集团有限公司全面风险管理规定及风险管理评价办法.docx
集团有限公司全面风险管理规定及风险管理评价办法集团有限公司全面风险管理规定第一章总则第一条为加强和规范X集团有限公司(以下简称集团公司)全面风险管理,防范、控制和化解在复杂多变的经营环境中随时可能发生或出现的风险与危机,促进集团公司战略的实现和经营的持续、稳定、健康发展,根据中华人民共和国公司法等法律法规和国务院国资委中央企业全面风险管理指引(国资发改革(2006)108号)、X省国资委关于印发<关于加强省属企业内部控制体系建设与监督工作的实施意见的通知(x(2021)14号)、X省规范省管企业经营管理工作规定、财政部等五部委企业内部控制基本规范及相关配套指引精神,结合集团公司“集团化发展、板块化运营、专业化重组”的管控模式要求,制定本规定。第二条本规定所称“风险”,是指在集团公司发展过程中各种不确定性对实现企业战略及经营目标产生的潜在不利影响。企业风险一般可分为战略风险、运营风险、财务风险、市场风险和法律风险等。本规定所称“全面风险管理”,是指集团公司围绕总体经营目标,通过在管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险管理措施、风险管理组织职能体系、风险管理信息系统等,从而为实现风险管理的总体目标提供合理保证的过程和方法。全面风险管理需坚持全面、全员、全过程、全体系的风险防控机制,运用风险识别和评估手段后采取相应对策措施,以规避或减少损失,为实现集团公司战略和经营目标提供有效保证。第三条风险管理工作以集团公司发展战略为指导,围绕集团公司的总体目标,统筹安排,充分发挥信息技术在全面风险管理工作中的基础性、支撑性作用。在制订并实施战略规划、年度经营计划过程中应当充分考虑风险防范并制订应对措施,在投融资、市场运营、财务、人力资源、法律事务、安全生产等各项经营管理活动中应执行风险管理基本流程,制订并执行相应的制度、程序和措施。第四条开展全面风险管理要努力实现以下总体目标:(一)确保不发生全面性、系统性风险,并将风险控制在与集团公司总体目标相适应并在可承受的范围内;(二)确保遵守有关法律法规;(三)确保集团公司有关规章制度和为实现经营目标而采取的重大措施得到贯彻执行,保障经营管理的有效性,降低实现经营目标的不确定性;(四)建立针对各项重大风险发生后的危机处理机制,保护集团公司不因灾难性风险或人为失误而遭受重大损失。第五条风险管理遵循以下原则:(一)全面管理与重点防控相结合。风险管理应覆盖改革发展和经营管理过程中所面临的各种风险,并对其中关键风险实施重点管理。(二)分级分类管理。集团公司总部以管理系统性、组合性重大风险为主,并根据不同种类的风险特点实施分类管理,由相应职能部门负责具体管理。各二级子公司分别负责管理本级层面面临的风险。(三)领导主抓与全员参与相结合。各级管理人员及全体员工都要把风险管理融入岗位职责,把防控风险贯彻落实到分管业务各领域和岗位工作全过程。(四)可知、可控、可承受。集团公司总部及各二级子公司应对风险进行事前预测,做到风险可知,通过分析、评估并制定切实可行的风险管理策略和措施加以防范控制,将风险降至可承受范围之内。(五)管业务必须管风险。集团公司总部机构和各二级子公司是风险管理的责任主体,对具体业务风险的管理情况负直接责任。(六)持续改进、动态适应。风险管理要主动适应集团公司内、外部环境变化,针对“集团化发展、板块化运营、专业化重组”管控体系要求等,动态研窕风险防控方案,持续完善风险管理体系。第六条集团公司总部机构和各二级子公司应根据自身经营规模、业务特点和所处的发展阶段等因素,确定风险偏好。应选择若干能够衡量风险的具体指标作为预警指标,并明确风险的最低限度和不能超过的最高限度,作为量化的风险容忍边界。第七条集团公司总部机构及各二级子公司应大力培育和塑造良好的风险管理文化,树立正确的风险管理理念,增强员工风险管理意识,将风险管理意识转化为员工的共同认知和自觉行动,促进企业风险管理目标的实现。第八条本规定适用于集团公司总部机构各部门、中心及各二级子公司。第二章风险管理组织与职责第九条风险管理组织体系由集团决策层到执行层分别为董事会、审计与风险控制委员会、经理层、分管领导、总部机构各部门和各级企业组成。第十条集团公司董事会是全面风险管理的领导和决策机构,主要履行以下职责:(一)定期听取集团公司全面风险管理情况汇报,督导全面风险管理体系的建立与实施;(二)审议批准集团公司全面风险管理基本制度,审议确定集团公司风险管理总体目标,批准风险管理策略和重大风险解决方案;(三)审议批准集团公司年度重大风险评估结果,批准重大决策的风险评估报告;(四)审议批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;(五)审议决定集团公司风险管理其他重大事项。第十一条审计与风险控制委员会根据集团公司董事会授权,负责集团公司风险管理策略和解决方案的制定、重大决策、重大事件、重要业务流程的风险控制、管理、监督和评价工作。在风险管理方面主要履行以下职责:(一)根据集团公司总体战略,审议和修订集团公司风险战略、风险管理制度,对其实施情况及效果进行监督和评价;(二)审议集团公司战略、运营、财务、市场、法律等重大风险管控方案,审议重大风险事件专项风险报告并提出整改意见;(三)审议风险管理组织机构设置及其职责方案,监督和评价风险管理部门的设置、组织方式、工作程序和效果,并提出整改意见;(四)审议审计部提交的风险管理评价报告;(五)审议风险监控和监督检查中发现的重大风险事项评估报告;(六)协调解决风险管理工作中所需经费和人力,为风险管理工作提供保障;(七)办理董事会授权的有关全面风险管理的其他事项。第十二条经理层对全面风险管理执行工作的有效性负责,根据职责向董事会报告风险管理工作,包括风险关键监控指标及风险承受度、重大风险事项评估、风险应对方案的制定及执行情况、风险管理半年度和年度评价报告等审核职责履行情况。第十三条分管领导按分工主持分管范围内风险管理的日常工作,对总经理负责,行使总经理授权范围内的风险管理职责。第十四条集团公司审计部负责全面风险管理体系的建设和整体运转,为风险决策提供专业意见。主要履行以下职责:(一)制订风险管理的规章制度、工作标准和工作流程;(二)指导集团公司总部机构和各二级子公司全面风险管理的制度和流程的执行;(三)定期组织开展风险信息收集、识别、分析与检查,制订或调整统一的风险评估标准;(四)组织协调集团公司总部机构和各二级子公司拟订风险管控方案,组织、督促管控措施的实施;(五)组织开展公司重大项目的风险评估工作;(六)编制集团公司全面风险管理年度评价报告;(七)组织全面风险管理考核工作;(八)组织协调风险管理信息系统的开发和推广运用;(九)负责审计与风险控制委员会交办的其他事项;(十)负责全面风险管理相关的其他工作。第十五条集团公司总部机构各部门应全面落实本系统全面风险管理工作,履行相关类别的风险管理监督职责。风险管理主要以部门职责为基础,各部门均有风险管理的职责,包括牵头职责和配合职责,部门负责人为本部门牵头的风险管理负责人。风险管理牵头部门应全面落实本系统风险防控工作,履行相关类别的风险管理监督责任,定期向分管领导报告风险管理工作,提交相关议题报告。主要履行以下职责:(一)贯彻执行集团公司全面风险管理规定等制度,认真做好本部门牵头的风险管理工作,有效控制风险;(二)对收集的风险信息进行梳理,识别、分析本部门牵头的业务管理各环节的风险点;(三)负责本部门牵头的业务管理各环节风险发生可能性和影响程度评估标准的制订;(四)负责组织本部门牵头的业务管理各环节风险事项的风险评估,参与集团公司组织的风险评估工作,主要负责对本部门牵头的业务管理各环节风险进行评估;(五)拟订本部门牵头的业务管理风险的应对措施和方案,并组织实施或协调实施管控措施;(六)对本部门牵头的业务管理风险进行监控和预警,形成风险监控记录或监控报告,并及时反馈审计部;(七)按管理流程向集团公司分管领导及审计部提交风险管理半年度和年度报告;(八)协助开展风险管理文化宣传和风险信息系统建设的有关工作;(九)负责办理与本部门业务相关的其他风险管理工作;(十)按照职责分工配合牵头部门提供本部门涉及到的管理信息和提供相关的专业协助。第十六条各二级子公司为集团公司风险防控的责任主体,也是集团公司总部机构各牵头部门进行风险管理的直接对象,应履行主体责任,并依据集团公司风险管理的基本要求并结合本单位的实际开展以下方面工作:(一)建立完善本公司风险管理的组织机构及职能、风险管理制度、风险管理流程和风险管理评价报告体系,并做好与集团公司相关规定衔接工作;(二)按照业务归口管理,向集团公司各归口管理部门报送经营管理和风险管理信息;(三)组织开展本公司的全面风险评估或重要业务流程的风险评估;(四)制订风险的应对措施、方案并组织实施;(五)向集团公司审计部提交风险管理半年度和年度报告;(六)开展风险管理文化宣传和风险信息系统建设的有关工作;(七)金融类企业应设立专门的风险管理部门,配备专职的风险管理人员,按照行业监管要求和公司章程,结合自身实际,完善法人治理结构,建立健全风险管理制度,规范业务操作流程。第三章风险管理内容与流程第十七条集团公司根据风险排查和风险识别情况制定风险清单和风险识别标准,明确风险管理主要领域或内容,并提出总体指导要求,各二级子公司应根据自身改革发展和经营管理实际确定风险管理重点内容,保证风险防控不遗漏。第十八条集团公司和各二级子公司重点管理的风险包括但不限于战略风险、运营风险、财务风险、市场风险、法律风险等。第十九条风险管理基本流程包括以下主要工作:(一)收集风险管理初始信息;(二)进行风险评估;(三)提出和实施风险管理解决方案;(四)制定风险管理策略;(五)风险管理的监督与改进。第二十条风险管理具体操作流程为:目标设定-风险识别-风险分析及评估-风险应对-风险监控与评价。(一)目标设定:集团公司总部机构和各二级子公司应根据自身业务实际情况采取定量与定性分析方法确定重大风险管控目标,即确定风险容忍度,并确保所选择的具体目标及所面临的风险在集团公司愿意承受的风险水平范围内。(二)风险识别:集团公司总部机构和各二级子公司在日常工作中,应持续地收集与本系统、本公司风险相关的内外部信息,包括历史数据和未来预测数据,并进行整理和记录。各二级子公司应定期将收集数据上报集团公司相关归口部门。(三)风险分析及评估:集团公司总部机构及各二级子公司对风险信息进行统一筛选、提炼和规范管理。根据风险的影响程度和发生可能性等建立评估标准,根据列举的风险清单,采取风险评级、风险矩阵、情景分析、压力测试等方法对识别的风险进行分析计量并进行等级评价或量化排序,从发生的可能性和影响程度两个方面对事件进行评估,通过专业分析和判断,对重大风险进行提示,并提出解决方案。(四)风险应对:集团公司总部机构及各二级子公司根据风险评估和预警结果,制定与集团风险偏好相适应的风险回避、降低、转移和承受等应对策略。(五)风险监控与评价:集团公司总部机构及各二级子公司应对其管理的重大风险和相关风险进行持续的日常监控,对关键风险指标的变化情况、新出现的风险或原有风险的重大变化、风险应对方案的执行情况及执行效果予以持续关注。对风险监控结果进行分析评价,一旦关键指标达到预警值时应及时上报并积极采取防范措施。第二十一条全面风险管理的内容和具体实施流程由审计部制订,包括但不限于具体操作指南、风险信息库或风险评估标准等系列文件,形成风险管理手册,便于执行中参考。第四章风险信息收集和管理第二十二条集团公司总部机构和各二级子公司应广泛、持续不断地收集与经营管理相关的、影响公司目标实现的内部和外部风险信息、,包括宏观经济政策、法律法规、产业导向、治理结构、市场状况、财务状况、人力配置、管理流程、管理措施、信息系统运用、信息沟通和报告等方面的历史数据和未来预测信息,以及本单位或其他企业风险失控导致企业损失的案例等。第二十三条风险信息包括但不限于:(一)战略风险方面。应广泛收集国内外企业战略风险失控导致企业蒙受损失的案例,并至少收集与本集团公司各业务板块相关的以下重要信息、:L国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策;2,科技进步、技术创新的有关内容;3 .市场对本企业产品或服务的需求;4 .与企业战略合作伙伴的关系,未来寻求战略合作伙伴的可能性;5,本企业主要客户、供应商及竞争对手的有关情况;6 .与主要竞争对手相比,本企业实力与差距;7 .本企业发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据;8,本企业对外投融资流程中曾发生或易发生错误的业务流程或环节。(二)运营风险方面。应至少收集与本企业、本行业相关的以下信息:L产品结构、新产品研发;8 .新市场开发、市场营销策略,包括产品或服务定价与销售渠道,市场营销环境状况等;9 .企业组织效能、管理现状、企业文化、高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验;10 .期货等衍生产品业务中曾发生或易发生失误的流程和环节;11 质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节;12 因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵;13 给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险;8 .对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力;9 .企业风险管理的现状和能力。(三)在财务风险方面。应广泛收集国内外企业财务风险失控导致危机的案例,并至少收集本企业的以下重要信息(其中有行业平均指标或先进指标的,也应尽可能收集):1 .负债、或有负债、负债率、偿债能力;2 .现金流、应收账款及其占销售收入的比重、资金周转率;3 .产品存货及其占销售成本的比重、应付账款及其占购货额的比重;4 .制造成本和管理费用、财务费用、营业费用;5 ,盈利能力;6 ,成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节;7 ,与本企业相关的行业会计政策、会计估算、与国家会计制度的差异与调节(如退休金、递延税项等)等信息。(四)市场风险方面。应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与本企业相关的以下重要信息:L产品或服务的价格及供需变化;8 .能源、原材料、配件等物资供应的充足性、稳定性和价格变化;9 .主要客户、主要供应商的信用情况;10 税收政策和利率、汇率、股票价格指数的变化;11 潜在竞争者、竞争者及其主要产品、替代品情况。(五)法律风险方面。应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与本企业相关的以下信息:L国内外与本企业相关的政治、法律环境;2 .影响企业的新法律法规和政策;3 .员工道德操守的遵从性;4 .本企业签订的重大协议和有关贸易合同;5 .本企业发生重大法律纠纷案件的情况;6 .企业和竞争对手的知识产权情况。第二十四条各类风险管理信息应由各牵头部门按照归口管理要求落实到具体部门实施,应建立持续完善的收集和积累机制。第二十五条集团公司总部机构和各二级子公司对收集到的风险信息进行必要的梳理和分类。第二十六条集团公司对风险管理信息实行动态管理,以便对新的风险和原有风险的变化重新评估。第五章风险评估第二十七条集团公司总部机构和各二级子公司应根据收集到的相关信息,对相关风险事项按照风险识别、风险分析和风险评价的步骤开展风险评估工作。风险识别是指识别经营活动及业务流程中是否存在风险以及存在何种风险。风险分析是指对识别出的风险进行分析,判断风险发生的可能性及风险发生的条件。风险评价是指评估风险可能产生损失的大小及对企业实现经营目标的影响程度。风险等级原则上分三级:一般风险、中等风险和重大风险。一般风险,指风险发生可能性较低且风险影响程度较小;中等风险,指风险发生可能性与风险影响程度介于一般风险与重大风险之间;重大风险,指风险发生的可能性较高且风险影响程度较大。第二十八条集团公司总部机构和各二级子公司可以采用风险访谈、问卷调查、头脑风暴、小组讨论等方式,识别各业务单元、各项重要经济活动及其重要业务流程中的风险点,并在此基础上整理出风险清单。第二十九条集团公司总部机构和各二级子公司对风险清单列示的风险点,从外部环境、内部管理、制度、流程等方面进行成因分析。风险分析不仅要明确公司所面临的风险现状,更要找出诱发风险原因。对于初步分析认为特别重要的风险信息应及时按重大事项报告流程履行汇报程序。第三十条集团公司总部机构和各二级子公司对识别出来的风险进行评估。风险评估既要对固有风险进行评估,更要充分考虑集团公司现有管控措施的作用,对风险现状进行客观评估。第三十一条集团公司各风险管理牵头部门日常管理工作中发现突出问题或隐患问题时,应及时组织实施针对突出问题或隐患问题的风险评估,评估结果拟订风险评估报告,并提出各项风险的优先管控顺序,高风险优先管控。原则上,风险评估工作可以每半年集中组织进行一次,但日常发现重大隐患问题时,也可以随时组织实施。第三十二条集团公司审计部可以针对日常管理中发现的重大风险领域或风险事项组织开展专项风险评估。第三十三条集团公司每年底组织开展一次全面风险管理评价,全面评价年度内风险信息搜集、风险排查和识别、组织实施的风险评估、风险应对和风险控制效果等情况。各二级子公司应按照集团公司统一部署进行全面风险管理评价。全面风险管理评价涵盖风险管理过程和风险评估等综合情况,由风险管理牵头部门先进行自评,形成风险管理评价报告(部门自评报告),报审计部汇总、复核和综合分析,由审计部形成集团公司整体的年度全面风险管理评价报告。第六章风险防控策略和应对第三十四条集团公司根据战略规划和年度经营目标确定总体风险防控策略,并对各产业板块的关键风险按类别确定风险防控策略。第三十五条集团公司总部机构和各二级子公司应根据自身条件、经营特点和外部环境,围绕企业发展战略和经营目标,在进行风险评估基础上,制定风险防控策略。在制定风险防控策略中,应按风险类别和等级确定其风险偏好和风险承受度,选择适合的风险承担、风险规避、风险转移、风险对冲、风险补偿、风险控制等措施和办法。第三十六条集团公司总部机构和各二级子公司在制订年度投资经营计划和预算中应当充分考虑各种主要风险因素,并体现年度风险防控策略。第三十七条集团公司总部机构和各二级子公司应根据风险防控策略,针对各类关键风险或重大风险制定风险应对方案,报有关决策主体审议批准后实施。风险应对方案应包括风险控制具体目标、所涉及的管理及业务流程、所需手段、条件等资源,以及风险事件发生前、中、后所采取的应对措施等。第七章风险管理方案的制订与实施第三十八条在风险事项评估和风险管理工作评价的基础上,集团公司总部机构和各二级子公司应针对本部门和本单位所涉及的风险,从改进业务流程、完善信息沟通机制、完善制度等方面提出风险管理措施和建议。第三十九条风险管理方案应包括风险管理的具体目标、对策、组织领导、管理流程、责任部门及完成时间等内容。为合理配置资源,应主要针对高风险制定覆盖各管理环节的全流程管理方案;对于中、低风险,则以其所涉业务流程的关键环节作为控制点,采取相应的管理措施。第四十条风险管理方案履行审批程序后。相关部门和子公司应按照职责分工制定实施计划,认真组织实施,保证各项管控措施落实到位。在管理方案的实施过程中,审计部负责跟踪、评价其可行性、有效性,必要时提出调整意见。第八章风险监控、预警和报告第四十一条集团公司总部机构和各二级子公司建立风险监控和预警制度。负责本部门和本单位的监控指标设计、监测实施和报告等工作。在风险监控过程中发现问题时,审计与风险控制委员会可以进行专项检查。第四十二条集团公司研究建立风险监控指标体系,完善风险预警机制,对风险管理状况进行实时监控,及时预警。风险预警指标应与集团公司生产经营核心绩效指标有机融合,按照相关性、敏感性、可行性、可衡量性原则设定,根据行业、集团公司实际情况合理设置正常区域、异常区域和报警区域的阈值。集团公司总部机构和各二级子公司可根据企业实际情况选择关键指标,建立重大风险预警系统,对重大风险进行持续不断的监控,及时发布预警信息,及时调整管控措施。第四十三条各二级子公司应在集团公司重大风险应急处置指导原则下制定应急处置预案,根据实际情况对预案及时调整、优化,做好本单位风险监控指标的监测。第四十四条日常工作中突然发生风险事件(事故)或发现重大隐患,应及时按归口管理分工职责向相关部门报告,不得拖延和隐瞒。第九章风险管理信息系统第四十五条集团公司按照统一规划、分步实施的原则,结合总部机构风险管理实际需求建立风险管理信息化平台,逐步实现与各业务信息系统集成,实现数据信息共享,提高风险监控效率和风险预警精确度。第四十六条集团公司风险管理信息化平台运行后,总部机构和各二级子公司依托信息系统开展风险信息收集、风险评估、风险监测、风险预警、风险控制、风险报告等风险管理相关工作。第四十七条各二级子公司应当在集团公司统建系统的基础上,建立涵盖风险管理基本流程和控制环节的信息系统,实现风险信息在职能部门和业务单位之间共享,充分满足对风险分析评估和监控管理的各项要求。第十章风险文化培育第四十八条集团公司各级领导人员和全体员工要牢固树立风险意识,强化以风险管理为导向的经营发展理念,将风险管理贯穿于经营管理的全过程,内化为自觉行动。第四十九条集团公司总部机构和各二级子公司要进一步将风险管理理念融入企业文化,培育具有集团公司特色的风险管理文化。第五十条风险管理理念、 型案例的宣传,第十一章集团公司总部机构和各二级子公司要加强风险管理方法、风险管理制度体系和风险典大力营造良好的风险管理氛围。监督、考核与问责第五十一条集团公司总部机构负责对相关业务领域的风险管理工作进行监督与检查。第五十二条集团公司审计部定期组织开展风险管理检查,指导督促各单位提升风险管理水平。有关责任部门、单位应积极响应、配合,认真整改落实。集团公司总部机构和各二级子公司应定期对风险管理工作进行自查,自查报告应及时报送审计部。第五十三条集团公司审计部每年末对总部机构和各二级子公司的风险管理工作进行考核评价,重点考核内控风险管理体系的健全性和有效性,考核结果纳入集团绩效考评体系。第五十四条对于监督和考核中发现的违反风险管理规定,未履行风险管理职责,给企业造成资产损失或其它严重不良后果的,按规定程序报告,并依据国家法律法规和集团公司有关规定追究有关单位和人员的责任。第十二章附则第五十五条本规定由集团公司负责解释、修订。第五十六条本规定自印发之日起施行。集团有限公司风险管理评价办法第一章总则第一条为规范X集团有限公司(以下简称集团公司)风险管理评价工作,依据国务院国资委关于加强中央企业风险管理体系建设与监督工作的实施意见(国资发监督规(2019)IOl号)、财政部等五部委企业内部控制基本规范(财会2008)7号)以及集团公司全面风险管理规定(试行)等规范性文件的要求,结合集团公司实际,制定本办法。第二条本办法所称风险管理评价,是指在董事会领导下,由审计部具体组织实施,对风险管理制度建设与实施情况进行全面评价,形成评价结论,出具风险管理评价报告的过程。第三条实施风险管理评价,应当遵循如下原则:(一)全面性原则。评价工作应当包括风险管理的设计与运行,并涵盖集团公司及各二级子公司主要业务和事项的风险管理。(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和重大风险领域。(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映风险管理设计与运行的有效性。(四)风险管理合规监督一体化原则。评价工作中同时对风险合规制度建设和执行情况进行自我评价和检查评价。第四条本办法适用于集团公司总部机构各部门、中心及各二级子公司。第二章组织与职责第五条董事会是风险管理评价工作的决策机构,主要职责包括:(-)审议和批准集团公司风险管理及风险评价基本制度;(二)审议和批准年度风险管理评价工作方案;(三)审议和批准认定经营管理中存在的重大管理缺陷及重大风险认定标准;(四)批准集团公司风险管理评价报告。第六条审计与风险控制委员会负责风险管理评价的指导与监督,主要职责包括:(一)指导风险管理体系、运行机制和制度建设;(二)督导风险管理体系有效运行;(三)审核年度风险管理评价工作方案;(四)审核和评价年度风险管理评价报告;(五)审议集团公司风险管理评价报告及风险管理缺陷和整改方案。第七条审计部负责风险管理评价的具体组织实施工作,主要职责包括:(一)拟订集团公司风险管理评价制度;(二)拟订集团公司风险管理评价方案;(三)组织集团公司总部机构各部门和各二级子公司开展风险管理自我评价工作;(四)汇总风险管理评价结果,提出风险排查和识别标准认定意见,编制集团公司风险管理评价报告;(五)跟踪监督风险管理整改情况。第八条集团总部机构各部门根据职责负责组织开展所牵头的风险管理评价相关工作,主要职责包括:(一)根据风险管理规定所规定的部门职责履行本部门所牵头的各类风险管理评价工作;(二)根据集团公司风险管理手册,对本部门所牵头的风险管理的有效性、风险管理制度建设与实施情况开展自我评价,提交所牵头管理范围内的风险管理评价报告(部门风险管理自评报告);(三)配合并参与集团公司风险管理检查评价工作,反馈检查评价结果;(四)对发现的风险管理问题提出整改方案,经过研究决策后及时整改,按时提交整改情况报告。第九条各二级子公司负责组织开展本单位风险管理评价工作,主要职责包括:(一)完善风险管理评价管理组织机构,建立健全风险管理相关制度;(二)各二级子公司内部审计部门负责风险管理评价的具体组织实施工作;(三)各二级子公司应组织相关部门和下属单位开展风险管理评价工作,编制风险管理识别汇总表与整改方案及风险管理报告,经本单位董事会批准后按规定上报集团公司;(四)配合集团公司风险管理检查评价工作,反馈检查评价结果;(五)对评价发现的风险管理问题制定整改方案,明确整改责任,按要求报送风险管理整改完成情况。第三章风险管理评价范围和内容第十条风险管理评价涉及到的部门或单位范围包括集团公司总部机构及各二级子公司。第十一条风险管理评价涉及到的业务范围包括集团公司总部机构、各二级子公司的主要业务、事项以及相关的风险领域。第十二条风险管理评价的时间范围为:年度风险管理评价时间范围从每年1月1日至12月31日,专项风险管理的评价时间范围根据评价主体实际需求自行确定。第十三条风险管理评价的依据为国务院国资委关于加强中央企业风险管理体系建设与监督工作的实施意见、财政部等五部委企业内部控制基本规范企业内部控制应用指引、集团公司风险管理相关制度流程和风险管理评价标准、流程等。第十四条风险管理评价内容为对集团公司和各二级子公司风险管理设计与运行情况进行全面评价。涉及制度建设、风险管理权责落实、风险管理方案、风险监控、风险预防、应急处理等应对措施等。在开展风险管理评价工作过程中,应将风险、合规管理制度建设及实施情况纳入风险管理体系监督评价范畴,通过制度审阅、穿行测试与抽样测试等方式开展评价工作。对风险管理进行评价时,应按照相关要求以风险管理手册中所列风险为基本依据,结合风险管理要求,对制度制定、风险识别、风险评估、风险应对及风险报告编制等内容开展评价。对合规管理进行评价时,应按照合规管理要求,对制度制定、合规风险识别、合规审查、合规风险应对、禁止性规定、考核评价、合规培训等内容开展评价。第四章风险管理评价程序第十五条风险管理评价工作应按以下程序进行。具体包括:制定评价方案、开展自我评价、实施检查评价、沟通与认定风险排查及识别标准、风险管理涉及到的相关问题整改、编制风险管理评价报告、形成风险管理档案。第十六条制定评价方案。评价方案应包括评价范围、评价内容、工作任务、要求、人员组织和进度安排等。各二级子公司在集团公司评价方案基础上制定本单位评价工作具体实施方案。第十七条开展自我评价。集团公司总部机构和各二级子公司对照国务院国资委关于加强中央企业风险管理体系建设与监督工作的实施意见(国资发监督规(2019)101号)和集团公司制定下发的风险管理规定、风险管理标准,对本部门或本单位风险管理设计和执行的有效性逐项检查。第十八条实施检查评价。通过询问、观察、检查、重新执行等方式对被检查的部门或单位自我评价工作进行复核,运用个别访谈、专题讨论、穿行测试、关键控制点测试、实地查验、抽样和比较分析等方法对风险管理设计和执行情况进行测试,对风险管理、合规管理、自我评价结果进行检查评价。第十九条沟通与认定风险排查和识别标准。应与被检查单位沟通确认评价的范围、内容、标准、办法和评价结果。第二十条风险管理问题整改。对于评价过程中发现的风险管理问题,应及时制订整改方案并组织整改。审计部及时跟踪整改情况。第二十一条编制风险管理评价报告。根据评价工作结果,按照规定的程序和要求,及时编制风险管理评价报告。风险管理评价报告应对评价过程、风险排查和识别认定、整改情况、风险管理有效性的结论等相关内容作出说明。各二级子公司风险管理评价报告应按规定报送集团公司,风险清单作为风险管理评价报告附件一并上报。第二十二条对于风险管理自我评价没有发现但集团公司风险管理检查中发现的重大风险隐患、风险事件和合规问题频发的总部机构及各二级子公司,集团公司组织开展专项风险管理评价,并根据具体情况出具专项的风险管理评价报告。第二十三条组织专项风险管理评价中,相关部门和各二级子公司应落实牵头或配合的人员,应明确负责人、工作分工、沟通汇报机制等。必要时可以聘请中介机构协助检查评价工作。评价工作组成员对本部门或本单位的评价工作实行回避制度。第二十四条在进行风险管理评价过程中应当形成评价工作底稿。评价工作人员详细记录评价工作的内容,包括风险情况、制度建设和执行情况、采取的控制措施、有关证据资料以及认定结果等。应将风险管理评价文件资料、工作底稿和证明材料等及时归档并妥善保管。第五章风险等级分类及认定第二十五条风险管理评价中应特别关注风险等级分类和认定标准是否恰当。风险等级按其影响程度分为重大风险、中等风险和一般风险。(一)重大风险是指对整体经营管理影响范围广或风险事件频发,其后果可能导致被评价主体严重偏离控制目标。(二)中等风险指对局部经营管理有一定影响,或发生频率不高,其严重程度和经济后果低于重大风险,但仍有可能导致被评价主体偏离控制目标。频发风险事件共同作用有可能形成一个“重大风险”。(三)一般风险指除重大风险、中等风险之外的其他风险。多个“一般风险”共同作用有可能形成一个“中等风险”。第二十六条在风险管理评价中应对风险识别标准特别关注。风险管理识别中按其与财务报告的相关程度,分为与财务报告直接相关、间接相关和非相关。具体标准根据企业实际情况进行确定,并形成具体的标准文件作为依据。第六章监督与激励第二十七条对于有关单位存在重大风险隐患、风险管理和合规管理等问题失察;或虽发现但没有及时报告、处理,造成重大资产损失或其他严重不良后果的;或因风险管理制度缺失或未按风险管理规定执行,导致风险管理存在重大问题或使企业利益遭受重大损失的,将按照集团公司相关规定追究相关单位和人员的责任。第二十八条风险管理自我评价、检查评价工作完成后,集团公司根据风险管理自我评价、检查结果、日常风险管控情况、问题整改落实情况进行综合认定,认定结果纳入各二级子公司年度经营业绩考核。第七章附则第二十九条本办法由集团公司负责解释、修订。第三十条本办法自印发之日起施行。