公司全面风险管理标准.docxVIP

1 PAGE I 风险管理标准 1 范围 本标准规定了集团公司风险管理工作的职责与分工、风险管理的目的与风险、风险的分类、风险的分级、风险库的管理、风险管理的基本流程、风险管理机制、风险管理绩效考核等内容。 本标准适用于集团公司总部、二级单位及项目部的风险管理工作。 2 规范性引用文件及术语和定义 2.1 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 2.2 术语和定义 2.2.1 风险 指未来的不确定性对目标的影响。 注1：影响是指偏离预期，可以是负面的也可以是正面的。 注2：通常用潜在事件、后果或者两者的组合来区分和描述风险。 注3：通常用事件后果（包括情形的变化）和事件发生可能性的组合来分析风险。 注4：不确定性是指对事件及其后果或可能性的信息缺失或了解片面的状态。 2.2.2 事件 某一类情形的发生或变化，一般指风险事件，有时可称为“事故”。 注1：事件可能是一个或多个情形，并且可以由多个原因导致。 注2：事件包括两种状态：没有发生的情形和已经发生的情形，当事件发生并产生后果时，风险的可能性即变为现实，此时已不是严格意义上的风险。如已经发生的风险事件是因为企业内部控制的设计或运行有效性不足而导致的，则应准确界定导致风险事件发生的内部控制缺陷。 注3：某一事件，可能是产生后果的直接原因，也可能是产生后果的间接原因。 2.2.3 风险源 可能单独或共同引发风险的内在要素。 注：风险源可以是有形的，也可以是无形的。 2.2.4 危险 指潜在伤害的来源，是风险源中的一类。 2.2.5 风险评估 包括风险识别、风险分析、风险评价的全过程。 2.2.6 风险识别 发现、确认和描述风险的过程。 注：风险识别包括对风险源、事件及其原因和潜在后果的识别。 2.2.7 风险分析 理解风险的性质、确定风险等级的过程。 注：风险分析是风险评价和风险应对的决策基础。 2.2.8 风险评价 对比风险分析结果和风险准则，以确定风险及其大小是否可以接受的过程。 2.2.9 风险应对 处理风险的过程。 注1：风险应对可以包括： ——不开始或不再继续导致风险的行动，以规避风险； ——为寻求机会而承担或增加风险； ——消除风险源； ——改变可能性； ——改变后果； ——与其他各方分担风险； ——慎重考虑后决定保留风险。 注2：风险应对可能产生新的风险或改变现有风险。 2.2.10 剩余风险 风险应对之后仍然存在的风险。 注：剩余风险可包括未识别的风险。 2.2.11 缺陷 未满足预期或规定的控制要求。按其成因分为设计缺陷和运行缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷。 注1：缺陷可是一个或多个缺陷的组合。 注2：缺陷必然带来风险，缺陷可能增加风险发生的可能性，也可能直接导致风险事件的发生。 2.2.12 风险类型库 指供企业识别风险参考使用的按照风险类型进行划分的风险因素的集合。 2.2.13 风险信息库 指企业在一定期限内识别的具体风险的集合。 3 职责 3.1 集团董事会职责 3.1.1 审批并向上级单位提交集团年度内部控制与全面风险管理报告。 3.1.2 批准集团公司风险管理组织机构设置及其职责方案。 3.1.3 确定集团公司风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案。 3.1.4 了解和掌握集团公司面临的各项重大风险及其风险管理现状，必要时做出有效控制风险的决策。 3.1.5 批准集团公司重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制。 3.1.6 批准集团公司重大决策的风险评估报告。 3.1.7 批准集团公司重大风险应对措施/解决方案，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为。 3.1.8 督导集团公司风险管理文化的培育。 3.1.9 集团公司全面风险管理中其他重大事项。 3.2 集团总经理职责 3.2.1 负责主持集团公司全面风险管理工作，对全面风险管理工作的有效性向董事会负责。 3.2.2 审核集团公司风险管理组织机构设置及其职责方案。 3.2.3 审核并向董事会提交集团公司年度内部控制与全面风险管理报告。 3.2.4 审核集团公司风险管理策略和重大风险管理解决方案，审批集团公司重要风险应对措施/解决方案。 3.2.5 在董事会授权下和职权范围内做出有效控制风险的决策。 3.2.6 审核重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制。 3.2.7 审核重大决策的风险评估报告。 3.2.8 审核集团公司重大风险应对措施/解决方案，审