四川三汇安防科技有限公司 全面风险管理办法
第一章 總則
第一條 為建立和完善四川三匯安防科技有限公司(以下簡稱公司)全面風險管理框架,提高風險管理能力,規(guī)范風險偏好管理程序,防范公司運營過程中的各類風險,指導公司開展全面風險管理工作,增強公司商業(yè)化運作的競爭力,促進公司持續(xù)、健康、穩(wěn)定發(fā)展,參照《中華人民共和國公司法》、國務院國資委《中央企業(yè)全面風險管理指引》、財政部《企業(yè)內部控制基本規(guī)范》和樂山國投集團《全面風險管理辦法(試行)》等有關法律法規(guī)、規(guī)章及其他規(guī)范性文件的規(guī)定,結合公司實際,制訂本辦法。
第二條 本辦法所稱風險,是指未來的不確定性可能對企業(yè)實現(xiàn)戰(zhàn)略規(guī)劃和經(jīng)營管理目標產(chǎn)生的潛在不利影響。本辦法所稱全面風險管理,是指企業(yè)改革發(fā)展和經(jīng)營管理中所面臨的各種風險,堅持全面、全員、全過程、全體系的風險防控機制,經(jīng)過風險識別評估后采取相應對策措施,以規(guī)避或減少損失,為實現(xiàn)企業(yè)戰(zhàn)略規(guī)劃和經(jīng)營管理目標提供有效保證的能力和實踐。
第三條 本辦法適用于公司本部及分公司。
第四條 全面風險管理遵循以下原則:
(一)全面性原則。風險管理涵蓋公司各職能部門、下屬企業(yè)所有員工,滲透到各項業(yè)務和環(huán)節(jié)中,貫穿于每項業(yè)務全過程。通過不斷提高員工對風險的識別和防范能力,樹立全員風險意識。
(二)審慎性原則。內部風險控制的核心是有效防范各種風險,公司各職能部門、下屬企業(yè)組織的構成、內部管理制度的建立要以防范風險、審慎經(jīng)營為出發(fā)點。
(三)有效性原則。在全面風險管理的理念下,建設全面反映公司風險狀況的風險控制體系,確保該體系能有效指導業(yè)務,并能有效防范和化解風險。
(四)適時性原則。應隨著國家法律法規(guī)、政策制度的變化,公司經(jīng)營戰(zhàn)略、經(jīng)營方針、風險管理理念等內部環(huán)境的改變,以及公司業(yè)務的發(fā)展,及時對風險控制制度進行相應修改和完善。
(五)重要性原則。在全面風險管理的基礎上,關注重要業(yè)務、重點項目和高風險領域。
(六)制衡性原則。風險管理應當在治理結構、機構設置及權責分配、業(yè)務流程等方面形成相互制約、相互監(jiān)督,同時兼顧運營效率。
第二章 風險管理組織架構和職責
第五條 公司風險管理總體目標包括:
(一)確保將風險控制在與公司總體目標相適應并可承受的范圍內;
(二)確保公司管理信息、業(yè)務記錄等真實、可靠和完整;(三)確保遵守國家有關法律法規(guī)和公司內部規(guī)章制度;
(四)確保公司為實現(xiàn)經(jīng)營目標而采取重大措施的貫徹執(zhí)行,保障經(jīng)營管理的有效性,提高經(jīng)營活動的效率和效果,降低實現(xiàn)經(jīng)營目標的不確定性。
第六條 全面風險管理的基本流程包括以下主要工作:
第七條 全面風險管理應涵蓋公司治理與經(jīng)營管理活動中所有環(huán)節(jié),包括:
第八條 公司黨總支負責全面風險管理的領導工作,安排部署全公司風險管理工作,研究審議“三重一大”決策范圍的風險管理事項,黨總支成員負責組織協(xié)調分管領域的風險管理工作。
第九條 全面風險管理組織體系包括:董事會、經(jīng)營層、各職能部門及下屬企業(yè)的所有員工均應承擔風險管理的職責。
第十條 公司董事會是全面風險管理的決策機構,主要履行以下職責:
(一)審議批準公司全面風險管理基本制度;
(二)審議批準重大決策的風險評估報告;
(三)審議批準重大決策、重大風險、重大事件;
(四)審議決定公司風險管理其他重大事項。
第十一條 公司董事長是全面風險管理的第一責任人。第十二條 經(jīng)營層負責按照董事會要求,對重大風險問題
提出解決方案并組織實施。
第十三條 公司各職能部門、下屬企業(yè)依據(jù)職責分工負責相關業(yè)務領域風險的管理工作,履行風險管理主體責任。
第三章 管理部門及職責
第十四條 審計法務與合規(guī)部是公司風險管理工作的歸口管理部門,在黨總支、董事會及經(jīng)營層的領導下履行以下相關職責:
(一)執(zhí)行公司的風險管理戰(zhàn)略和決策,擬定公司全面風險管理制度;
(二)負責督促各職能部門、下屬企業(yè)落實經(jīng)營層各項決策和風險管理制度;
(三)負責經(jīng)營層交辦的與全面風險管理相關的其他工作;
(四)對各職能部門、下屬企業(yè)職責范圍內風險事件進行管
理;
(五)完成其他風險管理相關工作。
第十五條 各職能部門、下屬企業(yè)應當執(zhí)行風險管理基本制度和業(yè)務流程,對本部門、本企業(yè)的風險進行評估,對其風險管理有效性負責。
(一)組織實施公司風險管理制度和業(yè)務流程,將風險管理的原則與要求貫穿業(yè)務開展的全過程;
(二)負責本部門、本企業(yè)風險信息的收集整理工作,提出業(yè)務流程中風險點和控制點的初步識別信息;
(三)研究提出本部門重要風險的風險解決方案,并負責該方案的組織實施和日常監(jiān)控;
(四)嚴格遵守風險管理制度和業(yè)務流程,及時、準確、全面、客觀地將本部門、本企業(yè)的風險信息和監(jiān)測情況向經(jīng)營管理層和審計法務與合規(guī)部報告;
(五)配合和支持審計法務與合規(guī)部工作。
第十六條 公司各職能部門負責人、下屬企業(yè)負責人、各業(yè)務(項目)負責人是其風險管理的第一責任人。公司所有員工是本崗位風險管理的直接責任人,負責具體風險管理職責的實施。
第四章 風險管理流程
第十七條 風險識別、風險評估、風險應對、風險報告是風險管理中的主要環(huán)節(jié)。各環(huán)節(jié)應當相互關聯(lián)、相互影響、循環(huán)互動,并依據(jù)內部環(huán)境、市場環(huán)境、法規(guī)環(huán)境等內外部因素的變化及時更新完善。
第十八條 風險識別應當覆蓋公司各個業(yè)務環(huán)節(jié),涵蓋所有風險類型。公司應當對新法規(guī)、新業(yè)務等進行及時了解和研究。
第十九條 公司按照風險發(fā)生的概率以及影響程度,可采取定量和定性相結合的方法進行風險評估,保持評估方法的一致性,可經(jīng)風險評估將風險分為重大風險、重要風險、一般風險和低風險等四個等級。
第五章 風險分類及應對
第二十條 公司應當重點關注市場風險、信用風險、流動性風險、操作風險、合規(guī)風險、聲譽風險等主要風險。
第二十一條 市場風險,是產(chǎn)品或服務的價格及供需變化帶來的風險。包含市場需求萎縮、資金鏈緊張引發(fā)的資金風險、違約風險情況;能源、原材料、配件等物資供應的充足性、穩(wěn)定性和價格的變化帶來的風險;主要客戶、主要供應商的信用風險;稅收政策和利率、匯率、股票價格指數(shù)的變化帶來的風險,主要是利率風險,也包括股票風險、匯率風險、商品風險等。市場風險管理的目標是嚴格遵循謹慎、分散風險的原則,充分考慮資產(chǎn)的安全性和流動性,實行專業(yè)化管理和控制,防范、化解市場風險。
第二十二條 信用風險,是指公司交易對手或債務人未能履行約定的義務或信用質量發(fā)生變化,給公司或公司管理的資產(chǎn)帶來經(jīng)濟損失的風險,包括違約風險和結算風險。信用風險管理的目標是對交易對手、投資產(chǎn)品的信用風險進行有效的評估和防范,將信用風險控制于可接受范圍內的前提下,獲得最高的風險調整收益。
第二十三條 流動性風險,是指公司無法獲得或無法以合理的成本獲得資金,以滿足業(yè)務發(fā)展需要或償付到期債務的風險。流動性風險管理的目標是通過建立適時、合理、有效的風險管理機制,將流動性風險控制在可承受的范圍之內。
第二十四條 操作風險是指由于內部程序、人員和系統(tǒng)的不完備或失效,或外部事件而導致的直接或間接損失的風險,主要包括制度和流程風險、信息技術風險、人力資源風險和道德風險。
(一)操作風險管理的目標是建立有效的內部控制機制,盡量減少因人為錯誤、系統(tǒng)失靈和內部控制的缺陷所產(chǎn)生的操作風險,保障內部風險控制體系有序規(guī)范運行;
(二)制度和流程風險是指由于日常運作,尤其是關鍵業(yè)務操作缺乏制度、操作流程和授權,或制度流程設計不合理帶來的風險,或由于上述制度、操作流程和授權沒有得到有效執(zhí)行帶來的風險,及業(yè)務操作的差錯率超過可承受范圍帶來的風險;
(三)信息技術風險是指信息技術系統(tǒng)不能提供正常服務,影響公司正常運行;信息技術系統(tǒng)和關鍵數(shù)據(jù)的保護、備份措施不足,影響公司業(yè)務持續(xù)性;重要信息技術系統(tǒng)提供商不能提供技術系統(tǒng)生命周期內持續(xù)支持和服務的風險;
(四)人力資源風險是指缺少符合崗位專業(yè)素質要求的員工、過高的關鍵人員流失率、關鍵崗位缺乏適用的儲備人員和激勵機制不當帶來的風險;
(五)道德風險是指員工違背法律法規(guī)、公司制度和職業(yè)道德,通過不法手段謀取利益所帶來的風險。
第二十五條 合規(guī)風險,是指因公司及全體員工、有關利益相關方因不合規(guī)行為,引發(fā)法律糾紛、造成公司受到相關處罰、造成經(jīng)濟或聲譽損失以及其他負面影響的可能性。主要包括投融資合規(guī)性風險、銷售合規(guī)性風險、信息披露合規(guī)性風險等。
第二十六條 聲譽風險是指由公司經(jīng)營和管理、員工個人違法違規(guī)行為或外部事件導致利益相關方對公司負面評價的風險。聲譽風險的控制目標是通過建立與公司業(yè)務性質、規(guī)模和復雜程度相適應的聲譽風險管理體系,防范、化解聲譽風險對公司利益的損害。
第六章 風險應對策略
第二十七條 風險應對指公司針對各類重大風險,制定并實施各類風險應對策略和措施的過程。風險應對策略和措施應根據(jù)內外部環(huán)境變化及時更新和調整。
(一)規(guī)避風險。公司為避免損失應主動放棄或停止風險發(fā)生可能性大的活動;
(二)降低風險。公司為降低風險發(fā)生概率、減輕潛在損失,在風險事故發(fā)生之前采取消除風險因素的措施,對不能完全規(guī)避又無法順利轉移的風險,采取各種控制技術和方法來減少風險事故發(fā)生后的不利影響和損失;
(三)分擔風險。公司為避免承擔風險損失,有意識地將可能產(chǎn)生損失的活動或與損失有關的財務后果轉移給其他方的一種風險應對策略,常見的方法有業(yè)務分包、購買保險等;
(四)承受風險。公司對風險承受度之內的風險,在權衡成本效益之后無意采取進一步控制措施的,或若采用其他風險應對策略的成本過高的,可以采用風險承受策略。
第二十八條 公司根據(jù)自身的風險偏好和風險承受度,采用一種或多種應對方式相結合,以有效管理和應對風險。
第二十九條 針對低風險,一般可通過現(xiàn)有制度與流程加以有效控制,不增加額外控制,但風險事件實際發(fā)生后應及時分析總結,并將結果報審計法務與合規(guī)部備案。
第三十條 針對一般風險,公司應對現(xiàn)有制度與流程進行評估,查找差距與不足,補充完善控制措施,應對風險,防范風險升級擴散,并將結果報審計法務與合規(guī)部備案。
第三十一條 針對重要風險和重大風險,應由相關部門提起,在公司整體層面上加以應對,共同研究提出風險管理措施和解決方案,內容包括但不限于對風險的具體目標,所需的組織領導,所涉及的管理及業(yè)務流程、所需要的資源,相關工作進度安排等。
第七章 風險管理的內控機制
第三十二條 公司應建立風險管理的內控機制,至少應包括以下內容:
(一)崗位授權制度。對所涉及的各崗位明確規(guī)定授權的對象、條件、范圍和額度等,任何組織和個人不得超越授權作出決定;
(二)審批流程制度。明確規(guī)定各類審批事項的批準程序、條件、范圍和額度、必備文件以及有權批準的部門和人員等;
(三)內控責任制度。按照權利、義務和責任相統(tǒng)一的原則,明確規(guī)定各有關部門和業(yè)務單位、崗位、人員應負的責任和獎懲制度;
(四)預算管理制度,明確各職能部門、下屬企業(yè)在預算管理中的職責權限,規(guī)范預算的編制、審定、下達和執(zhí)行程序,強化預算約束;
(五)審計檢查制度。結合內控的有關要求、方法、標準與流程,明確規(guī)定審計檢查的對象、內容、方式和負責審計檢查的部門等;
(六)考核評價制度。應科學設置考核指標體系,對公司各職能部門、下屬企業(yè)和全體員工的業(yè)績進行定期考核和客觀評價,將考評結果作為員工獎懲、聘任、交流、培訓的依據(jù);
(七)堅持不相容崗位職責分離原則,建立重要崗位權力制衡機制。堅持將授權與執(zhí)行、執(zhí)行與監(jiān)督等不相容崗位分離設置,確有必要時可對關鍵崗位設置一崗雙人,以相互制約,減少錯誤和舞弊的管理風險。
第三十三條 公司將信息技術應用于全面風險管理工作,將風險管理與公司各項管理業(yè)務流程、管理軟件統(tǒng)一規(guī)劃、統(tǒng)一設計、統(tǒng)一實施、同步運行。
第八章 風險報告
第三十四條 公司建立風險報告機制,通過有效的溝通和反饋,使公司領導和有關部門及時了解公司的風險狀況。
第三十五條 公司的風險報告分為定期風險報告和不定期專項風險報告。定期風險報告是對一個階段公司經(jīng)營發(fā)展中存在的風險和糾正的情況進行的匯總報告;不定期專項風險報告是對日常工作中或風險專項檢查中發(fā)現(xiàn)的重大風險或風險隱患問題進行的專項報告。
第三十六條 審計法務與合規(guī)部可以進行風險專項檢查,如發(fā)現(xiàn)內部控制存在重大缺陷或存在重大風險,應及時向公司報告。
第三十七條 公司相關部門對公司可能出現(xiàn)的風險,有責任及時向公司報告真實信息。
第九章 風險管理文化的建設
第三十八條 公司應將風險管理文化建設作為公司發(fā)展戰(zhàn)略的組成部分,建立具有風險意識的企業(yè)文化,促進公司全面風險管理目標的實現(xiàn)。
第三十九條 公司應營造合規(guī)經(jīng)營的制度文化環(huán)境,將風險管理理念融于企業(yè)文化建設的全過程中,樹立正確的風險管理理念,增強員工風險管理意識,將風險管理意識轉化為員工的共同認識和自覺行動,促進公司建立系統(tǒng)、規(guī)范、高效的風險管理機制,在各層面營造風險管理文化的氛圍。
第四十條 公司應引導員工遵循良好的行為準則和道德規(guī)范,牢固樹立風險意識,強化以風險管理為導向的經(jīng)營發(fā)展理念,將風險管理貫穿于經(jīng)營管理的全過程,內化為自覺行動。
第四十一條 全面風險管理文化建設應與薪酬管理標準和人事管理標準相結合,有利于增強各級管理人員特別是高級管理人員風險意識,防止盲目擴張、片面追求業(yè)績、忽視風險等行為的發(fā)生。
第四十二條 建立重要管理及業(yè)務流程、風險控制點的管理人員和業(yè)務經(jīng)辦人員的風險管理培訓標準。采取多種途徑和形式、加強對風險管理理念、知識、流程、管控內容的培訓,培養(yǎng)風險管理人才,培育風險管理文化。
第十章 風險管理考核
第四十三條 公司建立對全面風險管理工作的考核機制,根據(jù)公司全面風險管理工作情況,制定合理的考核范圍、考核內容和考核辦法等;全面風險管理考核將納入公司年度績效考核體系,公司各職能部門、下屬企業(yè)應將全面風險管理工作任務列入年度工作計劃。
第四十四條 風險管理是各職能部門、下屬企業(yè)和所有員工年度績效考核的必備內容。全體員工均應牢固樹立內控優(yōu)先和全員風險管理理念,加強法律法規(guī)和公司規(guī)章制度學習,增強風險防范意識,嚴格執(zhí)行法律法規(guī)、公司制度、流程和各項管理規(guī)定。
第十一章 附則
第四十五條 公司各職能部門、分公司應根據(jù)本辦法的要求,制定和完善風險管理相關的標準、流程和制度。
第四十六條 公司所屬各級全資、控股子企業(yè)可參照本制度,制定本企業(yè)相應的《全面風險管理辦法》。
第四十七條 本辦法由公司審計法務與合規(guī)部制定,并負責解釋。
第四十八條 如辦法規(guī)定與國家及地方有關法律、法規(guī)、規(guī)章不一致的,以法律、法規(guī)、規(guī)章的有關規(guī)定為準。
第四十九條 本辦法經(jīng)黨總支會、總經(jīng)理辦公會審議,董事會審定后生效,自印發(fā)之日起實施,原《全面風險管理暫行辦法(試行)》(川匯安司〔2023〕32號)同時廢止。