全面风险管理手册.doc

保利建设集团有限公司全面风险管理手册二0一三年十二月第一章 总则1.1编制目的本手册作为保利建设集团有限公司（以下简称“公司”）开展全面风险管理工作的指导性文件，旨在通过建立并运行系统的风险管理机制（即全面风险管理体系），提升公司风险管理水平，有效防范、化解，并合理承担或利用所面临的风险，简化管理行为、整合管理资源、降低管理成本、提高管理效率的目的，在公司管理各项系统进行有效整合促进公司持续、健康、稳定发展，为公司实现既定目标提供充分的保障。1.2依据国资委中央企业全面风险管理指引国资委2013年度中央企业全面风险管理报告（模板）、财政部等五部委企业内部控制基本规范（财会20087 号）财政部等五部委企业内部控制配套指引（财会201011 号）中国保利公司全面风险管理手册GB/T 2453-2009风险管理原则与实施指南 ；ISO31000：2009风险管理原则和指导方针GB/T19001-2008/ISO9001： 2008 质量管理体系； GB/T50430 工程建设施工企业质量管理规范； GB/T50380： 2006 工程建设设计企业质量管理规范GB/T24001-2004/ISO14001：2004 环境管理体系OHSMS18000；GB/T28001-2011：职业健康安全管理体系1.3适用范围本手册适用于公司范围内，所有人员应当遵循手册要求，开展全面风险管理工作。本手册对控股子公司具有指导意义，各控股子公司应根据本手册的基本框架，结合自身特点参照实施，开展全面风险管理工作。1.4手册的颁布本手册于2013年 月经公司董事会审议批准后颁布，自颁布之日起生效。1.5手册维护本手册由风险管理委员会委托有关职能部门负责进行日常维护和更新。当对手册内容进行重大调整时，需经过相关程序审批。第二章 全面风险管理概述2.1全面风险管理的定义公司的活动都包含着一定程度的风险，而风险往往同机遇并存，没有风险就没有机遇和成功。因此，并非所有的风险都对企业有害，都应当被消除。但每个风险都要被辨别出来，并结合公司实际确定风险承受度。本手册所称全面风险管理，是指公司围绕总体经营目标，由公司的董事会、管理层和员工共同参与，以风险识别模型为基础，辨识可能对公司造成潜在影响的事项、设计公司风险管理的基本流程，培养良好的风险管理文化、建立健全全面的风险管理体系。具体包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统等部分。2.2 全面风险管理的特征2.2.1战略性 风险管理更重要的应用于公司战略管理层面，站在战略层面整合和管理企业风险是全面风险管理的价值所在。2.2.2全员化 公司全面风险管理时一个由公司董事会、管理层和所有员工参与的，旨在把风险控制在风险容量以内，增进企业价值的过程。在这个过程中，只有将风险意识转化为全体员工的共同认识和自觉行动，才能确保风险管理目标的实现。2.2.3专业性 要求公司内部必须实施专业化的风险管理。2.2.4二重性 全面风险管理既要管理纯粹的风险，也要管理机会风险。当风险损失可能发生可能不发生时，设法降低风险发生的可能；当风险损失不能避免时，见谅减少损失至最小化；当风险预示着机会时，化风险为增进企业价值的机会。2.2.5系统性 全面风险管理必须拥有一套系统的、规划的方法，来确保所有的风险都得到识别，资源能够被有效地利用于紧迫风险的管理。2.3 全面风险管理的意义1、从公司战略出发，统一风险度量，建立风险预警机制和应对策略。2、明确风险管理职责，将风险管理责任落实到企业的各个层面。3、形成风险管理信息收集、分析、报告系统，为有效监控风险和应对风险提供依据。4、避免企业重大损失，支持企业战略目标的实现。5、使外部投资人、监管者了解企业风险。6、行成自我运行、自我完善的风险管理机制。2.4 全面风险管理的基本流程全面风险管理的基本流程可分为五个阶段，即风险事件初始信息风险管理评估制定风险管理策略提出和实施风险管理解决方案风险管理监督与改进。流程的工作内容和相关文档如下图所示：第一阶段风险管理初始信息 工作内容 文件资料重大风险监控报告风险解决方案重大风险应对方案；风险识别报告识别风险定性/定量评价第四阶段风险管理总结、改进风险管理监察第四阶段提出和实施风险管理解决方案第三阶段风险管理策略收集风险事件初始信息查找或制定公司风险管理策略风险管理改进并存档第二阶段风险管理评估分析自身、相关因素阅读、学习风险清单实施风险解决/控制方案风险管理工作总结总结、评估风险管理工作评估解决措施的风险控制效果定性/定价评价结果确定风险解决方案提出可能的解决措施建议风险评估报告表 1-1 工作内容和相关文档说明工作内容说明相关文档第一阶段收集初始信息通过阅读风险清单，熟悉各类风险的定性描述和指标体系，准确理解和掌握各类风险的特征。在上述工作基础上，结合自身情况和外部环境，从战略、市场、运营、法律、财务五个方面逐一辨识自身可能存在的风险。风险识别报告第二阶段风险评估企业以风险定性评价模型和风险定量评价模型为基础，对第一阶段识别出的风险进行评价。风险评估报告附件：定性评价结果定量评价结果第三阶段制定风险管理策略在第二阶段的基础上，针对重大风险，紧密结合公司自身风险管理现状、风险偏好、风险控制目标，提出可能的风险解决措施建议。风险解决方案重大风险应对方案第四阶段实施风险管理方案为确保风险控制/化解工作的顺利开展，企业对第三阶段提出的解决方案进行评估，找到最佳方案付诸实施重大风险监控报告第五阶段风险回顾在本阶段，公司对风险管理工作进行总结、评估，形成风险管理工作总结。并将其妥善保管，用于指导下一阶段的风险管理工作。风险管理工作总结2.4全面风险管理基本要求全面风险管理与内部控制是为了实现既定的各项经营目标，公司董事会、 监事会、 风险管理委员会和全体员工按照国家和企业的规范、 标准、 制度，识别、评估风险并采取适当控制措施的过程，是公司各级权力决策主体 （机构、 部门、 岗位） 和对应的职能管理主体 （机构、 部门、 岗位）之间形成的具有制衡、监督以及服务支撑的工作机制。全面风险管理、内部控制与安、质、环体系不是孤立于公司业务的独立的管理活动，而是融入公司各项业务活动中的不可或缺的管理行为，是体现在公司内部各层次、各部门、各岗位，且贯穿于整个公司、全员全过程参与的管理行为，即风险分类管理。第三章 组织架构与职责3.1体系文件组成公司全面风险管理体系文件主要由风险管理手册、风险管理工作流程、风险管理制度三个主要部分构成。这三个主要部分相互依存、相互作用、协作运转，保障企业全面风险管理功能的发挥。是日常工作中的风险控制的质量标准和要求，由各职能部门负责组织编制、维护和执行。是日常工作中的风险控制和办事流程，由公司各职能部门负责组织编制、维护和执行。是风险管理体系的纲领性文件，由公司全面风险管理委员会负责组织编制、维护和执行。3.2全面风险管理组织架构公司具体风险事件管理组织基本架构公司全面风险管理年度报告及考核组织架构公司全面风险审计管理架构风险管理组织体系主要包括规范的公司法人治理结构，风险管理归口职能部门、内部审计单位和法律事务部门以及其他有关职能部门、分支机构和项目经理部的组织领导机构及其职责公司建立风险管理三道防线，即各有关职能部门和各分支机构为第一道防线；风险管理的主管职能部门和董事会下设的风险管理委员会（公司领导班子）为第二道防线；董事会下设的审计委员会或委托内部审计部门为第三道防线。3.3风险管理决策机构职责公司董事会为公司风险管理最终决策机构，公司风险管理委员会，可依据授权对重大风险管理事项进行决策。在全面风险管理、内部控制与安质环体系方面主要履行以下职责：3.3.1督导公司全面风险管理、内部控制与安质环体系的建立健全与有效实施，督导企业风险管理文化的培育，了解和掌握公司面临的各项重大风险及其风险管理现状，做出有效控制风险的决策；3.3.2确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理组织机构设置及其职责方案，批准公司年度内部控制建设发展规划、实施方案及内部控制自我评估报告；3.3.3听取、审批公司全面风险管理年度报告，并按照要求报上级单位；3.3.4批准风险管理策略和重大风险管理解决方案；批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；3.3.5向公司股东大会提请聘请或更换内部控制审计机构；3.3.6批准全面风险管理、内部控制与安质环体系其他重大事项。3.4风险管理委员会（风险管理领导机构）职责公司董事会下设风险管理委员会，其成员来自公司领导班子组成，在全面风险管理和内部控制方面的主要职责包括： 3.4.1审议公司年度全面风险管理报告，并提交董事会；3.4.2审议公司风险管理策略和重大风险解决方案，并监督其执行；3.4.3审议公司内部控制建设发展规划及实施方案，并监督其执行；3.4.4审议公司全面风险管理和内部控制组织机构设置及其职责方案；3.4.5审议重大决策、重大风险、重大事件和重要业务流程的判断机制或评价标准，以及重大决策的风险评估报告及各项风险管理报告，提出修改或调整建议并提交董事会审议。根据职责，负责具体风险管理措施的推进和实施；3.4.6审议公司的风险管理和内部控制信息系统建设方案；3.4.7听取公司内部控制符合性测试报告；3.4.8办理董事会授权的有关全面风险管理、内部控制的其他事项。根据工作需要，总经理可将上述职责范围内部分职权授予风险管理的分管领导，分管领导对总经理负责，行使总经理授权范围内的风险管理职责。3.5风险审计委员会（监督机构）职责公司在董事会下设立审计委员会。审计委员会负责审查股份公司全面风险管理和内部控制，监督全面风险管理和内部控制的有效实施和自我评价情况，协调全面风险管理和内部控制审计的相关事宜。审计执行机构（商法监察部）负责对公司全面风险管理运行整体情况进行监督评价，其主要职责包括：3.5.1研究制定风险管理、内部控制监督评价办法；3.5.2组织开展风险管理、内部控制监督与评价；3.5.3编制风险管理监督评价报告。3.6风险管理执行机构职责3.6.1公司经营管理部公司经营管理部是公司风险集中（归口）管理执行机构，其主要职责是履行风险集中（归口）管理活动，负责全面风险管理、内部控制的体系建设和整体运转工作，以及风险管理、内部控制工作的组织协调，为重大风险决策提供专业意见，其主要职责包括：3.6.1.1组织推动公司全面风险管理、内部控制体系建设，指导所属各职能部门或分支机构开展风险管理、内部控制体系建设；3.6.1.2组织编制风险管理年度报告；3.6.1.3组织起草风险管理、内部控制基本制度及重大风险管理办法等，并监督落实；3.6.1.4组织、协助各职能部门开展其职责范围内的重大事项的风险预测和风险评估工作，并对上述信息进行汇总分析，并及时向管理层（风险管理委员会）揭示风险信息；3.6.1.5负责对全面风险管理有效性评估，研究提出全面风险管理的相关措施和方案；3.6.1.6组织人力资源管理部门编制企业风险文化培育与宣贯工作方案和计划，组织协调风险管理培训；3.6.1.7办理公司领导交办的其他风险管理工作。3.6.2具体风险管理部门（公司各职能部门）具体风险管理部门是公司风险分类管理执行机构，其主要职责是配合风险管理职能部门开展工作，并根据附录三开展具体风险管理。2.6.2.1协助经营管理部定期完成风险事件库的更新、风险评估等相关工作；2.6.2.2协助经营管理部制定公司重大风险应对方案，并实施应对方案；2.6.2.3对本部门工作所涉及各类风险进行监控，及时向经营管理部报告风险信息（每半年至少一次）；2.6.2.4针对本部门的重要管理、业务活动，建立健全风险管理控制措施；2.6.2.5协助经营管理部对下属分支机构和项目部具体风险管理工作进行指导；2.6.2.6办理风险管理其他相关工作。第四章 全面风险管理基本流程和要求4.1公司具体风险管理包括以下主要工作4.1.1收集风险管理初始信息；4.1.2进行风险评估；4.1.3制定风险管理策略；4.1.4提出和实施风险管理解决方案； 4.1.5风险管理的监督与改进。公司具体风险管理流程通常应融入到现有管理体系中，以各职能部门相关管理制度和程序文件为主要落实载体。在风险集中管理活动中，风险应对和突发风险事件应急应对流程通过发起内控优化活动，将风险集中管理活动与内控体系进行了有效衔接。公司内部控制系统4.2风险管理初始信息实施全面风险管理，应广泛、持续不断地收集与本公司风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门、分支机构和项目经理部。4.2.1战略风险方面 广泛收集国内外企业战略风险失控导致企业蒙受损失的案例，并至少收集与本公司相关的以下重要信息：4.2.1.1国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策；4.2.1.2科技进步、技术创新的有关内容；4.2.1.3市场对公司产品或服务的需求；4.2.1.4与公司战略合作伙伴的关系，未来寻求战略合作伙伴的可能性；4.2.1.5本公司主要客户、供应商及竞争对手的有关情况；4.2.1.6与主要竞争对手相比，本公司实力与差距；4.2.1.7本公司发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制这些战略、规划、计划、目标的有关依据；4.2.1.8本公司对外投融资流程中曾发生或易发生错误的业务流程或环节。4.2.2财务风险方面 应广泛收集国内外企业财务风险失控导致危机的案例，并至少收集本公司的以下重要信息(其中有行业平均指标或先进指标的，也应尽可能收集)：4.2.2.1负债、或有负债、负债率、偿债能力；4.2.2.2现金流、应收账款及其占销售收入的比重、资金周转率；4.2.2.3产品存货及其占销售成本的比重、应付账款及其占购货额的比重；4.2.2.4制造成本和管理费用、财务费用、营业费用；4.2.2.5盈利能力；4.2.2.6成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节；4.2.2.7与相关的行业会计政策、会计估算、与国际会计制度的差异与调节(如退休金、递延税项等)等信息。4.2.3市场风险方面 应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与本公司相关的以下重要信息：4.2.3.1产品或服务的价格及供需变化；4.2.3.2能源、原材料、配件等物资供应的充足性、稳定性和价格变化；4.2.3.3主要客户、主要供应商的信用情况；4.2.3.4税收政策和利率、汇率、股票价格指数的变化；4.2.3.5潜在竞争者、竞争者及其主要产品、替代品情况。4.2.4运营风险方面 应至少收集与本公司、本行业相关的以下信息：4.2.4.1产品结构、新产品研发；4.2.4.2新市场开发，市场营销策略，包括产品或服务定价与销售渠道，市场营销环境状况等；4.2.4.3公司组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验；4.2.4.4质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节；4.2.4.5因公司内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵；4.2.4.6给公司造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险；4.2.4.7对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力；4.2.4.8公司风险管理的现状和能力。4.2.5法律风险方面 应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致公司蒙受损失的案例，并至少收集与本企业相关的以下信息：4.2.5.1国内外与本企业相关的政治、法律环境；4.2.5.2影响企业的新法律法规和政策；4.2.5.3员工道德操守的遵从性；4.2.5.4本公司签订的重大协议和有关贸易合同；4.2.5.5本公司发生重大法律纠纷案件的情况；4.2.5.6公司和竞争对手的知识产权情况。公司职能部门、分支机构、项目经理部的相关人员对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估保利建设集团有限公司风险重点收集信息源表序号一级风险重点收集信息源1战略风险国内外宏观经济政策以及经济运行情况因市场需求萎缩、资金链紧张引发的资金风险、违约风险情况因扩张投资引发的带息负债增长风险、银企合作风险情况因“走出去”境外工程引发的外汇汇率风险损失情况2市场风险主要客户和业主、供应商情况及信用状况分析，尤其是市场紧缩下的业主资信风险情况竞争对手的有关情况，与主要竞争对手相比，公司的实力与差距设计、施工、投资与开发等市场潜在竞争者原材料、劳务和分包市场供应的充足性、稳定性和价格变化公司系统内各级下属公司内部竞争的情况3运营风险公司治理现状、存在的问题；内控体制等管理体制状况，存在的主要问题公司投资决策机制，授权管理及合同管理现状，存在的问题；公司在招投标过程中碰到的主要问题公司主要原材料的采购管理状况，存在的问题公司产品质量、安全及环境管理体系现状，存在的问题及危险源和不良环境影响公司技术水平、技术管理状况，存在的关键技术问题公司人力资源管理状况，人员招（选）聘管理，人力资源的培训问题因施工过程中工程款结算不及时引发的工程款拖欠风险与回收风险情况因劳动用工引发的劳动合同风险、境外劳工风险因廉政廉洁问题而存在的重大违规事项或渎职、舞弊问题相关统计数据其他与公司运营相关的主要情况4财务风险公司负债、负债率、偿债能力的数据现金流、应收账款及其占销售收入的比重、资金周转率的数据存货及其占销售成本的比重、应付账款及其占购货额的比重的数据公司盈利能力的数据制造成本和管理费用、财务费用、营业费用的数据公司成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节其他与公司财务相关的主要情况5法律风险国内外与建筑、房地产、基础设施相关的政治、法律环境影响公司运行的新法律法规和政策公司签订的重大协议和工程合同公司发生的重大法律纠纷案件的情况公司与竞争对手的知识产权情况因历史遗留的债权债务提前引爆的风险及重大诉讼案件风险情况其他与法律、法规相关的信息与文件4.3风险评估风险评估包括风险辨识、风险分析、风险评价三个步骤。4.3.1风险评估应由有关职能部门和分支机构组织实施，也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。4.3.2进行风险辨识、分析、评价，应将定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。4.3.3进行风险定量评估时，应统一制定各风险的度量单位和风险度量模型，并通过测试等方法，确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。要根据环境的变化，定期对假设前提和参数进行复核和修改，并将定量评估系统的估算结果与实际效果对比，据此对有关参数进行调整和改进。4.3.4风险分析应包括风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行统一集中管理。4.3.5在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图，对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略。相关人员应根据工作特征选择评估方法，对风险管理信息实行动态管理，定期或不定期实施风险辨识、分析、评价，以便对新的风险和原有风险的变化重新评估。（后附年度风险报告流程）专项风险评估流程（公司OA流程）全面风险管理、内部控制管理体系评价范围及指标风险趋势预测创先争优类结构优化类指标风险趋势预测安全与职业健康类控制指标质量与环境类控制指标内控未达标率专项管理类控制指标国内区域化国际化大项目专业化经营结构调整经营性现金流入占营业收入比例内部管理评价挂靠项目重大负面事件安全事故法务管理项目管理采购与分包管理信息化管理人力资源管理财务管理资金管理金融业务投资管理担保管理资产管理关联交易企业并购与重组品牌价值行业精英创先争优类指标管理引领类指标结构优化类指标诉讼案件金额增长率专项管理类控制指标环境事件质量事故安全事故内部管理评价挂靠项目重大负面事件安全事故经营性现金流入占营业收入比例成本费用总额占主营业务收入比例应急事件与危机公关管理质量与环境类控制指标安全与职业健康类控制科技与设计管理企业并购与重组人力资源管理办公管理及内部信息传递采购与分包管理营运类指标盈利类指标遵循性单项风险趋势预测绩效目标风险设计完整性综合评估指标行业精英品牌价值产品创优科技进步其他信息化标准化人力资源其它经营结构调整专业化大项目国际化国内区域化内控未达标率重大案件管理诉讼损失应收款项增长率小金库挂靠项目重大负面事件资产负债率应收账款周转率营业收入资本回报率公司净利润经济增加值指标指标指标1指标2指标2指标1战略引领类指标管理控制类指标基本运营类指标综合行政事务信息化管理市场与营销项目管理合同管理法务管理关联交易担保管理投资管理资产管理金融业务资金管理财务管理社会责任企业文化组织结构公司治理战略管理综合指标 一级指标 二级指标 三级指标4.4风险管理策略一般情况下，对战略、财务、运营和法律风险，可采取风险承担、风险规避、风险转换、风险控制等方法。对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险对冲、风险补偿等方法。公司风险管理策略主要包括以下要素：4.4.1风险管理目标；4.4.2风险承受度方案；4.4.3风险应对总体方案。公司风险管理策略总是处于动态调整的过程中，本手册不针对具体风险的风险管理策略进行详细描述，针对各具体风险的风险管理策略应通过体系运行逐步完善。各具体风险管理职能部门应根据不同业务特点统一确定风险偏好和风险承受度，即业务愿意承担哪些风险，明确风险的最低限度和不能超过的最高限度，并据此确定风险的预警线及相应采取的对策。确定风险偏好和风险承受度，要正确认识和把握风险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件、范围，认为风险越大、收益越高的观念和做法；同时，也要防止单纯为规避风险而放弃发展机遇。各具体风险管理职能部门应定期总结和分析已制定的本业务风险管理策略的有效性和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。对失效的风险事件上报公司风险委员会，并向风险管理归口职能部门通报。风险管理归口职能部门应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置，进一步确定风险管理的优选顺序，上报风险管理委员会，由风险管理委员会明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。4.5风险管理解决方案各具体风险管理职能部门、分支机构和项目经理部制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。解决方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如：关键风险指标管理、损失事件管理等)。公司各具体风险管理职能部门制定内控措施，一般至少包括以下内容：4.5.1建立内控岗位授权制度。4.5.2建立内控报告制度。4.5.3建立内控批准制度。4.5.4建立内控责任制度。4.5.5建立内控审计检查制度。4.5.6建立内控考核评价制度。4.5.7建立重大风险预警制度。4.5.8建立健全以法律顾问制度为核心的法律顾问制度。4.5.9建立重要岗位权力制衡制度按照各有关部门和分支机构的职责分工，认真组织实施风险管理解决方案，确保各项措施落实到位。（如公司安全生产管理部风险管理制度见附件八）4.6风险管理的控制活动的主要内容类别主要内容不相容职务分离控制全面系统分析梳理管理业务活动中涉及的不相容职务，实施相应分离措施，各司其职、各负其责、相互制约，防止发生错误和舞弊可能性。授权审批控制明确授权管理制度，严格控制特别授权。各级管理人员在授权范围内行使职权和承担责任。对于重大业务和事项，实行集体决策审批和联签制度。会计系统控制严格执行国家统一会计准则制度，加强会计基础工作，保证会计资料真实完整；落实会计人员岗位责任制及从业资格等。财产保护控制建立财产日常管理制度和定期清查制度，限制未经授权人员接触和处置财产，及时账实核对。预算控制建立并实施全面预算管理制度，强化预算约束。运营分析控制通过因素分析、对比分析、趋势分析等方法，定期开展财务分析、经营分析、预算分析、专项分析和综合分析活动，确保企业经营向预定目标发展，一旦产生偏差能及时修正改进。绩效考评控制建立并实施绩效考评制度，合理设置考评指标。考评范围应包括企业内部各责任单位和全体员工，考评结果与激励政策挂钩。4.7风险管理的监督与改进以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。公司各职能部门、分支机构应定期对风险管理工作进行自查和检验，及时发现缺陷并改进，其检查、检验报告应及时报送风险管理归口职能部门。风险管理归口职能部门应定期对具体职能部门、分支机构和项目经理部的风险管理工作实施情况和有效性进行检查和检验，对风险管理策略进行评估，对跨部门和分支机构的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送公司总经理。公司内部审计部门（商法监察部）或委托审计单位应至少每年一次对包括风险管理归口职能部门在内的各职能关部门和分支机构能否按照有关规定开展风险管理工作及其工作效果进行监督评价，监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。此项工作也可结合年度审计、任期审计或专项审计工作一并开展。应聘请有资质、信誉好、风险管理专业能力强的中介机构对公司全面风险管理工作进行评价，出具风险管理评估和建议专项报告。报告一般应包括以下几方面的实施情况、存在缺陷和改进建议：4.7.1风险管理基本流程与风险管理策略；4.7.2公司重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设；4.7.3风险管理组织体系与信息系统；4.7.4全面风险管理总体目标。4.8风险管理信息系统公司应用OA技术于风险管理的各项工作，并涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。各职能部门应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。公司综合办公室应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。4.9风险管理文化公司党群工作办公室应在内部各个层面营造风险管理文化氛围。公司总经理负责培育风险管理文化的日常工作。公司领导班子成员应在培育风险管理文化中起表率作用。职能部门经理、副经理和业务操作人员是培育风险管理文化的骨干。商法监察部负责加强员工法律素质教育，制定员工道德诚信准则，形成人人讲道德诚信、合法合规经营的风险管理文化。对于不遵守国家法律法规和公司规章制度、弄虚作假、徇私舞弊等违法及违反道德诚信准则的行为，报送公司风险管理委员会严肃查处。公司全体员工尤其是各级管理人员和业务操作人员应通过多种形式，努力传播公司风险管理文化，牢固树立风险无处不在、风险无时不在、严格防控纯粹风险、审慎处置机会风险、岗位风险管理责任重大等意识和理念。综合办公室人力资源管理人员应将风险管理文化建设与薪酬制度和人事制度相结合，有利于增强各级管理人员特别是骨干管理人员风险意识，防止盲目扩张、片面追求业绩、忽视风险等行为的发生。综合办公室组织相关职能部门重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度。采取多种途经和形式，加强对风险管理理念、知识、流程、管控核心内容的培训，培养风险管理人才，培育风险管理文化。第五章 全面风险评估方法5.1风险评价风险评价模型分为两大部分：风险定性评价模型和风险定量评价模型。定性评价模型是通过管理评分方式对企业的整体风险程度给出评价；定量评价模型是选取行业的典型财务指标通过统计给出指标阈值参考范围，对企业财务指标的非正常情况进行预警提示。5.1.1风险定性评价模型：风险定性评价模型和风险清单存在紧密的逻辑关系。风险清单涵盖了企业可能面临的 5 个层次的风险，各 类风险类型以及 各种风险点。而风险定性评价模型正是从 各种风险点的定性描述中，提炼出 各类风险类型的风险内涵，并在此基础上制定打分参考依据。同时，风险定性评价模型采用的是管理评分法，各单项风险类型被划分五档风险程度。根据打分结果，可以判断出各个风险类型的风险水平。该风险水平将被作为是否进一步进行风险点评分的依据。5.1.2风险定量评价模型：风险定量评价模型设立的目的包括两个方面：1、提高企业阈值范围，预警企业潜在风险企业通过将自身财务指标值和定量模型中给出的阈值范围进行对比，可准确把握自身所处的行业位置，并对异常指标值进行关注、分析。2、校验定性评价结果，确保风险评价结果的准确性企业通过对比定量评价结果和定性评价结果，针对两类评价的结果差异，进一步分析研究，以提高评价结果的准确性。例如，通过对比定性评价模型中某一个风险类型“流动性风险”评分结果和定量评价结果，对定性评价结果进行校验。5.2.1风险定量评价模型的基本方法风险定量评价模型运用 SPSS 工具统计出即中值（中位数）、处于 15%为和 85%位的指标值、处于阈值范围的指标的平均数。行业平均水平的确定 中值（中位数）由于每个行业中不可避免地会出现偏差特别大的异常值，取均值不具有参考意义，受异常值影响过大，而中位数基本处于全部数据的 50%位置，值得信任，为此对于行业一般水平的确定，我们采用中值（中位数）。将收集到的某一财务指标的有关数据，按大小顺序排列，处在正中间位置上的那一个数据叫做该财务指标的中位数。要强调：求中位数要将一组数据按大小顺序，而不必计算，顾名思义，中位数就是位置处于最中间的一个数（或最中间的两个数的平均数），排序时，从小到大或从大到小都可以。在数据个数为奇数的情况下，中位数是这组数据中的一个数据；但在数据个数为偶数的情况下，其中位数是最中间两个数据的平均数，它不一定与这组数据中的某个数据相等。行业阈值范围的确定 处于 15%位和 85%位的指标值。观察了所有财务指标的频率分布，基本在 70%的数据范围内得到的值较为合理可信。为此，对于行业阈值范围的确定，我们选取的是位于 15%位和 85%位的指标值。与中位数的确定类似，将收集道德某一财务指标的有关数据，按大小顺序排列，处在 15%、85%位置上的两个数据叫做该财务指标的阈值范围。行业阈值范围的平均水平的确定 处于 70%阈值范围的指标的平均数为了反映较为合理可信的值的平均水平，为处于阈值范围的企业提供参考，我们进一步计算出了落在 70%阈值区域的指标的平均数。采用的方法是将阈值作为条件项，运用 SPPS 软件筛选出符合条件的指标，并计算这些指标的平均数。5.2.2风险定量评价模型分析结论第一、风险定量评价模型给出典型财务指标的行业平均水平和阈值范围，企业可以进行对比了解自身所处位置，进而对整体风险进行初步判断；第二、通过定量指标对单独风险点进行预警存在一定困难，目前还不太成熟。主要原因在于：首先，企业的发展，在很大程度上受政策、环境等非经济因素影响，因此仅通过财务数据反应存在较大的局限性；其次，企业尚未达到充分竞争、成熟的发展阶段，因此给样本选择和基础数据获得带来较大难度；再次，不同的时点及环境对财务指标值的影响比较大，因此财务指标阈值的使用需要考虑失效性。因此，开展风险定量评价模型的研究是很有意义的，但目的仅能用于提供参考判断依据。5.3风险识别使用说明：风险识别模型给出的风险清单涵盖了企业可能面临的 5 个层次的风险，各类风险类型以及其下的 各个风险点。企业应遵循下列步骤开展风险识别工作：首先，阅读清单，理解清单中对 各个风险点的风险类别、定性描述和指标体系的阐述，准确把握各个风险点的特征。其次，分析企业相关因素。包括但不限于下列因素：宏观经济政策、企业规模、所处行业、经营模式等。最后，在上述分析的基础上，识别出自身可能存在的风险，形成风险识别报告。5.4风险定性评价模型使用方法：通过风险识别步骤形成风险识别报告，结合风险定性评价模型，可分别针对战略风险、市场风险、运营风险、法律风险和财务风险五个层次下的各种风险类型进行定性打分。如：通过对五个风险层次的各种风险类型进行评分之后，选取其中风险较大，即最终得分为 3.5 分以上（包括 3.5 分）的风险类型进行细化分析，深入到风险层面的定性评价，流程图如下：通过对五个风险层次的各种风险类型进行评分之后，选取其中风险较大，即最终得分为 3.5 分以上（包括 3.5 分）的风险类型进行细化分析，深入到风险层面的定性评价，流程图如下：风险类型定性评价最终得分是否超过 3.5 NOYES与投资者关系风险市场风险运营风险法律风险财务风险4.2 定性评价模型使用方法通过风险识别步骤形成风险识别报告，结合第三章给出的风险定性评价模型，可分别针对战略风险、市场风险、运营风险、法律风险和财务风险五个层次下的二十九种风险类型进行定性打分。通过对五个风险层次的二十九种风险类型进行评分之后，选取其中风险较大，即最终得分为 3.5 分以上（包括 3.5 分）的风险类型进行细化分析，深入到风险层面的定性评价，流程图如下：基于评价的全面性、层次性及客观性，本手册对各风险类型和风险点给出参与评分建议、不同评分人评分结果所占权重建议、最终得分的含义以及分数计算方法。最后根据风险类型和风险点最终得分由高到低进行排序，可以清晰找出需要重点关注或可能存在重大风险的风险类型和风险点。4.2.1 风险类型定性评价4.2.1 确定评分人参与评分的人主要包括四个层面：监督层：独立董事、监事会（监视会主席）决策层：董事会（董事长）、高管层（总经理、副总经理等）管理层：部门总监（销售、财务部、人事、审计、采购、运营、技术）操作层：员工在具体确定参与评分人员时，可以考虑一下两个因素：评分人了解与该风险类型相关的信息；了解该风险类型相关信息的人员尽量多的作为评分人。4.2.1.2 评分人所占权重风险类型定性评价结束结束 否风险点定性评价 是基于评价的全面性、层次性及客观性，本手册对各风险类型和风险点给出参与评分建议、不同评分人评分结果所占权重建议、最终得分的含义以及分数计算方法。最后根据风险类型和风险点最终得分由高到低进行排序，可以清晰找出需要重点关注或可能存在重大风险的风险类型和风险点。5.5风险类型定性评价：5.5.1确定评分人：参与评分的人主要包括四个层面：监督层：独立董事、监事会（监视会主席）决策层：董事会（董事长）、高管层（总经理、副总经理和三总师等）管理层：部门正副经理（销售、财务部、人事、审计、采购、运营、技术）操作层：员工在具体确定参与评分人员时，可以考虑一下两个因素：评分人了解与该风险类型相关的信息；了解该风险类型相关信息的人员尽量多的作为评分人。5.5.2评分人所占权重：（见附件）在对不同层面的评分人进行权重分配时，要考虑评分人与该风险类型的相关性及其评分的可观程度。当评分人与该风险类型相关程度不同，能客观评分的层面和部门应赋予较大的权重；而当评分人与该风险类型相关程度相同时，则应对评分人赋予相同权重。由于不同企业的具体情况不同，因此评分人和评分权重可能存在差异。需要强调的是，表给出的权重仅为模拟权重，目的在于为企业确定评分人和权重提供一定的参考作用。在实际操作过程中，还应结合自身实际，采取一定的方法确定评分人及其权重。例如可通过调查问卷的方式确定评分人权重。5.6最终得分的计算方法对风险类型进行打分时，风险程度分为五档，分数为 1-5 的整数，分别代表不同的风险程度：基本无风险（或微小风险）、存在较小风险、存在一定风险、存在较大风险和存在重大风险五个层次。某个风险类型对应的多有评分人进行打分后，用单个评分人给出的分值乘以其对应的权重，再将所有评分人的上述计算结果进行加和即为该风险类型的最终得分。若同一层次中有多个人参与评分，则评分结果进行简单平均后作为该类评分人的打分结果。5.6.1最终得分的含义：最终得分划分为以下五档，分别代表不同的含义：1、 1最终得分1.5 时，表示基本无风险（或微小风险）；2、 1.5最终得分2.5 时，表示存在较小风险；3、 2.5最终得分3.5 时，表示存在一定风险；4、 3.5最终得分4.5 时，表示存在较大风险；5、 4.5最终得分5 时，表示存在重大风险；5.6.2判断是否需要进行风险点定性评价通过对五个风险层次的各种风险类型进行评分之后，如果风险类型的最终得分为 3.5 分（包括 3.5分），则需进行风险点定性评价。5.7风险点定性评价通过风险类型定性评价，将针对得分为 3.5-5 分的风险类型下的风险点进行进一步细化的定性评价。其中风险程度的划分和分值、参与评分人员以及权重的赋予原则与上述风险类型定性评价中的描述相一致。通过风险点定性评价，可以使更细化的了解到存在重大风险的风险点环节，并可根据这种评价结果，对存在重大风险的风险点进行排序，进而又针对性的进行风险规避。5.8定量评价模型使用方法定量评价模型中，可以将自身的指标值同行业阈值范围相比较，看是否处于行业的一个正常范围，同时，也能为定性评价模型的部分分析结果提供进一步的验证。5.8.1指标对比：在计算完自身基本财务指标和查找到行业指标阈值范围之后，企业需要将这两组指标进行对比，看自身指标值是否位于行业正常范围之内。如果通过指标对比，发现企业某指标的实际值处于行业阈值之外，尤其是低于行业阈值较多，企业则需要找出导致该指标偏离行业平均情况的具体原因，专注该指标对应的风险点，看是否在该风险点的管理上出现疏漏和偏差。5.8.2风险校验：定量评价模型除了可以用来观察基本财务指标和同行业的对比情况外，还可以用来对定性模型分析结果进行检验，进一步验证定性评价的准确性。用定量评价模型对定性评价结果进行检验，可能出现一下四种情况：1、 通过定性评价模型分析，该风险点存在重大风险，但对应的财务指标值处于正常范围；2、 通过定性评价模型分析，该风险点存在重大风险，但对应的财务指标值不在正常范围；3、 通过定性评价模型分析，该风险点不存在重大风险，但对应的财务指标值不在正常范围；4、 通过定性评价模型分析，该风险点不存在重大风险，对应的财务指标值处于正常范围。如果出现上述情况的第 2 种或第 4 种，则说明定性评价模型分析结果和定量评价模型分析结果一致；如果出现上述情况的第 1 种或第 3 种，则说明定性评价模型分析结果和定量评价模型分析结果存在差异，需要对这种差异进行深入分析，看是否在定性评价模型中存在不准确的地方，找出导致差异产生的原因。在第 1 种情况下，对定性评估结果进行重估没如果重估之后结果仍存在差异，则以定性评估结果为准，认为该风险点存在重大风险。在第 3 种情况下，对定性评价结果进行重估，如果重估之后，定性评价结果变成异常，则和定量评价结果相一致，认为该风险点存在重大风险；如果重估之后定性评价结果仍为正常，则需要分析定量指标异常的原因。如果发现定量指标的异常是由突发事项引起的，则认为该风险点不存在重大风险，如果发现定量指标的异常不是由突发事项