国有企业风险框架和风控数据库指导手册模版

风险框架和风控数据库指导手册
**
一、风险框架和风控数据库编制目的
科技集团有限公司（以下简称“”或“集团公司”）于2008 年开始启动全面风险管理体系建设工作，建立了初步的风险管理工作机制。

集团公司已连续4 年定期开展风险评估工作，制定了集团公司的风险框架以及风控数据库，为集团公司防范和化解风险起到积极的作用，奠定了风险管理的基础。

随着风险管理工作的深入以及内外部环境的变化，需要构建一套以风险为导向的，由全面风险管理及评估体系、内控构建、评价以及优化体系共同适用的统一的风险框架和风控数据库，即为后续推进全集团风险评估、风险监控、风险应对以及内部控制评价工作的开展奠定基础，同时也能确保集团公司全面风险管理工作自上而下的统一。

二、风险框架和风控数据库编制依据
1、《中央企业全面风险管理指引》
2006 年6 月，国务院国资委发布了《中央企业全面风险管理指引》，要求中央企业要确立风险管理目标，开展风险识别和评估，将风险管理的各项要求融入企业管理和业务流程中，尽快建立和完善全面风险管理体系。

2、《企业内部控制基本规范》及其配套指引
2008 年6 月，财政部等五部委发布了《企业内部控制基本规范》，2010 年4 月，财政部等五部委联合颁布了《企业内部控制配套指引》，要求中央企业建立以风险管理为导向的内部控制体系。

3、《关于加快构建中央企业内部控制体系有关事项的通知》2012 年国资委发布《关于加快构建中央企业内部控制体系有关事项的通知》，要求中央企业以风险管理为导向，全面梳理各类各项业务流程，为推动中央企业扎实开展管理提升活动夯实基础。

4、《2013 年度中央企业全面风险管理报告（模本）》
根据《2013 年度中央企业全面风险管理报告（模本）》中关于企业风险的分类列示，编制集团风控数据库主要框架。

5、科技集团有限公司的相关管理规定
集团2013 年3 月19 日全面风险管理工作小组第一次会议精神和2013 年4 月25 日召开的第二届十八次董事会审议通过的《科技集团有限公司2013 年度全面风险管理报告》中述及的“调整集团公司风险分类框架，……逐步充实完善风险事件库”有关内容，开展调整集团公司风险分类框架、风险与内控数据库整合优化的专项工作能够有效提升集团风险管理水平。

三、风险框架和风控数据库编制方法
1、风险框架和数据库编制思路与方法
本次风险框架和风控数据库整合的总体思路以目标-风险-控制为主线，按照集团公司管理层期望达到的经营目标为基础，识别出实现经营目标所潜在的风险，通过经营管理过程中业务控制手段降低或规避风险的发生，最终实现整体风险防控和管理提升的目标。

在集团公司现有的风险框架以及风控数据库的基础上，根据五部委《企业内部控制基本规范》及其配套指引、国务院国资委《中央企业全面风险管理指引》的主要内容和要求，结合《2013 年度中央企业全面风险管理报告（模本）》中关于企业风险的分类列示，通过对比审计部风控数据库与财务部风控数据库内容，从横向风险分解、纵向风险衔接的角度寻找差异，并将对比结果作为后续风险框架和风控数据库整合基础输入信息。

结合风险框架和风控数据库对比信息，确定风险框架和风控数据库中三级风险分类标准、定义三级风险名称、统一风险描述语言以及界定不同级别风险之间关系。

收集、整理集团公司已发生的风险事件以及固有风险事件，按照统一的风险描述语言编写后与三级风险对接，最终实现对集团公司的风险框架和风控数据库的整体优化。

2、风险框架和风控数据库编制原则
本风险框架和风控数据库参考了国资委关于企业风险的分类列示，结合了集团公司自身管理和业务特点，全面反映了集团公司面临的内外部风险，编制过程中体现了以下原则：
全面性：依据国资委关于企业风险的分类列示，从战略、市场、财务、法律和运营五个维度梳理并细化集团公司的二级、三级风险，优化后的风险框架可涵盖国资委关于企业风险分类的全部内容。

适用性：风险框架按照集团公司的生产经营特点进行优化，反应集团公司及二级单位管理（业务）领域的主要风险，如在三级风险中包括科研项目管理风险、技术服务项目管理风险、代理业务风险、生产管理风险、编辑出版风险等特有的业务领域风险。

实用性：风险框架中的二、三级风险包含集团公司以及二级单位所有管理（业务）领域，满足各经营层级都能在风险框架中找到对应的风险。

如国贸能够在风险框架中找到与其对应的“代理业务风险”，纳克能够在风险框架中找到与其对应的“生产管理风险”。

融合性：风险框架为内控与风险管理融合工作奠定基础，风险四级分类的颗粒度使得内控业务流程和控制措施与风险实现对接，真正实现以风险管理为导向的内控体系建设，确保风险管理工作有效落地。

四、风险框架和风控数据库结构
1、风险框架部分
风险框架部分主要包括：风险编号、风险分类、风险名称、风险描述及适用层级。

具体描述如下：
风险分类：分为一级风险、二级风险、三级风险及四级风险。

①一级风险根据国资委要求命名，主要以影响企业经营目标实现来划分，为战略风险、财务风险、市场风险、运营风险和法律风险五
大类。

②二级风险根据风险所在管理（业务）领域命名，主要以管理（业务）领域来划分，例如项目投资管理风险、全面预算管理风险。

（包括61 个二级风险）
③三级风险根据管理（业务）领域中的风险源命名，主要以管理（业务）领域中风险源来划分，以二级战略规划风险为例，三级风险为战略规划制定风险、战略规划实施风险以及战略规划调整风险。

（包括310 个三级风险）
④四级风险根据流程关键控制命名，主要以风险对应的流程走向来划分，以三级战略规划实施风险为例，四级风险分为战略规划宣贯风险、战略规划分解风险以及战略规划执行风险。

（目前包括623 个四级风险）
风险编号：一级风险编号，例如HOR1 、HOR2…；二级风险编号，例如HOR1.01，HOR1.02…；三级风险编号，例如
HOR1.01.01，
HOR1.01.02…；四级风险编号，例如HOR1.01.01.01，
HOR1.01.01.02… 风险描述：对风险发生的各种成因及其表现分类描述，例如：战略规划制定风险可描述为企业战略规划制定不符合发展定位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。

适用层级：界定风险适用的范围和层级，确保风险归属清晰。

例如：集团公司、基层单位、集团公司与基层单位。

2、风险应对及控制措施部分
风险应对及控制措施部分将三级风险及风险事件与对应的控制目标、控制措施等进行了对接。

内容主要包括：风险管理策略、控制目标、内部控制业务流程、内部控制措施、其他管理措施及管理制度等内容。

具体描述如下：
风险管理策略：根据三级或四级风险的偏好和风险承受度对风险采取的管理策略，包括风险承担、风险控制、风险规避、风险转移、风险对冲等。

风险承担：企业以其内部的资源来弥补损失；
风险控制：企业采取各种措施和方法,消灭或减少风险事件发生的各种可能性，或者减少风险事件发生时造成的损失；
风险规避：企业通过计划的变更来消除风险或风险发生的条件，保护目标免受风险的影响；
风险转移：企业通过合同或非合同的方式，将风险转移给别人承担；
风险对冲：企业通过投资或购买与标的资产收益波动负相关的某种资产或衍生产品，来冲销标的资产潜在的风险损失；
控制目标：结合财政部《企业内部控制指引》和集团公司《内控手册》中要求，细分内控目标，并逐一与采用风险控制策略的三级或
四级风险对应，确保风险与控制目标的有效对接。

内部控制业务流程：结合集团公司《内控手册》和集团办公厅梳理的业务流程，与对应的三级或四级风险对接，确保内控业务流程与风险对应。

内部控制措施：三级或四级风险实施的具体内部控制措施。

其它管理措施：三级或四级风险采用的除内部控制措施以外的其它风险管理手段。

管理制度：三级或四级风险管理所对应的集团公司现行的管理制度。

五、风险框架和风控数据库特点
1、定义风险规则，促进风险管理工作标准化和规范化
通过对风险规则定义、完善风险框架和风控数据库的功能，为集团公司在风险识别和描述工作中提供统一、系统的方法，避免在风险概念、定位和内容等诸多方面说法和认识不统一的问题，有效地促进风险管理标准化和规范化，从而提升风险管理工作的效率和效果。

2、完善风险框架，构建风险管理体系基础
优化后风险框架在原有风险框架二级风险分类的基础上补充和细化了三级风险310 个和四级风险623 个，同时完善具有管控模式和业务特点的风险内容，形成了完整和细化的风控数据库，一方面有利于集团公司以及二级单位统一使用，另一方面统一和增强集团公
司以及二级单位对风险的认识。

完整的风险框架为后续风险评估、风险监控和风险应对等具体风险管控工作的开展奠定坚实的基础。

3、梳理风险应对，促进风险管理工作的落地
优化后的风控数据库针对所有三级和四级风险都梳理了风险管理策略、风险管理主责部门、风险管控措施和相关的管理制度，从而明确风险责任的归属、风险管控的业务流程和具体管控措施以及相关的管理制度，以上风险管理要素的健全有效地促进了风险管理工作的落地和管控效果的提升。

4、实现风险与内控对接，促进二者融合
根据“目标-风险-控制”的理念和方法论以及集团公司构建以风险为导向的内控建设体系的指导思想，优化后的风控数据库将内控风控数据库、业务流程梳理以及内控管理措施有效整合融入风控数据库，避免风险管理与内部控制形成“两张皮”，同时风控数据库作为风险管理和内控体系建设与评价的基础，在合理识别目标风险后能够科学的指导内控体系建设和评价工作，从而提升风险管理与内控工作的工作效率。

5、有效识别风险管控薄弱环节，为后续风险管理和内控工作提升提供依据
优化后的风控数据库有效地梳理风险目标、内控措施，并在完成风险与内控对接后，内部控制缺失和薄弱的部分将清晰体现出来，从而为后续集团内控和风险管理工作的完善和提升提供了依据。

六、风险框架和风控数据库使用
1、风险框架和风控数据库的适用范围本风险框架和风控数据库适用于集团公司及所属基层单位。

2、风险框架和风控数据库的使用
风险框架和风控数据库可供在如下工作内容中参考并使用，包括但不限于：
（1）风险评估：集团公司及所属二级单位可根据风险框架
和风控数据库开展风险评估工作，可根据风险框架和风控数
据库中对应风险的分管层级及适用范围，针对风险框架和数
据库中不同层级的风险进行评分，识别出集团公司及所属二
级单位的重大及重要风险，针对识别出的重大及重要风险管
控的薄弱环节制定和完善相应的管控措施。

（2）风险预警：集团公司及所属二级单位可根据风险评估
工作识别出的重大及重要风险，设定相应的风险预警指标，
结合风险预警指标制定相应的应对措施及预案，以便最大程
度的降低和预防重大及重要风险的发生。

（3）内控及管理体系优化：集团及所属二级单位可根据风
险框架和风控数据库中风险应对措施出现空白或较为薄弱的
部分完善现有内部控制体系、制度体系及其他管理措施，以
不断优化和完善整体风险防控体系。

（4）内控评价：集团公司及所属二级单位可根据风险框架和风控数据库开展内控评价工作。

集团公司及所属二级单位
可将风控数据库中的风险事件作为内控评价的依据，在内控
评价后续整改过程中，集团公司及所属二级单位也应充分利
用风险框架和风控数据库中的风险作为补充和完善内控措施
的基础。

（5）专项检查：集团公司及所属二级单位可根据风险框架和风控数据库进行专项检查工作（如质量检查、安全检查、
内部审计等），以风险框架和风控数据库中的风险作为专项检查的依据，同时不断完善专业领域的风险点及管控措施。

（6）日常监督：集团公司及所属二级单位可根据风险框架和风控数据库进行日常业务的检查，识别日常管理过程中的
风险点及管控较为薄弱的环节，逐步完善日常管理工作，提
升工作效率。

七、风险框架和风控数据库的管理和维护
1、风险框架和风控数据库的管理
集团公司审计部对风险框架和风控数据库进行管理，保证其有效、完整、统一和适用，各二级单位应指定专职管理部门负责风险数据库的日常管理和维护。

集团公司及各二级单位人员在使用过程中发现的问题，应及时向集团公司审计部咨询和反馈。

本风险框架和风控数据库由集团公司审计部负责牵头组织编写，全面风险管理工作小组会议审议，全面风险管理领导小组会议审定，经董事会批准，发布执行。

2、 风险框架和风控数据库的维护风险框架和风控数据库的维护是一项经常性、持续性、长期性的工作，风险框架和风控数据库需根据集团公司业务发展、管控模式变化以及集团公司和二级单位对风险变化和管控的认识等因素，持续地更新和维护风险框架和风控数据库相关内容，因此，需要集团公司各部门及所属二级单位高度重视，积极参与，大力配合。

集团公司及所属基层单位在风险框架和风控数据库管理中的职责详见下表： 注：R-主办 S-协办 E-执行
结构 子项
集团审计部 集团各部门 各分子公司 风险框架 风险框架结构设计 R
E E 一级风险制定与维护 R
E E 二级风险制定与维护
R E E 三级风险制定与维护
R S/E S/E 风控数据库 四级风险制定与维护
S R/E R/E 风险事件编制与维护
S R/E R/E
其中，风险框架结构设计、一级风险、二级风险及三级风险的修订、维护等工作由集团公司审计部负责；四级风险及风险事件的修订、维护等工作由集团各部门及所属二级单位相关责任部门负责，集团公司审计部协助处理。

集团公司各部门及二级单位相关责任部门应根据相关法律法规的规定、公司业务发展、组织架构调整、管控模式变化以及各部门反馈的意见及建议等，每年对风控数据库进行修订，上报集团公司审计部汇总，经董事会批准发布执行。

集团公司审计部应及时掌握风险框架和风控数据库的使用情况，采取有效措施确保风险框架和风控数据库的实用性。

（五）风险框架
科技集团有限公司风险框架。