GBT26317-2010公司治理风险管理指南.pdf 20页

'ICS03．100．01A02a目中华人民共和国国家标准GB／T26317—2010公司治理风险管理指南Guidelinesforcorporategovernanceriskmanagement20”一0卜14发布2011-05-01实施丰瞀粥鬻瓣警矬瞥星发布中国国家标准化管理委员会仅1” 标准分享网www.bzfxw.com免费下载目次前言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··引言⋯·⋯⋯⋯⋯⋯⋯·⋯···⋯·⋯⋯⋯⋯⋯⋯．．1范围⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·2规范性引用文件⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·3术语和定义⋯⋯⋯⋯⋯·⋯⋯·⋯⋯⋯⋯⋯··4公司治理风险管理原则⋯⋯⋯⋯⋯⋯⋯⋯·5公司治理风险管理的过程⋯⋯⋯⋯⋯⋯⋯·6公司治理风险管理的实施⋯·⋯⋯·⋯⋯⋯··附录A(资料性附录)公司治理风险识别示例参考文献⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一GB／T26317—2010ⅡV12916 www.bzfxw.com前言GB／T26317--2010本标准在GB／T24353--2009《风险管理原则与实施指南》的指导下，参考了《OECD公司治理原则》、英国标准协会BSPD6668：2000{公司治理中的风险管理》等标准的技术内容。本标准的附录A为资料性附录。本标准由全国风险管理标准化技术委员会(SAC／TC310)提出并归口。本标准起草单位：中国标准化研究院、深圳标准技术研究院、中国矿业大学(北京)、第一会达风险管理科技有限公司、中国人民大学、中国科学院科技政策与管理科学研究所、北京理工大学、jE京大学。本标准主要起草人：杨颖、宁云才、吕多加、刘凤娟、高晓红、汤万金、崔艳武、赵涛、陈忠阳、李建平、刘铁忠、刘新立、王旭、郭凯。Ⅲ www.bzfxw.com标准分享网www.bzfxw.com免费下载GB／T26317—2010引言公司治理是现代企业制度建设的核心，是影响企业竞争力和促进企业发展的决定性因素。良好的公司治理有利于降低公司的代理成本和融资成本，提高公司价值，它对公司长期目标的实现以及资本市场的发展等都有重要影响。因此，随着市场化的深入和经济的发展，识别并加强公司治理风险管理，对于完善公司运营及监管制度，明确利益相关者的责、权、利，培养公司治理风险意识，防范公司违法经营，非公允关联交易、内部交易以及资本市场的违规行为等尤为必要。通过明确公司治理风险的环境信息，运用系统的方法和工具对其进行识别、分析、评价和应对，公司就能够有效地管理公司治理过程中出现的风险，并确定必要的控制水平。所以公司可结合自身的特点和风险管理目标来进行公司治理风险管理，以协调公司与所有利益相关者之间的关系，使得利益相关者之间的利益达到均衡，保证公司经营的持续稳定发展。Ⅳ www.bzfxw.com公司治理风险管理指南GB／T26317—20101范围本标准给出了公司治理风险管理的通用指南，包括公司治理风险管理的步骤，以及识别、分析、评价和应对公司治理风险的方法和工具。本标准适用于公司治理风险管理，它用于支持公司治理的活动和决策，管理者可以按照本标准审查其现有的公司治理风险管理的实务和过程。本标准适用于依照《中华人民共和国公司法》设立的公司，标准中阐述的理念、原则与方法可以为其他依法设立的企业、协会、社会团体等组织提供参考。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。GB／T23694--2009风险管理术语GB／T24353--2009风险管理原则与实施指南3术语和定义GB／T23694--2009中界定的以及下列术语和定义适用于本标准。3．1公司治理corporategovernance协调公司利益相关者之间关系的一种制度安排。注1：公司治理中，利益相关者主要包括股东、董事会、监事会、经理层、员工、债权人、客户、供应商和监管机构等。注2：制度安排是指在公司治理领域内约束利益相关者行为的一组规则，它支配利益相关者之间可能采取合作与竞争的方式以确保实现自己的利益目标。注3：公司治理的目标是为了确保公司的正确决策，实现利益相关者之间的利益均衡，提高公司的绩效，确保公司经营的可持续发展。3．2公司治理风险corporategovernanceriskmanagement公司治理制度设计不合理或运行机制不健全，以及与公司治理相关的内外部环境的变化对公司治理目标实现产生的影响。4公司治理风险管理原则有效的公司治理风险管理除了要遵守GB／T24353--2009中规定的一般原则外，结合公司治理风险管理的特点，还需遵循下列原则；a)确保合规公司应遵循与公司治理有关的法律法规，防止因违规而可能造成的法律制裁或监管处罚、重大财务损失或声誉损失等。b)权力制衡在公司治理风险管理过程中，应明确董事会、监事会、经理层以及其他利益相关者的责、权、1 www.bzfxw.com标准分享网www.bzfxw.com免费下载GB／T26317—2010利，明确规定不相容职责的分离，通过有效的权力制衡，防止一部分利益相关者的利益受到非法或不合理侵犯，确保有效实现所有利益相关者的利益均衡。c)信息沟通公司的利益相关者之间应进行持续、双向、充分和及时的沟通，尤其是公司要保证依法、及时、准确地披露公司所有重要事务的信息，包括公司目标、财务状况、重大战略决策、绩效、所有权、关联交易和内部交易等重大风险事件以及公司治理风险管理有效性方面的信息。d)持续改进公司治理风险管理是适应环境变化的动态过程，要持续关注内外部环境变化对公司治理的影响以及公司治理风险管理方案执行情况，通过绩效测量、检查和调整等手段，使公司治理风险管理得到稳定改善。5公司治理风险管理的过程5．1概述公司治理风险管理过程由5．2到5．5所描述的活动组成，即：明确公司治理环境信息、风险评估、风险应对以及监督和检查，如图l所示。沟通和记录非常重要，应贯穿于风险管理过程的各项活动中，5．6将对沟通和记录进行详细说明。2·定期或不定期地监督和检查风险管理措施的实施情况，监控已知风险，并及时发现潜在的风险，在需要时做出调整，有利于维持公司治理风险的可控性。·公司治理内部环境信息，包括公司内部利益相关者之间的关系及激励与约束机制、公司战略、绩效目标、担保活动和关联交易等重大事项以及相关的信息披露、企业文化等；·公司治理外部环境信息，包括与公司治理有关的法律法规约束、内外部利益相关者之间的关系、与公司有关的资本市场的重要信息、外部审计等中介信息披露以及社会舆论监督等。·运用风险识别方法识别出可能影响公司治理目标的风险源等，生成公司治理风险列表；·分析这些风险列表中的风险源发生的可能性和后果；·对风险分析的结果进行评价。为确定风险状况，推荐一些示例。注：实线箭头表示过程，虚线箭头表示解释。图1公司治理风险管理过程 www.bzfxw.comGB／T26317—20105．2明确公司治理环境信息公司进行公司治理风险管理时，首先要明确公司治理的内、外部环境信息。a)公司治理的内部环境信息可包括但不限于：——股权结构、董事会、监事会和经理层的结构及其议事规则；——股东、董事会、监事会、经理层和员工等内部利益相关者之间的关系；——公司战略、绩效目标；——股权结构变更、董事会和监事会变更、经理层变动、重大交易等重要事项的历史信息；——公司各级人员的激励约束机制；——关联交易、内部交易以及担保活动等重大活动的披露制度和控制程度；——公司财务信息的披露报告；——监督检查机制，如监事会以及其他具有监督检查职能的人员或部门的监督检查记录、内部审计、反舞弊机制、投诉和举报人保护制度等；——现有的公司治理风险管理政策及方案；——内部利益相关者的利益诉求、价值观及风险偏好；——企业文化等。b)公司治理的外部环境信息可包括但不限于：——与公司治理有关的法律法规约束；——政府及市场监管环境；——公司外部利益相关者的利益诉求、价值观及风险偏好；——内外部利益相关者之间的关系；——与本公司有关的控制权市场接管、合并、收购以及重组等信息；——外部审计、律师等中介机构的信息披露；——社会公众舆论及媒体监督机制；——国际的、国内的、地区的和本地的经济、政治、文化等其他相关环境。5．3公司治理风险评估5．3．1概述公司治理风险的评估包括风险识别、风险分析和风险评价三个步骤。5．3．2公司治理风险识别5．3．2．1公司治理风险的识别方法公司治理风险的识别是指采用适当的风险识别方法和工具，通过识别可能影响公司治理目标的风险源、影响范围、事件及其原因和潜在的后果等，生成公司治理风险列表。’公司治理风险识别的方法，可以考虑但不限于：——标杆分析法(benchmarking)：关注并跟踪外部环境，将公司治理的各项活动与具有良好治理绩效的公司或与公司治理相关的法律法规以及监管制度等进行对比、分析，识别出公司治理潜在风险。——问卷调查表：依据公司治理的风险管理目标，确定相应的治理风险因素，按照类别形成表格，以向相关人员发放，获得有关公司治理风险的重要信息。——检查表法：对本公司治理可能面临的许多潜在风险列于一个表上，供风险识别人员进行检查核对，用来判别公司治理是否存在表中所列或类似的风险。——流程图分析法：通过对公司治理相关流程的分析，可以发现和识别公司治理各个环节存在的风险及其起因和影响。——组织结构图分析法：通过对与公司治理相关的组织结构图的分析，发现可能产生风险的组织层级，以识别出风险。 www.bzfxw.com标准分享网www.bzfxw.com免费下载GB／T26317—2010——历史事件分析法：分析曾经发生的对公司治理目标造成一定影响的历史事件，进一步剖析导致事件发生的相关风险。——头脑风暴法：以公司治理风险管理的目标为中心，营造一个自由的会议环境，使与会者畅所欲言，充分交流有关公司治理的相关风险的看法，产生出大量公司治理风险管理方面的意见，作为进一步分析的基础。——财务报表分析法：通过对公司的资产负债表、损益表、现金流量表、营业报告书等有关资料的分析来识别和发现与公司治理有关的风险。——故障树分析法：从要分析的公司治理的特定事件或问题开始层层分析其发生原因，一直分析到不能再分解为止，以获得引起公司治理风险的风险源或事件。——情景分析法：通过有关数字、图表、曲线、想象、推测等方法对公司治理环境进行研究，对未来可能出现的多种风险状况进行预测，从而识别出引起公司治理风险的关键因素及其影响程度。在公司治理风险识别中，这些方法一般都不是单独使用，而是几种方法结合起来使用，以便更好地进行风险识别。5．3．2．2公司治理风险识别的范围公司治理风险识别，可以考虑但不限于以下方面：——公司内部利益相关者的利益保障以及监督实施机制。包括股东权益的保障机制；控股股东与其他利益相关者的制衡机制；控股股东的行为约束利益分配监督机制；依法保证所有股东获得平等待遇的监督机制；董事会、监事会、经理层之间的责权利分配监督实施机制和激励约束机制；监事会对公司相关人员和业务的监督职能执行机制；经理层和员工之间的监督管理机制的实施和保证机制；公司企业文化的渗透以及监督机制等。——公司外部利益相关者的利益保证和监督机制。包括上下游产品市场链条的利益制衡监督和协调机制；机构投资者、债权人等资本市场的运作机制和风险监管制度；公司的社会责任承担机制。——信息披露和透明度的执行监督机制。包括公司目标、绩效目标、经理层的薪酬政策、重大关联交易、内部交易、担保活动、交叉持股、并购、合并以及重组等重要信息的披露制度执行保证机制；公司战略实施以及部门职能执行的保障监督制度；准确、及时、公正报告公司财务信息的保障机制；内部审计制度的独立性及有效性保障机制；所有利益相关者的激励约束机制等。——与公司治理相关的法律法规约束执行机制。包括与公司治理内容有关的国际、国内的公司法、证券法、会计法、监管法规，社会舆论监督机制以及确保公司内外部利益协调的其他相关法律法规等。从公司内部利益相关者、公司外部利益相关者、信息披露和透明度以及与公司治理有关的法律法规约束等四个方面，附录A给出了公司治理风险识别的示例。5．3．3公司治理风险分析公司治理风险分析是对识别出的公司治理风险，考虑发生风险的原因和风险源、风险事件发生的可能性及风险事件的正面和负面的后果、影响后果和可能性的因素、不同风险及其风险源的相互关系，还要考虑现有的管理措施及其效果和效率，以及公司治理风险的其他特性，并对其进行定性和定量分析，为风险评价和风险应对提供支持。在公司治理风险分析中，应考虑公司的风险承受度及其对前提和假设的敏感性，并适时与公司的决策者以及其他利益相关者有效地沟通。另外，还要考虑可能存在的重要参与人的观点的分歧及数据和模型的局限性。公司治理风险发生的可能性和后果可采用定性、半定量、定量或以上方法的组合的方式，通过专家卷见确定，或通过对事件或事件组合的结果建模确定，也可通过对调查分析或实验研究可获得的数据的推导确定。对后果的描述可以表达为有形或无形的影响，如所有股东的基本权利得到有效保障或公司声誉的提升。在某些情况下，可能需要多个指标来确切描述不同时间、地点、类别或情形的后果。4 www.bzfxw.comCB／T26317—2010公司治理风险事件发生的可能性和后果，可以系统化和结构化地根据专家意见得出；也可以利用相关历史数据来识别那些在过去发生的事件或情况，借此推断出它们在未来发生的可能性；还可以利用故障树和事件树等方法来预测。表1给出了公司治理风险事件发生的可能性评价的一种示例。表1公司治理风险的可能性评价示例等级风险事件发生的可能性备注1很小风险事件几乎不会发生2不太可能风险事件很少发生3可能风险事件在某些情况下发生4很可能风险事件在较多情况下发生5基本确定风险事件几乎肯定会发生或常常发生表2是根据上述方法和角度得出的公司治理风险事件后果的一种示例。表2公司治理风险影响或后果示例确定公司治理风险的影响或后果后果等级绩效以及利益均衡备注极小或没有影响，正面绩效很对关键职责、目标和绩效标准以及利益相关者的利益影响极小l极低或没有影响，所以关键职责完成得很好，达成的目标比预期要好，利益均衡效果很好好，出现了高水平的绩效．利益分配很合理，极少出现利益倾斜影响较小，但会降低正面绩效表对关键职责、目标和绩效标准以及利益相关者的利益有较小影2低响，但是能够较好地完成关键职责，达成目标，实现绩效标准，现，利益均衡能够维持利益相关者的利益能够达到均衡，只是偶尔会出现利益倾斜影响一般，但会大大降低正面绩对关键职责、目标和绩效标准以及利益相关者的利益有一定程3由效表现，从一定程度上．利益均度的影响。关键职责基本完成，目标基本达成，绩效标准也基本实现，利益均衡有些被破坏，存在利益倾斜问题，但是并不能衡有些被破坏或偶尔引发利益相关者的冲突对关键职责、目标和绩效标准以及利益相关者的利益有较大影影响较大，会导致无正面绩效表响。关键职责完成得不太好，有些目标没有达成，有些绩效标4高现，利益均衡破坏较严重准也没有实现，利益均衡受到较严重的破坏，从较大程度上日．发利益相关者之间的利益冲突对关键职责、目标和绩效标准以及利益相关者的利益影响重影响很大，绩效很差，利益均衡大。关键职责没有完成，目标没有达成，绩效标准也没有实现，5极高受到极大破坏利益均衡受到特别大的破坏，引发利益相关者之间的利益冲突很严重公司治理风险发生的可能性和后果，可通过一个公司治理风险评估矩阵表示出来，如表3所示。表3公司治理风险评估矩阵过程示例后果等级可能性等级极低低中高极高12345基本确定55(5×1)10(5×2)15(5×3)20(5×4)25(5×5)很可能44(4x1)8(4×2)12(4×3)16(4×4)20(4×5)有可能33(3x1)6(3×2)9(3×3)12(3×4)15(3x5)不太可能22(2×1)4(2×2)6(2×3)8(2×4)10(2×5)很小11(1x1)2(1×2)3(1×3)4(1×4)5(1×5) www.bzfxw.com标准分享网www.bzfxw.com免费下载在公司治理风险分析的实际应用中．哥将根据点I和表2得到的公闻治理M险水件发生的“』能陆和后果与表3相对照，确定此胍畸事什的村l幢分值，534公司治理风险评价公司清理风晚评价足指将风随分析所确定的结粜与公司治理风随瞥理准则比较．或着在各种风险的分析结粜之问进行比较．确定风险等级．并结合公司管理层的Ml咯蝙蛘或菏风险恋J蔓做Ⅲ风腧府刈的决策。在埘公刊}i!}理风喻事件进行评价H『汁先霹根据公nJ清理M舱分析得Ⅲ的站粜分仇一·衷4埘照．找到埘府风险事件的风险M域或者根据分fIE(1J裘5对州攮褂风险‘H件的棚J、≯风I蹄等级。眦怔挂{据m喻区域或者M陆等级做出埘风险事什的心埘策田}}，根斟表3的风险评估矩阵，公刊治坪m喻等绒分类如^j所示：表4公司治理风险评估矩阵示例目能性等级m*坻十*№“基本自25i㈨ilz：报日能4有可偿36H】¨程小14。在公司治理风险砰怙矩阵中．红色的颜乜区域代表公-，Ji自理M险问题很严畦，脚r高危M。黄包的颜色医域代表公司治理风险问题其改，绿色的蒯也R域代表公司治理风险川题委轻衅甚至柏衅r口“忽略，具体如何看待要根据每个公刮的具体情况而定。表5给出r公司治理风险等级划分的种目；例。表5公司治理风险等级表示例风＆#‰分值鞍低自＆m高2()～25M睫m^．Bfzj{≈m^*“对识别出的每一个公司治理胤险事件进行风险分析和风险评价并通过逐级加枉，H口可获得丰廿应的风陆等级。公司衙理风险评价的结果庇满足公司治理风险应计的l蔷璺吾则歧做进步分析。肯}I_f，根赫{L经制定的公司治理风险准则．公司瀹理胍陆评价使公司做出维持现冉的公刮治IⅢ风险成对措施，不采取转他颇的措施的决定，54公司治理风险应对541摄述公司治理风险应对是根据公-I治理风险坪价的结果．埘需要腑对的M嗡．选样蚌执行种或多种战变公司治理风险事件发牛的可能性或后粜的措施。公司治理风I硷应对央策应当考虑各种环境衍息．包括内外部利益相关哲的利益诉求，风险承受度、绩敞H标u技法律、法规和其他h面的露求等。6 www.bzfxw.comGB／T26317—2010风险应对策略包括风险规避、风险优化、风险转移和风险自留等。公司应根据风险应对策略，制定适当的应对措施。公司治理风险应对措施的制定和实施是一个递进的过程，包括：——根据评估得到的公司治理风险等级，制定相应风险应对措施；——实施风险应对措施后，应评估剩余风险是否可以承受；——如果剩余风险不可承受，应调整或制定新的风险应对措施；——实施新的风险应对措施；——评估新的风险应对措施的效果，直到剩余风险可以承受。执行公司治理风险应对措施会引起公司治理风险的改变，需要跟踪、监督和了解风险应对的效果和公司治理的有关环境信息，并对变化的风险进行评估，必要时重新制定公司治理风险应对措施。表6是公司治理风险应对的一个示例。表6公司治理风险应对示例风险等级备注低度风险很小，不采取额外的应对措施，可能定期的风险监控措施即可较低风险较小，只需要根据风险状况采取常规的风险监控措施属于一般风险，是否采取额外的风险应对措施当视具体情况而定，但需采取定期的积极的风险监控措中度施，防止突发风险事件影响公司可持续发展高度风险较大，需要对风险进行持续的监控，采取积极的措施，以降低风险或转移风险很高风险很大，需要立即采取措施将风险降低到可接受的程度5．4．2选择风险应对措施公司治理风险的具体应对措施可包括但不限于：——建立完善的定期公司治理风险报告制度，重大风险要及时报告；——加强公司治理的制度建设；——明确公司从董事会、监事会、经理层到每个员工的责、权、利的分配；——各种奖惩制度的完善；——内部审计制度的建立；——完善信息披露制度，特别是财务信息的及时准确披露；——选择具有公信力的外部审计和律师等中介机构；——防止过度担保行为的发生；——防止非公允关联交易、内部交易的出现；——逐步建立公司治理风险管理文化；——及时制止其他违规行为等。公司治理风险应对措施在实施过程中可能会失灵或无效。因此，要把监督作为公司治理风险应对措施的实施计划的有机组成部分，以保证应对措施持续有效。公司治理风险应对措施可能引起公司治理次生风险，对公司治理次生风险也需要评估、应对、监督和检查。在原有的公司治理风险应对计划中要加入这些公司治理次生风险的内容，而不应将其作为新的公司治理风险而独立对待。为此，需要识别并检查原有公司治理风险与公司治理次生风险之间的联系。当公司治理风险应对措施影响到公司其他方面的风险或影响到其他利益相关者时，要评估这些影响，并与有关利益相关者沟通，必要时调整公司治理风险应对措施。公司治理风险的决策者和其他利益相关者应当清楚在采取公司治理风险应对措施后剩余风险的性质和程度。7 www.bzfxw.com标准分享网www.bzfxw.com免费下载GB／T26317—20105．4．3制定公司治理风险应对计划确定公司治理风险应对措施之后，需要制定相应的公司治理风险应对计划，而且公司治理风险应对计划要与公司治理的管理过程相融合。公司治理风险应对计划中应包括但不限于以下信息：——公司治理风险应对的范围；——公司治理风险应对方案的选定；——公司治理风险应对的实施安排，包括预选方案的优先顺序i——公司治理风险应对中评价指标的确定及其考核方法；——实施公司治理风险应对措施后的预期效果；——公司治理风险应对计划的制定人、负责人、审核人、批准人和执行人；——公司治理风险应对的报告和监督、检查的要求；——公司治理风险应对的资源需求，包括应急机制的资源需求；——执行时间表等。5．5公司治理风险监督和检查监督和检查是公司治理风险管理过程中重要的组成部分，贯穿于整个过程之中。公司应根据公司治理风险管理应对措施、应对计划以及引起公司治理风险的内外部环境的变化，明确界定公司治理风险管理流程中相应的监督和检查的责任，并且应适时监督和检查公司治理风险管理运行的情况的有效性，以便持续改进公司治理风险管理。监督和检查的内容可包括但不限于：——跟踪了解在不采取新措施的情况下可以接受的风险后果；——监测、分析公司治理风险因素的变化、发展趋势；——发现公司治理内部和外部环境信息的变化，包括与公司治理有关的法律法规变更、股权结构和董事会以及其他管理层的人员变动、公司章程的变更、公司战略的方向改变、非公允关联交易和重组等重大事项的变化、债权人的变更、机构投资人投资战略变化等；——监督并记录公司治理风险应对措施实施后的剩余风险，评估其影响程度，以便在适当时做迸一步处理；——对照公司治理风险应对计划，检查工作进度与计划的偏差并定期报告，保证公司治理风险应对措施的设计和执行有效；——实施公司治理风险管理绩效评估等；——发现新的公司治理风险，在需要时根据情况做相应处理。监督和检查活动包括常规检查、监控已知的风险、定期或不定期检查。定期或不定期检查都应被列入公司治理风险应对计划。应真实公正地记录监督和检查的结果，并适时对内或对外报告，以保证公司的利益相关者及时了解公司治理风险管理的执行情况，确保公司治理风险管理的有效性和持续性。5．6沟通和记录5．6．1沟通公司在公司治理风险管理过程的每一个阶段都应当与内部和外部利益相关者有效沟通和协商，以保证公司利益相关者能够理解公司治理风险管理决策的依据，以及需要采取某些行动的原因。沟通的内容可包括但不限于：——公司治理的内外部环境信息；——与公司治理有关的重大事项；——公司治理的重大风险情况；——利益相关者的利益诉求和风险偏好；——公司治理风险识别、分析、评价的情况；——公司治理风险应对措施、应对计划的原因、依据及预期效果等。8 GB／T26317—20105．6．2记录在公司治理风险管理过程中，要把与公司治理风险管理有关的事项进行记录，它是实施和改进整个公司治理风险管理过程的基础。公司治理风险管理的记录的目的包括但不限于：——信息重复使用的需要；——进一步分析公司治理风险和调整公司治理风险应对措施、应对计划的需要；——公司治理风险管理活动的可追溯要求；——沟通的需要；——法律、法规和操作上对记录的需要；——公司治理本身持续提高和改善的需要等。公司治理风险管理的记录内容包括但不限于：——公司治理结构的基本信息；——与公司治理有关的股东大会、董事会、监事会等决议以及相关职能部门的会议内容；——与公司治理有关的重大事项信息，如关联交易、内部交易、交叉持股、交叉担保、并购、重组等；——与公司治理有关的公司目标、公司战略、绩效目标、风险管理策略、财务信息以及审计信息等重要信息；——公司治理风险的识别、分析和评价的方法及结果；——公司治理风险的应对措施，应对计划及取得的效果；——监督和检查的相关内容；——利益相关者之间的沟通信息等。6公司治理风险管理的实施6．1概述为保证公司治理风险管理过程的有效实施，需要建立公司治理组织结构职能、工作程序、资源配置、信息沟通机制以及相关的技术手段和基础设施，并将其贯穿到公司治理的各个层次和各种活动之中，在实践中持续改进和提高。6．2公司治理风险管理政策公司治理风险管理政策应明确下列事项但不限于：——公司治理风险管理理念；——公司治理风险管理政策与公司的目标及其他政策之间的关系；——公司治理的风险管理目标；——公司治理风险管理的职责分配；——管理公司治理风险的程序和方法；——公司治理风险管理的资源配置；——测量和报告公司治理风险管理绩效的方式；——建立公司治理风险管理的计划；——持续改进的承诺等。公司应就公司治理风险管理政策同内部和外部利益相关者进行充分沟通和协调。6．3公司治理风险管理工作程序公司应当设计适当的制度和行为规范，建立公司治理风险管理工作程序，特别是整个公司层面的公司治理风险管理计划，以保证公司治理风险管理嵌入到公司治理的所有活动和过程之中，尤其是公司治理的战略规划、运营过程以及变革管理之中。9 标准分享网www.bzfxw.com免费下载(；B／T26317—20106．4公司治理风险管理相关组织职能公司治理风险管理组织机构，如股东(大)会、董事会。总经理、监事会以及相关职能部门在公司治理风险管理的过程中都应承担各自的职责。公司治理风险管理的组织结构为公司治理活动提供计划、执行、控制和监督职能的整体框架。它界定了与公司治理相关的各级部门和人员的职责和责任的关键范围，规范了授权制度。确立了报告的途径，并且根据公司治理的规模和活动的性质来做相应调整，从而使得公司治理风险管理更加有效。公司可通过但不限于以下方法保证公司治理风险管理的责任认定和授权，从而能够执行公司治理风险管理过程，并保证公司治理风险管理的充分性和有效性；——明确公司治理风险管理方案的制定、实施、监督和维护等人员的职责}——明确执行公司治理风险应对措施、应对计划、维护公司治理风险管理政策和报告相关风险信息等人员的职责；——建立批准、授权制度以及监督和检查制度；——建立绩效测量及相应适度的奖励、惩罚制度；——建立内外部利益相关者之间的沟通协调机制；——建立对内对外的报告机制等。6．5公司治理风险管理的资源配置公司应根据公司治理风险管理计划，制定可行的方法，恰当地为公司治理风险管理分配所需资源。具体应考虑但不限于下列各项：——影响到公司控制风险和编制相关文件的内部方案；——与公司治理风险管理相关的历史信息；——公司治理风险管理相关的人员、技术、经验和能力要求；——公司治理风险管理过程每一阶段所需要的资金及各种资源；——与公司治理风险有关的国际国内的法律法规及标准。6．6公司治理风险管理的沟通和报告机制6．6．1建立内部信息沟通和报告机制公司要建立公司治理风险管理的内部沟通和报告机制，以保证：——公司治理风险管理的关键组成部分及其调整得到适当有效的沟通；——在公司内部的利益相关者之间充分报告公司治理风险应对措施和应对计划实施的效果和效率；——在适当的层次和时机提供公司治理风险管理的相关信息；——建立与内部利益相关者协商的程序。内部沟通和报告机制还包括在考虑到公司治理本身特点的基础上，适当整合从各内部渠道得到的风险信息的程序。6．6．2建立外部信息沟通和报告机制公司需建立与外部利益相关者沟通的机制，以保证：——公司的对外报告符合法律、法规和公司治理要求；——公司与外部利益相关者保持有效的信息沟通；——在外部利益相关者中建立对公司的信心；——在发生突发事件、危机和紧急状况时与外部利益相关者沟通；——为公司提供外部利益相关者的报告和反馈。公司治理风险管理信息的沟通和报告机制要考虑与其他风险信息报送的衔接关系，以保证相关部门信息的互动有效及时准确地沟通，有助于对风险信息的整合，提高工作效率。10 表A．1为公司治理风险识别示例。附录A(资料性附录)公司治理风险识别示例表A．1公司治理风险识别示例GB／T26317—2010一级风二级风三级风险要素四级风险要素备注险要素●所有权登记办法股份转让权任免各级管理层的权利公司重大信息知情权和参与决策权股东权利公司剩余财产分配权公司重整申请权公司控制权的相关信息对公司经营的建议与质询权国有股持股比例机构投资者持艘比例经理层持股比例员工持股比例公司内股权结构流通股比例部利益股东相关者控制权与现金流权偏离系数前三大股东持股比例交叉持股比例累计投票制实施状况股东表决权回避制度实施情况年度股东大会出席股份占总股份比例股东大会股东大会召开次数关联股东表决回避率股东大会决议同类同级的所有股东的同等待遇平等对待股东内部交易以及自我交易董事和其他相关管理层卷入特定交易或事务的决策 标准分享网www.bzfxw.com免费下载GB／T26317—2010表A．1(续)一级风二级风三级风险要素四级风险要素备注险要素执行董事比例独立非执行董事比例董事会构成控股股东提名董事比例员工代表比例专业委员会完备性董事会议事规则独立董事会发表意见的质量董事会运作员工代表发言的质量董事会议召开次数董事会董事会记录董事兼职率董事高级职称所占比例独立董事的资质胜任能力员工代表的独立性以及本身资质董事责任公司内董事会责任部利益董事激励与约束董事长以及独立董事的薪酬水平以及处罚相关者经理层薪酬水平与处罚经理层薪酬与公司业绩的相关度经理层激励与约束经理层持股比例经理层在任期内股份的可转让性董事长与总经理是否兼职经理层总经理的选聘方式任免制度经理层责任离任审计经理层董事人数占董事会总数比例执行保障高管层为董事会提供信息的性质和渠道股东代表比例员工代表比例监事会监事会构成非公司监事比例内部审计代表比例12 表A．1(续)GB／T26317—2010一级风二级风险要素三级风险要素四级风险要素备注定期监督审查近三年监事会议召开次数近三年来行使监督权的有效性监事会运作内、外部审计的独立性公司治理实施的监督对管理层和员工的责权利分配的监督监事会监事的品行监事的专业知识水平监事胜任能力监事的独立性监事责任公司内监事会责任部利益监事激励与约束监事主席及非公司监事的薪酬水平与处罚相关者员工薪酬水平员工的激励与约束员工奖惩措施与公司业绩的相关度员工持股比例员工责任员工的素养员工上岗制度员工的选聘方式员工的培训定期提交公司发展建议情况参与公司治理参与决策层的决策程度产品寿命周期、产品的研制开发、品质与消费市场的相合度销售市场与客户的沟通生产要横向竞争者素市场供应商的产品品质供应商市场供应商素质公司外部利益公司债券相关者债权人权利债权人参与公司治理的程度债权人债权人剩余索取权市场民事权利保障执行能力公司对债权人的义务债权人的综合素质13 标准分享网www.bzfxw.com免费下载GB／T26317—2010表A．1(续)一级风二级风三级风险要素四级风险要素备注险要素内部股权收购关联交易内部控制权市场股东股份比例重组控制权经理层的不对称信息管理市场机构投资者外部控制权市场股票、期权收购以及要约收购、接管、兼并等并购合并公司外中介机构发言的独立性部利益中介机构职员的职业紊质相关者中介机构的内在因素披露信息的质量信用中中介机构的责任介市场权力执行保障中介市场的外在因素市场环境社区文化与公司文化的相容性社区环境社区政治环境社区环境社区经济环境公司治理结构和绩效以及政策的信息应收账款周转率、主营业务利润率和全部资产现金回收率财务部门的信息透明度营运能力内部审计部门的信息质量各级职工的薪酬与绩效挂钩程度可预见风险信息信息披信息披露经营费用与销售收入的比值露和透和透明度资本性支出与长期资产的比值明度内部人控制财务部门的独立性内部审计部门信息以及它的独立性关联交易报告非公允关联交易担保率及担保资产负债率、财务费用占主营业务收入比重、其他应收款占流动资产比重、关联交易额占主营业务收入的比例14 表A．1(续)GB／T26317--2010一级风二级风三级风险要素四级风险要素备注险要素(当期收益+折旧费用)／总债务信息披信息披露财务信用风险自由现金流量／总债务露和透和透明度利息保障倍数明度投资者法律保护国内法律法规与公司与公司治法律法规治理有关的法理有关的政府及市场监管律法规法律法规国际法律法规约束社会公众舆论监督及媒体监督约柬舆论监督15 标准分享网www.bzfxw.com免费下载GB／T26317—2010参考文献[1]证监发[200211号．上市公司治理准则E2]国资发改革[2006]108号．中央企业全面风险管理指引[3]GB／T24420--2009供应链风险管理指南[4]铁建设[20071200号．铁路隧道风险评估与管理暂行规定[5]Organization{orEconomicCo—operationandDevelopment，UsingtheOECDPrinciplesofCorporateGovernance：ABoardroomGuide，OECD2008．r6]BritishStandardsInstitution(BSPD6668：2000)，ManagingRiskforCorporateGovernance16'