XX局内控与管理手册(三)Word下载.doc
《XX局内控与管理手册(三)Word下载.doc》由会员分享,可在线阅读,更多相关《XX局内控与管理手册(三)Word下载.doc(30页珍藏版)》请在冰点文库上搜索。
4.5.2风险应对方案 122
5公司层面风险应对策略 123
5.1施工安全与质量风险 124
5.1.1定义 124
5.1.2可能造成的损失或影响 124
5.1.3产生的原因 124
5.1.4管理策略 125
5.1.5对应的业务流程 125
5.2企业声誉风险 125
5.2.1定义 125
5.2.2可能造成的损失或影响 125
5.2.3产生的原因 125
5.2.4管理策略 126
5.2.5对应的业务流程 126
5.3工程项目管理风险 126
5.3.1定义 126
5.3.2可能造成的损失或影响 126
5.3.3产生的原因 126
5.3.4管理策略 127
5.3.5对应的业务流程 127
5.4境外公司经营风险 127
5.4.1定义 127
5.4.2可能造成的损失或影响 127
5.4.3产生的原因 128
5.4.4管理策略 128
5.4.5对应的业务流程 128
5.5市场供求风险 128
5.5.1定义 128
5.5.2可能造成的损失或影响 128
5.5.3产生的原因 128
5.5.4管理策略 129
5.5.5对应的业务流程 129
5.6人才储备风险 129
5.6.1定义 129
5.6.2可能造成的损失或影响 129
5.6.3产生的原因 129
5.6.4管理策略 129
5.6.5对应的业务流程 130
5.7外部劳务使用风险 130
5.7.1定义 130
5.7.2可能造成的损失或影响 130
5.7.3产生的原因 130
5.7.4管理策略 131
5.7.5对应的业务流程 131
5.8投资风险 131
5.8.1定义 131
5.8.2可能造成的损失或影响 131
5.8.3产生的原因 132
5.8.4管理策略 132
5.8.5对应的业务流程 132
6业务流程层面风险应对策略 132
1概述
1.1风险
1.1.1概念
风险是指未来的不确定性对公司实现其经营目标的影响,所有公司,无论规模、结构和行业性质,都面临着诸多来自内部和外部的风险,影响公司既定目标的实现。
1.1.2风险的类型
按照不同的分类标准可以将公司面临的风险做如下区分:
1.1.2.1以对公司目标实现产生的影响为标准
针对公司制定的目标,可以根据对不同目标实现产生影响的因素,将公司风险分为战略风险、财务风险、法律风险、市场风险、运营风险等。
1.1.2.2以风险的来源为标准
根据风险的来源可以将公司风险分为内部风险和外部风险。
1.1.2.3以是否为公司带来盈利为标准
以能否为公司带来盈利等机会为标志,可以将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。
1.1.2.4以应对风险的层面为标准
根据对风险做出应对策略所在层面的不同,可以将风险分为公司层面风险和业务活动层面风险。
1.2风险评估
1.2.1概念
风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略的过程,是风险管理的基础。
在风险评估中,既要识别和分析对实现目标具有阻碍作用的风险,也要发现对实现目标具有积极影响的机遇。
1.2.2风险评估的范围
公司针对战略目标、经营目标、报告目标、合规性目标及资产安全目标,分别开展战略风险、经营风险、报告风险、合规性风险及资产安全风险评估。
2关注要点
公司的风险评估程序从公司层面和业务活动层面分别展开,识别风险,分析其相关影响。
公司风险评估时需考虑影响公司目标实现的内、外部风险因素,对这些风险因素进行分析,为风险管理提供依据。
2.1识别外部风险的机制是否健全
公司识别外部风险,重点关注下列因素:
1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。
2.法律法规、监管要求等法律因素。
3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
4.技术进步、工艺改进等科学技术因素。
5.自然灾害、环境状况等自然环境因素。
6.其他有关外部风险因素。
2.2识别内部风险的机制是否健全
公司识别内部风险,重点关注下列因素:
人力资源因素、经营管理因素、工程项目因素、科技创新因素、财务因素、安全质量因素、投资管理因素、法律合规因素以及其他有关的内部风险因素。
1.董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。
2.组织机构、经营方式、资产管理、业务流程等管理因素。
3.研究开发、技术投入、信息技术运用等自主创新因素。
4.财务状况、经营成果、现金流量等财务因素。
5.运营安全、员工健康、环境保护等安全环保因素。
6.其他有关内部风险因素。
2.3识别重要风险
针对业务活动层面的每一个重要目标识别相应的重要风险。
2.4识别风险分析程序的全面性和相关性
风险分析程序的全面性和相关性主要包括:
分析风险发生的可能性(或频率、概率)、分析风险可能产生的影响、确定风险的重要性水平,并决定风险应对策略。
2.5建立风险评估机制
风险评估机制是指对影响公司层面或业务活动层面目标的活动及时间进行预见、识别及应对,能够识别并应对对公司具有重大、深远影响的风险。
3风险评估的原则
3.1体现从实际出发,坚持与理论相结合的原则
内部控制体系的成功实施取决于能否将公司风险控制在与公司总体目标相适应并可承受的范围内,公司需要结合所处行业的特征、公司本身的业务模式和公司发展的具体阶段,识别公司层面及业务层面风险,并从实际出发,借助先进的评估方法及模型对风险进行打分评级,建立公司风险库。
3.2满足提高管理水平与监管要求相结合的原则
公司的价值观、发展战略和管理理念是直接影响内部控制及风险管理水平的内部环境要素,国家主管单位的监管要求是影响内部控制与风险管理水平的外部环境要素,风险评估是内部控制与风险管理的基础,因此公司在风险评估的过程中要结合公司的价值观、发展战略和管理理念,同时还要满足相关监管方的要求。
3.3考虑实效性、渐进性原则
构建内部控制与风险管理体系是复杂的系统工程,需要通盘考虑、统筹规划,重点突出,注重实效,循序渐进。
公司应该从战略、环境、组织、流程、资源五个层面系统、客观地进行风险识别和风险评估,并随着公司业务发展、外部环境变化定期、持续进行,如公司针对管理及业务拓展过程中出现的新情况,循序渐进的进行风险识别及风险评估,并根据评估结果适时更新风险数据库,为建立切实有效的内部控制与风险管理体系打好基础。
4风险评估的基本程序
4.1建立风险评估的基础
在公司内部建立通用的风险管理语言和标准,包括建立公司风险的定义;
风险管理的定义;
构建风险类型;
明确风险偏好和风险承受度的概念;
确立评估风险的标准。
4.2目标设定
公司在进行风险评估时,需根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。
4.2.1目标的类型
4.2.1.1战略目标
战略目标是对公司战略经营活动预期取得的主要成果的期望值。
战略目标统领经营目标、报告目标、合规目标及资产安全目标。
4.2.1.2经营目标
公司经营目标是在一定时期公司生产经营活动预期要达到的成果。
可以用业绩和利润性目标来描述。
4.2.1.3报告目标
报告目标是向报告使用者提供与公司财务状况、经营成果、现金流量及发展前景等有关的决策信息。
报告分为内部报告和外部报告,既有财务信息,又有非财务信息。
4.2.1.4合规目标
合规目标是指公司主动地遵守公司经营活动相关的法律、监管规定、自律性组织的有关准则,以及公司的行为准则,避免法律制裁、监管处罚、行业处置等重大财务损失、声誉损失,保证战略目标的实现。
4.2.1.5资产安全目标
资产安全目标是为了预防和控制资产管理环节中的风险和损失。
保障资产安全目标包括防止公司在经授权下无效率经营,损失资产;
防止员工舞弊、防止公司资产被盗等。
4.2.2初始信息收集
根据设定的控制目标,收集与公司风险和风险管理相关的内、外部初始信息,并对收集的数据和信息进行反复核实、不断验证,以确保信息本身的真实、可靠,通过必要的筛选、提炼、对比、分类和组合对风险进行识别,以便开展风险评估。
外部初始信息至少包括:
1、国内外宏观经济政策以及经济运行情况,影响融资、资本支出等。
2、国家安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素,导致对产品或服务需求的变化、新的购买场所和人力资源问题。
3、行业状况、国家产业政策因素。
4、能源、原材料、配件等物资供应的充足性、稳定性和价格变化。
5、潜在竞争者、竞争者及其主要产品、替代品情况等竞争因素,影响公司的战略目标。
6、技术进步、工艺改进等科学技术因素,影响研发的性质和时机。
7、不断变化的客户需求和期望,影响产品的开发和定价。
8、自然灾害、环境状况等自然环境因素,可能导致公司遭受损失。
9、法律法规、监管要求等法律法规和政策因素。
如财务部、国税局、北京市地税局、银监局、证监局关于购买固定资产的增值税优惠政策、关于购买节能减排等专用设备的企业所得税优惠政策等。
10、其他有关外部风险因素。
内部初始信息至少包括:
1、公司组织机构、管理层职责的变化,包括组织结构的形式,各职能部门的划分,以及各职能部门的权责分配情况,上述变化可能影响公司实施控制的方式。
2、公司的发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据等信息。
3、公司的各种业务政策,包括普遍性原则和具体的操作指南,是连接战略与业务流程的链环,可能导致公司战略目标不能得以实现。
4、公司的各种业务流程信息,包括质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节。
5、经营方式、资产管理等管理因素,可能产生公司资产的挪用。
6、董事、监事、经理及其他高级管理人员的职业操守、必要的知识、专业技能和经验等人力资源因素,可能为管理层的轻率行为提供机会,致使公司遭受损失或业务控制系统失灵。
7、财务状况、经营成果、现金流量等财务因素,影响财务报告信息的真实完整性。
8、信息系统运行中断,影响经营的正常运转。
9、公司签订的重大协议和有关贸易合同,以及发生的重大法律纠纷案件的情况等,可能导致公司的法律风险。
10、其他有关内部风险因素。
4.3风险识别
4.3.1概述
风险识别是指查找公司各项经营管理活动中存在的影响目标实现的风险和机遇的过程。
公司分别从公司层面、业务活动层面(流程层面)动态识别影响公司战略目标及相关目标实现的内部和外部的各种不确定性因素。
风险识别的步骤:
1、从目标设置与层层分解确立关键业务事项。
2、通过问卷、访谈、第三方研究成果等途径收集相关内外部信息和资料。
3、从内部环境和外部环境两个角度,考虑和寻找在实现目标过程中的内外部风险。
4.3.2公司层面风险识别
公司层面风险识别是基于广泛的内、外部信息收集,通过与公司经营管理层以及各职能部门负责人的访谈所了解的公司基本运营情况,结合经过筛选、提炼、对比、分类、组合的风险管理信息,并在此基础上充分考虑国家各部委有关风险评估的相关要求而进行的。
公司层面风险库如表1所示。
表1公司层面风险库
4.3.3业务流程层面风险识别
搭建覆盖公司业务范围的三级流程体系框架,制定、优化公司末级业务流程,并完善流程活动说明,在各流程的基础上,以流程活动为主线,识别影响公司目标实现的风险。
4.4风险分析
4.4.1概述
风险分析是指企业采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险的过程。
4.4.2公司层面风险分析
4.4.2.1公司层面风险分析的主要内容
公司层面风险分析是以公司层面风险识别为基础,通过调查问卷的形式而开展的。
问卷调查应经过两轮多次的循环验证,使公司中高层最终对风险的理解和认识趋于一致。
4.4.2.2公司层面风险分析的标准、范围、参与人员及方式
1、公司层面风险分析的评分标准
风险问卷调查对风险发生可能性和风险影响重大性评分分为5个级别,具体评分标准请见表2和表3。
表2风险发生可能性评分标准
评分
1
2
3
5
标准
极低
低
中等
高
极高
一般情况下不会发生
极少情况下才发生
某些情况下发生
较多情况下发生
常常会发生
举例
(注)
今后10年内发生的可能少于1次
今后5-10年内可能发生1次
今后2-5年内可能发生1次
今后1年内可能发生1次
今后1年内至少发生1次
注:
举例中的对可能性判定标准的描述仅供您参考,您可以根据自己对风险发生可能性的判定标准对问卷中风险发生的可能性进行判断。
表3风险影响重大性评分标准
极轻微的
轻微的
中等的
重大的
灾难性的
举例(注)
财务损失
较低
轻微
重大
极大
公司日常运行
不受影响
轻度影响(造成轻微的人身伤害,情况立刻受到控制)
中度影响(造成一定人身伤害,需要医疗救援,情况需要外部支持才能得到控制)
严重影响(公司失去一些业务能力,造成严重人身伤害,情况失控,但无致命影响)
重大影响(重大业务失误,造成重大人身伤亡,情况失控,给公司致命影响)
公司声誉
负面消息在公司内部流传,公司声誉没有受损
负面消息在当地局部流传,对公司声誉造成轻微损害
负面消息在某区域流传,对公司声誉造成中等损害
负面消息在全国各地流传,对公司声誉造成重大损害
负面消息流传世界各地,政府或监管机构进行调查,引起公众关注,对公司声誉造成无法弥补的损害
注:
举例中的对影响重大性判定因素及标准的列举仅供您参考,您可以根据自己对风险影响重大性的考虑因素和判定标准对问卷中风险发生影响的重大性进行判断。
2、公司层面风险分析的范围
依据全面风险管理的要求,评估范围包括公司所有职能部门,涵盖各项重要经营活动及其重要业务流程。
通过对公司层面风险发生的可能性及风险发生后对公司的影响程度进行分析和评价,并在此基础上进行调查问卷的评分工作。
3、公司层面风险分析的参与人员
参与问卷调查的被调查人员包括公司领导、各职能部门负责人和骨干人员。
参与调查问卷的各职能部门包括:
董事会监事会办公室、党委办公室、机关党委、纪委监察部、行政办公室、企业管理部、人力资源部、财务部、资金部、法律事务部、市场营销部、投资发展部、国际业务部、工程管理中心、安全质量监察部、工程经济部、技术中心、试验测试中心、社管中心、网络信息中心、局工会、团委、宣传部、组织部。
第二轮参与问卷调查的被调查人员包括:
4、公司层面风险分析的方式
问卷调查通过两轮多次的循环验证,最终使公司中高层对风险的理解和认识趋于一致。
(1)公司层面风险第一轮调查问卷的形成
第一轮调查问卷的问卷风险是基于与公司经营管理层以及各职能部门负责人的访谈所了解的公司基本运营情况,结合收集的风险管理初始信息,融入了中国XX局集团有限公司梳理出的8个重大风险,并在此基础上充分考虑国家各部委有关风险评估的相关要求而形成的。
第一轮调查问卷详见附录一。
(2)公司层面风险第二轮调查问卷的形成
第二轮调查问卷的问卷风险是按照第一轮问卷调查评分结果的分值由高到低排序筛选出风险,然后将筛选出来的风险以及国资委规定的五大风险作为公司层面的风险数据库和第二轮评分的问卷风险。
第二轮调查问卷详见附录二。
(3)公司层面重大风险的确定
第二轮问卷调查的评分结果经过德尔菲调研和离散度测试等定性和定量分析方法的多次循环验证,使公司的中高层最终对风险的理解和认识趋于一致。
按照第二轮评分最终结果的分值由高到低排序,筛选前 25个风险作为确定重大风险的讨论基础,由总经理办公会进行深入讨论,最终确定公司层面8个重大风险。
(4)公司层面风险分析的结果
通过第一轮和第二轮问卷调查打分结果分析汇总,公司第一轮和第二轮风险问卷调查的评分结果具体如下:
第一轮风险问卷调查的评分结果详见附录三。
第二轮风险问卷调查的评分结果详见附录四。
(5)公司层面风险的排序
通过对问卷调查两轮评分结果的排序,主要作用表现在:
第一轮问卷调查评分结果按照分值由高到低排序,形成公司层面风险库和第二轮的调查问卷;
第二轮问卷调查评分结果按照分值由高到低排序,形成管理层深入讨论的讨论基础,并最终确定公司层面重大风险。
公司层面前15大风险的排序示例详见表4。
表4公司层面风险排序
风险编号
风险
风险类别
施工安全与质量风险
运营风险
企业声誉风险
工程项目管理风险
境外公司经营风险
市场风险
市场供求风险
6
人才储备风险
7
外部劳务使用风险
8
投资风险
战略风险
9
应收账款风险
财务风险
10
战略管理风险
11
分子公司管控风险
12
采购管理风险
13
合同管理风险
法律风险
14
技术研发风险
15
竞争对手风险
通过问卷调查评分确定的公司层面前15大风险的可能性和影响程度在风险地图中的展示结果详见图1。
图1风险地图
4.4.3业务流程层面风险分析
4.4.3.1流程层面风险分析的目的
流程层面风险分析是以公司各模块业务流程风险的识别为基础,通过流程层面风险打分的形式确定需要重点关注的流程风险,从而确定关键控制。
4.4.3.2流程层面风险分析的标准、范围、参与人员及方式
1、流程层面风险分析的评分标准
流程层面风险分析的评分标准与公司层面风险分析的评分标准一致,请参见:
公司层面风险分析的评分标准。
2、流程层面风险分析的范围
依据全面风险管理的要求,此次分析的范围包括公司所有职能部门,涵盖各项重要经营活动及其重要业务流程。
通过对各个流程层面风险发生的可能性及风险发生后对公司的影响程度进行分析和评价,并在此基础上进行流程层面风险数据库的评分工作。
3、流程层面风险分析的人员
流程层面风险分析的评分参与人员应为各流程的主管部门领导及流程相关的具体操作人员。
4、流程层面风险分析的方式
流程层面风险分析是基于公司与各个三级子流程相关职能部门的负责人及操作岗位人员的问卷调查,从风险的可能性和影响两个方面对风险进行评分。
4.4.3.3流程层面风险分析的内容
根据公司的业务流程,分为公司治理模块、战略管理模块、生产经营计划模块、运营监控模块、法律事务模块、人力资源模块、财务管理模块资本运营模块、科技管理模块、市场营销模块、工程管理模块、安全质量环保模块、国际业务管理模块、综合管理模块、信息管理模块。
4.5风险应对
4.5.1概述
风险应对策略是指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险规避、风险降低、风险分担、风险承受等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。
风险应对的主要目的是将剩余风险控制在风险承受度以内。
风险管理的最终目的是利用公司现有的资源对公司所面临的风险,分不同情况采取措施进行应对。
风险偏好是指企业在追求愿景的过程中所愿意承受的广泛意义的风险数量,它在制定战略和选择相关目标时起到风向标的作用。
风险承受程度是指在企业目标实现的过程中所能接受的偏离程度。
4.5.2风险应对方案
风险应对方案主要有以下几种基本类型:
4.5.2.1风险规避
风险规避是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。
采用风险规避的目的是,预期出现不利后果时,一并化解风险。
比如公司可以认为某个投资项目的风险发生的可能性很大而又不能承受也不能采取措施降低,公司则可以选择退出投资项目,从而规避除风险。
4.5.2.2风险降低
风险降低是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。
风险降低具体包括风险对冲,风险控制,风险分散等方法,不同的实际情况适用不同的风险降低方法。
常用的一种形式是风险分散,即通过分散的形式来降低风险,比如在多种股票而非单一股票上投资。
降低风险可以采取多种形式,包括采用套期。
套期是交易商建立证券、商品或货币对冲持仓,从而抵消所面临的风险。
公司还可以采用其他许多方法降低风险敞口,包括市场研究、地区及。
产品线的多样化、筛选和监控客户、外包、给产品定
升级会员 