《公司全面风险管理指引》

关于下发《公司全面风险管理指引（暂行）》

的通知

各单位、机关各部室：

为加强风险管理工作，建立规范、有效的风险管理和内部控制体系，提高经营管理水平和风险防范能力，促进公司总体战略和经营目标的实现，特制定《有限公司全面风险管理指引（暂行）》，现予以下发，请遵照执行。

公司全面风险管理指引

（暂行）

第一章总则

第一条为加强公司有限公司（以下简称“公司”）风险管理工作，建立规范、有效的风险管理和内部控制体系，提高经营管理水平和风险防范能力，促进公司总体战略和经营目标的实现，根据《中央企业全面风险管理指引》、《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》、《风险管理—原则与指南》及其他有关法律、法规和规范性文件，结合公司实际制定本指引。

第二条本指引适用于公司及所属分公司、全资子公司、控股子公司、重要的联营合营企业、相关的事业单位（以下简称“经营单位”），其他企业参照执行。

第三条本指引是基于现阶段公司风险管理实际情况，并借鉴国内先进企业风险管理理念与经验，通过阶段性建设不断提升公司风险管理水平。本指引为现阶段公司风险管理工作实施的暂行文件。

第四条本指引所称风险是指未来的不确定性对公司实现战略和经营目标的影响。公司风险包括：战略风险、运营风险、财务风险、市场风险和法律风险等。

第五条本指引所指风险包括纯粹风险和机会风险。纯粹风险指仅能带来损失的风险，公司应积极采取控制、规避和转移纯粹风险，避免损失或降低纯粹风险的影响程度。机

会风险是指可能带来损失或收益的风险，公司应积极应对、承担进而驾驭机会风险，减少损失并获取超额收益。

第六条本指引所称全面风险管理是指公司围绕总体战略和经营目标，通过在经营管理的各个环节和过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全风险管理体系，从而为实现风险管理的总体目标提供合理保证的过程和方法。全面风险管理包含内部控制。

第七条本指引所称的内部控制是指围绕公司发展战略及经营目标，全员参与实施，通过对目标实现过程的控制及有关机制、制度、流程等进行的持续优化、科学管理，以实现公司经营管理合法合规、资产安全、财务报告及相关信息真实完整、不断提升公司经营管理绩效和风险防范能力的过程。

第二章风险管理目标和原则

第八条公司全面风险管理的目标是保障经营管理的有效性，降低实现战略目标的不确定性，通过减少损失和危害创造价值。

按照智能风险管理理念，风险管理能力一般可分为无意识型、松散型、自上而下型、系统型和智能型。公司现阶段致力于自上而下建立健全全面风险管理体系，阶段性目标是按照ISO31000:2009标准，通过两至三年时间建设完成系统型风险管理体系框架，至2020年建设成为先进的智能型风险管理体系，将风险管理打造成为公司核心竞争力之一。

第九条根据公司战略规划和经营目标，全面风险管理遵循如下原则：

（一）全面性原则。风险管理应当贯穿决策、执行和监督全过程，覆盖公司及各经营单位的各种风险。

（二）重要性原则。风险管理应当在全面管理的基础上，关注重大风险，实施重点管理。

（三）适应性原则。风险管理应当与公司经营实际情况相适应，并随着情况的变化持续调整改进。

（四）制衡性原则。风险管理应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督。

（五）协同性原则。风险管理应当“自上而下，自下而上，上下结合，左右互动，形成合力”，由公司各职能部门、业务板块和经营单位应相互配合、协同合作、流程顺畅、保障效率，取得实效。

（六）主体责任原则。风险管理应当明确主体责任，各职能部门、业务板块和经营单位在各自经营管理范围内承担风险管理责任，即“谁负责损益，谁管理风险；谁履行职能，谁管理风险”。

（七）成本效益原则。风险管理应当权衡风险管理成本与经营效益，以适当的成本实现有效风险管理。

（八）循序渐进原则。风险管理应当针对现阶段薄弱环节，选取有代表性的经营单位试点开展，并逐步在公司范围内推广。

第三章风险管理组织体系

第十条公司全面风险管理的组织体系包括董事会、风

险控制委员会、风险控制部、各职能部门、各业务板块、各经营单位和审计管理中心。

第十一条公司风险管理由三道防线构成，公司各职能

部门、业务板块和经营单位为第一道防线；风险控制部和风险控制委员会为第二道防线；审计管理中心为第三道防线。

第十二条董事会是公司全面风险管理工作的领导机构，其在风险管理方面的职责包括：

（一）批准公司年度全面风险管理报告；

（二）确定公司风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理应对方案；

（三）了解和掌握公司面临的各项重大风险及其风险管理现状，做出有效控制风险的决策，批准重大风险的评估报告；

（四）批准公司风险管理与内部控制组织机构设置及其职责方案；

（五）批准审计部门或机构提交的风险管理监督评价报告、内部控制评价报告；

（六）督导公司风险管理文化的培育；

（七）批准全面风险管理的其他重大事项。

第十三条风险控制委员会是公司董事会设立的风险管

理专门机构，在董事会授权范围内行使以下职责：

（一）审议公司全面风险管理报告；

（二）审议风险管理策略和重大风险管理应对方案；

（三）审议重大风险的评估报告；

（四）审议公司风险管理与内部控制组织机构设置及其职责方案；

（五）审议审计部门提交的风险管理监督评价报告、内部控制评价报告；

（六）在董事会授权下审批风险管理与内部控制制度；

（七）办理董事会授权的有关风险管理的其他事项。

第十四条风险控制部是公司全面风险管理工作的主管

部门，是公司的风险策略研究中心、风险决策支持中心、风险预警监测中心、风险管理报告中心、风险管理协调中心。

风险控制部主要履行以下职责：

（一）研究提出公司全面风险管理报告；

（二）研究提出风险管理与内部控制制度、流程并监督实施；

（三）研究提出风险管理策略和重大风险管理应对方案，并负责组织实施方案和日常监控风险；

（四）研究提出重大风险的评估报告；

（五）负责对全面风险管理有效性的评估，研究提出风险管理与内部控制的改进方案；

（六）负责组织建立风险管理信息系统；

（七）负责协调、指导、监督有关职能部门、业务板块和各经营单位开展风险管理与内部控制工作；

（八）风险管理人员资质管理；

（九）办理与风险管理和内部控制有关的其他工作。