风险评估与分析

中天丰润投资集团有限公司

内审部风险控制小组

（讨论稿）

附件二：风险评估与分析

1.房地产开发项目定位的风险1-001

房地产开发行业受国家政策走向而发生波动或因地区间房地产

市场的差异性较大的影响，如果公司没有正确的项目选择与定位，必

将造成效益下滑，存在使公司经营受到重创的风险。

风险管理负责人：

魏恒山

—郑万春/徐晓伟/李强/王红/魏昭

公司从以下几个方面应对房地产开发项目定位的风险：

1＞持续强调公司的房地产开发项目定位是继续以政府保障性住房建

设为主，紧紧围绕国家产业政策导向，积极参与政府城镇化规划建设,

使公司的战略风险规避在最低限度；

2＞继续在全公司倡导文化创新（具体指什么？）和技术创新（指规划

设计和户型设计吗？），从制度上鼓励新思路，加大对专业技术人员

的考核力度保证激励机制的有效性；

3＞加强与外部规划设计单位或实体的合作与交流，按照市场需求不断

创新设计理念，巩固公司的核心竞争力；

4＞高度重视依靠法律保护公司知识产权（暂时没有）；

5＞巩固公司的品牌形象，进而提高公众对公司品牌认知程度。2010

年至今，公司高度重视品牌形象建设，市场宣传中突出公司的优质服

务特色。

此五个方面的建设是贯穿公司运营始终的，需要持续的加强。

2.灾害及危机管理不当的风险1-02-001

缺乏及时有效的危机管理机制，造成公司无法维持业务运行及提

供重要产品和服务的风险。

灾害及危机有两个来源：

•不可控来源：来自战争、恐怖主义、失火、地震、恶劣天气、

洪灾及其他类似的灾难都属于超出公司控制范围的风险。

•可控来源：因公司的策略失误或管理失误而导致：危害健康和

安全事故、巨额诉讼成本、大量的金融衍生工具（暂时不存在）造成

的损失、重大商业舞弊、市场份额的重大损失等。

危机的发生可能与其他导致特定危害的风险一同发生。

风险控制负责人：

魏恒山

-郑万春/徐晓伟

-赵文义

对于不可控来源的风险：公司的核心竞争力是公司所掌握的在一

定程度和时间内具有先进性的技术数据，公司会定期将核心数据进行

全面备份并且存放在非办公区域的安全地点，以避免灾害一旦发生时

对于核心数据造成的不可恢复的损害。由此将损害的程度由灾难性的

降低为重大的或中等的（由重大的降低为中等的？）。

对于可控来源的风险：公司有一套完整的公司层面控制体系，对

于任何重大决策（指投资、融资、合作、降薪、裁员吗？）都需要经

过相应的部门组织审议通过，每一项日常决策（是各项内控吗？）都

需要经过高级或中级管理层的层层审批，以避免重大风险的经营决策

的制定。

3.政治风险1・03・001

由于存在例如战争、恐怖活动、地区冲突、罢工和贪污腐败等政

治不稳定因素而导致公司无法正常经营或者产生重大损失的风险。

例如：政治局势不稳定，动乱、冲突等影响公司的正常经营；政府征

收的风险：对资产的无偿征用。

风险控制负责人：

魏恒山

-郑万春/徐晓伟/魏昭

公司的经营主业不属于国家重点保护行业，在政治灾难中受到直

接冲击的可能性不大（为什么？）；对于政府征收等风险，公司管理

层在日常业务中较重视政府公关，以防止危机发生时可避免政府在征

收等方面存在的风险。

4.经济市场的波动风险1・04・001

公司的经营战略（如，盲目扩张、高风险投资等）和竞争优势受

到许多与经济周期密切联系的经济因素恶化的影响的风险。例如：经

济泡沫的破灭、金融危机、金融政策的波动、就业情况的恶化等导致

市场急剧萎缩乃至出现亏损。

风险控制负责人：

魏恒山

-郑万春/徐晓伟/魏昭

公司管理层对于风险的态度是保守的态度，即始终围绕国家政策

导向定位业务方向。对于新业务，管理层经过充分的考虑，对不完全

了解和可以掌握（？）的新事物，管理层采取不冒险接受的态度，这

种自上而下的公司层面管理风格在相当的程度上避免了不适宜的高

风险发展战略和高风险投资决策带来的风险。

5.声誉风险1・05・001

公司存在对供应商等合作伙伴管理不当，或对客户服务不到位,

或在公益事业、公共关系等方面的问题处理不当从而给公司的声誉带

来负面影响，并进而导致丢失用户（客户？）、关键职员或竞争能力

下降的风险。

风险控制负责人：

魏恒山

—郑万春/徐晓伟/魏昭

-赵文义/刘玉华

公司高级管理层自上而下，为树立道德文化标准起示范作用。公

司总经理及高层管理者先人后己、勇于承担困难，以及具有勤俭的美

德。在招募新人的过程中，向员工传达雇佣诚实的、人品好的员工,

开除违规违纪的员工的理念；公司管理层选择外部合作伙伴（如投行、

审计帅、咨询帅、律帅等）均在首先考虑行业优先的企业。同时，r

解潜在合作伙伴客户的背景情况；管理层对来自公司内部或者外部人

员反映的情况或建议，采取开放式的态度，并给予及时反馈。公司通

过以上公司层面控制保证与外部个人和相关利益实体进行交易的公

平性，降低在公共关系等方面由于问题处理不当引起的声誉下降及其

连带损失的风险。

6.健康和安全风险1・06・001

未能提供一个保障人员健康和安全的经营和工作环境，使公司可

能需要支付大额员工或其他受害人员赔款和造成公司声誉的损害的

风险。没有充分分析公司哪些方面可能会给人员的健康和安全带来危

害的因素，从而无法采取有效的预防措施；或者在发生了重大危害人

员健康安全的事件后，未采取相应的应对措施；或者公司没有严格遵

循国家的有关赔偿的法规，那么公司可能不得不支付更多的惩罚性赔

偿而导致财物损失。如果公司和管理者没有为员工提供一个安全的环

境，那么公司可能受到法律的惩罚。

风险控制负责人：

郑万春/徐晓伟/李强/王红

公司经营业务所要求劳动者提供的劳务不存在高危险/高风险的

领域，并且，公司人力资源部有一套完整的人员管理体系，不存在不

符合劳动法和其他相关法律法规的操作，在各必要领域可以有效保护

劳动者的合法权益。

7.环保风险1・07・001环保风险

公司的业务活动对环境造成损害存在连带责任，并且可能给公司

带来消除或赔偿损害的高成本、法律制裁、及声誉受损等的风险。

风险控制责任人：

郑万春/李强/徐晓伟/魏昭

公司从事的经营主业务对环境的影响很小，尽管如此公司仍然从

节约降耗等角度进一步将环保的概念落实到规划设计及生产经营中。

8.不适当的公司战略和规划的风险1・08・001

公司未能制订适合本企业的战略和规划，或公司战略与规划执行

不利的风险。

风险控制负责人：

魏恒山

-郑万春/徐晓伟/魏昭

公司制定了明确的长期发展战略，并且每年年初都会根据实际经

营计划制定详细的预算（只有办公费、招待费、交通费有定额）并且

在各流程控制上确保预算的严格执行；任何重大的投资战略都需要经

过公司的产业规划信息部、财务管理部的资产运营部（设这个部门

吗？）和公司董事会的审批；管理层的管理风格比较保守和稳健，制

定的发展战略是建立在已有基础之上的切实可行的方案；在此管理体

制下，具有冒进性质的战略计划是很难被批准执行的。公司通过由上

至下的一系列公司层血和管理和流程层面及制降低了战略规划（我们

的战略规划是怎样制定的？由上至下么？很难执行啊！）不当给公司

带来重大风险的可能性以及一旦发生风险的强度。

9.内控环境不佳或无效的风险2-01-001

公司内部控制环境不佳或无效给公司内部控制的基础环境带来

的公司层面和流程层面的各类风险.

风险控制负责人：

徐晓伟

-赵文义/刘玉华

公司已经建立公司内控管理框架和有效的监督机制，内审部定期

或不定期的检查公司各个层面的内部控制环境。

10.内控环境恶化的风险2-01-002

公司内部控制环境在原有基础上由于种种内外部原因产生恶化

给公司内部控制的基础环境带来的公司层面和流程层面的各类风险。

风险控制负责人：

徐晓伟

-赵文义/刘玉华

公司已经建立公司内控管理框架和有效的监督机制，内审部定期

或不定期的检查公司各个层面的内部控制环境，及时根据种种迹象发

现公司内控环境随着内外部环境的变化而恶化的可能，并相应采取措

施以规避公司内控环境恶化给公司层面和流程层面带来的各类潜在

风险。

11.合作伙伴管理不当的风险2-02-001

公司没有建立必要的合作伙伴关系，或对合作伙伴管理不当，可

能导致工程质量不达标或达不到工程进度要求而导致增加成本的风

险。

风险控制负责人：

郑万春/李强

•周祥智

1＞公司工程部、项目部建立了供应商、监理团队档案（已经建立了吗？）

并由专人进行管理与维护，每年更新供应商、监理团队列表；

2＞公司工程部、技术部（？）、项目部相关人员与合作伙伴建立了畅

通的个人沟通渠道；

3＞公司已成立产业规划信息部及外联部（是公关部吗？），专门负责

对外合作业务、合作伙伴关系维护管理以及对客户进行深度的调研分

析。指定责任人负责合作伙伴（不是供应商、监理团队和客户吗？）

关系管理，负责收集合作伙伴信息，并定期提出合作建议。

现有操作流程和控制活动根据实际需要和内外部环境变化的持续优

化。

12.供应商未按预期交工的风险2・02・002

供应商没有按公司计划（合同约定？）要求预期完成工程进度,

导致工程成本增加及公司信誉受损。

风险控制责任人：

李强

-周祥智

公司注重加强了对供应商信息的收集及管理。根据政府招标小组

所确定的结果，及时与合作伙伴建立畅通的沟通渠道，公司与监理团

队、供应商之间建立联席会议制度（就是项目进度调度会议吗？），

工程施工期间保证每周召开一次由三方参加的项目进度调度会议，并

按照施工合同要求每个项目经理及技术员要每天对供应商施工现场

和监理团队工作情况进行全程监控，同时，在工程部和财务部分别建

立工程合同台账（都建了吗？），单独设立供应商管理流程，主要包

括供应商主文档维护、通过对供应商评价等环节加强对供应商的过程

监控。以下措施在实施之中：

公司工程部、技术部和项目部经理及技术员每天按监控流程到岗尽

责，预先发现风险警示；

2＞与监理团队密切配合，对供应商原材料的选择进行全程监控；

3＞与管理水平高、信誉好的核心供应商建立长期的意向性合作关系。

13.资源分配不合理的风险2-03-001

资源（指哪些资源？）分配不合理的风险主要为不能通过成本收

益分析等手段科学地分配资源、利用资源而导致利润率低于预期值的

风险。

风险控制负责人：

郑万春/王红

-马玉玲

公司建立了长期战略，2011年实施了公司第一个五年发展规划,

2015年又制定了2016年-2020年五年发展规划。并且在年初制定年度

计划与与预算，财务部预算分析岗每季度分析实际发生的经营情况与

预算指标相对比，将分析结果上交至管理层。该分析包含了利润指标、

核心业务相关指标分析、费用情况分析、主要财务指标以及现金流的

分析。公司管理层在必要时召开生产经营分析会以总结阶段性经营成

果、审核预算完成情况以及公司年初制定的战略目标的适用性，以从

最大限度上实现公司资源的合理分配，使得公司利润值达到或超过公

司预计目标。

14.资产管理风险2-03-002

资产管理风险有以下两方面：资产管理维护不当、资产闲置、利

用率低、库存周转率低等风险；由于对市场需求、客户需求预测不足

而导致销售渠道不畅的风险。

风险控制责任人

徐晓伟

-文静/马玉玲

公司销售部、财务部会定期（一般为每季度）对公司的物业存量

和固定资产进行盘点（固定资产盘点业务归行政事业部），对于盘盈

和盘亏的情况会进行分析与报告，盘活存量，以降低资产闲置等风险

的发生。

从2014年12月至今，公司销售部制定了规范的销控流程及销控

表，为高层决策提供可靠的依据。

现有操作流程和控制活动根据实际需要和内外部环境变化的持

续优化。

15.支出效益风险2-03-003

任何一笔支出，包括投资（包括对外投资和项目投资）、资产添

置、货物采购、费用及服务支出浪费或达不到最佳收益的风险。

风险控制负责人：

王红

-马玉玲

公司财务部成立了资产运营部（有这个部门吗？），对于每一笔

投资的可行性报告进行审批，通过讨论分析投票通过后报董事会审批,

以避免投资达不到最佳收益的风险。公司每年年初会根据公司发展要

求制定详细的预算，每一笔资产采购，都要按照预算进行相应审批，

审批通过才可实际购买（办公设施、车辆和办公用品从来没有预算；

项目投资也无法按预算执行）。通过以上公司以及流程层面的控制规

避支出效益风险。具体控制描述请见投资流程、预算管理流程、采购

流程和固定资产流程等的相应控制描述。

从2014年末开始，以上流程的实际操作均已按规定执行。

现有操作流程和控制活动根据实际需要和内外部环境变化的持续优

化。

部分完成/改进计划属于持续执行性措施

16.流程效率低下及管理不当2-03-004

流程效率低下及管理不当可能导致不能够满足用户的正常需求

或带来不必要的运营成本的风险。该风险导致了更高的竞争成本。

风险控制负责人：

赵文义/刘玉华

-赵后新/贾立臣

公司2014及2015年在合规的基础上，由内审部对公司管理层面

控制活动设计以及流程设计进行了全面优化，优化后的流程在一定程

度上降低了流程效率低下以及管理不当带来的运营成本增高的风险。

优化后的流程已在全公司范围内全面执行。随着传统业务的发展以及

新业务的开展，可能仍需要进一步设计新的流程及优化原有流程。结

合公司实际运营情况对于已有流程和控制设计进行优化，以在不降低

操作效果的前提下提高效率。（需要各职能部门尽快上报所有岗位的

职责范围和各类业务的操作流程，以便内审部和各职能部门共同确认

现有流程是否合理）

17.策略或规则不完善导致收入流失2-04-001

由于企业策略不完善或企业规则设计未及时更新造成的收入流

失风险。

风险控制负责人：

郑万春/徐晓伟/李强/魏昭

-周祥智/王华/张淑惠

针对每一个项目，完善项目计划书（没有，可研报告就是理论上

的项目计划书，但项目执行过程和进度与可研报告有很大差异），制

定灵活的对策，将对变化的应对纳入计划之内，有效降低策略或规则

在系统设计上的风险。

18.技术原因导致收入失流2-04-002

因各种技术和系统不完善，例如没有完善的技术资料保管机制,

或没有完善的收入单据送达机制、或财务系统应收模块（好像没有这

个模块）的技术不完善所造成的收入流失风险。

风险控制负责人：

李强/王红/徐晓伟

・周祥智/王丽娟/赵丽

-马玉玲/庄淑杰

-文静

公司工程部、技术部对各项目的各类资料分别立档维护与管理；目前，

“用友”财务系统在所有重大方面均可满足信息系统一般控制的要求,

按上市公司要求，如系统需要更新将按要求建立；销售部己经建立了

系统、规范的流程。

项目管理软件的功能有待完善和加强。

19.流程管理不当导致收入流失2-04-003

因流程设计不当或人员未依照流程执行所造成的错误，直接或间

接导致收入流失。

风险控制负责人：

赵文义/刘玉华

-周祥智/耿爱丽/马玉玲

内审部会定期对公司业务流程设计和执行情况进行审阅和监督，

同时在日常工作中及时发现流程设计欠妥之处，提出相应建议并跟进

整改情况。

现有操作流程和控制活动根据实际需要和内外部环境变化的持

续优化。

20.人员和组织架构问题导致收入流失2-04-004

由于人员工作不到位或组织架构不合理而可能导致的收入流失。

风险控制负责人：

徐晓伟（是否包括其他部门主管?）

一别关旭

1＞建立并落实系统的人员招聘制度，提供适合公司发展要求的人员；

开展内部招聘，发动各、忆务部门负责人的力量，拓展渠道；

2＞制定并发布了绩效考核制度，并按照岗位职责说明书进行考核，要

求工作到位；

3＞定期根据公司的发展需要，对组织结构进行调整，未对收入产生严

重影响（还有下文？）。

相关制度的定期评估和审阅。部分完成/改进计划属于持续执行

性措施

21.招聘规划及管理风险2-05-001

公司未能根据部门和岗位的具体要求，预测人才需求和配备件,

导致聘用人员不对口或无法满足岗位要求；对于公司的关键职位没有

建立并执行接班人计戈影响公司持续稳定的发展等招聘计划和管理

带来的关键人才流失风险。

风险控制负责人：

徐晓伟

-别关旭

1＞公司建立并落实了相对系统的招聘制度，每年根据业务发展需要进

行人员规划，招聘时根据计划和当时的实际情况搜寻符合需要的候选

人；业务部门负责人参加面试评价；

2＞公司高度重视后备人才的培养和激励,并在年度报告和公司发展中

长期发展计划等重要文件中强调实施。建立了员工年度绩效考核机制,

对优秀的中青年员工给予奖励并及时选拔到领导岗位上来。对后备人

才做到选拔、培养与储备并举。

3＞公司对董事和高层人员绩效考核中明确了“抓班子、带队伍”考核

内容。正在制定公司后备人才培养具体方案。

需要进一步落实的措施是完善和实施后备人才的任用计划及培

养制度。

22.培训不足2-05-005

公司各种培训的不足导致公司风险应对速度慢、成本高、错误重

复、开发能力不足、业务增长缓慢以及员工士气低落的风险。

风险控制负责人：

徐晓伟

一别关旭

1＞在招聘时挑选符合岗位技能需要的人员入职；

2＞建立了新员工入职培训制度；

3＞建立了培训管理制度；

4＞各业务部门根据需要进行在岗培训I,人力资源部已对公司培训进行

了统一的管理,并按季度统计部门员工培讥情况，作为部门考核内容。

23.岗位分析和职业2-05-00

人员规划不到位。岗位分析和职业规划不到位可能造成了关键岗

位缺人以及员工工作积极性受挫等后果，不利于客户服务水平以及客

户满意度的提高。在岗位设置方面，公司未能实现对部门和岗位设置

的全面调研、梳理和分析，并进行必要的滚动调整。

风险控制负责人：

徐晓伟

-别关旭

1＞对各个岗位进行岗位分析，制定岗位说明书并定期更新;

2＞建立公司岗位职级图，细分岗位职级，明确发展规划，明确员工的

现有操作流程和控制活动根据实际需要和内外部环境变化的持

续优化。

24.不恰当的业绩评价及奖惩体系2-05-004

企业不能够制定和使用合适的业绩评吩和激励体系以(?)管理

经营成果导致的人才流失或消极怠工风险。

风险控制负责人：

徐晓伟

-别关旭

1＞公司建立了绩效管理制度，并根据不同的工作类型和重点制定了不

同的激励办法。

2＞常规的业绩评价每半年进行一次。及时根据公司业务发展调整公司

业绩管理制度；平衡公司各部门间业绩考核指标的合理性；加强奖惩

制度的系统性。

25.薪酬和福利不合理2-05-005

没有对达到公司预期、适应竞争环境的人员给予合理的补偿和报

酬，未能激励人员最大限度地履行工作职责，从而影响公司业务目标

和战略的实现。

风险控制负责人：

徐晓伟

-别关旭

1＞建立员工薪酬福利体系，引进人力资源管理软件（暂时没有），让

员工及时了解本人的薪酬状况，理解公司的薪酬制度；

2＞每年进行薪酬调查（谁来调查？），保证外部的公平性；

3＞制定工资管理办法和薪酬福利制度，确保内部薪酬管理的有序性;

4＞建立了操作性较强的长期激励制度；

5＞严格按照国家规定参加缴纳社会保险。

现有操作流程和控制活动根据实际需要和内外部环境变化的持

续优化。

26.员工不满及流失风险2-05-006

由于不能满足员工的期望而导致员工满意度降低，使得公司的核心员

工由于内部或外部原因而流失，导致公司付出额外的时间和成本，并

有可能导致相关业务中断的风险。

风险控制负责人：

徐晓伟

-别关旭

1》定期进行员工满意度调查，了解员工期望和对公司改进的建议（现

在还搞吗？满不满意乂能怎样？）；

2＞各级管理人员及时与员工进行沟通（以记录的形式体现吗？）。

1＞新年度的员工满意度调查之前,对上次员工满意度调查的问题改进

状况进行汇总，分析原因；

2＞人力资源部专人（人力资源部设计个岗位？）定期与员工沟通，了

解员工状况；

3＞对管理人员进行涪训。

27.行业竞争风险3-01-001

未考虑到行业内的剧烈竞争或考虑不足导致的未能做出适当应

对，从而可能给企业带来的风险。

风险控制负责人：

郑万春/李强/魏昭

-周祥智/王华/张淑惠

产业规划信息部从各种途径了解行业内的竞争情况，竞争对手的

主要动态，并及时向管理层汇报；对行业新闻以及行业论坛进行监测

（以书面报告体现吗？），利用调研公司掌握竞争对手动态，以便遇

到突发竞争事件时能在最短时间内有效作出应对。

深度了解竞争对手动态，建立合理的信息情报流向（电子信息还

是书面材料？），及时有效的汇报接受反馈，并作出合理应对。

部分完成/改进计划属于持续执行性措施

28.品牌维护不佳风险3-01-002

日常运营过程中对于品牌（我们的品牌是什么？“中天”还是“各

小区名称”？）的树立以及维护不到位造成的风险。

风险控制负责人：

李强/徐晓伟

-周祥智

-耿爱丽/文静/张淑惠

产品设计方面保持每年都有更新进步，保证产品的核心竞争力;

关注行业内消息，保持对有害信息和恶意攻击的持续关注（口头报告

还是书面材料？）并及时处理；关注行业技术的发展，保持技术领先。

建立应急预案，迅速有效处理有害消息和各方面恶意攻击。

29.市场推广不利风险3-01-003

在市场推广的全流程中，对公司形象、企业品牌和产品推广形成

负面影响的风险。

风险控制负责人：

郑万春/徐晓伟

-耿爱丽/文静/张淑惠

参加业内大型活动（展览会、研讨会、评奖），在业内有影响力

的媒体投放广告。加强活动和广告的计划策划；建立投放广告评估办

法。

30.渠道有效性风险3-01-004

指公司因未深入研究细分用户群特征，或未深入研究新兴渠道等

原因而未能选择适当的渠道向用户传递产品和服务的风险。

风险控制负责人：

徐晓伟

-文静/张淑惠

因公司产品主要是政府保障性住房项目的性质，目前公司销售渠

道儿乎没有分销渠道。

暂无太大的风险，不需要制定改进计划。

31.无法把握客户需求变化风险3-01-005

目前，公司所开发的房地产项目主要客户是政府，还有部分回迁

户。政府需要采购的户型及面积是按相关政策规定设计建设的，回迁

户的户型及面积也是根据该回迁户的原面积加政策优惠确定的。但企

业也要及时了解客户需求变化的要求，打好“提前量”，进一步对客

户提供更优质的服务。

风险控制负责人:

李强

-周祥智

-王华/文静

公司已成立对外合作部（有这个部门吗？），专门负责对外合

作业务、对客户进行深度的调研分析。随时把握行业发展方向，建立

项目经理（再设一个项目经理岗位吗？）负责制，与客户进行广泛交

流，了解客户的动态及需求。建立明确的客户变化及需求变化登记机

制，对客户需求进行评判，作出规范化的应答。

32.价格风险3-01-06

定价不合理，从而使公司开发成本增加，或定价无法达到市场或

盈利目标并最终导致亏损的风险。

风险控制负责：

郑万春/徐晓伟

要积极主动与政府相关部门、单位保持密切联系，对建筑市场原

材料波动情况及时与政府沟通，准确测算好开发成本，确定较合理的

供给价格。

33.客户服务质量不佳风险3-01-007

公司客户服务质量未达到客户期望而导致的客户满意度下降的

风险。

风险控制负责人:

郑万春/徐晓伟

-文静

一是要与政府采购部门保持沟通渠道的畅通；二是高度重视对回

迁户反映的信息收集与反馈，建立投诉渠道（原来归物业负责，现在

呢？）及负责人制度。对每一栋交工入住楼号都要进行一次业主满意

度调查。发现问题，及时改进。确保为客户提供最优质的服务。

34.创新不足3-02-001

公司没有通过制度的硬性保证激励公司员工的创新观念和创新

沟通渠道的畅通，导致创新不足，进而影响企业竞争力，给公司发展

带来损失的风险。

风险控制负责人：

李强

-周祥智

1＞加强与外部规划设计单位或实体的交流合作，吸纳新的思路。

2＞实施“走出去战咯”，寻求更有利的房地产开发项目。

3＞加大对创新人员的考核力度。对有突出贡献人员继续实施给予重奖

的措施。

35.数据安全及用户4-01-001

帐号管理风险。由于数据备份管理以及用户账号管理的不完善导

致的信息系统安全风险。

风险控制负责人：

徐晓伟

-耿爱丽/王丽娟/赵丽/庄淑杰

1＞建立备份措施，通过双机的数据库备份（有专人进行操作）；

2＞通过建立涉及到与财务相关的重要数据的文件服务器（财务部重要

的电子表格）（是财务软件吗？），针对关键数据进行统一的权限和

备份控制；

3＞公司网管员在域控内启动了强制密码策略（大小写、八位以上、字

母数字组合的复杂性要求）。

现有操作流程和控制活动根据实际需要和内外部环境变化的持续优

化。

部分完成/改进计划属于持续执行性措施。

36.网络及系统安全4-01-002管理风险

由于信息系统权限的不恰当、系统安全管理漏洞、系统监控管理

及防病毒设置等等的不完善导致的网络及系统安全管理风险。

风险控制负责人：

徐晓伟

■耿爱丽/王丽娟/赵丽/庄淑杰

1＞公司网管员设置了网络防火墙；

2＞要求每台计算机安装防病毒软件；

3＞配备了专用机房放置关键网络设备和服务器;

4＞公司内审部、外审师德勤每年对于ITGC/AC（风险控制矩阵）进行

SOX404（内部控制的管理评估【美国萨班斯法案】）合规审计（要

做矩阵吗？执行萨班斯法案吗？）；

5＞为应对公司内外部审计的要求，公司已经建立起了一套涵盖流程控

制、权限审批、系统备份等一系列安全防护流程的措施。

现有操作流程和控制活动根据实际需要和内外部环境变化的持

续优化。

37.信息系统（包括哪些？）无法使用的风险4-02-001

由于系统的运行错误、过载、灾害性损失、系统转换过程的不当

等原因造成的信息无法取得或业务无法执行的风险。

风险控制负责人：

徐晓伟/王红

・耿爱丽/马玉玲

依据公司信息系统发展需要以及内外部审计要求，对包括用友、

网上报销等系统在内的数据库的备份作业，并建立相应的数据库恢复

测试流程。

1＞组织对各信息系统的可恢复性进行评估，分析系统恢复时间长短对

业务的影响程度；

2＞对部分缺乏维护能力的信息系统实行外包，交专业第三方管理

部分完成/改进计划属于持续执行性措施

38.信息系统不可靠的风险4-03-003

信息系统产生的信息在完整性、准确性、相关性及合理授权等方

面不符合实际发生的业务，或者依赖信息系统执行的业务活动出现错

误，从而导致信息错报或漏报、信息资产损失的风险。

风险控制负责人：

徐晓伟

-耿爱丽

对包括用友、网上报销等系统在内的数据库的定期备份，并建立

相应的数据库恢复测试流程（什么时候建立？）。并通过光盘存储异

地备份。加强系统数据的维护，保证数据的安全有效使用。

1＞组织对各信息系统的可靠性进行评估,分析系统可靠性对业务的影

响程度；

2＞加强对信息系统的维护，提前发现并排除潜在故障点。

39.信息系统规划不足的风险4-04-001

信息系统的规划没有充分考虑当前及将来的业务发展需要。

风险控制负责人：

徐晓伟

-耿爱丽

1＞各职能部门根据自己需求提出信息系统要求，由公司网管员进行系

统选型或建设；

2＞公司网管员通过岗位职责说明书说来界定内部的岗位职责，负责相

对的职能职责任务。针对各自负责的系统进行定期的检查，及时发现

问题，处理问题，维护系统的稳定。

1＞定期收集各部门对信息系统的需求，排定优先级；

2＞定期对信息系统运行情况进行审核，以便及时发现缺陷。

改进计划在实施过程中（什么意思？）。

40.信息系统设计、开发和实施的风险4-4-002

由于信息系统设计、开发和实施的问题导致的信息系统基础设施

不完善。

风险控制负责人：

徐晓伟

-耿爱丽

各职能部门根据自己需求提出信息系统要求，公司委派网管员进

行系统选型或建设；

1＞加强信息系统建设人员的能力，必要时引入专业第三方机构；

2＞加强信息系统建设目标和完成后成果审核；

3＞定期对在运行系统对业务的影响进行测试。

部分完成/改进计划属于持续执行性措施

41.网络维护不当风险4-04-003

对计算机、机房及网络运行维护不当造成运行效率低下或中断导

致的信息系统基础设施不完善。

风险控制负责人：

徐晓伟

-耿爱丽

按照相关的系统表单的审批、记录等措施，做到系统的安全维护。

关键系统的恢复策略和措施的制定有待进一步的测试和验证。对关键

信息系统在维护前要求制定恢复策略和准备恢复措施。

改进计划在实施过程中。

42.软硬件设施不足风险4-04-004

由于软硬件设施不足给公司带来的信息系统基础设施不完善。

风险控制负责人：

徐晓伟

-耿爱丽

各部门在制定年度采购预算时充分考虑年度内的软硬件设施规

划。

1＞加强需求收集过程；

2,对需求过程进行考核。

部分完成/改进计划属于持续执行性:昔施

43.职务侵占5・01・001

职务侵占，即利用职务之便，利用职务范围内的权力所形成的

经手、管理所在单位财物的便利条件，侵吞、窃取、骗取或者以其他

手段非法占有所在单位的财物的行为。

风险控制负责人：

魏昭

-赵文义

1＞公司已制定员工行为规范以及反舞弊制度，规范和引导员工行为;

2＞公司已制定相关的财务管理制度，通过权限分离避免发生职务侵占

等舞弊行为；

3＞公司已经建立舞弊制度和举报机制，并确保各举报渠道的畅通。由

独立部门-内审部作为举报受理、调查并且向审计委员会汇报结果的

执行部门。公司通过宣传等方式鼓励员工对职务侵占等舞弊行为进行

举报。

1＞加强各项规范和管理办法的定期审核；

2＞优化和规范舞弊受理、调查的方法和流程。

部分完成/改进计划属于持续执行性措施

44.商业贿赂5-02-001

是指经营者为销售或者购买商品而采用财物或者其他手段（其他

手段是指提供国内外各种名义的旅游、考察等给付财务以外的其他利

益的手段）贿赂对方单位或者个人的行为（为获得服务或审批而采取

这种方法大范围存在、长期存在）。

风险控制负责人:

魏昭

-赵文义

1＞公司已制定员工行为规范以及反舞弊制度，规范和引导员工行为;

（与第43项重复）

2＞公司已制定相关的财务管理制度，通过权限分离避免发生商业贿赂

等舞弊行为；

3＞公司已经建立舞弊制度和举报机制，并询保各举报渠道的畅通。由

独立部门■内审部作为举报受理、调查并且向审计委员会汇报结果的

执行部门。公司通过宣传等方式鼓励员工对职务侵占等舞弊行为进行

举报，设立了举报渠道和举报电话；（与第43项重复）

1〈加强各项规范和管理办法的定期审核；

2〈现有操作流程和控制活动根据实际需要和内外部环境变化的持续

优化。

部分完成/改进计划属于持续执

45.其他贿赂5-02-002

此类贿赂并不涉及企业间的采购或销售交易，而是以获取一定利

益为目的，利用职务范围内所形成的权力或经手、管理所在单位财物

的便利条件，进行交换的行为。（与前两顼重复）

风险控制负责人:

魏昭

-赵文义

1＞公司已制定员工行为规范以及反舞弊制度，规范和引导员工行为；

2＞公司已制定相关的财务管理制度，通过权限分离避免发生贿赂等舞

弊行为；

3＞公司已经建立舞弊制度和举报机制，并确保各举报渠道的畅通由

独立部门•内审部作为举报受理、调查并且向审计委员会汇报结枭的

执行部门。公司通过宣传等方式鼓励员工对职务侵占等舞弊行为进行

举报。

现有操作流程和控制活动根据实际需要和内外部环境变化的持

续优化。

部分完成/改进计划属于持续执行性措施

46.挪用5・03・001

指利用职务之便，即利用职务范围内的权力和地位所形成的经手、

管理所在单位财物的便利条件，将企业资产使用在非公务用途上，并

从中受益的行为。

风险控制负责人：

魏昭

-赵文义

1＞公司已制定员工行为规范以及反舞弊制度，规范和引导员工行为；

2＞公司已制定相关的财务管理制度，通过权限分离避免发生挪用等舞

弊行为；

3＞公司已经建立舞弊制度和举报机制，并确保各举报渠道的畅通。由

独立部门■内审部作为举报受理、调查并且向审计委员会汇报结果的

执行部门。公司通过宣传等方式鼓励员工对职务侵占等舞弊行为进行

举报。

现有操作流程和控制活动根据实际需要和内外部环境变化的持

续优化。

部分完成/改进计划属于持续执行性措施

47.渎职及重大失职5・04・001

渎职及重大失炽指滥用职权、玩忽职守或其他不应有的过失，致

使企业财产、利益、形象遭受重大损失。

风险控制负责人：

魏昭

-赵文义

1＞通过制定岗位说明书，明确各级岗位职责；

2＞公司已经建立反舞弊制度和举报机制，并确保各举报渠道的畅通。

由独立部门•内审部作为举报受理、调查并且向审计委员会汇报结果

的执行部门。

在业绩管理体系中建立监督反馈机制，及时发现失职和渎职的情况;

2＞规定渎职的处罚程序和办法（一直没有规定）。

改进计划在实施过程中。

48.越权或违规决策5・05・001

指企业管理人员在决定重大事项时，违反既定的决策程序进行决

策、或者逾越职权范围做出决策、或者做出违规违法决策的行为。

风险控制负责人：

魏昭

一赵文义

1＞通过制定岗位说明书，明确各级岗位职责；

2＞公司已经建立反舞弊制度和举报机制，并确保各举报渠道的畅通。

由独立部门■内审部作为举报受理、调查并且向审计委员会汇报结果

的执行部门。完整的监督机制可在一定程度上避免发生越权和违规的

可能。

现有操作流程和控制活动根据实际需要和内外部环境变化的持

续优化。

部分完成/改进计划属于持续执行性措施

49.舞弊操作5・06・001

与广义的舞弊不同，舞弊操作的含义是指公司内部人员，以隐蔽

手段，故意做出违法违规及损害公司利益的行为，以期获取不正当利

益或达到不正当愿望。例如财务报告舞弊操作、公司统计信息舞弊操

作等。这里的舞弊操作是指不会直接影响到会计报表的数据或披露内

容（统计信息舞弊不影响吗？）但仍属于财务工作范畴的舞弊行为。

（注：影响财务报告的舞弊风险属财务报告风险类别）。

风险控制负责人:

魏昭

-赵文义

1＞在岗位职责设计时，做到权限分离；

2＞公司已制定员工行为规范以及反舞弊制度，规范和引导员工行为;

3＞公司已制定相关的财务管理制度，通过权限分离避免发生挪用等舞

弊行为；

4＞公司已经建立舞弊制度和举报机制，并编保各举报渠道的畅通。由

独立部门-内审部作为举报受理、调查并且向审计委员会汇报结果的

执行部门。公司通过宣传等方式鼓励员工对职务侵占等舞弊行为进行

举报。

现有操作流程和控制活动根据实际需要和内外部环境变化的持

续优化。

部分完成/改进计划属于持续执行性措施

50.违规风险违反法律法规导致的风险6-01-001

风险控制负责人：

魏昭

-赵文义

-法务律师

公司于2010年聘请了由具有相应律师资格的法务人员组成法务

顾问，总体负责公司法律相关事务。重大的可能涉及法律事务的决策

均须咨询法务律师，必要时可能会咨询外部法律顾问。公司合同审批

和签署、合同管理和公章管理流程已于20n年起实施。合同管理由专

门的合同管理专员进行，并通过培训确保其胜任性。降低了由于合同

签订不符合相关法律法规规定的风险。明确信息收集渠道，收集所有

与公司产品和业务相关的法律、法规、政策（谁来收集？）。定期进

行汇报和沟通。

改进计划在实施过程中，尚未完成

51.违约风险6-01-002

合同当事人违反合同约定，不履行或不适当履行义务导致的风险。

风险控制负责人：

魏昭

-赵文义

-法务律师

公司于2010年已经聘请了具有相应律师资格的法务人员，总体

负责公司法律相关事务。重大的可能涉及法律事务的决策均须咨询法

务律师，必要时可能会咨询外部法律顾问c公司合同审批和签署、合

同管理和公章管理流程己于2011年起实施，实现合同的模板式管理。

合同管理由专门的合同管理专员进行，并通过培训确保其胜任性。对

于赊销，公司建立信用管理制度对客户进行信用评级（从未进行过信

用评级），该制度由相关部门定期审阅。超出赊销限制的赊销需要经

相应层级的管理者审批。在一定程度上降低了客户不履行付款责任而

给公司带来经济损失的风险。

现有操作流程和控制活动根据实际需要和内外部环境变化的持

续优化。

部分完成/改进计划属于持续执行性措施

51.怠于行使权力风险6-01-003

未及时或未适当行使法定权利或约定权利导致的风险。

风险控制负责人：

魏昭

-赵文义

因公司现有产品市场为买方市场，故多为友好协商解决模式。

由内审部和法务律师对于需要行权的事件和行为给以必要合理

的建议和监督。

部分完成/改进计划属于持续执行性措施

52.行为不当风险6-01-004

基于法律原因，其行为可能会给公司带来负面后果导致的风险。

例如商业秘密保护不当，客户服务不当。

风险控制负责人：

徐晓伟

-耿爱丽/别关旭

-法务律师

通过保密协议以及合同审批流程加强相应控制，降低行为不当风

险发生的可能。由法务律师对于可能涉及到行为不当的事件和行为给

予必要合理的建议和监督。

改进计划在实施过程中

53.合规风险6・02・001

企业的经营成果不能得到相关监管部门合规要求的风险，例如不

能通过萨班斯-奥克斯利（SOX）404法案给企业带来潜在损失的合规

风险。（执行萨班斯法案吗？）

风险控制负责人：

慈听

-赵文义/刘玉华/赵后新/贾立臣

公司各部门严格按照相关监管部门的规定，按时达到各项要求,

积极配合相关监管部门的工作，将所要求事项全面贯彻落实到各相关

部门，具体至相关责任人。

公司内审部对于公司各方面.业务操作的实际情况进行监督和检

查，对于尚需改进的领域提出管理建议并且跟进整改，以降低合规风

险。（各职能部门尽快上报所有岗位职责范围和各类业务流程）

现有操作流程和控制活动根据实际需要和内外部环境变化的持

续优化。

部分完成/改进计划属于持续执行性措施

54.知识产权风险6・03・001

伴随信息社会和知识经济到来，知识产权已逐渐成为企业核心竞

争力，由于激烈的竞争市场，有可能出现侵权、盗版等行为，这样无

论从财务状况和企业声誉都会给企业带来灾害性的影响。

风险控制负责人：

徐晓伟/李强

-耿爱丽/赵丽

1＞自主开发设计的产品根据部门提交情况进行申请和维护管理工作。

定期整理知识产权汇总表上交公司行政部和技术部；

2＞在产品设计和日常办公活动中所使用到的工具和软件的知识产权，

由行政部（以前都是各业务部门自行联系，不知是否正版）统一购买

正版软件使用，并且在公司内部进行宣传。

3＞商标按公司要求申请进行保护。与市场、销售部门保持联系，随时

了解本公司产品产权事宜。

4＞对于专利、软件产品申请及商标使用已形成固定模板及流程，凡使

用商标的部门需写明商标使用用途，经由行政部审核无误后方可使用。

在原有专利、软件申请的实施过程中，加强与技术部门沟通，在

提交申请前进行知识产权分析。

部分完成/改进计划属于持续执行性措施

55.金融市场风险7-01-001

公司投资方向主要是对政府保障性住房建设的投资，金融市场的

波动不会对其造成太大的影响；虽然在特定时间段政府采购也存在回

款不及时的情况，但这属于特殊情况，对公司正常运营不会带来太大

的影响。其他回迁户和部分购房者的回款都是按双方签订的合同执行。

风险控制负责人：

王红/徐晓伟/魏昭

-马玉玲/文静

公司已制订了相应的长短期投资流程以及资金管理流程，资金部

（财务部？）定期对货币资金的使用进行分析并且提交管理层审阅。

现有操作流程和控制活动根据实际需要和内外部环境变化的持

续优化。

部分完成/改进计划属于持续执行性措施

56.流动性风险7-01-002

1.现金流量不足的风险：公司在2014年融资1500万元，截止目

前，公司资金短期内几乎不存在现金流量不足的风险（严重不足）；

2.机会成木风险：公司大量的资金如果不能妥善使用，将造成潜

在机会成本的损失

风险控制负责人:

王红/魏昭

-马玉玲

公司已制订了相应的长短期投资流程以及资金管理流程，资金部

（财务部）定期对货币资金的使用进行分圻并且提交管理层审阅。

为保证公司资金的使用效率，公司新成立了产业规划信息部，同

时公司财务管理部也专门成立了资产运营部（？），从投资项目的授

权和审批、投资项目管理以及投资项目的处置等各子流程层面平衡投

资项目的风险和收益，保证投资项目的有效运作。流程已进入有效实

施阶段（开始了吗？）。

现有操作流程和控制活动根据实际需要和内外部环境变化的持

续优化。

部分完成/改进计划属于持续执行性措施

57.信用风险7-01-003

信用风险为合同一方履行了合同的义务，但是却不能得到合同另

一方应该提供的对价的风险。公司面对的主要信用风险为来自供应商

的不履约风险（未能及时交付开发产品而面临诉讼和索赔呢？）。

风险控制负责人：

郑万春/李强

-周祥智

-法务律师

对于来自客户的信用风险：公司建立了信用管理制度。每个年度

对于客户信用进行评估。对于日常的赊销，需要根据相关要求进行请

示并且由相应权限的领导审批。且公司每季度会对坏账准备进行评估

并且每半年进行往来对账，以确保账单的准确性，避免坏账发生的可

能；（账面如实反映债权了吗？）

对于来自供应商的信用风险：公司会定期对于所有供应商进行评

价并且相应的更新《合格供方名录》（有这个名录吗？），公司工程

部和财务管理部分别建立了工程合同台账（都建了吗？），且每季度

进行一次对账，以减少供应商违约或不完全履约造成的额外成本。详

细控制描述请参见销