全面风险管理手册

1 保利建设集团有限公司 全面风险管理手册 二 0 一三年十二月 2 第一章 总则 1 1 编制目的 本手册作为保利建设集团有限公司 以下简称 公司 开展全 面风险管理工作的指导性文件 旨在通过建立并运行系统的风险管 理机制 即全面风险管理体系 提升公司风险管理水平 有效防范 化解 并合理承担或利用所面临的风险 简化管理行为 整合管理 资源 降低管理成本 提高管理效率的目的 在公司管理各项系统 进行有效整合促进公司持续 健康 稳定发展 为公司实现既定目 标提供充分的保障 1 2 依据 国资委 中央企业全面风险管理指引 国资委 2013 年度中央企业全面风险管理报告 模板 财政部等五部委 企业内部控制基本规范 财会 2008 7 号 财政部等五部委 企业内部控制配套指引 财会 2010 11 号 中国保利公司全面风险管理手册 GB T 2453 2009 风险管理原则与实施指南 ISO31000 2009 风险管理原则和指导方针 GB T19001 2008 ISO9001 2008 质量管理体系 GB T50430 工程建设施工企业质量管理规范 GB T50380 2006 工程建设设 计企业质量管理规范 GB T24001 2004 ISO14001 2004 环境管理体系 OHSMS18000 GB T28001 2011 职业健康安全管理体系 3 1 3 适用范围 本手册适用于公司范围内 所有人员应当遵循手册要求 开展 全面风险管理工作 本手册对控股子公司具有指导意义 各控股子公司应根据本手 册的基本框架 结合自身特点参照实施 开展全面风险管理工作 1 4 手册的颁布 本手册于 2013 年 月经公司董事会审议批准后颁布 自颁布之 日起生效 1 5 手册维护 本手册由风险管理委员会委托有关职能部门负责进行日常维护 和更新 当对手册内容进行重大调整时 需经过相关程序审批 第二章 全面风险管理概述 2 1 全面风险管理的定义 公司的活动都包含着一定程度的风险 而风险往往同机遇并存 没有风险就没有机遇和成功 因此 并非所有的风险都对企业有害 都应当被消除 但每个风险都要被辨别出来 并结合公司实际确定 风险承受度 本手册所称全面风险管理 是指公司围绕总体经营目标 由公 司的董事会 管理层和员工共同参与 以风险识别模型为基础 辨 识可能对公司造成潜在影响的事项 设计公司风险管理的基本流程 培养良好的风险管理文化 建立健全全面的风险管理体系 具体包 括风险管理策略 风险管理措施 风险管理的组织职能体系 风险 管理信息系统和内部控制系统等部分 4 2 2 全面风险管理的特征 2 2 1 战略性 风险管理更重要的应用于公司战略管理层面 站在战 略层面整合和管理企业风险是全面风险管理的价值所在 2 2 2 全员化 公司全面风险管理时一个由公司董事会 管理层和所 有员工参与的 旨在把风险控制在风险容量以内 增进企业价值的 过程 在这个过程中 只有将风险意识转化为全体员工的共同认识 和自觉行动 才能确保风险管理目标的实现 2 2 3 专业性 要求公司内部必须实施专业化的风险管理 2 2 4 二重性 全面风险管理既要管理纯粹的风险 也要管理机会风 险 当风险损失可能发生可能不发生时 设法降低风险发生的可能 当风险损失不能避免时 见谅减少损失至最小化 当风险预示着机 会时 化风险为增进企业价值的机会 2 2 5 系统性 全面风险管理必须拥有一套系统的 规划的方法 来 确保所有的风险都得到识别 资源能够被有效地利用于紧迫风险的 管理 2 3 全面风险管理的意义 1 从公司战略出发 统一风险度量 建立风险预警机制和应对策略 2 明确风险管理职责 将风险管理责任落实到企业的各个层面 3 形成风险管理信息收集 分析 报告系统 为有效监控风险和应 对风险提供依据 4 避免企业重大损失 支持企业战略目标的实现 5 使外部投资人 监管者了解企业风险 6 行成自我运行 自我完善的风险管理机制 5 2 4 全面风险管理的基本流程 全面风险管理的基本流程可分为五个阶段 即风险事件初始信 息 风险管理评估 制定风险管理策略 提出和实施风险管 理解决方案 风险管理监督与改进 流程的工作内容和相关文档 如下图所示 工作内容 文件资料 阅读 学习风 险清单 分析自身 相 关因素 识别风险 风险识别报告 定性 定量评价 定性 定价评价结果 查找或制定 公司风险管 理策略 提出可能的解 决措施建议 风险评估报告 评估解决措施 的风险控制效 果 确定风险解 决 方案 风险解决方案 重大风险应对方 案 实施风险解 决 控制 方案 风险管理改进 并存档 总结 评估 风 险管理工作 风险管理工作总结 第一阶段 风险管理 初始信息 第二阶段 风险管理 评估 第三阶段 风险管理 策略 第四阶段 风险管理 总结 改 进 收集风险事件 初始信息 第四阶段 提出和实 施风险管 理解决方 案 风险管理监察 重大风险监控 报告 6 表 1 1 工作内容和相关文档说明 工作内容说明 相关文档 第一阶段 收集初始 信息 通过阅读风险清单 熟悉各类风险的定性描述和指标 体系 准确理解和掌握各类风险的特征 在上述工作 基础上 结合自身情况和外部环境 从战略 市场 运营 法律 财务五个方面逐一辨识自身可能存在的 风险 风险识别报告 第二阶段 风险评估 企业以风险定性评价模型和风险定量评价模型为基础 对第一阶段识别出的风险进行评价 风险评估报告 附件 定性评价结果 定量评价结果 第三阶段 制定风险 管理策略 在第二阶段的基础上 针对重大风险 紧密结合公司 自身风险管理现状 风险偏好 风险控制目标 提出 可能的风险解决措施建议 风险解决方案 重大风险应对方案 第四阶段 实施风险 管理方案 为确保风险控制 化解工作的顺利开展 企业对第三阶 段提出的解决方案进行评估 找到最佳方案付诸实施 重大风险监控报告 第五阶段 风险回顾 在本阶段 公司对风险管理工作进行总结 评估 形 成 风险管理工作总结 并将其妥善保管 用于指 导下一阶段的风险管理工作 风险管理工作总结 2 4 全面风险管理基本要求 全面风险管理与内部控制是为了实现既定的各项经营目标 公 司董事会 监事会 风险管理委员会和全体员工按照国家和企业 的规范 标准 制度 识别 评估风险并采取适当控制措施的过 程 是公司各级权力决策主体 机构 部门 岗位 和对应的 职能管理主体 机构 部门 岗位 之间形成的具有制衡 监督 以及服务支撑的工作机制 全面风险管理 内部控制与安 质 环体系不是孤立于公司业 务的独立的管理活动 而是融入公司各项业务活动中的不可或缺的 管理行为 是体现在公司内部各层次 各部门 各岗位 且贯穿于 整个公司 全员全过程参与的管理行为 即风险分类管理 7 第三章 组织架构与职责 3 1 体系文件组成 公司全面风险管理体系文件主要由风险管理手册 风险管理工 作流程 风险管理制度三个主要部分构成 这三个主要部分相互依 存 相互作用 协作运转 保障企业全面风险管理功能的发挥 3 2 全面风险管理组织架构 公司具体风险事件管理组织基本架构 是风险管理体系的纲领性文件 由公司全面 风险管理委员会负责组织编制 维护和执行 是日常工作中的风险控制和办事流程 由公司各职能部门负责组织编制 维护 和执行 是日常工作中的风险控制的质量标 准和要求 由各职能部门负责组织 编制 维护和执行 8 公司全面风险管理年度报告及考核组织架构 公司全面风险审计管理架构 风险管理组织体系主要包括规范的公司法人治理结构 风险管 理归口职能部门 内部审计单位和法律事务部门以及其他有关职能 部门 分支机构和项目经理部的组织领导机构及其职责 公司建立风险管理三道防线 即各有关职能部门和各分支机构 为第一道防线 风险管理的主管职能部门和董事会下设的风险管理 委员会 公司领导班子 为第二道防线 董事会下设的审计委员会 或委托内部审计部门为第三道防线 9 3 3 风险管理决策机构职责 公司董事会为公司风险管理最终决策机构 公司风险管理委员 会 可依据授权对重大风险管理事项进行决策 在全面风险管理 内部控制与安质环体系方面主要履行以下职责 3 3 1 督导公司全面风险管理 内部控制与安质环体系的建立健全与 有效实施 督导企业风险管理文化的培育 了解和掌握公司面临的 各项重大风险及其风险管理现状 做出有效控制风险的决策 3 3 2 确定企业风险管理总体目标 风险偏好 风险承受度 批准风 险管理组织机构设置及其职责方案 批准公司年度内部控制建设发 展规划 实施方案及内部控制自我评估报告 3 3 3 听取 审批公司 全面风险管理年度报告 并按照要求报上 级单位 3 3 4 批准风险管理策略和重大风险管理解决方案 批准重大决策 重大风险 重大事件和重要业务流程的判断标准或判断机制 3 3 5 向公司股东大会提请聘请或更换内部控制审计机构 3 3 6 批准全面风险管理 内部控制与安质环体系其他重大事项 3 4 风险管理委员会 风险管理领导机构 职责 公司董事会下设风险管理委员会 其成员来自公司领导班子组 成 在全面风险管理和内部控制方面的主要职责包括 3 4 1 审议公司年度全面风险管理报告 并提交董事会 3 4 2 审议公司风险管理策略和重大风险解决方案 并监督其执行 3 4 3 审议公司内部控制建设发展规划及实施方案 并监督其执行 3 4 4 审议公司全面风险管理和内部控制组织机构设置及其职责方案 3 4 5 审议重大决策 重大风险 重大事件和重要业务流程的判断机 10 制或评价标准 以及重大决策的风险评估报告及各项风险管理报告 提出修改或调整建议并提交董事会审议 根据职责 负责具体风险 管理措施的推进和实施 3 4 6 审议公司的风险管理和内部控制信息系统建设方案 3 4 7 听取公司内部控制符合性测试报告 3 4 8 办理董事会授权的有关全面风险管理 内部控制的其他事项 根据工作需要 总经理可将上述职责范围内部分职权授予风险 管理的分管领导 分管领导对总经理负责 行使总经理授权范围内 的风险管理职责 3 5 风险审计委员会 监督机构 职责 公司在董事会下设立审计委员会 审计委员会负责审查股份公 司 全面风险管理和内部控制 监督全面风险管理和内部控制的有效实 施 和自我评价情况 协调全面风险管理和内部控制审计的相关事宜 审计执行机构 商法监察部 负责对公司全面风险管理运行整 体情况进行监督评价 其主要职责包括 3 5 1 研究制定风险管理 内部控制监督评价办法 3 5 2 组织开展风险管理 内部控制监督与评价 3 5 3 编制风险管理监督评价报告 3 6 风险管理执行机构职责 3 6 1 公司经营管理部 公司经营管理部是公司风险集中 归口 管理执行机构 其主 11 要职责是履行风险集中 归口 管理活动 负责全面风险管理 内 部控制的体系建设和整体运转工作 以及风险管理 内部控制工作 的组织协调 为重大风险决策提供专业意见 其主要职责包括 3 6 1 1 组织推动公司全面风险管理 内部控制体系建设 指导所属 各职能部门或分支机构开展风险管理 内部控制体系建设 3 6 1 2 组织编制 风险管理年度报告 3 6 1 3 组织起草风险管理 内部控制基本制度及重大风险管理办法 等 并监督落实 3 6 1 4 组织 协助各职能部门开展其职责范围内的重大事项的风险 预测和风险评估工作 并对上述信息进行汇总分析 并及时向管理 层 风险管理委员会 揭示风险信息 3 6 1 5 负责对全面风险管理有效性评估 研究提出全面风险管理的 相关措施和方案 3 6 1 6 组织人力资源管理部门编制企业风险文化培育与宣贯工作方 案和计划 组织协调风险管理培训 3 6 1 7 办理公司领导交办的其他风险管理工作 3 6 2 具体风险管理部门 公司各职能部门 具体风险管理部门是公司风险分类管理执行机构 其主要职责 是配合风险管理职能部门开展工作 并根据附录三开展具体风险管 理 2 6 2 1 协助经营管理部定期完成风险事件库的更新 风险评估等相 关工作 2 6 2 2 协助经营管理部制定公司重大风险应对方案 并实施应对方 案 2 6 2 3 对本部门工作所涉及各类风险进行监控 及时向经营管理部 12 报告风险信息 每半年至少一次 2 6 2 4 针对本部门的重要管理 业务活动 建立健全风险管理控制 措施 2 6 2 5 协助经营管理部对下属分支机构和项目部具体风险管理工作 进行指导 2 6 2 6 办理风险管理其他相关工作 第四章 全面风险管理基本流程和要求 4 1 公司具体风险管理包括以下主要工作 4 1 1 收集风险管理初始信息 4 1 2 进行风险评估 4 1 3 制定风险管理策略 4 1 4 提出和实施风险管理解决方案 4 1 5 风险管理的监督与改进 公司具体风险管理流程通常应融入到现有管理体系中 以各职 能部门相关管理制度和程序文件为主要落实载体 在风险集中管理活动中 风险应对和突发风险事件应急应对流 程通过发起内控优化活动 将风险集中管理活动与内控体系进行了 有效衔接 13 4 2 风险管理初始信息 实施全面风险管理 应广泛 持续不断地收集与本公司风险和 风险管理相关的内部 外部初始信息 包括历史数据和未来预测 应把收集初始信息的职责分工落实到各有关职能部门 分支机构和 项目经理部 4 2 1 战略风险方面 广泛收集国内外企业战略风险失控导致企业蒙 受损失的案例 并至少收集与本公司相关的以下重要信息 4 2 1 1 国内外宏观经济政策以及经济运行情况 本行业状况 国家 产业政策 4 2 1 2 科技进步 技术创新的有关内容 4 2 1 3 市场对公司产品或服务的需求 4 2 1 4 与公司战略合作伙伴的关系 未来寻求战略合作伙伴的可能 性 4 2 1 5 本公司主要客户 供应商及竞争对手的有关情况 4 2 1 6 与主要竞争对手相比 本公司实力与差距 公司内部控制系统 14 4 2 1 7 本公司发展战略和规划 投融资计划 年度经营目标 经营 战略 以及编制这些战略 规划 计划 目标的有关依据 4 2 1 8 本公司对外投融资流程中曾发生或易发生错误的业务流程或 环节 4 2 2 财务风险方面 应广泛收集国内外企业财务风险失控导致危机 的案例 并至少收集本公司的以下重要信息 其中有行业平均指标或 先进指标的 也应尽可能收集 4 2 2 1 负债 或有负债 负债率 偿债能力 4 2 2 2 现金流 应收账款及其占销售收入的比重 资金周转率 4 2 2 3 产品存货及其占销售成本的比重 应付账款及其占购货额的 比重 4 2 2 4 制造成本和管理费用 财务费用 营业费用 4 2 2 5 盈利能力 4 2 2 6 成本核算 资金结算和现金管理业务中曾发生或易发生错误 的业务流程或环节 4 2 2 7 与相关的行业会计政策 会计估算 与国际会计制度的差异 与调节 如退休金 递延税项等 等信息 4 2 3 市场风险方面 应广泛收集国内外企业忽视市场风险 缺乏应 对措施导致企业蒙受损失的案例 并至少收集与本公司相关的以下 重要信息 4 2 3 1 产品或服务的价格及供需变化 4 2 3 2 能源 原材料 配件等物资供应的充足性 稳定性和价格变 化 4 2 3 3 主要客户 主要供应商的信用情况 4 2 3 4 税收政策和利率 汇率 股票价格指数的变化 15 4 2 3 5 潜在竞争者 竞争者及其主要产品 替代品情况 4 2 4 运营风险方面 应至少收集与本公司 本行业相关的以下信息 4 2 4 1 产品结构 新产品研发 4 2 4 2 新市场开发 市场营销策略 包括产品或服务定价与销售渠 道 市场营销环境状况等 4 2 4 3 公司组织效能 管理现状 企业文化 高 中层管理人员和 重要业务流程中专业人员的知识结构 专业经验 4 2 4 4 质量 安全 环保 信息安全等管理中曾发生或易发生失误 的业务流程或环节 4 2 4 5 因公司内 外部人员的道德风险致使企业遭受损失或业务控 制系统失灵 4 2 4 6 给公司造成损失的自然灾害以及除上述有关情形之外的其他 纯粹风险 4 2 4 7 对现有业务流程和信息系统操作运行情况的监管 运行评价 及持续改进能力 4 2 4 8 公司风险管理的现状和能力 4 2 5 法律风险方面 应广泛收集国内外企业忽视法律法规风险 缺 乏应对措施导致公司蒙受损失的案例 并至少收集与本企业相关的 以下信息 4 2 5 1 国内外与本企业相关的政治 法律环境 4 2 5 2 影响企业的新法律法规和政策 4 2 5 3 员工道德操守的遵从性 4 2 5 4 本公司签订的重大协议和有关贸易合同 4 2 5 5 本公司发生重大法律纠纷案件的情况 4 2 5 6 公司和竞争对手的知识产权情况 16 公司职能部门 分支机构 项目经理部的相关人员对收集的初 始信息应进行必要的筛选 提炼 对比 分类 组合 以便进行风 险评估 保利建设集团有限公司风险重点收集信息源表 序 号 一级风险 重点收集信息源 国内外宏观经济政策以及经济运行情况 因市场需求萎缩 资金链紧张引发的资金风险 违约风险情况 因扩张投资引发的带息负债增长风险 银企合作风险情况 1 战略风险 因 走出去 境外工程引发的外汇汇率风险损失情况 主要客户和业主 供应商情况及信用状况分析 尤其是市场紧 缩下的业主资信风险情况 竞争对手的有关情况 与主要竞争对手相比 公司的实力与差 距 设计 施工 投资与开发等市场潜在竞争者 原材料 劳务和分包市场供应的充足性 稳定性和价格变化 2 市场风险 公司系统内各级下属公司内部竞争的情况 公司治理现状 存在的问题 内控体制等管理体制状况 存在 的主要问题 公司投资决策机制 授权管理及合同管理现状 存在的问题 公司在招投标过程中碰到的主要问题 公司主要原材料的采购管理状况 存在的问题 公司产品质量 安全及环境管理体系现状 存在的问题及危险 源和不良环境影响 公司技术水平 技术管理状况 存在的关键技术问题 公司人力资源管理状况 人员招 选 聘管理 人力资源的培 训问题 3 运营风险 因施工过程中工程款结算不及时引发的工程款拖欠风险与回收 17 风险情况 因劳动用工引发的劳动合同风险 境外劳工风险 因廉政廉洁问题而存在的重大违规事项或渎职 舞弊问题 相关统计数据 其他与公司运营相关的主要情况 公司负债 负债率 偿债能力的数据 现金流 应收账款及其占销售收入的比重 资金周转率的数据 存货及其占销售成本的比重 应付账款及其占购货额的比重的 数据 公司盈利能力的数据 制造成本和管理费用 财务费用 营业费用的数据 公司成本核算 资金结算和现金管理业务中曾发生或易发生错 误的业务流程或环节 4 财务风险 其他与公司财务相关的主要情况 国内外与建筑 房地产 基础设施相关的政治 法律环境 影响公司运行的新法律法规和政策 公司签订的重大协议和工程合同 公司发生的重大法律纠纷案件的情况 公司与竞争对手的知识产权情况 因历史遗留的债权债务提前引爆的风险及重大诉讼案件风险情 况 5 法律风险 其他与法律 法规相关的信息与文件 4 3 风险评估 风险评估包括风险辨识 风险分析 风险评价三个步骤 18 4 3 1 风险评估应由有关职能部门和分支机构组织实施 也可聘请有 资质 信誉好 风险管理专业能力强的中介机构协助实施 4 3 2 进行风险辨识 分析 评价 应将定性与定量方法相结合 定 性方法可采用问卷调查 集体讨论 专家咨询 情景分析 政策分 析 行业标杆比较 管理层访谈 由专人主持的工作访谈和调查研 究等 定量方法可采用统计推论 如集中趋势法 计算机模拟 如蒙 特卡罗分析法 失效模式与影响分析 事件树分析等 4 3 3 进行风险定量评估时 应统一制定各风险的度量单位和风险度 量模型 并通过测试等方法 确保评估系统的假设前提 参数 数 据来源和定量评估程序的合理性和准确性 要根据环境的变化 定 期对假设前提和参数进行复核和修改 并将定量评估系统的估算结 果与实际效果对比 据此对有关参数进行调整和改进 4 3 4 风险分析应包括风险之间的关系分析 以便发现各风险之间的 自然对冲 风险事件发生的正负相关性等组合效应 从风险策略上 对风险进行统一集中管理 4 3 5 在评估多项风险时 应根据对风险发生可能性的高低和对目标 19 的影响程度的评估 绘制风险坐标图 对各项风险进行比较 初步 确定对各项风险的管理优先顺序和策略 相关人员应根据工作特征选择评估方法 对风险管理信息实行 动态管理 定期或不定期实施风险辨识 分析 评价 以便对新的 风险和原有风险的变化重新评估 后附年度风险报告流程 专项风险评估流程 公司 OA 流程 20 全面风险管理 内部控制管理体系评价范围及指标 综合指标 一级指标 二级指标 三级指标 战略管理 组织结构 公司治理 企业文化 社会责任 办公管理及内部信息传递 人力资源管理 投资管理 财务管理 资金管理 金融业务 资产管理 担保管理 关联交易 企业并购与重组 法务管理 合同管理 科技与设计管理 市场与营销 项目管理 采购与分包管理 信息化管理 应急事件与危机公关管理 综合行政事务 基本运营类指标 管理控制类指标 战略引领类指标 单项风险趋势预测 设计 完整性 遵循性 绩效目 标风险 综合 评估 指标 指标 1 指标 2 指标 指标 1 指标 2 指标 盈利类指标 经济增加值 公司净利润 资本回报率 安全与职业 健康类控制 内部管理评价 挂靠项目 重大负面事件 安全事故 产品创优 质量与环境 类控制指标 安全事故 其它 结构优化类 指标 专项管理类 控制指标 环境事件 质量事故 科技进步 创先争优类 结构优化类 指标 风险趋势预测 安全与职业 健康类控制 指标 质量与环境 类控制指标 内控未达标率 专项管理类 控制指标 国内区域化 国际化 大项目 专业化 经营结构调整 经营性现金流入 占营业收入比例 内部管理评价 挂靠项目 重大负面事件 安全事故 法务管理 项目管理 采购与分包管理 信息化管理 人力资源管理 财务管理 资金管理 金融业务 投资管理 担保管理 资产管理 关联交易 企业并购与重组 品牌价值 行业精英 创先争优类 指标 其他 标准化管理引领类 指标 人力资源 信息化 内控未达标率 国内区域化 国际化 专业化 大项目 经营结构调整 挂靠项目 小金库 应收款项增长率 诉讼损失 重大案件管理 诉讼案件金额增长率 营运类指标 应收账款周转 率资产负债率 经营性现金流入占营业收入比例 成本费用总额占主营业务收入比例 营业收入 重大负面事件 品牌价值 行业精英 风 险 趋 势 预 测 21 4 4 风险管理策略 一般情况下 对战略 财务 运营和法律风险 可采取风险承 担 风险规避 风险转换 风险控制等方法 对能够通过保险 期 货 对冲等金融手段进行理财的风险 可以采用风险转移 风险对 冲 风险补偿等方法 公司风险管理策略主要包括以下要素 4 4 1 风险管理目标 4 4 2 风险承受度方案 4 4 3 风险应对总体方案 公司风险管理策略总是处于动态调整的过程中 本手册不针对 具体风险的风险管理策略进行详细描述 针对各具体风险的风险管 理策略应通过体系运行逐步完善 各具体风险管理职能部门应根据不同业务特点统一确定风险偏 好和风险承受度 即业务愿意承担哪些风险 明确风险的最低限度 和不能超过的最高限度 并据此确定风险的预警线及相应采取的对 策 确定风险偏好和风险承受度 要正确认识和把握风险与收益的 平衡 防止和纠正忽视风险 片面追求收益而不讲条件 范围 认 为风险越大 收益越高的观念和做法 同时 也要防止单纯为规避 风险而放弃发展机遇 各具体风险管理职能部门应定期总结和分析已制定的本业务风 险管理策略的有效性和合理性 结合实际不断修订和完善 其中 应重点检查依据风险偏好 风险承受度和风险控制预警线实施的结 果是否有效 并提出定性或定量的有效性标准 对失效的风险事件 上报公司风险委员会 并向风险管理归口职能部门通报 风险管理归口职能部门应根据风险与收益相平衡的原则以及各 风险在风险坐标图上的位置 进一步确定风险管理的优选顺序 上 22 报风险管理委员会 由风险管理委员会明确风险管理成本的资金预 算和控制风险的组织体系 人力资源 应对措施等总体安排 4 5 风险管理解决方案 各具体风险管理职能部门 分支机构和项目经理部制定风险解 决的内控方案 应满足合规的要求 坚持经营战略与风险策略一致 风险控制与运营效率及效果相平衡的原则 针对重大风险所涉及的 各管理及业务流程 制定涵盖各个环节的全流程控制措施 对其他 风险所涉及的业务流程 要把关键环节作为控制点 采取相应的控 制措施 解决方案一般应包括风险解决的具体目标 所需的组织领导 所涉及的管理及业务流程 所需的条件 手段等资源 风险事件发 生前 中 后所采取的具体应对措施以及风险管理工具 如 关键风 险指标管理 损失事件管理等 公司各具体风险管理职能部门制定内控措施 一般至少包括以 下内容 4 5 1 建立内控岗位 授权 制度 4 5 2 建立内控 报告制度 4 5 3 建立内控 批准制度 4 5 4 建立内控 责任制度 4 5 5 建立内控 审计检查制度 4 5 6 建立内控 考核评价制度 4 5 7 建立重大风险 预警 制度 4 5 8 建立健全以 法律顾问 制度为核心的法律顾问制度 4 5 9 建立重要岗位 权力制衡 制度 23 按照各有关部门和分支机构的职责分工 认真组织实施风险管 理解决方案 确保各项措施落实到位 如公司安全生产管理部风险管理制度见附件八 4 6 风险管理的控制活动的主要内容 类别 主要内容 不相容职务 分离控制 全面系统分析梳理管理业务活动中涉及的不相容职务 实施相应 分离措施 各司其职 各负其责 相互制约 防止发生错误和舞 弊可能性 授权审批控 制 明确授权管理制度 严格控制特别授权 各级管理人员在授权范 围内行使职权和承担责任 对于重大业务和事项 实行集体决策 审批和联签制度 会计系统控 制 严格执行国家统一会计准则制度 加强会计基础工作 保证会计 资料真实完整 落实会计人员岗位责任制及从业资格等 财产保护控 制 建立财产日常管理制度和定期清查制度 限制未经授权人员接触 和处置财产 及时账实核对 预算控制 建立并实施全面预算管理制度 强化预算约束 运营分析控 制 通过因素分析 对比分析 趋势分析等方法 定期开展财务分析 经营分析 预算分析 专项分析和综合分析活动 确保企业经营 向预定目标发展 一旦产生偏差能及时修正改进 绩效考评控 制 建立并实施绩效考评制度 合理设置考评指标 考评范围应包括 企业内部各责任单位和全体员工 考评结果与激励政策挂钩 4 7 风险管理的监督与改进 以重大风险 重大事件和重大决策 重要管理及业务流程为重 点 对风险管理初始信息 风险评估 风险管理策略 关键控制活 动及风险管理解决方案的实施情况进行监督 采用压力测试 返回 测试 穿行测试以及风险控制自我评估等方法对风险管理的有效性 进行检验 根据变化情况和存在的缺陷及时加以改进 公司各职能部门 分支机构应定期对风险管理工作进行自查和 检验 及时发现缺陷并改进 其检查 检验报告应及时报送风险管 24 理归口职能部门 风险管理归口职能部门应定期对具体职能部门 分支机构和项 目经理部的风险管理工作实施情况和有效性进行检查和检验 对风 险管理策略进行评估 对跨部门和分支机构的风险管理解决方案进 行评价 提出调整或改进建议 出具评价和建议报告 及时报送公 司总经理 公司内部审计部门 商法监察部 或委托审计单位应至少每年 一次对包括风险管理归口职能部门在内的各职能关部门和分支机构 能否按照有关规定开展风险管理工作及其工作效果进行监督评价 监督评价报告应直接报送董事会或董事会下设的风险管理委员会和 审计委员会 此项工作也可结合年度审计 任期审计或专项审计工 作一并开展 应聘请有资质 信誉好 风险管理专业能力强的中介机构对公 司全面风险管理工作进行评价 出具风险管理评估和建议专项报告 报告一般应包括以下几方面的实施情况 存在缺陷和改进建议 4 7 1 风险管理基本流程与风险管理策略 4 7 2 公司重大风险 重大事件和重要管理及业务流程的风险管理及 内部控制系统的建设 4 7 3 风险管理组织体系与信息系统 4 7 4 全面风险管理总体目标 4 8 风险管理信息系统 公司应用 OA 技术于风险管理的各项工作 并涵盖风险管理基 本流程和内部控制系统各环节的风险管理信息系统 包括信息的采 集 存储 加工 分析 测试 传递 报告 披露等 25 各职能部门应采取措施确保向风险管理信息系统输入的业务数 据和风险量化值的一致性 准确性 及时性 可用性和完整性 对 输入信息系统的数据 未经批准 不得更改 公司综合办公室应确保风险管理信息系统的稳定运行和安全 并根据实际需要不断进行改进 完善或更新 4 9 风险管理文化 公司党群工作办公室应在内部各个层面营造风险管理文化氛围 公司总经理负责培育风险管理文化的日常工作 公司领导班子成员 应在培育风险管理文化中起表率作用 职能部门经理 副经理和业 务操作人员是培育风险管理文化的骨干 商法监察部负责加强员工法律素质教育 制定员工道德诚信准 则 形成人人讲道德诚信 合法合规经营的风险管理文化 对于不 遵守国家法律法规和公司规章制度 弄虚作假 徇私舞弊等违法及 违反道德诚信准则的行为 报送公司风险管理委员会严肃查处 公司全体员工尤其是各级管理人员和业务操作人员应通过多种 形式 努力传播公司风险管理文化 牢固树立风险无处不在 风险 无时不在 严格防控纯粹风险 审慎处置机会风险 岗位风险管理 责任重大等意识和理念 综合办公室人力资源管理人员应将风险管理文化建设与薪酬制 度和人事制度相结合 有利于增强各级管理人员特别是骨干管理人 员风险意识 防止盲目扩张 片面追求业绩 忽视风险等行为的发 生 综合办公室组织相关职能部门重要管理及业务流程 风险控制 点的管理人员和业务操作人员岗前风险管理培训制度 采取多种途 26 经和形式 加强对风险管理理念 知识 流程 管控核心内容的培 训 培养风险管理人才 培育风险管理文化 第五章 全面风险评估方法 5 1 风险评价 风险评价模型分为两大部分 风险定性评价模型和风险定量评 价模型 定性评价模型是通过管理评分方式对企业的整体风险程度 给出评价 定量评价模型是选取行业的典型财务指标通过统计给出 指标阈值参考范围 对企业财务指标的非正常情况进行预警提示 5 1 1 风险定性评价模型 风险定性评价模型和风险清单存在紧密的逻辑关系 风险清单 涵盖了企业可能面临的 5 个层次的风险 各 类风险类型以及 各种 风险点 而风险定性评价模型正是从 各种风险点的定性描述中 提 炼出 各类风险类型的风险内涵 并在此基础上制定打分参考依据 同时 风险定性评价模型采用的是管理评分法 各单项风险类型被 划分五档风险程度 根据打分结果 可以判断出各个风险类型的风 险水平 该风险水平将被作为是否进一步进行风险点评分的依据 5 1 2 风险定量评价模型 风险定量评价模型设立的目的包括两个方面 1 提高企业阈值范围 预警企业潜在风险企业通过将自身财务指标 值和定量模型中给出的阈值范围进行对比 可准确把握自身所处的 行业位置 并对异常指标值进行关注 分析 2 校验定性评价结果 确保风险评价结果的准确性企业通过对比定 量评价结果和定性评价结果 针对两类评价的结果差异 进一步分 析研究 以提高评价结果的准确性 例如 通过对比定性评价模型 27 中某一个风险类型 流动性风险 评分结果和定量评价结果 对定 性评价结果进行校验 5 2 1 风险定量评价模型的基本方法 风险定量评价模型运用 SPSS 工具统计出即中值 中位数 处于 15 为和 85 位的指标值 处于阈值范围的指标的平均数 行业平均水平的确定 中值 中位数 由于每个行业中不可 避免地会出现偏差特别大的异常值 取均值不具有参考意义 受异 常值影响过大 而中位数基本处于全部数据的 50 位置 值得信任 为此对于行业一般水平的确定 我们采用中值 中位数 将收集到的某一财务指标的有关数据 按大小顺序排列 处在 正中间位置上的那一个数据叫做该财务指标的中位数 要强调 求中位数要将一组数据按大小顺序 而不必计算 顾名思义 中位数就是位置处于最中间的一个数 或最中间的两个数的平均数 排序时 从小到大或从大到小都可以 在数据个数为奇数的情况下 中位数是这组数据中的一个数据 但在数据个数为偶数的情况下 其中位数是最中间两个数据的平均 数 它不一定与这组数据中的某个数据相等 行业阈值范围的确定 处于 15 位和 85 位的指标值 观察了所有财务指标的频率分布 基本在 70 的数据范围内得 到的值较为合理可信 为此 对于行业阈值范围的确定 我们选取 的是位于 15 位和 85 位的指标值 与中位数的确定类似 将收集 道德某一财务指标的有关数据 按大小顺序排列 处在 15 85 位 置上的两个数据叫做该财务指标的阈值范围 行业阈值范围的平均水平的确定 处于 70 阈值范围的指标的 28 平均数为了反映较为合理可信的值的平均水平 为处于阈值范围的 企业提供参考 我们进一步计算出了落在 70 阈值区域的指标的平 均数 采用的方法是将阈值作为条件项 运用 SPPS 软件筛选出符 合条件的指标 并计算这些指标的平均数 5 2 2 风险定量评价模型分析结论 第一 风险定量评价模型给出典型财务指标的行业平均水平和阈值 范围 企业可以进行对比了解自身所处位置 进而对整体风险进行 初步判断 第二 通过定量指标对单独风险点进行预警存在一定困难 目前还 不太成熟 主要原因在于 首先 企业的发展 在很大程度上受政策 环境等非经济因素 影响 因此仅通过财务数据反应存在较大的局限性 其次 企业尚未达到充分竞争 成熟的发展阶段 因此给样本 选择和基础数据获得带来较大难度 再次 不同的时点及环境对财务指标值的影响比较大 因此财 务指标阈值的使用需要考虑失效性 因此 开展风险定量评价模型的研究是很有意义的 但目的仅 能用于提供参考判断依据 5 3 风险识别使用说明 风险识别模型给出的风险清单涵盖了企业可能面临的 5 个层次 的风险 各类风险类型以及其下的 各个风险点 企业应遵循下列步 骤开展风险识别工作 首先 阅读清单 理解清单中对 各个风险点的风险类别 定性 描述和指标体系的阐述 准确把握各个风险点的特征 29 其次 分析企业相关因素 包括但不限于下列因素 宏观经济 政策 企业规模 所处行业 经营模式等 最后 在上述分析的基础上 识别出自身可能存在的风险 形 成 风险识别报告 5 4 风险定性评价模型使用方法 通过风险识别步骤形成 风险识别报告 结合风险定性评价 模型 可分别针对战略风险 市场风险 运营风险 法律风险和财 务风险五个层次下的各种风险类型进行定性打分 如 通过对五个风险层次的各种风险类型进行评分之后 选取 其中风险较大 即最终得分为 3 5 分以上 包括 3 5 分 的风险类 型进行细化分析 深入到风险层面的定性评价 流程图如下 通过对五个风险层次的各种风险类型进行评分之后 选取其中 风险较大 即最终得分为 3 5 分以上 包括 3 5 分 的风险类型进 行细化分析 深入到风险层面的定性评价 流程图如下 否 是 基于评价的全面性 层次性及客观性 本手册对各风险类型和 风险点给出参与评分建议 不同评分人评分结果所占权重建议 最 终得分的含义以及分数计算方法 最后根据风险类型和风险点最终 得分由高到低进行排序 可以清晰找出需要重点关注或可能存在重 大风险的风险类型和风险点 风险类型定性 评价 最终得分是 否超过 3 5 NO YES 与投资者关系 风险 市场风险 运营风险 法律风险 财务风险 4 2 定性评价 模型使用方法 通过风险识别 步骤形成 风 险识别报告 结合第三章给 出的风险定性 评价模型 可 分别针对战略 风险 市 场风险 运营 风险 法律风 险和财务风险 五个层次下的 二十九种风险 类型进行定性 打分 通过对五个风 险层次的二十 九种风险类型 进行评分之后 选取其中风险 较大 即最终 得分为 3 5 分以上 包 括 3 5 分 的风险类型进 行细化分析 深入到风险层 面的定性评价 流程图如下 基于评价的全 面性 层次性 及客观性 本 手册对各风险 类型和风险点 给出参与评分 建议 不同评 分人评分结 果所占权重建 议 最终得分 的含义以及分 数计算方法 最后根据风险 类型和风险点 最终得分由高 到低进行排序 可以清晰找出 需要重点关注 或可能存在重 大风险的风险 类型和风险点 4 2 1 风险类 型定性评价 4 2 1 确定评 分人 参与评分的人 主要包括四个 层面 监督层 独立 董事 监事会 监视会主席 决策层 董事 会 董事长 高管层 总经 理 副总经理 等 管理层 部门 总监 销售 财务部 人事 审计 采购 运营 技术 操作层 员工 在具体确定参 与评分人员时 可以考虑一下 两个因素 评 分人了解与该 风险类型相关 的信息 了解 该风险类 型相关信息的 人员尽量多的 作为评分人 4 2 1 2 评分 人所占权重 风险类型定性 评价 结束 风险点定性评 价 结束 30 5 5 风险类型定性评价 5 5 1 确定评分人 参与评分的人主要包括四个层面 监督层 独立董事 监事会 监视会主席 决策层 董事会 董事长 高管层 总经理 副总经理和三总师等 管理层 部门正副经理 销售 财务部 人事 审计 采购 运营 技术 操作层 员工 在具体确定参与评分人员时 可以考虑一下两个因素 评分人 了解与该风险类型相关的信息 了解该风险类型相关信息的人员尽 量多的作为评分人 5 5 2 评分人所占权重 见附件 在对不同层面的评分人进行权重分配时 要考虑评分人与该风 险类型的相关性及其评分的可观程度 当评分人与该风险类型相关 程度不同 能客观评分的层面和部门应赋予较大的权重 而当评分 人与该风险类型相关程度相同时 则应对评分人赋予相同权重 由于不同企业的具体情况不同 因此评分人和评分权重可能存 在差异 需要强调的是 表给出的权重仅为模拟权重 目的在于为 企业确定评分人和权重提供一定的参考作用 在实际操作过程中 还应结合自身实际 采取一定的方法确定评分人及其权重 例如可 通过调查问卷的方式确定评分人权重 5 6 最终得分的计算方法 对风险类型进行打分时 风险程度分为五档 分数为 1 5 的整 数 分别代表不同的风险程度 基本无风险 或微小风险 存在较 小风险 存在一定风险 存在较大风险和存在重大风险五个层次 某个风险类型对应的多有评分人进行打分后 用单个评分人给 31 出的分值乘以其对应的权重 再将所有评分人的上述计算结果进行 加和即为该风险类型的最终得分 若同一层次中有多个人参与评分 则评分结果进行简单平均后 作为该类评分人的打分结果 5 6 1 最终得分的含义 最终得分划分为以下五档 分别代表不同的 含义 1 1 最终得分 1 5 时 表示基本无风险 或微小风险 2 1 5 最终得分 2 5 时 表示存在较小风险 3 2 5 最终得分 3 5 时 表示存在一定风险 4 3 5 最终得分 4 5 时 表示存在较大风险 5 4 5 最终得分 5 时 表示存在重大风险 5 6 2 判断是否需要进行风险点定性评价 通过对五个风险层次的各种风险类型进行评分之后 如果风险 类型的最终得分为 3 5 分 包括 3 5 分 则需进行风险点定性评 价 5 7 风险点定性评价 通过风险类型定性评价 将针对得分为 3 5 5 分的风险类型下 的风险点进行进一步细化的定性评价 其中风险程度的划分和分值 参与评分人员以及权重的赋予原则与上述风险类型定性评价中的描 述相一致 通过风险点定性评价 可以使更细化的了解到存在重大风险的 风险点环节 并可根据这种评价结果 对 存在重大风险的风险点进行排序 进而又针对性的进行风险规避 5 8 定量评价模型使用方法 定量评价模型中 可以将自身的指标值同行业阈值范围相比较 32 看是否处于行业的一个正常范围 同时 也能为定性评价模型的部 分分析结果提供进一步的验证 5 8 1 指标对比 在计算完自身基本财务指标和查找到行业指标阈值范围之后 企业需要将这两组指标进行对比 看自身指标值是否位于行业正常 范围之内 如果通过指标对比 发现企业某指标的实际值处于行业 阈值之外 尤其是低于行业阈值较多 企业则需要找出导致该指标 偏离行业平均情况的具体原因 专注该指标对应的风险点 看是否 在该风险点的管理上出现疏漏和偏差 5 8 2 风险校验 定量评价模型除了可以用来观察基本财务指标和同行业的对比 情况外 还可以用来对定性模型分析结果进行检验 进一步验证定 性评价的准确性 用定量评价模型对定性评价结果进行检验 可能 出现一下四种情况 1 通过定性评价模型分析 该风险点存在重大风险 但对应的财 务指标值处于正常范围 2 通过定性评价模型分析 该风险点存在重大风险 但对应的财 务指标值不在正常范围 3 通过定性评价模型分析 该风险点不存在重大风险 但对应的 财务指标值不在正常范围 4 通过定性评价模型分析 该风险点不存在重大风险 对应的财 务指标值处于正常范围 如果出现上述情况的第 2 种或第 4 种 则说明定性评价模型 分析结果和定量评价模型分析结果一致 如果出现上述情况的第 1 种或第 3 种 则说明定性评价模型分析结果和定量评价模型分析结 33 果存在差异 需要对这种差异进行深入分析 看是否在定性评价模 型中存在不准确的地方 找出导致差异产生的原因 在第 1 种情况下 对定性评估结果进行重估没如果重估之后 结果仍存在差异 则以定性评估结果为准 认为该风险点存在重大 风险 在第 3 种情况下 对定性评价结果进行重估 如果重估之后 定性 评价结果变成异常 则和定量评价结果相一致 认为该风险点存在 重大风险 如果重估之后定性评价结果仍为正常 则需要分析定量 指标异常的原因 如果发现定量指标的异常是由突发事项引起的 则认为该风险点不存在重大风险 如果发现定量指标的异常不是由 突发事项引起的 则认为该风险点存在重大风险 风险校验流程可以帮助公司更加准确的掌握自身所面临的风险 5 9 风险评价报告 风险评价报告是企业以一定周期提交的关于企业风险分析评价 结果的汇总报告 其中包括重大风险排序表 重大风险分析 可能 的解决措施建议及需要的支持四大部分 重大风险排序表是通过定性评价和定量检验调整之后 列示出 排名前十位的存在重大风险的风险点 这张表是对前面定性评价 定量评价和校验结果的一个汇总总结 重大风险分析部分将针对重大风险排序表中每一项重大风险 给出包括但不限于以下五个方面的详细说明 包括定性得分的含义 定量指标对比的含义 定量结果对定性评价校验的含义 风险点的 可能表现现象以及产生的主要原因 可能的解决措施建议部分将针对重大风险排序表中每一项重大 风险 给出企业可能的解决措施和建议 34 需要的支持部分可以对公司开展风险管理时 需要相关方面提 供何种支持进行详细的阐述 第六章 风险管理措施 根据风险评估的结果 要设计并选择恰当的风险管理措施 并 将这些措施分为三类 1 控制型风险管理措施 控制型措施通过控制风险因素 避免 减少意外事故损失概率 以及控制损失幅度来减少期望损失成本 主要的控制型风险管理措 施包括风险规避和损失控制 2 融资型风险管理措施 融资型措施的着眼点在于获得损失一旦发生后用于弥补损失的 资金 其核心在于将消除和减少风险的成本分摊在一定时期内 以 避免因随机的巨大损失发生而引起财务上的波动 风险自留是将风 险的影响在公司内部的财务上分摊 保险和其他合约化风险转移手 段更多的是将风险转移给他方 3 内部风险抑制 控制性措施 融资型措施 内部风险抑制 制 损失控制 风险规避 其他合约化风 险转移手段 保险 风险自留 沟通 信息管理 分散与复制 35 控制型措施和融资型措施都是从降低期望损失的角度来改变风 险的 而内部风险抑制的作用在于降低未来结果的变动 这使得风 险管理对未来的判断更有把握 在实际工作中 将各种风险管理措施进行一定的优化组合 使 得在成本最小的情况下达到最佳的风险管理效果 第七章 全面风险管理报告 7 1 风险管理报告类型 根据公司战略决策需求 公司全面风险管理报告由以下类型组 36 成 7 1 1 年度风险评估报告 7 1 1 1 流程图 1 0 风 险 评 估 流 程 年 度 风 险 评 估 具 体 风 险 管 理 部 门 经 营 管 理 部 风 险 管 理 分 管 领 导 公 司 风 险 管 理 委 员 会 董 事 会 风险辨识问卷 3 制 定 发 放 风 险 辨 识 问 卷 4 填 写 风 险 辨 识 问 卷 2 决 定 最新风险 事件库 3 0 5 整 理 风 险 事 件 库 风险评价问卷 6 制 定 发 放 风 险 评 价 问 卷 7 填 写 风 险 评 价 问 卷 8 评 价 问 卷 结 果 统 计 年度风险评估 报告 1 0 制 定 年 度 风 险 评 估 报 告 1 2 审 议 1 3 决 定 1 制 定 年 度 风 险 评 估 计 划 2 0 1 1 审 核 9 综 合 分 析 评 价 37 7 1 1 2 流程说明 1 制定年度风险评估计划 公司应针对公司层面风险 每年至少开展一次全面的风险评估 由经营管理部制定年度风险评估计划 提交风险管理分管领导 启 动此流程 年度风险评估计划应至少包括以下内容 1 风险辨识开展方式 2 风险评价参与人员 3 风险评价标准 参见附录 4 风险评价问卷结果统计方法 参见附录 5 计划实施时间 6 计划资源投入 1 2 决定 公司风险管理委员会对年度风险评估计划进行审批 经营管理 部对审批通过后的年度风险评估计划进行备案 3 制定 发放风险辨识问卷 经营管理部根据各具体风险管理部门的风险管理职责 在最后 更新的风险事件库基础上 按部门制定年度风险辨识问卷 模板参 见附件 并将年度风险辨识问卷下发至各具体风险管理部门风险联 络员 4 填写风险辨识问卷 各具体风险管理部门领导落实本部门参与风险辨识人员 开展 风险辨识工作 完成一份年度风险辨识问卷后提交经营管理部 5 整理风险事件库 1包括外部中介资源 38 经营管理部对各具体风险管理部门提交的风险辨识问卷进行汇 总 参考其他风险信息 2 对风险事件库进行优化整理 在与各职能 部门充分沟通的基础上 完善风险分类框架和风险事件列表 6 制定 发放风险评价问卷 经营管理部根据各具体风险管理部门的风险管理职责安排 按 部门制定年度风险评价问卷 模板参见附录 并将年度风险评价问 卷下发至各具体风险管理部门风险联络员 经营管理部在发放年度风险评价问卷时 应对各部门问卷填写 人员资质 数量提出明确要求 原则上参与每条风险事件评价的人 员数量不应少于 3 人 通常 其中须包含部门领导和骨干员工 7 填写风险评价问卷 各具体风险管理部门领导落实本部门参与风险评价的人员 开 展风险评价问卷填写工作 经营管理部协同各部门风险联络员对问 卷填写进行指导 各风险评价人员各自独立完成年度风险评价问卷 后 提交至经营管理部 8 评价问卷结果统计 经营管理部对各具体风险管理部门提交的风险评价问卷进行汇 总 根据计划中确定的问卷评价结果统计处理方式 对风险评价结 果进行统计 完成风险初步排序 绘制初步风险坐标图 提出重大 风险选择意见 9 综合分析评价 公司风险管理委员会在风险评价统计结果的基础上 对所面临 的风险进行研究 参考其他风险信息 3 明确集团当前需优先管理应 对的风险 2如所属企业提交的年度风险评估报告 独立开展的访谈等 3如所属企业提交的年度风险评估报告等 39 10 制定年度风险评估报告 经营管理部根据总经理办公会上确定的需优先管理应对的风险 编制年度风险评估报告 模板参见附录 11 审核 风险管理分管领导对年度风险评估报告进行审核后提交公司风 险管理委员会进行审议 12 审议 公司风险管理委员