大型国有集团公司全面风险管理指引2025

22-1-大型国有集团公司全面风险管理指引第一章总则第一条目的为加强XX（集团）有限公司的风险管理，建立规范、有效的风险控制体系，提高风险防范能力，及时识别、分析、控制经营活动中各类风险，合理确定风险承受度和风险应对策略，根据《中央企业全面风险管理指引》、《企业内部控制基本规范》《企业内部控制应用指引》《企业风险管理—与战略和绩效的整合》(COSOERM2017)、《上市公司治理准则》以及《XX集团有限公司章程》，结合集团管理实际，制定本指引。第二条适用范围本指引适用于集团公司全面风险管理各项工作。所属各级企业结合自身实际情况，依据本指引制定自身风险管理制度并严格落实执行。第三条名词解释风险是指在公司未来经营活动中各种不确定性事件的发生对企业战略目标、内部控制目标的影响，包括战略风险、财务风险、市场风险、运营风险、信用风险、流动性风险、声誉风险、操作风险、法律合规风险和其它风险等。风险评估是指根据风险识别情况，结合风险成因以及企业自身风险承受能力，就不同应对策略下的风险控制成本和风险敞口进行评估比较，从而为选择有效的风险应对策略提供决策依据。风险控制是指针对不同风险类型及敞口情况，选择有效的策略进行管理和控制。风险应对策略一般包括风险回避、风险承受、风险缓释和风险转移等。风险预警是指通过设定监控指标，动态跟踪指标变化情况，实现对重要不可承受风险的动态监督和预控。第四条风险管理原则1.全面覆盖与全员参与原则。集团公司风险管理坚持全面覆盖的原则，将全面风险管理贯穿至所属各级企业，覆盖集团公司各产业板块、经营管理各个系统以及管理决策各个方面。XX集团风险管理要坚持以各岗位员工为主体进行识别、控制、监控、预警及风险管理各项工作。2.控制成本与收益相匹配原则。集团公司风险管理必须遵循成本效益原则，在风险控制方案决策前，必须对风险管理中的控制成本与暴露的最大风险敞口损失进行分析比较，衡量风险管理控制方案的利弊，使风险控制成本与管理收益进行有效结合，为风险管理决策提供有力支持。4.事前预防与事中控制相衔接原则。集团公司风险管理坚持事前预防原则，最大限度将风险管理关口前移，基于需求识别和目标导向，充分识别挖掘风险点，并提前制定应急处置方案和确保业务持续性方案；同时，加强事中监督与控制，对企业自身风险管理能力进行监控评估。第五条集团公司所坚持的风险管理目标是规避和减少风险可能造成的损失，确保公司持续健康良性发展。第六条集团公司所倡导的风险管理理念是目标为锚，价值为纲，决策为舵，风险引航。集团公司开展全面风险管理工作应与合规制度管理、企业内控管理之间相互衔接、紧密协同、不可分割。第二章风险管理组织架构及职责第七条风险管理作为集团公司经营管理工作的一部分，与集团公司所建立的多层次合规责任体系一致。集团公司本部、产业运营主体、各所属企业的第一负责人落实各自的风险管理责任，按照要求开展风险管理工作。集团公司本部、各产业运营平台依照管理层级对各所属企业的风险管理情况进行密切跟踪、统筹指导并履行监督责任。第八条集团公司本部建立三级风险责任体系：2.风险专职机构：集团公司设立全面风险防控领导小组，负责具体风险管理工作的开展和组织，并向集团公司董事会报告。3.风险执行机构：集团公司本部各职能部门，开展日常风险工作，对执行过程中存在的问题及建议及时向集团公司全面风险防控领导小组报告及反馈。第九条集团公司本部各职能部门负责人对职能履行、经营管理活动过程中发生的风险事件负首要责任，对本系统经营活动的风险管理情况负监督指导责任。第十条集团公司董事会对风险管理承担最终责任，对集团公司风险管理工作的开展情况进行监督指导。第十一条集团公司审计与风险专业委员会根据董事会的要求，对董事会需要决定或审批的风险管理事项进行事前研究，为董事会履行风险管理职能提供支持，发挥专门委员会在保证企业风险管理充分性、有效性方面的作用。第十二条集团公司经理层应根据集团章程等基本制度规定、风险管理要求和实际情况，履行以下风险管理职责：1.审议企业风险管理总体目标、风险偏好、风险承受度；2.审议企业风险管理方面的制度和流程；3.审议企业全面风险管理工作计划、全面风险管理报告；4.审议企业风险应对总体方案，研究重要决策和重大风险管理中的有关具体问题；5.协调解决企业风险管理中跨部门的重要事项；6.审议企业风险管理中的其他重要事项。第十四条集团公司各专业职能部门负责按照集团公司全面风险防控领导小组的要求，统筹组织开展各自职责范围内各项经营管理活动的风险防控工作，充分发挥在风险管理方面的统筹协调、落地实施以及保障支持作用。1.拟订综合性风险管理制度和流程，参与拟订专业性风险管理制度和流程；2.研究提出企业全面风险管理工作计划；3.协助研究跨部门重大风险应对策略和方案，对方案的组织实施进行日常监督；4.组织编制企业全面风险管理报告；5.掌握、分析各职能部门、业务单位风险管理工作总体情况，研究提出风险管理工作持续改进意见；7.办理风险管理方面的其他综合性工作。第十六条集团公司各专业职能部门开展职能范围内的风险管理工作，主要内容如下：1.拟订相关专业性风险管理制度和流程；3.做好风险信息收集、风险识别、风险评估、风险应对策略和措施制订等各环节的工作；4.具体落实风险应对策略和措施的执行；5.协助合审管理部研究提出企业全面风险管理报告；6.指导督促下属单位做好专业性风险管理工作；7.办理风险管理方面的其他专业性工作。第十七条审计中心受集团公司合审管理部委托，负责研究提出集团公司全面风险管理监督评价体系，依据监督评价相关制度，开展监督与评价，出具监督评价报告。第十八条集团公司各级企业结合自身业务和管理实际，开展风险管理各项工作，接受上级单位监督检查并按照要求报送风险管理相关信息。第三章风险管理内容及分级标准第二十条集团公司所属各级企业应根据集团公司制订的风险分类总目录，结合业务实际，进一步细化完善本单位的风险分类子目录。第二十二条集团公司将风险分类总目录分为三级进行管理。按照风险描述细化程度由低到高风别为一级风险、二级风险和三级风险。第二十三条一级风险包括战略、财务、市场、运营及法律合规风险。二级、三级风险是在一级风险类别下的进一步细化。第四章风险管理流程第二十五条集团公司开展风险防控工作采取人为控制与系统控制有机结合的方式。人为控制是通过发挥各级管理人员的主观能动性和专业判断开展的风险管理工作，系统控制是通过借助信息系统，开展风险信息数据采集、数据挖掘以及统计分析，进而形成预判估计，辅助管理决策。第一节风险初始信息收集第二十六条集团公司风险管理要注重对初始信息的收集，其中外部风险信息的收集包括但不限于：1.宏观经济形势、产业政策、资源供给、利率调整、汇率波动、融资环境、市场竞争等方面的经济信息；2.法律法规、监管要求、行业准则、国际条约等法律合规方面的监管信息；3.文化传统、社会信用、道德规范、风俗习惯、舆论影响等方面的社会新闻动态信息；4.信息化建设、技术革新、工艺改进、电子商务等方面的科技改进变革信息；5.自然灾害、环境状况、自然资源等方面的环境信息。第二十七条集团公司风险管理要注重对内部风险信息的收集，其中内部风险信息包括但不限于：1.各级管理人员道德操守、专业胜任能力、劳资和谐关系等人力资源管理信息；2.经营方式、资产管理、投资项目、工程建设、业务流程等经营管理信息；3.财务状况、经营成果、现金流量、资金营运等企业基础实力信息；4.生产安全、员工健康、环境污染等安全环保信息；5.研究开发、技术投入、信息科技等技术改进信息。6.合同履约情况等信息。第二十八条外部信息收集渠道包括行业协会组织、社会中介机构、业务往来单位、网络媒体和有关监管部门，以及市场调查、客户走访、来信来访等。第二十九条内部信息收集渠道包括发展规划、项目前期、预算计划、财务会计、经济活动分析、工作调研等方面的资料，以及各类工作简报、内部刊物、动态信息和办公网络等。第三十条集团公司风险执行机构应结合日常工作，通过各种渠道，广泛、持续地收集与集团公司所面临的风险和风险管理相关的内部、外部初始信息，包括历史数据、未来预测以及港航企业和国内外相关企业已发生的风险损失事件及相关案例等，建立和完善风险信息库，对风险信息进行动态管理。第三十一条集团公司风险执行机构所收集的风险初始信息，要定期进行整理更新，根据实际情况，选择合适的方式对风险初始信息进行整理、汇总、统计、分析和存档，提高信息的有用性，汇总形成内参资料，便于内部信息资料的沟通交流，以便更加全面有效的开展风险识别工作。第二节风险识别第三十二条 集团公司以收集的风险初始信息为基础，结合对各项重要管理及业务流程的分析，开展风险识别工作。第三十三条 各专业职能部门开展风险识别，查找集团公司各项重要经营活动以及重要管理、业务流程中有无风险、存在哪些风险。通过识别，确定风险的来源、主要影响因素，风险发生后的影响对象与范围、风险发生的可能表现形式等关键要素。第三十四条集团公司开展风险识别工作，应建立在集团公司内控流程管理工作基础之上，基于流程现状，从各项业务流程的每一个环节、步骤和工作内容出发开展风险识别。第三十五条 风险识别的方法有多种，可以选择不同的方法，也可以多种方法结合使用，集团公司开展风险识别的方法包括但不限于：1.事件库法：指详细列出某一行业内部许多公司很常见的潜在事件，或者所有行业都常见的某一种流程或业务活动。通常可根据经验总结出按相关属性分类的风险事件列表；2.访谈法：风险专职机构组织相关人员，制订详细的访谈计划，对相关部门熟悉业务流程、有经验的管理人员进行访谈，了解和讨论存在的风险，形成访谈记录；3.头脑风暴法：从不同部门选出人员组成讨论小组，充分发挥集体的智慧，对有关的潜在事件提出各自的意见和想法，经过自由、宽松的讨论，将有价值的信息汇总、整理起来，从而正确、全面地识别出风险及其相互关系；4.德尔菲法：又称专家调查法，针对某个风险同时咨询多个专家，专家们根据自己的经验做出各自的评估；再综合这些评估得出结果，把该结果送交给专家，专家据此修改，直至达成一致；5.风险临界法：通过将当前交易或事件与预先定义的标准进行对照，当风险达到临界时将引起管理层的警觉。一旦发现事件达到一定临界，就可能需要进一步评估某事件或做出反应；7.流程分析法：根据构成一个流程的投入、活动、职责、产出，通过综合考虑对流程投入或流程内活动的内、外部因素，识别出影响实现流程目标的事件；8.故障树分析法：通过对可能造成项目失败的各种因素进行分析，画出逻辑框架图，从而确定可能导致项目失败的各种原因。遵循从结果找原因的原则，该方法还可与其它定量分析方法结合使用，以获取更多信息；9.事件重要指标法：通过监测与事件相关的资料，企业识别是否存在引发风险事件的条件；10.损失事件数据法：根据以往各个损失事件的数据库，来识别风险事件发生根据或发展趋势。第三节风险分析与评估第三十六条基于各职能部门所识别的风险点，由各职能部门协同风险管理部门统筹组织开展风险分析。通过定量或定性的方法，对各个风险点的影响和后果进行评价。第三十八条定量分析是基于风险点所具有的历史数据，通过数学方法和统计工具进行的风险分析。第三十九条风险分析的方法包括但不限于：1.风险综合评价法，该方法是通过问卷调查和访谈，获得风险因素的权重和发生概率，进而获得整体风险程度。2.蒙特卡洛模拟，用随机抽样的方法抽取一组输入变量的数值，并根据输入变量的数值计算评价指标，抽样计算足够多的次数获得概率分布，并计算出累计概率分布、期望、方差、标准差等，从而估计所承担的风险状况。3.专家调查法，是基于行业专家的知识、经验和直觉，对风险点进行分析评判的方法。4.风险概率估计，是通过对风险事件发生的客观概率和主观概率的估计计算，获得风险概率分布进行预测的方法。5.风险解析法，是将复杂的风险点进行结构化分解，分解为若干个子风险点，通过对子风险点的分析推论出复杂综合风险点发生可能性及影响程度的方法。第四十条各职能部门应根据不同风险类型特点和管理实际需要，合理选择定性和定量的分析方法，将分析结果汇总至集团公司风险管理部门，进行统筹衡量评定。第四十一条集团公司风险管理部门将根据各类风险发生可能性的高低和对经营发展目标影响程度的大小，区分重大风险、重要风险、中等风险和低风险4个等级，并建立风险管控地图。第四十二条风险评估是针对具体风险，对当前风险管控的现状进行评估，结合集团公司对具体风险的承受能力，判断风险管控的优先顺序。第四十三条风险评估是将风险分析的结果与集团公司风险准则和风险容忍原则进行比较，以决定风险现状及其大小是否为可接受或可容忍的过程，有助于集团公司风险应对策略的制定。第四十四条集团公司风险评估过程中，应开展对具体风险的管理成本与最大损失之间的综合平衡分析，以便于进一步确定有效的风险应对策略。第四十五条风险评估过程中，应对各具体风险之间的关系进行分析，以便发现各具体风险之间的抵消、叠加和正负相关性等组合效应，从风险策略上对风险进行统一集中管理。第四十六条集团公司采取定期和日常相结合的方式开展风险评估。其中：1.定期评估由风险管理部门组织各职能部门和业务单位实施，形成风险评估报告。开展定期评估，应根据需要成立跨部门的风险评估小组，提高风险评估的协同性和评估工作质量。2.日常评估由各职能部门结合战略规划、设计审查、预算制订、经济活动分析、安全性评价、危险源辨识、工程质量管理等业务工作进行，评估结果应体现在有关专业报告中，并提供给风险管理部门共享。第四节 风险应对第四十七条 集团公司需根据各类业务特点，分别确定风险偏好和风险承受度。风险偏好包括愿意承担哪些风险，承担多大风险。风险承受度是根据风险与收益的关系，针对具体风险明确风险的最低限度和不能超过的最高限度。第五十条针对中等风险，各职能部门应对现有制度与流程进行评估，查找差距与不足，补充完善控制措施，如有必要需增加额外控制措施，并将控制分析结果及时报风险管理部门备案。第五十一条各职能部门应建立健全各项内部控制制度和流程，综合运用各种内部控制措施，对各项业务和管理活动实施有效控制，将低风险和中等风险控制在可承受的范围内。第五十二条各职能部门要确保风险应对策略和措施有效执行，通过梳理分析现有的管理及业务流程，实现风险应对与控制流程的有效衔接，针对具体流程明确关键控制点和关键岗位，结合实际情况按需制定风险管理手册等规范性文件。第五十三条 集团公司根据各类风险和风险等级情况，建立风险审查工作机制，将风险审查嵌入各事项决策前审议环节，为有效决策提供支持。第五十四条 针对重要和重大风险，应根据需要在集团整体维度进行统筹应对。一般应由相关职能部门会同风险管理部门共同研究提出风险应对方案，内容主要包括风险应对具体目标，所需的组织领导和职责分工，所涉及的管理及业务流程，所需的条件和资源，量化的风险预警线，细化的分级控制措施，相关工作的进度安排，监督考核机制等，并报送至集团公司审计与风险专委会审议后，报集团公司董事会审批。第五十五条集团公司各级所属企业的重要和重大风险应对方案应分别报上级单位业务主管部门和风险管理部门备案。第五十六条各职能部门应按照职责分工认真组织实施风险应对方案，指导监督下属单位开展相关工作，确保各项风险应对措施落实到位。第五节风险监控、预警与处置第五十七条 集团公司建立风险监控预警机制，由各专业职能部门针对中等风险分别设置定量或者定性指标进行风险监控，并将指标设置情况报风险管理部门备案。第五十八条针对定量指标，由专业职能部门设置监控阈值并开展风险监控工作，将阈值设置及风险监控情况定期报风险管理部门备案。第五十九条重要、重大风险由风险管理部门组织成立专项风险防控小组根据所负责风险管理职能设置系列监控指标分别进行动态监控。第六十条风险管理部门要定期组织各专项风险部门开展专项风险排查工作，并对集团公司重要、重大风险开展监控，定期由专项风险管理部门向集团公司董事会报告专项风险监控情况。第六十二条集团公司建立针对风险事件和损失影响的危机应对流程和各项处置程序，确保做好危机攻关和应对处理工作。第六十五条集团公司开展风险监控、预警与处置工作为动态管理机制，结合集团公司战略目标、风险偏好及风险容忍度的变化，定期评估预警指标、监控阈值、应急处置预案的有效性，及时调整完善。第六节风险管理的监督、考核与改进第六十六条集团公司风险管理工作纳入绩效考核体系，由风险管理部门结合专业职能部室的风险管理情况设置单独的风险管理考核指标，将各项风险的管理执行情况与绩效薪酬挂钩。第六十七条集团各有关职能部门和业务单位应定期对风险管理工作进行自查，及时发现缺陷并加以改进，检查评价结果报风险管理部门备案。第六十八条风险管理部门应定期汇总各职能部门和业务单位风险管理工作（主要包括风险信息收集、风险识别、风险评估、风险应对策略和措施制订、关键控制活动等）情况，分析其充分性和有效性，提出改进意见。第六十九条集团公司内部审计组织应建立健全风险管理审计制度，定期对包括风险管理部门在内的各有关职能部门和下属单位能否按照有关规定开展风险管理工作及其工作效果进行独立监督评价，出具监督评价报告。第七十条集团公司可根据需要聘请有资质、信誉好、风险管理专业能力强的咨询机构对集团公司全面风险管理工作进行专项诊断或评价。第七十一条各专业职能部门、风险管理部门对审计监督评价、专项诊断等过程中发现的风险管理缺陷，应认真分析其性质、产生原因和影响程度，提出整改方案，落实缺陷整改工作。第七节风险管理报告第七十三条定期报告由风险管理部门牵头组织，编制集团公司全面风险管理报告，系统总结前一阶段风险管理工作情况及成效，分析下一阶段企业面临的风险形势，提出相应的风险管理工作建议，经风险管理委员会或风险管理协调议事机构审议后，报董事会审批。第七十四条临时报告主要针对突发的重大风险事件、已预警的风险情况，由风险管理部门会同专业职能部门整理情况后向领导小组进行专项报告。第七十五条集团公司所属各级企业的全面风险管理报告应报上级单位备案。定期报告报上级单位风险管理部门备案，临时报告报上级单位专业职能部门和风险管理部门共同备案。第五章 风险管理信息系统第七十六条 集团公司按照统一规划、统一设计、统一实施、同步运行的原则，建立风险管理信息系统，纳入信息化建设总体规划，统筹考虑并组织各级企业有效实施，实现风险管理信息系统与其他业务信息系统的有效集成。第七十七条 集团公司将信息技术应用于风险管理各项工作，建立涵盖风险管理各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、预警、提示、报告、披露以及看板展示等。第七十八条集团公司各专业职能部门、所属各级企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。第七十九条风险管理信息系统中的各项数据均为企业内部数据信息，应确保做好数据备份、保管、灾备等各项工作。第八十条风险管理信息系统应能对具体风险进行度量和定量分析、定量测试，能够实时反映风险重要性排序、重大风险和重要业务流程的监控状态，能够对超过风险预警线的重大风险实施信息提示和报警，能够满足风险管理内部信息报告制度和集团公司各级企业对外信息披露管理制度的要求。第八十二条集团公司应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。第六章 风险管理文化第八十三条 集团公司风险管理文化与诚信合规文化是企业文化体系建设的重要部分，不断促进企业风险管理水平、员工风险管理素质的提升，保障集团公司风险管理目标的实现。第八十四条 集团公司风险管理文化建设应融入企业文化建设全过程，树立正确的风险管理理念，增强员工风险管理意识，将风险管理意识转化为员工的共同认识和自觉行动，促进建立系统、规范、高效的风险管理机制。第八十五条 集团公司应通过多种形式，努力传播风险管理文化，使全体员工尤其是各级管理人员和业务操作人员牢固树立风险无处不在、风险无时不在、风险与机遇并存、岗位风险管理责任重大等意识和理念。第八十八条 企业建立针对不同人员的风险管理培训制度。采取多种途径和形式，加强对风险管理理念、知识、流程、方法等内容的培训，培养风险管理专业人才，培育风险管理文化。第七章 附则第八十九条 本指引由集团公司合审管理部负责解释。第九十条 本指引自发布之日起施行。附件：1.集团公司风险管理信息收集表2.集团公司风险分类总目录3.集团公司风险库4.集团公司风险地图5.集团公司风险评估控制矩阵6.集团公司关键风险指标库7.集团公司专项风险排查清单及排查报告附件1集团公司风险初始信息收集表风险类别信息项目信息渠道信息收集情况根据风险信息波动情况确定信息收集频率（周、月、旬），至少每半年收集更新一次战略风险国内外宏观经济政策&经济运行情况外部渠道：

国家、行业宏观政策与信息的发布平台和网络；

新闻、媒体报道及专业机构的出版物；

商业伙伴（客户、供应商）提供的战略信息；

私人商业与社会网络；

内部渠道：

内部会议纪要及战略分析报告；

以往战略决策的成功案例及重大偏差；

企业自身的战略规划、计划等决策信息；

战略规划方面的内部控制机制；科技进步、技术创新情况市场对本企业产品或服务的需求情况本企业战略合作伙伴的情况及关系未来寻求战略合作伙伴的可能性本企业主要客户、供应商及竞争对手的有关情况与主要竞争对手比，本企业实力与差距本企业发展战略规划、投融资计划、年度经营目标、经营战略战略规划、经营计划编制依据财务风险负债、或有负债、负债率、偿债能力外部渠道：

金融信息平台；

专业机构出版报告；

内部渠道：

管理报告信息体系；

企业财务管理内部控制体系；

内部审计评价结果；

以往企业财务损失事件分析；现金流、应收账款及占销售收入的比重、资金周转率应付账款制造成本和管理费用、财务费用