1、關于下發公司全面風險管理指引（暫行）的通知各單位、機關各部室：為加強風險管理工作，建立規范、有效的風險管理和內部控制體系，提高經營管理水平和風險防范能力，促進公司總體戰略和經營目標的實現，特制定有限公司全面風險管理指引（暫行），現予以下發，請遵照執行。公司全面風險管理指引（暫行）第一章 總 則第一條 為加強公司有限公司（以下簡稱“公司”）風險管理工作，建立規范、有效的風險管理和內部控制體系，提高經營管理水平和風險防范能力，促進公司總體戰略和經營目標的實現，根據中央企業全面風險管理指引、企業內部控制基本規范、企業內部控制應用指引、企業內部控制評價指引、風險管理原則與指南及其他有關法律、法規和規范

2、性文件，結合公司實際制定本指引。第二條 本指引適用于公司及所屬分公司、全資子公司、控股子公司、重要的聯營合營企業、相關的事業單位（以下簡稱“經營單位”），其他企業參照執行。第三條 本指引是基于現階段公司風險管理實際情況，并借鑒國內先進企業風險管理理念與經驗，通過階段性建設不斷提升公司風險管理水平。本指引為現階段公司風險管理工作實施的暫行文件。第四條 本指引所稱風險是指未來的不確定性對公司實現戰略和經營目標的影響。公司風險包括：戰略風險、運營風險、財務風險、市場風險和法律風險等。第五條 本指引所指風險包括純粹風險和機會風險。純粹風險指僅能帶來損失的風險，公司應積極采取控制、規避和轉移純粹風險，避

3、免損失或降低純粹風險的影響程度。機會風險是指可能帶來損失或收益的風險，公司應積極應對、承擔進而駕馭機會風險，減少損失并獲取超額收益。第六條 本指引所稱全面風險管理是指公司圍繞總體戰略和經營目標，通過在經營管理的各個環節和過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全風險管理體系，從而為實現風險管理的總體目標提供合理保證的過程和方法。全面風險管理包含內部控制。第七條 本指引所稱的內部控制是指圍繞公司發展戰略及經營目標，全員參與實施，通過對目標實現過程的控制及有關機制、制度、流程等進行的持續優化、科學管理，以實現公司經營管理合法合規、資產安全、財務報告及相關信息真實完整、不斷提升公

4、司經營管理績效和風險防范能力的過程。 第二章 風險管理目標和原則第八條 公司全面風險管理的目標是保障經營管理的有效性，降低實現戰略目標的不確定性，通過減少損失和危害創造價值。按照智能風險管理理念，風險管理能力一般可分為無意識型、松散型、自上而下型、系統型和智能型。公司現階段致力于自上而下建立健全全面風險管理體系，階段性目標是按照ISO31000:2009標準，通過兩至三年時間建設完成系統型風險管理體系框架，至2020年建設成為先進的智能型風險管理體系，將風險管理打造成為公司核心競爭力之一。第九條 根據公司戰略規劃和經營目標，全面風險管理遵循如下原則：（一）全面性原則。風險管理應當貫穿決策、執行

5、和監督全過程，覆蓋公司及各經營單位的各種風險。（二）重要性原則。風險管理應當在全面管理的基礎上，關注重大風險，實施重點管理。（三）適應性原則。風險管理應當與公司經營實際情況相適應，并隨著情況的變化持續調整改進。（四）制衡性原則。風險管理應當在治理結構、機構設置及權責分配、業務流程等方面形成相互制約、相互監督。（五）協同性原則。風險管理應當“自上而下，自下而上，上下結合，左右互動，形成合力”，由公司各職能部門、業務板塊和經營單位應相互配合、協同合作、流程順暢、保障效率，取得實效。（六）主體責任原則。風險管理應當明確主體責任，各職能部門、業務板塊和經營單位在各自經營管理范圍內承擔風險管理責任，即“

6、誰負責損益，誰管理風險；誰履行職能，誰管理風險”。（七）成本效益原則。風險管理應當權衡風險管理成本與經營效益，以適當的成本實現有效風險管理。（八）循序漸進原則。風險管理應當針對現階段薄弱環節，選取有代表性的經營單位試點開展，并逐步在公司范圍內推廣。第三章 風險管理組織體系第十條 公司全面風險管理的組織體系包括董事會、風險控制委員會、風險控制部、各職能部門、各業務板塊、各經營單位和審計管理中心。第十一條 公司風險管理由三道防線構成，公司各職能部門、業務板塊和經營單位為第一道防線；風險控制部和風險控制委員會為第二道防線；審計管理中心為第三道防線。第十二條 董事會是公司全面風險管理工作的領導機構，其

7、在風險管理方面的職責包括：（一）批準公司年度全面風險管理報告；（二）確定公司風險管理總體目標、風險偏好、風險承受度，批準風險管理策略和重大風險管理應對方案；（三）了解和掌握公司面臨的各項重大風險及其風險管理現狀，做出有效控制風險的決策，批準重大風險的評估報告；（四）批準公司風險管理與內部控制組織機構設置及其職責方案；（五）批準審計部門或機構提交的風險管理監督評價報告、內部控制評價報告；（六）督導公司風險管理文化的培育；（七）批準全面風險管理的其他重大事項。第十三條 風險控制委員會是公司董事會設立的風險管理專門機構，在董事會授權范圍內行使以下職責：（一）審議公司全面風險管理報告；（二）審議風險管

8、理策略和重大風險管理應對方案；（三）審議重大風險的評估報告；（四）審議公司風險管理與內部控制組織機構設置及其職責方案；（五）審議審計部門提交的風險管理監督評價報告、內部控制評價報告；（六）在董事會授權下審批風險管理與內部控制制度；（七）辦理董事會授權的有關風險管理的其他事項。第十四條 風險控制部是公司全面風險管理工作的主管部門，是公司的風險策略研究中心、風險決策支持中心、風險預警監測中心、風險管理報告中心、風險管理協調中心。風險控制部主要履行以下職責：（一）研究提出公司全面風險管理報告；（二）研究提出風險管理與內部控制制度、流程并監督實施；（三）研究提出風險管理策略和重大風險管理應對方案，并負

9、責組織實施方案和日常監控風險；（四）研究提出重大風險的評估報告；（五）負責對全面風險管理有效性的評估，研究提出風險管理與內部控制的改進方案；（六）負責組織建立風險管理信息系統；（七）負責協調、指導、監督有關職能部門、業務板塊和各經營單位開展風險管理與內部控制工作；（八）風險管理人員資質管理；（九）辦理與風險管理和內部控制有關的其他工作。第十五條 公司其他職能部門在全面風險管理工作中，應接受風險控制部的協調、指導和監督。風險控制部監督各職能部門履行風險管理職能，側重于風險管理制度和流程執行情況，并不介入和替代其具體管理工作。各職能部門主要履行以下職責：（一）執行公司風險管理原則與流程，依據本部門

10、職能對具體風險進行管理；（二）研究提出本部門的風險管理報告；（三）做好本部門的內部控制流程、制度的編寫及內部控制自我評價工作；（四）做好本部門與風險管理信息系統相關工作； （五）做好本部門風險管理文化建設工作；（六）辦理風險管理其他有關工作。第十六條 公司各職能部門應設立風險管理、內部控制管理崗位。第十七條 公司各經營單位負責本單位的全面風險管理工作，建立符合自身特點的風險管理與內部控制組織體系，并接受公司風險控制部的指導與監督。第十八條 各經營單位負責人為風險管理與內部控制第一責任人。各經營單位應由總經理或總經理委托的高級管理人員負責主持全面風險管理的日常工作。第十九條 各經營單位應確定相關

11、職能部門履行全面風險管理與內部控制職責；如根據實際情況需設立專職風險管理部門，應符合公司相關要求。未設立專職風險管理部門的單位應設置專門的風險管理與內部控制管理崗位。第二十條 公司審計管理中心負責研究提出全面風險管理監督評價體系，制定監督評價相關制度，開展監督與評價，出具監督評價報告。審計管理中心負責公司內部控制評價工作，出具內部控制評價報告。第二十一條 風險管理與內部控制管理崗位任職人員應具備風險管理專業能力。風險控制部負責通過培訓、考核等方式，建立風險管理人員資質管理制度，提高風險管理隊伍人員素質。第四章 風險管理流程第二十二條 風險管理流程包括：風險管理信息收集、風險評估、風險管理策略制

12、定、風險管理解決方案和風險管理監督與改進。第二十三條 公司各職能部門、業務板塊和經營單位應廣泛、持續不斷地收集與風險和風險管理相關的內部、外部信息，包括歷史數據和未來預測。第二十四條 公司各職能部門、業務板塊和經營單位應對收集的初始信息進行必要的篩選、提煉、對比、分類、組合，以便進行風險評估。第二十五條 風險評估包括風險識別、風險分析、風險評價三個步驟。風險識別是指查找各項重要經營活動及業務流程中是否存在風險，存在哪些風險。風險分析是對識別出的風險及其特征進行明確的定義描述，分析風險發生可能性的高低、風險發生的條件。風險評價是評估風險的影響程度、風險的價值等。第二十六條 風險評估應根據風險特點

13、，將定性與定量方法相結合。定性方法可采用問卷調查、集體討論、專家咨詢、情景分析、政策分析、行業標桿比較、管理層訪談和調查研究等。定量方法可采用統計推論、計算機模擬、失效模式與影響分析、事件樹分析等。第二十七條 風險控制部負責全面評估公司風險，建立公司風險數據庫和風險矩陣。風險數據庫實行動態管理，每年度更新維護。風險數據庫的內容包括風險點、風險產生原因、風險發生后果、風險發生可能性及影響程度等。第二十八條 各職能部門、業務板塊和經營單位負責評估自身風險，建立風險數據庫，每年度更新維護，并向風險控制部報送評估結果。第二十九條 風險控制部每年至少進行一次風險問卷調查，調查范圍應覆蓋公司管理層、各職能

14、部門和各經營單位負責人。調查內容應包含風險發生可能性和影響程度，并針對不同的調查對象設置相應的權重。第三十條 公司整體或重大項目的風險評估，經批準可聘請有資質、信譽好、風險管理專業能力強的中介機構協助實施。第三十一條 公司應根據自身條件和外部環境，圍繞公司發展戰略，逐步根據不同業務特點確定風險偏好、風險承受度，明確風險的最低限度和最高限度，并據此確定風險的預警線及相應采取的對策。第三十二條 公司和經營單位應建立風險監測預警體系，設定監測指標和監測預警值，并定期監測。監測指標應為定量化指標，并覆蓋各類重大風險。監測預警值應采取行業標桿比較、行業績效對標、歷史數據法、預算值法、行業監管值法等方式確

15、定。第三十三條 公司應結合實際情況，選取試點單位，適時引入風險預算機制。第三十四條 公司風險管理應選擇風險承擔、風險規避、風險轉移、風險轉換、風險對沖、風險補償、風險控制等適合的方法。第三十五條 公司應根據風險與收益相平衡的原則以及各類風險在風險矩陣中的位置，進一步確定風險管理的優選順序，明確風險管理成本的資金預算和控制風險的組織體系、人力資源、應對措施等總體安排。第三十六條 公司應根據風險管理策略，制定風險管理解決方案。方案應包括風險解決的具體目標，所需的組織領導，所涉及的管理及業務流程，所需的條件、手段等資源，風險事件發生前、中、后所采取的具體應對措施以及風險管理工具。公司各職能部門、業務

16、板塊和經營單位應按照職責分工，認真組織實施風險管理解決方案，確保各項措施落實到位。第三十七條 各經營單位按要求每季度編制風險管理報告，向風險控制部報送并同時抄報其主管部門。風險控制部可根據風險管理實際需求，要求經營單位每月度編制風險管理報告。第三十八條 各職能部門按要求每季度編制風險管理報告，并向風險控制部報送。第三十九條 風險控制部負責每季度編制公司風險管理報告，并向風險控制委員會報送。公司年度全面風險管理報告經風險控制委員會審議后，報董事會批準。第四十條 風險管理報告內容應包括風險管理工作完成情況、風險評估情況、重大風險管理情況、風險監測預警情況、風險管理工作安排和風險管理建議等。第四十一

17、條 各職能部門、業務板塊和經營單位對重大風險事項應及時形成風險管理報告，并向風險控制部、風險控制委員會報送。第四十二條 公司應以重大風險、重大事件和重大決策、重要管理及業務流程為重點，對風險管理初始信息、風險評估、風險管理策略、關鍵控制活動及風險管理解決方案的實施情況進行監督，根據變化情況和存在的缺陷及時加以改進。第四十三條 各職能部門、業務板塊和經營單位應結合年度經營計劃和工作計劃提出風險管理工作計劃、目標和實施措施。第四十四條 風險控制部根據實際需要對各職能部門和經營單位風險管理工作實施情況和有效性進行抽查和檢驗，對風險管理策略進行評估，對各職能部門和經營單位的風險管理解決方案進行評價，提

18、出調整或改進建議。第四十五條 審計管理中心應對包括風險控制部門在內的各職能部門和經營單位能否按照有關規定開展風險管理工作及其工作效果進行監督評價，監督評價報告應直接報送風險控制委員會。第四十六條 各職能部門、業務板塊和經營單位的風險管理執行情況應適時與績效薪酬掛鉤。各經營單位風險管理工作完成情況，應納入公司“五型”企業評比體系。第五章 內部控制管理第四十七條 公司及各經營單位應建立并完善內部控制制度。各單位應依據相關法律法規與公司內部控制制度，結合本單位實際情況，制定相關內部控制管理制度。第四十八條 公司及各經營單位應依據相關制度，結合本單位實際情況，制定并完善內控管理手冊。內控管理手冊包括內

19、部控制制度、流程等，內控管理手冊至少每年度維護更新一次。第四十九條 各經營單位應每年度至少組織實施一次內部控制自我評價，形成本單位內部評價并報送風險控制部。第五十條 內部控制評價，是指對內部控制的有效性進行全面評價、形成評價結論、出具評價報告的過程。第五十一條 內部控制評價包括各單位自我評價、公司評價和外部評價。（一）各單位自我評價由本單位內部控制或風險管理機構組織實施。（二）公司評價由審計管理中心組織實施。（三）外部評價由公司或各單位聘請外部機構組織實施。第五十二條 內部控制評價程序包括：制定評價工作方案、組成評價工作組、實施現場測試、認定控制缺陷、匯總評價結果、編報評價報告等環節。第五十三

20、條 內控評價應圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督五要素，確定核心指標和評價標準。（一）內部環境評價，應當對內部環境的設計及實際運行情況進行認定和評價。 （二）風險評估機制評價，應當對日常經營管理過程中的風險識別、風險分析、應對策略等進行認定和評價。 （三）控制活動評價，應當對相關控制措施的設計和運行情況進行認定和評價。 （四）信息與溝通評價，應當對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財務報告的真實性、信息系統的安全性，以及利用信息系統實施內部控制的有效性等進行認定和評價。（五）內部監督評價，應當對內部監督機制的有效性進行認定和評價，重點關注監事會、審計委員會、內部審計機構等是否在內部控制設計和運行中有效發揮監督作用。 第五十四條 公司及各經營單位應對內部控制評價與監督過程中發現的內部控制缺陷的性質及產生原因進行分析，并制定相應的措施進行整改。第五十五條 公司應當建立內部控制實施的激勵約束機制，將各單位和全體員工實施內部控制的情況納入績效考評體系，按照公司內控建設管理考核辦法等制度執行，促進內部控制的有效實施。第六章 風險管理信息系統第五十六條 風險管理信息系統是全面風險管理體系的重要組成部分。公司應建立涵蓋風險管理基本流程和內部控制各環節的風險管理信息系統，包括信息的采集、存儲