风险信息收集与风险评估暂行办法
1 范围
本办法规定了华北电力设计院工程有限公司(以下简称公司)风险管理基本流程活动中的风险信息收集与风险评估环节的相关内容、操作流程与方法,包括风险信息收集的范围、风险评估的方法以及具体操作流程等。
本办法适用于公司各部/中心、分公司、子公司、公司驻外机构及工程总承包项目部(以下简称各单位)风险管理工作。 2 规范性引用文件
下列文件中的条款通过本办法引用而成为本办法的条款。 《风险管理 术语》(GB/T 23694—2009)
《风险管理 原则与实施指南》(GB/T 24353—2009) 《中央企业全面风险管理指引》(国资发改革[2006]108号) 《企业内部控制基本规范》(财会[2008]7号) 《公司全面风险管理规定》 3 术语和定义
下列术语、定义适用于本办法。 3.1 风险评估
是指包括风险识别、风险分析和风险评价在内的全部过程。 3.2 风险识别
发现、列举和描述风险要素的过程。 3.3 风险分析
系统地运用相关信息来确认风险的来源,并对风险进行估计。 3.4 风险评价
将估计后的风险与给定的风险准则对比,来决定风险严重性的过程。 3.5 固有风险
是指在不考虑内部控制结构的前提下,由于内部因素和客观环境的影响,公司的各项业务发生重大错误的可能性。
1
3.6 剩余风险
是指那些运用了所有的控制和风险管理技术以后而留下来,未被管理的风险,即:未被公司有效控制的各类风险。 3.7 重大风险
是指经过风险评估所确定的,在公司当前所有风险中重要性程度为高的风险。这些风险是公司在风险管理中应该重点应对、提高风险管理水平的风险。公司的重大风险随着内外环境变化有可能发生变化。4 信息收集与评估的流程 4.1风险信息收集与评估流程图
2
风险信息收集与风险评估流程风险管理委员会风险管理办公室公司各单位监察审计部风险管理办公室在日常监督、检查、评审过程中发现的问题或风险,要求相关单位进一步收集相关信息各单位风险控制矩阵中关键风险点对应岗位人员在日常生产经营过程中,对各类风险源进行充分的风险信息收集在日常监察、审计或内控评审过程中发现的问题或风险,要求相关单位进一步收集相关信息风险信息收集与风险评估组织相关单位对风险评估报告进行评审 各单位风险管理常务负责人组织对收集的风险信息进行初步的识别、分析与评价并编制风险评估报告各单位风险管理常务负责人组织内部相关人员对风险评估报告评审各单位内部评审后的风险评估报告上报风险对应牵头部门审核审核后的风险评估报告否根据评审结果,组织各单位进行风险库的更新审批更新后的风险库是根据确定的风险库,组织开展相关风险应对工作,转入风险应对控制环节3
4.2 具体操作流程 4.2.1 风险信息收集流程
a)公司各单位风险控制矩阵中关键风险点对应岗位人员在日常生产经营过程中,对各类风险源进行充分的风险信息收集 (风险信息收集范围及内容示例详见本办法第5.1款;风险信息收集方法详见本办法第5.2款);
公司风险管理办公室在日常监督、检查、评审过程中发现的问题或风险,可要求相关单位进一步补充收集相关信息;公司监察审计部在日常效能监察、审计或内控评审过程中发现的问题或风险,也可要求相关单位进一步补充收集相关信息。
b)公司各单位风险控制矩阵中关键风险点对应岗位人员收集的各类风险信息以《风险信息收集报送表》(报送表模板参考附录A)的形式统一报送到本单位风险管理常务负责人处进行整理汇总。
c)公司各单位风险管理常务负责人将整理汇总的各类风险信息以《风险信息收集报送表》形式实时报送风险收集牵头部门(牵头部门约定请参考本办法中附录F:《风险信息收集表》中的“风险收集牵头部门”)进行初步审核。
风险收集牵头部门主要职责是对公司各单位风险管理常务负责人报送的风险信息的真实性、准确性、完整性、充分性等进行初步分析判断:
(1)对属于风险库中既有风险,并且经分析判断现有内控措施基本能控制的,剩余风险可接受的,可维持现状;对经分析判断只需内部采取相关措施能控制的,可要求风险信息报送单位自行采取措施解决并形成记录。
(2)当出现如下情况时,风险收集牵头部门需将相关风险信息及时上报公司风险管理办公室:
1)新出现的重大风险或原有风险的重大变化;
2)组织架构、制度流程等存在重大缺陷,无法有效控制重大风险; 3)其他对公司可能造成重大的影响的相关风险信息。 4.2.2 风险评估流程
a)公司各单位风险管理常务负责人根据整理汇总的各类风险信息组织内部相关人员进行初步的风险识别、分析与评价,并在风险信息汇总后10个工作日内编制完成本单位的《风险评估报告》(评估报告模板参考附录B),风险管理常务负责人在报告编制完成后2个工作日内组织相关人员对《风险评估报告》进行内部初步评审并形成评审记录(评审记录表格式参考附录C),内部评审通过后2个工作日内将风险评估
4
报告上报对应的风险收集牵头部门进行初步审核。
b)风险收集牵头部门收到各单位报送的《风险评估报告》后5个工作日内完成初步审核并形成记录(附录C:评审记录表中签署意见),审核通过后统一汇总上报公司风险管理办公室。
风险收集牵头部门审核要点包括: 1)报告编制充分、确切、要素完备性; 2)重大风险定性分析的准确性及合理性等。
c)风险管理办公室收到风险收集牵头部门报送的《风险评估报告》后5个工作日内组织公司相关单位对风险评估报告进行进一步的评审并形成评审记录(风险管理办公室评审记录表格式参考附录D)。
d)风险管理办公室根据评审结果,对风险评估报告中确认的风险点组织各单位在制度诊断、流程梳理等基础上进行风险库的制订或更新(风险库模板参考附录E);制订或更新后的风险库按照公司要求报公司风险管理委员会批准通过。
e)风险管理办公室根据确定的风险库,并按照公司风险管理年度计划要求,选择相关风险组织开展相关风险的应对工作,转入风险管理基本流程活动中的风险应对控制环节(风险应对流程及方法详见《风险应对暂行办法》)。 5 风险信息收集内容与方法
风险信息收集作为风险识别、分析与评价的前提和基础,通过收集风险信息,识别可能影响公司战略实现的不确定因素、确定风险事件,形成或更新公司风险库。 5.1风险信息收集内容
公司各单位可以采用多种方法进行外部和内部风险信息收集与识别,包括资料查阅法、问卷调查法、面谈采访法、历史事件分析法等,风险信息收集内容详见附录F《风险信息收集表》。
外部环境信息包括但不限于:
a)国际、国内、地区及当地的政治、经济、文化、法律、法规、技术、金融以及自然环境和竞争环境;
b)影响组织目标实现的外部关键因素及其历史和变化趋势; c)外部利益相关者及其诉求、价值观、风险承受度; d)外部利益相关者与组织的关系等。
5
风险信息收集与风险评估暂行办法
