要求与本部门
职责融合,以风险为导向,理清部门业务领域的风险管控重
点,不断完善本部门和所属企业与本业务条线相关的风险管
理和内部控制措施。
第三章 工作机制
第十九条 公司及所属企业应高度重视风险管理工作,
建立覆盖全面、全员、全过程、全体系的风险防控机制,注
重风险管理工作与内部控制、合规管理及其它经营管理工作
的全面对接,在基本业务环节识别风险,将风险管理各项要
求分解并融入企业经营管理和业务流程全过程。
第二十条 公司及所属企业应注重风险管理与内部控制
相结合,建立以内控促风控机制。内部控制是全面风险管理
的重要组成部分,公司及所属企业要正确认识全面风险管理
与内部控制之间的关系,深刻理解风险管理与内部控制是协
调统一的整体,二者目标一致,均是为了促进企业实现发展
战略。风险管理涵盖了内部控制,内部控制是风险管理的基
础和必要环节。风险应对方案或者风险应对措施应从内部控
制的角度分析风险管控手段,从而完善业务管理制度和流程,
- 10 -
提高企业经营管理水平。
公司及所属企业应当加强对重大风险领域、重要业务领
域的制度管理和流程管控,并逐步推广覆盖至企业全业务、
全过程。
建立与实施有效的内部控制,应当从内部环境、风险评
估、控制活动、信息与沟通、内部监督等要素展开。公司及
所属企业制定内控措施,一般至少包括以下内容:
(一)建立内控岗位授权制度。对内控所涉及的各岗位
明确规定授权的对象、条件、范围和额度等,任何组织和个
人不得超越授权做出风险性决定。
(二)建立内控报告制度。明确规定报告人与接受报告
人,报告的时间、内容、频率、传递路线、负责处理报告的
部门和人员等。
(三)建立内控批准制度。对内控所涉及的重要事项,
明确规定批准的程序、条件、范围和额度、必备文件以及有
权批准的部门和人员及其相应责任。
(四)建立重要岗位权力制衡制度,明确规定不相容职
责的分离。主要包括:授权批准、业务经办、会计记录、财
产保管和稽核检查等职责。对内控所涉及的重要岗位可设置
一岗双人、双职、双责,相互制约;明确该岗位的上级部门
或人员对其应采取的监督措施和应负的监督责任;将该岗位
作为内部审计的重点等。
第二十一条 公司建立部门间沟通协同的风险管理联席
- 11 -
会议机制,研究解决风险管理重要事项或需跨部门协调的有
关工作。风险管理联席会议可以视情况与合规联席会议合并
召开。
第二十二条 公司及下属企业应建立健全重大事项的专
项风险评估机制,根据经营及风险管理实际,明确专项风险
评估的范围及程序,并开展专项风险评估。针对重大投资项
目(含境外投资事项),应充分研究风险应对措施、处置预
案,编制专项风险评估报告,作为项目决策的必备支撑材料。
重大事项的风险评估机制,应至少包括以下内容:
(一)评估范围:企业重大(经营)事项决策(如企业
改制、 改革、改组)、重大项目投资决策(含境外投资事项),
以及其他受不确定性因素影响较大的事项。
(二)评估程序:企业应充分研究风险和应对措施、处
置预案,制定专项风险评估报告,作为决策的必备支撑材料。
(三)其他要求:对超出企业风险承受能力或风险应对
措施不到位的决策事项不得组织实施。
第二十三条 公司及所属企业应当建立风险分类和风险
台账管理机制。公司及所属企业应当按照战略风险、财务风
险、市场风险、运营风险、法律合规风险以及其他风险等风
险分类(详见附件 1)梳理排查风险,并将建立风险管理台
账的具体职责落实到各有关职能部门和各单位。风险管理台
账应实行动态管理,定期进行风险排查,评估新的风险和原
有风险化解情况,及时更新台账内容。
- 12 -
风险管理台账包括风险事项台账和风险隐患台账(详见
附件 2)。
对于风险管理台账中可能涉及的公司重大或较大经营
风险事项,由公司有关领导组织召开会议研究确定风险等级,
确定为重大、较大风险事项的,应明确重大或较大经营风险
事项的公司督导部门。公司督导部门应对相关企业重大、较
大经营风险化解进展、存在的难点和问题以及下一步工作计
划等及时提出督办意见,并反馈给相关企业对应业务条线部
门,同时报送公司风险管理部门。
第四章 基本流程
第一节 风险管理初始信息的识别与收集
第二十四条 公司各部门及各所属企业应当广泛、动态、
持续地收集风险管理初始信息,包括与本企业风险和风险管
理相关的内部和外部、历史数据和未来预测的初始信息。
公司风险管理部门及各所属企业应对收集的风险信息
建立风险管理清单或台账。公司各部门及各所属企业对可能
超出企业风险容忍度的风险事件,应及时、准确、完整地将
相应风险信息报送至公司风险管理部门。
为保障有效履行风险管理职责,及时获取风险相关信息,
公司风险管理部门及各所属企业风险管理部门有权了解和
获取有关企业的战略规划、改革发展、经营分析、财务报表、
财务分析、投资分析、审计报告及其他专项报告等相关材料,
- 13 -
综合研判风险;查看企业会计账簿、业务台账,现场勘察相
关资产,了解业务流程,查阅有关生产经营活动的相关材料
或与风险管理相关的系统及数据等,及时收集和掌握企业风
险信息。
第二十五条 公司各部门及各所属企业应当按照风险分
类的主要风险领域整理汇总收集的风险管理初始信息,为评
估风险和制定风险管理策略奠定基础。
公司风险管理部门和所属企业风险管理部门组织对收
集的风险信息进行分析汇总。
第二节 风险的评估
第二十六条 公司各部门及各所属企业应当根据收集的
风险管理初始信息和企业各项业务管理及其重要业务流程
开展风险评估。
风险评估包括风险辨识、风险分析和风险评价三个步骤。
风险辨识是指查找企业各业务单元、各项重要经营活动及其
重要业务流程中有无风险,有哪些风险。风险分析是对辨识
出的风险及其特征进行明确的定义描述,分析和描述风险发
生可能性的高低、风险发生的条件。风险评价是评估风险对
企业实现目标的影响程度、风险的价值等。
第二十七条 公司风险管理部门及各所属企业风险管理
部门应牵头组织列出本企业风险清单,包括但不限于风险编
号、风险类别、风险名称、风险描述、风险管理者、风险成
因、风险发生的可能性及风险发生后对企业实现目标的影响
- 14 -
程度,根据风险评估标准(包括定性和定量评估标准,详见
附件 3),开展风险评估。
公司及所属企业以风险评估形成的风险清单为基础建
立风险管理台账,风险管理台账应包括重大风险管理情况。
公司及所属企业根据经营和风险管理的需要确定风险
评估的范围和频次,每年至少应进行一次全面覆盖的风险评
估,并适时根据内外部环境变化进行动态调整。
第二十八条 公司及所属企业应确定风险发生的可能性
和风险发生后对目标影响程度的定性、定量评估标准。风险
发生的可能性通常指风险发生的概率,风险发生后对目标的
影响程度通常需要考虑财务、声誉、运营、环境、安全等影
响因素。
第二十九条 根据风险发生可能性和风险发生后对企业
实现目标的影响程度评定风险等级。在评估多项风险时,应
按照风险发生的可能性和风险发生后对目标的影响程度,绘
制风险坐标图,对各项风险进行分析和排序,初步确定关注
重点和优先控制的风险。
第三节 风险的监测与预警
第三十条 公司及所属企业应研究建立风险监控指标体
系,制定重大风险预警与报告制度,确定风险预警阈值并划
分预警区间,分层分级建立预警信息统计、分析和报告机制,
对风险管理状况进行实时监控,及时预警。
第三十一条 公司总部及所属企业的各部门负责对本部
- 15 -
门风险监控指标进行监测、分析,出现异常或报警信息时,
及时向企业领导报告,并向风险管理部门报备。各部门负责
本业务领域的监控指标设计、监测实施和报告等工作,风险
管理部门负责汇总工作。
第三十二条 公司总部及所属企业的各部门根据风险预
警结果,在公司重大风险应急处置指导原则下制定应急处置
预案,根据实际情况对预案及时调整、优化,做好本部门风
险监控指标的监测和相应风险的化解。
第四节 风险管理策略的制定
第三十三条 公司及所属企业应当制定风险管理策略。
风险管理策略是指企业根据自身条件和外部环境,围绕企业
发展战略,确定风险偏好、风险承受度、风险管理有效性标
准,选择风险承担、风险规避、风险转移、风险转换、风险
对冲、风险补偿、风险控制等适合的风险管理工具的总体策
略,并确定风险管理所需人力和财力资源的配置原则。风险
管理策略是制定风险应对方案和措施的导向。
第三十四条 风险管理策略的工具,具体包括:
(一)风险承担:指企业对所面临的风险采取接受的态
度,从而承担风险带来的后果。
(二)风险规避:指企业回避、停止或退出蕴含某一风
险的商业活动或商业环境,避免成为风险的所有人。
(三)风险转移:指企业通过合同等方式将风险转移到
第三方,企业对转移后的风险不再拥有所有权。
- 16 -
(四)风险转换:指企业通过战略调整、使用衍生品等
手段将企业面临的风险转换成另一个风险。
(五)风险对冲:指采取各种手段,引入多个风险因素
或承担多个风险,使得这些风险的影响互相抵销。
(六)风险补偿:指企业对风险可能造成的损失,主动
承担并采取适当的措施补偿可能的损失。
(七)风险控制:指控制风险事件发生的动因、环境、
条件等,来达到减轻风险事件发生时的损失或降低风险事件
发生概率的目的。
第三十五条 公司各部门及各所属企业应根据不同业务
特点对评估的一般风险、较大风险、重大风险确定风险偏好
和风险承受度,明确风险的最低限度和不能超过的最高限度,
并据此确定风险预警线及对应的风险管理策略。
确定风险偏好和风险承受度,要正确认识和把握风险与
收益的平衡,防止为追求收益而忽视风险的观念,纠正不讲
条件、范围而片面认为风险越大、收益越高的做法。
第五节 风险应对方案的提出与实施
第三十六条 公司及所属企业应当根据风险管理策略,
针对各类风险或每一项重大风险制定风险应对方案,并组织
实施。具体包括:
(一)制定风险应对方案。一般应包括风险应对的目的,
所需的组织领导,所涉及的管理及业务流程,所需的条件、
手段等资源,风险事件发生前、中、后所采取的具体应对措
- 17 -
施;
(二)实施风险应对方案。公司及所属企业按照各部门
职责分工、各单位业务特点,组织实施企业风险应对方案,
确保各项措施落实到位。
第三十七条 公司及所属企业按照“强内控、防风险、促
合规”的管控目标,分类制定风险应对方案,并满足合规的
要求。要坚持经营战略与风险策略一致、风险控制与运营效
率及效果相平衡的原则,针对重大风险所涉及的各管理及业
务流程,制定涵盖各个环节的全流程控制措施;对其他风险
所涉及的业务流程,要把关键环节作为控制点,采取相应的
控制措施。
第三十八条 公司及所属企业按照集团《重大经营风险
事件报告和化解工作细则》相关规定,对符合重大经营风险
事件情形的,应按照规定程序及时报告。
第三十九条 判定重大经营风险是否完成化解和处置应
从风险化解处置(应对)方案制定、风险化解处置措施落实、
对重大经营风险化解处置形成的内部决策以及对企业未来
生产经营造成不利影响等方面综合衡量。公司重大经营风险
的化解和处置完成情况应按相关程序报批。
第六节 风险管理的监督与改进
第四十条 公司及所属企业以重大风险、重大事件和重
大决策、重要管理及业务流程为重点,对风险管理初始信息、
风险评估、风险管理策略、关键控制活动及风险应对方案的
- 18 -
实施情况进行监督,采用压力测试、返回测试、穿行测试以
及风险控制自我评估等方法对风险管理的有效性进行检验,
根据变化情况和存在的缺陷及时加以改进。
第四十一条 公司各部门及所属企业应定期对风险管理
和内部控制工作进行自查和检验,及时发现缺陷并改进,其
自查、检验报告应及时报送企业风险管理部门。
公司风险管理部门应定期对各部门和所属企业的风险
管理和内部控制工作实施情况进行监督检查,对风险管理策
略进行评估,对跨部门和跨业务单位的风险应对方案进行评
价,提出调整或改进建议,并督促落实。
公司审计部应当根据年度审计计划或实际工作需要,对
包括风险管理部门在内的各部门和所属企业能否按照有关
规定开展风险管理和内部控制工作及其工作效果进行监督
评价,此项工作也可结合年度审计、任期审计或专项审计工
作一并开展。
第四十二条 公司应针对上级部门开展的专项监督检查、
审计项目发现的风险管理存在问题,及时制定整改方案,采
取得当措施进行整改。同时,以问题为导向,开展举一反三,
全面排查,健全风险防范长效机制,做好整改成效运用。
第五章 风险管理信息化建设
第四十三条 公司将按照信息化建设需求,统一规划、分
步实施,建立风险管理信息化平台,逐步实现信息在各部门、
- 19 -
所属企业之间的集成与共享,提高风险监控效率和风险预警
精确度。
第六章 考核及责任追究
第四十四条 公司将下属企业的风险管理工作纳入公司
绩效考核体系。公司全面风险管理工作考核评价周期与下属
企业经营业绩考核周期一致,即以每一公历年为考核期(自
每年的 1 月 1 日起至 12 月 31 日止)。公司对下属企业的风
险管理考核评价按照公司风险管理工作考核相关制度执行。
风险管理考核评价内容包括决策层参与风险管理工作情况、
风险管理机构建设情况、风险管理制度和机制建设情况、风
险管理工作组织落实情况以及风险管理效果等。
第四十五条 考核评价结果运用到下属企业负责人经营
业绩考核工作中。下属企业应参照公司风险管理工作考核方
式,对所属子企业开展风险管理考核评价。
第四十六条 公司对在全面风险管理体系建设和运行中
表现出色、突发风险事件和危机处置得当的组织和个人,在
年度评先评优给予考虑。
第四十七条 被考核单位考核期出现因失职渎职造成的
重大风险事件或突破法律法规和国资监管红线底线等情形
的,公司风险管理工作考核评价对其实行“一票否决”。
第四十八条 发现下列情形之一的,公司及所属企业对
相关责任人根据集团和公司有关规定追究责任:
- 20 -
(一)因风险管理缺位,未能发现风险,或对已出现的
风险知情不报,或对已发生的风险事项怠于处置,导致风险
管控机制失效,给公司及所属企业带来较大损失的;
(二)因制度缺失,造成内控流程存在重大缺陷或内部
控制不力的;
(三)瞒报、漏报重大风险事件,造成国有资产损失以
及其他严重不良后果的。
第七章 附 则
第四十九条 本规定由公司董事会负责解释,授权公司
证券法务部负责具体解释。
第五十条 本规定自董事会审议通过之日起施行。公司
既有文件、制度与本规定不一致的,以本规定为准。
附件:1. 风险分类清单(参考)
- 21 -
附件 1
风险分类清单(参考)
一级风险 重点关注的二级风险
投资风险
国际化经营风险
宏观经济风险
政策风险
战略风险 改革与业务转型风险
科技创新风险
战略管理风险
公司管控风险
其他风险
金融(类金融)业务与衍生品交易风险
债务风险
现金流风险
财务风险 资金管理风险
税务风险
会计与报告风险
其他风险
市场变化和市场竞争风险
汇利率风险
市场风险 客户信用风险
品牌声誉风险
其他风险
经营效益风险
人力资源风险
安全生产、质量、环保、稳定风险
采购与供应链管理风险
运营风险 生产管理风险
销售风险
信息技术风险
工程项目管理风险
其他风险
合同管理风险
合规风险
法律合规风险
诉讼风险
其他风险
其他风险 其他风险
- 22 -
附件 2
风险管理台账(参考)
风险事项台账(表一)
填报单位: 填报日期:
企业处置工作方案 企业处置情况 是否完成
涉事 可能或已造
企业 风险事项 风险情 原因 处置 处置 处置
序号 单位 成的损失及 处置 计划完 下一步工作 备注
名称 名称 况概述 分析 工作 重点 处置责任人 联系人 联系方式 处置进展 (是/
名称 金额 措施 成时间 计划
目标 难点 否)
...
- 23 -
风险管理台账(参考)
风险隐患台账(表二)
填报单位: 填报日期:
责任部门、
风险隐患 可能造成的 风险化解 已采取的应对措施 企业处置
序号 当期情况描述 原因分析 时间期限 责任人及联系 备注
名称 损失及影响 工作目标 及落实情况 责任人
方式
...
填表说明:不属于企业风险事项范围但有较大可能转化为风险事项的情形应列入风险隐患台账。
- 24 -
附件 3
风险评估标准与评级
一、风险评估说明
风险清单中列示的各风险均由一个或多个风险行为体现,任
一风险行为发生,则风险发生。风险评估将从每个风险的发生可
能性和其一旦发生后对企业实现目标的影响程度这两个方面来
进行。
针对每一个风险,分别从上述两个方面进行评估,并给出相
应的分值。该风险的综合评分则为其这两方面得分的乘积。即:
风险综合评分=风险发生可能性×风险发生影响程度
风险可能性与影响程度评估时,特征只需符合其中某一项或
某几项维度的表现,便适用其对应等级;如其特征符合多个等级
特征时,按照就高原则判定等级。
二、风险评估维度
风险评估从风险发生可能性和影响程度两个维度进行。
(一)风险发生可能性
风险发生可能性:指某一风险发生的概率。
对风险发生可能性的评估标准如下:
风险发生可能性评估标准(参考)
评分 1 2 3 4 5
定性描述 低 较低 中等 较高 高
内部控制 控制有效,几乎 控制瑕疵,在极少 控制一般,偶尔会 控制不足,常常 控制缺失,几乎
有效性 不发生 的情况发生 发生 会发生 肯定可以发生
- 25 -
在之后5年内发
期间内发生 在之后3至5年内可 在之后2至3年内 在 之 后 1年 内 可 在之后1年内至
生的可能少于1
频率 能发生1次 可能发生1次 能发生1次 少发生1次
次
可能性占比 10%以下 10%(含)-30% 30%(含)-70% 70%(含)-90% 90%(含)以上
(二)风险发生影响程度
风险发生影响程度:指风险行为发生后可能对企业实现目标
产生的影响程度,影响包括对企业人、财、物及持续发展的影响、
政治、社会、环境影响等。
对风险发生影响程度的评估标准如下:
风险发生后对目标的影响程度评估标准(参考)
评分 1 2 3 4 5
评价内容
定性描述 小 较小 中等 较大 大
后净利润减少
税后净利润 减少 100 万 500 万 元 - 税后净利润
减少 10 万元 元-500 万元 1000 万 元 减少 1000 万
对税后净利润 万元(含)之
(含)以下; (含)之间; (含)之间;或 元以上;
或 2.
财务 和现金流的不 间;或 2.对现
或 2.对现金 或 2.对现金 2.对现金流产 对现金流产
利影响 金流产生不利
流产生不利 流产生不利 生不利影响 生不利影响
影响 10 万元-
影响 10 万元 影响 100 万 500 万 元 - 1000 万元以
(含)以下 元-500 万元 1000 万 元 上
之间
(含)之间 (含)之间
影响了上市
公司以外的
行业内部或当 在某区域流 块,政府或监
企业声誉基 全国各地流
地局部流传; 传;或 2.对 管机构进行
对声誉的影响 本没有受损 传;或 2.对企
或 2.对企业声 企业声誉造 调查,引起公
声誉 范围和恢复程 或媒体的关 业声誉造成重
誉造成轻微损 成中等损害, 众媒体极大
度 注能够迅速 要损害,需要
害,需要约 3 需要约 6 个 关注并呼吁
控制 约 1 年时间恢
个月时间恢复 月时间恢复 采取行动;或
复声誉
声誉 声誉 2. 对 企 业 声
誉造成重大
损害,需要 1
年(含)以上
- 26 -
评分 1 2 3 4 5
评价内容
定性描述 小 较小 中等 较大 大
时间恢复声
誉
门/单位运营 1.对涉及部门
目标或业绩 /单位运营目 1. 对 涉 及 部
/单位运营目
指标的达成 标或业绩指标 门/单位运营
标或业绩指标
对涉及部门 产生的不利 的达成产生的 目标或业绩
的达成产生的
/单位运营 影 响 在 3%- 不利影响在 指标的达成
不利影响在
目标或业绩 5%(含)之间, 5%-10%(含)之 产生的不利
指标的达成 影响一部分 间,影响大部 影 响 超 过
间,影响极小
对业务能力的 产生的不利 关键营运目 分关键营运目 10%,几乎无
部分关键营运
运营 损失,经营目 影响小于 1% 标或业绩指 标或业绩指 法达成其重
目标或业绩指
标的实现程度 (含),对运 标;或 2.企 标;或 2.企业 要的关键营
标;或 2.企业
营 影 响 微 业日常业务 日常业务普遍 运目标或业
日常业务受一
弱,未导致 受一些影响, 影响,造成大 绩指标;
或 2.
些影响,造成
业务/服务 造成少部分 部分业务/服 造成普遍的
个别业务/服
中断 业务/服务中 务中断,恢复 业务/服务中
务中断,但恢
断,恢复时间 时间大于 6 个 断且恢复时
复时间小于 3
大于 3 个月 月小于 1 年 间大于 1 年
个月(含)
小于 6 个月 (含)
(含)
导致省级政
府的调查和
导致地方政府 府的调查和诉 督机构的调
诉讼、罚款金
的调查和诉 讼、罚款金额 查,重大的起
轻微的违法 额 100 万元-
讼、罚款金额 500 万 元 - 诉或严重的
违规问题, 500 万 元
违法程度和罚 小于 100 万元 1000 万 元 集体诉讼、罚
法律法规 不会受到监 (含)之间;
款金额 (含);或 2. (含)之间;或 款金额 1000
管机构罚金 或 2.商业纠
商业纠纷、诉 2.商业纠纷、 万元以上;或
处罚 纷、诉讼案件
讼案件索赔损 诉讼案件索赔 2. 重 大 商 业
索 赔 损 失
失小于 100 万 损失 500 万元 纠纷、诉讼案
元(含) -1000 万 元 件损失 1000
(含)之间 万元以上
(含)之间
- 27 -
评分 1 2 3 4 5
评价内容
定性描述 小 较小 中等 较大 大
员工工作积
数量员工工 1.损害一定数 1.损害大量员
极性并影响 1. 严 重 损 害
作积极性并 量员工工作积 工工作积极性
其工作效率, 整体员工工
影响其工作 极性并影响其 并影响其工作
对企业文化、 作积极性,将
效率,对企 工作效率,对 效率,对企业
企业凝聚力 引发大规模
业文化、企 企业文化、企 文化、企业凝
产生一定程 罢工,或导致
业凝聚力产 业凝聚力产生 聚力产生较大
度的不利影 企业文化、企
员工态度、能 生轻微的不 一些不利影 程度的不利影
响;或 2.核 业凝聚力遭
员工 力和数量的影 利影响;或 响;或 2.核心 响;或 2.核心
心专业团队 受严重破坏;
响 2.核心专业 专业团队和管 专业团队和管
和管理层 5% 或 2.核心专
团队和管理 理 层 1%-5% 理层 10%以上
以 上 10% 业团队和管
层 1%(含) (含)以下的 20%(含)以下
(含)以下的 理层 20%以上
以 下 的 流 流失,或 5%以 的流失,或
流失,或 10% 的流失,或
失 , 或 5% 上 10%(含)以 20% 以 上 30%
以 上 20% 30%以上普通
(含)以下 下普通员工的 (含)以下普
(含)以下普 员工的流失
普通员工的 流失 通员工的流失
通员工的流
流失
失
造成 1 人 造成 3 人(含) 造 成 10 人
(含)-3 人 -10 人死亡, (含)以上死
造成轻伤, 造成 1 人-2 人 死亡,或者 3 或 者 10 人 亡,或者 50
或者 10 万元 重伤,或者 50 人(含)-10 (含)-50 人 人(含)以上
发生安全事故
安全与环境 (含)-50 万 万元(含)-100 人重伤,或者 重伤,或者 重伤,或者
造成的后果
元的直接经 万元的直接经 100 万 元 1000 万 元 5000 万 元
济损失 济损失 (含)-1000 ( 含 ) -5000 (含)以上的
万元的直接 万元的直接经 直接经济损
经济损失 济损失 失
三、风险评级
风险评级是在风险评估的基础上进行的,将风险综合评分对
比风险等级分值得出综合风险等级,不同的风险等级需采取不同
的行动:
一般风险——风险影响小,发生概率低。不需要对此类风险
采取任何正式的措施,但要求基层管理人员在日常操作中对其进
- 28 -
行监控。
较大风险——风险影响重大,但发生的可能性中等或者较低。
重大风险——风险影响重大,发生可能性高,需要立即采取
行动。
综合风险等级 风险等级分值(R) 描述
一般风险 1≤R<9 风险较小,日常工作中保持关注或忽略
较大风险 9≤R<16 风险较大,需要引起关注
重大风险 16≤R≤25 风险很大,需要引起高度关注
- 29 -
首页
微信公众号
证券之星APP
