公司全面风险管理实施细则1 目的为规范××××公司（以下简称公司）的风险管理，建立规范、有效的风险管理控制机制，提升风险管理能力，促进公司持续、健康、稳定发展，根据相关文件，结合公司实际，制定本实施细则。

2 适用范围本办法适用于本公司。

3 引用和参考文件3.1 引用文件《中央企业全面风险管理指引》《集团公司全面风险管理办法》《集团公司系统全面风险管理大纲（试行）》3.2 参考文件《中华人民共和国公司法》《企业国有资产监督管理暂行条例》《企业内部控制基本规范》4 定义及缩略语4.1 术语下列术语和定义适用于本程序。

a) 风险：指未来的不确定性对企业实现其经营目标的影响。

b) 战略风险：战略环境和战略管理过程的不确定因素对实现经营目标的影响。

常见的战略风险有宏观政策及形势把握风险、战略选择风险、重大投资风险、海外投资风险、多元化经营风险、新产品开发投入风险、并购风险、声誉风险等。

c) 财务风险：融资安排、会计核算、财务报告等财务管理活动中不确定性因素对实现经营目标的影响。

常见的财务风险有：财务报告风险、财务控制风险、现金流风险、应收账款风险、盈利能力风险、资金管理风险、资本运作风险、税收风险、借贷风险、对外担保风险等。

d) 市场风险：市场环境的不确定因素对实现经营目标的影响。

常见的市场风险有：需求风险、价格风险、竞争风险、原材料供应风险、供应商产品质量风险、客户与供应商信用风险、利率与汇率风险、产品研发、更新与升级风险等；e) 运营风险：内部流程和系统、人为或外部等不确定性因素对实现经营目标的影响。

常见的运营风险有：公司治理风险、人力资源风险、流程管理风险、管理模式风险、技术风险、产品质量风险、安全环保风险、稳定风险、信息管理风险、外部事件风险等；f) 法律风险：法律环境以及相关利益主体法律行为等方面不确定因素对实现经营目标的影响。

常见的法律风险有：国内外政治法律环境及政策风险、合同风险、企业环境、信息披露风险、法律纠纷风险、知识产权风险、员工劳动关系风险、第三方责任风险等；g) 安全风险：设备、人员、管理等方面不确定因素对安全的影响；h) 工程建设风险：工程建设过程中的不确定因素对工程项目的影响。

常见的工程建设风险有：工程进度风险、工程质量风险、工程投资控制风险、工程采购风险、工程技术风险、工程健康安全环保风险等。

4.2 缩略语下列缩略语用于本程序××××公司：公司。

5 责任5.1 公司风险管理机构及其工作职责公司成立风险管理领导小组和风险管理工作办公室，其人员构成及其职责按照公司《关于××××公司风险管理机构的通知》执行。

5.2 公司日常风险管理机构及其工作职责公司审计部作为风险管理的日常机构，设置风险管理专职人员，负责落实风险管理工作办公室职责范围的日常工作，并负责组织对重大风险控制有效性的测试、检查和评估。

5.3 公司各部门的风险管理机构及其工作职责公司各部门须设置风险管理岗,该风险管理岗须由熟悉本部门所有工作范围、职责以及流程；工作认真负责，具有一定的理解和判断能力；必须能够长期、稳定负责此项工作的人员担任。

各部门的风险管理人员向本部门负责人汇报工作，并接受审计部风险管理相关的业务指导、业务管理和业绩考核，其工作职责是：a) 负责本部门的风险管理报告；b) 负责对本部门月度工作计划、预算及工作总结提出风险管理相关意见；c) 参与本部门重大事项决策，提出有关风险管理方面的意见。

对存在重大风险的事项有权直接向审计部汇报；d) 协助部门负责人组织实施本部门重大风险管理解决方案，并负责对该风险的日常监控；e) 负责对本部门风险管理有效性进行自评，提出相关改进意见；f) 负责协助相关部门建设本部门的风险管理信息系统；g) 办理风险管理其他有关工作。

6 规定6.1 风险评估步骤6.1.1 审计部每季确定风险评估范围，即关键业务和事项，制定“风险登记表”和风险评估的计分标准，发到各部门，并确定报告的时间和频率。

其中，“风险登记表”应至少包括风险名称、风险事件描述、风险原因分析、现有控制描述、风险可能性和影响分析、风险评价、风险应对、负责部门等；6.1.2 各部门风险管理人员负责“风险登记表”的填写和报送工作。

部门风险管理人员须按照本实施细则“风险评估基本流程”有关规定，对本部门相关的关键业务和事项中的风险进行评估，整理并填写到“风险登记表”。

各部门负责人对“风险登记表”出具复核意见后，风险管理人员在规定时间内报送审计部；6.1.3 审计部风险管理专职人员汇总平衡各部门风险评估情况，并对重要业务和事项的风险评估结果，组织相关人员进行复核和验证，撰写公司风险评估报告，报部门负责人审核；6.1.4 公司风险管理工作办公室主任负责组织风险管理工作办公室成员审阅并签署意见后，报送公司风险管理领导小组审批。

6.2 风险评估基本流程风险评估基本流程包括：a) 收集风险管理初始信息；b) 确定重要业务/事项；c) 风险辨识；d) 控制有效性和落实度复核；e) 风险分析；f) 风险评价；g) 风险应对。

6.2.1 收集风险管理初始信息a) 战略风险方面，由办公室负责收集；b) 财务风险方面，由财务部负责收集；c) 市场风险方面，由生产计划部负责收集；d) 运营风险方面，由运行部、维修部、仪控室、采购部、合同部、技术部、安全部负责收集；e) 法律风险方面，由合同管理部负责收集；f) 安全风险方面，由安全部负责收集；g) 工程风险方面,由工程计划部负责收集；h) 审计部风险管理专职负责对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估。

6.2.2 确定重要业务/事项a) 确定重要会计科目和披露事项(1)定量标准1) 一般应选择合并财务报告税前利润的5%作为确认重要会计科目的定量标准；2) 为了确保重要会计科目不被遗漏，在确认重要会计科目时，将指标降低50%，即按税前利润的2.5%作为重要会计科目确认的定量标准；3) 凡是会计科目的当期余额或发生额大于或等于定量标准（即税前利润的2.5%）的，直接确认为重要的会计科目，对于会计科目的当期余额或发生额小于定量指标的，从定性的角度，确认是否属于重要会计科目。

(2)定性因素1）会计科目核算的业务存在较大的错误和舞弊的可能性；2）会计科目核算的业务所包含的交易数量、复杂程度和类似程度；3）会计科目相关的交易事项本身具有较强经营风险，可能存在重大的财产损失；4）与或有负债相关的会计科目，存在潜在的损失和支付风险；5）本年度新发生的交易或行为。

(3)重要会计科目的定量和定性评价1)对于资产负债表上的项目，将期末余额与定量标准进行比较，期末余额大于或等于定量标准的，即确认为重要会计科目；2) 对于利润表上的项目，将当年发生额与定量标准进行比较，当年发生额大于或等于定量标准的，即确认为重要会计科目；3) 对于未达到定量标准的其他会计科目，进行定性分析，符合相关条件的确认为重要会计科目。

b) 确定业务流程与重要会计科目相关的业务流程/事项都纳入到风险管理范围内。

但一些与重要业务和经营关系不密切并且对财务报表不具有重要影响的流程，则不纳入范围。

例如：与存货科目相关的业务流程包括销售、存货管理、期末存货盘点、采购、成本核算等。

在考虑本身所在行业的特点，以及造成错报风险的高低，判断是否将该流程纳入工作范围。

并且，通常情况下，不需要评估整个成本核算流程，只需要评估确保期末存货价值准确的那部分流程。

6.2.3 风险辨识a) 风险辨识的目的风险辨识是指查找公司各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。

风险辨识的主要目的是考虑在公司所部环境和条件下，对公司实现其目标有影响的未来的不确定性。

b) 风险辨识的步骤1)从关键业务或事项出发，针对这些关键业务或事项，理解业务的性质及所要实现目标的实质，考虑实现目标的关键成功因素，考虑和找寻在实现目标过程中内部和外部的风险事件。

2）识别内部风险，应关注下列因素：①董事、监事、总经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。

②组织机构、经营方式、资产管理、业务流程等管理因素；③研究开发、技术投入、信息技术运用等自主创新因素；④财务状况、经营成果、现金流量等财务因素；⑤营运安全、员工健康、环境保护等安全环保因素；⑥其他有关内部风险因素。

3）识别外部风险，应关注下列因素：①经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素；②法律法规、监管要求等法律因素；③安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；④技术进步、工艺改进等科学技术因素；⑤自然灾害、环境状况等自然环境因素；⑥其他有关外部风险因素。

4）归纳风险类型，即将辨识的风险归纳到战略风险、财务风险、市场风险、运营风险、法律风险、；安全风险、工程建设风险等类型。

c) 风险辨识的方法1) 流程图法。

采用流程图法辨识风险时，又分为两种方式，首先是静态地按照现有流程的顺序，逐一查找每个流程内部关键业务或事项所涉及的控制活动的潜在风险；其次是动态地着眼于流程与流程之间的关系，找出流程连接环节可能存在的潜在风险。

通过分析每个相关环节或连接环节所涉及活动的输入、处理和输出过程中，以分析可能存在的风险；2)专家访谈法。

该方法是指针对特定命题，对具有相当资历及代表性的专家进行访问或组织谈话，综合分析访谈内容后，得出研究结论；3)其它定性与定量方法相结合的方法。

定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。

定量方法可采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。

6.2.4 控制有效性和落实度复核a) 描述现有风险控制/减轻活动/策略，主要内容包括：针对该风险，采取的态度和措施；具体负责部门和岗位；相关公司制度，或者没有相关制度规定，但具体做的工作；b) 复核控制设计有效性。

控制设计有效性包括：“几乎所有方面控制有效”、“大多数方面控制有效”、“部分控制有效”、“控制无效”、“没有对应控制”；c) 复核控制落实度。

控制落实度包括：“几乎所有方面控制完全落实”、“大多数方面控制落实”、“部分控制落实”、“控制未落实”、“无法落实”。

6.2.5 风险分析风险分析包括考虑风险事件、风险原因、风险发生的可能性、可能产生的影响。

同时，风险分析也包括评估现有控制或措施的有效性。

有效的控制可以减低风险发生的可能性或者影响程度。

风险分析的步骤：首先按照风险事件的性质和风险原因选择分析时计分的标准；其次根据该标准并结合现有控制或措施的有效性等信息和资料进行评分。