某公司企业风险管理政策

*有限公司文件编号：版 次：风险管理政策生效日期：页 次：第7页 共7页修 改 记 录序页次最新版本修改内容记要修改者审核批准生效日期制订审核批准日期日期日期分发对象1. 目的1.1 旨在阐述*有限公司（以下简称“公司”）企业风险管理的目标、政策方针以及相关职责，以建立有效风险评估和管理机制，以降低公司运营风险，就公司能够实现其业务目标向管理层和董事会提供合理保证2. 适用范围2.1 适用于公司董事会、高级管理层、各业务部门经理以及其他员工。3. 定义3.1 企业风险管理：企业风险管理是由企业董事会、管理层及其他人员实施，在战略制定过程中和整个企业中予以采用的一个过程，它旨在识别可能会对企业产生影响的潜在事件，把风险控制在企业承受能力之内，并为实现企业目标提供合理保证。3.2 具体来讲，企业风险管理：3.2.1 是持续开展、贯穿整个企业的一种流程;3.2.2 是由企业内各级人员执行；3.2.3 在战略制定中实行；3.2.4 在整个企业范围内，也就是在企业每个层面和每个单元中予以实行；包括从整个公司角度即组合的角度来审视风险；3.2.5 旨在识别可能会对企业产生影响的潜在事件，把风险控制在企业承受能力之内；3.2.6 能够为企业管理层和董事会提供合理保证；3.2.7 目的是实现一个类别或多个分立而交叠的类别中的目标它只是“实现目标的一种手段，其本身并不是目标。”4. 价值主张4.1 公司借助建立监督、控制和规范等职能手段，来推动公司不断地提升其在持续变化的经济环境下的风险管理能力。公司的风险管理政策从以下三方面来保护和提升公司的价值：4.1.1 风险管理重视建立持续的竞争优势（1） 将风险管理同经营规划和战略制定结合；（2） 实施更有效的风险评估流程；（3） 改善对全公司共同风险的管理；（4） 改善资本利用及资源调配；（5） 确保风险承担与核心业务竞争力相符保护声誉和品牌形象。4.1.2 优化风险管理成本（1） 协调风险偏好与战略的关系，确保两者间匹配；（2） 正确厘定交易固有风险的价格；（3） 综合风险转移和风险接收决策；（4） 裁剪冗余活动。4.1.3 帮助管理层改善经营业绩（1） 引入系统化的风险评估流程，提高管理层对风险管理的信心；（2） 深化对影响收益和资本的风险的认识；（3） 预见和沟通绩效目标中固有的不确定因素；（4） 改善合规和风险应对措施；（5） 减少经营损失和意外事件；（6） 提高应对变革的就绪程度。5. 公司风险管理的愿景、使命、目标5.1 愿景：5.1.1 在创造市场价值的过程中，通过管理业务风险，促进创造、优化和保护企业价值。5.2 使命：5.2.1 探索综合全面的方法，以预测、识别、排序、管理和监督影响公司业务的风险组合。落实有关的政策、共同流程、能力、责任、汇报和促成技术，以便成功地施行该方法。5.3 目的和目标：5.3.1 设计和施行整体业务风险管理流程，并同公司的战略管理流程相结合：（1） 使业务风险管理同战略制定和业务规划流程相结合；（2） 阐明战略，确保全公司都了解战略；（3） 设立关键绩效指标，鼓励和促进符合战略的行为；（4） 奖励有效阐述和管理关键风险的行动。5.3.2 明确风险管理流程负责人的责任，从而正确地了解相关的角色、职责和权利；5.3.3 根据业务目标和内外部经营环境的变化，更新和施行整体业务风险管理流程，以监督和重新评估重要风险，识别公司在管理这些风险方面所存在的差距；5.3.4 明确界定风险管理战略、相关责任和行动步骤，以建立、施行和持续地改进风险管理能力；5.3.5 持续地监督呈报给决策者的信息，以协助他们管理关键风险和保护股东们的利益。6. 公司风险管理职责6.1 管理层的职责：参与企业风险管理，从而确保关注重点始终维持在战略的层面。形成和保持良好的发展势头，通过协调一致的沟通和行动，展示出执着于企业风险管理的决心。6.2 董事会的职责：与高级管理层讨论公司企业风险管理的进展情况，必要时实行监督。董事会应确保及时获知公司重大风险，管理层的行动措施和确保管理层实施有效的企业风险管理方法。6.3 风险管理委员会的职责：制定全公司的和具体特殊的风险政策及风险管理架构，委任重大风险的责任人；将企业风险管理的各个要素向各位经管人员和董事做介绍；实施企业风险管理高质量的风险评估；收集、分析和综合来自全公司各渠道的风险相关的数据；报告整个公司范围内的风险和审计结果；对整个机构、某个分支机构或单位进行风险管理评估。6.4 风险管理部门的职责：组织研究和拟定公司风险管理政策、风险评价标准、风险评估技术和相关管理制度；拟订并组织实施风险控制计划；实施企业风险管理高质量的风险评估；收集、分析和综合来自全公司各渠道的风险相关的数据；对公司资产质量进行动态的实时监控，组织资产风险分类工作；审核公司其他业务部门草拟的涉及风险管理的业务管理规章制度；按规定向监管部门和公司管理层报告公司风险管理情况，并组织贯彻监管部门和管理层的相关要求。6.5 风险管理部门经理的职责：贯彻落实公司风险管理工作的各项政策、规章，负责相关制度和实施细则的制定和具体实施；负责公司各项风险管理工作的组织和安排，根据公司业务发展的实际情况，于每年初起草年度风险管理工作安排意见及本部门的年度工作计划，明确工作重点，提出具体措施，推动企业风险管理流程和基础设施的顺利运行；敦促本部门各月份内各项工作的实施，监督各岗工作的落实情况，并按时向主管领导和风险管理委员会汇报工作进展情况。6.6 内部审计部门的职责：评价风险管理方法；监督风险管理活动的实施；评估管理特定风险的基础设施的效能，确保做出必要改进以弥合存在的差距。7. 公司风险评估7.1 风险评估的参与者。公司风险评估的目标和被评估的风险范围不同，参与风险评估的人员也不同。7.1.1 在公司级层面上，高级管理层应该参与评估活动；7.1.2 在某些特殊情况中，对独特的业务风险有独到了解的人也应该参与评估工作；7.1.3 在某些情况中，董事会可能也需要参与；7.1.4 在部门级层面上，部门管理层和关键流程负责人也应该参与评估活动。7.2 公司对固有风险的分类固有风险是指在管理层不采取任何措施来改变其发生可能性或影响的情况下，原本就存在的风险。在风险评估的过程中必须要考虑到固有风险。公司把固有风险分为以下三类，作为风险评估的依据：7.2.1 环境风险：由于外部力量影响企业的绩效，或者导致企业的有关战略、经营、客户与供应商关系、组织结构、融资活动等决策落后过时或丧失效能所产生的风险。这些外部力量包括竞争者和监管者行动、市场价格变动、技术创新、行业基本因素变化、资本可获得性以及超过公司直接控制能力的其他因素；7.2.2 流程风险：由于内部流程没有实现其支持公司经营模式的预期目标所产生的风险。例子包括流程运行不畅、客户满意度不高、经营业绩低下、企业价值逐渐耗蚀等；7.2.3 决策信息风险：由于公司决策信息不完整、陈旧失效、不准确、过时或者与决策完全不相关所产生的风险。这些风险是对赖以进行企业增值保值决策的各种信息的可靠性构成影响的不确定因素。7.3 公司风险评估的方法7.3.1 面试访谈：对利益相关者进行采访调查，以查明潜在的事件，并把伴随的风险按轻重缓急排序；7.3.2 在线调查：进行网上调查，既可以包括事件或风险调查核对清单，也可以包括开放式问题；7.3.3 书面调查：纸质版书面调查，既可以包括事件或风险调查核对清单，也可以包括开放式问题；7.3.4 查阅文件：重新翻阅现有的公开文件、监管评论、审计报告、专题研究和其他材料；7.3.5 专题研讨会：由主要的利益相关者参加的现场或在线专题研讨会；7.3.6 目标明确的专项审核：专门研究或目标明确的分析，以评价有关特定时间或预期担忧事件的问题。8. 公司风险管理程序8.1 奠定企业风险管理基础：8.1.1 推行通用的工作语言：（1） 选择风险管理的组成要素；（2） 采用个性化的风险模型；（3） 统一风险管理术语；（4） 编制流程分类图表；（5） 选择其他相关的框架；（6） 增进关于风险及其来源、动因或根源的沟通；（7） 分享高效有序的风险信息资源。8.1.2 建立监督和治理机制：（1） 制定全面风险管理政策；（2） 采用有关风险偏好及风险管理方向的自上向下的沟通方法；（3） 设计董事会主动参与的组织监督结构；（4） 建立风险管理监督委员会及责任管理；（5） 把风险管理整合入管理流程中；（6） 提升业务风险管理团队的功能。8.2 构建风险管理能力：8.2.1 评估风险，制定风险应对措施：（1） 开展稳健的企业风险评估，增加对首要风险的了解；（2） 对风险进行初步识别和排序；（3） 查找某些风险动因的来源；（4） 初步量化处理某些选定的风险；（5） 清楚阐明应对重大风险的相应措施；（6） 管理特定风险的风险应对措施；（7） 在特定单位，小规模试用风险评估结果与风险应对规划流程；（8） 增强对风险的敏感度和意识水平。8.2.2 规划和运用能力（1） 较深刻地了解和管理首要风险能力的现状，并记录在案；（2） 选定希望具备的风险管理能力，以执行选定的风险应对措施和首要风险政策；（3） 比较风险管理能力的现状和希望达到的水平，进行差距分析；（4） 执行既定政策的业务流程；（5） 指派风险负责人负责决定、规划和监督风险应对措施，并对后果负责；（6） 管理层的报告包括有助于进行决策的信息；（7） 充实健全管理报告的方法；（8） 采用可靠的系统和数据。8.2.3 持续地改进能力：（1） 条件发生变化后，更新评估希望具备的能力；（2） 分阶段地进行改进，逐步地消除现有能力同希望达到水平之间的差距；（3） 对照基准定期地度量风险管理能力；（4） 将风险管理工作纳入核心运营流程；（5） 设计针对性强的风险分担和控制活动；（6） 铲除冗余低能的内部控制；（7） 促进全方位互动的知识共享和风险管理信息的沟通；（8） 督促员工持续的学习。9. 批准和修订9.1 本政策经由董事长、总经理、财务总监、审计委员会、风险管理委员会和风险管理部门经理审阅和批准，并经由相同程序进行修订。9.2 风险管理委员会每年对本政策实施情况进行检查，并依实施检查情况进行本政策的更新。