风险分类 - 公司风险分为战略、经营、财务和法律四类[2] - 按盈利机会，风险分为纯粹风险和机会风险；按影响程度，分为一般风险和重要风险[3] 风险管理防线 - 公司各部门为风险管理第一道防线，审计监察部和审计委员会为第二道防线，董事会及股东会为第三道防线[5] 风险管理理念与接受程度 - 公司实行稳健的风险管理理念，对高风险投资项目谨慎介入[11] - 公司从定性角度将风险接受程度确定为“低”类[11] 公司目标 - 公司目标包括战略、经营、合规性和财务报告目标四个方面[12] 风险识别与分析 - 公司可采取问卷调查等方法识别风险[12] - 风险分析从发生可能性和对公司目标影响程度两个角度进行，方法为定性和定量组合[12] - 若风险极小可能发生可不关注，可能性高于或等于“可能发生”且影响程度小为一般风险，可能性等于或高于“可能发生”且影响程度大为重要风险[13] 风险对策与应对方案 - 公司应根据风险分析结果制定风险对策[13] - 风险应对方案包括规避、接受、减少、分担风险[14] 风险管理解决方案 - 制定风险管理解决方案应考虑目标、组织、流程、资源、措施和工具等[16] 内控方案 - 内控方案制定原则为经营战略与风险策略一致、风险控制与运营效率及效果平衡[16] - 内控措施包括建立授权、报告、批准、责任、审计检查、考核评价、预警、法律顾问、岗位权力制衡制度[16][17] 方案实施与监督 - 公司应组织实施风险管理解决方案并确保措施落实[17] - 建立风险管理信息沟通渠道为监督与改进奠定基础[19] - 各部门和业务单位定期自查和检验风险管理工作并报送报告[19] - 审计监察部监督评价风险管理工作并将报告报送董事会或审计委员会[19] 制度相关 - 制度未尽事宜依照法律法规、规章制度及公司章程办理[21] - 制度自董事会审议通过后生效，董事会负责解释和修订[21]