东江环保股份有限公司全面风险管理规定
第一章 总 则第一条 为规范和加强东江环保股份有限公司(以下简称“公司”)全面风险管理体系建设,建立健全风险管理基本制度,提高公司风险防控能力,促进公司高质量发展,根据《中华人民共和国公司法》等法律法规以及广东省国资委《关于省属企业全面推行风险管理和内部控制工作的通知》《关于加强省属企业全面风险管理与内部控制工作的实施意见》及广晟控股集团《全面风险管理规定》等有关规定,参照《中央企业全面风险管理指引》,结合公司实际,制定本规定。
第二条 本规定所称风险,指在企业发展过程中各种不确定性对实现企业战略及经营目标的影响。风险等级从低至高原则上分三级:一般风险、较大风险和重大风险。
本规定所称风险信息,指经营过程中一切有可能引发风险事件的情况反馈。
本规定所称风险事件,指已发生的给企业的战略及经营目标达成带来负面影响,可能或已造成企业财务损失或非财务损失,甚至导致企业无法继续经营的事件。
本规定所称全面风险管理,指企业围绕总体经营发展目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险
管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。
本规定所称风险性决定的行为是指组织或个人在企业经营管理中所做出的可能导致损失或不良后果的决定。
第三条 本规定适用于公司总部及其所属全资、控股、实际控制的企业(以下简称“所属企业”)。
第四条 公司及所属企业是全面风险管理的责任主体,开展全面风险管理工作应努力实现以下风险管理目标:
(一)确保将风险控制在与企业经营发展目标相适应并可承受的范围内;
(二)确保企业内外部,尤其是企业与股东之间实现真实、可靠的信息沟通;
(三)确保企业经营管理行为和员工履职行为遵守有关法律法规;
(四)确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;
(五)确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因系统性、颠覆性风险或人为失误而遭受重大损失。
第五条 公司及所属企业开展全面风险管理工作应当遵循以下原则:
(一)全面覆盖原则。企业风险管理要全面覆盖各级运
营企业的各项业务和管理活动,要贯穿各项经营管理活动的全过程、各环节,实现治理层、管理层和全体员工全员参与、全员有责。
(二)重点突出原则。企业风险管理应在全面性基础上抓住重点,针对重要业务与事项、高风险领域与环节采取严格的管理措施,严控重大风险。
(三)动态防控原则。企业应对风险进行事前预测、动态监测,根据内外部环境变化,以及时、合理的方式动态研究、制定、调整风险管理策略和防控措施,将风险降至可承受范围之内,并持续改进工作体系。
(四)成本效益原则。企业风险管理要权衡实施成本与预期效益,以适当的成本实现有效的风险管理成果。
第六条 公司及所属企业应注重培育风险管理文化,将风险管理积极融入企业文化建设,增强全体员工风险管理意识,树立正确的风险管理理念,董事和高级管理人员应在培育风险管理文化中起表率作用。
公司各部门及各所属企业要加强风险管理理念、制度、方法及风险典型案例的宣贯,加强风险管理人才培养,对重要管理及业务流程、风险控制点的管理人员和业务操作人员进行岗前风险管理培训。
第二章 组织体系
第七条 公司党委应持续在完善公司治理中加强党的领
导,充分发挥党委“把方向、管大局、促落实”的领导作用,加强对风险管理工作的领导,将风险管理重大工作纳入研究讨论事项范围,落实党委对涉及风险管理重大事项决策把关定向职责,并定期听取公司存在的重大风险隐患及全面风险管理工作情况报告。
第八条 公司应建立健全全面风险管理组织体系。公司建立以总部各职能部门及业务中心和所属企业为第一道防线、风险管理部门为第二道防线、内部审计监督部门和纪律检查部门为第三道防线的全面风险管理三道防线组织体系。
(一)公司总部各职能部门及业务中心和各所属企业是其业务领域风险管理的第一道防线,对相关业务风险的管理负有直接责任,在实现战略目标和经营任务的过程中,应及时识别、分析、评估风险并主动管理风险,及时报告重大风险。
(二)公司总部风险管理部门作为风险管理的第二道防线,协助第一道防线完善其风险控制流程与措施,促进第一道防线对风险管控的实施,在整个公司范围内树立和宣传对风险管理的统一认识。
(三)公司内部审计监督部门和纪律检查部门为风险管理的第三道防线。公司内部审计监督部门对公司重大风险管理及风险管理体系的有效性进行测评或审计,实施独立监督。
第九条 公司董事会发挥“定战略、作决策、防风险”的作用,就风险管理工作的有效性向股东负责。董事会履行以
下职责:
(一)审议批准公司风险管理基本制度、年度报告。
(二)推动完善公司风险管理体系建设。
(三)推动风险管理文化建设。
(四)了解和掌握公司面临的各项重大风险及其风险管理现状,做出有效控制风险的决策;
(五)法律法规、公司章程规定的其他风险管理事项。董事会下设审计与风险管理委员会,对董事会负责。审计与风险管理委员会履行以下职责:
(一) 督导公司风险管理体系的有效运行。
(二) 审议公司风险管理年度报告。
(三) 批准风险管理规划。
(四)董事会授权的其他风险管理事项。
第十条 公司经营班子负责组织全面风险管理体系的日常运行,主要履行以下职责:
(一)审批风险管理考核方案等具体风险管理制度以及风险预警指标的调整。
(二)审议风险管理的基本制度。
(三)审核风险管理总体目标、风险管理策略、风险评估标准和重大风险应对方案。
(四)纠正任何组织或个人超越风险管理制度做出的风险性决定的行为。
(五)根据董事会授权,履行董事会有关风险管理的
相关工作。
(六)执行董事会风险管理相关决议。
第十一条 公司董事长是全面风险管理第一责任人,负责组织领导建立健全公司全面风险管理体系。各分管领导具体负责分管领域风险管理工作,督促将风险管理要求融入日常经营管理活动。
第十二条 公司设立公司全面风险管理和内部控制委员会(以下称风控委员会,与合规管理委员会合署),风控委员会主任由董事长担任,常务副主任由总裁担任,副主任由公司领导班子成员担任,其他成员包括公司各部室、业务中心负责人,承担风险管理的组织领导和统筹协调工作,定期召开会议,研究风险管理重大事项或提出意见建议,指导、监督和评价风险管理工作。风控委员会的风险管理职责主要包括:
(一)审核风险管理制度。
(二)审核风险管理机构设置方案。
(三)定期召开会议,研究重大违规事项,向董事会提出管理意见或建议。
(四)法律法规或董事会授权的其他管理职责。
(五)经董事会或经理层授权,风控委员会可以审定年度计划、具体制度等重大事项。
第十三条 公司总部各职能部门及业务中心负责本部门业务领域的全面风险管理工作,部门主要负责人对本部门的
风险管理负有主管责任,主要履行以下职责:
(一)贯彻执行公司全面风险管理相关制度,落实董事会及经营班子对公司重大风险管理的意见。
(二)收集本部门业务领域的风险信息,在适当范围内共享或报告风险信息。
(三)定期开展本部门业务领域重大风险的识别、评估,拟订重大风险的管控方案并组织实施。
(四)对本部门业务领域重大风险实施风险预警,对所属企业风险预警事项提出管控建议。
(五)其他涉及本部门业务领域的风险管理事项。
第十四条 总部各职能部门及业务中心应当指定一名业务骨干担任本部门风险管理员,协助部门主要负责人推动本部门风险管理有关工作。风险管理员接受风险管理部门的业务指导和培训,具体组织落实涉及本部门的风险管理工作任务,并反馈工作结果。
总部各职能部门及业务中心可以定期更换部门风险管理员,加大员工在风险管理工作中的参与程度,提升风险管理水平。各部门及业务中心主要负责人在工作考评中要充分考虑风险管理员承担的风险管理职责和履职情况。风险管理员与合规管理员可以由同一人兼任。
第十五条 公司证券法务部是公司风险管理部门,接受风控委员会的业务指导,负责落实公司风险管理工作目标和责任,检查、督促、指导总部各部门和所属企业开展风险管
理工作,主要履行以下职责:
(一)组织拟订公司风险管理总体目标、风险管理策略、公司年度风险管理工作计划。
(二)研究拟订公司全面风险管理相关制度,建立风险评估、预警、管控、考核、报告及应急处理机制。
(三)负责定期组织开展风险信息的收集、分析与评估,动态管理公司风险评估标准和跟踪监控机制,维护更新公司风险管理清单。
(四)对公司在经营中的重大风险及应对进行跟踪监控,提出应对建议和意见,做好日常各类风险的监测。
(五)督促公司总部各部门和所属企业落实重大风险管控措施,指导所属企业重大风险的应对处置和化解工作。
(六)指导所属企业建立和完善全面风险管理组织体系和相关制度,对所属企业全面风险管理工作开展情况及成效进行监督、考核。
(七)定期分析、总结公司全面风险管理情况,汇总编制公司年度风险管理报告。
(八)负责风险管理信息系统建设,推动风险预警指标体系建设,提升风险预判能力,实现风险管理信息化。
(九)负责培育公司风险管理文化,组织风险管理知识技能培训和交流活动。
(十)完成公司领导交办的其他风险管理工作。
第十六条 公司审计部作为内部审计监督部门,依据公
司内部审计有关制度对公司及所属企业经营管理过程中的重大风险管理及风险管理体系的有效性实施独立审计监督,督促落实相关问题的整改工作。
公司纪律检查室对违纪违法行为依规依纪依法予以处理。
第十七条 所属企业承担本企业全面风险管理主体责任,总经理(企业主要负责人)是全面风险管理第一责任人。所属企业应明确负责全面风险管理工作的归口管理部门,主要履行以下职责:
(一)制定年度全面风险管理工作计划。
(二)建立和完善全面风险管理的组织机构及职责体系,明确组织及人员的风险管理责任。
(三)设立风险管理部门或确定履行全面风险管理职责的部门,配备专职或兼职的风险管理人员。
(四)建立和完善全面风险管理制度和流程体系,制定符合本企业经营特点的全面风险管理相关文件并有效实施,建立清晰的风险管理工作流程。
(五)建立和完善重大风险评估、风险预警、风险报告、风险考核及应急处理等机制,组织开展全面风险评估或重要业务流程的专项风险评估,制定年度风险管控方案并组织实施。
(六)组织开展本企业全面风险管理相关培训,培育全面风险管理文化。
(七)接受公司有关职能部门的组织、协调、指导和监督,按要求向公司风险管理部门报送风险管理相关报告及报表。
(八)其他本企业全面风险管理事项。
第十八条 公司总部各部门应将风险管理要求与本部门职责融合,以风险为导向,理清部门业务领域的风险管控重点,不断完善本部门和所属企业与本业务条线相关的风险管理和内部控制措施。
第三章 工作机制
第十九条 公司及所属企业应高度重视风险管理工作,建立覆盖全面、全员、全过程、全体系的风险防控机制,注重风险管理工作与内部控制、合规管理及其它经营管理工作的全面对接,在基本业务环节识别风险,将风险管理各项要求分解并融入企业经营管理和业务流程全过程。
第二十条 公司及所属企业应注重风险管理与内部控制相结合,建立以内控促风控机制。内部控制是全面风险管理的重要组成部分,公司及所属企业要正确认识全面风险管理与内部控制之间的关系,深刻理解风险管理与内部控制是协调统一的整体,二者目标一致,均是为了促进企业实现发展战略。风险管理涵盖了内部控制,内部控制是风险管理的基础和必要环节。风险应对方案或者风险应对措施应从内部控制的角度分析风险管控手段,从而完善业务管理制度和流程,
提高企业经营管理水平。
公司及所属企业应当加强对重大风险领域、重要业务领域的制度管理和流程管控,并逐步推广覆盖至企业全业务、全过程。
建立与实施有效的内部控制,应当从内部环境、风险评估、控制活动、信息与沟通、内部监督等要素展开。公司及所属企业制定内控措施,一般至少包括以下内容:
(一)建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权做出风险性决定。
(二)建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等。
(三)建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任。
(四)建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约;明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任;将该岗位作为内部审计的重点等。
第二十一条 公司建立部门间沟通协同的风险管理联席
会议机制,研究解决风险管理重要事项或需跨部门协调的有关工作。风险管理联席会议可以视情况与合规联席会议合并召开。
第二十二条 公司及下属企业应建立健全重大事项的专项风险评估机制,根据经营及风险管理实际,明确专项风险评估的范围及程序,并开展专项风险评估。针对重大投资项目(含境外投资事项),应充分研究风险应对措施、处置预案,编制专项风险评估报告,作为项目决策的必备支撑材料。重大事项的风险评估机制,应至少包括以下内容:
(一)评估范围:企业重大(经营)事项决策(如企业改制、 改革、改组)、重大项目投资决策(含境外投资事项),以及其他受不确定性因素影响较大的事项。
(二)评估程序:企业应充分研究风险和应对措施、处置预案,制定专项风险评估报告,作为决策的必备支撑材料。
(三)其他要求:对超出企业风险承受能力或风险应对措施不到位的决策事项不得组织实施。
第二十三条 公司及所属企业应当建立风险分类和风险台账管理机制。公司及所属企业应当按照战略风险、财务风险、市场风险、运营风险、法律合规风险以及其他风险等风险分类(详见附件1)梳理排查风险,并将建立风险管理台账的具体职责落实到各有关职能部门和各单位。风险管理台账应实行动态管理,定期进行风险排查,评估新的风险和原有风险化解情况,及时更新台账内容。
风险管理台账包括风险事项台账和风险隐患台账(详见附件2)。
对于风险管理台账中可能涉及的公司重大或较大经营风险事项,由公司有关领导组织召开会议研究确定风险等级,确定为重大、较大风险事项的,应明确重大或较大经营风险事项的公司督导部门。公司督导部门应对相关企业重大、较大经营风险化解进展、存在的难点和问题以及下一步工作计划等及时提出督办意见,并反馈给相关企业对应业务条线部门,同时报送公司风险管理部门。
第四章 基本流程第一节 风险管理初始信息的识别与收集
第二十四条 公司各部门及各所属企业应当广泛、动态、持续地收集风险管理初始信息,包括与本企业风险和风险管理相关的内部和外部、历史数据和未来预测的初始信息。
公司风险管理部门及各所属企业应对收集的风险信息建立风险管理清单或台账。公司各部门及各所属企业对可能超出企业风险容忍度的风险事件,应及时、准确、完整地将相应风险信息报送至公司风险管理部门。
为保障有效履行风险管理职责,及时获取风险相关信息,公司风险管理部门及各所属企业风险管理部门有权了解和获取有关企业的战略规划、改革发展、经营分析、财务报表、财务分析、投资分析、审计报告及其他专项报告等相关材料,
综合研判风险;查看企业会计账簿、业务台账,现场勘察相关资产,了解业务流程,查阅有关生产经营活动的相关材料或与风险管理相关的系统及数据等,及时收集和掌握企业风险信息。
第二十五条 公司各部门及各所属企业应当按照风险分类的主要风险领域整理汇总收集的风险管理初始信息,为评估风险和制定风险管理策略奠定基础。 公司风险管理部门和所属企业风险管理部门组织对收集的风险信息进行分析汇总。
第二节 风险的评估
第二十六条 公司各部门及各所属企业应当根据收集的风险管理初始信息和企业各项业务管理及其重要业务流程开展风险评估。
风险评估包括风险辨识、风险分析和风险评价三个步骤。风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。
第二十七条 公司风险管理部门及各所属企业风险管理部门应牵头组织列出本企业风险清单,包括但不限于风险编号、风险类别、风险名称、风险描述、风险管理者、风险成因、风险发生的可能性及风险发生后对企业实现目标的影响
程度,根据风险评估标准(包括定性和定量评估标准,详见附件3),开展风险评估。
公司及所属企业以风险评估形成的风险清单为基础建立风险管理台账,风险管理台账应包括重大风险管理情况。
公司及所属企业根据经营和风险管理的需要确定风险评估的范围和频次,每年至少应进行一次全面覆盖的风险评估,并适时根据内外部环境变化进行动态调整。
第二十八条 公司及所属企业应确定风险发生的可能性和风险发生后对目标影响程度的定性、定量评估标准。风险发生的可能性通常指风险发生的概率,风险发生后对目标的影响程度通常需要考虑财务、声誉、运营、环境、安全等影响因素。
第二十九条 根据风险发生可能性和风险发生后对企业实现目标的影响程度评定风险等级。在评估多项风险时,应按照风险发生的可能性和风险发生后对目标的影响程度,绘制风险坐标图,对各项风险进行分析和排序,初步确定关注重点和优先控制的风险。
第三节 风险的监测与预警
第三十条 公司及所属企业应研究建立风险监控指标体系,制定重大风险预警与报告制度,确定风险预警阈值并划分预警区间,分层分级建立预警信息统计、分析和报告机制,对风险管理状况进行实时监控,及时预警。
第三十一条 公司总部及所属企业的各部门负责对本部
门风险监控指标进行监测、分析,出现异常或报警信息时,及时向企业领导报告,并向风险管理部门报备。各部门负责本业务领域的监控指标设计、监测实施和报告等工作,风险管理部门负责汇总工作。
第三十二条 公司总部及所属企业的各部门根据风险预警结果,在公司重大风险应急处置指导原则下制定应急处置预案,根据实际情况对预案及时调整、优化,做好本部门风险监控指标的监测和相应风险的化解。
第四节 风险管理策略的制定
第三十三条 公司及所属企业应当制定风险管理策略。风险管理策略是指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。风险管理策略是制定风险应对方案和措施的导向。
第三十四条 风险管理策略的工具,具体包括:
(一)风险承担:指企业对所面临的风险采取接受的态度,从而承担风险带来的后果。
(二)风险规避:指企业回避、停止或退出蕴含某一风险的商业活动或商业环境,避免成为风险的所有人。
(三)风险转移:指企业通过合同等方式将风险转移到第三方,企业对转移后的风险不再拥有所有权。
(四)风险转换:指企业通过战略调整、使用衍生品等手段将企业面临的风险转换成另一个风险。
(五)风险对冲:指采取各种手段,引入多个风险因素或承担多个风险,使得这些风险的影响互相抵销。
(六)风险补偿:指企业对风险可能造成的损失,主动承担并采取适当的措施补偿可能的损失。
(七)风险控制:指控制风险事件发生的动因、环境、条件等,来达到减轻风险事件发生时的损失或降低风险事件发生概率的目的。
第三十五条 公司各部门及各所属企业应根据不同业务特点对评估的一般风险、较大风险、重大风险确定风险偏好和风险承受度,明确风险的最低限度和不能超过的最高限度,并据此确定风险预警线及对应的风险管理策略。
确定风险偏好和风险承受度,要正确认识和把握风险与收益的平衡,防止为追求收益而忽视风险的观念,纠正不讲条件、范围而片面认为风险越大、收益越高的做法。
第五节 风险应对方案的提出与实施
第三十六条 公司及所属企业应当根据风险管理策略,针对各类风险或每一项重大风险制定风险应对方案,并组织实施。具体包括:
(一)制定风险应对方案。一般应包括风险应对的目的,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措
施;
(二)实施风险应对方案。公司及所属企业按照各部门职责分工、各单位业务特点,组织实施企业风险应对方案,确保各项措施落实到位。
第三十七条 公司及所属企业按照“强内控、防风险、促合规”的管控目标,分类制定风险应对方案,并满足合规的要求。要坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。
第三十八条 公司及所属企业按照集团《重大经营风险事件报告和化解工作细则》相关规定,对符合重大经营风险事件情形的,应按照规定程序及时报告。
第三十九条 判定重大经营风险是否完成化解和处置应从风险化解处置(应对)方案制定、风险化解处置措施落实、对重大经营风险化解处置形成的内部决策以及对企业未来生产经营造成不利影响等方面综合衡量。公司重大经营风险的化解和处置完成情况应按相关程序报批。
第六节 风险管理的监督与改进
第四十条 公司及所属企业以重大风险、重大事件和重大决策、重要管理及业务流程为重点,对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险应对方案的
实施情况进行监督,采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。
第四十一条 公司各部门及所属企业应定期对风险管理和内部控制工作进行自查和检验,及时发现缺陷并改进,其自查、检验报告应及时报送企业风险管理部门。
公司风险管理部门应定期对各部门和所属企业的风险管理和内部控制工作实施情况进行监督检查,对风险管理策略进行评估,对跨部门和跨业务单位的风险应对方案进行评价,提出调整或改进建议,并督促落实。
公司审计部应当根据年度审计计划或实际工作需要,对包括风险管理部门在内的各部门和所属企业能否按照有关规定开展风险管理和内部控制工作及其工作效果进行监督评价,此项工作也可结合年度审计、任期审计或专项审计工作一并开展。
第四十二条 公司应针对上级部门开展的专项监督检查、审计项目发现的风险管理存在问题,及时制定整改方案,采取得当措施进行整改。同时,以问题为导向,开展举一反三,全面排查,健全风险防范长效机制,做好整改成效运用。
第五章 风险管理信息化建设
第四十三条 公司将按照信息化建设需求,统一规划、分步实施,建立风险管理信息化平台,逐步实现信息在各部门、
所属企业之间的集成与共享,提高风险监控效率和风险预警精确度。
第六章 考核及责任追究第四十四条 公司将下属企业的风险管理工作纳入公司绩效考核体系。公司全面风险管理工作考核评价周期与下属企业经营业绩考核周期一致,即以每一公历年为考核期(自每年的1月1日起至12月31日止)。公司对下属企业的风险管理考核评价按照公司风险管理工作考核相关制度执行。风险管理考核评价内容包括决策层参与风险管理工作情况、风险管理机构建设情况、风险管理制度和机制建设情况、风险管理工作组织落实情况以及风险管理效果等。
第四十五条 考核评价结果运用到下属企业负责人经营业绩考核工作中。下属企业应参照公司风险管理工作考核方式,对所属子企业开展风险管理考核评价。
第四十六条 公司对在全面风险管理体系建设和运行中表现出色、突发风险事件和危机处置得当的组织和个人,在年度评先评优给予考虑。
第四十七条 被考核单位考核期出现因失职渎职造成的重大风险事件或突破法律法规和国资监管红线底线等情形的,公司风险管理工作考核评价对其实行“一票否决”。
第四十八条 发现下列情形之一的,公司及所属企业对相关责任人根据集团和公司有关规定追究责任:
(一)因风险管理缺位,未能发现风险,或对已出现的风险知情不报,或对已发生的风险事项怠于处置,导致风险管控机制失效,给公司及所属企业带来较大损失的;
(二)因制度缺失,造成内控流程存在重大缺陷或内部控制不力的;
(三)瞒报、漏报重大风险事件,造成国有资产损失以及其他严重不良后果的。
第七章 附 则
第四十九条 本规定由公司董事会负责解释,授权公司证券法务部负责具体解释。
第五十条 本规定自董事会审议通过之日起施行。公司既有文件、制度与本规定不一致的,以本规定为准。
附件:1. 风险分类清单(参考)
2. 风险管理台账(参考)
3. 风险评估标准与评级
附件1
风险分类清单(参考)
| 一级风险 | 重点关注的二级风险 |
| 战略风险 | 投资风险 |
| 国际化经营风险 | |
| 宏观经济风险 | |
| 政策风险 | |
| 改革与业务转型风险 | |
| 科技创新风险 | |
| 战略管理风险 | |
| 公司管控风险 | |
| 其他风险 | |
| 财务风险 | 金融(类金融)业务与衍生品交易风险 |
| 债务风险 | |
| 现金流风险 | |
| 资金管理风险 | |
| 税务风险 | |
| 会计与报告风险 | |
| 其他风险 | |
| 市场风险 | 市场变化和市场竞争风险 |
| 汇利率风险 | |
| 客户信用风险 | |
| 品牌声誉风险 | |
| 其他风险 | |
| 运营风险 | 经营效益风险 |
| 人力资源风险 | |
| 安全生产、质量、环保、稳定风险 | |
| 采购与供应链管理风险 | |
| 生产管理风险 | |
| 销售风险 | |
| 信息技术风险 | |
| 工程项目管理风险 | |
| 其他风险 | |
| 法律合规风险 | 合同管理风险 |
| 合规风险 | |
| 诉讼风险 | |
| 其他风险 | |
| 其他风险 | 其他风险 |
附件2
风险管理台账(参考)
风险事项台账(表一)填报单位: 填报日期:
| 序号 | 企业 名称 | 涉事单位名称 | 风险事项名称 | 风险情况概述 | 原因分析 | 可能或已造成的损失及金额 | 企业处置工作方案 | 企业处置情况 | 是否完成处置 (是/否) | 备注 | |||||||
| 处置工作目标 | 处置重点难点 | 处置 措施 | 计划完成时间 | 处置责任人 | 联系人 | 联系方式 | 处置进展 | 下一步工作 计划 | |||||||||
| 1 | |||||||||||||||||
| 2 | |||||||||||||||||
| 3 | |||||||||||||||||
| ... | |||||||||||||||||
风险管理台账(参考)
风险隐患台账(表二)
填报单位: 填报日期:
| 序号 | 风险隐患名称 | 当期情况描述 | 可能造成的 损失及影响 | 原因分析 | 风险化解 工作目标 | 已采取的应对措施及落实情况 | 时间期限 | 责任部门、 责任人及联系 方式 | 企业处置 责任人 | 备注 |
| 1 | ||||||||||
| 2 | ||||||||||
| 3 | ||||||||||
| ... |
填表说明:不属于企业风险事项范围但有较大可能转化为风险事项的情形应列入风险隐患台账。
附件3
风险评估标准与评级
一、风险评估说明
风险清单中列示的各风险均由一个或多个风险行为体现,任一风险行为发生,则风险发生。风险评估将从每个风险的发生可能性和其一旦发生后对企业实现目标的影响程度这两个方面来进行。
针对每一个风险,分别从上述两个方面进行评估,并给出相应的分值。该风险的综合评分则为其这两方面得分的乘积。即:
风险综合评分=风险发生可能性×风险发生影响程度
风险可能性与影响程度评估时,特征只需符合其中某一项或某几项维度的表现,便适用其对应等级;如其特征符合多个等级特征时,按照就高原则判定等级。
二、风险评估维度
风险评估从风险发生可能性和影响程度两个维度进行。
(一)风险发生可能性
风险发生可能性:指某一风险发生的概率。
对风险发生可能性的评估标准如下:
风险发生可能性评估标准(参考)
| 评分 | 1 | 2 | 3 | 4 | 5 |
| 定性描述 | 低 | 较低 | 中等 | 较高 | 高 |
| 内部控制 有效性 | 控制有效,几乎不发生 | 控制瑕疵,在极少的情况发生 | 控制一般,偶尔会发生 | 控制不足,常常会发生 | 控制缺失,几乎肯定可以发生 |
| 期间内发生频率 | 在之后5年内发生的可能少于1次 | 在之后3至5年内可能发生1次 | 在之后2至3年内可能发生1次 | 在之后1年内可能发生1次 | 在之后1年内至少发生1次 |
| 可能性占比 | 10%以下 | 10%(含)-30% | 30%(含)-70% | 70%(含)-90% | 90%(含)以上 |
(二)风险发生影响程度
风险发生影响程度:指风险行为发生后可能对企业实现目标产生的影响程度,影响包括对企业人、财、物及持续发展的影响、政治、社会、环境影响等。
对风险发生影响程度的评估标准如下:
风险发生后对目标的影响程度评估标准(参考)
| 评分 | 评价内容 | 1 | 2 | 3 | 4 | 5 |
| 定性描述 | 小 | 较小 | 中等 | 较大 | 大 | |
| 财务 | 对税后净利润和现金流的不利影响 | 1.造成年度税后净利润减少10万元(含)以下; 或2.对现金流产生不利影响10万元(含)以下 | 1.造成年度税后净利润减少10万元-100万元(含)之间;或2.对现金流产生不利影响10万元-100万元(含)之间 |
1.造成年度
税后净利润减少100万元-500万元(含)之间;或2.对现金流产生不利影响100万元-500万元(含)之间
| 1.造成年度税后净利润减少500万元-1000万元(含)之间;或2.对现金流产生不利影响500万元-1000万元(含)之间 | 1.造成年度税后净利润减少1000万元以上;或2.对现金流产生不利影响1000万元以上 | |||||
| 声誉 | 对声誉的影响范围和恢复程度 | 企业声誉基本没有受损或媒体的关注能够迅速控制 | 1.负面消息在行业内部或当地局部流传;或2.对企业声誉造成轻微损害,需要约3个月时间恢复声誉 | 1.负面消息在某区域流传;或2.对企业声誉造成中等损害,需要约6个月时间恢复声誉 | 1.负面消息在全国各地流传;或2.对企业声誉造成重要损害,需要约1年时间恢复声誉 | 1.负面消息影响了上市公司以外的其他业务板块,政府或监管机构进行调查,引起公众媒体极大关注并呼吁采取行动;或2.对企业声誉造成重大损害,需要1年(含)以上 |
| 评分 | 评价内容 | 1 | 2 | 3 | 4 | 5 |
| 定性描述 | 小 | 较小 | 中等 | 较大 | 大 | |
| 时间恢复声誉 | ||||||
| 运营 | 对业务能力的损失,经营目标的实现程度 | 对涉及部门/单位运营目标或业绩指标的达成产生的不利影响小于1%(含),对运营影响微弱,未导致业务/服务中断 | 1.对涉及部门/单位运营目标或业绩指标的达成产生的不利影响在1%-3%(含)之间,影响极小部分关键营运目标或业绩指标;或2.企业日常业务受一些影响,造成个别业务/服务中断,但恢复时间小于3个月(含) | 1.对涉及部门/单位运营目标或业绩指标的达成产生的不利影响在3%-5%(含)之间,影响一部分关键营运目标或业绩指标;或2.企业日常业务受一些影响,造成少部分业务/服务中断,恢复时间大于3个月小于6个月(含) | 1.对涉及部门/单位运营目标或业绩指标的达成产生的不利影响在5%-10%(含)之间,影响大部分关键营运目标或业绩指标;或2.企业日常业务普遍影响,造成大部分业务/服务中断,恢复时间大于6个月小于1年(含) | 1.对涉及部门/单位运营目标或业绩指标的达成产生的不利影响超过10%,几乎无法达成其重要的关键营运目标或业绩指标;或2.造成普遍的业务/服务中断且恢复时间大于1年 |
| 法律法规 | 违法程度和罚款金额 | 轻微的违法违规问题,不会受到监管机构罚金处罚 | 1.违反法规,导致地方政府的调查和诉讼、罚款金额小于100万元(含);或2.商业纠纷、诉讼案件索赔损失小于100万元(含) | 1.违反法规,导致省级政府的调查和诉讼、罚款金额100万元-500万元(含)之间;或2.商业纠纷、诉讼案件索赔损失100万元-500万元(含)之间 | 1.违反法规,导致中央级政府的调查和诉讼、罚款金额500万元-1000万元(含)之间;或2.商业纠纷、诉讼案件索赔损失500万元-1000万元(含)之间 | 1.严重违反法规,导致监督机构的调查,重大的起诉或严重的集体诉讼、罚款金额1000万元以上;或2.重大商业纠纷、诉讼案件损失1000万元以上 |
| 评分 | 评价内容 | 1 | 2 | 3 | 4 | 5 |
| 定性描述 | 小 | 较小 | 中等 | 较大 | 大 | |
| 员工 | 员工态度、能力和数量的影响 | 1.损害少数数量员工工作积极性并影响其工作效率,对企业文化、企业凝聚力产生轻微的不利影响;或2.核心专业团队和管理层1%(含)以下的流失,或5%(含)以下普通员工的流失 | 1.损害一定数量员工工作积极性并影响其工作效率,对企业文化、企业凝聚力产生一些不利影响;或2.核心专业团队和管理层1%-5%(含)以下的流失,或5%以上10%(含)以下普通员工的流失 | 1.损害多数员工工作积极性并影响其工作效率,对企业文化、企业凝聚力产生一定程度的不利影响;或2.核心专业团队和管理层5%以上10%(含)以下的流失,或10%以上20%(含)以下普通员工的流失 | 1.损害大量员工工作积极性并影响其工作效率,对企业文化、企业凝聚力产生较大程度的不利影响;或2.核心专业团队和管理层10%以上20%(含)以下的流失,或20%以上30%(含)以下普通员工的流失 | 1.严重损害整体员工工作积极性,将引发大规模罢工,或导致企业文化、企业凝聚力遭受严重破坏;或2.核心专业团队和管理层20%以上的流失,或30%以上普通员工的流失 |
| 安全与环境 | 发生安全事故造成的后果 | 造成轻伤,或者10万元(含)-50万元的直接经济损失 | 造成1人-2人重伤,或者50万元(含)-100万元的直接经济损失 | 造成1人(含)-3人死亡,或者3人(含)-10人重伤,或者100万元(含)-1000万元的直接经济损失 | 造成3人(含)-10人死亡,或者10人(含)-50人重伤,或者1000万元(含)-5000万元的直接经济损失 | 造成10人(含)以上死亡,或者50人(含)以上重伤,或者5000万元(含)以上的直接经济损失 |
三、风险评级
风险评级是在风险评估的基础上进行的,将风险综合评分对比风险等级分值得出综合风险等级,不同的风险等级需采取不同的行动:
一般风险——风险影响小,发生概率低。不需要对此类风险采取任何正式的措施,但要求基层管理人员在日常操作中对其进
行监控。
较大风险——风险影响重大,但发生的可能性中等或者较低。重大风险——风险影响重大,发生可能性高,需要立即采取行动。
| 综合风险等级 | 风险等级分值(R) | 描述 |
| 一般风险 | 1≤R<9 | 风险较小,日常工作中保持关注或忽略 |
| 较大风险 | 9≤R<16 | 风险较大,需要引起关注 |
| 重大风险 | 16≤R≤25 | 风险很大,需要引起高度关注 |