风险管理暂行办法

《风险管理暂行办法》由会员分享，可在线阅读，更多相关《风险管理暂行办法（10页珍藏版）》请在金锄头文库上搜索。

1、风险管理暂行办法风险管理暂行办法对风险管理暂行办法的每次重大修改需要进行版本记录和控制。风险管理暂行办法发布前，需要标明日期、版本以及更改记录，由审批人签字批准后发布。日期版本授权人更改记录1. 总则1.1. 为增强公司的市场竞争力，提高公司价值，促进公司持续、稳定和健康的发展，加强公司治理，维护股东合法权益。根据公司经营地及上市地法律、法规、证券交易市场及监管机构的规定和要求，结合公司实际情况制定本办法。1.2. 本办法主要明确公司进行风险管理的目的；风险及风险管理的涵义；风险管理的责任归属；风险管理的战略、措施和运行体系；风险管理工作的机构和职能；风险管理工作的指导和监督。1.3. 公司进

2、行风险管理的目的是使得公司能够对各种来自内部和外部的风险进行识别、评估和管理，并采取必要的应对措施，将风险维持在与公司经营战略相适应和公司可接受的范围内，从而使公司做到：1.3.1. 确保公司有关规章制度和为实现公司经营目标而采取的重要决策及重大措施的贯彻执行，降低实现公司经营目标的不确定性；提高公司经营管理的水平、效率和有效性。1.3.2. 确保公司建立针对可预计以及无法预计的灾害性风险的危机处理计划，保护公司不至于因灾害性事件或人为失误而遭受重大损失。1.3.3. 确保公司内外部尤其是公司与股东之间实现真实、可靠的信息沟通，包括编制和提供及时、真实、可靠、完整、合规的财务报告和其他信息1.

3、3.4. 确保公司符合经营地、上市地证券交易市场和监管机构的法律法规要求。2. 风险及风险管理体系的涵义2.1. 本办法所称“风险”，指妨碍或威胁公司实现其目标的活动或事件存在及发生的不确定性和其严重性。2.2. 本办法所称“风险管理体系”，指的是涵盖下述多个因素或环节的、内在统一的为降低风险，实现公司目标的管理体系：2.2.1. 管理层负责制定明确的风险管理战略和政策，通过研讨、培训、实际操作等多种途径，加强公司领导和员工风险意识，提高风险管理认识水平和技能，培养良好的风险管理文化。2.2.2. 管理层负责明确风险管理的责任主体，将对风险的识别、评估、报告、应对责任落实到具体的各个业务部门，

4、并将其流程化、文档化。2.2.3. 管理层建立风险工作小组，负责规划、监督、评估、指导各业务部门的风险管理工作。风险管理工作小组隶属于公司董事会，由总经理、CFO、分管经理组成。公司董事会是公司风险管理的最高管理机构。2.2.4. 内审部在建立、健全风险管理体系中应起到独特作用，包括对风险管理体系的有效性、效率、适宜性进行独立评估和监督。2.3. 审计委员会、董事会对管理层进行的风险管理活动进行必要的指导和监督，构成提高公司治理水平的必要组成部分。3. 风险管理的责任归属3.1. 公司管理层对公司的风险管理承担责任。公司管理层负责建立良好的风险管理文化，制定风险管理战略和基本流程，建立、健全风

5、险管理的组织体系、管理体系。 4. 风险管理的战略、措施和运行体系4.1. 本办法所称“风险管理战略”，是风险管理体系的组成部分。风险管理战略指的是管理层在公司战略目标的指导下，通过把握公司内部资源和外部环境，根据自身的风险偏好，培养风险管理文化，确定风险管理目标，制定风险管理政策和流程，选择适合的风险管理工具的总体策略。4.2. 建立风险管理文化是风险管理战略的重要组成部分。公司应逐步建立起具有风险意识的公司文化，发挥高级管理人员在培育风险管理文化中的表率和基调作用，培养风险管理人才，促进公司风险管理水平的提高。要使得公司管理层和普通员工能够做到：4.3. 积极地辨识公司的主要风险；认真思考

6、他们负责的风险会产生什么后果；在内部传达这些风险，确保引起其他人的注意。4.4. 风险管理战略要转化为具体部门的风险管理流程，并成为其日常经营活动管理的一个有机组成部分。风险管理流程通过以下四个方面进行实施： 收集包括内部资源和外部环境相关信息在内的风险管理材料； 进行风险评估，包括目标设定、风险辨识、风险分析、风险评价四个步骤； 制定和实施风险管理解决方案； 对风险管理进行持续监督与改进。 4.5. 公司应当广泛地、持续不断地收集与公司风险和风险管理相关的内部、外部因素及其变动的信息，包括历史数据和未来预测。公司应当把收集信息、分析信息的职责落实到各有关职能部门和业务单位上。这些信息应包括但

7、不限于下列方面： 供货来源 ； 技术变革； 债权人的要求； 竞争对手的行为； 经济条件 ； 政治条件 ； 监管； 自然事件； 人力资源； 融资； 劳动关系； 信息系统。4.6. 风险评估的前提条件是设定目标。公司管理层首先必须确定目标，才能针对目标识别风险并采取必要的行动来管理风险。4.7. 风险评估的目标可以分为公司层面的目标和下属业务层面的目标。公司层面的目标包括公司期望实现的目标的总体说明，并有相关的战略计划和资源分配的支持，并明确那些决定企业整体目标实现的重要因素；业务活动层面的目标来自公司总的目标和战略计划，并由相关管理层人员的参与制定。业务目标的实现依赖业务流程和业务活动的支持。公

8、司层面的目标和下属业务层面的目标要以适当的详细程度明确告知给董事会、管理层和员工，及其相应承担的责任。4.8. 风险识别应是全面的，在收集信息的基础上，各部门应识别出公司内部和外部存在的影响部门业务活动层面目标实现的各个风险要素及其重大性和相互关系。4.9. 各部门应建立自身风险分析的机制；在进行风险分析时，应当将定性方法与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈等。定量方法可以采用统计推论（如期望值法、集中趋势法、概率分布法）、计算机模拟、数理模型等。4.10. 风险分析一般包括两个过程： 估计风险的严重性； 估计风险发生的可能

9、性； 进行风险分析应当包括风险之间的关系分析，以便发现各风险之间的自然对 冲、风险事件发生的正负相关性等组合效应。4.11. 各业务部门应对风险分析的结果作出评价，做出本部门的风险排序，及制订出相应的应对措施并向公司风险管理委员定期报告。这些风险管理技术包括但不限于： 风险避免，例如，选择放弃一项业务以避免风险； 风险转移，例如，购买保险或金融工具进行保值； 风险消弱，例如，设计和实施内控制度和流程； 风险接受。4.12. 各业务部门进行的风险管理过程本身就是一个不断应对环境中可预测与不可预测的变化发生的主动行动，因而应当成为积极应对变革的主体，并将那些需要部门合作和部门无法承担责任的变革要求

10、提交包括风险管理小组在内的上一级管理层。驾驭变革本身就是公司风险管理过程的一部分，这些变化包括且不限于: 运营环境中的变化：市场监管及运营环境中的变化可以导致竞争压力的变化及新的风险； 新的员工：新的员工可能关注不同的内控因素或有不同的理解。当员工改换工作或离开公司时，管理层应考虑他们从事过的控制活动以及由谁来继任。应采取措施确保新员工了解他们的工作； 新的或升级的信息系统：信息系统的飞速和重大变化能改变与内控相关的风险。当信息系统发生变化时，管理层应评估这些变化会怎样影响控制活动。例如，现有的控制活动是否与新系统相适应？在变换系统时要加强人员的培训； 业务迅速扩张：业务的迅速扩张可能会抑制控

11、制活动，从而提高控制失效的风险。管理层要考虑财务或信息系统是否足够处理业务量的增加； 新的技术：将新的技术融入生产或信息系统中，可能会改变与现有控制相关的风险； 新的生产线、产品或活动：进入公司缺乏经验的新的业务领域或交易活动，会产生与内控有关的新的风险； 业务或机构重组：重组往往带来裁员，可能导致监管不充分；如缺乏必要的责任分工或有意无意地消减关键的控制活动； 海外业务：公司在海外拓展业务会为管理层带来新的或特殊的需要应对的风险；财务政策变化：通用财务准则的变化在公司风险评估中需要特别注意。4.13. 公司风险管理小组在对各部门风险分析报告进行统一综合的基础上，站在公司全局立场，从风险发生的

12、可能性和重大程度对公司层面目标实现的影响程度上，进行全面的进一步风险识别和分析。可通过绘制风险图谱、重大风险分布表等手段进行风险评价和比较，确定各风险管理优先顺序；或编制公司风险列表，并对风险加以分类和重要性排序。在此基础上，风险管理小组制订出公司应对风险的总体方案，即要考虑其在各业务部门执行中的可行性和落实，也不能偏离公司的总体目标。方案经过公司董事会审批后执行。4.14. 针对萨-奥法案404条款的达标要求，管理层应建立专门的应对措施。公司管理层根据COSO内部控制框架的要求，结合实际情况，对公司控制环境层面、信息控制总体（包括信息应用控制）层面、业务财务流程层面进行了风险评估并建立应对措

13、施已满足达标要求： 识别与公司环境相关的不达标风险，找出风险控制点，建立、健全公司层面的相关部门和责任规章制度，进行必要宣传、培训、实施、监督、记录； 识别与信息系统总体控制（包括信息系统应用控制）层面相关的不达标风险，找出风险控制点，建立、健全相关部门和责任规章制度，并进行必要的宣传、培训、实施、监督、记录； 识别与业务流程相关的风险； 确定重要的经营单元；具有特殊风险的经营单元；以及汇总后占公司业务量相当比例的业务单元； 确定重要会计科目和披露事项； 确定与这些重要会计科目和披露事项相关的流程重要业务流程； 识别与重要会计科目、披露事项相关的财务报表认定； 对重要业务流程进行风险评估，形成

14、风险控制矩阵； 有关责任人参与到相关工作中，并按照达标要求进行宣传、培训、实施、监督和记录。4.15. 公司制订风险应对总体方案的前提是充分评估风险的严重性和可能性，其中包括：基于对风险的假设做出判断，合理分析与减少风险等级有关的费用，为了减少风险发生的严重性或可能性而必须配置的资源和采取的措施等；尤其是为遵从美国“萨班斯奥克斯利”法案第404条款公司管理层必须每年评估并报告其对财务报告的内部控制的有效性，公司进行了包括：范围界定、计划、流程文档记录、测试、整改等一系列工作。4.16. 公司在制定风险应对的方案时，应当坚持风险控制与运营效率相平衡的原则，针对重大风险涉及的各业务流程，方案应涵盖

15、各个环节的全流程控制措施；对其他风险所涉及的业务流程，应当把其中的关键环节作为控制点，并提出相应控制措施。针对机会与风险共存的情况，风险管理小组要在认真分析风险的基础上，在获得董事会的批准下，鼓励各部门抓住有利机遇，降低风险因素，做出积极变革，提高企业价值。4.17. 公司应建立重大风险预警制度。对重大风险进行持续不断的监控，及时发布预警信息，制定应急预案，并根据情况的变化调整控制措施。公司各职能部门应定期或不定期实施风险辨识、风险分析、风险评价，以便对新出现的风险和原有风险的变化重新做出评估，并根据评估的结果制定风险解决的方案。公司各职能部门应定期向风险管理小组汇报，并将有关报告报送公司风险管理小组备案。风险管理小组应定期听取各职能部门有关风险管理工作的汇报，并给与指导。5. 风险管理工作的机构和职能5.1. 公司建立三级风险管理机构，各业务部门为进行风险管理的一级