国家电网有限公司全面风险管理与内部控制办法

返回
发布时间:2022-09-28

第一章  总则

第一条 为建立健全国家电网有限公司(以下简称“公司”)全面风险管理与内部控制(以下简称“风控”)体系,强基固本,提升管理,防范风险,促进公司持续健康发展,根据《中央企业全面风险管理指引》(国资发改革〔2006〕108号)、《企业内部控制基本规范》(财会〔2008〕7号)、配套指引(财会〔2010〕11号)、《关于加强中央企业内部控制体系建设与监督工作的实施意见》(国资发监督规〔2019〕101号)等相关规定,结合公司实际制定本办法。

第二条 本办法所称全面风险管理,是指围绕公司战略目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本程序,识别可能影响战略目标实现的潜在风险,将风险控制在公司可承受范围内,为实现公司战略目标提供合理保障。公司风险一般可分为战略风险、财务风险、市场风险、运营风险、法律合规风险等。

第三条 本办法所称内部控制,是指围绕全面风险管理目标,将风险管控要求融入公司流程、制度、职责、考核、文化等方面,由公司决策层、管理层和全体员工共同实施,贯穿企业经营活动的控制过程和管理方法。

第四条 公司建立健全以风险管理为导向、内控流程为载体、规章制度为保障、授权管理为约束、内控评价为手段、信息系统为支撑,全面覆盖、全员参与、全程管控、高效协同、防范有力的风控体系,旨在防范和控制纯粹风险可能给企业造成的损失,并通过对机会风险的管理创造企业价值。合理保证实现以下目标:

(一)确保财务报告及相关信息真实、可靠;

(二)确保将风险控制在与公司战略目标相适应并可承受范围内;

(三)确保公司经营管理活动合法合规、资产安全;

(四)确保各项决策部署得到有效执行,提高经营活动效率和效果,促进公司战略目标实现。

第五条 公司风控体系建设和实施应遵循以下原则:

(一)全面性原则。公司决策层、管理层和全体员工共同实施,覆盖公司各业务,贯穿管理各层级,实现决策、执行、监督全过程管控;

(二)重要性原则。在全面覆盖的基础上,重点关注高风险领域、主要经济活动和重要业务事项,明确关键控制环节,制定风险应对措施,防范重大风险;

(三)标准化原则。与国际国内标准保持衔接,建立企业级风控体系,统一风险框架与内部控制标准,规范风控工作机制和流程,协同高效推进公司风险防控工作;

(四)持续改进原则。建立设计、执行、评价及改进闭环管理机制,动态适应公司业务范围、组织架构、风险水平等变化,实现公司风控体系持续完善与提升。

第六条 本办法适用于公司总(分)部及所属各级分公司、全资、控股单位(以下简称各级单位)。

公司各级省管产业单位及代管单位参照本办法执行。

第二章  职责分工

第七条 公司主要领导人员是风控体系监管工作第一责任人,负责组织领导建立健全覆盖各业务领域、部门、岗位,涵盖各级子企业全面有效的内控体系。总部负责公司风控体系顶层设计、建设运营、监督改进等工作,确保公司内部控制整体有效和各类风险可控在控。各级单位按照总部统筹部署,负责本单位风控体系建设与运营,并监督所属单位执行。

第八条 各级单位设立全面风险管理委员会(以下简称“风委会”),具体负责本单位风控工作,并向党组会(董事长办公会)、董事会及其专委会报告。风委会下设全面风险管理办公室(以下简称“风控办”)。总部风控办设在国网财务部。各级风委会主要职责包括:

(一)审议本单位风控相关管理要求和规范文件;

(二)审定本单位风控目标、重大风险管理策略和内部控制措施;

(三)审定本单位风险评估标准、内部控制评价标准和缺陷认定标准;

(四)审定本单位年度风控工作计划及重大风险专业管控情况报告;

(五)审议本单位年度全面风险管理与内部控制相关工作报告以及重大专项风险评估报告;

(六)督导开展本单位风险内控文化培育;

(七)审定其他重大风控事项。

第九条 各级单位应将风控各项要求融入公司管理和业务流程,在风委会的统一领导下,建立健全全面风险管理“三道防线”:第一道防线是各级单位业务部门;第二道防线是各级单位风控办或风险管理职能部门;第三道防线是各级单位审计、巡视巡察等内部监督部门。

第十条 各级单位业务部门配合本级风控办开展本专业风控工作,主要职责包括:

(一)制定本专业风控相关管理要求和规范文件;

(二)制定本专业年度风控工作计划;

(三)开展本专业风险管理信息收集、风险评估,研究确定本专业风险管理策略、重大风险预警指标,组织开展本专业内部控制评价工作,编写本专业年度风险管理与内部控制报告和专项风险评估报告;

(四)建立本专业风控体系并有效执行,编制本专业风控操作指南;

(五)应用风控信息系统功能,配合风控办动态更新本专业风控相关基础信息;

(六)负责本专业风控管理过程中重要信息记录与文件材料的收集整理、归档移交工作;

(七)指导、监督下属单位本专业风控工作。

第十一条 各级单位风控办在风委会直接领导下,负责本单位风控日常工作。主要职责包括:

(一)制定和完善风控相关规章制度;

(二)组织编制本单位年度风控工作计划,监督执行并提出考评意见;

(三)组织业务部门执行风险管理基本流程、完善内部控制体系并监督执行;

(四)组织制定本单位风险评估标准、内部控制评价标准及缺陷认定标准;

(五)组织开展风险评估和内部控制评价,编制本单位全面风险管理与内部控制相关工作报告;

(六)指导、监督下属单位风控工作,对下属单位风控情况进行考核;

(七)根据公司信息系统建设统一要求,建设和应用风控信息系统功能,组织所属单位负责日常系统应用与数据维护;

(八)组织开展风险内控文化培育工作;

(九)督促做好本单位风控管理中所形成重要信息记录与文件材料的收集整理、移交归档工作;

(十)风委会交办的其他工作。

第十二条 各级单位人资、法律部门负责组织维护好公司流程、制度、授权、岗位、职责等基础管理信息,为公司制定和形成风控标准提供支撑。

第十三条 各级单位审计、巡视巡察等内部监督部门负责对风控体系建设和实施进行监督检查,准确揭示风险隐患和内控缺陷,进一步发挥查错纠弊作用,促进公司不断优化内控体系。

第三章  风委会运作规则

第十四条 依据议事事项内容与性质,风委会会议可采取委员会会议或风控办协调会议形式。委员会会议主要审议风控相关重大事项,由风委会(副)主任负责召集,根据会议内容确定参会人员,会议召集人认为必要时,可邀请相关非委员单位或人员列席。风控办协调会议受风委会(副)主任委托,负责协调沟通风控日常事项。

第十五条 风委会可组织召开临时会议,审议突发重大风险事件、发现重大重要内部控制缺陷以及需紧急提交风委会审议的事项。召开临时会议时财务、安监、审计、法律、巡视巡察等部门应当出席会议。总部风委会会议涉及产业单位、国际单位的议题,公司产业部、国际部应出席会议;涉及金融单位或业务的议题,英大集团可列席会议。

第十六条 委员会会议听取审议事项的汇报,并组织讨论,参会人员口头或书面发表意见,形成会议决议。风控办应依据会议决议,分解会议任务,印发办公通报,组织相关部门、单位开展工作。对于会议形成的重大决议,符合公司“三重一大”决策事项的,应履行公司“三重一大”决策程序。

第十七条 经风委会(副)主任授权,由风控办负责人组织召开风控办协调会议,负责落实委员会会议决议,组织推动公司风控具体工作。风控办协调会议不定期召开,主要沟通协调和解决以下事项;

(一)协调组织相关业务部门研究风委会会议方案,征集委员会会议议题等;

(二)协调组织相关业务部门按照风控标准和管理要求,修订完善本专业业务管控标准,并在信息系统中固化落实;

(三)协调风险评估与应对工作。组织相关业务部门开展风险评估,针对评估出的重大风险,制定风险应对措施,开展风险防范;

(四)协调内部控制评价与缺陷改进工作。按照风委会确定的评价计划和内容,组织业务部门开展内部控制专题评价,及时反馈内部控制评价意见,推动内部控制缺陷整改完善;

(五)协调风控制度标准及相关管理体系修订完善工作。及时向安监、人资、法律等部门反馈内部控制评价意见,推动制度、流程、岗位、职责、授权等标准的修订完善,确保符合国家风控要求;

(六)协调督导基层单位强化风控管理工作。依据各级单位风控评价报告,组织相关业务部门研讨各级单位重大风险与内部控制情况,出具反馈意见并督导落实;

(七)完成风委会交办的其他事项。

第十八条 业务部门发现重大风险隐患和重大、重要内部控制缺陷应及时向风控办报备。对涉及重大风险或跨部门风险,业务部门可提请召开风控办协调会议研究解决。

第四章  工作规划和计划

第十九条 总部风控办应根据公司战略组织业务部门制定风控工作规划和年度风控工作计划,明确公司层面和业务部门层面风控工作,细化工作内容、目标、时间安排和预期成效等。风控工作规划纳入公司工作规划,年度风控工作计划提交总部风委会,审议后下发执行。

第二十条 各级单位根据公司战略,组织开展风控工作规划编制工作,纳入本单位工作规划。组织编制年度风控工作计划,提交本单位风委会审议。

第二十一条 各级单位风控办按照本单位年度工作计划组织业务部门开展风险管理和内部控制工作,及时做好总结、分析,每季度末20日前(节假日不顺延)业务部门将本专业工作总结报本单位风控办。

第二十二条 各级单位风控办应强化年度工作计划的执行与落实,将本单位及所属单位年度工作计划完成情况纳入年度考评。

第五章  风险管控标准

第二十三条 公司围绕重大风险管控,构建基于内控流程的风险管控标准,将风险目标、制度要求、授权规则、评价标准等嵌入内控流程,明确各级单位、各业务部门和全体员工共同遵守和实施的一系列控制程序和方法。

(一)建立统一的风险信息库,构建企业级的三级风险分类框架,规范风险评估方式与过程,明确各级风险基础信息及应对措施等内容,建立风险与流程环节、控制点的衔接关系,确保风险管理有效落地。风险基础信息主要包括风险名称、风险描述、风险成因、风险点、应对措施等。

(二)基于公司标准业务流程,按照“控什么、何时控、如何控”原则,结合重点业务领域的风险管控要求,筛选重要业务流程和关键环节,形成统一的内控流程,为风险防范提供有效的控制措施。内控流程基础信息主要包括内控流程名称、内控流程描述、关键流程步骤、关键控制点及控制内容等。

(三)公司规章制度应与公司末端内控流程风险点、关键控制点和控制措施相融合,确保规章制度的控制要求有效落地。公司风险管控标准应将通用制度中的控制性条款拆分至内控流程中的关键控制点,明确制度名称、制度文号、制度类型以及控制条款内容等。

(四)公司遵循风险控制要求和不相容岗位设置原则,将常规授权(基本授权、岗位授权)、特别授权融入风险管控标准,建立基于内控流程关键控制点的授权基础信息,明确授权管理职责分工、授权原则、授权内容。授权基础信息主要包括事项名称、岗位、权限、期限、类型等。

(五)结合公司内部控制设计与运行的实际情况,制定具体的内部控制评价标准,与内控流程的关键控制点相匹配,规范评价的原则、内容、程序、方法和报告形式等,确保内部控制评价工作有序开展。内部控制评价标准基础信息主要包括控制点、控制测试方法与步骤、控制测试要点、抽样规则、缺陷认定标准等。

第二十四条 公司风险管控标准具体由管理制度、操作指南和管理手册构成。管理制度对公司风控工作作出总体规范,明确职责分工和工作流程等内容。操作指南按专业划分,明确各专业主要风险、关键控制点及评价程序。管理手册依据管理制度和操作指南编写,融合风险、流程、制度、授权、评价等管控要素,明确各专业风险应对措施、控制要求和评价标准。

第二十五条 总部风控办适时组织开展风险管控标准的修订和评审工作。评审时应重点考虑以下因素:

(一)是否符合公司风险管理目标和控制原则;

(二)是否与外部监管要求和公司管控要求一致;

(三)对同一事项的规定是否存在冲突;

(四)实施效果与预期目标是否存在差距;

(五)其他应当考虑的重要事项。

第二十六条 各级单位可结合公司统一的风险管控标准,细化本单位的风险管控标准,并报上级单位备案。

第六章  风险信息收集与评估

第一节  风险分类框架

第二十七条 公司区分不同业务建立三级风险分类框架,总部风控办负责统一建立与维护公司一级风险和二级风险编号、名称与定义,并定期发布风险信息库。总部各业务部门需要增加、调整一级或二级风险分类的,应报总部风控办,经公司风委会审议批准后执行;公司三级风险由各专业部门、各单位制定和调整,报总部风控办备案,总部风控办根据需要适时修编风险分类框架。

第二十八条 各级风险划分原则如下:

一)一级风险是指公司主要业务领域所面临的总体性风险

(二)二级风险是指在公司各主要业务领域中的具体经营活动和管理行为所产生的风险,是对一级风险的细分。

(三)三级风险是可能导致二级风险发生的主要风险诱因,与末端内控流程相匹配,细化落实到流程步骤的风险,是对二级风险的细分。

第二节  风险信息收集

第二十九条 各级单位应以岗位为基础、以业务流程为依托,借助公司风控信息系统,动态收集内、外部风险初始信息。风险信息收集方法主要包括调查问卷、风险访谈、风险研讨、风险报告等。

第三十条 各级单位开展风险信息收集时,应重点关注以下信息。

(一)内部信息包括但不限于以下内容:

1. 公司经营管理层的职业操守、员工专业胜任能力等人力资源因素;

2. 组织机构、经营方式、资产管理、业务流程等业务运营因素;

3. 研究开发、技术投入、信息技术运用等自主创新因素;

4. 财务状况、经营成果、现金流量等财务管理因素;

5. 营运安全、员工健康、环境保护等安全环保因素;

6. 决策记录、运行痕迹、信息数据等档案管理因素;

7. 其他有关内部风险因素。

(二)外部信息包括但不限于以下内容:

1. 经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;

2. 法律法规、监管要求等法律因素;

3. 安全稳定、文化传统、社会舆论、社会信用、教育水平、消费者行为等社会因素;

4. 技术进步、工艺改进等科学技术因素;

5. 自然灾害、环境状况等自然环境因素;

6. 其他有关外部风险因素。

第三节  风险评估

第三十一条 风险评估是指依据风险评估标准,对所收集的风险信息进行系统分析,评价风险影响,确定风险值和风险等级的过程。包括全面风险评估和专项风险评估,全面风险评估每年开展一次,专项评估依据工作需要适时开展。

第三十二条 风险评估标准(具体见附件1)应区分风险发生的可能性以及风险影响程度两个维度来设置。

风险发生可能性是指风险发生的概率,按照概率水平划分为极低、低、中等、高、极高五个级别。

风险影响程度是指在公司生产经营中,若发生风险可能对安全事件、社会形象或直接经济损失等带来的影响,按照影响程度严重性划分为关注、一般、较大、重大、灾难性五个级别。

第三十三条 各级单位风控办应根据公司风险评估标准,组织业务部门研究制定本单位风险评估细化标准,经本单位风委会审批后发布。

第三十四条 各级单位应按照风险评估标准,采取既定的评估方法,分析风险发生的可能性、影响程度等,绘制风险热力图,确定风险等级,制定对各项风险的管理优先顺序和管理策略。

风险值等于风险发生可能性和风险影响程度的乘积。

风险等级分为三种:一般风险、中等风险和重大风险。

第三十五条 风险评估采用定性与定量相结合的方法。

定性方法包括问卷调查、集体讨论、专家咨询、情景分析、标杆比较、政策分析、个别访谈等。

定量方法包括概率分析、敏感性分析、统计推论、计算机模拟、失效模式与影响分析、压力测试、事件树分析等。

第三十六条 公司按照国资委要求定期组织各级单位开展风险评估工作,在此基础上,总部各业务部门组织开展专业风险评估,最终形成和确定公司风险等级分布和重大风险。

第三十七条 各级单位风控办应依据风险评估结果,对潜在风险值进行量化评估和综合分析,确定重大风险分布情况,绘制重大风险地域分布图,督促相关单位和部门针对性开展风险应对和防控。

第三十八条 专项风险评估通常在重大事项决策前,分析评价相关风险,制定应对措施,出具专项风险报告,为管理决策提供支撑。各级单位出现以下主要情形时应开展专项风险评估:

(一)全局性的重大决策和安排;

(二)战略发展目标的制定;

(三)“五年”发展规划的编制和重大调整;

(四)改革改制重组、机构调整决策;

(五)重大的投资项目;

(六)海外和非主业投资安排;

(七)重大建设方案的制定;

(八)涉及到维稳事项的决策;

(九)涉及到安全事项的决策;

(十)重大的融资决策;

(十一)其他事项。

第三十九条 专项风险评估应由各级单位相关事项或业务的主办部门提出,主办部门应牵头组织专项风险评估工作组实施风险评估,提出专项风险评估报告(可行性分析报告),报告中应充分揭示相关业务风险,制定合理有效的风险管控措施,落实责任部门,公司管理层应充分考虑风险评估结论和管理建议,将其作为专项事项决策的参考依据。

第七章  风险应对与控制

第四十条 风险应对与控制包括风险管理策略选择,风险解决方案制定,以及内部控制活动实施等。

第四十一条 风险管理策略是指公司根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。风险管理策略主要包括风险规避、风险控制、风险转移、风险承担、风险对冲、风险补偿等。

第四十二条 各级单位应根据既定的风险管理策略,按照公司风险管控标准,制定风险管理解决方案,通过手工控制和自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括以下内容:

(一)建立风险评估报告、内部控制评价报告等信息报送机制,明确规定信息报送人与接受人,信息报送的时间、内容、频率、传递路线、负责处理的部门和人员等。

(二)建立风险预警响应机制,对重大风险进行持续不断的监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施。

(三)建立法人授权、合同授权、资金分级授权等授权审批机制,明确规定授权对象、条件、范围和额度等,防止任何组织和个人超越授权做出风险性决定。

(四)建立不相容职责分离制度,对内部控制所涉及的重要岗位设置一岗双人、双职、双责,相互制约,明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任。

(五)建立信息系统控制机制,利用公司信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制。

(六)建立风险事件报告机制,明确风险事件分类报送的时间要求、报送流程,报告内容应至少包括风险事件的基本情况、时间成因、已造成的负面影响或损失、潜在风险隐患以及采取的应对措施等。

(七)建立内部审计、巡视巡察等监督机制,结合内部控制有关要求,明确规定内部监督的对象、内容、方式和责任部门等。

(八)建立企业负责人业绩考核机制,将风险管理执行情况与绩效薪酬挂钩。

第四十三条 各级单位风控办应组织业务部门,围绕年度风险评估结果,选择风险管理策略,制定风险解决方案,实施电力交易、调度控制、电力营销、运行管理、设备管理、财务管理、工程项目、物资采购、合同管理等一系列内部控制活动,加强对重大风险的过程管控,定期向风委会专题报告重大风险应对与控制情况。

第八章  评价与改进

四十四 内部控制评价是指围绕公司重大风险防控目标,对内部控制设计和执行的有效性进行评价,识别控制缺陷,形成评价结论,出具评价报告的过程。

四十五 各级单位应当根据《企业内部控制基本规范》、应用指引以及公司风险管控标准,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。

(一)开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,对内部环境的设计及实际运行情况进行认定和评价。

(二)开展风险评估机制评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。

(三)开展控制活动评价,应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,对相关控制措施的设计和运行情况进行认定和评价。

(四)开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。

(五)开展内部监督评价,应当以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,对内部监督机制的有效性进行认定和评价,重点关注监事会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。

四十六 内部控制评价程序一般包括:制定评价方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编制评价报告等。

第四十七条 内部控制评价方法主要包括个别访谈法、调查问卷法、专题讨论法、穿行测试法、实地查验法、抽样法、比较分析法和控制测试法等。

第四十八条 内部控制缺陷分为设计缺陷和执行缺陷。

(一)设计缺陷是指在内部控制设计时,缺少为实现控制目标的必要措施,或现有的措施不能满足控制要求,表现为规章制度缺失、不相容职责未有效分离、控制设计不合理等。

(二)执行缺陷是指设计合理及有效的内部控制未被正确地执行,表现为未按设计方式运行、执行人因未获得必要授权或缺乏胜任能力无法实施等。

第四十九条 缺陷认定标准应根据内部控制缺陷潜在负面影响的性质、范围等因素,从偏离目标的可能性和影响程度两个维度评估内部控制缺陷严重性。公司内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。内部控制缺陷认定标准如下:

(一)重大缺陷是指一个或多个内部控制缺陷的组合,可能导致公司严重偏离控制目标。凡有下列情形之一的,内部控制可能存在重大缺陷:

1. 缺乏民主决策程序或决策程序不科学;

2. 内部控制环境失效;

3. 高级管理层成员发生舞弊;

4. 未能及时发现或有效应对重大风险,造成严重后果;

5. 违反国家法律、法规有关规定;

6. 管理报告中存在重大错报;

7. 内部控制监督失效;

8. 关键岗位的管理人员或技术人员流失严重;

9. 在主要媒体出现负面新闻;

10. 发生重大安全生产事故;

11. 重要业务管理或操作人员明显不胜任;

12. 制度缺失、设计不合理或系统性失效,对公司经营活动产生重大影响。

(二)重要缺陷是指一个或多个内部控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致公司偏离控制目标。凡有下列情形之一的,内部控制可能存在重要缺陷:

1. 管理决策程序不完善;

2. 未能及时发现或有效应对重大风险,尚未造成一定后果;

3. 公司各类管理报告中存在重要错报的;

4. 内部控制监督不力;

5. 各级单位内部控制自评价报告与实际不符或故意隐瞒信息;

6. 管理人员或技术人员流失较多,对经营产生一定影响;

7. 在媒体出现负面新闻;

8. 业务管理或操作人员不胜任;

9. 制度缺失或设计不合理,对部分经营活动产生重要影响。

(三)一般缺陷是指由于控制设计不合理或执行不到位,造成负面影响和目标偏离,未构成重大或重要缺陷的缺陷。

五十 内部控制评价结论是依据内部控制缺陷认定标准,确定内部控制缺陷性质和影响,具体分为以下类型:

(一)内部控制有效。指不存在内部控制缺陷、单个或若干个内部控制缺陷的组合构成一个或多个一般缺陷,应出具有效性结论。

(二)内部控制有效但需补充说明。指单个或若干个内部控制缺陷的组合构成一个或多个重要缺陷,但是尚未达到重大缺陷的,可出具有效性结论,但应在内部控制评价报告中对存在的重要缺陷予以说明,包括重要缺陷性质、原因、影响程度及不认定为重大缺陷的理由。

(三)内部控制无效。指单个或若干个内部控制缺陷组合构成一个或多个重大缺陷,应出具无效性结论。

第五十一条 各级单位应以重大风险、重大事件和重大决策、重要管理活动为重点,对风险初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案实施情况进行评价,对风险管理的有效性进行检验,根据变化情况和存在缺陷及时加以改进。

第五十二条 各级单位业务部门和内部监督部门应按照本单位年度风控工作计划,对专业风控情况进行专题评价,形成专题评价报告,提交风委会审议,并对发现缺陷及时改进。

第五十三条 各级单位风控办应依据专题评价情况,对内部环境,风险评估,控制活动,信息与沟通,内部监督情况开展全面评价,出具评价报告,确定企业健康等级。

第五十四条 各级单位风控办组织相关业务部门成立内部控制评价工作组,具体实施内部控制评价工作。内部控制评价工作应具有独立性,遵循回避原则。必要时可聘请具备相应资质的咨询机构协助工作。

第五十五条 各级单位组织开展内部控制评价,运用内部控制评价方法,收集被评价单位内部控制设计与执行有效性证据,填写评价工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。

第五十六条 各级单位依据评价工作底稿,初步认定的内部控制缺陷,组织制定缺陷整改计划,跟踪并督促缺陷整改。

整改涉及风险、流程、制度、授权、评价等风控管理标准的,相关归口管理部门应及时组织对管理标准进行修订完善。

第九章  管理报告

第五十七条 公司建立完备的信息报告制度,明确风控相关信息的收集、处理和传递程序,确保信息的及时高效的沟通,促进公司风控体系有效运行。

第五十八条 公司报告类型包括全面风险管理和内部控制报告,专项风险评估报告,重大风险信息报告,实时监督报告,风险提示单(或风险警示函)等。

第五十九条 各级单位应于每年12月前组织开展年度风险评估,并对本单位内部控制有效性进行评价,形成全面风险管理和内部控制报告,经本单位风委会或相关决策机构审议通过后,于年底前报上级风控办。

第六十条 总部各业务部门应根据本专业风险评估结果编制风险管理和内部控制子报告,于每年年底报总部风控办。

总部风控办根据各二级单位、总部各部门的年度风控报告,对公司整体风险开展评估,确定公司风险等级及排序,编制公司年度全面风险管理和内部控制报告,提交公司相关决策机构审批后于次年上报国资委。

第六十一条 全面风险管理和内部控制报告内容主要包括:上年度重大风险管理情况、年度风险评估情况、重大风险管理及应对措施、内部控制缺陷及认定情况,问题及缺陷整改情况、内部控制有效性监督评价情况等。报告具体内容依据国资委要求定期调整更新。

第六十二条 专项风险评估报告经各级单位主办部门分管领导批准后报风控办备案。必要时风委会可听取专项风险评估报告执行情况汇报。

第六十三条 各级单位业务部门应按照本单位年度评估出的重大风险,开展风险的应对与防范,出具重大风险管控情况报告,向本单位风委会专题汇报。

六十四条 各级单位要建立健全重大经营风险事件报告工作机制,本单位主要领导人员是报告工作第一责任人,负责组织建立健全报告工作机制。分管风控管理工作的主要领导负责推动风控管理与业务管理等相关部门加强工作配合和信息共享,建立上下贯通、横向协同的报送机制,保障报告工作体系有序高效运行。风控管理部门要会同相关部门细化重大经营风险事件报告标准,明确责任分工,畅通报告渠道,加强对敏感性信息识别及预判预警,做到重大风险早发现、早报告、早处置。

(一)对于发生以下情形之一的重大经营风险事件或内控缺陷,各级单位应采用重大风险信息书面报告的形式于1个工作日内逐级上报至总部业务主管部门,同时由本单位风控办逐级上报至总部风控办。对于特别紧急的重大经营风险事件,应第一时间以电话等方式逐级报告至公司总部。

1. 对实现年度经营业绩目标影响超过5%或造成重大资产损失风险;

2. 被司法机关或监管机构立案调查,主要资产被查封、扣押、冻结或企业面临行政处罚等,对企业正常生产经营造成重大影响;

3. 受到境外国家、地区或国际组织出口管制、贸易制裁等,企业国际化战略或国际形象产生重大负面影响;

4. 被境内或境外媒体网络刊载,造成重大负面舆情影响;

5. 其他需要报送的情形。

(二)重大经营风险事件报送后,出现重大变化或处置工作取得重要进展的,应及时做好续报工作。对于需要长期整改落实的,应纳入重大经营风险季度监测范围,按季度报送整改情况。各单位处置或整改工作结束后3个工作日内逐级上报至总部业务主管部门,同时由本单位风控办逐级上报至总部风控办。

第六十五条 公司依据内外部监督检查、风控工作有效性评价结果、在线监控等情况,适时出具监督报告,通报各单位、各专业风险隐患和存在问题,督促问题整改落实。

第六十六条 各级单位风控办应根据风险信息收集情况,出具风险提示单(或风险警示函),督导相关业务部门和下属单位做好风险防范和应对工作。

第六十七条 各级单位风控办应定期跟进年度工作计划执行情况,向上级单位风控办报告。

第十章  信息系统

第六十八条 各级单位要结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整体规划,加大投入力度,有序组织信息系统开发、运行与维护,为全面风险管理和内部控制提供高效的技术支撑。

第六十九条 公司建设企业级的风控信息系统,涵盖风险管理和内部控制各环节,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等,提升信息沟通效率。

第七十条 各级单位根据公司信息系统建设要求,推动风控信息系统与其他信息系统建立集成与共享机制,依托人工智能、大数据等新技术应用,深入挖掘风险数据深层管理信息,满足公司整体和跨职能部门、业务单位的风险管理综合要求。

第七十一条 公司各级单位要借助风控信息系统,统一发布与维护内部控制管理办法、操作指南;强化风险量化评估,及时发布风险预警提示信息,加强重大风险过程管控,增强与外部信息互动,提升公司风险提前预警能力和实时响应水平。

第七十二条 各级单位应依托风控信息系统定期开展风险评估、内部控制评价、实时监督等各项工作。

第七十三条 各级单位应严格访问与变更、数据输入与输出、文件储存与保管、网络安全等系统控制,保证风控信息系统安全稳定运行。

第十一章  风控管理文化

第七十四条 公司应注重建立具有风险意识的企业文化,促进公司风控管理水平、员工风险管理素质的提升,保障公司风控管理目标的实现。

第七十五条 风控管理文化建设应融入企业文化建设全过程。大力培育和塑造良好的风控管理文化,树立正确的风控管理理念,增强员工风险意识,将风险管理意识转化为员工的共同认识和自觉行动,促进公司建立系统、规范、高效的风险管理机制。

第七十六条 公司要大力加强员工法律素质教育,形成人人讲道德诚信、合法合规经营的风险管理文化。对于不遵守国家法律法规和公司规章制度、弄虚作假、徇私舞弊等违法及违反道德诚信准则的行为,严肃查处。

第七十七条 公司全体员工应通过多种形式,努力传播公司风控文化,牢固树立风险无处不在、风险无时不在、岗位风险责任重大等意识和理念,严格防范纯粹风险,审慎处置机会风险。

第七十八条 各级单位应加强全面风险管理和内部控制培训、宣贯,将相关制度规定内容纳入本单位年度培训计划。有以下情形的,应组织开展风控培训:

(一)风控制度发布或重大修订;

(二)发现内部控制存在重大缺陷的;

(三)新员工入职;

(四)关键岗位员工上岗;

(五)其他需要培训的情形。

第十二章  考核与责任追究

第七十九条 各级单位应建立风控责任追究机制,将风控体系建设、执行等情况纳入企业负责人年度业绩考核和全员绩效考核体系。

第八十条 对于风险防范不力造成重大风险事件,或内部控制执行不力存在重大缺陷的,应严肃追究相关单位和个人责任。

第十三章  附则

第八十一条 本办法由公司风控办负责解释并监督执行。

第八十二条 本办法自2020年6月20日起施行。原《国家电网公司全面风险管理与内部控制办法》(国家电网企管〔2018〕96号之国网(财/2)155-2018)同时废止。

附件:国家电网公司风险评估标准及等级分布

 

附件

国家电网有限公司风险评估标准及等级分布

风险影响程度风险发生可能性
级别安全事件社会形象直接经济损失极低(1中等(3极高(5
-2-4
关注符合《国家电网公司安全事故调查规程》的五、六级安全事件在县所辖范围内受到影响,但该影响可由所辖公司短期内自行消除100万元以下12345
-1
一般符合《国家电网公司安全事故调查规程》的一般事故在地市范围内受到影响,但该影响需要一定时间,付出一定代价消除100万元及以上、1000万元以下246810
-2
较大符合《国家电网公司安全事故调查规程》的较大事故在省范围内受到影响,但该影响需要一定时间,付出一定代价消除1000万元及以上、5000万元元以下3691215
-3
重大符合《国家电网公司安全事故调查规程》的重大事故在全国范围内受到影响,这种影响需要通过长时间努力,付出巨额代价消除5000万元及以上、1亿元以下48121620
-4
灾难性符合《国家电网公司安全事故调查规程》的特别重大事故在国际范围内受到影响,这种影响难以消除1亿元及以上510152025
-5

注:1.风险发生可能性是指风险发生的概率,按照概率水平划分为极低(1)、低(2)、中等(3)、高(4)、极高(5)五个级别。其中:极低是指公司可能每5年以上发生该类风险低是指公司可能每1-5年发生该类风险中等是指公司可能每年发生该类风险;高是指公司可能每半年发生该类风险;极高是指公司可能每月发生该类风险。  

2.风险影响程度是指:若发生风险可能对公司安全事件、社会形象或直接经济损失等带来的影响。按照影响程度严重性划分为:关注(1)、一般(2)、较大(3)、重大(4)、灾难性(5)五个等级。

3.风险值等于风险发生可能性和风险影响程度的乘积。