风险管控措施落实情况检查表

风险管控措施落实情况检查表一、检查目的通过系统、量化、可追溯的现场核查，验证各级单位在战略、运营、作业三个层面是否将风险管控措施嵌入日常管理流程，是否形成“识别—评估—控制—监测—改进”闭环，是否具备在极端场景下快速降级风险的能力，确保组织目标、合规要求、利益相关方期望同步实现。二、检查范围1.战略层：公司治理、风险偏好、风险文化、资本充足、重大投资决策、并购整合、ESG披露。2.运营层：供应链、采购、销售、研发、生产、物流、客服、信息系统、数据治理、知识产权。3.作业层：动火、高处、有限空间、吊装、临时用电、夜间作业、极端天气作业、实验室操作、设备检修。4.支持层：财务、人力、行政、法务、审计、纪检、党群、工会。三、检查依据1.国家法律法规、部门规章、地方性法规、行业规范、强制性标准。2.集团风险管理制度、内部控制手册、合规手册、应急预案、技术标准、工艺卡片。3.年度风险评估报告、重大风险清单、风险地图、关键风险指标（KRI）阈值。4.上一年度内外部审计、巡视巡查、监管检查、客户审核、第三方评估结论及整改台账。四、检查方式1.文档追溯：抽样比例≥30%，关键制度100%覆盖，比对版本号、生效日期、会签记录、培训记录。2.现场观察：采用“四不两直”方式，对高风险区域、关键装置、重大危险源、外包作业点进行突袭检查。3.人员访谈：分层随机抽取高层、中层、基层、外协、访客共50人以上，使用STAR法则追问具体事例。4.穿行测试：选取近12个月内发生的10起事件，从触发、上报、处置、恢复、复盘全链条还原。5.实测实量：对气体检测仪、应急广播、消防泵、备用电源、安全阀、防雷接地、漏电保护进行带载测试。6.数据比对：抽取ERP、MES、QMS、EMS、OMS、DCS、SCADA、财务共享平台原始数据，与风险报表交叉验证。五、评分规则1.采用千分制，战略层300分、运营层300分、作业层250分、支持层150分。2.每条措施设置“完全落实（100%）、基本落实（75%）、部分落实（50%）、未落实（0%）”四档。3.发现一项重大风险失控即启动“熔断”，该领域直接判零分，并触发专项督办。4.850分以上为“绿牌”，750—849分为“黄牌”，749分及以下为“红牌”，纳入年度绩效一票否决。六、检查工具1.移动端APP：离线扫码、拍照、GPS定位、时间戳、电子签名、语音转文字，确保记录不可篡改。2.风险数据库：内置5000+风险事件库、2000+控制措施库、800+失效模式库，支持模糊检索。3.智能比对引擎：自动比对制度版本、人员资质、检测数据、KRI阈值，生成差异清单。4.离线地图：加载重大危险源、应急物资、消防栓、急救站、集合点、逃生路线，支持AR实景导航。七、检查前准备1.成立联合检查组：组长由分管风险副总裁担任，副组长由审计部、HSE部、法务部、信息化部负责人担任，成员涵盖工艺、设备、电气、仪表、消防、职业健康、网络安全、数据保护、供应链、财务、人力等专业。2.签署保密与廉洁承诺书，上交手机集中保管，使用专用检查终端。3.提前48小时冻结被检单位相关系统权限，防止事后补录、篡改、删除。4.召开启动会，明确纪律“十不准”：不准接受宴请、不准私下接触、不准泄露发现、不准借车借房、不准携带礼品、不准干预生产、不准单独行动、不准拍照外传、不准个人定性、不准打击报复。八、检查内容（示例节选，实际共198条，此处展开60条，确保单条可落地、可量化、可验证）（一）战略层1.风险偏好声明书是否经董事会审批并在官网披露，声明书是否量化“资本充足率≥12%、资产负债率≤65%、汇率敞口≤5%净资产、碳排放强度年降4%”。2.首席风险官（CRO）是否列席党委会、董事会、投委会、财委会，拥有一票否决权，近一年行使次数及议题。3.三年滚动战略是否附带风险矩阵，矩阵是否识别“地缘冲突、技术颠覆、政策突变、气候转型”四类极端风险，是否给出“情景—财务冲击—应对资本”对应表。4.重大投资决策是否执行“双签字+双评估”，即投资部门+风险部门+外部顾问同时出具报告，评估报告是否包含退出触发条件。5.并购项目是否设置100天整合风险窗口期，窗口期内是否完成内控对接、文化融合、IT系统并轨、关键人员留任。6.ESG报告是否经第三方鉴证，鉴证范围是否覆盖Scope3碳排放，数据误差是否≤3%。7.年度风险文化建设预算是否不低于培训总预算的8%，是否建立“风险大使”激励机制，大使覆盖率是否≥15%员工。8.风险事件问责办法是否明确“降级、撤职、解除劳动合同、追索绩效奖金”四档，近一年是否实际执行≥2例。（二）运营层9.供应链“红黄灯”预警模型是否嵌入SRM系统，模型是否包含“地缘政治指数、港口拥堵指数、商品波动率、供应商财务Z值”四维，红灯阈值是否动态校准。10.关键原料安全库存是否按“最大断供天数×日均耗量×1.3”设置，现场抽查3个SKU实际库存与系统比对误差≤5%。11.供应商现场审核是否覆盖“人、机、料、法、环、测”六要素，审核表是否量化打分，低于80分是否强制整改或退出。12.采购合同是否设置“不可抗力、汇率、大宗商品”三重调价机制，机制触发后是否由风险部门独立复核。13.客户授信是否采用“额度+账期+担保”三维模型，模型是否每月重估，逾期率超过2%自动冻结授信。14.销售退货率是否纳入KRI，退货率连续3个月上升是否启动质量回溯+法律诉讼+媒体应对组合拳。15.研发项目是否设置“阶段门”评审，每道门是否包含“技术、市场、合规、IP、EHS”五类风险清单，清单缺失不允许开门。16.实验室危险化学品是否采用“双人双锁+动态台账+二维码”管理，每瓶试剂是否在有效期前30天系统预警。17.生产装置是否完成HAZOP再验证，再验证周期是否≤5年，建议措施关闭率是否≥95%。18.关键设备是否采用“RCM可靠性为中心”维护策略，策略是否量化MTBF、MTTR、可用度≥98%。19.能源管理系统是否实时采集电力、蒸汽、天然气、氢气、光伏数据，单位产品能耗年降是否≥2%。20.物流承运商是否安装车载GPS+温控+称重+铅封四合一终端，数据是否每5分钟回传，异常离线是否≤10分钟。21.客服中心是否建立“舆情雷达”，雷达是否抓取20+主流媒体、50+行业自媒体、100+社群，负面信息是否30分钟内推送高管群。22.信息系统变更是否执行“代码扫描+渗透测试+灰度发布+回退演练”四步，变更窗口是否避开交易高峰。23.数据分级分类是否覆盖结构化、非结构化、半结构化数据，敏感数据是否全生命周期加密，密钥是否托管在硬件加密机。24.知识产权是否建立“专利地图+商标监测+版权水印+域名巡检”四维防护，侵权事件是否48小时内启动证据固定。（三）作业层25.动火作业票是否执行“三级确认+视频录制+气体检测+消防监护”，录制视频保存期限是否≥3年。26.高处作业是否设置“双安全带+生命线+防坠器+工具防坠绳”，安全带是否每批次抽样做动态冲击试验。27.有限空间作业是否采用“隔离+置换+通风+检测+监护+救援”六步法，检测数据是否实时上传至政府监管平台。28.吊装作业是否计算“吊装载荷×1.25”安全系数，现场是否设置“吊装隔离区+警示灯+对讲机+哨兵”。29.临时用电是否采用“三级配电+二级漏电+电缆桥架+防水插头”，漏电保护器是否每月测试动作电流。30.夜间作业是否配备“防爆照明+反光背心+肩闪灯+人车分离”四件套，照明亮度是否≥50lux。31.极端天气是否建立“红橙黄蓝”响应矩阵，矩阵是否联动生产调度、物流、客服、供应链、高管值班。32.实验室废液是否分类收集于“防腐蚀桶+二次围堰+标签+称重”，称重数据是否每日上传环保系统。33.设备检修是否执行“能量隔离LOTO+上锁挂牌+试能确认+解锁交接”四步，解锁钥匙是否双人验证。34.防爆区域是否使用“ExdⅡCT6”级工具，工具是否每半年做一次防爆性能检测。35.叉车作业是否设置“限速5km/h+倒车报警+蓝光警示+驾驶员酒精检测”，检测数据是否每日上传。36.承包商是否纳入“等同管理”，是否签订HSE协议，协议是否明确“违约金+黑名单+停工权”。37.个人防护用品是否建立“领用—使用—报废”电子台账，报废周期是否按GB39800.1执行。38.职业病危害因素是否每年检测，检测结果是否告知员工，告知签字率是否100%。39.应急救援队伍是否每月开展“无脚本拉动”，拉动是否覆盖“泄漏、火灾、中毒、触电、中暑”五类场景。40.应急物资是否每月点检，点检表是否包含“空气呼吸器压力≥24MPa、防化服有效期、应急泵流量≥100m³/h”。（四）支持层41.财务共享中心是否设置“付款三级复核+大额双线验证+Ukey分人保管”，复核记录是否永久保存。42.资金池是否每日编制“现金流量预测表”，预测误差是否≤5%，误差连续3天超阈值是否触发CFO预警。43.预算调整是否执行“部门申请—财务审核—风险复核—总裁办公会”四步，调整幅度≥10%是否报董事会。44.税务申报是否采用“系统自动算税+人工复核+外部顾问抽查”三道防线，漏报率是否0。45.人工成本是否建立“编制—实聘—离职—加班”四维模型，模型是否每月输出异常名单。46.招聘流程是否嵌入“背景调查+诉讼查询+学历验证+利益冲突申报”，验证报告是否存档≥5年。47.绩效奖金是否设置“风险调整系数”，系数是否引用KRI达成率，达成率<80%奖金封顶50%。48.员工持股计划是否设置“风险回溯条款”，若次年发生风险事件是否追索已解锁股份。49.法务合同是否使用“智能比对”工具，工具是否识别“违约责任、知识产权、数据跨境、反垄断”四类高风险条款。50.诉讼案件是否建立“案件地图”，地图是否量化“标的额、胜诉率、执行率、律师费占比”四指标。51.审计发现问题是否执行“双报告+双整改”，即向业务层和治理层同时报告，整改完成率是否≥98%。52.纪检是否建立“四风”问题大数据模型，模型是否抓取发票、GPS、油卡、食堂、礼品五类数据。53.党群是否开展“风险文化进支部”活动，活动是否量化“参与率、考试通过率、案例报送率”三指标。54.工会是否建立“员工心理健康风险评估”，评估是否覆盖10%员工，高风险员工是否100%干预。55.信息化运维是否采用“堡垒机+4A审计+漏洞扫描+基线核查”四重防护，高危漏洞是否24小时内修复。56.备份系统是否执行“321策略”，即3份副本、2种介质、1份异地，恢复演练是否每季度成功一次。57.业务连续性计划是否覆盖“核心系统RTO≤30分钟、核心数据RPO≤5分钟”，是否每年做一次真实切换。58.第三方外包是否开展“尽职调查+渗透测试+合规审计”三合一，审计报告是否纳入退出条款。59.档案管理是否执行“电子+纸质”双轨制，电子档案是否采用区块链固证，纸质档案是否恒温恒湿。60.知识管理是否建立“风险案例库”，案例库是否按“行业、业务、岗位、场景”四维标签，月度点击率是否≥80%。九、检查流程1.首次会：被检单位汇报风险管控总体情况，检查组公布纪律、分工、日程、对接人。2.现场核查：按“资料—现场—人员—数据”四线并行，每晚18:00组内碰头，24:00前完成日清。3.末次会：检查组通报初步发现，被检单位现场签字确认，如有异议可当场提供反证。4.报告编制：3日内形成正式报告，报告包含“问题描述、风险等级、违反条款、影响金额、整改建议、完成时限”。5.整改验证：被检单位30日内提交整改报告，检查组随机抽取30%问题现场复核，复核不达标加倍扣分。6.结果运用：评分纳入组织绩效、干部任用、评优评先、薪酬激励；红牌单位约谈一把手，黄牌单位通报批评。十、检查周期1.集团对二级公司：每年一次全覆盖，飞行抽查不限次数。2.二级公司对三级单位：每半年一次全覆盖，季度自查。3.三级公司对作业区：每月一次自查，每周一次巡查。4.重大节假日、重大活动、极端天气前：专项督查。十一、检查人员能力要求1.组长：持有注册安全工程师、注册风险管理师、PMP、法律职业资格证四证中至少两证，8年以上跨领域经验。2.组员：持有中级以上职称或同等资格，3年以上一线运营经验，通过集团风险检查官认证考试。3.外部专家：邀请保险公司、行业协会、科研院所、监管机构专家，占比不超过30%。4.每年继续教育学时≥40小时，包含“新技术、新标准、新案例、新工具”四模块。十二、检查伦理与合规1.检查过程全程录