华为企业风险管理政策
1。目的
通过明确企业风险管理的基本原则、运行机制、主要组织机构及其作用、职责和权限,构建和实施企业风险管理体系,从战略规划到执行,降低风险、增加机会、提高绩效。 。
2.适用范围本政策适用于华为投资控股有限公司及其在全球范围内直接或间接控制的公司,以及其所有部门、地区和海外办事处。
3.风险分类、分层和应对
3.1 定义
风险:是指未来的不确定性对公司实现其经营目标的影响。 它客观存在于企业运营中,体现在华为的战略规划、外部环境、运营模式、财务体系中。
重大风险:未来可能对竞争格局、声誉、财务状况、经营成果和长期利益产生重大影响的事件。 下述风险均属于重大风险。
3.2 风险按照主要原因归纳为但不限于以下四类:
战略风险:是指在市场、产品和投资规划或决策方面能力有限,影响整个企业中长期生存能力、竞争力、发展方向、战略目标和效益的重要风险,例如竞争格局风险等
外部风险:指外部环境风险和法律法规合规风险,如政治政策风险、法律法规合规、自然灾害等。
操作风险:是指企业在经营过程中由于内部经营、人力和技术能力有限而导致经营失败、未能实现预期经营目标以及造成损失的风险,如业务连续性风险等。
财务风险:是指由于各种因素的影响,导致公司资本资产损失、财务结构失衡等对公司当前或长期经营成果和声誉产生影响的风险。 如客户信用风险、资本结构风险等。
3.3 风险等级:
3.3.1 企业层面风险
对于未来可能对整个企业集团的竞争格局、声誉、财务状况和经营成果或长期利益产生重大影响的事件,企业层面的风险往往是跨领域的(BG/SBG/区域/责任中心) 。
3.3.2 领域级风险
未来可能对特定领域(BG/SBG/区域/责任中心)竞争格局、声誉、财务状况、经营成果、长期利益产生重大影响的事件。
3.3.3 风险等级调整
当领域级风险影响重大或影响跨越多个领域时,也可能升级为企业级风险; 当其影响降低时,企业级风险也可能降低为领域级风险。
3.4风险应对的主要措施是:
风险规避:
是指综合考虑影响预定目标实现的多种风险因素,结合决策者自身的风险偏好和风险承受能力,暂停、放弃某项决策计划,或者调整、改变某项决策的风险管理方法。决策计划。
降低风险:是指采取措施降低风险的可能性或影响,或两者兼而有之。
风险转移:是指将风险和可能的损失全部或者部分转移给他人。 常见的方法包括购买保险产品、进行对冲交易或外包业务。
风险接受:承担风险目标管理案例,不采取措施干预风险的可能性和影响。
4. 基本原则
3 4 4.1 风险管理是业务部门的固有职责。 业务部门在获得利益的同时,需要承担风险;
4.2风险管理应与业务管理相结合,特别是在规划和决策过程中;
4.3风险管理应立足企业整体利益,进行跨部门协同管理;
4.4 主动应对风险可能意味着机遇,被动应对风险可能带来损失;
4.5 风险管控的目标不是盲目地将风险降至零,而是根据风险偏好将风险控制在企业可接受的范围内。
5 实施风险管理的角色、职责和权限
董事会、财务委员会、风险负责人、风险责任人、企业风险管理部门、各业务单元的CFO是风险管理的关键角色。 他们的责任和权利如下:
5.1 董事会
董事会作为企业经营管理的最高权力机构,在风险管理中发挥着重要作用。 其职责如下:
5.1.1确定高级管理层的基调,每年至少一次通过发布文件、联合声明、宣誓等方式强调风险管理的重要性,建立并持续改进整个企业的风险管理环境;
5.1.2授权财务委员会负责公司重大风险与合规的管控工作目标管理案例,听取其报告,必要时作出重大事项决策。
5.2 财经委员会(以下简称财经委员会)
在董事会授权下,作为风险管理的日常决策机构,负责识别和管理企业层面的风险,指导各领域(BG/SBG/区域/责任中心)的风险管理。 其主要职责如下:
5.2.1培育企业风险管理文化;
5.2.2 确定风险管理策略、计划和路线图;
5.2.3审查公司的风险管理框架和政策;
5.2.4确定企业级风险排名,批准企业风险图谱和变更;
5.2.5审查企业层面风险的风险偏好和企业的风险承受能力,并提交董事会批准; 5.2.6
确保高层领导参与企业级风险管理,并将风险管理纳入业务管理体系;
5.2.7审查公司业务连续性的落实情况;
5.2.8 专项研究、审议和决策涉及对公司产生重大影响的风险;
5.2.9 根据需要批准企业级风险管控专项预算;
5.2.10 向董事会报告企业层面及各领域风险管控状况。
5.3 风险领导者
原则上,他是公司的高级管理人员。 他由财务委员会根据企业风险图提名并由首席执行官任命。 作为跨领域企业级风险第一责任人,带领相关部门完成风险管理工作。 他的个人绩效承诺 (PBC) 包括风险管理。 其主要职责如下:
5.3.1从公司整体角度,会同相关部门全面评估风险影响,分析风险根源;
5.3.2分解企业级风险管控职责,指定风险责任人;
5.3.3 建立跨专业的风险管理工作小组,确保风险管控的有效性;
5.3.4 确定风险管控的目标、范围和里程碑计划,并监督其实施;
5.3.5 向财务委员会报告风险管控状况,确保企业层面风险控制在可接受的范围内。
5.4 风险责任人
原则上,各区域(BG/SBG/区域/责任中心)总监作为其负责区域的风险管理第一责任人,其个人绩效承诺(PBC)包含风险管理。 其主要职责如下:
5.4.1 负责对影响公司利润或声誉并需要将风险控制在可接受范围内的风险进行管理;
5.4.2 各级管理人员应将风险管理与业务紧密结合,在战略规划中识别和评估风险,在业务规划中研究和实施风险管理对策,并在日常运营中监控措施的有效性;
5.4.3 及时向财务委员会或风险负责人报告本领域风险及控制状况;
5.4.4 确保本领域员工理解并正确实施风险管理策略;
5.4.5 参与制定年度企业风险地图。
5.5 企业风险管理(ERM)
协助财务委员会和风险负责人管理企业级风险,是各领域(BG/SBG/区域/责任中心)风险管理的合作伙伴。 其主要职责如下:
5.5.1定期审查企业级风险管理框架、相关流程和监督下的风险管理项目,并协助财务委员会向董事会报告工作;
5.5.2定期总结各领域(BG/SBG/区域/责任中心)识别出的主要风险,进行综合评估,形成初步的公司风险图谱,并报财务委员会批准;
5.5.3 协助财务委员会和风险负责人履行风险管理职责,将风险管理纳入战略和运营中,包括建立适当的风险管理项目和应对措施;
5.5.4定期评估各区域(BG/SBG/区域/责任中心)风险管理的实施情况,监控其风险管理的有效性,推动风险管理能力的持续提升;
5.5.5 制定统一的风险管理方法、流程和运行机制;
5.5.6接受财务委员会的委托,组织指导跨领域深度风险分析项目(Deep Dive),评估并制定企业级风险管控计划;
5.5.7 协助各领域风险管理团队实施风险识别、评估、分析、监测、报告和指标评价的最佳实践;
5.5.8 协助建立企业风险管理文化,通过培训、工具和业务支持提高员工对企业风险管理的理解;
5.5.9 向涉及重大风险的委员会报告风险管理事项,如战略规划委员会、人力资源委员会、审计委员会等。
5.6 每位首席财务官
作为各领域风险管理的支撑机构,我们协助该领域的风险责任人承担日常风险管理职责。
5.6.1首席财务官是财务风险管理的负责人,并负责推动、监控和报告业务风险管理的运行情况;
5.6.2 首席财务官履行风险管理职责,在风险管理中发挥重要作用。 它是风险管理框架中的关键要素,特别是在运营质量保证、法律合规性以及财务和运营信息的准确性方面,以确保企业风险管理的有效性。 效力。
六、运行机制
6.1 企业级风险管控
6.1.1每年对重大风险进行全面评估,包括优先级,并形成风险图,经财务委员会批准;
6.1.2 财务委员会确定企业级风险应对策略并提名风险负责人;
6.1.3风险领导者建立跨部门的企业级风险管控工作组,根据风险管理流程进行风险识别、综合评估和根源分析,制定和实施应对方案,持续监测并形成报告;
6.1.4 风险负责人定期向财务委员会报告风险管控情况。
6.2 风险管理嵌入到 SP/BP 流程中
识别、评估、应对、监控和报告战略规划和业务规划中的风险,在决策时充分考虑风险因素,并将风险应对措施纳入执行过程。
6.2.1 在战略规划中识别、评估和优先考虑风险,并确定总体控制目标和应对策略;
6.2.2 进行根本原因分析,制定风险应对措施,明确风险责任,制定业务规划预算;
6.2.3 在计划执行和日常运营中落实风险应对措施,监控风险控制状况,定期向风险负责人报告。
6.3 深入探讨
深度风险分析项目适用于跨业务领域、根源复杂的企业级风险。 该项目经财务委员会批准,由风险负责人申请或由财务委员会直接指定。
6.3.1企业风险管理部协助风险负责人,组织相关业务部门成立深度风险分析项目组,分析风险根源,制定应对方案;
6.3.2 风险应对计划经财务委员会批准后,Deep Dive将关闭并转入正常风险管控,由风险负责人及业务部门实施并向财务委员会报告。
7. 风险评估
根据风险暴露和风险控制的结果衡量各相关部门的风险管理绩效。 评价指标包括但不限于风险暴露、KRI、记分卡、风险管理成熟度等。风险通常用于直接影响财务结果的风险。 不直接影响财务结果的风险通常通过评估应对计划的进度来衡量。
7.1 风险暴露
指未受保护的风险,即因债务人违约、内部管理不善、外部合规等原因可能产生的风险总额。例如:应收账款是指各会计期间的应收账款余额总额(包括未到期部分)当期的本金和利息、罚金以及在此基础上发生的其他费用。
7.2 KRI(Key Risk Indicator,关键风险指标)
通过定性和定量指标衡量风险暴露和风险应对策略的有效性。 KRI 由风险负责人开发、维护和监控,并且必须得到风险负责人的批准
经领导和财务委员会批准后,尽可能利用现有指标,嵌入到现有管理体系中。
7.3 风险管理记分卡
用于衡量业务部门风险管理的有效性。 企业风险管理部门从以下几个方面对业务部门进行评价: 1)
组织结构和职责; 2)业务参与企业级风险管理的程度; 3)战略规划中的风险识别; 4)商业计划中的风险规划; 5)监督和问责。
7.4 风险管理成熟度
它用于衡量企业整体风险管理能力。 企业风险管理部门及各业务部门从政策、流程、组织、绩效、IT工具、决策等多个维度进行年度自我评价。 财务委员会对自我评价的综合结果进行审查,提出改进建议并进行绩效评价。