国有企业风险管理与内部控制办法

XX集团有限公司风险管理与内部监控方法

第一章总则

第一条为全面提升公司风险管控能力，加快构建以法律管

控为主的大风控体系，健全风险信息的收集、分析、应用机制，

牢牢守住不发生重大风险的底线，把风险管理、内部监控、法律

合规与公司中心工作、业务工作深度融合，遵循“实事求是、守

正创新、行稳致远”工作方针，依据《中华人民共和国公司法》

《中心企业全面风险管理指引》《企业内部监控基本规范》及配

套指引、《中心企业合规管理指弓1（试行）》等相关政策、法律法

规，结合公司实际，制定本方法。

第二条本方法适用于XX集团有限公司、XX有限公司（以

下简称公司）及所属各单位，包括公司控股和具有实际监控权的

单位。

第三条风险是指将来的不确定性对公司实现战略及经营管

理目标的影响。

风险管理应围绕战略及经营管理目标，明确风险管理要求,

提升风险意识，确定风险偏好和承受度，规范管理流程，健全工

作协同和信息共享机制，突出重大风险全方位管控，削减各类风

险损失和威胁。

第四条内部监控是指公司董事会、监事会、经理层和全体

职工或员工实施的、旨在实现监控目标的过程。

内部监控旨在合理保证公司经营管理依法合规、资产平安、

财务报告及相关信息真实完整，提高经营效率和效果，促进公司

战略目标的实现。

第五条大风控体系与运行应突出集团管控，强调全员、全

面、全过程，覆盖所有单位、部门和职工或员工，包括各业务领

域、环节及各类风险，坚持事前防范、事中监控为主，事后救济

为辅，始终将重大风险防控作为重中之重，做到提前预见、提前

发觉、提前管控，推动资源整合、信息共享、同防共治、不断提

升，以实现公司高质量量稳健进展。

第六条工作原则：

（一）健全组织、明确责任。贯彻“横向到边、纵向究竟”

的工作要求，各单位健全并连续完善风险内控组织体系，明确细

化风险管控责任。

（二）统一领导、分级负责。公司总部负责风险内控工作的

统筹规划，各单位结合自身实际，分类别、分阶段、分层级推动

落实。

（三）全面覆盖、突出重点。公司坚持战略导向、问题导向，

在进行全方位风险管控同时，更要关注重点人（岗位）、重点事

和重点环节。

（四）信息共享、连续完善。公司连续完善风险信息的收集、

统计、分析、发布机制，实现及时传递、合理共享，不断改进和

优化大风控体系。

第七条各单位应加强宣贯和培训，引导每一位职工或员工

特殊是各级领导人员树立准确的风险管理理念，增强忧患意识、

风险意识、责任意识，培育风险管理文化，将内部监控与风险管

理要求转化为全体职工或员工的共同熟悉和自觉行动。

第二章组织机构与职责

第八条公司实行党委全面领导、董事会统一部署、经理层

组织实施的“纵横结合、协同监督”的风险内控组织架构，构建

风险管理四道防火墙和三道防线。

第九条项目部等基层单位、三级单位、二级单位与公司总

部构成风险管理的四道防火墙。

各单位应健全风险内控体系，明确各部门、风险内控牵头部

门、经理层、董事会、党委的风险管控职责，配备满意需要的专

职工作人员，业务单一、规模较小的单位至少应明确兼职工作人

员，组织、沟通协调、推动风险内控工作。

第十条各单位应完善履责依据和履责要求，压实所管辖各

级领导人员的具体责任。

严格界定分管领导对本人负责或主要参加事项的直接责任，

对直接主管（分管）工作的主管责任。

严格界定主管领导对本人负责或主要参加事项的直接责任,

对直接主管工作的领导责任。

严格界定董事会的责任，明确各级董事会或类似权力机构对

本单位风险内控工作有效性负责。

第十一条各单位应依据部门职责分工，划分风险管理三道

防线，强化重大风险管控要求，全方位做好风险防控工作。

所有部门作为风险管理的责任主体，在履行与部门自身管理

直接相关风险管控职责时为第一道防线，是风险管理的前线和战

线，应坚持守土有责、守土尽责，增强责任感和自觉性，未能把

防控责任推给上面、留给后面，确保绝大多数风险在这一环节得

到有效管控。

风险内控、法律合规、平安、质量、协议管理、贯标、人事、

财务、内部审计、纪检、巡视等部门在履行支持、服务、调查、

评价、审计、检查和督导职责时为第二道防线，是监督保障线,

应做好服务支持、监督指导、信息共享、管理赋能工作。

纪律检查委员会、违规经营投资责任追究工作管理委员会和

平安生产委员会等机构为第三道防线，是问责追责线，应深化剖

析、追根溯源，严肃问责追责，促进管理提升。

各部门应明确部门负责人、业务主管、一般工作人员的岗位

责任，细化落实标准，确保风险管控要求层层落实，保证工作效

果。

第十二条项目部等基层单位要将一线作业人员作为风险管

理第一道防线，业务部门为第二道防线，领导班子为第三道防线,

责任到人，齐抓共管，确保现场风险得到有效管控。

第十三条所有职工或员工（特殊是各级领导人员）首先要

履职尽责，保证自身不发生风险事件，否则应承担直接责任；各

级领导人员要加强管理，保证所分管业务（如有）不发生风险事

件，否则应承担主管责任；各级领导人员要加强对下级人员的领

导，保证所管理人员（如有）不发生风险事件，否则应承担领导

责任。

第十四条为提升风险管控效果，有效防范、化解重大风险，

各法人单位应设立风险管理委员会，统筹领导风险管理与内部监

控工作，通过定时会商、重点会商等工作机制，争论解决重

大风险、系统性风险等问题，组织实施跨部门、跨单位重大风险

管控。

第十五条公司总部风险管控职责分工：

（一）各部门为风险内控工作责任部门，履行风险管理的主

体职责，应强化对各类风险提前预见、提前发觉、提前管控，及

时总结、沟通、推广，举一反三，全面提升管控能力。

负责履行部门业务条线的内控与风险管理职能；健全并及时

更新相关规章制度、业务流程；连续开展教育培训，提升风险意

识；按业务条线收集风险信息，辨识、评估重大风险，提出应对

措施并跟踪管控；建立健全风险监测、预警、报告及应急管理机

制，将内部监控要求嵌入业务信息系统；明确由部门副职或业务

骨干兼任的风险内控专员，对接、协作风险内控牵头部门开展相

关工作。

（二）风险内浸牵头部门为法律合规部，承担风险管理委员

会办公室职能。应组织建立健全风险内控体系，落实所有日常工

作，指导、沟通协调、督促各单位、各部门开展风险内控工作。

负责落实党委会、董事会、经理层工作要求；贯彻内控与风

险管理法规、政策，提出风险管理标准，完善风险管理机制；拟

订风险内控工作规划和规章制度，编写工作报告；收集风险/言息,

建立并更新风险数据库，组织公司层面重大风险评估和内部监控

自我评价、监督评价及内控缺陷整改；帮助各部门认定重大风险,

开展重大风险管控；组织实施风险内控工作考核；严格法律合规

审核，坚持“没有法律建议或意见，领导不签字、议题不上会、

单位不用印、上级不受理”，对触及风险管控底线的事项，敢于

说不。

（三）经理层贯彻落实党委及董事会关于风险内控工作要求

并组织实施。

负责拟订大风控体系方案、重大风卷管控方案和年度风险内

控评价及考核方案；组织风险管理教育培训，提升全员风险意识;

审议所有风险管理标准、规划、规章制度、工作报告，推动全系

统风险内控工作开展。

（四）董事会统一部署风险内控工作。

批准风险管理标准、规划、规章制度、工作报告、风险内控

评价及考核方案；健全风险管控决策机制，确定重大决策、重大

风险、重要业务流程的推断标准以及重大风险管理策略。审计与

风险管理委员会代表董事会连续监督风险内控系统，至少每年一

次对风险内控系统有效性进行审核。

（五）党委全面领导风险内控工作。

坚持把防范化解重大风险作为重要工作，为增强公司风险防

控能力提供坚强政治和组织保障；支持董事会和经理层依法行使

职权；推动各类监督有机贯穿、相互沟通协调，形成监督合力，

提高监督效能；审议大风控体系方案，争论、处理重大风险

问题。

第三章风险管理

第十六条公司对风险实行分类、分级、分层管理，乐观主

动、未雨绸缪、见微知著、防微杜渐，对各类风险早识别、早预

警、早处置。

第十七条风险可能带来有形损失、无形损失和威胁。在做

好有形损失管控的同时，更要注意无形损失和威胁的管控，削减

风险发生带来的负面影响和损失。

第十八条依据风险对公司目标实现造成或产生影响的因素,

公司确定战略风险、财务风险、市场风险、运营风险、法律合规

风险为一级风险。为实现精准识别和管控，各单位应围绕风险源

至少将上述一级风险细化至三级风险。

第十九条依据风险发生的可能性，可能造成有形损失、无

形损失和威胁的大小，公司区分重大风险、重要风险、一般风险

和其他风险，实行不同策略进行管控。

重大风险是指可能对公司造成有形损失严峻，对日常运营或

战略经营目标影响重大，对公司商誉、地位、形象等可能带来严

峻无形损失和连续威胁的风险，应作为管控的重中之重。

重要风险是指可能对公司造成一定的损失、威胁，发生频率

较高以及可能造成损失、威胁较小，发生频率极高的各类风险,

应作为管控的重点。

一般风险是指影响程度不大、发生可能性较高或风险影响程

度稍微，但频繁发生的风险，应合理分配资源，正常管控。

其他风险是指影响程度稍微、发生可能性较低的风险，在做

好重大、重要及一般风险管控时，兼顾管控。

第二十条各单位应结合自身特点、进展阶段和业务领域，

合理确定风险承受度，明确风险评估的定量、定性标准，认定本

级重大风险、重要风险，做好连续管控。依据风险事件发生状况

和内外部形势变化等，适时调整更新。

第二十一条各单位、各部门应按规定向风险内控牵头部门

提交重大风险“专项报告”和“定时报告”。

法律合规、平安、质量、协议管理、贯标、人事、财务、内

部审计、纪检、巡视等部门应将认定的问题、缺陷、案例等及时

向关于部门、单位移交，同时抄送风险内控牵头部门，做到信息

共享、同防共治，最大限度避开相同或类似事件的重复发生。

风险内控牵头部门应加强对收集信息的整理、统计、分析工

作，及时发布、预警、提示，全面提升各类风险信息的利用效率。

第二十二条各单位、各部门应划分风险预警等级，设计风

险预警指标，规范风险处置程序，建立健全重大风险预警和突发

事件应急处理机制，制定风险预警响应措施并对执行状况进行跟

踪，开展必要应急演练和培训，确保风险事件得到及时妥善处理。

第二十三条各单位、各部门应及时总结分析重大风险事件,

吸取教训，制定和落实整改措施，优化完善大风控体系，健全风

险防范长效机制。

第四章内部监控

第二十四条依据国家法律、法规要求，结合管理需要，公

司建立全员、全面、全过程的，涵盖生产、经营和管理等各个领

域，突出重要业务、重点领域、关键环节和岗位的内部监控体系。

第二十五条各单位、各部门应以风险管理为导向，以内部

监控为抓手，不断健全规章制度，完善业务流程，综合运生不相

容职位分别监控、授权审批监控、会计系统监控、财产爱护监控、

预算监控、运营分析监控和绩效考评监控等内部监控方法，将风

险监控在可承受范围之内。

第二十六条在强调每位职工或员工、每个岗位内部监控职

责的同时，各单位、各部门应通过风险评估，识别主要风险点,

认定重点人、重点事和重点环节，并制定内部监控应对措施。

第二十七条各单位、各部门应强化业务发起者的首要责任,

全面、逐级落实每一道把关责任，认真负责进行核准、审批或进

行风险提示，提出修改完善建议或意见。对于效益不行行、超出

风险承受能力或风险应对措施不到位的事项，应及时发表否定建

议或意见，严控决策风险。

第二十八条各单位应健全内部监控评价机制，定时开展自

我评价和监督评价，接受第三方内部监控审计，落实内控缺陷整

改工作。对于重大缺陷、重要缺陷和重复发生的缺陷，要深化分

析形成原因，以点带面、举一反三，实行有效措施，彻底整改。

第二十九条依据风险内控工作开展状况，结合内外部监管

要求，各单位编制并向上级单位报送经本单位党委会争论，

董事会或类似权力机构批准的“内控体系工作报告”。

第三十条依照档案管理要求及关于规定，各单位、各部门

应及时将内部监控相关记录、资料文件资料以书面或其他适当形

式，妥善保存、保管。

第五章信息系统

第三H■一条公司逐步建立健全涵盖风险管理和内部监控基

本流程的信息管理系统，为大风控体系有效运行提供支撑。

第三十二条公司乐观探究利用大数据、云计算、人工智能

等技术，实现风险信息的收集、统计、分析、发布、预警和监测

等功能，进一步提升信息化和智能化管理水平。

第三十三条风险内控牵头部门参加业务信息系统方案的评

价及将来验收工作，沟通协调推动各部门将内部监控要求嵌入业

务信息系统。

第三十四条各单位、各部门在运用信息技术进行风险防

控时，应注意网络平安、数据平安、系统平安等技术风险；

加强网络平安防护、数据治理、数据平安防