中机寰宇认证检验股份有限公司
全面风险管理办法
第一章 总则
第一条 为规范中机寰宇认证检验股份有限公司(以下简称 “公司”)全面风险管理工作,防范、控制、化解和处理在复杂多变的经营环境中随时可能发生的风险与危机,增强竞争能力,保证公司经营活动持续、稳定、健康发展,完善重大经营风险报送机制,根据《中央企业全面风险管理指引》等相关制度,结合公司实际情况,特制订本办法。
第二条 本办法适用于公司,各所属子公司和控股公司(以下简称“各单位”)参照执行。
第三条 本办法所称风险,是指公司在发展中,未来的不确定性对实现战略及经营目标的影响。以风险性质为标志,风险分为战略风险、财务风险、市场风险、运营风险、法律风险等。
第四条 本办法所指“重大风险”是指考虑风险转化为事件的可能性、风险偏好,风险转化为事件后对公司发展战略、年度经营目标实现具有重大影响,需要公司重点管理的风险。
第五条 公司开展全面风险管理工作应努力实现以下风险管理目标:
(一)确保将风险控制在与公司总体经营目标相适应并在可承受的范围内。
(二)确保内外部实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告。
(三)确保遵守有关规定、党纪规范、法律法规。
(四)确保有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性。
(五)确保建立针对各项重大风险发生后的危机处理计划,避免或降低公司因灾害性风险或人为失误而遭受重大损失。
(六)形成良好的风险管理文化,提高全体员工的风险管理意识。
第二章 全面风险管理的组织体系
第六条 公司合规管理委员会负责推动全面风险管理工作开展。公司建立由董事会、审计委员会、经营管理层、合规管理委员会、风险管理归口部门及各单位组成的全面风险管理组织体系。
第七条 审计委员会承担全面风险管理的监督责任;经营管理层对全面风险管理承担日常管理责任,公司合规管理委员会负责推动全面风险管理工作开展,为业务决策提供风险管理建议;公司审计与合规部负责协助合规管理委员会对各单位的风险管理工作进行指导和检查,处理全面风险管理的日常事务,汇总整理各单位、部门报送的重大经营风险事件报告,同时协同风险事件主责单位、主责部门做好风险事件的后续处置、整改、续报、终报等工作;公司各部门负责归口职责范围内的各单位重大经营风险实时监测、报告及处置,并做好横向协同报告工作。
第八条 公司总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员,负责主持全面风险管理的日常工作,负责组织拟订公司风险管理组织机构设置及其职责方案。
第九条 公司全面风险管理归口部门是审计与合规部,负责公司全面风险管理的日常工作,风险管理制度建设,并监督执行情况;对公司经营管理活动中的各类风险实施过程监控,有效化解和降低运营风险;负责组织提出全面风险管理相关报告;时机成熟时负责组织建立风险管理信息系统。
第十条 各单位应根据自身情况,构建自己的全面风险管理组织体系。开展全面风险管理工作应与其他管理工作紧密结合,把风险管理的各项要求融入公司管理和业务流程中。公司及各单位应建立全面风险管理三道防线,即公司及各单位与业务部门为第一道防线;公司及各单位风险管理归口部门为第二道防线;公司及各单位负责内部审计、纪检监察工作的归口部门和合规管理委员会
为第三道防线。
第十一条 公司各部门负责人和各单位负责人为风险控制的第一责任人,履行风险控制职能,执行具体的风险管理制度,建立权责明确、相互制衡的岗位职责和全面、合理的内部风险控制制度,并针对主要风险环节制定业务操作流程。
第十二条 公司各部门和各单位在全面风险管理工作中,应接受合规管理委员会的组织、协调、指导和监督,主要履行以下职责:
(一)贯彻执行全面风险管理制度,负责本部门、本单位业务职能领域的风险管理工作,承担业务职能领域风险管理的主体责任。
(二)强化“管业务必须管风险”的风险管理理念,负责本部门或本单位业务职能领域风险的识别、评价、应对和报告,对职能领域内下级单位的风险管理进行指导和监督。
(三)研究提出本部门或本单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
(四)严格落实本单位重大风险管理策略,整改内部控制评价发现的缺陷;设定恰当的风险监控指标,并适时调整;对领域内的风险进行持续监控,评估风险变化情况并及时调整风险管控措施;梳理岗位廉洁风险点,严格廉洁从业管理;出现突发事件及重大事项随时向分管领导报告,并抄送公司审计与合规部;对本单位、本部门重大风险和重要风险事项,进行调研和分析,及时反馈结果。
(五)做好本部门或本单位建立风险管理信息系统的工作;
(六)做好培育风险管理文化的有关工作;
(七)做好风险管理其他有关工作。
第三章 全面风险管理流程
第十三条 公司全面风险管理工作的基本流程包括:
(一)收集风险管理初始信息,建立风险信息基础数据库;
(二)进行风险评估,重大事项专项风险评估;
(三)根据风险评估结果制定或调整完善风险管理策略;
(四)进行季度风险监测;
(五)公司审计与合规部撰写并上报全面风险管理相关报告或经验总结;
(六)提出下年度风险管控重点及管理落实措施;
(七)编制公司年度内控体系年度工作报告及全面风险管理相关报告;
(八)风险管理的监督和改进。
第十四条 公司各部门及各单位每年应按照全面风险管理流程完成年度风险信息收集、风险识别、风险评估及风险策略制定工作,并将风险管理工作开展和改进情况、目前存在的问题及风险管理计划,并按时间节点报送公司审计与合规部。
第十五条 审计与合规部应组织各部门和各单位在本年度风险管理工作的基础上,提出下年度风险管控重大风险,拟定风险管控措施,撰写公司风险管理相关报告,经审批后,按要求报送。
第四章 风险信息收集、风险识别和风险评估
第十六条 公司各部门及各单位应建立风险管理综合信息的收集与积累机制,广泛收集与风险管理相关的宏观经济、政策法规、市场状况、技术革新、财务状况、人力资源配置、廉洁从业、管理措施和信息报告等方面的内外部初始信息,包括历史数据和未来预测。
第十七条 风险初始信息主要收集以下各方面的内容:
(一)战略风险方面,须广泛收集国内外企业战略风险失控导致企业蒙受损失的案例,并至少收集与本公司相关的以下重要信息:
1.国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策;
2.科技进步、技术创新的有关内容;
3.市场对本公司产品或服务的需求预测;
4.公司兼并重组等资本运作前期工作情况,以及与公司战略合作伙伴的关系、未来寻求战略合作伙伴的可能性;
5.本公司主要客户、供应商及竞争对手的有关情况;
6.与主要竞争对手相比,本公司实力与差距;
7.本公司发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据;
8.本公司对外投融资流程中曾发生或易发生错误的业务流程或环节。
(二)财务风险方面,须广泛收集国内外企业财务风险失控导致危机的案例,并至少收集本公司的以下重要信息:
1.负债、或有负债、负债率、偿债能力;
2.现金流、应收账款及其占销售收入的比重、资金周转率;
3.产品存货及其占销售成本的比重、应付账款及其占购货额的比重;
4.制造成本和管理费用、财务费用、营业费用;
5.盈利能力;
6.成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节。
(三)市场风险方面,须广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与本公司相关的以下重要信息:
1.产品或服务的价格及供需变化;
2.能源、原材料、配件等物资供应的充足性、稳定性和价格变化;
3.主要客户、主要供应商的信用情况;
4.税收政策和利率、汇率、股票价格指数的变化;
5.潜在竞争者、竞争者及其主要产品、替代品情况。
(四)运营风险方面,须收集与本公司、本行业相关的以下信息:
1.产品结构、新产品研发;
2.新市场开发,市场营销策略,包括产品或服务定价与销售渠道,市场营销环境状况等;
3.公司组织效能、管理现状、企业文化,高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验;
4.期货等衍生产品业务中曾发生或易发生失误的流程和环节;
5.质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节;
6.因公司政治生态,公司内、外部人员的廉洁操守、职业道德、行为自律等致使公司遭受损失或业务控制系统失灵;
7.给公司造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险;
8.对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力。
(五)法律风险方面,须广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与本公司相关的以下信息:
1.国内外政治、法律环境;
2.影响公司的新法律法规和政策;
3.员工道德操守的遵从性;
4.本公司签订的重大协议和有关贸易合同;
5.本公司发生重大法律纠纷案件的情况;
6.重大经营决策与经济活动的法律风险管理;
7.公司和竞争对手的知识产权情况。
第十八条 公司审计与合规部负责牵头协同各部门和各单位汇总、整理、完善公司各项经营管理活动中所有相关的内、外部风险信息,并对风险信息和风险事件进行必要的筛选、提炼、对比、分类和分析,建立和完善公司风险信息基础数据库。
第十九条 公司及各单位应根据内外部调研、检查、审计、巡视、公司审计委员会意见等报告、要求进行风险点识别筛选,不断补充完善风险信息数据库。
第二十条 公司应对收集的风险管理初始信息、各项业务管理及重要业务流程进行风险评估。风险评估应由审计与合规部组织各有关部门和各单位实施,也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。
第二十一条 风险评估包括风险辨识、风险分析、风险评价三个步骤。风险辨识是指查找各业务单元、各岗位特征、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。
第二十二条 进行风险评估应采用定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈等。定量方法可采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、事件树分析等。
第二十三条 公司及各单位应建立重大事项专项风险评估机制。
(一)凡涉及各单位战略规划,重大投资决策及重大工程建设项目,兼并重组、资产调整、产权转让项目,期权、期货等金融衍生业务,融资、垫资、担保项目,重大的生产经营安排,重要设备和技术引进,采购大宗物资和购买服务,新业务领域开发和新市场进入,开展国家法律、法规有特殊管制或监管要求的业务等需要经营层决策的“三重一大”范围内事项,需根据实际情况进行专项风险评估,充分了解风险并提出应对措施。国家对相关行业明确提出需要做专项风险评估的事项,应按照国家规范性要求提出专项风险评估报告。
(二)公司各部门在制定或修订专业管理制度时,
