公司治理风险管理指南

公司治理风险管理指南(总25页)

--本页仅作为文档封面，使用时请直接删除即可-- --内页可以根据需求调整合适字体及大小--

ICS 02

22

中华人民共和国国家标准 GB/T XXXXX—XXXX

公司治理风险管理指南

Guidelines for Corporate Governance Risk Management

（征求意见稿）

××××-××-××发布 ××××-××-××实施

中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布

GB/T ××××—××××

目 次

前 言 ................................................................................................................................... 错误!未定义书签。 引 言 ................................................................................................................................... 错误!未定义书签。 1 范围 ................................................................... 错误!未定义书签。 2 规范性引用文件 ......................................................... 错误!未定义书签。 3 术语和定义 ............................................................. 错误!未定义书签。 4 公司治理风险管理原则 ................................................... 错误!未定义书签。 5 公司治理风险管理的过程 ................................................. 错误!未定义书签。 6 公司治理风险管理的实施保障 ............................................. 错误!未定义书签。 参考文献 ................................................................. 错误!未定义书签。 附录A .................................................................... 错误!未定义书签。 附录A（续） .............................................................. 错误!未定义书签。 附录A（续） .............................................................. 错误!未定义书签。 附录A（续） .............................................................. 错误!未定义书签。 附录A（续） .............................................................. 错误!未定义书签。

GB/T ××××—××××

前 言

本标准在GB/T 24353-2009《风险管理 原则与实施指南》的指导下，参考了《OECD公司治理原则》、英国标准协会BSPD6668:2000《Managing Risk for Corporate Governance》等标准的技术内容。

本标准的附录A为资料性附录。

本标准由全国风险管理标准化技术委员会（SAC/TC 310）提出并归口。

本标准起草单位：中国标准化研究院、中国矿业大学、第一会达风险管理科技有限公司、中科院科技政策与管理科学研究所、北京大学、北京理工大学

本标准主要起草人：

I

GB/T ××××—××××

引 言

公司治理是现代企业制度建设的核心内容，是影响企业竞争和促进企业发展的决定性因素。良好的公司治理有利于降低公司的代理成本和融资成本，提高公司价值，它对公司长期目标的达成以及资本市场的发展等都有重要影响。近年来，国内外的公司丑闻不断涌现，公司治理及其风险管理问题更是日益引起高度关注。

在我国，公司制企业的发展历程还比较短，公司运营及监管制度不够完善、决策层的责权利分配不够明确，公司治理风险意识较淡薄，并且随着市场化的深入和经济的发展，公司高管的违规、非公允关联交易、内部交易、过度担保以及资本市场的违规行为等影响公司可持续发展的重大事件日益增多。鉴于此，尽早识别并管理公司治理风险尤为必要。

通过明确公司治理风险的环境信息，运用科学的方法和工具对其进行识别、分析、评价和应对，公司就能够较有效地管理公司治理过程中出现的风险，并确定必要的控制水平。所以公司可结合自身的特点和风险管理目标来进行公司治理风险管理，以协调公司与所有利益相关者之间的关系，使得利益相关者之间的利益达到均衡，保证公司经营的持续稳定发展。

II

GB/T ××××—××××

公司治理风险管理指南

1 范围

本标准给出了公司治理风险管理的通用指南，包括公司治理风险管理的步骤，以及识别、分析、评价和应对公司治理风险的方法和工具。

本标准适用于公司治理风险管理，它用于支持公司治理的活动和决策，管理者可以按照本标准审查其现有的公司治理风险管理的实务和过程。

本标准适用于依照《中华人民共和国公司法》设立的公司，其中阐述的重要原则与方法可以为有类似治理结构的企业、协会以及团体等组织提供参考。

本标准是一般性的，不是任何行业的专用标准。

2 规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 23694-2009风险管理 术语

3 术语和定义

GB/T 23694-2009中界定的术语和定义适用于本标准。

公司治理

公司治理是指协调公司利益相关者之间关系的一种制度安排。

注1：公司治理中，利益相关者主要包括董事会、监事会、经理层、股东、员工、债权人、供应商和监管机构等。

1

GB/T ××××—××××

注2：制度安排是指在公司治理领域内约束利益相关者行为的一组规则，它支配利益相关者之间可能采取合作与竞争的方式以确保实现自己的利益目标。

注3：公司治理的目标是为了确保公司的正确决策，实现利益相关者之间的利益均衡，提高公司的绩效，确保公司经营的可持续发展。

公司治理风险

公司治理风险是指由于公司治理制度设计不合理或运行机制不健全，以及与公司治理相关的内外部环境的变化，对公司治理目标实现产生的影响。

4 公司治理风险管理原则

为有效管理公司治理风险，公司在实施治理风险管理时，可遵循下列原则： a. 确保合规

公司应遵循与公司治理有关的法律法规，防止因违规而可能造成的法律制裁或监管处罚、重大财务损失或声誉损失等。

b. 信息沟通

公司的利益相关者之间应进行持续、双向、充分和及时的沟通，尤其是公司的相关部门要保证及时准确地披露公司所有重要事务的信息，包括公司目标、财务状况、重大战略决策、绩效、所有权、关联交易和内部交易等重大风险事件以及公司治理风险管理有效性方面的信息披露。

c. 权力制衡

在公司治理风险管理过程中，应明确董事会、监事会、经理层以及其他利益相关者的责权利，通过权力的有效制衡，防止一部分利益相关者的利益受到侵犯，确保有效实现所有利益相关者的利益均衡。

2

GB/T ××××—××××

d. 持续改进

公司治理风险管理是适应环境变化的动态过程，要持续关注内外部环境变化对公司治理的影响以及公司治理风险管理方案执行情况，通过绩效测量、检查和调整等手段，使公司治理风险管理得到持续改进。

5 公司治理风险管理的过程 概述

公司治理风险管理过程由到所描述的活动组成，即：明确公司治理环境信息、风险评估、风险应对以及监督和检查，这些活动和过程将在本部分进行描述，如图1所示。

沟通和记录以及协调非常重要，应贯穿于风险管理过程的各项活动中，将对沟通和记录进行详细说明。

公司内部利益相关者之间的关系及激励与约束机制、公司战略、绩效目标、担保活动和关联交易等重大事项以及相关的信息披露、企业文化等 与公司治理有关的法律法规约束、内外部利益相关者之间的关系、与公司有关的资本市场的重要信息、外部审计等中介信息披露以及社会舆论监督等 风险 监督 和检 查 ·公司治理内部环境信息 明确公司治理环境信息 ·公司治理外部环境信息 ·运用风险识别方法识别出可能 风险评估 风险识别 影响公司治理目标的风险源等，生成公司治理风险列表 ·分析这些风险列表中的风险源风险分析 风险评价 3 发生的可能性和后果 ·对风险分析的结果进行评价。为确定风险状况，推荐一些示例 ·根据风险评价结果，制定相应的风险应对措施、应对计划等以GB/T ××××—××××

·定期或不定期地监督和检查风险管理措施的实施情况，监控已知风险，并及时发现潜在的风险，在需要 时做出调整，有利于维持公司治理风险的可控性。

图1 公司治理风险管理过程

明确公司治理的相关环境信息

公司进行公司治理风险管理时，首先要明确公司治理的内、外部环境信息。 a. 公司治理的内部环境信息可包括但不限于： ——公司治理组织结构

——股东、董事会、监事会、经理层和职工等内部利益相关者之间的关系； ——公司战略、绩效目标；

——股权结构及其变更、管理层变动、重大交易等重要事项的历史信息； ——公司各级人员的激励约束机制；

——关联交易、内部交易以及担保活动等重大活动的披露制度和控制程度； ——公司财务信息的披露报告；

4

GB/T ××××—××××

——监督检查机制，如监事会以及其他具有监督检查职能的人员或部门的监督检查记录、内部审计、反舞弊机制、投诉和举报人保护制度等；

——现有的公司治理风险管理政策及方案； ——内部利益相关者的诉求、价值观、风险承受度； ——企业文化等。

b. 公司治理的外部环境信息包括但不限于： ——与公司治理有关的法律法规约束； ——政府及市场监管环境； ——内外部利益相关者之间的关系；

——公司外部利益相关者的利益诉求、价值观及风险偏好；

——与本公司有关的控制权市场接管、合并、收购以及重组等信息； ——外部审计、会计、律师等中介机构的信息披露； ——社会公众舆论及媒体监督机制；

——国际的、国内的、地区的和本地的经济、政治、文化等其他相关环境。

公司治理风险评估

概述

公司治理风险的评估包括风险识别、风险分析和风险评价三个步骤。 公司治理风险的识别

公司治理风险的识别是指采用适当的风险识别工具和技术，通过识别可能影响公司治理目标的风险源、影响范围、事件及其原因和潜在的后果等，生成公司治理风险列表。

公司治理风险识别的方法，可以考虑但不限于：

5

GB/T ××××—××××

——基准化分析法（benchmarking）：关注并跟踪外部环境，将公司治理的各项活动与具有良好治理绩效的公司或与公司治理相关的法律法规以及监管制度等进行对比、分析，识别出公司治理潜在风险。

——问卷调查表：依据公司治理的风险管理目标，确定相应的治理风险因素，按照类别形成表格，以向相关人员发放，获得有关公司治理风险的重要信息。

——检查表法：对本公司治理可能面临的许多潜在风险列于一个表上，供风险识别人员进行检查核对，用来判别公司治理是否存在表中所列或类似的风险。

——流程图分析法：通过对公司治理相关流程的分析，可以发现和识别公司治理各个环节存在的风险及其起因和影响。

——组织结构图分析法：通过对与公司治理相关的组织结构图的分析，发现可能产生风险的组织层级，以识别出风险。

——历史事件分析法：分析曾经发生的对公司治理目标造成一定影响的历史事件，进一步剖析导致事件发生的相关风险。

——头脑风暴法：以公司治理风险管理的目标为中心，通过营造一个无批评的自由的会议环境，使与会者畅所欲言，充分交流有关公司治理的相关风险的看法，发挥集体的智慧，产生出大量公司治理风险管理方面的意见的过程，以提高公司治理风险识别的正确性和效率。

——财务报表分析法：通过对公司的资产负债表、损益表、现金流量表、营业报告书等有关资料的分析来识别和发现与公司治理有关的风险。

——事故树分析法：是指从要分析的公司治理的特定事件或问题开始层层分析其发生原因，一直分析到不能再分解为止，以获得引起公司治理风险的风险源或事件。

6

GB/T ××××—××××

——情景分析法：就是通过有关数字、图表、曲线、想象、推测等方法对公司治理环境进行研究，对未来可能出现的多种风险状况进行预测，从而识别出引起公司治理风险的关键因素及其影响程度。

在公司治理风险识别中，这些方法一般都不是单独使用，而是几种方法结合起来使用，以便更好地进行风险识别。

公司治理风险的识别，可以考虑但不限于以下方面：

——公司内部利益相关者的利益保障以及监督实施机制，包括股东权利的保障机

制，控股股东

与其他利益相关者的制衡机制和控股股东的行为约束以及利益分配监督机制，保证所有同级同类股

东获得平等待遇的监督机制，董事会、监事会、经理层之间的责权利分配监督实施机制和激励约束

机制；监事会对公司相关人员和业务的监督职能执行机制；管理层和职工之间的监督管理机制的实

施和保证；公司企业文化的渗透以及监督等；

——公司外部利益相关者的利益保证和监督机制，包括上下游在内的产品市场的链

条利益制衡监督

和协调机制，机构投资者、债权人和外部控制权等在内的资本市场的运作机制和风险监管制度，公司与社区环境的相容性保障措施等；

——信息披露和透明度的执行监督，包括公司目标、绩效目标、管理层的薪酬政

策、重大关联交易、

7

GB/T ××××—××××

内部交易、担保活动、交叉持股、并购、合并以及重组等重要信息的披露制度执行保证，公司财务报告信息的准确、公正和及时等的保障机制，内部审计制度的独立性及有效性保障机制，公司战略实施以及部门职能执行的保障监督制度，所有利益相关者的激励约束机制等；

——与公司治理相关的法律法规约束执行机制，包括与公司治理内容有关的国际、

国内的公司法、

证券法、会计法、监管法，社会舆论监督机制以及确保公司内外部利益协调的政府相关法律法规等。

根据公司内部利益相关者、公司外部利益相关者、信息披露和透明度以及与公司治理有关的法律法规约束这四个方面，做出公司治理风险识别表的示例见附表A。 公司治理风险的分析

公司治理风险的分析是对识别出的公司治理风险，考虑发生风险的原因和风险源、风险事件发生的可能性及风险事件的正面和负面的后果、影响后果和可能性的因素、不同风险及其风险源的相互关系，还要考虑现有的管理措施及其效果和效率，以及公司治理风险的其他特性，并对其进行定性和定量分析，为风险评价和风险应对提供支持。

在公司治理风险分析中，应考虑公司的风险承受度及其对前提和假设的敏感性，并适时与公司的决策者以及其他利益相关者有效地沟通。另外，还要考虑可能存在的重要参与人的观点的分歧及数据和模型的局限性。

公司治理风险发生的可能性和后果可采用定性、半定量、定量的或以上方法的组合的方式，通过专家意见确定，或通过对事件或事件组合的结果建模确定，也可通过对调查分析或实验研究可获得的数据的推导确定。对后果的描述可以表达为有形或无形的影

8

GB/T ××××—××××

响，如所有股东的基本权利得到有效保障或公司声誉的提升。在某些情况下，可能需要多个指标来确切描述不同时间、地点、类别或情形的后果。

公司治理风险事件发生的可能性和后果，可以系统化和结构化地根据专家意见得出；也可以利用相关历史数据来识别那些在过去发生的事件或情况，借此推断出它们在未来发生的可能性；还可以利用故障树和事件树等技术来预测。

表1给出了公司治理风险事件发生的可能性评价的一种示例。

表1公司治理风险的可能性评价示例

风险事件发生的可能等级 1 2 3 4 5 极小 不太可能 可能 很可能 基本确定 备注 性 风险事件几乎不会发生 风险事件很少发生 风险事件在某些情况下发生 风险事件在较多情况下发生 风险事件几乎肯定会发生或常常发生

表2是根据上述方法和角度得出的公司治理风险事件后果的一种示例。

表2 公司治理风险影响或后果示例

后果等级 确定公司治理风险的影响或后果 绩效以及利益均衡 极小或没有影响，正面绩效非常好，利益均衡效果很好 备注 1 极低 2 低 影响较小，但会降低正面绩效表现，利益均衡能够维持 3 中 影响一般，但会大大降低正面绩效表现，从一定程度上，利益均衡有些被破坏 影响较大，会导致无正面绩效表现，利益均衡破坏较严重 4 高 对关键职责、目标和绩效标准以及利益相关者的利益影响极小或没有影响，所以关键职责完成的很好，达成的目标比预期要好，出现了高水平的绩效，利益分配的很合理，极少出现利益倾斜 对关键职责、目标和绩效标准以及利益相关者的利益有较小影响，但是能够较好地完成关键职责，达成目标，实现绩效标准，利益相关者的利益能够达到均衡，只是偶尔会出现利益倾斜 对关键职责、目标和绩效标准以及利益相关者的利益有一定程度的影响。关键职责基本完成，目标基本达成，绩效标准也基本实现，利益均衡有些被破坏，存在利益倾斜问题，但是并不能或偶尔引发利益相关者的冲突 对关键职责、目标和绩效标准以及利益相关者的利益有较大影响。关键职责完成的不太好，有些目标没有达成，有些绩效标准也没有实现，利益均衡受到较严重的

9

GB/T ××××—××××

破坏，从较大程度上引发利益相关者之间的利益冲突 对关键职责、目标和绩效标准以及利益相关者的利益影响重大。关键职责没有完成，目标没有达成，绩效标准也没有实现，利益均衡受到特别大的破坏，引发利益相关者之间的利益冲突非常严重 5 极高 影响很大，绩效非常差，利益均衡受 到极大破坏

公司治理风险发生的可能性和后果，可通过一个公司治理风险评估矩阵表示出来，如表3所示。

表3 公司治理风险评估矩阵示例

后果等级 可能性等级 基本确定 很可能 有可能 不太可能 极小 5 4 3 2 1 极低 1 5（5×1） 4（4×1） 3（3×1） 2（2×1） 1（1×1） 低 2 10（5×2） 8（4×2） 6（3×2） 4（2×2） 2（1×10） 中 3 15（5×3） 12（4×3） 9（3×3） 6（2×3） 3（1×3） 高 4 20（5×4） 16（4×4） 12（3×4） 8（2×4） 4（1×4） 10（2×5） 5（1×5） 15（3×5） 20（4×5） 极高 5 25（5×5）

在公司治理风险分析的实际应用中，要将根据表1和表2得到的公司治理风险事件发生的可能性和后果与表3相对照，确定此风险事件的相应分值。 公司治理风险的评价

公司治理风险评价是指将风险分析所确定的结果与公司治理风险管理准则比较，或者在各种风险的分析结果之间进行比较，确定风险等级，并结合公司管理层的风险偏好或者风险态度，做出风险应对的决策。

10

GB/T ××××—××××

在对公司治理风险事件进行评价时，首先要根据公司治理风险分析得出的结果—分值，与表4对照，找到对应风险事件的风险区域；或者根据分值，与表5对照，获得风险事件的相应风险等级。以便根据风险区域或者风险等级做出对风险事件的应对策略。

根据表3的风险评估矩阵，公司治理风险等级分类如表5所示：

表4 公司治理风险评估矩阵示例

后果等级 可能性等级 基本确定 很可能 有可能 不太可能 极小 5 4 3 2 1 极低 1 5 4 3 2 1 低 2 10 8 6 4 2 中 3 15 12 9 6 3 高 4 20 16 12 8 4 极高 5 25 20 15 10 5 在公司治理风险评估矩阵中，红色的颜色区域代表公司治理风险问题很严重，属于高危区。黄色的颜色区域代表公司治理风险问题其次，绿色的颜色区域代表公司治理风险问题要轻一些甚至有些可以忽略，具体如何看待要根据每个公司的具体情况而定。

表5给出了公司治理风险等级划分的一种示例。

表5 公司治理风险等级表示例

风险等级 低度 较低 中度 高度 极高 分值 1-2 3-4 5-10 12-16 20-25 风险较小，日常工作中偶尔关注 一般风险，需要引起一般关注 风险较大，需要引起高度关注 风险很大，需要引起极大关注 备注 风险很小，日常工作中极少关注或忽略

对识别出的每一个公司治理风险事件进行风险分析和风险评价，均可获得相应的风险等级。

公司治理风险评价的结果应满足公司治理风险应对的需要，否则，应做进一步分析。有时，根据已经制定的公司治理风险准则，公司治理风险评价使公司做出维持现有的公司治理风险应对措施，不采取其他新的措施的决定。

11

GB/T ××××—××××

公司治理风险应对

概述

公司治理风险应对是根据公司治理风险评价的结果，对需要应对的风险，选择并执行一种或多种改变公司治理风险事件发生的可能性或后果的措施。公司治理风险应对决策应当考虑各种环境信息，包括内外部利益相关者的利益诉求、风险承受度，绩效目标以及法律、法规和其它方面的要求等。

风险应对策略可包括风险规避、风险优化、风险转移和风险自留等。根据风险应对策略，制定适合于公司治理风险的应对措施。

公司治理风险应对措施的制定和评估可能是一个递进的过程，包括： ——根据评估得到的公司治理风险等级，制定相应风险应对措施； ——实施风险应对措施后，应评估剩余风险是否可以承受； ——如果剩余风险不可承受，应调整或制定新的风险应对措施； ——实施新的风险应对措施；

——评估新的风险应对措施的效果，直到剩余风险可以承受。

执行公司治理风险应对措施会引起公司治理风险的改变，需要跟踪、监督和了解风险应对的效果和公司治理的有关环境信息，并对变化的风险进行评估，必要时重新制定公司风险应对措施。

针对风险评估出来的风险状况，可采取相应的风险应对措施。 表6是公司治理风险应对的一个示例。

表6 公司治理风险应对示例

风险等级 低度 较低 中度 备注 风险很小，只需根据风险状况采取定期的风险监控措施规避风险 风险较小，只需要根据风险状况采取常规的风险监控措施规避风险 属于一般风险，是否采取风险处理措施视具体情况而定，但需采取定期的积极的风险监控措施降低风险，防止突发风险事件影响公司可持续发展 12

GB/T ××××—××××

高度 极高 风险较大，需要对风险暴露采取持续的积极的监控和度量，以降低风险或转移风险，且满足降低风险的成本不高于风险发生后的损失。 风险很大，需要立即采取措施将风险降低或转移到可接受的程度。

选择风险应对措施

公司治理风险的具体应对措施可包括但不限于：

——建立完善的定期公司治理风险报告制度，重大风险要及时报告； ——加强公司治理制度建设；

——明确公司从董事会、监事会、经理层到每个员工的责、权和利的分配； ——建立公司治理风险管理部门； ——各种奖惩制度的完善； ——内部审计制度的建立；

——完善信息披露制度，特别是财务信息的及时、公允披露； ——选择具有公信力的外部审计、会计以及律师等中介机构； ——防止过度担保行为的发生；

——防止非公允关联交易、内部交易的出现； ——利益相关者关系的有效维系； ——其他违规行为的及时制止等。

公司治理风险应对措施在实施过程中可能会失灵或无效。因此，要把监督作为公司治理风险应对措

施的实施计划的有机组成部分，以保证应对措施持续有效。

公司治理风险应对措施可能引起公司治理次生风险，对公司治理次生风险也需要评估、应对、监督和检查。在原有的公司治理风险应对计划中要加入这些公司治理次生风险的内容，而不应将其作为新的公司治理风险而独立对待。为此，需要识别并检查原有

13

GB/T ××××—××××

公司治理风险与公司治理次生风险之间的联系。当公司治理风险应对措施影响到公司其他方面的风险或影响到其他利益相关者时，要评估这些影响，并与有关利益相关者沟通，必要时调整公司治理风险应对措施。

公司治理风险的决策者和其他利益相关者应当清楚在采取公司治理风险应对措施后的剩余风险的性质和程度。 制定公司治理风险应对计划

确定公司治理风险应对措施之后，需要制定相应的公司治理风险应对计划，而且公司治理风险应对计划要与公司治理的管理过程相融合。公司治理风险应对计划中应包括但不限于以下信息：

——公司治理风险应对的范围； ——公司治理风险应对方案的选定；

——公司治理风险应对的实施安排包括预选方案的优先顺序； ——公司治理风险应对中评价指标的确定及其考核方法； ——实施公司治理风险应对措施后的预期效果；

——公司治理风险应对计划的制定人、负责人、审核人、批准人和执行人； ——公司治理风险应对的报告和监督、检查的要求；

——公司治理风险应对的资源需求，包括应急机制的资源需求； ——执行时间表等。

监督和检查

监督和检查是公司治理风险管理过程中重要的组成部分，它是一个持续动态的过程，公司应根据公司治理风险管理应对措施、应对计划以及引起公司治理风险的内外部

14

GB/T ××××—××××

环境的变化，明确界定公司治理风险管理流程中相应的监督和检查的责任，并且应随时监督和检查公司治理风险管理运行的情况是否有效，及时发现运行中的问题，以便在需要时适时改进。监督和检查的内容可包括但不限于：

——跟踪了解在不采取新措施的情况下可以接受的风险后果； ——监测、分析公司治理风险因素的变化、发展趋势；

——发现公司治理内部和外部环境信息的变化，包括与公司治理有关的法律法规变更、股权结构和董事会以及其他管理层的人员变动、公司章程的变更、公司战略的方向改变、非公允关联交易以及担保比例和重组等重大事项的变化、债权人的变更、机构投资人投资战略变化等；

——监督并记录公司治理风险应对措施实施后的剩余风险，评估其影响程度，以便在适当时做进一步处理；

——对照公司治理风险应对计划，检查工作进度与计划的偏差并定期报告，保证公司治理风险应对措施的设计和执行有效；

——实施公司治理风险管理绩效评估等；

——发现新的公司治理风险，在需要时根据情况做相应处理。

监督和检查活动包括常规检查、监控已知的风险、定期或不定期检查。定期或不定期检查都应被列入公司治理风险应对计划。

应客观真实公正地记录监督和检查的结果，并适时对内或对外报告，以保证公司的利益相关者及时了解公司治理风险管理的执行情况，确保公司治理风险管理的有效性和持续性。

沟通和记录

沟通

15

GB/T ××××—××××

公司在公司治理风险管理过程的每一个阶段都应当与内部和外部利益相关者有效沟通和协商，以保证公司利益相关者能够理解公司治理风险管理决策的依据，以及需要采取某些行动的原因。

沟通的内容可包括但不限于： ——公司治理的内外部环境信息； ——与公司治理有关的重大事项； ——利益相关者的利益诉求和风险偏好； ——公司治理风险识别、分析、评价的情况；

——公司治理风险应对措施、应对计划的原因、依据及预期效果等。 记录

在公司治理风险管理过程中，要把与公司治理风险管理有关的事项进行记录，它是实施和改进整个公司治理风险管理过程的基础。

公司治理风险管理的记录的目的包括但不限于： ——信息重复使用的需要；

——进一步分析公司治理风险和调整公司治理风险应对措施、应对计划的需要； ——公司治理风险管理活动的可追溯要求； ——沟通的需要；

——法律、法规和操作上对记录的需要； ——公司治理本身持续提高和改善的需要等。 公司治理风险管理的记录内容包括但不限于： ——公司治理结构的基本信息；

16

GB/T ××××—××××

——与公司治理有关的股东大会、董事会、监事会等决议以及相关职能部门的会议内容；

——与公司治理有关的重大事项信息，如关联交易、内部交易、交叉持股、交叉担保、过度担保、并购、重组等；

——与公司治理有关的公司目标、公司战略、绩效目标、风险管理策略、财务信息以及审计信息等重要信息；

——公司治理风险的识别、分析和评价的方法及结果； ——公司治理风险的应对措施，应对计划及取得的效果； ——监督和检查的相关内容； ——利益相关者之间的沟通信息等。

6 公司治理风险管理的实施保障 概述

为保证公司治理风险管理过程的有效实施，需要公司治理组织结构、工作程序、资源配置、信息沟通机制以及相关的技术手段和基础设施贯穿到公司治理的各个层次和各种活动之中，并在实践中持续改进和提高。

公司治理风险管理的实施保障主要包括但不限于：

——公司治理风险管理的制定者、指导者、监督者以及执行者等相关人员及职能部门的责权利分配；

——公司治理风险管理方针以及实施方案；

——适当的制度和程序，使公司治理风险管理嵌入到公司治理的所有活动和过程中；

17

GB/T ××××—××××

——与公司治理结构相关的职责，及有关的与公司的绩效指标一致的公司治理风险管理绩效指标；

——资源分配；

——与所有利益相关者沟通公司治理风险管理的机制； ——技术手段、方法、工具等。

公司治理风险管理方针

公司治理风险管理方针应明确下列事项但不限于： ——公司治理风险管理理念； ——公司治理的风险管理目标；

——公司治理风险管理方针与公司的目标及其它方针之间的关系； ——公司治理风险管理的职责分配； ——管理风险的程序和方法； ——公司治理风险管理的资源配置；

——测量和报告公司治理风险管理绩效的方式； ——建立公司治理风险管理的计划； ——持续改进的承诺等。

公司应就公司治理风险管理方针同内部和外部利益相关者进行充分沟通。

公司治理风险管理工作程序

公司应当设计适当的制度和行为规范，建立公司治理风险管理工作程序，特别是整个公司层面的公司治理风险管理计划，以保证公司治理风险管理嵌入到公司治理的所有活动和过程之中，尤其是公司治理的战略规划、运营过程以及变革管理之中。

18

GB/T ××××—××××

公司治理风险管理相关组织结构和职责

公司治理风险管理组织机构，如股东（大）会、董事会、经理层、监事会以及相关职能部门在公司治理风险管理的过程中都应承担各自的职责。

公司治理风险管理的组织结构为公司治理活动提供计划、执行、控制和监督职能的整体框架。它界定了与公司治理相关的各级部门和人员的职责和责任的关键范围，确立了报告的途径，确定了组织结构要考虑公司以及公司治理的规模和活动的性质，从而使得公司治理风险管理更加有效。

公司可通过以下方法但不限于以下方法保证公司治理风险管理的责任认定和授权，从而能够执行公司治理风险管理过程，并保证公司治理风险管理的充分性和有效性：

——明确公司治理风险管理方案的制定、实施、监督和维护等人员的职责； ——明确执行公司治理风险应对措施、应对计划、维护公司治理风险管理政策和报告相关风险信息等人员的职责；

——建立批准、授权制度以及监督和检查制度； ——建立绩效测量，及相应适度的奖励、惩罚制度； ——建立内外部利益相关者之间的沟通协调机制； ——建立对内对外的报告机制等。

公司治理风险管理的资源配置

公司应根据公司治理风险管理计划，制定可行的方法，恰当地为公司治理风险管理分配所需资源。具体应考虑但不限于下列各项：

——影响到公司控制风险和编制相关文件的内部方案； ——与公司治理风险管理相关的历史信息；

——公司治理风险管理相关的人员、技术、经验和能力要求；

19

GB/T ××××—××××

——公司治理风险管理过程每一阶段所需要的资金及各种资源； ——与公司治理风险有关的国际国内的法律法规及标准；

公司治理风险管理的沟通和报告机制

建立内部信息沟通和报告机制

公司要建立公司治理风险管理的内部沟通和报告机制，以保证： ——公司治理风险管理的关键组成部分及其调整得到适当有效的沟通；

——在公司内部的利益相关者之间充分报告公司治理风险应对措施和应对计划实施的效果和效率；

——在适当的层次和时机提供公司治理风险管理的相关信息； ——建立与内部利益相关者协商的程序。

内部沟通和报告机制还包括在考虑到公司治理敏感程度的基础上，适当整合从各内部渠道得到的风险信息的程序。 建立外部信息沟通和报告机制

公司需建立与外部利益相关者沟通的机制，以保证： ——公司的对外报告符合法律、法规和公司治理要求； ——公司与外部利益相关者保持有效的信息沟通； ——在外部利益相关者中建立对公司的信心；

——在发生突发事件、危机和紧急状况时与外部利益相关者沟通； ——为公司提供外部利益相关者的报告和反馈。

公司治理风险管理信息的沟通和报告机制要考虑与其他风险信息报送的衔接关系，以保证相关部门信息的互动有效及时准确的沟通，有助于对风险信息的整合，提高工作效率。

20

GB/T ××××—××××

参考文献

[1] GB/T 24353—2009 风险管理 原则和实施指南 [2] 《中央企业全面风险管理指引》

[3] 铁建设[2007] 200号：铁路隧道风险评估与管理暂行规定 [4] GB/T 24420-2009 供应链风险管理指南 [5] 《中华人民共和国公司法》 [6]《上市公司治理准则》

[7] 李维安 公司治理学 高等教育出版社2005年

[8] 刘红霞 国有企业内部治理风险预警研究 中国财政经济出版社 2007年

[9] Organization for Economic Co-operation and Development, Using the OECD Principles

of Corporate Governance: A Boardroom Guide, OECD 2008.

[10] British Standards Institution (BSPD6668:2000), Managing Risk for Corporate Governance

[11] Institute for Economic and Social Reforms,Corporate Governance Risk in the Slovak

Republic,1999

[12] Isle of Man Government, Corporate Governance Risk Management Policy,2006 [13] Standard&Poor’s Corporate Governance Scores and Evaluations,The McGraw-Hill

Companies Inc.,2003

21

GB/T ××××—××××

附录A

（资料性附录） 公司治理风险识别示例

一级风险要素 二级风险要素 三级风险要素 所有权登记办法 股份转让权 任免管理层的权利 股东权利 公司重大信息知情权和参与决策权 公司剩余财产分配权 公司重整申请权 公司控制权的相关信息 对公司经营的建议与质询权 国有股持股比例 机构投资者持股比例 高管人员持股比例 公司内部利益相关者 股东 股权结构 内部职工持股比例 流通股比例 控制权与现金流权偏离系数 前三大股东持股比例 交叉持股比例 累计投票制实施状况 股东表决权回避制度实施情况 股东大会 年度股东大会出席股份占总股份比例 股东大会召开次数 关联股东表决回避率 股东大会决议 同类同级的所有股东的同等待遇 平等对待股东 …… 内部交易以及自我交易 董事和其他相关管理层卷入特定交易或事务的决策 …… 四级风险要素 备注 XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX

附录A（续）

一级风险要素 公司内部利益二级风险要素 董事会 三级风险要素 董事会构成 执行董事比例 独立非执行董事比例 22

四级风险要素 备注 XXX XXX

GB/T ××××—××××

相关者 控股股东提名董事比例 职工代表比例 专业委员会完备性 董事会议事规则 独立董事会发表意见的质量 董事会运作 专家董事发表意见的质量 职工代表发言的质量 董事会议召开次数 董事会记录 董事兼职率 董事高级职称所占比例 独立董事的资质 胜任能力 专家董事的素质 职工代表的独立性以及本身资质 董事责任 董事会责任 董事激励与约束 …… 董事长以及独立董事的薪酬水平以及处罚 …… 经理层薪酬水平与处罚 经理层激励与约束 经理层薪酬与公司业绩的相关度 经理层持股比例 经理层在任期内股份的可转让性 董事长与总经理是否兼职 经理层 任免制度 总经理的选聘方式 经理层责任 离任审计 执行保障 …… 经理层董事人数占董事会总数比例 高管层为董事会提供信息的性质和渠道 …… XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX

附录A（续）

一级风险要素 二级风险要素 三级风险要素 股东代表比例 监事会构成 公司内部其他利益相关者 监事会 监事会运作 职工代表比例 非公司监事比例 内部审计代表比例 定期监督审查 近三年监事会议召开次数 近三年来行使监督权的有效性 内、外部审计的独立性 公司治理实施的监督 23

四级风险要素 备注 XXX XXX XXX XXX XXX XXX XXX XXX XXX GB/T ××××—××××

对管理层和职工的责权利分配的监督 监事的品行 监事的专业知识水平 监事胜任能力 监事的独立性 监事责任 监事会责任 监事激励与约束 …… 激励与约束 监事主席及非公司监事的薪酬水平与处罚 …… 职工薪酬水平 职工奖惩措施与公司业绩的相关度 职工持股比例 职工责任 职工 上岗制度 职工的素养 职工的选聘方式 职工的培训 参与公司治理 ……

定期提交公司发展建议情况 参与决策层的决策 …… XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX 附录A（续）

一级风险要素 二级风险因素 三级风险要素 四级风险要素 公司治理结构和绩效以及政策的信息 应收账款周转率、主营业务利润率和全部资产现金回收率 营运能力 财务部门的信息透明度 内部审计部门的信息质量 各级职工的薪酬与绩效挂钩程度 可预见风险信息 经营费用与销售收入的比值 信息披露和透明度 信息披露和透明度 非公允关联交易 及担保 内部人控制 资本性支出与长期资产的比值 财务部门的独立性 内部审计部门信息以及它的独立性 关联交易报告 担保率 资产负债率、财务费用占主营业务收入比重、其他应收款占流动资产比重、关联交易额占主营业务收入的比例 (当期收益+折旧费用)/总债务 财务信用风险 自由现金流量/总债务 利息保障倍数 24

备注 XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX GB/T ××××—××××

…… 销售市场 生产要素市场 公司外部利益相关者 债权人市场 执行能力 …… 债权人权利 供应商市场 …… …… 产品寿命周期、产品的研制开发、品质与消费市场的相合度 与客户的沟通 横向竞争者 供应商的产品品质 供应商素质 …… 公司债券 债权人参与公司治理的程度 债权人剩余索取权 民事权利保障 公司对债权人的义务 债权人的综合素质 …… XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX 附录A（续）

一级风险要素 二级风险要素 三级风险要素 内部股权收购 关联交易 内部控制权市场 控制权人市场 外部控制权市场 …… 股东股份比例 重组 经理层的不对称信息管理 机构投资者 股票、期权收购以及要约收购、接管、兼并等并购 合并 公司外部利益相关者 信用中介市场 中介市场的外在因素 …… 中介机构的内在因素 …… 中介机构发言的独立性 中介机构职员的职业素质 披露信息的质量 中介结构的责任 权力执行保障 市场环境 …… 社区文化与公司文化的相容性 社区环境 社区环境 社区政治环境 社区经济环境 …… 与公司治理有关的法律法规约束 投资者法律保护 与公司治理有关的法律法规约束 舆论监督 …… 法律法规 国内法律法规 政府及市场监管 国际法律法规 社会公众舆论监督及媒体监督 …… 25

四级风险要素 备注 XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX

GB/T ××××—××××

…… …… …… …… XXX

26