xxxx全面风险管理办法第一章总则第一条为加强及规xxxx（以下简称“xxxx公司”或“公司”）及其属下各级企业的风险管理工作，建立规、有效的风险控制体系，防、控制和化解在复杂多变的经营环境中随时可能发生或出现的风险与危机，促进公司战略的实现和经营的持续、稳定、健康发展，根据国务院国资委《中央企业全面风险管理指引》和财政部等五部委《企业部控制基本规》及相关配套指引，结合xxxx公司实际，制订本办法。

第二条本办法适用于xxxx公司和属下全资子公司，控股和参股公司可参照执行。

第三条本办法所称“风险”，是指在公司发展过程中各种不确定性对实现公司战略及经营目标的影响。

企业风险一般可分为战略风险、运营风险、财务风险、市场风险和法律风险等。

第四条本办法所称的“全面风险管理”，是指围绕公司总体经营目标，通过在管理各环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化等，建立健全风险管理体系，从而为实现风险管理总体目标提供保证的过程和方法。

第五条风险管理基本流程包括以下主要工作：（一）收集风险管理初始信息；（二）进行风险评估；（三）制订并实施风险管控方案；（四）风险监控报告及预警；（五）风险管理的监督与考核。

第六条公司在制订并实施战略规划、年度经营计划过程中应当充分考虑风险及制订应对措施，在投融资、市场运营、财务、人力资源、法律事务、安全生产等各项经营管理活动中应执行风险管理基本流程，制订并执行相应的制度、程序和措施。

第七条企业部控制是全面风险管理的重要组成部分，部控制以风险管理为导向，公司及属下各级企业应按照财政部等五部委颁布的《企业部控制基本规》及相关配套指引，结合实际，建立健全企业部控制体系。

第八条公司及属下各级企业应根据自身经营规模、业务特点和所处的发展阶段等因素，确定风险偏好。

应选择若干能够衡量风险的具体指标（如资产负债率等）作为预警指标，并明确风险的最低限度和不能超过的最高限度，作为量化的风险容忍边界。

xxxx公司现阶段实行稳健的经营理念，对风险采取谨慎的态度。

第九条公司大力培育和塑造良好的风险管理文化，树立正确的风险管理理念，增强员工风险管理意识，将风险管理意识转化为员工的共同认知和自觉行动，促进企业风险管理目标的实现。

第二章风险管理的目标、原则第十条公司开展全面风险管理要努力实现以下总体目标：（一）确保将风险控制在与公司总体目标相适应并可承受的围；（二）确保遵守有关法律法规；（三）确保公司有关规章制度和实现经营目标而采取的重大措施得到贯彻执行，保障经营管理的有效性，降低实现经营目标的不确定性。

（四）建立针对各项重大风险发生后的危机处理机制，保护公司不因灾难性风险或人为失误而遭受重大损失。

第十一条为确保风险管理的有效性，开展风险管理应当遵循以下原则：（一）战略导向原则：风险管理为公司战略服务，公司开展的各项风险管理活动均应围绕战略目标开展，为战略目标的实现提供支持；（二）制衡性原则：风险管理应当在公司治理结构、机构设置、权责分配、业务流程方面形成相互制约、相互监督的机制，同时兼顾运营效率；（三）全员参与、全方位管理原则：风险管理是全体员工的共同职责，每位员工均应充分认识担负的风险管理责任，履行相应的风险管理职责，自觉防和控制风险。

同时，风险管理应覆盖公司的所有业务流程，如法人治理、重组改制、并购上市、重大投融资和对外担保等业务，渗透到决策、执行、监督、反馈等各环节，确保不存在风险管理空白或漏洞；（四）充分融合、合理开展原则：风险管理体系应与公司其他管理体系充分融合，通过对现有组织职能、规章制度、业务流程和信息系统的梳理、调整及完善，加入相关风险管理要素，让风险管理融入日常经营管理与决策活动；风险管理还应当与经营规模、业务围、风险状况以及所处的环境相适应，以合理的成本实现风险管理目标。

第三章风险管理组织体系及职责第十二条公司建立风险管理的三道防线：各职能部门和各级企业为第一道防线；风险管理委员会和风险管理职能部门为第二道防线；部审计部门和审计监察委员会为第三道防线。

第十三条公司风险管理组织体系由各业务部门和各一级企业、风险管理职能部门、审部门、风险管理委员会、审计监察委员会、董事会组成。

第十四条风险管理委员会由公司主要领导担任主任委员，全面负责公司的风险管理工作，主要履行以下职责：（一）根据公司总体战略，审核和修订公司风险战略、风险管理制度和部控制流程，对其实施情况及效果进行监督和评价，向公司领导班子提出建议；（二）审议和评价公司战略、财务、市场、营运、法律等重大风险管控方案；审议重大风险事件专项分析报告并提出整改意见；（三）审议风险管理组织机构设置及其职责方案，监督和评价风险管理部门的设置、组织方式、工作程序和效果，并提出整改意见；（四）审议和评价部审计部门提交的风险管理专项审计报告；（五）审议和评价一级企业和重点子企业提交的年度风险管理报告；（六）监督风险管理工作进度，协调所需人、财、物资源；（七）办理董事会或经营班子授权的有关全面风险管理的其他事项。

第十五条法律与董事会事务部是风险管理的职能部门，主要履行以下职责：（一）制订风险管理的规章制度、工作标准和工作流程；（二）指导公司各职能部门和属下公司执行全面风险管理的制度和流程；（三）定期组织开展风险信息收集、识别、分析与评估，制订统一的风险评估标准；（四）组织协调各职能部门拟订风险管控方案，组织、督促管控措施的实施；（五）组织开展公司重大项目的风险评估工作；（六）编制公司全面风险管理年度报告；（七）组织全面风险管理考核工作；（八）负责风险管理信息系统的开发和推广运用；（九）负责全面风险管理委员会的各项日常工作，办理风险管理委员会交办的其他事项；（十）负责全面风险管理相关的其他工作。

第十六条公司各业务部门主要履行以下职责：（一）贯彻执行公司全面风险管理办法等制度，认真做好本部门的全面风险管理工作，有效控制风险；（二）对收集的风险信息进行梳理，识别、分析本部门业务管辖围的风险点；（三）负责本部门业务管辖围风险发生可能性和影响程度评估标准的制订；（四）参与公司组织的风险评估工作，主要负责对本部门业务管辖围的风险进行评价；（五）拟订本部门业务管辖围风险的应对措施和方案，并组织管控措施实施；（六）对本部门业务管辖围的风险进行监控和预警，形成部门风险监控报告，并及时反馈风险管理职能部门；（七）协助开展风险管理文化宣传和风险信息系统建设的有关工作；（八）负责办理与本部门业务相关的其他风险管理工作。

公司各业务部门负责人为本部门风险管理的第一责任人，负责所在部门风险管理，设置风险管理岗，由熟悉部门业务的骨干兼职风险管理员，负责风险管理具体工作的推进及协调。

第十七条审计与监事工作部负责行使独立的审计监督、评价职能，主要履行以下职责：（一）定期对包括风险管理职能部门在的各有关部门和属下一级企业风险管理工作进行监督评价，出具审计报告；（二）根据风险评估结果或日常风险监控的结果，对可能存在重大风险的管理环节进行专项检查。

审计与监事工作部就风险管理监督、检查的情况，向审计监察委员会汇报。

第十八条公司审计监察委员会负责监督、检查公司及所属企业全面风险管理、部控制制度的健全性和有效性，对重大事项要向董事会、党委会报告。

第十九条公司属下全资子公司应结合本企业的实际，结合xxxx 公司风险管理的要求，开展以下方面工作：（一）建立完善本企业风险管理的组织机构及职能、风险管理制度、风险管理流程和风险管理报告体系；（二）组织开展本企业的全面风险评估或重要业务流程的专项风险评估；（三）制订重大风险的应对措施、方案并组织实施；（四）向xxxx公司提交风险管理年度报告；（五）开展风险管理文化宣传和风险信息系统建设的有关工作。

第四章风险收集和评估第二十条公司各业务部门和各企业，应广泛、持续不断地收集与经营管理相关的、影响公司目标实现的部和外部风险信息，包括宏观经济政策、法律法规、产业导向、治理结构、市场状况、财务状况、人力配置、管理流程、管理措施、信息系统运用、信息沟通和报告等方面的历史数据和未来预测信息，以及本单位或其他企业风险失控导致企业损失的案例等。

第二十一条在战略风险方面，应收集与公司相关的宏观经济政策、产业导向、技术环境、市场需求、竞争状况等方面的重要信息，重点关注公司发展战略、规划、投融资计划、年度经营目标以及编制这些战略、规划、计划和目标的有关依据。

在财务风险方面，应收集公司盈利能力、负债率、偿债能力、现金流、应收账款、资金周转率等指标的重要信息，并关注成本核算、资金集中管理、结算，以及与公司相关的行业会计政策、税收政策等信息。

在市场风险方面，应收集与公司相关的市场供需、销售价格、竞争对手、主要客户和供应商方面的重要信息，关注资本市场运作、股票价格指数等方面的信息。

在运营风险方面，应收集与公司相关的组织效能、经营策略、资产量、安全、环保、技术更新、管理现状、人员结构等方面的重要信息，关注现有业务流程运行状况和改进能力，以及风险管理的现状和能力。

在法律风险方面，应收集与公司相关的政策、法律法规、重大合同、重大法律纠纷案件、知识产权保护等方面的信息。

第二十二条风险管理职能部门负责将各业务部门、各一级企业收集上报的风险信息进行归集，建立风险信息数据库，作为公司开展风险管理工作的基础。

第二十三条各业务部门和各企业对收集到的风险信息进行必要的梳理和分类，并对收集的风险信息进行评估，风险评估包括风险识别、风险分析和风险评价三个步骤。

第二十四条公司和各企业可以采用风险访谈、问卷调查、头脑风暴、小组讨论等方式，识别各业务单元、各项重要经济活动及其重要业务流程中的风险点，并在此基础上整理出风险清单。

第二十五条各部门和各企业对风险清单列示的风险点，从外部环境、部管理、制度、流程等方面进行成因分析。

风险分析不仅要明确公司所面临的风险现状，更要找出诱发风险发生的源头。

对于初步分析认为特别重要的风险信息应及时向风险管理职能部门和风险管理委员会报告。

第二十六条风险管理职能部门根据公司既定的风险偏好和风险容忍度，组织各业务部门和相关企业制定统一的、可量化的《风险评估标准》。

风险评估标准应包括《风险发生可能性评估标准》和《风险发生影响评估标准》两部分。

《风险评估标准》须提交风险管理委员会审核确认。

第二十七条风险管理职能部门组织相关业务部门、企业和人员，对识别出来的风险进行评价。

风险评价既要对固有风险进行评价，更要充分考虑公司现有管控措施的作用，对风险现状进行客观评价。

第二十八条风险管理职能部门根据评估结果拟订《风险评估报告》，并提出各项风险的优先管控顺序，高风险优先管控。

《风险评估报告》经风险管理委员会审核确认后，作为制定风险管控方案的依据。