内控风险评估报告

XXXXXX集团股份有限公司|1201X XXX集团股份有限公司   201X年全面风险评估报告 201X年8月X日   XXXXXX集团股份有限公司|一、背景介绍2目录一、背景介绍.................................................................................................................................................1 二、风险评估工作实施方法.........................................................................................................................2 （一）风险评估的工作思路.................................................................................................................2 （二）风险评估工作实施步骤.............................................................................................................3 1. 确定工作范围.........................................................................................................................3 2. 整理风险汇总表.....................................................................................................................4 3. 制定评分标准.........................................................................................................................4 4. 第一次风险问卷.....................................................................................................................6 5. 高管层访谈.............................................................................................................................6 6. 第二次风险问卷.....................................................................................................................7 7. 20大风险排序........................................................................................................................7 8. 汇总合同相关风险.................................................................................................................8 9. 合同风险问卷.........................................................................................................................8 10. 取得合同清单.........................................................................................................................8 11. 审阅合同样本.........................................................................................................................9 12. 合同风险列表.........................................................................................................................9 三、风险评估结果.......................................................................................................................................11 （一）20大风险排序..........................................................................................................................11 （二）风险评估结果分析...................................................................................................................22 1. 20大风险坐标分析..............................................................................................................22 2. 全面风险评估结果...............................................................................................................23 3. 合同风险评估结果...............................................................................................................25 四、未来风险管理工作建议.......................................................................................................................25 （一）风险应对策略...........................................................................................................................25 1. 风险关注程度.......................................................................................................................25 2. 风险应对策略.......................................................................................................................26 （二）建立/完善风险管控及监督体系..............................................................................................27 （三）制定风险预警机制...................................................................................................................28 五、附件.......................................................................................................................................................30 附件1：XXX集团有限公司风险汇总表...................................................................................30 附件2：第一次风险调查问卷发放统计表................................................................................32 附件3：中高级管理层最关注的20项风险因素（含打分）...................................................35 XXXXXX集团股份有限公司|一、背景介绍1一、背景介绍2010年4月15日，五部委正式下发了《关于印发企业内部控制配套指引的通知》，明确规定了内控规范体系的实施时间：自201X年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行。根据这一要求，执行内控体系建设的上市公司和非上市大中型企业，应当对内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。XXX集团股份有限公司作为行业标杆企业，被辽宁省证监局指定为内控规范实施试点单位，并在201X年度接受外部审计师的的审计。在公司执行内控梳理和评价的过程中，为了有效的提高工作效率、明确工作侧重点，应当遵循风险导向原则，以风险评估为基础，全面考虑企业面临的主要风险，根据发生的可能性和对企业单个或整体控制目标造成的影响来确定需要评价的重点业务单元、重要业务领域或流程环节。因此，管理层借助本项目达到对现有风险因素进行归集和分析的目的，以期对未来公司战略及管理理念的调整提供有益的参考。缩略语在本报告中，我们将使用以下缩略语以保证报告的简洁性：XXX/公司：“XXX集团有限公司”安永：“安永（中国）企业咨询有限公司”二、（一）本形成►公力►风重►具务估►在二到风险评）风险评次全面风险成上述工作公司目前面的起点是从力求在保证风险评估考重要性、行具体风险评务及合规四估工作的完在项目推行二次为高级到的风险信估工作评估的工险评估工作实施思路源面临来自外从满足企业证工作目标考虑因素的行业影响因评估范围的四个维度汇完整性和充行过程中，级管理层）信息，对潜在实施方作思路实施思路图源自如下考外部内控合规业内部控制的明确提高工的制定充分考素及其他专的确定参考了汇总、分析了分性；安永采用了，同时针对在风险进行XXX集团股份方法图如下：虑：规要求及内的直接目标工作效率；考虑了公司专业机构可了安永的全了可能出现了两轮风险对高级管理行了梳理和份有限公司|二内部管理提标出发，同司内部管理能提出的参全球行业风现的潜在风险问卷（第理层成员组排序。二、风险评估工升需要，因时兼顾管理需求、外部参考和建议险宇宙，从险，以合理一次为中高织了访谈，工作实施方法因此风险评理整合和改部监管要求议；从战略、运理保证本次高层管理人并根据由XXX2评估工作改进需求，求、业务运营、财次风险评人员，第由此收集（二）风1.确定本受能力部门负项风险影）风险评险评估工作定工作范围次风险评估及风险偏好责人发放风影响因素而评估工作作具体实施围估工作以集好，同时对风险调查问而形成最终实施步骤步骤如下：集团层面高度对各国内区域问卷，参考他风险清单和XXX集团股份骤度为基调进域负责人、他们对集团和风险排序份有限公司|二进行，关注子公司负团层面风险。二、风险评估工公司核心管责人、事业险初步的评价工作实施方法管理团队的业部负责人价和判断，XXX3的风险承人、职能综合各由要素的估的范2.整理以务四个层险类别包1183.制定风险参数险程度1于集团海外构成不具有围内。理风险汇总安永全球行层面做出了包括：8项详细风定评分标准险评分标准建立在公司。考虑以上1分可忽影响外机构受到有典型意义总表行业风险宇了详细的风风险列表请参准准依据风险司的风险偏上因素，将影忽略的：可以响消化的事件到当地政治经义和直接影响宙为基础，险汇总表，参见附件1险对公司的影偏好基础上，风险发生的影响程度以在正常活动XXX集团股份经济环境及响，因此本结合XXX共涉及23：XXX集团影响及风险，即公司为的后果及可动中将不良份有限公司|二及人文文化本次海外机X自身特点3个类别的团有限公司险发生的可为实现自己能性分为以发生可能很二、风险评估工影响，对整机构并未包含点，从战略、118项风险司风险汇总表能性两个维的战略目标以下五类分发生可能性很低，几乎不会工作实施方法整个集团层含在风险调、运营、合险。其中，表。维度进行划标而愿意接分值：性会发生的事件XXX4层面风险调查及评合规、财23个风划分。风接受的风件XXXXXX集团股份有限公司|二、风险评估工作实施方法5影响程度发生可能性2分轻微的：通过一定的管理手段就能解决的不利事件发生可能性较低的事件3分中等的：需要额外管理的严重事件发生可能性为中度的事件4分严重的：需要特别管理的危机事件发生可能性较高的事件5分灾难性的：可能导致崩溃的灾难/特殊事件发生的可能性很高或必然会发生的事件►风险影响程度的判断参考指标：判断结果12345战略对战略实施影响近乎没有。对战略实施影响轻微。一定程度上影响战略实施和目标实现。对于企业完成战略计划和目标造成重大影响。令企业失去继续运作的能力。运营对营运影响近乎没有；在时间、人力或成本方面存在小范围超出预算的情况，影响可以消化。对营运目标或关键业绩指标影响轻微；在时间、人力或成本方面存在超出预算的情况，影响较小。一定程度上减慢营业运作；在时间、人力或成本方面明显超出预算，需对预算数据进行小范围调整。对营运目标或关键业绩指标造成重大影响；在时间、人力或成本方面大幅超出预算，需对重大预算数据进行调整。无法达到企业的营运目标；各项预算数据失控，预算需要重新制定。合规近乎没有违规违法行为，无纠纷。在一些不重要的问题上违规，没有引起诉讼。在某类问题上违规，引起纠纷和诉讼。在重要的问题上违规违法，引起诉讼，导致巨额赔偿。在重要问题上违规违法，引起诉讼，导致巨额亏损，企业无法正常运营。财务外部审计师在管理建议书中提出少量一般性问题。外部审计师在管理建议书中提出若干一般性问题。外部审计师对报表项目或其他事项出具保留意见。外部审计师在管理建议书中提出重大问题。外部审计师对财务报表出具否定意见。►风险发生可能性的判断参考指标：XXXXXX集团股份有限公司|二、风险评估工作实施方法6判断结果12345管理层关注管理层并不担心未来会发生类似事件管理层认为未来发生该事件的可能性较低但也需要关注管理层认为目前某些事态表明该事件可能在未来发生管理层对该事件较为关注因为未来发生的可能性较大从目前形势来看，此事件一定会在未来发生管理层对该事件的讨论尚无特别讨论曾经提醒相关部门或人员注意不定期会要求相关部门或人员进行汇报定期讨论且相关部门或人员需要进行定期汇报随时关注4.第一次风险问卷在整理出的风险汇总表及初步制定的风险评估标准基础上，安永编写并发放了第一次全面风险评估调查问卷，并将此问卷下发了公司52位中高级管理人员，请他们针对问卷内容提出自己的见解并按照上述评分标准对每项风险进行打分。这些中高级管理人员包括20位事业部负责人、8位区域负责人、医疗板块子公司负责人、4位研发部门负责人以及19位总部职能部门负责人。在问卷回收截止日（6月20日），我们完成了第一轮风险问卷的回收工作。本轮调查问卷发放及回收情况统计请参见附件2：第一次风险调查问卷发放统计表。根据本次问卷结果，安永总结出了中高级管理层最关注的20项风险因素，并对各部门的风险偏好有了初步了解。名列本轮打分前20名的风险请参见附件3：中高级管理层最关注的20项风险因素。5.高管层访谈基于第一次风险调查问卷的初步评分和分析结论，安永有侧重点的开展了高级管层访谈，通过与高管层面对面的交流，从公司整体运作层面了解了目前公司的风险状况。参与访谈的高管层包括：XXXXXX集团股份有限公司|二、风险评估工作实施方法7职位姓名访谈时间公司总裁王勇峰先生201X年6月22日下午14:00-15:00公司高级副总裁兼首席运营官陈锡民先生201X年6月22日下午15:30-16:30公司高级副总裁卢朝霞女士201X年6月27日下午14:00-15:00公司高级副总裁兼首席财务官王莉女士201X年6月22日上午10:30-11:30公司高级副总裁兼首席技术官、首席知识官张霞女士201X年6月22日上午9:00-10:00公司高级副总裁王经锡先生201X年6月23日下午13:30-14:30公司高级副总裁兼首席营销官李军先生201X年6月28日上午9:00-10:006.第二次风险问卷通过对高管层的访谈，安永对原有20大风险因素进行了合并和调整，并吸收了高管层访谈过程中体现出的重要集团层面风险因素，最终确定了XXX目前面临的20大风险。为了对这20大风险的重要性进行最终排序，安永编写了第二次全面风险评估调查问卷，对每一项风险的关注点及调查见闻进行了详细列示，并仍然从风险发生可能性及风险影响程度两个维度逐项制定了更加详细的打分规则。第二次全面风险评估调查问卷的发放对象为公司高级管理层。7.20大风险排序在回收了全部二次问卷后，根据高管层打分结果，安永按照以下公式计算出每个风险的得分，并据此对20大风险做出了重要性排序。风险发生可能性=∑每位高管风险发生可能性打分/高管人数风险影响程度=∑每位高管风险影响程度打分/高管人数风险总分=风险发生可能性X风险影响程度根据风险总分得出的20大风险最终排序结果请参见第三大部分“风险评估结果”中的第一项内容“20大风险排序”。XXXXXX集团股份有限公司|二、风险评估工作实施方法88.合同风险评估从管理层的管理实践出发，我们在本次项目中针对合同相关风险做了特别关注：8.1汇总合同相关风险为了能更好的提示管理层可以考虑通过加强合同管理进行规避或弱化的风险，我们特汇总、整理了所有可通过合同管理的各项风险。具体内容请参见：（叶泷部分）8.2合同风险问卷为了更好的了解XXX的合同管理现状和对未来的期望，安永编写并发放了合同风险调查问卷，请公司熟悉相关情况的同事协助填写。这一问卷的具体内容包括：►整体性问题-组织架构►战略到合同o战略目标分解o实施管控和支持►合同管理o合同准备o合同执行o合同验收8.3取得合同清单为了对XXX现有合同管理状况进行更详尽的分析，安永请求公司相关部门提供了截止至201X年6月仍在执行中的合同清单，并计划从中抽取部分样本进行具体条款的审阅。XXXXXX集团股份有限公司|二、风险评估工作实施方法98.4审阅合同样本安永抽取进行审阅的合同样本包括：合同 名称Calix09年框架协议 陕西联通营业帐务工程二期 X2 中山市城乡居民门诊医疗X 2 TSL11001商用出口合同 西安交通大学附属第一医院PACS硬件平台采购 吉林联通CDMA 1x二期计费硬件合同 Intel 咨询合同 OKL 开发人员SOW 东芝软件业务委托合同 思科服务合同及思科日本SOW 希世软件业务委托基础合同 技术开发合同 8.5合同审阅发现问题结合上述合同管理现状调研及具体合同条款审阅的具体发现，安永发现与行业最佳实践相比，XXX合同管理流程在以下领域存在提升机会：审阅方面 发现问题描述合同评审与审批流程XXX建立了一项合同评审流程和神品流程。合同评审与审批流程重点关注审批职责的授权合同标准化XXX大量使用客户合同模板，这导致无法对合同优化采取预应式行动XXXXXX集团股份有限公司|二、风险评估工作实施方法10审阅方面 发现问题描述识别合同风险XXX似乎并未充分利用其专业经验来识别和管理合同风险合同指南XXX的合同管理指南并未体现其合同管理知识，因此，并不鼓励标准化具体问题描述请参见（叶泷部分）9.风险评估报告基于上述工作，我们总结、分析了风险评估过程中收集到的各类数据和现场观察结果，汇总形成本报告，并提交管理层作为未来风险管理工作的基础。XXXXXX集团股份有限公司|三、风险评估结果11三、风险评估结果（一）20大风险排序根据第二轮风险问卷中高管层对重要风险的投票结果，我们按照风险得分从高到低的顺序将目前XXX面临的20大主要风险排序如下。同时，为了帮助管理层掌握风险细节，我们也将具体风险描述、风险得分及风险调研见闻一同做了列示：风险风险描述No.1:海外并购投资风险►风险大类：战略风险►该风险是指企业在海外并购投资中可能因认知不足、能力不够、管控不善等给企业带来诸如政治风险、财务风险、经营风险、整合风险等诸多风险风险影响程度风险发生可能性风险总分44.417.60关注点及调研见闻►未能在并购中找到合适的目标：1）未能及时找到并购目标；2）找到的并购目标不理想，与企业发展的需求不完全一致►未能对并购从财务、税务、法律等方面进行有效的尽职调查和准确的评估►因文化、信仰理念、管理模式、政治背景等因素的不同，导致整合困难重重►企业并购后，未实现资产组合最优化，并购效果不明显，偏离设定的预期目标►企业2010年收购美国TaprootSystemInc.从事高端智能手机嵌入式软件开发服务业务：310万美元；收购德国Harman汽车导航系统相关业务和资产：579万欧元；商誉较年初上升42.57%XXXXXX集团股份有限公司|三、风险评估结果12风险风险描述No.2:组织结构风险►风险大类：战略风险►运营风险►该风险是指企业组织结构设置不合理，或未进行适时调整，从而阻碍企业战略目标及业务目标实现的风险风险影响程度风险发生可能性风险总分43.815.20关注点及调研见闻►组织架构、授权分配及责任划分不清晰，与企业战略目标不一致►当前的组织架构与企业业务的各部门不一致，影响整个企业架构的有效性►企业没有优化或适当管理与第三方的关系►现有的组织架构及相关和程序无法有效地在全球标准化的基础上平衡地区/国家间的特性风险风险描述No.3:战略的规划与执行风险►风险大类：战略风险、运营风险►该风险是指战略制定或执行不当，从而阻碍企业长期发展的风险风险影响程度风险发生可能性风险总分4.23.615.12关注点及调研见闻►未能进行重大的技术革新从而阻碍了企业战略目标的实现，未能应用新技术实现企业的比较优势►未能在众多选择中发现、评估并进行正确选择以为企业战略目标达成的有效执行提供方向并分配资源►战略目标没有进行详细分解导致各个部门对目标的理解存在不一致的现象，且战略目标的分解与绩效指标的挂钩不科学►面对未来重大经济变革的战略布局与实际战略执行存在不一致，过度强调短期盈利目标的达成，从而忽略了长期目标的实现XXXXXX集团股份有限公司|三、风险评估结果13风险风险描述No.4:竞争（市场竞争）风险►风险大类：战略风险►该风险是指影响企业的市场竞争力，从而阻碍企业长期发展的风险风险影响程度风险发生可能性风险总分43.413.60关注点及调研见闻►市场主要竞争者或新进者削弱了企业的比较优势和可持续发展的能力►是否制定了有效的市场竞争策略，开展对整体市场及竞争对手的分析了解及对不同层次客户需求的调研，是否能扩展业务或保住现有市场份额►企业在全球和全国地区内均有业务分布，从一定程度而言分散了部分风险，对竞争对手有一定分析，但不够系统也无人检查►截止到2010年12月31日，以净利润增长率为指标，XXX集团在行业排名第25位。其主营业务收入68%来自境内，32%来自境外风险风险描述No.5:人力资源风险►风险大类：运营风险►该风险是与人力资源战略、政策、人才储备相关的风险风险影响程度风险发生可能性风险总分3.63.412.24关注点及调研见闻►人力资源战略需要根据企业发展情况进行调整，否则无法为企业战略目标、员工需求、企业的价值观和愿景提供支持►未能招聘到或挽留住优秀员工来确保人力资源的质量及平衡，关键岗位管理层或员工可能缺乏能力执行企业的战略目标落地►绩效评估的合理性不足，从而无法确保企业战略目标的实现。需要考虑各个业务线绩效考核体系的个性化是否足够►目前XXX的员工离职率约为17%，而行业平均员工离职率约为18%，XXX的员工离职率与行业平均水平相当XXXXXX集团股份有限公司|三、风险评估结果14风险风险描述No.6:外币与汇率的风险►风险大类：财务风险►该风险是指对外币与汇率的监督不当，从而导致企业的投资回报低于预期、借贷或者生产成本高于预期，行业中的竞争力下降的风险风险影响程度风险发生可能性风险总分3.83.212.16关注点及调研见闻►外币价格发生不利变动时，国际金融交易可能对企业的资产、负债、成本费用等造成影响►从2010年年报中，公允价值变动收益较上年同期减少989万元，下降107.55%，主要由于签订的外币远期结汇合同产生►2010年，汇率变化范围与幅度：欧元：1.18～1.44美元/欧元，22%；日元：73.39～87.49日元/美元，19%；人民币：5.57～6.76人民币元/美元，21%风险风险描述No.7:新技术应用与研发风险►风险大类：战略风险►该风险是指企业未能应用新技术实现企业的比较优势，未能进行重大的技术革新从而阻碍了企业战略目标实现的风险风险影响程度风险发生可能性风险总分3.83.212.16关注点及调研见闻►对新技术的引进存在消化和管理风险►新技术跟不上整体项目的要求，影响到项目的开展与企业的竞争力►没有将研发战略与整体战略相结合，缺乏产品创新机制►对于研发和科技投入不足，研发方向布局不合理►研发着力点短浅分散，缺乏超前计划，且效率偏低XXXXXX集团股份有限公司|三、风险评估结果15风险风险描述No.8:业务结构风险►风险大类：运营风险►该风险是指企业由于不了解业务特性、消费者及市场的波动，可能导致不合理的产品结构的风险风险影响程度风险发生可能性风险总分3.63.211.52关注点及调研见闻►企业的市场战略不符合现在和将来的市场需求，不符合业务/服务的生命周期►企业缺少产品整合/捆绑战略►未能根据市场变化和产品需求对产品结构进行调整风险风险描述No.9:公司决策效率与管理基调►风险大类：战略风险►该风险是指高级管理层未能有效地通过其权责分配、人力资源统筹规划等建立良好的企业文化，树立正直、诚信的道德观、提升员工的道德水准。同时，公司各层级管理层存在决策效率低下的问题风险影响程度风险发生可能性风险总分3.4310.20关注点及调研见闻►各级管理层的不作为行为对公司员工产生负面影响►管理层不能对有可能导致控制漏洞的制度和流程设定一个清楚公平的基调►各级管理层决策基调分歧较大，特别是在出现突发事项或重大事项时，难以高效达成共识►各级管理层授权不明晰或不充分，导致日常管理/决策效率低下►管理层没有从企业的角度并权衡能力、质量和成本之后准确地对企业制度进行评估沟通►管理层对管理哲学及适当授权之间的边界没有一个清楚的认识，因而也无法将其应用到提高管理系统的效率和执行力上XXXXXX集团股份有限公司|三、风险评估结果16风险风险描述No.10:合同风险►风险大类：合规风险、运营风险►该风险是指企业可能签订对企业不利的合同；合同条款的遵循及控制未能得到有效的执行，导致违约并给企业造成潜在的损失的风险风险影响程度风险发生可能性风险总分3.42.89.52关注点及调研见闻►未将合同条款与销售战略结合起来，以合理确认收入或在正确的期间内确认收入►由于签约对方地位或地域的特殊性，使企业执行的合同内容对于企业来说不是最佳条款或规定，合同条款不清晰（如：没有明确的赔偿条款的确定），发生问题后于难以达成共识，可能会带来重大的经济损失►缺乏合同条款审核规范/制度用于指导参与合同审核部门对条款内容的正确性，完整性进行把握，会导致潜在的合同纠纷风险风险描述No.11:信息安全与知识产权保护风险►风险大类：运营风险►该风险是指企业为对信息安全与知识产权进行有效的保护，可能导致企业保密信息泄露、经济损失以及承担法律责任的风险风险影响程度风险发生可能性风险总分3.42.89.52关注点及调研见闻►投入不足，IT系统及应用的安全访问措施未能有效保护企业数据►未进行相应的培训，员工意识或职业操守不高，导致信息泄露，给企业带来不良影响（业界声誉，企业形象，巨额赔付）►未授权第三方获取企业员工、顾客或运营数据，导致企业需承担法律责任或形象受损►未及时申请技术专利，知识产权无法得到法律的保障和保护XXXXXX集团股份有限公司|三、风险评估结果17风险风险描述No.12:预算风险►风险大类：运营风险►该风险是指企业未能对现有的或新的经营活动进行有效预算，可能导致未能支持公司的战略和成长目标、影响业务扩张和并购活动以及公司整体盈利水平的风险风险影响程度风险发生可能性风险总分3.22.88.96关注点及调研见闻►财务资源分配未能有效地与重要风险领域及战略目标相一致►未能根据市场和业务条件的变化来更新预算►迫于展示运营结果的压力而导致年度预算不准确►预算的设定未能从控制的角度出发，或没有基于合理的假设风险风险描述No.13:公司内控环境风险►风险大类：财务风险、运营风险、合规风险►该风险是指企业因未能建立起符合外部监管机构及股东要求的内部控制环境，如企业内部控制制度不规范，存在重大内控缺陷等，从而给企业带来合规或运营上的风险风险影响程度风险发生可能性风险总分3.22.88.96关注点及调研见闻►无效的治理及内部控制监督►没有书面的流程，且没有按照流程要求操作►不恰当或无效的控制环境导致额外的审计程序及成本►对已知控制缺陷及/或审计发现没有适当的反馈措施►管理层没有倡导一个鼓励道德诚信的企业文化►企业或行业控制环境复杂或不成熟XXXXXX集团股份有限公司|三、风险评估结果18风险风险描述No.14:质量风险►风险大类：运营风险►该风险是指企业因没有按时给客户交付相应的产品/服务，或提供的质量出现问题而给企业带来的经济损失和客户流失的风险风险影响程度风险发生可能性风险总分32.67.80关注点及调研见闻►企业缺乏业务质量控制体系►没有及时有效的处理交付质量、交付时间问题►缺乏对客户满意度进行跟踪调查总结风险风险描述No.15:过高人力成本的控制风险►风险大类：运营风险►该风险是指企业对过高人力成本控制不力，可能导致盈利水平下降，员工流动率上升的风险风险影响程度风险发生可能性风险总分3.22.47.68关注点及调研见闻►未建立合理的内部竞争绩效考核和绩效评估机制，定期对人力成本进行及时的调整►未制定合理的薪酬组合，薪酬体系过于单一►未能在高端人才的保留和人力成本的提高中找到平衡点►2010年企业整体员工数增长10%，薪酬支出上升了39%，薪酬支出目前占企业成本费用比重已经超过40%XXXXXX集团股份有限公司|三、风险评估结果19风险风险描述No.16:决策支持风险►风险大类：运营风险►该风险是指信息系统无法及时有效的提供可靠的信息以协助管理层作出有效决策的风险风险影响程度风险发生可能性风险总分2.82.67.28关注点及调研见闻►数据来源不充分或不可靠会导致管理层无法做出合理合规的商业决策►依赖于手工输入或外部来源数据的完整性不可靠►系统间的数据交换不完整或不准确►对系统进行未授权的变更可能对数据完整性造成负面影响风险风险描述No.17:可能存在的不规范行为►风险大类：合规风险►该风险是指公司经营过程中出现的不适当行为、不符合相关法律法规的要求、或公司员工及其他股东的潜在不规范行为，会对公司形象或声誉产生负面影响的风险风险影响程度风险发生可能性风险总分32.47.20关注点及调研见闻►公司未能按照相关法律法规要求对外披露各类信息。例如：作为上市公司，公司财务信息未能及时、准确报出；未能在规定时限内完成内控测试及审计工作等►公司未制定充分的应对程序来处理已发现或怀疑的不规范行为►管理层的不规范行为（如商业间谍、内幕交易等）对公司员工的道德观造成负面影响►管理层对待与政策制度相关的事项缺乏明确清晰的态度，可能会导致控制的薄弱XXXXXX集团股份有限公司|三、风险评估结果20风险风险描述No.18:内部员工沟通风险►风险大类：战略风险►该风险是指企业中不同岗位员工之间，以及与管理层之间未建立互相理解和信任的沟通基调，由于不良的沟通关系从而可能降低工作效率的风险风险影响程度风险发生可能性风险总分2.42.86.72关注点及调研见闻►部门及员工之间信息沟通不畅，未能快速传达信息►不能充分的利用内部及外部的知识及能力的资源来提升员工的整体技能及水平风险风险描述No.19:宏观经济因素风险►风险大类：战略风险►该风险是指在特定的商业环境中，与宏观经济相关的因素会影响到公司保持或增加利润能力的风险风险影响程度风险发生可能性风险总分2.82.26.16关注点及调研见闻►因未能及时识别并应对动态宏观经济因素，从而可能对收入和盈利能力带来负面影响►暴露于国内和全球经济趋势的风险，例如经济衰退或下滑，消费者支出减少►未能充分了解市场环境因素对企业风险战略的影响XXXXXX集团股份有限公司|三、风险评估结果21风险风险描述No.20:信用与回款风险►风险大类：财务风险►该风险是指o赊销政策不适当，或不适应业务发展需求o应收帐款无法及时收回，进而影响公司财务状况风险影响程度风险发生可能性风险总分326.00关注点及调研见闻风险关注点►公司目前的赊销政策是否能够适合现阶段公司业务发展的需求►是否建立了有效的信用管理机制，用来定期监控各个客户信用状况的改变►已成型的信用管理机制是否被有效的执行►执行相关监控工作的同事是否具有足够的专业素养，能够在客户信用状况出现恶化征兆时作出及时反应►公司提供给客户的赊销政策及客户信用管理水平，在一定程度上直接影响应收帐款回款状况调研见闻►“信用风险可以是对企业内部，也可以是对企业外部，分为信用和回款两个层面，均与财务风险直接相关。”►经测算，2010年华为技术有限公司应收帐款周转率为2.5%，应收帐款周转天数为94天。对比华为，XXX在应收帐款管理方面尚有提升空间（例如我们初步测算的2010年应收帐款回收率为5.2%）►目前公司由经营业务部主导与客户的对账工作，但目前公司并未建立明确的对账工作流程，将对账频率及需要对账的重要客户标准进行明确界定►在现场观察中我们发现目前经营业务部同事虽然发出对账函件，但存在只取得对方口头确认的现象XXXXXX集团股份有限公司|三、风险评估结果22（二）风险评估结果分析1.20大风险坐标分析为了更好的体现XXX现有重大风险总体管控状况，我们引用风险坐标这一工具直观的反应20大风险的具体分布情况。风险坐标是基于各个风险的打分情况及风险总分，将其分为高、中、低三个等级，反应在下图不同颜色的区域中（其中绿色为低风险区域，黄色为中风险区域，红色为高风险区域）：风险影响程度灾难性55.010.015.020.025.0重大44.08.012.016.020.0中等33.06.09.012.015.0轻微22.04.06.08.010.0可忽略11.02.03.04.05.012345极低低中等高极高风险发生可能性结合XXX20大风险的打分结果，我们得出了以下风险坐标分布：由上风险X2.全面结合1）上图可以看个，等等面风险评估合两次风险风险发生►风险发►这一结认可目旦触发►风险发招聘与看出，目前（插饼图）；估结果险调查问卷可能性得分发生可能性的结果体现出管目前公司的总发也能及时得发生可能性平与挽留（2.9公司主要风。的综合打分分明显低于的平均分值管理团队普总体控制环得到有关责平均分最高9）、薪酬福XXX风险均中等分结果，我风险影响程值为1.9分，普遍对目前公环境，认为非责任部门的注高的4个风险福利体系（X集团股份有限等水平风险；我们有如下发程度得分，而风险影公司的风险非正常的风注意并加以险（平均得（2.8）、市限公司|三、风其中战略发现：影响程度的平险管理策略较风险事件触发以控制；得分超过2.场竞争（2风险评估结果略风险X个平均分值为较有信心，发可能性较5分）分别2.7）、外币XXX23个，运营为3分；也较为较小或一别为员工币和汇率2）3）风等（2.7）►风险影高层的（3.7）挽留（高、中、►综合风的风险►中级风险比例►各级别不同业务►根据受业部负打分取风险等级国负高中低►由上表较其他）；影响程度平均的基调（3.）、市场竞争（3.7）、董事低级别风险风险评估结论险因素；风险共有10例的12%；别风险分布情单元的不同受访人所处的负责人、总部取了平均分，国内区域负责人09325表可以看出，他业务单元负104均分最高的9）、战略争（3.7）、事会表现（险总体分布论与高管层04个，占总情况入下图同风险偏好的不同类型部研发部门并对各类总部事业部负责人总部研发负责人偏高14XXX的10个风险规划（3.8产品结构（3.6）、人力情况如下：层对20大风总风险比例图：：型业务单元，门负责人、总类风险数量进部总部研负41131发部门负责人高，特别是研低风险中风险高风险X集团股份有限险（平均得8）、公司内（3.7）、投力资源规划风险的评估例的88%，其，我们分别总部职能部进行了统计研发部门负责人总584020人和总部事研发部门负险险险限公司|三、风分超过3.5内控环境（投资决策（3划及政策（3估结论一致，其余14个为别对国内区域部门负责人及计，具体数据总部职能部门负责人65事业部负责人负责人识别出风险评估结果5分）分别（3.7）、组3.7）、员工3.6）。，不存在评为低风险，域负责人、及子公司负据如下：门子公司06553人的风险打出的高风险XXX24别为公司组织结构工招聘和评级为高占总风总部事负责人的司负责人15661打分明显险比率达XXXXXX集团股份有限公司|四、未来风险管理工作建议25到了49%，说明其对各项风险因素都比较敏感，风险承受能力较低；►国内区域负责人的打分结果最贴近风险平均分值，具体表现为较平均分值略低一些，说明区域负责人对公司总体风险水平和管控水平的理解和把握、以及对风险的承受度偏好最接近决策层；►总部职能部门负责人与子公司负责人的风险打分较平均分明显偏低（除了子公司负责人识别出一个影响较大的风险：市场竞争），说明这些业务单元的风险承受能力较强、面临的风险因素较少或日常运营中管控更加到位。3.合同风险评估结果为了更好的体现XXX现有重大风险总体管控状况，我们引用风险坐标这一工具直观的反应20大风险的具体分布情况。四、未来风险管理工作建议（一）风险应对策略1.风险关注程度对于不同的风险，管理层需根据其可能造成的不同影响投以不同的关注程度、明确不同的管理策略，才能达到双高效（高效果、高效率）的目的。三个风险级别及我们建议的管理层关注程度如下：风险水平管理层应关注程度低风险为了降低现有风险水平，需采取措施改进内部控制需要监控该风险，保证其在可控范围内中等风险需采取定量手段减少该风险，并制定时间表，保证风险在可控范围内应考虑控制成本若危害后果较大，则应经常评估该风险发生的可能性高风险在未降低风险前，须停止与其相关的经营活动若与此相关的经营活动正在进行中，应拟定完备的应急计划和紧急措施XXXXXX集团股份有限公司|四、未来风险管理工作建议26积极采取措施降低风险在未降低风险前，无论其执行代价有多大，与该风险相关的所有经营活动（包括已经开始进行的经营活动）均必须停止。2.风险应对策略风险应对是指管理层在评估相关风险后，按照风险管理优先顺序和风险管理策略，结合风险预警机制，对各类风险或每一项重大风险制定、评估和选择风险管理解决的过程。其中，风险应对策略指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险转移、风险控制、风险规避等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。一般公司引用的应对策略有以下几类：应对策略定义可以采取的具体措施承担管理层决定承受该风险带来的可能危害。此时管理层的关注重点应该集中在：1）对该风险变化情况进行监控；2）该风险一旦发生，对其后果能够合理、全面的估计；3）制定完善的应急措施、恢复计划、补救措施等完全接受该风险制定奖励/亏损目标和容忍标准建立并监控关键性风险指标制定完善的应急措施制订恢复计划调查并采取后续行动建立补救措施为后果筹备资金转移通过采取措施将可能风险因素进行化解和转化。投保业务共享业务外包业务多样化/业务扩展套期保值控制采取严密的纠正措施，修正内控设计和执行方面的各类缺陷，对风险加以有效的控制。整改组织体系修正总体方针XXXXXX集团股份有限公司|四、未来风险管理工作建议27应对策略定义可以采取的具体措施改善经营措施进行实时监控规避由于风险过于庞大或能够采取的处理措施成本过高，因此管理层决定彻底放弃可能产生风险的这部分经营活动。停止业务活动退出市场撤资改变或重新确立目标重新设计业务流程、系统及工具缩小规模安永建议管理层逐条分析公司目前面对的重大风险，讨论确认相应的风险应对策略，并针对风险应对策略制定的应对风险的具体措施，包括采取的应对动作、执行人、执行成本等，最终形成风险应对计划。（二）建立/完善风险管控及监督体系为了提高公司整体风险防范能力，我们建议管理层从以下几方面入手建立和完善风险管控及监督体系：►组建风险管理工作组o此工作组可以为非常设机构，由公司主要领导及负责风险评估等具体工作的同事组成o工作组应召开定期会议（一般半年一次即可），对当期公司风险总体状况的变动情况进行分析和讨论►在公司范围内建立风险管控体系（包括风险信息收集途径、评估方法、汇报机制等），明确各级别员工在体系中的分工►为每项风险因素指定专门的风险管理部门及风险所有人，明确风险管理部门及风险所有人在风险管理工作中应尽到的管理、监督责任►将风险因素，特别是重要风险因素，与现有内部控制进行对接，明确各个风XXXXXX集团股份有限公司|四、未来风险管理工作建议28险的可控程度及失控原因►定期（一般为一年一次）进行公司范围内的全面风险评估，识别新增及产生了变动的风险，关注风险排序的变化趋势►根据风险评估结果制定或更新风险应对计划，根据当期实际情况调整风险应对策略►将风险管控工作与各相关部门、岗位的绩效考核机制相结合►建立风险预警机制（三）制定风险预警机制为了更好的追踪和监控风险变化情况，高级管理层需制定重大风险预警机制，并进行制度化。我们建议该机制包含以下主要内容：►风险预警机制的关注重点应集中在以下两点：o由于公司开展新的业务，或由于国家相关政策、行业竞争等发生明显变化，而导致公司面临一些以前未曾面对的风险；o由于经济大环境、国家政策及行业规范的变化，导致部分风险的发生频率及影响烈度发生改变。对于那些风险评级可能收到影响而提高的风险（例如风险级别由中等变为高），风险预警机制应给予特别关注。►负责战略研究与分析的部门应针对上述两种风险进行持续不断的监测（包括随时收集国家政策、行业规范方面的信息，随时了解公司新型业务的开展情况等），并对执行这一监控职能的岗位及监控手段进行明确。►高级管理层需针对这些重大风险制定明确的预警上限，制定预警上限时需要结合公司的风险偏好及风险承受度，并从定量和定性两方面进行考虑，以达到成本效益原则与风险预警有效性的统一。►负责战略研究与分析的部门应及时对超过预警上限的重大风险实施报警，提醒高级管理层做好应急准备。►高级管理层应联合相关部门管理层制定出严密的风险应急预案，并根据情况XXXXXX集团股份有限公司|四、未来风险管理工作建议29变化实时调整控制措施。►风险预警机制还应包括明确的汇报路线和奖罚措施。XXXXXX集团股份有限公司|五、附件30五、附件附件1：XXX集团有限公司风险汇总表战略类运营类合规类财务类公司治理董事会的表现营销和市场-信息科技市场行为规范道德金融市场利率公司高层的基调控制环境廉政和舞弊外币与汇率公司内控环境广告法律合同管理原料价格波动企业社会责任组织结构控制环境管理层基调战略规划及资源配置组织结构战略计划法律责任资产流动性和公司信誉资金管理战略规划产品发展知识产权投资立项产品结构产品组合反腐败投资评估人力资源规划及政策预测监管贸易投资管理预算供应链总体规划及预测组织结构融资预测采购和存货海关企业社会责任合营/联营及合作关系生产管理人事合规信用和回款外包策略产品配送有价证券组织结构IT能力运输和物流战略规划会计政策和报告战略规划特殊目的公司间接税数据保护与隐私产品结构税收筹划转移价格国际贸易收入确认重大革新愿景和方向人力资源企业文化产品组合内部控制要求规划和执行员工招聘和挽留产品质量/安全人力资源规划及政策评估与监控员工发展和绩效评估HR政策与规划资本结构合资公司/联营以及合伙制公司新技术应用人才储备及接班计划竞争手段与反贸易外包管理变革管理薪酬福利体系预测所有者权益并购和资产剥投资决策劳资关系税法合规及税务稽查管理信息技术尽职调查信息技信息系统管理特殊目的公司业务整合及分拆信息安全养老基金XXXXXX集团股份有限公司|五、附件31战略类运营类合规类财务类离术市场因素竞争信息可用性及连续性股票期权科技进步信息支出监管数据保护与隐私灰市与盗版决策支持宏观经济因素信息架构民众生活水平发展趋势灾害自然灾害社会和政治因素恐怖活动,及其它恶意行为沟通与投资者关系与媒体的关系业务中断危机公关实物资产管理-信息技术实物资产管理内部员工沟通大型装备和设备存货税务管理税务部门运营税务技术和知识管理基建工程项目立项项目管理项目结算资产经营资产经营计划资产经营管理XXXXXX集团股份有限公司|五、附件32附件2：第一次风险调查问卷发放统计表序号业务单元职位姓名发出时间收回时间1集团