房地产开发项目定位的风险综述.doc

中天丰润投资集团有限公司内审部风险控制小组（讨论稿）附件二：风险评估与分析1.房地产开发项目定位的风险1-01-001 房地产开发行业受国家政策走向而发生波动或因地区间房地产市场的差异性较大的影响，如果公司没有正确的项目选择与定位，必将造成效益下滑，存在使公司经营受到重创的风险。风险管理负责人：魏恒山 郑万春/徐晓伟/李强/王红/魏昭公司从以下几个方面应对房地产开发项目定位的风险： 1持续强调公司的房地产开发项目定位是继续以政府保障性住房建设为主，紧紧围绕国家产业政策导向，积极参与政府城镇化规划建设，使公司的战略风险规避在最低限度；2继续在全公司倡导文化创新（具体指什么？）和技术创新（指规划设计和户型设计吗？），从制度上鼓励新思路，加大对专业技术人员的考核力度保证激励机制的有效性；3加强与外部规划设计单位或实体的合作与交流，按照市场需求不断创新设计理念，巩固公司的核心竞争力；4高度重视依靠法律保护公司知识产权（暂时没有）；5巩固公司的品牌形象，进而提高公众对公司品牌认知程度。2010年至今，公司高度重视品牌形象建设，市场宣传中突出公司的优质服务特色。 此五个方面的建设是贯穿公司运营始终的，需要持续的加强。 2.灾害及危机管理不当的风险1-02-001 缺乏及时有效的危机管理机制，造成公司无法维持业务运行及提供重要产品和服务的风险。 灾害及危机有两个来源： 不可控来源：来自战争、恐怖主义、失火、地震、恶劣天气、洪灾及其他类似的灾难都属于超出公司控制范围的风险。 可控来源：因公司的策略失误或管理失误而导致：危害健康和安全事故、巨额诉讼成本、大量的金融衍生工具（暂时不存在）造成的损失、重大商业舞弊、市场份额的重大损失等。 危机的发生可能与其他导致特定危害的风险一同发生。 风险控制负责人： 魏恒山 -郑万春/徐晓伟 -赵文义 对于不可控来源的风险：公司的核心竞争力是公司所掌握的在一定程度和时间内具有先进性的技术数据，公司会定期将核心数据进行全面备份并且存放在非办公区域的安全地点，以避免灾害一旦发生时对于核心数据造成的不可恢复的损害。由此将损害的程度由灾难性的降低为重大的或中等的（由重大的降低为中等的？）。 对于可控来源的风险：公司有一套完整的公司层面控制体系，对于任何重大决策（指投资、融资、合作、降薪、裁员吗？）都需要经过相应的部门组织审议通过，每一项日常决策（是各项内控吗？）都需要经过高级或中级管理层的层层审批，以避免重大风险的经营决策的制定。 3.政治风险1-03-001 由于存在例如战争、恐怖活动、地区冲突、罢工和贪污腐败等政治不稳定因素而导致公司无法正常经营或者产生重大损失的风险。例如：政治局势不稳定，动乱、冲突等影响公司的正常经营；政府征收的风险：对资产的无偿征用。 风险控制负责人：魏恒山-郑万春/徐晓伟/魏昭 公司的经营主业不属于国家重点保护行业，在政治灾难中受到直接冲击的可能性不大（为什么？）；对于政府征收等风险，公司管理层在日常业务中较重视政府公关，以防止危机发生时可避免政府在征收等方面存在的风险。4.经济市场的波动风险1-04-001 公司的经营战略（如，盲目扩张、高风险投资等）和竞争优势受到许多与经济周期密切联系的经济因素恶化的影响的风险。例如：经济泡沫的破灭、金融危机、金融政策的波动、就业情况的恶化等导致市场急剧萎缩乃至出现亏损。 风险控制负责人:魏恒山-郑万春/徐晓伟/魏昭 公司管理层对于风险的态度是保守的态度，即始终围绕国家政策导向定位业务方向。对于新业务，管理层经过充分的考虑，对不完全了解和可以掌握（？）的新事物，管理层采取不冒险接受的态度，这种自上而下的公司层面管理风格在相当的程度上避免了不适宜的高风险发展战略和高风险投资决策带来的风险。 5.声誉风险1-05-001 公司存在对供应商等合作伙伴管理不当，或对客户服务不到位，或在公益事业、公共关系等方面的问题处理不当从而给公司的声誉带来负面影响，并进而导致丢失用户（客户？）、关键职员或竞争能力下降的风险。 风险控制负责人：魏恒山郑万春/徐晓伟/魏昭-赵文义/刘玉华 公司高级管理层自上而下，为树立道德文化标准起示范作用。公司总经理及高层管理者先人后己、勇于承担困难，以及具有勤俭的美德。在招募新人的过程中，向员工传达雇佣诚实的、人品好的员工，开除违规违纪的员工的理念；公司管理层选择外部合作伙伴（如投行、审计师、咨询师、律师等）均在首先考虑行业优先的企业。同时，了解潜在合作伙伴客户的背景情况；管理层对来自公司内部或者外部人员反映的情况或建议，采取开放式的态度，并给予及时反馈。公司通过以上公司层面控制保证与外部个人和相关利益实体进行交易的公平性，降低在公共关系等方面由于问题处理不当引起的声誉下降及其连带损失的风险。改进计划完 6.健康和安全风险1-06-001 未能提供一个保障人员健康和安全的经营和工作环境，使公司可能需要支付大额员工或其他受害人员赔款和造成公司声誉的损害的风险。没有充分分析公司哪些方面可能会给人员的健康和安全带来危害的因素，从而无法采取有效的预防措施；或者在发生了重大危害人员健康安全的事件后，未采取相应的应对措施；或者公司没有严格遵循国家的有关赔偿的法规，那么公司可能不得不支付更多的惩罚性赔偿而导致财物损失。如果公司和管理者没有为员工提供一个安全的环境，那么公司可能受到法律的惩罚。 风险控制负责人： 郑万春/徐晓伟/李强/王红 公司经营业务所要求劳动者提供的劳务不存在高危险/高风险的领域，并且，公司人力资源部有一套完整的人员管理体系，不存在不符合劳动法和其他相关法律法规的操作，在各必要领域可以有效保护劳动者的合法权益。 7.环保风险1-07-001 环保风险 公司的业务活动对环境造成损害存在连带责任，并且可能给公司带来消除或赔偿损害的高成本、法律制裁、及声誉受损等的风险。风险控制责任人：郑万春/李强/徐晓伟/魏昭 公司从事的经营主业务对环境的影响很小，尽管如此公司仍然从节约降耗等角度进一步将环保的概念落实到规划设计及生产经营中。8.不适当的公司战略和规划的风险1-08-001 公司未能制订适合本企业的战略和规划，或公司战略与规划执行不利的风险。风险控制负责人：魏恒山-郑万春/徐晓伟/魏昭 公司制定了明确的长期发展战略，并且每年年初都会根据实际经营计划制定详细的预算（只有办公费、招待费、交通费有定额）并且在各流程控制上确保预算的严格执行；任何重大的投资战略都需要经过公司的产业规划信息部、财务管理部的资产运营部（设这个部门吗？）和公司董事会的审批；管理层的管理风格比较保守和稳健，制定的发展战略是建立在已有基础之上的切实可行的方案；在此管理体制下，具有冒进性质的战略计划是很难被批准执行的。公司通过由上至下的一系列公司层面和管理和流程层面控制降低了战略规划（我们的战略规划是怎样制定的？由上至下么？很难执行啊！）不当给公司带来重大风险的可能性以及一旦发生风险的强度。 9.内控环境不佳或无效的风险2-01-001 公司内部控制环境不佳或无效给公司内部控制的基础环境带来的公司层面和流程层面的各类风险. 风险控制负责人： 徐晓伟 -赵文义/刘玉华 公司已经建立公司内控管理框架和有效的监督机制，内审部定期或不定期的检查公司各个层面的内部控制环境。 10.内控环境恶化的风险2-01-002 公司内部控制环境在原有基础上由于种种内外部原因产生恶化给公司内部控制的基础环境带来的公司层面和流程层面的各类风险。风险控制负责人：徐晓伟 -赵文义/刘玉华 公司已经建立公司内控管理框架和有效的监督机制，内审部定期或不定期的检查公司各个层面的内部控制环境，及时根据种种迹象发现公司内控环境随着内外部环境的变化而恶化的可能，并相应采取措施以规避公司内控环境恶化给公司层面和流程层面带来的各类潜在风险。 11.合作伙伴管理不当的风险2-02-001 公司没有建立必要的合作伙伴关系，或对合作伙伴管理不当，可能导致工程质量不达标或达不到工程进度要求而导致增加成本的风险。风险控制负责人：郑万春/李强 -周祥智1公司工程部、项目部建立了供应商、监理团队档案（已经建立了吗？）并由专人进行管理与维护，每年更新供应商、监理团队列表；2公司工程部、技术部（？）、项目部相关人员与合作伙伴建立了畅通的个人沟通渠道；3公司已成立产业规划信息部及外联部（是公关部吗？），专门负责对外合作业务、合作伙伴关系维护管理以及对客户进行深度的调研分析。指定责任人负责合作伙伴（不是供应商、监理团队和客户吗？）关系管理，负责收集合作伙伴信息，并定期提出合作建议。现有操作流程和控制活动根据实际需要和内外部环境变化的持续优化。 12.供应商未按预期交工的风险2-02-002 供应商没有按公司计划（合同约定？）要求预期完成工程进度，导致工程成本增加及公司信誉受损。风险控制责任人：李强 -周祥智 公司注重加强了对供应商信息的收集及管理。根据政府招标小组所确定的结果，及时与合作伙伴建立畅通的沟通渠道，公司与监理团队、供应商之间建立联席会议制度（就是项目进度调度会议吗？），工程施工期间保证每周召开一次由三方参加的项目进度调度会议，并按照施工合同要求每个项目经理及技术员要每天对供应商施工现场和监理团队工作情况进行全程监控，同时，在工程部和财务部分别建立工程合同台账（都建了吗？），单独设立供应商管理流程，主要包括供应商主文档维护、通过对供应商评价等环节加强对供应商的过程监控。以下措施在实施之中：1公司工程部、技术部和项目部经理及技术员每天按监控流程到岗尽责，预先发现风险警示；2与监理团队密切配合，对供应商原材料的选择进行全程监控；3与管理水平高、信誉好的核心供应商建立长期的意向性合作关系。 13.资源分配不合理的风险2-03-001 资源（指哪些资源？）分配不合理的风险主要为不能通过成本收益分析等手段科学地分配资源、利用资源而导致利润率低于预期值的风险。 风险控制负责人： 郑万春/王红 -马玉玲 公司建立了长期战略，2011年实施了公司第一个五年发展规划，2015年又制定了2016年-2020年五年发展规划。并且在年初制定年度计划与与预算，财务部预算分析岗每季度分析实际发生的经营情况与预算指标相对比，将分析结果上交至管理层。该分析包含了利润指标、核心业务相关指标分析、费用情况分析、主要财务指标以及现金流的分析。公司管理层在必要时召开生产经营分析会以总结阶段性经营成果、审核预算完成情况以及公司年初制定的战略目标的适用性，以从最大限度上实现公司资源的合理分配，使得公司利润值达到或超过公司预计目标。 14.资产管理风险2-03-002 资产管理风险有以下两方面：资产管理维护不当、资产闲置、利用率低、库存周转率低等风险；由于对市场需求、客户需求预测不足而导致销售渠道不畅的风险。风险控制责任人徐晓伟 -文静/马玉玲 公司销售部、财务部会定期（一般为每季度）对公司的物业存量和固定资产进行盘点（固定资产盘点业务归行政事业部），对于盘盈和盘亏的情况会进行分析与报告，盘活存量，以降低资产闲置等风险的发生。 从2014年12月至今，公司销售部制定了规范的销控流程及销控表，为高层决策提供可靠的依据。 现有操作流程和控制活动根据实际需要和内外部环境变化的持续优化。 15.支出效益风险2-03-003 任何一笔支出，包括投资（包括对外投资和项目投资）、资产添置、货物采购、费用及服务支出浪费或达不到最佳收益的风险。 风险控制负责人： 王红 -马玉玲 公司财务部成立了资产运营部（有这个部门吗？），对于每一笔投资的可行性报告进行审批，通过讨论分析投票通过后报董事会审批，以避免投资达不到最佳收益的风险。公司每年年初会根据公司发展要求制定详细的预算，每一笔资产采购，都要按照预算进行相应审批，审批通过才可实际购买（办公设施、车辆和办公用品从来没有预算；项目投资也无法按预算执行）。通过以上公司以及流程层面的控制规避支出效益风险。具体控制描述请见投资流程、预算管理流程、采购流程和固定资产流程等的相应控制描述。从2014年末开始，以上流程的实际操作均已按规定执行。现有操作流程和控制活动根据实际需要和内外部环境变化的持续优化。 部分完成/改进计划属于持续执行性措施 16.流程效率低下及管理不当2-03-004 流程效率低下及管理不当可能导致不能够满足用户的正常需求或带来不必要的运营成本的风险。该风险导致了更高的竞争成本。风险控制负责人：赵文义/刘玉华 -赵后新/贾立臣 公司2014及2015年在合规的基础上，由内审部对公司管理层面控制活动设计以及流程设计进行了全面优化，优化后的流程在一定程度上降低了流程效率低下以及管理不当带来的运营成本增高的风险。优化后的流程已在全公司范围内全面执行。随着传统业务的发展以及新业务的开展，可能仍需要进一步设计新的流程及优化原有流程。结合公司实际运营情况对于已有流程和控制设计进行优化，以在不降低操作效果的前提下提高效率。（需要各职能部门尽快上报所有岗位的职责范围和各类业务的操作流程，以便内审部和各职能部门共同确认现有流程是否合理） 17.策略或规则不完善导致收入流失2-04-001由于企业策略不完善或企业规则设计未及时更新造成的收入流失风险。风险控制负责人： 郑万春/徐晓伟/李强/魏昭 -周祥智/王华/张淑惠 针对每一个项目，完善项目计划书（没有，可研报告就是理论上的项目计划书，但项目执行过程和进度与可研报告有很大差异），制定灵活的对策，将对变化的应对纳入计划之内，有效降低策略或规则在系统设计上的风险。 18.技术原因导致收入失流2-04-002因各种技术和系统不完善，例如没有完善的技术资料保管机制，或没有完善的收入单据送达机制、或财务系统应收模块（好像没有这个模块）的技术不完善所造成的收入流失风险。风险控制负责人： 李强/王红/徐晓伟-周祥智/王丽娟/赵丽-马玉玲/庄淑杰-文静公司工程部、技术部对各项目的各类资料分别立档维护与管理；目前，“用友”财务系统在所有重大方面均可满足信息系统一般控制的要求，按上市公司要求，如系统需要更新将按要求建立；销售部已经建立了系统、规范的流程。 项目管理软件的功能有待完善和加强。 19.流程管理不当导致收入流失2-04-003因流程设计不当或人员未依照流程执行所造成的错误，直接或间接导致收入流失。风险控制负责人：赵文义/刘玉华-周祥智/耿爱丽/马玉玲 内审部会定期对公司业务流程设计和执行情况进行审阅和监督，同时在日常工作中及时发现流程设计欠妥之处，提出相应建议并跟进整改情况。 现有操作流程和控制活动根据实际需要和内外部环境变化的持续优化。 20. 人员和组织架构问题导致收入流失2-04-004由于人员工作不到位或组织架构不合理而可能导致的收入流失。风险控制负责人：徐晓伟（是否包括其他部门主管？）别关旭1建立并落实系统的人员招聘制度，提供适合公司发展要求的人员；开展内部招聘，发动各业务部门负责人的力量，拓展渠道；2制定并发布了绩效考核制度，并按照岗位职责说明书进行考核，要求工作到位；3定期根据公司的发展需要，对组织结构进行调整，未对收入产生严重影响（还有下文？）。 相关制度的定期评估和审阅。部分完成/改进计划属于持续执行性措施 21.招聘规划及管理风险2-05-001公司未能根据部门和岗位的具体要求，预测人才需求和配备件，导致聘用人员不对口或无法满足岗位要求；对于公司的关键职位没有建立并执行接班人计划，影响公司持续稳定的发展等招聘计划和管理带来的关键人才流失风险。风险控制负责人：徐晓伟-别关旭1公司建立并落实了相对系统的招聘制度，每年根据业务发展需要进行人员规划，招聘时根据计划和当时的实际情况搜寻符合需要的候选人；业务部门负责人参加面试评价；2公司高度重视后备人才的培养和激励，并在年度报告和公司发展中长期发展计划等重要文件中强调实施。建立了员工年度绩效考核机制，对优秀的中青年员工给予奖励并及时选拔到领导岗位上来。对后备人才做到选拔、培养与储备并举。3公司对董事和高层人员绩效考核中明确了“抓班子、带队伍”考核内容。正在制定公司后备人才培养具体方案。需要进一步落实的措施是完善和实施后备人才的任用计划及培养制度。 22. 培训不足2-05-005公司各种培训的不足导致公司风险应对速度慢、成本高、错误重复、开发能力不足、业务增长缓慢以及员工士气低落的风险。风险控制负责人：徐晓伟 -别关旭1在招聘时挑选符合岗位技能需要的人员入职；2建立了新员工入职培训制度；3建立了培训管理制度；4各业务部门根据需要进行在岗培训，人力资源部已对公司培训进行了统一的管理，并按季度统计部门员工培训情况，作为部门考核内容。 23. 岗位分析和职业2-05-00人员规划不到位。岗位分析和职业规划不到位可能造成了关键岗位缺人以及员工工作积极性受挫等后果，不利于客户服务水平以及客户满意度的提高。在岗位设置方面，公司未能实现对部门和岗位设置的全面调研、梳理和分析，并进行必要的滚动调整。风险控制负责人：徐晓伟 -别关旭1对各个岗位进行岗位分析，制定岗位说明书并定期更新；2建立公司岗位职级图,细分岗位职级，明确发展规划，明确员工的职业发展途径。（尚未建立） 现有操作流程和控制活动根据实际需要和内外部环境变化的持续优化。 24.不恰当的业绩评价及奖惩体系2-05-004企业不能够制定和使用合适的业绩评价和激励体系以（？）管理经营成果导致的人才流失或消极怠工风险。风险控制负责人：徐晓伟 -别关旭1公司建立了绩效管理制度，并根据不同的工作类型和重点制定了不同的激励办法。2常规的业绩评价每半年进行一次。及时根据公司业务发展调整公司业绩管理制度；平衡公司各部门间业绩考核指标的合理性；加强奖惩制度的系统性。 25.薪酬和福利不合理2-05-005 没有对达到公司预期、适应竞争环境的人员给予合理的补偿和报酬，未能激励人员最大限度地履行工作职责，从而影响公司业务目标和战略的实现。 风险控制负责人： 徐晓伟 -别关旭1建立员工薪酬福利体系，引进人力资源管理软件（暂时没有），让员工及时了解本人的薪酬状况，理解公司的薪酬制度；2每年进行薪酬调查（谁来调查？），保证外部的公平性；3制定工资管理办法和薪酬福利制度，确保内部薪酬管理的有序性；4建立了操作性较强的长期激励制度；5严格按照国家规定参加缴纳社会保险。 现有操作流程和控制活动根据实际需要和内外部环境变化的持续优化。 26.员工不满及流失风险2-05-006由于不能满足员工的期望而导致员工满意度降低，使得公司的核心员工由于内部或外部原因而流失，导致公司付出额外的时间和成本，并有可能导致相关业务中断的风险。风险控制负责人：徐晓伟-别关旭1定期进行员工满意度调查，了解员工期望和对公司改进的建议（现在还搞吗？满不满意又能怎样？）；2各级管理人员及时与员工进行沟通（以记录的形式体现吗？）。1新年度的员工满意度调查之前，对上次员工满意度调查的问题改进状况进行汇总，分析原因；2人力资源部专人（人力资源部设计个岗位？）定期与员工沟通，了解员工状况；3对管理人员进行培训。 27. 行业竞争风险3-01-001未考虑到行业内的剧烈竞争或考虑不足导致的未能做出适当应对，从而可能给企业带来的风险。风险控制负责人：郑万春/李强/魏昭 -周祥智/王华/张淑惠 产业规划信息部从各种途径了解行业内的竞争情况，竞争对手的主要动态，并及时向管理层汇报；对行业新闻以及行业论坛进行监测（以书面报告体现吗？），利用调研公司掌握竞争对手动态，以便遇到突发竞争事件时能在最短时间内有效作出应对。 深度了解竞争对手动态，建立合理的信息情报流向（电子信息还是书面材料？），及时有效的汇报接受反馈，并作出合理应对。 部分完成/改进计划属于持续执行性措施 28.品牌维护不佳风险3-01-002日常运营过程中对于品牌（我们的品牌是什么？“中天”还是“各小区名称”？）的树立以及维护不到位造成的风险。风险控制负责人：李强/徐晓伟-周祥智-耿爱丽/文静/张淑惠 产品设计方面保持每年都有更新进步，保证产品的核心竞争力；关注行业内消息，保持对有害信息和恶意攻击的持续关注（口头报告还是书面材料？）并及时处理；关注行业技术的发展，保持技术领先。 建立应急预案，迅速有效处理有害消息和各方面恶意攻击。 29.市场推广不利风险3-01-003在市场推广的全流程中，对公司形象、企业品牌和产品推广形成负面影响的风险。风险控制负责人：郑万春/徐晓伟 -耿爱丽/文静/张淑惠 参加业内大型活动（展览会、研讨会、评奖），在业内有影响力的媒体投放广告。加强活动和广告的计划策划；建立投放广告评估办法。 30.渠道有效性风险3-01-004 指公司因未深入研究细分用户群特征，或未深入研究新兴渠道等原因而未能选择适当的渠道向用户传递产品和服务的风险。风险控制负责人：徐晓伟 -文静/张淑惠 因公司产品主要是政府保障性住房项目的性质，目前公司销售渠道几乎没有分销渠道。暂无太大的风险，不需要制定改进计划。 31.无法把握客户需求变化风险3-01-005 目前，公司所开发的房地产项目主要客户是政府，还有部分回迁户。政府需要采购的户型及面积是按相关政策规定设计建设的，回迁户的户型及面积也是根据该回迁户的原面积加政策优惠确定的。但企业也要及时了解客户需求变化的要求，打好“提前量”，进一步对客户提供更优质的服务。 风险控制负责人： 李强 -周祥智 -王华/文静 公司已成立对外合作部（有这个部门吗？），专门负责对外合作业务、对客户进行深度的调研分析。随时把握行业发展方向，建立项目经理（再设一个项目经理岗位吗？）负责制，与客户进行广泛交流，了解客户的动态及需求。建立明确的客户变化及需求变化登记机制，对客户需求进行评判，作出规范化的应答。 32.价格风险3-01-06定价不合理，从而使公司开发成本增加，或定价无法达到市场或盈利目标并最终导致亏损的风险。风险控制负责：郑万春/徐晓伟 要积极主动与政府相关部门、单位保持密切联系，对建筑市场原材料波动情况及时与政府沟通，准确测算好开发成本，确定较合理的供给价格。 33.客户服务质量不佳风险3-01-007公司客户服务质量未达到客户期望而导致的客户满意度下降的风险。风险控制负责人：郑万春/徐晓伟-文静一是要与政府采购部门保持沟通渠道的畅通；二是高度重视对回迁户反映的信息收集与反馈，建立投诉渠道（原来归物业负责，现在呢？）及负责人制度。对每一栋交工入住楼号都要进行一次业主满意度调查。发现问题，及时改进。确保为客户提供最优质的服务。 34.创新不足3-02-001公司没有通过制度的硬性保证激励公司员工的创新观念和创新沟通渠道的畅通，导致创新不足，进而影响企业竞争力，给公司发展带来损失的风险。风险控制负责人：李强-周祥智1加强与外部规划设计单位或实体的交流合作，吸纳新的思路。2实施“走出去战略”，寻求更有利的房地产开发项目。3加大对创新人员的考核力度。对有突出贡献人员继续实施给予重奖的措施。 35.数据安全及用户4-01-001 帐号管理风险。由于数据备份管理以及用户账号管理的不完善导致的信息系统安全风险。 风险控制负责人： 徐晓伟 -耿爱丽/王丽娟/赵丽/庄淑杰1建立备份措施，通过双机的数据库备份（有专人进行操作）；2通过建立涉及到与财务相关的重要数据的文件服务器（财务部重要的电子表格）（是财务软件吗？），针对关键数据进行统一的权限和备份控制；3公司网管员在域控内启动了强制密码策略（大小写、八位以上、字母数字组合的复杂性要求）。现有操作流程和控制活动根据实际需要和内外部环境变化的持续优化。部分完成/改进计划属于持续执行性措施。 36.网络及系统安全4-01-002管理风险 由于信息系统权限的不恰当、系统安全管理漏洞、系统监控管理及防病毒设置等等的不完善导致的网络及系统安全管理风险。风险控制负责人：徐晓伟-耿爱丽/王丽娟/赵丽/庄淑杰1公司网管员设置了网络防火墙；2要求每台计算机安装防病毒软件；3配备了专用机房放置关键网络设备和服务器；4公司内审部、外审师德勤每年对于ITGC/AC(风险控制矩阵)进行SOX404（内部控制的管理评估【美国萨班斯法案】）合规审计（要做矩阵吗？执行萨班斯法案吗？）；5为应对公司内外部审计的要求，公司已经建立起了一套涵盖流程控制、权限审批、系统备份等一系列安全防护流程的措施。 现有操作流程和控制活动根据实际需要和内外部环境变化的持续优化。 37.信息系统（包括哪些？）无法使用的风险4-02-001 由于系统的运行错误、过载、灾害性损失、系统转换过程的不当等原因造成的信息无法取得或业务无法执行的风险。风险控制负责人：徐晓伟/王红-耿爱丽/马玉玲依据公司信息系统发展需要以及内外部审计要求，对包括用友、网上报销等系统在内的数据库的备份作业，并建立相应的数据库恢复测试流程。1组织对各信息系统的可恢复性进行评估，分析系统恢复时间长短对业务的影响程度；2对部分缺乏维护能力的信息系统实行外包，交专业第三方管理 部分完成/改进计划属于持续执行性措施 38.信息系统不可靠的风险4-03-003信息系统产生的信息在完整性、准确性、相关性及合理授权等方面不符合实际发生的业务，或者依赖信息系统执行的业务活动出现错误，从而导致信息错报或漏报、信息资产损失的风险。风险控制负责人：徐晓伟 -耿爱丽 对包括用友、网上报销等系统在内的数据库的定期备份，并建立相应的数据库恢复测试流程（什么时候建立？）。并通过光盘存储异地备份。加强系统数据的维护，保证数据的安全有效使用。1组织对各信息系统的可靠性进行评估，分析系统可靠性对业务的影响程度；2加强对信息系统的维护，提前发现并排除潜在故障点。 39.信息系统规划不足的风险4-04-001 信息系统的规划没有充分考虑当前及将来的业务发展需要。 风险控制负责人： 徐晓伟 -耿爱丽1各职能部门根据自己需求提出信息系统要求，由公司网管员进行系统选型或建设；2公司网管员通过岗位职责说明书说来界定内部的岗位职责，负责相对的职能职责任务。针对各自负责的系统进行定期的检查，及时发现问题，处理问题，维护系统的稳定。1定期收集各部门对信息系统的需求，排定优先级；2定期对信息系统运行情况进行审核，以便及时发现缺陷。 改进计划在实施过程中（什么意思？）。 40.信息系统设计、开发和实施的风险4-4-002由于信息系统设计、开发和实施的问题导致的信息系统基础设施不完善。风险控制负责人：徐晓伟 -耿爱丽 各职能部门根据自己需求提出信息系统要求，公司委派网管员进行系统选型或建设；1加强信息系统建设人员的能力，必要时引入专业第三方机构；2加强信息系统建设目标和完成后成果审核；3定期对在运行系统对业务的影响进行测试。 部分完成/改进计划属于持续执行性措施 41.网络维护不当风险4-04-003对计算机、机房及网络运行维护不当造成运行效率低下或中断导致的信息系统基础设施不完善。风险控制负责人：徐晓伟 -耿爱丽 按照相关的系统表单的审批、记录等措施，做到系统的安全维护。关键系统的恢复策略和措施的制定有待进一步的测试和验证。对关键信息系统在维护前要求制定恢复策略和准备恢复措施。 改进计划在实施过程中。 42. 软硬件设施不足风险4-04-004由于软硬件设施不足给公司带来的信息系统基础设施不完善。风险控制负责人：徐晓伟 -耿爱丽 各部门在制定年度采购预算时充分考虑年度内的软硬件设施规划。1加强需求收集过程；2对需求过程进行考核。 部分完成/改进计划属于持续执行性措施 43.职务侵占5-01-001 职务侵占，即利用职务之便，利用职务范围内的权力所形成的经手、管理所在单位财物的便利条件，侵吞、窃取、骗取或者以其他手段非法占有所在单位的财物的行为。 风险控制负责人： 魏昭 -赵文义1公司已制定员工行为规范以及反舞弊制度，规范和引导员工行为；2公司已制定相关的财务管理制度，通过权限分离避免发生职务侵占等舞弊行为；3公司已经建立舞弊制度和举报机制，并确保各举报渠道的畅通。由独立部门-内审部作为举报受理、调查并且向审计委员会汇报结果的执行部门。公司通过宣传等方式鼓励员工对职务侵占等舞弊行为进行举报。1加强各项规范和管理办法的定期审核；2优化和规范舞弊受理、调查的方法和流程。 部分完成/改进计划属于持续执行性措施 44.商业贿赂5-02-001是指经营者为销售或者购买商品而采用财物或者其他手段(其他手段是指提供国内外各种名义的旅游、考察等给付财务以外的其他利益的手段)贿赂对方单位或者个人的行为（为获得服务或审批而采取这种方法大范围存在、长期存在）。风险控制负责人：魏昭 -赵文义1公司已制定员工行为规范以及反舞弊制度，规范和引导员工行为；（与第43项重复）2公司已制定相关的财务管理制度，通过权限分离避免发生商业贿赂等舞弊行为；3公司已经建立舞弊制度和举报机制，并确保各举报渠道的畅通。由独立部门-内审部作为举报受理、调查并且向审计委员会汇报结果的执行部门。公司通过宣传等方式鼓励员工对职务侵占等舞弊行为进行举报，设立了举报渠道和举报电话；（与第43项重复）1加强各项规范和管理办法的定期审核；2公司已制定员工行为规范以及反舞弊制度，规范和引导员工行为；2公司已制定相关的财务管理制度，通过权限分离避免发生贿赂等舞弊行为；3公司已经建立舞弊制度和举报机制，并确保各举报渠道的畅通。由独立部门-内审部作为举报受理、调查并且向审计委员会汇报结果的执行部门。公司通过宣传等方式鼓励员工对职务侵占等舞弊行为进行举报。 现有操作流程和控制活动根据实际需要和内外部环境变化的持续优化。 部分完成/改进计划属于持续执行性措施 46. 挪用5-03-001 指利用职务之便，即利用职务范围内的权力和地位所形成的经手、管理所在单位财物的便利条件，将企业资产使用在非公务用途上，并从中受益的行为。风险控制负责人：魏昭-赵文义1公司已制定员工行为规范以及反舞弊制度，规范和引导员工行为；2公司已制定相关的财务管理制度，通过权限分离避免发生挪用等舞弊行为；3公司已经建立舞弊制度和举报机制，并确保各举报渠道的畅通。由独立部门-内审部作为举报受理、调查并且向审计委员会汇报结果的执行部门。公司通过宣传等方式鼓励员工对职务侵占等舞弊行为进行举报。 现有操作流程和控制活动根据实际需要和内外部环境变化的持续优化。 部分完成/改进计划属于持续执行性措施47.渎职及重大失职5-04-001 渎职及重大失职指滥用职权、玩忽职守或其他不应有的过失，致使企业财产、利益、形象遭受重大损失。风险控制负责人：魏昭-赵文义1通过制定岗位说明书，明确各级岗位职责；2公司已经建立反舞弊制度和举报机制，并确保各举报渠道的畅通。由独立部门-内审部作为举报受理、调查并且向审计委员会汇报结果的执行部门。1在业绩管理体系中建立监督反馈机制，及时发现失职和渎职的情况；2规定渎职的处罚程序和办法（一直没有规定）。改进计划在实施过程中。 48.越权或违规决策5-05-001 指企业管理人员在决定重大事项时，违反既定的决策程序进行决策、或者逾越职权范围做出决策、或者做出违规违法决策的行为。风险控制负责人：魏昭赵文义 1通过制定岗位说明书，明确各级岗位职责；2公司已经建立反舞弊制度和举报机制，并确保各举报渠道的畅通。由独立部门-内审部作为举报受理、调查并且向审计委员会汇报结果的执行部门。完整的监督机制可在一定程度上避免发生越权和违规的可能。 现有操作流程和控制活动根据实际需要和内外部环境变化的持续优化。 部分完成/改进计划属于持续执行性措施 49.舞弊操作5-06-001 与广义的舞弊不同，舞弊操作的含义是指公司内部人员，以隐蔽手段，故意做出违法违规及损害公司利益的行为，以期获取不正当利益或达到不正当愿望。例如财务报告舞弊操作、公司统计信息舞弊操作等。这里的舞弊操作是指不会直接影响到会计报表的数据或披露内容（统计信息舞弊不影响吗？）但仍属于财务工作范畴的舞弊行为。（注：影响财务报告的舞弊风险属财务报告风险类别）。 风险控制负责人： 魏昭 -赵文义1在岗位职责设计时，做到权限分离；2公司已制定员工行为规范以及反舞弊制度，规范和引导员工行为；3公司已制定相关的财务管理制度，通过权限分离避免发生挪用等舞弊行为；4公司已经建立舞弊制度和举报机制，并确保各举报渠道的畅通。由独立部门-内审部作为举报受理、调查并且向审计委员会汇报结果的执行部门。公司通过宣传等方式鼓励员工对职务侵占等舞弊行为进行举报。 现有操作流程和控制活动根据实际需要和内外部环境变化的持续优化。 部分完成/改进计划属于持续执行性措施50.违规风险违反法律法规导致的风险6-01-001风险控制负责人：魏昭-赵文义-法务律师公司于2010年聘请了由具有相应律师资格的法务人员组成法务顾问，总体负责公司法律相关事务。重大的可能涉及法律事务的决策均须咨询法务律师，必要时可能会咨询外部法律顾问。公司合同审批和签署、合同管理和公章管理流程已于2011年起实施。合同管理由专门的合同管理专员进行，并通过培训确保其胜任性。降低了由于合同签订不符合相关法律法规规定的风险。明确信息收集渠道，收集所有与公司产品和业务相关的法律、法规、政策（谁来收集？）。定期进行汇报和沟通。 改进计划在实施过程中，尚未完成 51.违约风险6-01-002合同当事人违反合同约定，不履行或不适当履行义务导致的风险。风险控制负责人：魏昭-赵文义-法务律师 公司于2010年已经聘请了具有相应律师资格的法务人员，总体负责公司法律相关事务。重大的可能涉及法律事务的决策均须咨询法务律师，必要时可能会咨询外部法律顾问。公司合同审批和签署、合同管理和公章管理流程已于2011年起实施，实现合同的模板式管理。合同管理由专门的合同管理专员进行，并通过培训确保其胜任性。对于赊销，公司建立信用管理制度对客户进行信用评级（从未进行过信用评级），该制度由相关部门定期审阅。超出赊销限制的赊销需要经相应层级的管理者审批。在一定程度上降低了客户不履行付款责任而给公司带来经济损失的风险。 现有操作流程和控制活动根据实际需要和内外部环境变化的持续优化。 部分完成/改进计划属于持续执行性措施 51.怠于行使权力风险6-01-003未及时或未适当行使法定权利或约定权利导致的风险。风险控制负责人：魏昭-赵文义 因公司现有产品市场为买方市场，故多为友好协商解决模式。 由内审部和法务律师对于需要行权的事件和行为给以必要合理的建议和监督。 部分完成/改进计划属于持续执行性措施 52.行为不当风险6-01-004基于法律原因，其行为可能会给公司带来负面后果导致的风险。例如商业秘密保护不当，客户服务不当。风险控制负责人：徐晓伟-耿爱丽/别关旭-法务律师 通过保密协议以及合同审批流程加强相应控制，降低行为不当风险发生的可能。由法务律师对于可能涉及到行为不当的事件和行为给予必要合理的建议和监督。 改进计划在实施过程中 53.合规风险6-02-001 企业的经营成果不能得到相关监管部门合规要求的风险，例如不能通过萨班斯-奥克斯利(SOX)404法案给企业带来潜在损失的合规风险。（执行萨班斯法案吗？）风险控制负责人：慈昕 - 赵文义/刘玉华/赵后新/贾立臣 公司各部门严格按照相关监管部门的规定，按时达到各项要求，积极配合相关监管部门的工作，将所要求事项全面贯彻落实到各相关部门，具体至相关责任人。 公司内审部对于公司各方面业务操作的实际情况进行监督和检查，对于尚需改进的领域提出管理建议并且跟进整改，以降低合规风险。（各职能部门尽快上报所有岗位职责范围和各类业务流程） 现有操作流程和控制活动根据实际需要和内外部环境变化的持续优化。 部分完成/改进计划属于持续执行性措施 54.知识产权风险6-03-001 伴随信息社会和知识经济到来，知识产权已逐渐成为企业核心竞争力，由于激烈的竞争市场，有可能出现侵权、盗版等行为，这样无论从财务状况和企业声誉都会给企业带来灾害性的影响。 风险控制负责人：徐晓伟/李强-耿爱丽/赵丽1自主开发设计的产品根据部门提交情况进行申请和维护管理工作。定期整理知识产权汇总表上交公司行政部和技术部；2在产品设计和日常办公活动中所使用到的工具和软件的知识产权，由行政部（以前都是各业务部门自行联系，不知是否正版）统一购买正版软件使用，并且在公司内部进行宣传。3商标按公司要求申请进行保护。与市场、销售部门保持联系，随时了解本公司产品产权事宜。4对于专利、软件产品申请及商标使用已形成固定模板及流程，凡使用商标的部门需写明商标使用用途，经由行政部审核无误后方可使用。 在原有专利、软件申请的实施过程中，加强与技术部门沟通，在提交申请前进行知识产权分析。 部分完成/改进计划属于持续执行性措施 55.金融市场风险7-01-001公司投资方向主要是对政府保障性住房建设的投资，金融市场的波动不会对其造成太大的影响；虽然在特定时间段政府采购也存在回款不及时的情况，但这属于特殊情况，对公司正常运营不会带来太大的影响。其他回迁户和部分购房者的回款都是按双方签订的合同执行。风险控制负责人：王红/徐晓伟/魏昭-马玉玲/文静 公司已制订了相应的长短期投资流程以及资金管理流程，资金部（财务部？）定期对货币资金的使用进行分析并且提交管理层审阅。 现有操作流程和控制活动根据实际需要和内外部环境变化的持续优化。 部分完成/改进计划属于持续执行性措施 56.流动性风险7-01-002 1.现金流量不足的风险：公司在2014年融资1500万元，截止目前，公司资金短期内几乎不存在现金流量不足的风险（严重不足）； 2.机会成本风险：公司大量的资金如果不能妥善使用，将造成潜在机会成本的损失风险控制负责人：王红/魏昭-马玉玲 公司已制订了相应的长短期投资流程以及资金管理流程，资金部（财务部）定期对货币资金的使用进行分析并且提交管理层审阅。 为保证公司资金的使用效率，公司新成立了产业规划信息部，同时公司财务管理部也专门成立了资产运营部（？），从投资项目的授权和审批、投资项目管理以及投资项目的处置等各子流程层面平衡投资项目的风险和收益，保证投资项目的有效运作。流程已进入有效实施阶段（开始了吗？）。 现有操作流程和控制活动根据实际需要和内外部环境变化的持续优化。 部分完成/改进计划属于持续执行性措施 57.信用风险7-01-003 信用风险为合同一方履行了合同的义务，但是却不能得到合同另一方应该提供的对价的风险。公司面对的主要信用风险为来自供应商的不履约风险（未能及时交付开发产品而面临诉讼和索赔呢？）。 风险控制负责人： 郑万春/李强-周祥智-法务律师 对于来自客户的信用风险：公