全面风险管理办法.doc

1、1*公司全面风险管理办法（试行）第一章 总 则第一条 为防范、控制、化解、处理发生或可能出现的风险，保证公司持续、稳定、健康发展，根据中华人民共和国公司法 、公司内部控制基本 规范和公司章程等规定，结合公司实际情况，特制订本办法。第二条 本办 法中所称全面 风险管理，是指 为消除各种不确定性对公司实现战略及经营目标的影响，通过建立健全 风险管理体系，在各个管理 环节 中执行风险管理流程，培育良好的风险管理文化，为实现风险 管理的总体目标提供保证 的过程和方法。第三条 本办法所称风险管理责任单位是指公司各职能部门、分支机构及外派人员。第四条 公司 风险管理的总 体目标是规避和减少风险可能造成的损

2、失，确保公司的持续健康发展。第五条 全面风险管理遵循以下原则：（一）全面性原则风险管理涵盖公司的所有部门和岗位，渗透到各 项业务和 环节中， 贯穿于每项业务全过程。通过不断提高员工对风险 的识别和防范能力， 树立全 员风险意识。（二）有效性原则在全面风险管理的理念下，建 设全面反映公司风险状况的 风险控制体系， 确保该体系能有效指导业务，并能有效防范和化解 风险。（三）防范和控制原则风险控制关口前移，努力在前期做好风险管理工作，加 强风险 的事前预防和统筹管理。并能在风险发生时及时识别和处理（四）独立性原则承担风险管理监督检查职能的部门独立于公司其他部门，确保监督检查工作的独立性。（五） 成本

3、效益原则风险管理充分考虑成本与效益的关系，公司保持足够的风险 投入，以降低 风险损失。同时在保证风险可控的前提下，尽量减少冗余步骤，提高 处 理效率。第二章 风险分类及风险管理策略第一节 风险分类第六条 根据 监管部门对*行业风险分类、 *行业的风险特性以及公司自身情况，公司所面临的风险分为管理风险、声誉 风险、信用 风险、合规风险、法律风险和市场风险七大类。第七条 管理风险指因公司整体从负责满足监管要求、制定和 实施业务战略、设计组织架构、到管理人力资源等各范畴处理不善所产生的风险。第八条 声誉风险指一些直接影响客户对公司信任的公司行为所引致的风险。第九条 道德风险指内部工作人员在最大限度地

4、增进自身效用的同时做出不利于公司和他人的行动。人员素质不高，放松思想教育是道德 风险产生的根本原因。内控不力，管理松弛是道德 风险产生的直接原因。第十条 信用风险是由于融资方不能或不愿按期还款或投资资金而使公司遭受损失的风险。同时， 为公司2托管现金或资产的机构（如银行、保管商等）不 稳健亦会引 发信用风险。第十一条 操作风险由不完善或有问题的内部程序、人 员及系统或外部事件所造成 损失的风险，包括内部欺诈、外部欺诈、雇员活动和工作场所的安全问题、客户、 产品和业务活动的安全问题、公司维系经营的实物资产损坏、业务 中断和系统错误、会 计、行政、交付和过程管理等。第十二条 合规风险是指公司、各部

5、门或全体员工因不合 规行为而可能遭受法律制裁、监管处罚、财务损失或声誉损失的风险。第十三条 市场风险是指由于市场的利率、汇率或所投 资的产品价格的波动而引起投 资亏损的风险， 进而影响公司信誉，并有可能危及公司的生存发展。第十四条 合规风险和声誉风险是公司面临的最主要风险。其次，道德风险、管理风险、操作风险、信用风险和市场风险 等均是公司业务运营中主要承担的 风险。各部 门和人员应严格遵照公司对风险的分类及定义，针对不同类型的风险采取不同的措施，有效地规避和防范因风险造成的损失。第二节 风险管理策略第十五条 风险 管理策略是指：公司根据内外部 环境及董事会制定的公司发展战略， 结合财政部等联合

6、颁布的公司内部控制基本规范，确定 风险 偏好、 风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、 风险对冲、 风险补偿、风险控制等适合的风险管理工具的总体策略，并确定 风险管理所需人力和 财力资源的配置原则等公司风险管理总体方针准则。第十六条 风险 管理策略应 明确哪些风险是公司不可承受的，并根据内外部形势的变化作相应调整。第十七条 风险 管理策略由风险与审计委员会制定，经董事会进行评估后确定。经营层负责将公司风险管理策略落实到公司制度和流程管理中，完善各 项业务制度和流程，并 对风险管理策略的实施情况和效果进行检查和评价。第十八条 现 有风险管理策略、制度和流程的

7、可行性或有效性，如因内外部环境发生变化而受到严重影响，应及时进 行修订和调整。 第十九条 公司在 实施风险管理策略的过程中，应建立和不断完善授权体系，公司所有部门和分支机构必须在公司授权范围内开展工作。并建立有效的信息沟通机制，使风险信息能够及时传递到相关的部门和公司领导。第三章 组织体系与职责分工第二十条 公司全面风险管理工作实行分级管理，全面 风险 管理组织体系包括：董事会、监事会、风险与审计委员会、经营层、风险合规管理部、稽核审计部、其他各职能部门及分支机构。公司通过构筑完整的风险 管理架构来建立风险管理体系，所有的部门和人员均承担风险管理的职责。风险管理架构如下：1、各部室对本部门的业

8、务流程和操作流程 进行日常维护和管理，对本部门所面临的主要风险点进行识别、自我检查 和实施关键控制程序。2、风险合规管理部对各部室的主要 风险点进行独立的日常 监控与管理。3、稽核审计部对各部室的运行 过程和结果进行独立的稽核与 检查。4、经营层负责领导公司风险管理与内部控制的日常运行，建立健全公司业务与管理流程的风险防范、内部监控体系，有效化解和降低公司整体的运营风险。5、风险与审计委员会负责指导 公司风险防范工作， 审定公司 风险控制制度；对公司风3险状况和风险管理能力及水平进行评价。6、董事会负责从整体上管理和 监控公司的风险。7、监事会对公司风险防范、监控体系的工作进度与效果进 行监督

9、。第二十一条 监事会对董事会、经营层建立健全公司风险防范、监控体系的工作进度与效果进行监督，对董事、高级管理人员违反风险管理制度、风险管理职责而给公司造成重大损失的行为进行查处。监事会主席是 监事会负责前述风险 工作监督事项的代表和第一责任人。第二十二条 董事会作为风险 管理架构的最高决策机构，负责管理和监控公司的整体风险， 对重大风险事项进行决策，确保公司战略的实现。其全面风险管理的主要职责为：（一） 审批风险与审计委员会提交的风险管理事项。（二） 决定有关全面风险管理的其它重大事项。第二十三条 风险 与审计委员会负责提出公司经营管理过程中防范风险的指导意见，审定公司风险控制制度；对公司风险

10、状况和风险管理能力及水平进行评价，提出完善公司风险管理和内部控制的建议，以及履行由董事会 规定的其他职责 。其全面 风险管理的主要职责为：（一）对经营层提交的风险管理事项进行审议，并提交董事会审批。（二）对公司总经理的经营管理是否符合董事会的决策进行审查，并提交董事会审批。（三）推动落实董事会决定的其他风险管理事项。第二十四条 经营层负责领导 公司风险管理与内部控制的日常运行，总裁是经营层负责风险管理的第一责任人。经营层 全面风险管理的主要职责为 ：（一）对风控总监提交的风险管理事项进行审议，并提交 风险 与审计委员会审议。（二）审核重大风险关键监控指标和分解指标，以及 预期实现 关键监控指标

11、的风险承受度，并提交风险与审计委员会 审议；（三）建立健全公司业务与管理流程的风险防范、内部 监控体系，管理公司各职能部门、各业务单元的日常风险，有效化解和降低公司整体的运营风险 。（十）审核风险管理的其他重要事项。第二十五条 风 控总监行使总裁授权范围内的风险管理职责，主持全面风险管理的日常工作，对总裁负责。其职责为审核风险合规管理部、稽核审计部等下属部门提交的事项，并提交经营层审议。第二十六条 风险合规管理部是公司全面 风险管理工作的归口管理部门， 并将风险管理事项提交风控总监审议。其全面 风险管理的具体职责如下：（一） 组织开展年度 风险评估及应对工作，负责对评估结果汇总分析，对其他部门

12、和分支机构开展的专项业务风险评估提供指导和支持。（二） 根据风险评 估结果，提出风险管理策略调整建议，组织协助相关部门制定重大风险应对方案。（三） 对年度风险管理工作情况进行评估， 编制风险管理 报告（年报和半年报，下同）。（四）组织推动全面风险管理体系的建设和改进提升， 协助其他部 门和分支机构开展风险管理体系建设。（五） 为公司各 职能部门管理重大风险提供专业支持， 组织协调跨部门的风险管理事宜，对公司重大风险管理提出 专业意见和参与重大投资决策。（六） 对重大风险应对方案的制定、 执行和效果情况进行监 督检查。（七） 建立风险数据库。对风险 管理制度、方案、决议等材料进行修订、调整和归档

13、。（八） 拟定和实施风险管理考核方案。 4（九） 提出风险管理组织机构设置及其职责分工的建议。（十） 负责拟 定或修订风险管理相关制度并监督落实，指导和协助制定完善具体风险的管理办法和操作流程。（十一） 制定企业风险文化培育方案和风险管理培训计划。（十二） 提议聘请和更换项目审计、评估机构， 监督考核上述机构。（十三） 完成公司领导交办的其他风险管理相关工作。第二十七条 稽核审计部是公司独立的 风险管理监督部门，通 过内部审计提出改善风险管理的有效措施，帮助公司 维持有效的风险控制系统，并将风险管理监督情况提交风控总监审核。其全面风险管理的具体 职责如下：（一）进行内部日常、专项监督与 评价。

14、（二）制定并明确内部控制缺陷认定标准，跟踪内部控制缺陷整改情况，并就内部监督中发现的重大问题通过风控总监向监事会提请追究相关责任单位或者责任人的建议。（三）针对监督检查过程中发现的内部控制缺陷，包括 设计 缺陷和运行缺陷。（四）编制年度审计报告。（五）提议聘请和更换外部审计机构。第二十八条 风险管理责任 单位负责人为本部门所涉风险管理事项的第一责任人，履行本部门的风险控制职能，执 行具体的风险管理制度，建立部门内权责明确、相互制衡的岗位职责和部门内全面、合理的 风控制度，并 针对本部门业务 主要风险环节制定业务操作指引。其全面风险管理的具体职责如下：（一）贯彻执行全面风险管理办法，以及其他的

15、风险管理相关制度，配合风险合规管理部、稽核审计部开展风险管理工作；（二）树立全面风险管理理念， 积极参与风险管理文化建设 ；（三）完成日常风险信息报送、年度 风险辨识和评估，并形成风险事件列表、风险评估列表；（四）完成年度重大风险关键监控指标和分解指标的确定，以及风险承受度的确定；（五）提出年度重大风险应对策略及具体应对方案，完成剩余风险评估；（六）严格进行项目后期风险管理，并按 规定形成检查报告；（七）监控风险事件的变化状态、填 报关键指标数据，适 时制定和启 动应急预案；（八）配合风险合规管理部完成其他风险管理工作。上述第（三）、 （四）、 （五）、 （六）（七）项需报送风险合规管理部。第

16、四章 全面风险管理工作流程第一节 风险评估第二十九条 风险评估是指在信息收集的基 础上根据公司内外部环境的变化， 对公司所面临的风险进行风险辨识、 风险分析、 风险评价，包括对公司各项管理制度、各项经营发展计划、经营与投资方案的事前 风险评估。公司开展风险评估，应当准确 识别与实现控制目标相关的内部 风险和外部风险，确定相应的风险承受度。第三十条 公司建立 风险管理 综合信息的收集与积累机制。各职能部门及分支机构在日常工作中，应持续收集与本公司 风险相关的内外部相关信息，包括历史数据和未来预测数据，并进行整理和记录，每季结束后五个工作日内报送风险 合规管理部风险考核专员。公司各部门以及人员应在

17、获取重要风险信息后三个工作日内将信息逐级传递至董事会和监事会。第三十一条 风险管理部应对 各风险管理责任单位报送的风险信息进行统一的筛选、5提炼和规范管理，补充风险事件 库。通 过专业分析、评价、诊断，对重大风险进行提示， 组织相关部门制定具体应对方案。第三十二条 风险管理部每年 组织开展一次风险评估工作，负责从风险事件库中整理重大风险事件列表，制定风险评 价的统一标准，并根据事件的来源、影响范 围、管理需要等确定参与评估的范围。通过对 各类风险的综合分析，形成 评 估结论，确定重大风险，经经营层审核后提交风险与审计委员会审议。第三十三条 各部门制订的重大经营计划和创新业务方案应包含业务部门自

18、身对于计划、方案的风险判断和采取的 风险管理措施，并由 风险与审计 委员会对计划、方案的市场风险、合规风险、信用风险、操作 风险、声誉风险、管理 风险和道德风险等进行确认， 对风险发生的概率及其产生结果的影响程度进行评估， 对计划、方案中相应的风险管理措施是否充分有效等进行分析，并出具风险评 估意见书。 第三十四条 公司应当将内部控制相关信息在内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现 的问题， 应当及时报告并加以解决。第三十五条 公司可以通过财务 会计资料、 经营管理资 料、调研报告、专项信息

19、、内部刊物、办公网络等渠道，获取内部信息。公司应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。第二节 风险的控制第三十六条 承担风险控制直接 责任的部门应当结合风险评估结果，运用相 应的控制措施，将风险控制在可承受度之内。第三十七条 控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。第三十八条 不相容职务分离控制要求公司全面系 统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。第三十九条 授权审批控制要求公司根据收取管理制度中一般授权和临时

20、授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责 任。第四十条 会 计系统控制要求公司 严格执行国家统一的会计准则制度，加 强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。公司应当依法设置会计机构，配 备会计从业人员。从事会 计 工作的人员，必须取得会计从业资格证书。会计机构负责 人应当具备会计师以上专业 技术职务资格。第四十一条 财产保护控制要求公司建立财产日常管理制度和定期清查制度，采取财产记录、 实物保管、定期盘点、账实 核对等措施，确保财产安全。公司应当严格限制未经授权的人员接触和处置财产。第四十二条 预算控制要求公司 实施全面预算

21、管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编 制、 审定、下达和执行程序，强化预算约束。第四十三条 运营分析控制要求公司建立运 营情况分析制度，经营层应当综合运用主营业务、投资、筹资、财务等方面的信息，通过因素分析、 对 比分析、 趋势分析等方法，定期开展运营情况分析，发现存在的 问题，及 时查明原因并加以改 进。第四十四条 绩效考评控制要求公司建立和 实施绩效考评制度，科学 设置考核指标体系，对公司内部各责任单位和全体 员工的业绩进行定期考核和客 观评价，将考 评结果作为确定员工薪酬以及职务晋升、评优 、降 级、调岗、辞退等的依据。公司应当建立风险控制的激励约束机制，将各责任

22、单位和全体 员工实施内部控制的情况 纳入绩效考评体系，促 进内部控制的有效实施。第四十五条 投资与资产处置项目控制要求公司建立和实施投资与资产处置的项目管6理办法，明确立项、尽职调查与风险评估、决策、 项目组与管理、谈判与签约管理、履约管理、争议处置、项目后评估等管理流程，控制投资与资产处置的 风险，避免错误决策、不必要的损失或额外成本。第四十六条 公司应当根据内部控制目标， 结合风险应对策略，综合运用控制措施， 对各种业务和事项实施有效控制。第三节 风险监控报告及预警第四十七条 风险合规管理部负责设置各类业务的风险控制关键指标。第四十八条 风险管理责任单位应对其管理的重大风险和相关风险进行持

23、续的日常监控。开展风险监控时需要对 以下风险信息予以持续关注：（一）关键风险指标的变化情况；（二）新出现的风险或原有风险的重大变化；（三）既定风险应对方案的执行情况及执行效果。第四十九条 风险管理责任单位应对风险监控结果进行分析评价，包括风险变化的原因、潜在影响、变化趋势以及 对跨部门风险应对方案的调整建议等，各职能部门、分支机构及外派人员应每季度结束后五个工作日内向风险合规管理部上报本部门的风险管理情况报告。第五十条 当风险监控分析结果中关键监控指标达到预警值，风险管理责任单位应以风险预警快报形式三个工作日内向风险合规管理部报告，并积极采取防范措施，将 实施结果及时提交风险合规管理部。第五十

24、一条 风险合规管理部根据提交的风险监控分析结果以及风险预警快报，对风险情况进行汇总分析和评价，包括年度重大风险的变化和 应对情况、 风险承受度的执行情况、风险排序的变化情况等，并将以上信息 归入风险库存档。同时根据风险的重大变化提出跨部门的风险应对建议。第五十二条 风险合规管理部根据风险监控信息， 编制风险管理报告，并逐 级上报董事会审批。公司的风险管理报告分为定期（每半年度）的全面风险管理报告和不定期的专项风险报告。定期的风险管理报告是 对一定期限内公司 经营发展中存在的风险和纠正的情况进行的汇总报告；不定期专项风险报告是对监控中或风险专项检查中发现的重大风险或风险隐患问题进行的专项报告。风

25、险报 告要按照 规定的报告程序报 送公司领导、相关部 门和履行垂直管理职责的管理部门。第五十三条 董事会应审批风险管理报告，及 时了解公司风险情况。 对于报告中涉及的重大风险应对策略调整方案、 风险 承受度调整方案和其他需要决策的重大事项， 应召开会议进行审批。第四节 突发重大风险事件应对第五十四条 公司建立灵敏高效的危机处理和应急管理机制，以降低风险损失。对新出现的、缺乏风险应急预案的重大 风险， 经营层、相关部门应立即协调，组织人员研究制定风险应对预案，并报公司风险与 审计委员会审批后实施。 从便于报告管理和处置管理的角度出发，公司的突 发风险 与危机等级划分为：一般性内部风险（指预期经济

26、损失不超过50万元人民币或发生涉讼纠纷金额不超过200万人民币，或声誉受外部微小影响的风险），中等 风险（指预期经济损失超 过50万元但在500万元人民币以内或发生涉讼纠纷金额达200万人民币以上但在1000万人民币以内，或声誉受外部较大影响但仍可控的风险），重大风险（指 预期经济损失超过500万元人民 币或发生涉讼纠纷金额超过1000万人民币，或对公司声誉、经营活动和内部管理、资产安全造成强大压力和外部负面影响的事件，或影响公司存续的危机事件）。7第五十五条 当风险已经发 生，任何第一手接触或 认知到风险的人员均必须向其上一级管理者报告，同时报送风险 合规管理部。接获该报告信息的上一级管理者

27、应及时组织有关部门、相关人员对风险进行初步的评判，确定是属于一般性内部风险 、中等 风险，还是重大风险。 对一般性风险，该接获报告信息的上一级管理者应立即书面向分管副总裁报告；对中等风险， 该接获报告信息的上一级管理者应立即向分管副总裁、总裁、董事会风险与审计委员会主任 报告并由总裁责成有关机构负责人或有关人员负责组织处理；对重大风险，该接获报告信息的上一 级管理者应立即向总裁、董事会风险与审计委员会主任、董事 长报告并由董事长责 成有关机构负责人或有关人员负责组织处理。对于无法识别风险 等级的风险，接 获该报告信息的人 员应立即向分管副总裁、董事会风险与审计委员会主任报告，以便后者区分 风险

28、等 级并组织处置。第五十六条 对于已经知悉的重大风险或公司危机，董事长、风险与审计委员会主任委员、分管副总裁应尽快启动危机 处理程序。 第五十七条 重大风险或公司危机处理应对程序：（一） 成立风险和危机的处理机构 该类危机发生后，公司应在第一 时间成立危机处理小组；对 于极其重大的危机， 该小组应由董事长担任组长；对于其他重大的危机，由董事 长指定 风险与审计委员会成员、 总裁、分管副总裁担任组长。小组成员 至少应包括：董事会代表、 发 生危机单位的第一负责人、营运与财务部、风险合规管理部、稽核审计部负责人及公司法律顾问 和其他相关人员。董事会应授权危机处理小组为处理危机事件的最高权力机构和协

29、调机构，有权调动公司可用资源；危机处理小组组长有权独立代表公司作出声明、承诺或妥协。有必要 时，危机处理小组应分为决策组、执行组 ，分清 权责，避免危机处置中的擅自决策与无人监督。（二） 制订危机处理计划 危机处理小组应及时根据现有的资料和信息，以及公司 拥 有或可支配的资源来制订危机处理计划。计划必须体现出危机 处理目标、程序、组织、人员及分工、后勤保障、行动时间表以及各个阶段要实现的目标，同 时还应包括社会资源的 调动和支配、 费用控制和实施责任人及其目标。计划制订完成并 获通过后， 应立即开始进行资 源调配和准备，展开全面的危机处理行动。（三） 危机处理1、对于尚未造成社会影响的事件，在

30、 对危机事件进行详细 的调查了解和核实的基础上，根据法律和公理，果断做出处 理决定，以避免事 态的进一步 恶化。2、对于已造成社会影响的事件，应保持与社会各方的良好沟通，及时披露事实真相，以有助于对事件做出客观公正的报道和评价。 3、在处理过程中，应处理好与危机事件对方当事人的关系，及时安抚，避免出现纠纷。4、在事件处理的全过程，危机处理小组均应与当地政府、监管机构保持紧密联系，及时通报事件进展。 （四） 总结与责任认定 危机事件处理完成后，危机处 理小组应及时提交总结报告，如实反映事件的起因、发生过程、处理方法和结果、责任认定、反映的问题等，并提出整改建议或意见，以避免新的风险和危机发生。第

31、五章 风险管理的监督与考核第五十八条 公司建立风险监督与考核机制。风险管理的监督与考核，是指对风险管理的效果和效率进行持续监督与考核评价，包括 对公司各部 门及分支机构的风险管理工作执行情况进行定期检查，对风险 管理工作任务的完成情况进 行考核，并根据 监督或考核的结果，8对公司风险管理工作进行改进与提升。 第五十九条 风险与审计委 员会对各部门及分支机构的经营计划、方案的 实施进行实时监控，及时对各类信息进行 记录、 汇总、分析和处理，并保留风险管理记录。各部门及分支机构向风险与审计委员会报送本单位业务风险情况。各部门及分支机构所有涉及风险管理的相关资料必须向风险与审计委员会报备，或向 风险

32、与审计 委员会开放信息系统。 风险与审计委员会有权检查原始资料。 第六十条 在 风险监控中发现问题时， 风险与审计委员会可以决定进行风险专项检查，必要时可指定稽核审计部进行重点内控审计或组织专项内控审计。对其它不方便检查或无法检查的事项，风险与审计委 员会有权向公司有关部门提出 风险管理建议。 第六十一条 稽核审计部负责风险 内部监督与评价。内部监督与评价分为日常监督与评价、专项监督与评价。第六十二条 日常 监督与评价是指稽核审计部对建立与实施内部控制的情况进行常规、持续的监督检查，对公司风险 管理总体状态和内部控制的效率与效果 进行检查和评价。第六十三条 专项监督与评价是指稽核审计部在企业发

33、展 战略、组织结构、经营活动、业务流程、关键岗位员工等发生 较大调整或变化的情况下， 对 内部控制的某一或者某些方面进行有针对性的监督检查。专项监 督的范围和频率应当根据 风险评估结果以及日常监督的有效性等予以确定。第六十四条 公司各职能部门负责人、各员工，有 对涉及所属岗位的风险管理年度工作开展的自我监督和对下一级员工的风险管理工作实施监督的责任，并应当在年度工作总结时专门说明具体风险管理工作、 风险事件处置、 风险管理职 能履行等相关事项。第六十五条 内部控制缺陷包括 设计缺陷和运行缺陷。内部控制缺陷认定标准由稽核审计部拟定并逐级提交董事长核准。第六十六条 对监督过程中发现的内部控制缺陷，

34、应当分析缺陷的性质和产生的原因，提出整改方案，并及时向风控 总监报告。第六十七条 稽核审计部应当跟踪内部控制缺陷整改情况， 对于整改不到位的，有权向公司提请追究相关部室或者责任人的责任。第六十八条 公司应当结合内部 监督情况，定期（每半年度）由稽核审计部负责组织对公司及分支机构内部控制的有效性进行自我评价，出具 风险 管理监督评价审计综合报告或系统风险评价报告。第六十九条 公司建立多层级风险责 任机制。各部 门风险管理工作纳入风险管理绩效考核体系：（一） 公司为第一级风险管理单位，董事长、 总裁为风险责任承担人，全盘负责本公司的风险管理；、副总裁（总监）具体 负责下属部门的风险管理。 （二）

35、各部门或分支机构按照组织架构细分为第二级风险管理单位，每个风险管理单位的负责人为风险责任承担人，全 盘负责本部门的风险管理； （三）各部门或分支机构必须评估每一个操作程序所遇到的风险，再把每一个风险细分，并制定风险管理的操作程序； （四） 各级风险单 位必须把风险管理的责任落实到每一环节的相关人员，真正做到风险控制到人。 第七十条 年度 风险管理考核指 标与考核标准由风险合规管理部负责拟定， 经与风险与审计委员会、绩效考核委员 会和人力资源部门进行沟通确定后，逐级报公司董事会批准。第七十一条 公司制定考核指标和考核标准主要考虑以下方面： （一） 公司风险管理体系或部门风险管理流程的建设工作按计

36、划进度完成情况； （二） 对公司或部门的重大风险进行系统的评估或预防的情况； 9（三） 根据公司风险管理策略，落 实部门有关风险的管理制度和流程及 实施的情况； （四） 对公司或部门的风险管理职责进行清晰的界定和落实的情况； （五） 风险相关报告和预警工作的及时、有效性情况；（六） 超出预警范围的重大风险发生并对公司经营目标造成重大影响的情况。第六章 风险管理文化的建设第七十二条 公司应将风险管理文化建设作为发展战略的组成部分，培育和塑造良好的风险管理文化，促进全面风险 管理目标的实现。第七十三条 公司应营造合 规经营的制度文化环境，将风险管理文化融于公司文化建设的全过程中，在相关政策和制度文

37、件中明确规定风险管理文化的建 设要求和内容，在各 层面营造风险管理文化的氛围。公司 应当加强员工的道德风险 意识、 风险责任意识和法制观念的培养和教育，增强全员的道德 观、 责任心和风险意识，维护公司利益。第七十四条 公司应引导员工遵循良好的行为准则和道德规范，增强风险管理意识，培养按制度规章办事的习惯。第七十五条 公司应制定严格的标准， 对人员聘用、提拔 环节进 行控制，做到能上能下、能进能出，人尽其才、才尽其用，根据每一个员工的特点安排合适的岗位。第七十六条 公司在引进高层次高素质人才的同时， 应注重对现有员工的培养，形成人才梯次。第七十七条 公司应将对员 工风险意识和风险管理的培训纳入培

38、训计划。通 过各类风险案例教育和公司制度流程培训，对公司全体人员进行岗 前和上岗后的持续性风险管理培训。 第七十八条 公司应建立和 强化对风险管理考核的激励和约束机制，完善 风险考核体系，引导员工逐步形成良好的 风险管理意识，并将 这种意识 运用到工作当中。第七章 责任追究第七十九条 对于员工违反公司风险管理制度的行为， 风险合规管理部、稽核审计部或分管副总裁均可提出处理建议， 报请总裁批准后，由人力 资 源部门落实对具体责任人进行追责和处罚。对于经营层、部门负责人违反风险管理制度的行 为，风险与审计委员会有权向董事长提出处理建议。对于董事、经营层违反公司风险管理制度的行 为，监事会有权向股东

39、大会提出处理建议。 第八十条 对 因决策失误、管理失职、行 为失当、 违规违法等原因致使公司出现一般性风险、中等风险的责任人及单 位负责人，可 视情节轻重、损失大小、责任人的态度给予责任人降薪降职、解除其职务、除名辞退等处理，并有权要求其赔偿损失。对因决策失误、管理失职、行为失当、违规违法等原因致使公司出现重大风险或危机，并造成有形或无形损失的责任人及单位负责人，应追究其直接 责任或领导责任（含刑事 责任、行政 责任、民事责任），并有权要求其赔偿损失；公司有权解除其职务、终止劳动关系。第八十一条 对因决策失误、管理失职、违规违法等原因致使公司业务出现风险的，其问责范围和追责程序按公司业务责任追究办法执行。第八章 附 则第八十二条 本办法由董事会授权风险与审计委员会负责解释。 第八十三条 本办法自颁布之日起实施。