公司风险管理制度范本

《公司风险管理制度范本》由会员分享，可在线阅读，更多相关《公司风险管理制度范本（28页珍藏版）》请在装配图网上搜索。

1、公司风险控制管理制度范本二二本文档为word版，下载后可任意编辑修改二二1 目的本程序规定了风险危害辨识、风险评价及风险控制的方法及控制要求。目的是 识别生产区域内相关过程（活动/产品/服务）和装置潜在的职业健康安全风险， 并进行评价和控制，以防止危险和事故的发生。2 范围本程序适用于公司生产区域内风险危害的识别、风险评价及风险控制。3职责3.1 管理者代表负责风险危害辨识，风险评价及风险控制的组织领导工作；审核 重大危险源；组织制定风险控制措施；各单位参与。3.2 各部门、各岗位应对本部门、本岗位生产现场、办公场所有哪些危险有害因 素进行分析识别和风险评价。3.3 安环部负责对风险评价的结果

2、进行审核，制定并落实重大风险的补充措施， 保证本单位重大风险降为可接受风险。4 工作程序4.1 风险危害辨识4.1.1 辨识范围 风险危害便适应覆盖本公司生产、产品、服务活动（包括常规和非常规活动） 的全过程，包括：1）规划、设计和建设、投产、运行等阶段；2）常规和非常规活动；3）事故及潜在的紧急情况；4）所有进入作业场所人员的活动；5）原材料、产品的运输和使用过程；6）作业场所的设施、设备、车辆、安全防护用品7）丢弃、废弃、拆除与处置；8）企业周围环境；9）气候、地震及其他自然灾害等。4.1.2 风险危害辨识考虑的危害类型风险危害辨识考虑下列四种危害类型：a）物理性危害危险因素1）设备、设施

3、缺陷及其防护缺陷2）噪声危害3）电磁辐射4）运动物危害5）造成灼伤、冻伤6）信号缺陷7）标志缺陷8）明火9）其它b）化学性危害危险因素1）易燃易爆性物质2）有毒物质3）腐蚀性物质4）其它c）心理、生理性危害因素1）负荷超限2）健康状况异常3）心理异常、情绪异常、冒险心理、过度紧张、其它4）便是动能缺陷：5）其它d）行为性危害因素1）指挥错误：指挥失误、违章指挥、其它2）操作失误、误动作、违章作业、其它3）监护失误4.1.3 辨识方法 风险危害辨识时下列方法可单独使用或联合使用a）现场观察：对作业活动，设备运行或系统活动进行现场观测，分析人员、工 艺、设备、运转存在的风险危害，可用于生产活动过程

4、的风险危害分析。b）座谈：召开安全管理人员、专业人员和操作人员讨论分析作业活动或设备运 行过程中存在的风险危害，可用于新工艺、新设备、新系统使用前的风险危害 分析。4.2 风险危害辨识过程4.2.1 安环部负责收集使用的安全法律、法规、标准、规定、规程及其他安全管 理文件，各部门采用。4.2.2 个部门按规定的方法对本部门范围内全过程进行危害事件排查，分析危害 事件发生地的根源，辨识存在的风险危害报安环部，由安环部对各部门辨识出 的风险危害进行确认，建立该部门风险危害及重大风险危害清单，并建立全场 风险危害清单及重大风险危害清单4.3 风险评价4.3.1风险评价方法：采用工作危害分析法（JHA

5、）和安全检查表法（SCL）以及LEC打分评价和专家评议相结合的方法，从事故发生的可能性（L）;暴露于危险环境的频繁程度（E）,发生事故产生的后果（C）三个方面打分。4.3.1.1 工作危害分析法：从作业活动清单选定一项作业活动，将作业活动分 解若干个相连的工作步骤，识别每个工作步骤的潜在危害因素，然后通过风险评 价，判定风险等级，制定控制措施。该方法是针对作业活动而进行的评价。作业危害分析的主要步骤是：1）确定（或选择）待分析的作业；2）将作业划分为一系列的步骤；3）辨识每一步骤的潜在危害；4）确定相应的预防措施。辨识之前列出作业活动清单。4.3.1.2 安全检查表分析法：安全检查表分析法是一

6、种经验的分析方法，是分析人员针对分析的对象列出一些项目，识别与一般工艺设备和操作有关已知类型 的危害、设计缺陷以及事故隐患，查出各层次的不安全因素，然后确定检查项 目。再以提问的方式把检查项目按系统的组成顺序编制成表，以便进行检查或 评审。安全检查表分析可用于对物质、设备、工艺、作业场所或操作规程的分 析。4.3.2采用公式：D二LEC. D为风险危害等级，D160时，定为重大风险危害， 当70D160时，定为中度风险危害，当D320高度危险，需立即整改160-320显著危险，需要整改70-160一般危险，需要注意20-70稍有危险，可以接受204.3.3.5 风险控制策划及实施根据危险源风险

7、等级划分标准，对各类风险的危险源按以下措施进行策划控制。具体见表 5：表5 风险控制措施策划风险策划措施可忽略的不许采取措施且不必保留文件记录。D20可容许的20D70不许有另外的措施控制，应考虑投资效果更加地解决方案或不增加额外成本的改进措施，须有检测来确保控制措施得以维持。中度的70D160应努力降低风险，但应仔细测定并限定预防成本，并应在规定时间 期限内实施降低风险措施。在中度风险与严重伤害后果相关的场合，必须进行一部的评价，以 更准确地确定伤害的可能性，确定是否需要改进控制措施。重大的160D320直至风险降低后才能开始工作。为降低风险有时必须配备大量资源。 当风险设计正在进行的工作时

8、，应采取应急措施。4.3.4 安环部组织各部门按上述方法对风险危害进行打分评价，由专家评议后确 定出重大风险危害，编制重大风险危害清单报管理者代表审核、总裁批准 后发放。4.4.2 风险控制：对于不同级别的风险应制定相应的风险控制措施，这些措施必 须满足降低和使风险处于有效控制中。4.4.3 风险控制措施应首先考虑消除风险危害的原则，其次考虑风险降低措施（降 低风险概率，降低伤害或财产损失的潜在严重程度）使用个体防护设备为最后 手段。4.4.4 风险控制应遵循以下：序号风险种类控制手段支持方式是否检测1一般风险培训否2中度风险运行控制，应急救援预案技术安全是培训3重大风险目标指标管理方案或运行

9、控制、应急救援预案资金、技术安全培训是4.5 各部门进行风险危害辨识时，应由员工参与，员工来自基层，并具有代表性。4.6 风险危害辨识、风险评价与风险控制的更新。4.6.1 风险危害辨识，风险评价与风险控制策划采用持续改进的方法进行动态管 理。4.6.2 当发生下列情况时，应及时更新：1）新的或变更的法律法规或其他要求；2）操作条件变化或工艺改变；3）技术改造项目；4）有对事件、事故或其他信息的新认识；5）组织机构发生大的调整。4.6.3 各部门在采用新工艺、新设备、新技术前，应辨识出存在的风险危害，报 管理者代表，由管代组织重大风险评价与风险控制策划。4.6.4 对新增风险危害应由安环部按风

10、险评价方法进行评价。重大风险危害应列 入重大风险危害清单报管代审批，总裁批准后下发。4.7 具体程序4.7.1 对所有人员进行风险评价的培训，明确风险评价选用的方法及准则。4.7.2 编制设备设施清单和作业活动清单。4.7.3选用JHA法对作业活动、SCL法对设备设施（安全生产条件）进行危险、 有害因素识别和风险评价。4.7.4 根据风险评价准则对事件发生的可能性和严重性进行合理取值，综合评价 风险等级。4.7.5 对重大风险及评价出的隐患制定补充措施并落实整改，将风险降为可接受。4.7.6 对所有人员进行培训，使其熟悉工作岗位和工作环境中存在的危险、有害 因素，掌握、落实应采取的控制措施。4

11、.7 监视测定4.7.1 安环部定期对各单位风险危害辨识和控制情况进行监督检查，每年一次进 行对风险危害评价。4.7.2 各单位根据内、外部情况，及时辨识本部门危险源五、相关记录5.1风险危害辨识及评价登记表5.2重大风险危害清单5.3 部门风险危害清单5.4 风险危害监督检查记录公司风险控制管理制度范本第一章 总则第一条 为规范公司的风险管理，建立规范、有效的风险控制体系，提高风 险防范能力增强风险识别、处置、应对和化解能力，确保公司系统运营能力、项 目运营能力稳步提升，以过程管理、等级管理和责任原理为全面风险管理原则， 根据公司法、会计法、企业内部控制基本规范等法律、法规和规范 性文件的有

12、关规定，结合本公司的实际情况，制定了风险控制管理制度。第二条 本制度所称风险管理是指公司依据总体战略和经营目标，确定风险 偏好和风险承受度，通过识别潜在风险、评估风险，针对重大风险拟定风险管理 策略并在企业管理的各个环节和经营过程中落实规范化的风险防控要求，从而将 风险控制在企业风险承受度范围以内的过程和方法。第三条 按照公司目标的不同对风险进行分类，公司风险分为：战略风险、 经营风险、财务风险和法律风险。（一）战略风险：没有制定或制定的战略决策不正确，影响战略目标实现的 负面因素；（二）经营风险：经营决策的不当，妨碍或影响经营目标实现的因素；（三）财务风险：包括财务报告失真风险、资产安全受到

13、威胁风险和舞弊风 险；（四）法律风险：没有全面、认真执行国家法律、法规和政策规定影响合 规性目标实现的因素。第四条 按风险能否为公司带来盈利机会，风险可分为纯粹风险和机会风险。第五条 按照风险的影响程度，风险分为一般风险和重要风险。第六条 公司根据战略规划和经营目标制定风险管控原则。（一）全面风险管控原则：公司风险管控工作应覆盖经营与管理过程中所面 临的各种风险，并对其中关键风险实施重点管控；（二）分级分类管控原则：公司各级内控管理部门负责管控各自面临的风险， 并根据风险的不同特点进行分类管理；（三）可知、可控、可承受原则：公司应对风险进行事前预测，做到风险可 知，通过分析、评估并制定风险管理

14、策略和措施加以防范和控制，将风险降至各 自可承受范围之内；（四）风险收益匹配原则：公司不能单纯追求业绩而忽略风险管控，也不能 因过度防范风险而制约公司的发展。第二章 风险管理及职责分工第七条 公司董事会负责公司全面风险管理工作，其主要职责为：（一）审议公司全面风险管理体系的建设规划、组织机构设置及其职责方案；（二）审议公司风险管理制度、业务风险控制制度和流程；（三）审议公司重大决策风险评估报告；（四）对公司重大项目及投融资业务进行监督、控制和审查；（五）全面管控公司经营过程中的重大风险；（六）对公司重大风险事项提出解决方案并组织实施；（七）指导、监督公司全面风险管理工作。第八条 公司战略风险、

15、经营风险、财务风险、法律风险等实行归口管理、 分工负责，并按照本办法之规定，对各自负责的风险领域实施管理与监控。（一）战略风险：由董事会负责管理与监控；（二）运营风险：由职能部门负责各自所辖业务经营风险的管理与监控；（三）财务风险：由财务部门负责财务系统财务风险的管理与监控；（四）法律风险：由风险管理委员会负责监督公司各系统行为的合规性及合 法性。第九条 风险管理委员会是公司全面风险管理的监督部门，主要负责研究提 出公司全面风险管理监督评价体系 。第三章 风险管理的初始信息收集第十条 各部门广泛、持续不断地收集与公司风险和风险管理相关的内部、 外部初始信息，包括历史数据和未来预测，应把收集初始

16、信息的职责分工落实到 各有关职能部门和业务单位。第十一条 在战略风险方面，广泛收集国内外公司战略风险失控导致公司蒙 受损失的案例，并收集与公司相关的宏观经济政策、技术环境、市场需求、竞争 状况等方面的重要信息，重点关注本公司发展战略和规划、投融资计划、年度经 营目标、经营战略，以及编制这些战略、规划、计划、目标的有关依据。第十二条 在财务风险方面，广泛收集国内外公司财务风险失控导致危机的 案例，收集与公司获利能力、资产营运能力、偿债能力、发展能力指标的重要信 息，重点关注成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务 流程或环节。第十三条 在经营风险方面，广泛收集国内外公司忽视市场

17、风险、缺乏应对 措施导致公司蒙受损失的案例，收集与公司产品结构、市场需求、竞争对手、主 要客户和供应商等方面的重要信息，对现有业务流程和信息系统操作运行情况的 进行监管、运行评价及持续改进，分析公司风险管理的现状和能力。第十四条 在法律风险方面，广泛收集国内外公司忽视法律法规风险、缺乏 应对措施导致公司蒙受损失的案例，收集与公司法律环境、员工道德、重大协议 合同、重大法律纠纷案件等方面的信息。第十五条 公司对收集的初始信息应进行必要的筛选、提炼、对比、分类、 组合，以便进行风险评估。第十六条 公司可以采用多种方法进行风险信息收集与识别工作，包括资料 查阅法、问卷调查法、面谈采访法、历史事件分析

18、法等。第四章 风险评估第十七条 风险管理委员会为公司风险管理具体工作机构，负责评估公司各 类风险，并提出应对风险的具体建议和办法，供决策层决策。第十八条 公司各职能部门可以在本制度的框架下制订各自的风险评估管理 办法，设立专人与风险管理委员会沟通信息，汇报各自在运作过程中所出现的风 险及其可能的解决方案。第十九条 董事会战略委员会负责评估管理公司战略环境风险、决策风险， 并对该等风险提出具体的管理方案。第二十条 财务部负责评估公司投融资财务风险及公司经营管理风险状况， 并向风险管理委员会提交有关风险评估文档。第二十一条 风险管理委员会在公司常年法律顾问的协助下负责评估公司的 法律风险。第二十二

19、条 风险管理委员会汇总各职能部门的风险评估文档，展开相应的 评估研究第二十三条 各职能部门应就其所展开的业务、职能过程分阶段实施风险评 估，每一阶段的各个关键点都应该有风险评估文档记载。第二十四条 每一文档应包括风险评估所存在的假设、评估方法、数据来源 及评估结果。第二十五条 公司各职能部门及子公司对风险监控结果进行分析评价，包括 风险变化的原因、潜在影响、 变化趋势以及对跨部门风险应对方案的调整建议 等， 并将监控及分析结果汇总提交风险管理委员会。第二十六条 风险预警考察指标主要包括风险发生的水平及概率，所产生的 后果以及现有控制手段是否充分。针对不同业务部门或不同子公司，建立不同强 度的风

20、险预警指标，通过对风险预警指标的管理，体现不同的管控意图。当风险 监控分析结果中关键监控指标达到预警值，各职能部门及子公司应积极采取防范 措施，将实施结果及时提交公司风险管理委员会。开展风险监控时，对以下风险 信息予以持续关注：（一）关键和重要风险指标的变化；（二）出现新的风险或原有风险发生重大变化；（三）既定风险应对方案的执行情况和执行效果。第二十七条 风险监控的办法可以是将有关风险根据损失大小设置优先等级 划分类别，力求做到实时监控。第二十八条 风险管理委员会就公司各层次的各类风险评估文档进行分析， 提出各类风险的系统界限或函数定义临界值。第二十九条 各风险管理单位建立相应的风险预警及监控

21、体系，由风险管理 委员会统一管理，严密监控风险的发生，当风险值接近阀值时启动预警机制。第三十条 公司各职能管理部门和子公司在日常风险监控中，如发生重大突 发事件，按应急预案采取相应的应对措施，并及时向风险管理委员会报告。 风 险管理委员会在接到突发风险报告后，及时组织评价突发事件的影响，制定风险 应对方案。对可能造成重大影响的风险，以及需要跨部门协作应对的重大事项， 组织讨论完善风险应对方案，由总经理审批后组织实施，并提交董事会备案。第五章 风险管理解决方案第三十一条 公司根据风险应对策略，针对各类风险或每一项重大风险制定 风险管理解决方案。方案一般应包括风险解决的具体目标，所需的组织领导，所

22、 涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所 采取的具体应对措施以及风险管理工具。第三十二条 根据经营战略与风险策略一致、风险控制与运营效率及效果相 平衡的原则，公司制定风险解决的内控方案，针对重大风险所涉及的各管理及业 务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程， 要把关键环节作为控制点，采取相应的控制措施。第三十三条 公司制定合理、有效的内控措施，包括以下内容：（一 ）建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对 象、 条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定；（二）建立内控报告制度。明确规定报告人与接

23、受报告人，报告的时间、内 容、频率、传递路线、负责处理报告的部门和人员等；（三）建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、 条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任；（四）建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定 各有关部门和业务单位、岗位、人员应负的责任和奖惩制度；（五）建立内控审计检查制度。结合内控的有关要求、方法、标准与流程， 明确规定审计检查的对象、内容、方式和负责审计检查的部门等；（六）建立内控考核评价制度。具备条件的公司应把各业务单位风险管理执 行情况与绩效薪酬挂钩；（七）建立重大风险预警制度。对重大风险进行持续不断的监

24、测，及时发布 预警信息，制定应急预案，并根据情况变化调整控制措施；（八）建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括： 授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的 重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人 员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点等。第三十四条 公司应当按照各有关部门的职责分工，认真组织实施风险管理 解决方案，确保各项措施落实到位。第六章 风险管理的监督与改进第三十五条 风险管理的监督与考核是指对风险管理的效果和效率进行持续 监督与考核评价，包括对风险管理工作执行情况进行定期检查

25、，对风险管理工作 任务的完成情况进行考核，并根据监督或考核的结果，持续对风险管理工作进行 改进与提升。考核内容包括对风险管理建设工作效果的考核和对风险管理工作绩 效的考核。包括：（一）是否按计划完成了本企业的全面风险管理体系建设；（二）是否按要求参与了风险管理的各项工作；（三）风险管理职责是否得到了清晰的界定和落实；（四）重大风险的监控报告和预警应对是否全面、及时、有效；（五）有无超出预警范围的重大风险发生，并对经营目标造成重大影响。第三十六条 各有关部门和子公司应定期对风险管理工作进行自查和检验， 及时发现缺陷并改进，其检查、检验报告应及时报送风险管理委员会。第三十七条 公司 内审部定期或不

26、定期对各有关职能部门和子公司 能否按 照有关规定开展风险管理工作及其工作效果进行监督、检查和评价，监督评价报 告和年度全面风险管理工作报告应报送董事会。也可结合年度审计、任期经济责 任审计、离任审计或专项审计工作一并开展。第七章 附则第三十八条 本制度自公司董事会审议通过之日起正式生效并执行。第三十九条 本制度未尽事宜，遵照国家有关法律、法规、规章、规范性文 件及公司章程执行；如与国家日后颁布的法律、法规或经合法程序修改后的 公司章程相抵触时，按国家有关法律、法规和公司章程的规定执行，并 及时修订本制度。第四十条 本制度解释权归公司董事会。公司风险管理制度（经典版）第一章 总则第一条 为公司的

27、风险管理,建立规范、有效的风险控制体系,提高风险防范能 力,保证公司安全、稳健运行,提高经营管理水平,根据公司法、企业内部控制 基本规范等法律、法规和规范性文件的有关规定,结合公司的实际情况,制定本 制度。第二条 本制度旨在公司为实现以下目标提供合理保证:（一）将风险控制在与总体目标相适应并可承受的范围内;（二）实现公司内外部信息沟通的真实、可靠;（三）确保法律法规的遵循;（四）提高公司经营的效益及效率;（五）确保公司建立针对各项重大风险发生后的危机处理计划 ,使其不因灾害 性风险或人为失误而遭受重大损失。第三条 公司风险是指未来的不确定性对公司实现其经营目标的影响。第四条 按照公司目标的不同

28、对风险进行分类,公司风险分为:战略风险、经营 风险、财务风险和法律风险。（一）战略风险:没有制定或制定的战略决策不正确 ,影响战略目标实现的负面 因素。（二）经营风险:经营决策的不当,妨碍或影响经营目标实现的因素。（三）财务风险:包括财务报告失真风险、资产安全受到威胁风险和舞弊风险。1、财务报告失真风险。没有完全按照相关会计准则的规定组织会计核算和 编制财务会计报告,没有按规定披露相关信息,导致财务会计报告和信息披露不完整、不准确、不及时。2、资产安全受到威胁风险。没有建立或实施相关资产管理制度,导致公司的 资产如设备、存货、有价证券和其他资产的使用价值和变现能力的降低或消失。3、舞弊风险。以

29、故意的行为获得不公平或非正当的收益。（四）法律风险:没有全面、认真执行国家法律、法规和政策规定以及XX交易 所（以下简称“深交所”）有关文件的规定,影响合规性目标实现的因素。第五条 按风险能否为公司带来盈利机会,风险可分为纯粹风险和机会风险第六条 按照风险的影响程度,风险可分为一般风险和重要风险。第七条 本制度适用于公司及公司控股子公司。第二章 风险管理及职责分工第八条 公司各部门为风险管理第一道防线 ;审计部和董事会下设的审计委 员会为 风险管理第二道防线;董事会及股东大会为风险管理第三道防线。第九条 公司各部门在风险、控制管理方面的主要职责:（一）公司各部门按照公司内控部门制定的风险评估的

30、总体方案,根据业务分工, 配合内控项目组识别、分析相关业务流程的风险,确定风险反应方案。（二）根据识别的风险和确定的风险反应方案,按照公司确定的控制设计方法和 描述工具,设计并记录相关控制,根据风险管理的要求,修改完善控制设计。包括: 建立控制管理制度,按照规定的方法和工具描述业务流程,编制风险控制文档和程 序文件等。（三）组织控制制度的实施,监督控制制度的实施情况,发现、收集、分析控制缺 陷,提出控制缺陷改进意见并予以实施。对于重大缺陷和实质性漏洞 ,除向部门分 管领 导汇报情况外,还应向公司董事会反馈情况,以便公司监控内部控制体系的 运行情况。（四）配合审计部等部门对控制失效造成重大损失或

31、不良影响的事件进行调查、 处理。第十条 控股子公司的风险管理和职责分工的设置,分别参照上述第八条、第 九条的规定制定。第三章 风险管理初始信息的收集第十一条 广泛、持续不断地收集与公司风险和风险管理相关的内部、外部初 始信息,包括历史数据和未来预测,应把收集初始信息的职责分工落实到各部门及 控股子公司。第十二条 在战略风险方面,广泛收集国内外公司战略风险失控导致公司蒙受 损失的案例,并收集与公司相关的宏观经济政策、技术环境、市场需求、竞争状 况等方面的重要信息,重点关注公司发展战略和规划、投融资计划、年度经营目 标、经营战略,以及编制这些战略、规划、计划、目标的有关依据。第十三条 在财务风险方

32、面,广泛收集国内外公司财务风险失控导致危机的案 例,收集与公司获利能力、资产营运能力、偿债能力、发展能力指标的重要信息, 重点关注成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程 或环节。第十四条 在经营风险方面,广泛收集国内外公司忽视市场风险、缺乏应对措 施导致公司蒙受损失的案例,收集与公司产品结构、市场需求、竞争对手、主要 客户和供应商等方面的重要信息,对现有业务流程和信息系统操作运行情况的进 行监管、运行评价及 3 持续改进,分析公司风险管理的现状和能力。第十五条 在法律风险方面,广泛收集国内外公司忽视法律法规风险、缺乏应 对措施导致公司蒙受损失的案例,收集与公司法律环境、

33、员工道德、重大协议合 同、重大法律纠纷案件等方面的信息。第十六条 公司对收集的初始信息应进行必要的筛选、提炼、对比、分类、组 合,以便进行风险评估。第四章 风险评估第十七条 公司风险评估主要经过确立风险管理理念和风险接受程度、目标 制定、风险识别、风险分析和风险对策等五个基本程序来进行。第十八条 确立公司风险管理理念和风险接受程度是公司进行风险评估的基 础。（一）公司风险管理理念是公司如何认知整个经营过程（从战略制定和实施到公 司日常活动）中的风险为特征的公司共有的信念和态度。公司实行稳健的风险管 理理念,对于高风险投资项目采取谨慎介入的态度。（二）风险接受程度是指公司在追求目标实现过程中愿意

34、接受的风险程度。一般 来讲,公司可将风险接受程度分为三类:“高”、“中”或“低”。公司从定性角度考 虑风险接受程度,整体上讲,公司把风险接受程度确定为“低”类,即公司在经营管 理过程中,采取谨慎的风险管理态度,可以接受较低程度的风险发生。公司的风险 接受程度选择也与公司的风险管理理念保持一致。第十九条 目标制定是风险识别、风险分析和风险对策的前提。公司必须首先 制定目标,在此之后,才能识别和评估影响目标实现的风险并且采取必要的行动对 这些风险实施控制。公司目标包括战略目标、经营目标、合规性目标和财务报告 目标四个方面。目标确定必须符合国家的法律法规和行业发展规划 ,符合公司战 略发展计划,符合

35、深交所和监管机构的规定。第二十条 风险识别就是识别可能阻碍实现公司目标、阻碍公司创造价值或侵 蚀现有价值的因素。公司可以采取问卷调查、小组讨论、专家咨询、情景分析、 政策分析、行业标杆比较、访谈法等识别风险。 公司应当准确识别与实现控制 目标相关的内部风险和外部风险,以便确定相应的风险承受度。（一）公司识别内部风险,应当关注下列因素:1、董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等 人 4 力资源因素。2、组织机构、经营方式、资产管理、业务流程等管理因素。3、研究开发、技术投入、信息技术运用等自主创新因素。4、财务状况、经营成果、现金流量等财务因素。5、营运安全、员工健康、

36、环境保护等安全环保因素。6、其他有关内部风险因素。（二）公司识别外部风险,应当关注下列因素:1、经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。2、法律法规、监管要求等法律因素。3、安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。4、技术进步、工艺改进等科学技术因素。5、自然灾害、环境状况等自然环境因素。6、其他有关外部风险因素。第二十一条 风险分析主要从风险发生的可能性和对公司目标的影响程度两 个角度,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。风险分 析方法一般采用定性和定量方法组合而成。在风险分析不适宜采取定量分析的情 况下,或者用于定量分析所需要

37、的足够可信的数据无法获得,或者获取成本很高时, 公司通常使用定性分析法。公司对风险进行分析 ,确认哪些风险应当引起重视、 哪些风险予以一般关注,对于需要重视的风险,再进一步划分,分别确认为“重要风 险”与“一般风险”,从而为风险对策奠定基础。 风险的重要程度的判断主要根 据风险发生的可能性和影响程度来确定:（一）如果风险发生的可能性属于“极小可能发生”的,该风险就可不被关注;（二）如果风险发生的可能性高于或等于“可能发生”,且风险的影响程度小,就 将该类风险确定为一般风险;（三）如果风险发生的可能性等于或高于“风险可能发生” ,且风险的影响程度 大,就将该类风险确定为重要风险。 公司进行风险分

38、析,应当充分吸收专业人员 , 组成风险分析团队,按照严格规范的程序开展工作,以确保风险分析结果的准确性第二十二条 风险对策。公司应该根据风险分析的结果 ,结合风险发生的原因 以及承受度,权衡分险与收益,选择风险应对方案:规避风险、接受风险、减少风险 或分担风险。（一）规避风险:指公司对超出风险承受度的风险,通过放弃或者停止与该风险相 关的业务活动以避免和减轻损失的对策。如停止向一个新的地理区域市场扩大业 务,或者出售公司的一个分支。（二）减少风险:指公司在权衡成本效益之后,准备采取适当的控制措施降低风险 或者减轻损失,将风险控制在风险承受度之内的对策。（三）分担风险:指公司准备借助他人力量,采

39、取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的对策。（四）接受风险:指公司对风险承受度之内的风险 ,在权衡成本效益之后 ,不准备 采取控制措施降低风险或者减轻损失的策略。公司在确定具体的风险应对方案时,应考虑以下因素:1、风险应对方案对风险可能性和风险程度的影响 ,风险应对方案是否与公司 的风险容忍度一致;2、对方案的成本与收益比较;3、对方案中可能的机遇与相关的风险进行比较;4、充分考虑多种风险应对方案的组合;5、合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风 险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失;6、结合不同发展阶

40、段和业务拓展情况,持续收集与风险变化相关的信息,进行 风险识别和风险分析,及时调整风险应对策略。第五章 风险管理解决方案第二十三条 公司根据风险应对策略，针对各类风险或每一项重大风险制定风 险管理解决方案。方案一般应包括风险解决的具体目标,所需的组织领导,所涉及 的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的 具体应对措施以及风险管理工具。第二十四条 根据经营战略与风险策略一致、风险控制与运营效率及效果相平 衡的原则,公司制定风险解决的内控方案,针对重大风险所涉及的各管理及业务流 程,制定涵盖各个环节的全流程控制措施 ;对其他风险所涉及的业务流程 ,要把关 键环节作为

41、控制点,采取相应的控制措施。第二十五条 公司制定合理、有效的内控措施,包括以下内容:（一）建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条 件、6 范围和额度等,任何组织和个人不得超越授权作出风险性决定;（二）建立内控报告制度。明确规定报告人与接受报告人 ,报告的时间、内容、 频率、传递路线、负责处理报告的部门和人员等;（三）建立内控批准制度。对内控所涉及的重要事项 ,明确规定批准的程序、条 件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任;（四）建立内控责任制度。按照权利、义务和责任相统一的原则 ,明确规定各有 关部门和业务单位、岗位、人员应负的责任和奖惩制度;（

42、五）建立内控审计检查制度。结合内控的有关要求、方法、标准与流程 ,明确 规定审计检查的对象、内容、方式和负责审计检查的部门等;（六）建立内控考核评价制度。具备条件的公司应把各业务单位风险管理执行情 况与绩效薪酬挂钩;（七）建立重大风险预警制度和突发事件应急处理机制。明确风险预警标准 ,对 可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序, 确保突发事件得到及时妥善处理;（八）建立健全公司法律顾问制度。大力加强公司法律风险防范机制建设 ,形成 由公司决策层主导、公司法律顾问提供业务保障、全体员工共同参与的法律风险 责任体系。 完善公司重大法律纠纷案件的备案管理制度;（九）建

43、立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括:授权 批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要 岗位可设置一岗双人、双职、双责,相互制约;明确该岗位的上级部门或人员对其 应采取的监督措施和应负的监督责任;将该岗位作为内部审计的重点等。第二十六条 公司应当按照各有关部门和业务单位的职责分工 ,认真组织实施 风险管理解决方案,确保各项措施落实到位。第六章 风险管理的监督与改进第二十七条 公司建立贯穿于整个风险管理基本流程 ,连接各上下级、各部门 和业务单位的风险管理信息沟通渠道,确保信息沟通的及时、准确、完整,为风险 管理监督与改进奠定基础。第二十八条 公司各有关部门和业务单位应定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查、检验报告应及时报送公司风险管理职能部门。第二十九条 公司审计部定期或不定期对各有关部门和业务单位能否按照有 关 7 规定开展风险管理工作及其工作效果进行监督评价,监督评价报告应直接报 送董事会下 设的审计委员会。此项工作也可结合年度审计、任期审计、离任审 计或专项审计工作一并开展。