国有企业风险管理与内部控制办法.docx

XX集团有限公司风险管理与内部监控方法第一章总则第一条为全面提升公司风险管控能力，加快构建以法律管控为主的大风控体系，健全风险信息的收集、分析、应用机制，牢牢守住不发生重大风险的底线，把风险管理、内部监控、法律合规与公司中心工作、业务工作深度融合，遵循"实事求是、守正创新、行稳致远”工作方针，依据中华人民共和国公司法中心企业全面风险管理指引企业内部监控基本规范及配套指引、中心企业合规管理指弓1（试行）等相关政策、法律法规，结合公司实际，制定本方法。第二条本方法适用于XX集团有限公司、XX有限公司（以下简称公司）及所属各单位，包括公司控股和具有实际监控权的单位。第三条风险是指将来的不确定性对公司实现战略及经营管理目标的影响。风险管理应围绕战略及经营管理目标，明确风险管理要求,提升风险意识，确定风险偏好和承受度，规范管理流程，健全工作协同和信息共享机制，突出重大风险全方位管控，削减各类风险损失和威胁。第四条内部监控是指公司董事会、监事会、经理层和全体职工或员工实施的、旨在实现监控目标的过程。内部监控旨在合理保证公司经营管理依法合规、资产平安、财务报告及相关信息真实完整，提高经营效率和效果，促进公司战略目标的实现。第五条大风控体系与运行应突出集团管控，强调全员、全面、全过程，覆盖所有单位、部门和职工或员工，包括各业务领域、环节及各类风险，坚持事前防范、事中监控为主，事后救济为辅，始终将重大风险防控作为重中之重，做到提前预见、提前发觉、提前管控，推动资源整合、信息共享、同防共治、不断提升，以实现公司高质量量稳健进展。第六条工作原则：（一）健全组织、明确责任。贯彻"横向到边、纵向究竟”的工作要求，各单位健全并连续完善风险内控组织体系，明确细化风险管控责任。（二）统一领导、分级负责。公司总部负责风险内控工作的统筹规划，各单位结合自身实际，分类别、分阶段、分层级推动落实。（三）全面覆盖、突出重点。公司坚持战略导向、问题导向，在进行全方位风险管控同时，更要关注重点人（岗位）、重点事和重点环节。（四）信息共享、连续完善。公司连续完善风险信息的收集、统计、分析、发布机制，实现及时传递、合理共享，不断改进和优化大风控体系。第七条各单位应加强宣贯和培训，引导每一位职工或员工特殊是各级领导人员树立准确的风险管理理念，增强忧患意识、风险意识、责任意识，培育风险管理文化，将内部监控与风险管理要求转化为全体职工或员工的共同熟悉和自觉行动。第二章组织机构与职责第八条公司实行党委全面领导、董事会统一部署、经理层组织实施的"纵横结合、协同监督”的风险内控组织架构，构建风险管理四道防火墙和三道防线。第九条项目部等基层单位、三级单位、二级单位与公司总部构成风险管理的四道防火墙。各单位应健全风险内控体系，明确各部门、风险内控牵头部门、经理层、董事会、党委的风险管控职责，配备满意需要的专职工作人员，业务单一、规模较小的单位至少应明确兼职工作人员，组织、沟通协调、推动风险内控工作。第十条各单位应完善履责依据和履责要求，压实所管辖各级领导人员的具体责任。严格界定分管领导对本人负责或主要参加事项的直接责任,对直接主管（分管）工作的主管责任。严格界定主管领导对本人负责或主要参加事项的直接责任,对直接主管工作的领导责任。严格界定董事会的责任，明确各级董事会或类似权力机构对本单位风险内控工作有效性负责。第十一条各单位应依据部门职责分工，划分风险管理三道防线，强化重大风险管控要求，全方位做好风险防控工作。所有部门作为风险管理的责任主体，在履行与部门自身管理直接相关风险管控职责时为第一道防线，是风险管理的前线和战线，应坚持守土有责、守土尽责，增强责任感和自觉性，未能把防控责任推给上面、留给后面，确保绝大多数风险在这一环节得到有效管控。风险内控、法律合规、平安、质量、协议管理、贯标、人事、财务、内部审计、纪检、巡视等部门在履行支持、服务、调查、评价、审计、检查和督导职责时为第二道防线，是监督保障线,应做好服务支持、监督指导、信息共享、管理赋能工作。纪律检查委员会、违规经营投资责任追究工作管理委员会和平安生产委员会等机构为第三道防线，是问责追责线，应深化剖析、追根溯源，严肃问责追责，促进管理提升。各部门应明确部门负责人、业务主管、一般工作人员的岗位责任，细化落实标准，确保风险管控要求层层落实，保证工作效果。第十二条项目部等基层单位要将一线作业人员作为风险管理第一道防线，业务部门为第二道防线，领导班子为第三道防线,责任到人，齐抓共管，确保现场风险得到有效管控。第十三条所有职工或员工（特殊是各级领导人员）首先要履职尽责，保证自身不发生风险事件，否则应承担直接责任；各级领导人员要加强管理，保证所分管业务（如有）不发生风险事件，否则应承担主管责任；各级领导人员要加强对下级人员的领导，保证所管理人员（如有）不发生风险事件，否则应承担领导责任。第十四条为提升风险管控效果，有效防范、化解重大风险，各法人单位应设立风险管理委员会，统筹领导风险管理与内部监控工作，通过定时会商、重点会商等工作机制，争论解决重大风险、系统性风险等问题，组织实施跨部门、跨单位重大风险管控。第十五条公司总部风险管控职责分工：（一）各部门为风险内控工作责任部门，履行风险管理的主体职责，应强化对各类风险提前预见、提前发觉、提前管控，及时总结、沟通、推广，举一反三，全面提升管控能力。负责履行部门业务条线的内控与风险管理职能；健全并及时更新相关规章制度、业务流程；连续开展教育培训I,提升风险意识；按业务条线收集风险信息，辨识、评估重大风险，提出应对措施并跟踪管控；建立健全风险监测、预警、报告及应急管理机制，将内部监控要求嵌入业务信息系统；明确由部门副职或业务骨干兼任的风险内控专员，对接、协作风险内控牵头部门开展相关工作。（二）风险内控牵头部门为法律合规部，承担风险管理委员会办公室职能。应组织建立健全风险内控体系，落实所有日常工作，指导、沟通协调、督促各单位、各部门开展风险内控工作。负责落实党委会、董事会、经理层工作要求；贯彻内控与风险管理法规、政策，提出风险管理标准，完善风险管理机制；拟订风险内控工作规划和规章制度，编写工作报告；收集风险信息,建立并更新风险数据库，组织公司层面重大风险评估和内部监控自我评价、监督评价及内控缺陷整改；帮助各部门认定重大风险,开展重大风险管控；组织实施风险内控工作考核；严格法律合规审核，坚持"没有法律建议或意见，领导不签字、议题不上会、单位不用印、上级不受理"，对触及风险管控底线的事项，敢于说不。（三）经理层贯彻落实党委及董事会关于风险内控工作要求并组织实施。负责拟订大风控体系方案、重大风险管控方案和年度风险内控评价及考核方案；组织风险管理教育培训，提升全员风险意识;审议所有风险管理标准、规划、规章制度、工作报告，推动全系统风险内控工作开展。（四）董事会统一部署风险内控工作。批准风险管理标准、规划、规章制度、工作报告、风险内控评价及考核方案；健全风险管控决策机制，确定重大决策、重大风险、重要业务流程的推断标准以及重大风险管理策略。审计与风险管理委员会代表董事会连续监督风险内控系统，至少每年一次对风险内控系统有效性进行审核。（五）党委全面领导风险内控工作。坚持把防范化解重大风险作为重要工作，为增强公司风险防控能力提供坚强政治和组织保障；支持董事会和经理层依法行使职权；推动各类监督有机贯穿、相互沟通协调，形成监督合力，提高监督效能；审议大风控体系方案，争论、处理重大风险问题。第三章风险管理第十六条公司对风险实行分类、分级、分层管理，乐观主动、未雨绸缪、见微知著、防微杜渐，对各类风险早识别、早预警、早处置。第十七条风险可能带来有形损失、无形损失和威胁。在做好有形损失管控的同时，更要注意无形损失和威胁的管控，削减风险发生带来的负面影响和损失。第十八条依据风险对公司目标实现造成或产生影响的因素,公司确定战略风险、财务风险、市场风险、运营风险、法律合规风险为一级风险。为实现精准识别和管控，各单位应围绕风险源至少将上述一级风险细化至三级风险。第十九条依据风险发生的可能性，可能造成有形损失、无形损失和威胁的大小，公司区分重大风险、重要风险、一般风险和其他风险，实行不同策略进行管控。重大风险是指可能对公司造成有形损失严峻，对日常运营或战略经营目标影响重大，对公司商誉、地位、形象等可能带来严峻无形损失和连续威胁的风险，应作为管控的重中之重。重要风险是指可能对公司造成一定的损失、威胁，发生频率较高以及可能造成损失、威胁较小，发生频率极高的各类风险,应作为管控的重点。一般风险是指影响程度不大、发生可能性较高或风险影响程度稍微，但频繁发生的风险，应合理分配资源，正常管控。其他风险是指影响程度稍微、发生可能性较低的风险，在做好重大、重要及一般风险管控时，兼顾管控。第二十条各单位应结合自身特点、进展阶段和业务领域，合理确定风险承受度，明确风险评估的定量、定性标准，认定本级重大风险、重要风险，做好连续管控。依据风险事件发生状况和内外部形势变化等，适时调整更新。第二十一条各单位、各部门应按规定向风险内控牵头部门提交重大风险"专项报告"和"定时报告”。法律合规、平安、质量、协议管理、贯标、人事、财务、内部审计、纪检、巡视等部门应将认定的问题、缺陷、案例等及时向关于部门、单位移交，同时抄送风险内控牵头部门，做到信息共享、同防共治，最大限度避开相同或类似事件的重复发生。风险内控牵头部门应加强对收集信息的整理、统计、分析工作，及时发布、预警、提示，全面提升各类风险信息的利用效率。第二十二条各单位、各部门应划分风险预警等级，设计风险预警指标，规范风险处置程序，建立健全重大风险预警和突发事件应急处理机制，制定风险预警响应措施并对执行状况进行跟踪，开展必要应急演练和培训，确保风险事件得到及时妥善处理。第二十三条各单位、各部门应及时总结分析重大风险事件,吸取教训，制定和落实整改措施，优化完善大风控体系，健全风险防范长效机制。第四章内部监控第二十四条依据国家法律、法规要求，结合管理需要，公司建立全员、全面、全过程的，涵盖生产、经营和管理等各个领域，突出重要业务、重点领域、关键环节和岗位的内部监控体系。第二十五条各单位、各部门应以风险管理为导向，以内部监控为抓手，不断健全规章制度，完善业务流程，综合运用不相容职位分别监控、授权审批监控、会计系统监控、财产爱护监控、预算监控、运营分析监控和绩效考评监控等内部监控方法，将风险监控在可承受范围之内。第二十六条在强调每位职工或员工、每个岗位内部监控职责的同时，各单位、各部门应通过风险评估，识别主要风险点，认定重点人、重点事和重点环节，并制定内部监控应对措施。第二十七条各单位、各部门应强化业务发起者的首要责任,全面、逐级落实每一道把关责任，认真负责进行核准、审批或进行风险提示，提出修改完善建议或意见。对于效益不行行、超出风险承受能力或风险应对措施不到位的事项，应及时发表否定建议或意见，严控决策风险。第二十八条各单位应健全内部监控评价机制，定时开展自我评价和监督评价，接受第三方内部监控审计，落实内控缺陷整改工作。对于重大缺陷、重要缺陷和重复发生的缺陷，要深化分析形成原因，以点带面、举一反三，实行有效措施，彻底整改。第二十九条依据风险内控工作开展状况，结合内外部监管要求，各单位编制并向上级单位报送经本单位党委会争论，董事会或类似权力机构批准的"内控体系工作报告”。第三十条依照档案管理要求及关于规定，各单位、各部门应及时将内部监控相关记录、资料文件资料以书面或其他适当形式，妥善保存、保管。第五章信息系统第三十一条公司逐步建立健全涵盖风险管理和内部监控基本流程的信息管理系统，为大风控体系有效运行提供