国有企业风险框架和风控数据库指导手册模版.docx

风险框架和风控数据库指导手册 ** 风险框架和风控数据库编制目的 科技集团有限公司（以下简称“”或“集团公司”）于 2008 年开始启动全面风险管理体系建设工作，建立了初步的风险管理工作机制。集团公司已连续 4 年定期开展风险评估工作，制定了集团公司的风险框架以及风控数据库，为集团公司防范和化解风险起到积极的作用，奠定了风险管理的基础。 随着风险管理工作的深入以及内外部环境的变化，需要构建一套以风险为导向的，由全面风险管理及评估体系、内控构建、评价以及优化体系共同适用的统一的风险框架和风控数据库，即为后续推进全集团风险评估、风险监控、风险应对以及内部控制评价工作的开展奠定基础，同时也能确保集团公司全面风险管理工作自上而下的统一。 风险框架和风控数据库编制依据 《中央企业全面风险管理指引》 2006 年 6 月，国务院国资委发布了《中央企业全面风险管理指引》，要求中央企业要确立风险管理目标，开展风险识别和评估，将风险管理的各项要求融入企业管理和业务流程中，尽快建立和完善全面风险管理体系。 《企业内部控制基本规范》及其配套指引 2008 年 6 月，财政部等五部委发布了《企业内部控制基本规范》， 2010 年 4 月，财政部等五部委联合颁布了《企业内部控制配套指引》，要求中央企业建立以风险管理为导向的内部控制体系。 《关于加快构建中央企业内部控制体系有关事项的通知》 2012 年国资委发布《关于加快构建中央企业内部控制体系有关事项的通知》，要求中央企业以风险管理为导向，全面梳理各类各项业 务流程，为推动中央企业扎实开展管理提升活动夯实基础。 《2013 年度中央企业全面风险管理报告（模本）》 根据《2013 年度中央企业全面风险管理报告（模本）》中关于企业风险的分类列示，编制集团风控数据库主要框架。 科技集团有限公司的相关管理规定 集团 2013 年 3 月 19 日全面风险管理工作小组第一次会议精神和 2013 年 4 月 25 日召开的第二届十八次董事会审议通过的《科技集团有限公司 2013 年度全面风险管理报告》中述及的“调整集团公司风险分类框架，……逐步充实完善风险事件库”有关内容，开展调整集团公司风险分类框架、风险与内控数据库整合优化的专项工作能够有效提升集团风险管理水平。 三、风险框架和风控数据库编制方法 1、风险框架和数据库编制思路与方法 本次风险框架和风控数据库整合的总体思路以目标-风险-控制为主线，按照集团公司管理层期望达到的经营目标为基础，识别出实现经营目标所潜在的风险，通过经营管理过程中业务控制手段降低或规避风险的发生，最终实现整体风险防控和管理提升的目标。 在集团公司现有的风险框架以及风控数据库的基础上，根据五部委《企业内部控制基本规范》及其配套指引、国务院国资委《中央企业全面风险管理指引》的主要内容和要求，结合《2013 年度中央企业全面风险管理报告（模本）》中关于企业风险的分类列示，通过对比审计部风控数据库与财务部风控数据库内容，从横向风险分解、纵向风险衔接的角度寻找差异，并将对比结果作为后续风险框架和风控数据库整合基础输入信息。 结合风险框架和风控数据库对比信息，确定风险框架和风控数据库中三级风险分类标准、定义三级风险名称、统一风险描述语言以及界定不同级别风险之间关系。 收集、整理集团公司已发生的风险事件以及固有风险事件，按照统一的风险描述语言编写后与三级风险对接，最终实现对集团公司的风险框架和风控数据库的整体优化。 2、风险框架和风控数据库编制原则 本风险框架和风控数据库参考了国资委关于企业风险的分类列示，结合了集团公司自身管理和业务特点，全面反映了集团公司面临的内外部风险，编制过程中体现了以下原则： 全面性：依据国资委关于企业风险的分类列示，从战略、市场、财务、法律和运营五个维度梳理并细化集团公司的二级、三级风险，优化后的风险框架可涵盖国资委关于企业风险分类的全部内容。 适用性：风险框架按照集团公司的生产经营特点进行优化，反应集团公司及二级单位管理（业务）领域的主要风险，如在三级风险中包括科研项目管理风险、技术服务项目管理风险、代理业务风险、生产管理风险、编辑出版风险等特有的业务领域风险。 实用性：风险框架中的二、三级风险包含集团公司以及二级单位所有管理（业务）领域，满足各经营层级都能在风险框架中找到对应的风险。如国贸能够在风险框架中找到与其对应的“代理业务风险”，纳克能够在风险框架中找到与其对应的“生产管理风险”。 融合性：风险框架为内控与风险管理融合工作奠定基础，风险四级分类的颗粒度使得内控业务流程和控制措施与风险实现对接，真正实现以风险管理为导向的内控体系建设，确保风险管理工作有效落地。 四、风险框架和风控数据库结构 1、风险框架部分 风险框架部分主要包括：风险编号、风险分类、风险名称、风险