第二條中央企業應結合自身實際執行本指引。中央企業國有獨資公司董事會負責監督本指引的實施;國有控股企業由SASAC和SASAC按照法定程序通過股東會和董事會提名的董事進行監督。
第三條本指引所稱企業風險,是指未來不確定性對企業實現經營目標的影響。企業風險壹般可分為戰略風險、財務風險、市場風險、操作風險、法律風險等。風險也可以分為純風險(只有壹種虧損的可能性)和機會風險(虧損和盈利兩種可能性並存),作為能否給企業帶來利潤的標誌。
第四條本指引所稱全面風險管理,是指企業培育良好的風險管理文化,建立完善的全面風險管理體系,包括風險管理戰略、風險財務管理措施、風險管理組織職能體系、風險管理信息系統和內部控制體系,將風險管理的基本流程落實到企業管理和經營過程的各個環節,為實現風險管理的總體目標提供合理保障的過程和方法。
第五條本指引所稱風險管理的基本流程包括以下主要任務:
(壹)收集風險管理的初始信息;
(2)進行風險評估;
(三)制定風險管理策略;
(4)提出並實施風險管理解決方案;
㈤監督和改進風險管理。
第六條本指引所稱內部控制制度,是指圍繞風險管理的戰略目標,針對企業戰略、規劃、產品研發、投融資、市場運作、財務、內部審計、法務、人力資源、采購、加工制造、銷售、物流、質量、安全生產、環境保護等各項業務管理和重要業務流程,通過實施基本的風險管理流程而制定和實施的規則、制度、程序和措施。
第七條企業開展全面風險管理應當努力實現以下風險管理總體目標:
(壹)確保風險控制在與總體目標相適應和可容忍的範圍內;
(二)確保內部與外部,特別是企業與股東之間實現真實可靠的信息溝通,包括編制和提供真實可靠的財務報告;
(三)確保遵守相關法律法規;
(四)保證企業有關規章制度和為實現經營目標所采取的重大措施的實施,保證經營管理的有效性,提高經營活動的效率和效果,減少實現經營目標的不確定性;
(五)確保企業針對所有重大風險建立危機管理計劃,保護企業不因巨災風險或人為失誤而遭受重大損失。
第八條企業應當重視對可能給企業造成損失和危害的風險的防範和控制,也應當將機會風險作為企業的特殊資源,通過對其管理,為企業創造價值,促進經營目標的實現。
第九條企業應當本著從實際出發、講求實效的原則,以重大風險和事件(指重大風險發生後的事實)的管理和重要過程的內部控制為重點,積極開展全面風險管理。有條件的企業要全面推進,盡快建立全面風險管理體系;其他企業應制定實施全面風險管理的總體方案,並分步實施。首先,他們可以選擇發展戰略、投資收購、財務報告、內部審計、衍生產品交易、法律事務、安全生產、應收賬款管理等壹項或多項業務。進行風險管理,並建立壹個或多個內部控制子系統。通過積累經驗和培養人才,逐步建立和完善全面風險管理體系。
第十條企業開展全面風險管理應當與其他管理工作緊密結合,將風險管理的要求融入企業管理和業務流程。有條件的企業可以建立風險管理的三道防線,即各相關職能部門和業務單元為第壹道防線;董事會下設的風險管理職能部門和風險管理委員會是第二道防線;內部審計部門和董事會下設的審計委員會是第三道防線。第十壹條實施全面風險管理,企業應當廣泛、持續地收集與企業風險和風險管理相關的內外部初始信息,包括歷史數據和未來預測。收集初始信息的職責分工應落實到所有相關職能部門和業務單位。
第十二條在戰略風險方面,企業應當廣泛收集國內外企業戰略風險失控的案例,至少收集以下與企業相關的重要信息:
(壹)國內外宏觀經濟政策和經濟運行情況,行業狀況,國家產業政策;
(二)科技進步和技術創新的相關內容;
(三)企業產品或服務的市場需求;
(四)與企業戰略夥伴的關系,未來尋求戰略夥伴的可能性;
(五)企業主要客戶、供應商和競爭對手的情況;
(六)與主要競爭對手相比,企業的實力和差距;
(七)企業發展戰略和規劃、投融資計劃、年度經營目標、經營戰略,以及編制這些戰略、規劃、計劃和目標的相關依據;
(八)企業對外投融資過程中已經發生或容易發生錯誤的業務流程或環節。
第十三條在財務風險方面,企業應廣泛收集國內外企業財務風險失控引發的危機案例,至少應收集企業的以下重要信息(如有行業平均指標或先進指標,也應盡可能收集):
(壹)負債、或有負債、負債率和償債能力;
(二)現金流量、應收賬款及其在銷售收入中的比例、資金周轉率;
(3)產品存貨及其占銷售成本的比例、應付賬款及其占采購金額的比例;
(四)制造費用和管理費用、財務費用和營業費用;
(5)盈利能力;
(6)在成本核算、資金結算、現金管理等方面已經發生或容易發生錯誤的業務流程或環節;
(7)與企業相關的行業會計政策、會計估計、與國際會計制度的差異及調整情況(如養老金、遞延所得稅等)。
第十四條在市場風險方面,企業應廣泛收集國內外企業忽視市場風險、缺乏應對措施導致企業損失的案例,至少收集以下與企業相關的重要信息:
(壹)產品或服務的價格及供求變化;
(二)能源、原材料、配件等物資的充足性、穩定性和價格變動情況;
(3)主要客戶和供應商的信用狀況;
(四)稅收政策和利率、匯率、股票價格指數的變化;
(五)潛在競爭對手、競爭對手及其主要產品和替代品。
第十五條就操作風險而言,企業至少應收集以下與本企業和本行業相關的信息:
(壹)產品結構、新產品開發;
(二)新的市場開發、營銷策略,包括產品或服務定價和銷售渠道、營銷環境等;
(3)重要業務流程中高中級管理人員和專業人員的組織效率、管理狀況、企業文化、知識結構和專業經驗;
(四)期貨等衍生品業務中已經發生或者容易發生差錯的流程和環節;
(五)在質量、安全、環保和信息安全管理方面已經發生或者容易發生錯誤的業務流程或者環節;
(六)因企業內外部人員道德風險導致企業遭受損失或業務控制系統失效;
(七)給企業造成損失的自然災害及除上述相關情形以外的其他純風險;
(八)監督、評估和持續改進現有業務流程和信息系統運行的能力;
(九)企業風險管理的現狀和能力。
第十六條在法律風險方面,企業應廣泛收集國內外企業忽視法律法規風險、缺乏應對措施導致企業遭受損失的案例,至少收集以下與企業相關的信息:
(a)與企業有關的國內和國際政治和法律環境;
(2)影響企業的新法律、法規和政策;
(3)遵守員工道德規範;
(四)企業簽訂的主要協議和相關貿易合同;
(五)企業發生重大法律糾紛的情況;
(六)企業和競爭對手的知識產權。
第十七條企業應當對收集的初始信息進行篩選、提煉、比較、分類和組合,以開展風險評估。第十八條企業應當對收集的風險管理初始信息、企業各項業務管理和重要業務流程進行風險評估。風險評估包括三個步驟:風險識別、風險分析和風險評估。
第十九條風險評估應當由企業相關職能部門和業務單位進行,也可以聘請有資質、信譽好的專業風險管理機構協助實施。
第二十條風險識別,是指查明企業所有業務單元、重要業務活動和重要業務流程是否存在風險,存在哪些風險。風險分析是明確定義和描述已識別的風險及其特征,分析和描述風險發生的可能性和條件。風險評價是評價風險對企業目標實現的影響和風險的價值。
第二十壹條風險識別、分析和評估應當采用定性和定量相結合的方法。可以采用問卷調查、集體討論、專家咨詢、情景分析、政策分析、行業對標比較、管理層訪談、專人主持工作訪談、調查等定性方法。定量方法可以是統計推斷(如集中趨勢法)、計算機模擬(如蒙特卡羅分析法)、失效模式及影響分析、事件樹分析等。
第二十二條進行量化風險評估時,應當統壹制定各項風險的計量單位和風險計量模型,並通過測試等方法確保評估體系的假設、參數、數據來源和量化評估程序的合理性和準確性。應根據環境的變化,定期對假設和參數進行回顧和修正,並將定量評價體系的估計結果與實際結果進行比較,從而相應地調整和改進相關參數。
第二十三條風險分析應當包括分析風險之間的關系,以發現風險之間的自然對沖、風險事件的正相關和負相關等綜合效應,從風險策略上對風險進行統壹集中管理。
第二十四條企業在評估多種風險時,應當根據對風險發生的可能性和對目標的影響程度的評估,繪制風險坐標圖,比較各種風險,初步確定每種風險的管理重點和策略。
第二十五條企業應當對風險管理信息實行動態管理,定期或不定期地進行風險識別、分析和評估,對新的風險和現有風險的變化進行重新評估。第二十六條本指引所稱風險管理戰略,是指企業根據自身條件和外部環境,確定風險偏好、風險容忍度和風險管理有效性標準,選擇風險承擔、風險規避、風險轉移、風險轉換、風險對沖、風險補償和風險控制等適當的風險管理工具,確定風險管理所需人力和財力資源配置原則的總體戰略。
第二十七條對於戰略風險、財務風險、操作風險和法律風險,壹般可以采用承擔風險、規避風險、轉換風險和控制風險等方法。對於可以通過保險、期貨、套期保值等金融手段管理的風險,可以采取風險轉移、風險對沖、風險補償等方法。
第二十八條企業應當根據不同的業務特征,統壹確定風險偏好和風險容忍度,即企業願意承擔哪些風險,明確不能超過的風險最低限額和最高限額,並據此確定風險預警線和相應的應對措施。確定風險偏好和風險承受能力,要正確認識和把握風險與收益的平衡,防止和糾正忽視風險、片面追求收益而不講條件和範圍、認為風險越大收益越高的觀念和做法;同時,也要防止單純為了規避風險而放棄發展機遇。
第二十九條企業應當根據風險與收益平衡的原則以及各項風險在風險坐標圖上的位置,進壹步確定風險管理的最優順序,明確風險管理成本的資金預算以及風險控制組織體系、人力資源和對策的總體安排。
第三十條企業應當定期總結和分析既定風險管理策略的有效性和合理性,並結合實際情況不斷修訂和完善。其中,要重點檢查按照風險偏好、風險承受能力、風險控制預警線實施的結果是否有效,並提出定性或定量的有效性標準。第三十壹條企業應當根據風險管理戰略,針對各類風險或者各主要風險制定風險管理方案。通常,該計劃應包括風險解決的具體目標、所需的組織領導、涉及的管理和業務流程、所需的條件和手段等資源、風險事件發生前、發生中和發生後采取的具體應對措施以及風險管理工具(如關鍵風險指標管理和損失事件管理)。
第三十二條企業應當關註成本與收入的平衡、外包工作的質量、自身商業秘密的保護以及防範對風險化解外包的依賴,並制定相應的防控措施。
第三十三條企業制定風險化解內部控制計劃,應當符合合規要求,堅持經營戰略與風險戰略壹致、風險控制與運營效率和效果平衡的原則,針對重大風險涉及的所有管理和業務流程,制定覆蓋各個環節的全流程控制措施;對於涉及其他風險的業務流程,要以關鍵環節為控制點,采取相應的控制措施。
第三十四條企業應當制定內部控制措施,壹般至少包括以下內容:
(壹)建立內部控制崗位授權制度。明確界定內部控制涉及的各崗位的授權對象、條件、範圍和金額,任何組織和個人不得超越授權做出風險決策;
(2)建立內部控制報告制度。明確規定舉報人和接收人、舉報的時間、內容、頻率、傳播途徑、負責處理舉報的部門和人員等。;
(3)建立內部控制審批制度。對於涉及內部控制的重要事項,明確規定審批程序、條件、範圍和額度、必要的文件、有權審批的部門和人員及其相應的責任;
(4)建立內部控制責任制。按照權利、義務和責任相統壹的原則,明確規定各相關部門和業務單位、崗位和人員的職責和獎懲制度;
㈤建立內部控制審計檢查制度。結合內部控制的相關要求、方法、標準和流程,明確規定審計檢查的對象、內容、方法和負責部門;
(六)建立內部控制評價體系。有條件的企業應將各業務單元風險管理落實情況與績效薪酬掛鉤;
(七)建立重大風險預警系統。持續監控重大風險,及時發布預警信息,制定應急預案,根據形勢變化調整控制措施;
(八)建立和完善以總法律顧問制度為核心的企業法律顧問制度。大力加強企業法律風險防範機制建設,形成由企業決策者主導、企業總法律顧問主導、企業法律顧問提供、全體員工參與的法律風險責任體系。完善企業重大法律糾紛備案管理制度;
(九)建立重要崗位的權力制衡制度,明確規定不相容職責的分離。主要包括:授權審批、業務辦理、會計記錄、財產保管、審計檢查。涉及內部控制的重要崗位可設置壹崗兩人、兩職兩責,相互制約;明確本崗位的上級部門或人員應采取的監督措施和責任;把這個崗位作為內審的重點等。
第三十五條企業應當按照相關部門和業務單位的職責分工,認真組織實施風險管理方案,確保各項措施落實到位。第三十六條企業應當關註重大風險、重大事件和重大決策、重要管理和業務流程,監督風險管理的初始信息、風險評估、風險管理策略、關鍵控制活動和風險管理解決方案的執行情況,通過壓力測試、回報測試、走查測試和風險控制自我評估等方式測試風險管理的有效性,並根據變化和存在的缺陷及時改進。
第三十七條企業應當建立貫穿風險管理全過程、連接各級、各部門、各業務單元的風險管理信息溝通渠道,確保信息溝通及時、準確、完整,為風險管理監督和改進奠定基礎。
第三十八條企業各相關部門和業務單位應定期對風險管理進行自查和檢查,及時發現缺陷並進行改進,檢查和檢查報告應及時報送企業風險管理職能部門。
第三十九條企業風險管理職能部門應當定期檢查和測試各部門、各業務單元風險管理的執行情況和有效性,按照本指引第三十條的要求評估風險管理策略,評估跨部門、跨業務單元的風險管理方案,提出調整或改進建議,出具評估和建議報告,並及時報送企業總經理或其委托的負責風險管理的高級管理人員。
第四十條企業內部審計部門應當至少每年壹次對包括風險管理職能部門在內的所有相關部門和業務單位是否能夠按照相關規定開展風險管理工作及其工作效果進行監督和評估,監督和評估報告應當直接提交董事會或董事會下設的風險管理委員會和審計委員會。這項工作也可以與年度審計、任期審計或專項審計結合進行。
第四十壹條企業可以聘請有資質、信譽好、風險管理專業能力強的中介機構對企業的全面風險管理進行評估,並出具風險管理評估和建議的專項報告。報告壹般應包括以下幾個方面的實施情況、存在的缺陷和改進建議:
(壹)風險管理的基本流程和風險管理策略;
(2)企業重大風險、重大事件和重要管理的風險管理和內部控制制度建設情況;
(三)風險管理組織體系和信息系統;
(4)全面風險管理的總體目標。第四十二條企業應當建立健全風險管理組織體系,主要包括規範的公司治理結構、風險管理職能部門、內部審計部門和法律事務部門的組織領導以及其他相關職能部門和業務單位及其職責。
第四十三條企業應當建立健全規範的法人治理結構,股東(股東)大會(國有獨資公司或企業,即國資委,下同)、董事會、監事會和經理層依法履行職責,形成運轉高效、有效制衡的監督約束機制。
第四十四條國有獨資公司、國有控股公司應當建立外部董事和獨立董事制度,外部董事和獨立董事的人數應當超過董事會全體成員的壹半,確保董事會在重大決策和重大風險管理中能夠獨立於經理層做出判斷和選擇。
第四十五條董事會應對全面風險管理的有效性向股東大會負責。董事會在全面風險管理中主要履行以下職責:
(壹)審議並向股東(大)會提交企業全面風險管理年度工作報告;
(二)確定企業風險管理的總體目標、風險偏好和風險容忍度,批準風險管理策略和重大風險管理方案;
(三)了解和掌握企業面臨的主要風險及其風險管理狀況,並做出決策有效控制風險;
(四)批準重大決策、重大風險、重大事件和重要業務流程的判斷標準或判斷機制;
(五)批準重大決策的風險評估報告;
(六)批準內部審計部門提交的風險管理監督評價審計報告;
(七)批準設立風險管理組織及其責任計劃;
(八)批準風險管理措施,糾正和處理任何組織或個人在風險管理體系之外做出的風險決策;
(九)監督企業風險管理文化的培育;
(十)全面風險管理的其他重大事項。
第四十六條具備條件的企業,董事會可以設立風險管理委員會。委員會召集人由不兼任總經理的董事長擔任;董事長兼任總經理的,召集人應當是外部董事或者獨立董事。委員會成員應包括熟悉企業重要管理和業務流程的董事,以及具備風險管理和監管知識或經驗並具備壹定法律知識的董事。
第四十七條風險管理委員會對董事會負責,主要履行以下職責:
(壹)提交全面風險管理年度報告。
(二)審查風險管理策略和主要風險管理解決方案;
(三)審查判斷重大決策、重大風險、重大事件和重要業務流程的標準或機制,以及重大決策的風險評估報告;
(四)審閱內部審計部門提交的風險管理監督、評估和審計綜合報告;
(五)審查風險管理的組織架構和責任計劃。
(六)辦理董事會授權的與全面風險管理相關的其他事項。
第四十八條企業總經理應當就全面風險管理的有效性向董事會負責。總經理或總經理委托的高級管理人員負責主持全面風險管理的日常工作,組織制定企業風險管理組織機構及其責任計劃。
第四十九條企業應當設立專職部門或者確定相關職能部門履行全面風險管理職責。該部門對總經理或其委托的高級管理人員負責,主要履行以下職責:
(壹)研究並提出全面風險管理報告;
(二)研究提出跨職能部門的重大決策、重大風險、重大事件和重要業務流程的判斷標準或判斷機制;
(三)研究提出跨職能部門重大決策的風險評估報告;
(四)研究提出跨職能部門的風險管理策略和重大風險管理方案,負責方案的組織實施和風險的日常監控;
(五)負責全面風險管理的有效性評估,研究並提出全面風險管理的改進方案;
(六)負責組織建立風險管理信息系統;
(七)負責組織協調全面風險管理的日常工作;
(八)負責指導和監督相關職能部門、業務單位和全資、控股子公司開展全面風險管理;
(九)辦理風險管理的其他相關工作。
第五十條企業應當在董事會下設審計委員會,審計委員會由企業內部審計部門負責。審計委員會和內部審計部門的職責應符合《中央企業內部審計管理暫行辦法》(國資委令第8號)的相關規定。在風險管理方面,內審部主要負責研究提出全面風險管理監督評價體系,制定相關監督評價制度,開展監督評價,出具監督評價審計報告。
第五十壹條企業其他職能部門和業務單元應接受風險管理職能部門和內部審計部門在全面風險管理工作中的組織、協調、指導和監督,主要履行以下職責:
(壹)實施風險管理的基本流程;
(二)研究提出本職能部門或業務單位重大決策、重大風險、重大事件和重要業務流程的判斷標準或判斷機制;
(三)研究提出本職能部門或業務單位的重大決策風險評估報告;
(四)做好本職能部門或業務單位風險管理信息系統的建立工作;
(5)做好風險管理文化的培育工作;
(六)建立健全本職能部門或業務單位風險管理內部控制子系統;
(七)辦理風險管理的其他相關工作。
第五十二條企業應當通過法定程序,引導和監督全資、控股子公司建立適合本企業或者符合全資、控股子公司特點並能發揮有效作用的風險管理組織體系。第五十三條企業應當將信息技術應用於風險管理的各個環節,建立涵蓋風險管理基本流程和內部控制體系各個方面的風險管理信息系統,包括信息收集、存儲、處理、分析、測試、傳遞、報告和披露。
第五十四條企業應當采取措施,確保輸入風險管理信息系統的業務數據和風險量化值的壹致性、準確性、及時性、可用性和完整性。未經批準,不得更改輸入信息系統的數據。
第五十五條風險管理信息系統應當能夠計量、定量分析和定量測試各類風險。能夠實時反映風險矩陣和排序譜、重大風險和重要業務流程的監控狀況;能夠對超過風險預警上限的重大風險進行信息預警;能夠滿足風險管理內部信息報告制度和企業外部信息披露管理制度的要求。
第五十六條風險管理信息系統應實現各職能部門和業務單元之間的信息整合和共享,既能滿足單個業務風險管理的要求,又能滿足企業整體和跨職能部門和業務單元的綜合要求。
第五十七條企業應當確保風險管理信息系統的穩定運行和安全,並根據實際需要不斷改進、完善或更新。
第五十八條已經建立或者基本建立企業管理信息系統的企業,應當補充、調整和更新現有管理流程和程序,建立完善的風險管理信息系統;如果尚未建立企業管理信息系統,風險管理應與企業的各項管理業務流程和管理軟件同步規劃、設計、實施和運行。第五十九條企業應當註重建設具有風險意識的企業文化,促進企業風險管理水平和員工風險管理素質的提高,確保企業風險管理目標的實現。
第六十條風險管理文化建設應當融入企業文化建設的全過程。大力培育和塑造良好的風險管理文化,樹立正確的風險管理理念,增強員工的風險管理意識,將風險管理意識轉化為員工的共同認識和自覺行動,促進企業建立系統、規範、高效的風險管理機制。
第六十壹條企業應當在內部各個層面營造風險管理文化氛圍。董事會應高度重視風險管理文化的培育,總經理負責風險管理文化培育的日常工作。董事和高級管理人員應在培養風險管理文化方面發揮表率作用。重要管理和業務流程及風險控制點的管理人員和業務操作人員應成為培育風險管理文化的中堅力量。
第六十二條企業應當大力加強員工法律素質教育,制定員工道德操守標準,形成人人講道德操守、合法合規經營的風險管理文化。企業要嚴肅查處違反國家法律法規和企業規章制度、弄虛作假、徇私舞弊等違法行為和違反道德操守標準的行為。
第六十三條企業全體員工特別是各級管理人員和經營管理者,應當努力通過多種形式傳播企業風險管理文化,牢固樹立風險無處不在、風險無時不在、純風險防控嚴密、機會風險處置審慎、崗位風險管理責任重大的意識和理念。
第六十四條風險管理文化建設應當與薪酬制度、人事制度相結合,有利於增強各級管理人員特別是高級管理人員的風險意識,防止盲目擴張、片面追求業績、忽視風險。
第六十五條企業應當建立重要管理和業務流程、風險控制點的管理人員和業務操作人員崗前風險管理培訓制度。采取多種方式和形式,加強風險管理理念、知識、流程和控制核心內容的培訓,培養風險管理人才,培育風險管理文化。第六十六條中央企業中不設董事會的國有獨資企業,由經理辦公會議履行董事會在本指引中的職責,總經理負責本指引的實施。
第六十七條本指引中關於中央企業投資、財務報告和衍生產品交易風險管理的配套文件另行下發。
第六十八條本指南附錄對本指南涉及的相關技術方法和技術術語進行了解釋。
第六十九條本指引由國務院國有資產監督管理委員會負責解釋。
第七十條本指引自發布之日起施行。