20xx年度全面风险管理报告

20xx年度全面风险管理报告内容摘要：

司高度重视 风险管理与 内控建设，把开展 内部控制 评价、提升风险 防控 能力作为公司 在 2020 年的 一项重点工作来抓，并成立了以总经理 兼总会计师为组长的内 部控制领导小组和工作小组，研究制定工作方案 ，扎实开展 内部控制 评价工作。 X 月，公司下发《关于开展财务内部控制评价工作的通知》，组织各单位、各相关部门集中人员和精力，认真开展内控评价工作。 评价采取自我评价与协助评价相结合、现场评价与跟踪指导相结合、重点评价与全面评价相结合等多种有效方式，并在样本选取、模版格式、报告体例等方面进行了统一规范，分别编制了穿行测试表和控制测试表各 XXX个，通过审阅内控流程文档、开展穿行测试、实施控制测试、编制评价结果备忘录、汇总编制控制缺陷表等统一规范的步骤，对评价过程实施标准化管 理，保证 了风险防控与 内控评价工作的有序高效开展。 …… 二、 2020年度企业风险评估情况 （一）对未来风险总体形势的研判 结合 2020年度本单位经营目标，简要描述本单位 2020年面临的内外部环境因素的变化，并就其对经营目标的影响进行总体研判和简要分析，包括给本单位带来的风险和机遇，以及拟定的应对措施等（ 1000字以上）。 【示例】： 结合公司 2020年度经营目标，公司适时 加强 了 对未来中长期所面临风险的全局性、趋势性研判 ，定位了下一年度公司风险管理工作的方向 12 和重点。 经评估分析， 2020年度公司面临的重大经 营环境变化包括： （ 1）电价政策变化 ………… （ 2）…… （二）风险管理初始信息收集情况 ，即收集、整理、分析本单位、国内外同行业企业发生的重大风险损失事件典型案例的有关情况。 【示例】： 2020 年 度 ，公司高度重视全面风险管理工作，以报送全面风险管理报告为契机，部署系统内各单位开展风险信息收集与分析工作，结合公司自身业务特点， 从战略、 运营、市场 、财务、法律 五类风险信息进行归 类、汇总、分析，并针对每类风险收集相应的风险案例，形成了 公司典型风险案例库，合计 XX 个 典型风 险案例。 典型风险案例内容包括案例名称、发生时间、案例简介、案例分析以及为防止同类事件再次发生所采取的防范措施等内容，突出 了以下 案例的典型警示功能。 收集本单位以及国内外其它企业有借鉴意义的典型风险案例，对典型风险案例按照案例名称、时间、案例简介、案例分析、防控措施的格式编写，其中 供电单位 风险案例个数不少于 8 个， 非供电单位 风险案例个数不少于4 个。 13 【示例】： 案例名称 ：重大活动供电敏感信息泄露 发生时间 ： 2020 年春节前夕 案例简介 ： 某 单位 接到国家安全部所属中国信息安全测评中心通报，发现涉及某重大活动的园区供电方案、保障方案、场馆变电站建筑结构图、电气主接线图以及相关敏感资料和信息等泄露。 经查，此次信息安全事件是由于 使用 信息外网邮箱处理敏感资料所致。 重大活动供电敏感信息泄露，使公司被国家安全部所属中国信息安全测评中心通报，严重影响公司形象。 案例分析 ： 调查发现该公司外网邮件系统有 170 余人账户使用了字符串为 “password”的初始弱口令，部分人员外网邮箱中存有与重大活动相关的规划、安全性评价报告等敏感材料。 分析事件发生原因， 一是该公司少数员工信息安全保密意识淡薄，在信息外网邮箱存 储敏感资料，通过信息外网邮箱和社会公用邮箱向互联网发送邮件 ； 二是该公司部分信息外网邮件用户采用初始弱口令 ； 三是信息内外网隔离后，该公司原本地邮件系统仍在重复并轨运行，未完成域名统一 、 及时关闭原有邮件系统 ，也未 对本地信息外网邮件内容采取过滤和审计措施。 防控 措施： 一是严格遵守公司信息安全保密纪律，强化全员信息安全保密意识，严格执行公司 保密 要求，落实到位。 二 是将公司全部信息外网邮件系统整合至公司集中统一外网邮件系统，加强对邮件系统的统一管理和审计，消除安全隐患。 三 是加强现有系统收发日志审计和敏感内容拦截，组织检查互联网交互记录和内外网邮件发送信息，定期对审计关键字进行动态更新。 四是 协同各级保密部门对在信息外网和互联网上违规传送公司秘密及敏感信息的情况进行通报与处理。 14 （三）风险评估情况 2020 年度风险评估的范围、方式及参与人员等有关情况进行说明。 【示例】： 风险评估范围 ：本次风险评估涵盖公司总部部门 XX 个、网省公司XX 家、直属单位 XX家，涉及所有业务及岗位。 风险评估方式 ：采取 “自下而上、纵横整合、内外结合 ”的评估方式。 风险梳理采取 “自下而上 ”的方式，即岗位风险 → 下属单位层面风险、总部部门层面风险 → 公司层面风险，体现了风险的层次性和统一性；风险辨识采取 “纵横整合 ”的方法，即横向覆盖所有总部部门、所有下属单位、所有业务，纵向从政策、制度及执行、组织职责、人力资源、技术等各方面对每个风险进行深入的分析，体现了风险识别的全面性和准确性； …… 参与人员 ：在公司全面风险管理委员会的统一指导下，由 风险管理办公室 具体组织，总部各部门及各下属单位分别开展风险梳理辨识和评估工作，共计 XXX 人参加，其中网省公司 XXX 人，直属单位 XXX 人，总部部门 XXX 人。 说明本单位在分析风险事件发生的可能性、风险事件发生后对经营目标的影响程度时，所采用的评估标准（以附件列示）。 网省公司可参照附件 3，直属单位可以根据所属行业政 15 府主管部门的相关要求或本单位实际情况制定评估标准。 对本单位 2020年度可能面临的风险进行评估， 按照企业风险分类，列示本单位 2020年度风险评估结果，以及经评估确定的重大风险，填写附件 1所示的风险评估信息表，企业风险分类示例见附件 2。 网省公司列示的风险不少于 30项，其中重大风险不少于 10项，直属单位列示的风险不少于 15项， 其中重大风险不少于 5项。 （四）重大风险关键成因量化分析 简要说明本单位对重大风险关键成因进行量化分析的情况，包括建立分析、预测模型等。 【示例】： 重大风险一：海外并购风险 首先运用风险分析工具识别影响海外并购工作的风险因素，其次借助层次分析法建立风险评估模型，然后计算并购项目的风险值，从而最终确定项目的风险大小，为“走出去”科学决策提供依据。 （ 1）建立海外并购风险评估模型的方法与过程 运用层次分析法，建立“走出去” 海外并购风险评估模型，包括以下三个层次 :目标层，即海外并购风险评价。 主准则层， 即并购的准备与设计阶段风险、并购的谈判与实施阶段风险、并购的整合阶段；分准则层，即影响主准则层的具体指标。 具体模型见图 5。 16 企 业 并 购 风 险 U第 一 阶 段 风 险 U1战略制定风险国内体制风险产业技术风险自身实力评估风险政治风险政策法律风险融资与财务风险市场风险反并购风险业务整合风险经营风险文化冲突风险第 二 阶 段 风 险 U2第 三 阶 段 风 险 U3 图：海外并购风险评估模型 在海外并购风险因素评价时，安排 10 名以上专家对每个因素进行打分，运用统计方法确定各个不同因素最终的权值大小。 本模型共分二级，第一级是对准则层 (Ui)进行评价，第二级是对目标层 (U)进行评价。 第一级评价： …… （五）风险坐标图 按照风险发生的可能性和风险发生后对本单位经营目标的影响 程度两个维度，将本单位 2020 年度的重大风险绘制成风险坐标图，风险坐标图纵坐标为发生可能性、横坐标为影响程度。 【示例】： 17 ① 技术标准不完备，标准更新不及时 风险 ② ... ... 三、 2020年度全面风险管理工作有关情况及重大风险管理情况 （一） 2020年度风险管理工作计划 本单位董事会、党组、总经理办公会等决策层对 2020 年度全面风险管理工作提出的要求。 【示例】： 18 公司党组 高度重视公司全面风险管理工作，在公司二届一次职代会暨 2020 年度工作会议、公司主要党政负责人年度 会议、 及全面风险管理委员会会议上 ，要求总部各部门和公司各单位充分认识全面风险管理工作的重要意。