重庆市国有资产监督管理委员会关于转发国务院国资委《中央企业全面风险管理指引》的通知

渝国资发〔2009〕9号

USHUI.NET^®提示：根据《重庆市国有资产监督管理委员会关于公布规范性文件清理结果目录的通知》（ 2023年5月22日）规定，继续施行，
USHUI.NET^®提示：根据《重庆市国有资产监督管理委员会关于公布规范性文件清理结果目录的通知》（2024年2月5日》规定，继续有效
各市属国有重点企业：

为了推进市属国有重点企业开展全面风险管理，更好地应对当前全球金融危机的影响和冲击，提高企业经营管理水平和风险防范能力，促进企业可持续发展，经市国资委办公会研究同意，现将国务院国资委《中央企业全面风险管理指引》（国资发改革〔2006〕108号转发你们，请结合以下要求贯彻落实。

一、市国资委将选择2-3户企业开展全面风险管理工作试点。各企业集团应推动所属各企业从实际出发，找准自身薄弱环节，明确重点、循序渐进，积极有序地推进全面风险管理工作。

二、各企业要结合自身实际，制定推进全面风险管理的规划，在探索并建立分业务、分部门的风险管理体系的基础上，逐步建立起全面风险管理体系。试点企业应按照《中央企业全面风险管理指引》（以下简称《指引》）的要求，在2年内基本建立起全面风险管理体系。面上企业应按照《指引》要求，重点针对重大决策、重要部门和关键业务建立健全风险管理制度，在3—5年内逐步建立起全面风险管理体系。

三、各企业监事会负责推进本企业全面风险管理工作，对企业重大风险管理问题提出建议或意见。

四、企业应建立健全不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、营运分析控制和绩效考评控制等规章制度，针对发展战略、投资并购、财务、内部审计、金融衍生产品交易、法律事务、安全生产等关键业务和部门，制定风险管理基本流程（包括风险评估、风险管理策略的制定和风险管理监控改进等），并确保其有效执行。

五、企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统。对输入信息系统的数据，未经批准，不得更改。

六、企业要大力加强对全体员工的全面风险管理培训，树立全员风险意识，增强全面风险管理技能，培养一批熟练掌握全面风险管理知识和技能的专门人才，形成人人具有风险意识、时时注意风险、事事防范风险的企业全面风险管理文化。

七、企业要加强关键环节的风险管理。

（一）要从制度和程序上防范决策风险。董事会应健全决策制度，完善决策程序，不得违反制度和程序进行决策。企业重大决策应对风险进行评估，提出风险研究报告。

（二）要高度重视战略风险。企业应进一步强化战略管理，把握企业生存发展的各种风险，正确选择发展方向，准确定位发展战略，科学设定发展目标，理性确定发展步骤。

（三）全方位防范法律风险。企业的重大决策，以及经营中的商务谈判、改革改制、投资活动、并购重组等方案和交易合同均应进行合规性审查，属于重大事项的，应征求专业律师意见并取得法律意见书。

（四）理性防范投资风险。企业投资应符合国家产业政策导向和主业发展方向，促进企业技术进步、结构调整、产业升级和节能减排等各项工作，全面提高企业核心竞争力，原则上不得进行超出自身承受能力和投资回报率太低的投资。企业重大投资项目必须进行可行性研究和风险研究，并分别提出报告。

（五）全力防范财务风险。企业应开展全面预算管理，大力优化资本结构和融资结构，提高资金使用效率，降低营运成本，完善财务内部控制制度，支撑企业持续健康发展。董事会应建立财务预警体系，企业财务运作应在预警指标范围内进行。董事会应谨慎决策融资、担保及资金运作事项，重大事项应报出资人审核或备案。

（六）严格控制并购重组风险。企业应对并购重组目标企业进行详尽的调查并提出尽职调查报告；要认真做好目标企业资产评估和财务审计，制定好经营业务、组织整合方案和风险防范方案。

（七）原则限制金融衍生产品投资。企业一般不得进行以证券、利率、汇率和商品为基础的期货、期权、远期、互换等金融衍生产品合约的投资。金融衍生业务监管按国务院国资委《关于进一步加强中央企业金融衍生业务监管的通知》（国资发评价〔2009〕19号）有关要求执行。

（八）全面防范廉洁风险。企业要针对生产经营和管理的各个环节，认真查找易滋生腐败的出血点，通过制度和体制机制建设，防止腐败的产生和蔓延。

（九）重视防范安全和稳定风险。企业是安全生产的责任主体，要落实安全生产责任制，建立安全生产应急管理体系，健全生产安全事故隐患排查和治理工作制度，严防安全生产事故的发生。建立稳定风险评估机制，消除不稳定源，维护企业稳定。

（十）完善企业危机管理机制。企业应制定完善重大风险预警机制和危机管理办法，明确超出预警标准和危机出现等情形后的责任部门和责任人、应对策略、工作程序及工作要求。企业出现重大系统风险，应尽快同出资人和政府有关部门沟通，争取出资人和社会各界的支持。

八、试点企业要按照国务院国资委下发的《中央企业全面风险管理指引》的要求，认真实施，客观真实地编制《企业风险管理报告》。其他企业可在各企业集团范围内试行编报，总体规划，分步推进。

各企业在贯彻落实《中央企业全面风险管理指引》、编报《企业风险管理报告》过程中遇到的情况和问题，请及时反馈我委企业改革处（企业监管一处）和监事会工作处。

二○○九年七月二十日

中央企业全面风险管理指引

第一章总则

第一条为指导国务院国有资产监督管理委员会（以下简称国资委）履行出资人职责的企业（以下简称中央企业）开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展，根据《中华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规，制定本指引。

第二条中央企业根据自身实际情况贯彻执行本指引。中央企业中的国有独资公司董事会负责督导本指引的实施；国有控股企业由国资委和国资委提名的董事通过股东（大）会和董事会按照法定程序负责督导本指引的实施。

第三条本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。

第四条本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

第五条本指引所称风险管理基本流程包括以下主要工作：

（一）收集风险管理初始信息；

（二）进行风险评估；

（三）制定风险管理策略；

（四）提出和实施风险管理解决方案；

（五）风险管理的监督与改进。

第六条本指引所称内部控制系统，指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。

第七条企业开展全面风险管理要努力实现以下风险管理总体目标：

（一）确保将风险控制在与总体目标相适应并可承受的范围内；

（二）确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；

（三）确保遵守有关法律法规；

（四）确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；

（五）确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。

第八条企业开展全面风险管理工作，应注重防范和控制风险可能给企业造成损失和危害，也应把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。

第九条企业应本着从实际出发，务求实效的原则，以对重大风险、重大事件（指重大风险发生后的事实）的管理和重要流程的内部控制为重点，积极开展全面风险管理工作。具备条件的企业应全面推进，尽快建立全面风险管理体系；其他企业应制定开展全面风险管理的总体规划，分步实施，可先选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或多项业务开展风险管理工作，建立单项或多项内部控制子系统。通过积累经验，培养人才，逐步建立健全全面风险管理体系。

第十条企业开展全面风险管理工作应与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线，即各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线。

第二章风险管理初始信息

第十一条实施全面风险管理，企业应广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。

第十二条在战略风险方面，企业应广泛收集国内外企业战略风险失控导致企业蒙受损失的案例，并至少收集与本企业相关的以下重要信息：

（一）国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策；

（二）科技进步、技术创新的有关内容；

（三）市场对本企业产品或服务的需求；

（四）与企业战略合作伙伴的关系，未来寻求战略合作伙伴的可能性；

（五）本企业主要客户、供应商及竞争对手的有关情况；

（六）与主要竞争对手相比，本企业实力与差距；

（七）本企业发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制这些战略、规划、计划、目标的有关依据；

（八）本企业对外投融资流程中曾发生或易发生错误的业务流程或环节。

第十三条在财务风险方面，企业应广泛收集国内外企业财务风险失控导致危机的案例，并至少收集本企业的以下重要信息（其中有行业平均指标或先进指标的，也应尽可能收集）：

（一）负债、或有负债、负债率、偿债能力；

（二）现金流、应收账款及其占销售收入的比重、资金周转率；

（三）产品存货及其占销售成本的比重、应付账款及其占购货额的比重；

（四）制造成本和管理费用、财务费用、营业费用；

（五）盈利能力；

（六）成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节；

（七）与本企业相关的行业会计政策、会计估算、与国际会计制度的差异与调节（如退休金、递延税项等）等信息。

第十四条在市场风险方面，企业应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与本企业相关的以下重要信息：

（一）产品或服务的价格及供需变化；

（二）能源、原材料、配件等物资供应的充足性、稳定性和价格变化；

（三）主要客户、主要供应商的信用情况；

（四）税收政策和利率、汇率、股票价格指数的变化；

（五）潜在竞争者、竞争者及其主要产品、替代品情况。

第十五条在运营风险方面，企业应至少收集与本企业、本行业相关的以下信息：

（一）产品结构、新产品研发；

（二）新市场开发，市场营销策略，包括产品或服务定价与销售渠道，市场营销环境状况等；

（三）企业组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验；

（四）期货等衍生产品业务中曾发生或易发生失误的流程和环节；

（五）质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节；

（六）因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵；

（七）给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险；

（八）对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力；

（九）企业风险管理的现状和能力。

第十六条在法律风险方面，企业应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与本企业相关的以下信息：

（一）国内外与本企业相关的政治、法律环境；

（二）影响企业的新法律法规和政策；

（三）员工道德操守的遵从性；

（四）本企业签订的重大协议和有关贸易合同；

（五）本企业发生重大法律纠纷案件的情况；

（六）企业和竞争对手的知识产权情况。

第十七条企业对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估。

第三章风险评估

第十八条企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。风险评估包括风险辨识、风险分析、风险评价三个步骤。

第十九条风险评估应由企业组织有关职能部门和业务单位实施，也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。

第二十条风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。

第二十一条进行风险辨识、分析、评价，应将定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论（如集中趋势法）、计算机模拟（如蒙特卡罗分析法）、失效模式与影响分析、事件树分析等。

第二十二条进行风险定量评估时，应统一制定各风险的度量单位和风险度量模型，并通过测试等方法，确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。要根据环境的变化，定期对假设前提和参数进行复核和修改，并将定量评估系统的估算结果与实际效果对比，据此对有关参数进行调整和改进。

第二十三条风险分析应包括风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行统一集中管理。

第二十四条企业在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图，对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略。

第二十五条企业应对风险管理信息实行动态管理，定期或不定期实施风险辨识、分析、评价，以便对新的风险和原有风险的变化重新评估。

第四章风险管理策略

第二十六条本指引所称风险管理策略，指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。

第二十七条一般情况下，对战略、财务、运营和法律风险，可采取风险承担、风险规避、风险转换、风险控制等方法。对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险对冲、风险补偿等方法。

第二十八条企业应根据不同业务特点统一确定风险偏好和风险承受度，即企业愿意承担哪些风险，明确风险的最低限度和不能超过的最高限度，并据此确定风险的预警线及相应采取的对策。确定风险偏好和风险承受度，要正确认识和把握风险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件、范围，认为风险越大、收益越高的观念和做法；同时，也要防止单纯为规避风险而放弃发展机遇。

第二十九条企业应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置，进一步确定风险管理的优选顺序，明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。

第三十条企业应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。

第五章风险管理解决方案

第三十一条企业应根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具（如：关键风险指标管理、损失事件管理等）。

第三十二条企业制定风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防和控制措施。

第三十三条企业制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。

第三十四条企业制定内控措施，一般至少包括以下内容：

（一）建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定；

（二）建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等；

（三）建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任；

（四）建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度；

（五）建立内控审计检查制度。结合内控的有关要求、方法、标准与流程，明确规定审计检查的对象、内容、方式和负责审计检查的部门等；

（六）建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩；

（七）建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施；

（八）建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设，形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善企业重大法律纠纷案件的备案管理制度；

（九）建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括：授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点等。

第三十五条企业应当按照各有关部门和业务单位的职责分工，认真组织实施风险管理解决方案，确保各项措施落实到位。

第六章风险管理的监督与改进

第三十六条企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。

第三十七条企业应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。

第三十八条企业各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改进，其