****年度全面风险管理报告编制单位:****公司****年**月**日1一、上年度企业全面风险管理工作回顾(一)企业全面风险管理工作情况****公司按照财政部《企业内部控制基本规范》,兼顾国资委《中央企业全面风险管理指引》,以及****集团《****集团****年内部控制与风险管理工作计划》的文件要求,构建符合公司现状、适应未来发展的内部控制体系。
****公司从风险控制的高度出发,以实现满足监管要求、健全内部环境、完善内控流程、提高管理水平为目标,建成组织明确、程序清晰、权任分明、责任到人的内部控制体系,为企业的长久发展保驾护航。
1.编制内控手册,全面总结内控建设成果。
内部控制手册是对内控建设工作的全面总结,是开展内部控制工作的标准规范,是实施企业管理活动的纲领性文件。
按照集团公司要求,组织十三个业务部门编写公司内部控制手册,并于****年****月以****司[****]**号文件发布。
2.编写上年度全面风险管理报告。
根据集团的要求,总结****年全面风险管理情况,并作出****年全面风险管理工作策划,梳理公司****年重大风险并制定管控措施,形成内部控制一级流程**个、二级流程**个、三级流程**个,有效控制各项业务风险。
报告于****年**月以****司〔****〕**号文件发布。
3.编写公司内部控制评价报告。
根据《企业内部控制基本规范》和国资委、财政部《关于加快构建中央企业内部控制体系有关事项的通知》要求,对本公司内部控制设计及运行的有效性进行评价并编制了本报告。
-1-报告期内,公司对纳入评价范围的业务与事项均已建立了内部控制,并得以有效执行,达到了公司内部控制的目标,不存在重大缺陷。
报告于****年**月以****司〔****〕**号文件发布。
4.做好全面风险管理提升工作。
按照《全面风险管理提升实施方案》的要求,有计划、按步骤实施,按公司要求做好相关总结工作。
5.开展内部控制体系建设与运行情况自查工作,编写自查报告,并通过上级单位的监督检查。
根据《关于开展集团公司****年内部控制监督检查的通知》的要求,组织各业务部门对内部控制体系建设与运行情况开展自查自纠工作,并编写自查报告。
各业务部门结合体系运行情况,开展内部控制自我评价活动,不断建立健全各项内部控制管理制度,深入推进制度流程化工作。
利用内控检查、评价和风险评估等工作,及时发现内部控制缺陷,自查结果一般缺陷为**个,内控实现率为**%,达到实施方案的目标。
集团公司内部控制检查组于****年**月**日至**日对我司在内部控制、风险管理、重大事项决策管理等进行了检查,并出具内部控制运行总体有效的检查报告。
我司内控工作将按集团公司的要求,进行各项整改,做到举一反三,持续改进。
6.参加上级单位组织的内部控制培训,增强业务能力。
按集团要求,派人参加集团公司组织的各项会议和培训,增强业务能力。
(二)企业重大风险管理情况根据2008年6月财政部及五部委发布的《内部控制基本规范》-2-及2010年4月发布的《内部控制应用指引》相关规定,及公司的经营状况、业务特点,参照国务院国资委发布的《中央企业全面风险管理指引》框架要求,对公司的战略风险、市场风险、运营风险、财务风险、法律风险五大方面进行了评估,整理出**个三层分类,并进一步通过风险调查问卷和公司领导访谈及重要岗位调查,得出公司十大重要风险,分别是海外经营风险、人力资源风险、工程分包风险、安全管理风险、合同索赔风险、投标风险、应收账款风险、工程进度风险、产业结构风险、成本控制风险,并对各风险的描述、产生的原因、风险发生的损失或影响、风险管理的策略进行详细的分析,并加以严格控制。
二、****年度企业全面风险管理工作有关情况(一)****年企业风险管理工作计划1.经理办公会议对本企业****年全面风险管理工作提出的要求公司****年工作会议提出:全力推进内控体系建设工作,提高内部控制和风险管理水平。
2.企业****年全面风险管理工作计划按照“纵向到底,横向到边,立体交叉”的原则,认真梳理内部管理制度、标准和流程,将内控体系与企业现有规章制度等实现有机融合,形成企业制度、标准、流程以及风险控制立体式的内部控制体系,进一步推进公司层面内控体系框架的执行。
(1)深化内部控制与风险管理的一体化建设。
内部控制工作与全面风险管理工作的密切联系,确立了“风控结合,符合规范”的体系建设原则,以风险管理为导向,以内部控制建设为核心,深化内部控制与风险管理的一体化建设。
-3-(2)内部控制工作与日常管理工作的高度融合。
在符合标准的要求下,内部控制体系建设工作密切结合公司的日常管理工作,注重实用和效益原则。
(3)促进内部控制体系持续完善。
各业务部门要结合体系运行情况,定期开展内部控制自我评价活动,不断建立健全各项内部控制管理制度,深入推进制度流程化工作。
利用内控检查、评价和风险评估等工作,及时发现内部控制缺陷,督促整改,促进公司内部控制体系持续改进。
(4)为信息化工作创造条件。
内部控制需要通过信息系统充分发挥作用,信息化建设也需要以健全的内部控制为前提。
内控体系建设过程也是管理制度化、制度流程化、流程表单化的过程,为流程信息化创造了条件,有利于实现信息化与经营管理、生产过程和风险管控的深度融合,提高信息共享和业务协同能力。
(二)风险评估情况1.公司收集风险管理初始信息,建立风险事件库的有关情况。
为开展****年度风险评估工作,公司在战略风险、财务风险、市场风险、运营风险、法律风险五个方面开展了风险管理初始信息收集工作,包括外部环境和企业内部相关的初始信息。
(1)战略风险初始信息收集公司行政部牵头,相关部门配合,在以下方面进行了收集和分析:国内外宏观经济政策、经济运行情况、行业状况、国家对于铁路与非铁路建设的政策与规划;集团公司所处环境、公司资源状况、产业发展趋势;战略目标分解、战略实施规划制定,以及资源配置情况;与企业战略合作伙伴的关系,未来寻求战略合-4-作伙伴的可能性;本企业主要客户、供应商及竞争对手的有关情况;与主要竞争对手相比,本企业实力及与竞争对手的差距;本企业发展战略和规划、投融资计划、年度经营目标、经营战略等与外部市场、内部资源和国家政策的契合程度;本公司对外投融资流程中曾发生或易发生错误的业务流程或环节;公司重组改革、产业结构调整涉及到的资产流失或投资风险等方面的相关信息;企业的组织层级及架构设置、职权界定。
同时,收集了国内外企业战略风险失控导致企业蒙受损失的案例。
(2)财务风险初始信息收集公司财务部牵头,相关部门配合,对公司的主要财务数据进行了采集和研究,分析了负债、或有负债、资产负债率情况;收集分析了现金流、应收账款及其占销售收入的比重、资金周转率等信息;收集分析了近年来制造成本和管理费用、财务费用、销售费用及与其营业收入的比较等信息;对成本核算、资金结算、现金管理和预算管理业务中曾发生或易发生错误的业务流程或环节进行了总结分析;收集分析了固定资产、无形资产、税务管理、担保、筹融资、偿债等业务的流程或环节;另外,还收集分析了与集团公司相关的行业会计政策、会计估算、与国际会计制度的差异与调节(如退休金、递延税项等)等方面的相关信息。
同时,收集了国内外企业重大财务风险使企业蒙受损失的具体案例作为借鉴。
(3)市场风险初始信息收集公司市场部牵头,相关部门配合,在以下方面进行了信息收集和分析:主要客户、业主需求、供应商的信用情况、客户关系维护;国家规划政策和利率、汇率的变化;潜在竞争者、竞争者-5-及其原材料、机械设备等生产要素价格变化;新市场开发,市场营销策略,包括产品或服务定价与销售渠道,市场营销环境状况。
同时,收集了国内外企业由于忽视市场风险而蒙受损失的重大风险案例。
(4)运营风险初始信息收集公司监察审计部牵头,相关部门配合,在以下方面进行了收集分析:企业的制度建设、流程管理、品牌定位、资质管理;企业组织效能、管理现状、企业文化;高、中层管理人员、专业人员的人才使用、培训管理、干部奖惩、绩效考核等重要业务流程;质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节;因企业内、外部人员的任用风险致使企业遭受损失或业务控制系统失灵的情况;给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险;工程项目管理、工程质量、工程进度、工程造价、采购等具体的操作运行情况;同时关注企业内部的审计监察、内部沟通、海外经营和信息化管理等信息。
此外,还特别注意收集行业内部管理最佳实践、产业链上下游业务转移的趋势、建筑业节能环保的要求等方面的信息。
(5)法律风险初始信息收集公司计划经营部牵头,相关部门配合,在以下方面进行了收集和分析:国内外与本企业相关的政治、法律环境;影响企业的新法律法规和政策;员工道德操守的遵从性;本企业签订的重大协议和有关贸易合同;本企业发生重大法律纠纷案件的情况;企业和竞争对手的知识产权情况等方面收集有关法律风险信息。
同时,收集了同行业重大法律风险案例。
2.企业开展****年度风险评估的范围、方式及参与人员等情-6-况。
公司****年度风险评估工作是在公司领导的统一指挥和部署下,由公司各部门负责人组成的全面风险管理领导小组负责实施,具体工作由监察审计部牵头执行,各职能部门也明确了相应的风险内控负责人和联络员协助开展。
此次风险评估范围涉及公司所有职能管理部门,涵盖的关键流程包括公司治理、战略管理、经营计划管理、运营监控管理、工程管理、安全质量环保、市场管理、财务管理、人力资源管理、资本运营管理、法律事务管理、信息化管理、综合管理等。
整个风险评估过程包括初始信息收集、风险识别与分析、风险评价、风险管理解决方案制定四个环节:(1)初始信息收集环节:主要是以公司风险管理与内部控制体系建设中的流程梳理结果为基础,同时收集整理了国内外其他同类公司所发生的风险事件案例和重大风险损失事件,以及建筑行业产业政策、资源供应、市场需求和建筑行业固有风险等相关信息。
(2)风险识别与分析环节:根据所收集的初始信息,结合公司自身的实际情况,经过辨识和深入分析,确定了影响集团公司整体发展和经营目标实现的所有风险因素。
(3)风险评价环节:综合运用定性和定量方法,设计符合公司特点、可操作性强的风险评估标准,以问卷调查法为主,结合访谈、离散度测试等方法,从风险发生的可能性和发生后的影响程度两个方面进行评价,确定公司的重大风险。
(4)风险管理解决方案环节:确定重大风险主要责任部门,提出重大风险管理策略,将重大风险与相关业务流程进行对接,-7-确定重大风险的具体控制措施,确保重大风险管理的真正落地。
3.企业在分析风险事件发生的可能性、发生后对经营目标的影响程度时,所采用的评估标准。