风险管理手册

风险管理手册

目录

第一章总则

第一条目的

第二条制定依据

第三条适用范围

第四条风险管理工作目标

第五条风险管理基本原则

第六条风险管理执行原则

第二章定义与分类

第一条风险定义

第二条风险管理定义

第三章组织体系与基本职责分工

第一条风险管理体系

第二条风险管理的组织机构及职责

第四章风险管理信息收集

第一条范围

第二条职责分工

第五章风险评估

第一条定义

第二条风险评估整体流程

第三条风险识别

第四条风险分析

第五条风险评价

第六条风险应对

第七条评估时间安排

第六章风险管理报告体系

第一条日常汇报

第二条紧急事项汇报

第七章风险管理的监督与持续改进

第一条风险管理的监督

第二条风险管理的持续改进

第八章风险管理考核与追究

第一条绩效考核

第二条责任追究

第九章附则

第一条解释与修订

第二条实施日期

第一章总则

第一条目的

本手册为完善和加强股份有限公司（以下简称“XX股份”或“公司”）的风险

管理工作，提高经营质量，促进XX股份总体战略和经营目标的实现而编制，旨

在说明风险管理体系的性质和任务，实施风险管理体系应遵循的原则、方法、

步骤以及对各相关责任人的要求，力图实现风险管理工作规范化、标准化。

第二条制定依据

本手册所使用的风险管理工作方法主要依据下述方法论及规定：

COSO风险管理框架：COSO风险管理框架广泛应用于公司风险管理体系

中，它指出风险管理包括八个互相关联的构成要素：内部环境、目标设定、

事项次别、风险评估、风险应对、控制活动、信息与沟通、监控。这八个要素

源于管理当局经营公司的方式，并与管理过程整合在一起。COSO框架期望

达到四个目标：战略、运营、报告、合规。本手册的制订采纳及借鉴

了COSO风险管理框架的理念和方法。

国资委《中央企业全面风险管理指引》:国务院国有资产监督管理委员会

于2006年6月6日颁布了《中央企业全面风险管理指引》，作为中央企

业开展全面风险管理工作的指导文件，并要求中央企业结合企业自身实际情

况贯彻该指引。本手册的制订旨在符合《中央企业全面风险管理指引》的要求。

《企业内部控制基本规范》：财政部会同证监会、审计署、银监会、保监会

于2008年6月28日颁布了《企业内部控制基本规范》，其中第二十条

至第二十七条对上市公司风险评估工作做出了明确的指导和规范。本手册的制订

遵循了《企业内部控制基本规范》的要求。

第三条适用范围

本手册适用于XX股份有限公司风险管理工作，相关人员有责任遵守本手册

中的各项规定。

第四条风险管理工作目标

(1)整体目标

XX股份风险管理工作的整体目标是通过合理、统一、科学的管理模式，以实

现：

砂控制那些有碍战略目标实现的风险，将其控制在公司管理层可承受的范围

内；

即逐步提高经营的效率和效果，降低实现战略目标的不确定性；

田•确保财务报告可靠性；

好合理保障机电股份遵从监管机构相关法律法规和电气股份有关规章制度。

第五条风险管理基本原则

(1)全面与重点相结合的原则：机电股份的风险管理工作应覆盖机电股份经

营与管理过程中所面临的各种风险，并对其中关键风险实施重点管理。

⑵分级分类管理原则：XX股份集中管理公司各层级所面临的风险，同

时，根据风险的不同特点实施分类管理，不同类别风险由相应的职能部门或专

业的管理人员负责管理。

(3)风险收益匹配原则：在风险管理工作过程中，XX股份各级员工不应单纯

追求业绩而忽略风险管控，也不要因过度防范风险而制约公司发展。

(4)流程统一原则：XX股份风险管理工作需遵循统一的流程，即本手册所描述

的工作流程、工作方法与汇报体系，以便于从整体角度管理风险。

(5)科学化、系统化、日常化原则：XX股份的风险管理工作需遵循科学、

系统的工作方法，将其融入日常的管理体系中，以达到及时监控关键风险的目

的。

第六条风险管理执行原则

(1)全员参与原则。风险管理工作应当在管理层高度重视的前提下，由各部

门支持配合以促进风险管理体系的有效运行。各职能部门需按照要求安排与协调

相关人员，各司其职，收集风险信息、管理相关风险。

(2)日常管理原则。风险管理是战略、投资项目管理、经营计划与活动被正

确执行的主要保障，贯穿于XX股份的各个层级，应融入日常管理工作°

(3)及时性、准确性原则。XX股份各业务单元、各职能部门相关人员应保障

及时、准确提供风险管理工作所需要的相关资料和数据，以供全面风险管理专

职部门和监督者进行有效分析。

第二章定义与分类

第一条风险定义

本手册所称风险，是指未来的不确定性对XX股份实现公司战略和经营目标影

响的任何因素。XX股份风险可以是那些对XX股份的成功潜能(如声誉)、资

产、资本、盈利情况或流动性(现金)等造成实质性影响的事故、事件或行

为。

第二条风险管理定义

风险管理，是指围绕战略和经营目标，通过在公司管理的各关键环节和经营

过程中执行风险管理的基本流程以培育良好的风险管理文化，建立健全全面

风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体

系、风险管理信息系统和内部控制系统，从而为实现公司总体目标提供合理

保证的过程和方法。

第三章组织体系与基本职责分工

第一条风险管理体系

公司的全面风险管理体系：各部门为第一道防线，全面风险管理委员会与全

面风险管理专职部门为第二道防线，审计委员会为第三道防线。

按照“分层管理、分类管理、集中管理”原则设置并组织运转。

(D分层管理：公司在决策层(公司高管，A层)、执行层(各职能部门负责人，B

层)、操作层(具体业务办理人员，C层及以下)，分别明确管理分工和管理

重点，落实管理责任，实现风险和内控的分层管理。

(2)分类管理：按照公司各职能部门职责范围和风险种类的不同，突出主要和

重要风险，履行对具体风险及内控的管理责任，实现分类管理。

(3)集中管理：由公司高管和各职能部门负责人组成的全面风险管理委员会，

负责重大风险及内控事项的集中决策和审议；全面风险专职部门，对风险及

内控系统实施监控和汇总分析，以实现集中管理。

第二条风险管理的组织机构及职责

全面风险管理委员会：公司的全面风险管理委员会应由公司高层领导和各职能

部门负责人组成。其中，公司总经理应在委员会中担任总负责人，董事会

秘书担任委员会组长。公司全面风险管理委员会的主要职责如下：

(1)负责设置本公司全面风险管理体系的组织机构，明确其工作职责；

(2)审批本公司全面风险管理体系相关制度细则(按自身需要根据本制度细

化)；

(3)审批本公司年度风险管理及内部控制工作目标和计划；

(4)审批本公司年度风险管理及内部控制评估报告、专题分析报告以及重大

风险的管理策略、应对方案和预警指标；

(5)倡导、培育公司风险管理及内部控制文化，推进相关的文化建设工作；

(6)负责监督指导公司风险管理及内部控制实施情况，并进一步明确工作方向;

(7)审批本公司各部门的全面风险管理工作绩效考核结果。

全面风险管理专职部门：全面风险管理专职部门由公司的内控部担任。在汇报

路线上应同时向本公司全面风险管理委员会和电气股份全面风险管理部门进行

汇报。全面风险管理专职部门的主要职贡如下：

(1)负责公司风险管理和内部控制工作的具体计划和目标；

(2)负责组织对参与风险管理和内部控制工作的内部团队进行必要的培训；

(3)监督全面风险管理工作的实施(包括对工作进度和工作质量的监督)；

(4)负责公司内部控制手册和风险管理数据库的编写、更新和维护；

(5)负责督促各责任部门执行风险应对措施和内控缺陷的整改建议；

(6)负责公司内部就全面风险管理工作的进度汇报和结果沟通；

(7)负责风险管理及内部控制文化的建设；

(8)负责就全面风险管理工作对各责任部门进行考核及评价。

各职能部门：各职能部门是全面风险管理工作的重要主体，承担独立、明确的职

责。各职能部门负责人是本部门风险评估工作和内控评估工作的第一责任人，

负责落实本部门风险管理及内部控制的责任和具体工作。各职能部门应根据

本部门的业务复杂程度配置一至两名全面风险管理专员(业务复杂程度越高，

需要配置的全面风险管理专员越多，各部门至少应配置一名全面风险管理专员,

可兼职)。各职能部门的主要职责如下：

(1)在本部门落实各岗位、各业务流程中风险管理及内部控制的责任，在

工作流程中识别风险点，制定控制措施和预警指标；

(2)配合、参与全面风险管理专职部门组织开展的定期和日常的风险管理与

内部控制工作；

(3)风险评估工作完成后，风险责任部门应对所管理的公司重大风险制定合

理有效的风险应对措施，并在提交专职部门审查后有效实施。风险配合部门应

积极配合风险责任部门制定和实施风险管理解决方案；

(4)内控评估工作完成后，缺陷责任部门应对其负责的内部控制缺陷整改建

议进行确认，并按时有效地执行；

(5)接受全面风险管理专职部门的协调、指导和监督，配合专职部门提出的

资料查阅和提供解释的需求，受理全面风险管理专职部门移送或建议的事

项，反馈整改落实情况。

第四章风险管理信息收集

第一条范围

XX股份在实施风险管理过程中，应广泛、持续地收集与公司风险和风险管理相

关的内部、外部信息，包括历史数据和未来预测。信息收集的范围包括但不限于

以下内容：战略风险方面：

(1)国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策；

(2)科技进步、技术创新的有关内容；

(3)市场对本企业产品或服务的需求；

(4)与企业战略合作伙伴的关系，未来寻求战略合作伙伴的可能性；

(5)本企业主要客户、供应商及竞争对手的有关情况；

(6)与主要竞争对手相比，本企业实力与差距；

(7)本企业发展战略和规划、投融资计划、年度经营目标、经营战略，以

及编制这些战略、规划、计划、目标的依据；

(8)本企业对外投融资流程中曾发生或易发生错误的业务流程或环节。

财务风险方面：

(1)负债、或有负债、资产负债率等反应偿债能力的财务数据；

(2)现金流、应收账款及应收账款周转率、资金周转率；

(3)产品存货及存货周转率、应付账款及其占购货额的比重；

(4)制造成本和管理费用、财务费用、营业费用；

(5)盈利能力；

(6)财务管理中曾发生或易发生错误的业务流程或环节；

(7)与本企业相关的行业会计政策、会计估算、与国际会计制度的差异与调整

(如退休金、递延税项等)等信息。

市场风险方面：

(1)产品或服务的价格及供需变化；

(2)能源、原材料、配件等物资供应的充足性、稳定性和价格变化；

(3)主要客户、主要供应商的信用情况；

(4)税收政策和利率、汇率、股票价格指数的变化；

(5)潜在竞争者、竞争者及其主要产品、替代品情况。

运营风险方面：

(1)产品结构、新产品研发；

⑵新市场开发，市场营销策略，包括市场定位、产品定价、销售渠道与促销

方式等；

(3)企业组织效能、管理现状、企业文化，高、中层管理人员和重要业务

流程中专业人员的知识结构、专业水平；

(4)质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程

或环节；

(5)因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵的

事件；

(6)给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险；

(7)对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能

力；

(8)企业风险管理的现状和能力。

法律风险方面：

(1)国内外与本企业相关的政治、经济、法律环境；

(2)影响企业的新法律法规和政策；

(3)员工道德操守的遵从性；

(4)本企业签订的重大协议和有关贸易合同；

(5)本企业发生重大法律纠纷案件的情况；

(6)企业和竞争对手的知识产权情况。

第二条职责分工

本手册规定适用范围内的各职能部门的风险管理岗位均有义务对与本单位或

本部门相关的风险管理信息进行收集，并在需要时及时提供风险管理专职部

门备案。

风险管理专职部门应定期对风给管理初始信息进行收集、筛选、提炼、对比、

分类、组合，以便进行风险评估。

第五章风险评估

第一条定义

(1)风险评估定义

本手册所称风险评估，是指及时识别、系统分析经营活动白与实现公司战略

目标相关的风险，以便合理确定风险应对策略。风险评估包括风险识别、

风险分析、风险评价和风险应对四个步骤。

风险识别，是指查找公司各业务单元、各职能部门的重要经营活动及其重要

业务流程中有无面临风险、若有为哪种风险。

风险分析，是指对辨识出的风险及其特征进行明确的定义，分析和描述该

风险在公司的具体表现形式、风险发生的条件等。

风险评价，是指公司从风险发生的可能性和对公司实现战略目标的影响程度

两方面评估风险的价值，并进行风险排序。

风险应对，是指在之前工作的基础上，根据风险性质和风险主体对风险的

承受能力而制定的回避、承受、降低或者分担风险的防范指施。

第二条风险评估整体流程

风险加估是一个持续性和重复性的循环，相关责任人应在风险管理委员会的领导

下，每年履行如下流程：

期丽丽

min峭闹金牌t骷即】然陶博疑I鞋就婚

01

飘婚取静飞的I

施用颐

；求乩唠便

5嬴嫌潮

।

A:冷

9

(6

雌酶

期丽蹄

R分期

10

13

irfifes+tilSS*W

产校脸I

金歆胖朱

S

!B

雌碎榔

除如

R

段

E31瞬厘

♦涮晦瞄

M#mi耐髓

81

第三条风险识别

(1)确定阶段性工作目标

每年初，风险管理委员会负责确定本年度阶段性工作目标，并以书面文件形

式下发执行，风险管理专职部门应负责协调与监督阶段性工作目标的执行。

(2)识别公司风险

风险识别是风险评估的基础。各职能部门和各级风险管理岗位人员通过日常风

险信息的收集，识别公司在实现其战略目标过程中所面临的环境、运营、决

策信息方面的不确定事项并汇总提交至风险管理专职部门，风险管理专职部

门汇总各职能部门提供的风险信息并结合“XX行业风险数据库”形成“XX

股份有限公司风险数据库”。为了能使风险评估的范围既满足完整性（重要

的风险没有遗漏），又满足有效性（以最小的管理成本完成风险评估），在风

险评估前，需要进一步明确评估范围。确定风险评估的范围，风险管理专职部

门应基于历史数据并结合公司环境现状从“XX股份有限公司风险数据库”中

梳理出本期所面临的关键风险形成本期的“关键风险数据库”，关键风险的总

量应当控制在50个左右。

第四条风险分析

首先，风险管理专职部门对梳理出来的关键风险及其特征进行定义，对相应

的风险事件进行描述并汇总形成风险评估调查问卷的初稿。

其次，风险管理专职部门通过风险访谈的方式对风险评估调查问卷作出补充和调

整。风险管理专职部门编制具体的访谈提纲针对公司高管及各职能部门负责

人进行访谈。访谈采用自下而上的方式进行（自下而上的方式是指先访谈各职

能部门负责人，再访谈公司高管），访谈的主要内容为了解受访对象对公司

总体风险的关注，了解他们对于风险的看法、态度。风险访谈作为风险评估

调查问卷结果的补充和修正，为确定最后的风险评估结果提供重要的信息。

采用自下而上的访谈方式，是为了能够充分了解公司中层管理人员和高层管理

人员对风险存在不同认识的缘由，理解身处不同部门、不同职位的员工对待

风险的不同态度、存在不同认知的真实原因，理解各重大风险在现有管理

体系上可能引发的问题。自下而上的访谈，也能够使得与公司领导的沟通过

程更具针对性、有的放矢，能够针对每位领导所管辖领域内特有的风险进行

深入的探讨。风险访谈应将访谈内容记录在《风险访谈纪要》中。

最后，风险管理专职部门依据风险访谈结果对风险评估调查问卷作出修改与

调整，并将修改后的问卷提交给公司领导，公司领导审核关注问卷中风险点

是否齐备，风险事件的定义与描述是否准确，问卷本身的形式是否合理等，

确认无误后予以定稿。

第五条风险评价

XX股份进行风险评估时采用定量与定性相结合的方法。在定性（风险访谈）

的指导下进行定量（问卷调查）的分析，在定量（问卷调查）的基础上作定

性（风险研讨会）的结论.

（1）问卷调查

首先，由公司领导拟定接受问卷调查的人员范围及时间安排，XX股份调查范围

应当覆盖机电股份全体员工。其次，风险管理专职部门依据公司领导的指示发

放调查问卷，问卷接收者需根据日常管理经验、机电股份实际情况，对相关

风险发生可能性及影响程度进行打分，并将调查问卷在规定时间内反馈给风

险管理专职部门。当对调查向卷有疑问时，调查问卷接收者须及时通知风险

管理专职部门，风险管理专职部门对于调查问卷接收者提出的问题做出答复。

调查问卷接收者须保证调查问卷的真实性和完整性，不可委托他人代替填写

问卷。

调查问卷回收后，风险管理专职部门应根据所回收和统计的问卷数据，进行

风险的初步分析，汇总风险评估结果，通过图表的形式展现。在风险热力

图或风险排序表中标注风险评估分值和排序，并进行各维度的比对以筛选出

公司最需要关注的风险，从而使后续的风险研讨会能更具针对性。

(2)风险研讨会

由风险管理专职部门协助风险管理委员会进行风险研讨会的组织与协调工

作，风险管理委员会委员及要求参会的相关人员应按照会议通知的时间要

求及时到会。

各与会人员须在参加会议前进行相关的准备工作，包括了解公司、各职能部门

或者本行业的风险管理现状和风险管理信息。在风险研讨会召开前，风险管

理专职部门应提前将所需讨论的风险内容发送给与会人员参考。

风险管理专职部门作为风险研讨会的组织者，需要向与会人员呈现最终的风

险评估结果，选出排名靠前的十大风险，若与会人员对该排序结果有异

议，需要立即提出，否则视为同意该评估结果。在陷入争执时，风险管理

委员会总负责人对于风险评估结果有最终决定权。会议成果应当形成会议纪要

或通知文件，并由公司领导审阅确认无误后下发至各职能部门。

第六条风险应对

(1)风险应对策略的选择

风险研讨会评选出公司前十大风险后，会上由风险管理委员会总负责人明确各

风险相对应的责任部门。风险责任部门在会后制定本部门所管理的重大风险的

应对措施，选择应对策略，风险应对策略主要有四种方式：规避、分担、

降低、承受，这四种方式的

定义与举例参见下表:

规避分担

定义：中断或退出可能会产生风险的活动：定义：通过转移来降低风险的可能性或影响，或

1.处置•个业务单元、生产线、地域性部门以者分担一部分风险：

切断该风险业务1.给杀大意外损失投保

2.决定不参加会产生风险的新方案或活动2.合资或合伙

3.通过资本市场工具(例如，上市等)防范风

险

4.外包业务流程

5.通过合同协议与客户、卖主或其他商业伙伴

分担风险

降低承受

定义：采取措施降低风险的可能性或影响，或者定义:不采取任何措施去干预风险的可能性和影

同时降低两者：响：

1.提供多样化的产品1.不采取任何措施

2.设立经营范围

3.建立有效的经营流程、政策制度、控制活动

等

4.加强对决策制定的管理与监控

5.在经营单元间重新分配资本

风险责任部门在选择应对策略的过程中，应考虑下列因素：

曲所要采取的应对策略实施后对该风险的影响效果；

眇所要采取的应对措施需与机电股份的整体风险偏好相协调；

时所要采取的应对策略的成本与效益；

的•所要采取的应对策略是否对于机电股份实现战略目标有影响。

(2)风险应对策略的实施

风险责任部门应根据风险应对策略，针对每一项重大风险制定风险管理的具体

解决方案。方案一般包括风险控制的活动、所需配合的部门及人员、必要的

资源支持等。

在风险责任部门制定风险解决方案时，需要本着完整、真实的原则，并考虑

如下事项：

曲所采取的控制活动与风险及风险应对策略的关联性；

勘所采取的控制活动的成本与效益；

砂所采取的控制活动是否能够将风险降低到可接受的水平。

风险解决方案确定后，风险管理专职部门负责编制机电股份全面风险评估报

告，评估报告编制完成后依次提交全面风险管理委员会、公司领导、董事会

审核。其后风险责任部门执行经审核通过后的风险应对措施，风险管理专职

部门监督并定期向全面风险管理委员会汇报风险应对措施执行情况。

第七条评估时间安排

风险评估应由风险管理专职部门组织实施，也可聘请有资质、信誉好、风险管

理专业能力强的中介机构协助实施。

每年风险评估工作时间安排如下表所示：

时间安排

工作内容主责部门（注：由风险管理专职部门根据

每年风险评估r作计划填写）

收集风险

各职能部门

管理初始信息

定期汇总各部门收集

风险管理专职部门

的风险管理初始信息

根据汇总信息识别出

风险管理专职部门

公司面临的关键风险

编制风险评估调查问卷初稿风险管理专职部门

风险访谈风险管理专职部门

根据访谈信息修改风险评

风险管理专职部门

估调查问卷并提交审核

审核定稿风险管理委员会

问卷调查

风险管理专职部门

（发放、监督答卷、回收）

统计问卷调查结果并分析汇报风险管理专职部门

组织召开风险研讨会风险管理专职部门

风险研讨风险管理委员会

二次调杳确定前十大风险风险管理专职部门

确定前十大风险主责部门公司领导

制定风险应对措施各风险主责部门

编制全面风险评估报告风险管理专职部门

审议风险管理委员会

审核公司领导

审批董事会

落实风险应对措施各风险主责部门

监督风险应对措施执行情况并对

风险管理专职部门

全面风险管理委员会汇报

第六章风险管理报告体系

第