NC文档质量管理体系-全面风险管理-2012-5-18.docx

构建幸福企业 创新改变未来NC文档质量管理体系-V6产品手册编写要求与规范V6产品手册（企业治理-全面风险管理）导读此手册面向实施顾问以及企业关键用户，旨在为实施规划、解决方案制定和落实提供指导。手册围绕产品能够解决的主要业务场景展开，并以此为依托展现产品的关键应用功能，提供客户业务需求如何与产品功能相匹配的思路。本手册包括四大部分，第一部分是对产品及其价值的概要介绍；第二部分是对有关XXXX的主要业务场景、流程、以及对应的产品功能的介绍；第三部分介绍了XXXX启用前的初始准备设置；第四部分列举出关于XXXX产品的功能点的重要操作，此部分未就详细条目展开，详情可查阅产品相关模块的在线帮助说明。此外，为了便于用户对整体内容加深理解，手册中对一些关键的名词进行了解释，并在附录进行了汇总，列示为XXXX、XXXX、与XXXX，以便用户查找对照。为突出重点，本手册定位于方案性说明，仅对产品操作中的重要控制点有所描述。若读者希望深入了解特定板块的产品应用，可结合本手册，查阅如下资料：1.组织建模手册-深入阐述了产品关键概念（如集团、组织、业务委托关系等）以及建模思路，是实施规划、蓝图设计的重要参考资料。2.产品帮助-针对具体功能点的关键字段、按钮操作进行详细解释，并提供关键应用示例。3.流程平台手册-提供关于交易类型、流程设计工具的应用指导。4.基础数据手册-可对手册第三部分（即初始准备设置）中的有关基础数据的理解和应用进行更详细深入地了解。名词解释 全面风险管理：全面风险管理指企业围绕总体经营目标，通过在企业的各个环节和业务过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。风险识别（risk identification）：指在风险事故发生之前，人们运用各种方法系统的、连续的认识所面临的各种风险以及分析风险事故发生的潜在原因。风险评估（Risk Assessment）：指在风险事件发生之前或之后，该事件给人们生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。固有风险（Inherent Risk）：指在不考虑内部控制结构的前提下，由于内部因素和客观环境的影响，企业的账户、交易类别和整体财务报表发生重大错误的可能性。风险应对（Risk Response）：是指在确定了决策的主体经营活动中存在的风险，并分析出风险概率及其风险影响程度的基础上，根据风险性质和决策主体对风险的承受能力而制定的回避、承受、降低或者分担风险等相应防范计划。风险控制矩阵（Risk and Control Matrix）：就是将流程中所涉及的风险和对应的内部控制进行汇总，以发现控制缺陷的一种矩阵表格。剩余风险（Residual risks）：是指那些运用了所有的控制和风险管理技术以后而留下来，未被管理的风险，即：未被企业有效控制的经营风险(含战略风险和流程风险)的风险。一 概述1.1 产品概述全面风险管理产品是围绕企业总体经营目标，支持在企业的各个环节和业务过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系。全面风险管理通过配置风险识别模板、风险评估模板和突发生大风险事件快报模板，执行自下而上的风险收集、风险评估、风险应对、重大风险管理，识别出企业中存在的各项风险，对风险进行评估排序，对重大风险制定风险应对方案，将风险控制在可以接受的水平内。图1.1-1 产品功能架构图企业治理分为内控手册管理、全面风险管理、风险控制评价、IT控制监控及报告四大领域的解决方案，通过支持企业风险管理的全流程应用、支持内部控制体系建设及文档管理、流程控制监控及报告、信息系统安全控制监控及报告、风险控制评价与改进，帮助企业构建全面风险管理体系及内部控制管理体系，并进行持续改进、完善。图1.1-2企业治理产品架构图1.2 产品价值全面风险管理围绕企业总体经营目标，通过在企业的各个环节和业务过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，为实现风险管理的总体目标提供合理保证的过程和方法。 规范企业风险识别模板、风险评估模板和突发重大风险事件快报模板； 帮助企业按年定期或年内不定期的多次开展风险识别和风险评估工作； 支持风险识别、风险评估工作的审批流程，规范企业风险识别、评估工作； 对风险的固有风险评估记录多人打分的结果，并根据规则自动生成企业的最终打分结果，促进评估打分工作的公正性，减少打分结果计算工作； 企业可以通过风险控制矩阵，清晰了解重大风险点的控制点情况、控制相关政策以及控制负责人、实施时间等具体控制措施情况； 支持针对突发重大风险事件的上报、评估和应对工作的一体化快速展开，及时相应； 系统自动生成各种图形报告，包括自动生成风险管理组织及角色关系图、风险分类和风险点的排序图以及风险分类和风险点的评估热图，提供管理者全面风险管理信息二 应用场景2.1风险信息收集与管理. 业务描述每个风险收集的周期开始，集团总部制定统一的风险识别问卷，并将问卷下发给各集团，要求各集团再去下属公司收集各自的风险信息，以便集团总部汇总管理全集团的各种风险。. 业务流程. 功能清单领域产品模块功能节点全面风险管理风险信息收集与管理风险识别问卷下发风险识别风险信息审核风险信息上报风险信息审批. 产品解决方案1）风险识别问卷下发风险识别问卷下发为逐级下发模式，下发流程为：全局下发到集团-集团下发给业务单元-业务单元下发给各业务部门。上级可收回下发的风险识别问卷，上级收回再次下发时，下级需再次执行下发。在下发过程中，由集团总部确认本次风险收集工作涉及的业务领域和业务流程范围。 全局下发到集团时，集团总部风险管理部人员登录NC系统，进入【企业治理】【风险管理】【风险信息收集与管理】【风险识别问卷下发-全局】，新增问卷目录。图2.1-1 创建问卷目录 集团风险管理部人员将风险识别问卷模板下发给下级集团。图2.1-1-1 集团总部选择下发的风险问卷图2.1-1-2 集团总部向下级集团下发风险问卷 集团下发给业务单元时，下级集团风险管理员登录NC系统，进入【企业治理】【风险管理】【风险信息收集与管理】【风险识别问卷下发-集团】将上级集团下发的风险识别问卷下发给下级业务单元。图2.1-3 集团向业务单元下发问卷 业务单元下发给业务部门时，业务单元风险管理员登录NC系统，进入【企业治理】【风险管理】【风险信息收集与管理】【风险识别问卷下发-业务】将上级集团下发的风险识别问卷下发给各业务部门。图2.1-4 业务单元向部门下发风险识别问卷2）风险识别风险识别就是风险信息采集的过程，各业务单元的业务部门根据自身业务识别出各种风险点，再由业务单元风险管理员对业务单元总体的风险信息整理汇总，最后形成完整的业务单元风险识别问卷。风险识别流程为部门填写风险识别问卷-审批-汇总调整形成业务单元风险识别问卷-审批。当某些风险属于多个公司的公共风险时，可设置、使用和查看公共风险信息。 部门风险管理员登录NC系统，进入【企业治理】【风险管理】【风险信息收集与管理】【风险识别】，填写风险识别问卷信息。 部门风险管理员填写完成风险识别问卷后向业务单元提交识别的风险信息。 部门经理登录NC系统，进入【企业治理】【风险管理】【风险信息收集与管理】【风险识别】审批部门风险管理员提交的风险识别信息。 业务单元风险管理员登录NC系统，进入【企业治理】【风险管理】【风险信息收集与管理】【风险信息审核】，整理业务单元风险识别信息，提交给业务单元领导审批。业务单元风险管理员可将风险识别问卷打回部门重填，也可对部门已提交的风险识别信息进行新增、修改、删除等调整，形成业务单元的综合风险识别信息。 业务单元领导登录NC系统，进入【企业治理】【风险管理】【风险信息收集与管理】【风险信息审核】，审批业务单元风险管理员提交的风险识别信息。3）风险识别信息上报业务单元风险管理员登录NC系统，进入【企业治理】【风险管理】【风险信息收集与管理】【风险信息上报】，将业务单元的风险识别信息上报给上级集团。4）风险信息审批集团总部对于各集团上报的综合问卷进行审批，完成风险信息收集工作。集团风险管理员登录NC系统，进入【企业治理】【风险管理】【风险信息收集与管理】【风险信息审批】，审批下级集团和业务单元上报的风险识别信息。2.2公共风险识别. 业务描述识别出属于多个业务单元或集团的公共风险。. 业务流程公共风险识别流程与普通风险收集与管理流程相同。. 功能清单领域产品模块功能节点全面风险管理风险信息收集与管理风险识别问卷下发风险识别风险信息审核风险信息上报风险信息审批. 产品解决方案1） 设置公共风险各级风险管理员在风险识别时，在在浏览态将识别出的风险设置为多个业务单元的公共风险。图2.2-1 公共风险涉及单位选择2） 将公共风险加入本业务单元风险信息中各级风险管理员在风险识别时，可以查看来自其他公司的公共风险，在编辑态可将来自其他公司的公司风险复制加入到本业务单元风险识别信息中。图2.2-2 查看来自其他公司的公共风险2.3风险评估. 业务描述针对现存的风险进行有效的评估，从风险发生可能性和影响程度两个方面量化风险的固有水平，从而正确识别出重大的风险，为将来应对风险提供数据依据。. 业务流程. 功能清单领域产品模块功能节点全面风险管理风险分析与评价固有风险评估评估结果综合查询评审结果审核评审结果上报评估结果审批风险点排序报告风险分类排序报告风险点评估热图风险分类评估热图确认重大风险. 产品解决方案1） 业务单元固有风险评估业务单元各部门评估人登录NC系统，进入【企业治理】【风险管理】【风险分析与评价】【固有风险评估-业务单元】，对业务单元风险管理员识别出的风险信息进行评估打分。在业务单元评估打分过程中，可多人对同一风险出具打分结果，系统根据评估结果确认规则生成最终的业务单元评估打分结果。风险评估过程可设置审批流程，对评估人的打分进行审批。图2.3-1 固有风险打分2） 评估结果审核业务单元领导登录NC系统，进入【企业治理】【风险管理】【风险分析与评价】【评估结果审核】，对业务单元的评估结果进行审批。3） 评估结果上报业务单元风险管理员登录NC系统，进入【企业治理】【风险管理】【风险分析与评价】【评估结果上报】，将业务单元的最终评估结果上报给集团总部。4） 集团固有风险评估当集团总部对业务单元出具的固有风险水平不认同时，业务单元和全局针对同一风险可分别打分。集团总部风险管理员登录NC系统，进入【企业治理】【风险管理】【风险分析与评价】【固有风险评估-全局】，对下级业务单元上报的风险评估结果进行集团打分。业务单元的评分显示业务单元的最终评估结果，集团不能修改；集团可在集团固有风险评估处填写集团的打分结果。图2.3-3 集团固有风险评估5） 评估结果审批集团总部领导登录NC系统，进入【企业治理】【风险管理】【风险分析与评价】【评估结果审批】，对评估结果进行审批，确认评估工作的完成。6） 确认重大风险集团总部风险管理员登录NC系统，进入【企业治理】【风险管理】【风险分析与评价】【确认重大风险】，设置重大风险。图2.3-4 确认重大风险2.4风险应对. 业务描述针对风险识别和风险评估阶段确认的重大风险制定相应的应对措施，使风险发生的可能性或者影响程度能够尽可能的降低甚至化解，从而保证企业的经营能够顺利进行。. 业务流程. 功能清单领域产品模块功能节点全面风险管理风险应对方案制定应对方案剩余风险评估重大风险指标认定. 产品解决方案1）制定应对方案当集团总部制定内部控制手册后，系统支持针对风险对应的控制点制定应对措施。风险管理员登录NC系统，进入【企业治理】【风险管理】【风险应对方案】【制定应对方案】，对确认为重大风险的风险制定应对方案。图2.4-1 制定风险应对方案当应对措施制定完成，系统支持生成风险控制矩阵，用以查看风险总体的控制内容。2）剩余风险评估风险管理员登录NC系统，进入【企业治理】【风险管理】【风险应对方案】【剩余风险评估】，对确认为重大风险实施应对方案后的剩余风险进行评估。图2.4-2 剩余风险评估3）重大风险指标认定风险管理员登录NC系统，进入【企业治理】【风险管理】【风险应对方案】【重大风险指标认定】，设置重大风险指标。图2.4-3重大风险指标认定2.5突发重大风险管理. 业务描述识别企业内外突然发生的事件对企业经营管理带来的风险，上报给集团总部，并及时进行风险评估和应对。. 业务流程. 功能清单领域产品模块功能节点全面风险管理突发重大风险管理突发重大风险填报. 产品解决方案1）突发重大风险填报企业突然发生的重大风险事件时，风险管理员登录NC系统，进入【企业治理】【风险管理】【突发重大风险管理】【突发重大风险填报】，填写发现的突发重大事件及给企业带来的风险，并上报给集团总部。图2.5-1 突发重大风险填报风险管理人员在识别出突发重大风险时，即可对突发的重大风险进行评估打分和制定应对措施，以及时应对和管理突发的重大风险。三 初始准备3.1 基础设置3.1.1 风险相关分类3.1.1.1风险分类在全面风险管理工作中，风险识别问卷的填写会涉及到与风险相关的各种分类，利用这些分类对识别出来的风险从各种角度去统计、分析和评价，确认重大风险，从而能够及时规避风险的发生。对于各种不同的风险，企业会进行风险分类的归类划分，系统支持对风险分类进行统一的维护。系统预置风险分类：风险一级分类风险二级分类风险一级分类风险二级分类01 战略风险0101战略规划制定风险02 市场风险0201利率风险0102政策风险0202汇率风险0103投资决策风险0203供应物资价格风险0104并购风险0204信用风险0105竞争对手风险03 财务风险0301融资管理风险04 运营风险0401生产管理风险0302投资管理风险0402销售风险0303税务风险0403人力资源风险0304金融工具风险0404物资供应风险05 法律风险0501合同违约风险0502违规风险0503侵权风险如图3.1-1所示。用户可新增/修改多级风险分类，在进行风险识别、评估、应对时可引用。图3.1.1.1-1 风险分类3.1.1.2风险成因分类企业经营过程中产生的风险总是有各自的形成原因，对于不同风险通过成因分类划分，能够更明确地了解形成风险的各种原因，从而能够更有针对性地找到控制风险的有效解决方案。系统支持对风险成因分类进行统一的维护。系统预置战略、人员、策略、政策、流程、程序、外部事件七种风险成因分类，分别占用001、002、003、004、005、006、007编码，如图3.1-1所示，用户可新增/修改多级风险成因分类，在进行风险识别、评估、应对时可引用。图3.1.1.2-1 风险成因分类3.1.1.3风险影响分类企业经营活动中形成的风险会对企业造成各种各样的影响，所以对风险影响进行有效的分类划分，有助于企业对不同的风险影响分类设定不同的评估标准，便于企业对风险做出正确的分析和评价。系统支持对风险影响分类进行统一的维护。系统预置战略、财务、运营、安全、合规、环境、声誉七种风险影响分类，分别占用001、002、003、004、005、006、007编码，如图3.1-1所示，用户可新增/修改多级风险影响分类，在进行风险识别、评估、应对时可引用。图3.1.1.3-1 风险影响分类3.1.2 风险相关指标在风险管理工作中，需要确定衡量风险的一些量化指标，作为评价风险水平高低的一种尺度。3.1.2.1风险指标风险指标是根据风险成因确定的一些量化指标，支持按照风险成因分类设置风险指标。图3.1.2.1-1风险指标3.1.2.2风险影响指标风险影响指标是根据风险影响确定的一些量化指标，支持按照风险影响分类设置风险影响指标。图3.1.2.2-1风险影响指标3.1.3 流程管理3.1.3.1主要业务管理领域企业中的各种经营管理活动表现为企业的各种业务流程，而对于一个庞大的企业集团来说，企业的各种业务流程众多，为了让繁多复杂的业务流程能够使用户一目了然，系统提供主要业务管理领域档案维护功能，便于用户将现有业务流程分门别类进行整理归集，使业务流程信息条理清楚的展现给用户。系统预置生产、销售、工程管理、人力资源管理、信息系统支持、法律、物资采购、财务管理八种主要业务管理领域，分别占用01、02、03、04、05、06、07、08编码，如图3.1.3.1-1所示.。主要业务管理领域主要在制定风险识别问卷和建立业务流程中应用。图3.1.3.1-1 主要业务管理领域3.1.3.2业务流程企业中的各种经营管理活动主要表现为企业的各种业务流程，企业的各层级岗位和人员的操作权限因此也与业务流程紧密相关。业务流程是企业的某种业务链条的具体体现，比如原油采购业务流程，产品销售业务流程等。业务流程档案是企业治理产品独立创建和使用的基本档案，依照主要业务管理领域对企业的各种业务流程进行梳理形成各种业务流程的档案信息，为后续的内部控制工作提供业务支撑。业务流程主要在制定风险识别问卷、建立内控手册以及建立流程环节中应用。图3.1.3.2-1 业务流程业务流程支持设置跨组织信息，为不相容互斥职责确定互斥稽核的组织范围。3.2风险识别问卷模板在风险收集工作之初，需要先由总部风险管理部统一制定风险调研问卷的样式，然后向各子集团和业务单元下发，并要求各子集团和业务单元按照风险调研问卷的规范提交风险识别信息，便于集团总部风险管理部对整个集团的风险进行统一的管理。在全面风险管理产品中，支持集团总部设置风险识别问卷模板，并支持模板的版本管理。系统预置的风险识别问卷如图3.2-1所示。图3.2-1 风险识别问卷3.3风险评估模板对于风险评估的项目和内容，集团会制定适合风险评估的模板，模板中包括针对风险进行评估的事项，而无需每次评估工作都要重新制定评估表格，以提高风险评估工作的效率。在全面风险管理产品中，支持对风险评估模板进行统一的维护和管理。系统预置的风险评估模板如图3.3-1所示。3.3-1风险评估模板3.4风险识别周期设定对于企业集团的风险管理部门来说，风险的收集工作是需要定期进行的，风险收集的过程有一定周期性，系统支持用户设定风险识别工作的周期来区别每个风险收集的过程。全面风险管理产品支持按年度，按收集频率设置风险识别周期，如图3.4-1所示。图3.4-1 风险识别周期3.5风险评估标准对收集的风险进行评估打分，对于风险所获得的分值都是依据一定的标准得出的结果。在全面风险管理产品中，企业风险评估支持两个标准的设置，分别是：风险发生可能性、风险影响程度。3.5.1风险发生可能性评估标准在全面风险管理产品中，支持对风险评估固有风险发生可能性的评估标准进行维护和管理。用户根据规定和要求，按周期分别设置风险发生可能性的评估指标。风险发生可能性的评估指标将于固定风险评估时，评估打分使用。系统预置风险发生可能性评估指标如图3.5.1-1所示，用户可逐行新增、修改和删除。为避免风险热图中数值发生错误，要求风险发生可能性的分值不允许重复设置。如图3.5.1-1风险发生可能性评估指标3.5.2风险影响程度估计标准在全面风险管理产品中，支持对风险评估固有风险影响程度的评估标准进行维护和管理。用户根据规定和要求，按周期分别设置风险影响程度的评估指标。风险影响程度的评估指标将于固定风险评估时，评估打分使用。分别进行评估标准等级和分值的设置，可执行逐行新增、修改和删除操作。评估分值设置如图3.5.2-1所示，系统预置的风险影响评估指标如图3.5.2-2所示。图3.5.2-1 风险影响程度分值设置图3.5.2-2风险影响程度评估指标3.7风险评估分值设置在企业的风险评估工作中，需要对收集的风险进行评估打分，以对风险进行量化计算。风险评估分值是在风险评估标准的基础上细化分数值，设定一个打分范围，给风险一个较精确的量化分数。在全面风险管理产品中，支持对风险评估分值进行统一的维护和管理。风险评估分值设置按公司发生可能性、集团发生可能性、公司影响程度、集团影响程度四个方面分别设置。如图3.7-1所示。图3.7-1风险评估分值设置按周期设置分值时，每一个评估周期和次数均设置一套评估分值。系统支持将其他周期和次数的风险评估分值引用到当前周期和次数。3.8公司评估结果确认规则在企业的风险评估工作中，各公司在对其各自的风险进行评估时，支持多人同时评分，需要有一个规则来获取多人评分的最终结果。在全面风险管理产品中，提供取平均值、取最小值、取最大值、用户指定等四种评估结果确认规则，如图3.8-1所示。图3.8-1 公司评估结果确认规则取平均值：即将针对每个风险的所有人打的分加起来再除以打分