GB∕T 24353-2022 《风险管理　指南》之10：“6风险管理过程-6.7记录和报告”专业深度解读和实践应用培训指导材料（编写-2025C0升级版）（可编辑）

“6风险管理过程-6.7记录和报告”专业深度解读和实践应用培训指导材料(编写，2025C0一升级版)GB/T24353-2022《风险管理指南》6.7记录和报告宜通过适当的工作机制，记录和报告风险管理过程及其结果。记录和报告旨在：——在组织各层级通报风险管理活动及结果；——为决策制定提供信息；——改进风险管理活动；——促进与相关方的互动，包括各层级的风险责任人。在决定创建、留存和处理所记录信息时，宜考虑(但不限于)信息的用途、敏感性及内外部环境。报告是组织治理不可或缺的一部分，可提升与相关方的沟通质量，并为最高管理者和监督机构履行职责提供支持。报告的考虑因素包括但不限于：——区分相关方及其具体信息需求和要求；——报告成本、频率和及时性；——报告方式；——信息与组织目标和决策的相关性。6风险管理过程6.7记录和报告阐明风险管理过程中所取得的结果或提供所完成风险管理活动证据的文件。它是风险管理的重要组成部分，用于正式记录风险管理活动的可追溯性，并为后续的验证、预防措施和纠正措施提供证据。——正式记录风险管理活动：风险记录详细记载风险管理过程中识别、分析和评价、应对、监控等各个环节的结果，为组织提供了关于风险管理活动的全面视图。通过风险记录，组织可以清晰地了解每个风组织可以通过查阅风险记录，追溯问题源头，明确责任归属，并采取相应的纠正措施。这种可追溯性有助于组织提高风险管理活动的透明度和公信力，增强利益相关者的信心和信任；——支持验证、预防措施和纠正措施：风险记录为风险管理活动的验证提供了有力支持。通过对比风险记录与实际风险管理效果，组织可以评估风险管理策略的有效性和适用性。同时，风险记录也为组织制定预防措施和纠正措施提供了重要参考。通过分析风险记录中的问题和不足，组织可以针对性地制定改进——内容详实准确：风险记录应包含风险名称、风险描述、风险原因、风险影响、风险等级、风险应对措施、责任人、风险状态等关键信息。这些信息应详细、准确，以便为后续的风险管理活动提供有力支持。风险记录应及时更新，确保信息的时效性和准确性。随着风险管理活动的推进，风险记录应不断补充和完善，以反映最新的风险管理情况。指告知内部或外部相关方关于风险现状及其管理方面信息的沟通方式。风险报告核心目的在于向内部或外部相关方全面、准确地传达风险现状以及风险管理方面的关键信息。——沟通方式的特定性：风险报告作为一种专门的沟通工具，具有其独特的性质和目的。它不同于日常的工作汇报或项目进展报告，而是专注于风险管理和风险现状的沟通；——信息传达的全面性：风险报告需要包含风险现状的全面信息，包括已识别的风险、风险的可能影响、风险的发展趋势等。同时，报告还应涵盖风险管理方面的信息，如风险管理策略、已采取的风险应对——信息传达的准确性：风险报告中的信息必须准确无误，不能存在误导或虚假陈述。信息的准确性是风险报告可信度的基石，也是相关方做出正确决策的前提；——沟通对象的广泛性：风险报告需要向内部相关方(如管理层、执行层、员工等)和外部相关方(如监管机构、投资者、客户、合作伙伴等)传达信息。不同的相关方可能对风险报告的内容和形式有不同的——沟通目的的明确性：风险报告的主要目的是提高风险管理的透明度和可追溯性，帮助相关方了解风险状况和管理措施。通过风险报告，相关方可以做出更加明智的决策，共同应对和管理风险。——目的阐述：风险记录和报告的首要目的是确保组织内部各层级都能及时了解到风险管理的最新进展和结果。通过定期的风险报告，高层管理者可以全面掌握组织面临的风险状况，基层员工也能了解自己——价值体现：增强组织内部对风险管理的认知和重视，促进风险管理文化的形成。确保各层级员工在风险管理活动中保持高度的协同性和一致性。(b)为决策制定提供信息；——目的阐述：风险记录和报告为决策者提供了全面、准确的风险信息，包括风险现状、趋势、可能影响以及已采取或计划采取的风险应对措施等；——价值体现：决策者可以更加全面地了解组织面临的风险状况，从而做出更加明智的决策。降低组织的决策风险，提高决策的科学性和有效性。(c)改进风险管理活动；——目的阐述：风险记录和报告不仅记录了风险管理的全过程，还提供了对风险管理活动进行评估和改进的依据；——价值体现：组织可以发现风险管理过程中的不足之处和潜在改进点，不断优化风险管理策略、流程和工具。提高风险管理的效率和效果，为组织未来的风险管理活动提供有益的借鉴和参考。(d)促进与相关方的互动与合作。——目的阐述：风险记录和报告是组织与内部和外部相关方进行沟通和合作的重要工具。通过分享风险记录和报告，组织可以增进与相关方之间的理解和信任；——价值体现：促进风险管理的协同效应，建立和维护良好的风险关系。降低与合作伙伴、监管机构或投资者等之间的沟通和合作成本。提高组织在风险管理领域的声誉和影响力。(3)建立适当的风险管理的记录与报告机制；(a)建立适当的工作机制；——定义与目的：组织应建立适当的工作机制来记录和报告风险管理过程及其结果。这些机制应确保信息的准确性、及时性和完整性，以满足组织内部管理和外部监管的需求；——关键要素：适当的工作机制应包括明确的责任分工、标准化的记录模板、定期的报告频率以及有效的沟通渠道等。同时，还应确保这些机制与组织现有的管理体系和业务流程相兼容。(b)记录风险管理过程；——内容要求：记录应涵盖风险管理的全过程，包括风险的识别、分析和评价、应对、监视和评审等各个阶段。记录内容应详细、准确，能够全面反映风险管理活动的实际情况：——形式与方法：记录可以采用文字描述、图表展示、数据统计等多种形式。组织应根据自身需求和实际情况选择合适的记录方法，并确保记录的可追溯性和可验证性。(c)报告风险管理结果。·治理结构：组织的治理结构决定了风险记录的管理方式和责任分工。明确各级管理层在风险记录管理中的职责和权限，有助于确保风险记录工作的顺利进行。——外部环境。·法律法规：组织在创建、留存和处理风险记录时，必须遵守相关法律法规的要求。如《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等，对风险记录的保密性、完整性等方面提出了明确要求；·行业规范：不同行业对风险记录的要求可能存在差异。组织应结合自身所处行业的特点和规范，制定符合实际的风险记录管理制度。(5)报告的考虑因素；(a)相关方信息需求的区分与满足：在风险管理过程中，必须明确区分各相关方(如管理层、员工、客户、合作伙伴、监管机构等)的具体信息需求和要求；——对每个相关方进行细致分析，了解其关注的风险领域、信息偏好、报告频率等；——根据相关方的需求，定制化的提供风险信息，确保报告内容对相关方具有针对性和实用性；——建立有效的沟通机制，确保相关方能够及时反馈对报告的意见和建议，以便持续改进。(b)信息与组织目标的关联性分析：报告中的信息应与组织的目标和决策过程紧密相关，确保风险信息能够支持组织的战略规划和日常决策；——在编制报告时，应首先分析组织的目标和战略方向，确定风险信息与这些目标的关联性；——报告应突出那些对组织目标实现有重大影响的风险，以及相应的应对措施和效果；——定期评估报告内容对组织决策的支持程度，根据反馈进行调整和优化。(c)报告内容的质量控制与数量把握：报告的内容应既保证质量又控制数量，确保信息的准确性、完整性和简洁性；——对报告中的信息进行严格筛选和验证，确保数据的准确性和可靠性；——根据相关方的需求和组织的目标，合理确定报告的内容范围和深度；——避免信息过载，确保报告内容简洁明了，易于理解和使用。(d)数字化报告方式与支持工具的应用：利用数字化技术和支持工具来记录和报告风险信息，提高报告的效率和效果；——采用数字化平台或系统来记录和存储风险信息，实现信息的集中管理和快速检索；——利用版本控制功能来跟踪报告的修改历史，确保信息的准确性和一致性；——通过协作工作工具来支持多人同时参与报告的编制和审查过程，提高工作效率；——使用仪表盘形式来展示关键风险指标和趋势，使管理层能够一目了然地了解组织的风险状况。(e)报告线的明确与传递流程设计：明确报告的传递路径和流程，确保报告能够准确、及时地传达给相关方；——根据组织的层级结构和职责分工，设计合理的报告线，确保报告能够按照既定的流程传递给相应的相关方；——建立报告传递的监控机制，确保报告在传递过程中不被延误或遗漏；——对报告传递流程进行定期审查和优化，以适应组织的变化和发展需求。(f)报告成本、频率和及时性的平衡策略：在编制和传递报告时，需要综合考虑报告的成本、频率和及时性，以找到最佳的平衡点。——对报告的成本进行预算和控制，确保在合理的范围内提供高质量的风险信息；——根据组织的风险状况和相关方的信息需求，确定适当的报告频率，既不过于频繁也不过于稀疏；——确保报告的及时性，使相关方能够尽快了解到组织的风险状况和应对措施，以便及时作出决策；——定期评估报告成本、频率和及时性的平衡情况，根据反馈进行调整和优化。(6)风险记录与报告的核心要素；核心要素包括应用计划、风险准则、风险本身、风险应对响应、剩余风险、重大非预期变化和异常、决策与措施的理由、应用的进展和绩效，以及从先前循环中吸取的经验教训。——应用计划的记录要点：应用计划是风险管理活动的指南，记录时应包括计划的目标、范围、方法、时间表、资源分配等关键信息。确保计划内容具体、可行，并与组织的风险管理策略和目标相一致；——风险准则的明确与报告：风险准则是评估风险严重性和可能性的标准，记录时应清晰、明确地阐述准则的制定依据、适用范围和评估方法。报告时，应说明如何根据风险准则对风险进行分类和排序，以及准则在风险管理决策中的应用。——风险的详细记录内容：风险记录应包括风险的出现情况、识别过程、可能性评估、后果分析、时间跨度、连通性(即风险与其他因素的相互关系)以及责任人等信息。确保风险记录全面、准确，便于后续的风险评估和应对；——风险应对响应的全面报告：风险应对响应报告应包括应对策略的选择、计划的制定、所有者的明确、充分性和有效性的评估，以及进度的跟踪。报告时，应详细说明应对响应的实施情况、效果及存在的问题，并提出改进建议；——剩余风险的评估与报告：剩余风险是在实施风险应对响应后仍然存在的风险，应对其进行重新评估，并记录评估结果。报告时，应说明剩余风险的水平、可能的影响及后续的管理措施；——重大非预期变化和异常的记录：重大非预期变化和异常是风险管理过程中可能出现的重要情况，应及时记录并分析其原因和影响。报告时，应提出针对变化和异常的应对措施，并跟踪其实施效果：——决策与措施的理由记录：对于风险管理过程中采取的每个决策和措施，都应记录其理由和依据。这有助于确保决策的合理性和可追溯性，并为后续的风险管理活动提供参考；——应用进展与绩效的跟踪报告：应定期跟踪和报告风险管理的进展和绩效，包括计划的执行情况、目标的实现程度、资源的利用效率等。报告时，应使用量化指标和趋势分析来展示风险管理的效果和改进——经验教训的总结与分享：在风险管理过程的每个阶段结束后，都应总结经验教训，并记录其内容和原因。这些经验教训应作为组织的知识资产进行分享和利用，以提高未来风险管理的水平和效果。风险管理过程记录与报告清单沟通与协商施风险沟通与商报告常规，根进行围、环则界定范围界定风险管理活动的适用性和边界结果，时间、地点、具体包含和排除的事项，动的关系风险管理范围说明(可包括在风险管书中)划报告时明确内外部环境内外部环境分析的结果和关键影响因素管理相关的内部、外部初始信息告(风险管述书)定期，或时险准则险管理计划风险准则报告时估风险识别后果及其对目标的影响、可能性)录(清单)风险识别报告定期，如次定期，如析分析、风险图谱)报告次价评价)报告定期，如次对险应对选定的风险应对方案(策略和措施)案风险应对报告前编制和实施风险应对施风险应对计划(具体内容和实施步骤等)施计划报告定期，如审视监视和评审计划、收集和分析信息、监视和录报告常规，根行审险管理效果、风险状态与告风险评审报告定期，如(a)记录和报告中的共同信息在风险管理的记录和报告过程中，可能会涉及共同的信息。——“共同的信息”指的是在风险管理的不同阶段、不同环节或不同报告中重复出现的信息元素或数——这些信息可能包括风险识别、风险评估、风险应对等阶段的关键数据，如风险事件、风险概率、风险影响、应对措施等；——共同信息的存在是风险管理流程连续性和一致性的体现，有助于组织在不同环节之间传递和共享风险信息。(b)信息一致性的要求；记录和报告中的共同信息应保持一致。——“信息一致性”指的是在风险管理的记录和报告中，共同信息应保持一致性和准确性，避免出现矛盾或不一致的情况；——保持信息一致性有助于组织对风险状况进行准确、全面的了解，为决策提供可靠依据；——为了实现信息一致性，组织应建立统一的信息收集、处理和报告机制，确保不同环节之间的信息能够无缝对接和一致呈现。(c)信息的合并要求。在可能的情况下，共同的信息应进行合并。——“信息的合并”指的是在风险管理的记录和报告中，将重复出现的共同信息进行整合和归纳，以避免信息冗余和提高报告效率；——信息的合并有助于简化报告内容，使相关方能够更快速、更准确地获取关键风险信息；——在进行信息合并时，组织应确保合并后的信息仍然保持完整性和准确性，不丢失任何重要信息元素或数据点。(8)实施风险流程的记录和报告验证；(a)记录与报告的协调与整合；在实施风险流程的记录和报告部分时，组织应确保与其他信息(如联合报告、会议议程项目)的协调和整合。——组织应识别并确定哪些其他信息是与风险管理流程相关的，并考虑如何将这些信息融入风险记录和报告中；——可能需要制定交流或交换格式，以确保不同来源的信息能够无缝对接和整合，提高信息的一致性和可用性；——协调与整合的目的是为了避免信息孤岛，确保所有相关方都能获取到全面、准确的风险管理信息。(b)阶段与循环往复要求的反映；记录和报告活动应反映每个阶段和循环往复的要求(强制性和自愿性)。——风险管理流程通常包括多个阶段，如风险识别、风险评估、风险应对等，每个阶段都有其特定的——组织应确保记录和报告活动能够准确反映每个阶段的工作成果和进展情况；——循环往复是风险管理流程的一个重要特征，组织应验证记录和报告活动是否能够支持这一特征，即能够随着风险管理流程的循环往复而不断更新和完善；——强制性和自愿性要求指的是某些记录和报告活动可能是法规或标准强制要求的，而另一些则可能是组织自愿选择的。组织应确保所有要求都得到满足。(c)报告评价因素的考虑：在实施风险流程的记录和报告时，组织应评价报告的因素。——报告的评价因素可能包括报告的准确性、完整性、及时性、可读性、相关性等；——组织应根据这些评价因素对报告进行定期评估，以确保报告的质量满足相关方的需求；——通过评价报告的因素，组织可以识别并改进报告中的不足之处，提高报告的有效性和实用性；——评价报告的因素还有助于组织建立持续改进的机制，确保风险管理流程的不断优化和完善。——教训吸取是风险管理持续改进的重要环节，通过反思和总结过去的风险管理实践，组织可以识别——后续措施是针对识别出的问题和不足制定的具体行动计划，旨在防止类似问题的再次发生，提高风险管理的有效性和效率。组织应该有一种方法来评价所吸取的教训的后续措施。——组织应建立一套评价机制，用于评估后续措施的实施效果和达成情况；——评价方法可以包括定量指标(如风险降低程度、成本节约等)和定性分析(如员工满意度、流程改进程度等);——评价过程应客观、公正，确保评价结果的准确性和可靠性。组织应将其所吸取的教训及后续措施进行记录和报告。——记录是保留教训吸取和后续措施相关信息的重要手段，有助于组织在未来参考和借鉴。报告则是将记录的信息以清晰、简洁的方式呈现给相关方，以便他们了解组织在风险管理方面的进展和成果；——记录和报告的内容应包括教训的详细描述、后续措施的具体内容、实施效果的评价结果等；——记录和报告的形式可以多样，如书面报告、电子文档、会议汇报等，应根据组织的实际需求和相关方的要求来确定。附件A:202X年中央企业全面风险管理报告(模本)202X年中央企业全面风险管理报告(模本)(二)简要说明202X年本企业管理重大风险的效果，包括在管理时机风险方面所取得的主要成效。1.企业建立风险事件库，收集整理分析本企业、国内同行业及国外企业发生的风险事件案例的相关情况。2.根据本企业确定的重大风险损失事件标准，对企业近三年来发生的重大风险损失事件，从发生过程、造成的损失或影响、产生原因、事件的处理以及为防止同类事件再次发生所采取的对策等方面，进行收集整企业向国资委报送的年度报告中可以仅从分类和数量方面，简要说明建立风险事件库、分析重大风险损失中央企业应高度重视当前及今后一定时期内更加复杂的经济形势对本企业的影响，在进行风险评估、制订重大风险管理策略及解决方案时，更具针对性，确保企业持续稳定健康开展。说明本企业202X年经风险评估后确定的重大风险(包括纯粹风险和时机风险),并从风险类别、产生原因、涉及的主要所属企业、涉及的重要流程、风险发生后可能给企业带来的影响等方面逐一进行简要描对经评估后确定的其他重要风险(发生概率小，一旦发生将对企业的经营目标产生重大影响的风险),按照发生的可能性及发生后对经营目标的影响程度两个维度，将企业202X年面临的重大风险和其他重要风(1)简要说明企业为开展本年度风险评估，尤其是结合当前经济形势，进一步在战略风险、财务风险、市场风险、运营风险和法律风险等方面收集风险管理初始信息的情况。(2)简要说明本企业开展202X年风险评估的范围、方式及参与人员等情况。(3)以附件形式说明本企业在分析风险发生的可能性、风险发生后对经营目标的影响程度时，所采用的评估(4)简要说明同202X年相比，本企业202X年经风险评估后确定的重大风险的变化情况。(5)按照风险分类，说明风险评估结果的数量分布情况。2.重大风险管理策略与解决方案。(1)以附件形式说明本企业根据自身情况界定的企业重大风险判断标准。(2)从以下两个方面，逐一简要说明各项重大风险的管理策略和解决方案。①风险管理策略。包括企业对每一项重大风险的风险偏好、风险承受度及据此确定的风险预警指标等。②风险解决方案。包括风险事件发生前、中、后拟采取的具体应对措施，所使用的风险管理工具，以及如何抓住重大风险中的时机等。3.风险管理的监督与改良。(1)简要说明本企业对执行重大风险管理策略和解决方案的监督机制。(2)简要说明参与风险管理的各业务单位、职能部门，根据可能发生的变化情况和管理中存在的缺陷，完善和改良重大风险管理的机制。(三)企业全面风险管理工作总体规划及202X年企业风险管理方案。1.简要说明本企业全面风险管理工作总体规划。2.简要说明本企业202X年全面风险管理工作方案。3.说明董事会或经理办公会议对本企业202X年全面风险管理工作提出的要求。三、企业全面风险管理体系及风险管