中央企业合规与风险管理两大指引

国务院国资委20181102

第一章  总  则

第一条为推动中央企业全面加强合规管理，加快提升依法合规经营管理水平，着力打造法治央企，保障企业持续健康发展，根据《中华人民共和国公司法》、《中华人民共和国企业国有资产法》等有关法律法规规定，制定本指引。

第二条  本指引所称中央企业，是指国务院国有资产监督管理委员会(以下简称国资委)履行出资人职责的国家出资企业。

本指引所称合规，是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。

本指引所称合规风险，是指中央企业及其员工因不合规行为，引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。

本指引所称合规管理，是指以有效防控合规风险为目的，以企业和员工经营管理行为为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。

第三条国资委负责指导监督中央企业合规管理工作。

第四条中央企业应当按照以下原则加快建立健全合规管理体系：

(一)全面覆盖。坚持将合规要求覆盖各业务领域、各部门、各级子企业和分支机构、全体员工，贯穿决策、执行、监督全流程。

(二)强化责任。把加强合规管理作为企业主要负责人履行推进法治建设第一责任人职责的重要内容。建立全员合规责任制，明确管理人员和各岗位员工的合规责任并督促有效落实。

(三)协同联动。推动合规管理与法律风险防范、监察、审计、内控、风险管理等工作相统筹、相衔接，确保合规管理体系有效运行。

(四)客观独立。严格依照法律法规等规定对企业和员工行为进行客观评价和处理。合规管理牵头部门独立履行职责，不受其他部门和人员的干涉。

第二章  合规管理职责

第五条董事会的合规管理职责主要包括：

(一)批准企业合规管理战略规划、基本制度和年度报告；

(二)推动完善合规管理体系；

(三)决定合规管理负责人的任免；

(四)决定合规管理牵头部门的设置和职能；

(五)研究决定合规管理有关重大事项；

(六)按照权限决定有关违规人员的处理事项。

第六条监事会的合规管理职责主要包括：

(一)监督董事会的决策与流程是否合规；

(二)监督董事和高级管理人员合规管理职责履行情况；

(三)对引发重大合规风险负有主要责任的董事、高级管理人员提出罢免建议；

(四)向董事会提出撤换公司合规管理负责人的建议。

第七条经理层的合规管理职责主要包括：

(一)根据董事会决定，建立健全合规管理组织架构；

(二)批准合规管理具体制度规定；

(三)批准合规管理计划，采取措施确保合规制度得到有效执行；

(四)明确合规管理流程，确保合规要求融入业务领域；

(五)及时制止并纠正不合规的经营行为，按照权限对违规人员进行责任追究或提出处理建议；

(六)经董事会授权的其他事项。

第八条中央企业设立合规委员会，与企业法治建设领导小组或风险控制委员会等合署，承担合规管理的组织领导和统筹协调工作，定期召开会议，研究决定合规管理重大事项或提出意见建议，指导、监督和评价合规管理工作。

第九条中央企业相关负责人或总法律顾问担任合规管理负责人，主要职责包括：

(一)组织制订合规管理战略规划；

(二)参与企业重大决策并提出合规意见；

(三)领导合规管理牵头部门开展工作；

(四)向董事会和总经理汇报合规管理重大事项；

(五)组织起草合规管理年度报告。

第十条法律事务机构或其他相关机构为合规管理牵头部门，组织、协调和监督合规管理工作，为其他部门提供合规支持，主要职责包括：

(一)研究起草合规管理计划、基本制度和具体制度规定；

(二)持续关注法律法规等规则变化，组织开展合规风险识别和预警，参与企业重大事项合规审查和风险应对；

(三)组织开展合规检查与考核，对制度和流程进行合规性评价，督促违规整改和持续改进；

(四)指导所属单位合规管理工作；

(五)受理职责范围内的违规举报，组织或参与对违规事件的调查，并提出处理建议；

(六)组织或协助业务部门、人事部门开展合规培训。

第十一条业务部门负责本领域的日常合规管理工作，按照合规要求完善业务管理制度和流程，主动开展合规风险识别和隐患排查，发布合规预警，组织合规审查，及时向合规管理牵头部门通报风险事项，妥善应对合规风险事件，做好本领域合规培训和商业伙伴合规调查等工作，组织或配合进行违规问题调查并及时整改。

监察、审计、法律、内控、风险管理、安全生产、质量环保等相关部门，在职权范围内履行合规管理职责。

第三章  合规管理重点

第十二条中央企业应当根据外部环境变化，结合自身实际，在全面推进合规管理的基础上，突出重点领域、重点环节和重点人员，切实防范合规风险。

第十三条加强对以下重点领域的合规管理：

(一)市场交易。完善交易管理制度，严格履行决策批准程序，建立健全自律诚信体系，突出反商业贿赂、反垄断、反不正当竞争，规范资产交易、招投标等活动；

(二)安全环保。严格执行国家安全生产、环境保护法律法规，完善企业生产规范和安全环保制度，加强监督检查，及时发现并整改违规问题；

(三)产品质量。完善质量体系，加强过程控制，严把各环节质量关，提供优质产品和服务；

(四)劳动用工。严格遵守劳动法律法规，健全完善劳动合同管理制度，规范劳动合同签订、履行、变更和解除，切实维护劳动者合法权益；

(五)财务税收。健全完善财务内部控制体系，严格执行财务事项操作和审批流程，严守财经纪律，强化依法纳税意识，严格遵守税收法律政策；

(六)知识产权。及时申请注册知识产权成果，规范实施许可和转让，加强对商业秘密和商标的保护，依法规范使用他人知识产权，防止侵权行为；

(七)商业伙伴。对重要商业伙伴开展合规调查，通过签订合规协议、要求作出合规承诺等方式促进商业伙伴行为合规；

(八)其他需要重点关注的领域。

第十四条加强对以下重点环节的合规管理：

(一)制度制定环节。强化对规章制度、改革方案等重要文件的合规审查，确保符合法律法规、监管规定等要求；

(二)经营决策环节。严格落实“三重一大”决策制度，细化各层级决策事项和权限，加强对决策事项的合规论证把关，保障决策依法合规；

(三)生产运营环节。严格执行合规制度，加强对重点流程的监督检查，确保生产经营过程中照章办事、按章操作；

(四)其他需要重点关注的环节。

第十五条加强对以下重点人员的合规管理：

(一)管理人员。促进管理人员切实提高合规意识，带头依法依规开展经营管理活动，认真履行承担的合规管理职责，强化考核与监督问责；

(二)重要风险岗位人员。根据合规风险评估情况明确界定重要风险岗位，有针对性加大培训力度，使重要风险岗位人员熟悉并严格遵守业务涉及的各项规定，加强监督检查和违规行为追责；

(三)海外人员。将合规培训作为海外人员任职、上岗的必备条件，确保遵守我国和所在国法律法规等相关规定；

(四)其他需要重点关注的人员。

第十六条强化海外投资经营行为的合规管理：

(一)深入研究投资所在国法律法规及相关国际规则，全面掌握禁止性规定，明确海外投资经营行为的红线、底线；

(二)健全海外合规经营的制度、体系、流程，重视开展项目的合规论证和尽职调查，依法加强对境外机构的管控，规范经营管理行为；

(三)定期排查梳理海外投资经营业务的风险状况，重点关注重大决策、重大合同、大额资金管控和境外子企业公司治理等方面存在的合规风险，妥善处理、及时报告，防止扩大蔓延。

第四章  合规管理运行

第十七条建立健全合规管理制度，制定全员普遍遵守的合规行为规范，针对重点领域制定专项合规管理制度，并根据法律法规变化和监管动态，及时将外部有关合规要求转化为内部规章制度。

第十八条建立合规风险识别预警机制，全面系统梳理经营管理活动中存在的合规风险，对风险发生的可能性、影响程度、潜在后果等进行系统分析，对于典型性、普遍性和可能产生较严重后果的风险及时发布预警。

第十九条加强合规风险应对，针对发现的风险制定预案，采取有效措施，及时应对处置。对于重大合规风险事件，合规委员会统筹领导，合规管理负责人牵头，相关部门协同配合，最大限度化解风险、降低损失。

第二十条建立健全合规审查机制，将合规审查作为规章制度制定、重大事项决策、重要合同签订、重大项目运营等经营管理行为的必经程序，及时对不合规的内容提出修改建议，未经合规审查不得实施。

第二十一条强化违规问责，完善违规行为处罚机制，明晰违规责任范围，细化惩处标准。畅通举报渠道，针对反映的问题和线索，及时开展调查，严肃追究违规人员责任。

第二十二条开展合规管理评估，定期对合规管理体系的有效性进行分析，对重大或反复出现的合规风险和违规问题，深入查找根源，完善相关制度，堵塞管理漏洞，强化过程管控，持续改进提升。

第五章  合规管理保障

第二十三条加强合规考核评价，把合规经营管理情况纳入对各部门和所属企业负责人的年度综合考核，细化评价指标。对所属单位和员工合规职责履行情况进行评价，并将结果作为员工考核、干部任用、评先选优等工作的重要依据。

第二十四条强化合规管理信息化建设，通过信息化手段优化管理流程，记录和保存相关信息。运用大数据等工具，加强对经营管理行为依法合规情况的卖时在线监控和风险分析，实现信息集成与共享。

第二十五条建立专业化、高素质的合规管理队伍，根据业务规模、合规风险水平等因素配备合规管理人员，持续加强业务培训，提升队伍能力水平。

海外经营重要地区、重点项目应当明确合规管理机构或配备专职人员，切实防范合规风险。

第二十六条重视合规培训，结合法治宣传教育，建立制度化、常态化培训机制，确保员工理解、遵循企业合规目标和要求。

第二十七条积极培育合规文化，通过制定发放合规手册、签订合规承诺书等方式，强化全员安全、质量、诚信和廉洁等意识，树立依法合规、守法诚信的价值观，筑牢合规经营的思想基础。

第二十八条建立合规报告制度，发生较大合规风险事件，合规管理牵头部门和相关部门应当及时向合规管理负责人、分管领导报告。重大合规风险事件应当向国资委和有关部门报告。

合规管理牵头部门于每年年底全面总结合规管理工作情况，起草年度报告，经董事会审议通过后及时报送国资委。

第六章附则

第二十九条中央企业根据本指引，结合实际制定合规管理实施细则。

地方国有资产监督管理机构可以参照本指引，积极推进所出资企业合规管理工作。

第三十条本指引由国资委负责解释。

第三十一条本指引自公布之日起施行。

国务院国资委20060606 

第一章　总则

第一条为指导国务院国有资产监督管理委员会(以下简称国资委)履行出资人职责的企业(以下简称中央企业)开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展，根据《中华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规，制定本指引。

第二条中央企业根据自身实际情况贯彻执行本指引。中央企业中的国有独资公司董事会负责督导本指引的实施；国有控股企业由国资委和国资委提名的董事通过股东(大)会和董事会按照法定程序负责督导本指引的实施。

    

第三条本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。

    

第四条本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

    

第五条本指引所称风险管理基本流程包括以下主要工作：

    (一)收集风险管理初始信息；

    (二)进行风险评估；

    (三)制定风险管理策略；

    (四)提出和实施风险管理解决方案；

    (五)风险管理的监督与改进。

第六条本指引所称内部控制系统，指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。

   

第七条企业开展全面风险管理要努力实现以下风险管理总体目标：

    (一)确保将风险控制在与总体目标相适应并可承受的范围内；

    (二)确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；

    (三)确保遵守有关法律法规；

    (四)确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；

    (五)确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。

第八条企业开展全面风险管理工作，应注重防范和控制风险可能给企业造成损失和危害，也应把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。

第九条企业应本着从实际出发，务求实效的原则，以对重大风险、重大事件(指重大风险发生后的事实)的管理和重要流程的内部控制为重点，积极开展全面风险管理工作。具备条件的企业应全面推进，尽快建立全面风险管理体系；其他企业应制定开展全面风险管理的总体规划，分步实施，可先选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或多项业务开展风险管理工作，建立单项或多项内部控制子系统。通过积累经验，培养人才，逐步建立健全全面风险管理体系。

第十条企业开展全面风险管理工作应与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线，即各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线。

    第二章　风险管理初始信息

第十一条实施全面风险管理，企业应广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。

第十二条在战略风险方面，企业应广泛收集国内外企业战略风险失控导致企业蒙受损失的案例，并至少收集与本企业相关的以下重要信息：

    (一)国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策；

    (二)科技进步、技术创新的有关内容；

    (三)市场对本企业产品或服务的需求；

    (四)与企业战略合作伙伴的关系，未来寻求战略合作伙伴的可能性；

    (五)本企业主要客户、供应商及竞争对手的有关情况；

    (六)与主要竞争对手相比，本企业实力与差距；

    (七)本企业发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制这些战略、规划、计划、目标的有关依据；

    (八)本企业对外投融资流程中曾发生或易发生错误的业务流程或环节。

第十三条在财务风险方面，企业应广泛收集国内外企业财务风险失控导致危机的案例，并至少收集本企业的以下重要信息(其中有行业平均指标或先进指标的，也应尽可能收集)：

    (一)负债、或有负债、负债率、偿债能力；

    (二)现金流、应收账款及其占销售收入的比重、资金周转率；

    (三)产品存货及其占销售成本的比重、应付账款及其占购货额的比重；

    (四)制造成本和管理费用、财务费用、营业费用；

    (五)盈利能力；

    (六)成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节；

    (七)与本企业相关的行业会计政策、会计估算、与国际会计制度的差异与调节(如退休金、递延税项等)等信息。

第十四条在市场风险方面，企业应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与本企业相关的以下重要信息：

    (一)产品或服务的价格及供需变化；

    (二)能源、原材料、配件等物资供应的充足性、稳定性和价格变化；

    (三)主要客户、主要供应商的信用情况；

    (四)税收政策和利率、汇率、股票价格指数的变化；

    (五)潜在竞争者、竞争者及其主要产品、替代品情况。

第十五条在运营风险方面，企业应至少收集与本企业、本行业相关的以下信息：

    (一)产品结构、新产品研发；

    (二)新市场开发，市场营销策略，包括产品或服务定价与销售渠道，市场营销环境状况等；

    (三)企业组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验；

    (四)期货等衍生产品业务中曾发生或易发生失误的流程和环节；

    (五)质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节；

    (六)因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵；

    (七)给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险；

    (八)对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力；

    (九)企业风险管理的现状和能力。

    

第十六条在法律风险方面，企业应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与本企业相关的以下信息：

    (一)国内外与本企业相关的政治、法律环境；

    (二)影响企业的新法律法规和政策；

    (三)员工道德操守的遵从性；

    (四)本企业签订的重大协议和有关贸易合同；

    (五)本企业发生重大法律纠纷案件的情况；

    (六)企业和竞争对手的知识产权情况。

第十七条企业对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估。

    第三章　风险评估

第十八条企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。风险评估包括风险辨识、风险分析、风险评价三个步骤。

第十九条风险评估应由企业组织有关职能部门和业务单位实施，也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。

   

第二十条风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。

    

第二十一条进行风险辨识、分析、评价，应将定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。

    

第二十二条进行风险定量评估时，应统一制定各风险的度量单位和风险度量模型，并通过测试等方法，确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。要根据环境的变化，定期对假设前提和参数进行复核和修改，并将定量评估系统的估算结果与实际效果对比，据此对有关参数进行调整和改进。

    

第二十三条风险分析应包括风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行统一集中管理。

    

第二十四条企业在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图，对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略。

    

第二十五条企业应对风险管理信息实行动态管理，定期或不定期实施风险辨识、分析、评价，以便对新的风险和原有风险的变化重新评估。

    第四章　风险管理策略

第二十六条本指引所称风险管理策略，指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。

    

第二十七条一般情况下，对战略、财务、运营和法律风险，可采取风险承担、风险规避、风险转换、风险控制等方法。对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险对冲、风险补偿等方法。

    

第二十八条企业应根据不同业务特点统一确定风险偏好和风险承受度，即企业愿意承担哪些风险，明确风险的最低限度和不能超过的最高限度，并据此确定风险的预警线及相应采取的对策。确定风险偏好和风险承受度，要正确认识和把握风险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件、范围，认为风险越大、收益越高的观念和做法；同时，也要防止单纯为规避风险而放弃发展机遇。

    

第二十九条企业应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置，进一步确定风险管理的优选顺序，明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。

    

第三十条企业应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。

    第五章　风险管理解决方案

第三十一条企业应根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如：关键风险指标管理、损失事件管理等)。

    

第三十二条企业制定风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防和控制措施。

    

第三十三条企业制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。

    

第三十四条企业制定内控措施，一般至少包括以下内容：

    (一)建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定；

    (二)建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等；

    (三)建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任；

    (四)建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度；

    (五)建立内控审计检查制度。结合内控的有关要求、方法、标准与流程，明确规定审计检查的对象、内容、方式和负责审计检查的部门等；

    (六)建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩；

    (七)建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施；

    (八)建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设，形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善企业重大法律纠纷案件的备案管理制度；

    (九)建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括：授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点等。

    

第三十五条企业应当按照各有关部门和业务单位的职责分工，认真组织实施风险管理解决方案，确保各项措施落实到位。

    第六章　风险管理的监督与改进

第三十六条企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。

    

第三十七条企业应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。

    

第三十八条企业各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改进，其检查、检验报告应及时报送企业风险管理职能部门。

    

第三十九条企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验，要根据本指引第三十条要求对风险管理策略进行评估，对跨部门和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送企业总经理或其委托分管风险管理工作的高级管理人员。

    

第四十条企业内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价，监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。此项工作也可结合年度审计、任期审计或专项审计工作一并开展。

    

第四十一条企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价，出具风险管理评估和建议专项报告。报告一般应包括以下几方面的实施情况、存在缺陷和改进建议：

    (一)风险管理基本流程与风险管理策略；

    (二)企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设；

    (三)风险管理组织体系与信息系统；

    (四)全面风险管理总体目标。

    第七章　风险管理组织体系

第四十二条企业应建立健全风险管理组织体系，主要包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。

    

第四十三条企业应建立健全规范的公司法人治理结构，股东（大）会（对于国有独资公司或国有独资企业，即指国资委，下同）、董事会、监事会、经理层依法履行职责，形成高效运转、有效制衡的监督约束机制。

    

第四十四条国有独资公司和国有控股公司应建立外部董事、独立董事制度，外部董事、独立董事人数应超过董事会全部成员的半数，以保证董事会能够在重大决策、重大风险管理等方面作出独立于经理层的判断和选择。

    

第四十五条董事会就全面风险管理工作的有效性对股东（大）会负责。董事会在全面风险管理方面主要履行以下职责：

    （一）审议并向股东（大）会提交企业全面风险管理年度工作报告；

    （二）确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案；

    （三）了解和掌握企业面临的各项重大风险及其风险管理现状，做出有效控制风险的决策；

    （四）批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

    （五）批准重大决策的风险评估报告；

    （六）批准内部审计部门提交的风险管理监督评价审计报告；

    （七）批准风险管理组织机构设置及其职责方案；

    （八）批准风险管理措施，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为；

    （九）督导企业风险管理文化的培育；

    （十）全面风险管理其他重大事项。

    

第四十六条具备条件的企业，董事会可下设风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担任；董事长兼任总经理的，召集人应由外部董事或独立董事担任。该委员会成员中需有熟悉企业重要管理及业务流程的董事，以及具备风险管理监管知识或经验、具有一定法律知识的董事。

    

第四十七条风险管理委员会对董事会负责，主要履行以下职责：

    (一)提交全面风险管理年度报告；

    (二)审议风险管理策略和重大风险管理解决方案；

    (三)审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；

    (四)审议内部审计部门提交的风险管理监督评价审计综合报告；

    (五)审议风险管理组织机构设置及其职责方案；

    (六)办理董事会授权的有关全面风险管理的其他事项。

    

第四十八条企业总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员，负责主持全面风险管理的日常工作，负责组织拟订企业风险管理组织机构设置及其职责方案。

    

第四十九条企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。该部门对总经理或其委托的高级管理人员负责，主要履行以下职责：

    (一)研究提出全面风险管理工作报告；

    (二)研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

    (三)研究提出跨职能部门的重大决策风险评估报告；

    (四)研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控；

    (五)负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案；

    (六)负责组织建立风险管理信息系统；

    (七)负责组织协调全面风险管理日常工作；

    (八)负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作；

    (九)办理风险管理其他有关工作。

    

第五十条企业应在董事会下设立审计委员会，企业内部审计部门对审计委员会负责。审计委员会和内部审计部门的职责应符合《中央企业内部审计管理暂行办法》（国资委令第8号）的有关规定。内部审计部门在风险管理方面，主要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，出具监督评价审计报告。

    

第五十一条企业其他职能部门及各业务单位在全面风险管理工作中，应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督，主要履行以下职责：

    (一)执行风险管理基本流程；

    (二)研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

    (三)研究提出本职能部门或业务单位的重大决策风险评估报告；

    (四)做好本职能部门或业务单位建立风险管理信息系统的工作；

    (五)做好培育风险管理文化的有关工作；

    (六)建立健全本职能部门或业务单位的风险管理内部控制子系统；

    (七)办理风险管理其他有关工作。

    

第五十二条企业应通过法定程序，指导和监督其全资、控股子企业建立与企业相适应或符合全资、控股子企业自身特点、能有效发挥作用的风险管理组织体系。

    第八章　风险管理信息系统

    第五十三条企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。

    

第五十四条企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。

    

第五十五条风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。

    

第五十六条风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。

    

第五十七条企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。

    

第五十八条已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。

    第九章　风险管理文化

第五十九条企业应注重建立具有风险意识的企业文化，促进企业风险管理水平、员工风险管理素质的提升，保障企业风险管理目标的实现。

    

第六十条风险管理文化建设应融入企业文化建设全过程。大力培育和塑造良好的风险管理文化，树立正确的风险管理理念，增强员工风险管理意识，将风险管理意识转化为员工的共同认识和自觉行动，促进企业建立系统、规范、高效的风险管理机制。

    

第六十一条企业应在内部各个层面营造风险管理文化氛围。董事会应高度重视风险管理文化的培育，总经理负责培育风险管理文化的日常工作。董事和高级管理人员应在培育风险管理文化中起表率作用。重要管理及业务流程和风险控制点的管理人员和业务操作人员应成为培育风险管理文化的骨干。

    

第六十二条企业应大力加强员工法律素质教育，制定员工道德诚信准则，形成人人讲道德诚信、合法合规经营的风险管理文化。对于不遵守国家法律法规和企业规章制度、弄虚作假、徇私舞弊等违法及违反道德诚信准则的行为，企业应严肃查处。

    

第六十三条企业全体员工尤其是各级管理人员和业务操作人员应通过多种形式，努力传播企业风险管理文化，牢固树立风险无处不在、风险无时不在、严格防控纯粹风险、审慎处置机会风险、岗位风险管理责任重大等意识和理念。

    

第六十四条风险管理文化建设应与薪酬制度和人事制度相结合，有利于增强各级管理人员特别是高级管理人员风险意识，防止盲目扩张、片面追求业绩、忽视风险等行为的发生。

    

第六十五条企业应建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度。采取多种途经和形式，加强对风险管理理念、知识、流程、管控核心内容的培训，培养风险管理人才，培育风险管理文化。

    第十章　附则

第六十六条中央企业中未设立董事会的国有独资企业，由经理办公会议代行本指引中有关董事会的职责，总经理对本指引的贯彻执行负责。

    

第六十七条本指引在中央企业投资、财务报告、衍生产品交易等方面的风险管理配套文件另行下发。

    

第六十八条本指引的《附录》对本指引所涉及的有关技术方法和专业术语进行了说明。