江西长运股份有限公司风险控制管理制度
第一章 总 则第一条 为规范公司风险管理,建立规范、有效的风险控制体系,提高风险防范能力,保证公司健康、稳定发展,提高经营管理水平,根据《企业内部控制基本规范》、《上海证券交易所上市公司自律监管指引第1号—规范运作》、《公司章程》等有关规定,结合公司实际,制定本制度。第二条 本办法适用于公司本部、公司下属各级全资、控股子公司(以下简称“下属企业”),各下属企业应结合实际情况,参照本制度制定本级公司的相关管理规定。
第三条 本制度所称风险,指未来的不确定性对实现公司战略目标和经营目标的影响。一般可分为战略风险、公司治理风险、财务风险、投资运营风险、融资担保风险、法律风险等。第四条 本制度所称全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
第二章 全面风险管理的目标、原则
第五条 全面风险管理总体目标:
(一)确保将风险控制在与总体目标相适应并可承受的范围内;
(二)确保内外部实现真实、可靠的信息沟通;
(三)确保遵守有关法律法规;
(四)确保公司有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;
(五)确保公司建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。
第六条 全面风险管理原则:
(一)战略导向原则:风险管理为公司战略服务,公司开展的各项风险管理活动均应围绕战略目标开展,为战略目标的实现提供支持;
(二)制衡性原则:风险管理应当在公司治理结构、机构设置、权责分配、业务流程方面形成相互制约、相互监督的机制,同时兼顾运营效率;
(三)全员参与、全方位管理原则:风险管理是全体员工的共同职责,每位员工均应充分认识担负的风险管理责任,履行相应的风险管理职责,自觉防范和控制风险。同时,风险管理应覆盖公司的所有业务流程,如法人治理、重组改制、重大投融资和对外担保等业务,渗透到决策、执行、监督、反馈等各环节,确保不存在风险管理空白或漏洞;
(四)充分融合、合理开展原则:风险管理体系应与公司其他管理体系充分融合,通过对现有组织职能、规章制度、业务流程和信息系统的梳理、调整及完善,加入相关风险管理要素,让风险管理融入日常经营管理与决策活动;
(五)成本效益原则:风险管理应当与经营规模、业务范围、风险状况以及所处的环境相适应,以合理的成本实现风险管理目标。
第三章 风险管理组织体系及职责
第七条 公司董事会负责公司全面风险管理工作,其主要职责为:
(一)指导公司全面风险管理工作;
(二)建立风险文化;
(三)审议重大风险管理政策和程序;
(四)审议全面风险和各类重要风险的信息披露;
(五)其他与风险管理有关的职责。
第八条 在经营管理层面,公司建立风险管理的三道防线:
各有关职能部门和下属企业为第一道防线,为风险所有方,主要负责识别公司战略风险、公司治理风险、财务风险、投资运营风险、融资担保风险、 法律风险等,并对相关风险作出评估与控制,各有关职能部门应根据风险管理工作情况编制风险自评报告和风险监控报告,及时作好本部门业务管辖范围内的风险检查与评价工作;
监察审计部和风险评估委员会为第二道防线,为风险管理方,主要负责度量风险和评估风险的界限,建立风险信息收集与披露机制、预警机制等,并监督
和促进风险管理工作的有效实施;
董事会审计委员会为第三道防线,为风险监督方,主要负责通过系统的方法评价和改进企业的风险管理、控制和治理流程效益,帮助企业实现经营目标。
(一)各有关职能部门和下属企业职责:
1.贯彻执行公司全面风险管理办法等制度,认真做好本部门及部门对应职能条线、下属企业的全面风险管理工作,包括信息收集、风险识别、风险评估、风险应对和风险预警等,有效控制风险;
2.对收集的风险信息进行梳理,识别、分析本部门及部门对应职能条线、下属企业管辖范围的风险点;
3.负责本部门及部门对应职能条线、下属企业管辖范围内风险发生可能性和影响程度评估标准的制订;
4.做好风险沟通处置工作,包括重大风险的信息传递、应急处置和长效机制等;
5.定期自查风险管理的执行情况,汇报发现的缺陷问题,并结合发现的缺陷问题,制定和落实改进措施,每季度形成风险自评报告;
6.对本部门及部门对应职能条线、下属企业管辖范围内的风险进行监控和预警,形成部门风险监控报告,并及时反馈监察审计部;
7.协助开展风险管理文化宣传和风险信息系统建设的有关工作;
8.负责办理与本部门及部门对应职能条线、下属企业相关的其他风险管理工作。
(二)公司监察审计部负责公司风险体系建设的具体工作,主要履行以下职责:
1.制订全面风险管理办法;
2.指导公司各职能部门和下属企业建立、健全风险管理体系;
3.定期组织开展风险信息收集、识别、分析与评估;
4.组织协调各职能部门和下属企业拟订风险管控方案,组织、督促管控措施的实施;
5.组织开展公司重大项目的风险评估工作;
6.审核各有关职能部门和下属企业的各项风险管理工作报告;
7.组织公司全面风险管理年度报告工作,并编制报告;
8.组织全面风险管理考核工作;
9.宣传风控知识,培育良好的风险管理文化以及全员风控意识,从而实现风险控制总目标;
10.负责全面风险管理相关的其他工作。
(三)公司办公会下设风险评估委员会,行使下列职权:决定公司的日常风险工作报告及有关事项、审议年度风险管理工作报告及有关工作报告、办公会授予的其他职权。
(四)审计委员会的职责:定期对风险管理制度和其他各项管理措施的健全性、有效性进行审查,对各有关部门及下属企业能否按照有关规定开展风险管理工作及其工作效果进行监督。
第九条 风险管理组织体系包括:风险信息收集、风险识别、风险评估、风险应对、风险预警、风险监控、风险报告等,同时还应涵盖风险信息系统和风险文化的建设。
各下属企业应根据公司的管控模式、自身组织架构和内部管理要求,参照公司的风险管理组织体系,构建本单位的风险管理组织体系,并开展风险管理相关工作。
第四章 风险信息收集与风险识别、评估
第十条 监察审计部组织、协调各部门及各下属企业广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息,进行风险识别、评估并制定本部门及下属企业范围内的风险清单。具体职责分工如下:
战略风险:由企业规划管理部负责收集、识别与评估,如缺乏明确的发展战略或发展战略实施不到位,可能导致公司盲目发展,难以形成竞争优势,丧失发展机遇和动力的风险;发展战略过于激进,脱离公司实际能力或偏离主业,可能导致公司过度扩张甚至经营失败的风险。
公司治理风险:由各职能部门负责收集、识别与评估,如治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略的风险;内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失,运行效率低下的风险。
财务风险:由财务管理部负责收集、识别与评估,如资金调度不合理、营运不畅,可能导致企业陷入财务困境或资金冗余的风险;资金活动管控不严,可能
导致资金被挪用、侵占、抽逃或遭受欺诈的风险。投资风险:由投资运营部负责收集、识别与评估,如投资决策失误,引发盲目扩张或丧失发展机遇,可能导致资金链断裂或资金使用效益低下的风险。运营风险:由投资运营部负责收集、识别与评估,公司运营过程中内部信息传递不通畅、不及时,可能导致决策失误、相关政策措施难以落实的风险。
资产风险:由资产管理部负责收集、识别与评估,公司资产分布存在点多面广的特性,对资产出租、资产处置、日常监管等工作程序存在管理不力,导致资产出租及资产处置不合规的风险。法律风险:由综合管理部负责收集、识别与评估,如合同未全面履行或监控不当,可能导致企业诉讼失败、经济利益受损的风险;合同纠纷处理不当,可能损害企业利益、信誉和形象的风险。
融资担保风险:由财务管理部负责收集、识别与评估,如筹资决策不当,引发资本结构不合理或无效融资,可能导致企业筹资成本过高或债务危机的风险;对担保申请人的资信状况调查不深,审批不严或越权审批,可能导致企业担保决策失误或遭受欺诈的风险。
招投标风险:由汽车管理事业部(招标采购中心)负责收集、识别与评估,如供应商选择不当,采购方式不合理,招投标或定价机制不科学,授权审批不规范,可能导致采购物资质次价高,出现舞弊或遭受欺诈的风险。
人事风险:由人力资源管理部负责收集、识别与评估,如人力资源退出机制不当,可能导致法律诉讼或公司声誉受损的风险;人力资源缺乏或过剩、结构不合理、开发机制不健全,可能导致公司发展战略难以实现的风险。
安健环风险:由安全管理部负责收集、识别与评估,如安全生产措施不到位,责任不落实,可能导致公司发生安全、公共卫生等事故。
信息系统风险:由企业规划管理部下设的信息中心负责收集、识别与评估,如信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下的风险;系统开发不符合内部控制要求,依据授权管理不当,可能导致无法利用信息技术实施有效控制的风险。
意识形态风险:由党群工作部负责收集、识别与评估。
廉政风险:由监察审计部负责收集、识别与评估。
行政风险:由综合管理部负责收集、识别与评估,如内部报告缺失、功能不
健全、内容不完整,可能影响生产经营有序运行的风险。审计风险:由监察审计部负责收集、识别与评估。合规风险:由各职能部门负责收集、识别与评估。下属企业结合本公司经营业务开展情况对上述风险进行收集、识别与评估,并按相应归口职能向职能部门反馈。第十一条 收集的初始信息应进行必要的筛选、提炼、对比、分类、组合,以便进行风险评估。第十二条 监察审计部应组织各部门及各下属企业对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。风险评估包括风险辨识、风险分析、风险评价三个步骤。
第十三条 风险辨识应梳理公司内、外部信息,综合运用风险访谈、问卷调查、风险事件分析、小组讨论、情景分析、政策分析、行业标杆比较、头脑风暴及专家研讨会等风险识别方法,识别各业务单元、各项重要经济活动及其重要业务流程中的风险点;风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高、低风险发生的条件;风险评价是评估风险对企业实现目标的影响程度、风险的价值等,在风险评价时应结合企业的情况确定风险等级。
各部门及各下属企业应根据风险辨识、分析、评估的结果形成风险清单。同时应对风险管理信息实行动态管理,定期或不定期实施风险辨识、分析、评价,以便对新的风险和原有风险的变化重新评估并相应更新风险清单。
第十四条 风险等级可以分为重大风险、重要风险和一般风险,其中重大风险指对组织生产经营产生特别重大影响的风险因素,一旦发生将产生灾难性后果且挽救余地较小;重要风险是指对组织生产经营活动产生较大影响的风险因素;一般风险是指对组织生产经营活动影响较小的风险因素。
各部门及下属企业应根据以上风险等级分类和分类标准对已辨识的风险进行评估,并将风险按照评估结果进行排序,提出各项风险的优先管控顺序,确定风险管控的优先级。
第五章 风险应对
第十五条 公司在应对风险时,应首先根据自身条件和外部环境,围绕企业发
展战略,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的总体风险策略。在选择具体的风险应对策略时,至少应考虑以下因素:
(一)风险应对策略是否与公司的风险容忍度一致;
(二)风险应对策略的成本与收益比较;
(三)风险应对策略中可能的机遇与相关的风险进行比较;
(四)充分考虑多种风险应对策略的组合;
(五)避免因个人风险偏好给公司经营带来重大损失。
公司应定期总结和分析已有风险应对策略的有效性与合理性,结合实际情况不断修订和完善。
第六章 风险预警及监控
第十六条 各部门及下属企业应建立风险预警机制,针对风险事件和风险指标进行持续监控,提高风险管理的科学性、针对性和有效性。
风险事件是指风险发生后导致公司损失、危机或丧失发展机遇的具体表现形式。对风险事件进行监控是通过事前、事中或事后分析的方法,对风险发生的事件进行汇总和管理。各部门及下属企业应根据经验合理判断风险事件发生的可能性,并参照风险等级分类(详见附件)中的定量或定性标准判断风险事件可能造成的潜在影响,从而决定对风险事件的汇报层级和处理紧迫程度。
风险指标监控是通过使用与风险相关的管理、财务、经营指标,量化分析某一风险变化波动情况,并通过定期监控量化指标的形式,分析风险在预警区间分布情况,提高公司对于重大风险的监控和预警能力,提高对重大风险事前和事中的预警及干预能力。
各部门及下属企业应以定量或定性的形式确定风险指标的阈值,但在条件允许的情况下,应尽可能使用定量指标,针对风险警示的严重程度可以设定不同预警阈值等级。
第十七条 风险指标监控的重点对象包括但不限于:
(一)预测投资报酬率低于审批投资时报酬率的债权投资项目;
(二)预计投资结果与审批投资时预测目标发生偏差超过15%或偏差金额大于1000万元的股权类投资项目,当期偏差大于本公司当期净利润10%的股权类
投资项目;
(三)账龄超过90天的应收账款;
(四)预计工期比计划工期拖延超过一个月的工程项目;
(五)预计成本超出预算的工程项目;
(六)诉讼与纠纷案件;
(七)可能与现行法规和制度存在冲突的事项;
(八)可能造成企业声誉受损的事项。
第十八条 综合管理部应收集风险事件与风险处置案例,形成公司风险案例库。
第十九条 公司应当建立完备的风险应急处置机制,确保对风险的快速响应,快速处理,尽可能降低风险损失。
第七章 风险事项报告
第二十条 公司建立风险报告和预警制度。通过有效的沟通和反馈,使公司领导和有关部门及时了解公司各项业务的风险状况,相应调整风险管理政策和管理措施。
第二十一条 风险报告分为定期风险报告和专项风险报告。定期风险报告是指对经营发展中某一阶段存在的风险、管控情况等进行汇总报告,定期报告包括至少包括季度自评报告及年度风险管理报告;专项风险报告是指对风险监控或风险专项检查中发现的重大风险或风险隐患进行专项报告。
第二十二条 风险报告要求。各部门应向监察审计部定期、不定期专项报告本部门及下属企业对应条线风险及管控情况,定期报告采用季度风险自评报告的形式。
风险自评报告至少应当包含以下内容:风险事项基本情况、风险评估结果、风险应对方案、方案实施具体时间节点。
第二十三条 在日常风险管控中,监察审计部可以视情况组织各职能部门开展风险专项检查,针对检查结果,对于监察审计部门职责范围外的风险事项,监察审计部可向风险归属单位或部门提出风险管理要求与建议。
第二十四条 各部门及下属企业应严格落实风险报告工作,做到报告及时、充分,且应报尽报。若因为报告缺失、报告不及时造成公司经济、声誉损失的,
公司将根据相关法律法规、公司章程及有关制度追究风险归属单位与部门责任。第二十五条 公司应当建立完备的风险应急处置机制,成立风险应急管理相关专项组,确保对风险的快速响应。
第八章 内部控制活动第二十六条 公司应搭建与风险管理相配套的内控体系,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。
第二十七条 公司具体的内部控制措施至少应当包含以下几个方面:
(一)授权与审批制度;
(二)责任制度;
(三)审计检查;
(四)考核评价;
(五)重大风险预警;
(六)不兼容职责分离。
第九章 风险管理信息系统第二十八条 公司应将风险管理与信息技术相结合,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,各部门及下属企业利用风险信息系统强化风险管控工作,包括信息采集、存储、加工、分析、测试、传递、报告、披露等。第二十九条 风险管理信息系统应能实时反映重大风险和重要业务流程的监控状态;能够对风险进行预警;能够满足信息报告和信息披露的要求。第三十条 风险管理信息系统应实现信息在各单位及各部门之间的集成与共享,既能满足单项业务风险管理的要求,也能满足企业整体和跨部门跨单位的风险管理综合要求。第三十一条 公司应确保风险管理信息系统的稳定运行和安全,并根据实际需要不断进行改进、完善或更新。
第十章 风险管理文化建设第三十二条 公司应注重建立具有风险意识的企业文化,促进企业风险管理水平、员工风险管理素质的提升,坚持战略导向,将风险管理内嵌于企业战略,保障企业风险管理目标的实现,为企业战略目标的实现提供有力支撑。第三十三条 公司应当将风险管理文化作为企业文化建设的一部分, 在公司制度与规定中对风险管理文化建设的目标与要求进行明确,大力培育和塑造良好的风险管理文化,增强员工风险管理意识,牢固树立风险无处不在、风险无时不在、严格防控纯粹风险、审慎处置机会风险、岗位风险管理责任重大等意识和理念,在内部各个层面营造风险管理文化氛围。
第三十四条 公司应大力加强员工法律素质教育,制定员工道德诚信准则,形成人人讲道德诚信、合法合规经营的风险管理文化。
第三十五条 公司应当风险管理文化建设应与各部门及下属企业的年度绩效考核相结合,根据每年度风险管理的工作情况对有关人员进行相适应的奖惩,使风险管理文化建设与考核制度相结合,有利于增强各级管理人员特别是高级管理人员风险意识,防止盲目扩张、片面追求业绩、忽视风险等行为的发生。
第三十六条 公司应注重风险管理的工作培训,将员工风险意识与风险管理能力培训纳入公司培训计划。采取多种途径和形式,通过风险案例教育与有关文件学习,对公司全体人员进行持续性的风险管理培训,培养风险管理人才,培育风险管理文化。
第三十七条 公司应当保障监察审计部的独立性,保障风险管理人员能够充分行使履行职责所需的知情权和调查权。风险控制管理部门负责人有权参加或列席与其履行职责有关的会议;有权调阅有关文件、资料,并要求公司有关人员对相关事项作出说明。公司应当为风险管理人员履行职责提供必要的人力、物力、财力和技术支持。
第十一章 风险管理的监督与改进
第三十八条 下属企业应定期对风险管理工作进行自查和检验,及时发现缺陷并改进,检查、检验报告应及时报送公司监察审计部。同时,下属企业应将发现缺陷和改进情况按职能条线报送公司相应职能部室。
公司各职能部门应定期对本部室职能范围内风险管理工作进行自查和检验,
及时发现缺陷并改进,检查、检验报告应及时报送公司监察审计部。其中,各职能部门在报告事项中应包含本部门职能范畴之内下属企业上报的风险管理工作缺陷和改进情况,各职能部门对下属企业改进情况负有复核职责。针对改进情况各职能部门还应向监察审计部提交本职能条线风险管理工作调整或改进建议。第三十九条 公司监察审计部定期或不定期对各有关部门和下属企业能否按照有关规定开展风险管理工作及其工作效果进行监督评价,监督评价报告应直接报送董事会下设的审计委员会。此项工作也可结合年度审计、经济责任审计或专项审计工作一并开展。
第十二章 附 则第四十条 本制度未尽事宜,按国家法律、法规、部门规章、规范性文件及公司章程的相关规定执行;本制度如与国家日后颁布的法律、法规、部门规章、范性文件及修订后的公司章程相抵触时,按国家有关法律、法规、部门规章、规范性文件及公司章程的规定执行,公司董事会应及时对本制度进行修订。第四十一条 本制度自公司董事会审议通过之日起实施。