中央企业全面风险管理指引

1/12

国有企业全面风险管理框架

目录

第一章总则

第二章基本要求

第三章组织体系

第四章管理系统

第五章管理文化

第六章考核与追究

第一章总则

第一条为进一步管控国有企业经营、投资、财务、税务、安全等

涉企风险，提高国有企业管理水平和市场竞争力，根据《公司法》、《企

业国有资产监督管理暂行条例》等法律法规，参照《中央企业全面风险

管理指引》，制定本框架。

第二条本框架适用于国有独资和国有控股企业。

第三条本框架所称企业风险，是指未来的不确定性对企业实现其

经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风

险、运营风险、法律风险等。

第四条本框架所称全面风险管理，是指企业围绕总体经营目标，

建立健全全面风险管理体系，通过在企业管理和企业经营的各个环节执

行风险管理的基本流程，培育良好的风险管理文化，从而为实现风险管

2/12

理的总体目标提供有效保证的过程和方法。

第五条国有企业开展全面风险管理的总体目标是：

（一）确保将风险控制在与企业战略目标相适应并可承受的范围

内。

（二）确保内外部，尤其是企业与股东之间实现真实可靠的信息沟

通。

（三）确保遵守有关法律法规。

（四）确保企业规章和制度措施的贯彻执行，保障经营管理的有效

性，减少实现经营目标的不确定性。

（五）确保企业建立针对各项重大风险发生后的危机处理计划，保

护企业不因灾害性风险或人为失误而遭受重大损失。

第六条企业开展全面风险管理工作应与其他管理工作紧密结合，

把风险管理的各项要求融入企业管理和业务流程中，特别加强对重大风

险、重大事件的管理和重要流程的内部控制工作。

第二章基本要求

第七条国有企业开展全面风险管理工作，应包括以下内容：

（一）收集风险管理初始信息。

风险管理初始信息是企业全面风险管理工作的基础依据，包括与风

险及风险管理相关的宏观经济、政策法规、市场状况、技术革新、公司

资源、财务状况、人力配置、管理措施、工具应用、信息报告等方面的

信息。

（二）进行风险评估。

风险评估是企业及时辨识、科学分析和评价影响经营管理目标实现

3/12

的各种不确定因素并确定重大风险的过程，包括风险辨识、风险分析、

风险评价三个主要步骤。

（三）制定风险管理策略。

风险管理策略是企业根据自身条件和外部环境，围绕企业发展战

略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承

担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制

等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资

源的配置原则。

（四）提出风险管理解决方案。

风险管理解决方案是风险管理策略分解落实到具体风险的管理措

施，一般包括：风险管理的具体目标，具体风险的对策，风险管理的组

织领导、管理流程、投入资源，风险事件发生前、中、后可采取的具体

管理措施及风险管理工具。

（五）完善内部控制系统。

内部控制系统是指围绕风险管理策略目标，针对企业战略、规划、

产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资

源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项

业务管理及其重要业务流程，制定并执行的风险管理规章制度、程序和

措施。

（六）建立风险管理的监督与改进机制。

风险管理的监督是及时跟踪风险及管理状况，传递、汇总与分析相

关信息，并按管理需求生成与提交报告的过程，企业根据风险监督结果

对风险管理工作进行相应改进与提升，从而保证企业全面风险管理的效

4/12

果。

第八条实施全面风险管理，应广泛、持续不断地收集与本企业风

险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。

应把收集初始信息的职责分工落实到各有关职能部门和业务单位，并根

据实际情况选择合适的形式进行记录和整理，根据风险管理和监控的结

果，对相关信息进行补充与修订，建设并及时更新风险信息库。

第九条企业应定期（每年至少一次）开展风险评估工作，并形成

风险评估报告。企业风险评估包括对企业各层面、各业务单元、各项重

要经营活动及其重要业务流程中存在的风险进行全面辨识；对辨识出的

风险及其特征进行明确的定义描述，分析发生风险可能性的高低、风险

发生的条件；通过定性或定量分析，评价风险对企业实现目标的影响程

度；对各项风险进行比较，确定对各项风险的管理优先顺序和策略。

第十条企业应根据发展战略、风险评估结果和自身条件，制定统

一的风险管理策略。在制定风险管理策略中，应确定企业统一的风险偏

好与风险承受度，并据此确定风险的预警线及相应采取的对策，同时明

确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措

施等总体安排。

第十一条企业应定期总结和分析已制定风险管理策略的有效性和

合理性，根据风险评估结果，结合管理实际情况不断修订和完善。其

中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结

果是否有效，并提出定性或定量的有效性标准。

第十二条企业应组织各层面、各部门、各业务单位根据风险管理

策略，针对各类风险或每一项重大风险制定风险管理解决方案。其中外

5/12

包方案应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保

护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防

和控制措施。应当按照各有关部门和业务单位的职责分工，认真组织实

施风险管理解决方案，确保各项措施落实到位。

第十三条企业应建设内部控制系统，通过制度、程序、措施等要

素来落实风险管理解决方案的具体内容。企业建设内控系统应针对重大

风险所涉及的各项管理及业务流程，制定涵盖各个环节的全流程控制措

施；同时对其他风险所涉及的业务流程，应把关键环节作为控制点，采

取相应的控制措施。

第十四条企业制定内控措施，一般应包括以下内容：

（一）建立内控岗位授权制度。

对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度

等，任何组织和个人不得超越授权做出风险性决定。

（二）建立内控报告制度。

明确规定报告人与接受报告人，报告的时间、内容、频率、传递路

线、负责处理报告的部门和人员等。

（三）建立内控批准制度。

对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额

度、必备文件以权批准的部门和人员及其相应责任。

（四）建立内控责任制度。

按照权利、义务和责任相统一的原则，明确规定各有关部门和业务

单位、岗位、人员应负的责任和奖惩制度。

（五）建立内控审计检查制度。

6/12

结合内控的有关要求、方法、标准与流程，明确规定审计检查的对

象、内容、方式和负责审计检查的部门等。

（六）建立内控考核评价制度。

具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂

钩。

（七）建立重大风险预警制度。

对重大风险进行持续不断的监测，及时发布预警信息，制定应急预

案，并根据情况变化调整控制措施。

（八）建立健全企业法律顾问制度。

加强企业法律风险防控机制建设，形成由企业决策层主导、企业总

法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律

风险责任体系。

（九）建立重要岗位权力制衡制度。

明确规定不相容职责的分离，主要包括：授权批准、业务经办、会

计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置

一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员对其

应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点

等。

第十五条企业应建立贯穿于整个风险管理基本流程，连接各上下

级、各部门和业务单位的风险管理信息沟通渠道和报告机制，确保信息

沟通的及时、准确、完整，为风险管理决策、监督与改进奠定基础。

第十六条企业风险管理专职部门应定期对各部门和业务单位风险

管理工作实施情况和有效性进行检查和检验，提出调整或改进建议，并

7/12

结合各部门的风险监控报告结果出具综合分析报告，及时报送经营决策

层。

第十七条企业内部审计部门每年至少一次对包括风险管理职能部

门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及

其工作效果进行监督评价，监督评价报告应直接报送董事会。此项工作

也可结合年度审计、任期审计或专项审计工作一并开展。

第十八条企业经理层每年向董事会提交完整的企业全面风险管理

年度工作报告，报告应包括以下主要内容：

（一）企业当前的重大风险及其影响分析。

（二）风险管理监督评价中发现的主要问题及其管理或改进状况。

（三）上一年度全面风险管理主要工作任务的完成情况。

（四）下一年度全面风险管理主要的工作计划。

第十九条企业应向上级部门报告重大风险信息。

企业董事会在每年向上级部门报告工作时应将本企业的全面风险管

理情况作为重点内容之一。

第三章组织体系

第二十条企业应建立健全风险管理组织体系，主要包括规范的公

司法人治理结构，风险管理专职部门、内部审计部门和法律事务部门以

及其他有关职能部门、业务单位的组织领导机构及其职责。

第二十一条董事会在全面风险管理工作中主要履行以下职责：

（一）审议并向上级部门提交企业全面风险管理年度工作报告。

（二）确定企业风险管理总体目标、风险偏好、风险承受度，批准

风险管理策略和重大风险管理解决方案。

8/12

（三）了解和掌握企业面临的各项重大风险及其风险管理现状，做

出有效控制风险的决策。

（四）批准重大决策、重大风险、重大事件和重要业务流程的判断

标准或判断机制。

（五）批准重大决策的风险评估报告。

（六）批准内部审计部门提交的风险管理监督评价审计报告。

（七）批准风险管理组织机构设置及其职责方案。

（八）批准风险管理措施，纠正和处理任何组织或个人超越风险管

理制度做出的风险性决定的行为。

（九）督导培育风险管理文化。

（十）全面风险管理其他重大事项。

第二十二条董事会应设立风险管理和审计委员会。委员会召集人

应由外部董事担任。该委员会成员中需有熟悉企业重要管理及业务流程

的董事，以及具备风险管理经验的董事。

第二十三条风险管理和审计委员会对董事会负责，在风险管理方

面履行以下职责：

（一）审议全面风险管理年度报告。

（二）审议风险管理策略和重大风险管理解决方案。

（三）审议重大决策、重大风险、重大事件和重要业务流程的判断

标准或判断机制，以及重大决策的风险评估报告。

（四）审议内部审计部门提交的风险管理监督评价审计综合报告。

（五）审议风险管理组织机构设置及其职责方案。

（六）办理董事会授权的有关全面风险管理的其他事项。

9/12

第二十四条企业总经理对全面风险管理工作的有效性向董事会负

责。总经理或总经理委托的高级管理人员，负责组织全面风险管理的日

常工作。

第二十五条企业应设立专职部门或确定相关职能部门履行全面风

险管理的职责。该部门对总经理或其委托的高级管理人员负责，主要履

行以下职责：

（一）研究提出全面风险管理工作报告。

（二）研究提出跨职能部门的重大决策、重大风险、重大事件和重

要业务流程的判断标准或判断机制。

（三）研究提出跨职能部门的重大决策风险评估报告。

（四）研究提出风险管理策略和跨职能部门的重大风险管理解决方

案，并负责该方案的组织实施和对该风险的日常监控。

（五）负责对全面风险管理有效性评估，研究提出全面风险管理的

改进方案。

（六）负责组织建立风险管理信息系统。

（七）负责组织协调全面风险管理日常工作。

（八）负责指导、监督有关职能部门、各业务单位以及全资、控股

子企业开展全面风险管理工作。

（九）办理全面风险管理其他有关工作。

第二十六条企业应通过法定程序，指导和监督其全资、控股子企

业建立与企业相适应或符合全资、控股子企业自身特点，能有效发挥作

用的风险管理组织体系。

第四章管理系统

10/12

第二十七条企业应将信息技术应用于全面风险管理的各项工作，

建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系

统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露

等。

第二十八条应确保向风险管理信息系统输入的业务数据和风险量

化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的

数据，未经批准，不得更改。

第二十九条风险管理信息系统应能够进行对各种风险的计量和定

量分析、定量测试；能够实时反映重大风险和重要业务流程的监控状

态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险

管理内部信息报告制度和企业对外信息披露管理制度的要求。

第五章管理文化

第三十条企业应注重建立具有风险意识的企业文化，促进企业风

险管理水平、员工风险管理素质的提升，保障企业全面风险管理目标的

实现。

第三十一条企业风险管理文化建设应与薪酬制度和人事制度相结

合，有利于增强各级管理人员特别是高级管理人员的风险意识，防止忽

视风险行为的发生。

第三十二条建立重要管理及业务流程、风险控制点的管理人员和

业务操作人员岗前风险管理培训制度。采取多种途径和形式，加强对风

险管理理念、知识、流程、管控核心内容的培训，培养风险管理人才，

培育风险管理文化。

第六章考核与追究

11/12

第三十三条企业应建立对全面风险管理工作的考核机制，根据本

企业全面风险管理工作情况，设定合理的考核范围、内容、标准和方

法，并将风险管理考核纳入到企业经营业绩考核之中，将风险管理考核

结果与企业员工的奖惩挂钩。

第三十四条企业全面风险管理考核主要包括对风险管理体系建设

工作的考核和对风险管理工作绩效的考核，企业可根据本单位全面风险

管理工作所处的阶段，设定合理的考核内容和侧重点。

第三十五条企业设定考核指标和考核标准，应主要考虑以下方

面：

（一）是否按计划完成了全面风险管理体系建设工作。

（二）是否对本企业的重大风险进行了系统的评估。

（三）是否根据企业的风险管理策略制定了相关风险的有效管理解

决方案并予以积极实施。

（四）企业内部的风险管理职责是否得到了清晰的界定和落实。

（五）企业风险的监控报告、预警及应急反应是否全面、及时、有

效。

（六）有无超出预警范围的重大风险发生并对企业经营目标造成重

大影响。

第三十六条企业应根据风险管理考核结果，决定各部门、各业务

单位领导人员和相关风险管理责任人的奖惩和职位变动，对出现重大风

险损失事件的责任人应追究其责任。

第三十七条上级部门将对国有企业的全面风险管理工作进行评

价，并将企业全面风险管理的评价结果作为企业领导人员业绩考核的重

12/12

要内容。