《中央企业全面风险管理指引》的指导内容
第二条中央企业应结合自身实际执行本指引。中央企业国有独资公司董事会负责监督本指引的实施;国有控股企业由SASAC和SASAC按照法定程序通过股东会和董事会提名的董事进行监督。
第三条本指引所称企业风险,是指未来不确定性对企业实现经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、操作风险、法律风险等。风险也可以分为纯风险(只有一种亏损的可能性)和机会风险(亏损和盈利两种可能性并存),作为能否给企业带来利润的标志。
第四条本指引所称全面风险管理,是指企业培育良好的风险管理文化,建立完善的全面风险管理体系,包括风险管理战略、风险财务管理措施、风险管理组织职能体系、风险管理信息系统和内部控制体系,将风险管理的基本流程落实到企业管理和经营过程的各个环节,为实现风险管理的总体目标提供合理保障的过程和方法。
第五条本指引所称风险管理的基本流程包括以下主要任务:
(一)收集风险管理的初始信息;
(2)进行风险评估;
(三)制定风险管理策略;
(4)提出并实施风险管理解决方案;
㈤监督和改进风险管理。
第六条本指引所称内部控制制度,是指围绕风险管理的战略目标,针对企业战略、规划、产品研发、投融资、市场运作、财务、内部审计、法务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理和重要业务流程,通过实施基本的风险管理流程而制定和实施的规则、制度、程序和措施。
第七条企业开展全面风险管理应当努力实现以下风险管理总体目标:
(一)确保风险控制在与总体目标相适应和可容忍的范围内;
(二)确保内部与外部,特别是企业与股东之间实现真实可靠的信息沟通,包括编制和提供真实可靠的财务报告;
(三)确保遵守相关法律法规;
(四)保证企业有关规章制度和为实现经营目标所采取的重大措施的实施,保证经营管理的有效性,提高经营活动的效率和效果,减少实现经营目标的不确定性;
(五)确保企业针对所有重大风险建立危机管理计划,保护企业不因巨灾风险或人为失误而遭受重大损失。
第八条企业应当重视对可能给企业造成损失和危害的风险的防范和控制,也应当将机会风险作为企业的特殊资源,通过对其管理,为企业创造价值,促进经营目标的实现。
第九条企业应当本着从实际出发、讲求实效的原则,以重大风险和事件(指重大风险发生后的事实)的管理和重要过程的内部控制为重点,积极开展全面风险管理。有条件的企业要全面推进,尽快建立全面风险管理体系;其他企业应制定实施全面风险管理的总体方案,并分步实施。首先,他们可以选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或多项业务。进行风险管理,并建立一个或多个内部控制子系统。通过积累经验和培养人才,逐步建立和完善全面风险管理体系。
第十条企业开展全面风险管理应当与其他管理工作紧密结合,将风险管理的要求融入企业管理和业务流程。有条件的企业可以建立风险管理的三道防线,即各相关职能部门和业务单元为第一道防线;董事会下设的风险管理职能部门和风险管理委员会是第二道防线;内部审计部门和董事会下设的审计委员会是第三道防线。第十一条实施全面风险管理,企业应当广泛、持续地收集与企业风险和风险管理相关的内外部初始信息,包括历史数据和未来预测。收集初始信息的职责分工应落实到所有相关职能部门和业务单位。
第十二条在战略风险方面,企业应当广泛收集国内外企业战略风险失控的案例,至少收集以下与企业相关的重要信息:
(一)国内外宏观经济政策和经济运行情况,行业状况,国家产业政策;
(二)科技进步和技术创新的相关内容;
(三)企业产品或服务的市场需求;
(四)与企业战略伙伴的关系,未来寻求战略伙伴的可能性;
(五)企业主要客户、供应商和竞争对手的情况;
(六)与主要竞争对手相比,企业的实力和差距;
(七)企业发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划和目标的相关依据;
(八)企业对外投融资过程中已经发生或容易发生错误的业务流程或环节。
第十三条在财务风险方面,企业应广泛收集国内外企业财务风险失控引发的危机案例,至少应收集企业的以下重要信息(如有行业平均指标或先进指标,也应尽可能收集):
(一)负债、或有负债、负债率和偿债能力;
(二)现金流量、应收账款及其在销售收入中的比例、资金周转率;
(3)产品存货及其占销售成本的比例、应付账款及其占采购金额的比例;
(四)制造费用和管理费用、财务费用和营业费用;
(5)盈利能力;
(6)在成本核算、资金结算、现金管理等方面已经发生或容易发生错误的业务流程或环节;
(7)与企业相关的行业会计政策、会计估计、与国际会计制度的差异及调整情况(如养老金、递延所得税等)。
第十四条在市场风险方面,企业应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业损失的案例,至少收集以下与企业相关的重要信息:
(一)产品或服务的价格及供求变化;
(二)能源、原材料、配件等物资的充足性、稳定性和价格变动情况;
(3)主要客户和供应商的信用状况;
(四)税收政策和利率、汇率、股票价格指数的变化;
(五)潜在竞争对手、竞争对手及其主要产品和替代品。
第十五条就操作风险而言,企业至少应收集以下与本企业和本行业相关的信息:
(一)产品结构、新产品开发;
(二)新的市场开发、营销策略,包括产品或服务定价和销售渠道、营销环境等;
(3)重要业务流程中高中级管理人员和专业人员的组织效率、管理状况、企业文化、知识结构和专业经验;
(四)期货等衍生品业务中已经发生或者容易发生差错的流程和环节;
(五)在质量、安全、环保和信息安全管理方面已经发生或者容易发生错误的业务流程或者环节;
(六)因企业内外部人员道德风险导致企业遭受损失或业务控制系统失效;
(七)给企业造成损失的自然灾害及除上述相关情形以外的其他纯风险;
(八)监督、评估和持续改进现有业务流程和信息系统运行的能力;
(九)企业风险管理的现状和能力。
第十六条在法律风险方面,企业应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业遭受损失的案例,至少收集以下与企业相关的信息:
(a)与企业有关的国内和国际政治和法律环境;
(2)影响企业的新法律、法规和政策;
(3)遵守员工道德规范;
(四)企业签订的主要协议和相关贸易合同;
(五)企业发生重大法律纠纷的情况;
(六)企业和竞争对手的知识产权。
第十七条企业应当对收集的初始信息进行筛选、提炼、比较、分类和组合,以开展风险评估。第十八条企业应当对收集的风险管理初始信息、企业各项业务管理和重要业务流程进行风险评估。风险评估包括三个步骤:风险识别、风险分析和风险评估。
第十九条风险评估应当由企业相关职能部门和业务单位进行,也可以聘请有资质、信誉好的专业风险管理机构协助实施。
第二十条风险识别,是指查明企业所有业务单元、重要业务活动和重要业务流程是否存在风险,存在哪些风险。风险分析是明确定义和描述已识别的风险及其特征,分析和描述风险发生的可能性和条件。风险评价是评价风险对企业目标实现的影响和风险的价值。
第二十一条风险识别、分析和评估应当采用定性和定量相结合的方法。可以采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业对标比较、管理层访谈、专人主持工作访谈、调查等定性方法。定量方法可以是统计推断(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式及影响分析、事件树分析等。
第二十二条进行量化风险评估时,应当统一制定各项风险的计量单位和风险计量模型,并通过测试等方法确保评估体系的假设、参数、数据来源和量化评估程序的合理性和准确性。应根据环境的变化,定期对假设和参数进行回顾和修正,并将定量评价体系的估计结果与实际结果进行比较,从而相应地调整和改进相关参数。
第二十三条风险分析应当包括分析风险之间的关系,以发现风险之间的自然对冲、风险事件的正相关和负相关等综合效应,从风险策略上对风险进行统一集中管理。
第二十四条企业在评估多种风险时,应当根据对风险发生的可能性和对目标的影响程度的评估,绘制风险坐标图,比较各种风险,初步确定每种风险的管理重点和策略。
第二十五条企业应当对风险管理信息实行动态管理,定期或不定期地进行风险识别、分析和评估,对新的风险和现有风险的变化进行重新评估。第二十六条本指引所称风险管理战略,是指企业根据自身条件和外部环境,确定风险偏好、风险容忍度和风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿和风险控制等适当的风险管理工具,确定风险管理所需人力和财力资源配置原则的总体战略。
第二十七条对于战略风险、财务风险、操作风险和法律风险,一般可以采用承担风险、规避风险、转换风险和控制风险等方法。对于可以通过保险、期货、套期保值等金融手段管理的风险,可以采取风险转移、风险对冲、风险补偿等方法。
第二十八条企业应当根据不同的业务特征,统一确定风险偏好和风险容忍度,即企业愿意承担哪些风险,明确不能超过的风险最低限额和最高限额,并据此确定风险预警线和相应的应对措施。确定风险偏好和风险承受能力,要正确认识和把握风险与收益的平衡,防止和纠正忽视风险、片面追求收益而不讲条件和范围、认为风险越大收益越高的观念和做法;同时,也要防止单纯为了规避风险而放弃发展机遇。
第二十九条企业应当根据风险与收益平衡的原则以及各项风险在风险坐标图上的位置,进一步确定风险管理的最优顺序,明确风险管理成本的资金预算以及风险控制组织体系、人力资源和对策的总体安排。
第三十条企业应当定期总结和分析既定风险管理策略的有效性和合理性,并结合实际情况不断修订和完善。其中,要重点检查按照风险偏好、风险承受能力、风险控制预警线实施的结果是否有效,并提出定性或定量的有效性标准。第三十一条企业应当根据风险管理战略,针对各类风险或者各主要风险制定风险管理方案。通常,该计划应包括风险解决的具体目标、所需的组织领导、涉及的管理和业务流程、所需的条件和手段等资源、风险事件发生前、发生中和发生后采取的具体应对措施以及风险管理工具(如关键风险指标管理和损失事件管理)。
第三十二条企业应当关注成本与收入的平衡、外包工作的质量、自身商业秘密的保护以及防范对风险化解外包的依赖,并制定相应的防控措施。
第三十三条企业制定风险化解内部控制计划,应当符合合规要求,坚持经营战略与风险战略一致、风险控制与运营效率和效果平衡的原则,针对重大风险涉及的所有管理和业务流程,制定覆盖各个环节的全流程控制措施;对于涉及其他风险的业务流程,要以关键环节为控制点,采取相应的控制措施。
第三十四条企业应当制定内部控制措施,一般至少包括以下内容:
(一)建立内部控制岗位授权制度。明确界定内部控制涉及的各岗位的授权对象、条件、范围和金额,任何组织和个人不得超越授权做出风险决策;
(2)建立内部控制报告制度。明确规定举报人和接收人、举报的时间、内容、频率、传播途径、负责处理举报的部门和人员等。;
(3)建立内部控制审批制度。对于涉及内部控制的重要事项,明确规定审批程序、条件、范围和额度、必要的文件、有权审批的部门和人员及其相应的责任;
(4)建立内部控制责任制。按照权利、义务和责任相统一的原则,明确规定各相关部门和业务单位、岗位和人员的职责和奖惩制度;
㈤建立内部控制审计检查制度。结合内部控制的相关要求、方法、标准和流程,明确规定审计检查的对象、内容、方法和负责部门;
(六)建立内部控制评价体系。有条件的企业应将各业务单元风险管理落实情况与绩效薪酬挂钩;
(七)建立重大风险预警系统。持续监控重大风险,及时发布预警信息,制定应急预案,根据形势变化调整控制措施;
(八)建立和完善以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设,形成由企业决策者主导、企业总法律顾问主导、企业法律顾问提供、全体员工参与的法律风险责任体系。完善企业重大法律纠纷备案管理制度;
(九)建立重要岗位的权力制衡制度,明确规定不相容职责的分离。主要包括:授权审批、业务办理、会计记录、财产保管、审计检查。涉及内部控制的重要岗位可设置一岗两人、两职两责,相互制约;明确本岗位的上级部门或人员应采取的监督措施和责任;把这个岗位作为内审的重点等。
第三十五条企业应当按照相关部门和业务单位的职责分工,认真组织实施风险管理方案,确保各项措施落实到位。第三十六条企业应当关注重大风险、重大事件和重大决策、重要管理和业务流程,监督风险管理的初始信息、风险评估、风险管理策略、关键控制活动和风险管理解决方案的执行情况,通过压力测试、回报测试、走查测试和风险控制自我评估等方式测试风险管理的有效性,并根据变化和存在的缺陷及时改进。
第三十七条企业应当建立贯穿风险管理全过程、连接各级、各部门、各业务单元的风险管理信息沟通渠道,确保信息沟通及时、准确、完整,为风险管理监督和改进奠定基础。
第三十八条企业各相关部门和业务单位应定期对风险管理进行自查和检查,及时发现缺陷并进行改进,检查和检查报告应及时报送企业风险管理职能部门。
第三十九条企业风险管理职能部门应当定期检查和测试各部门、各业务单元风险管理的执行情况和有效性,按照本指引第三十条的要求评估风险管理策略,评估跨部门、跨业务单元的风险管理方案,提出调整或改进建议,出具评估和建议报告,并及时报送企业总经理或其委托的负责风险管理的高级管理人员。
第四十条企业内部审计部门应当至少每年一次对包括风险管理职能部门在内的所有相关部门和业务单位是否能够按照相关规定开展风险管理工作及其工作效果进行监督和评估,监督和评估报告应当直接提交董事会或董事会下设的风险管理委员会和审计委员会。这项工作也可以与年度审计、任期审计或专项审计结合进行。
第四十一条企业可以聘请有资质、信誉好、风险管理专业能力强的中介机构对企业的全面风险管理进行评估,并出具风险管理评估和建议的专项报告。报告一般应包括以下几个方面的实施情况、存在的缺陷和改进建议:
(一)风险管理的基本流程和风险管理策略;
(2)企业重大风险、重大事件和重要管理的风险管理和内部控制制度建设情况;
(三)风险管理组织体系和信息系统;
(4)全面风险管理的总体目标。第四十二条企业应当建立健全风险管理组织体系,主要包括规范的公司治理结构、风险管理职能部门、内部审计部门和法律事务部门的组织领导以及其他相关职能部门和业务单位及其职责。
第四十三条企业应当建立健全规范的法人治理结构,股东(股东)大会(国有独资公司或企业,即国资委,下同)、董事会、监事会和经理层依法履行职责,形成运转高效、有效制衡的监督约束机制。
第四十四条国有独资公司、国有控股公司应当建立外部董事和独立董事制度,外部董事和独立董事的人数应当超过董事会全体成员的一半,确保董事会在重大决策和重大风险管理中能够独立于经理层做出判断和选择。
第四十五条董事会应对全面风险管理的有效性向股东大会负责。董事会在全面风险管理中主要履行以下职责:
(一)审议并向股东(大)会提交企业全面风险管理年度工作报告;
(二)确定企业风险管理的总体目标、风险偏好和风险容忍度,批准风险管理策略和重大风险管理方案;
(三)了解和掌握企业面临的主要风险及其风险管理状况,并做出决策有效控制风险;
(四)批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
(五)批准重大决策的风险评估报告;
(六)批准内部审计部门提交的风险管理监督评价审计报告;
(七)批准设立风险管理组织及其责任计划;
(八)批准风险管理措施,纠正和处理任何组织或个人在风险管理体系之外做出的风险决策;
(九)监督企业风险管理文化的培育;
(十)全面风险管理的其他重大事项。
第四十六条具备条件的企业,董事会可以设立风险管理委员会。委员会召集人由不兼任总经理的董事长担任;董事长兼任总经理的,召集人应当是外部董事或者独立董事。委员会成员应包括熟悉企业重要管理和业务流程的董事,以及具备风险管理和监管知识或经验并具备一定法律知识的董事。
第四十七条风险管理委员会对董事会负责,主要履行以下职责:
(一)提交全面风险管理年度报告。
(二)审查风险管理策略和主要风险管理解决方案;
(三)审查判断重大决策、重大风险、重大事件和重要业务流程的标准或机制,以及重大决策的风险评估报告;
(四)审阅内部审计部门提交的风险管理监督、评估和审计综合报告;
(五)审查风险管理的组织架构和责任计划。
(六)办理董事会授权的与全面风险管理相关的其他事项。
第四十八条企业总经理应当就全面风险管理的有效性向董事会负责。总经理或总经理委托的高级管理人员负责主持全面风险管理的日常工作,组织制定企业风险管理组织机构及其责任计划。
第四十九条企业应当设立专职部门或者确定相关职能部门履行全面风险管理职责。该部门对总经理或其委托的高级管理人员负责,主要履行以下职责:
(一)研究并提出全面风险管理报告;
(二)研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
(三)研究提出跨职能部门重大决策的风险评估报告;
(四)研究提出跨职能部门的风险管理策略和重大风险管理方案,负责方案的组织实施和风险的日常监控;
(五)负责全面风险管理的有效性评估,研究并提出全面风险管理的改进方案;
(六)负责组织建立风险管理信息系统;
(七)负责组织协调全面风险管理的日常工作;
(八)负责指导和监督相关职能部门、业务单位和全资、控股子公司开展全面风险管理;
(九)办理风险管理的其他相关工作。
第五十条企业应当在董事会下设审计委员会,审计委员会由企业内部审计部门负责。审计委员会和内部审计部门的职责应符合《中央企业内部审计管理暂行办法》(国资委令第8号)的相关规定。在风险管理方面,内审部主要负责研究提出全面风险管理监督评价体系,制定相关监督评价制度,开展监督评价,出具监督评价审计报告。
第五十一条企业其他职能部门和业务单元应接受风险管理职能部门和内部审计部门在全面风险管理工作中的组织、协调、指导和监督,主要履行以下职责:
(一)实施风险管理的基本流程;
(二)研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
(三)研究提出本职能部门或业务单位的重大决策风险评估报告;
(四)做好本职能部门或业务单位风险管理信息系统的建立工作;
(5)做好风险管理文化的培育工作;
(六)建立健全本职能部门或业务单位风险管理内部控制子系统;
(七)办理风险管理的其他相关工作。
第五十二条企业应当通过法定程序,引导和监督全资、控股子公司建立适合本企业或者符合全资、控股子公司特点并能发挥有效作用的风险管理组织体系。第五十三条企业应当将信息技术应用于风险管理的各个环节,建立涵盖风险管理基本流程和内部控制体系各个方面的风险管理信息系统,包括信息收集、存储、处理、分析、测试、传递、报告和披露。
第五十四条企业应当采取措施,确保输入风险管理信息系统的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。未经批准,不得更改输入信息系统的数据。
第五十五条风险管理信息系统应当能够计量、定量分析和定量测试各类风险。能够实时反映风险矩阵和排序谱、重大风险和重要业务流程的监控状况;能够对超过风险预警上限的重大风险进行信息预警;能够满足风险管理内部信息报告制度和企业外部信息披露管理制度的要求。
第五十六条风险管理信息系统应实现各职能部门和业务单元之间的信息整合和共享,既能满足单个业务风险管理的要求,又能满足企业整体和跨职能部门和业务单元的综合要求。
第五十七条企业应当确保风险管理信息系统的稳定运行和安全,并根据实际需要不断改进、完善或更新。
第五十八条已经建立或者基本建立企业管理信息系统的企业,应当补充、调整和更新现有管理流程和程序,建立完善的风险管理信息系统;如果尚未建立企业管理信息系统,风险管理应与企业的各项管理业务流程和管理软件同步规划、设计、实施和运行。第五十九条企业应当注重建设具有风险意识的企业文化,促进企业风险管理水平和员工风险管理素质的提高,确保企业风险管理目标的实现。
第六十条风险管理文化建设应当融入企业文化建设的全过程。大力培育和塑造良好的风险管理文化,树立正确的风险管理理念,增强员工的风险管理意识,将风险管理意识转化为员工的共同认识和自觉行动,促进企业建立系统、规范、高效的风险管理机制。
第六十一条企业应当在内部各个层面营造风险管理文化氛围。董事会应高度重视风险管理文化的培育,总经理负责风险管理文化培育的日常工作。董事和高级管理人员应在培养风险管理文化方面发挥表率作用。重要管理和业务流程及风险控制点的管理人员和业务操作人员应成为培育风险管理文化的中坚力量。
第六十二条企业应当大力加强员工法律素质教育,制定员工道德操守标准,形成人人讲道德操守、合法合规经营的风险管理文化。企业要严肃查处违反国家法律法规和企业规章制度、弄虚作假、徇私舞弊等违法行为和违反道德操守标准的行为。
第六十三条企业全体员工特别是各级管理人员和经营管理者,应当努力通过多种形式传播企业风险管理文化,牢固树立风险无处不在、风险无时不在、纯风险防控严密、机会风险处置审慎、岗位风险管理责任重大的意识和理念。
第六十四条风险管理文化建设应当与薪酬制度、人事制度相结合,有利于增强各级管理人员特别是高级管理人员的风险意识,防止盲目扩张、片面追求业绩、忽视风险。
第六十五条企业应当建立重要管理和业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度。采取多种方式和形式,加强风险管理理念、知识、流程和控制核心内容的培训,培养风险管理人才,培育风险管理文化。第六十六条中央企业中不设董事会的国有独资企业,由经理办公会议履行董事会在本指引中的职责,总经理负责本指引的实施。
第六十七条本指引中关于中央企业投资、财务报告和衍生产品交易风险管理的配套文件另行下发。
第六十八条本指南附录对本指南涉及的相关技术方法和技术术语进行了解释。
第六十九条本指引由国务院国有资产监督管理委员会负责解释。
第七十条本指引自发布之日起施行。