华晨宝马全面风险管理制度

全面风险管理制度第_章总则第一条为防范和规避华晨汽车集团控股有限公司（以下简称集团公司）系统在生产、经营、管理过程中的各种风险，建立健全集团公司识别、规避、控制、化解风险管理机制，确保企业持续、健康、稳定发展，根据《中华人民共和国公司法》及《中央企业全面风险管理指引》等有关法律法规规定，结合集团公司经营实际，制定本制度。第二条本制度所称“全面风险〃，是指因外部政治、经济、法律法规、政策及市场环境等因素的不确定性及企业内部管理失控，造成集团公司系统承担潜在经济损失或其他损害的可能性。第三条本制度所称全面风险管理是集团公司全员、全过程、全方位管理的一项系统工程，采取以事前防范为主、事中控制和事后补救为辅的管理原则，围绕战略风险、财务风险、市场风险、运营风险、法律风险等常见风险，通过设计风险管理的核心制度流程，使风险信息能够及时准确传达，以迅速进行防御与解决，消灭、降低或转移风险。集团公司通过设立三道防线、明确责权、制度流程保障三个维度，构建全面风险管理体系网，实行归口管理、责任归属、全员参与的风险管理机制。第四条集团公司设立风险管理的三道防线。第四条集团公司设立风险管理的三道防线。第一道防线：集团总部各职能部门（发展规划部、财务管理部、经营计划部、审计部、人力资源部、综合办公室、信息部、党群工作部）、集团直属企业（华晨中华汽车公司、华晨汽车工程研究院、华晨汽车销售公司、华晨汽车国际贸易公司、E2发动机公司、专用车公司）和集团各子（分）公司，分别是所主管业务风险的责任者。第二道防线：集团公司成立“全面风险管理领导小组，为集团公司全面风险管理的领导机构，下设办公室，设在集团公司审计部，为风险管理的综合管理部门，对全面风险管理的日常工作进行协调和推进。第三道防线:集团董事会审计委员会负责对集团公司全面风险管理体系的建设情况及工作效果进行客观、独立的监督评价。第五条集团公司全面风险的管理策略是:确保集团公司系统面临的风险控制在与企业总体战略目标相适应并可承受的范围之内；确保集团公司系统的风险预警机制、风险应对机制的健全性和有效运行；确保集团公司系统不因灾害性风险遭受重大损失；确保集团公司系统各项生产、经营、管理活动及法人治理遵守有关法律法规的规定。第六条本制度适用于集团总部各职能部门、集团直管单位及集团各子（分）公司。其中，集团公司在集团总部各职能部门、集团直管单位、集团项下投资平台公司及沈阳华晨金杯汽车有限公司（以下统称"集团直管部门/单位〃），建立一级全面风险管理体系。集团公司除集团直管部门/单位以外的各子（分）公司，统称为“集团监管单位”，包括一级利润中心的上市公司（金杯股份与金杯工业、上海申华\二级利润中心中除沈阳华晨金杯汽车有限公司以外的其他控股子公司（如四川南方基地、华晨中国所属其他重点控股公司等）。集团监管单位应当根据本制度要求，制订本系统、本单位全面风险管理规章制度，建立本系统、本单位二级全面风险管理体系，对本系统、本单位在生产、经营、管理过程中出现的各类风险负责，并指导、监督本系统内企业开展相关的全面风险管理。第二章管理机构与职责第七条集团公司成立“全面风险管理领导小组，作为集团公司全面风险管理的领导机构。组长：集团总裁副组长：分管全面风险工作的集团领导委员：集团其他领导班子成员成员单位：集团总部各职能部门、集团直管单位及集团各子（分）公司全面风险管理领导小组下设办公室，办公室设在集团审计部。第八条经集团公司董事会授权，全面风险管理领导小组履行下列职责：（一）审议、批准集团公司全面风险管理办法；（二）审议、批准集团公司不同时期风险管理的总体策略；（三）批准集团公司系统二级全面风险管理制度；（四）审批风险防范工作过程中投入的使用资金；（五）审议、批准特别重大风险及重大风险发生后的处理措施；（六）批准集团直管部门/单位提交的特别重大风险、重大风险的预警报告、事前防范措施及应急处理预案；（七）集团公司董事会授权的有关风险管理的其他事项。第九条集团公司总法律顾问履行下列职责：（一）认真贯彻执行国家有关法律法规政策及全面风险管理领导小组的有关决议，对集团直管部门/单位贯彻执行全面风险管理领导小组决议的情况进行监督；（二）负责组织召开全面风险管理领导小组工作例会，并履行全面风险管理领导小组日常风险管理职责；（三）研究、制定集团公司全面风险管理工作的意见、措施和工作计划，并监督实施；（四）对集团公司全面风险管理工作负有组织领导责任；（五）其他。第十条集团公司审计部是集团公司全面风险管理的综合管理部门，负责组织、协调、指导、推进和监督集团直管部门/单位的全面风险管理工作，指导、监督二级全面风险管理工作，具体履行下列职责：（一）牵头组织集团直管部门/单位定期对集团公司面临的各类风险进行识别与分类；（二）推进集团直管部门/单位制定各自主管业务范围内的风险管理制度，并负责监督和检查；（三）牵头组织集团直管部门/单位建立风险预警机制，督促集团直管部门/单位及时觉察风险、发出风险预警报告；（四）对超越职权、违反本制度及其他全面风险管理规章制度规定的行为，进行纠正和处理；（五）对集团直管部门/单位不制定风险管理制度、不收集和反馈风险信息、未能及时有效发出风险预警报告的行为进行监督与考核；（六）负责对集团公司全面风险管理各项规章制度的有效性进行评估，研究并提出全面风险管理各项规章制度的改进方案；（七）其他。第十一条集团直管部门/单位负责其主管业务范围内的风险管理，确定本部门、本单位全面风险管理工作的主管领导（应为负责人或班子成员）及风险管理专员，接受集团公司审计部的组织、协调、指导、推进和监督，并履行下列职责：（一）对主管业务范围内存在的风险进行识别，找出风险源，确定风险关键控制点和风险预警线；（二）针对识别出的风险，制定具体防范措施和控制办法，并建立风险预警机制及风险发生后的应急处理预案；（三）建立日常风险信息收集渠道，收集主管业务范围内的风险信息，并进行存储、分析与报送；（四）对收集到的风险信息进行评估，及时发出预警报告；（五）启动应急处理预案，防范、化解风险；（六）其他。第十二条集团监管单位根据一级全面风险管理体系及本制度要求，建立本系统、本单位的二级全面风险管理体系，确定负责本系统或本单位全面风险管理工作的主管领导（应为其班子成员）及归口

管理部门（以下简称“二级全面风险管理体系归口管理部门"）负责组织、协调、指导、推进和监督本系统内企业的风险管理工作，接受集团公司的协调、指导与监督，并具体履行下列职责：（一）结合本系统、本单位生产、经营、管理业务实际，建立本系统、本单位二级全面风险管理体系；（二）建立二级风险预警机制，及时识别、规避、控制和化解本系统、本单位出现的生产、经营、管理风险；（三）指导、监督本系统内企业开展相关的全面风险管理工作；（四）接受集团审计部的协调、指导与监督；（五）其他。第十三条集团公司以战略规划、产业链管理、重大投资、兼并重组子公司管控和辅业改制等重大决策、经营计划、财务管理、法律管理、人力资源管理及研发、销售、质量、采购等重要业务及其相关流程的风险管理为重点，通过推进风险管理文化建设、确定特别重大风险与重大风险的应对策略、完善特别重大与重大风险的预警和报告机制、强化风险管理的检查监督机制等措施，建立并不断完善一级全面风险管理体系。集团监管单位应当按照集团公司总体规划，结合自身产业与业务特征，负责推进本系统、本单位全面风险管理工作的实施。第十四条集团审计部与二级全面风险管理体系归口管理部门，以下统称为〃全面风险归口管理部门”。第三章理内容第三章理内容第十五条按照风险管理的优先度，集团公司面临的风险分为四类：特别重大风险、重大风险、重要风险和一般风险。特别重大风险与重大风险，是指因外部政治、经济、法律法规政策及市场环境等因素的不确定性以及集团公司决策层面的决策失误，对集团公司实现经营目标产生特别重大或重大影响，造成特别重大或重大经济损失的风险。特别重大风险主要包括：战略决策风险、战略性投资项目失败风险、产业布局上关键环节缺失、重点生产原材料或配件供应断档风险、资金链断裂风险、大规模大范围产品召回风险、上市公司停牌退市风险、上市公司被恶意收购风险、重大国际诉讼/仲裁败诉风险等。重大风险主要体现在以下风险中：宏观风险、兼并重组、子公司管控和辅业改制等决策风险、投资风险、资本市场风险、市场风险、财务风险、国际贸易风险、法律风险等。重要风险是指因集团公司管理层面内部管理控制失控，对集团公司正常的生产、经营、管理活动产生较大影响，给集团公司造成较大经济损失的风险。重要风险主要体现在以下风险中:研发设计风险、配套采购风险、质量风险、营销风险、售后服务风险、合同风险、招投标风险、知识产权保护风险、人力资源管理风险、内控流程风险、信息风险、安全环保风险、不可抗力风险等。一般风险是指因集团公司执行层面的业务执行者在操作上违规、违章，给集团公司造成一定经济损失的风险。一般主要体现在以下风险中：客户信用风险、授权风险、网络信息安全保护风险等。第十六条集团公司的风险名称、具体描述、管理优先度（风险程度）等参照集团审计部下发的《风险清单》（另发）。集团总部各职能部门、集团直管单位、集团各子（分）公司参照《风险清单》，对集团公司面临的风险进行进一步的识别与评估，按照风险名称、具体描述、风险程度、风险领域、风险成因、风险涉及人、关键控制点、风险的主要防范措施及主管部门等内容制作本部门、本单位的《风险管理表》，并根据风险的主要防范措施，改进职责职能、流程与内部规章制度。全面风险归口管理部门每年定期组织归口管理的集团总部各职能部门、集团直管单位及集团各子（分）公司对《风险管理表》进行动态调整。《风险管理表》需在集团公司审计部定期备案。第十七条集团公司全面风险管理实行归口管理，责任归属。（一）集团发展规划部、集团经营计划部、华晨汽车工程研究院、华晨汽车销售公司、华晨汽车国际贸易公司及集团各子（分）公司的发展规划与经营计划部门，负责宏观风险、战略规划风险、战略决策风险、产业链管理风险、投资风险及经营计划风险的管理，在其归口负责的相关管理制度中至少应当体现以下风险管理方面的内容：1、宏观风险，主要包括：（1）宏观经济环境风险（全球性、区域性、投资国、本国）；（2）宏观经济数据波动风险（全球性、区域性、投资国、本国）；（3）宏观经济政策风险（全球性、区域性、投资国、本国）；（4）国内外汽车产业政策导向与政策调整风险；（5）国内外卜汽车整车行业环境风险；（6）与汽车行业相关的其他主要行业环境风险等。2、战略规划风险，主要指中长期战略规划的编制、审批、调整、运营监督等过程中的风险。3、战略决策风险，主要指战略决策不符合宏观经济政策、产业政策、行业政策、法律法规等。3、产业链管理风险，主要包括：（1）产业布局风险（产业布局关键环节缺失、产业链各环节布置比例失调、上下游供求出现不配套等）；（2）产业战略联盟风险等。4、投资风险，主要包括：（1）投资计划的编制、审批、调整等过程中的风险；（2）投资决策过程中可行性、效益性风险；（3）投资项目执行风险：工程建设质量风险、重大技改项目和更新风险、购置新型生产线和重要设备风险等。（4）新拓展产品的产业成熟期、资金回收期风险；（5）投资不能及时收回风险；（6）投资失败风险等。5、经营计划风险，主要指经营计划在编制、审批、调整、落实监控分析等过程中的风险。（二）集团发展规划部、集团财务管理部及集团直管单位与集团各子（分）公司的财务部门负责兼并重组、子公司管控和辅业改制等决策风险、资本市场风险及财务风险的管理，在其归口负责的相关管理制度中至少应当体现以下风险管理方面的内容：1、兼并重组、子公司管控和辅业改制等决策风险：如股权管理、资本运营等风险；2、资本市场风险，主要包括：（1）上市公司停牌、退市风险；（2）上市公司被恶意收购风险；（3）股价风险；（4）证券投资风险：融资风险、投资金融衍生品风险等；（5）违反上市公司规则风险：关联交易风险、上市公司信息披露风险、被监管机关调查或查处风险等。3、财务风险，主要包括：（1）流动性风险：现金流不畅、资金回笼缓慢、负债率高、应收帐款高、产品存货高、资金链断裂等；（2）信用风险：三角债严重、偿债能力下降、赊销比率高、违约迟延付款比率高、呆坏帐损失率高、或有负债高（如对外担保带来的连带责任等）；（3）筹资风险：筹资规模风险如盲目借款、资本结构不合理（负债规模过大、负债比重高、筹资成本过高、筹资期限结构风险、筹资工具风险、长期负债比率高等）；（3）价格风险：市场成本价格波动、市场销售价格波动、成本控制达不到预期等；（4）汇率风险：汇率波动、货币贬值、货币升值等；（5）利率风险：利率波动、通货膨胀、通货紧缩等；（6）税务风险：违反税务管理风险、违反纳税义务风险、违反发票管理与使用风险、纳税筹划风险等;(7)其他财务风险：投资回报率低于预期、利润低或低于预期、盈利水平持续下降、会计记录不真实、财务报告不真实、财务分析错误、内外部及专项等审计风险、夕卜派财务总监管理风险、有形资产与无形资产管理风险等。集团经营计划部安全管理办公室、集团党群工作部及集团直管单位与集团各子(分)公司安技环保部门负责不可抗力风险、安全环保职业健康风险及群体事件(信访)风险的管理，在其归口负责的相关管理制度中至少应当体现以下风险管理方面的内容：1、自然灾害风险，主要包括：(1)自然环境恶化；极端天气，包括极度严寒、酷热、台风、暴雨、暴雪、冰冻雪灾、沙尘暴、日蚀等；地震、洪水、地质变动等。2、突发性社会事件风险，主要包括：(1)重大交通事故；(2)流行性疾病、瘟疫；其他社会事件：政变、战争、恐怖袭击、暴乱、冲突、抗议、游行示威、罢工等。3、群体事件(信访)风险。4、安全、环保、职业健康风险，主要包括：重大安全生产事故；重大火灾；重大爆炸事故；(4)重大环境污染等。集团人力资源部、集团综合办公室管理变革办公室及集团直管单位与集团各子(分)公司的人力资源部门负责人力资源管理风险、管控风险的管理，在其归口负责的相关管理制度中至少应当体现以下风险管理方面的内容：1、人力资源管理风险，主要包括：（1）劳动总量风险；（2）劳动力结构不合理风险；（3）劳动力成本提高风险；（4）劳动生产率下降风险；（5）董事、总经理、财务总监突发人身意外、波动、离职风险风险；（6）其他高级管理人员引进、波动与离职风险；（7）关键岗位关键人员（管理人员、技术人员）引进、波动与离职风险；（8）员工集体离职风险；（9）劳务派遣用工管理不当风险；（10）建立、履行、变更及终止劳动关系不符合劳动法律法规政策风险；（11）员工发生违反法律法规及企业规章制度、损害公司利益的行为风险等。2、管控风险，主要包括：（1）内控流程存在漏洞；（2）没有授权或授权不明确；（3）审批权限不明确；（4）职责职能、岗位描述重叠或存在空白点或不明确；（5）重大项目如重组并购、投融资、基础建设、新产品开发、公司设立变更终止、重大资产购买等内部审批流程不规范不完整等；（6）管理水平与管理效能下降等。（六）集团审计部及集团各子（分）公司的法律部门负责法律风险的管理，建立健全法律风险防范体系，并在其归口负责的相关管理制度中至少应当体现以下风险管理方面的内容：1、公司章程、企业内部规章制度的合法合规性风险。2、与企业组织相关的法律风险，主要包括子（分）公司的设立、变更、分立、合并、解散、破产等重要行为过程中的法律风险。3、投融资、并购重组的法律风险。4、违反上市公司规则的风险，主要包括：（1）关联交易风险；（2）违反重大信息披露风险；（3）被监管机关调查、查处的风险等。5、违反WTO规则风险，主要包括：（1）倾销风险；（2）垄断风险；（3）补贴风险；（4）其他不正当竞争行为风险。6、首次合作的国外合作方所在国的政治、法律风险。7、诉讼/仲裁败诉风险。8、合同管理中的法律风险。9、知识产权管理中的法律风险。10、人力资源管理中的法律风险等。（七）华晨汽车销售公司负责市场风险、营销风险、售后服务风险及品牌风险的管理，在其归口负责的相关管理制度中至少应当体现以下风险管理方面的内容：1、市场风险，主要包括：（1）产品或服务风险：市场供需关系变化、主导产品市场占有率及市场份额下降、价格波动、汇率与利率波动、经销商及/或服务商法人治理结构方面（股权结构、董事会、经管层）变化导致的影响、对主要经销商及/或服务商的依赖程度过高、经销商及/或服务商的信用下降、与经销商及/或服务商的合作关系恶化、经销商产品积压、服务质量下降等；（2）消费者风险：因消费心理、消费行为、消费习惯等变化导致的风险；（3）竞争者风险：竞争者及/或潜在竞争者的情况（实力、规模、经营战略与分布发生变化、竞争产品及潜在竞争产品情况的变供产品定位、产品类型、产能、生产与销售数量、价格、质量、维修成本、维修服务评价等）。2、营销风险，主要包括：（1）销售计划、销售政策、市场推广方案、广宣方案及销售网络管理方案的编制、审批、调整过程中的风险；（2）销售产品或提供服务违规；（3）营销方案违规：价格垄断、有奖促销涉嫌违法、广告宣传不当（未办理批准或登记手续、发布虚假广告、广告内容或形式违法、广告宣传侵权等）；（4）市场竞争风险：实施垄断行为、实施不正当竞争行为等；（5）授权经销合同纠纷、买卖合同纠纷、广告代理合同纠纷及银企三方合同纠纷等。4、售后服务风险，主要包括：（1）服务商法人治理结构方面（股权结构、董事会、经管层）变化导致的影响；（2）对主要服务商的依赖程度过高；（3）服务商布局影响；（4）服务商的信用下降；（5）与服务商的合作关系恶化；（6）服务商破产；（7）售后服务政策与方案的编制、审批、调整过程中的风险；（8）授权服务合同纠纷；（9）备件供应波动；（10）备件质量下隆、出现质量问题、发生质量缺陷；（11）售后服务质量下降；（12）产品质量下隆、出现质量问题、发生质量缺陷；（13）用户投诉；（14）产品召回等。4、品牌风险，主要包括：（1）媒体负面报道、扩散；（2）媒体失实报道、扩散；（3）履行社会责任不充分；（4）因发生用户投诉、产品质量下降、产品出现质量问题、产品召回、被行政调查行政处罚、发生诉讼/仲裁、涉嫌刑事责任等行为而导致的品牌声誉风险。（八）华晨汽车国际贸易公司负责国际贸易风险的管理，在其归口负责的相关管理制度中至少应当体现以下风险管理方面的内容：1、投资国政治、经济、法律环境影响，主要包括：（1）政治影响：征收风险（如征用、没收、剥夺财产、国有化、本地化要求等）.夕卜汇管制风险（如利润汇出限制、夕卜汇定额配给等）政府干预风险（如国产化率要求、出资比例要求、歧视性税收、物价和工资管制、雇工要求、环保标准、许可证制度、技术转移的限制、进出口限制、反垄断反倾销反补贴调查、贸易保护、经济制裁、限制外国公司等）.战争与内舌顷险（如政变、战争、恐怖袭击、暴乱、种族宗教边界等冲突、抗议、游行示威、国家关系恶化等）政府违约风险（如停止支付、延期支付、不履行合同的其他行为等）其他风险（如公众负面评价与情绪、联合抵制、罢工等）；（2）经济影响：经济危机、金融危机、货币贬值、货币升值、通货膨胀、通货紧缩、证券市场波动（如股票价格指数与股票价格波动等％就业环境变化等；（3）法律影响：投资国法律法规政策的发布调整废除的影响、遭受投资国行政调查行政处罚、遭受反不当竞争调查、遭受反垄断反倾销反补贴调查、发生涉外诉讼/仲裁等。2、国际贸易的整体销售政策、市场推广方案、市场广宣方案、销售代理网络管理方案及售后服务方案的编制、审批、调整过程中的风险。3、出口产品不符合出口国技术、安全、环保等相关许可、标准或要求。4、夕卜汇市场汇率波动影响实际收益风险。5、合作方风险，主要包括：资信下降；合作关系恶化；(3)破产等。6、涉外授权经销合同纠纷等。华晨汽车工程研究院负责研发设计风险的管理，在其归口负责的相关管理制度中至少应当体现以下风险管理方面的内容：1、技术风险，主要包括：(1)技术水平下降；技术水平落后；技术创新缓慢；(4)技术占有程度下降等。2、产品规划、开发与项目管理风险。3、车型/配置/造型更改风险。4、开发设计合同纠纷。5、泄密风险，主要包括：涉密人员流动过程中的商业秘密流失；设计文件管理不当、资料流转过程中的商业秘密流失；技术人员交流过程中的商业秘密流失等。6、职务发明风险。7、侵权风险，主要包括：侵犯他人专利权；(2)侵犯他人专有技术等。(十)集团总部质量管理委员会、集团直管单位与集团各子(分)公司的质量部门负责质量风险的管理，建立质量风险预警和防范体系在其归口负责的相关管理制度中至少应当体现以下风险管理方面的内容：1、召回风险。2、产品质量不合格。3、产品质量下降。4、生产、工艺等过程中发生的质量问题等。（十一）集团直管单位及集团各子（分）公司的采购部门负责配套采购风险的管理，在其归口负责的相关管理制度中至少应当体现以下风险管理方面的内容：1、因对主要供应商（原材料、能源及主要汽车零部件）的依赖程度过高而导致的风险。2、供货稳定性、连续性风险。3、因合作出现问题导致的停产风险。4、供货合同纠纷。5、供应商产品价格波动风险。6、供应商产品质量风险等。（十二）集团直管单位与集团各子（分）公司的生产部门、仓储部门、物流部门负责生产风险、仓储风险及物流风险的管理，在其归口负责的相关管理制度中体现以下风险管理方面的内容：1、生产风险，主要包括：（1）停产风险；（2）未能按计划生产的风险；（3）不能满足计划外（临时）生产要求风险等。2、仓储风险，主要包括：（1）本单位仓储管理不当；（2）仓储产品大量积压；（3）第三方仓储管理不当；（4）与第三方仓储合同纠纷；（5）不可抗力影响；（6）保险风险等。3、物流风险，主要包括：本单位物流管理不当；第三方物流管理不当；运送迟延、受阻；与第三方物流合同纠纷；不可抗力影响；保险风险等。(十三)集团综合办公室、集团信息管理部及集团直管单位与集团各子(分)公司的办公室、合同归口管理部门、信息部门负责印鉴管理风险、合同风险、招投标风险及信息风险的管理，在其归口负责的相关管理制度中至少应当体现以下风险管理方面的内容：1、印鉴管理风险，主要包括：印鉴在刻制、下发、收缴、更换、保管过程中的风险；印鉴加盖风险等。2、合同风险，主要包括：合同签署前风险：资信与履行能力的调查不完整或不真实、没有所需资质或许可、合同主体不合格、权利义务约定不明、合同不严谨或内容不完整、合同无效等；合同签署风险：签字人没有授权或授权不明确、签署文本不一致等；合同履行风险：出现违约行为、合同变更风险、合同转让风险等；合同终止风险：非正常终止、终止程序不适当等；合同保管风险等。3、招投标风险，主要包括：招投阶段风险：招标文件的形式或内容不符合规定、招标人未按规定发布招标公告、招标人向投标人泄露招标信息、招标人未按规定修订招标文件、招标人未按规定设定投标截止期限等；投标阶段风险：投标人未按招标文件提出的实质要求和条件作出响应、投标人未按规定送达或签收投标文件、联合体投标风险、多个投标人对代理的同一个品牌商品进行投标、投标人中途退出竞标、投标人对招标人延长投标有效期的通知未作出答复或不同意延长■■等/（3）开标、议标及定标风险：招标人未按规定时间地点和方式开标、招标人未按规定组成评标委员会、没有确定的评标标准和方法、招标人未按规定废标、招标人未按规定确定中标人等；（4）合同签署与履行阶段风险：招标人改变中标结果或中标人放弃中标、中标人未按规定签署合同、中标人不履行合同或转让中标项目等。4、信息风险，主要包括：（1）信息的收集、整理、分析风险（不真实、不准确、不及时、不完整等）；（2）信息的传递、反馈风险（质量、效率）；（3）计算机存储和网络传输过程中的信息失密；（4）软件使用过程中发生版权纠纷；（5）发生电子信息安全事件：如病毒、黑客袭击、系统运行故障、系统监控不力、丢失、没有备份等。第十八条集团直管单位、集团各子（分）公司应当严格执行本制度及有关全面风险管理的规章制度规定，服从集团总部各职能部门在主管业务范围内的综合管理。第四章管理流程第十九条集团公司全面风险管理的基本流程是：集团公司全面风险管理领导小组及其办公室（集团审计部）：制订风险管理策略，确定风险管理权责体系，确定风险管理内容与管理流程。集团总部各职能部门、集团直管单位及集团各子（分）公司：集团董事会审计委员会：监督评价。第二十条全面风险归口管理部门每年定期组织归口管理的集团总部各职能部门、集团直管单位及集团各子（分）公司，对集团公司系统的业务领域和流程进行风险评估与识别。第二十一条集团总部各职能部门、集团直管单位及集团各子（分）公司应当分别设立风险管理专员，负责按照风险类别，广泛、持续收集、报送风险信息，加强内外部的风险信息沟通与反馈。（一）特别重大风险信息：发生后立即报告主管领导，24小时内上报集团分管领导，并由集团分管领导向集团总裁汇报。其结果在集团审计部备案；（二）重大风险信息与重要风险信息：随时收集，其中，重大风险信息按月汇总，重要风险信息按季汇总，其结果经全面风险归口管理部门审核、备案后，上报集团审计部与集团总法律顾问；（三）一般风险信息，每半年汇总，其结果报全面风险归口管理部门备案。第二十二条集团直管部门/单位的风险信息收集、汇总后，按以下要求组织评估、报告，集团监管单位参照处理本系统、本单位的风险收集、汇总、评估与报告。（一）特别重大风险由集团分管领导组织所涉集团总部职能部门领导、所涉集团直管单位领导、所涉集团监管单位领导评估，并向集团总裁报告，评估结果在集团审计部备案；（二）重大风险由集团分管领导或其授权部门组织所涉集团总部职能部门领导、所涉集团直管单位领导每月评估一次，形成评估报告，抄报集团其他相关领导，必要时向集团总裁报告，评估结果在集团审计部备案；（三）重要风险由集团审计部组织所涉集团总部职能部门领导、所涉集团直管单位领导每季度评估一次，形成评估报告，并向集团分管领导报告，抄报集团其他领导；（四）一般风险信息由所涉集团直管部门/单位每半年组织一次评估，评估报告在集团审计部备案。第二十三条集团总部各职能部门、集团直管单位及集团各子（分）公司应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内控制措施一般包括：不相容职务分离控制、授权审批控制、财务系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。第二十四条不相容职务分离控制要求集团公司全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。第二十五条授权审批控制要求集团公司根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。集团总部各职能部门、集团直管单位及集团各子（分）公司应当分别编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权是指集团公司在日常经营管理活动中按照既定的职责和程序进行的授权;特别授权是指集团公司在特殊情况、特定条件下进行的授权。各级管理人员应当在授权范围内行使职权和承担责任。集团公司对于重大的业务经营事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。第二十六条集团直管部门/单位对即将发生或可能发生的风险，由所涉集团直管部门/单位发出预警报告。集团监管单位参照处理本系统、本单位的风险预警。（一）特别重大风险的预警报告直接提交集团总裁、集团主管领导、集团分管领导同时审批，在集团公司审计部备案；（二）重大风险的预警报告提交集团主管领导、集团分管领导同时审批，在集团审计部备案；（三）重要风险与一般风险的预警报告提交本部门、本单位全面风险管理工作的主管领导审批，在集团审计部备案。第二十七条对突发性特别重大风险事件、重大风险事件，所涉集团直管部门/单位必须在24小时内形成处理方案，向集团总裁、集团主管领导、集团分管领导同时报告，由所涉集团直管部门/单位、集团审计部共同启动应急处理程序，处理结果由集团主管领导向集团总裁报告。集团监管单位参照处理本系统、本单位的上述风险事件。第二十八条各类风险事件处理完毕后，所涉集团总部各职能部门、集团直管单位及集团各子（分）公司应当