山西通宝能源股份有限公司全面风险管理规定(试行)
第一章 总 则第一条 为建立健全山西通宝能源股份有限公司(以下简称“公司”)风险防控体系,增强风险应对能力,防范、控制、化解发生或可能发生的风险,促进公司持续、健康、稳定发展,根据财政部等五部委《企业内部控制基本规范》及配套指引、国务院国资委《中央企业全面风险管理指引》等有关规定,结合公司实际,制订本规定。
第二条 本办法适用于公司本部及所属子公司(以下简称“各单位”)。
第三条 本规定所称的“风险”,是指在公司发展过程中各种不确定性对实现企业战略及经营目标的影响。
第四条 本规定所称“全面风险管理”,是指公司围绕总体战略目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险防控体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。
第二章 风险管理的目标、原则及范围
第五条 公司开展全面风险管理应当努力实现以下总体目标:
(一)确保将风险控制在与公司总体经营发展目标相适应并在可承受的范围内,促进公司战略目标的实现;
(二)确保公司生产经营合法合规;
(三)确保公司有关规章制度和为实现经营目标而采取的重大措施得到贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果;
(四)建立针对各项重大风险发生后的危机处理机制,保护公司不因灾难性风险或人为失误而遭受重大损失,尽可能将损失降到最低。
(五)形成良好的风险管理文化,使全体员工强化全面风险管理意识。
第六条 公司风险管理遵循以下原则:
(一)全面管理与重点防控相结合。风险管理应覆盖所有部门和单位,渗透到各项业务和环节中,贯穿决策、执行、监督全流程。同时,应关注重要业务事项和高风险领域,以重大风险、重大事件的管理和重要流程的控制为重点,减少冗余步骤,提高处理效率。
(二)分级分层分类管理。公司本部是经营决策、生产指标控制、
安全监管、科技推广应用中心,是全面风险管理责任单位;各单位是利润和成本控制中心,是全面风险管理直接责任单位。各单位根据不同业务种类的风险特点实施分类管理,公司本部负责业务类别的风险管理工作,各单位负责管理本层级全面风险管理工作。
(三)管业务必须管风险。公司本部是公司业务风险管理责任部门,负责职责范围内业务风险的直接管理,指导和监督各级公司业务风险管理工作。
(四)可知、可控、可承受。公司及各单位应对风险进行事前预测,做到风险可知;通过分析、评估并制定切实可行的风险管理应对策略,做到风险可控;通过有效的内部控制措施进行防控,将风险控制在可承受范围之内。
(五)动态适应、持续改进。风险管理要主动适应公司内、外部环境变化,动态研究风险防控方案,持续完善风险防控体系。
第七条 公司本部及各单位应根据自身经营规模、业务特点和所处的发展阶段等因素,确定风险偏好和风险承受度。应选择若干能够
衡量风险的具体指标作为预警指标,并明确风险的最低限度和最高限度,作为量化的风险容忍边界。
第八条 公司全面风险管理涵盖公司治理与经营管理活动中所有环节,包括但不限于公司治理、发展战略、安全生产、环境保护、投资融资、财务管理、资金管理、市场运营、资产管理、人力资源、采购销售、贸易物流、法律事务等方面。
第三章 风险管理组织机构与职责
第九条 公司风险管理组织体系由决策层到执行层分别为董事会、经理层、公司本部各部室、各单位组成。
第十条 董事会是公司风险管理工作的最高决策机构,主要履行以下职责:
(一)审议批准公司风险防控管理体系方案;
(二)审议批准公司全面风险管理制度,审议确定公司风险管理总体目标,批准风险管理策略和重大风险解决方案;
(三)审议批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
(四)审议批准公司重大决策的风险评估报告;
(五)审议批准公司年度全面风险管理评价报告;
(六)审议批准公司风险管理其他重大事项。
第十一条 经理层对全面风险管理执行工作的有效性负责,根据职责向董事会报告风险管理工作,包括风险关键监控指标及风险承受度、重大风险事项评估、风险应对方案的制定及执行情况、重大决策的风险评估报告、年度全面风险管理评价报告等审核职责履行情况。
第十二条 内控部为风险管理工作归口管理部门,负责牵头开展公司全面风险防控体系的建设、运行、监督、管理和评价等工作,指
导各单位全面风险防控体系建设和执行情况。主要履行以下职责:
(一)负责拟订公司风险防控体系建设规划和年度工作计划;
(二)牵头推进公司风险防控体系建设,制订全面风险管理的规章制度并监督执行情况;
(三)定期组织开展公司风险信息收集、识别、评估、分析与检查;梳理汇总公司主责部门、各单位提出的重大风险管控清单和风险管理方案,并拟订公司重大风险管控清单,制订风险管理方案。
(四)组织编制公司年度全面风险管理评价报告,组织全面风险管理考核工作;
(五)协同公司本部各部室,指导、督促、检查各单位全面风险管理制度和流程的执行情况;
(六)负责全面风险管理相关的其他工作。
第十三条 公司其他部室为业务风险管理责任部门,负责落实本部门业务风险管理工作,履行相关业务的风险管理监督职责,定期向分管领导报告风险管理工作,提交相关议题报告。本部各部室应建立协调联动机制,业务风险涉及多部门,以重要性原则划分业务风险管理主责部门和协助部门。公司各部室应指定专人负责风险管理工作。
业务风险管理主责部门主要履行以下职责:
(一)贯彻执行公司全面风险管理制度,牵头做好主管风险的风险管理工作;
(二)收集、审核各协助部门相关业务风险信息,进行汇总分析,
提出对应风险类别的管控措施清单,制定并实施风险应对方案; 针对重大决策、重大事件等事项提出对应的风险评估报告,报内控部;
(三)建立主管风险的预警机制,负责对应风险类别业务进行前瞻性风险管理。
(四)负责协调、办理对应风险类别相关的其他工作。业务风险管理协助部门主要履行以下职责:
(一)落实本部门业务的风险管理工作,有效控制风险;
(二)负责本部门业务相关风险信息,进行梳理,识别、评估、分析相关业务管理各环节的风险点,提出风险管控措施清单,制定风险应对方案并实施;
(三)负责编制本部门业务风险管理报告,并报主责部门,配合开展公司年度全面风险管理评价工作;
(四)负责开展与本部门业务相关的其他风险管理工作;
第十四条 各单位应履行风险管理主体责任。各单位应依据公司风险管理要求并结合本单位的实际开展本级及所属子公司的风险管理工作。各单位主要履行以下职责:
(一)建立本单位及所属子公司风险防控管理体系,完善风险管理的组织机构及职能、风险管理制度、风险管理流程;
(二)按照业务归口管理,向公司各归口管理部门报送经营管理和风险管理信息;
(三)组织开展本单位及所属子公司的全面风险评估或重要业务流程的风险评估;
(四)制订本单位风险的应对措施、方案并组织实施;
(五)向公司内控部提交本单位年度全面风险管理评价报告;
(六)开展本单位风险管理文化宣传和风险信息系统建设的有关工作。
第四章 风险管理内容与流程
第十五条 公司和各单位重点管理的风险内容包括但不限于战略风险、安全环保风险、财务风险、市场风险、运营风险、法律风险
等方面。
第十六条 公司根据风险排查和风险识别情况制定风险清单和风险识别标准,明确风险管理主要领域或内容,并提出总体指导要求。各单位应根据自身改革发展和经营管理实际确定风险管理重点内容,保证风险防控不遗漏。
第十七条 风险管理基本流程主要包括以下方面:
(一)收集风险管理初始信息;
(二)进行风险评估;
(三)制定风险管理应对策略;
(四)提出和实施风险管理解决方案;
(五)风险管理的监督与改进。
第十八条 风险管理具体操作流程为:目标设定、风险识别、风险分析及评估、风险应对、风险监控与评价。
第五章 风险信息收集和管理
第十九条 公司各部室、各单位应广泛、持续不断地收集与企业风险管理相关的内部、外部信息。
第二十条 收集各方面风险信息包括但不限于:
(一)战略风险方面。广泛收集与公司相关的宏观经济政策、技术环境、市场需求、竞争状况等方面的重要信息,重点关注公司发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据等信息。
(二)安全环保风险方面。应广泛收集国内外企业安全环保风险失控导致危机的案例信息,重点关注火电企业重大危险源分布、级别,重大危险源管控措施不落实可能带来的安全、环保风险;安全、环保证照取证、变更、延续手续办理情况;生产安全事故带来的停产与经
济损失风险,事故瞒报带来的社会與情风险;涉及大气污染、水体污染、噪声污染、固废污染、危险废物污染以及其他环境问题的法律法规;环境保护方面重大舆情案例及重点舆情隐患等信息。
(三)财务风险方面。广泛收集与公司负债、或有负债、负债率、
偿债能力、获利能力、资产营运能力等指标相关的重要信息,重点关注现金流、应收账款及其占销售收入的比重,产品存货及其占销售成本的比重,应付账款及其占购货额的比重,在成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节,以及与本公司相关的行业会计政策、会计估计,与国家会计制度的差异等信息。
(四)市场风险方面。应广泛收集国内外企业忽视市场风险、缺乏应对措施导致公司蒙受损失的案例信息,重点关注产品或服务的价格及供需变化,能源、原材料、配件等物资供应的充足性、稳定性和价格变化,主要客户、主要供应商的信用情况,潜在竞争者、竞争者及其主要产品、替代品情况等重要信息。
(五)运营风险方面。广泛收集国内外与公司相关的产品结构、市场需求、主要客户和供应商等方面的重要信息,重点关注新市场开发、市场营销策略,市场营销环境等状况,产品质量、信息安全等管理中曾发生或易发生失误的业务流程或环节,对现有业务流程和信息系统操作运行情况进行监管、评价及持续改进,分析公司风险管理的现状和能力等信息。
(六)法律风险方面。广泛收集国内外企业忽视法律法规风险、缺乏应对措施而导致企业蒙受损失的案例信息。重点关注本企业相关的法律环境、影响企业的新法律法规和政策、签订的重大协议合同、发生的重大法律纠纷案件等方面的信息。
第二十一条 各类风险管理信息应由公司本部按照归口管理要
求落实到具体部门实施,应建立持续完善的收集和积累机制。
第二十二条 公司各部室、各单位对收集到的风险信息进行必要的整理、记录、分析,对风险管理信息实行动态管理,以便对新的风险和原有风险的变化重新评估。
第六章 风险识别、分析、评估
第二十三条 公司各部室、各单位应根据收集到的相关信息,对相关风险事项按照风险识别、风险分析和风险评价的步骤开展风险评估工作。
风险识别是指识别经营活动及业务流程中是否存在风险以及存在何种风险;风险分析是指对识别出的风险进行分析,判断风险发生的可能性及风险发生的条件。风险评估是指评估风险可能产生损失价值及对企业实现经营目标的影响程度。
第二十四条 公司各部室、各单位可以采用风险访谈、问卷调查、头脑风暴、小组讨论等方式,识别各业务单元、各项重要经济活动及其重要业务流程中的风险点,并在此基础上整理出风险清单。
第二十五条 公司各部室、各单位对风险清单列示的风险点,从外部环境、内部管理、制度、流程等方面进行成因分析。风险分析不仅要明确公司所面临的风险现状,更要找出诱发风险原因。
第二十六条 公司各部室在日常管理工作中发现突出问题或隐患问题时,应及时组织实施针对突出问题或隐患问题的风险评估,按照评估结果拟订风险评估报告,并提出各项风险的优先管控顺序,高风险优先管控。原则上,风险评估工作每年至少进行一次,但日常发现重大隐患问题时,也可以随时组织实施。
第二十七条 公司内控部可针对日常管理中发现的重大风险领域或风险事项组织开展专项风险评估。
第七章 风险应对策略第二十八条 公司根据战略规划和年度经营目标确定总体风险管理应对策略,并对各产业板块的关键风险按类别确定风险管理应对策略。
第二十九条 公司各部室、各单位应根据自身条件、经营特点和外部环境,围绕企业发展战略和经营目标,在进行风险评估基础上,制定风险管理应对策略。
第三十条 在制定风险管理应对策略中,应按风险类别和等级确定其风险偏好和风险承受度,选择适合的风险承担、风险规避、风险转移、风险对冲、风险补偿、风险控制等措施和办法。一般情况下,对战略、安全环保、财务、运营和法律等风险,可采取风险承担、风险规避、风险控制等方法;对能够通过保险、期货、对冲等金融手段进行理财的风险,可以采用风险转移、风险对冲、风险补偿等方法。
第三十一条 公司各部室、各单位在制订年度投资经营计划和预算中应当充分考虑各种主要风险因素,并体现年度风险管理应对策略。
第八章 风险管理解决方案的制定与实施
第三十二条 公司根据经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,制定有效的内部控制措施,形成风险管理解决方案。针对重大风险所涉及的各管理领域及业务流程,制定涵盖各个业务环节的全流程内部控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的内部控制措施。
第三十三条 公司及各单位应制定合理、有效的内部控制措施,应包括但不限于以下内容:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算管理控制、运营分析控制和绩效考评控制等。具体内容如下:
(一)不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。
(二)授权审批控制要求企业根据常规授权和特别授权的规定,明确各部门、各单位办理业务和事项的权限范围、审批程序和相应责任。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。企业各级管理人员应当在授权范围内行使职权和承担责任。
(三)会计系统控制要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。企业应当依法设置会计机构,配备会计从业人员。从事会计工作的人员,应当具备从事会计工作所需要的专业能力,并遵守职业道德。
(四)财产保护控制要求企业建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。
(五)预算控制要求企业实施全面预算管理制度,明确各级公司在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
(六)运营分析控制要求企业建立运营情况分析制度,管理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
(七)绩效考评控制要求企业建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期
考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
(八)企业应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。
(九)公司应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理
第三十四条 风险管理解决方案应包括风险管理的具体目标、组织领导、所涉及的管理及业务流程、风险事件发生前、中、后所采取的内部控制措施,所需资源和条件以及责任部门及完成时间等内容。
第三十五条 公司各部室、各单位应根据风险管理策略,针对各类关键风险或重大风险制定风险应对方案,报有关决策主体审议批准后实施。
第三十六条 风险管理解决方案履行审批程序后。公司各部室、各单位应按照职责分工制定实施计划,认真组织实施,保证各项管控措施落实到位。在方案的实施过程中,内控部负责跟踪、评价、考核其可行性、有效性,必要时提出调整意见。
第九章 风险监控、预警和报告
第三十七条 公司各部室、各单位研究建立风险监控指标体系,提升风险管理的前瞻性、主动性,完善风险预警机制,对风险管理状况进行实时监控,及时预警,负责本部门和本单位的监控指标设计、监测数据预警、风险防控实施和报告等工作。
第三十八条 风险预警指标应与公司生产经营核心绩效指标有机融合,按照相关性、敏感性、可行性、可衡量性原则设定,根据行业、公司实际情况合理设置正常区域、异常区域和报警区域的阈值。
第三十九条 公司各部室、各单位可根据企业实际情况选择关键指标,建立重大风险预警系统,对重大风险进行持续不断的监控,及时发布预警信息,及时调整管控措施。
第四十条 各单位应在公司统一指导下制定应急处置预案,根据实际情况对预案及时调整、优化,做好本单位风险监控指标的监测。
第四十一条 公司内控部可对各单位进行风险管理专项检查,必要时可进行重点审计或组织专项审计和审计调查。
第四十二条 各单位工作中发生重大经营风险事件,应按照《山西通宝能源股份有限公司重大经营风险事件报告管理暂行办法》有关规定执行,不得拖延和隐瞒。
第四十三条 各单位在风险管理过程中,遇到不可控或可能造成较大社会舆论等风险事项时,应按照相关业务内容及时书面报送公司归口管理部门。
第四十四条 公司年度全面风险评价工作一般由内控部和各部门共同实施,可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。
第四十五条 公司和各单位应将风险管理所需经费列入本单位预算。
第十章 风险数智化管理
第四十六条 公司按照统一规划、分步实施的原则,结合本部各部室风险管理实际建立风险管理数智化平台,逐步实现与各业务信息系统集成,实现数据信息共享,提高风险监控效率和风险预警精确度。
第四十七条 公司风险管理数智化平台运行后,公司各部室依托信息系统开展风险信息收集、风险评估、风险监测、风险预警、风险控制、风险报告等风险管理相关工作。
第四十八条 各单位应当在公司统一建立的数智化系统的基础上,建立涵盖风险管理基本流程和控制环节的数智化系统,实现风险信息在职能部门和业务单位之间、上下级单位之间的共享,充分满足对风险分析评估和监控管理的各项要求。
第十一章 风险文化培育
第四十九条 公司各部室、各单位领导应充分认识到风险管理对公司生产经营管理的重要作用,积极为风险管理提供可靠、有效、及时的支持。
第五十条 公司在风险管理逐步实施的过程中,应将风险管理文化建设融入公司文化建设全过程,努力将风险管理意识转化为员工的共同认识和自觉行动。
第五十一条 公司各部室、各单位全体员工应牢固树立风险无处不在、风险无时不在、严格防控风险、岗位风险管理责任重大的意识和理念,提高公司风险管理能力和水平。
第十二章 监督、考核与问责
第五十二条 公司各部室责对相关业务领域的风险管理工作进行指导与监管,对风险管理工作任务的完成情况进行考核,并根据考核的结果对全面风险管理工作进行改进和提升。
第五十三条 公司内控部定期对各单位的风险管理工作进行指导和监管,指导督促各单位提升风险管理水平。
第五十四条 公司各部室、各单位应定期对风险管理工作进行自查,形成自查报告并及时报送内控部。
第五十五条 公司内控部每年末对各部室、各单位的风险管理工作进行考核评价,重点考核风险防控体系的健全性和有效性,考核结果纳入绩效考评体系。
第五十六条 对于监督和考核中发现的违反风险管理制度,未履行风险管理职责,给企业造成资产损失或其它严重不良后果的,按规定程序报告,并依据国家法律法规和公司有关规定追究有关单位和人员的责任。
第十三章 附 则
第五十七条 各单位应根据本规定,制定本单位的风险管理办法,纳入到公司风险管理制度体系。
第五十八条 本制度未尽事宜,按照国家有关法律、法规和公司章程的规定执行。
第五十九条 本制度由公司董事会审议批准,公司董事会负责解释和修订,自发布之日起生效实施。原《山西通宝能源股份有限公司风险管控制度》(2013年3月28日七届董事会二十七次会议审议通过)、《山西通宝能源股份有限公司重大风险管控暂行办法》(2021年印发)自行废止。