【集合】关于印发中央企业全面风险管理指引的通知-国务院国有资产监督管理委员会
发布时间:
有资监督管理委员会文件
资发改革2006108号 关于印发企业全面风险管理指引的通知 各企业 企业全面风险管理是一项十分重要的工作,关系到有资保值增值和企业持续健康稳定发展。为了指导企业开展全面风险管理工作,进一步提高企业管理水,增强企业竞争力,促进企业稳步发展,我们制定了企业全面风险管理指引,现印发你们,请结合本企业实际执行。企业在实施过程的经验做法及遇到的问题,请及时反馈我委。 有资监督管理委员会 二○○六年六月六日 企业全面风险管理指引 第一章 总则 第一条 为指导有资监督管理委员会以下简称资委履行出资人职责的企业以下简称企业开展全面风险管理工作,增强企业竞争力,提高投资回报,促进企业持续健康稳定发展,根据华人民和公司法企业有资监督管理暂行条例等法律法规,制定本指引。 第二条 企业根据自身实际情况贯彻执行本指引。企业的有独资公司董事会负责督导本指引的实施;有控股企业由资委和资委提名的董事通过股大会和董事会按照法定程序负责督导本指引的实施。 第三条 本指引所称企业风险,指未的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险财风险市场风险运营风险法律风险等;也可以能否为企业带盈利等机会为标志,将风险分为纯粹风险只有带损失一种可能性和机会风险带损失和盈利的可能性并存。 第四条 本指引所称全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略风险理财措施风险管理的组织职能体系风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。 第五条 本指引所称风险管理基本流程包括以下主要工作 一收集风险管理初始信息; 二进行风险评估; 三制定风险管理策略; 四提出和实施风险管理解决方案; 五风险管理的监督与改进。 第六条 本指引所称内部控制系统,指围绕风险管理策略目标,针对企业战略规划品研发投融资市场运营财内部审计法律事人力资源采购加工制造销售物流质量安全生环境保护等各项业管理及其重要业流程,通过执行风险管理基本流程,制定并执行的规章制度程序和措施。 第七条 企业开展全面风险管理要努力实现以下风险管理总体目标 一确保将风险控制在与总体目标相适应并可承受的范围内; 二确保内外部,尤其是企业与股之间实现真实可靠的信息沟通,包括编制和提供真实可靠的财报告; 三确保遵守有关法律法规; 四确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性; 五确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。 第八条 企业开展全面风险管理工作,应注重防范和控制风险可能给企业造成损失和危害,也应把机会风险视为企业的特殊资源,通过对其管理,为企业创造价值,促进经营目标的实现。 第九条 企业应本着从实际出发,求实效的原则,以对重大风险重大事件指重大风险发生后的事实的管理和重要流程的内部控制为重点,积极开展全面风险管理工作。具备条件的企业应全面推进,尽快建立全面风险管理体系;其他企业应制定开展全面风险管理的总体规划,分步实施,可先选择发展战略投资收购财报告内部审计衍生品交易法律事安全生应收账款管理等一项或多项业开展风险管理工作,建立单项或多项内部控制子系统。通过积累经验,培养人才,逐步建立健全全面风险管理体系。 第十条 企业开展全面风险管理工作应与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业流程。具备条件的企业可建立风险管理三道防线,即各有关职能部门和业单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。 第二章 风险管理初始信息 第十一条 实施全面风险管理,企业应广泛持续不断地收集与本企业风险和风险管理相关的内部外部初始信息,包括历史数据和未预测。应把收集初始信息的职责分工落实到各有关职能部门和业单位。 第十二条 在战略风险方面,企业应广泛收集内外企业战略风险失控导致企业蒙受损失的案例,并至少收集与本企业相关的以下重要信息 一内外宏观经济政策以及经济运行情况本行业状况家业政策; 二科技进步技术创新的有关内容; 三市场对本企业品或服的需求; 四与企业战略合作伙伴的关系,未寻求战略合作伙伴的可能性; 五本企业主要客户供应商及竞争对手的有关情况; 六与主要竞争对手相比,本企业实力与差距; 七本企业发展战略和规划投融资计划年度经营目标经营战略,以及编制这些战略规划计划目标的有关依据; 八本企业对外投融资流程曾发生或易发生错误的业流程或环节。 第十三条 在财风险方面,企业应广泛收集内外企业财风险失控导致危机的案例,并至少收集本企业的以下重要信息其有行业均指标或先进指标的,也应尽可能收集 一负债或有负债负债率偿债能力; 二现金流应收账款及其占销售收入的比重资金转率; 三品存货及其占销售成本的比重应付账款及其占购货额的比重; 四制造成本和管理费用财费用营业费用; 五盈利能力; 六成本核算资金结算和现金管理业曾发生或易发生错误的业流程或环节; 七与本企业相关的行业会计政策会计估算与际会计制度的差异与调节如退休金递延税项等等信息。 第十四条 在市场风险方面,企业应广泛收集内外企业忽视市场风险缺乏应对措施导致企业蒙受损失的案例,并至少收集与本企业相关的以下重要信息 一品或服的价格及供需变化; 二能源原材料配件等物资供应的充足性稳定性和价格变化; 三主要客户主要供应商的信用情况; 四税收政策和利率汇率股票价格指数的变化; 五潜在竞争者竞争者及其主要品替代品情况。 第十五条 在运营风险方面,企业应至少收集与本企业本行业相关的以下信息 一品结构新品研发; 二新市场开发,市场营销策略,包括品或服定价与销售渠道,市场营销环境状况等; 三企业组织效能管理现状企业文化,高层管理人员和重要业流程专业人员的知识结构专业经验; 四期货等衍生品业曾发生或易发生失误的流程和环节; 五质量安全环保信息安全等管理曾发生或易发生失误的业流程或环节; 六因企业内外部人员的道德风险致使企业遭受损失或业控制系统失灵; 七给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险; 八对现有业流程和信息系统操作运行情况的监管运行评价及持续改进能力; 九企业风险管理的现状和能力。 第十六条 在法律风险方面,企业应广泛收集内外企业忽视法律法规风险缺乏应对措施导致企业蒙受损失的案例,并至少收集与本企业相关的以下信息 一内外与本企业相关的政治法律环境; 二影响企业的新法律法规和政策; 三员工道德操守的遵从性; 四本企业签订的重大协议和有关贸易合同; 五本企业发生重大法律纠纷案件的情况; 六企业和竞争对手的知识权情况。 第十七条 企业对收集的初始信息应进行必要的筛选提炼对比分类组合,以便进行风险评估。 第三章 风险评估 第十八条 企业应对收集的风险管理初始信息和企业各项业管理及其重要业流程进行风险评估。风险评估包括风险辨识风险分析风险评价三个步骤。 第十九条 风险评估应由企业组织有关职能部门和业单位实施,也可聘请有资质信誉好风险管理专业能力强的介机构协助实施。 第二十条 风险辨识是指查找企业各业单元各项重要经营活动及其重要业流程有无风险,有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低风险发生的条件。风险评价是评估风险对企业实现目标的影响程度风险的价值等。 第二十一条 进行风险辨识分析评价,应将定性与定量方法相结合。定性方法可采用问卷调查集体讨论专家咨询情景分析政策分析行业标杆比较管理层访谈由专人主持的工作访谈和调查研究等。定量方法可采用统计推论如集趋势法计算机模拟如蒙特卡罗分析法失效模式与影响分析事件树分析等。 第二十二条 进行风险定量评估时,应统一制定各风险的度量单位和风险度量模型,并通过测试等方法,确保评估系统的假设前提参数数据源和定量评估程序的合理性和准确性。要根据环境的变化,定期对假设前提和参数进行复核和修改,并将定量评估系统的估算结果与实际效果对比,据此对有关参数进行调整和改进。 第二十三条 风险分析应包括风险之间的关系分析,以便发现各风险之间的自然对冲风险事件发生的正负相关性等组合效应,从风险策略上对风险进行统一集管理。 第二十四条 企业在评估多项风险时,应根据对风险发生可能性的高低和对目标的影响程度的评估,绘制风险坐标图,对各项风险进行比较,初步确定对各项风险的管理优先顺序和策略。 第二十五条 企业应对风险管理信息实行动态管理,定期或不定期实施风险辨识分析评价,以便对新的风险和原有风险的变化重新评估。 第四章 风险管理策略 第二十六条 本指引所称风险管理策略,指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好风险承受度风险管理有效性标准,选择风险承担风险规避风险转移风险转换风险对冲风险补偿风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。 第二十七条 一般情况下,对战略财运营和法律风险,可采取风险承担风险规避风险转换风险控制等方法。对能够通过保险期货对冲等金融手段进行理财的风险,可以采用风险转移风险对冲风险补偿等方法。 第二十八条 企业应根据不同业特点统一确定风险偏好和风险承受度,即企业愿意承担哪些风险,明确风险的最低限度和不能超过的最高限度,并据此确定风险的预警线及相应采取的对策。确定风险偏好和风险承受度,要正确认识和把握风险与收益的衡,防止和纠正忽视风险,片面追求收益而不讲条件范围,认为风险越大收益越高的观念和做法;同时,也要防止单纯为规避风险而放弃发展机遇。 第二十九条 企业应根据风险与收益相衡的原则以及各风险在风险坐标图上的位置,进一步确定风险管理的优选顺序,明确风险管理成本的资金预算和控制风险的组织体系人力资源应对措施等总体安排。 第三十条 企业应定期总结和分析已制定的风险管理策略的有效性和合理性,结合实际不断修订和完善。其,应重点检查依据风险偏好风险承受度和风险控制预警线实施的结果是否有效,并提出定性或定量的有效性标准。 第五章 风险管理解决方案 第三十一条 企业应根据风险管理策略,针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标,所需的组织领导,所涉及的管理及业流程,所需的条件手段等资源,风险事件发生前后所采取的具体应对措施以及风险管理工具如关键风险指标管理损失事件管理等。 第三十二条 企业制定风险管理解决的外包方案,应注重成本与收益的衡外包工作的质量自身商业秘密的保护以及防止自身对风险解决外包生依赖性风险等,并制定相应的预防和控制措施。 第三十三条 企业制定风险解决的内控方案,应满足合规的要求,坚持经营战略与风险策略一致风险控制与运营效率及效果相衡的原则,针对重大风险所涉及的各管理及业流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业流程,要把关键环节作为控制点,采取相应的控制措施。 第三十四条 企业制定内控措施,一般至少包括以下内容 一建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象条件范围和额度等,任何组织和个人不得超越授权做出风险性决定; 二建立内控报告制度。明确规定报告人与接受报告人,报告的时间内容频率传递路线负责处理报告的部门和人员等; 三建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序条件范围和额度必备文件以及有权批准的部门和人员及其相应责任; 四建立内控责任制度。按照权利义和责任相统一的原则,明确规定各有关部门和业单位岗位人员应负的责任和奖惩制度; 五建立内控审计检查制度。结合内控的有关要求方法标准与流程,明确规定审计检查的对象内容方式和负责审计检查的部门等; 六建立内控考核评价制度。具备条件的企业应把各业单位风险管理执行情况与绩效薪酬挂钩; 七建立重大风险预警制度。对重大风险进行持续不断的监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施; 八建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设,形成由企业决策层主导企业总法律顾问牵头企业法律顾问提供业保障全体员工同参与的法律风险责任体系。完善企业重大法律纠纷案件的备案管理制度; 九建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括授权批准业经办会计记录财保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人双职双责,相互制约;明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任;将该岗位作为内部审计的重点等。 第三十五条 企业应当按照各有关部门和业单位的职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。 第六章 风险管理的监督与改进 第三十六条 企业应以重大风险重大事件和重大决策重要管理及业流程为重点,对风险管理初始信息风险评估风险管理策略关键控制活动及风险管理解决方案的实施情况进行监督,采用压力测试返回测试穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。 第三十七条 企业应建立贯穿于整个风险管理基本流程,连接各上下级各部门和业单位的风险管理信息沟通渠道,确保信息沟通的及时准确完整,为风险管理监督与改进奠定基础。 第三十八条 企业各有关部门和业单位应定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查检验报告应及时报送企业风险管理职能部门。 第三十九条 企业风险管理职能部门应定期对各部门和业单位风险管理工作实施情况和有效性进行检查和检验,要根据本指引第三十条要求对风险管理策略进行评估,对跨部门和业单位的风险管理解决方案进行评价,提出调整或改进建议,出具评价和建议报告,及时报送企业总经理或其委托分管风险管理工作的高级管理人员。 第四十条 企业内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价,监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。此项工作也可结合年度审计任期审计或专项审计工作一并开展。 第四十一条 企业可聘请有资质信誉好风险管理专业能力强的介机构对企业全面风险管理工作进行评价,出具风险管理评估和建议专项报告。报告一般应包括以下几方面的实施情况存在缺陷和改进建议 一风险管理基本流程与风险管理策略; 二企业重大风险重大事件和重要管理及业流程的风险管理及内部控制系统的建设; 三风险管理组织体系与信息系统; 四全面风险管理总体目标。 第七章 风险管理组织体系 第四十二条 企业应建立健全风险管理组织体系,主要包括规范的公司法人治理结构,风险管理职能部门内部审计部门和法律事部门以及其他有关职能部门业单位的组织领导机构及其职责。 第四十三条 企业应建立健全规范的公司法人治理结构,股大会对于有独资公司或有独资企业,即指资委,下同董事会监事会经理层依法履行职责,形成高效运转有效制衡的监督约束机制。 第四十四条 有独资公司和有控股公司应建立外部董事独立董事制度,外部董事独立董事人数应超过董事会全部成员的半数,以保证董事会能够在重大决策重大风险管理等方面作出独立于经理层的判断和选择。 第四十五条 董事会就全面风险管理工作的有效性对股大会负责。董事会在全面风险管理方面主要履行以下职责 一审议并向股大会提交企业全面风险管理年度工作报告; 二确定企业风险管理总体目标风险偏好风险承受度,批准风险管理策略和重大风险管理解决方案; 三了解和掌握企业面临的各项重大风险及其风险管理现状,做出有效控制风险的决策; 四批准重大决策重大风险重大事件和重要业流程的判断标准或判断机制; 五批准重大决策的风险评估报告; 六批准内部审计部门提交的风险管理监督评价审计报告; 七批准风险管理组织机构设置及其职责方案; 八批准风险管理措施,纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为; 九督导企业风险管理文化的培育; 十全面风险管理其他重大事项。 第四十六条 具备条件的企业,董事会可下设风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担任;董事长兼任总经理的,召集人应由外部董事或独立董事担任。该委员会成员需有熟悉企业重要管理及业流程的董事,以及具备风险管理监管知识或经验具有一定法律知识的董事。 第四十七条 风险管理委员会对董事会负责,主要履行以下职责 一提交全面风险管理年度报告; 二审议风险管理策略和重大风险管理解决方案; 三审议重大决策重大风险重大事件和重要业流程的判断标准或判断机制,以及重大决策的风险评估报告; 四审议内部审计部门提交的风险管理监督评价审计综合报告; 五审议风险管理组织机构设置及其职责方案; 六办理董事会授权的有关全面风险管理的其他事项。 第四十八条 企业总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员,负责主持全面风险管理的日常工作,负责组织拟订企业风险管理组织机构设置及其职责方案。 第四十九条 企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。该部门对总经理或其委托的高级管理人员负责,主要履行以下职责 一研究提出全面风险管理工作报告; 二研究提出跨职能部门的重大决策重大风险重大事件和重要业流程的判断标准或判断机制; 三研究提出跨职能部门的重大决策风险评估报告; 四研究提出风险管理策略和跨职能部门的重大风险管理解决方案,并负责该方案的组织实施和对该风险的日常监控; 五负责对全面风险管理有效性评估,研究提出全面风险管理的改进方案; 六负责组织建立风险管理信息系统; 七负责组织协调全面风险管理日常工作; 八负责指导监督有关职能部门各业单位以及全资控股子企业开展全面风险管理工作; 九办理风险管理其他有关工作。 第五十条 企业应在董事会下设立审计委员会,企业内部审计部门对审计委员会负责。审计委员会和内部审计部门的职责应符合企业内部审计管理暂行办法资委令第8号的有关规定。内部审计部门在风险管理方面,主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。 第五十一条 企业其他职能部门及各业单位在全面风险管理工作,应接受风险管理职能部门和内部审计部门的组织协调指导和监督,主要履行以下职责 一执行风险管理基本流程; 二研究提出本职能部门或业单位重大决策重大风险重大事件和重要业流程的判断标准或判断机制; 三研究提出本职能部门或业单位的重大决策风险评估报告; 四做好本职能部门或业单位建立风险管理信息系统的工作; 五做好培育风险管理文化的有关工作; 六建立健全本职能部门或业单位的风险管理内部控制子系统; 七办理风险管理其他有关工作。 第五十二条 企业应通过法定程序,指导和监督其全资控股子企业建立与企业相适应或符合全资控股子企业自身特点能有效发挥作用的风险管理组织体系。 第八章 风险管理信息系统 第五十三条 企业应将信息技术应用于风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,包括信息的采集存储加工分析测试传递报告披露等。 第五十四条 企业应采取措施确保向风险管理信息系统输入的业数据和风险量化值的一致性准确性及时性可用性和完整性。对输入信息系统的数据,未经批准,不得更改。 第五十五条 风险管理信息系统应能够进行对各种风险的计量和定量分析定量测试;能够实时反映风险矩阵和排序频谱重大风险和重要业流程的监控状态;能够对超过风险预警上限的重大风险实施信息报警;能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。 第五十六条 风险管理信息系统应实现信息在各职能部门业单位之间的集成与享,既能满足单项业风险管理的要求,也能满足企业整体和跨职能部门业单位的风险管理综合要求。 第五十七条 企业应确保风险管理信息系统的稳定运行和安全,并根据实际需要不断进行改进完善或更新。 第五十八条 已建立或基本建立企业管理信息系统的企业,应补充调整更新已有的管理流程和管理程序,建立完善的风险管理信息系统;尚未建立企业管理信息系统的,应将风险管理与企业各项管理业流程管理软件统一规划统一设计统一实施同步运行。 第九章 风险管理文化 第五十九条 企业应注重建立具有风险意识的企业文化,促进企业风险管理水员工风险管理素质的提升,保障企业风险管理目标的实现。 第六十条 风险管理文化建设应融入企业文化建设全过程。大力培育和塑造良好的风险管理文化,树立正确的风险管理理念,增强员工风险管理意识,将风险管理意识转化为员工的同认识和自觉行动,促进企业建立系统规范高效的风险管理机制。 第六十一条 企业应在内部各个层面营造风险管理文化氛围。董事会应高度重视风险管理文化的培育,总经理负责培育风险管理文化的日常工作。董事和高级管理人员应在培育风险管理文化起表率作用。重要管理及业流程和风险控制点的管理人员和业操作人员应成为培育风险管理文化的骨干。 第六十二条 企业应大力加强员工法律素质教育,制定员工道德诚信准则,形成人人讲道德诚信合法合规经营的风险管理文化。对于不遵守家法律法规和企业规章制度弄虚作假徇私舞弊等违法及违反道德诚信准则的行为,企业应严肃查处。 第六十三条 企业全体员工尤其是各级管理人员和业操作人员应通过多种形式,努力传播企业风险管理文化,牢固树立风险无处不在风险无时不在严格防控纯粹风险审慎处置机会风险岗位风险管理责任重大等意识和理念。 第六十四条 风险管理文化建设应与薪酬制度和人事制度相结合,有利于增强各级管理人员特别是高级管理人员风险意识,防止盲目扩张片面追求业绩忽视风险等行为的发生。 第六十五条 企业应建立重要管理及业流程风险控制点的管理人员和业操作人员岗前风险管理培训制度。采取多种途径和形式,加强对风险管理理念知识流程管控核心内容的培训,培养风险管理人才,培育风险管理文化。 第十章 附则 第六十六条 企业未设立董事会的有独资企业,由经理办公会议代行本指引有关董事会的职责,总经理对本指引的贯彻执行负责。 第六十七条 本指引在企业投资财报告衍生品交易等方面的风险管理配套文件另行下发。 第六十八条 本指引的附录对本指引所涉及的有关技术方法和专业术语进行了说明。 第六十九条 本指引由有资监督管理委员会负责解释。 第七十条 本指引自印发之日起施行。 扫一扫在手机打开当前页
