四川三汇安防科技有限公司 全面风险管理暂行办法(试行)
第一章 总则
第一条 为建立和完善四川三汇安防科技有限公司(以下简称公司)全面风险管理框架,提高风险管理能力,规范风险偏好管理程序,防范公司运营过程中的各类风险,指导公司开展全面风险管理工作,增强公司商业化运作的竞争力,促进公司持续、健康、稳定发展,参照《中华人民共和国公司法》、国务院国资委《中央企业全面风险管理指引》、财政部《企业内部控制基本规范》和乐山国投集团《全面风险管理办法(试行)》等有关法律法规、规章及其他规范性文件的规定,结合公司实际,制订本办法。
第二条 本办法所称风险,是指未来的不确定性可能对企业实现战略规划和经营管理目标产生的潜在不利影响。本办法所称全面风险管理,是指企业改革发展和经营管理中所面临的各种风险,坚持全面、全员、全过程、全体系的风险防控机制,经过风险识别评估后采取相应对策措施,以规避或减少损失,为实现企业战略规划和经营管理目标提供有效保证的能力和实践。
第三条 本办法适用于公司及下属企业。
第四条 全面风险管理遵循以下原则:
(一)全面性原则。风险管理涵盖公司各职能部门、下属企业所有员工,渗透到各项业务和环节中,贯穿于每项业务全过程。通过不断提高员工对风险的识别和防范能力,树立全员风险意识;
(二)审慎性原则。内部风险控制的核心是有效防范各种风险,公司各部门组织的构成、内部管理制度的建立要以防范风险、审慎经营为出发点,制定开展全面风险管理的总体规划,分步予以实施;
(三)有效性原则。在全面风险管理的理念下,建设全面反映公司风险状况的风险控制体系,确保该体系能有效指导业务,并能有效防范和化解风险;
(四)适时性原则。应随着国家法律法规、政策制度的变化,公司经营战略、经营方针、风险管理理念等内部环境的改变,以及公司业务的发展,及时对风险控制制度进行相应修改和完善;
(五)重要性原则。在全面风险管理的基础上,关注重要业务、重点项目和高风险领域;
(六)制衡性原则。风险管理应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
第二章 风险管理组织架构和职责
第五条 公司应当构建科学有效、职责清晰的风险管理组织架构,建立和完善与其业务特点、规模和复杂程度相适应的风险管理体系。风险管理总体目标包括:
(一)确保将风险控制在与公司总体目标相适应并可承受的范围内;
(二)确保公司管理信息、业务记录等真实、可靠和完整;(三)确保遵守国家有关法律法规和公司内部规章制度;
(四)确保公司为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;
(五)确保公司建立针对各项重大风险发生后的危机处理
计划,保护公司不因灾害性风险或人为失误而遭受重大损失;
(六)建立完善的公司风险的识别、预警与监督机制。
第六条 全面风险管理的基本流程包括以下主要工作:
(一)收集风险管理初始信息;
(二)进行风险评估;
(三)制定风险管理策略;
(四)提出和实施风险管理解决方案;
(五)风险日常监控预警;
(六)风险管理的监督与改进等。
第七条 全面风险管理应涵盖公司治理与经营管理活动中所有环节,包括:
(一)公司治理环节:主要包括董事会、党总支(委)会与总经理办公会的会议运作和管理层的职权等;
(二)重大资产购买和出售环节:主要包括重大资产自建、购置、处置、维护、保管与记录等;
(三)对外投资环节:包括投资有价证券、股权、金融衍生品及其他长、短期投资、委托理财、募集资金使用的决策、执行、保管与记录等;
(四)对外担保、筹融资环节:包括借款、担保、租赁、发行债券等的授权、执行与记录等;
(五)关联交易环节:包括关联方的界定,关联交易的定价、授权、执行、报告和记录等;
(六)日常经营管理环节:主要包括生产、采购与付款、销售与收款、财务会计管理、全面质量管理、人事管理、安全管理等。
第八条 公司党总支(委)负责全面风险管理的领导工作,安排部署全公司风险管理工作,研究审议“三重一大”决策范围的风险管理事项,党总支(委)成员负责组织协调分管领域的风险管理工作。
第九条 全面风险管理组织体系包括:董事会、风险控制委员会、经营层、风控法务部、纪检监督室、其他职能部门及下属企业,所有的部门及下属企业和人员均承担风险管理的职责。
第十条 公司董事会是全面风险管理的决策机构,主要履行以下职责:
(一)定期听取公司全面风险管理情况汇报,督导全面风险管理体系的建立与实施;
(二)审议批准公司全面风险管理基本制度,确定公司风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险解决方案;
(三)审议批准公司年度重大风险评估结果,批准重大决策的风险评估报告;
(四)审议批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
(五)审议决定公司风险管理其他重大事项。
第十一条 公司董事长是全面风险管理第一责任人,负责组织领导建立健全覆盖各业务领域、部门、岗位,涵盖各职能部门、下属企业的内控风险管理体系。
第十二条 公司风险控制委员会是董事会领导下负责公司风险管理的专门机构,对董事会负责,按公司《风险控制委员会议事规则》履行相关职责。
第十三条 经营层负责按照董事会要求,提出公司风险控制体系的总体方案和实施步骤。落实全面风险管理体系建设,持续改善公司整体的风险管理体系;对重大风险问题提出解决方案并组织实施,对危机事件设立临时性处理机构。
第十四条 公司各职能部门、下属企业依据职责分工负责相关业务领域风险的管理工作,履行风险管理主体责任,定期向公司风控法务部提交风险管理报告。
第三章 管理部门及职责
第十五条 风控法务部是公司风险管理工作的归口管理部门,在董事会、风险控制委员会和经营层的领导下履行以下相关职责:
(一)执行公司的风险管理战略和决策,拟定公司全面风险管理制度,协助各职能部门制定业务风险管理流程;
(二)组织推动全面风险管理体系的建设和改进提升,协助其他职能部门开展风险管理规章制度的建立;
(三)负责督促相关职能部门落实经营层各项决策和风险管理制度,并对风险管理决策和风险管理制度执行情况进行跟踪、评估、报告;
(四)负责经营层交办的与全面风险管理相关的其他工作;(五)对各职能部门职责范围内风险事件进行管理;
(六)完成其他风险管理相关工作。
第十六条 各职能部门应当执行风险管理基本制度和业务流程,定期对本部门的风险进行评估,对其风险管理有效性负责。
(一)组织实施公司风险管理政策和业务流程,将风险管理的原则与要求贯穿业务开展的全过程;
(二)负责本部门风险管理初始信息的收集整理工作,建立健全本部门的风险管理内控子系统,提出本部门业务流程中风险点和控制点的初步识别信息;
(三)研究提出本部门的重要事项和重要业务流程风险的识别和判断标准,提出本部门重要风险的风险解决方案,并负责对该方案的组织实施和对该风险的日常监控;
(四)负责提出本部门重要业务风控报告;
(五)严格遵守风险管理制度和业务流程,及时、准确、全面、客观地将本部门的风险信息和监测情况向经营管理层和风控法务部报告;
(六)负责风险管理信息化系统在本部门的运行操作;
(七)配合和支持风控法务部工作。
第十七条 公司各职能部门负责人、下属企业负责人、各业务(项目)负责人是其风险管理的第一责任人。各职能部门、下属企业应设置风险管理岗,由熟悉业务的骨干兼职风险管理员,负责风险管理具体工作的推进及协调。公司所有员工是本岗位风险管理的直接责任人,负责具体风险管理职责的实施。
第四章 风险管理流程
第十八条 风险识别、风险评估、风险应对、风险报告和监控及风险管理体系评价是风险管理中的主要环节。各环节应当相互关联、相互影响、循环互动,并依据内部环境、市场环境、法规环境等内外部因素的变化及时更新完善。
第十九条 风险识别应当覆盖公司各个业务环节,涵盖所有风险类型。公司应当对已识别的风险进行定期回顾,并针对新法规、新业务、新产品、新的金融工具进行及时了解和研究。
第二十条 公司按照风险发生的概率以及影响程度,可采取定量和定性相结合的方法进行风险评估,保持评估方法的一致性,可经风险评估将风险分为重大风险、重要风险、一般风险和低风险等四个等级。公司可聘请有资质、信誉好、风险管理专业能力强的中介机构对公司全面风险管理工作进行评价,出具风险管理评估和建议专项报告。
第二十一条 公司管理层应当建立清晰的报告监测体系,明确风险等级、关键风险点、风险后果及相关责任、责任部门、责任人、风险处理建议和责任部门反馈意见等,确保能够及时获得真实、准确、完整的风险动态监控信息,明确并落实各相关部门的监控职责。
第二十二条 公司应当对风险管理体系进行定期评价,对风险管理系统的安全性、合理性、适用性和成本与效益进行分析、检查、评估和修正,以提高风险管理的有效性,并根据检验结果、外部环境的变化和公司新业务的开展情况进行调整、补充、完善或重建。
第五章 风险分类及应对
第二十三条 公司应当重点关注市场风险、信用风险、流动性风险、操作风险、合规风险、声誉风险等主要风险。
第二十四条 市场风险,是产品或服务的价格及供需变化带来的风险。包含市场需求萎缩、资金链紧张引发的资金风险、违约风险情况;能源、原材料、配件等物资供应的充足性、稳定性和价格的变化带来的风险;主要客户、主要供应商的信用风险;税收政策和利率、汇率、股票价格指数的变化带来的风险,主要是利率风险,也包括股票风险、汇率风险、商品风险等。市场风险管理的目标是严格遵循谨慎、分散风险的原则,充分考虑资产的安全性和流动性,实行专业化管理和控制,防范、化解市场风险。
第二十五条 信用风险,是指公司交易对手或债务人未能履行约定的义务或信用质量发生变化,给公司或公司管理的资产带来经济损失的风险,包括违约风险和结算风险。信用风险管理的目标是对交易对手、投资产品的信用风险进行有效的评估和防范,将信用风险控制于可接受范围内的前提下,获得最高的风险调整收益。
第二十六条 流动性风险,是指公司无法获得或无法以合理的成本获得资金,以满足业务发展需要或偿付到期债务的风险。流动性风险管理的目标是通过建立适时、合理、有效的风险管理机制,将流动性风险控制在可承受的范围之内。
第二十七条 操作风险是指由于内部程序、人员和系统的不完备或失效,或外部事件而导致的直接或间接损失的风险,主要包括制度和流程风险、信息技术风险、人力资源风险和道德风险。
(一)操作风险管理的目标是建立有效的内部控制机制,尽量减少因人为错误、系统失灵和内部控制的缺陷所产生的操作风险,保障内部风险控制体系有序规范运行;
(二)制度和流程风险是指由于日常运作,尤其是关键业务操作缺乏制度、操作流程和授权,或制度流程设计不合理带来的风险,或由于上述制度、操作流程和授权没有得到有效执行带来的风险,及业务操作的差错率超过可承受范围带来的风险;
(三)信息技术风险是指信息技术系统不能提供正常服务,影响公司正常运行;及信息技术系统和关键数据的保护、备份措施不足,影响公司业务持续性;及重要信息技术系统提供商不能提供技术系统生命周期内持续支持和服务的风险;
(四)人力资源风险是指缺少符合岗位专业素质要求的员工、过高的关键人员流失率、关键岗位缺乏适用的储备人员和激励机制不当带来的风险;
(五)道德风险是指员工违背法律法规、公司制度和职业道德,通过不法手段谋取利益所带来的风险。
第二十八条 合规风险,是指因公司及全体员工、有关利益相关方因不合规行为,引发法律纠纷、造成公司受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。主要包括投融资合规性风险、销售合规性风险、信息披露合规性风险等。
第二十九条 声誉风险是指由公司经营和管理、员工个人违法违规行为或外部事件导致利益相关方对公司负面评价的风险。声誉风险的控制目标是通过建立与公司业务性质、规模和复杂程度相适应的声誉风险管理体系,防范、化解声誉风险对公司利益的损害。
第六章 风险应对策略
第三十条 风险应对指公司针对各类重大风险,制定并实施各类风险应对策略和措施的过程。风险应对策略和措施应根据内外部环境变化及时更新和调整。
(一)规避风险。公司为避免损失应主动放弃或停止风险发生的可能性大且风险发生的不利后果很严重的活动;
(二)降低风险。公司为降低风险发生概率、减轻潜在损失,在风险事故发生之前采取消除风险因素的措施,对不能完全规避又无法顺利转移的风险,采取各种控制技术和方法来减少风险事故发生后的不利影响和损失;
(三)分担风险。公司为避免承担风险损失,有意识地将可能产生损失的活动或与损失有关的财务后果转移给其他方的一种风险应对策略,常见的方法有业务分包、购买保险等;
(四)承受风险。公司对风险承受度之内的风险,在权衡成本效益之后无意采取进一步控制措施的,或若采用其他风险应对策略的成本过高的,可以采用风险承受策略。
第三十一条 公司根据自身的风险偏好和风险承受度,采用一种或多种应对方式相结合,以有效管理和应对风险。
第三十二条 针对低风险,一般可通过现有制度与流程加以有效控制,不增加额外控制,但风险事件实际发生后应及时分析总结,并将结果报风险管理职能部门备案。
第三十三条 针对一般风险,公司应对现有制度与流程进行评估,查找差距与不足,补充完善控制措施,应对风险,防范风险升级扩散,并将结果报风险管理职能部门备案。
第三十四条 针对重要风险和重大风险,应由相关部门提起,在公司整体层面上加以应对,共同研究提出风险管理措施和解决方案,内容包括但不限于对风险的具体目标,所需的组织领导,所涉及的管理及业务流程、所需要的资源,相关工作进度安排等。
第三十五条 公司定期总结和分析已制定的风险管理策略的有效性和合理性,结合实际不断修订和完善。
第七章 风险管理的内控机制
第三十六条 公司按照经营战略与风险策略一致、风险控制与运营效率相平衡的原则,建立和完善风险管理的内控机制。
第三十七条 公司建立风险管理的内控机制,至少应建立健全以下制度和包括以下内容:
(一)岗位授权制度。对所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权做出决定;
(二)审批流程制度。明确规定各类审批事项的批准程序、条件、范围和额度、必备文件以及有权批准的部门和人员等;
(三)内控责任制度。按照权利、义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度;
(四)预算管理制度,明确各职能部门、下属企业在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束;
(五)审计检查制度。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等;
(六)考核评价制度。应科学设置考核指标体系,对公司各职能部门、下属企业和全体员工的业绩进行定期考核和客观评价,将考评结果作为员工奖惩、聘任、交流、培训的依据;
(七)重大风险预警制度。对重大风险进行持续不断的监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施;
(八)坚持不相容岗位职责分离原则,建立重要岗位权力制衡机制。坚持将授权与执行、执行与监督等不相容岗位分离设置,确有必要时可对关键岗位设置一岗双人,以相互制约,减少错误和舞弊的管理风险。
第三十八条 公司将信息技术应用于全面风险管理工作,将风险管理与公司各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。
第三十九条 公司根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。
第八章 风险的监控报告与预警
第四十条 公司建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
第四十一条 公司建立风险报告和预警制度。通过有效的沟通和反馈,使公司领导和有关部门及时了解公司业务和资产的风险状况,相应调整风险管理政策和管理措施。
第四十二条 公司的风险报告分为定期风险报告和不定期专项风险报告。定期风险报告是对一个阶段公司经营发展中存在的风险和纠正的情况进行的汇总报告;不定期专项风险报告是对监控中或风险专项检查中发现的重大风险或风险隐患问题进行的专项报告。风险报告要按照规定的报告程序报送公司领导、相关部门。
第四十三条 在风险监控中发现问题时,风控法务部可以进行风险专项检查,如发现内部控制存在重大缺陷或存在重大风险,应及时向公司报告。
第四十四条 公司相关部门应建立风险预警系统,以发现并应对可能出现的风险。各部门有责任及时、无保留地向公司报告有关风险的真实信息。
第九章 风险管理文化的建设
第四十五条 公司应将风险管理文化建设作为公司发展战略的组成部分,建立具有风险意识的企业文化,促进公司全面风险管理目标的实现。
第四十六条 公司应营造合规经营的制度文化环境,将风险管理理念融于企业文化建设的全过程中,树立正确的风险管理理念,增强员工风险管理意识,将风险管理意识转化为员工的共同认识和自觉行动,促进公司建立系统、规范、高效的风险管理机制,在各层面营造风险管理文化的氛围。
第四十七条 公司应引导员工遵循良好的行为准则和道德规范,牢固树立风险意识,强化以风险管理为导向的经营发展理念,将风险管理贯穿于经营管理的全过程,内化为自觉行动。
第四十八条 全面风险管理文化建设应与薪酬管理标准和人事管理标准相结合,有利于增强各级管理人员特别是高级管理人员风险意识,防止盲目扩张、片面追求业绩、忽视风险等行为的发生。
第四十九条 建立重要管理及业务流程、风险控制点的管理人员和业务经办人员的风险管理培训标准。采取多种途径和形式、加强对风险管理理念、知识、流程、管控内容的培训,培养风险管理人才,培育风险管理文化。
第十章 风险管理监督、考核和问责
第五十条 风险管理的监督与考核是指对风险管理的效果和效率进行持续监督和考核评价,包括对公司风险管理相关部门的风险管理工作执行情况进行定期检查,对风险管理工作任务的完成情况进行考核,并根据监督考核的结果,对公司风险管理工作进行改进与提升。
第五十一条 各职能部门、下属企业应定期对风险管理工作 风险管理总体状态和内部控制的效率与效果进行检查和评价。
第五十二条 风控法务部负责对公司风险管理工作进行总结,对发现的问题应及时分析原因,改进所发现的风险管理设计和运行的缺陷,并据以修订风险相关制度。
第五十三条 公司建立对全面风险管理工作的考核机制,根据公司全面风险管理工作情况,制定合理的考核范围、考核内容和考核办法等;全面风险管理考核将纳入公司年度绩效考核体系,公司各职能部门、下属企业应将全面风险管理工作任务列入年度工作计划。
第五十四条 公司全面风险管理考核主要包括对风险体系建设工作和风险管理具体工作绩效的考核,结合全面风险管理阶段性推进计划和工作目标,制定风险管理考核指标和考核标准。
第五十五条 风控法务部负责对各职能部门、下属企业的风险管理工作进行监督检查,根据各职能部门、下属企业年度风险管理工作执行情况,出具风险管理业绩考核意见,经风险控制委员会审批通过后,报公司绩效考核主管部门作为年度绩效考核的组成部分。
第五十六条 公司应根据风险管理考核结果,确定各职能部门及下属企业的风险管理责任。
第五十七条 纪检监督室负责对各职能部门和下属企业风险管理实施情况和制度的有效性进行监督检查,指出存在问题,责令限期整改。有关责任部门、下属企业应积极响应、配合、认真整改落实;对不认真履职或履职不到位导致发生重大风险给公司造成资产损失或者其他严重不良后果的经济损失的人员进行责任追究。
第五十八条 风险管理是各职能部门、下属企业和所有员工年度绩效考核的必备内容。全体员工均应牢固树立内控优先和全员风险管理理念,加强法律法规和公司规章制度学习,增强风险防范意识,严格执行法律法规、公司制度、流程和各项管理规定。
第十一章 附则
第五十九条 公司各职能部门、下属企业应根据本办法的要求,制定和完善风险管理相关的标准、流程和制度体系。
第六十条 下属企业依照本办法执行。
第六十一条 本办法由公司风控法务部制定,并负责解释。
第六十二条 如办法规定与国家及地方有关法律、法规、规章不一致的,以法律、法规、规章的有关规定为准。
第六十三条 本办法经党总支会、总经理办公会审议,董事会审定后生效,自印发之日起执行。