安永會計事務所內(nèi)控風險評估報告

年4月19日安永會計事務所內(nèi)控風險評估報告文檔僅供參考XXX集團股份有限公司全面風險評估報告8月X日

目錄一、背景介紹 1二、風險評估工作實施方法 2(一)風險評估的工作思路 2(二)風險評估工作實施步驟 31. 確定工作范圍 32. 整理風險匯總表 43. 制定評分標準 44. 第一次風險問卷 65. 高管層訪談 66. 第二次風險問卷 77. 20大風險排序 78. 匯總合同相關(guān)風險 79. 合同風險問卷 710. 取得合同清單 811. 審閱合同樣本 812. 合同風險列表 8三、風險評估結(jié)果 9(一)20大風險排序 9(二)風險評估結(jié)果分析 91. 20大風險坐標分析 92. 全面風險評估結(jié)果 113. 合同風險評估結(jié)果 12四、未來風險管理工作建議 13(一)風險應對策略 131. 風險關(guān)注程度 132. 風險應對策略 13(二)建立/完善風險管控及監(jiān)督體系 15(三)制定風險預警機制 15五、附件 17附件1:XXX集團有限公司風險匯總表 17附件2:第一次風險調(diào)查問卷發(fā)放統(tǒng)計表 19附件3:中高級管理層最關(guān)注的20項風險因素(含打分) 22

一、背景介紹4月15日,五部委正式下發(fā)了<關(guān)于印發(fā)企業(yè)內(nèi)部控制配套指引的通知>,明確規(guī)定了內(nèi)控規(guī)范體系的實施時間:自1月1日起首先在境內(nèi)外同時上市的公司施行,自1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行。根據(jù)這一要求,執(zhí)行內(nèi)控體系建設(shè)的上市公司和非上市大中型企業(yè),應當對內(nèi)部控制的有效性進行自我評價,披露年度自我評價報告,同時應當聘請會計師事務所對財務報告內(nèi)部控制的有效性進行審計并出具審計報告。XXX集團股份有限公司作為行業(yè)標桿企業(yè),被遼寧省證監(jiān)局指定為內(nèi)控規(guī)范實施試點單位,并在接受外部審計師的的審計。在公司執(zhí)行內(nèi)控梳理和評價的過程中,為了有效的提高工作效率、明確工作側(cè)重點,應當遵循風險導向原則,以風險評估為基礎(chǔ),全面考慮企業(yè)面臨的主要風險,根據(jù)發(fā)生的可能性和對企業(yè)單個或整體控制目標造成的影響來確定需要評價的重點業(yè)務單元、重要業(yè)務領(lǐng)域或流程環(huán)節(jié)。因此,管理層借助本項目達到對現(xiàn)有風險因素進行歸集和分析的目的,以期對未來公司戰(zhàn)略及管理理念的調(diào)整提供有益的參考。縮略語在本報告中,我們將使用以下縮略語以保證報告的簡潔性:XXX/公司:”XXX集團有限公司”安永:”安永(中國)企業(yè)咨詢有限公司”

二、風險評估工作實施方法(一)風險評估的工作思路本次全面風險評估工作實施思路圖如下:形成上述工作實施思路源自如下考慮:公司當前面臨來自外部內(nèi)控合規(guī)要求及內(nèi)部管理提升需要,因此風險評估工作的起點是從滿足企業(yè)內(nèi)部控制的直接目標出發(fā),同時兼顧管理整合和改進需求,力求在保證工作目標明確提高工作效率;風險評估考慮因素的制定充分考慮了公司內(nèi)部管理需求、外部監(jiān)管要求、業(yè)務重要性、行業(yè)影響因素及其它專業(yè)機構(gòu)可能提出的參考和建議;具體風險評估范圍的確定參考了安永的全球行業(yè)風險宇宙,從戰(zhàn)略、運營、財務及合規(guī)四個維度匯總、分析了可能出現(xiàn)的潛在風險,以合理保證本次風險評估工作的完整性和充分性;在項目推行過程中,安永采用了兩輪風險問卷(第一次為中高層管理人員,第二次為高級管理層),同時針對高級管理層成員組織了訪談,并根據(jù)由此收集到的風險信息,對潛在風險進行了梳理和排序。(二)風險評估工作實施步驟風險評估工作具體實施步驟如下:確定工作范圍本次風險評估工作以集團層面高度為基調(diào)進行,關(guān)注公司核心管理團隊的風險承受能力及風險偏好,同時對各國內(nèi)區(qū)域負責人、子公司負責人、事業(yè)部負責人、職能部門負責人發(fā)放風險調(diào)查問卷,參考她們對集團層面風險初步的評價和判斷,綜合各項風險影響因素而形成最終風險清單和風險排序。由于集團海外機構(gòu)受到當?shù)卣谓?jīng)濟環(huán)境及人文文化影響,對整個集團層面風險要素的構(gòu)成不具有典型意義和直接影響,因此本次海外機構(gòu)并未包含在風險調(diào)查及評估的范圍內(nèi)。整理風險匯總表以安永全球行業(yè)風險宇宙為基礎(chǔ),結(jié)合XXX自身特點,從戰(zhàn)略、運營、合規(guī)、財務四個層面做出了詳細的風險匯總表,共涉及23個類別的118項風險。其中,23個風險類別包括:118項詳細風險列表請參見附件1:XXX集團有限公司風險匯總表。制定評分標準風險評分標準依據(jù)風險對公司的影響及風險發(fā)生的可能性兩個維度進行劃分。風險參數(shù)建立在公司的風險偏好基礎(chǔ)上,即公司為實現(xiàn)自己的戰(zhàn)略目標而愿意接受的風險程度?？紤]以上因素,將風險發(fā)生的后果及可能性分為以下五類分值:影響程度發(fā)生可能性1分可忽略的:能夠在正常活動中將不良影響消化的事件發(fā)生可能很低,幾乎不會發(fā)生的事件2分輕微的:經(jīng)過一定的管理手段就能解決的不利事件發(fā)生可能性較低的事件3分中等的:需要額外管理的嚴重事件發(fā)生可能性為中度的事件4分嚴重的:需要特別管理的危機事件發(fā)生可能性較高的事件5分災難性的:可能導致崩潰的災難/特殊事件發(fā)生的可能性很高或必然會發(fā)生的事件風險影響程度的判斷參考指標:判斷結(jié)果12345戰(zhàn)略對戰(zhàn)略實施影響近乎沒有。對戰(zhàn)略實施影響輕微。一定程度上影響戰(zhàn)略實施和目標實現(xiàn)。對于企業(yè)完成戰(zhàn)略計劃和目標造成重大影響。令企業(yè)失去繼續(xù)運作的能力。運營對營運影響近乎沒有;在時間、人力或成本方面存在小范圍超出預算的情況,影響能夠消化。對營運目標或關(guān)鍵業(yè)績指標影響輕微;

在時間、人力或成本方面存在超出預算的情況,影響較小。一定程度上減慢營業(yè)運作;

在時間、人力或成本方面明顯超出預算,需對預算數(shù)據(jù)進行小范圍調(diào)整。對營運目標或關(guān)鍵業(yè)績指標造成重大影響;

在時間、人力或成本方面大幅超出預算,需對重大預算數(shù)據(jù)進行調(diào)整。無法達到企業(yè)的營運目標;

各項預算數(shù)據(jù)失控,預算需要重新制定。合規(guī)近乎沒有違規(guī)違法行為,無糾紛。在一些不重要的問題上違規(guī),沒有引起訴訟。在某類問題上違規(guī),引起糾紛和訴訟。在重要的問題上違規(guī)違法,引起訴訟,導致巨額賠償。在重要問題上違規(guī)違法,引起訴訟,導致巨額虧損,企業(yè)無法正常運營。財務外部審計師在管理建議書中提出少量一般性問題。外部審計師在管理建議書中提出若干一般性問題。外部審計師對報表項目或其它事項出具保留意見。外部審計師在管理建議書中提出重大問題。外部審計師對財務報表出具否定意見。風險發(fā)生可能性的判斷參考指標:判斷結(jié)果12345管理層關(guān)注管理層并不擔心未來會發(fā)生類似事件管理層認為未來發(fā)生該事件的可能性較低但也需要關(guān)注管理層認為當前某些事態(tài)表明該事件可能在未來發(fā)生管理層對該事件較為關(guān)注因為未來發(fā)生的可能性較大從當前形勢來看,此事件一定會在未來發(fā)生管理層對該事件的討論尚無特別討論曾經(jīng)提醒相關(guān)部門或人員注意不定期會要求相關(guān)部門或人員進行匯報定期討論且相關(guān)部門或人員需要進行定期匯報隨時關(guān)注第一次風險問卷在整理出的風險匯總表及初步制定的風險評估標準基礎(chǔ)上,安永編寫并發(fā)放了第一次全面風險評估調(diào)查問卷,并將此問卷下發(fā)了公司52位中高級管理人員,請她們針對問卷內(nèi)容提出自己的看法并按照上述評分標準對每項風險進行打分。這些中高級管理人員包括20位事業(yè)部負責人、8位區(qū)域負責人、醫(yī)療板塊子公司負責人、4位研發(fā)部門負責人以及19位總部職能部門負責人。在問卷回收截止日(6月20日),我們完成了第一輪風險問卷的回收工作。本輪調(diào)查問卷發(fā)放及回收情況統(tǒng)計請參見附件2:第一次風險調(diào)查問卷發(fā)放統(tǒng)計表。根據(jù)本次問卷結(jié)果,安永總結(jié)出了中高級管理層最關(guān)注的20項風險因素,并對各部門的風險偏好有了初步了解。名列本輪打分前20名的風險請參見附件3:中高級管理層最關(guān)注的20項風險因素。高管層訪談基于第一次風險調(diào)查問卷的初步評分和分析結(jié)論,安永有側(cè)重點的開展了高級管層訪談,經(jīng)過與高管層面對面的交流,從公司整體運作層面了解了當前公司的風險狀況。參與訪談的高管層包括:職位姓名訪談時間公司總裁王勇峰先生6月22日下午14:00-15:00公司高級副總裁兼首席運營官陳錫民先生6月22日下午15:30-16:30公司高級副總裁盧朝霞女士6月27日下午14:00-15:00公司高級副總裁兼首席財務官王莉女士6月22日上午10:30-11:30公司高級副總裁兼首席技術(shù)官、首席知識官張霞女士6月22日上午9:00-10:00公司高級副總裁王經(jīng)錫先生6月23日下午13:30-14:30公司高級副總裁兼首席營銷官李軍先生6月28日上午9:00-10:00第二次風險問卷經(jīng)過對高管層的訪談,安永對原有20大風險因素進行了合并和調(diào)整,并吸收了高管層訪談過程中體現(xiàn)出的重要集團層面風險因素,最終確定了XXX當前面臨的20大風險。為了對這20大風險的重要性進行最終排序,安永編寫了第二次全面風險評估調(diào)查問卷,對每一項風險的關(guān)注點及調(diào)查見聞進行了詳細列示,并依然從風險發(fā)生可能性及風險影響程度兩個維度逐項制定了更加詳細的打分規(guī)則。第二次全面風險評估調(diào)查問卷的發(fā)放對象為公司高級管理層。20大風險排序在回收了全部二次問卷后,根據(jù)高管層打分結(jié)果,安永按照以下公式計算出每個風險的得分,并據(jù)此對20大風險做出了重要性排序。風險發(fā)生可能性=∑每位高管風險發(fā)生可能性打分/高管人數(shù)風險影響程度=∑每位高管風險影響程度打分/高管人數(shù)風險總分=風險發(fā)生可能性X風險影響程度根據(jù)風險總分得出的20大風險最終排序結(jié)果請參見第三大部分”風險評估結(jié)果”中的第一項內(nèi)容”20大風險排序”。合同風險評估從管理層的管理實踐出發(fā),我們在本次項目中針對合同相關(guān)風險做了特別關(guān)注:匯總合同相關(guān)風險為了能更好的提示管理層能夠考慮經(jīng)過加強合同管理進行規(guī)避或弱化的風險,我們特匯總、整理了所有可經(jīng)過合同管理的各項風險。具體內(nèi)容請參見:(葉瀧部分)合同風險問卷為了更好的了解XXX的合同管理現(xiàn)狀和對未來的期望,安永編寫并發(fā)放了合同風險調(diào)查問卷,請公司熟悉相關(guān)情況的同事協(xié)助填寫。這一問卷的具體內(nèi)容包括:整體性問題-組織架構(gòu)戰(zhàn)略到合同戰(zhàn)略目標分解實施管控和支持合同管理合同準備合同執(zhí)行合同驗收取得合同清單為了對XXX現(xiàn)有合同管理狀況進行更詳盡的分析,安永請求公司相關(guān)部門提供了截止至6月仍在執(zhí)行中的合同清單,并計劃從中抽取部分樣本進行具體條款的審閱。審閱合同樣本安永抽取進行審閱的合同樣本包括:合同名稱Calix框架協(xié)議陜西聯(lián)通營業(yè)帳務工程二期X2中山市城鄉(xiāng)居民門診醫(yī)療X2TSL11001商用出口合同西安交通大學附屬第一醫(yī)院PACS硬件平臺采購吉林聯(lián)通CDMA1x二期計費硬件合同Intel咨詢合同OKL開發(fā)人員SOW東芝軟件業(yè)務委托合同思科服務合同及思科日本SOW希世軟件業(yè)務委托基礎(chǔ)合同技術(shù)開發(fā)合同范本合同審閱發(fā)現(xiàn)問題結(jié)合上述合同管理現(xiàn)狀調(diào)研及具體合同條款審閱的具體發(fā)現(xiàn),安永發(fā)現(xiàn)與行業(yè)最佳實踐相比,XXX合同管理流程在以下領(lǐng)域存在提升機會:審閱方面發(fā)現(xiàn)問題描述合同評審與審批流程XXX建立了一項合同評審流程和神品流程。合同評審與審批流程重點關(guān)注審批職責的授權(quán)合同標準化XXX大量使用客戶合同模板,這導致無法對合同優(yōu)化采取預應式行動識別合同風險XXX似乎并未充分利用其專業(yè)經(jīng)驗來識別和管理合同風險合同指南XXX的合同管理指南并未體現(xiàn)其合同管理知識,因此,并不鼓勵標準化具體問題描述請參見(葉瀧部分)風險評估報告基于上述工作,我們總結(jié)、分析了風險評估過程中收集到的各類數(shù)據(jù)和現(xiàn)場觀察結(jié)果,匯總形成本報告,并提交管理層作為未來風險管理工作的基礎(chǔ)。

三、風險評估結(jié)果(一)20大風險排序根據(jù)第二輪風險問卷中高管層對重要風險的投票結(jié)果,我們按照風險得分從高到低的順序?qū)斍癤XX面臨的20大主要風險排序如下。同時,為了幫助管理層掌握風險細節(jié),我們也將具體風險描述、風險得分及風險調(diào)研見聞一同做了列示:風險風險描述No.1:海外并購投資風險風險大類:戰(zhàn)略風險該風險是指企業(yè)在海外并購投資中可能因認知不足、能力不夠、管控不善等給企業(yè)帶來諸如政治風險、財務風險、經(jīng)營風險、整合風險等諸多風險風險影響程度風險發(fā)生可能性風險總分44.417.60關(guān)注點及調(diào)研見聞未能在并購中找到合適的目標:1)未能及時找到并購目標;2)找到的并購目標不理想,與企業(yè)發(fā)展的需求不完全一致未能對并購從財務、稅務、法律等方面進行有效的盡職調(diào)查和準確的評估因文化、信仰理念、管理模式、政治背景等因素的不同,導致整合困難重重企業(yè)并購后,未實現(xiàn)資產(chǎn)組合最優(yōu)化,并購效果不明顯,偏離設(shè)定的預期目標企業(yè)收購美國TaprootSystemInc.從事高端智能手機嵌入式軟件開發(fā)服務業(yè)務:310萬美元;收購德國Harman汽車導航系統(tǒng)相關(guān)業(yè)務和資產(chǎn):579萬歐元;商譽較年初上升42.57%風險風險描述No.2:組織結(jié)構(gòu)風險風險大類:戰(zhàn)略風險運營風險該風險是指企業(yè)組織結(jié)構(gòu)設(shè)置不合理,或未進行適時調(diào)整,從而阻礙企業(yè)戰(zhàn)略目標及業(yè)務目標實現(xiàn)的風險風險影響程度風險發(fā)生可能性風險總分43.815.20關(guān)注點及調(diào)研見聞組織架構(gòu)、授權(quán)分配及責任劃分不清晰,與企業(yè)戰(zhàn)略目標不一致當前的組織架構(gòu)與企業(yè)業(yè)務的各部門不一致,影響整個企業(yè)架構(gòu)的有效性企業(yè)沒有優(yōu)化或適當管理與第三方的關(guān)系現(xiàn)有的組織架構(gòu)及相關(guān)制度和程序無法有效地在全球標準化的基礎(chǔ)上平衡地區(qū)/國家間的特性風險風險描述No.3:戰(zhàn)略的規(guī)劃與執(zhí)行風險風險大類:戰(zhàn)略風險、運營風險該風險是指戰(zhàn)略制定或執(zhí)行不當,從而阻礙企業(yè)長期發(fā)展的風險風險影響程度風險發(fā)生可能性風險總分4.23.615.12關(guān)注點及調(diào)研見聞未能進行重大的技術(shù)革新從而阻礙了企業(yè)戰(zhàn)略目標的實現(xiàn),未能應用新技術(shù)實現(xiàn)企業(yè)的比較優(yōu)勢未能在眾多選擇中發(fā)現(xiàn)、評估并進行正確選擇以為企業(yè)戰(zhàn)略目標達成的有效執(zhí)行提供方向并分配資源戰(zhàn)略目標沒有進行詳細分解導致各個部門對目標的理解存在不一致的現(xiàn)象,且戰(zhàn)略目標的分解與績效指標的掛鉤不科學面對未來重大經(jīng)濟變革的戰(zhàn)略布局與實際戰(zhàn)略執(zhí)行存在不一致,過度強調(diào)短期盈利目標的達成,從而忽略了長期目標的實現(xiàn)風險風險描述No.4:競爭(市場競爭)風險風險大類:戰(zhàn)略風險該風險是指影響企業(yè)的市場競爭力,從而阻礙企業(yè)長期發(fā)展的風險風險影響程度風險發(fā)生可能性風險總分43.413.60關(guān)注點及調(diào)研見聞市場主要競爭者或新進者削弱了企業(yè)的比較優(yōu)勢和可持續(xù)發(fā)展的能力是否制定了有效的市場競爭策略,開展對整體市場及競爭對手的分析了解及對不同層次客戶需求的調(diào)研,是否能擴展業(yè)務或保住現(xiàn)有市場份額企業(yè)在全球和全國地區(qū)內(nèi)均有業(yè)務分布,從一定程度而言分散了部分風險,對競爭對手有一定分析,但不夠系統(tǒng)也無人檢查截止到12月31日,以凈利潤增長率為指標,XXX集團在行業(yè)排名第25位。其主營業(yè)務收入68%來自境內(nèi),32%來自境外風險風險描述No.5:人力資源風險風險大類:運營風險該風險是與人力資源戰(zhàn)略、政策、人才儲備相關(guān)的風險風險影響程度風險發(fā)生可能性風險總分3.63.412.24關(guān)注點及調(diào)研見聞人力資源戰(zhàn)略需要根據(jù)企業(yè)發(fā)展情況進行調(diào)整,否則無法為企業(yè)戰(zhàn)略目標、員工需求、企業(yè)的價值觀和愿景提供支持未能招聘到或挽留住優(yōu)秀員工來確保人力資源的質(zhì)量及平衡,關(guān)鍵崗位管理層或員工可能缺乏能力執(zhí)行企業(yè)的戰(zhàn)略目標落地績效評估的合理性不足,從而無法確保企業(yè)戰(zhàn)略目標的實現(xiàn)。需要考慮各個業(yè)務線績效考核體系的個性化是否足夠當前XXX的員工離職率約為17%,而行業(yè)平均員工離職率約為18%,XXX的員工離職率與行業(yè)平均水平相當風險風險描述No.6:外幣與匯率的風險風險大類:財務風險該風險是指對外幣與匯率的監(jiān)督不當,從而導致企業(yè)的投資回報低于預期、借貸或者生產(chǎn)成本高于預期,行業(yè)中的競爭力下降的風險風險影響程度風險發(fā)生可能性風險總分3.83.212.16關(guān)注點及調(diào)研見聞外幣價格發(fā)生不利變動時,國際金融交易可能對企業(yè)的資產(chǎn)、負債、成本費用等造成影響從年報中,公允價值變動收益較上年同期減少989萬元,下降107.55%,主要由于簽訂的外幣遠期結(jié)匯合同產(chǎn)生,匯率變化范圍與幅度:歐元:1.18～1.44美元/歐元,22%;日元:73.39～87.49日元/美元,19%;人民幣:5.57～6.76人民幣元/美元,21%風險風險描述No.7:新技術(shù)應用與研發(fā)風險風險大類:戰(zhàn)略風險該風險是指企業(yè)未能應用新技術(shù)實現(xiàn)企業(yè)的比較優(yōu)勢,未能進行重大的技術(shù)革新從而阻礙了企業(yè)戰(zhàn)略目標實現(xiàn)的風險風險影響程度風險發(fā)生可能性風險總分3.83.212.16關(guān)注點及調(diào)研見聞對新技術(shù)的引進存在消化和管理風險新技術(shù)跟不上整體項目的要求,影響到項目的開展與企業(yè)的競爭力沒有將研發(fā)戰(zhàn)略與整體戰(zhàn)略相結(jié)合,缺乏產(chǎn)品創(chuàng)新機制對于研發(fā)和科技投入不足,研發(fā)方向布局不合理研發(fā)著力點短淺分散,缺乏超前計劃,且效率偏低風險風險描述No.8:業(yè)務結(jié)構(gòu)風險風險大類:運營風險該風險是指企業(yè)由于不了解業(yè)務特性、消費者及市場的波動,可能導致不合理的產(chǎn)品結(jié)構(gòu)的風險風險影響程度風險發(fā)生可能性風險總分3.63.211.52關(guān)注點及調(diào)研見聞企業(yè)的市場戰(zhàn)略不符合現(xiàn)在和將來的市場需求,不符合業(yè)務/服務的生命周期企業(yè)缺少產(chǎn)品整合/捆綁戰(zhàn)略未能根據(jù)市場變化和產(chǎn)品需求對產(chǎn)品結(jié)構(gòu)進行調(diào)整風險風險描述No.9:公司決策效率與管理基調(diào)風險大類:戰(zhàn)略風險該風險是指高級管理層未能有效地經(jīng)過其權(quán)責分配、人力資源統(tǒng)籌規(guī)劃等建立良好的企業(yè)文化,樹立正直、誠信的道德觀、提升員工的道德水準。同時,公司各層級管理層存在決策效率低下的問題風險影響程度風險發(fā)生可能性風險總分3.4310.20關(guān)注點及調(diào)研見聞各級管理層的不作為行為對公司員工產(chǎn)生負面影響管理層不能對有可能導致控制漏洞的制度和流程設(shè)定一個清楚公平的基調(diào)各級管理層決策基調(diào)分歧較大,特別是在出現(xiàn)突發(fā)事項或重大事項時,難以高效達成共識各級管理層授權(quán)不明晰或不充分,導致日常管理/決策效率低下管理層沒有從企業(yè)的角度并權(quán)衡能力、質(zhì)量和成本之后準確地對企業(yè)制度進行評估溝通管理層對管理哲學及適當授權(quán)之間的邊界沒有一個清楚的認識,因而也無法將其應用到提高管理系統(tǒng)的效率和執(zhí)行力上風險風險描述No.10:合同風險風險大類:合規(guī)風險、運營風險該風險是指企業(yè)可能簽訂對企業(yè)不利的合同;合同條款的遵循及控制未能得到有效的執(zhí)行,導致違約并給企業(yè)造成潛在的損失的風險風險影響程度風險發(fā)生可能性風險總分3.42.89.52關(guān)注點及調(diào)研見聞未將合同條款與銷售戰(zhàn)略結(jié)合起來,以合理確認收入或在正確的期間內(nèi)確認收入由于簽約對方地位或地域的特殊性,使企業(yè)執(zhí)行的合同內(nèi)容對于企業(yè)來說不是最佳條款或規(guī)定,合同條款不清晰(如:沒有明確的賠償條款的確定),發(fā)生問題后于難以達成共識,可能會帶來重大的經(jīng)濟損失缺乏合同條款審核規(guī)范/制度用于指導參與合同審核部門對條款內(nèi)容的正確性,完整性進行把握,會導致潛在的合同糾紛風險風險描述No.11:信息安全與知識產(chǎn)權(quán)保護風險風險大類:運營風險該風險是指企業(yè)為對信息安全與知識產(chǎn)權(quán)進行有效的保護,可能導致企業(yè)保密信息泄露、經(jīng)濟損失以及承擔法律責任的風險風險影響程度風險發(fā)生可能性風險總分3.42.89.52關(guān)注點及調(diào)研見聞投入不足,IT系統(tǒng)及應用的安全訪問措施未能有效保護企業(yè)數(shù)據(jù)未進行相應的培訓,員工意識或職業(yè)操守不高,導致信息泄露,給企業(yè)帶來不良影響(業(yè)界聲譽,企業(yè)形象,巨額賠付)未授權(quán)第三方獲取企業(yè)員工、顧客或運營數(shù)據(jù),導致企業(yè)需承擔法律責任或形象受損未及時申請技術(shù)專利,知識產(chǎn)權(quán)無法得到法律的保障和保護風險風險描述No.12:預算風險風險大類:運營風險該風險是指企業(yè)未能對現(xiàn)有的或新的經(jīng)營活動進行有效預算,可能導致未能支持公司的戰(zhàn)略和成長目標、影響業(yè)務擴張和并購活動以及公司整體盈利水平的風險風險影響程度風險發(fā)生可能性風險總分3.22.88.96關(guān)注點及調(diào)研見聞財務資源分配未能有效地與重要風險領(lǐng)域及戰(zhàn)略目標相一致未能根據(jù)市場和業(yè)務條件的變化來更新預算迫于展示運營結(jié)果的壓力而導致年度預算不準確預算的設(shè)定未能從控制的角度出發(fā),或沒有基于合理的假設(shè)風險風險描述No.13:公司內(nèi)控環(huán)境風險風險大類:財務風險、運營風險、合規(guī)風險該風險是指企業(yè)因未能建立起符合外部監(jiān)管機構(gòu)及股東要求的內(nèi)部控制環(huán)境,如企業(yè)內(nèi)部控制制度不規(guī)范,存在重大內(nèi)控缺陷等,從而給企業(yè)帶來合規(guī)或運營上的風險風險影響程度風險發(fā)生可能性風險總分3.22.88.96關(guān)注點及調(diào)研見聞無效的治理及內(nèi)部控制監(jiān)督?jīng)]有書面記錄的流程,且沒有按照流程要求操作不恰當或無效的控制環(huán)境導致額外的審計程序及成本對已知控制缺陷及/或?qū)徲嫲l(fā)現(xiàn)沒有適當?shù)姆答伌胧┕芾韺記]有倡導一個鼓勵道德誠信的企業(yè)文化企業(yè)或行業(yè)控制環(huán)境復雜或不成熟風險風險描述No.14:質(zhì)量風險風險大類:運營風險該風險是指企業(yè)因沒有按時給客戶交付相應的產(chǎn)品/服務,或提供的質(zhì)量出現(xiàn)問題而給企業(yè)帶來的經(jīng)濟損失和客戶流失的風險風險影響程度風險發(fā)生可能性風險總分32.67.80關(guān)注點及調(diào)研見聞企業(yè)缺乏業(yè)務質(zhì)量控制體系沒有及時有效的處理交付質(zhì)量、交付時間問題缺乏對客戶滿意度進行跟蹤調(diào)查總結(jié)風險風險描述No.15:過高人力成本的控制風險風險大類:運營風險該風險是指企業(yè)對過高人力成本控制不力,可能導致盈利水平下降,員工流動率上升的風險風險影響程度風險發(fā)生可能性風險總分3.22.47.68關(guān)注點及調(diào)研見聞未建立合理的內(nèi)部競爭績效考核和績效評估機制,定期對人力成本進行及時的調(diào)整未制定合理的薪酬組合,薪酬體系過于單一未能在高端人才的保留和人力成本的提高中找到平衡點企業(yè)整體員工數(shù)增長10%,薪酬支出上升了39%,薪酬支出當前占企業(yè)成本費用比重已經(jīng)超過40%風險風險描述No.16:決策支持風險風險大類:運營風險該風險是指信息系統(tǒng)無法及時有效的提供可靠的信息以協(xié)助管理層作出有效決策的風險風險影響程度風險發(fā)生可能性風險總分2.82.67.28關(guān)注點及調(diào)研見聞數(shù)據(jù)來源不充分或不可靠會導致管理層無法做出合理合規(guī)的商業(yè)決策依賴于手工輸入或外部來源數(shù)據(jù)的完整性不可靠系統(tǒng)間的數(shù)據(jù)交換不完整或不準確對系統(tǒng)進行未授權(quán)的變更可能對數(shù)據(jù)完整性造成負面影響風險風險描述No.17:可能存在的不規(guī)范行為風險大類:合規(guī)風險該風險是指公司經(jīng)營過程中出現(xiàn)的不適當行為、不符合相關(guān)法律法規(guī)的要求、或公司員工及其它股東的潛在不規(guī)范行為,會對公司形象或聲譽產(chǎn)生負面影響的風險風險影響程度風險發(fā)生可能性風險總分32.47.20關(guān)注點及調(diào)研見聞公司未能按照相關(guān)法律法規(guī)要求對外披露各類信息。例如:作為上市公司,公司財務信息未能及時、準確報出;未能在規(guī)定時限內(nèi)完成內(nèi)控測試及審計工作等公司未制定充分的應對程序來處理已發(fā)現(xiàn)或懷疑的不規(guī)范行為管理層的不規(guī)范行為(如商業(yè)間諜、內(nèi)幕交易等)對公司員工的道德觀造成負面影響管理層對待與政策制度相關(guān)的事項缺乏明確清晰的態(tài)度,可能會導致控制的薄弱風險風險描述No.18:內(nèi)部員工溝通風險風險大類:戰(zhàn)略風險該風險是指企業(yè)中不同崗位員工之間,以及與管理層之間未建立互相理解和信任的溝通基調(diào),由于不良的溝通關(guān)系從而可能降低工作效率的風險風險影響程度風險發(fā)生可能性風險總分2.42.86.72關(guān)注點及調(diào)研見聞部門及員工之間信息溝通不暢,未能快速傳達信息不能充分的利用內(nèi)部及外部的知識及能力的資源來提升員工的整體技能及水平風險風險描述No.19:宏觀經(jīng)濟因素風險風險大類:戰(zhàn)略風險該風險是指在特定的商業(yè)環(huán)境中,與宏觀經(jīng)濟相關(guān)的因素會影響到公司保持或增加利潤能力的風險風險影響程度風險發(fā)生可能性風險總分2.82.26.16關(guān)注點及調(diào)研見聞因未能及時識別并應對動態(tài)宏觀經(jīng)濟因素,從而可能對收入和盈利能力帶來負面影響暴露于國內(nèi)和全球經(jīng)濟趨勢的風險,例如經(jīng)濟衰退或下滑,消費者支出減少未能充分了解市場環(huán)境因素對企業(yè)風險戰(zhàn)略的影響風險風險描述No.20:信用與回款風險風險大類:財務風險該風險是指賒銷政策不適當,或不適應業(yè)務發(fā)展需求應收帳款無法及時收回,進而影響公司財務狀況風險影響程度風險發(fā)生可能性風險總分326.00關(guān)注點及調(diào)研見聞風險關(guān)注點公司當前的賒銷政策是否能夠適合現(xiàn)階段公司業(yè)務發(fā)展的需求是否建立了有效的信用管理機制,用來定期監(jiān)控各個客戶信用狀況的改變已成型的信用管理機制是否被有效的執(zhí)行執(zhí)行相關(guān)監(jiān)控工作的同事是否具有足夠的專業(yè)素養(yǎng),能夠在客戶信用狀況出現(xiàn)惡化征兆時作出及時反應公司提供給客戶的賒銷政策及客戶信用管理水平,在一定程度上直接影響應收帳款回款狀況調(diào)研見聞”信用風險能夠是對企業(yè)內(nèi)部,也能夠是對企業(yè)外部,分為信用和回款兩個層面,均與財務風險直接相關(guān)。”經(jīng)測算,華為技術(shù)有限公司應收帳款周轉(zhuǎn)率為2.5%,應收帳款周轉(zhuǎn)天數(shù)為94天。對比華為,XXX在應收帳款管理方面尚有提升空間(例如我們初步測算的應收帳款回收率為5.2%)當前公司由經(jīng)營業(yè)務部主導與客戶的對賬工作,但當前公司并未建立明確的對賬工作流程,將對賬頻率及需要對賬的重要客戶標準進行明確界定在現(xiàn)場觀察中我們發(fā)現(xiàn)當前經(jīng)營業(yè)務部同事雖然發(fā)出對賬函件,但存在只取得對方口頭確認的現(xiàn)象(二)風險評估結(jié)果分析20大風險坐標分析為了更好的體現(xiàn)XXX現(xiàn)有重大風險總體管控狀況,我們引用風險坐標這一工具直觀的反應20大風險的具體分布情況。風險坐標是基于各個風險的打分情況及風險總分,將其分為高、中、低三個等級,反應在下圖不同顏色的區(qū)域中(其中綠色為低風險區(qū)域,黃色為中風險區(qū)域,紅色為高風險區(qū)域):風險影響程度災難性55.010.015.020.025.0重大44.08.012.016.020.0中等33.06.09.012.015.0輕微22.04.06.08.010.0可忽略11.02.03.04.05.0

12345

極低低中等高極高

風險發(fā)生可能性結(jié)合XXX20大風險的打分結(jié)果,我們得出了以下風險坐標分布:由上圖能夠看出,當前公司主要風險均中等水平風險;其中戰(zhàn)略風險X個,運營風險X個,等等(插餅圖);。全面風險評估結(jié)果結(jié)合兩次風險調(diào)查問卷的綜合打分結(jié)果,我們有如下發(fā)現(xiàn):風險發(fā)生可能性得分明顯低于風險影響程度得分風險發(fā)生可能性的平均分值為1.9分,而風險影響程度的平均分值為3分;這一結(jié)果體現(xiàn)出管理團隊普遍對當前公司的風險管理策略較有信心,也較為認可當前公司的總體控制環(huán)境,認為非正常的風險事件觸發(fā)可能性較小或一旦觸發(fā)也能及時得到有關(guān)責任部門的注意并加以控制;風險發(fā)生可能性平均分最高的4個風險(平均得分超過2.5分)分別為員工招聘與挽留(2.9)、薪酬福利體系(2.8)、市場競爭(2.7)、外幣和匯率(2.7);風險影響程度平均分最高的10個風險(平均得分超過3.5分)分別為公司高層的基調(diào)(3.9)、戰(zhàn)略規(guī)劃(3.8)、公司內(nèi)控環(huán)境(3.7)、組織結(jié)構(gòu)(3.7)、市場競爭(3.7)、產(chǎn)品結(jié)構(gòu)(3.7)、投資決策(3.7)、員工招聘和挽留(3.7)、董事會表現(xiàn)(3.6)、人力資源規(guī)劃及政策(3.6)。高、中、低級別風險總體分布情況如下:綜合風險評估結(jié)論與高管層對20大風險的評估結(jié)論一致,不存在評級為高的風險因素;中級風險共有104個,占總風險比例的88%,其余14個為低風險,占總風險比例的12%;各級別風險分布情況入下圖:不同業(yè)務單元的不同風險偏好:根據(jù)受訪人所處的不同類型業(yè)務單元,我們分別對國內(nèi)區(qū)域負責人、總部事業(yè)部負責人、總部研發(fā)部門負責人、總部職能部門負責人及子公司負責人的打分取了平均分,并對各類風險數(shù)量進行了統(tǒng)計,具體數(shù)據(jù)如下:風險等級國內(nèi)區(qū)域負責人總部事業(yè)部負責人總部研發(fā)部門負責人總部職能部門負責人子公司負責人高045801中93113406556低251205361由上表能夠看出,總部研發(fā)部門負責人和總部事業(yè)部負責人的風險打分明顯較其它業(yè)務單元負責人偏高,特別是研發(fā)部門負責人識別出的高風險比率達到了49%,說明其對各項風險因素都比較敏感,風險承受能力較低;國內(nèi)區(qū)域負責人的打分結(jié)果最貼近風險平均分值,具體表現(xiàn)為較平均分值略低一些,說明區(qū)域負責人對公司總體風險水平和管控水平的理解和把握、以及對風險的承受度偏好最接近決策層;總部職能部門負責人與子公司負責人的風險打分較平均分明顯偏低(除了子公司負責人識別出一個影響較大的風險:市場競爭),說明這些業(yè)務單元的風險承受能力較強、面臨的風險因素較少或日常運營中管控更加到位。合同風險評估結(jié)果為了更好的體現(xiàn)XXX現(xiàn)有重大風險總體管控狀況,我們引用風險坐標這一工具直觀的反應20大風險的具體分布情況。四、未來風險管理工作建議(一)風險應對策略風險關(guān)注程度對于不同的風險,管理層需根據(jù)其可能造成的不同影響投以不同的關(guān)注程度、明確不同的管理策略,才能達到雙高效(高效果、高效率)的目的。三個風險級別及我們建議的管理層關(guān)注程度如下:風險水平管理層應關(guān)注程度低風險為了降低現(xiàn)有風險水平,需采取措施改進內(nèi)部控制需要監(jiān)控該風險,保證其在可控范圍內(nèi)中等風險需采取定量手段減少該風險,并制定時間表,保證風險在可控范圍內(nèi)應考慮控制成本若危害后果較大,則應經(jīng)常評估該風險發(fā)生的可能性高風險在未降低風險前,須停止與其相關(guān)的經(jīng)營活動若與此相關(guān)的經(jīng)營活動正在進行中,應擬定完備的應急計劃和緊急措施積極采取措施降低風險在未降低風險前,無論其執(zhí)行代價有多大,與該風險相關(guān)的所有經(jīng)營活動(包括已經(jīng)開始進行的經(jīng)營活動)均必須停止。風險應對策略風險應對是指管理層在評估相關(guān)風險后,按照風險管理優(yōu)先順序和風險管理策略,結(jié)合風險預警機制,對各類風險或每一項重大風險制定、評估和選擇風險管理解決方案的過程。其中,風險應對策略指企業(yè)根據(jù)自身條件和外部環(huán)境,圍繞企業(yè)發(fā)展戰(zhàn)略,確定風險偏好、風險承受度、風險管理有效性標準,選擇風險承擔、風險轉(zhuǎn)移、風險控制、風險規(guī)避等適合的風險管理工具的總體策略,并確定風險管理所需人力和財力資源的配置原則。一般公司引用的應對策略有以下幾類:應對策略定義能夠采取的具體措施承擔管理層決定承受該風險帶來的可能危害。此時管理層的關(guān)注重點應該集中在:

1)對該風險變化情況進行監(jiān)控;

2)該風險一旦發(fā)生,對其后果能夠合理、全面的估計;

3)制定完善的應急措施、恢復計劃、補救措施等完全接受該風險制定獎勵/虧損目標和容忍標準建立并監(jiān)控關(guān)鍵性風險指標制定完善的應急措施制訂恢復計劃調(diào)查并采取后續(xù)行動建立補救措施為后果籌備資金轉(zhuǎn)移經(jīng)過采取措施將可能風險因素進行化解和轉(zhuǎn)化。投保業(yè)務共享業(yè)務外包業(yè)務多樣化/業(yè)務擴展套期保值控制采取嚴密的糾正措施,修正內(nèi)控設(shè)計和執(zhí)行方面的各類缺陷,對風險加以有效的控制。整改組織體系修正總體方針改進經(jīng)營措施進行實時監(jiān)控規(guī)避由于風險過于龐大或能夠采取的處理措施成本過高,因此管理層決定徹底放棄可能產(chǎn)生風險的這部分經(jīng)營活動。停止業(yè)務活動退出市場撤資改變或重新確立目標重新設(shè)計業(yè)務流程、系統(tǒng)及工具縮小規(guī)模安永建議管理層逐條分析公司當前面正確重大風險,討論確認相應的風險應對策略,并針對風險應對策略制定的應對風險的具體措施,包括采取的應對動作、執(zhí)行人、執(zhí)行成本等,最終形成風險應對計劃。(二)建立/完善風險管控及監(jiān)督體系為了提高公司整體風險防范能力,我們建議管理層從以下幾方面入手建立和完善風險管控及監(jiān)督體系:組建風險管理工作組此工作組能夠為非常設(shè)機構(gòu),由公司主要領(lǐng)導及負責風險評估等具體工作的同事組成工作組應召開定期會議(一般半年一次即可),對當期公司風險總體狀況的變動情況進行分析和討論在公司范圍內(nèi)建立風險管控體系(包括風險信息收集途徑、評估方法、匯報機制等),明確各級別員工在體系中的分工為每項風險因素指定專門的風險管理部門及風險所有人,明確風險管理部門及風險所有人在風險管理工作中應盡到的管理、監(jiān)督責任將風險因素,特別是重要風險因素,與現(xiàn)有內(nèi)部控制進行對接,明確各個風險的可控程度及失控原因定期(一般為一年一次)進行公司范圍內(nèi)的全面風險評估,識別新增及產(chǎn)生了變動的風險,關(guān)注風險排序的變化趨勢根據(jù)風險評估結(jié)果制定或更新風險應對計劃,根據(jù)當期實際情況調(diào)整風險應對策略將風險管控工作與各相關(guān)部門、崗位的績效考核機制相結(jié)合建立風險預警機制(三)制定風險預警機制為了更好的追蹤和監(jiān)控風險變化情況,高級管理層需制定重大風險預警機制,并進行制度化。我們建議該機制包含以下主要內(nèi)容:風險預警機制的關(guān)注重點應集中在以下兩點:由于公司開展新的業(yè)務,或由于國家相關(guān)政策、行業(yè)競爭等發(fā)生明顯變化,而導致公司面臨一些以前未曾面正確風險;由于經(jīng)濟大環(huán)境、國家政策及行業(yè)規(guī)范的變化,導致部分風險的發(fā)生頻率及影響烈度發(fā)生改變。對于那些風險評級可能收到影響而提高的風險(例如風險級別由中等變?yōu)楦?,風險預警機制應給予特別關(guān)注。負責戰(zhàn)略研究與分析的部門應針對上述兩種風險進行持續(xù)不斷的監(jiān)測(包括隨時收集國家政策、行業(yè)規(guī)范方面的信息,隨時了解公司新型業(yè)務的開展情況等),并對執(zhí)行這一監(jiān)控職能的崗位及監(jiān)控手段進行明確。高級管理層需針對這些重大風險制定明確的預警上限,制定預警上限時需要結(jié)合公司的風險偏好及風險承受度,并從定量和定性兩方面進行考慮,以達到成本效益原則與風險預警有效性的統(tǒng)一。負責戰(zhàn)略研究與分析的部門應及時對超過預警上限的重大風險實施報警,提醒高級管理層做好應急準備。高級管理層應聯(lián)合相關(guān)部門管理層制定出嚴密的風險應急預案,并根據(jù)情況變化實時調(diào)整控制措施。風險預警機制還應包括明確的匯報路線和獎罰措施。

五、附件附件1:XXX集團有限公司風險匯總表戰(zhàn)略類運營類合規(guī)類財務類

公司治理董事會的表現(xiàn)營銷和市場-信息科技市場行為規(guī)范道德金融市場利率

公司高層的基調(diào)控制環(huán)境廉政和舞弊外幣與匯率

公司內(nèi)控環(huán)境廣告法律合同管理原料價格波動

企業(yè)社會責任組織結(jié)構(gòu)控制環(huán)境管理層基調(diào)

戰(zhàn)略規(guī)劃及資源配置組織結(jié)構(gòu)戰(zhàn)略計劃法律責任資產(chǎn)流動性和公司信譽資金管理

戰(zhàn)略規(guī)劃產(chǎn)品發(fā)展知識產(chǎn)權(quán)投資立項

產(chǎn)品結(jié)構(gòu)產(chǎn)品組合反腐敗投資評估

人力資源規(guī)劃及政策預測監(jiān)管貿(mào)易投資管理

預算供應鏈總體規(guī)劃及預測組織結(jié)構(gòu)融資

預測采購和存貨海關(guān)企業(yè)社會責任

合營/聯(lián)營及合作關(guān)系生產(chǎn)管理人事合規(guī)信用和回款

外包策略產(chǎn)品配送有價證券組織結(jié)構(gòu)

IT能力運輸和物流戰(zhàn)略規(guī)劃會計政策和報告戰(zhàn)略規(guī)劃

特殊目的公司間接稅數(shù)據(jù)保護與隱私產(chǎn)品結(jié)構(gòu)

稅收籌劃轉(zhuǎn)移價格國際貿(mào)易收入確認

重大革新愿景和方向人力資源企業(yè)文化產(chǎn)品組合內(nèi)部控制要求

規(guī)劃和執(zhí)行員工招聘和挽留產(chǎn)品質(zhì)量/安全人力資源規(guī)劃及政策

評估與監(jiān)控員工發(fā)展和績效評估HR政策與規(guī)劃資本結(jié)構(gòu)合資公司/聯(lián)營以及合伙制公司

新技術(shù)應用人才儲備及接班計劃競爭手段與反貿(mào)易外包管理

變革管理薪酬福利體系預測所有者權(quán)益

并購和資產(chǎn)剝離投資決策勞資關(guān)系稅法合規(guī)及稅務稽查管理信息技術(shù)

盡職調(diào)查信息技術(shù)信息系統(tǒng)管理特殊目的公司

業(yè)務整合及分拆信息安全養(yǎng)老基金

市場因素競爭信息可用性及連續(xù)性股票期權(quán)

科技進步信息支出監(jiān)管數(shù)據(jù)保護與隱私

灰市與盜版決策支持

宏觀經(jīng)濟因素信息架構(gòu)

HY