万科集团-风险管理制度

风险管理制度编制日期审核日期批准日期修订记录日期修订状态修改内容修改人审核人批准人一、制度目的建立规范、有效的风险控制体系，提高系统性风险防范能力；保证公司安全、稳健运行，提高经营管理水平。二、适用范围适用于公司范围内的危机及风险事项的预防、处理及管理。三、术语/定义1)风险:是指未来的不确定性对公司实现其经营目标的影响；2)风险管理:又名危机管理，是指对风险的预测、评估、控制的管理过程，其中包括对风险的确定、量度、评估和发展应付风险的策略。四、职责规划4.1总部风险危机领导小组1)小组组成：a)组长（领导责任）：董事长b)副组长（日常负责）：总裁c)组员：各相关部门主要负责人、法务人员2)职责：公司风险危机领导小组是公司风险管理的归口虚拟职能部门,其职责具体是：a)制定风险管理策略;b)从总体上监控控股总部及成员公司的风险管理运作;c)监控公司各部门风险管理工作并督促整改,确保《部门风险计划书》的完善;d)负责对公司风险管理系统有效性进行分析评价;3)对公司经营中的风险进行研究和评估；4.2总部合规部1)是公司风险及危机事项的常设对接部门，负责组织控股总部及成员公司风险的日常审查与分析；2)负责代表风险危机领导小组召开风险管理专题会议，组织并协助相关责任部门处理特定风险事项；4.3总部或成员公司相关部门1)是本部门相关风险事项的直接责任管理人，具体负责本部门的潜在风险的识别、预防和控制，以及指导各项目所对公司对口业务部门的风险管理工作；2)负责在本部门指定风险管控岗（兼职），负责管理本部门风险管理具体事宜，对接日常风险管理中各项日常工作，与合规部对接，报送信息资料；4.4风险危机工作小组1)风险事件处理工作小组是在风险事件发生或即将发生时成立的临时机构，在风险危机领导小组领导下，并被授权全面负责风险事件的处理工作；2)风险事件处理临时工作小组的设置，由公司风险危机领导小组根据风险(危机)类型决定，在各类风险(危机)响应预案中予以规定，或临时做出决定。五、管理规定第一节风险的种类第一条控股总部及成员公司的风险分为经营风险、业务风险、法律风险等，具体参见风险识别表（模板，供参考）。第二节风险危机体系的建设第二条合规部负责指导并组织控股总部及成员公司各部门拟定《XX部门风险计划书》，该计划书中必须包含各部门根据业务性质和特点对本年度本部门可能产生的风险的分析和应对建议。第三条各部门应当对本部门风险进行分析，确认哪些风险应当引起重视、哪些风险予以一般关注，从而为风险对策奠定基础。风险的重要程度的判断主要根据风险发生的可能性和影响程度来确定的。第四条部门风险分析的基础上,各部门分别确认“一级风险”-红色警报,“二级风险”-橙色警报，“三级风险”黄色警报,并在《XX部门风险计划书》注明,经合规部整理，统一提交公司风险危机管理小组以风险管理专题评审会议的形式评审批准。第三节风险危机体系的评审第五条公司风险危机领导小组针对部门提交的《XX部门风险计划书》进行会审，并在部门风险自评的基础上实施风险评级。第六条公司风险危机领导小组讨论部门未上报到的但经营及管理中可能存在的一级风险和二级风险。第七条根据公司风险危机领导小组风险评级结果，各部门制作《部门风险预案书》（一级及二级分别编制）,并提交公司风险危机领导小组会审。《部门风险预案书》应当包括但不限于以下内容：(一)风险级别(二)报告时间(三)报告途径(四)风险处理负责人（机构）(五)风险处理(六)恢复措施和资源需求(七)通报范围等第八条各部门制定预案时，应当注意预案与可能发生的风险规模、风险处理及恢复的难度相适应，避免将简单问题复杂化，或对复杂问题估计不足。第九条公司风险危机领导小组针对确定的每一级别风险，审查《部门风险预案书》的可行性，并进一步明确风险控制措施的实施责任部门（人员）、时间和制订具体实施方案的要求，由合规部组织各部门调整修订后，整理形成《公司风险危机管理体系》。第十条公司董事长签发《公司风险危机管理体系》，向全公司发放，作为各部门有针对性地处理相关风险事务的依据和准则。第四节风险危机体系的修正与完善第十一条合规部负责组织对部门日常风险管理内部审核工作，落实《部门风险预案书》中各项风险管理控制措施。第十二条部门日常风险管理内部审核工作原则上每半年一次;每年初制定《年度风险管理计划表》;每年12月,组织修订完善《公司风险危机管理体系》。第十三条合规部针对内审结果,发放《内部风险管理整改》,督促部门整改；并编制《公司风险内部审查报告》,上报公司风险危机领导小组成员审阅。第十四条合规部督促部门根据内审意见及时完善《XX部门风险计划书》及《部门一级/二级风险预案书》。第十五条每年12月,合规部应当按上述程序组织修订完善《公司风险危机管理体系》，按上述程序报送评审，董事长批准。第十六条每年,合规部可以根据总经理指示及实际需要，挑选若干一级风险项目及二级风险项目,组织实施“桌面推演”演练，以强化各部门风险管理的意识。第五节风险危机事件的处理第十七条各部门风险管理风控岗收到、发现风险事件发生或即将发生风险事情时，应立即按《部门风险预案书》中规定的途径进行报告，没有预案的应向公司合规部、风险危机领导小组组长直接报告。可能涉及的风险危机事项包括但不限于：客户投诉、媒体曝光、法律诉讼、安全事故、政府限制、其他风险等，以〈公司风险危机体系〉为准。第十八条各部门风险管理负责人接到风险报告后，应立即对风险事件进行核实，并按预案组织处理。1)属于“三级风险”级别的，应立即着手进行并发出黄色警报，并在事发8小时内向公司风险危机领导小组报告。2)属于“二级风险”级别的，应立即向公司总经理和分管领导报告并发出橙色警报，并同时着手进行初步的控制和处理。公司总经理、分管领导应在12小时内组建风险事件处理机构进行运作。3)属于“一级风险”级别的，应立即向风险危机领导小组全体成员通报并发出红色警报。应立即报告合规部，同时组织风险事情临时处理工作小组开展风险处理工作。第十九条风险事件的处理应遵循尽早、尽快、冷静、客观、负责的原则，并尽可能争取相关方支持和配合，特别是媒体单位和各级员工的理解和认同。第六节风险危机事件影响的恢复与控制第二十条为尽快消除风险事件的影响，恢复正常的业务运作，凡估计恢复时间超过1个月的风险事件，风险事情处理临时工作小组（负责人）应在经过详细的分析论证后，提出影响恢复计划或方案。1)“三级风险”级别的，由风险处理负责人提出风险恢复计划，分管领导批准；2)“二级风险”级别的，应经分管领导审议，本单位负责人批准，成员公司须报总部合规部备案。3)“一级风险”级别的，应由风险危机领导小组会审，公司董事长批准。第二十一条风险恢复计划应具体明确：风险事情恢复的目标和政策、恢复对象及其重要性排序、所需资源及其分配、执行责任和时间要求、费用预算等。第二十二条风险恢复计划的执行由各级风险管理责任人负责进行检查和评估，确保计划的执行的效果和效率。第七节风险事情处理的评估与总结第二十三条风险恢复后，风险事情处理临时工作小组（或部门风险负责人）应对特定风险事件处理做出全面的回顾、分析和评价，形成〈风险事情处理评估反馈报告〉。第二十四条报告应包括风险事件处理过程本身（风险处理机构设置、职责划分、资源配置、处理方案、恢复计划及其执行等），以及日常风险管理（风险识别与评估、风险预防和控制措施、风险响应预案的实际作用、风险事件中员工情绪等）。第二十五条针对报告中提出的不足和改进建议，公司分管领导负责组织实施相应的整改措施，并将整改结果与评估报告提交公司风险危机领导小组召开会议评审通过。第八节附则第二十六条本制度未尽事宜或与新颁布的法律法规、其他有关规范性文件的规定冲突的，以法律法规、其他有关规范性文件的规定为准。第二十七条本制度自发布之日起生效，原有相关制度如与本制度冲突，以本制度为准。第二十八条本制度由控股总部合规部进行起草与修正，成员公司参与讨论修改，解释权属于控股总部合规部。控股总部公司及下属各成员公司参照执行。六、支持性文件6.1流程/指引无6.2记录/表单1)年度风险管理工作计划；2)部门风险计划书；3)部门风险预案书；4)公司风险危机管理体系；5)公司风险内部审查报告；6)风险整改通知书。6.3模板/标准1)公司年度风险点识别表（参考）；2)项目风险管理计划（参考）。:://