《国有企业风险框架和风控数据库指导手册模版》由会员分享,可在线阅读,更多相关《国有企业风险框架和风控数据库指导手册模版(123页珍藏版)》请在金锄头文库上搜索。
1、风险框架和风控数据库指导手册*一、 风险框架和风控数据库编制目的科技集团有限公司(以下简称“”或“集团公司”)于 2008 年开始启动全面风险管理体系建设工作,建立了初步的风险管理工作机制。集团公司已连续 4 年定期开展风险评估工作,制定了集团公司的风险框架以及风控数据库,为集团公司防范和化解风险起到积极的作用,奠定了风险管理的基础。随着风险管理工作的深入以及内外部环境的变化,需要构建一套以风险为导向的,由全面风险管理及评估体系、内控构建、评价以及优化体系共同适用的统一的风险框架和风控数据库,即为后续推进全集团风险评估、风险监控、风险应对以及内部控制评价工作的开展奠定基础,同时也能确保集团公司
2、全面风险管理工作自上而下的统一。二、 风险框架和风控数据库编制依据1、 中央企业全面风险管理指引2006 年 6 月,国务院国资委发布了中央企业全面风险管理指引,要求中央企业要确立风险管理目标,开展风险识别和评估,将风险管理的各项要求融入企业管理和业务流程中,尽快建立和完善全面风险管理体系。2、 企业内部控制基本规范及其配套指引2008 年 6 月,财政部等五部委发布了企业内部控制基本规范, 2010 年 4 月,财政部等五部委联合颁布了企业内部控制配套指引,要求中央企业建立以风险管理为导向的内部控制体系。3、 关于加快构建中央企业内部控制体系有关事项的通知2012 年国资委发布关于加快构建中
3、央企业内部控制体系有关事项的通知,要求中央企业以风险管理为导向,全面梳理各类各项业务流程,为推动中央企业扎实开展管理提升活动夯实基础。4、 2013 年度中央企业全面风险管理报告(模本)根据2013 年度中央企业全面风险管理报告(模本)中关于企业风险的分类列示,编制集团风控数据库主要框架。5、 科技集团有限公司的相关管理规定集团 2013 年 3 月 19 日全面风险管理工作小组第一次会议精神和 2013 年 4 月 25 日召开的第二届十八次董事会审议通过的科技集团有限公司 2013 年度全面风险管理报告中述及的“调整集团公司风险分类框架,逐步充实完善风险事件库”有关内容,开展调整集团公司风
4、险分类框架、风险与内控数据库整合优化的专项工作能够有效提升集团风险管理水平。三、风险框架和风控数据库编制方法1、风险框架和数据库编制思路与方法本次风险框架和风控数据库整合的总体思路以目标-风险-控制为主线,按照集团公司管理层期望达到的经营目标为基础,识别出实现经营目标所潜在的风险,通过经营管理过程中业务控制手段降低或规避风险的发生,最终实现整体风险防控和管理提升的目标。在集团公司现有的风险框架以及风控数据库的基础上,根据五部委企业内部控制基本规范及其配套指引、国务院国资委中央企业全面风险管理指引的主要内容和要求,结合2013 年度中央企业全面风险管理报告(模本)中关于企业风险的分类列示,通过对
5、比审计部风控数据库与财务部风控数据库内容,从横向风险分解、纵向风险衔接的角度寻找差异,并将对比结果作为后续风险框架和风控数据库整合基础输入信息。结合风险框架和风控数据库对比信息,确定风险框架和风控数据库中三级风险分类标准、定义三级风险名称、统一风险描述语言以及界定不同级别风险之间关系。收集、整理集团公司已发生的风险事件以及固有风险事件,按照统一的风险描述语言编写后与三级风险对接,最终实现对集团公司的风险框架和风控数据库的整体优化。2、风险框架和风控数据库编制原则本风险框架和风控数据库参考了国资委关于企业风险的分类列示,结合了集团公司自身管理和业务特点,全面反映了集团公司面临的内外部风险,编制过
6、程中体现了以下原则:全面性:依据国资委关于企业风险的分类列示,从战略、市场、财务、法律和运营五个维度梳理并细化集团公司的二级、三级风险,优化后的风险框架可涵盖国资委关于企业风险分类的全部内容。适用性:风险框架按照集团公司的生产经营特点进行优化,反应集团公司及二级单位管理(业务)领域的主要风险,如在三级风险中包括科研项目管理风险、技术服务项目管理风险、代理业务风险、生产管理风险、编辑出版风险等特有的业务领域风险。实用性:风险框架中的二、三级风险包含集团公司以及二级单位所有管理(业务)领域,满足各经营层级都能在风险框架中找到对应的风险。如国贸能够在风险框架中找到与其对应的“代理业务风险”,纳克能够
7、在风险框架中找到与其对应的“生产管理风险”。融合性:风险框架为内控与风险管理融合工作奠定基础,风险四级分类的颗粒度使得内控业务流程和控制措施与风险实现对接,真正实现以风险管理为导向的内控体系建设,确保风险管理工作有效落地。四、风险框架和风控数据库结构1、风险框架部分风险框架部分主要包括:风险编号、风险分类、风险名称、风险描述及适用层级。具体描述如下:风险分类:分为一级风险、二级风险、三级风险及四级风险。一级风险根据国资委要求命名,主要以影响企业经营目标实现来划分,为战略风险、财务风险、市场风险、运营风险和法律风险五大类。二级风险根据风险所在管理(业务)领域命名,主要以管理(业务)领域来划分,例
8、如项目投资管理风险、全面预算管理风险。(包括 61 个二级风险)三级风险根据管理(业务)领域中的风险源命名,主要以管理(业务)领域中风险源来划分,以二级战略规划风险为例,三级风险为战略规划制定风险、战略规划实施风险以及战略规划调整风险。(包括 310 个三级风险)四级风险根据流程关键控制命名,主要以风险对应的流程走向来划分,以三级战略规划实施风险为例,四级风险分为战略规划宣贯风险、战略规划分解风险以及战略规划执行风险。(目前包括 623 个四级风险)风险编号:一级风险编号,例如 HOR1 、HOR2;二级风险编号,例如 HOR1.01,HOR1.02;三级风险编号,例如 HOR1.01.01,
9、HOR1.01.02;四级风险编号,例如 HOR1.01.01.01,HOR1.01.01.02 风险描述:对风险发生的各种成因及其表现分类描述,例如:战略规划制定风险可描述为企业战略规划制定不符合发展定位,可能导致企业盲目发展,难以形成竞争优势,丧失发展机遇和动力。适用层级:界定风险适用的范围和层级,确保风险归属清晰。例如:集团公司、基层单位、集团公司与基层单位。2、风险应对及控制措施部分风险应对及控制措施部分将三级风险及风险事件与对应的控制目标、控制措施等进行了对接。内容主要包括:风险管理策略、控制目标、内部控制业务流程、内部控制措施、其他管理措施及管理制度等内容。具体描述如下:风险管理策
10、略:根据三级或四级风险的偏好和风险承受度对风险采取的管理策略,包括风险承担、风险控制、风险规避、风险转移、风险对冲等。风险承担:企业以其内部的资源来弥补损失;风险控制:企业采取各种措施和方法,消灭或减少风险事件发生的各种可能性,或者减少风险事件发生时造成的损失;风险规避:企业通过计划的变更来消除风险或风险发生的条件,保护目标免受风险的影响;风险转移:企业通过合同或非合同的方式,将风险转移给别人承担;风险对冲:企业通过投资或购买与标的资产收益波动负相关的某种资产或衍生产品,来冲销标的资产潜在的风险损失;控制目标:结合财政部企业内部控制指引和集团公司内控手册中要求,细分内控目标,并逐一与采用风险控
11、制策略的三级或四级风险对应,确保风险与控制目标的有效对接。内部控制业务流程:结合集团公司内控手册和集团办公厅梳理的业务流程,与对应的三级或四级风险对接,确保内控业务流程与风险对应。内部控制措施:三级或四级风险实施的具体内部控制措施。其它管理措施:三级或四级风险采用的除内部控制措施以外的其它风险管理手段。管理制度:三级或四级风险管理所对应的集团公司现行的管理制度。五、风险框架和风控数据库特点1、 定义风险规则,促进风险管理工作标准化和规范化通过对风险规则定义、完善风险框架和风控数据库的功能,为集团公司在风险识别和描述工作中提供统一、系统的方法,避免在风险概念、定位和内容等诸多方面说法和认识不统一
12、的问题,有效地促进风险管理标准化和规范化,从而提升风险管理工作的效率和效果。2、 完善风险框架,构建风险管理体系基础优化后风险框架在原有风险框架二级风险分类的基础上补充和细化了三级风险 310 个和四级风险 623 个,同时完善具有管控模式和业务特点的风险内容,形成了完整和细化的风控数据库,一方面有利于集团公司以及二级单位统一使用,另一方面统一和增强集团公司以及二级单位对风险的认识。完整的风险框架为后续风险评估、风险监控和风险应对等具体风险管控工作的开展奠定坚实的基础。3、 梳理风险应对,促进风险管理工作的落地优化后的风控数据库针对所有三级和四级风险都梳理了风险管理策略、风险管理主责部门、风险
13、管控措施和相关的管理制度,从而明确风险责任的归属、风险管控的业务流程和具体管控措施以及相关的管理制度,以上风险管理要素的健全有效地促进了风险管理工作的落地和管控效果的提升。4、 实现风险与内控对接,促进二者融合根据“目标-风险-控制”的理念和方法论以及集团公司构建以风险为导向的内控建设体系的指导思想,优化后的风控数据库将内控风控数据库、业务流程梳理以及内控管理措施有效整合融入风控数据库,避免风险管理与内部控制形成“两张皮”,同时风控数据库作为风险管理和内控体系建设与评价的基础,在合理识别目标风险后能够科学的指导内控体系建设和评价工作,从而提升风险管理与内控工作的工作效率。5、 有效识别风险管控
14、薄弱环节,为后续风险管理和内控工作提升提供依据优化后的风控数据库有效地梳理风险目标、内控措施,并在完成风险与内控对接后,内部控制缺失和薄弱的部分将清晰体现出来,从而为后续集团内控和风险管理工作的完善和提升提供了依据。六、风险框架和风控数据库使用1、 风险框架和风控数据库的适用范围本风险框架和风控数据库适用于集团公司及所属基层单位。2、 风险框架和风控数据库的使用风险框架和风控数据库可供在如下工作内容中参考并使用,包括但不限于:(1) 风险评估:集团公司及所属二级单位可根据风险框架和风控数据库开展风险评估工作,可根据风险框架和风控数据库中对应风险的分管层级及适用范围,针对风险框架和数据库中不同层
15、级的风险进行评分,识别出集团公司及所属二级单位的重大及重要风险,针对识别出的重大及重要风险管控的薄弱环节制定和完善相应的管控措施。(2) 风险预警:集团公司及所属二级单位可根据风险评估工作识别出的重大及重要风险,设定相应的风险预警指标,结合风险预警指标制定相应的应对措施及预案,以便最大程度的降低和预防重大及重要风险的发生。(3) 内控及管理体系优化:集团及所属二级单位可根据风险框架和风控数据库中风险应对措施出现空白或较为薄弱的部分完善现有内部控制体系、制度体系及其他管理措施,以不断优化和完善整体风险防控体系。(4) 内控评价:集团公司及所属二级单位可根据风险框架和风控数据库开展内控评价工作。集
16、团公司及所属二级单位可将风控数据库中的风险事件作为内控评价的依据,在内控评价后续整改过程中,集团公司及所属二级单位也应充分利用风险框架和风控数据库中的风险作为补充和完善内控措施的基础。(5) 专项检查:集团公司及所属二级单位可根据风险框架和风控数据库进行专项检查工作(如质量检查、安全检查、内部审计等),以风险框架和风控数据库中的风险作为专项检查的依据,同时不断完善专业领域的风险点及管控措施。(6) 日常监督:集团公司及所属二级单位可根据风险框架和风控数据库进行日常业务的检查,识别日常管理过程中的风险点及管控较为薄弱的环节,逐步完善日常管理工作,提升工作效率。七、风险框架和风控数据库的管理和维护1
