Contenido orientativo de las Directrices de gestión integral de riesgos para empresas centrales

El artículo 1 tiene como objetivo guiar a la Comisión de Administración y Supervisión de Activos Estatales del Consejo de Estado (en adelante, la Comisión de Administración y Supervisión de Activos Estatales) del Consejo de Estado (en adelante, la Comisión de Administración y Supervisión de Activos de Propiedad Estatal) para desempeñar las responsabilidades de los inversores (en adelante, las empresas centrales) de llevar a cabo un trabajo integral de gestión de riesgos, mejorar la competitividad de las empresas y aumentar el rendimiento de las inversiones, para promover el desarrollo sostenible, saludable y desarrollo estable de las empresas, esta directriz se formula de conformidad con la "Ley de Sociedades de la República Popular China", el "Reglamento Provisional sobre la Supervisión y Administración de los Activos de Empresas de Propiedad Estatal" y otras leyes y reglamentos.

Artículo 2: Las empresas centrales implementarán estas pautas en función de sus propias condiciones reales. Los consejos de administración de las empresas centrales de propiedad totalmente estatal son responsables de supervisar la aplicación de estas Directrices para las empresas controladas por el Estado, la Comisión de Supervisión y Administración de Activos de Propiedad Estatal y los directores designados por la Comisión de Supervisión y Administración de Activos de Propiedad Estatal; La Comisión es responsable de supervisar la implementación de estos Lineamientos a través de los accionistas (asamblea general) y el consejo de administración de acuerdo con los procedimientos legales.

Artículo 3: Los riesgos empresariales mencionados en estas Directrices se refieren al impacto de las incertidumbres futuras en las empresas en el logro de sus objetivos comerciales. Los riesgos empresariales generalmente se pueden dividir en riesgos estratégicos, riesgos financieros, riesgos de mercado, riesgos operativos, riesgos legales, etc., y también se pueden dividir en riesgos puros (sólo son posibles pérdidas) como una señal de si pueden generar oportunidades de ganancias; la empresa) y el riesgo de oportunidad (la posibilidad tanto de pérdida como de ganancia).

Artículo 4 El término "gestión integral de riesgos", como se menciona en estas Directrices, significa que las empresas se centran en los objetivos comerciales generales y cultivan una buena cultura de gestión de riesgos mediante la implementación del proceso básico de gestión de riesgos en todos los aspectos de la empresa. Establecer y mejorar un sistema integral de gestión de riesgos, incluidas estrategias de gestión de riesgos, medidas de gestión financiera de riesgos, sistemas de funciones organizativas de gestión de riesgos, sistemas de información de gestión de riesgos y sistemas de control interno, a fin de proporcionar procesos y métodos de garantía razonables. para lograr el objetivo general de la gestión de riesgos.

Artículo 5 El proceso básico de gestión de riesgos al que se refieren estas Directrices incluye las siguientes tareas principales:

(1) Recopilar información inicial sobre la gestión de riesgos;

(2 ) Realizar evaluación de riesgos;

(3) Formular estrategias de gestión de riesgos;

(4) Proponer e implementar soluciones de gestión de riesgos;

(5) Supervisión de riesgos gestión y mejoras.

Artículo 6 El término "sistema de control interno", como se menciona en estas Directrices, se refiere al sistema que se centra en los objetivos estratégicos de gestión de riesgos y apunta a la estrategia corporativa, la planificación, la investigación y el desarrollo de productos, la inversión y financiación, las operaciones de mercado. , finanzas, auditoría interna, asuntos legales y recursos humanos, adquisiciones, procesamiento y fabricación, ventas, logística, calidad, seguridad de la producción, protección del medio ambiente y otros procesos comerciales importantes y de gestión empresarial, mediante la implementación de procesos básicos de gestión de riesgos, formulando. y ejecutar reglas, procedimientos y medidas.

Artículo 7 Al llevar a cabo una gestión integral de riesgos, las empresas deben esforzarse por lograr los siguientes objetivos generales de gestión de riesgos:

(1) Garantizar que los riesgos se controlen dentro de un rango que sea compatible con el objetivo general y puede ser tolerado;

(2) Garantizar una comunicación de información verdadera y confiable interna y externamente, especialmente entre empresas y accionistas, incluida la preparación y provisión de informes financieros verdaderos y confiables;

(3) ) Garantizar el cumplimiento de las leyes y reglamentos pertinentes;

(4) Garantizar la implementación de las normas y reglamentos corporativos pertinentes y las principales medidas adoptadas para lograr los objetivos comerciales, garantizar la eficacia de la gestión empresarial, y mejorar la eficiencia y eficacia de las actividades comerciales, Reducir la incertidumbre en el logro de los objetivos comerciales;

(5) Garantizar que las empresas establezcan planes de gestión de crisis para diversos riesgos importantes y proteger a las empresas de pérdidas importantes debido a riesgos catastróficos o errores humanos.

Artículo 8 Cuando las empresas realicen un trabajo de gestión integral de riesgos, deben centrarse en prevenir y controlar los riesgos que puedan causar pérdidas y daños a la empresa. Los riesgos de oportunidad también deben considerarse recursos especiales de la empresa. Al gestionarlos, pueden proporcionar beneficios a la empresa. Crear valor y promover la realización de los objetivos comerciales.

Artículo 9 Las empresas deben partir de la realidad y esforzarse por obtener resultados prácticos, centrándose en la gestión de riesgos importantes y eventos importantes (refiriéndose a los hechos posteriores a la ocurrencia de riesgos importantes) y el control interno de procesos importantes. Realizar activamente una labor de gestión integral de riesgos. Las empresas calificadas deben avanzar al máximo y establecer un sistema integral de gestión de riesgos lo antes posible; otras empresas deben formular un plan general para la gestión integral de riesgos e implementarlo paso a paso. Primero pueden elegir la estrategia de desarrollo, la adquisición de inversiones y la presentación de informes financieros. auditoría, transacciones de derivados, realizar trabajos de gestión de riesgos para uno o más negocios, como asuntos legales, seguridad de la producción y gestión de cuentas por cobrar, y establecer subsistemas de control interno únicos o múltiples. Al acumular experiencia y cultivar talentos, estableceremos y mejoraremos gradualmente un sistema integral de gestión de riesgos.

Artículo 10: El trabajo integral de gestión de riesgos de una empresa debe integrarse estrechamente con otros trabajos de gestión, y varios requisitos de gestión de riesgos deben integrarse en la gestión empresarial y los procesos comerciales. Las empresas calificadas pueden establecer tres líneas de defensa para la gestión de riesgos, es decir, los departamentos funcionales y unidades de negocios relevantes son la primera línea de defensa y el comité de gestión de riesgos dependiente de la junta directiva es la segunda línea de defensa; ; el departamento de auditoría interna y el comité de gestión de riesgos dependiente de la junta directiva son la segunda línea de defensa; el departamento de auditoría interna y el comité de gestión de riesgos dependiente de la junta directiva son la segunda línea de defensa. línea de defensa. Artículo 11 Para implementar una gestión integral de riesgos, una empresa debe recopilar amplia y continuamente información inicial interna y externa relacionada con los riesgos de la empresa y la gestión de riesgos, incluidos datos históricos y pronósticos futuros. La división de responsabilidades para la recopilación de información inicial debe asignarse a los departamentos funcionales y unidades de negocios relevantes.

Artículo 12: En términos de riesgos estratégicos, las empresas deben recopilar ampliamente los casos en los que los riesgos estratégicos de las empresas nacionales y extranjeras estuvieron fuera de control y causaron pérdidas a la empresa, y al menos recopilar la siguiente información importante relacionada a la empresa:

(1) Políticas macroeconómicas y operaciones económicas nacionales y extranjeras, condiciones de la industria y políticas industriales nacionales;

(2) Contenido relevante sobre el progreso científico y tecnológico y la tecnología. innovación;

( 3) Demanda del mercado de los productos o servicios de la empresa;

(4) Relación con los socios estratégicos de la empresa y posibilidad de buscar socios estratégicos en el futuro;

p>

(5) La información relevante sobre los principales clientes, proveedores y competidores de la empresa;

(6) La fortaleza y las brechas de la empresa en comparación con sus principales competidores;

( 7) La estrategia y planificación de desarrollo de la empresa, los planes de inversión y financiamiento, las metas comerciales anuales, las estrategias comerciales y las bases pertinentes para la elaboración de estas estrategias, planes, planes y metas.

(8) La Se ha producido o es probable que se produzca el proceso de inversión y financiación externa de la empresa. Proceso o vínculo de negocio incorrecto.

Artículo 13: En términos de riesgos financieros, las empresas deben recopilar ampliamente los casos en el país y en el extranjero en los que los riesgos financieros están fuera de control y conducen a crisis, y al menos recopilar la siguiente información importante sobre la empresa (incluida indicadores promedio de la industria o indicadores avanzados), también deben recopilarse en la medida de lo posible):

(1) Pasivos, pasivos contingentes, ratio de endeudamiento, solvencia;

(2) Flujo de caja , cuentas por cobrar y su proporción de ingresos por ventas y tasa de rotación de capital;

(3) Inventario de productos y su proporción del costo de ventas, cuentas por pagar y su proporción de compras;

( 4 ) Costos de fabricación, gastos administrativos, gastos financieros y gastos operativos;

(5) Rentabilidad;

(6) Se han producido negocios de contabilidad de costos, liquidación de fondos y administración de efectivo o Error -procesos o vínculos comerciales propensos;

(7) Políticas contables de la industria, estimaciones contables, diferencias y ajustes con los sistemas contables internacionales relacionados con la empresa (como pensiones, impuestos diferidos, etc.) y otra información.

Artículo 14: En términos de riesgos de mercado, las empresas deben recopilar ampliamente los casos en los que las empresas nacionales y extranjeras han ignorado los riesgos de mercado y han carecido de medidas de respuesta, lo que ha resultado en pérdidas para la empresa, y al menos recopilar los siguientes aspectos importantes: información relacionada con la empresa:

(1) Precios y cambios en la oferta y demanda de productos o servicios;

(2) Adecuación, estabilidad y cambios de precios en el suministro de energía, materias primas, accesorios y otros materiales;

(3) Estado crediticio de los principales clientes y proveedores principales;

(4) Cambios en las políticas fiscales, tasas de interés, tipos de cambio y existencias índices de precios;

(5) Competidores potenciales, competidores y sus principales productos y sustitutos.

Artículo 15: En términos de riesgos operativos, las empresas deben recopilar al menos la siguiente información relacionada con la empresa y la industria:

(1) Estructura del producto, investigación y desarrollo de nuevos productos ;

p>

(2) Desarrollo de nuevos mercados, estrategias de marketing, incluidos precios de productos o servicios y canales de venta, condiciones del entorno de marketing, etc.;

(3) Empresa eficacia organizacional, estado de gestión y cultura corporativa, la estructura de conocimiento y la experiencia profesional de gerentes y profesionales de nivel alto y medio en procesos comerciales importantes;

(4) Procesos y vínculos donde se han producido o se han producido errores propenso a errores en futuros y otros negocios derivados;

(5) Procesos o enlaces comerciales donde se han producido errores o son propensos a errores en calidad, seguridad, protección ambiental, seguridad de la información y otra gestión;

(6) Riesgos morales causados ​​por el personal interno y externo de la empresa. La empresa sufre pérdidas o el sistema de control empresarial falla;

(7) Desastres naturales que causan pérdidas a la empresa y otros riesgos puros. riesgos distintos de las situaciones relevantes antes mencionadas;

(8) Riesgos actuales Tener la capacidad de supervisar, evaluar y mejorar continuamente los procesos de negocio y las operaciones del sistema de información;

(9) La Estado actual y capacidades de la gestión de riesgos empresariales.

Artículo 16: En términos de riesgos legales, las empresas deben recopilar ampliamente los casos en los que las empresas nacionales y extranjeras han ignorado los riesgos legales y regulatorios y han carecido de medidas de respuesta, lo que ha resultado en pérdidas para la empresa, y al menos recopilar los siguiente información relacionada con la empresa:

(1) Entorno político y legal relacionado con la empresa en el país y en el extranjero;

(2) Nuevas leyes, regulaciones y políticas que afectan a la empresa;

(3) Cumplimiento de la ética de los empleados;

(4) Acuerdos importantes y contratos comerciales relevantes firmados por la empresa;

(5) Disputas legales importantes que surjan de la empresa;

p>

(6) Derechos de propiedad intelectual de empresas y competidores.

Artículo 17: Las empresas deben llevar a cabo la selección, el refinamiento, la comparación, la clasificación y la combinación necesarios de la información inicial recopilada para realizar la evaluación de riesgos. Artículo 18: Las empresas deben realizar evaluaciones de riesgos sobre la información inicial de gestión de riesgos recopilada y los diversos procesos comerciales importantes y de gestión comercial de la empresa. La evaluación de riesgos incluye tres pasos: identificación de riesgos, análisis de riesgos y evaluación de riesgos.

Artículo 19: La evaluación de riesgos será implementada por departamentos funcionales relevantes y unidades de negocios organizadas por la empresa. También se podrán contratar intermediarios con calificaciones, buena reputación y sólidas capacidades profesionales de gestión de riesgos para ayudar en la implementación.

Artículo 20 La identificación de riesgos se refiere a descubrir si existen riesgos y qué riesgos existen en cada unidad de negocio, cada actividad comercial importante y sus procesos comerciales importantes de la empresa. El análisis de riesgos consiste en definir y describir claramente los riesgos identificados y sus características, y analizar y describir la probabilidad de que ocurra el riesgo y las condiciones para que ocurra. La evaluación de riesgos consiste en evaluar el impacto de los riesgos en el logro de los objetivos corporativos, el valor de los riesgos, etc.

Artículo 21: Se deberán combinar métodos cualitativos y cuantitativos para la identificación, análisis y evaluación de riesgos. Los métodos cualitativos pueden utilizar cuestionarios, discusiones colectivas, consultas de expertos, análisis de escenarios, análisis de políticas, comparaciones de puntos de referencia de la industria, entrevistas gerenciales, entrevistas de trabajo realizadas por personal dedicado e investigación de encuestas, etc. Los métodos cuantitativos pueden utilizar inferencia estadística (como el método de tendencia central), simulación por computadora (como el método de análisis de Monte Carlo), análisis de modos y efectos de falla, análisis de árbol de eventos, etc.

Artículo 22 Al realizar una evaluación cuantitativa de riesgos, las unidades de medición y los modelos de medición de riesgos para cada riesgo deben formularse de manera uniforme, y los supuestos, parámetros, fuentes de datos y cuantificación del sistema de evaluación deben garantizarse mediante pruebas y otros métodos. Evaluar la razonabilidad y exactitud de los procedimientos. Es necesario revisar y modificar periódicamente los supuestos y parámetros de acuerdo con los cambios en el medio ambiente, comparar los resultados estimados del sistema de evaluación cuantitativa con los efectos reales y ajustar y mejorar los parámetros relevantes en consecuencia.

Artículo 23 El análisis de riesgos debe incluir el análisis de la relación entre riesgos, con el fin de descubrir la cobertura natural entre riesgos, las correlaciones positivas y negativas entre eventos de riesgo y otros efectos combinados, y analizar los riesgos de una estrategia de riesgo. Los riesgos se gestionan de forma unificada y centralizada.

Artículo 24 Al evaluar múltiples riesgos, una empresa debe dibujar un mapa de coordenadas de riesgo y comparar varios riesgos basándose en la evaluación de la probabilidad de que ocurra el riesgo y el grado de impacto en el objetivo. y estrategias para gestionar diversos riesgos.

Artículo 25: Las empresas deben implementar una gestión dinámica de la información de gestión de riesgos y realizar la identificación, análisis y evaluación de riesgos de forma regular o irregular para reevaluar nuevos riesgos y cambios en los riesgos originales.

Artículo 26 El término "estrategia de gestión de riesgos", tal como se menciona en estas Directrices, significa que una empresa determina las preferencias de riesgo, la tolerancia al riesgo y los estándares de eficacia de la gestión de riesgos basándose en sus propias condiciones y entorno externo y en torno a su estrategia de desarrollo, y elige la asunción de riesgos, el riesgo evitación y transferencia de riesgos, transformación de riesgos, cobertura de riesgos, compensación de riesgos, control de riesgos y otras herramientas apropiadas de gestión de riesgos, y determinar los principios de asignación de los recursos humanos y financieros necesarios para la gestión de riesgos.

Artículo 27 En circunstancias normales, se pueden adoptar la asunción de riesgos, la evitación de riesgos, la conversión de riesgos, el control de riesgos y otros métodos para los riesgos estratégicos, financieros, operativos y legales. Para los riesgos que pueden gestionarse mediante seguros, futuros, coberturas y otros medios financieros, se pueden utilizar la transferencia de riesgos, la cobertura de riesgos, la compensación de riesgos y otros métodos.

Artículo 28 Las empresas deben determinar de manera uniforme las preferencias y la tolerancia al riesgo en función de las diferentes características comerciales, es decir, qué riesgos está dispuesta a asumir, aclarar el límite mínimo y el límite máximo que no se pueden exceder, y determinar en consecuencia las líneas de advertencia de riesgos y las contramedidas correspondientes. Para determinar la preferencia y la tolerancia al riesgo, debemos comprender y captar correctamente el equilibrio entre riesgos y rendimientos, prevenir y corregir el concepto y la práctica de descuidar los riesgos, buscar rendimientos unilateralmente sin prestar atención a las condiciones y el alcance, y creer que cuanto mayor sea cuanto mayor sea el riesgo, mayor será el rendimiento; al mismo tiempo, también debemos evitar renunciar a oportunidades de desarrollo simplemente para evitar riesgos.

Artículo 29 Las empresas deben determinar además el orden de prioridad de la gestión de riesgos y aclarar el presupuesto de capital y el control de los costos de gestión de riesgos con base en el principio de equilibrar riesgos y rendimientos y la posición de cada riesgo en el mapa de coordenadas de riesgos. . Disposiciones generales sobre sistemas de organización de riesgos, recursos humanos, medidas de respuesta, etc.

Artículo 30: Las empresas deben resumir y analizar periódicamente la eficacia y racionalidad de las estrategias de gestión de riesgos establecidas, y revisarlas y mejorarlas continuamente en función de las condiciones reales. Entre ellos, debemos centrarnos en comprobar si los resultados de la implementación basada en la preferencia de riesgo, la tolerancia al riesgo y las líneas de advertencia de control de riesgos son efectivos, y proponer estándares de efectividad cualitativos o cuantitativos. Artículo 31: Las empresas deben desarrollar soluciones de gestión de riesgos para varios tipos de riesgos o cada riesgo importante basándose en estrategias de gestión de riesgos. El plan generalmente debe incluir los objetivos específicos de resolución de riesgos, el liderazgo organizacional requerido, la gestión y los procesos comerciales involucrados, las condiciones, medios y otros recursos requeridos, las medidas de respuesta específicas y la gestión de riesgos tomadas antes, durante y después de que ocurra el evento de riesgo. Herramientas (tales como: gestión de indicadores clave de riesgo, gestión de eventos de pérdida, etc.).

Artículo 32 Al formular planes de subcontratación de soluciones de gestión de riesgos, las empresas deben prestar atención al equilibrio entre costos y beneficios, la calidad del trabajo subcontratado, la protección de sus propios secretos comerciales y evitar volverse dependientes. sobre riesgos de subcontratación de soluciones, etc., y formular las correspondientes medidas de prevención y control.

Artículo 33: Las empresas que formulen planes de control interno para la resolución de riesgos deberán cumplir con los requisitos de cumplimiento, adherirse a los principios de estrategias comerciales y estrategias de riesgo consistentes, equilibrar el control de riesgos con la eficiencia y eficacia operativas y abordar los riesgos importantes. Para cada proceso de gestión y de negocio involucrado, se deben formular medidas de control de proceso completo que cubran todos los enlaces; para los procesos de negocio involucrados en otros riesgos, los enlaces clave deben considerarse como puntos de control y se deben tomar las medidas de control correspondientes.

Artículo 34: Cuando una empresa desarrolle medidas de control interno, generalmente incluirá al menos los siguientes contenidos:

(1) Establecer un sistema de autorización de puestos de control interno. Definir claramente los objetos, condiciones, alcance y monto de autorización para cada puesto involucrado en el control interno, y ninguna organización o individuo podrá tomar decisiones riesgosas más allá de la autorización;

(2) Establecer un sistema de informes de control interno. Definir claramente quién informa y la persona que recibirá el informe, hora, contenido, frecuencia, ruta de entrega, departamentos y personal responsable de manejar el informe, etc.;

(3) Establecer un sistema de aprobación de control interno . Para asuntos importantes involucrados en el control interno, estipular claramente los procedimientos, condiciones, alcance y monto de aprobación, documentos necesarios, departamentos y personal con autoridad para aprobar y sus correspondientes responsabilidades;

(4) Establecer un comité interno sistema de responsabilidad de control. De acuerdo con el principio de unificar derechos, obligaciones y responsabilidades, definir claramente las responsabilidades y los sistemas de recompensa y castigo para todos los departamentos, unidades de negocios, puestos y personal relevantes;

(5) Establecer una auditoría de control interno y sistema de inspección. Combinado con los requisitos, métodos, estándares y procesos relevantes de control interno, definir claramente los objetos, contenidos, métodos de las inspecciones de auditoría y los departamentos responsables de las inspecciones de auditoría;

(6) Establecer una evaluación del control interno y sistema de evaluación. Las empresas calificadas deben vincular la implementación de la gestión de riesgos de cada unidad de negocio con una remuneración basada en el desempeño;

(7) Establecer un sistema de alerta temprana de riesgos importantes.

Monitorear continuamente los principales riesgos, emitir información de alerta temprana de manera oportuna, formular planes de emergencia y ajustar las medidas de control de acuerdo con los cambios en las circunstancias;

(8) Establecer y mejorar un sistema de asesoría legal corporativa con el abogado general sistema como núcleo. Fortalecer vigorosamente la construcción de mecanismos corporativos de prevención de riesgos legales y conformar un sistema de responsabilidad de riesgos legales liderado por los tomadores de decisiones corporativos, liderado por el abogado general corporativo, con asesoría legal corporativa brindando garantías comerciales y con la participación conjunta de todos los empleados. Mejorar el sistema de archivo y gestión de importantes disputas legales corporativas;

(9) Establecer un sistema de controles y equilibrios de poder en puestos importantes y estipular claramente la separación de responsabilidades incompatibles. Incluyen principalmente: autorización y aprobación, manejo comercial, registros contables, custodia de propiedad, auditoría e inspección y otras responsabilidades. Para puestos importantes involucrados en el control interno, se puede establecer un puesto con dos personas, dos puestos y dos responsabilidades para aclarar las medidas de supervisión y las responsabilidades de supervisión que deben tomar y utilizar los departamentos superiores o el personal de este puesto; esta posición como auditoría interna Los puntos clave, etc.

Artículo 35: Las empresas organizarán e implementarán concienzudamente soluciones de gestión de riesgos de acuerdo con la división de responsabilidades de los departamentos y unidades de negocios pertinentes para garantizar que todas las medidas se implementen en su lugar. Artículo 36 Las empresas deben centrarse en los principales riesgos, eventos importantes, decisiones importantes, procesos comerciales y de gestión importantes, y realizar información inicial de gestión de riesgos, evaluaciones de riesgos, estrategias de gestión de riesgos, actividades de control clave y la implementación de soluciones de gestión de riesgos, utilizando métodos. tales como pruebas de estrés, pruebas de retorno, pruebas de recorrido y autoevaluación del control de riesgos para probar la efectividad de la gestión de riesgos y realizar mejoras oportunas basadas en los cambios y las deficiencias existentes.

Artículo 37 Las empresas deben establecer canales de comunicación de información de gestión de riesgos que abarquen todo el proceso de gestión de riesgos y conecten a todos los superiores y subordinados, departamentos y unidades de negocio para garantizar una comunicación de información oportuna, precisa y completa. supervisión y mejora de la gestión de riesgos.

Artículo 38 Todos los departamentos y unidades de negocios relevantes de la empresa deben realizar autoinspecciones e inspecciones del trabajo de gestión de riesgos de manera regular, descubrir rápidamente defectos y realizar mejoras, y se deben presentar sus informes de inspección y inspección. a la función de gestión de riesgos institucionales de manera oportuna.

Artículo 39 El departamento funcional de gestión de riesgos empresariales inspeccionará y probará periódicamente la implementación y eficacia del trabajo de gestión de riesgos de cada departamento y unidad de negocio, y llevará a cabo la gestión de riesgos de acuerdo con los requisitos del artículo 30 de estos Lineamientos Evaluar estrategias, evaluar soluciones de gestión de riesgos en todos los departamentos y unidades de negocio, proponer ajustes o mejoras, emitir informes de evaluación y recomendaciones y presentarlos oportunamente al gerente general de la empresa o al personal de alta dirección que éste le haya confiado. de gestión de riesgos.

Artículo 40 El departamento de auditoría interna de una empresa deberá supervisar y evaluar al menos una vez al año si los departamentos y unidades de negocio relevantes, incluidos los departamentos funcionales de gestión de riesgos, pueden llevar a cabo el trabajo de gestión de riesgos de acuerdo con las regulaciones y regulaciones pertinentes. la eficacia de su trabajo, el informe de supervisión y evaluación debe presentarse directamente al consejo de administración o al comité de gestión de riesgos y al comité de auditoría dependiente del consejo de administración. Este trabajo también puede realizarse en conjunto con auditorías anuales, auditorías de tenencia o auditorías especiales.

Artículo 41: Una empresa puede contratar una agencia intermediaria con calificaciones, buena reputación y sólidas capacidades profesionales de gestión de riesgos para evaluar el trabajo integral de gestión de riesgos de la empresa y emitir un informe especial sobre la evaluación y recomendaciones de la gestión de riesgos. El informe debe incluir generalmente el estado de implementación, defectos y sugerencias de mejora en los siguientes aspectos:

(1) Procesos básicos de gestión de riesgos y estrategias de gestión de riesgos;

(2) Principales riesgos corporativos , Construcción de sistemas de gestión de riesgos y control interno para eventos importantes y procesos importantes de gestión y negocios;

(3) Sistema organizacional y sistema de información de gestión de riesgos;

(4) Riesgo integral general Objetivo de gestión. Artículo 42 Las empresas deben establecer y mejorar el sistema organizativo de gestión de riesgos, que incluye principalmente la estructura estandarizada de gobierno corporativo corporativo, el liderazgo organizacional y las responsabilidades del departamento funcional de gestión de riesgos, el departamento de auditoría interna y el departamento de asuntos legales, así como otros departamentos funcionales relevantes y unidades de negocio.

Artículo 43 Las empresas deben establecer una estructura de gobierno corporativo sólida y estandarizada, que incluya a los accionistas (junta general) (para una empresa de propiedad totalmente estatal o una empresa de propiedad totalmente estatal, se refiere al Estado- Comisión de Supervisión y Administración de Activos de propiedad, lo mismo más adelante), la junta directiva, y la junta de supervisores, los administradores desempeñan sus funciones de conformidad con la ley y forman un mecanismo de supervisión y restricción con operación eficiente y controles y contrapesos efectivos.

Artículo 44 Las empresas de propiedad totalmente estatal y las empresas controladas por el estado deben establecer un sistema de directores externos y directores independientes. El número de directores externos y directores independientes debe exceder la mitad de todos los miembros del consejo de administración. garantizar que la junta directiva pueda tomar decisiones importantes y tomar decisiones y decisiones independientes de los gerentes en la gestión de riesgos importantes y otros aspectos.

Artículo 45: El directorio es responsable ante la asamblea general de accionistas de la eficacia del trabajo de gestión integral de riesgos. El directorio desempeña principalmente las siguientes responsabilidades en materia de gestión integral de riesgos:

(1) Revisar y presentar a los accionistas (asamblea general) el informe anual de trabajo sobre la gestión integral de riesgos de la empresa; >

(2) Determinar la gestión integral de riesgos de la empresa. El objetivo general de la gestión de riesgos, la preferencia de riesgo, la tolerancia al riesgo y la aprobación de las estrategias de gestión de riesgos y las principales soluciones de gestión de riesgos;

(3) Comprender y dominar los principales riesgos que enfrenta la empresa y su estado de gestión de riesgos, y tomar decisiones para controlar eficazmente los riesgos;

(4) Aprobación de estándares o mecanismos de juicio para decisiones importantes, riesgos importantes, eventos importantes y eventos importantes. procesos de negocio;

(5) Aprobación del informe de evaluación de riesgos de decisiones importantes;

(6) Aprobación del informe de auditoría de supervisión y evaluación de la gestión de riesgos presentado por el departamento de auditoría interna;

(7) Aprobar la estructura de la organización de gestión de riesgos y su plan de responsabilidades;

(8) Aprobar las medidas de gestión de riesgos, corregir y abordar cualquier decisión arriesgada tomada por cualquier organización o individuo más allá de la gestión de riesgos. sistema;

(9) Supervisar el cultivo de la cultura corporativa de gestión de riesgos;

(10) Otros asuntos importantes de la gestión integral de riesgos.

Artículo 46: Para las empresas calificadas, el directorio podrá establecer un comité de gestión de riesgos. El convocante del comité será el presidente del consejo de administración, quien no se desempeña simultáneamente como gerente general; si el presidente del consejo de administración se desempeña concurrentemente como gerente general, el convocante deberá ser un director externo o un director independiente; . Los miembros de este comité deben incluir directores que estén familiarizados con los procesos importantes de gestión y negocios de la empresa, así como directores que tengan conocimientos o experiencia en supervisión de la gestión de riesgos y ciertos conocimientos legales.

Artículo 47 El Comité de Gestión de Riesgos es responsable ante el Directorio y desempeña principalmente las siguientes responsabilidades:

(1) Presentar un informe anual de gestión integral de riesgos;

(2) ) Revisar las estrategias de gestión de riesgos y las principales soluciones de gestión de riesgos;

(3) Revisar los estándares o mecanismos de juicio para decisiones importantes, riesgos importantes, eventos importantes y procesos comerciales importantes, así como riesgos. informes de evaluación de decisiones importantes;

(4) Revisar el informe de auditoría integral de supervisión y evaluación de la gestión de riesgos presentado por el departamento de auditoría interna;

(5) Revisar la estructura organizacional de la gestión de riesgos; su plan de responsabilidades;

(6) Atender otros asuntos relacionados con la gestión integral de riesgos que autorice el directorio.

Artículo 48: El gerente general de una empresa será responsable ante el directorio de la eficacia de la labor de gestión integral de riesgos. El gerente general o el personal de alta dirección encomendado por el gerente general son responsables de presidir el trabajo diario de la gestión integral de riesgos, y son responsables de organizar y formular la estructura organizacional y el plan de responsabilidades de la gestión de riesgos empresariales.

Artículo 49: Las empresas deben establecer departamentos de tiempo completo o determinar departamentos funcionales relevantes para desempeñar responsabilidades integrales de gestión de riesgos. Este departamento depende del director general o de los altos directivos que éste le encomiende, y desempeña principalmente las siguientes responsabilidades:

(1) Estudiar y proponer un informe integral de gestión de riesgos;

( 2) Estudiar y proponer un informe de gestión de riesgos transfronterizos. Normas o mecanismos de juicio para decisiones importantes, riesgos importantes, eventos importantes y procesos comerciales importantes de los departamentos funcionales;

(3) Investigar y proponer informes de evaluación de riesgos para las principales decisiones de los principales departamentos interfuncionales;

(4) Investigar y proponer estrategias de gestión de riesgos y principales soluciones de gestión de riesgos en todos los departamentos funcionales, y ser responsable de la organización e implementación del plan y el seguimiento diario de la riesgo;

(5) Responsable de la gestión integral de riesgos Evaluar la efectividad, estudiar y proponer planes de mejora para la gestión integral de riesgos;

(6) Responsable de organizar y establecer la información de gestión de riesgos sistema;

(7) Responsable de organizar y coordinar el trabajo diario de gestión integral de riesgos.

(8) Responsable de orientar y supervisar los departamentos funcionales relevantes, unidades de negocio y de propiedad absoluta; y filiales controladas para realizar trabajos de gestión integral de riesgos.

(9) Realizar otros trabajos relacionados con la gestión de riesgos;

Artículo 50: Una empresa deberá establecer un comité de auditoría dependiente de la junta directiva, y el departamento de auditoría interna de la empresa será responsable del comité de auditoría.

Las responsabilidades del comité de auditoría y del departamento de auditoría interna deberán cumplir con las disposiciones pertinentes de las "Medidas provisionales para la gestión de las auditorías internas de las empresas centrales" (Orden Nº 8 de la Comisión de Administración y Supervisión de Activos Estatales). En términos de gestión de riesgos, el departamento de auditoría interna es principalmente responsable de investigar y proponer un sistema integral de supervisión y evaluación de la gestión de riesgos, formular sistemas de supervisión y evaluación relevantes, llevar a cabo la supervisión y evaluación y emitir informes de auditoría de supervisión y evaluación.

Artículo 51: Otros departamentos funcionales y unidades de negocio de la empresa aceptarán la organización, coordinación, orientación y supervisión del departamento funcional de gestión de riesgos y del departamento de auditoría interna en el trabajo de gestión integral de riesgos, y realizarán principalmente las siguientes responsabilidades:

(1) Implementar procesos básicos de gestión de riesgos;

(2) Investigar y proponer estándares de juicio para decisiones importantes, riesgos importantes, eventos importantes y procesos comerciales importantes de este departamento funcional o unidad de negocios o mecanismo de juicio;

(3) Investigar y proponer informes de evaluación de riesgos para las decisiones importantes de este departamento funcional o unidad de negocios;

(4) Hacer un buen trabajo al establecer la gestión de riesgos para este departamento funcional o unidad de negocio, el trabajo del sistema de información;

(5) hacer un buen trabajo en el cultivo de la cultura de gestión de riesgos;

(6) establecer y mejorar la gestión de riesgos subsistema de control interno de gestión del departamento funcional o unidad de negocio;

(7) Manejar otros trabajos relacionados con la gestión de riesgos.

Artículo 52 Una empresa, mediante procedimientos legales, guiará y supervisará a sus filiales de propiedad absoluta y controladas para establecer riesgos que sean adecuados para la empresa o coherentes con las características de las filiales de propiedad absoluta y controladas y puede desempeñar eficazmente un papel en la gestión del sistema organizativo. Artículo 53 Las empresas deben aplicar la tecnología de la información a todos los aspectos de la gestión de riesgos y establecer un sistema de información de gestión de riesgos que cubra los procesos básicos de gestión de riesgos y todos los aspectos del sistema de control interno, incluida la recopilación, el almacenamiento, el procesamiento, el análisis, las pruebas, la entrega y la presentación de informes de información. , divulgación, etc.

Artículo 54: Las empresas deberán tomar medidas para garantizar la coherencia, exactitud, puntualidad, disponibilidad e integridad de los datos comerciales y los valores cuantificados de riesgos ingresados ​​en el sistema de información de gestión de riesgos. Los datos ingresados ​​en el sistema de información no se pueden cambiar sin aprobación.

Artículo 55 El sistema de información de gestión de riesgos debe poder realizar mediciones, análisis cuantitativos y pruebas cuantitativas de diversos riesgos; debe poder reflejar la matriz de riesgos y el espectro de clasificación, y el estado de seguimiento de los principales riesgos; y procesos comerciales importantes en tiempo real; Ser capaz de implementar alarmas de información para riesgos importantes que excedan el límite de advertencia de riesgos; ser capaz de cumplir con los requisitos del sistema de información de información interna de gestión de riesgos y el sistema de gestión de divulgación de información externa de la empresa;

Artículo 56 El sistema de información de gestión de riesgos debe lograr la integración y el intercambio de información entre varios departamentos funcionales y unidades de negocios, que no solo pueden cumplir con los requisitos de la gestión de riesgos comerciales individuales, sino también con las necesidades de las empresas. Requisitos integrales para la gestión de riesgos de unidades de negocio y departamentos generales e interfuncionales.

Artículo 57: Las empresas deberán garantizar el funcionamiento estable y la seguridad del sistema de información de gestión de riesgos, y mejorarlo, perfeccionarlo o actualizarlo continuamente de acuerdo con las necesidades reales.

Artículo 58 Las empresas que hayan establecido o básicamente establecido un sistema de información de gestión empresarial deberán complementar, ajustar y actualizar los procesos y procedimientos de gestión existentes, y establecer un sistema completo de información de gestión de riesgos; las empresas que aún no hayan establecido un sistema de información de gestión de riesgos; El sistema de información de gestión empresarial Para los sistemas de información de gestión, la gestión de riesgos debe planificarse, diseñarse, implementarse y operarse de forma unificada de forma sincrónica con los diversos procesos de gestión empresarial y el software de gestión de la empresa. Artículo 59: Las empresas deben centrarse en establecer una cultura corporativa consciente de los riesgos, promover la mejora del nivel de gestión de riesgos empresariales y la calidad de la gestión de riesgos de los empleados, y garantizar la realización de los objetivos de gestión de riesgos empresariales.

Artículo 60: La construcción de la cultura de gestión de riesgos deberá integrarse en todo el proceso de construcción de la cultura corporativa. Cultivar y dar forma vigorosamente a una buena cultura de gestión de riesgos, establecer conceptos correctos de gestión de riesgos, mejorar la conciencia de gestión de riesgos de los empleados, transformar la conciencia de gestión de riesgos en comprensión común y acciones conscientes de los empleados y promover el establecimiento de un sistema de gestión de riesgos sistemático, estandarizado y eficiente. para el mecanismo de gestión de empresas.

Artículo 61: Las empresas deberán crear internamente una cultura de gestión de riesgos en todos los niveles. La junta directiva debe conceder gran importancia al cultivo de la cultura de gestión de riesgos, y el director general es responsable del trabajo diario de cultivar la cultura de gestión de riesgos. Los directores y altos directivos deben dar ejemplo en el fomento de una cultura de gestión de riesgos. Los gerentes y operadores comerciales de importantes procesos comerciales y de gestión y puntos de control de riesgos deben convertirse en la columna vertebral del cultivo de una cultura de gestión de riesgos.

Artículo 62: Las empresas deben fortalecer vigorosamente la educación jurídica de los empleados, formular pautas de ética e integridad para los empleados y formar una cultura de gestión de riesgos en la que todos respeten la ética y la integridad y operen de conformidad con las leyes y regulaciones.

Las empresas deben investigar seriamente y abordar las violaciones de las leyes y la ética, como el incumplimiento de las leyes y reglamentos nacionales y de las normas y reglamentos corporativos, el fraude, las malas prácticas para beneficio personal y otras violaciones de la ética y la integridad.

Artículo 63 Todos los empleados de la empresa, especialmente los gerentes de todos los niveles y los operadores comerciales, deben esforzarse por difundir la cultura de gestión de riesgos empresariales a través de diversas formas y establecer firmemente que los riesgos están en todas partes, los riesgos están en todas partes y Los riesgos están en todas partes. La conciencia y conceptos como prevenir y controlar estrictamente los riesgos puros, manejar con prudencia los riesgos de oportunidad y tener una gran responsabilidad en la gestión de riesgos laborales.

Artículo 64 La construcción de una cultura de gestión de riesgos debe combinarse con el sistema salarial y el sistema de personal, lo que ayudará a mejorar la conciencia de riesgo de los gerentes en todos los niveles, especialmente los altos directivos, y evitará la expansión ciega, uno- búsqueda unilateral del desempeño y negligencia La aparición de conductas de riesgo.

Artículo 65: Las empresas deben establecer un sistema de capacitación previa al empleo en gestión de riesgos para gerentes y operadores comerciales sobre importantes procesos comerciales y de gestión y puntos de control de riesgos. Adoptar diversos canales y formas para fortalecer la capacitación sobre conceptos, conocimientos, procesos y contenidos básicos de gestión y control de gestión de riesgos, cultivar talentos de gestión de riesgos y cultivar una cultura de gestión de riesgos. Artículo 66: Para las empresas de propiedad totalmente estatal entre las empresas centrales que no tienen una junta directiva, la reunión de la oficina de gerentes desempeñará las responsabilidades de la junta directiva en estos lineamientos, y el gerente general será responsable de la implementación de estas pautas.

Artículo 67: Los documentos de soporte para la gestión de riesgos de inversiones de la empresa central, informes financieros, transacciones de derivados, etc., se emitirán por separado.

Artículo 68: El "Apéndice" de estas Guías explica los métodos técnicos relevantes y los términos profesionales involucrados en estas Guías.

Artículo 69: La interpretación de los presentes Lineamientos corresponde a la Comisión de Supervisión y Administración de Bienes del Estado del Consejo de Estado.

Artículo 70: Los presentes Lineamientos entrarán en vigor a partir de la fecha de su emisión.