**医药有限公司
风险评估及应对报告
报告单位：**医药有限公司
编报时间：2018年9月28日
风险评估及应对报告
为贯彻集团总部风险预防精神，切实从源头上预防、减少和消除经营过程中影响安全生产隐患。

根据这一要求，执行内控体系建设的企业，应当对内部控制的有效性进行自我评价。

在公司执行内控梳理和评价的过程中，为了有效的提高工作效率、明确工作侧重点，应当遵循风险导向原则，以风险评估为基础，全面考虑企业面临的主要风险，根据发生的可能性和对企业单个或整体控制目标造成的影响来确定需要评价的重点业务单元、重要业务领域或流程环节。

因此，管理层借助本项目达到对现有风险因素进行归集和分析的目的，以期对未来公司战略及管理理念的调整提供有益的参考。

一、风险评估相关情况说明
（一）风险评估的时间 2018年9月28日
（二）风险评估的范围、目标
►公司目前面临来自外部内控合规要求及内部管理提升需要，因此风险评估工作的起点是从满足企业内部控制的直接目标出发，同时兼顾管理整合和改进需求，力求在保证工作目标明确提高工作效率；
►风险评估考虑因素的制定充分考虑了公司内部管理需求、外部监管要求、业务重要性、行业影响因素及其他专业机构可能提出的参考和建议；
►具体风险评估范围的确定，主要从战略、运营、财务及合规四个维度汇总、分析了可能出现的潜在风险，以合理保证本次风险评估工作的完整性和充分性；
►在项目推行过程中，主要针对公司管理人员组织了讨论，并根据由此收集到的风险信息，对潜在风险进行了梳理和排序。

（三）风险评估的方法
本次风险评估工作以公司层面高度为基调进行，关注公司核心管理团队的风险承受能力及风险偏好，同时对各职能部门负责人进行风险讨论，参考他们对公司层面风险初步的评价和判断，综合各项风险影响因素而形成最终风险清单和风险排序。

工作方法包括管理层讨论、专家咨询、集体讨论、情景分析、政策分析、行业标杆比较、由专人主持的工作讨论和调查研究、模型计算等。

通过上述方法评估，结合公司自身特点，从战略、运营、合规、财务四个层面做出了详细的风险汇总表，共涉及23个类别的72项风险。

其中，23个风险类别包括：
战略风险经营风险合规风险财务风险
公司治理
战略规划及资源配置重大革新
合并和资产剥离
市场因素营销和市场-信息科技
供应链
人力资源
信息技术
灾害
实物资产管理
税务项目管理
资产经营
行为规范
法律
监管
全融市场
资产流动性和公司信誉
会计政策和报告
资本结构
监管
（四）风险评估参与人员
10月8日在公司会议室，通过开展管理层讨论，从公司整体运作层面了解了目前公司的风险状况。

参与讨论的高管层包括：
部门职位姓名
总经理
副总经理
总经理助理
质量副总
质管部负责人
采购部负责人
（五）风险评分的标准
风险评分标准依据风险对公司的影响及风险发生的可能性两个维度进行划分。

风险参数建立在公司的风险偏好基础上，即公司为实现自己的战略目标而愿意接受的风险程度。

考虑以上因素，将风险发生的后果及可能性分为以下五类分值：
风险影响程度的判断参考指标：
风险发生可能性的判断参考指标：
根据管理层讨论结果，按照上下公式计算出第个风险的得分，并据些对10大分险做出了排序。

风险发生可能性= ∑每位部门负责人风险发生可能性打分/高管人数
风险影响程度= ∑每位部门负责人风险影响程度打分/高管人数
风险总分= 风险发生可能性X风险影响程度
根据风险总分得出的20 大风险最终排序结果见风险评估结果。

（六）风险评估报告
基于上述工作，我们总结、分析了风险评估过程中收集到的各类数据和现场观察结果，汇总形成本报告，并提交管理层作为未来风险管理工作的基础。

二、风险评估的结果
（一）风险评估结果及风险描述
根据管理层对重要风险的讨论结果，我们按照风险得分从高到低的顺序将目前公司面临的 10 大主要风险排序如下。

同时，为了帮助管理层掌握风险细节，我们也将具体风险描述、风险得分及风险关注点一同做了列示：
（二）风险坐标分析
1、为了更好的体现公司现有重大风险总体管控状况，我们引用风险坐标这一工具直观的反应10大风险的具体分布情况。

风险坐标是基于各个风险的打分情况及风险总分，将其分为高、中、低三个等级，反应在下图不同颜色的区域中（其中绿色为低风险区域、黄色为中风险区域、红色为高风险区域）：
结合10大风险的打分结果，我们可以得出以下风险分布：
由上图可以看出，目前公司主要风险为中等水平风险。

三、未来风险管理工作建议
（一）风险应对策略
1、风险关注程度
对于不同的风险，管理层需根据其可能造成的不同影响投以不同的关注程度、明
确不同的管理策略，才能达到双高效（高效果、高效率）的目的。

三个风险级别及我们建议的管理层关注程度如下：
2、风险应对策略
风险应对是指管理层在评估相关风险后，按照风险管理优先顺序和风险管理策略，结合风险预警机制，对各类风险或每一项重大风险制定、评估和选择风险管理解决方
案的过程。

其中，风险应对策略指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险转移、风险控制、风险规避等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。

一般公司引用的应对策略有以下几类：
建议管理层逐条分析公司目前面对的重大风险，讨论确认相应的风险应对
策略，并针对风险应对策略制定的应对风险的具体措施，包括采取的应对动作、执行人、执行成本等，最终形成风险应对计划。

（二）建立完善风险管控及监督体系
为了提高公司整体风险防范能力，我们建议管理层从以下几方面入手建立和完善风险管控及监督体系：
1、组建风险管理工作组：
1.1此工作组可以为非常设机构，由公司主要领导及负责风险评估等具体
工作的同事组成；
1.2工作组应召开定期会议（一般半年一次即可），对当期公司风险总体
状况的变动情况进行分析和讨论。

2、在公司范围内建立风险管控体系（包括风险信息收集途径、评估方法、
汇报机制等），明确各级别员工在体系中的分工；
3、为每项风险因素指定专门的风险管理部门及风险所有人，明确风险管
理部门及风险所有人在风险管理工作中应尽到的管理、监督责任；
4、将风险因素，特别是重要风险因素，与现有内部控制进行对接，明确
各个风险的可控程度及失控原因；
5、定期（一般为一年一次）进行公司范围内的全面风险评估，识别新增
及产生了变动的风险，关注风险排序的变化趋势；
6、根据风险评估结果制定或更新风险应对计划，根据当期实际情况调整
风险应对策略；
7、将风险管控工作与各相关部门、岗位的绩效考核机制相结合；
8、建立风险预警机制。

(三)制定风险预警机制
为了更好的追踪和监控风险变化情况，高级管理层需制定重大风险预警机制，并进行制度化。

我们建议该机制包含以下主要内容：
1、风险预警机制的关注重点应集中在以下两点：
1.1 由于公司开展新的业务，或由于国家相关政策、行业竞争等发生明
显变化，而导致公司面临一些以前未曾面对的风险；
1.2由于经济大环境、国家政策及行业规范的变化，导致部分风险的发生
频率及影响烈度发生改变。

对于那些风险评级可能收到影响而提高的风险（例如风险级别由中等变为高），风险预警机制应给予特别关注。

2、负责战略研究与分析的部门应针对上述两种风险进行持续不断的监测
（包括随时收集国家政策、行业规范方面的信息，随时了解公司新型业务的开展情况等），并对执行这一监控职能的岗位及监控手段进行明确。

3、高级管理层需针对这些重大风险制定明确的预警上限，制定预警上限
时需要结合公司的风险偏好及风险承受度，并从定量和定性两方面进行考虑，以达到成本效益原则与风险预警有效性的统一。

4、负责战略研究与分析的部门应及时对超过预警上限的重大风险实施报
警，提醒高级管理层做好应急准备。

5、高级管理层应联合相关部门管理层制定出严密的风险应急预案，并根
据情况变化实时调整控制措施。

6、风险预警机制还应包括明确的汇报路线和奖罚措施。