公司治理风险管理指南

公司治理风险管理指南

国家标准 GB/T26317一2010 公司治理风险管理指南 Gutdelnestorcorpurategvermaneeriskmanagement 2011-01-14发布 2011-05-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T26317一2010 目 次 引言 范围 规范性引用文件 术语和定义 公司治理风险管理原则 公司治理风险管理的过程 公司治理风险管理的实施 附录A(资料性附录》公司治理风险识别示例 参考文献
GB/I26317一2010 前 言 本标准在GB/T24353一2009《风险管理原则与实施指南》的指导下,参考了《OECD公司治理原 则》,英国标准协会BSPD6668:2000《公司治理中的风险管理》等标准的技术内容 本标准的附录A为资料性附录 本标准由全国风险管理标准化技术委员会(SAC/TC310)提出并归口 本标淮起草单位;标准化研究院、深圳标准技术研究院、,矿业大学(北京),第一会达风险管 理科技有限公司、人民大学、科学院科技政策与管理科学研究所,北京理工大学、北京大学 本标准主要起草人:杨颖、宁云才、吕多加、刘凤娟、高晓红、汤万金、崔艳武,赵涛、陈忠阳、李建平、 刘铁忠、.刘新立、王胆、郭凯
GB/T26317一2010 引 言 公司治理是现代企业制度建设的核心,是影响企业竟争力和促进企业发展的决定性因素 良好的 公司治理有利于降低公司的代理成本和融资成本,提高公司价值,它对公司长期目标的实现以及资本市 场的发展等都有重要影响 因此,随着市场化的深人和经济的发展,识别并加强公司治理风险管理,对 于完善公司运营及监管制度,明确利益相关者的责、权,利,培养公司治理风险意识,防范公司违法经营， 非公允关联交易、内部交易以及资本市场的违规行为等尤为必要 通过明确公司治理风险的环境信息,运用系统的方法和工具对其进行识别、分析,评价和应对,公司 就能够有效地管理公司治理过程中出现的风险,并确定必要的控制水平 所以公司可结合自身的特点 和风险管理目标来进行公司治理风险管理,以协调公司与所有利益相关者之间的关系,使得利益相关者 之间的利益达到均衡,保证公司经营的持续稳定发展
GB/T26317一2010 公司治理风险管理指南 范围 本标准给出了公司治理风险管理的通用指南,包括公司治理风险管理的步骤,以及识别,分析,评价 和应对公司治理风险的方法和工具 本标准适用于公司治理风险管理,它用于支持公司治理的活动和决策,管理者可以按照本标准审查 其现有的公司治理风险管理的实务和过程 本标准适用于依照《公司法》设立的公司,标准中阐述的理念、原则与方法可以为其 他依法设立的企业、协会、社会团体等组织提供参考 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款 凡是注日期的引用文件,其随后所有 的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本 凡是不注明日期的引用文件,其最新版本适用于本标准 GB/T23694一2009风险管理术语 GB/T243532009风险管理原则与实施指南 术语和定义 GB/T23694一2009中界定的以及下列术语和定义适用于本标准 3.1 公司治理eorporategovernanee 协调公司利益相关者之间关系的一种制度安排 注1:公司治理中,利益相关者主要包括股东,董事会,监事会、经理层,员工,债权人.客户,供应商和监管机构等 注2:制度安排是指在公司治理领域内约束利益相关者行为的一组规则,它支配利益相关者之间可能采取合作与竞 争的方式以确保实现自己的利益目标 注3:公司治理的目标是为了确保公司的正确决策,实现利益相关者之间的利益均衡,提高公司的绩效,确保公司经 营的可持续发展 公司治理风险eorporategvernaneeriskmanagement 公司治理制度设计不合理或运行机制不健全,以及与公司治理相关的内外部环境的变化对公司治 理目标实现产生的影响 公司治理风险管理原则 有效的公司治理风险管理除了要遵守GB/T24353一2009中规定的一般原则外,结合公司治理风 险管理的特点,还需遵循下列原则: 确保合规 公司应遵循与公司治理有关的法律法规,防止因违规而可能造成的法律制裁或监管处罚、重大 财务损失或声誉损失等 b 权力制衡 在公司治理风险管理过程中,应明确董事会、监事会、经理层以及其他利益相关者的责、权、
GB/T26317一2010 利,明确规定不相容职责的分离,通过有效的权力制衡,防止一部分利益相关者的利益受到非 法或不合理侵犯,确保有效实现所有利益相关者的利益均衡 信息沟通 公司的利益相关者之间应进行持续,双向,充分和及时的沟通,尤其是公司要保证依法,及时、 准确地披露公司所有重要事务的信息,包括公司目标、财务状况、重大战略决策、绩效、所有权、 关联交易和内部交易等重大风险事件以及公司治理风险管理有效性方面的信息 持续改进 公司治理风险管理是适应环境变化的动态过程,要持续关注内外部环境变化对公司治理的影 响以及公司治理风险管理方案执行情况,通过绩效测量、检查和调整等手段.使公司治理风险 管理得到稳定改善 公司治理风险管理的过程 5.1概述 公司治理风险管理过程由5.2到5.5所描述的活动组成,即明确公司治理环境信息、风险评估,风 险应对以及监督和检查,如图1所示 沟通和记录非常重要,应贯穿于风险管理过程的各项活动中,5.6将对沟通和记录进行详细说明 公司治理内部环境信息，包括公司内部利益 相关者之间的关系及激励与约束机制、公司 战略、绩效目标、担保活动和关联交易等重 大事项以及相关的信息披露、企业文化等 公司治理外部环境信息，包括与公司治理有 5.2明确公司治理环境信息 关的法律法规约束、内外部利益相关者之间 的关系、与公司有关的资本市场的重要信息、 外部审计等中介信息披露以及社会舆论监督 5.5 等 公司 治理 5.3.2公司治理风险识别 5.3 风险 运用风险识别方法识别出可能影响公司治理 公司 监慨 目标的风险源等，生成公司治理风险列表 治理 和检 5.3.3公司治理风险分析 分析这些风险列表中的风险源发生的可能性 风险 查 和后果 评估 对风险分析的结果进行评价 为确定风险状 况，推荐一些示例 5.3.4公司治理风险评价 根据风险评价结果，制定相应的风险应对措 5.4公司治理风险应对 施、应对计划等以处理不可接受的风险直至 接受 定期或不定期地监督和检查风险管理措施的实施情 况，监控已知风险，并及时发现潜在的风险，在需 要时做出调整，有利于维持公司治理风险的可控性 注实线箭头表示过程,虚线箭头表示解释 图1公司治理风险管理过程
GB/T26317一2010 5.2明确公司治理环境信息 公司进行公司治理风险管理时,首先要明确公司治理的内、外部环境信息 公司治理的内部环境信息可包括但不限于 -股权结构,董事会、监事会和经理层的结构及其议事规则 股东、董事会、监事会、经理层和员工等内部利益相关者之间的关系; 公司战略、绩效目标; -股权结构变更、董事会和监事会变更、经理层变动、重大交易等重要事项的历史信息 公司各级人员的激励约束机制; 关联交易、内部交易以及担保活动等重大活动的披露制度和控制程度; 公司财务信息的披露报告 监督检查机制,如监事会以及其他具有监督检查职能的人员或部门的监督检查记录,内部 审计,反舞弊机制,投诉和举报人保护制度等; 现有的公司治理风险管理政策及方案 内部利益相关者的利益诉求.价值观及风险偏好; 企业文化等 b公司治理的外部环境信息可包括但不限于 与公司治理有关的法律法规约束; 政府及市场监管环境; 公司外部利益相关者的利益诉求、价值观及风险偏好 内外部利益相关者之间的关系 与本公司有关的控制权市场接管,合并、收购以及重组等信息; 外部审计,律师等中介机构的信息披露; 社会公众舆论及媒体监督机制 国际的、国内的、地区的和本地的经济、政治,文化等其他相关环境 5.3公司治理风险评估 5.3.1概述 公司治理风险的评估包括风险识别、风险分析和风险评价三个步骤 5.3.2公司治理风险识别 5.3.2.1公司治理风险的识别方法 公司治理风险的识别是指采用适当的风险识别方法和工具,通过识别可能影响公司治理目标的风 险源、影响范围、事件及其原因和潜在的后果等,生成公司治理风险列表 公司治理风险识别的方法,可以考虑但不限于 -标杆分析法(benehmarking);关注并跟踪外部环境,将公司治理的各项活动与具有良好治理 绩效的公司或与公司治理相关的法律法规以及监管制度等进行对比、分析,识别出公司治理潜 在风险 -问卷调查表;依据公司治理的风险管理目标,确定相应的治理风险因素,按照类别形成表格,以 向相关人员发放,获得有关公司治理风险的重要信息 检查表法:对本公司治理可能面临的许多潜在风险列于一个表上,供风险识别人员进行检查核 对,用来判别公司治理是否存在表中所列或类似的风险 -流程图分析法;通过对公司治理相关流程的分析,可以发现和识别公司治理各个环节存在的风 险及其起因和影响 -组织结构图分析法;通过对与公司治理相关的组织结构图的分析,发现可能产生风险的组织层 级,以识别出风险
GB/T26317一2010 历史事件分析法;分析曾经发生的对公司治理目标造成一定影响的历史事件,进一步剖析导致 事件发生的相关风险 -头脑风暴法;以公司治理风险管理的目标为中心,营造一个自由的会议环境,使与会者畅所欲 言,充分交流有关公司治理的相关风险的看法,产生出大量公司治理风险管理方面的意见,作 为进一步分析的基础 -财务报表分析法:通过对公司的资产负债表、损益表、现金流量表、营业报告书等有关资料的分 析来识别和发现与公司治理有关的风险 -故障树分析法:从要分析的公司治理的特定事件或问题开始层层分析其发生原因,一直分析到 不能再分解为止以获得引起公司治理风险的风险源或事件 情景分析法;通过有关数字,图表,曲线,想象,推测等方法对公司治理环境进行研究,对未来可 能出现的多种风险状况进行预测,从而识别出引起公司治理风险的关键因素及其影响程度 在公司治理风险识别中,这些方法一般都不是单独使用,而是几种方法结合起来使用,以便更好地 进行风险识别 公司治理风险识别的范围 5.3.2.2 公司治理风险识别,可以考虑但不限于以下方面 公司内部利益相关者的利益保障以及监督实施机制 包括股东权益的保障机制;控股股东与 其他利益相关者的制衡机制控股股东的行为约束利益分配监督机制,依法保证所有股东获件 平等待遇的监督机制;董事会、监事会、经理层之间的责权利分配监督实施机制和激励约束机 制;监事会对公司相关人员和业务的监督职能执行机制;经理层和员工之间的监督管理机制的 实施和保证机制;公司企业文化的渗透以及监督机制等 公司外部利益相关者的利益保证和监督机制 包括上下游产品市场链条的利益制衡监督和协调 机制;机构投资者、债权人等资本市场的运作机制和风险监管制度;公司的社会责任承担机制 信息披露和透明度的执行监督机制 包括公司目标、绩效目标、经理层的薪酬政策、重大关联 交易、内部交易、担保活动,交叉持股,并购、合并以及重组等重要信息的披露制度执行保证机 制;公司战略实施以及部门职能执行的保障监督制度;准确、及时、公正报告公司财务信息的保 障机制;内部审计制度的独立性及有效性保障机制;所有利益相关者的激励约束机制等 与公司治理相关的法律法规约束执行机制 包括与公司治理内容有关的国际,国内的公司法、 证券法、会计法、监管法规,社会舆论监督机制以及确保公司内外部利益协调的其他相关法律 法规等 从公司内部利益相关者、公司外部利益相关者、信息披露和透明度以及与公司治理有关的法律法规 约束等四个方面,附录A给出了公司治理风险识别的示例 5.3.3公司治理风险分析 公司治理风险分析是对识别出的公司治理风险,考虑发生风险的原因和风险源、风险事件发生的可 能性及风险事件的正面和负面的后果、影响后果和可能性的因素、不同风险及其风险源的相互关系,还 要考虑现有的管理措施及其效果和效率,以及公司治理风险的其他特性,并对其进行定性和定量分析 为风险评价和风险应对提供支持 在公司治理风险分析中,应考虑公司的风险承受度及其对前提和假设的敏感性,并适时与公司的决 策者以及其他利益相关者有效地沟通 另外,还要考虑可能存在的重要参与人的观点的分歧及数据和 模型的局限性 公司治理风险发生的可能性和后果可采用定性,半定量、定量或以上方法的组合的方式,通过专家 意见确定,或通过对事件或事件组合的结果建模确定,也可通过对调查分析或实验研究可获得的数据的 推导确定 对后果的描述可以表达为有形或无形的影响,如所有股东的基本权利得到有效保障或公司 声誉的提升 在某些情况下,可能需要多个指标来确切描述不同时间,地点,类别或情形的后果
GB/T26317一2010 公司治理风险事件发生的可能性和后果,可以系统化和结构化地根据专家意见得出;也可以利用相 关历史数据来识别那些在过去发生的事件或情况,借此推断出它们在未来发生的可能性;还可以利用故 障树和事件树等方法来预测 表1给出了公司治理风险事件发生的可能性评价的一种示例 表1公司治理风险的可能性评价示例 注 等级 风险事件发生的可能性 风险事件几乎不会发生 很小 不太可能 风险事件很少发生 可能 风险事件在某些情况下发生 很可能 风险事件在较多情况下发生 基本确定 风险事件几乎肯定会发生或常常发生 表2是根据上述方法和角度得出的公司治理风险事件后果的一种示例 表2公司治理风险影响或后果示例 确定公司治理风险的影响或后果 后果等级 备 注 绩效以及利益均衡 对关键职责,目标和绩效标准以及利益相关者的利益影响极小 极小或没有影响，正面绩效很 或没有影响,所以关键职责完成得很好,达成的目标比预期要 极低 好,利益均衡效果很好 好,出现了高水平的绩效,利益分配很合理,极少出现利益倾斜 对关键职责、目标和绩效标准以及利益相关者的利益有较小影 影响较小,但会降低正面绩效表 低 响,但是能够较好地完成关键职责,达成目标,实现绩效标准， 利益均衡能够维持 见 利益相关者的利益能够达到均衡,只是偶尔会出现利益倾斜 对关健职责、目标和绩效标准以及利益相关者的利益有一定程 影响一般,但会大大降低正面绩 度的影响 关键职责基本完成,目标基本达成,绩效标准也基 效表现,从一定程度上,利益均 中 本实现,利益均衡有些被破坏,存在利益倾斜问题,但是并不能 衡有些被破坏 或偶尔引发利益相关者的冲突 对关键职责目标和绩效标准以及利益相关者的利益有较大影 影响较大,会导致无正面绩效表响 关健职责完成得不太好,有些目标没有达成,有些绩效标 高 现,利益均衡破坏较严重 准也没有实现,利益均衡受到较严重的破坏,从较大程度上引 发利益相关者之间的利益冲突 对关键职责、目标和绩效标准以及利益相关者的利益影响重 影响很大,绩效很差,利益均衡大 关键职责没有完成,目标没有达成,绩效标准也没有实现、 极高 利益均衡受到特别大的破坏,引发利益相关者之间的利益冲突 受到极大破坏 很严重 公司治理风险发生的可能性和后果,可通过一个公司治理风险评估矩阵表示出来,如表3所示 表3公司治理风险评估矩阵过程示例 后果等级 可能性等级 中 极高 极低 低 基本确定 5(5×1 10(5×2 15(5×3 20(5×4 25(5×5) 很可能 4(4×1 8(4×2 12(4×3 16(4×4 20(4×5) 有可能 3(3×1 6(3×2 9(3×3 12(3×4) 15(3×5) 不太可能 2(2×1 4(2×2 6(2×3 8(2×4) 0(2×5) 很小 (1×1 2(1×2 3(1×3) 4(1×4) 5(1×5)
GB/T26317一2010 在公司治理风险分析的实际应用中,要将根据表1和表2得到的公司治理风险事件发生的可能性 和后果与表3相对照,确定此风险事件的相应分值 5.3.4公司治理风险评价 公司治理风险评价是指将风险分析所确定的结果与公司治理风险管理准则比较,或者在各种风险 的分析结果之间进行比较,确定风险等级,并结合公司管理层的风险偏好或者风险态度,做出风险应对 的决策 在对公司治理风险事件进行评价时,首先要根据公司治理风险分析得出的结果分值,与表4对 照,找到对应风险事件的风险区域;或者根据分值,与表5对照,获得风险事件的相应风险等级 以便根 据风险区域或者风险等级做出对风险事件的应对策略 根据表3的风险评估矩阵,公司治理风险等级分类如表5所示 表4公司治理风险评估矩阵示例 后果等级 可能性等级 极低 低 高 极高 中 25 基本确定 10 15 20 很可能 12 16 20 15 有可能 不太可能 10 很小 在公司治理风险评估矩阵中,红色的颜色区域代表公司治理风险问题很严重,属于高危区 黄色的 颜色区域代表公司治理风险问题其次,绿色的颜色区域代表公司治理风险问题要轻一些甚至有些可以 忽略,具体如何看待要根据每个公司的具体情况而定 表5给出了公司治理风险等级划分的一种示例 表 公司治理风险等级表示例 风险等级 备 注 分值 低度 12 风险很小,日常工作中极少关注或忽略 较低 风险较小,日常工作中偶尔关注 34 -般风险,需要引起一般关注 中度 5一10 高度 风险较大,需要引起高度关注 1216 很高 2025 风险很大,需要引起极大关注 对识别出的每一个公司治理风险事件进行风险分析和风险评价,并通过逐级加权,即可获得相应的 风险等级 公司治理风险评价的结果应满足公司治理风险应对的需要,否则,应做进一步分析 有时,根据已 经制定的公司治理风险准则,公司治理风险评价使公司做出维持现有的公司治理风险应对措施,不采取 其他新的措施的决定 5.4公司治理风险应对 概述 公司治理风险应对是根据公司治理风险评价的结果,对需要应对的风险,选择并执行一种或多种改 变公司治理风险事件发生的可能性或后果的措施 公司治理风险应对决策应当考虑各种环境信息,包 括内外部利益相关者的利益诉求、风险承受度、绩效目标以及法律,法规和其他方面的要求等
GB/T26317一2010 风险应对策略包括风险规避、风险优化、风险转移和风险自留等 公司应根据风险应对策略,制定 适当的应对措施 公司治理风险应对措施的制定和实施是一个递进的过程,包括: -根据评估得到的公司治理风险等级,制定相应风险应对措施; 实施风险应对措施后,应评估剩余风险是否可以承受; 如果剩余风险不可承受,应调整或制定新的风险应对措施 实施新的风险应对措施 评估新的风险应对措施的效果,直到剩余风险可以承受 执行公司治理风险应对措施会引起公司治理风险的改变,需要跟踪,监督和了解风险应对的效果和 公司治理的有关环境信息,并对变化的风险进行评估,必要时重新制定公司治理风险应对措施 表6是公司治理风险应对的一个示例 表6公司治理风险应对示例 风险等级 备 低度 风险很小,不采取额外的应对措施,可能定期的风险监控措施即可 较低 风险较小,只需要根据风险状况采取常规的风险监控措施 属于一般风险,是否采取额外的风险应对措施当视具体情况而定,但需采取定期的积极的风险监控措 中度 施,防止突发风险事件影响公司可持续发展 高度 风险较大,需要对风险进行持续的监控,采取积极的措施,以降低风险或转移风险 很高 风险很大,需要立即采取措施将风险降低到可接受的程度 5.4.2选择风险应对措施 公司治理风险的具体应对措施可包括但不限于 建立完善的定期公司治理风险报告制度,重大风险要及时报告; 加强公司治理的制度建设; 明确公司从董事会、监事会、经理层到每个员工的责、权、利的分配 各种奖惩制度的完善; 内部审计制度的建立; -完善信息披露制度,特别是财务信息的及时准确披露 -选择具有公信力的外部审计和律师等中介机构 防止过度担保行为的发生 防止非公允关联交易、内部交易的出现; 逐步建立公司治理风险管理文化: 及时制止其他违规行为等 公司治理风险应对措施在实施过程中可能会失灵或无效 因此,要把监督作为公司治理风险应对 措施的实施计划的有机组成部分,以保证应对措施持续有效 公司治理风险应对措施可能引起公司治理次生风险,对公司治理次生风险也需要评估,应对、监督 和检查 在原有的公司治理风险应对计划中要加人这些公司治理次生风险的内容,而不应将其作为新 的公司治理风险而独立对待 为此,需要识别并检查原有公司治理风险与公司治理次生风险之间的联 系 当公司治理风险应对措施影响到公司其他方面的风险或影响到其他利益相关者时,要评估这些影 响,并与有关利益相关者沟通,必要时调整公司治理风险应对措施 公司治理风险的决策者和其他利益相关者应当清楚在采取公司治理风险应对措施后剩余风险的性 质和程度
GB/T26317一2010 5.4.3制定公司治理风险应对计划 确定公司治理风险应对措施之后,需要制定相应的公司治理风险应对计划,而且公司治理风险应对 计划要与公司治理的管理过程相融合 公司治理风险应对计划中应包括但不限于以下信息 公司治理风险应对的范围; 公司治理风险应对方案的选定 公司治理风险应对的实施安排,包括预选方案的优先顺序 公司治理风险应对中评价指标的确定及其考核方法; -实施公司治理风险应对措施后的预期效果; 公司治理风险应对计划的制定人、负责人、审核人、批准人和执行人; 公司治理风险应对的报告和监督、检查的要求; 公司治理风险应对的资源需求,包括应急机制的资源需求 执行时间表等 5.5公司治理风险监督和检查 监督和检查是公司治理风险管理过程中重要的组成部分,贯穿于整个过程之中 公司应根据公司 治理风险管理应对措施、应对计划以及引起公司治理风险的内外部环境的变化,明确界定公司治理风险 管理流程中相应的监督和检查的责任,并且应适时监督和检查公司治理风险管理运行的情况的有效性， 以便持续改进公司治理风险管理 监督和检查的内容可包括但不限于 跟踪了解在不采取新措施的情况下可以接受的风险后果; 监测、分析公司治理风险因素的变化、发展趋势; 发现公司治理内部和外部环境信息的变化,包括与公司治理有关的法律法规变更,股权结构和 董事会以及其他管理层的人员变动、公司章程的变更、公司战略的方向改变、非公允关联交易 和重组等重大事项的变化、债权人的变更、机构投资人投资战略变化等; 监督并记录公司治理风险应对措施实施后的剩余风险,评估其影响程度,以便在适当时做进 步处理 -对照公司治理风险应对计划,检查工作进度与计划的偏差并定期报告,保证公司治理风险应对 揩施的设计和执行有效; -实施公司治理风险管理绩效评估等 发现新的公司治理风险,在需要时根据情况做相应处理 监督和检查活动包括常规检查、监控已知的风险、定期或不定期检查 定期或不定期检查都应被列 人公司治理风险应对计划 应真实公正地记录监督和检查的结果,并适时对内或对外报告,以保证公司 的利益相关者及时了解公司治理风险管理的执行情况,确保公司治理风险管理的有效性和持续性 5.6沟通和记录 5.6.1沟通 公司在公司治理风险管理过程的每一个阶段都应当与内部和外部利益相关者有效沟通和协商,以 保证公司利益相关者能够理解公司治理风险管理决策的依据,以及需要采取某些行动的原因 沟通的内容可包括但不限于: 公司治理的内外部环境信息; 与公司治理有关的重大事项; 公司治理的重大风险情况 利益相关者的利益诉求和风险偏好， 公司治理风险识别,分析、评价的情况 -公司治理风险应对措施、应对计划的原因、依据及预期效果等
GB/T26317一2010 5.6.2记录 在公司治理风险管理过程中,要把与公司治理风险管理有关的事项进行记录,它是实施和改进整个 公司治理风险管理过程的基础 公司治理风险管理的记录的目的包括但不限于: 信息重复使用的需要 进一步分析公司治理风险和调整公司治理风险应对措施、应对计划的需要; 公司治理风险管理活动的可追溯要求 沟通的需要; 法律、法规和操作上对记录的需要; 公司治理本身持续提高和改善的需要等 公司治理风险管理的记录内容包括但不限于 公司治理结构的基本信息; -与公司治理有关的股东大会,董事会,监事会等决议以及相关职能部门的会议内容; -与公司治理有关的重大事项信息,如关联交易内部交易交叉持股、,交叉担保、并购,重组等 与公司治理有关的公司目标、公司战略、绩效目标、风险管理策略,财务信息以及审计信息等重 要信息; 公司治理风险的识别、分析和评价的方法及结果; 公司治理风险的应对措施,应对计划及取得的效果; 监督和检查的相关内容; 利益相关者之间的沟通信息等 公司治理风险管理的实施 概述 为保证公司治理风险管理过程的有效实施,需要建立公司治理组织结构职能、工作程序,资源配置、 信息沟通机制以及相关的技术手段和基础设施,并将其贯穿到公司治理的各个层次和各种活动之中,在 实践中持续改进和提高 6.2公司治理风险管理政策 司治理风险管理政策应明确下列事项但不限于 公 公司治理风险管理理念; 公司治理风险管理政策与公司的目标及其他政策之间的关系 公司治理的风险管理目标 公司治理风险管理的职责分配 -管理公司治理风险的程序和方法; 公司治理风险管理的资源配置; -测量和报告公司治理风险管理绩效的方式 建立公司治理风险管理的计划 持续改进的承诺等 公 司应就公司治理风险管理政策同内部和外部利益相关者进行充分沟通和协调 公司治理风险管理工作程序 公司应当设计适当的制度和行为规范,建立公司治理风险管理工作程序,特别是整个公司层面的公 司治理风险管理计划,以保证公司治理风险管理嵌人到公司治理的所有活动和过程之中,尤其是公司治 理的战略规划,运营过程以及变革管理之中
GB/T26317一2010 6.4公司治理风险管理相关组织职能 公司治理风险管理组织机构,如股东(大)会,董事会,总经理、监事会以及相关职能部门在公司治理 风险管理的过程中都应承担各自的职责 公司治理风险管理的组织结构为公司治理活动提供计划、执行、控制和监督职能的整体框架 它界 定了与公司治理相关的各级部门和人员的职责和责任的关键范围,规范了授权制度,确立了报告的途 径,并且根据公司治理的规模和活动的性质来做相应调整,从而使得公司治理风险管理更加有效 公司可通过但不限于以下方法保证公司治理风险管理的责任认定和授权,从而能够执行公司治理 风险管理过程,并保证公司治理风险管理的充分性和有效性 -明确公司治理风险管理方案的制定、实施、监督和维护等人员的职责 明确执行公司治理风险应对猎施、应对计划、维护公司治理风险管理政策和报告相关风险信息 等人员的职责; 建立批准、授权制度以及监督和检查制度， 建立绩效测量及相应适度的奖励,惩罚制度; 建立内外部利益相关养之间的沟通协调机制 建立对内对外的报告机制等 6.5公司治理风险管理的资源配置 公司应根据公司治理风险管理计划,制定可行的方法,恰当地为公司治理风险管理分配所需资源 具体应考虑但不限于下列各项 -影响到公司控制风险和编制相关文件的内部方案; 与公司治理风险管理相关的历史信息; 公司治理风险管理相关的人员、技术、经验和能力要求; 公司治理风险管理过程每一阶段所需要的资金及各种资源， 与公司治理风险有关的国际国内的法律法规及标准 6.6公司治理风险管理的沟通和报告机制 6.6.1建立内部信息沟通和报告机制 公司要建立公司治理风险管理的内部沟通和报告机制,以保证: -公司治理风险管理的关键组成部分及其调整得到适当有效的沟通 -在公司内部的利益相关者之间充分报告公司治理风险应对措施和应对计划实施的效果和 效率 -在适当的层次和时机提供公司治理风险管理的相关信息 建立与内部利益相关者协商的程序 内部沟通和报告机制还包括在考虑到公司治理本身特点的基础上,适当整合从各内部渠道得到的 风险信息的程序 6.6.2建立外部信息沟通和报告机制 公司需建立与外部利益相关者沟通的机制,以保证: 公司的对外报告符合法律、法规和公司治理要求 -公司与外部利益相关者保持有效的信息沟通; 在外部利益相关者中建立对公司的信心; -在发生突发事件危机和紧急状况时与外部利益相关者沟通; -为公司提供外部利益相关者的报告和反馈 公司治理风险管理信息的沟通和报告机制要考虑与其他风险信息报送的衔接关系,以保证相关部 门信息的互动有效及时准确地沟通,有助于对风险信息的整合,提高工作效率 10
GB/T26317一2010 附 录A 资料性附录 公司治理风险识别示例 表A.1为公司治理风险识别示例 表A.1公司治理风险识别示例 -级风 二级风 三级风险要素 四级风险要素 备注 险要素 险要素 所有权登记办法 股份转让权 任免各级管理层的权利 公司重大信息知情权和参与决策权 股东权利 公司剩余财产分配权 公司重整申请权 公司控制权的相关信息 对公司经营的建议与质询权 国有股持股比例 机构投资者持股比例 经理层持股比例 员工持股比例 股权结构 公司内 流通股比例 部利益 股东 控制权与现金流权偏离系数 相关者 前三大股东持股比例 交叉持股比例 累计投票制实施状况 股东表决权回避制度实施情况 年度股东大会出席股份占总股份比例 股东大会 股东大会召开次数 关联股东表决回避率 股东大会决议 同类同级的所有股东的同等待遇 平等对待股东 内部交易以及自我交易 董事和其他相关管理层卷人特定交易或事务的决策 ，
GB/T26317一2010 表A.1续) 二级风 -级风 备注 三级风险要索 四级风险要素 险要素 险要素 执行董事比例 独立非执行董事比例 董事会构成 控股股东提名董事比例 员工代表比例 专业委员会完备性 董事会议事规则 独立董事会发表意见的质量 董事会运作 员工代表发言的质量 董事会议召开次数 董事会 董事会记录 董事兼职率 董事高级职称所占比例 独立董事的资质 胜任能力 员工代表的独立性以及本身资质 董事责任 董事会责任 公司内 部利益 董事激励与约束 董事长以及独立董事的薪酬水平以及处罚 相关者 经理层薪酬水平与处罚 经理层薪酬与公司业绩的相关度 经理层激励与约束 经理层持股比例 经理层在任期内股份的可转让性 董事长与总经理是否兼职 经理层 总经理的选聘方式 任免制度 经理层责任 离任审计 经理层董事人数占董事会总数比例 执行保障 高管层为董事会提供信息的性质和渠道 股东代表比例 员工代表比例 监事会 监事会构成 非公司监事比例 内部审计代表比例 12
GB/T26317一2010 表A.1续) -级风二级风 备注 三级风险要索 四级风险要素 险要素 险要素 定期监督审查 近三年监事会议召开次数 近三年来行使监督权的有效性 监事会运作 内、外部审计的独立性 公司治理实施的监督 对管理层和员工的责权利分配的监督 监事会 监事的品行 监事的专业知识水平 监事胜任能力 监事的独立性 监事责任 监事会责任 公司内 部利益 监事激励与约束 监事主席及非公司监事的薪酬水平与处罚 相关者 员工薪酬水平 员工的激励与约束员工奖惩措施与公司业绩的相关度 员工持股比例 员工责任 员工的素养 员工 上岗制度 员工的选聘方式 员工的培训 定期提交公司发展建议情况 参与公司治理 参与决策层的决策程度 ## ++++ 产品寿命周期、产品的研制开发、品质与消费市场的相合度 销售市场 与客户的沟通 横向竞争者 生产要 素市场 供应商的产品品质 供应商市场 供应商素质 公司外 部利益 公司债券 相关者 债权人权利 债权人参与公司治理的程度 债权人剩余索取权 债权人 民事权利保障 市场 执行能力 公司对债权人的义务 债权人的综合素质 13
GB/T26317一2010 表A.1续) 二级风 -级风 备注 三级风险要索 四级风险要素 险要素 险要素 内部股权收购 关联交易 内部控制权市场 股东股份比例 重组 控制权 经理层的不对称信息管理 市场 机构投资者 股票,期权收购以及要约收购,接管、兼并等并购 外部控制权市场 合并 公司外 中介机构发言的独立性 部利益 中介机构职员的职业素质 相关者 中介机构的内在因素 披露信息的质量 信用中 中介机构的责任 介市场 权力执行保障 中介市场的外在因素 市场环境 社区文化与公司文化的相容性 社区环境 社区政治环境 社区环境 社区经济环境 # 公司治理结构和绩效以及政策的信息 应收账款周转率,主营业务利润率和全部资产现金回收率 财务部门的信息透明度 营运能力 内部审计部门的信息质量 各级职工的薪酬与绩效挂钩程度 可预见风险信息 信息披 经营费用与销售收人的比值 信息披露 露和透 和透明度 资本性支出与长期资产的比值 明度 内部人控制 财务部门的独立性 内部审计部门信息以及它的独立性 关联交易报告 担保率 非公允关联交易 及担保 资产负债率、财务费用占主营业务收人比重、其他应收款占流 动资产比重,关联交易额占主营业务收人的比例 14
GB/T26317一2010 表A.1续) -级风二级风 备注 三级风险要索 四级风险要素 险要素 险要素 当期收益十折旧费用/总债务 信息拨 财务信用风险 自由现金流量/总债务 信息披露 露和透 和透明度 利息保障倍数 明度 ， 投资者法律保护 与公司 国内法律法规 与公司治 法律法规 治理有 政府及市场监管 理有关的 关的法 法律法规 国际法律法规 律法规 约束 奥论监督 社会公众舆论监督及媒体监督 约束 .. . 15
GB/T26317一2010 参 考 文 献 [1]证监发[2002]1号.上市公司治理准则 [2 国资发改革[2006108号 中央企业全面风险管理指引 [幻 GB/T244202009供应链风险管理指南 [打铁建设[2007]200号.铁路隧道风险评估与管理暂行规定 [51 O)rganizationforEconomicCo-operationandDevelopment,UsingtheOECDPrinciplesof CorporateGoverance:ABoardroomGude.,oEBcD2008. [[6 BritishStandardsInstitution(BSPD6668:2000),Manm RiskforCorporateGovernance naging 16