中电科网络安全科技股份有限公司
全面风险管理制度(第2版)
第一章 总 则第一条 为加强公司全面风险管理体系建设,提升公司风险管理能力,保障公司持续、健康、稳定发展,依据《中央企业全面风险管理指引》《企业内部控制基本规范》等文件精神和上级单位制度要求,结合公司实际,制定本制度。
第二条 本制度所称风险,指公司在未来经营管理中,各种不确定性对其实现经营目标的影响。风险可分为战略风险、财务风险、市场风险、运营风险、法律风险等。
第三条 本制度所称重大风险事件,主要包括:
(一)直接经济损失3000万元及以上的。
(二)发生生产安全责任事故,导致人员死亡或2人以上重伤。
(三)产品在执行重大任务时发生质量责任事故,造成重大损失。
(四)被吊销业务资质、营业执照。
(五)负面消息在全国各地、政府及监管机构流传,对公司的声誉造成重大影响。
(六)核心产品供应链危机,预计影响收入或利润比例达到上一年度经审计数据的30%以上。
(七)其他会造成重大经济损失及影响的事件。第四条 本制度所称较大风险事件,主要包括:
(一)或有(实际)损失金额在100万元及以上的不属于重大风险事件的风险事件。
(二)风险事项清单中列示的情形,包括公司管控、风
险管理、购销管理、资金管理、工程承包建设、固定资产投资、股权投资等业务领域的具体风险事项。
(三)其他会造成较大经济损失及影响的事件。第五条 本制度所称一般风险事件,是指除重大风险事件、较大风险事件以外的风险事件。
第六条 本制度所称全面风险管理,指围绕公司战略目标,通过建立健全全面风险管理体系,培育良好的风险管理文化,在管理的各个环节和经营过程中,执行风险管理的基本流程,为实现全面风险管理总体目标提供合理保证的过程和方法。
第七条 全面风险管理总体目标:以公司总体战略规划为牵引,打造风险预警、风险报告、风险预防、风险应对和风险责任五合一的管控体系,确保各类风险有效管控,不断提升风险管理水平,进一步培育风险管理文化,保障公司持续、稳定、健康发展,为实现公司战略目标保驾护航。
第八条 全面风险管理遵循全面性、前瞻性、融合性、重要性、适应性和成本效益性的原则。
(一)全面性原则:风险管理要覆盖公司的所有业务、部门和人员,渗透到决策、执行、监督、反馈等各个环节,即要做到全级次、全业务、全流程。
(二)前瞻性原则:风险管理要体现事前预警,突出审核、会签、法律审查等前置风险防控措施。
(三)融合性原则:建立集战略、投资、财务、市场、运营、法律等方面的一体化风险管理平台,形成目标管理、预算管理、经济运行管理、内控管理相融合的全面风险管理机制。
(四)重要性原则:风险管理应突出对重点业务领域和高风险事项的有效管控。
(五)适应性原则:风险管理应当与公司战略规划、经营规模、业务特点等相适应,并随着情势的变化及时加以调
整,促进经营目标的实现。
(六)成本效益原则:要平衡实施风险管理的成本和因为实施风险管理后而避免的损失或产生的效益,以适当成本实现对风险的有效管理。
第二章 风险管理组织机构及其职责第九条 公司对风险管理实行统一领导、分级负责、专业监督与全员参与相结合的组织体系和管理架构,建立与业务性质、规模和复杂程度相适应的风险管理体系。
第十条 公司董事会是全面风险管理的最高决策机构,对公司全面风险管理承担最终责任,主要履行以下职责:
(一)审议批准全面风险管理基本制度。
(二)研究决定风险管理重大事项。
(三)其他应由董事会决策的风险管理事项。
第十一条 公司经营层在董事会授权下组织开展全面风险管理工作,设立全面风险管理领导小组,公司总经理担任组长,分管全面风险管理工作的公司领导担任副组长。
第十二条 全面风险管理领导小组的主要职责包括:
(一)研究决定公司全面风险管理工作规划和计划,推进公司全面风险管理体系建设。
(二)确定公司风险管理总体目标、风险承受度,审议风险管理策略、应急管理预案和重大风险解决方案。
(三)听取公司各项重大风险情况汇报,统筹部署全面风险管理工作。
(四)审议全面风险管理工作报告及重大决策的风险评估报告。
(五)审议全面风险管理的其他重大事项。
第十三条 全面风险管理领导小组下设风险管理办公室,挂靠在风险管理部门。
第十四条 风险管理办公室的主要职责包括:
(一)落实领导小组各项工作任务部署,推进公司全面风险管理体系建设。
(二)制定工作方案与措施,推进全面风险管理各项工作落地实施。
(三)就全面风险管理工作中的重大事项,提请领导小组研究决定。
(四)办理风险管理其它相关工作。
第十五条 公司风险管理部门负责履行全面风险管理的职责,主要职责如下:
(一)拟订综合性风险管理制度和流程,参与拟订专业性风险管理制度和流程。
(二)制定并组织各部门、子公司签订全面风险管理责任书。
(三)负责组织全面风险管理日常工作,落实风险评估与监控预警、风险事件报告与应对处置工作机制。
(四)协助提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断机制、风险评估报告或解决方案。
(五)负责指导、监督有关职能部门、下属单位开展全面风险管理工作,定期开展年度全面风险管理评价工作。
(六)研究提出公司全面风险管理工作报告。
(七)组织建立和维护公司全面风险管理数据库。
(八)在公司统一的信息化建设体系下,协助提升业务流程风险管控的信息化手段。
(九)办理风险管理其他有关工作。
第十六条 各部门、子公司作为风险管理具体责任单位,负责其业务范围内具体风险的管理,其主要职责包括:
(一)负责开展职责范围内的风险评估工作,研究提出
重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制、风险评估报告或解决方案,并负责对该风险的日常监控和反馈。
(二)在本部门、子公司的业务管理制度和流程中贯彻落实风险管理制度和风险管理措施。
(三)定期或不定期对业务风险情况进行自查,对风险管理的薄弱环节进行完善,开展年度全面风险管理评价工作。
(四)负责管理和处置本部门、子公司的相应风险,对发生的重大风险及时报告并提出解决方案。
(五)负责完成年度全面风险管理责任书的相关工作。
(六)负责业务范围内全面风险管理信息化建设。
(七)负责开展本部门、子公司员工岗位风险培训,做好培育全员风险管理意识的有关工作。
(八)协助和配合其他部门处置与本部门、子公司职责有关的风险事项。
第十七条 各部门、子公司设立全面风险管理员,原则上由各部门合规管理责任人兼任,履行以下主要职责:
(一)统筹安排本部门、子公司风险管理工作。
(二)对本部门、子公司制度建设情况、工作流程进行梳理,提出完善制度建设及工作流程的相关建议。
(三)组织开展本部门、子公司职责范围内的风险评估工作。
(四)配合风险管理部门完成全面风险管理报告以及完善全面风险管理数据库。
(五)办理风险管理其他有关工作。
第十八条 公司内审部门对公司全面风险管理体系进行监督和评价,并按照内部审计制度的规定开展各项审计工作,根据审计发现的问题,提出整改意见并督促整改。
第三章 风险管理责任
第十九条 公司总经理为公司全面风险管理责任人。第二十条 分管全面风险管理工作的公司领导负责主持全面风险管理的日常工作。
第二十一条 公司经营团队成员及党委分管领导对分管业务工作范围内的风险管理工作负责,将风险管理工作要求融入分管业务工作中,对分管业务范围内的风险管理工作提供保障。
第二十二条 公司各部门正职领导或主持工作的副职领导为本部门及本部门职责范围内业务的风险管理责任人。
第二十三条 员工是各岗位风险控制的第一人,各岗位职工应按照公司相关规定,合规合法开展工作。
第二十四条 公司各部门以及每位员工,应充分认识自身的风险管理责任,履行风险管理工作职责,自觉防范和控制风险,将风险管理意识贯穿于公司经营管理的各方面和业务流程的各环节。
第四章 风险管理工作机制
第二十五条 公司以重要业务领域关键风险点为管控核心开展全面风险管理工作。根据收集到的风险信息,通过分析与评估,采取有效应对措施,建设动态风险管理数据库和监控预警指标库,加强对风险管理过程的监督与改进,强化考核机制,落实责任追究,切实提升风险管理水平,保障公司良性发展。
第二十六条 公司开展全面风险管理应与其他职能管理工作紧密结合,把风险管理的各项要求融入公司管理和业务流程中。
第一节 风险信息收集与辨识
第二十七条 按照战略、财务、市场、运营、法律等五
类一级风险,通过辨识公司各项经营管理活动中的风险事项,确定风险的来源、风险发生的可能表现形式等。
第二十八条 风险信息收集渠道包括:
(一)风险事件报告:各部门、子公司通过对风险事件实时报送、定期报送处置进展的方式,及时向风险管理部门报送风险管理信息。
(二)风险指标监控预警:风险责任部门围绕年度重点管控风险,结合风险指标库,合理设置本部门监控预警指标,定期报送监控预警信息,汇报当前风险预警等级,分析季度风险变化态势,提出相对应的风险管理对策和解决建议。
(三)内部审计与检查:通过内部各项审计、检查等工作,了解公司风险状况,发现存在或是可能存在的潜在风险情况。
(四)外部审计与检查:通过上级公司或外部机构开展的审计或检查,针对审计、检查中发现的问题,发现存在或是可能存在的潜在风险情况。
(五)其他渠道:内部渠道包括发展规划、预算计划、财务会计、经济活动分析、工作调研、法律审核等方面的资料,以及各类工作简报、内部刊物、动态信息和办公网络等。外部渠道包括行业协会组织、社会中介机构、业务往来单位、网络媒体和有关监管部门,以及市场调查、来信来访等方面的资料等。
第二节 风险评估与监控预警第二十九条 每年年末,风险管理部门牵头组织各部门对下一年度公司需重点管控的风险进行评估。
第三十条 针对评估出的需重点管控风险,各相关部门建立和完善可量化的风险监控预警指标体系,形成常态化风险监控预警工作模式。
第三十一条 针对其他风险,各相关部门对本部门职责范围内的风险进行持续的日常监控。
第三十二条 公司通过对需重点管控风险信息的收集、分析和传递,及时发现风险隐患和突发事件发生的征兆,做到风险防控工作的前移,发挥上下联动的风险预警作用。
第三十三条 子公司根据业务经营实际,组织开展风险评估及监控预警工作,并定期将工作结果报母公司风险管理部门。
第三节 风险事件报告及处置
第三十四条 各部门、子公司应按照风险管理报告的要求及时、准确、完整报送风险事件情况。
第三十五条 公司对于风险事项采取分级处理方式,遵照《风险事件处置工作细则》执行。
第三十六条 风险管理部门应建立风险事件管理台账与风险事件库,定期(月度、季度)跟踪更新,强化风险事项管理。
第三十七条 公司应当在重点关键领域建立应急预案,明确应急管理岗位及其职责、应急管理措施和应急管理程序,及时有效地处置重点关键领域风险事件。
第三十八条 公司建立风险提示机制。对在经营过程中,通过监测、检验、检查发现的风险,风险管理办公室、风险管理部门或审计部门以《风险提示函》、《风险整改通知书》、《审计整改通知书》等形式,及时向有关部门或下属单位发出风险提示,并促进其改进。
第四节 风险管理考核与责任追究
第三十九条 公司风险管理办公室负责制定风险管理考核标准,并开展考核评价工作。考核结果将纳入公司目标责
任考核体系。
第四十条 对于未有效开展全面风险管理工作,违反相关规定,发生风险事件造成风险损失的,按相关规定追究相关人员责任。若涉嫌违纪的,移交公司纪委进行相关责任追究。
第五章 风险管理保障
第四十一条 公司应健全组织机构,配备专业人员开展风险管理工作。建立风险管理人才储备、培养、激励、晋升机制。建立一支真正掌握有效风险管理技术和方法的专业管理团队。
第四十二条 公司应将信息技术应用于风险管理各项工作,建立涵盖风险管理各环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。并应根据实际情况,不断完善、改进、更新与风险管理有关的信息系统。
第六章 风险管理文化建设
第四十三条 公司在构建企业文化体系的过程中,应注重建立具有风险意识的企业文化,促进公司风险管理水平、员工风险管理素质的提升,保障公司风险管理目标的实现。
第四十四条 风险管理文化建设应融入企业文化建设全过程,树立正确的风险管理理念,增强员工风险管理意识,将风险管理意识转化为员工的共同认识和自觉行动。
第四十五条 公司应通过多种形式,努力传播风险管理文化,加强对风险管理理念、知识、流程、方法等内容的培训,使全体员工牢固树立风险无处不在、风险无时不在、严格防控纯粹风险、审慎处置机会风险、岗位风险管理责任重大等意识和理念。
第四十六条 公司应明确各层面的风险管理目标、主体和内容,使其与公司现有的管理体系保持一致,通过系统的流程化管理,将风险管理思想和方法融入到公司各项业务和日常管理之中,识别、评估和控制风险。
第七章 附 则
第四十七条 本制度由公司风险管理部门负责解释和修订。
第四十八条 本制度适用于公司及下属子公司全面风险管理。
第四十九条 本制度自发布之日起施行。