公司治理风险管理指南GB/T 26317—2010(20110501)
相关推荐阅读
1、最高法:当事人单方面委托的鉴定不能推翻法院已认定的事实(20210615)
公司治理风险管理指南GB/T 26317—2010(20110501)
《公司治理风险管理指南》编号GB/T 26317—2010,经中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会于2011年1月14日发布,2011年5月1日施行。
引 言
公司治理是现代企业制度建设的核心,是影响企业竞争力和促进企业发展的决定性因素。良好的公司治理有利于降低公司的代理成本和融资成本,提高公司价值,它对公司长期目标的实现以及资本市场的发展等都有重要影响。因此,随着市场化的深入和经济的发展,识别并加强公司治理风险管理,对于完善公司运营及监管制度,明确利益相关者的责、权、利,培养公司治理风险意识,防范公司违法经营,非公允关联交易、内部交易以及资本市场的违规行为等尤为必要。
通过明确公司治理风险的环境信息,运用系统的方法和工具对其进行识别、分析、评价和应对,公司就能够有效地管理公司治理过程中出现的风险,并确定必要的控制水平。所以公司可结合自身的特点和风险管理目标来进行公司治理风险管理,以协调公司与所有利益相关者之间的关系,使得利益相关者之间的利益达到均衡,保证公司经营的持续稳定发展。
1范 围
本标准给出了公司治理风险管理的通用指南,包括公司治理风险管理的步骤,以及识别、分析、评价和应对公司治理风险的方法和工具。
本标准适用于公司治理风险管理,它用于支持公司治理的活动和决策,管理者可以按照本标准审查其现有的公司治理风险管理的实务和过程。
本标准适用于依照《中华人民共和国公司法》设立的公司,标准中阐述的理念、原则与方法可以为其他依法设立的企业、协会、社会团体等组织提供参考。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 23694—2009风险管理 术语
GB/T 24353—2009风险管理 原则与实施指南
3术语和定义
GB/T 23694—2009中界定的以及下列术语和定义适用于本标准。
3.1公司治理corporate governance
协调公司利益相关者之间关系的一种制度安排。
注1:公司治理中,利益相关者主要包括股东、董事会、监事会、经理层、员工、债权人、客户、供应商和监管机构等。
注2:制度安排是指在公司治理领域内约束利益相关者行为的一组规则,它支配利益相关者之间可能采取合作与竞争的方式以确保实现自己的利益目标。
注3:公司治理的目标是为了确保公司的正确决策,实现利益相关者之间的利益均衡,提高公司的绩效,确保公司经营的可持续发展。
3.2公司治理风险corporate governance risk management
公司治理制度设计不合理或运行机制不健全,以及与公司治理相关的内外部环境的变化对公司治理目标实现产生的影响。
4公司治理风险管理原则
有效的公司治理风险管理除了要遵守GB/T 24353—2009中规定的一般原则外,结合公司治理风险管理的特点,还需遵循下列原则:
a)确保合规
公司应遵循与公司治理有关的法律法规,防止因违规而可能造成的法律制裁或监管处罚、重大财务损失或声誉损失等。
b)权力制衡
在公司治理风险管理过程中,应明确董事会、监事会、经理层以及其他利益相关者的责、权、利,明确规定不相容职责的分离,通过有效的权力制衡,防止一部分利益相关者的利益受到非法或不合理侵犯,确保有效实现所有利益相关者的利益均衡。
c)信息沟通
公司的利益相关者之间应进行持续、双向、充分和及时的沟通,尤其是公司要保证依法、及时、准确地披露公司所有重要事务的信息,包括公司目标、财务状况、重大战略决策、绩效、所有权、关联交易和内部交易等重大风险事件以及公司治理风险管理有效性方面的信息。
d)持续改进
公司治理风险管理是适应环境变化的动态过程,要持续关注内外部环境变化对公司治理的影响以及公司治理风险管理方案执行情况,通过绩效测量、检查和调整等手段,使公司治理风险管理得到稳定改善。
5公司治理风险管理的过程
5.1概述
公司治理风险管理过程由5.2到5.5所描述的活动组成,即:明确公司治理环境信息、风险评估、风险应对以及监督和检查,如图1所示。
沟通和记录非常重要,应贯穿于风险管理过程的各项活动中,5.6将对沟通和记录进行详细说明。
5.2明确公司治理环境信息公司进行公司治理风险管理时,首先要明确公司治理的内、外部环境信息。
a)公司治理的内部环境信息可包括但不限于:
——股权结构、董事会、监事会和经理层的结构及其议事规则;
——股东、董事会、监事会、经理层和员工等内部利益相关者之间的关系;
——公司战略、绩效目标;
——股权结构变更、董事会和监事会变更、经理层变动、重大交易等重要事项的历史信息;
——公司各级人员的激励约束机制;
——关联交易、内部交易以及担保活动等重大活动的披露制度和控制程度;
——公司财务信息的披露报告;
——监督检查机制,如监事会以及其他具有监督检查职能的人员或部门的监督检查记录、内部审计、反舞弊机制、投诉和举报人保护制度等;
——现有的公司治理风险管理政策及方案;
——内部利益相关者的利益诉求、价值观及风险偏好;
——企业文化等。
b)公司治理的外部环境信息可包括但不限于:
——与公司治理有关的法律法规约束;
——政府及市场监管环境;
——公司外部利益相关者的利益诉求、价值观及风险偏好;内外部利益相关者之间的关系;
——与本公司有关的控制权市场接管、合并、收购以及重组等信息;
——外部审计、律师等中介机构的信息披露;
——社会公众舆论及媒体监督机制;
——国际的、国内的、地区的和本地的经济、政治、文化等其他相关环境。
5.3公司治理风险评估
5.3.1概述公司治理风险的评估包括风险识别、风险分析和风险评价三个步骤。
5.3.2公司治理风险识别
5.3.2.1公司治理风险的识别方法公司治理风险的识别是指采用适当的风险识别方法和工具,通过识别可能影响公司治理目标的风险源、影响范围、事件及其原因和潜在的后果等,生成公司治理风险列表。
公司治理风险识别的方法,可以考虑但不限于:
——标杆分析法(benchmarking):关注并跟踪外部环境,将公司治理的各项活动与具有良好治理绩效的公司或与公司治理相关的法律法规以及监管制度等进行对比、分析,识别出公司治理潜在风险。
——问卷调查表:依据公司治理的风险管理目标,确定相应的治理风险因素,按照类别形成表格,以向相关人员发放,获得有关公司治理风险的重要信息。
——检查表法:对本公司治理可能面临的许多潜在风险列于一个表上,供风险识别人员进行检查核对,用来判别公司治理是否存在表中所列或类似的风险。
——流程图分析法:通过对公司治理相关流程的分析,可以发现和识别公司治理各个环节存在的风险及其起因和影响。
——组织结构图分析法:通过对与公司治理相关的组织结构图的分析,发现可能产生风险的组织层级,以识别出风险。
——历史事件分析法:分析曾经发生的对公司治理日标造成一定影响的历史事件,进一步剖析导致事件发生的相关风险。
——头脑风暴法:以公司治理风险管理的目标为中心,营造一个自由的会议环境,使与会者畅所欲言,充分交流有关公司治理的相关风险的看法,产生出大量公司治理风险管理方面的意见,作为进一步分析的基础。
——财务报表分析法:通过对公司的资产负债表、损益表、现金流量表、营业报告书等有关资料的分析来识别和发现与公司治理有关的风险。
——故障树分析法:从要分析的公司治理的特定事件或问题开始层层分析其发生原因,一直分析到不能再分解为止,以获得引起公司治理风险的风险源或事件。
——情景分析法:通过有关数字、图表、曲线、想象、推测等方法对公司治理环境进行研究,对未来可能出现的多种风险状况进行预测,从而识别出引起公司治理风险的关键因素及其影响程度。
在公司治理风险识别中,这些方法一般都不是单独使用,而是几种方法结合起来使用,以便更好地进行风险识别。
5.3.2.2公司治理风险识别的范围公司治理风险识别,可以考虑但不限于以下方面:
——公司内部利益相关者的利益保障以及监督实施机制。包括股东权益的保障机制;控股股东与其他利益相关者的制衡机制;控股股东的行为约束利益分配监督机制;依法保证所有股东获得平等待遇的监督机制:董事会、监事会、经理层之间的责权利分配监督实施机制和激励约束机制;监事会对公司相关人员和业务的监督职能执行机制;经理层和员工之间的监督管理机制的实施和保证机制;公司企业文化的渗透以及监督机制等。
——公司外部利益相关者的利益保证和监督机制。包括上下游产品市场链条的利益制衡监督和协调机制;机构投资者、债权人等资本市场的运作机制和风险监管制度;公司的社会责任承担机制。
——信息披露和透明度的执行监督机制。包括公司目标、绩效目标、经理层的薪酬政策、重大关联交易、内部交易、担保活动、交叉持股、并购、合并以及重组等重要信息的披露制度执行保证机制;公司战略实施以及部门职能执行的保障监督制度;准确、及时、公正报告公司财务信息的保障机制;内部审计制度的独立性及有效性保障机制;所有利益相关者的激励约束机制等。
——与公司治理相关的法律法规约束执行机制。包括与公司治理内容有关的国际、国内的公司法、证券法、会计法、监管法规,社会舆论监督机制以及确保公司内外部利益协调的其他相关法律法规等。
从公司内部利益相关者、公司外部利益相关者、信息披露和透明度以及与公司治理有关的法律法规约束等四个方面,附录A给出了公司治理风险识别的示例。
5.3.3公司治理风险分析公司治理风险分析是对识别出的公司治理风险,考虑发生风险的原因和风险源、风险事件发生的可能性及风险事件的正面和负面的后果、影响后果和可能性的因素、不同风险及其风险源的相互关系,还要考虑现有的管理措施及其效果和效率,以及公司治理风险的其他特性,并对其进行定性和定量分析,为风险评价和风险应对提供支持。
在公司治理风险分析中,应考虑公司的风险承受度及其对前提和假设的敏感性,并适时与公司的决策者以及其他利益相关者有效地沟通。另外,还要考虑可能存在的重要参与人的观点的分歧及数据和模型的局限性公司治理风险发生的可能性和后果可采用定性、半定量、定量或以上方法的组合的方式,通过专家意见确定,或通过对事件或事件组合的结果建模确定,也可通过对调查分析或实验研究可获得的数据的推导确定。对后果的描述可以表达为有形或无形的影响,如所有股东的基本权利得到有效保障或公司声誉的提升。在某些情况下,可能需要多个指标来确切描述不同时间、地点、类别或情形的后果。
公司治理风险事件发生的可能性和后果,可以系统化和结构化地根据专家意见得出;也可以利用相关历史数据来识别那些在过去发生的事件或情况,借此推断出它们在未来发生的可能性;还可以利用故障树和事件树等方法来预测。
表1给出了公司治理风险事件发生的可能性评价的一种示例。
表2是根据上述方法和角度得出的公司治理风险事件后果的一种示例。
公司治理风险发生的可能性和后果,可通过一个公司治理风险评估矩阵表示出来,如表3所示。
在公司治理风险分析的实际应用中,要将根据表1和表2得到的公司治理风险事件发生的可能性和后果与表3相对照,确定此风险事件的相应分值。
5.3.4公司治理风险评价公司治理风险评价是指将风险分析所确定的结果与公司治理风险管理准则比较,或者在各种风险的分析结果之间进行比较,确定风险等级,并结合公司管理层的风险偏好或者风险态度,做出风险应对的决策。
在对公司治理风险事件进行评价时,首先要根据公司治理风险分析得出的结果——分值,与表4对照,找到对应风险事件的风险区域;或者根据分值,与表5对照,获得风险事件的相应风险等级。以便根据风险区域或者风险等级做出对风险事件的应对策略。
根据表3的风险评估矩阵,公司治理风险等级分类如表5所示:
在公司治理风险评估矩阵中,红色的颜色区域代表公司治理风险问题很严重,属于高危区。黄色的颜色区域代表公司治理风险问题其次,绿色的颜色区域代表公司治理风险问题要轻一些甚至有些可以忽略,具体如何看待要根据每个公司的具体情况而定。
表5给出了公司治理风险等级划分的一种示例。
对识别出的每一个公司治理风险事件进行风险分析和风险评价,并通过逐级加权,即可获得相应的风险等级。
公司治理风险评价的结果应满足公司治理风险应对的需要,否则,应做进一步分析。有时,根据已经制定的公司治理风险准则,公司治理风险评价使公司做出维持现有的公司治理风险应对措施,不采取其他新的措施的决定。
5.4公司治理风险应对
5.4.1概述公司治理风险应对是根据公司治理风险评价的结果,对需要应对的风险,选择并执行一种或多种改变公司治理风险事件发生的可能性或后果的措施。公司治理风险应对决策应当考虑各种环境信息,包括内外部利益相关者的利益诉求、风险承受度、绩效目标以及法律、法规和其他方面的要求等。
风险应对策略包括风险规避、风险优化、风险转移和风险自留等。公司应根据风险应对策略,制定适当的应对措施。
公司治理风险应对措施的制定和实施是一个递进的过程,包括:
——根据评估得到的公司治理风险等级,制定相应风险应对措施;
——实施风险应对措施后,应评估剩余风险是否可以承受;如果剩余风险不可承受,应调整或制定新的风险应对措施;
——实施新的风险应对措施;
——评估新的风险应对措施的效果,直到剩余风险可以承受。
——执行公司治理风险应对措施会引起公司治理风险的改变,需要跟踪、监督和了解风险应对的效果和公司治理的有关环境信息,并对变化的风险进行评估,必要时重新制定公司治理风险应对措施。
表6是公司治理风险应对的一个示例。
5.4.2选择风险应对措施公司治理风险的具体应对措施可包括但不限于:
——建立完善的定期公司治理风险报告制度,重大风险要及时报告;
——加强公司治理的制度建设;明确公司从董事会、监事会、经理层到每个员工的责、权、利的分配;
——各种奖惩制度的完善;
——内部审计制度的建立;
——完善信息披露制度,特别是财务信息的及时准确披露;
——选择具有公信力的外部审计和律师等中介机构;
——防止过度担保行为的发生;
——防止非公允关联交易、内部交易的出现;
——逐步建立公司治理风险管理文化;
——及时制止其他违规行为等。
公司治理风险应对措施在实施过程中可能会失灵或无效。因此,要把监督作为公司治理风险应对措施的实施计划的有机组成部分,以保证应对措施持续有效。
公司治理风险应对措施可能引起公司治理次生风险,对公司治理次生风险也需要评估、应对、监督和检查。在原有的公司治理风险应对计划中要加入这些公司治理次生风险的内容,而不应将其作为新的公司治理风险而独立对待。为此,需要识别并检查原有公司治理风险与公司治理次生风险之间的联系。当公司治理风险应对措施影响到公司其他方面的风险或影响到其他利益相关者时,要评估这些影响,并与有关利益相关者沟通,必要时调整公司治理风险应对措施。
公司治理风险的决策者和其他利益相关者应当清楚在采取公司治理风险应对措施后剩余风险的性质和程度。
5.4.3制定公司治理风险应对计划
确定公司治理风险应对措施之后,需要制定相应的公司治理风险应对计划,而且公司治理风险应对计划要与公司治理的管理过程相融合。公司治理风险应对计划中应包括但不限于以下信息:
——公司治理风险应对的范围;
——公司治理风险应对方案的选定;
——公司治理风险应对的实施安排,包括预选方案的优先顺序;
——公司治理风险应对中评价指标的确定及其考核方法;
——实施公司治理风险应对措施后的预期效果;
——公司治理风险应对计划的制定人、负责人、审核人、批准人和执行人;
——公司治理风险应对的报告和监督、检查的要求;
——公司治理风险应对的资源需求,包括应急机制的资源需求;执行时间表等。
5.5公司治理风险监督和检查
监督和检查是公司治理风险管理过程中重要的组成部分,贯穿于整个过程之中。公司应根据公司治理风险管理应对措施、应对计划以及引起公司治理风险的内外部环境的变化,明确界定公司治理风险管理流程中相应的监督和检查的责任,并且应适时监督和检查公司治理风险管理运行的情况的有效性,以便持续改进公司治理风险管理。监督和检查的内容可包括但不限于:
——跟踪了解在不采取新措施的情况下可以接受的风险后果;
——监测、分析公司治理风险因素的变化、发展趋势;
——发现公司治理内部和外部环境信息的变化,包括与公司治理有关的法律法规变更、股权结构和董事会以及其他管理层的人员变动、公司章程的变更、公司战略的方向改变、非公允关联交易和重组等重大事项的变化、债权人的变更、机构投资人投资战略变化等;
——监督并记录公司治理风险应对措施实施后的剩余风险,评估其影响程度,以便在适当时做进一步处理:
——对照公司治理风险应对计划,检查工作进度与计划的偏差并定期报告,保证公司治理风险应对措施的设计和执行有效:
——实施公司治理风险管理绩效评估等;
——发现新的公司治理风险,在需要时根据情况做相应处理。
监督和检查活动包括常规检查、监控已知的风险、定期或不定期检查。定期或不定期检查都应被列入公司治理风险应对计划。应真实公正地记录监督和检查的结果,并适时对内或对外报告,以保证公司的利益相关者及时了解公司治理风险管理的执行情况,确保公司治理风险管理的有效性和持续性。
5.6沟通和记录
5.6.1沟通
公司在公司治理风险管理过程的每一个阶段都应当与内部和外部利益相关者有效沟通和协商,以保证公司利益相关者能够理解公司治理风险管理决策的依据,以及需要采取某些行动的原因。
沟通的内容可包括但不限于:
——公司治理的内外部环境信息;与公司治理有关的重大事项:
——公司治理的重大风险情况;
——利益相关者的利益诉求和风险偏好;
——公司治理风险识别、分析、评价的情况;
——公司治理风险应对措施、应对计划的原因、依据及预期效果等。
5.6.2记录在公司治理风险管理过程中,要把与公司治理风险管理有关的事项进行记录,它是实施和改进整个公司治理风险管理过程的基础。
公司治理风险管理的记录的目的包括但不限于:
——信息重复使用的需要;
——进一步分析公司治理风险和调整公司治理风险应对措施、应对计划的需要;
——公司治理风险管理活动的可追溯要求;
——沟通的需要;
——法律、法规和操作上对记录的需要;
——公司治理本身持续提高和改善的需要等。
公司治理风险管理的记录内容包括但不限于:
——公司治理结构的基本信息;
——与公司治理有关的股东大会、董事会、监事会等决议以及相关职能部门的会议内容;
——与公司治理有关的重大事项信息,如关联交易、内部交易、交叉持股、交叉担保、并购、重组等;
——与公司治理有关的公司目标、公司战略、绩效目标、风险管理策略、财务信息以及审计信息等重要信息:
——公司治理风险的识别、分析和评价的方法及结果:
——公司治理风险的应对措施,应对计划及取得的效果;
——监督和检查的相关内容;
——利益相关者之间的沟通信息等。
6公司治理风险管理的实施
6.1概述为保证公司治理风险管理过程的有效实施,需要建立公司治理组织结构职能、工作程序、资源配置、信息沟通机制以及相关的技术手段和基础设施,并将其贯穿到公司治理的各个层次和各种活动之中,在实践中持续改进和提高。
6.2公司治理风险管理政策公司治理风险管理政策应明确下列事项但不限于:
——公司治理风险管理理念;
——公司治理风险管理政策与公司的目标及其他政策之间的关系;
——公司治理的风险管理目标;
——公司治理风险管理的职责分配:
——管理公司治理风险的程序和方法:
——公司治理风险管理的资源配置;
——测量和报告公司治理风险管理绩效的方式;
——建立公司治理风险管理的计划;
——持续改进的承诺等。
公司应就公司治理风险管理政策同内部和外部利益相关者进行充分沟通和协调。
6.3公司治理风险管理工作程序
公司应当设计适当的制度和行为规范,建立公司治理风险管理工作程序,特别是整个公司层面的公司治理风险管理计划,以保证公司治理风险管理嵌入到公司治理的所有活动和过程之中,尤其是公司治理的战略规划、运营过程以及变革管理之中。
6.4公司治理风险管理相关组织职能
公司治理风险管理组织机构,如股东(大)会、董事会、总经理、监事会以及相关职能部门在公司治理风险管理的过程中都应承担各自的职责。
公司治理风险管理的组织结构为公司治理活动提供计划、执行、控制和监督职能的整体框架。它界定了与公司治理相关的各级部门和人员的职责和责任的关键范围,规范了授权制度,确立了报告的途径,并且根据公司治理的规模和活动的性质来做相应调整,从而使得公司治理风险管理更加有效。
公司可通过但不限于以下方法保证公司治理风险管理的责任认定和授权,从而能够执行公司治理风险管理过程,并保证公司治理风险管理的充分性和有效性:
——明确公司治理风险管理方案的制定、实施、监督和维护等人员的职责;
——明确执行公司治理风险应对措施、应对计划、维护公司治理风险管理政策和报告相关风险信息等人员的职责;
——建立批准、授权制度以及监督和检查制度建立绩效测量及相应适度的奖励、惩罚制度;
——建立内外部利益相关者之间的沟通协调机制;
——建立对内对外的报告机制等。
6.5公司治理风险管理的资源配置
公司应根据公司治理风险管理计划,制定可行的方法,恰当地为公司治理风险管理分配所需资源。具体应考虑但不限于下列各项:
——影响到公司控制风险和编制相关文件的内部方案;
——与公司治理风险管理相关的历史信息;
——公司治理风险管理相关的人员、技术、经验和能力要求;
——公司治理风险管理过程每一阶段所需要的资金及各种资源;
——与公司治理风险有关的国际国内的法律法规及标准。
6.6公司治理风险管理的沟通和报告机制
6.6.1建立内部信息沟通和报告机制
公司要建立公司治理风险管理的内部沟通和报告机制,以保证:
——公司治理风险管理的关键组成部分及其调整得到适当有效的沟通;
——在公司内部的利益相关者之间充分报告公司治理风险应对措施和应对计划实施的效果和效率;
——在适当的层次和时机提供公司治理风险管理的相关信息;
——建立与内部利益相关者协商的程序。
内部沟通和报告机制还包括在考虑到公司治理本身特点的基础上,适当整合从各内部渠道得到的风险信息的程序。
6.6.2建立外部信息沟通和报告机制
公司需建立与外部利益相关者沟通的机制,以保证:
——公司的对外报告符合法律、法规和公司治理要求;
——公司与外部利益相关者保持有效的信息沟通:
——在外部利益相关者中建立对公司的信心;
——在发生突发事件、危机和紧急状况时与外部利益相关者沟通;
——为公司提供外部利益相关者的报告和反馈。
公司治理风险管理信息的沟通和报告机制要考虑与其他风险信息报送的衔接关系,以保证相关部门信息的互动有效及时准确地沟通,有助于对风险信息的整合,提高工作效率。
附录A
律师简介
戴卫祥,男,高级律师,辽宁瑞畅律师事务所主任,工学、法学学士。现被聘为辽宁省省级人民监督员、大连仲裁委员会(大连国际仲裁院)仲裁员。2017年5月至2020年5月担任大连市司法局法律顾问;2019年8月被入选大连市委市政府法律顾问名单;2021年担任大连银行法律顾问。2020年被辽宁省律师协会评定为2018—2019年度“辽宁省优秀律师”,被大连市律师协会评定为2019年度“优秀律师”。
2001年从事法律工作,具有多年律师执业经验及4年工程建设现场管理经验,先后担任恒大集团大连公司、辽宁公司监察室主任。执业以来,代理过建设工程鉴定、刑事鉴定、机动车交通事故鉴定、医疗损害鉴定、消防工程鉴定、环境损害鉴定等各类司法鉴定案件,积累了丰富的司法鉴定办案经验,并成功代理过多起通过司法鉴定确定无罪的刑事、司法鉴定行政确认等案件,在司法鉴定专业有深入、系统的研究和实践。
戴卫祥律师联系方式
电话:13940919059
微信号码:dailvshi8
大连市沙河口区滨河街98B号5层
专业人做专业事!辽宁瑞畅律师事务所专注司法鉴定法律服务和企业法律风险防控,为您提供专业的法律服务。
瑞畅律师
更多内容,敬请关注