2019/10/15 12:45:13
四川省铁路产业投资集团公司全面风险管理暂行办法
第一章 总 则
第一条 为加强四川省铁路产业投资集团公司(以下简称集团公司)全面风险管理工作,提高风险防范能力,促进集团公司持续、健康、稳定发展,根据《中华人民共和国公司法》《中华人民共和国企业国有资产法》和国务院国有资产监督管理委员会《企业国有资产监督管理暂行条例》《中央企业全面风险管理指引》等有关规定,结合集团公司实际,制定本暂行办法。
第二条 本暂行办法所称“风险”,是指未来的不确定性对集团公司实现其经营目标的影响。一般分为:战略风险、财务风险、市场风险、运营风险、法律风险等。
第三条 本暂行办法所称全面风险管理,是指围绕集团公司战略规划和经营目标,通过在企业各管理环节和运营过程中,建立规范的风险管理组织体系、执行清晰的风险管理流程、培育良好的风险管理文化、强化风险管理考核与评价,实现集团公司全面风险管理总体目标的流程和制度。
第四条 集团公司全面风险管理坚持“事前有标准、事中有执行、事后有评价、持续有改进”的指导思想,推行风险管理制度化、标准化,围绕“优服务、防风险、强管理、提效益、培人才”等措施,服务于集团公司中心工作,促进企业经营目标的实现。
第五条 全面风险管理的总体目标是:
(一)建立和规范全面风险管理体系,形成风险控制长效机制,促进集团公司持续、健康、稳定发展;
(二)逐步采用科学合理的风险量化方法实施风险管理,将风险管理在与总体目标相适应并可承受的范围内;
(三)保证各项经营管理遵守法律法规、公司规章制度及为实现战略目标而采取重大措施的贯彻执行,提高经营活动的效率和效果;
(四)确保集团公司建立针对各项重大风险发生后的危机处理计划,不因灾害性风险或人为失误而遭受重大损失。
(五)确保在风险和收益匹配前提下实现集团公司整体价值最大化。
第六条 集团公司全面风险管理遵循以下原则:
(一)目标导向原则。全面风险管理应以集团公司战略目标为导向,通过规范决策程序,执行全面风险管理,确保战略目标和规划的实现。
(二)全面性原则。全面风险管理应当全员参与,覆盖投资、建设、运营的管理全周期,贯穿决策、执行、监督、考核与评价全过程。
(三)重要性原则。在全面风险管理基础上,重点关注集团的重大事项、特殊事项和高风险领域,制定风险应对措施,防范重大风险。
(四)谨慎性原则。应当坚持以事前防范,事中控制为主,事后补救为辅,着重做好风险识别的预判和风险控制的策略。
(五)系统性原则。全面风险管理应系统考虑风险因素之间的相关性及相互影响,不能孤立或片面的开展风险管理工作。
(六)适时性原则。全面风险管理不是静态的管理,应根据内外部环境的变化,动态持续完善全面风险管理体系。
第七条 全面风险管理主要包括收集风险初始信息、实施风险评估、确定风险管理策略、制定风险管理方案、持续风险监控预警、形成风险管理报告等流程。
第八条 集团公司实行风险管理责任制。集团公司主要负责人是风险管理工作“第一责任人”,风险管理分管领导是风险管理的重要负责人,集团公司各部门、各公司主要负责人是各部门、各公司风险管理直接责任人,负责各部门、各公司风险管理工作,贯彻执行集团公司各项全面风险管理政策、制度和流程。
第九条 本暂行办法适用于集团公司及所属公司,所属公司及其全资、控股公司(以下简称“各公司”)可根据本暂行办法结合各自公司管理需要,制定和修订完善相应的风险管理制度。集团公司所属上市公司风险管理工作,按照《上市公司监督管理条例》等相关法律法规和规章制度执行。
第二章 风险管理组织体系
第十条 集团公司树立“风险管控,全员有责”的理念,建立“统筹指导、分级负责”的风险管理模式,健全涵盖风险识别、风险控制、持续监控等全过程管理体系,逐步完善“大风控”体系下的包含合规、内控、法务、审计、监察相互衔接促进的组织体系。
第十一条 集团公司董事会是全面风险管理的最高决策机构,具体履行以下职责:
(一)确立全面风险管理总体目标、风险偏好、风险承受度,批准风险管理策略;
(二)批准风险管理机构的设置和职责方案;
(三)批准重大决策、重大风险、重大事件和重要业务流程的判断机制或判断标准;
(四)批准重大风险管理方案;
(五)审定全面风险管理年度工作报告;
(六)督导培育全面风险管理文化;
(七)审定与风险管理有关其他重大事项。
第十二条 按照风险分层、分类、集中管理的原则,逐步建立集团公司风险管理“三道防线”,将风险管理的工作节点融入公司管理和业务流程中,把风险管理的职责分工落实到岗位和人员,建立健全、持续完善风险管理组织体系,逐步构建健全的集团公司风险管理组织体系架构。
第一道防线为集团公司各部门、各公司,负责在业务前端识 别、评估、应对、报告风险;
第二道防线为集团公司风控与法律部和集团公司风险控制委员会,负责牵头制定各类风险管理制度和标准,组织集中分析、监控风险防范、应对突发风险管理机制运行情况;
第三道防线为审计和监察部门,负责对风险管理流程和风险管理措施的有效性,以及内部控制标准的执行情况进行监督检查,依法依规进行监察处理。
第十三条 风险控制委员会作为董事会全面风险管理工作决策支持机构,严格按照集团公司《风险控制委员会议事规则》行使以下职责:
(一)审议风险管理策略和重大风险管理方案;
(二)审议风险管理组织机构设置和职责方案;
(三)审议重大决策、重大风险、重大事件和重要业务流程的判断机制或判断标准;
(四)审议全面风险管理年度工作报告;
(五)组织贯彻全面风险管理文化的培育;
(六)办理董事会授权的风险管理的其他事项。
第十四条 风控与法律部是集团公司全面风险管理牵头部门,在集团公司及其风险控制委员会的统一领导下开展以下工作:
(一)起草拟订和持续修订完善全面风险管理等相关制度,并组织构建完善集团公司风险分类框架;
(二)负责拟定年度全面风险管理工作目标,制定和调整年度风险管理工作计划,编制专项风险工作计划;
(三)牵头实施集团公司全面风险管理工作流程;
(四)负责定期收集《风险梳理统计表》及《重大风险报备表》;
(五)负责选聘风险管理咨询机构;
(六)按照集团公司决策需要,适时牵头开展战略规划、产业布局、重大项目的风险评估;
(七)负责风险管理信息系统的风险管理基础信息发布与维护;
(八)协调、指导、检查、监督各部门、各公司风险管理工作,提交年度风险管理工作报告;
(九)负责各部门、各公司年度风险自查报告的备案工作;
(十)组织开展风险管理文化建设,风险管理知识技能培训等工作;
(十一)完成与风险管理相关的其他事项。第十五条 集团公司各部门、各公司是其专业领域和职责范
围内的各项风险管理的主责部门,主要职责包括:
(一)建立健全各部门、各公司各自专业领域和业务制度规范、操作流程。
(二)负责各部门、各公司各项业务存在的潜在风险和已发生的风险事件进行识别、自我检查,制定预警指标、应对策略和 解决方案等,实施关键控制程序。
(三)持续监控风险变化和风险应对措施执行情况,发生重大风险事件及时启动应急预案并报告主管领导,及时报告集团公司风险控制委员会相关风险发生和处置情况;
(四)贯彻执行全面风险管理理念,积极参与风险管理文化建设;
(五)开展各公司专业领域和业务范围内的风险管理相关工作,编制各公司年度风险自查报告,上报集团公司备案;
(六)各部门应设置风险管理专职或兼职风控岗位,各公司应当成立风控法律部门,负责风险管理工作。
(七)完成各部门、各公司风险管理相关的其他事项。
第三章 风险信息收集
第十六条 风险管理初始信息收集,是以业务流程为依托,通过收集与企业风险管理相关的内部和外部初始信息,了解集团公司主要业务风险、各重大业务流程的关键因素和绩效指标,分析行业竞争态势,广泛、持续地收集与风险管理相关的战略、市场、财务、运营、法律、合规等方面信息的活动。收集方法主要包括调查问卷、风险访谈、风险研讨等。
第十七条 集团公司建立风险管理初始信息的收集与积累机制并融入到日常工作,细化风险管理初始信息的收集范围,为风险评估提供依据。风险管理初始信息收集范围包括内部信 息和外部信息。
第十八条 内部信息来源包括发展规划、项目立项与投资、定期报告、融资负债信息、经济活动分析、工作调研等资料,以及各类内部刊物、动态信息和办公网络信息等,包含但不限于人力资源、业务运营、财务管理、安全环保、信息化、法律等风险因素。
第十九条 外部信息来源包括行业协会组织、社会中介机构、同类企业、业务往来单位、金融保险机构、网络媒体和有关监管部门,以及市场调查等方面的资料,包括但不限于经济、政策、社会、科学技术、自然环境等风险因素。
第二十条 集团公司以业务为基础、以流程为依托,采取定期集中收集与不定期动态收集方式开展风险管理初始信息收集工作。
(一)定期集中收集是指集团公司根据年度风险管理工作计划要求,每年组织各部门、各公司开展一次风险管理初始信息收集工作。初始信息收集内容主要包括风险名称、风险成因、风险影响等内容。
(二)不定期动态收集是指各部门、各公司根据集团公司的风险监控指标,实时开展风险的监控和预警工作,通过对监控指标异常与报警情况分析处理,形成报告,及时上报集团公司。
第二十一条 各部门、各公司对收集的风险管理初始信息应进行必要的筛选、提炼、分类、对比、组合,提升信息的有效性, 定期组织更新风险信息库、风险预警指标库及风险案例库。
第四章 风险评估
第二十二条 风险评估是指量化集团公司各类业务和内部管理带来的影响和损失的可能程度。风险评估工作主要包括风险识别、风险分析、风险评价三个步骤。
(一)风险识别是对收集的风险管理初始信息进行辨识,认定风险。以风险管理初始信息收集的结果为依据,采取管理层访谈、调查问卷、专家咨询、集体讨论等形式,开展风险识别工作。
(二)风险分析是指对辨识出的风险及其特征进行明确的定义描述。应以风险识别结果为依据,采取集体讨论、专家咨询、情景分析等形式,开展风险分析工作,从内、外部两个方面描述风险诱因,确定风险发生的条件。
(三)风险评价是评价风险对集团公司的影响程度和损失的可能性进行量化评估的工作。
第二十三条 集团公司每年开展一次集团范围内的风险评估工作。各部门、各公司按照集团公司统一安排实施风险评估工作。各公司可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。选聘的常年风险管理咨询服务机构应于选聘完成后的一个月内上报集团公司备案。
第二十四条 各部门、各公司应当采用定性与定量相结合的 方法,研究制定风险评估标准。
(一)定性方法包括问卷调查、集体讨论、专家咨询、情景分析、标杆比较、政策分析、个别访谈等;
(二)定量方法包括概率分析、敏感性分析、统计推论、计算机模拟、失效模式与影响分析、压力测试、事件树分析等。
第二十五条 风险评估标准依据风险发生的可能性和风险影响程度两个维度设置。集团公司根据风险评估标准,采取既定的风险评估方法,综合评定风险等级,绘制风险坐标图,确定各项风险的管理优先顺序和管理策略。
第二十六条 集团公司对风险管理信息实行动态管理,定期或不定期实施风险辨识、分析、评价,以便对新的风险和原有风险的变化重新评估。
第五章 风险管理策略
第二十七条 各部门、各公司应根据风险评估结果,结合集团公司战略管理目标与风险偏好和承受度,选择风险管理策略,并确定风险管理所需人力和财力资源的配置原则。
第二十八条 风险管理策略主要包括风险规避、风险控制、风险转移、风险转换、风险承担、风险对冲、风险补偿等。可以视不同风险特征和性质采取相应的风险管理策略。
第二十九条 各部门、各公司应根据既定的风险管理策略,制定风险管理方案。方案一般包括风险解决的具体目标,所需 的组织领导,所涉及业务流程,所需的条件、手段等资源,风险发生前、中、后期所采取的应对措施,以及关键风险指标管理、损失事件管理等风险管理工具。
第三十条 风险管理方案主要包括事前预防方案,事中控制方案,事后改进方案。
(一)事前预防方案,指运用内部控制工具包括授权审批控制、不相容职务分离控制、预算控制、运营分析控制、绩效考评控制等,对可能发生的风险采取预防性措施,降低风险发生可能性,将风险影响控制在可承受的范围内。
(二)事中控制方案,指根据各公司所辖部门职责分工,按照定人员、定时间、定责任、定措施的“四定”原则,认真组织实施风险管理解决方案,确保各项措施落实到位,将风险控制在可控范围内。
(三)执行事后改进方案,多渠道获取风险补偿,针对已发生的风险事件,提出管理改进建议。主要包括应急预案的改进、风险处置管理改进等措施。
第三十一条 风险管理方案应满足合规性要求,坚持运营战略与风险策略一致、风险管理与运营效率及效果相平衡的原则,针对重大风险所涉及的业务流程,制定涵盖各环节的全流程控制措施。
第六章 风险监控预警
第三十二条 集团公司风险控制委员会组织和指导各部门、 各公司建立健全重大风险预警和突发事件应急处理机制,明确预警标准及责任人员,规范处理程序,确保突发事件及时妥善处理。
(一)重大风险应急预案应包括预警规则、处置措施、止损策略和实施步骤、信息报送等要素;
(二)突发事件应急处理机制应包括明确突发事件责任人,规范应急处理启动和实施流程,建立沟通机制和应急物资储备机制等,确保能在最短时间内,指挥、协调、调集必要的资源投入处置工作。
第三十三条 各部门、各公司应当将一般风险、中等风险所涉及的业务流程作为日常风险关注点,根据关键业务流程节点设置内部流程控制点,采取相应的控制措施进行管控。
第三十四条 各部门、各公司应当建立风险预警指标体系,对风险管理情况进行实时监控,及时预警。风险预警指标应与集团公司和各公司的生产运营核心绩效指标有机融合,并按照相关性、敏感性、可行性、可衡量性原则设定,提高预警指标可量化程度。
第三十五条 集团公司风险控制委员会针对风险预警指标正常率偏低、风险事件频发、政策市场等内外部环境发生重大变化等情况,不定期发布风险提示函、预警函,提示风险。各部门、各公司应积极开展风险预警指标监控,分析指标发生异常原因,制定防控措施并对落实情况进行监控,并上报集团公司。
第三十六条 各部门、各公司应当结合集团公司和各自公司风险偏好和风险承受度,兼顾区域和行业特点,持续优化风险监控指标体系,及时调整风险监控指标范围和监控阈值,提高风险监控预测水平。
第七章 风险管理报告编制
第三十七条 建立健全风险管理报告制度,风险管理报告分为定期报告和不定期报告。
(一)定期报告是对集团公司和各公司在一个阶段内运营发展中存在的风险进行收集、评估、应对等工作情况的汇总报告,展现在该阶段内的风险管理工作的整体开展与完成情况。定期报告主要包括各公司季度、年度风险管理工作报告,各部门风险事件或自查报告等。
(二)不定期报告是对集团公司和各公司在风险监控过程中或风险专项检查中发现的重大风险或重大风险隐患问题进行评估、应对的报告,让各公司决策层与经营层及时掌握重大风险的防控措施及处置情况。不定期报告主要包括集团公司和各公司专项风险报告,以及各部门、各公司重大风险处置报告等。
第三十八条 各公司在日常工作中发现风险事件或重大风险隐患,应及时启动应急预案进行处置,并形成风险事件报告或重大风险处置报告,于风险事件或重大风险隐患发现的 48小时内上报集团公司。
第八章 风险管理信息系统
第三十九条 集团公司根据信息化平台建设的总体规划,按照统一规划设计、统一部署实施、同步上线运行的原则,统筹建设风险管理信息系统。
第四十条 集团公司建立贯穿于整个风险管理基本流程,连接上下级、各部门和各公司的风险管理信息沟通渠道,确保信息沟通的及时、准确、完整,并积极通过运用大数据构建模型等方式开展风险控制工作,为风险管理监督与改进奠定基础。
第四十一条 集团公司风险管理信息系统逐步与各公司业务信息系统集成,实现数据信息共享,提高风险监控效率和风险预警精确度。
第四十二条 集团公司风险管理信息系统应当建立严格的访问与变更、数据输入与输出、文件储存与保管、网络安全等系统应用管理机制,保证全面风险管理信息系统安全稳定运行。
第四十三条 集团公司建立风险管理信息系统,各部门、各公司应当依托风险管理信息系统开展风险信息收集、风险评估、风险预警、风险报告等风险管理相关工作,于每季度末月 25日前在线填报完成《风险梳理统计表》和《重大风险报备表》上报集团公司,每年 12 月 25 日前形成风险控制年度报告上报集团公司。
第九章 风险管理文化建设
第四十四条 各部门、各公司应当注重将风险意识融入到业文化建设中,树立正确的风险管理的文化理念,增强全员风险管理意识,促进建立系统、规范、高效的风险管理机制。
第四十五条 各公司决策层及经营层应在企业风险管理文化的培育过程中起率先垂范作用,打造风险管理文化环境,践行风险管理文化要求,营造风险管理文化氛围。
第四十六条 各公司应当采用工作简报、信息平台、新闻宣传等形式,开展企业风险文化建设的对内对外宣传,努力传播企业风险管理文化,持续树立风险无时不在、无处不在的意识,不断提升企业三道防线的全体人员风险管理水平。
第四十七条 各公司应当将风险管理培训工作纳入年度培训计划,定期或不定期组织风险管理人员学习,采取公开授课、宣讲以及理论研讨等多种培训形式,加强风险管理专业知识与技能培训,不断加强风险管理人才队伍建设。
第十章 突发风险处置
第四十八条 各公司应建立灵敏高效的突发风险处置应对机制,以降低风险损失。当突发风险发生,各部门、各公司最先接触或认知到风险的人员应当第一时间向其上一级管理者报告情况,同时迅速告知公司风险管理部门和岗位人员。接获报告的上一级管理者应当及时组织有关部门和人员对突发风险进行初步评判,对一般风险,应立即向分管领导报告; 对重大风险,应当立即向公司主要领导报告。
第四十九条 对重大突发风险,各公司应立即成立风险处置小组,由公司领导担任组长,成员应包括法律风控部门、相关业务部门负责人和公司法律顾问,负责牵头迅速展开应对处置行动。
第五十条 风险处置小组应当及时根据现有的资料和信息,制订风险处置方案。方案应当包括风险处置目标、程序、组织、人员及分工、后勤保障、行动时间表等内容。方案按公司治理结构权限审定通过后,风险处置小组应当迅速开始处置行动。
第五十一条 风险事件处置完毕后,风险处置小组应及时形成总结报告,如实反映事件的起因、发生过程、处置方法和结果、责任认定等,提出整改建议或意见,并总结经验,吸取教训,以避免新的风险发生。
第五十二条 集团公司各部门、四大核心子集团和直属公司发生的风险事件,应于突发风险事件或重大风险隐患发生后的12小时内上报集团公司风险控制委员会,四大核心子集团和直属公司的所属公司发生的风险事件,应于风险事件或重大风险隐患发生后的 12小时内上报各自上级公司进行处置,并按要求逐级上报到集团公司。
第五十三条 各部门、各公司对突发风险事件或重大风险隐患进行处置后,应当适时电话向集团公司报告应对处置工作进展,并在处置完成后的三个工作日内形成风险处置报告上报集 团公司。
第十一章 责任追究
第五十四条 集团公司和各公司人员违反国家法律法规和规章制度的规定,不履行或未正确履行职责,致使发生下列情形造成国有资产损失以及其他严重不良后果的,应当依法追究相关人员的直接责任、主管责任或领导责任:
(一)风险管理制度缺失,内控流程存在重大缺陷或内部控制执行不力;
(二)对经营投资重大风险未能及时分析、识别、评估、预警和应对;
(三)对公司规章制度、经济合同和重要决策的法律审核未实现 100%全覆盖,导致不良影响和后果;
(四)过度负债危及公司持续经营,恶意逃废金融债务;
(五)瞒报、漏报重大风险及风险损失事件,指使编制虚假财务报告,公司账实严重不符等;
(六)所属子公司发生重大违法违纪问题,造成重大资产损失,影响其持续经营能力或造成严重不良后果;
(七)未履行或未正确履行职责致使公司发生较大资产损失,对生产经营、财务状况产生重大影响;
(八)对公司重大风险隐患、内控缺陷等问题失察,或虽发现但没有及时报告、处理,造成重大损失的;
(九)在购销管理、工程建设、转让产权、固定资产投资、投资并购、改组改制、资金管理等方面发生重大损失的。
第五十五条 对违反本暂行办法规定的行为,由各公司根据资产损失程度、问题性质等,对相关责任人采取组织处理、扣减薪酬、禁入限制、纪律处分等方式处理,构成涉嫌犯罪的,依法移送司法机关处理。
第十二章 评价与考核
第五十六条 各公司应当建立动态通报、改进机制,利用预算执行分析会议、专项工作例会等日常运营管理工作会议形式,对各类风险管理要素进行分析、通报,对涉及通报的风险管理事项,明确整改措施、整改时限等,确保风险管理机制有效执行。
第五十七条 集团公司风险控制委员会对各公司风险管理相关制度和流程的执行情况进行监督和检查,对各公司风险管理总体状态和内部控制的效果和效率进行检查、评价。
第五十八条 集团公司风险控制委员会统一安排对各公司定期开展风险管理年度考核,将风险管理考核结果纳入集团公司年度绩效考核体系,同管理、同评价、同考核、同兑现。
第五十九条 集团公司在评价与考核中,发现违反公司规章制度,违反道德诚信准则,对重大风险信息瞒报、虚报、漏报并造成不良社会影响或重大经济损失的,应当依法严肃查处,追究相关责任人责任;对各部门、各公司完善风险管理规章制度、 防范风险管理积极主动并取得突出成绩的,可以给予一定的精神表彰与物质奖励。各公司可以依据集团公司规章制度和各自实际,制定本公司的具体奖惩办法。
第十三章 附则
第六十条 本暂行办法由集团公司风险控制委员会负责解
释。
第六十一条 本暂行办法自集团公司董事会审议通过并发布之日起生效执行。