风险管理目标 - 将风险控制在可承受范围，确保信息沟通真实可靠，遵循法律法规，提高经营效益效率，建立危机处理计划[2] 风险分类 - 分为战略、市场、运营、财务、法律风险，也可分为纯粹风险和机会风险[2][3] 管理流程 - 包括收集初始信息、评估、制定策略、实施应对措施、监督与改进[7] 董事会职责 - 最少每年检讨一次公司及其附属公司的风险管理及内部监控系统是否有效[6] - 每年检讨时确保会计、内部审核及财务汇报职能方面资源、员工资历经验、培训课程及预算足够[6] 信息披露 - 在《企业管治报告》内披露遵守风险管理及内部监控守则条文的情况[8] 风险评估 - 经过确立风险管理理念和接受程度、目标设定、识别、分析和评价五个程序[15] - 实行稳健的风险管理理念，对高风险投资项目谨慎介入[15] - 从整体上把风险接受程度确定为“低”类[15] 目标设定 - 包括战略、经营、合规性和财务报告目标四个方面[16] 风险识别 - 识别内部风险关注人力资源、管理、自主创新、财务、安全环保等因素[16][17][19] - 识别外部风险关注经济、法律、社会、科学技术、自然环境等因素[19] 风险分级 - 根据风险发生可能性和影响程度，分为可不关注、一般风险、重要风险[20] 管理策略 - 包括风险规避、降低、分担和承受[23] - 确定策略考虑对风险的影响、成本收益、机遇风险、策略组合等因素[23] 控制措施 - 针对重大风险制定全流程控制措施，对其他风险控制关键环节[25] - 包括不相容职务分离、授权审批、会计系统等九种[27][28] 监督改进 - 各部门和单位定期自查风险管理工作并向审计部反馈[33] - 审计部定期或不定期监督评价各部门和单位风险管理工作[34]