集团公司风险管理手册.docx
集团风险管理手册目录前言3编制目的3适用范围3第一章风险管理目标及原则4第一节风险管理目标4第二节风险管理原则4第二章风险管理组织与职责6一、风险管理三道防线6二、风险管理组织职责6第三章风险管理工作流程11第一节风险管理工作流程概述11第二节风险评估流程12一、风险评估流程图12二、风险评估流程主要步骤描述13三、风险评估工作方法13第三节风险应对流程30一、风险应对流程图30二、风险应对流程主要步骤描述31三、风险应对工作方法32第四节风险监督与改进流程44一、风险监督与改进流程图44二、风险监督与改进主要步骤描述45三、风险监督与改进工作方法45第五节风险管理工作流程工具模板49第六节风险管理工作流程示例49一、供应商管理的风险管理概述49二、供应商管理风险评估50三、供应商管理风险应对55四、供应商管理风险管理监督与改进56第四章风险管理报告57第一节风险管理报告及作用57第二节风险管理报告类型及说明57一、年度风险管理报告57二、风险评估及应对报告58三、风险监控报告59四、重大风险事件报告59五、专项风险防控报告60第五章风险管理考核评价72第一节风险管理考核评价的目的72第二节风险管理考核评价的原则73第三节风险管理考核评价的组织74一、集团内部控制与风险管理办公室74二、集团审计部74三、SBU/一级利润中心的审计或相关部门75第四节风险管理考核评价的内容75一、风险管理体系建设情况75二、风险管理体系运作情况79三、风险管理效果考评81第五节风险管理考评的方式82一、集团对SBU/一级利润中心考评82二、SBU/一级利润中心自考评83第六节风险管理考核评价的程序和方式83一、风险管理考评程序83二、风险管理考评方式83第六章风险管理信息系统87第一节风险管理信息化概述87一、风险管理信息系统定义87二、风险管理信息系统作用87第二节风险管理信息系统实施规划88一、风险管理信息系统实施路径88二、风险管理信息系统实施规划88第三节风险管理信息系统的功能框架89一、构建风险管理平台90二、建立监控预警机制90三、完善报告沟通机制90四、实现风险与内控的融合91第七章风险管理文化92一、风险管理文化概述92二、风险管理文化建设目标及原则92三、风险管理文化建设的途径与措施93第八章职能线日常风险管理指引96前言编制目的为了进一步加强X(集团)有限公司(以下简称集团)风险管理工作,规范集团风险管理工作流程,提升集团风险管理工作的质量,切实提高集团风险防范与控制水平,特编制X集团风险管理手册(以下简称手册)。本手册是集团推进风险管理体系建设,开展风险管理工作的指导性文件。本手册旨在实现以下三个目的:一、统一集团风险管理流程、风险管理标准和风险管理工具,指导各单位开展风险管理工作。二、完善集团风险管理制度,规范风险管理要求,促进风险管理制度化、专业化、规范化。三、推动风险管理与职能管理、业务管理的有机融合,充分发挥风险管理在集团经营管理中的促进和保障作用,支撑集团战略目标的实现。适用范围本手册适用于集团总部各职能部室、SBU/一级利润中心。各单位可参照本手册,结合自身管理实际,编制本单位风险管理分册。本手册自发布之日起施行,由集团审计部负责解释。第一章风险管理目标及原则第一节风险管理目标集团风险管理的总体目标是在集团范围内建立起各层面协调一致的风险管理框架体系,建立和完善风险管理的规章制度和操作流程,确保各类重大风险得到及时识别和有效管理,形成积极进取、稳健经营的风险管理文化。风险管理具体目标主要包括:一、确保将风险控制在与总体目标相适应并可承受的范围内;二、确保经营的合法合规和各项规章制度得到贯彻执行;三、确保经营管理的有效性,促进国有资产安全及保值增值;四、确保集团内外部信息沟通可靠、完整、及时;五、培育良好的风险管理文化,强化员工风险意识。第二节风险管理原则集团风险管理遵循以下原则:一、战略导向、预防为主风险管理应基于战略,积极服务于公司战略发展,使风险管理成为战略目标实现的重要支撑。风险管理要立足事前防范,体现“预则立,不预则废”的管理理念,坚持预防为主、事前控制。二、聚焦重点、价值创造风险管理要聚焦于公司的核心经营业务和重要业务流程,要与公司日常经营管理紧密结合,要把风险管理有机融入企业管理和业务流程中,使风险管理真正成为公司价值创造的重要驱动。三、全员参与、持续优化企业风险存在于企业经营的各个环节,涉及企业各个岗位,需要企业所有员工的参与并承担相关责任,共同推进风险管理工作。要建立风险管理长效机制,结合内外部环境变化,与时俱进,持续优化。第二章风险管理组织与职责一、风险管理三道防线风险管理,人人有责。集团各级单位和人员共同组成了风险管理的“三道防线”:以咯、财分、人力资源等职能部门&业务单位风险管理部门/ 内控与风险管理1. 一委员会负责日常风险管理第二道防线/第三道防线负责组织、推动和协调风险管理相关工作责监督、检查风险管理工作第一道防线由各有关职能部门和业务单位组成,负责日常风险的管理。第二道防线由内部控制与风险管理委员会及风险管理部门组成,负责风险管理的组织、推动和协调工作。第三道防线由审计委员会和内部审计部门组成,负责风险管理的监督和检查工作。二、风险管理组织职责按照精简高效的管理原则,集团风险管理组织分为三个层级。第一层为集团内部控制与风险管理委员会;第二层为集团内部控制与风险管理办公室、集团审计部和集团其他职能部室;第三层是SBU的审计部、一级利润中心相关部门风险管理岗位,如下图所示:各层级风险管理组织的具体职责如下:(-)集团内部控制与风险管理委员会集团内部控制与风险管理委员会是集团董事会下设的专业委员会,是集团内部控制与风险管理工作的领导机构,负责对集团内部控制与风险管理工作进行总体部署、指导、检查与协调管理。主要职责包括:1.安排部署集团内部控制与风险管理工作规划和体系建设工作;2 .领导推动集团内部控制与风险管理体系的建立、完善和运行;3 .审定集团内部控制与风险管理体系建设年度工作计划与实施方案,审议集团内部控制与风险管理相关工作报告;4 .指导和检查集团内部控制与风险管理体系建设工作,协调解决工作中的重大问题;5 .审定集团内部控制与风险管理制度以及内部控制及风险管理工作考核评价结果;6 .内部控制与风险管理体系建设中的其他重要事项。(-)集团内部控制与风险管理办公室集团内部控制与风险管理办公室是集团内部控制与风险管理委员会下设的具体办事机构,由集团各职能部室相关成员组成,负责集团内部控制与风险管理体系的建设、运行、维护、检查、评价等工作。主要职责包括:1 .起草和制定全集团内部控制与风险管理工作具体实施方案;2 .制定和完善集团内部控制与风险管理工作的规章制度、工作程序以及相关标准和方法,提供内部控制与风险管理工作所需的工具和模板等;3 .组织和指导集团各部室、SBU/一级利润中心建立健全内部控制与风险管理体系,开展内部控制与风险管理各项工作;4 .监督和检查集团各部室、SBU/一级利润中心内部控制与风险管理体系建设和各项工作的开展情况,总结经验,揭示问题,提出改善建议,并持续监督整改措施落实;5 .组织和指导集团各部室、SBU/一级利润中心开展内部控制评价及风险评估,审核集团各部室、SBU/一级利润中心编报的内部控制评价报告和风险管理年度报告;编制集团层面的内部控制评价报告及风险管理年度报告;6 .组织开展内部控制与风险管理工作的理论研讨、专业培训和经验交流,开展内部控制与风险管理相关资格认证;7 .组织开展对集团各部室、SBU/一级利润中心内部控制与风险管理工作的考核评价;8 .按照集团内部控制与风险管理委员会的工作部署,组织开展内部控制与风险管理其他各项工作。集团审计部是集团内部控制与风险管理办公室的日常执行机构,负责全集团风险管理工作的组织推动、专业指导、技术支持和监督检查。(三)风险管理职能部门风险管理职能部门是指各SBU审计部、一级利润中心相关部门,负责本单位风险管理工作的组织推动、专业指导、技术支持和监督检查。主要职责包括:1 .制定和完善本单位风险管理工作的规章制度、工作程序以及相关标准和方法,提供风险管理工作所需的工具和模板;2 .组织和指导本单位风险管理评估,编制本单位风险管理年度报告及其他风险管理相关报告;3 .组织开展风险管理专业培训和经验交流;4 .组织开展对本单位各部室、下级单位的风险管理工作的考核评价;5 .其他风险管理事项。(四)集团其他职能部室集团其他职能部室是本职能线上风险管理工作的组织推动者,负责日常风险管理工作,主要职责包括:1 .组织和推动本职能线上的风险评估、风险应对、风险日常监控、风险管理工作情况自查与改进等工作;2 .按照集团内部控制与风险管理办公室的工作部署,组织开展风险管理其他各项工作。(五)SBU审计部、一级利润中心相关部门风险管理岗位SBU审计部、一级利润中心相关部门风险管理岗位是本部门风险管理工作的具体实施者,负责日常风险管理工作的落实,主要职责包括:1 .完善修订本单位风险管理工作的相关制度、管理办法;2 .负责风险相关信息的收集整理工作,开展风险评估工作;3 .根据风险评估结果,提出风险管理策略和重大风险管理解决方案等应对措施;4 .负责风险管理体系运行的监控工作,监督跟踪各项风险控制指标;5 .负责风险管理体系运行的监控工作,监督跟踪各项风险控制指标,定期报告监控指标的变化情况;6 .评估风险管理工作的有效性,提出风险管理改进方案;7 .根据日常风险管理工作情况,编制本单位风险管理年度报告及其他风险管理相关报告,并按时提交集团审计部或上级单位;8 .实施其他风险管理相关的工作。第三章风险管理工作流程第一节风险管理工作流程概述风险管理工作流程是集团实施风险管理工作的过程。该流程的作用是为集团各'业务单元和各职能线之间搭建了一个风险信息沟通的交流平台,使集团全体人员借助这个平台能够系统性地梳理集团面临的各类风险,形成统一认识,支持战略目标的达成;协助集团管理层在风险防范上突出重点,合理配置资源;不同级别的管理人员能够籍此落实责任,实现风险分担;促使集团各职能线在实现战略目标的过程中,能够有机协同,破解难题。集团风险管理工作流程主要分为三个子流程:风险评估流程,风险应对流程和风险监督与改进流程。风险管理工作流程框架图如下所图3-1风险管理工作流程框架图第二节风险评估流程一、风险评估流程图风险评估流程是为了全面、系统的排查和梳理集团当前工作中存在的风险,评价风险的重要性水平,明确集团当前面临的重大风险,以及风险管理重点。风险评估流程主要包含风险辨识、风险分析和风险评价三个步骤。流程图如下所示:图3-2风险评估流程图二、风险评估流程主要步骤描述步骤描述备注常用工具模板(详见本章第四节)风险辨识风险辨识是通过各种辨识方法查找集团各业务单元、各项重要经营活动以及各重要业务流程中有无风险,有哪些风险的步骤。风险辨识的三个主要步骤:1 .如何辨识风险;2 .如何整理辨识结果;3 .如何管理风险事件。风险辨识问卷风险分析风险分析是对风险发生的原因以及风险产生的影响等要素进行分析的步骤。风险分析通常从三个方面进行分析:1 .分析风险发生的原因;2 .分析风险造成的影响后果及损失;3 .分析风险与部门管理职责之间的对应关系。风险事件库风险评价风险评价是对风险事件库中的风险从风险发生的可能性、风险发生对目标的影响程度等角度对风险进行评价和排序的步骤。风险评价工作的基础有两个方面:1 .设置风险评价标准;2 .明确风险管理等级。风险评价问卷三、风险评估工作方法集团实施风险管理,应广泛、持续不断地收集与本集团风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预测。在此基础上需要通过相关的工具和方法,结合集团的实际情况和需要来辨识和查找风险,然后通过使用统一的风险描述规则,对辨识出来的风险进行描述,再按照一定的管理逻辑将风险进行分类,建立系统性的风险事件库,从而能够系统性地辨识和展示风险,在此基础上对风险进行系统的分析,查找风险发生的原因,分析风险发生产生的影响,最后根据事先确定的原则和衡量标准来评估风险,筛选出重大的风险,为管理者提供管理决策的依据,合理配置管理资源。(-)风险辨识工作方法介绍风险辨识是风险评估流程中的基础环节,同时也是技术难点,需要特别注意的是,针对同一项业务或者流程,从不同的目的和视角出发可以辨识出不同的风险,不同的管理层级和岗位也会辨识出不同的风险。风险辨识有多种方法,常用的风险辨识方法如下表所示:辨识方法工作方式说明优点不足适用范围问卷调查是运用统一设计的问卷,向被选取的调查对象了解情况或征询意见的风险辨识方法。覆盖面广、获取的风险信息全面。对问卷内容的设计要求较高。常用于公司层面风险的辨识。流程梳理是首先将管理工作和制度流程化,然后以风险为导向,辨识影响流程目标的风险因素的方法。根据流程的环节顺序进行辨识,逻辑清晰,分析全面。需要系统的整理流程环节和步骤,并逐步进行分析,较耗费时间。常用于业务层面以及重大风险专项的风险的辨识。辨识方法工作方式说明优点不足适用范围头脑风暴是通过组织集团相关人员互动参与的方式共同探讨问题的风险辨识方法。高效,容易形成统一意见。易受主观因素影响。常用于新业务风险的辨识。目标分解是根据集团的各项目标进行分解,找到影响目标实现的风险因素的风险辨识方法。操作简单,逻辑清晰。对目标理解带有较大的主观性和不确定性。常用于各部门对公司层面的风险的辨识。职责分解是根据各部门的职责进行分解,找到影响职责工作完成的风险因素的风险辨识方法。操作简单,易于理解。各项职责比较琐碎。常用于各部门内的风险辨识工作。核对表单是将当前积累的风险管理经验和已经发生过的风险事件罗列出来,编制成核对表单的风险辨识方法。简洁有效,旦贴近业务实际。风险辨识的思维较为局限性。同时对编制表单人员的专业性要求比较高。常用于需要经常进行风险辨识的业务。财务分析是根据财务报表和数据的分析来辨识风险的方法。以数据为依据,结果为导向,能够快速且客观地反映出企业的重大风险。仅限于与财报相关的活动的风险辨识。同时要求辨识人员具备相当的财务经验。常用于财务相关部门的风险的辨识和更新。辨识方法工作方式说明优点不足适用范围现场访谈或座谈是按照事先设计好的、有一定结构的访谈问卷,通过面对面地交谈来进行风险辨识的方法。能快速直接的获得风险信息O对访谈提纲以及访谈者要求较高,易受主观因素影响。常用于公司层面风险的辨识以及专项业务风险的辨识。在风险辨识过程中,各辨识单位及人员应根据风险辨识的范围,结合集团的实际情况和管理需要,选择最合适的风险辨识方法开展工作,以保证风险辨识的效率和效果。“辨识风险”、“整理辨识结果”、“管理风险事件”是风险辨识环节的三个关键步骤,同时也是风险辨识的难点所在,针对这三个步骤,提供以下常用的解决方法。1、如何辨识风险?风险辨识的范围主要包括集团(公司)层面风险辨识和流程(业务单元)层面风险辨识两种类型。针对不同类型的辨识范围,风险辨识的方法也不同。针对集团(公司)层面如何进行风险辨识集团层面的风险辨识是以集团整体战略和利益为目标,从总体和全局的角度,查找集团经营管理和业务活动中存在的风险。首先收集、整理集团的内外部环境信息、,外部环境信息包括外部环境分析、行业定位、行业政策信息等,内部环境信息包括集团战略发展规划、年度经营目标、管理架构和组织架构、业务模式等信息。按照管理职能或者管理逻辑构建公司层面的风险辨识框架。比如公司可根据各管理职能部室的职责将风险辨识框架划分为运营风险,财务风险,战略风险,法律风险,市场风险等,以此框架明确辨识范围开始辨识风险。公司层面 风除 WR 框架图3-3公司层面风险辨识框架针对公司层面的风险辨识,问卷调查、目标分解和现场访谈或座谈是较为有效的工作方法,在辨识过程中为了提高辨识效率和增进辨识效果,要注意各项工作所需的工作模板和填写要求应该明确统一。针对流程层面如何进行风险辨识流程层面的风险辨识是基于业务流程而展开的,是通过对某个业务进行系统的流程梳理和各个业务环节的风险分析来查找其中潜在的风险因素。这种辨识方式的特点是按照业务活动的开展顺序来查找风险,系统性和逻辑性较强,辨识过程中目标范围清晰,问题聚焦。在对流程层面进行风险辨识时,首先要系统地梳理业务流程,然后运用问卷调查、现场访谈与座谈、头脑风暴等多种方法对流程各环节的风险进行辨识。在辨识过程中,需要邀请业务流程中涉及到的专业人员参与到辨识工作中。流程梳理法可参考本章第五节所附案例。2、如何整理辨识结果?风险是未来的不确定性对集团实现其目标的影响,风险事件是风险的具体表现形式,它的出现或发生会影响集团的目标实现或经营效果与效率。为了能够准确地表明风险事件,让使用者能够迅速了解风险事件的实质内容,需要在风险事件的描述上进行统一管理和规范。通常采取的描述方式有以下三种:第一种方式:主体+(连接词)+状态1.'.J4ft图3-4风险描述说明图1第二种方式:风险原因+连接词+状态关弓I邮瞬行为成所以由于缺乏明确由于信酬图5smu图3-5风险描述说明图2第三种方式:风险原因+连接词+状态+影响结果MferaI +引MMI +safe®+Ze串蛆常EmoTMfK1.由于信息梃+由于采购计划+不魏÷÷ IW½7R图3-6风险描述说明图3在集团内对风险事件的描述应当选择统一的方式,描述尽量清晰、简练,便于规范风险管理语言,准确传递风险信息。3、如何管理风险事件?在风险辨识后,通过对风险事件进行统一的描述整理,再按照一定的逻辑关系将风险事件进行结构化、层次化的归类,最终形成系统的、清晰的风险事件库。风险事件库有两个主要作用,一是帮助使用者从管理逻辑视角出发理解风险;二是便于使用者迅速而准确的定位和查找集团的风险。在整理出原始的风险清单并进行了统一的描述后,需要对风险清单中的每一条风险事件进行关键词的划分和整理,调整分类结构,最终形成公司的风险事件库。例如,以下风险清单中的三条风险事件,经过整理最终合并为一条风险事件:一级风险二级风险三级风险风险事件风险源可行卸懈KSWk*1、过开¢瓢曲瓯费嚏蝌搦预幽蟠2、缺少支持,风13计不足,可行性WJfe×FA3、944Ht,S90Umt4、相蒯UHM蚓完,aj,asmiss%f1.tnn丽=的策共不1.ffiki>2、外镀化日阿行伽完不准A3s弱ER熊力不足礴SI*BBS2、4t过BH毋43、相蚌门能力不足一级风险二级风险三级风险风险事件风险源晦可行!硼究te1.过T依做往瓶,舲加由昧的耐峭心缺HtBM娣法持,即岫计不足,可行性入»t,SEffistSHSWtt4、IaffiMmffi1.5pf图3-7风险事件库整理过程示例最终形成集团风险库,如下所示,在后续风险管理分析、应对的工作过程中,以此风险事件库为基础进行风险分析、制定应对措施等工作。一级风险二级三级风险风险风险事件风险源应对措施kfr,m*Mffi3992、1»少阖也第,网金佶计不足,防性 ¢m1.03、=隔镀化,HmbMft 。、4BffiMm4Mle1.gSJS9f9KtVK»»S»*SWW,贿®Bmytmmmtte 崎,血公蝌投 则目ka*S9&图3-8风险事件库(一)风险分析工作方法介绍风险分析有两个层面,首先对辨识出来的常规的风险进行定性分析,分析风险发生的原因、影响等因素。其次,对于专项风险,在定性分析的基础上,可以进行定量分析。常用的定量分析方法有蒙特卡洛模拟、回归预测分析法等。风险分析的结果为后续的风险应对提供了方向。对于风险事件的分析通常使用定性分析。定性分析可以从以下三个方面进行:1、分析风险发生的原因分析风险发生的原因一般使用动因分析法。该方法主要是分析导致风险发生的原因(或称风险源),包括内部原因和外部原因。在进行动因分析时,经常使用风险树进行分析,逐步较为全面地分析找出风险产生的各种原因,如制度流程的缺失,外部政策出台或取消的影响,培训不足,人员能力经验缺乏,资源配置不合理等。在法律风险、战略风险和运营风险中使用比较多。风险树分析如下图所示:图3-9风险树分析2、分析风险造成的影响后果及损失分析风险造成的影响后果及损失,常用传导图进行分析。通过了解风险影响的传导路径,建立风险与目标的关系,便于更准确地对该风险造成的后果及损失做出评价。传导图分析如下所示:新一轮煤电联动政策未及时启动图3-10风险传导图分析3、分析风险与部门管理职责之间的对应关系在风险分析过程中,运用风险与组织的映射关系形成风险管理责任矩阵,将风险管理责任落实在相关部门的具体职责上。风险管理责任矩阵的作用在于明晰公司不同部门和岗位风险管理的责任,从而进一步有效应对风险,明确管理职责,建立监督考核机制,提高风险管理工作的效率和效果。风险管理责任矩阵如下图所示:一级风险二级风险三级风险战略部采购部工程建设部人力资源部审计部法律部侑息S理部战略风险投资风险项目立项尽职调查运营风险采购风险供应商准入供应商评价人力资源人才招聘风险人才培训为主责部门,为辅责部门图3-11风险管理责任矩阵(三)风险评价工作方法介绍风险评价是统一集团各层级对重大风险达成共识的过程,集团管理层需要针对当前面临的重大风险优先配置管理资源,以达到有效防范风险的目的。开展风险评价工作的前提是设置风险评价的标准和设定风险管理等级,具体可以参照以下方法进行。1、如何设置风险评价的标准?风险管理评价标准是统一集团风险认识的工具,是风险评价的基础,代表了集团的风险态度。风险评价标准可以从风险发生可能性、影响程度、管理迫切性等维度进行评价,评价时需对每个维度设定分值和评分标准。各单位可以根据自身实际情况设计风险评价维度,并赋予不同的分值和评价标准。以5分制的打分标准为例,可以参考如下评价标准:风险发生可能性示例评分12345一定时期发生的概率10%以下10%-30%30%-70%70%-90%90%以上文字描述一极低低中等高极高文字描述二一般情况下不会发生极少情况下才发生某些情况下发生较多情况下发生常常会发生文字描述三今后10年内发生的可能少于1次今后5-10年内可能发生1次今后2-5年内可能发生1次今后1年内可能发生1次今后1年内至少发生1次下表列出某公司关于风险发生后对目标影响程度的定性、定量评估标准及其相互对应关系,供实际操作中参考。风险影响程度示例评分12345企业财务损失占税前利润的百分比()1%以下1.%-5%6%-10%11.%-20%20%以上文字描述一极轻微的轻微的中等的重大的灾难性的文字描述二极低低中等高极高文字描述三企业日常运行不受影响轻度影响(造成轻微的人身伤害,情况立刻受到控制)中度影响(造成一定人身伤害,需要医疗救援,情况需要外部支持才能得到控制)严重影响(企业失去一些业务能力,造成严重人身伤害,情况失控,但无致命影响)重大影响(重大业务失误,造成重大人身伤亡,情况失控,给企业致命影响)财务损失较低的财务损失轻微的财务损失中等的财务损失重大的财务损失极大的财务损失一银行追债、资金链断裂企业声誉负面消息在企业内部流传,企业声誉没有受损负面消息在当地局部流传,对企业声誉造成轻微损害负面消息在某区域流传,对企业声誉造成中等损害负面消息在全国各地流传,对企业声誉造成重大损害负面消息流传世界各地,政府或监管机构进行调查,引起公众关注,对企业声誉造成无法弥补的损害安全短暂影响职工或公民的健康严重影响一位职工或公民健康严重影响多位职工或公民健康导致一位职工或公民死亡引致多位职工或公民死:营运-对营运影响微弱-在时间、人力或成本方面不超出预算1%-对营运影响轻微-受到监管者责难-在时间、人力或成本方面超出预算1.%-5%-减慢营业运作-受到法规惩罚或被罚款等-在时间、人力或成本方面超出预算-无法达到部分营运目标或关键业绩指标-受到监管者的限制-无法达到所有的营运目标或关键业绩指标-违规操作使业务受到中止-时间、人力风险影响程度示例评分12345企业财务损失占税前利润的百分比()1%以下1.%-5%6%-10%11.%-20%20%以上文字描述一极轻微的轻微的中等的重大的灾难性的文字描述二极低低中等高极高6%-10%-在时间、人力或成本方面超出预算1.1.%-20%或成本方面超出预算20%环境-对环境或社会造成短暂的影响-可不采取行动-对环境或社会造成一定的影响-应通知政府有关部门-对环境造成中等影响-需一定时间才能恢复-出现个别投诉事件一应执行一定程度的补救措施一造成主要环境损害-需要相当长的时间来恢复-大规模的公众投诉-应执行重大的补救措施-无法弥补的灾难性环境损害-激起公众的愤怒-潜在的大规模的公众法律投诉风险评价标准确定后,风险管理职能部门组织相关部门参与风险打分,在打分过程中注意以下两点:第一,参与风险评价的人员需要熟悉业务并掌握风险评价基本的方法,人员数量不宜过多。第二,参与风险评价的人员需要来自多个层级,以确保评价结果的全面性。对参与打分的人员给出的分数进行加权平均,即可得到每个风险的发生可能性和影响程度的分数,然后根据以下公式得出每个风险的分数:风险分数=风险发生可能性分数X风险影响程度分数。2、如何设定风险管理等级?每个风险的分数确定后,需要按照设定的风险等级对风险事件进行排序,以明确各类风险的优先管理顺序和管理策略。在确认风险管理等级的过程中,通常采取风险图谱或相对排序来确定风险的管理等级。在风险图谱中“红”、“黄”、“绿”三种颜色分别代表高、中和低等级风险,例如:3.5分值5为红色区域,即重大风险;2.5分值3.5为黄色区域,即重要风险;1分值2.5为绿色区域,即一般风险。此外,风险图谱的颜色分布代表公司对风险的一种管理偏好。不同行业的公司其风险管理偏好可能不同。有倾向于“风险影响程度较高,发生可能性较低”的风险;亦有倾向于“风险发生可能性较高,影响程度较低”的风险。偏发生可能性掠影1«程度根据本单位特点灵活调整图3-13风险偏好图示相对排序法是指对风险评价最终得分进行相对排序,从而确定重大风险。各单位可结合自身的风险管理水平和当前的管理资源,选择排序相对靠前的风险作为当前的重大风险。在风险管理等级设定时,应该注意以下事项:第一,各单位应当尽量保证相关分管领导、相关部门负责人、相关工作人员均有一人参与到风险管理等级的评价工作。第二,风险管理等级的评价结果应依据不同层级人员的评价分值进行加权计算,以保障风险管理等级结果的科学性和准确性。第三节风险应对流程一、风险应对流程图针对XX集团年度重大风险,明确风险应对策略,制定风险应对建议与方案。风险应对流程图如下:图3-14风险应对流程图二、风险应对流程主要步骤描述步骤描述备注常用工具模板(详见本章第四节)风险管理策略风险管理策略是指集团根据自身条件和外部环境,围绕集团的发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险降低、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。各单位在制定风险策略的过程中,要正确认识和把握风险与收益的平衡,防止忽视风险、片面追求收益而不讲条件、认为风险越大收益越高等的观念和做法;同时,也要防止单纯为规避风险而放弃发展机遇。风险管理解决方案风险管理解决方案是针对各类风险或每一项重大风险,根据风险管理策略制定的应对措施。风险管理应对措施一般应包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如:关键风险指标管理、损失事件管理等)。风险管理应对措施三、风险应对工作方法风险应对流程是风险管理工作流程的核心流程。该流程有两个主要环节:第一,集团根据自身情况和外部环境,围绕发展经营目标,根据评估得出的重大风险选择风险管理策略;第二,集团制定并实施风险管理解决方案。通过该环节的实施,可以有效提升集团的风险管控能力,强化风险管理的效率和效果,将风险管理控制在集团可承受的范围内,为实现战略目标提供保障。(-)风险管理策略工作方法介绍1、如何确定风险偏好及风险管理工具风险偏好是集团在承担风险种类、大小等方面的基本态度,要解决的是“集团愿意承担什么风险”的问题。风险偏好和集团的战略直接相关,是集团管理层根据发展战略经过内部讨论确定的,是审时度势后的选择。例如,风险偏好是积极进取,承担较大风险,或是审慎稳健,尽量规避风险。在明确风险偏好后,从集团业务管理目标和现状出发,结合内外部风险动因及可控程度,选择风险规避,风险承担,风险转移,风险降低,风险对冲,风险补偿等相应的风险管理工具开展风险应对工作。常用的风险管理工具详细说明如下表所示:风险管理工具含义举例风险规避指通过退出或停止产生风险的业务或活动来规避风险。某投资项目的可行性研究经评估,认为该项目投资目的地的政策环境不确定性较大,项目决策审批未通过,该例为通过风险管理工具含义举例不实施项目来规避政策风险。风险承担指为获取机会,不采取任何改变风险发生可能性或影响的行动。也称风险自留、风险接受等。上例中如果公司的战略为积极扩张型,则可能承担较大的风险,决策结果为审批通过,该例即是为获取投资机会承担风险。风险转移指通过转嫁或与他人共担一部分风险来降低风险发生的可能性或影响,也称风险共担等。示例:安全责任合同、保险、业务外包、期权、担保等。风险降低指采取措施减少风险发生的可能性、影响或者两者同时减少,也称风险缓释、风险减轻等。示例:通过培训减少员工操作错误的可能性,通过设定审批权限限制投资失误造成的损失O风险对冲指通过承担多个风险,使相关风险能够互相抵消。示例:资产组合、多种外币结算、战略上的分散经营、套期保值等。风险补偿指事前(损失发生以前)对风险承担的价格补偿。对于那些无法通过风险转移、对冲、降低进行管理,又无法规避、不得不承担的风险,企业在事前或损失发生以前可以采取在交易价格上附加风险溢价,提高风险回报的方式,获得承担风险的价格补偿。示例:投资并购过程中预先充分考虑到各种风险因素,并通过签订业绩补偿协议来实现风险的合理控制。2、如何确定风险承受度风险承受度是集团为了实现其目标所愿意承担的风险的限度,要解决的是“集团能够承担多少风险”的问题。各单位应根据不同业务的特点,结合风险偏好和自身的管理要求,明确风险的最低限度和不能超过的最高限度,并据此确定风险的预警线及采取相应的对策。如何设计风险预警指标风险预警指标是风险管理解决方案的重点,是风险应对措施有效性判断的重要依据,其设计的科学性与合理性直接关系到后续的风险监督与改进执行的有效性。风险预警指标的设计要尽量选择可量化、易收集且与风险的关联度高,能够前瞻性地反应风险变化的指标。风险预警指标主要有以下三种常见的设计方法:方法一,通过对风险发生原因进行分析,找出其中的关键因素,将可量化的关键风险原因作为预警指标。例如,工程进度风险的主要原因是工程变更审批时间过长可能导致工程进度发生拖期。该“工程技术审批时间”即为关键风险预警指标。方法二,将风险控制措施作为预警指标,此种方法需要详细制定风险控制措施,使其可操作、可考核。例如,针对投资风险,风险控制措施要求投资项目的资产收益率最低不能低于15%,因此资产收益率可作为该风险控制的预警指标。但有些控制措施,难以用定量的预警指标进行衡量,如强化职工安全培训是应对EHS风险的重要措施,但培训的效果难以用定量的指标进行评估。针对此类应对措施,其预警指标可以用业务执行标准或计划指标替代。例如,强化职工安全培训,该措施预警监控指标可以为“每年在公司全员范围内完成安全培训的次数”或“EHS培训合格通过率”等。方法三,以风险历史数据作为预警指标。例如,经济损失、人员伤亡、重大违规处罚金额、关键岗位流失率等。如何设计风险承受度指标风险承受度是风险预警指标的延伸,是风险预警指标的预警区间。风险承受度可分为一级承受度和二级承受度,分别代表集团不同的承受水平,对应着集团不同的应对措施;当风险预警指标触及一级承受度即亮黄色警报,有关责任部门予以高度关注并采取相应措施;风险预警指标触及二级承受度即亮红色警报,应启动重