东江环保股份有限公司
全面风险管理规定
第一章总则
第一条为规范和加强东江环保股份有限公司(以下简称“公司”)全面风险管理体系建设,建立健全风险管理基本制度,提高公司风险防控能力,促进公司高质量发展,根据《中华人民共和国公司法》等法律法规以及广东省国资委
《关于省属企业全面推行风险管理和内部控制工作的通知》《关于加强省属企业全面风险管理与内部控制工作的实施意见》及广晟控股集团《全面风险管理规定》等有关规定,参照《中央企业全面风险管理指引》,结合公司实际,制定本规定。
第二条本规定所称风险,指在企业发展过程中各种不确定性对实现企业战略及经营目标的影响。风险等级从低至高原则上分三级:一般风险、较大风险和重大风险。
本规定所称风险信息,指经营过程中一切有可能引发风险事件的情况反馈。
本规定所称风险事件,指已发生的给企业的战略及经营目标达成带来负面影响,可能或已造成企业财务损失或非财务损失,甚至导致企业无法继续经营的事件。
本规定所称全面风险管理,指企业围绕总体经营发展目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险-1-管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。
本规定所称风险性决定的行为是指组织或个人在企业经营管理中所做出的可能导致损失或不良后果的决定。
第三条本规定适用于公司总部及其所属全资、控股、实
际控制的企业(以下简称“所属企业”)。
第四条公司及所属企业是全面风险管理的责任主体,开展全面风险管理工作应努力实现以下风险管理目标:
(一)确保将风险控制在与企业经营发展目标相适应并可承受的范围内;
(二)确保企业内外部,尤其是企业与股东之间实现真
实、可靠的信息沟通;
(三)确保企业经营管理行为和员工履职行为遵守有关法律法规;
(四)确保企业有关规章制度和为实现经营目标而采取
重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;
(五)确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因系统性、颠覆性风险或人为失误而遭受重大损失。
第五条公司及所属企业开展全面风险管理工作应当遵
循以下原则:
(一)全面覆盖原则。企业风险管理要全面覆盖各级运
-2-营企业的各项业务和管理活动,要贯穿各项经营管理活动的全过程、各环节,实现治理层、管理层和全体员工全员参与、全员有责。
(二)重点突出原则。企业风险管理应在全面性基础上
抓住重点,针对重要业务与事项、高风险领域与环节采取严格的管理措施,严控重大风险。
(三)动态防控原则。企业应对风险进行事前预测、动态监测,根据内外部环境变化,以及时、合理的方式动态研究、制定、调整风险管理策略和防控措施,将风险降至可承受范围之内,并持续改进工作体系。
(四)成本效益原则。企业风险管理要权衡实施成本与
预期效益,以适当的成本实现有效的风险管理成果。
第六条公司及所属企业应注重培育风险管理文化,将
风险管理积极融入企业文化建设,增强全体员工风险管理意识,树立正确的风险管理理念,董事和高级管理人员应在培育风险管理文化中起表率作用。
公司各部门及各所属企业要加强风险管理理念、制度、
方法及风险典型案例的宣贯,加强风险管理人才培养,对重要管理及业务流程、风险控制点的管理人员和业务操作人员进行岗前风险管理培训。
第二章组织体系
第七条公司党委应持续在完善公司治理中加强党的领
-3-导,充分发挥党委“把方向、管大局、促落实”的领导作用,加强对风险管理工作的领导,将风险管理重大工作纳入研究讨论事项范围,落实党委对涉及风险管理重大事项决策把关定向职责,并定期听取公司存在的重大风险隐患及全面风险管理工作情况报告。
第八条公司应建立健全全面风险管理组织体系。公司建立以总部各职能部门及业务中心和所属企业为第一道防
线、风险管理部门为第二道防线、内部审计监督部门和纪律检查部门为第三道防线的全面风险管理三道防线组织体系。
(一)公司总部各职能部门及业务中心和各所属企业是
其业务领域风险管理的第一道防线,对相关业务风险的管理负有直接责任,在实现战略目标和经营任务的过程中,应及时识别、分析、评估风险并主动管理风险,及时报告重大风险。
(二)公司总部风险管理部门作为风险管理的第二道防线,协助第一道防线完善其风险控制流程与措施,促进第一道防线对风险管控的实施,在整个公司范围内树立和宣传对风险管理的统一认识。
(三)公司内部审计监督部门和纪律检查部门为风险管
理的第三道防线。公司内部审计监督部门对公司重大风险管
理及风险管理体系的有效性进行测评或审计,实施独立监督。
第九条公司董事会发挥“定战略、作决策、防风险”的作用,就风险管理工作的有效性向股东负责。董事会履行以-4-下职责:
(一)审议批准公司风险管理基本制度、年度报告。
(二)推动完善公司风险管理体系建设。
(三)推动风险管理文化建设。
(四)了解和掌握公司面临的各项重大风险及其风险管理现状,做出有效控制风险的决策;
(五)法律法规、公司章程规定的其他风险管理事项。
董事会下设审计与风险管理委员会,对董事会负责。审计与风险管理委员会履行以下职责:
(一)督导公司风险管理体系的有效运行。
(二)审议公司风险管理年度报告。
(三)批准风险管理规划。
(四)董事会授权的其他风险管理事项。
第十条公司经营班子负责组织全面风险管理体系的日常运行,主要履行以下职责:
(一)审批风险管理考核方案等具体风险管理制度以及风险预警指标的调整。
(二)审议风险管理的基本制度。
(三)审核风险管理总体目标、风险管理策略、风险评估标准和重大风险应对方案。
(四)纠正任何组织或个人超越风险管理制度做出的风险性决定的行为。
(五)根据董事会授权,履行董事会有关风险管理的
-5-相关工作。
(六)执行董事会风险管理相关决议。
第十一条公司董事长是全面风险管理第一责任人,负责组织领导建立健全公司全面风险管理体系。各分管领导具体负责分管领域风险管理工作,督促将风险管理要求融入日常经营管理活动。
第十二条公司设立公司全面风险管理和内部控制委员会(以下称风控委员会,与合规管理委员会合署),风控委员会主任由董事长担任,常务副主任由总裁担任,副主任由公司领导班子成员担任,其他成员包括公司各部室、业务中心负责人,承担风险管理的组织领导和统筹协调工作,定期召开会议,研究风险管理重大事项或提出意见建议,指导、监督和评价风险管理工作。风控委员会的风险管理职责主要包括:
(一)审核风险管理制度。
(二)审核风险管理机构设置方案。
(三)定期召开会议,研究重大违规事项,向董事会提出管理意见或建议。
(四)法律法规或董事会授权的其他管理职责。
(五)经董事会或经理层授权,风控委员会可以审定
年度计划、具体制度等重大事项。
第十三条公司总部各职能部门及业务中心负责本部门
业务领域的全面风险管理工作,部门主要负责人对本部门的-6-风险管理负有主管责任,主要履行以下职责:
(一)贯彻执行公司全面风险管理相关制度,落实董事会及经营班子对公司重大风险管理的意见。
(二)收集本部门业务领域的风险信息,在适当范围内共享或报告风险信息。
(三)定期开展本部门业务领域重大风险的识别、评估,拟订重大风险的管控方案并组织实施。
(四)对本部门业务领域重大风险实施风险预警,对所属企业风险预警事项提出管控建议。
(五)其他涉及本部门业务领域的风险管理事项。
第十四条总部各职能部门及业务中心应当指定一名业
务骨干担任本部门风险管理员,协助部门主要负责人推动本部门风险管理有关工作。风险管理员接受风险管理部门的业务指导和培训,具体组织落实涉及本部门的风险管理工作任务,并反馈工作结果。
总部各职能部门及业务中心可以定期更换部门风险管理员,加大员工在风险管理工作中的参与程度,提升风险管理水平。各部门及业务中心主要负责人在工作考评中要充分考虑风险管理员承担的风险管理职责和履职情况。风险管理员与合规管理员可以由同一人兼任。
第十五条公司证券法务部是公司风险管理部门,接受
风控委员会的业务指导,负责落实公司风险管理工作目标和责任,检查、督促、指导总部各部门和所属企业开展风险管-7-理工作,主要履行以下职责:
(一)组织拟订公司风险管理总体目标、风险管理策略、公司年度风险管理工作计划。
(二)研究拟订公司全面风险管理相关制度,建立风险
评估、预警、管控、考核、报告及应急处理机制。
(三)负责定期组织开展风险信息的收集、分析与评估,动态管理公司风险评估标准和跟踪监控机制,维护更新公司风险管理清单。
(四)对公司在经营中的重大风险及应对进行跟踪监控,提出应对建议和意见,做好日常各类风险的监测。
(五)督促公司总部各部门和所属企业落实重大风险管控措施,指导所属企业重大风险的应对处置和化解工作。
(六)指导所属企业建立和完善全面风险管理组织体系
和相关制度,对所属企业全面风险管理工作开展情况及成效进行监督、考核。
(七)定期分析、总结公司全面风险管理情况,汇总编制公司年度风险管理报告。
(八)负责风险管理信息系统建设,推动风险预警指标
体系建设,提升风险预判能力,实现风险管理信息化。
(九)负责培育公司风险管理文化,组织风险管理知识技能培训和交流活动。
(十)完成公司领导交办的其他风险管理工作。
第十六条公司审计部作为内部审计监督部门,依据公
-8-司内部审计有关制度对公司及所属企业经营管理过程中的
重大风险管理及风险管理体系的有效性实施独立审计监督,督促落实相关问题的整改工作。
公司纪律检查室对违纪违法行为依规依纪依法予以处理。
第十七条所属企业承担本企业全面风险管理主体责任,总经理(企业主要负责人)是全面风险管理第一责任人。所属企业应明确负责全面风险管理工作的归口管理部门,主要履行以下职责:
(一)制定年度全面风险管理工作计划。
(二)建立和完善全面风险管理的组织机构及职责体系,明确组织及人员的风险管理责任。
(三)设立风险管理部门或确定履行全面风险管理职责的部门,配备专职或兼职的风险管理人员。
(四)建立和完善全面风险管理制度和流程体系,制定
符合本企业经营特点的全面风险管理相关文件并有效实施,建立清晰的风险管理工作流程。
(五)建立和完善重大风险评估、风险预警、风险报告、风险考核及应急处理等机制,组织开展全面风险评估或重要业务流程的专项风险评估,制定年度风险管控方案并组织实施。
(六)组织开展本企业全面风险管理相关培训,培育全面风险管理文化。
-9-(七)接受公司有关职能部门的组织、协调、指导和监督,按要求向公司风险管理部门报送风险管理相关报告及报表。
(八)其他本企业全面风险管理事项。
第十八条公司总部各部门应将风险管理要求与本部门
职责融合,以风险为导向,理清部门业务领域的风险管控重点,不断完善本部门和所属企业与本业务条线相关的风险管理和内部控制措施。
第三章工作机制
第十九条公司及所属企业应高度重视风险管理工作,建立覆盖全面、全员、全过程、全体系的风险防控机制,注重风险管理工作与内部控制、合规管理及其它经营管理工作
的全面对接,在基本业务环节识别风险,将风险管理各项要求分解并融入企业经营管理和业务流程全过程。
第二十条公司及所属企业应注重风险管理与内部控制相结合,建立以内控促风控机制。内部控制是全面风险管理的重要组成部分,公司及所属企业要正确认识全面风险管理与内部控制之间的关系,深刻理解风险管理与内部控制是协调统一的整体,二者目标一致,均是为了促进企业实现发展战略。风险管理涵盖了内部控制,内部控制是风险管理的基础和必要环节。风险应对方案或者风险应对措施应从内部控制的角度分析风险管控手段,从而完善业务管理制度和流程,-10-提高企业经营管理水平。
公司及所属企业应当加强对重大风险领域、重要业务领
域的制度管理和流程管控,并逐步推广覆盖至企业全业务、全过程。
建立与实施有效的内部控制,应当从内部环境、风险评估、控制活动、信息与沟通、内部监督等要素展开。公司及所属企业制定内控措施,一般至少包括以下内容:
(一)建立内控岗位授权制度。对内控所涉及的各岗位
明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权做出风险性决定。
(二)建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等。
(三)建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任。
(四)建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约;明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任;将该岗位作为内部审计的重点等。
第二十一条公司建立部门间沟通协同的风险管理联席
-11-会议机制,研究解决风险管理重要事项或需跨部门协调的有关工作。风险管理联席会议可以视情况与合规联席会议合并召开。
第二十二条公司及下属企业应建立健全重大事项的专
项风险评估机制,根据经营及风险管理实际,明确专项风险评估的范围及程序,并开展专项风险评估。针对重大投资项目(含境外投资事项),应充分研究风险应对措施、处置预案,编制专项风险评估报告,作为项目决策的必备支撑材料。
重大事项的风险评估机制,应至少包括以下内容:
(一)评估范围:企业重大(经营)事项决策(如企业改制、改革、改组)、重大项目投资决策(含境外投资事项),以及其他受不确定性因素影响较大的事项。
(二)评估程序:企业应充分研究风险和应对措施、处置预案,制定专项风险评估报告,作为决策的必备支撑材料。
(三)其他要求:对超出企业风险承受能力或风险应对措施不到位的决策事项不得组织实施。
第二十三条公司及所属企业应当建立风险分类和风险台账管理机制。公司及所属企业应当按照战略风险、财务风险、市场风险、运营风险、法律合规风险以及其他风险等风
险分类(详见附件1)梳理排查风险,并将建立风险管理台账的具体职责落实到各有关职能部门和各单位。风险管理台账应实行动态管理,定期进行风险排查,评估新的风险和原有风险化解情况,及时更新台账内容。
-12-风险管理台账包括风险事项台账和风险隐患台账(详见附件2)。
对于风险管理台账中可能涉及的公司重大或较大经营
风险事项,由公司有关领导组织召开会议研究确定风险等级,确定为重大、较大风险事项的,应明确重大或较大经营风险事项的公司督导部门。公司督导部门应对相关企业重大、较大经营风险化解进展、存在的难点和问题以及下一步工作计
划等及时提出督办意见,并反馈给相关企业对应业务条线部门,同时报送公司风险管理部门。
第四章基本流程
第一节风险管理初始信息的识别与收集
第二十四条公司各部门及各所属企业应当广泛、动态、持续地收集风险管理初始信息,包括与本企业风险和风险管理相关的内部和外部、历史数据和未来预测的初始信息。
公司风险管理部门及各所属企业应对收集的风险信息建立风险管理清单或台账。公司各部门及各所属企业对可能超出企业风险容忍度的风险事件,应及时、准确、完整地将相应风险信息报送至公司风险管理部门。
为保障有效履行风险管理职责,及时获取风险相关信息,公司风险管理部门及各所属企业风险管理部门有权了解和
获取有关企业的战略规划、改革发展、经营分析、财务报表、
财务分析、投资分析、审计报告及其他专项报告等相关材料,-13-综合研判风险;查看企业会计账簿、业务台账,现场勘察相关资产,了解业务流程,查阅有关生产经营活动的相关材料或与风险管理相关的系统及数据等,及时收集和掌握企业风险信息。
第二十五条公司各部门及各所属企业应当按照风险分
类的主要风险领域整理汇总收集的风险管理初始信息,为评估风险和制定风险管理策略奠定基础。
公司风险管理部门和所属企业风险管理部门组织对收集的风险信息进行分析汇总。
第二节风险的评估
第二十六条公司各部门及各所属企业应当根据收集的风险管理初始信息和企业各项业务管理及其重要业务流程开展风险评估。
风险评估包括风险辨识、风险分析和风险评价三个步骤。
风险辨识是指查找企业各业务单元、各项重要经营活动及其
重要业务流程中有无风险,有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。
第二十七条公司风险管理部门及各所属企业风险管理
部门应牵头组织列出本企业风险清单,包括但不限于风险编号、风险类别、风险名称、风险描述、风险管理者、风险成
因、风险发生的可能性及风险发生后对企业实现目标的影响-14-程度,根据风险评估标准(包括定性和定量评估标准,详见附件3),开展风险评估。
公司及所属企业以风险评估形成的风险清单为基础建
立风险管理台账,风险管理台账应包括重大风险管理情况。
公司及所属企业根据经营和风险管理的需要确定风险
评估的范围和频次,每年至少应进行一次全面覆盖的风险评估,并适时根据内外部环境变化进行动态调整。
第二十八条公司及所属企业应确定风险发生的可能性
和风险发生后对目标影响程度的定性、定量评估标准。风险发生的可能性通常指风险发生的概率,风险发生后对目标的影响程度通常需要考虑财务、声誉、运营、环境、安全等影响因素。
第二十九条根据风险发生可能性和风险发生后对企业
实现目标的影响程度评定风险等级。在评估多项风险时,应按照风险发生的可能性和风险发生后对目标的影响程度,绘制风险坐标图,对各项风险进行分析和排序,初步确定关注重点和优先控制的风险。
第三节风险的监测与预警
第三十条公司及所属企业应研究建立风险监控指标体系,制定重大风险预警与报告制度,确定风险预警阈值并划分预警区间,分层分级建立预警信息统计、分析和报告机制,对风险管理状况进行实时监控,及时预警。
第三十一条公司总部及所属企业的各部门负责对本部
-15-门风险监控指标进行监测、分析,出现异常或报警信息时,及时向企业领导报告,并向风险管理部门报备。各部门负责本业务领域的监控指标设计、监测实施和报告等工作,风险管理部门负责汇总工作。
第三十二条公司总部及所属企业的各部门根据风险预警结果,在公司重大风险应急处置指导原则下制定应急处置预案,根据实际情况对预案及时调整、优化,做好本部门风险监控指标的监测和相应风险的化解。
第四节风险管理策略的制定
第三十三条公司及所属企业应当制定风险管理策略。
风险管理策略是指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。风险管理策略是制定风险应对方案和措施的导向。
第三十四条风险管理策略的工具,具体包括:
(一)风险承担:指企业对所面临的风险采取接受的态度,从而承担风险带来的后果。
(二)风险规避:指企业回避、停止或退出蕴含某一风
险的商业活动或商业环境,避免成为风险的所有人。
(三)风险转移:指企业通过合同等方式将风险转移到
第三方,企业对转移后的风险不再拥有所有权。
-16-(四)风险转换:指企业通过战略调整、使用衍生品等手段将企业面临的风险转换成另一个风险。
(五)风险对冲:指采取各种手段,引入多个风险因素
或承担多个风险,使得这些风险的影响互相抵销。
(六)风险补偿:指企业对风险可能造成的损失,主动承担并采取适当的措施补偿可能的损失。
(七)风险控制:指控制风险事件发生的动因、环境、条件等,来达到减轻风险事件发生时的损失或降低风险事件发生概率的目的。
第三十五条公司各部门及各所属企业应根据不同业务
特点对评估的一般风险、较大风险、重大风险确定风险偏好
和风险承受度,明确风险的最低限度和不能超过的最高限度,并据此确定风险预警线及对应的风险管理策略。
确定风险偏好和风险承受度,要正确认识和把握风险与收益的平衡,防止为追求收益而忽视风险的观念,纠正不讲条件、范围而片面认为风险越大、收益越高的做法。
第五节风险应对方案的提出与实施
第三十六条公司及所属企业应当根据风险管理策略,针对各类风险或每一项重大风险制定风险应对方案,并组织实施。具体包括:
(一)制定风险应对方案。一般应包括风险应对的目的,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措-17-施;
(二)实施风险应对方案。公司及所属企业按照各部门
职责分工、各单位业务特点,组织实施企业风险应对方案,确保各项措施落实到位。
第三十七条公司及所属企业按照“强内控、防风险、促合规”的管控目标,分类制定风险应对方案,并满足合规的要求。要坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。
第三十八条公司及所属企业按照集团《重大经营风险事件报告和化解工作细则》相关规定,对符合重大经营风险事件情形的,应按照规定程序及时报告。
第三十九条判定重大经营风险是否完成化解和处置应
从风险化解处置(应对)方案制定、风险化解处置措施落实、对重大经营风险化解处置形成的内部决策以及对企业未来生产经营造成不利影响等方面综合衡量。公司重大经营风险的化解和处置完成情况应按相关程序报批。
第六节风险管理的监督与改进
第四十条公司及所属企业以重大风险、重大事件和重
大决策、重要管理及业务流程为重点,对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险应对方案的
-18-实施情况进行监督,采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。
第四十一条公司各部门及所属企业应定期对风险管理
和内部控制工作进行自查和检验,及时发现缺陷并改进,其自查、检验报告应及时报送企业风险管理部门。
公司风险管理部门应定期对各部门和所属企业的风险
管理和内部控制工作实施情况进行监督检查,对风险管理策略进行评估,对跨部门和跨业务单位的风险应对方案进行评价,提出调整或改进建议,并督促落实。
公司审计部应当根据年度审计计划或实际工作需要,对包括风险管理部门在内的各部门和所属企业能否按照有关规定开展风险管理和内部控制工作及其工作效果进行监督评价,此项工作也可结合年度审计、任期审计或专项审计工作一并开展。
第四十二条公司应针对上级部门开展的专项监督检查、审计项目发现的风险管理存在问题,及时制定整改方案,采取得当措施进行整改。同时,以问题为导向,开展举一反三,全面排查,健全风险防范长效机制,做好整改成效运用。
第五章风险管理信息化建设
第四十三条公司将按照信息化建设需求,统一规划、分步实施,建立风险管理信息化平台,逐步实现信息在各部门、-19-所属企业之间的集成与共享,提高风险监控效率和风险预警精确度。
第六章考核及责任追究
第四十四条公司将下属企业的风险管理工作纳入公司绩效考核体系。公司全面风险管理工作考核评价周期与下属企业经营业绩考核周期一致,即以每一公历年为考核期(自每年的1月1日起至12月31日止)。公司对下属企业的风险管理考核评价按照公司风险管理工作考核相关制度执行。
风险管理考核评价内容包括决策层参与风险管理工作情况、
风险管理机构建设情况、风险管理制度和机制建设情况、风险管理工作组织落实情况以及风险管理效果等。
第四十五条考核评价结果运用到下属企业负责人经营业绩考核工作中。下属企业应参照公司风险管理工作考核方式,对所属子企业开展风险管理考核评价。
第四十六条公司对在全面风险管理体系建设和运行中
表现出色、突发风险事件和危机处置得当的组织和个人,在年度评先评优给予考虑。
第四十七条被考核单位考核期出现因失职渎职造成的重大风险事件或突破法律法规和国资监管红线底线等情形的,公司风险管理工作考核评价对其实行“一票否决”。
第四十八条发现下列情形之一的,公司及所属企业对
相关责任人根据集团和公司有关规定追究责任:
-20-(一)因风险管理缺位,未能发现风险,或对已出现的风险知情不报,或对已发生的风险事项怠于处置,导致风险管控机制失效,给公司及所属企业带来较大损失的;
(二)因制度缺失,造成内控流程存在重大缺陷或内部控制不力的;
(三)瞒报、漏报重大风险事件,造成国有资产损失以及其他严重不良后果的。
第七章附则
第四十九条本规定由公司董事会负责解释,授权公司证券法务部负责具体解释。
第五十条本规定自董事会审议通过之日起施行。公司
既有文件、制度与本规定不一致的,以本规定为准。
附件:1.风险分类清单(参考)
2.风险管理台账(参考)
3.风险评估标准与评级
-21-附件1
风险分类清单(参考)一级风险重点关注的二级风险投资风险国际化经营风险宏观经济风险政策风险战略风险改革与业务转型风险科技创新风险战略管理风险公司管控风险其他风险金融(类金融)业务与衍生品交易风险债务风险现金流风险财务风险资金管理风险税务风险会计与报告风险其他风险市场变化和市场竞争风险汇利率风险市场风险客户信用风险品牌声誉风险其他风险经营效益风险人力资源风险
安全生产、质量、环保、稳定风险采购与供应链管理风险运营风险生产管理风险销售风险信息技术风险工程项目管理风险其他风险合同管理风险合规风险法律合规风险诉讼风险其他风险其他风险其他风险
-22-附件2
风险管理台账(参考)
风险事项台账(表一)
填报单位:填报日期:
企业处置工作方案企业处置情况是否完成涉事可能或已造企业风险事项风险情原因处置处置处置序号单位成的损失及处置计划完下一步工作备注名称名称况概述分析工作重点处置责任人联系人联系方式处置进展(是/名称金额措施成时间计划目标难点否)...-23-风险管理台账(参考)
风险隐患台账(表二)
填报单位:填报日期:
责任部门、风险隐患可能造成的风险化解已采取的应对措施企业处置序号当期情况描述原因分析时间期限责任人及联系备注名称损失及影响工作目标及落实情况责任人方式
1
2
3...填表说明:不属于企业风险事项范围但有较大可能转化为风险事项的情形应列入风险隐患台账。
-24-附件3风险评估标准与评级
一、风险评估说明
风险清单中列示的各风险均由一个或多个风险行为体现,任一风险行为发生,则风险发生。风险评估将从每个风险的发生可能性和其一旦发生后对企业实现目标的影响程度这两个方面来进行。
针对每一个风险,分别从上述两个方面进行评估,并给出相应的分值。该风险的综合评分则为其这两方面得分的乘积。即:
风险综合评分=风险发生可能性×风险发生影响程度
风险可能性与影响程度评估时,特征只需符合其中某一项或某几项维度的表现,便适用其对应等级;如其特征符合多个等级特征时,按照就高原则判定等级。
二、风险评估维度风险评估从风险发生可能性和影响程度两个维度进行。
(一)风险发生可能性
风险发生可能性:指某一风险发生的概率。
对风险发生可能性的评估标准如下:
风险发生可能性评估标准(参考)评分12345定性描述低较低中等较高高
内部控制控制有效,几乎控制瑕疵,在极少控制一般,偶尔会控制不足,常常控制缺失,几乎有效性不发生的情况发生发生会发生肯定可以发生
-25-在之后5年内发期间内发生在之后3至5年内可在之后2至3年内在之后1年内可在之后1年内至生的可能少于1频率能发生1次可能发生1次能发生1次少发生1次次
可能性占比10%以下10%(含)-30%30%(含)-70%70%(含)-90%90%(含)以上
(二)风险发生影响程度
风险发生影响程度:指风险行为发生后可能对企业实现目标
产生的影响程度,影响包括对企业人、财、物及持续发展的影响、政治、社会、环境影响等。
对风险发生影响程度的评估标准如下:
风险发生后对目标的影响程度评估标准(参考)评分12345评价内容定性描述小较小中等较大大
1.造成年度1.造成年度税
1.造成年度税
1.造成年度税后净利润后净利润减少1.造成年度
后净利润减少
税后净利润减少100万500万元-税后净利润
10万元-100
减少10万元元-500万元1000万元减少1000万
对税后净利润万元(含)之
(含)以下;(含)之间;(含)之间;或元以上;或2.财务和现金流的不间;或2.对现
或2.对现金或2.对现金2.对现金流产对现金流产利影响金流产生不利流产生不利流产生不利生不利影响生不利影响
影响10万元-
影响10万元影响100万500万元-1000万元以
100万元(含)
(含)以下元-500万元1000万元上之间
(含)之间(含)之间
1.负面消息
影响了上市公司以外的
1.负面消息在1.负面消息其他业务板
1.负面消息在
行业内部或当在某区域流块,政府或监企业声誉基全国各地流
地局部流传;传;或2.对管机构进行
对声誉的影响本没有受损传;或2.对企
或2.对企业声企业声誉造调查,引起公声誉范围和恢复程或媒体的关业声誉造成重
誉造成轻微损成中等损害,众媒体极大度注能够迅速要损害,需要害,需要约3需要约6个关注并呼吁控制约1年时间恢个月时间恢复月时间恢复采取行动;或复声誉
声誉声誉2.对企业声誉造成重大损害,需要1年(含)以上
-26-评分12345评价内容定性描述小较小中等较大大时间恢复声誉
1.对涉及部
门/单位运营1.对涉及部门
1.对涉及部门
目标或业绩/单位运营目1.对涉及部
/单位运营目
指标的达成标或业绩指标门/单位运营标或业绩指标对涉及部门产生的不利的达成产生的目标或业绩的达成产生的
/单位运营影响在3%-不利影响在指标的达成不利影响在
目标或业绩5%(含)之间,5%-10%(含)之产生的不利
1%-3%(含)之
指标的达成影响一部分间,影响大部影响超过间,影响极小对业务能力的产生的不利关键营运目分关键营运目10%,几乎无部分关键营运
运营损失,经营目影响小于1%标或业绩指标或业绩指法达成其重目标或业绩指
标的实现程度(含),对运标;或2.企标;或2.企业要的关键营标;或2.企业营影响微业日常业务日常业务普遍运目标或业日常业务受一弱,未导致受一些影响,影响,造成大绩指标;或2.些影响,造成业务/服务造成少部分部分业务/服造成普遍的
个别业务/服
中断业务/服务中务中断,恢复业务/服务中务中断,但恢断,恢复时间时间大于6个断且恢复时复时间小于3大于3个月月小于1年间大于1年个月(含)
小于6个月(含)
(含)
1.违反法规,
1.违反法规,1.严重违反
导致省级政
1.违反法规,导致中央级政法规,导致监
府的调查和导致地方政府府的调查和诉督机构的调
诉讼、罚款金
的调查和诉讼、罚款金额查,重大的起轻微的违法额100万元-
讼、罚款金额500万元-诉或严重的
违规问题,500万元违法程度和罚小于100万元1000万元集体诉讼、罚
法律法规不会受到监(含)之间;
款金额(含);或2.(含)之间;或款金额1000
管机构罚金或2.商业纠
商业纠纷、诉2.商业纠纷、万元以上;或
处罚纷、诉讼案件
讼案件索赔损诉讼案件索赔2.重大商业索赔损失
失小于100万损失500万元纠纷、诉讼案
100万元-元(含)-1000万元件损失1000
500万元
(含)之间万元以上
(含)之间
-27-评分12345评价内容定性描述小较小中等较大大
1.损害多数
1.损害少数
员工工作积
数量员工工1.损害一定数1.损害大量员
极性并影响1.严重损害作积极性并量员工工作积工工作积极性
其工作效率,整体员工工影响其工作极性并影响其并影响其工作
对企业文化、作积极性,将效率,对企工作效率,对效率,对企业企业凝聚力引发大规模
业文化、企企业文化、企文化、企业凝
产生一定程罢工,或导致业凝聚力产业凝聚力产生聚力产生较大
度的不利影企业文化、企
员工态度、能生轻微的不一些不利影程度的不利影响;或2.核业凝聚力遭
员工力和数量的影利影响;或响;或2.核心响;或2.核心心专业团队受严重破坏;
响2.核心专业专业团队和管专业团队和管
和管理层5%或2.核心专
团队和管理理层1%-5%理层10%以上
以上10%业团队和管
层1%(含)(含)以下的20%(含)以下
(含)以下的理层20%以上
以下的流流失,或5%以的流失,或流失,或10%的流失,或失,或5%上10%(含)以20%以上30%以上20%30%以上普通
(含)以下下普通员工的(含)以下普
(含)以下普员工的流失普通员工的流失通员工的流失通员工的流流失失
造成1人造成3人(含)造成10人
(含)-3人-10人死亡,(含)以上死造成轻伤,造成1人-2人死亡,或者3或者10人亡,或者50或者10万元重伤,或者50人(含)-10(含)-50人人(含)以上发生安全事故
安全与环境(含)-50万万元(含)-100人重伤,或者重伤,或者重伤,或者造成的后果元的直接经万元的直接经100万元1000万元5000万元
济损失济损失(含)-1000(含)-5000(含)以上的万元的直接万元的直接经直接经济损经济损失济损失失
三、风险评级
风险评级是在风险评估的基础上进行的,将风险综合评分对比风险等级分值得出综合风险等级,不同的风险等级需采取不同的行动:
一般风险——风险影响小,发生概率低。不需要对此类风险采取任何正式的措施,但要求基层管理人员在日常操作中对其进-28-行监控。
较大风险——风险影响重大,但发生的可能性中等或者较低。
重大风险——风险影响重大,发生可能性高,需要立即采取行动。
综合风险等级 风险等级分值(R) 描述
一般风险 1≤R<9 风险较小,日常工作中保持关注或忽略较大风险 9≤R<16 风险较大,需要引起关注重大风险 16≤R≤25 风险很大,需要引起高度关注
沪公网安备31011802005267号
