黑龙江交通发展股份有限公司
全面风险管理办法
第一章 总则
第一条 为加强全面风险管理工作,落实管理责任,加
强内部控制,促进公司健康、可持续发展,为实现公司战略
目标提供保障,根据国务院国资委《中央企业全面风险管理
指引》、财政部、证监会、审计署、银监会、保监会《企业
内部控制基本规范》和《企业内部控制配套指引》,以及黑
龙江交通发展股份有限公司(以下简称“公司”)全面风险
管理的要求,结合公司实际,制定本办法。
第二条 本办法适用于公司、哈大分公司、养护分公司、
龙运现代、东高管材、龙通房地产(以下简称“所属企业”)
的全面风险管理工作。
第三条 本办法所称企业风险,指未来的不确定性对企
业实现其经营目标的影响。
第四条 企业风险按照风险性质可分为:战略风险、
市场风险、财务风险、运营风险、法律风险等。
(一)战略风险:战略定位或战略选择与公司面临的内
外部环境不相适应,战略执行、监控不到位等影响战略目标
- 1 -
实现的因素。
(二)市场风险:产品或生产要素价格、汇率、利率等
市场变化,影响公司经营目标实现的因素。
(三)财务风险:没有完全按照相关会计准则、会计制
度的规定组织会计核算、编制财务会计报告、披露相关信息。
没有建立或实施相关资产管理制度和成本控制制度,导致财
务会计报告和信息披露不完整、不准确、不及时,资产使用
价值和变现能力的降低或消失,成本居高不下,产品竞争力
下降等影响公司报告目标实现及信用评级和现金周转能力
的因素。
(四)运营风险:研发、采购、生产、销售等价值链运
营决策不当,妨碍或影响经营目标实现的因素。
(五)法律风险:没有全面、认真执行国家法律、法规
和政策规定以及深圳证券交易所有关文件的规定,影响合规
性目标实现的因素。
第五条 本办法所称全面风险管理,指围绕公司的总体
经营目标,通过在公司管理的各个环节和经营过程中执行风
险管理的基本流程,培育良好的风险管理文化,建立健全全
面风险管理体系,包括风险管理策略、风险管理的组织职能
体系、风险管理信息系统和内部控制系统,从而为实现风险
管理的总体目标提供合理保证的过程和方法。
第六条 本办法所称风险管理基本流程包括以下主要
- 2 -
工作:
(一)收集风险管理初始信息;
(二)进行风险评估;
(三)制定风险管理策略;
(四)提出和实施风险管理解决方案;
(五)风险管理的监督与改进。
第七条 本办法所称内部控制系统,指围绕风险管理策
略目标,针对公司战略、规划、投融资、市场运营、财务、
内部审计、法律事务、人力资源、采购、销售、物流、质量、
安全生产、环境保护等各项业务管理及其重要业务流程,通
过执行风险管理基本流程,制定并执行的规章制度、程序和
措施。
第八条 公司开展全面风险管理要努力实现以下风险
管理总体目标:
(一)确保将风险控制在与公司战略目标相适应并可承
受的范围内。
(二)确保公司内外部信息沟通的真实、充分、可靠,
包括编制和提供真实、可靠的财务报告;
(三)确保公司遵守有关法律法规;
(四)确保公司有关规章制度和为实现经营目标而采取
重大措施的贯彻执行,保障经营管理的有效性,提高经营活
动的效率和效果,降低实现经营目标的不确定性;
- 3 -
(五)确保公司建立针对各项重大风险发生后的危机处
理计划,保护公司不因灾害性风险或人为失误而遭受重大损
失。
第九条 开展全面风险管理工作应与其他管理工作紧
密结合,把风险管理的各项要求融入公司管理和业务流程
中,特别加强对重大风险、重大事件的管理和重要流程的内
部控制工作。
第二章 全面风险管理组织体系
第十条 公司应建立由董事会总负责,经理层直接领
导,以风险管理部门为依托,相关部门密切配合,覆盖所有
业务单位的风险管理组织体系。
第十一条 风险管理组织体系的建设目标是建立风险
管理三道防线,即公司各部门和所属企业为第一道防线;风
险管理部门、经理层(总经理办公会)和董事会下设的风险管
理委员会为第二道防线;内部审计部门和董事会审计委员会
为第三道防线。
第十二条 董事会是公司风险管理工作的战略决策机
构。董事会就全面风险管理工作的有效性对股东大会负责。
董事会在全面风险管理方面主要履行以下职责:
(一)批准全面风险管理工作报告;
(二)批准风险管理策略和重大风险管理解决方案;
- 4 -
(三)批准风险管理组织机构设臵及其职责方案;
(四)批准风险管理及内部控制监督评价的专项报告;
(五)决定对重大风险事件进行专项调查和重大风险事
件的责任追究。
(六)批准风险管理绩效考核方案和年度绩效考核评定
结果;
(七)批准全面风险管理信息系统建设方案;
(八)督导企业风险管理文化的培育;
(九)向出资人报告重大风险事件及其应对情况;
(十)全面风险管理其他重大事项。
第十三条 董事会应下设风险管理委员会,召集人由公
司董事长担任。委员会成员中需有熟悉公司重要管理及业务
流程的董事,以及具备风险管理监管知识或经验、具有一定
法律知识的董事。
第十四条 风险管理委员会对董事会负责,主要履行以
下职责:
(一)审查全面风险管理工作报告;
(二)审查风险管理策略和重大风险管理解决方案;
(三)审查全面风险管理组织机构设臵及其职责方案;
(四)审查风险管理及内部控制监督评价的专项报告;
(五)审查风险管理绩效考核方案和年度绩效考核评定
结果;
- 5 -
(六)负责指导全面风险管理信息系统的建设;
(七)负责指导风险管理文化的培育与宣贯工作;
(八)办理董事会授权的有关全面风险管理的其他事
项。
第十五条 经理层(总经理办公会)负责主持全面风险
管理的日常工作,对全面风险管理工作的有效性向董事会负
责。主要履行以下职责:
(一)审议全面风险管理工作报告;
(二)制定风险管理策略和重大风险管理解决方案;
(三)制定全面风险管理组织机构设臵及其职责方案
(四)审议风险管理及内部控制监督评价的专项报告;
(五)负责组织对重大风险事件的专项调查,并向董事
会提交调查报告;
(六)制定风险管理绩效考核方案,确定年度绩效考核
评定结果;
(七)掌握各项重大风险及其管理现状,组织落实重大
风险的管理决策事项;
(八)负责组织全面风险管理信息系统的建设;
(九)负责组织风险管理文化的培育与宣贯工作;
(十)全面风险管理的其他工作。
第十六条 公司总经理或总经理委托的高级管理人员
担任风险管理主管领导,负责指导监督风险管理部门的日常
- 6 -
工作。主要履行以下职责:
(一)负责组织指导全面风险评估或专项风险评估;
(二)负责指导监督重大风险应对方案的执行情况,掌
握风险指标的重大变化;
(三)负责指导风险管理部门提出全面风险管理工作报
告;
(四)负责协调指导跨专业、跨部门的风险管理相关事
项;
(五)组织相关部门提出风险管理绩效考核建议方案,
指导风险管理绩效考核;
(六)组织落实董事会关于全面风险管理的议决事项;
(七)指导监督全面风险管理的其他日常工作。
第十七条 公司应设立风险管理部门或确定相关部门
履行全面风险管理的职能,负责风险管理体系的建设和整体
运转,负责公司风险管理工作的组织协调,为公司重大风险
管理决策提供专业意见。该部门对风险管理主管领导负责。
主要履行以下职责:
(一)研究提出风险管理策略和跨部门的重大风险、重
大事件和重要业务流程的判断标准或判断机制;
(二)组织开展全面风险评估或重大决策、重要业务的
专项风险评估;
(三)依据风险评估结果,组织并协助相关部门研究提
- 7 -
出重大风险应对方案,并监督检查重大风险应对方案的执行
情况和效果;
(四)协助风险管理主管领导,办理跨职部门的风险管
理相关事项;
(五)负责拟定全面风险管理工作报告,包括风险评估
报告、监控报告和年度报告;
(六)负责组织对全面风险管理的有效性评估,研究提
出全面风险管理的改进方案;
(七)负责制定或修订风险管理相关规章制度和管理
标准并监督落实;
(八)负责提出全面风险管理信息系统建设需求,协助
开发并维护风险管理信息系统;
(九)负责提出风险管理文化培育与宣传工作建议方
案,并组织风险管理专项培训;
(十)负责指导、监督有关部门和所属企业开展全面风
险管理工作,并提供相关专业技术支持;
(十一)负责办理全面风险管理其他有关工作。
第十八条 公司在董事会下设审计委员会,公司内部审
计部门对董事会审计委员会负责。内部审计部门在风险管理
方面,主要负责研究提出全面风险管理监督评价体系,制定
监督评价相关制度,开展风险管理监督与评价工作,出具全
面风险管理监督评价的专项报告。
- 8 -
第十九条 公司各部门是风险防范和风险应对工作的
具体管理部门,负责与本部门业务相关的风险管理工作。各
部门负责人是本部门风险管理负责人。各部门应接受风险管
理部门和内部审计部门的组织、协调、指导和监督,主要履
行以下职责:
(一)执行风险管理基本流程;
(二)负责制定本部门职责范围内的重大决策、重大风
险、重大事件和重要业务流程的判断标准或判断机制;
(三)参与公司的风险评估工作,对本部门业务管辖范
围的风险进行分析和评价,形成部门风险评估报告;
(四)根据本部门风险评估结果,拟定本部门业务管辖
范围内的重大风险应对方案;
(五)负责对本部门风险应对方案的执行情况和风险变
化情况进行监控,形成部门风险监控报告,并将监控信息及
监控报告及时反馈风险管理部门;
(六)负责开展本部门风险管理评价工作,拟定部门风
险管理年度报告;
(七)协助开展风险管理信息系统的建设和维护工作;
(八)协助开展风险管理文化的培育宣传工作;
(九)责办理全面风险管理其他有关工作。
第二十条 所属企业应建立本企业全面风险管理体系,
完成本企业各项风险管理活动,配合公司风险管理部门和有
- 9 -
关部门的风险管理工作。所属企业负责人为本企业风险管理
最终责任人。所属企业应按照公司风险管理组织架构和职责
分工,建立本企业风险管理组织机构体系,主要履行以下职
责:
(一)建立完善本企业风险管理的组织机构及职能、风
险管理制度、风险管理流程和风险管理报告体系;
(二)组织开展本企业全面风险评估和重大决策、重要
业务的专项风险评估,形成本企业风险评估报告;
(三)根据本企业风险评估结果,拟定本企业重大风险
应对方案,并负责方案的组织实施;
(四)负责监控本企业风险及各项指标变化,形成本企
业风险监控报告;
(五)开展本企业年度风险管理评价工作,拟定本企业
风险管理年度报告;
(六)负责本企业建立风险管理信息系统的有关工作;
(七)负责本企业培育风险管理文化的有关工作;
(八)负责办理全面风险管理其他有关工作。
第三章 全面风险管理工作程序
第一节 收集风险管理初始信息
第二十一条 风险管理初始信息是全面风险管理工作
的基础依据,公司实施全面风险管理,应广泛、持续不断地
- 10 -
收集与本公司风险和风险管理相关的内部、外部初始信息,
包括历史数据和未来预测,并把收集初始信息的职责分工落
实到各部门和所属企业。通过对收集的初始信息进行必要的
筛选、提炼、对比、分类、组合,为风险评估工作奠定基础。
第二十二条 在战略风险方面,应收集与公司相关的宏
观经济政策、技术环境、市场需求、竞争状况等方面的重要
信息,重点关注公司发展战略和规划、投融资计划、年度经
营目标,以及编制这些战略、规划、计划、目标的有关依据。
第二十三条 在财务风险方面,应收集公司盈利能力、
资产营运能力、偿债能力、发展能力指标的重要信息,重点
关注成本核算、资金结算业务中曾发生或易发生错误的业务
流程或环节。
第二十四条 在市场风险方面,应收集与公司相关的市
场供需、销售价格、竞争对手、主要客户和供应商等方面的
重要信息,重点关注原材料、产品价格及市场供需的变化趋
势。
第二十五条 在经营风险方面,应收集与公司相关的组
织效能、经营策略、资产质量、技术更新、管理现状、人员
结构等方面的重要信息,重点关注现有业务流程操作运行情
况及持续改进能力和风险管理的现状和能力。
第二十六条 在法律风险方面,应收集与公司相关的法
律法规、产业政策、员工道德、重大协议合同、重大法律纠
- 11 -
纷案件、知识产权等方面的信息。
第二节 进行风险评估
第二十七条 风险评估是对收集的风险管理初始信息
和各项业务管理流程进行风险辨识、分析和评价并确定重大
风险的过程,包括风险辨识、风险分析、风险评价三个主要
步骤。风险辨识是查找各项经营活动及重要业务流程中有无
风险,有哪些风险;风险分析是对辨识出的风险及其特征进
行明确的描述,分析风险发生可能性的高低和风险发生的条
件;风险评价是评估风险对实现企业经营目标的影响程度
等。
第二十八条 风险评估由公司风险管理部门组织各部
门和所属企业实施,也可聘请有资质、信誉好、风险管理专
业能力强的中介机构协助实施。
第二十九条 风险评估一般采取定性与定量相结合的
方法。风险定量评估应统一制定风险的度量单位和模型、假
设前提和参数等,但当定量法所需要的足够可信的数据无法
获得或者获取成本很高时,通常使用定性法。定性法可采用
问卷调查、专家咨询、政策分析、行业标杆比较、管理层访
谈和调查研究等。
第三十条 在评估多项风险时,结合公司的业务特点和
管理现状,对风险发生可能性的高低和对经营目标的影响程
- 12 -
度的评估和对比,确定各项风险分类、风险层级及风险管理
的优先顺序。
第三十一条 公司应定期开展全面风险评估工作,对重
大决策和重要业务可根据管理需要开展专项风险评估。风险
管理信息应实施动态管理,对新的风险和原有风险的变化要
及时进行重新评估。
第三节 制定风险管理策略
第三十二条 风险管理策略是根据公司内部条件和外
部环境,围绕公司发展战略,确定风险偏好、风险承受度、
风险管理有效性标准,选择风险承担、风险规避、风险转移、
风险控制等适合的风险管理工具的总体策略,并确定风险管
理所需人力和财力资源的配臵原则。
第三十三条 根据公司全面风险评估结果,结合不同的
业务特点,确定统一的风险偏好与风险承受度,明确愿意承
担哪些风险,风险的最低限度和不能超过的最高限度,并据
此确定风险的预警线及相应采取的对策。
第三十四条 公司确定风险偏好和风险承受度,要正确
把握风险与收益的平衡关系,既要纠正忽视风险,片面追求
收益的做法,也要防止单纯为规避风险而放弃发展机遇。
第三十五条 根据风险与收益相平衡的原则,进一步确
定风险管理的优选顺序,明确风险管理成本和控制风险的组
- 13 -
织体系、人力资源、资金预算、应对措施等总体安排。
第三十六条 根据公司发展战略和实际管理能力,结合
风险特性和发生原因及条件,合理选择相应的风险策略,对
于符合公司发展战略、管理能力强或带来获利可能的风险,
应采取积极利用或适度承担的策略;而对于背离战略目标、
管理能力差或没有获利可能的风险,应采取规避、转移或加
强控制的策略。
第三十七条 公司应定期总结和分析已制定的风险管
理策略的有效性和合理性,结合实际情况不断修订和完善,
重点检查风险偏好、风险承受度和风险控制预警线实施的结
果是否有效,并提出定性或定量的风险管理有效性标准。
第四节 提出和实施风险管理解决方案
第三十八条 风险管理解决方案是风险管理策略分解
落实到具体风险的管理措施,一般包括:风险管理的具体目
标,具体风险的对策,风险管理的组织领导,涉及的业务流
程,投入资源,风险事件发生前、中、后可采取的管理措施
及风险管理工具。
第三十九条 根据风险管理策略,公司风险管理部门应
组织各部门和所属企业针对各类风险或每一项重大风险制
定风险管理应对方案,其中外包方案应注重成本与收益的平
衡、外包工作的质量、自身商业秘密的保护以及防止自身对
- 14 -
风险解决外包产生依赖性的风险等,并制定相应的预防和控
制措施。
第四十条 公司制定风险管理解决的内控方案,应满足
合规的要求,坚持经营战略与风险策略一致、风险控制与运
营效率及效果相平衡的原则;针对重大风险所涉及的管理及
业务流程,制定涵盖各个环节的全流程控制措施;针对其他
风险所涉及的业务流程,要把关键环节作为控制点,采取相
应的控制措施。
第四十一条 内部控制是通过标准、程序、措施等要素
来落实风险管理解决方案的具体措施。公司制定合理、有效
的内部控制措施,一般应包括以下内容:
(一)建立内控岗位授权标准。对内控所涉及的各岗位
明确规定授权的对象、条件、范围和额度等,任何组织和个
人不得超越授权做出风险性决定;
(二)建立内控报告管理标准。明确规定报告人与接受
报告人,报告的时间、内容、频率、传递路线、负责处理报
告的部门和人员等;
(三)建立内控批准管理标准。对内控所涉及的重要事
项,明确规定批准的程序、条件、范围和额度、必备文件以
及有权批准的部门和人员及其相应责任;
(四)建立内控责任管理标准。按照权利、义务和责任
相统一的原则,明确规定各有关部门和业务单位、岗位、人
- 15 -
员应负的责任和奖惩制度;
(五)建立内控审计检查管理标准。结合内控的有关要
求、方法、标准与流程,明确规定审计检查的对象、内容、
方式和负责审计检查的部门等;
(六)建立内控考核评价管理标准。具备条件的情况下
应把风险管理执行情况与绩效薪酬挂钩;
(七)建立重大风险预警制度。对重大风险进行持续不
断的监测,及时发布预警信息,制定应急预案,并根据情况
变化调整控制措施;
(八)建立健全法律顾问管理标准。加强法律风险防控
机制建设,形成由决策层主导、总法律顾问牵头、法律顾问
提供业务保障、全体员工共同参与的法律风险责任体系;
(九)建立重要岗位权力制衡管理标准。明确规定不相
容职责的分离,主要包括:授权批准、业务经办、会计记录、
财产保管和稽核检查等职责。对内控所涉及的重要岗位可设
臵一岗双人、双职、双责,相互制约;明确该岗位的上级部
门或人员对其应采取的监督措施和应负的监督责任;并将该
岗位作为内部审计的重点等。
第四十二条 公司风险管理部门和各部门及所属企业
应按照风险管理的职责分工,组织实施风险管理解决方案,
确保各项措施落实到位。
- 16 -
第五节 风险管理的监督与改进
第四十三条 风险管理的监督与改进是及时跟踪风险
及管理状况,传递、汇总与分析相关信息,提交风险管理监
督评价报告,根据风险管理监督结果对风险管理工作进行改
进与提升,确保全面风险管理的效果。
第四十四条 风险管理的监督与改进应以重大决策、重
大风险和重要管理及业务流程为重点,对风险管理初始信
息、风险评估、风险管理策略、关键控制活动及风险管理解
决方案的实施情况进行监督,对风险管理的有效性进行测试
和评估,根据存在的缺陷和变化趋势加以改进。
第四十五条 公司应建立贯穿于整个风险管理的基本
流程,连接各部门和业务单位的风险管理信息沟通渠道,确
保信息沟通的及时、准确、完整,为风险管理监督与改进奠
定基础。
第四十六条 公司各部门和所属企业应定期对风险管
理工作进行自查,及时发现缺陷并改进。风险管理部门应对
各部门和所属企业的日常风险管理工作实施情况进行检查,
提出调整或改进建议。
第四十七条 公司内部审计机构应至少每年一次对各
部门和所属企业风险管理工作的规范性和有效性进行监督
评价,并向董事会提交监督评价专项报告。
第四十八条 公司可以聘请有资质、信誉好、风险管理
- 17 -
专业能力强的中介机构对全面风险管理工作进行评价,出具
风险管理评估和建议专项报告。
第四章 全面风险管理信息系统
第四十九条 公司应建立风险管理信息系统,以公司管
控为核心,以风险管理为手段,以信息系统为平台,以体系
落地为基础,以决策支持为目标,以简洁有效为原则,将风
险管理与各项管理及业务流程和管理软件统一规划、统一设
计、统一实施、同步运行。
第五十条 公司建立风险管理信息系统,应涵盖风险管
理和内部控制系统的基本流程,包括信息的采集、存储、加
工、分析、测试、传递、报告、披露等,形成风险辨识评估、
风险应对、风险监控、风险评价与改进的闭环管理。
第五十一条 公司风险管理信息系统应实现风险信息
的收集与统一管理、风险信息的综合分析与评估、风险信息
的实时跟踪与监控预警、风险管理执行效果的检查与评价、
专项风险管理与决策支持、风险管理工作的日常沟通等基本
功能。
第五十二条 公司风险管理信息系统应实现信息在各
部门、业务单位之间的集成与共享,既能满足单项业务风险
管理的要求,也能满足公司整体和跨部门、跨专业的风险管
理综合要求。
- 18 -
第五十三条 公司应采取措施确保向风险管理信息系
统输入的业务数据和风险量化值的一致性、准确性、及时性、
可用性和完整性,确保风险管理信息系统的稳定运行和安
全,并根据实际需要不断进行改进、完善或更新。
第五章 全面风险管理文化
第五十四条 公司应建立具有风险意识的企业文化,促
进公司风险管理水平、员工风险管理素质的提升,保障公司
风险管理目标的实现。
第五十五条 风险管理文化建设应融入公司文化建设
全过程。大力培育和塑造良好的风险管理文化,树立正确的
风险管理理念,增强员工风险管理意识,将风险管理意识转
化为员工的共同认识和自觉行动,促进公司建立系统、规范、
高效的风险管理机制。
第五十六条 公司风险管理文化建设应与薪酬管理标
准和人事管理标准相结合,有利于增强各级管理人员特别是
高级管理人员风险意识,防止盲目扩张、片面追求业绩、忽
视风险等行为的发生。
第五十七条 公司应建立重要管理及业务流程、风险控
制点的管理人员和业务操作人员的风险管理培训标准。采取
多种途经和形式,加强对风险管理理念、知识、流程、管控
内容的培训,培养风险管理人才,培育风险管理文化。
- 19 -
第六章 全面风险管理绩效
第五十八条 公司应建立对全面风险管理工作的考核
机制,根据公司全面风险管理工作情况,制定合理的考核范
围、考核内容和考核办法等;全面风险管理考核将纳入公司
年度绩效考核体系,公司各部门及所属企业应将全面风险管
理工作任务列入年度工作计划。
第五十九条 公司全面风险管理考核主要包括对风险
管理体系建设工作和风险管理具体工作绩效的考核,结合全
面风险管理阶段性推进计划和工作目标,以及与考核对象进
行沟通,制定风险管理考核指标和考核标准,一般应主要考
虑以下方面:
(一)全面风险管理体系的建设工作按计划进度完成情
况;
(二)全面风险管理流程的执行、改进情况;
(三)全面风险管理职责的界定和落实的情况;
(四)所辖重大风险进行系统评估和预防情况;
(五)所辖重大风险应对方案的制定和执行情况;
(六)所辖重大风险的监控报告和预警的及时、有效性
情况;
(七)超出预警范围的重大风险发生并对公司经营目标
造成重大影响的情况。
第六十条 公司内部审计机构负责对各部门及所属企
- 20 -
业的风险管理工作进行监督,根据各部门和所属企业年度风
险管理工作执行情况,出具风险管理业绩考核意见,经理层
审批通过后报公司绩效考核主管部门作为年度绩效考核的
组成部分。
第六十一条 公司应根据风险管理考核结果,确定各部
门及所属企业的风险管理责任,对出现重大风险损失事件的
责任人应追究责任。
第七章 附则
第六十二条 本办法解释权归属公司董事会。
第六十三条 本办法自董事会决议通过之日起生效。
- 21 -
