企业风控管理怎么做(企业风控管理现状及改进措施)
第一章 汉合房地产开发有限公司风控管理制度总则
第1条为建立规范、有效的风险控制体系,规范公司风险管理,提高风险防范能力,保证公司安全、稳健运行,提高经营管理水平,结合公司的实际情况,制定本办法。
第2条公司风险是指目前现状,未来的不确定性对公司实现其经营目标的影响。指能够导致一个企业不能够实现其业务目标和战略计划的威胁、潜在因素或一系列事件。所有企业,无论规模、结构和行业性质,都面临着诸多来自内部和外部的风险,影响企业既定目标的实现。
第3条本制度旨在公司为实现以下目标提供合理保证:
3.1将风险控制在与总体目标相适应并可承受的范围内;
3.2实现公司内外部信息沟通的真实、可靠;
3.2确保法律法规的遵循;
3.4提高公司经营的效益及效率;
3.5确保公司建立针对各项重大风险发生后的危机处理计划,使其不因灾害性风险或人为失误而遭受重大损失。
公司风险管理的目标是建立全面和有效的风险管理机制,确保公司各项经营管理活动在可接受的风险范围内有序运作,实现公司价值最大化。
第4条本制度所称风险管理,是指公司围绕战略及经营目标,通过在管理的各环节和经营过程中执行风险管理的基本流程,建立健全风险管理体系,为实现风险管理的总体目标提供保障的过程和方法。
风险管理是公司针对经营管理活动面临的各类风险,建立与其经营范围、组织结构和业务规模相适应的管理体系,制定适用的管理政策,选择适当的管理方法,采用科学的管理技术,进行有效识别、评估、监测和控制的活动。
第5条针对汉合地产制定的目标,可以根据对不同目标实现产生影响的因素,将集团风险分为战略风险、市场风险、法律风险、财务风险和经营风险;按风险能否为公司带来盈利机会,风险可分为纯粹风险和机会风险;按照风险的影响程度,风险分为一般风险和重要风险;根据风险的来源可以将企业风险分为内部风险和外部风险。本制度着重针对基于公司目标不同的分类和策略。
5.1 战略风险:影响整个企业的发展方向、企业文化、信息和生存能力或企业效益的不确定因素,是公司在追求短期商业目的和长期发展目标的系统化管理过程中,不适当的发展规划和战略决策造成公司资产价值损失的风险;
5.2 市场风险:由于市场及相关的外部环境的不确定性而导致企业市场萎缩、达不到预期的市场效果乃至影响企业生存与发展的一种可能性。对于企业来说,市场风险可导致企业投资活动失败,引发投资风险等一系列的问题。企业市场风险的主要因素包括消费者的需求变动、竞争对手的行为、政策法规的变动、不确定与不对称的信息等等;
5.3 财务风险:企业财务风险是指在各项财务活动过程中,由于各种难以预料或控制的因素影响,财务状况具有不确定性,从而使企业有蒙受损失的可能性。
企业财务风险形成的内因主要包括:
5.3.1资本结构不合理,比如自由资本和进入资本比例不恰当。
5.3.2投资决策不合理。错误的投资决策往往没有充分认识到投资的风险,同时对企业自身承受风险的能力预估有误。
5.3.3财务管理制度不完善。制定财务决策,制定预算和标准,记录实际数据,财务报告失真,个人财产和公司财产混同,违背国家税收政策,评价与考核,内部审计外部审计等各个环节出现问题,很容易造成财务的漏洞,给企业带来财务风险。
5.3.4财务人员风险意识淡薄
实际工作中,企业财务人员缺乏风险意识,对财务风险的客观性认识不足,忽视了对企业财务风险的预测和预警,导致企业在突发事件发生时,应变能力不足,容易带来财务风险。
5.3.5收益分配政策不科学
企业利润的分配脱离企业实际情况,缺乏合理的控制制度,必将影响企业的财务结构,从而可能形成财务风险。
5.3.6资产安全受到威胁风险:没有建立或实施相关资产管理制度,导致公司的资产如设备、存货、有价证券和其他资产的使用价值和变现能力的降低或消失。
5.4 经营风险:是指公司对所持有资产在经营管理过程中可能存在的风险,如忽视经营、经营不力、经营能力不足、经营控制权较弱等导致的风险等,主要存在以下环节中。
5.4.1生产环节:包括拟定生产计划、开出用料清单、储存原材料、投入生产、计算存货生产成本、计算销货成本、质量控制等。
5.4.2采购及付款环节:包括采购申请、处理采购单、验收货物、填写验收报告或处理退货、记录应付帐款、核准付款等。
5.4.3销货及收款环节:包括处理订单、信用管理、运送货物、开出销货发票、确认收入及应收账款等。
5.4.4固定资产管理环节:包括固定资产的自建、购置、处置、维护、保管与记录等。
5.4.5货币资金管理环节:包括货币资金的入账、划出、记录、报告、出纳和财务人员的授权等。
5.4.6关联交易环节:包括关联方的界定,关联交易的定价、授权、执行、报告和记录等。
5.4.7担保和融资环节:包括借款、担保、承兑、租赁、发行新股、发行债券等的授权、执行与记录等。
5.4.8 投资环节:包括投资有价证券、股权、不动产、经营性资产、金融衍生品及其他长、短投资期、托理财、募集资金使用的决策、执行、保管与记录等。
5.4.9人事管理环节:包括雇佣、签订聘用合同、培训、辞退、计算薪金、计算个人所得税及各项代扣款、薪资记录、薪资支付、考勤及考核等。
5.5 法律风险:基于法律规定或者合同约定,由于企业外部环境及其变化或法律主体的作为及不作为,而对企业产生负面法律责任或后果的不利可能性,主要包括:
5.5.1经营性损失(收益或者利润损失、成本或责任增加等);
5.5.2民事索赔、判决或裁决(包括辩护及和解费用);
5.5.3行政处罚,甚至犯罪导致高管承担刑事责任;
5.5.4 企业资产(包括有形资产和无形资产)的损失;
5.5.5商誉受损;是负面的宣传报道、舆论,公开信息等对公司商机、收益、资产价值和市场投资等所产生的不利影响
5.6其他损害。
法律风险是所有风险在一定阶段的表现形式,范围十分广泛,贯穿于企业生产经营管理的全过程,无论在投资融资、公司治理、重组并购、海内外上市,还是在知识产权、国际贸易、合同管理、环境保护等诸多领域都存在法律风险。其他风险往往最终都会表现为法律风险。防范法律风险的只要方式有重大决策支持、重大项目支撑、日常法律服务、常规法律咨询、合同审查、知识产权、诉讼、普法培训、外聘律师管理、劳动关系、政府关系等。
第六条基于公司主营内容及方式,就合同风险和知识产权风险进行强调说明:
6.1合同风险
6.1.1合同主体不适格的法律风险
与限制行为能力人签订合同,合同处于效力待定妆台,需要法定代理人追认。如其不予以追认,合同将无效。企业如需与童星签订广告代言合同,一定要得到其法定代理人的追认。
与无权代理人签订合同会导致合同无效。签署合同及履行合同过程中始终确认被授权人/代理人拥有签约履约需要的授权权限、期限等;
与无权处分人签署合同,其委屈的授权或者权利人追认,也将导致合同无效。与集团公司签署合同时确认标的物的归属确系为签约主体所有,防范标的物混淆的风险;确认合同相对人对合同标的物有处分权利,标的物无物权瑕疵。
6.1.2合同形式不当的法律风险
法律规定关于合同的形式采用口头、书面或其他形式,随着互联网的广泛应用,电子商务、传真、网上交易成为新交易方式。
在实际业务中,尽量避免口头合同;
签署与变更采用书面形式为宜,各方共同签字盖章标注日期较为稳妥;
通过传真方式签署磋商,注意是否形成新的合同内容;
电子合同,通过企业订(购)货系统或者通过第三方提供的电子商务平台进行的交易,存在被篡改的可能,举证存在难度,相关法律规定还不够完善。这种交易方式需要慎重考虑和防控,注意保留原始证据,并附之以书面协议的及时补充签署,或者签署书面协议为主,同时以电子交易方式作为交易流程。
6.1.3合同内容瑕疵的法律风险
合同名实不符的法律风险。合同性质、内容同名称不相符、不一致、互相混淆,在合同履行过程中易发生纠纷,诉到法院,审理判决无法分清责任。
合同用语不当、约定不明的法律风险。合同应具体、详细和尽可能明确,准确反应交易各方的真实意思表示,避免用于含糊、模糊,矛盾,看似有约定,实际无内容。合同质量条款避免简单笼统,也避免不易操作模式,应尽量选择技术质量方面的专业人事提出具体的专业标准,应明确标的物的制造标准或交货验收标准,有些凭样品验收应封存好样品,同时应防止超越我国工艺装备制造水平的质量规定,过高标准的约定往往隐藏着商业欺诈;合同结算条款模糊,时间节点不明确,对于履约付款,容易产生分歧;合同救济方式约定不明,只约定承担违约金赔偿金责任但是没有明确标准,诉讼仲裁同时选择(等于没有约定)或者没有事先选择确定具体机构等。
6.1.4合同格式条款风险
公司部分合同印有水印,易被认定为格式合同。交易便利宣传推广的同时,为公司(格式合同提供方)带来风险。格式合同应注意以下方面:
6.1.4.1格式合同提供方应向另一方承担重要条款提示和说明的义务;
6.1.4.2格式条款提供方设定的一些免除自己责任,家中对方责任,排除对方主要权利的条款无效;
6.1.4.3对格式合同的理解发生争议,应当按照通常理解予以解释,有两种以上解释的,应当做出不利于提供格式条款一方的解释,格式条款和非格式条款不一致的,应当采用非格式条款;
6.1.4.4格式条款中,造成对方人身伤害的,因故意或重大过失造成对方财产损失的免责条款无效。“免除责任”保障条款或“预先声明”多为无效条款,自始至终没有法律约束力。
6.1.5“分包”“转包”合同风险
我司不作为主要履约主体,应确认第三方有真实的履约和承担责任的能力,同时在“分包”“转包”协议中以“背靠背”方式完成在履约期限、数量、质量,违约责任,争议解决方式等方面的风险转移,避免我司成为责任主体,或者在风险发生后直接成为责任主体。
6.1.6缔约、履约和解约
注意以符合法定和约定的流程及方式,诚实守信,保护业务经营生命力,树立和维护公司形象。缔约过程中友好洽谈,业务人员合规人员协商合作确认合同内容真实反映业务事项,保护业务有序稳定进行;严格依照合同内容履约,变更应经双方书面确认作为补充或者作为变更合同依据予以保存,否则容易引起违约的法律风险;解约应符合法定或者约定条件,依照合同约定的程序进行,注意履行“通知”“催告”事项并保留书面证据等。
6.2 知识产权风险
6.2.1商标法律风险
6.2.1.1商标注册申请的法律风险,主要为:怠于申请注册商标,被他人使用或者被他人抢先注册,无法进行全力保护,还可能面临着不能继续使用的风险;防范近似或类似商标被他人抢注的法律风险,采用保护性注册或申请驰名商标认定等方法;选用标志不当,可能会导致大力宣传推广的商标最终无法注册成功,得不到法律的保护。
6.2.1.2 商标使用和管理的法律风险,主要为:未依法使用商标,超越使用范围或者擅自改变注册商标的涂用;变更注册人名义、地址或其他注意事项,但未依法变更商标注册人名义和地址;商标转让发生所有权转移,未办理转让注册申请;有偿或者无偿许可他人使用或者使用他人注册商标,未按法定程序办理商标使用许可的备案;未及时进行续展注册等。
6.2.1.3商标侵权的法律风险。在生产、经销,为生产和经营上提供服务的领域存在商标侵权行为的风险。非法使用商标或者带有商标的商品,销售侵犯注册商标专用权的商品,伪造或者擅自制造他人注册商标或者为侵犯他人注册商标专用权行为提供仓储、运输、邮寄、隐匿等便利条件等,侵犯商标权,要承担相应的行政、民事和甚至是刑事责任。
6.2.2专利法律风险
6.2.2.1专利申请的法律风险,主要为:怠于申请专利,错过得到法律保护的最佳机会;专利申请不当;怠于主张专利申请权及优先权,不但完成的发明创造无法获得保护,甚至可能会被他人申请成功,给公司造成损失;
6.2.2.2专利权转让、许可的法律风险,主要为,转让未规定手续和程序办理,未按规定擅自转让专利权,转让行为会被认定为无效;未按规定许可他人实施专利,未签订实施许可合同未向专利权人支付专利使用费,可能会产生相应的法律责任;怠于申请强制许可,使公司丧失良好的机遇;
6.2.2.3专利侵权的法律风险:主要为,违法制造让人专利产品;未经专利人许可使用专利产品或者仿照专利方法直接获得的产品,许诺销售、销售专利产品或者依照专利方法直接获得的产品;未经专利权人或者惊奇许可的单位个人进口专利产品;违法违规使用专利方法。
6.2.3公司著作权法律风险
6.2.3.1怠于主张著作权的法律风险。著作人身权中的发表权、署名权、修改权、保护作品完整权,著作财产权中的福之泉、发行权、出租权、展览权、表演权、放映权、广播权、信息网络传播权等,作为知识产权,同样是公司的无形资产,保护、利用得当,会给企业带来中的收益,如果怠于主张相关权益,则很可能给公司带来严重损失;
6.2.3.2特殊类型作品的著作权权属不明确的法律风险。职务作品和委托作品的著作权可以归属于不同的主体,公司最好能够根据实际情况实现予以明确,否则容易引发争议,给公司带来法律风险。
6.2.3.3著作权侵权法律风险。未经著作权人的许可和同意,实施了《著作权法》第46条以及其他著作权法规规定或者合同的约定,公司需要承担相应的民事、行政,甚至是形式责任。
6.2.4企业商业秘密法律风险
6.2.4.1 商业秘密保护不当。公司希望自己的信息能够以商业秘密的形式进行保护,应当根据《国家工商行政管理局关于商业秘密构成要件问题的答复》和《关于审理不正当竞争民事案件应用法律若干问题的解释》的规定,采取了保密措施。如果没有采取保密措施,尽管能够给公司带来巨大的经济利益,并且也是不为公众所知悉的,但是在法律上去难以被认定为是商业秘密,因而也就得不到相应的法律保护。
6.2.4.2侵犯商业秘密的法律风险。公司也可能产生侵犯商业秘密的行为。根据《反不正当竞争法》和《刑法》的规定,主要有四种:以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密;披露、使用或者允许他人使用以上述第一种手段获取的权利人的商业秘密;违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密;明知或应知前述第一种至第三种违法行为,而获取、使用或者披露他人商业秘密。
第7条 公司风险管理遵循以下基本原则:
7.1全面性原则:风险管理的理念、方法和要求应贯穿公司所有部门、所有岗位以及经营活动的事前、事中、事后的全过程;
7.2统一性原则:公司取得收益的同时会承担风险,要实现风险与收益的统一,就要既注重防范和控制风险可能造成的损失,也要把风险视为公司取得收益的特殊资源,通过积极的风险管理活动,使公司承担的风险与承受能力相适应,保持风险与收益的平衡;
7.3独立性原则:公司设立专门岗位,保证风险管理工作的客观性、有效性和权威性,独立行使风险识别、评估、监测和控制的职能;
7.8协调性原则:公司完善风险管理的工作流程,各有关部门应就风险管理工作加强沟通协调,保持良好的风险管理秩序;
7.5适时性原则:公司风险管理政策与制度应适应有关法律法规的调整以及公司发展战略、经营方针等内外部环境的变化,适时进行相应的更新、补充、调整和完善。
第二章风险管理组织体系及职责分工
第8条公司风险管理的组织体系由公司董事会及各职能部门的风险职能岗位构成。
第9条公司各职能部门为风险管理第一道防线;董事会及股东大风为风险管理委员会及监视会为风险管理第二道防线。
第10条公司各职能部门在风险控制管理方面的主要职责:
10.1公司各职能部门按照公司风险管理委员会制定的风险评估的总体方案,根据业务分工,配合内控组织,识别、分析相关业务流程的风险,确定风险反应方案;
10.2根据识别的风险和确定的风险反应方案,按照公司确定的控制设计方法和描述工具,设计并记录相关控制,根据风险管理的要求,修改完善控制设计。包括:建立控制管理制度,按照规定的方法和工具描述业务流程,编制风险控制文档和程序文件等;
10.3组织控制制度的实施,监督控制制度的实施情况,发现、收集、分析控制缺陷,提出控制缺陷改进意见并予以实施。对于重大缺陷和实质性漏洞,应向公司领导及董事会反馈情况,以便公司监控内部控制体系的运行情况;
10.4配合内控组织等部门对控制失效造成重大损失或不良影响的事件进行调查、处理。
第11条公司董事会负责推动公司风险管理体系的建设,并监督起实施的有效性;监事会和风险管理委员会负责建立公司风险管理体系、制度和流程等日常管理工作。
第12条公司各职能部门负责人为风险控制的第一负责人,履行风险控制职能执行具体的风险管理制度。建立部门内权责明确、相互制衡的岗位职责和部门内全面、合理的风险控制制度,并针对业务主要风险环节制定业务操作流程。
第三章风险管理目标和基本流程
第13条公司风险管理的总体目标是:通过风险确认与识别程序,预先发现风险征兆,提前采取必要的预控措施,已达到规避风险,减少损失的目标,对于已发生的风险,首先通过已有的控制措施予以控制,进而采取补偿措施进行控制,把风险损失降低到最小限度。
第14条公司风险管理基本流程主要包括:
14.1风险管理策略的制度与实施;
14.2 风险评估;
14.3风险监控报告与预警;
14.4风险与危机的处理;
14.5风险管理的监督与改进。
第四章风险管理策略的制定与实施
第15条风险管理策略是指,公司根据内外部环境及董事会制度的公司发展战略所确定的公司管理总体方针。
第16条风险管理策略由风险管理委员会制定,经董事会评估后确定。
第17条现有风险管理策略、制度、流程的可行性或有效性,如因内外部环境发生变化尔受到严重影响,应及时进行修订和调整。
第18条公司在实施风险管理策略的过程中,建立和不断完善授权体系,公司所有部门必须在公司授权范围内开展工作。在各项规章制度中要明确报告路线和程序,使风险信息能够及时传递到相关的部门和公司领导。
第19条公司各职能部门可以根据本办法,针对本部门业务的特点,制定本部门业务的风险管理实施细则,纳入公司管理制度体系。
第五章 风险评估
第20条风险评估是指根据公司内外部环境的变化,对公司所面临的风险进行风险辨识、风险分析、风险对策。
第21条公司风险评估主要经过确立风险管理理念和风险接受程度、目标制定、风险识别、风险分析和风险对策等六个基本程序来进行。
第22条确立公司风险管理理念和风险接受程度是公司进行风险评估的基础。
22.1公司风险管理理念是公司如何认知整个经营过程(从战略制度和实施到公司日常活动)中的风险为特征的公司共有的信念和态度。公司实行稳健的风险管理理念,对于高风险投资项目采取谨慎介入的态度。
22.2 风险接受程度是指公司在追求目标实现过程中愿意接受的风险程度。一般来讲,公司可将风险接受程度分为三类:“高”、“中”或“低”。
22.3高风险是指影响金额达到公司资产总额30%以上或公司主营业务收入30%以上;中风险是指影响金额达到公司资产总额10%以上不足30%或公司主营业务收入10%以上不足30%;低风险是指影响金额达到公司资产总额10%以下或公司主营业务收入10%以下。
22.4公司从定性角度考虑风险接受程度,整体上讲,公司把风险接受程度确定为“低”类,即公司在经营管理过程中,采取谨慎的风险管理态度,可以接受较低程度的风险发生。公司的风险接受程度选择也与公司的风险管理理念保持一致。
第23条目标制定是风险识别、风险分析和风险对策的前提。公司必须首先制定目标,在此之后,才能识别和评估影响目标实现的风险并且采取必要的行动对这些风险实时控制。公司目标包括战略目标、经营目标、合规性目标和财务报告目标四个方面。目标确定必须符合国家的法律法规和行业发展规划,符合公司战略发展计划。
第24条风险识别就是识别可能阻碍实现公司目标、阻碍公司创造价值或侵蚀现有价值的因素。公司可以采取问卷调查、小组讨论、专家咨询、情景分析、政策分析、行业标杆比较、访谈法等识别风险。公司应当准确识别与实现控制目标相关的内部风险和外部风险,以便确定相应的风险承受度。
24.1公司识别内部风险,应当关注下列因素:
24.1.1董事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。
24.1.2 组织机构、经营方式、资产管理、业务流程等管理因素。
24.1.3 研究开发、技术投入、信息技术运用等自主创新因素。
24.1.4财务状况、经营成果、现金流量等财务因素。
24.1.5营运安全、员工健康、环境保护等安全环保因素。
24.1.6 其他有关内部风险因素。
24.2公司识别外部风险,应当关注下列因素:
24.2.1经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。
24.2.2法律法规、监管要求等法律因素。
24.2.3安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
24.2.4技术进步、工艺改进等科学技术因素。
24.2.5 自然灾害、环境状况等自然环境因素。
24.2.6 其他有关外部风险因素。
第25条风险分析主要从风险发生的可能性和对公司目标的影响程度两个角度,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
公司进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,以确保风险分析结果的准确性。
风险分析方法一般采用定性和定量方法组合而成。在风险分析不适宜采取定量分析的情况下,或者用于定量分析所需要的足够可信的数据无法获得,或者获取成本很高时,公司通常使用定性分析法。公司对风险进行分析,确认哪些风险应当引起重视、哪些风险予以一般关注,对于需要重视的风险,再进一步划分,分别确认为“重要风险”与“一般风险”,从而为风险对策奠定基础。风险的重要程度的判断主要根据风险发生的可能性和影响程度来确定:
25.1如果风险发生的可能性属于“极小可能发生”的,该风险就可不被关注;
25.2如果风险发生的可能性高于或等于“可能发生”,且风险的影响程度小,就将该类风险确定为一般风险;
25.3 如果风险发生的可能性等于或高于“风险可能发生”,且风险的影响程度大,就将该类风险确定为重要风险。
第26条风险对策。公司应该根据风险分析的结果,结合风险发生的原因以及承受度,权衡风险与收益,选择风险应对方案:规避风险、接受风险、减少风险或分担风险。
26.1规避风险:指公司对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免或减轻损失的对策。
26.2减少风险:指公司在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的对策。
26.3分担风险:指公司准备借助他人力量,采取业务分包、购买保险等方式或适当的控制措施,将风险控制在风险承受度之内的对策。
26.4接受风险:指公司对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
第27条公司在确定具体的风险应对方案时,应考虑以下因素:
27.1风险应对方案对风险可能性和风险程度的影响,风险应对方案是否与公司的风险容忍度一致;
27.2 对方案的成本与收益比较;
27.3 对方案中可能的机遇与相关的风险进行比较;
27.4充分考虑多种风险应对方案的组合;
27.5合理分析、准确掌握董事、公司管理层及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失;
27.6结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
第六章风险监控和预警
第28条公司通过有效的沟通和反馈,使公司领导和有关部门及时了解公司业务和资产的风险状况,相应调整风险管理政策和管理措施。
第29条风险管理委员会对公司的经营计划、战略方案的实施进行实施监控,对各类信息记录、汇总、分析、处理,并保留风险管理记录。各部门或岗位向内审机构报送本部门业务风险情况。
第30条公司各职能部门每年对业务范围内的公司风险的控制水平进行一次书面分析和评估,风险管理委员会负责总风险评估报告,上报公司董事会。
第31条公司制定合理、有效的内控措施,包括以下内容:
31.1建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权做出风险性决定;
31.2建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等;
31.3建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件范围和额度、必备文件以及有权批准的部门和人员及其相应责任;
31.4建立内控责任制度。按照权利。义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度;
31.5建立内控审计检查制度。结合内控的相关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等;
31.6建立内控考核评价制度。具备条件的公司应把各业务单位风险管理执行情况与绩效薪酬挂钩;
31.7建立重大风险预警制度和突发事件应急处理机制。明确风险预警标准,对可能发生的重大事件或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理;
31.8建立健全公司法律顾问制度。大力加强公司法律风险防范机制建设,形成由公司决策层主导、公司法律事务部牵头提供业务保障、全体员工共同参与的法律风险责任体系。完善公司重大法律纠纷案件的备案管理制度;
31.9建立重要岗位权利制衡制度,明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约;明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任;该岗位作为内部审计的重点等。
第32条公司相关部门建立风险预警系统,以发现并应对可能出现的风险:
32.1建立财务预警系统。公司及各分支机构的财务部门,通过设置并观察一些敏感性财务指标的变化,对可能或将要面临的财务危机实现进行预测预报。
32.2建立经营管理预警系统。公司及各分支机构的经营管理人员,根据各个业务环节特有的性质来设计不同的风险控制机制,彻底掌握风险的来源和可能发生的影响。
32.3建立健全的风险信息报告系统。各部门、分支机构,有责任及时、无保留地向公司内审部门报告有关风险的真实信息。
第七章风险处理
第33条公司建立灵敏高效的风险处理和应急管理机制,以降低风险损失。对新出现的、缺乏风险应急预案的重大风险,风险管理委员会应立即与公司相关部门协调,组织人员研究制定风险应对方案,并报公司董事会审批后实施。
第34条当风险已经发生,风险单位负责人必须立即向公司风险管理委员会报告。
第35条风险管理委员会收到风险报告后,及时对风险进行初步的判断,确定是属于一般性内部风险,还是对企业声誉、经营活动和内部管理造成强大压力和负面影响的企业危机。对一般性风险,责成单位负责人或有关人员负责组织处理;对企业危机,必须按照风险危机程序处理。
第36条企业危机处理程序
36.1成立危机处理机构。危机发生后,公司应在第一时间成立危机处理小组,该小组由公司董事长或总经理担任组长。小组成员至少包括:发生危机单位的第一负责人、风险管理委员会有关人员、公司相关职能部门负责人及其他相关人员。公司董事会授权危机处理小组为处理危机事件的最高权力机构和协调机构,有权调动公司可用资源,有权独立代表公司作出声明、承诺或妥协。
36.2制定危机处理计划危机处理小组根据现有的资料和情报,以及企业拥有或可支配的资源来制定危机处理计划。计划必须体现出危机处理目标、程序、组织、人员及分工、后勤保障、行动时间表以及各个阶段要实现的目标,同时还包括社会资源的调动和支配、费用控制和实施责任人及其目标。计划制定完成并获通过后,立即开始进行物质资源调配和准备,展开全面的危机处理行动。
36.3危机处理
36.3.1对于尚未造成社会影响的事件,在对危机事件进行详细的调查了解和核实的基础上,根据法律和公理,果断做出处理决定,以避免事态的进一步恶化。
36.3.2对于已造成社会影响的事件,应保持与社会各方的良好沟通,及时披露事实真相,以有助于对事件作出客观公正的报道和评价。
36.3.3在处理过程中,应处理好与危机事件对方当事人的关系,及时安抚,避免出现纠纷。
36.3.4在事件处理的全过程,危机处理小组均应与当地政府、监管机构保持紧密联系,及时通报事件进展。
36.4教训总结与责任认定
危机事件处理完成后,危机处理小组应及时向公司董事会提交总结报告,如实反应时间的其因、发生过程、处理方法和结果、责任认定、反应的问题等,并提出整改建议或意见,以避免新的风险和危机发生。
第37条对因决策失误、管理失职、行为失当等原因致使公司出现风险和危机,并造成有形或无形损失的责任人及单位负责人,公司将追究其直接责任或领导责任。
第八章风险管理的监督与改进
第38条公司建立贯穿于整个风险管理基本流程,连接各上下级、各部门和子公司的风险管理信息沟通渠道,确保信息沟通的及时、准确、完整,为风险管理监督与改进奠定基础。
第39条公司各有关部门定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查报告报送公司内审部门备案。
第40条公司风险管理委员会定期或不定期对各有关部门能否按照有关规定开展风险管理工作及其工作效果进行监督评价,并将监督评价报告上报董事会。
第九章附则
第41条本制度由公司董事会授权风控部门负责解释。
第42条本制度自董事会通过之日起执行。
