风险管理暂行办法
风险管理暂行办法
对《风险管理暂行办法》的每次重大修改需要进行版本记录和控制。《风险管理暂行办法》发布前,需要标明日期、版本以及更改记录,由审批人签字批准后发布。
日期
版本 授权人 更改记录
1.
总则
加强公司治理,维护股东合法权益。根据公司经营地及上市地法律、法规、证券交易市场及监管机构的规定和要求,结合公司实际情况制定本办法。
1.1. 为增强公司的市场竞争力,提高公司价值,促进公司持续、稳定和健康的发展,
1.2. 本办法主要明确公司进行风险管理的目的;风险及风险管理的涵义;风险管理
的责任归属;风险管理的战略、措施和运行体系;风险管理工作的机构和职能;风险管理工作的指导和监督。
1.3. 公司进行风险管理的目的是使得公司能够对各种来自内部和外部的风险进行识
别、评估和管理,并采取必要的应对措施,将风险维持在与公司经营战略相适应和公司可接受的范围内,从而使公司做到:
1.3.1. 确保公司有关规章制度和为实现公司经营目标而采取的重要决策及重
大措施的贯彻执行,降低实现公司经营目标的不确定性;提高公司经营管理的水平、效率和有效性。
1.3.2. 确保公司建立针对可预计以及无法预计的灾害性风险的危机处理计划,
保护公司不至于因灾害性事件或人为失误而遭受重大损失。
1.3.3. 确保公司内外部尤其是公司与股东之间实现真实、可靠的信息沟通,包
括编制和提供及时、真实、可靠、完整、合规的财务报告和其他信息
1.3.4. 确保公司符合经营地、上市地证券交易市场和监管机构的法律法规要
求。
2.
风险及风险管理体系的涵义
2.1. 本办法所称“风险”,指妨碍或威胁公司实现其目标的活动或事件存在及发生的
不确定性和其严重性。
2.2. 本办法所称“风险管理体系”,指的是涵盖下述多个因素或环节的、内在统一的
为降低风险,实现公司目标的管理体系:
2.2.1. 管理层负责制定明确的风险管理战略和,通过研讨、培训、实际操
作等多种途径,加强公司领导和员工风险意识,提高风险管理认识水平和技能,培养良好的风险管理文化。
2.2.2. 管理层负责明确风险管理的责任主体,将对风险的识别、评估、报告、
应对责任落实到具体的各个业务部门,并将其流程化、文档化。
2.2.3. 管理层建立风险工作小组,负责规划、监督、评估、指导各业务部门的
风险管理工作。风险管理工作小组隶属于公司董事会,由总经理、CFO、分管经理组成。公司董事会是公司风险管理的最高管理机构。
2.2.4. 内审部在建立、健全风险管理体系中应起到独特作用,包括对风险管理
体系的有效性、效率、适宜性进行评估和监督。
2.3. 审计委员会、董事会对管理层进行的风险管理活动进行必要的指导和监督,构
成提高公司治理水平的必要组成部分。
3. 风险管理的责任归属
文化,制定风险管理战略和基本流程,建立、健全风险管理的组织体系、管理体系。
3.1. 公司管理层对公司的风险管理承担责任。公司管理层负责建立良好的风险管理
4.
风险管理的战略、措施和运行体系
是管理层在公司战略目标的指导下,通过把握公司内部资源和外部环境,根据自身的风险偏好,培养风险管理文化,确定风险管理目标,制定风险管理和流程,选择适合的风险管理工具的总体策略。
4.1. 本办法所称“风险管理战略”,是风险管理体系的组成部分。风险管理战略指的
4.2. 建立风险管理文化是风险管理战略的重要组成部分。公司应逐步建立起具有风
险意识的公司文化,发挥高级管理人员在培育风险管理文化中的表率和基调作用,培养风险管理人才,促进公司风险管理水平的提高。要使得公司管理层和普通员工能够做到:
4.3. 积极地辨识公司的主要风险;认真思考他们负责的风险会产生什么后果;在内
部传达这些风险,确保引起其他人的注意。
4.4. 风险管理战略要转化为具体部门的风险管理流程,并成为其日常经营活动管理
的一个有机组成部分。风险管理流程通过以下四个方面进行实施:
► ► ► ►
收集包括内部资源和外部环境相关信息在内的风险管理材料;
进行风险评估,包括目标设定、风险辨识、风险分析、风险评价四个步骤; 制定和实施风险管理解决方案; 对风险管理进行持续监督与改进。
4.5. 公司应当广泛地、持续不断地收集与公司风险和风险管理相关的内部、外部因
素及其变动的信息,包括历史数据和未来预测。公司应当把收集信息、分析信息的职责落实到各有关职能部门和业务单位上。这些信息应包括但不限于下列方面:
► ► ► ► ► ►
供货来源 ; 技术变革; 债权人的要求; 竞争对手的行为; 经济条件 ; 政治条件 ;
► ► ► ► ► ►
监管; 自然事件; 人力资源; 融资; 劳动关系; 信息系统。
4.6. 风险评估的前提条件是设定目标。公司管理层首先必须确定目标,才能针对目
标识别风险并采取必要的行动来管理风险。
4.7. 风险评估的目标可以分为公司层面的目标和下属业务层面的目标。公司层面的
目标包括公司期望实现的目标的总体说明,并有相关的战略计划和资源分配的支持,并明确那些决定企业整体目标实现的重要因素;业务活动层面的目标来自公司总的目标和战略计划,并由相关管理层人员的参与制定。业务目标的实现依赖业务流程和业务活动的支持。公司层面的目标和下属业务层面的目标要以适当的详细程度明确告知给董事会、管理层和员工,及其相应承担的责任。 4.8. 风险识别应是全面的,在收集信息的基础上,各部门应识别出公司内部和外部
存在的影响部门业务活动层面目标实现的各个风险要素及其重大性和相互关系。
4.9. 各部门应建立自身风险分析的机制;在进行风险分析时,应当将定性方法与定
量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、分析、行业标杆比较、管理层访谈等。定量方法可以采用统计推论(如期望值法、集中趋势法、概率分布法)、计算机模拟、数理模型等。 4.10. 风险分析一般包括两个过程:
► ► ►
估计风险的严重性; 估计风险发生的可能性;
进行风险分析应当包括风险之间的关系分析,以便发现各风险之间的自然对
冲、风险事件发生的正负相关性等组合效应。
4.11. 各业务部门应对风险分析的结果作出评价,做出本部门的风险排序,及制订出
相应的应对措施并向公司风险管理委员定期报告。这些风险管理技术包括但不限于:
► ► ► ►
风险避免,例如,选择放弃一项业务以避免风险; 风险转移,例如,购买保险或金融工具进行保值; 风险消弱,例如,设计和实施内控制度和流程; 风险接受。
4.12. 各业务部门进行的风险管理过程本身就是一个不断应对环境中可预测与不可预
测的变化发生的主动行动,因而应当成为积极应对变革的主体,并将那些需要部门合作和部门无法承担责任的变革要求提交包括风险管理小组在内的上一级
管理层。驾驭变革本身就是公司风险管理过程的一部分,这些变化包括且不限于:
►
运营环境中的变化:市场监管及运营环境中的变化可以导致竞争压力的变化及新的风险;
新的员工:新的员工可能关注不同的内控因素或有不同的理解。当员工改换工作或离开公司时,管理层应考虑他们从事过的控制活动以及由谁来继任。应采取措施确保新员工了解他们的工作;
新的或升级的信息系统:信息系统的飞速和重大变化能改变与内控相关的风险。当信息系统发生变化时,管理层应评估这些变化会怎样影响控制活动。例如,现有的控制活动是否与新系统相适应?在变换系统时要加强人员的培训;
业务迅速扩张:业务的迅速扩张可能会抑制控制活动,从而提高控制失效的风险。管理层要考虑财务或信息系统是否足够处理业务量的增加; 新的技术:将新的技术融入生产或信息系统中,可能会改变与现有控制相关的风险;
新的生产线、产品或活动:进入公司缺乏经验的新的业务领域或交易活动,会产生与内控有关的新的风险;
业务或机构重组:重组往往带来裁员,可能导致监管不充分;如缺乏必要的责任分工或有意无意地消减关键的控制活动;
海外业务:公司在海外拓展业务会为管理层带来新的或特殊的需要应对的风险;财务变化:通用财务准则的变化在公司风险评估中需要特别注意。
►
►
►
►
►
►
►
4.13. 公司风险管理小组在对各部门风险分析报告进行统一综合的基础上,站在公司
全局立场,从风险发生的可能性和重大程度对公司层面目标实现的影响程度上,进行全面的进一步风险识别和分析。可通过绘制风险图谱、重大风险分布表等手段进行风险评价和比较,确定各风险管理优先顺序;或编制公司风险列表,并对风险加以分类和重要性排序。在此基础上,风险管理小组制订出公司应对风险的总体方案,即要考虑其在各业务部门执行中的可行性和落实,也不能偏离公司的总体目标。方案经过公司董事会审批后执行。
4.14. 针对《萨-奥法案》404条款的达标要求,管理层应建立专门的应对措施。公司
管理层根据COSO内部控制框架的要求,结合实际情况,对公司控制环境层面、信息控制总体(包括信息应用控制)层面、业务财务流程层面进行了风险评估并建立应对措施已满足达标要求:
►
识别与公司环境相关的不达标风险,找出风险控制点,建立、健全公司层面的相关部门和责任规章制度,进行必要宣传、培训、实施、监督、记录;
►
识别与信息系统总体控制(包括信息系统应用控制)层面相关的不达标风险,找出风险控制点,建立、健全相关部门和责任规章制度,并进行必要的宣传、培训、实施、监督、记录; 识别与业务流程相关的风险;
确定重要的经营单元;具有特殊风险的经营单元;以及汇总后占公司业务量相当比例的业务单元; 确定重要会计科目和披露事项;
确定与这些重要会计科目和披露事项相关的流程——重要业务流程; 识别与重要会计科目、披露事项相关的财务报表认定; 对重要业务流程进行风险评估,形成风险控制矩阵;
有关责任人参与到相关工作中,并按照达标要求进行宣传、培训、实施、监督和记录。
► ►
► ► ► ► ►
4.15. 公司制订风险应对总体方案的前提是充分评估风险的严重性和可能性,其中包
括:基于对风险的假设做出判断,合理分析与减少风险等级有关的费用,为了减少风险发生的严重性或可能性而必须配置的资源和采取的措施等;尤其是为遵从美国“萨班斯—奥克斯利”法案第404条款—公司管理层必须每年评估并报告其对财务报告的内部控制的有效性,公司进行了包括:范围界定、计划、流程文档记录、测试、整改等一系列工作。
4.16. 公司在制定风险应对的方案时,应当坚持风险控制与运营效率相平衡的原则,
针对重大风险涉及的各业务流程,方案应涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,应当把其中的关键环节作为控制点,并提出相应控制措施。针对机会与风险共存的情况,风险管理小组要在认真分析风险的基础上,在获得董事会的批准下,鼓励各部门抓住有利机遇,降低风险因素,做出积极变革,提高企业价值。
4.17. 公司应建立重大风险预警制度。对重大风险进行持续不断的监控,及时发布预
警信息,制定应急预案,并根据情况的变化调整控制措施。
公司各职能部门应定期或不定期实施风险辨识、风险分析、风险评价,以便对新出现的风险和原有风险的变化重新做出评估,并根据评估的结果制定风险解决的方案。公司各职能部门应定期向风险管理小组汇报,并将有关报告报送公司风险管理小组备案。风险管理小组应定期听取各职能部门有关风险管理工作的汇报,并给与指导。
5. 风险管理工作的机构和职能
理小组为二级机构,公司董事会为三级机构。
5.1. 公司建立三级风险管理机构,各业务部门为进行风险管理的一级机构,风险管5.2. 公司的各业务部门在风险管理工作中主要履行以下职责:
执行本办法提出的风险管理的基本流程;建立具有本部门特色的风险管理体系。 1、收集与本部门有关的内部资源和外部环境相关信息;信息技术作为处理数据、生产和传递信息的重要技术手段,信息技术的总体控制和应用控制都应列为部门风险管理的重要内容;
2、进行本部门风险评估,包括目标设定、风险辨识、风险分析、风险评价四个步骤; 3、进行本部门舞弊风险的评估; 4、制定和实施本部门风险管理解决方案;
5、开展自我检查、自我评估活动,及时发现缺陷,及时加以改进,从而达到对本部门风险管理进行持续监督与持续改进的目的; 6、研究提出本部门的重大决策风险评估报告;
7、做好培育部门风险管理文化的有关工作;并与公司风险文化建设保持一致; 8、建立、健全和有效执行本部门或业务单位的404合规内部控制流程;
9、与公司其他部门进行风险管理工作的交流,定期参与向公司风险管理委员会的汇报会议;
10、涉及风险管理的其他有关工作。
5.3. 公司风险管理小组进行公司范围及跨部门的风险管理工作,其履行职能如下: 1、制定公司年度风险管理工作计划,年末进行风险管理工作总结;
2、以重大决策、重大风险、重大事件和重要业务流程为重点,对各业务部门风险管理信息收集、风险评估活动、风险管理战略制定、关键控制活动及风险管理解决方案的实施情况进行指导和监督;同时也直接或委托相关部门进行公司层面的内部和外部重大风险信息的收集;
3、研究并建立对跨业务部门的重大决策、重要业务流程中存在的风险(含舞弊风险)进行评估的方法或机制并实施;提交跨部门的重大决策的风险评估报告和风险管理解决方案;
4、制定公司层面的风险管理战略并负责该战略的组织实施;指导、监督有关职能部门、各业务单位开展风险管理工作并加以协调,并督促其持续改善;
5、负责或委托内审部对公司各部门风险管理进行有效性评估,对各部门风险管理工作的实施情况和执行的有效性进行检查,提出公司整体风险管理的改进方案 6、负责组织建立跨部门的风险管理信息沟通;评估跨部门信息沟通中存在的风险并建立应对措施;
7、 定期或不定期向公司董事会汇报工作;
8、涉及公司风险管理的其他有关工作。
5.4. 公司董事会作为最高管理层对公司风险管理负有最终的责任,公司董事会应履
行:
1、决定构成公司全面风险管理基础的价值观、原则和公司总体目标;制定有广泛基础的,建立公司风险管理理念、风险容量和风险文化理念;决定公司的风险管
理组织结构和运行体系;
2、确认公司风险管理体系内容的完整性。在内部资源和外部环境不断变化的情况下,在新出现的风险、战略实施或者预见的行动表明与风险容量有可能偏离的情况下,董事会应采取必要的行动直接负责或授权下级机构修改和完善公司风险管理体系; 3、定期听取风险管理小组的工作报告,对风险管理小组的工作进行评估、指导和监督,并督促其持续改善。
6.
6.1. 6.2.
► ► ►
风险管理工作的指导和监督
董事会就公司全面风险管理的有效性对股东大会负责。
董事会审计委员会对公司风险管理工作进行监督,主要履行以下职责: 向董事会提交公司年度风险管理评估报告; 审议风险管理战略和重大风险管理解决方案;
定期(每年至少一次)听取并核公司管理层或代表管理层的风险管理小组的工作报告,与管理层会面讨论风险管理;
审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;
评估舞弊风险,并可对已证实或怀疑的舞弊行为进行的调查及关注公司管理层对相关舞弊事件的处理;
审议内审部提交的风险管理监督评价报告;
与公司外部审计师讨司风险管理工作的有效性; 办理董事会授权的有关全面风险管理的其他事项。
公司内审部作为审计委员会常设机构,对董事会审计委员会负责。主要履行以帮助公司建立风险管理体系,监督其运行并评价其有效性,并出具监督评价审计报告;
参与风险管理委员会的会议,对跨部门、重大性的风险公司决策进行风险评估。并与管理层进行沟通;
协助、支持各职能部门有关业务流程内控系统的建设; 协助中介机构对公司全面风险管理工作进行综合评价; 进行对舞弊风险的评估;
应公司管理部门、公司风险管理小组、公司审计委员会的要求,牵头组织公司风险管理知识、技能的内部或外部培训;协助风险管理小组组织召开公司风险讨论会;
协助风险管理小组对部门、跨部门风险管理活动进行评估和提出改进建议; 定期向审计委员会就公司风险管理工作的有效性进行汇报并听取指示。
►
►
► ► ►
6.3.
下职责:
►
►
► ► ► ►
► ►
6.4. 公司可以聘请有资质、信誉好、风险管理专业能力强的中介机构对公司的全面
风险管理工作进行评价,出具风险管理评价和建议专项报告。在风险评估项目中,考虑到公司员工对风险评估专业技能上的局限,公司可聘用中介机构为此项目服务,包括提供必要的培训。
