某大型工程公司全面风险管理办法

1、中国建筑第二工程局有限公司全面风险管理办法 第一章 总则第一条 为规范我局全面风险管理工作，根据国资委中央企业全面风险管理工作指引、财政部内部控制规范以及中国建筑股份有限公司全面风险管理工作指引、中国建筑股份有限公司关于对各下属二级企业开展全面风险管理工作的指导意见等制度文件，特制订本办法。第二条 本办法适用于局总部及各下属子公司、分公司（以下简称公司）。第三条 本办法将企业风险划分为：战略风险、财务风险、市场风险、运营风险、法律风险等。全面风险管理将围绕此风险分类进行具体风险管理操作。第四条 全面风险管理体系包括：风险管理体系职责、风险识别、风险评估、风险管理策略和控制措施、风险管理信息系统

2、、风险管理监督考核等。第五条 风险管理一般原则1. 全面性原则全面风险管理工作应涵盖局及下属各单位，参与人员包括各级别领导和员工，并针对生产经营与业务操作全过程开展风险管理工作。2. 循序渐进原则全面风险管理工作是一项管理创新工作，鉴于目前实施该工作的各项基础尚需完善，各单位应在已经建立的有关体系基础上，分阶段推进风险管理工作，逐步建立完善全面风险管理体系。3. 成本收益原则应本着从实际出发，务求实效的原则，考虑重大风险控制的成本和收益，有针对性的采取避免、转移、降低和接受等四种策略来管理风险。4. 融合互补原则全面风险管理工作与其他管理工作、其他管理体系是相互融合、相互渗透，是对现有的管理体

3、系有效的补充。第二章 风险管理总体目标第六条 开展全面风险管理要逐步分阶段实现以下风险管理总体目标：1. 确保在开展业务过程中能够遵守有关法律法规和相关的制度要求；2. 确保全面风险管理制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；3. 确保能及时、准确地发现各种风险因素，提出有效的风险控制措施，监督风险控制措施的实施；4. 确保建立危机处理机制，保护本单位不因灾害性风险或人为失误而遭受重大损失；降低经营管理中发生风险的概率，同时将风险损失降低到可接受的范围；5. 建立风险事件信息库，为经营决策、日常运营提供支持。第三

4、章 风险管理体系职责第七条 全面风险管理三道防线各公司应当将全面风险管理的各项要求融入经营管理和业务流程中，按照实际情况建立全面风险管理三道防线： 第一道防线，各有关职能/业务单位负责在具体业务中贯彻执行风险管理基本流程，定期提交本职能/业务单位的重大风险评估报告； 第二道防线，由风险管理归口部门协调、指导、组织相关部门就跨部门重大风险提出解决方案、出具评估报告；第三道防线，由审计部门对全面风险管理工作的执行情况进行考核、监督检查。 第八条 董事会是本单位全面风险管理工作的最高决策机构，没有设立董事会的单位，由各单位最高决策机构行使相应职权，主要履行以下职责：1. 审议公司全面风险管理制度、管

5、理办法等；2. 批准全面风险管理组织机构设置及其职责方案；3. 批准全面风险管理年度工作报告；4. 批准全面风险重大风险应对方案；5. 批准全面风险管理监督评价审计报告；6. 督导全面风险管理文化的建设；7. 审批全面风险管理其他重大事项。第九条 董事会下设的审计委员会负责指导公司审计部门开展对全面风险管理的相关工作。公司审计部门在审计委员会的业务指导下，主要履行以下职责：1. 负责研究提出全面风险管理监督评价体系；2. 制定监督评价相关制度，开展监督与评价，出具监督评价审计报告；3. 对全面风险管理归口部门和各职能/业务部门的风险管理工作的有效性进行检查和评价，将审计结果及时报送审计委员会，

6、并根据审计委员会的审议决定报送董事会。第十条 各公司应根据实际情况设立专门的风险管理委员会，风险管理委员会的召集人由各单位总经理担任。风险管理委员会行使以下职责：1. 审议公司全面风险管理制度、管理办法等；2. 审议公司全面风险管理年度报告和专项报告；3. 审议公司风险管理绩效考核方案和年度绩效考核评定结果；4. 审议公司全面风险管理组织机构设置及其职责方案；5. 审议公司开展的年度和专项风险管理工作的提议和具体实施方案；6. 审议公司全面风险管理策略和重大风险管理解决方案，以及重大决策的风险评估报告；7. 审议公司的风险管理信息系统建设方案；8. 负责职责内与全面风险管理相关的其他事项。第十

7、一条 风险管理委员会下设工作小组，工作小组成员由各单位的风险管理专职、兼职工作人员担任。第十二条 各单位应当根据实际情况明确全面风险管理归口管理部门。全面风险管理与企业内部控制要统一安排、统一组织、信息共享。局法律事务部是局全面风险管理归口管理部门。第十三条 各单位的风险管理归口管理部门应配备至少一名专职全面风险管理人员，其它各风险职能部门应明确出至少一名兼职工作人员。第十四条 全面风险归口管理部门及专职工作人员履行以下工作职责：1. 负责制定本单位全面风险管理办法和实施细则；2. 研究提出本单位全面风险管理绩效考核制度和考核标准，并负责本单位的风险监督改进工作；3. 负责组织落实本单位的风险

8、初始信息收集、风险识别与评估及重大风险应对方案制定工作，并负责监督本单位重大风险应对方案的执行落实；4. 编制本单位风险年度报告，并上报风险管理委员会；5. 负责组织本单位全面风险管理季度报表的填写与报送工作；6. 监督检查与指导协调本单位下属各机构开展全面风险管理工作，审查本单位下属各机构提交的全面风险管理相关报告与资料；7. 负责本单位风险管理文化的创建和宣传工作，并组织开展全面风险管理培训；8. 负责组织本单位全面风险管理的日常工作，研究提出本单位全面风险管理的改进方案，并组织实施；9. 办理全面风险管理内外协调工作和领导交办的其他事项。第十五条 各风险职能/业务部门负责本部门具体业务单

9、元中的全面风险管理工作，依据本部门的实际情况设立或兼设风险管理岗位，并接受风险管理归口部门的组织、协调、指导和监督，主要履行以下职责：1. 负责落实全面风险管理工作要求，建立健全本部门风险管理内部控制制度和工作流程，保证全面风险管理体系有效运作；2. 研究提出本部门重大决策、重大风险、重大事件和重要业务流程的判断标准；3. 研究提出由本部门负主导管理责任的重大风险管理应对方案，对方案的执行情况和风险变化情况进行监控；4. 建立本部门风险管理信息系统的工作；5. 负责本部门全面风险管理工作实施情况和有效性的监督检查和综合评估；6. 做好本部门风险管理文化建设的有关工作；7. 负责完成本部门风险管

10、理报告、风险管理季度报表。第四章 风险管理工作流程第十六条 全面风险管理工作以推进全面风险管理体系建设为核心，主要工作流程包括：初始信息收集、风险识别和评估、制定重大风险应对方案、应对方案的实施、风险管理评价和监督改进、风险管理信息系统建设、风险管理文化建设等工作。第十七条 初始信息收集流程，其关键工作步骤如下：1. 进行全面风险管理培训；2. 制定信息收集计划，主要包括：资料收集、领导访谈、调查问卷、流程梳理等；3. 收集并整理初始风险信息；4. 形成各类风险及风险事件列表。第十八条 风险识别和评估流程，其关键工作步骤如下：1. 风险识别培训；2. 风险识别讨论并确定最终风险列表；3. 制定

11、风险评估方法与标准；4. 风险评估培训；5. 执行风险评估；6. 汇总风险评估材料，依据确定好的评估方法与标准计算风险水平；7. 对风险评估结果进行讨论及修正；8. 风险水平确定及绘制风险图谱。第十九条 制定重大风险应对方案流程，其关键工作步骤如下：1. 风险应对方案培训；2. 分组进行重大风险应对方案的研讨；3. 确定各类重大风险应对方案；4. 整理汇总重大风险应对方案；5. 确认并审批重大风险管理应对方案；6. 下发重大风险管理应对方案决议事项；7. 制定重大风险应对方案具体实施计划。第二十条 重大风险应对方案实施和改进流程，其关键工作步骤如下：1. 相关职能/业务部门组织实施应对方案；2

12、. 明确风险评估标准，评价应对方案的实施情况；3. 应对方案调整/改进；4. 审批调整/改进方案；5. 评价应对方案和风险管理改进。第二十一条 突发重大风险应对方案实施和改进流程，其关键工作步骤如下：1. 发现紧急重大事件，采取应急措施并向上汇报；2. 组织制定应急应对方案；3. 审批应急应对方案；4. 实施应急应对方案；5. 评价应对方案和风险管理改进。第二十二条 风险管理评价流程，其关键工作步骤如下：1. 风险管理评价培训；2. 收集汇总由各职能/业务部门和下属公司提交风险管理工作资料；3. 确定风险管理工作评价方法和标准；4. 进行评价；5. 提交评价结果，与被评价部门协调，要求反馈意见

13、；6. 汇总反馈意见，进行综合评价； 7. 风险管理委员会对最终评价结果进行审批。 第五章 初始信息收集第二十三条 实施全面风险管理，应广泛、持续不断地收集与本单位风险和风险管理相关的内外部初始信息，包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能/业务单位。第二十四条 在战略风险方面，负责战略的管理部门应广泛收集国内外公司战略风险失控导致公司蒙受损失的案例，重点收集与本单位相关的以下信息：1. 国内外宏观经济政策以及经济运行情况；2. 建筑、房地产、基础设施等行业状况，国内外产业政策；3. 建筑、房地产、基础设施等行业地方性政策（包括海外）；4. 建筑、房地产、基础设施等行

14、业项目工程市场需求状况（包括海外）；5. 建筑、房地产、基础设施等行业和原材料、劳务供给状况（包括海外）；6. 局及下属公司战略规划和发展计划；7. 战略合作伙伴关系以及未来寻求战略合作伙伴的可能性；8. 各下属公司战略部署、投融资计划、年度经营目标，以及编制这些战略、规划、计划、目标的有关依据；9. 国家有关税收政策和利率、汇率的变化；10. 其他有关重大的战略事项信息。第二十五条 在财务风险方面，负责财务、资金的管理部门应广泛收集国内外公司财务风险失控导致危机的案例，重点收集本单位的以下信息：1. 公司财务报表，包括资产负债表、损益表、现金流量表、股东权益分配表和财务报表附注；2. 依据基

15、础财务报表，做资产质量分析，重点关注固定资产构成，固定资产质量；流动资产构成，流动资产质量；关注流动比率、速动比率等风险指标；3. 依据基础财务报表，进行盈利能力分析，重点分析主营业务收入、营业利润，投资收益以及净利润水平；4. 依据基础财务报表，进行偿债能力分析，重点分析，公司贷款、借款、应付帐款、其他应付款的构成，财务费用的水平，重点关注资产负债率、债务资本比率、长期资产适合率；5. 依据基础财务报表，进行现金流量分析，重点分析经营性现金流的水平，重点关注经营性净现金流与负债、债务利息的比例；6. 公司成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节；7. 依据基础分析

16、，确定各级公司财务管理、资金管理中容易失控的环节；8. 与公司相关的行业会计政策、会计估算、与国际会计制度的差异与调节(如退休金、递延税项等)等信息。第二十六条 在市场风险方面，负责市场营销的管理部门应广泛收集国内外公司忽视市场风险、缺乏应对措施导致公司蒙受损失的案例，重点收集与本单位相关的以下信息：1. 主要客户和业主、供应商情况，做信用状况分析；2. 竞争对手的有关情况，与主要竞争对手相比，公司的实力与差距；3. 建筑、房地产、基础设施等市场潜在竞争者、替代品情况；4. 建筑、房地产、基础设施等产品的相关价格走势以及供需变化；5. 建筑、房地产、基础设施等原材料、劳务和分包市场供应的充足性

17、、稳定性和价格变化；6. 系统内各级下属公司内部竞争的情况。第二十七条 在运营风险方面，负责项目管理、生产运营、合同管理、质量安全、技术、人力资源、内部控制等的相关管理部门应广泛收集国内外公司忽视运营风险、缺乏应对措施导致公司蒙受损失的案例，重点收集与本单位、本行业相关的以下信息：1. 公司治理现状、存在的问题；内控体制等管理体制状况，存在的主要问题；2. 公司投资决策机制，授权管理现状，存在的问题；公司在招投标过程中碰到的主要问题；3. 公司主要原材料的采购管理状况，存在的问题；4. 公司产品质量、安全管理体系现状，存在的问题；5. 公司技术水平、技术管理状况，存在的关键技术问题；6. 公司

18、人力资源管理状况，人员招（选）聘管理，人力资源的培训问题；7. 其他与公司运营相关的主要情况。第二十八条 在法律风险方面，负责法律事务的管理部门应广泛收集国内外公司忽视法律法规风险、缺乏应对措施导致公司蒙受损失的案例，重点收集以下信息：1. 国内外与建筑、房地产、基础设施相关的政治、法律环境；2. 影响公司运行的新法律法规和政策；3. 公司签订的重大协议和工程合同；4. 公司发生的重大法律纠纷案件的情况；5. 公司与竞争对手的知识产权情况；6. 其他与法律、法规相关的信息与文件。第二十九条 各个参与风险管理的信息收集部门对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估

19、。 第六章 风险识别和评估第三十条 公司应当对收集的风险管理初始信息、重要业务流程进行风险识别和评估。风险识别与评估包括风险识别、风险分析与风险评估三个步骤。第三十一条 公司风险管理归口部门负责制定全系统风险分级标准、风险评估方法、风险评估工作要求等，指导本单位风险识别和评估工作的开展，并对下属公司风险分级标准、评估方法等进行指导与核实。第三十二条 局属各公司全面风险管理归口部门负责制定本单位风险分级标准、风险评估方法、风险评估工作要求等，指导本单位风险识别和评估工作的开展，并报上级单位备案。第三十三条 公司进行风险识别、分析、评估，应将定性与定量方法相结合。定性方法可采用问卷调查、流程分析、

20、管理层访谈、集体讨论、专家咨询、情景分析、政策分析、行业分析、标杆比较等方法。第三十四条 定量方法可采用统计计算、方差分析、权重配比、修正分析等方法。进行风险定量评估时，应统一制定各风险的度量单位和风险度量模型，并通过测试等方法，确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性，根据环境的变化定期修订假设前提等参数。第三十五条 在评估多项风险时，应根据对风险发生概率和影响程度的评估，绘制风险坐标图，对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略。 第七章 重大风险应对方案第三十六条 重大风险应对方案的制定需要权衡各类风险与收益的相对性，明确各类风险在风险坐标图上

21、的位置，以便确定风险管理的优选次序。第三十七条 应对方案要将可控风险控制在可以接受的水平，或者将风险转移，即要重视风险，也要考虑收益和机遇，防止单纯为规避风险而放弃发展机遇。第三十八条 应对方案包括风险管理策略和风险控制措施：1. 风险管理策略，主要包括接受、规避、转移、降低等几种策略；2. 风险控制措施，主要包括制度、流程、组织、职能等方面的控制措施。第三十九条 风险管理策略，指公司根据自身条件和外部环境，围绕公司发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险接受、风险规避、风险转移、风险降低等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。第四十

22、条 风险控制措施是应对方案的组成部分，公司应根据风险自身的特点，从制度、流程、组织、职能等方面入手，综合考虑成本效益，提出具体可行的风险控制措施。第四十一条 重大风险应对方案的制定，需要考虑重大风险自身的特点，综合管理层风险偏好、公司风险承受度等因素。应对方案主要包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施。第四十二条 重大风险应对方案应满足合规性要求，并与公司的经营发展战略保持一致。 第八章 风险管理的监督与考核第四十三条 公司应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、

23、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督。公司应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。第四十四条 公司风险管理归口部门应定期对本公司风险管理工作实施情况和有效性进行监督和检查，提出调整或改进建议，出具评价和建议报告。第四十五条 局风险管理归口部门负责对局总部及下属公司的风险管理工作进行监控，根据监控结果编制风险监控报告。第四十六条 局风险管理归口部门对局总部各职能部门及下属公司报送的风险监控报告进行汇总分析和评价，跟踪各个重大风险监控指标变化情况，对重大

24、风险管理策略的执行情况和重大风险解决方案的实施情况进行检查，包括解决方案的执行进程及其对相关风险的实际控制效果。第四十七条 公司风险管理归口部门定期报送公司风险监控分析报告，公司风险委员会定期审阅，并出具批示意见。第四十八条 公司审计部门负责对风险归口管理部门工作整体效果进行监督检查和评价，可结合年度内部控制审计，对包括各级风险管理机构在内的各相关部门，能否按照有关规定开展风险管理工作及其工作效果进行监督评价，并将审计结果报送风险管理委员会、审计委员会。第四十九条 公司风险管理归口部门负责对本单位的风险管理工作进行监督检查，并对识别出的各类风险制定风险管理应对方案，并组织实施，确保各项措施落实

25、到位，形成结论报告并报送上级单位。第五十条 局将全面风险管理工作纳入经营考核体系中。第五十一条 风险管理归口部门可聘请有资质、信誉好、风险管理专业能力强的中介机构对本单位内的全面风险管理工作进行评价，出具全面风险管理专项报告。 第九章 全面风险管理信息系统第五十二条 公司应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。第五十三条 风险管理工作小组与风险管理归口部门研究提出风险管理信息系统建设需求，确定收集信息的职责分工，并落实到各个部门和各公司。第五十四条 各风险职能部门应及时、准

26、确的向风险管理信息系统输入的业务数据和风险量化值，并能够保证相应风险数据和量化值的一致性、准确性、及时性、可用性和完整性。第五十五条 公司的信息技术相关部门负责确保风险管理信息系统的稳定运行和安全。 第十章 全面风险管理文化建设第五十六条 公司在风险管理逐步实施的过程中，应将风险管理文化建设融入公司文化建设全过程，增强员工风险管理意识，树立风险管理理念，促进风险管理长效机制的建立。第五十七条 公司在风险管理工作中，应将风险管理与其他管理控制体系进行充分的融合与渗透，例如:内部控制体系、质量管理体系、建筑业行业标准、安全管理体系等。第五十八条 公司的各级领导应充分认识到风险管理对本部门和本单位的

27、重要作用，为风险管理提供可靠的、有效的、及时的支持和动员。重要管理及业务流程、风险控制点的管理人员和业务操作人员应成为培育风险管理文化的骨干。第五十九条 公司应建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度。采取多种途经和形式，加强对风险管理理念、知识、流程、管控核心内容的培训，培养风险管理人才，培育风险管理文化。 第十一章 风险报告、报表第六十条 全面风险管理年度报告。各单位编制年度全面风险管理年度报告，并经本单位风险委员会、董事会审批后报送局风险管理工作小组。每年上报时间确定为1月10日前。局根据各单位递交的年度报告，汇总编制全局年度报告。第六十一条 全面风

28、险管理季度报表。各单位风险管理归口部门负责对本单位的风险管理工作进行监控，并于每个季度末10日内向局风险管理工作小组上报全面风险管理季度报表。第六十二条 年度风险监控分析报告。各单位应对风险管理工作实施情况和有效性进行检查，提出调整或改进建议，并出具年度风险监控分析报告，经本单位风险委员会、最高决策机构审批后报送局风险管理工作小组。每年上报时间确定为1月10日前。 第十二章 全面风险管理名词解释第六十三条 全面风险管理名词解释1. 风险：是指各种不确定性对公司实现战略和经营目标的影响。2. 风险事件：是指风险发生或表现的具体形式，是风险的物化。未来的不确定性对公司目标的影响是通过风险事件的发生

29、来实现的。3. 影响程度：是指如果风险发生，对公司战略或运营目标所产生影响的大小。4. 发生概率：是指风险发生概率的大小或者在给定时间段内发生的频繁程度。5. 风险识别：是指对公司各个业务和职能部门的工作流程、各项重要经营活动中的风险因素进行辨别和筛选。6. 风险分析：是对识别出的风险因素及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。7. 风险评价：是评估风险对公司实现目标的影响程度、发生概率以及风险的价值等。8. 风险管理策略：是指公司根据自身条件和外部环境，围绕公司发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转

30、换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。9风险图谱：是指用于风险识别和对其进行优先排序的有效工具。在公司的风险被辨识和评估以后，根据风险的影响程度和发生可能性等属性得分将其展示在二维图表上的不同位置以表明其重要程度。10风险清单：是指风险列表。完整的风险清单应至少包含风险的名称、定义、所属类别、风险事件、发生概率、影响程度、发生的主要原因等。11. 重大风险：是指经过风险评估所确定的，风险水平相对较高的风险。重大风险应由管理层确认，一般反映出管理层最关注的事项。12. 风险偏好：是指为了实现目标，公司在承担风险的种类、影响程度限额等方面的基本态度，是公司股东、管理层、员工以及资源国等关键利益相关者对公司期望和要求的集中体现。13. 风险承受度：是指公司愿意承担的风险限度，也是公司风险偏好的边界。14. 风险策略：是指避免、转移、降低、接受等4种策略。15. 避免策略：是指改变项目计划，以排除风险或条件，或者