全面风险管理与内部控制管理标准(征求意见稿).doc

QG/PG 攀钢集团有限公司全面风险管理与内部控制管理标准（征求意见稿）IQG/PG00 全面风险管理与内部控制管理标准1 范围本标准规定了攀钢集团有限公司全面风险管理与内部控制的组织机构与职责、管理内容与要求、检查与考核等。本标准适用于攀钢集团有限公司及所属各子（分）公司、直属单位、托管单位。子（分）公司、直属单位、托管单位可直接引用或转化为本单位管理标准，在转化过程中应保持公司统一设置的管理控制流程和过程控制基本规则。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。国资发改革2006108号 中央企业全面风险管理指引财会20087 号 企业内部控制基本规范 财会201011号 企业内部控制应用指引、企业内部控制评价指引、企业内部控制审计指引国资发评价201268号 关于加快构建中央企业内部控制体系有关事项的通知鞍钢政发201359号 鞍钢集团公司全面风险管理与内部控制管理办法（暂行）鞍钢政发201375号 鞍钢集团公司内部控制评价管理暂行办法3 术语、定义与缩略语下列术语、定义与缩略语适用于本标准。3.1 公司指攀钢集团有限公司。3.2 各单位指公司下属各子（分）公司、直属单位和托管单位。3.3 XX 管理部门 公司规定的某项管理职能的主管部门。各单位对上述部门的确定和调整按相应的职责管理规定执行。3.4 风险指未来的不确定性对公司实现经营目标的影响。一般分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为公司带来盈利等机会为标志，分为纯粹风险和机会风险。3.5 全面风险管理指公司围绕总体经营目标，通过在公司管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险管理措施，以及构建风险管理组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理总体目标提供合理保证的过程和方法。3.6 内部控制指公司董事会、监事会、管理层和全体员工为了保证公司战略目标的实现，针对公司各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。3.7 内部控制规范体系指企业内部控制基本规范及其配套指引的规定和其他内部控制监管要求。4 组织机构与职责公司全面风险管理与内部控制的组织体系主要包括公司董事会、监事会、经理层、全面风险管理与内部控制管理部门、审计部门、其他各职能管理部门及各单位。4.1 公司董事会是公司全面风险管理与内部控制工作的最高决策机构，对公司全面风险管理与内部控制的建立健全和实施的有效性负责，主要履行以下职责：a) 决定全面风险管理与内部控制体系；b) 审批全面风险管理与内部控制工作年度计划；c) 审批公司全面风险管理报告及内部控制评价报告，认定公司内部控制重大缺陷并实施整改；d) 确定公司全面风险管理与内部控制总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案；e) 了解和掌握公司面临的各项重大风险及其内部控制现状，做出有效控制风险的决策；f) 批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；g) 批准重大决策的风险评估报告；h) 批准风险管理与内部控制监督评价的审计报告；i) 督导公司风险管理文化的培育；j) 其他有关公司全面风险管理与内部控制的重大事项。公司董事会下设风险控制与审计委员会，具体办理董事会授权的全面风险管理与内部控制相关事项。4.2 公司监事会是公司全面风险管理与内部控制监督机构，对公司建立与实施全面风险管理与内部控制进行监督，主要履行以下职责：a） 监督董事会、经理层建立完善全面风险管理与内部控制体系；b） 监督董事会、经理层正确履行全面风险管理与内部控制职责；c） 审核公司年度全面风险管理报告及内部控制评价报告；d） 监督公司内部控制缺陷整改。4.3 公司经理层负责组织领导公司内部控制的日常运行和全面风险管理的日常工作，就全面风险管理与内部控制的有效性向董事会负责，主要履行以下职责：a) 组织建立全面风险管理与内部控制体系；b) 审批全面风险管理与内部控制制度；c) 审核公司全面风险管理与内部控制年度工作计划；d) 审核公司内部控制评价报告及全面风险管理报告，认定公司内部控制重要缺陷并实施整改；提出公司重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制等风险管理相关建议； e) 审核风险管理与内部控制监督评价的审计报告；f) 审批专项风险报告；g) 其他全面风险管理与内部控制事项。公司经理层成立以总经理为组长、副总经理为副组长、各职能管理部门负责人为成员的全面风险管理与内部控制领导小组，具体办理在公司授权范围内的全面风险管理与内部控制相关事项。4.4 公司管理创新部门是公司全面风险管理与内部控制建设和评价的归口管理部门，对公司总经理委托授权的全面风险管理与内部控制主管领导负责，主要履行以下职责：a) 研究提出公司全面风险管理与内部控制体系建设方案、管理制度、规划及年度计划；b) 组织开展年度风险评估及应对工作，负责对风险评估结果汇总分析，对其他职能管理部门和单位开展的风险评估提供指导和支持；c) 根据风险评估结果，提出风险管理策略和内部控制调整建议，组织协助相关部门制定重大风险应对方案；d) 对年度风险管理与内部控制工作情况进行评估，编制公司全面风险管理报告和内部控制手册；e) 为公司各职能部门管理重大风险提供专业支持，组织协调跨部门的风险管理事宜，对专项风险评估报告进行合规性审查，对公司重大风险管理提出意见。；f) 组织开展对公司重要业务流程的内部控制及重大风险的日常监控与专项调查；g) 对重大风险管理策略和解决方案的制定、执行和效果情况进行监督检查；h) 负责组织实施公司内部控制评价，提出内部控制评价报告；i) 负责组织实施内部控制缺陷整改；j) 负责组织协调公司全面风险管理与内部控制其他日常工作。4.5 公司审计部门、纪检监察部门是公司全面风险管理与内部控制的日常监督部门，主要履行以下职责：a) 将风险管理与内部控制纳入审计和纪检监察范围，对公司全面风险管理与内部控制的有效性进行日常监督检查和评价；b) 结合内部审计和纪检监察日常工作，揭示公司内部控制缺陷和重大风险并按照工作程序进行报告；c) 负责组织提出揭示的内部控制与风险管理设计与运行缺陷的整改方案，并对整改方案执行进行监督检查。4.6 公司财务部门是聘请会计师事务所对公司开展内部控制审计的主管部门，主要履行以下职责：a) 负责签署协议确定公司内部控制审计会计师事务所和内部控制评价机构；b) 协调会计师事务所开展公司内部控制审计和评价；c) 向内部控制主管部门提供内部控制审计和评价情况。4.7 公司董事会办公室是公司全面风险管理与内部控制信息披露管理部门，主要履行以下职责：a） 负责收集有关公司全面风险管理与内部控制工作相关的董事会议案；b） 负责公司全面风险管理与内部控制信息披露。4.8 公司各职能管理部门是本专业管理和业务范围内的风险管理与内部控制责任主体和实施主体，主要履行以下职责：a) 研究提出本专业管理范围内的风险管理模式、制度建设、管理流程，制定控制目标，评估流程主要风险点，确定关键控制点，制定风险防范和控制措施。b) 研究提出本专业管理范围内的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制并对本专业范围内涉及的重大风险作出判断；c) 研究提出本专业重大决策的风险评估报告；d) 研究提出本专业重大及重要风险管理策略与解决方案，建立风险预警机制，做好风险的日常监控工作，制定和适时启动应急预案；e) 负责建立和完善本专业管理范围的内部控制体系，对本专业的管理体系实施管理评审和自我评价。f) 完成日常风险信息报送、年度风险辨识和评估，向风险管理部门提供专业的风险管理信息。g) 接受风险管理部门的组织、协调、指导和监督。4.9 各单位主要履行以下职责：a) 制定本单位的全面风险管理与内部控制规章制度，建立健全组织体系；b) 研究提出本单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；c) 研究提出本单位的重大决策风险评估报告，撰写本单位年度全面风险管理报告；d) 建立健全本单位的内部控制系统，编制内部控制手册；e) 研究本单位关键风险预警指标，做好风险的日常监控工作；f) 向公司风险管理部门提供风险管理信息和报送相关材料。g) 负责培育本单位风险管理文化；5 管理流程管理流程图见附录A。6 管理内容与要求公司全面风险管理与内部控制实行“统一领导、分类分级”的管理模式和“业务谁主管、风险谁负责”的管理原则。即：全面风险管理与内部控制工作由公司统一领导，公司各职能管理部门负责本专业管理和业务范围内的风险管理与内部控制，各单位在公司管理层级权限范围内负责本单位全面风险管理与内部控制。公司全面风险管理与内部控制工作主要包括以下内容：内部环境、风险评估、风险控制、风险监控及报告、重大风险事件应对、内部监督与改进、风险文化建设等。6.1 内部环境6.1.1 内部环境包括公司治理结构、内部机构设置及权责分配、发展战略、人力资源政策、内部审计、社会责任和企业文化等。6.1.1.1 公司治理结构公司及具有独立法人资格的子公司，应根据国家有关法律法规和公司章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。不具备独立法人资格的分公司、直属单位，应按照公司管控模式，建立决策机构和管理机构，明确权责分工。6.1.1.2 内部机构设置公司应结合业务特点和内部控制要求，设置内部机构，明确职责权限，将权利与责任落实到各部门和单位。6.1.1.3 发展战略公司应对现实状况和未来趋势进行综合分析和科学预测，制定并实施发展目标和战略规划。6.1.1.4 人力资源政策公司应制定和实施有利于企业可持续发展的人力资源政策，将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，并加强员工培训和后续教育。6.1.1.5 内部审计公司应设置内部审计机构，结合内部审计监督，对公司风险管理与内部控制的有效性进行监督检查。6.1.1.6 社会责任公司经营发展过程中，应在安全生产、产品质量、环境保护、资源节约、促进就业、员工权益保护，以及供应商、客户（消费者）、股东和债权人权益保护、公共关系和社会公益事业等方面履行社会责任和义务。6.1.2 公司有关部门及各单位根据鞍钢集团公司对区域子公司的管控模式，按照企业内部控制基本规范及其第1号至第5号应用指引规范性要求，就内部环境相关内容进行梳理，制定管理制度并认真贯彻实施，为公司风险管理与内部控制提供组织保证、制度约束，营造良好的风险管理与内部控制环境。6.2 风险评估6.2.1 风险评估是在信息收集的基础上根据公司内外部环境的变化，对公司所面临的与实现控制目标相关的内部和外部风险进行风险辨识、风险分析和风险评价，包括对公司各项管理制度、各项经营发展计划、经营与投资方案等的事前风险评估。6.2.2 公司建立风险管理初始信息收集与积累机制。6.2.2.1 公司各部门、各单位按照中央企业全面风险管理指引、企业内部控制基本规范、企业内部控制应用指引中风险管理初始信息收集范围及应当关注的风险因素，广泛、持续不断地收集与本部门、本单位风险管理相关的内、外部风险初始信息，包括历史数据和未来预测，并把收集风险初始信息的职责分工落实到具体工作岗位。6.2.2.2 公司各部门、各单位对收集的风险初始信息进行必要的筛选、对比、提炼，规范各专业风险名称和定义，对风险进行分类分级，并对其具体表现进行分析描述，逐步建立和及时更新维护本部门、本单位风险信息库。6.2.2.3 公司各部门、各单位根据风险管理的需要，将风险管理初始信息及时通报公司风险管理主管部门；公司风险管理主管部门组织建立和完善公司风险信息库。6.2.3 公司每年年初定期组织开展一次年度全面风险评估，确定年度影响公司战略、经营目标实现的重大、重要风险。6.2.3.1 公司风险管理部门负责提供公司信息库，制定风险评估的参考标准，并根据公司战略和年度生产经营计划确定风险评估的重点业务领域和评估范围，组织各部门和单位开展年度风险评估。6.2.3.2 各单位综合所在行业特点和自身实际情况，制定适合本单位风险评估标准，并对影响目标实现的各类不确定性进行全面风险辨识，对辨识出的风险及其特征进行明确定义，分析和描述风险产生原因、发生可能性的高低、风险发生的条件及对目标的影响程度，采用定性和定量相结合的方式对辨识出的风险进行评价并排序，形成风险清单，明确本单位重大、重要风险。 6.2.3.3 公司各职能部门按照专业管理范围，明确本专业管理范围内公司级重大、重要风险的评判标准，评估确定本专业内公司级重大、重要风险。6.2.3.4 公司风险管理部门汇总、分析各单位及各职能部门的风险评估结果，明确公司级重大、重要风险的评判标准，拟订公司级重大、重要风险。6.2.4 公司建立重大事项专项风险评估机制。6.2.4.1 凡涉及公司战略规划，重大投资决策及重大工程建设项目，兼并重组、资产调整、产权转让项目，期权、期货等金融衍生业务，融资、垫资、担保项目，重大的生产经营安排，重要设备和技术引进，采购大宗物资和购买服务，新业务领域开发和新市场进入，开展国家法律、法规有特殊管制或监管要求的业务，年度预算内大额度资金调动和使用，以及其他大额度资金运作事项等需要公司决策的“三重一大”范围内事项，事项提出部门或单位应进行专项风险评估，起草专项风险评估报告，充分揭示风险和应对措施，经公司业务主管部门审查和风险管理职能部门程序性合规审核后，作为议案一部分提交公司公司决策机构审议；国家对相关行业明确提出需要做专项风险评估的事项，应按照国家规范性要求提出专项风险评估报告。6.2.4.2 公司各业务主管部门在制定或修订专业管理制度时，要明确本专业范围内重大事项的评判标准，对需要提交公司决策的重大事项提出专项风险评估管理要求。6.2.5 风险评估实行动态管理，公司及各单位应在经营环境发生变化、战略规划及经营目标调整时，同步开展风险评估工作。6.3 风险的控制6.3.1 风险管理策略6.3.1.1风险管理策略是根据公司内部条件和外部环境,围绕公司发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险控制、风险对冲、风险补偿等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。6.3.1.2 公司各职能管理部门和各单位针对风险评估情况,结合自身不同的业务特点和内、外部环境,确定风险偏好与风险承受度,明确愿意承担哪些风险、风险的最低限度和不能超过的最高限度,并据此设置风险的预警线及相应采取的对策。6.3.1.3 公司各职能管理部门和单位根据风险与收益相平衡的原则,确定风险管理的优先顺序,明确风险管理成本和控制风险的组织体系、人力资源、资金预算、应对措施等总体安排。6.3.1.4 公司各职能管理部门和单位根据公司发展战略和实际管理能力,结合风险特性和发生原因及条件,合理选择相应的风险策略,对于符合公司发展战略、管理能力强或带来获利可能的风险,应采取积极利用或适度承担的策略;对于背离战略目标、管理能力差或没有获利可能的风险,应采取规避、转移或加强控制的策略。6.3.1.5公司风险管理部门结合公司的发展战略，拟订公司风险管理战略和重大风险的管理策略，报公司主管领导审核后送公司董事会审批。各单位应结合本单位实际制定本单位风险管理战略和重大风险管理策略。公司风险管理部门和各单位应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善，重点检查依据风险偏好、风险承受度和风险控制预警线制定的风险策略实施结果是否有效。6.3.2 风险管理解决方案6.3.2.1 风险管理解决方案是风险管理策略分解落实到具体风险的管理措施,内容一般包括:风险管理的具体目标, 风险监控指标、指标的目标值和里程碑事件的完成时间，风险事件发生前、中、后所采取的具体应对措施及风险管理工具，所需的组织领导, 所需投入的条件和资源，所涉及的管理制度流程及关键控制点等。6.3.2.2 专业风险管理部门和单位应根据风险战略和风险管理策略，按照管理范围制定相应的风险管理解决方案。对于跨职能部门、跨单位的重大、重要风险，由公司全面风险管理与内部控制领导小组确定主责部门或单位，由其组织制定风险管理解决方案。6.3.2.3 公司风险管理部门和各部门、各单位应按照风险管理的职责分工,组织实施风险管理解决方案,确保各项措施落实到位。6.3.3 建立完善内部控制系统6.3.3.1 公司建立和完善以流程为对象、以风险为导向的内部控制系统，将风险控制在可承受范围之内。6.3.3.2 公司各职能管理部门应梳理专业管理范围内的管理和业务流程，评估流程风险，确定流程关键控制点，对照企业内部控制基本规范及企业内部控制应用指引中的规范性要求，结合实际管理和业务特点，制定和完善管理措施；特别要针对年度重大、重要风险所涉及的各管理及业务流程，制定和完善各个环节的全流程控制措施，加强对重大、重要风险的控制。6.3.3.3 公司通过建立授权审批制度、重要岗位权利制衡制度、会计系统制度、财产保护制度、全面预算制度、运营分析制度、内部报告制度、重大风险预警制度、企业法律顾问制度、内部审计制度、内控评价制度、绩效考评制度等内控措施，不断加强对业务流程关键环节的控制。6.3.3.4 公司各职能管理部门根据管理职能提出并实施制度建设规划，不断建立完善本专业制度管理体系。管理制度应分层次进行设计，在各类管理制度中，应明确专业管理模式、管控目标、管理流程及主要风险、关键控制点及管控措施，以及应形成的工作记录，并绘制标准的管理流程图，管理流程图应能反映出主要风险、关键控制点和控制措施。同时，根据管理业务的变化和内部控制流程的优化，适时修订和完善管理制度，保持制度的时效性和适用性。6.3.3.5 公司应加强制度的执行监控，并定期对制度执行情况进行监督检查，确保各项业务按照制度要求运行。6.3.3.6 公司及各单位根据内部控制系统建设情况，编制本单位内部控制手册，经决策机构批准后发布实施，并报上一级内部控制主管部门备案。6.4 风险监控及报告6.4.1 公司各职能部门和各单位应根据制定的风险监控指标和风险控制预警线，有序开展日常监控。同时，应每半年开展一次对重大、重要风险管理策略及解决方案执行情况的自查，总结风险管控效果，撰写风险监控报告报送风险管理部门。当影响公司的风险发生重大变化或产生实质性损失事件时，相关部门和单位应在5日内撰写风险监控报告报送上一级风险管理部门。公司风险管理部门形成公司风险监控报告报公司主管领导。6.4.2 公司建立日常风险信息通报机制。各单位和部门结合年度工作会议、预算计划会议以及月度、季度经营活动分析会议等例行工作机制，建立适时风险分析、提示、报告和通报机制，确保与重大风险管控相关的信息和报告能及时送达到公司决策层和经营层，不断建立完善公司重大风险动态监控和报告机制。6.4.3 公司建立风险管理年度报告机制。每年1-4月份，公司风险管理主管部门组织编制企业年度全面风险管理报告。公司及各单位应全面总结上一年度全面风险管理与内部控制工作完成情况、本年度开展风险评估、制定风险管理策略和解决方案、建立完善内部控制等工作情况，在此基础上编制本单位全面风险管理报告，经本单位董事会或类似权力机构审批后，报上一级风险管理主管部门。6.5 重大风险事件应对6.5.1 当风险已经发生，任何第一手接触或认知到风险的人员必须向其上一级管理者报告，同时报送风险管理职能部门。6.5.2 公司各项重大、重要风险管理责任部门和单位应建立灵敏高效的应急管理机制，明确风险预警标准，对可能发生的重大、重要风险或突发事件，按照专业管理要求制定应急预案，明确责任人员、规范处置程序，确保重大、重要风险或突发事件得到及时妥善处理，以降低风险损失和影响。对新出现的、缺乏风险应急预案的重大、重要风险，相关部门和单位应立即协调组织人员研究制定应急预案，报公司风险控制与审计委员会审批后实施。6.6 监督与改进6.6.1 风险管理与内部控制的监督与改进应以重大决策、重大风险和重要管理及业务流程为重点,对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督,对风险管理和内部控制的有效性进行测试和评价,根据存在的缺陷和变化趋势加以改进。6.6.2 公司内部审计部门、纪检监察部门、风险管理与内部控制主管部门以及各级业务管理部门和单位应根据各自的职责，对风险管理与内部控制的设计和运行情况执行日常监督，对重大事项实行专项监督，并对发现的重大风险及内部控制缺陷按规定的程序向相关部门报告。6.6.3 公司结合日常监督情况，每年度开展一次内部控制自我评价。6.6.3.1 公司按照分层级、分专业负责的组织原则开展内部控制评价。公司全面风险与内部控制管理部门是公司层面内部控制评价组织部门，其他各部门是本部门专业管理事项的内部控制评价实施主体；各单位可以授权内部审计机构实施本单位内部控制评价，也可以由风险管理与内部控制职能部门组织成立内部控制评价小组实施本单位内部控制评价。6.6.3.2 公司内部控制评价的主要依据为企业内部控制基本规范、企业内部控制评价指引的规定和上级监管部门对公司内部控制的监管要求。6.6.3.3 内部控制评价管理部门应拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排等相关内容，报公司决策机构审批后实施。6.6.3.4 内部控制评价实施主体根据评价方案，具体实施内部控制测试，综合运用评价方法，充分收集内部控制设计和运行是否有效性证据，按照评价内容如实填写评价工作底稿。6.6.3.5内部控制评价管理部门根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，区分财务报告内部控制和非财务报告内部控制，从定量和定性两个方面，研究提出公司层面内部控制缺陷具体认定标准，报公司决策机构批准后实施；各单位根据经营规模、行业特征、风险偏好和风险承受度等因素，研究确定本单位内部控制缺陷认定标准。6.6.3.6 评价实施主体根据缺陷认定标准，研究分析内部控制缺陷，认定评价结果。内部控制评价部门根据评价结果，编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，组织相关部门进行综合分析和全面复核，提出认定意见，报公司决策机构予以最终认定。6.6.3.7 内部控制评价管理部门按照监管机构信息披露编报规则的内部控制评价报告披露参考格式，根据内部控制评价结果，编制内部控制评价报告，经公司决策机构审批后，报上级主管部门和按监管要求与公司年报一道进行信息披露。6.6.4 公司按照上级监管机构的监管要求，聘请会计师事务所对公司内部控制进行独立审计。公司内部控制与财务报表实行整合审计，但单独出具内部控制审计报告。6.6.5 公司可以聘请有资质