重大风险评估指引.docx

重大风险评估指引目录第一章 概述 3第一节 前言 3第二节 方法论概述 4一、风险管理三道防线 4二、主要方法论简介 4第三节 工作流程及分工 5一、各阶段工作内容 5二、工作流程及分工 6第二章 风险识别 7第一节 风险识别的具体方法 7一、搭建业务领域风险识别评估框架 7二、识别风险点 10第二节 工作流程及工具模板 11一、工作流程 11二、工具模板、使用方法和建议 12第三章 风险评估 13第一节 风险评估的具体方法 13一、评估维度 13二、计分模型 14第二节 工作流程及工具模板 17一、工作流程 17二、工具模板、使用方法和建议 17第四章 风险提炼 20第一节 风险提炼的方法 20第二节 工具模板、使用方法和建议 22一、工具模板 22二、使用方法和建议 22第五章 持续管理 23第一节 存量风险点的持续评估和检查 23第二节 新增风险点的识别评估 24第一章 概述第一节 前言企业风险管理是一个过程，受企业董事会、管理层和全体员工的 影响，旨在为实现以下目标提供合理保证：1、保障公司重要战略落地；2、提升经营效率效果；3、确保财务报告真实准确；4、确保公司资产安全；5、确保经营合法合规。

本指引所称的风险是指公司运营过程中潜在的对相关经营目标 可能产生负面影响的所有不确定性因素本指引所称的重大风险是指对公司各业务领域经营产生关键影 响的重要风险，主要包括财务风险、运营风险、法律风险、市场风险、 信息技术风险等本指引适用于指导公司内部各业务领域重大风险的识别、评估、 提炼和闭环管理工作开展，旨在基于公司现有的业务领域，建立一整 套风险识别、评估、提炼的方法、流程和相关管理工具，实现公司重 大风险的闭环管理，从而帮助风险管理的第一道防线进一步发挥主观 能动性，抓住重点，防范化解重大风险第二节 方法论概述一、风险管理三道防线结合《中央企业全面风险管理指引》及《企业内部控制基本规范》，本指引中所称的三道防线定义如下：1、第一道防线：各业务领域的职能管理部门和业务执行单位， 负责对业务领域相关风险的防控，确定风险应对策略，建立管理制度， 落实风险应对的具体措施，定期回顾和评价应对效果，并根据经营环 境变化调整策略、修订完善管理要求；2、第二道防线：财务部等内部控制管理职能部门，负责制定、 组织实施风险识别、计量、管理的制度、流程，研究、开发和运用风 险识别、评估、提炼的方法和工具，组织第一道防线对各类风险进行 持续监控和应对管控；3、第三道防线：内审部作为审计监督部门，依据公司内的经营 管理信息，对第一、二道防线各部门、岗位和各业务领域的风险管控 效率效果实施监督评价。

二、主要方法论简介在开展重大风险的识别、评估、提炼和闭环管理工作的过程中，所采用的主要方法如下：1、风险识别：（1）搭建业务领域风险识别评估框架：结合公司主要业务，建 立业务领域-单类业务-流程模块的分层分级框架，作为识别风险点、 绘制风险地图的基础；（2）识别风险点：采用基于业务事件驱动的识别方法，围绕业 务关键事件在全生命周期流程中的变化，分析流程中影响业务经营目 标的各种不确定性因素，并将此识别为风险点2、风险评估：针对已识别的风险点，从风险管控的角度评价风 险等级，包括管控设计、管控执行、风险损失三个维度3、风险提炼：结合业务领域风险识别评估框架，以及对应风险 点的评估等级，逐级汇总流程模块、单类业务、业务领域的风险等级， 并从高风险业务中逐级钻取流程模块和具体的高风险点，提炼为重大 风险第三节 工作流程及分工一、各阶段工作内容以风险的全生命周期管理为视角，重大风险的识别、评估、提炼 以及闭环管理工作，是一个三道防线单位联动的过程各阶段工作的 主要内容和预期成果如下：表 1：重大风险评估各阶段工作内容表阶段工作内容工作成果识别1•搭建业务领域风险识别评估框架，即 风险地图；2•从制度、流程梳理业务领域的管理现 状；3.结合业务领域相关的经营目标，梳理 影响经营目标实现的不确定性因素，并 识别为风险点。

1.业务领域风险识别评 估框架；2•风险点清单评估1•针对已识别风险点，从风险管控效果 的角度统一评价维度，并采集相应的管 控现状信息，作为评价依据；2•依据统一的风险评分模型，将风险点1. 已识别风险点的风险 等级；2. 业务领域风险识别框 架的风险分布管控现状信息转化为评分结果，并据此 计算风险点等级；3.结合业务领域框架，逐级评估形成业 务领域的风险分布提炼1.结合业务领域的风险分布，定位高风 险业务及其具体风险点，提炼出业务领 域重大风险1.各业务领域重大风险 分级展示报表及报告闭环管理1•针对提炼的重大风险，跟踪评价第一 道防线相关部门的应对情况，及时调整 风险分布；2. 针对非重大风险，定期滚动评估，更 新风险等级；3. 定期梳理业务领域发生的重要变化， 识别新风险点，并纳入定期滚动评估1. 重大风险应对情况的 跟踪评价报告；2. 各业务领域重大风险 分级展示报表及报告二、工作流程及分工在整个工作中，三道防线单位紧密合作，具体的流程和分工建议如下：表 2：重大风险识别、评估、提炼和闭环管理的流程分工阶段第一道防线第二道防线第三道防线识别1. 配合访谈并提供必 要的过程资料；2. 与第二道防线沟 通，提出风险点补充 建议，并确认第二道 防线识别的风险点。

1•确定需识别风险的 业务领域；2.收集制度、流程资 料，组织访谈第一道 防线；3•根据访谈结果，明 确业务领域-单类业 务-流程模块的风险 识别评估框架，并识 别风险点/评估1.根据管理现状填写 反馈风险控制评估调 查问卷；2•对第二道防线提出 的疑问进行核实，并 对错误信息进行修 正1. 编写风险控制评估 调查问卷并将其下发 到第一道防线单位；2. 回收风险控制评估 调查问卷，检验问卷 反馈质量；3. 按照模型完成计 分，形成风险点评估 等级结果以及业务领 域的风险分布1.配合提供业务领域 相关的审计发现数 据，作为风险损失这 一评价维度的参考依 据提炼1.结合实际与第二道1•根据风险评估结/防线沟通确认重大风 险评估结果果，编制各业务领域 重大风险分级展示报 表，以及重大风险评 估报告闭环 管理1. 针对重大风险采取 必要的应对策略和防 控措施，并定期回顾 评价落实效果；2. 滚动评估各业务领 域风险点，重点关注 业务领域发生变化后 新增的风险点；3. 根据第三道防线的 审计结果，落实整改 长效机制，降低风险1. 跟进第一道防线重 大风险应对的情况， 组织第一道防线评价 管控措施落实效果；2. 定期下发评估组织 滚动评估，结合第三 道防线的审计发现， 更新各业务领域的风 险分布。

3. 定期组织第一道防 线梳理业务领域变 化，识别新风险点并 纳入滚动评估工作1•根据第二道防线提 供的重大风险线索， 组织开展专项审计；2.相关审计发现反馈 第一、二道防线第二章 风险识别第一节 风险识别的具体方法 一、搭建业务领域风险识别评估框架结合 ETOM 电信行业运营框架以及公司实际情况，建立业务领域 -单类业务-流程模块的业务领域风险识别评估框架，作为风险地图的 基础其中：1、业务领域是指公司层面经营相关的关键业务条线对于专业 公司，需结合其主营业务的特点，从前端业务发展和后端运营支撑两 个方向梳理对于省公司和地市公司，业务领域的框架如下：图 1：结合 eTOM 的业务领域框架体系业毎ths基本设IS与业务（考虑到企业管理域中关键业务已由SOX内控管理体系覆盖（如财L战略炭腮■潸|错|曾I I 4

因而各省公司可参照以下业务领域清单开展风险识别工作：表 3：业务领域清单业务发展相关运营支撑相关个人市场、家庭市场、政企市场运营工程项目、网络运维、IT管理、供应 链管理、业务资源管理2. 单类业务：从全生命周期管理的角度，定义业务领域中全生命 周期的关键业务事件，并根据关键业务事件的分类特性定义划分维度 对业务领域中的各类业务进行分类1）业务发展相关领域的关键业务事件是产品，故可按照产品 定义单类业务，如家庭市场运营领域下可按照家庭产品的分类定义单 类业务，包括宽带类、内容服务类、语音流量类和智能家居类产品；（2）运营支撑相关领域的关键业务事件需结合运营过程判断， 如工程项目领域下关键业务事件是工程，故可按照工程项目属性定义 单类业务，包括通信工程、土建工程3、流程模块：结合业务事件全生命周期的变化及其所需的资源， 依照公司内外部制度规范和流程进行归纳，形成单类业务间通用、共 性化、标准化的流程模块如家庭市场运营领域下的标准化流程模块 可划分为：表 4：家庭市场运营领域的风险识别评估框架标准流程模块宽带 内容服务 语音流量 智能家居业务规划针对家庭市场业务发展的规划，包括目标客户、产品体系、竞 争策略、市场分析等一系列的总体策划。

产品管理产品从推出到退出的全生命周期管理，包括但不限于产品需求 分析、设计、推出、跟踪评估到退出等环节的管理资源管理1•产品运营所需的资源全生命周期管理，包括但不限于基础的 网络资源（宽带业务）、终端硬件资源（所有产品）、财务资 源（所有产品）、信息化系统资源（所有产品）、内容资源（视频等内容服务）等等；2•资源的全生命周期管理，泛指资源的开发、交付、使用、效 益分析等方面的管理渠道管理1•产品销售渠道的全生命周期管理，包括但不限于自有渠道和 代理渠道、实体渠道和电子渠道2•渠道的全生命周期管理，泛指渠道的引入、激励、考核、退 出等环节的管理合作伙伴管理1•产品日常运营支撑所需的合作支撑方管理，包括但不限于在 家庭市场资源建设、装维、客服、系统支撑、广告营销（但不 包括渠道）等方面的合作方2•合作伙伴管理，泛指合作伙伴的引入、日常管理、考核、退 出等环节的管理营销管理1•产品营销策略的全生命周期管理，包括但不限于营销活动的 需求调研、方案策划、活动执行、效益评估等环节的管理业务受理1•产品售中业务受理的具体管理，重点关注业务受理的真实 性、合规性客户服务1•客户的全生命周期管理，包括但不限于目标客户的挖掘、客 户保有等环节的管理。

收入管理1•产品收入的全过程管理，包括但不限于收入确认规则的制 定、计费实现、财务列账、欠费管理等等成本结算1•产品成本的全过程管理，包括但不限于合作伙伴服务、各类 资源投入所涉及的成本；2•成本的全过程管理，泛指各类成本从预算立项、协议签订、 使用计量、结算确认、报账支付等环节的管理二、识别风险点针对业务领域下的每。