XXXX年度全面风险管理报告

XXXX年度全面风险管理报告
2012年度全面风险管理报告填报单位名称：（公章）
填报日期：2012 年月日
目录
一、2011年度全面风险管理工作回顾 (1)
（一）全面风险管理工作计划完成情况 (1)
（二）重大风险管理情况 (2)
（三）重大风险管理解决方案的监督检查情况 (5)
（四）内部控制系统建设情况 (6)
（五）风险管理信息系统有关情况 (7)
（六）建立健全全面风险管理体系其他有关情况 (8)
二、2012年度企业风险评估情况 (13)
（一）对未来风险总体形势的研判 (13)
（二）风险管理初始信息收集情况 (13)
（三）风险评估情况 (15)
（四）重大风险关键成因量化分析 (16)
（五）风险坐标图 (18)
三、2012年度全面风险管理工作有关情况及重大风险管理情况.19
（一）2012年度风险管理工作计划 (19)
（二）2012年度重大风险管理情况 (21)
四、有关意见和建议 (24)
（一）需要公司协调解决的重大风险问题 (24)
（二）对推动全面风险管理工作的建议 (24)
附件1：2012年度风险评估信息表 (25)
附件2：企业风险分类示例 (26)
附件3：风险评估标准 (27)
2012年度**公司全面风险管理报告
一、2011年度全面风险管理工作回顾
（一）全面风险管理工作计划完成情况
主要从全面风险管理体系建设、2011年度全面风险管理工作计划执行情况、本单位决策层对年度工作的评价以及全面风险管理工作取得的成效等方面进行说明（1500字以上）。

【示例】：
2011年，****公司（以下简称“公司”）继续深入贯彻落实国资委对中央企业加强全面风险管理工作的要求，借鉴国内外企业开展全面风险管理工作的成功经验，服务于公司战略发展需要，立足于公司风险管控现状，大胆实践，不断创新，逐步形成了具有电网企业特色的全面风险管理体系和运行机制，各项工作取得了较好的成效。

1、全面风险管理体系建设及全面风险管理工作执行情况
2011年，公司全面完成计划安排的X项工作，即开展风险评估、制定全面风险管理体系建设整体方案、推进风险管理信息系统建设、……等工作。

各项工作完成情况如下：
（1）建立健全全面风险管理“三道防线”
……
（2）科学制定全面风险管理体系建设整体方案
……
（3）加快建设风险管理信息系统
……
（4）……
2、全面风险管理工作取得的成效及决策层的评价
2011年公司积极探索、稳步推进全面风险管理工作，取得了以下突出成绩：
（1）全面风险管理体系初步建立
通过有序推进全面风险管理前期试点和全面实施工作，公司初步建立全面风险管理体系：组织体系方面，公司总部及56家下属单位均建立风险管理“三道防线”，为风险管理工作提供组织保障；工作机制方面，……
（2）……
……
（二）重大风险管理情况
1.逐一简要说明2011年度本单位重大风险的管理情况。

重大风险按评估结果进行排序列示，说明是否发生，产生的影响是否在风险承受度内，不在承受度内的应说明主要原因。

如有重大风险事件发生，请就已有调查结论的事件，说明产生原因、发生后的影响、解决方案及今后避免再次发生的应对措施。

2.供电单位报告的重大风险事件不少于2项，非供电单位至少报告1项。

3.重大风险事件应先由各单位业务部门提供，经各单位全面风险管理办公室汇总后上报。

【示例】：
1、2011年度重大风险管理情况
2011年，公司识别出重大风险X项，分别是电网安全风险、电价政策风险、信息系统安全风险、……等。

回顾2011年公司重大风险管理情况，共有X项重大风险对应的风险事件发生，具体情况见下表：2011年度XXX公司重大风险管理情况表
序号
重大风险
名称是否
发生
风险事件名称
产生的影响是
否在风险承受
度内
不在承受度
内的原因
1 电价政策风
险
是否
2008年8月20
日起，全国火
电上网电价上
调
2 电网安全风险
3 ……
（1）电网安全风险
2011年，公司始终把电网安全作为运营管理的重中之重，加强电网运行管理，制订隐患排查治理考核细则，全面梳理电网安全隐患，建立事故隐患数据库，并对**项影响较大的隐患，逐一落实治理措施，跟踪督办，切实消除安全隐患；加强迎峰度夏专项安全检查……
（2）电价政策风险
……
2、2011年度重大风险事件整理
公司全面风险管理办公室对公司2011年发生的风险事件进行了收集、统计分析，确认共有X项重大风险对应的风险事件发生，对其事件经过、发生原因、造成的损失和影响、解决方案和应对措施进行了详细分析。

（1）电网安全风险事件：XX洪水灾害
事件经过：入汛以后，XX地区相继遭遇多轮强降雨过程，降雨历时长、强度大、覆盖广。

进入主汛期以后，降水愈加频繁，局地暴雨频发，强降雨导致XX地区出现多处险情，部分河段拦河大坝决堤。

暴雨灾害造成XX电网10千伏线路跳闸XX条次，10千伏线路倒杆XX 基……
发生原因：自然灾害引起的重大电网安全事故。

造成的损失或影响：……
解决方案：……
应对措施：……
（三）重大风险管理解决方案的监督检查情况
针对本单位2011年评估出来的重大风险，逐项说明重大风险管理
解决方案的实施情况、对解决方案的有效性进行监督检查情况（包括内外部检查、稽核监督、纪检监察、绩效考评等）、以及根据变化情况和通过监督检查发现的缺陷及时加以改进的有关情况。

【示例】：
（1）信息系统安全风险
重大风险管理解决方案执行情况：2011年度公司严格执行年度信息化建设工作计划，针对可能出现的信息安全风险点逐步进行信息系统改进与完善，积极防范信息化领域风险。

公司在年度内完成了运行呼叫中心系统、信息运行监控中心系统和信息运维综合监管系统建设；完善了重要信息化建设风险控制点的管理人员和业务操作人员岗前风险培训制度，加强对风险管理理念、知识、流程等核心内容的培训，建立起信息系统安全风险防控长效机制。

对重大风险解决方案执行情况的监督检查情况：为了完善信息化建设风险监督管理体系，对各单位开展风险在线监控，监控中发现的信息系统管理缺陷总结如下：
一是……
公司针对信息系统管理缺陷提出如下整改意见：
一是……
（四）内部控制系统建设情况
简要说明本单位内部控制系统建设的有关情况，主要是对本单位制度与流程的完善与优化情况，针对重大风险查找流程风险点、控制点、制定流程控制措施等方面的情况进行说明。

【示例】：
1、内部控制系统建设的有关情况
2011年，XX部依照公司关于开展全面风险管理工作、完善内部控制体系的通知，积极贯彻实施标准化管理体系建设工作。

一是开展内外部文件清理，共清理各类标准、文件XXX份，建立了基于本部门业务特点的标准-制度-业务间层次清晰、系统完整的标准化管理体系框架。

二是开展业务名录辨识和业务流程梳理。

本部门共提炼出电网企业统一业务名录XXX项，梳理业务流程和管理流程XXX个，更加清
楚地揭示了电网企业的自然属性，清晰了业务概念、明确了业务类别划分和标准流程体系，为公司层面标准体系建设提供了依据。

三是……
2、针对重大风险所制定的全流程控制措施
本单位针对部门各项重大风险实施全流程控制，识别流程中的关键风险点，并拟定控制措施。

（1）电价政策风险
一是根据输变电工程项目批文、投资概算、运行方式及特点、输电规模等交易要素，测算输配电价，并与上网电价、销售电价平衡，编制合理的电价方案，报政府价格主管部门审批。

二是……
（2）……
（五）风险管理信息系统有关情况
对现有的风险管理信息系统进行说明，简要说明本单位风险管理信息系统的覆盖范围、主要功能、重大风险监控、与现有管理信息系统对接情况以及下一步工作计划等。

若没有风险管理信息系统，可对现有的信息系统中与风险管理相关的模块（如安全管理、财务管控、营销、基建等）及其实现的功能进行说明。

【示例】：
1.风险管理相关信息系统建设现状
2011年，公司积极推进信息化工作，推进成熟套装软件的深化应用，实现了公司主要管理和业务活动的在线操作和风险的在线监控。

截至目前，公司XX个部门、XX工程建设公司中已全面/部门实现了通过信息系统办理部门业务。

公司信息系统的功能覆盖情况、相关功能如下表：
XX公司各部门业务信息系统汇总表
所属部门系统
名称
覆盖
范围
主要功能
的重
大风
险
与风险管
理信息系
统的对接
情况
风险管理办公室风险管
理信息
系统
公司
本部
风险信息收集、风险识别、风险评估、重大风险在线监控、风险报告、风险管理评价等模块的集成，实现了数据的横向集成
所有风
险
——
发展策划部
规划管
理系统
公司
本部
电网规划、基建储备库、电网前期、投资计划和投资统计等模块的集成工作，实现了数据的横向集成
险
…………………………
2.风险管理信息系统建设计划
2012年，公司将结合现有风险管理信息系统建设状况，积极推进全面风险管理信息系统在公司总部及下属单位的全面上线与专业应用，使风险梳理、评估、应对、监督等基本工作流程实现信息化运行，显著提高全面风险管理工作效率。

重点推进以下X项工作：（1）……
（2）……
（六）建立健全全面风险管理体系其他有关情况
1.本单位风险管理文化建设情况，包括单位内部建立风险评估机制、全面风险管理体系建设与惩防体系建设对接等情况。

单位内部建立风险管理评估机制，主要从针对“三重一大”、高风险业务、重大改革以及重大海外投资并购等重要事项建立专项风险评估制度，出具充分揭示风险和附有应对措施的专项风险评估报告等方面进行说明。

全面风险管理体系建设与惩防体系建设对接，主要从惩防体系建设情况、结合惩防体系完善重大风险管理解决方案、以及将惩防体系纳入全面风险管理体系建设等方面进行说明。

【示例】：
（1）风险管理文化建设情况
2011年度，公司重视安全管理文化、廉政建设文化、诚信文化等风险管理相关文化的建设和深化，形成了较为完善的安全应急机制和惩防体系，具备了一定的风险管理文化基础……
为了提升全体员工的风险意识，促进风险管理工作的有效推进，公司在2011年度陆续开展了一系列风险管理相关培训：
1）保密工作培训……
2）安全风险管理培训宣贯……
3）财务集约化风险在线监控培训……
（2）专项风险管理评估机制建设情况
2011年度，公司加强专项风险管理评估工作方面的制度约束，确保各部门、各项目在提交决策机构审议的重要事项议案中必须附有充分揭示风险和应对措施的专项风险评估报告，并规定由风险管理部门对上述风险评估报告进行合规审核。

针对三重一大决策风险，公司在2011年度深入探索并进行系统性流程再造和管理改进；系统设计涵盖决策前、决策中、决策后各环节的全周期管理流程，包括议题提出、前期论证与专项风险评估、论证初步审核、提请决策、确定会议、会前通知及资料送达、会议决策、决策执行与督办、决策完成情况反馈和决策后自评估10个管理环节，使各单位业务程序更加清晰，同时规范了业务单据设计，确保了业务流程的可操作性和操作标准的可实现性，大幅降低了风险发生可能性。

……
（3）全面风险管理体系与惩防体系对接状况
在2011年度，公司运用风险管理探索并将惩防体系各项要素植入企业内部控制和风险管理制度之中，融入企业经营管理体系，从重点领域和关键环节入手，排查腐败风险，健全内控机制，构筑制度防线，在统筹推进各项工作的基础上，注重突出重点，突破难点，推进改革，使惩防体系建设取得一定成效。

1）围绕排查腐败风险，开展风险信息收集
……
2）围绕重点领域环节，开展腐败风险识别
……
3）围绕确定风险等级，开展腐败风险评估
……
4）围绕解决腐败风险，推进惩防体系建设
……
2.本单位风险管理组织体系建设情况，包括公司最高决策机构、风险管理委员会、风险管理办公室、其他风险管理相关部门的设立、成员组成、职能划分及履职情况。

【示例】：
2011年，公司在成立全面风险管理委员会和办公室的基础上，在下属XX家二级单位均相应成立全面风险管理委员会和办公室，增强了对各单位全面风险管理工作的组织和领导，明确了各部门和单位的职责分工。

全面风险管理委员会于年初制定了2011年度公司全面风险管理与内部控制工作中的重大事项、审定了各部门提交的风险管理策略和重大风险管理解决方案。

在公司全面风险管理委员会的领导下，公司全面风险管理办公室负责统一组织和协调全面风险管理工作，系统制定了相关风险管理工作
办法，并组织开展了多次风险管理先进经验交流或专题培训。

公司各级各职能部门严格了执行全面风险管理与内部控制的基本流程，定期开展风险辨识工作，编写评估报告，不断完善各种风险的内部控制机制，对评估出的重大风险制定解决方案并做到基本贯彻落实。

所属各子单位办公室均为本单位制定了风险管理实施细则，定期向总部反馈工作进展情况并接受总部相关部门的监督与评估。

……
3.本单位开展风险管理评价或考核有关工作情况。

主要从本单位制定风险管理与内部控制评价指标、开展风险管理和内部控制评价工作、编制风险管理与内部控制评价报告、是否将风险管理与内部控制纳入公司绩效考核体系等方面进行说明。

【示例】：
公司高度重视风险管理与内控建设，把开展内部控制评价、提升风险防控能力作为公司在2011年的一项重点工作来抓，并成立了以总经理兼总会计师为组长的内部控制领导小组和工作小组，研究制定工作方案，扎实开展内部控制评价工作。

X月，公司下发《关于开展财务内部控制评价工作的通知》，组织各单位、各相关部门集中人员和精力，认真开展内控评价工作。

评价采取自我评价与协助评价相结合、现场评价与跟踪指导相结合、重点评价与全面评价相结合等多种有效方式，并在样本选取、模版格式、
报告体例等方面进行了统一规范，分别编制了穿行测试表和控制测试表各XXX 个，通过审阅内控流程文档、开展穿行测试、实施控制测试、编制评价结果备忘录、汇总编制控制缺陷表等统一规范的步骤，对评价过程实施
标准化管理，保证了风险防控与内控评价工作的有序高效开展。

……
二、2012年度企业风险评估情况
（一）对未来风险总体形势的研判
结合2012年度本单位经营目标，简要描述本单位2012年面临的内外部环境因素的变化，并就其对经营目标的影响进行总体研判和简要分析，包括给本单位带来的风险和机遇，以及拟定的应对措施等（1000字以上）。

【示例】：
结合公司2012年度经营目标，公司适时加强了对未来中长期所面临风险的全局性、趋势性研判，定位了下一年度公司风险管理工作的方向和重点。

经评估分析，2012年度公司面临的重大经营环境变化包括：（1）电价政策变化
…………
（2）……
（二）风险管理初始信息收集情况
1.简要说明本单位建立风险案例库的有关情况，即收集、整理、分析本单位、国内外同行业企业发生的重大风险损失事件典型案例的有关情况。

【示例】：2011年度，公司高度重视全面风险管理工作，以报送全面风险管理报告为契机，部署系统内各单位开展风险信息收集与分析工作，结合公司自身业务特点，从战略、运营、市场、财务、法律五类风险信息进行归类、汇总、分析，并针对每类风险收集相应的风险案例，形成了公司典型风险案例库，合计XX个典型风险案例。

典型风险案例内容包括案例名称、发生时间、案例简介、案例分析以及为防止同类事件再次发生所采取的防范措施等内容，突出了以下案例的
典型警示功能。

2.编写典型风险案例。

收集本单位以及国内外其它企业有借鉴意义的典型风险案例，对典型风险案例按照案例名称、时间、案例简介、案例分析、防控措施的格式编写，其中供电单位风险案例个数不少于8个，非供电单位风险案例个数不少于4个。

【示例】：案例名称：重大活动供电敏感信息泄露
发生时间：2010年春节前夕
案例简介：某单位接到国家安全部所属中国信息安全测评中心通报，发现涉及某重大活动的园区供电方案、保障方案、场馆变电站建筑结构图、电气主接线图以及相关敏感资料和信息等泄露。

经查，此次信息安全事件是由于使用信息外网邮箱处理敏感资料所致。

重大活动供电敏感信息泄露，使公司被国家安全部所属中国信息安全测评中心通报，严重影响公司形象。

案例分析：调查发现该公司外网邮件系统有170余人账户使用了字符串为“password”的初始弱口令，部分人员外网邮箱中存有与重大活动相关的规划、安全性评价报告等敏感材料。

分析事件发生原因，一是该公司少数员工信息安全保密意识淡薄，在信息外网邮箱存储敏感资料，通过信息外网邮箱和社会公用邮箱向互联网发送邮件；二是该公司部分信息外网邮件用户采用初始弱口令；三是信息内外网隔离后，该公司原本地邮件系统仍在重复并轨运行，未完成域名统一、及时关闭原有邮件系统，也未对本地信息外网邮件内容采取过滤和审计措施。

防控措施：一是严格遵守公司信息安全保密纪律，强化全员信息安全保密意识，严格执行公司保密要求，落实到位。

二是将公司全部信息外网邮件系统整合至公司集中统一外网邮件系统，加强对邮件系统的统一管理和审计，消除安全隐患。

三是加强现有系统收发日志审计和敏感内容拦截，组织检查互联网交互记录和内外网邮件发送信息，定期对审计关键字进行动态更新。

四是协同各级保密部门对在信息外网和互联网上违规传送公司秘密及敏感信息的情况进行通报与处理。

（三）风险评估情况
1.对本单位开展2012年度风险评估的范围、方式及参与人员等有关情况进行说明。

【示例】：
风险评估范围：本次风险评估涵盖公司总部部门XX个、网省公司XX家、直属单位XX家，涉及所有业务及岗位。

风险评估方式：采取“自下而上、纵横整合、内外结合”的评估方
式。

风险梳理采取“自下而上”的方式，即岗位风险→下属单位层面风险、总部部门层面风险→公司层面风险，体现了风险的层次性和统一性；风险辨识采取“纵横整合”的方法，即横向覆盖所有总部部门、所有下属单位、所有业务，纵向从政策、制度及执行、组织职责、人力资源、技术等各方面对每个风险进行深入的分析，体现了风险识别的全面性和准确性；……
参与人员：在公司全面风险管理委员会的统一指导下，由风险管理办公室具体组织，总部各部门及各下属单位分别开展风险梳理辨识和评估工作，共计XXX人参加，其中网省公司XXX人，直属单位XXX 人，总部部门XXX人。

2.风险评估标准
说明本单位在分析风险事件发生的可能性、风险事件发生后对经营目标的影响程度时，所采用的评估标准（以附件列示）。

网省公司可参照附件3，直属单位可以根据所属行业政府主管部门的相关要求或本单位实际情况制定评估标准。

3.风险评估结果
对本单位2012年度可能面临的风险进行评估，按照企业风险分类，列示本单位2012年度风险评估结果，以及经评估确定的重大风险，填写附件1所示的风险评估信息表，企业风险分类示例见附件2。

网省公司列示的风险不少于30项，其中重大风险不少于10项，直属单位列示的风险不少于15项，其中重大风险不少于5项。

（四）重大风险关键成因量化分析。