2012年度全面风险管理报告填报单位名称:
填报日期:年日
目录
一、2011年度全面风险管理工作回顾................................................1
(一)全面风险管理工作计划完成情况.......................................1
(二)重大风险管理情况...............................................................2
(三)重大风险管理解决方案的监督检查情况...........................4
(四)内部控制系统建设情况.......................................................5
(五)风险管理信息系统有关情况...............................................6
(六)建立健全全面风险管理体系其他有关情况........................8
二、2012年度企业风险评估情况......................................................11
(一)对未来风险总体形势的研判.............................................11
(二)风险管理初始信息收集情况.............................................12
(三)风险评估情况.....................................................................14
(四)重大风险关键成因量化分析.............................................15
(五)风险坐标图.........................................................................16
三、2012年度全面风险管理工作有关情况及重大风险管理情况..17
(一)2012年度风险管理工作计划............................................17
(二)2012年度重大风险管理情况............................................19
四、有关意见和建议...........................................................................22
(一)需要公司协调解决的重大风险问题.................................22
(二)对推动全面风险管理工作的建议.....................................22
附件1:2012年度风险评估信息表...................................................23
附件2:企业风险分类示例................................................................24
附件3:风险评估标准........................................................................25
2012年度**公司全面风险管理报告
一、2011年度全面风险管理工作回顾
(一)全面风险管理工作计划完成情况
主要从全面风险管理体系建设、2011年度全面风险管理工作计划执行情况、本单位决策层对年度工作的评价以及全面风险管理工作取得的成效等方面进行说明(1500字以上)。
【示例】:
2011年,****公司(以下简称“公司”)继续深入贯彻落实国资委对中央企业加强全面风险管理工作的要求,借鉴国内外企业开展全面风险管理工作的成功经验,服务于公司战略发展需要,立足于公司风险管控现状,大胆实践,不断创新,逐步形成了具有电网企业特色的全面风险管理体系和运行机制,各项工作取得了较好的成效。
1、全面风险管理体系建设及全面风险管理工作执行情况
2011年,公司全面完成计划安排的X项工作,即开展风险评估、制定全面风险管理体系建设整体方案、推进风险管理信息系统建设、……等工作。各项工作完成情况如下:
(1)建立健全全面风险管理“三道防线”
……
(2)科学制定全面风险管理体系建设整体方案
……
(3)加快建设风险管理信息系统
……
(4)……
2、全面风险管理工作取得的成效及决策层的评价
2011年公司积极探索、稳步推进全面风险管理工作,取得了以下突出成绩:
(1)全面风险管理体系初步建立
通过有序推进全面风险管理前期试点和全面实施工作,公司初步建立全面风险管理体系:组织体系方面,公司总部及56家下属单位均建立风险管理“三道防线”,为风险管理工作提供组织保障;工作机制方面,……
(2)……
……
(二)重大风险管理情况
1.逐一简要说明2011年度本单位重大风险的管理情况。重大风险按评估结果进行排序列示,说明是否发生,产生的影响是否在风险承受度内,不在承受度内的应说明主要原因。如有重大风险事件发生,请就已有调查结论的事件,说明产生原因、发生后的影响、解决方案及今后避免再次发生的应对措施。
2.供电单位报告的重大风险事件不少于2项,非供电单位至少报告1项。
3.重大风险事件应先由各单位业务部门提供,经各单位全面风险管理办公室汇总后上报。
【示例】:
1、2011年度重大风险管理情况
2011年,公司识别出重大风险X项,分别是电网安全风险、电价政策风险、信息系统安全风险、……等。回顾2011年公司重大风险管理情况,共有X项重大风险对应的风险事件发生,具体情况见下表:
(1)电网安全风险
2011年,公司始终把电网安全作为运营管理的重中之重,加强电网运行管理,制订隐患排查治理考核细则,全面梳理电网安全隐患,建立事故隐患数据库,并对**项影响较大的隐患,逐一落实治理措施,跟踪督办,切实消除安全隐患;加强迎峰度夏专项安全检查……
(2)电价政策风险
……
2、2011年度重大风险事件整理
公司全面风险管理办公室对公司2011年发生的风险事件进行了收集、统计分析,确认共有X项重大风险对应的风险事件发生,对其事件
经过、发生原因、造成的损失和影响、解决方案和应对措施进行了详细分析。
(1)电网安全风险事件:XX洪水灾害
事件经过:入汛以后,XX地区相继遭遇多轮强降雨过程,降雨历时长、强度大、覆盖广。进入主汛期以后,降水愈加频繁,局地暴雨频发,强降雨导致XX地区出现多处险情,部分河段拦河大坝决堤。暴雨灾害造成XX电网10千伏线路跳闸XX条次,10千伏线路倒杆XX基……
发生原因:自然灾害引起的重大电网安全事故。
造成的损失或影响:……
解决方案:……
应对措施:……
(三)重大风险管理解决方案的监督检查情况
针对本单位2011年评估出来的重大风险,逐项说明重大风险管理解决方案的实施情况、对解决方案的有效性进行监督检查情况(包括内外部检查、稽核监督、纪检监察、绩效考评等)、以及根据变化情况和通过监督检查发现的缺陷及时加以改进的有关情况。
【示例】:
(1)信息系统安全风险
重大风险管理解决方案执行情况:2011年度公司严格执行年度信
息化建设工作计划,针对可能出现的信息安全风险点逐步进行信息系统改进与完善,积极防范信息化领域风险。公司在年度内完成了运行呼叫中心系统、信息运行监控中心系统和信息运维综合监管系统建设;完善了重要信息化建设风险控制点的管理人员和业务操作人员岗前风险培训制度,加强对风险管理理念、知识、流程等核心内容的培训,建立起信息系统安全风险防控长效机制。
对重大风险解决方案执行情况的监督检查情况:为了完善信息化建设风险监督管理体系,对各单位开展风险在线监控,监控中发现的信息系统管理缺陷总结如下:
一是……
公司针对信息系统管理缺陷提出如下整改意见:
一是……
(四)内部控制系统建设情况
简要说明本单位内部控制系统建设的有关情况,主要是对本单位制度与流程的完善与优化情况,针对重大风险查找流程风险点、控制点、制定流程控制措施等方面的情况进行说明。
【示例】:
1、内部控制系统建设的有关情况
2011年,XX部依照公司关于开展全面风险管理工作、完善内部控制体系的通知,积极贯彻实施标准化管理体系建设工作。一是开展内外部文件清理,共清理各类标准、文件XXX份,建立了基于本部门业务特点的标准-制度-业务间层次清晰、系统完整的标准化管理体系框架。二是开展业务名录辨识和业务流程梳理。本部门共提炼出电网企业统一业
务名录XXX项,梳理业务流程和管理流程XXX个,更加清楚地揭示了电网企业的自然属性,清晰了业务概念、明确了业务类别划分和标准流程体系,为公司层面标准体系建设提供了依据。三是……
2、针对重大风险所制定的全流程控制措施
本单位针对部门各项重大风险实施全流程控制,识别流程中的关键风险点,并拟定控制措施。
(1)电价政策风险
一是根据输变电工程项目批文、投资概算、运行方式及特点、输电规模等交易要素,测算输配电价,并与上网电价、销售电价平衡,编制合理的电价方案,报政府价格主管部门审批。
二是……
(2)……
(五)风险管理信息系统有关情况
对现有的风险管理信息系统进行说明,简要说明本单位风险管理信息系统的覆盖范围、主要功能、重大风险监控、与现有管理信息系统对接情况以及下一步工作计划等。若没有风险管理信息系统,可对现有的信息系统中与风险管理相关的模块(如安全管理、财务管控、营销、基建等)及其实现的功能进行说明。
【示例】:
1.风险管理相关信息系统建设现状
2011年,公司积极推进信息化工作,推进成熟套装软件的深化应用,实现了公司主要管理和业务活动的在线操作和风险的在线监控。截至目
前,公司XX个部门、XX工程建设公司中已全面/部门实现了通过信息系统办理部门业务。公司信息系统的功能覆盖情况、相关功能如下表:
XX公司各部门业务信息系统汇总表
2.风险管理信息系统建设计划
2012年,公司将结合现有风险管理信息系统建设状况,积极推进全面风险管理信息系统在公司总部及下属单位的全面上线与专业应用,使风险梳理、评估、应对、监督等基本工作流程实现信息化运行,显著提高全面风险管理工作效率。重点推进以下X项工作:
(1)……
(2)……
(六)建立健全全面风险管理体系其他有关情况
1.本单位风险管理文化建设情况,包括单位内部建立风险评估机制、全面风险管理体系建设与惩防体系建设对接等情况。
单位内部建立风险管理评估机制,主要从针对“三重一大”、高风险业务、重大改革以及重大海外投资并购等重要事项建立专项风险评估制度,出具充分揭示风险和附有应对措施的专项风险评估报告等方面进行说明。
全面风险管理体系建设与惩防体系建设对接,主要从惩防体系建设情况、结合惩防体系完善重大风险管理解决方案、以及将惩防体系纳入全面风险管理体系建设等方面进行说明。
【示例】:
(1)风险管理文化建设情况
2011年度,公司重视安全管理文化、廉政建设文化、诚信文化等风险管理相关文化的建设和深化,形成了较为完善的安全应急机制和惩防体系,具备了一定的风险管理文化基础……
为了提升全体员工的风险意识,促进风险管理工作的有效推进,公司在2011年度陆续开展了一系列风险管理相关培训:
1)保密工作培训……
2)安全风险管理培训宣贯……
3)财务集约化风险在线监控培训……
(2)专项风险管理评估机制建设情况
2011年度,公司加强专项风险管理评估工作方面的制度约束,确保各部门、各项目在提交决策机构审议的重要事项议案中必须附有充分
揭示风险和应对措施的专项风险评估报告,并规定由风险管理部门对上述风险评估报告进行合规审核。
针对三重一大决策风险,公司在2011年度深入探索并进行系统性流程再造和管理改进;系统设计涵盖决策前、决策中、决策后各环节的全周期管理流程,包括议题提出、前期论证与专项风险评估、论证初步审核、提请决策、确定会议、会前通知及资料送达、会议决策、决策执行与督办、决策完成情况反馈和决策后自评估10个管理环节,使各单位业务程序更加清晰,同时规范了业务单据设计,确保了业务流程的可操作性和操作标准的可实现性,大幅降低了风险发生可能性。……
(3)全面风险管理体系与惩防体系对接状况
在2011年度,公司运用风险管理探索并将惩防体系各项要素植入企业内部控制和风险管理制度之中,融入企业经营管理体系,从重点领域和关键环节入手,排查腐败风险,健全内控机制,构筑制度防线,在统筹推进各项工作的基础上,注重突出重点,突破难点,推进改革,使惩防体系建设取得一定成效。
1)围绕排查腐败风险,开展风险信息收集
……
2)围绕重点领域环节,开展腐败风险识别
……
3)围绕确定风险等级,开展腐败风险评估
……
4)围绕解决腐败风险,推进惩防体系建设
……
2.本单位风险管理组织体系建设情况,包括公司最高决策
机构、风险管理委员会、风险管理办公室、其他风险管理相关部门的设立、成员组成、职能划分及履职情况。
【示例】:
2011年,公司在成立全面风险管理委员会和办公室的基础上,在下属XX家二级单位均相应成立全面风险管理委员会和办公室,增强了对各单位全面风险管理工作的组织和领导,明确了各部门和单位的职责分工。
全面风险管理委员会于年初制定了2011年度公司全面风险管理与内部控制工作中的重大事项、审定了各部门提交的风险管理策略和重大风险管理解决方案。
在公司全面风险管理委员会的领导下,公司全面风险管理办公室负责统一组织和协调全面风险管理工作,系统制定了相关风险管理工作办法,并组织开展了多次风险管理先进经验交流或专题培训。
公司各级各职能部门严格了执行全面风险管理与内部控制的基本流程,定期开展风险辨识工作,编写评估报告,不断完善各种风险的内部控制机制,对评估出的重大风险制定解决方案并做到基本贯彻落实。所属各子单位办公室均为本单位制定了风险管理实施细则,定期向总部反馈工作进展情况并接受总部相关部门的监督与评估。……
3.本单位开展风险管理评价或考核有关工作情况。主要从本单位制定风险管理与内部控制评价指标、开展风险管理和内部控制评价工作、编制风险管理与内部控制评价报告、是否将风险管理与内部控制纳入公司绩效考核体系等方面进行说明。
【示例】:
公司高度重视风险管理与内控建设,把开展内部控制评价、提升风险防控能力作为公司在2011年的一项重点工作来抓,并成立了以总经理兼总会计师为组长的内部控制领导小组和工作小组,研究制定工作方案,扎实开展内部控制评价工作。
X月,公司下发《关于开展财务内部控制评价工作的通知》,组织各单位、各相关部门集中人员和精力,认真开展内控评价工作。评价采取自我评价与协助评价相结合、现场评价与跟踪指导相结合、重点评价与全面评价相结合等多种有效方式,并在样本选取、模版格式、报告体例等方面进行了统一规范,分别编制了穿行测试表和控制测试表各XXX个,通过审阅内控流程文档、开展穿行测试、实施控制测试、编制评价结果备忘录、汇总编制控制缺陷表等统一规范的步骤,对评价过程实施标准化管理,保证了风险防控与内控评价工作的有序高效开展。……
二、2012年度企业风险评估情况
(一)对未来风险总体形势的研判
结合2012年度本单位经营目标,简要描述本单位2012年面临的内外部环境因素的变化,并就其对经营目标的影响进行总体研判和简要分析,包括给本单位带来的风险和机遇,以及拟定的应对措施等(1000字以上)。
【示例】:
结合公司2012年度经营目标,公司适时加强了对未来中长期所面临风险的全局性、趋势性研判,定位了下一年度公司风险管理工作的方向
和重点。经评估分析,2012年度公司面临的重大经营环境变化包括:
(1)电价政策变化
…………
(2)……
(二)风险管理初始信息收集情况
1.简要说明本单位建立风险案例库的有关情况,即收集、整理、分析本单位、国内外同行业企业发生的重大风险损失事件典型案例的有关情况。
【示例】:2011年度,公司高度重视全面风险管理工作,以报送全面风险管理报告为契机,部署系统内各单位开展风险信息收集与分析工作,结合公司自身业务特点,从战略、运营、市场、财务、法律五类风险信息进行归类、汇总、分析,并针对每类风险收集相应的风险案例,形成了公司典型风险案例库,合计XX个典型风险案例。典型风险案例内容包括案例名称、发生时间、案例简介、案例分析以及为防止同类事件再次发生所采取的防范措施等内容,突出了以下案例的典型警示功能。
2.编写典型风险案例。收集本单位以及国内外其它企业有借鉴意义的典型风险案例,对典型风险案例按照案例名称、时间、案例简介、案例分析、防控措施的格式编写,其中供电单位风险案例个数不少于8个,非供电单位风险案例个数不少于4个。
【示例】:案例名称:重大活动供电敏感信息泄露
发生时间:2010年春节前夕
案例简介:某单位接到国家安全部所属中国信息安全测评中心通报,发现涉及某重大活动的园区供电方案、保障方案、场馆变电站建筑结构图、电气主接线图以及相关敏感资料和信息等泄露。经查,此次信息安全事件是由于使用信息外网邮箱处理敏感资料所致。重大活动供电敏感信息泄露,使公司被国家安全部所属中国信息安全测评中心通报,严重影响公司形象。
案例分析:调查发现该公司外网邮件系统有170余人账户使用了字符串为“password”的初始弱口令,部分人员外网邮箱中存有与重大活动相关的规划、安全性评价报告等敏感材料。分析事件发生原因,一是该公司少数员工信息安全保密意识淡薄,在信息外网邮箱存储敏感资料,通过信息外网邮箱和社会公用邮箱向互联网发送邮件;二是该公司部分信息外网邮件用户采用初始弱口令;三是信息内外网隔离后,该公司原本地邮件系统仍在重复并轨运行,未完成域名统一、及时关闭原有邮件系统,也未对本地信息外网邮件内容采取过滤和审计措施。
防控措施:一是严格遵守公司信息安全保密纪律,强化全员信息安全保密意识,严格执行公司保密要求,落实到位。二是将公司全部信息外网邮件系统整合至公司集中统一外网邮件系统,加强对邮件系统的统一管理和审计,消除安全隐患。三是加强现有系统收发日志审计和敏感内容拦截,组织检查互联网交互记录和内外网邮件发送信息,定期对审计关键字进行动态更新。四是协同各级保密部门对在信息外网和互联网上违规传送公司秘密及敏感信息的情况进行通报与处理。
(三)风险评估情况
1.对本单位开展2012年度风险评估的范围、方式及参与人员等有关情况进行说明。
【示例】:
风险评估范围:本次风险评估涵盖公司总部部门XX个、网省公司XX家、直属单位XX家,涉及所有业务及岗位。
风险评估方式:采取“自下而上、纵横整合、内外结合”的评估方式。风险梳理采取“自下而上”的方式,即岗位风险→下属单位层面风险、总部部门层面风险→公司层面风险,体现了风险的层次性和统一性;风险辨识采取“纵横整合”的方法,即横向覆盖所有总部部门、所有下属单位、所有业务,纵向从政策、制度及执行、组织职责、人力资源、技术等各方面对每个风险进行深入的分析,体现了风险识别的全面性和准确性;……
参与人员:在公司全面风险管理委员会的统一指导下,由风险管理办公室具体组织,总部各部门及各下属单位分别开展风险梳理辨识和评估工作,共计XXX人参加,其中网省公司XXX人,直属单位XXX人,总部部门XXX人。
2.风险评估标准
说明本单位在分析风险事件发生的可能性、风险事件发生后对经营目标的影响程度时,所采用的评估标准(以附件列示)。网省公司可参照附件3,直属单位可以根据所属行业政
府主管部门的相关要求或本单位实际情况制定评估标准。
3.风险评估结果
对本单位2012年度可能面临的风险进行评估,按照企业风险分类,列示本单位2012年度风险评估结果,以及经评估确定的重大风险,填写附件1所示的风险评估信息表,企业风险分类示例见附件2。网省公司列示的风险不少于30项,其中重大风险不少于10项,直属单位列示的风险不少于15项,其中重大风险不少于5项。
(四)重大风险关键成因量化分析
简要说明本单位对重大风险关键成因进行量化分析的情况,包括建立分析、预测模型等。
【示例】:重大风险一:海外并购风险
首先运用风险分析工具识别影响海外并购工作的风险因素,其次借助层次分析法建立风险评估模型,然后计算并购项目的风险值,从而最终确定项目的风险大小,为“走出去”科学决策提供依据。
(1)建立海外并购风险评估模型的方法与过程
运用层次分析法,建立“走出去”-海外并购风险评估模型,包括以下三个层次:目标层,即海外并购风险评价;主准则层,即并购的准备与设计阶段风险、并购的谈判与实施阶段风险、并购的整合阶段;分准则层,即影响主准则层的具体指标。具体模型见图5。
图:海外并购风险评估模型
在海外并购风险因素评价时,安排10名以上专家对每个因素进行打分,运用统计方法确定各个不同因素最终的权值大小。
本模型共分二级,第一级是对准则层(Ui)进行评价,第二级是对目标层(U)进行评价。
第一级评价:
……
(五)风险坐标图
按照风险发生的可能性和风险发生后对本单位经营目标的影响程度两个维度,将本单位2012年度的重大风险绘制成风险坐标图,风险坐标图纵坐标为发生可能性、横坐标为影响程度。
【示例】:
①技术标准不完备,标准更新不及时风险
②......
三、2012年度全面风险管理工作有关情况及重大风险管理情况
(一)2012年度风险管理工作计划
1.决策层要求
本单位董事会、党组、总经理办公会等决策层对2012年度全面风险管理工作提出的要求。
【示例】:
公司党组高度重视公司全面风险管理工作,在公司二届一次职代会暨2011年度工作会议、公司主要党政负责人年度会议、及全面风险管理委员会会议上,要求总部各部门和公司各单位充分认识全面风险管理工作的重要意义,在公司全面风险管理委员会的统一领导下,继续深入落实《中央企业全面风险管理指引》,建立以实现公司发展战略为目标,以风险管理为核心,以内控制度为主体,以管理流程为载体,以组织、策略、措施和信息系统为主要内容,结构合理、层次分明、衔接有序、方法科学的全面风险管理体系。具体要求如下:
(1)要完善工作机制,推进风险管理工作常态化。……(2)……
2.全面风险管理工作计划
对本单位2012年度全面风险管理工作计划(包括所属主要子单位推进全面风险管理工作的计划)进行说明。
【示例】:
按照公司全面风险管理规划,2012年全面风险管理工作已经进入全面实施阶段,具体工作计划如下:
(1)编报2011年度全面风险管理报告
工作内容:公司风险管理办公室细化工作模本和技术要求,组织总部各部门和公司各单位严格按照风险管理基本工作流程,开展风险管理工作,编写各专业和各单位的风险管理报告。在此基础上,公司风险管理办公室编制《XX公司2011年度全面风险管理报告》,经公司全面风险管理委员会审批后上报国资委。
工作成果与完成时间:总部各部门和公司各单位2012年2月28日前将风险管理报告报公司风险管理办公室,公司风险管理办公室2011年4月30日前将公司全面风险管理报告上报国资委。
(2)完善全面风险管理工作机制工作内容:……
工作成果与完成时间:……
(2)在公司总部及所属主要子单位建设及部署全面风险管理信息系统
工作内容:公司风险管理办公室和信息化工作部牵头,总部各部门和公司所属主要子单位配合,以风险管理基本流程为主线,开展全面风险管理信息系统建设。系统实施采用一级部署,将与已建成的SG186信息工程进行高度融合,实现全面风险管理信息系统与现有信息系统的无缝衔接,对公司总部与主要子单位的各项业务过程风险点进行监控、预警、处理、反馈,实现风险的全过程管理。
工作成果与完成时间:……
(二)2012年度重大风险管理情况1.重大风险描述
根据本单位2012年度风险评估的结果,从风险类别、风险源(要求具体到产生的单位、项目、业务、管理活动)、风险成因、风险发生后对单位的影响等方面,逐一对重大风险进行简要描述。
【示例】:重大风险一:电网安全风险风险类别:运营风险
风险来源:电网建设、电网调度、设备检修等产生原因:1)自然灾害频发......
2)外力破坏加剧......
3)能源大规模接入对电网安全带来挑战......4)网架结构不够坚强......
风险影响:1)引起连锁反应,造成大面积停电事件......
2)发生电网安全事故......
2.重大风险管理策略和解决方案
(1)风险管理策略。包括本单位对每一项重大风险的风险偏好、风险承受度及据此确定的风险预警指标等。风险偏好常见分级为:风险厌恶、风险中立、风险爱好,风险承受度可分为高、中、低三个等级。
(2)风险解决方案。包括风险管理现状诊断(已有的相关制度、流程、控制措施的设计和执行情况、存在的问题和缺陷等)、责任主体、关键节点、拟采取的管控措施(风险事件发生前、中、后拟采取的具体应对措施以及危机处理计划等)。
【示例】:重大风险一:电网安全风险风险偏好:风险厌恶风险承受度:低
风险预警指标:气象预报、自然灾害预测、设备合格率解决方案:
(1)风险管理现状诊断:在安全生产上已制定XX制度,在流程上设计XX控制点,拟定流程控制措施......存在缺陷与整改情况包括.....
(2)责任主体:安全监察部、基建部、调度中心、生产技术部(3)关键节点:......(4)拟采取的控制措施:1)事前:编制应急预案......2)事中:加强安全监察......3)事后:组织抢险救灾......
4)危机处理计划:重大电网安全事故发生单位(部门)立即组织力量,采取有效措施......
3.年度重大风险变动情况及原因
说明本单位2012年度重大风险同2011年度相比的变化情况,对于重大风险的变化应说明变化原因。
【示例】:
2011年,引发公司层面重大风险的具体原因相对2010年出现了变化,使得部分重大风险在2011年表现出加剧或缓和的趋势。如下表所示,公司2011年升级及新增的重大风险有:融资风险……
(1)融资风险
2011年融资风险上升为重大风险,主要原因:一是我国货币政策从稳健但适度宽松转向稳健,中央银行通过调节存款准备金率和公开市场操作这两大数量型工具回收流动性。二是……
(2)……
四、有关意见和建议
(一)需要公司协调解决的重大风险问题(二)对推动全面风险管理工作的建议
附件1:2012年度风险评估信息表
填写部门:联系人:联系电话:电子邮箱:
注:具体的风险测量标准参见附件3
23
附件2:企业风险分类示例
投资风险政策风险战略管理风险
战略风险
“走出去”风险
健康安全环保风险人力资源风险经营风险技术风险集团管控风险信息风险产品风险公司治理风险
宏观经济风险产业结构风险改制风险
运营风险
竞争风险市场需求风险价格风险行业风险
重大风险
市场风险
汇利率风险信用风险证券市场风险客户风险商品策划风险
研究开发风险资源保障风险信息系统安全信息系统安全风风险工程建设风险项目管理风险稳定风险社会舆情风险道德风险执行风险
系统供应商风险
现金流风险
应应收收//预预付付账账款款风险
文件体系建设风险流程管理风险品牌管理风险风险采购风险运行控制风险
存货风险
财务风险
成本费用风险财务控制风险资本运作风险资产风险关联交易风险
合同管理风险知识产权风险法律纠纷风险合规风险
法律风险
附件3:风险评估标准
1、风险评估标准包括风险发生的可能性和风险损失度两个维度;2、可将风险发生的可能性分为五个级别,分别是:极低、低、中等、高、极高五个级别,依次对应1至5分;3、可将风险损失度分为三大类(安全、社会形象、直接经济损失),每类分为五个等级。
附表1
风险评估方法定量方法(分值)定性方法(文字描述)
风险可能性分类等级
风险发生的可能性
极低1
低2
中等3
高4
极高5
公司可能每公司可能每公司可能每公司可能每公司可能每5年以上发1-5年发生年发生该类半年发生该月发生该类生该类风险该类风险风险类风险风险
附表2风险损失度分类等级风险损失度
风险损失
等级
电网安全
安全
社会形象
人员伤亡
在县所辖范围内受到影响,但该影响可由所辖公司短期内自行消除
在地市范围内受到影响,但该影响需要一定时间、付出一定代价消除
在网省范围内受到影响,这种影响需要较长时间、付出较大代价消除
在全国范围内受到影响,这种影响需要通过长时间努力、付出巨额代价消除
直接经济损
失
1
符合电网一类障
3人以下人员重
碍及其以下故障
伤
标准
1000万元以下
2
符合B类一般电网3人以下死亡,或事故标准者10人以下重伤
1000万元及
以上、1亿元以下
3
3人及以上10人
符合A类一般电网以下死亡,或者事故标准10人及以上50人
以下重伤符合《电力生产事故调查暂行规定[电监会令第4号]》的重大电网事故
10人及以上30人以下死亡,或者50人及以上100人以下重伤
1亿元及以上、10亿元以下
4
10亿元及以上、50亿元以下
5
符合《电力生产事
故调查暂行规定30人及以上死在国际范围内
50亿元及以
[电监会令第4亡,或者100人受到影响,这种
上
号]》的特大电网及以上重伤影响难以消除事故标准
附表3电网安全事故标准说明
序号
安全等级
详细说明
未构成事故,符合下列条件之一者,为电网一类障碍。
(一)110kV及以上电网非正常解列。(二)220kV及以上电网发生低频振荡持续时间超过3分钟。
(三)变电站220kV及以上电压等级任一段母线被迫停止运行。
(四)电网电能质量降低,造成下列后果之一:1.频率偏差超出以下数值:
装机容量在3000MW及以上电网频率偏差超出50±0.2Hz,且延续时间20分钟以上;或偏差超出50±0.5Hz,且延续时间10分钟以上;
装机容量3000MW以下电网频率偏差超出50±0.5Hz,且延续时间20分钟以上;或偏差超出50±1Hz,且延续时间10分钟以上;
2.电压监视控制点电压偏差超出电网调度规定的电压曲线值±5%,且延续时间超过1小时;或偏差超出±10%,且延续时间超过30分钟。
(五)发生下列情况之一的:
1.电网输电断面超稳定限额运行时间超过15分钟;
2.区域电网、省网实时运行中的备用有功功率小于下列数值,且时间超过1小时:
电网发电负荷备用有功功率(%为备用占电网发电负荷的比例)
40000MW及以上2%或电网内的最大单机出力;20000~40000MW3%或电网内的最大单机出力;10000~20000MW4%或电网内的最大单机出力;10000MW以下5%或电网内的最大单机出力。
3.切机、切负荷、振荡解列、低频低压解列等安全自动装置非计划停运时间超过72小时,导致电网安全水平降低;
4.220kV及以上线路、母线、变压器主保护非计划停运,导致主保护非计划单套运行时间超过36小时;
5.地(市)级及以上调度机构调度自动化系统失灵超过30分钟、调度通信系统通信中断超过1小时;
6.通信电路非计划停运,造成远方跳闸保护、远方切机(切负荷)装置由双通道改为单通道,时间超过30小时。
1电网一类障碍
2
3未构成特、重大电网事故,符合下列条件之一者,定为B类一般电网事故。(一)110kV及以上电网失去稳定。(二)省间500kV及以上电网非正常解列。(三)110kV及以上电网非正常解列成三片及以上。(四)发生下列情况之一的:B类一般电网1.220kV及以上母线、联络线运行的线路、变压器事故的主保护非计划停运,造成无主保护运行;2.电网输电断面超稳定限额运行时间超过1小时;3.切机、切负荷、振荡解列、低频低压解列、安稳装置等安全自动装置非计划停运时间超过168小时,导致电网安全水平降低;4.地(市)级及以上调度机构调度自动化系统失灵超过1小时、调度通信系统通信中断超过2小时。未构成特、重大电网事故,符合下列条件之一者,定为A类一般电网事故。(一)110kV以上省级电网或者区域电网非正常解列,并造成全网减供负荷达到下列数值之一的:1.电网负荷为20000MW以上的,减供负荷4%;2.电网负荷为10000MW以上不满20000MW的,减供负荷5%或者800MW;3.电网负荷为5000MW以上不满10000MW的,减供负荷8%或者500MW;4.电网负荷为1000MW以上不满5000MW的,减供负荷10%或者400MW;5.电网负荷为不满1000MW的,减供负荷20%或者100MW。A类一般电网(二)变电所220kV以上任一电压等级母线全停事故的。
(三)电网电能质量降低,造成下列情形之一的:
1.装机容量3000MW以上的电网,频率偏差超出
50±0.2Hz,且延续时间30分钟以上;或者频率偏差
超出50±0.5Hz,且延续时间15分钟以上。
2.装机容量不满3000MW的电网,频率偏差超出
50±0.5Hz,且延续时间30分钟以上;或者频率偏差
超出50±1Hz,且延续时间15分钟以上。
3.电压监视控制点电压偏差超出电力调度规定
的电压曲线值±5%,且延续时间超过2小时;或者电
压偏差超出电力调度规定的电压曲线值±10%,且延续
时间超过1小时。
28
电网发生有下列情形之一的大面积停电,为重大电网
事故。
(一)省、自治区电网或者区域电网减供负荷达
到下列数值之一的:
1.电网负荷为20000MW以上的,减供负荷8%;
2.电网负荷为10000MW以上不满20000MW的,减
供负荷10%或者1600MW;
3.电网负荷为5000MW以上不满10000MW的,减供
负荷15%或者1000MW;
4.电网负荷为1000MW以上不满5000MW的,减供
负荷20%或者750MW;
5.电网负荷为不满1000MW的,减供负荷40%或者
200MW。
(二)直辖市减供负荷20%以上的;
(三)省和自治区人民政府所在地城市以及其他
大城市减供负荷40%以上的;
(四)中等城市减供负荷60%以上的;
(五)小城市减供负荷80%以上的。
电网发生有下列情形之一的大面积停电,为特大电网
事故。
(一)省、自治区电网或者区域电网减供负荷达
到下列数值之一的:
1.电网负荷为20000MW以上的,减供负荷20%;
2.电网负荷为10000MW以上不满20000MW的,减
供负荷30%或者4000MW;
3.电网负荷为5000MW以上不满10000MW的,减供
负荷40%或者3000MW;
4.电网负荷为1000MW以上不满5000MW的,减供
负荷50%或者2000MW。
(二)直辖市减供负荷50%以上的;
(三)省和自治区人民政府所在地城市以及其他
大城市减供负荷80%以上的。4重大电网事故5特大电网事故
注:电网安全事故标准参照《电力生产事故调查暂行规定[电监会令第4号]》制定。
29
2012年度全面风险管理报告填报单位名称:
填报日期:年日
目录
一、2011年度全面风险管理工作回顾................................................1
(一)全面风险管理工作计划完成情况.......................................1
(二)重大风险管理情况...............................................................2
(三)重大风险管理解决方案的监督检查情况...........................4
(四)内部控制系统建设情况.......................................................5
(五)风险管理信息系统有关情况...............................................6
(六)建立健全全面风险管理体系其他有关情况........................8
二、2012年度企业风险评估情况......................................................11
(一)对未来风险总体形势的研判.............................................11
(二)风险管理初始信息收集情况.............................................12
(三)风险评估情况.....................................................................14
(四)重大风险关键成因量化分析.............................................15
(五)风险坐标图.........................................................................16
三、2012年度全面风险管理工作有关情况及重大风险管理情况..17
(一)2012年度风险管理工作计划............................................17
(二)2012年度重大风险管理情况............................................19
四、有关意见和建议...........................................................................22
(一)需要公司协调解决的重大风险问题.................................22
(二)对推动全面风险管理工作的建议.....................................22
附件1:2012年度风险评估信息表...................................................23
附件2:企业风险分类示例................................................................24
附件3:风险评估标准........................................................................25
2012年度**公司全面风险管理报告
一、2011年度全面风险管理工作回顾
(一)全面风险管理工作计划完成情况
主要从全面风险管理体系建设、2011年度全面风险管理工作计划执行情况、本单位决策层对年度工作的评价以及全面风险管理工作取得的成效等方面进行说明(1500字以上)。
【示例】:
2011年,****公司(以下简称“公司”)继续深入贯彻落实国资委对中央企业加强全面风险管理工作的要求,借鉴国内外企业开展全面风险管理工作的成功经验,服务于公司战略发展需要,立足于公司风险管控现状,大胆实践,不断创新,逐步形成了具有电网企业特色的全面风险管理体系和运行机制,各项工作取得了较好的成效。
1、全面风险管理体系建设及全面风险管理工作执行情况
2011年,公司全面完成计划安排的X项工作,即开展风险评估、制定全面风险管理体系建设整体方案、推进风险管理信息系统建设、……等工作。各项工作完成情况如下:
(1)建立健全全面风险管理“三道防线”
……
(2)科学制定全面风险管理体系建设整体方案
……
(3)加快建设风险管理信息系统
……
(4)……
2、全面风险管理工作取得的成效及决策层的评价
2011年公司积极探索、稳步推进全面风险管理工作,取得了以下突出成绩:
(1)全面风险管理体系初步建立
通过有序推进全面风险管理前期试点和全面实施工作,公司初步建立全面风险管理体系:组织体系方面,公司总部及56家下属单位均建立风险管理“三道防线”,为风险管理工作提供组织保障;工作机制方面,……
(2)……
……
(二)重大风险管理情况
1.逐一简要说明2011年度本单位重大风险的管理情况。重大风险按评估结果进行排序列示,说明是否发生,产生的影响是否在风险承受度内,不在承受度内的应说明主要原因。如有重大风险事件发生,请就已有调查结论的事件,说明产生原因、发生后的影响、解决方案及今后避免再次发生的应对措施。
2.供电单位报告的重大风险事件不少于2项,非供电单位至少报告1项。
3.重大风险事件应先由各单位业务部门提供,经各单位全面风险管理办公室汇总后上报。
【示例】:
1、2011年度重大风险管理情况
2011年,公司识别出重大风险X项,分别是电网安全风险、电价政策风险、信息系统安全风险、……等。回顾2011年公司重大风险管理情况,共有X项重大风险对应的风险事件发生,具体情况见下表:
(1)电网安全风险
2011年,公司始终把电网安全作为运营管理的重中之重,加强电网运行管理,制订隐患排查治理考核细则,全面梳理电网安全隐患,建立事故隐患数据库,并对**项影响较大的隐患,逐一落实治理措施,跟踪督办,切实消除安全隐患;加强迎峰度夏专项安全检查……
(2)电价政策风险
……
2、2011年度重大风险事件整理
公司全面风险管理办公室对公司2011年发生的风险事件进行了收集、统计分析,确认共有X项重大风险对应的风险事件发生,对其事件
经过、发生原因、造成的损失和影响、解决方案和应对措施进行了详细分析。
(1)电网安全风险事件:XX洪水灾害
事件经过:入汛以后,XX地区相继遭遇多轮强降雨过程,降雨历时长、强度大、覆盖广。进入主汛期以后,降水愈加频繁,局地暴雨频发,强降雨导致XX地区出现多处险情,部分河段拦河大坝决堤。暴雨灾害造成XX电网10千伏线路跳闸XX条次,10千伏线路倒杆XX基……
发生原因:自然灾害引起的重大电网安全事故。
造成的损失或影响:……
解决方案:……
应对措施:……
(三)重大风险管理解决方案的监督检查情况
针对本单位2011年评估出来的重大风险,逐项说明重大风险管理解决方案的实施情况、对解决方案的有效性进行监督检查情况(包括内外部检查、稽核监督、纪检监察、绩效考评等)、以及根据变化情况和通过监督检查发现的缺陷及时加以改进的有关情况。
【示例】:
(1)信息系统安全风险
重大风险管理解决方案执行情况:2011年度公司严格执行年度信
息化建设工作计划,针对可能出现的信息安全风险点逐步进行信息系统改进与完善,积极防范信息化领域风险。公司在年度内完成了运行呼叫中心系统、信息运行监控中心系统和信息运维综合监管系统建设;完善了重要信息化建设风险控制点的管理人员和业务操作人员岗前风险培训制度,加强对风险管理理念、知识、流程等核心内容的培训,建立起信息系统安全风险防控长效机制。
对重大风险解决方案执行情况的监督检查情况:为了完善信息化建设风险监督管理体系,对各单位开展风险在线监控,监控中发现的信息系统管理缺陷总结如下:
一是……
公司针对信息系统管理缺陷提出如下整改意见:
一是……
(四)内部控制系统建设情况
简要说明本单位内部控制系统建设的有关情况,主要是对本单位制度与流程的完善与优化情况,针对重大风险查找流程风险点、控制点、制定流程控制措施等方面的情况进行说明。
【示例】:
1、内部控制系统建设的有关情况
2011年,XX部依照公司关于开展全面风险管理工作、完善内部控制体系的通知,积极贯彻实施标准化管理体系建设工作。一是开展内外部文件清理,共清理各类标准、文件XXX份,建立了基于本部门业务特点的标准-制度-业务间层次清晰、系统完整的标准化管理体系框架。二是开展业务名录辨识和业务流程梳理。本部门共提炼出电网企业统一业
务名录XXX项,梳理业务流程和管理流程XXX个,更加清楚地揭示了电网企业的自然属性,清晰了业务概念、明确了业务类别划分和标准流程体系,为公司层面标准体系建设提供了依据。三是……
2、针对重大风险所制定的全流程控制措施
本单位针对部门各项重大风险实施全流程控制,识别流程中的关键风险点,并拟定控制措施。
(1)电价政策风险
一是根据输变电工程项目批文、投资概算、运行方式及特点、输电规模等交易要素,测算输配电价,并与上网电价、销售电价平衡,编制合理的电价方案,报政府价格主管部门审批。
二是……
(2)……
(五)风险管理信息系统有关情况
对现有的风险管理信息系统进行说明,简要说明本单位风险管理信息系统的覆盖范围、主要功能、重大风险监控、与现有管理信息系统对接情况以及下一步工作计划等。若没有风险管理信息系统,可对现有的信息系统中与风险管理相关的模块(如安全管理、财务管控、营销、基建等)及其实现的功能进行说明。
【示例】:
1.风险管理相关信息系统建设现状
2011年,公司积极推进信息化工作,推进成熟套装软件的深化应用,实现了公司主要管理和业务活动的在线操作和风险的在线监控。截至目
前,公司XX个部门、XX工程建设公司中已全面/部门实现了通过信息系统办理部门业务。公司信息系统的功能覆盖情况、相关功能如下表:
XX公司各部门业务信息系统汇总表
2.风险管理信息系统建设计划
2012年,公司将结合现有风险管理信息系统建设状况,积极推进全面风险管理信息系统在公司总部及下属单位的全面上线与专业应用,使风险梳理、评估、应对、监督等基本工作流程实现信息化运行,显著提高全面风险管理工作效率。重点推进以下X项工作:
(1)……
(2)……
(六)建立健全全面风险管理体系其他有关情况
1.本单位风险管理文化建设情况,包括单位内部建立风险评估机制、全面风险管理体系建设与惩防体系建设对接等情况。
单位内部建立风险管理评估机制,主要从针对“三重一大”、高风险业务、重大改革以及重大海外投资并购等重要事项建立专项风险评估制度,出具充分揭示风险和附有应对措施的专项风险评估报告等方面进行说明。
全面风险管理体系建设与惩防体系建设对接,主要从惩防体系建设情况、结合惩防体系完善重大风险管理解决方案、以及将惩防体系纳入全面风险管理体系建设等方面进行说明。
【示例】:
(1)风险管理文化建设情况
2011年度,公司重视安全管理文化、廉政建设文化、诚信文化等风险管理相关文化的建设和深化,形成了较为完善的安全应急机制和惩防体系,具备了一定的风险管理文化基础……
为了提升全体员工的风险意识,促进风险管理工作的有效推进,公司在2011年度陆续开展了一系列风险管理相关培训:
1)保密工作培训……
2)安全风险管理培训宣贯……
3)财务集约化风险在线监控培训……
(2)专项风险管理评估机制建设情况
2011年度,公司加强专项风险管理评估工作方面的制度约束,确保各部门、各项目在提交决策机构审议的重要事项议案中必须附有充分
揭示风险和应对措施的专项风险评估报告,并规定由风险管理部门对上述风险评估报告进行合规审核。
针对三重一大决策风险,公司在2011年度深入探索并进行系统性流程再造和管理改进;系统设计涵盖决策前、决策中、决策后各环节的全周期管理流程,包括议题提出、前期论证与专项风险评估、论证初步审核、提请决策、确定会议、会前通知及资料送达、会议决策、决策执行与督办、决策完成情况反馈和决策后自评估10个管理环节,使各单位业务程序更加清晰,同时规范了业务单据设计,确保了业务流程的可操作性和操作标准的可实现性,大幅降低了风险发生可能性。……
(3)全面风险管理体系与惩防体系对接状况
在2011年度,公司运用风险管理探索并将惩防体系各项要素植入企业内部控制和风险管理制度之中,融入企业经营管理体系,从重点领域和关键环节入手,排查腐败风险,健全内控机制,构筑制度防线,在统筹推进各项工作的基础上,注重突出重点,突破难点,推进改革,使惩防体系建设取得一定成效。
1)围绕排查腐败风险,开展风险信息收集
……
2)围绕重点领域环节,开展腐败风险识别
……
3)围绕确定风险等级,开展腐败风险评估
……
4)围绕解决腐败风险,推进惩防体系建设
……
2.本单位风险管理组织体系建设情况,包括公司最高决策
机构、风险管理委员会、风险管理办公室、其他风险管理相关部门的设立、成员组成、职能划分及履职情况。
【示例】:
2011年,公司在成立全面风险管理委员会和办公室的基础上,在下属XX家二级单位均相应成立全面风险管理委员会和办公室,增强了对各单位全面风险管理工作的组织和领导,明确了各部门和单位的职责分工。
全面风险管理委员会于年初制定了2011年度公司全面风险管理与内部控制工作中的重大事项、审定了各部门提交的风险管理策略和重大风险管理解决方案。
在公司全面风险管理委员会的领导下,公司全面风险管理办公室负责统一组织和协调全面风险管理工作,系统制定了相关风险管理工作办法,并组织开展了多次风险管理先进经验交流或专题培训。
公司各级各职能部门严格了执行全面风险管理与内部控制的基本流程,定期开展风险辨识工作,编写评估报告,不断完善各种风险的内部控制机制,对评估出的重大风险制定解决方案并做到基本贯彻落实。所属各子单位办公室均为本单位制定了风险管理实施细则,定期向总部反馈工作进展情况并接受总部相关部门的监督与评估。……
3.本单位开展风险管理评价或考核有关工作情况。主要从本单位制定风险管理与内部控制评价指标、开展风险管理和内部控制评价工作、编制风险管理与内部控制评价报告、是否将风险管理与内部控制纳入公司绩效考核体系等方面进行说明。
【示例】:
公司高度重视风险管理与内控建设,把开展内部控制评价、提升风险防控能力作为公司在2011年的一项重点工作来抓,并成立了以总经理兼总会计师为组长的内部控制领导小组和工作小组,研究制定工作方案,扎实开展内部控制评价工作。
X月,公司下发《关于开展财务内部控制评价工作的通知》,组织各单位、各相关部门集中人员和精力,认真开展内控评价工作。评价采取自我评价与协助评价相结合、现场评价与跟踪指导相结合、重点评价与全面评价相结合等多种有效方式,并在样本选取、模版格式、报告体例等方面进行了统一规范,分别编制了穿行测试表和控制测试表各XXX个,通过审阅内控流程文档、开展穿行测试、实施控制测试、编制评价结果备忘录、汇总编制控制缺陷表等统一规范的步骤,对评价过程实施标准化管理,保证了风险防控与内控评价工作的有序高效开展。……
二、2012年度企业风险评估情况
(一)对未来风险总体形势的研判
结合2012年度本单位经营目标,简要描述本单位2012年面临的内外部环境因素的变化,并就其对经营目标的影响进行总体研判和简要分析,包括给本单位带来的风险和机遇,以及拟定的应对措施等(1000字以上)。
【示例】:
结合公司2012年度经营目标,公司适时加强了对未来中长期所面临风险的全局性、趋势性研判,定位了下一年度公司风险管理工作的方向
和重点。经评估分析,2012年度公司面临的重大经营环境变化包括:
(1)电价政策变化
…………
(2)……
(二)风险管理初始信息收集情况
1.简要说明本单位建立风险案例库的有关情况,即收集、整理、分析本单位、国内外同行业企业发生的重大风险损失事件典型案例的有关情况。
【示例】:2011年度,公司高度重视全面风险管理工作,以报送全面风险管理报告为契机,部署系统内各单位开展风险信息收集与分析工作,结合公司自身业务特点,从战略、运营、市场、财务、法律五类风险信息进行归类、汇总、分析,并针对每类风险收集相应的风险案例,形成了公司典型风险案例库,合计XX个典型风险案例。典型风险案例内容包括案例名称、发生时间、案例简介、案例分析以及为防止同类事件再次发生所采取的防范措施等内容,突出了以下案例的典型警示功能。
2.编写典型风险案例。收集本单位以及国内外其它企业有借鉴意义的典型风险案例,对典型风险案例按照案例名称、时间、案例简介、案例分析、防控措施的格式编写,其中供电单位风险案例个数不少于8个,非供电单位风险案例个数不少于4个。
【示例】:案例名称:重大活动供电敏感信息泄露
发生时间:2010年春节前夕
案例简介:某单位接到国家安全部所属中国信息安全测评中心通报,发现涉及某重大活动的园区供电方案、保障方案、场馆变电站建筑结构图、电气主接线图以及相关敏感资料和信息等泄露。经查,此次信息安全事件是由于使用信息外网邮箱处理敏感资料所致。重大活动供电敏感信息泄露,使公司被国家安全部所属中国信息安全测评中心通报,严重影响公司形象。
案例分析:调查发现该公司外网邮件系统有170余人账户使用了字符串为“password”的初始弱口令,部分人员外网邮箱中存有与重大活动相关的规划、安全性评价报告等敏感材料。分析事件发生原因,一是该公司少数员工信息安全保密意识淡薄,在信息外网邮箱存储敏感资料,通过信息外网邮箱和社会公用邮箱向互联网发送邮件;二是该公司部分信息外网邮件用户采用初始弱口令;三是信息内外网隔离后,该公司原本地邮件系统仍在重复并轨运行,未完成域名统一、及时关闭原有邮件系统,也未对本地信息外网邮件内容采取过滤和审计措施。
防控措施:一是严格遵守公司信息安全保密纪律,强化全员信息安全保密意识,严格执行公司保密要求,落实到位。二是将公司全部信息外网邮件系统整合至公司集中统一外网邮件系统,加强对邮件系统的统一管理和审计,消除安全隐患。三是加强现有系统收发日志审计和敏感内容拦截,组织检查互联网交互记录和内外网邮件发送信息,定期对审计关键字进行动态更新。四是协同各级保密部门对在信息外网和互联网上违规传送公司秘密及敏感信息的情况进行通报与处理。
(三)风险评估情况
1.对本单位开展2012年度风险评估的范围、方式及参与人员等有关情况进行说明。
【示例】:
风险评估范围:本次风险评估涵盖公司总部部门XX个、网省公司XX家、直属单位XX家,涉及所有业务及岗位。
风险评估方式:采取“自下而上、纵横整合、内外结合”的评估方式。风险梳理采取“自下而上”的方式,即岗位风险→下属单位层面风险、总部部门层面风险→公司层面风险,体现了风险的层次性和统一性;风险辨识采取“纵横整合”的方法,即横向覆盖所有总部部门、所有下属单位、所有业务,纵向从政策、制度及执行、组织职责、人力资源、技术等各方面对每个风险进行深入的分析,体现了风险识别的全面性和准确性;……
参与人员:在公司全面风险管理委员会的统一指导下,由风险管理办公室具体组织,总部各部门及各下属单位分别开展风险梳理辨识和评估工作,共计XXX人参加,其中网省公司XXX人,直属单位XXX人,总部部门XXX人。
2.风险评估标准
说明本单位在分析风险事件发生的可能性、风险事件发生后对经营目标的影响程度时,所采用的评估标准(以附件列示)。网省公司可参照附件3,直属单位可以根据所属行业政
府主管部门的相关要求或本单位实际情况制定评估标准。
3.风险评估结果
对本单位2012年度可能面临的风险进行评估,按照企业风险分类,列示本单位2012年度风险评估结果,以及经评估确定的重大风险,填写附件1所示的风险评估信息表,企业风险分类示例见附件2。网省公司列示的风险不少于30项,其中重大风险不少于10项,直属单位列示的风险不少于15项,其中重大风险不少于5项。
(四)重大风险关键成因量化分析
简要说明本单位对重大风险关键成因进行量化分析的情况,包括建立分析、预测模型等。
【示例】:重大风险一:海外并购风险
首先运用风险分析工具识别影响海外并购工作的风险因素,其次借助层次分析法建立风险评估模型,然后计算并购项目的风险值,从而最终确定项目的风险大小,为“走出去”科学决策提供依据。
(1)建立海外并购风险评估模型的方法与过程
运用层次分析法,建立“走出去”-海外并购风险评估模型,包括以下三个层次:目标层,即海外并购风险评价;主准则层,即并购的准备与设计阶段风险、并购的谈判与实施阶段风险、并购的整合阶段;分准则层,即影响主准则层的具体指标。具体模型见图5。
图:海外并购风险评估模型
在海外并购风险因素评价时,安排10名以上专家对每个因素进行打分,运用统计方法确定各个不同因素最终的权值大小。
本模型共分二级,第一级是对准则层(Ui)进行评价,第二级是对目标层(U)进行评价。
第一级评价:
……
(五)风险坐标图
按照风险发生的可能性和风险发生后对本单位经营目标的影响程度两个维度,将本单位2012年度的重大风险绘制成风险坐标图,风险坐标图纵坐标为发生可能性、横坐标为影响程度。
【示例】:
①技术标准不完备,标准更新不及时风险
②......
三、2012年度全面风险管理工作有关情况及重大风险管理情况
(一)2012年度风险管理工作计划
1.决策层要求
本单位董事会、党组、总经理办公会等决策层对2012年度全面风险管理工作提出的要求。
【示例】:
公司党组高度重视公司全面风险管理工作,在公司二届一次职代会暨2011年度工作会议、公司主要党政负责人年度会议、及全面风险管理委员会会议上,要求总部各部门和公司各单位充分认识全面风险管理工作的重要意义,在公司全面风险管理委员会的统一领导下,继续深入落实《中央企业全面风险管理指引》,建立以实现公司发展战略为目标,以风险管理为核心,以内控制度为主体,以管理流程为载体,以组织、策略、措施和信息系统为主要内容,结构合理、层次分明、衔接有序、方法科学的全面风险管理体系。具体要求如下:
(1)要完善工作机制,推进风险管理工作常态化。……(2)……
2.全面风险管理工作计划
对本单位2012年度全面风险管理工作计划(包括所属主要子单位推进全面风险管理工作的计划)进行说明。
【示例】:
按照公司全面风险管理规划,2012年全面风险管理工作已经进入全面实施阶段,具体工作计划如下:
(1)编报2011年度全面风险管理报告
工作内容:公司风险管理办公室细化工作模本和技术要求,组织总部各部门和公司各单位严格按照风险管理基本工作流程,开展风险管理工作,编写各专业和各单位的风险管理报告。在此基础上,公司风险管理办公室编制《XX公司2011年度全面风险管理报告》,经公司全面风险管理委员会审批后上报国资委。
工作成果与完成时间:总部各部门和公司各单位2012年2月28日前将风险管理报告报公司风险管理办公室,公司风险管理办公室2011年4月30日前将公司全面风险管理报告上报国资委。
(2)完善全面风险管理工作机制工作内容:……
工作成果与完成时间:……
(2)在公司总部及所属主要子单位建设及部署全面风险管理信息系统
工作内容:公司风险管理办公室和信息化工作部牵头,总部各部门和公司所属主要子单位配合,以风险管理基本流程为主线,开展全面风险管理信息系统建设。系统实施采用一级部署,将与已建成的SG186信息工程进行高度融合,实现全面风险管理信息系统与现有信息系统的无缝衔接,对公司总部与主要子单位的各项业务过程风险点进行监控、预警、处理、反馈,实现风险的全过程管理。
工作成果与完成时间:……
(二)2012年度重大风险管理情况1.重大风险描述
根据本单位2012年度风险评估的结果,从风险类别、风险源(要求具体到产生的单位、项目、业务、管理活动)、风险成因、风险发生后对单位的影响等方面,逐一对重大风险进行简要描述。
【示例】:重大风险一:电网安全风险风险类别:运营风险
风险来源:电网建设、电网调度、设备检修等产生原因:1)自然灾害频发......
2)外力破坏加剧......
3)能源大规模接入对电网安全带来挑战......4)网架结构不够坚强......
风险影响:1)引起连锁反应,造成大面积停电事件......
2)发生电网安全事故......
2.重大风险管理策略和解决方案
(1)风险管理策略。包括本单位对每一项重大风险的风险偏好、风险承受度及据此确定的风险预警指标等。风险偏好常见分级为:风险厌恶、风险中立、风险爱好,风险承受度可分为高、中、低三个等级。
(2)风险解决方案。包括风险管理现状诊断(已有的相关制度、流程、控制措施的设计和执行情况、存在的问题和缺陷等)、责任主体、关键节点、拟采取的管控措施(风险事件发生前、中、后拟采取的具体应对措施以及危机处理计划等)。
【示例】:重大风险一:电网安全风险风险偏好:风险厌恶风险承受度:低
风险预警指标:气象预报、自然灾害预测、设备合格率解决方案:
(1)风险管理现状诊断:在安全生产上已制定XX制度,在流程上设计XX控制点,拟定流程控制措施......存在缺陷与整改情况包括.....
(2)责任主体:安全监察部、基建部、调度中心、生产技术部(3)关键节点:......(4)拟采取的控制措施:1)事前:编制应急预案......2)事中:加强安全监察......3)事后:组织抢险救灾......
4)危机处理计划:重大电网安全事故发生单位(部门)立即组织力量,采取有效措施......
3.年度重大风险变动情况及原因
说明本单位2012年度重大风险同2011年度相比的变化情况,对于重大风险的变化应说明变化原因。
【示例】:
2011年,引发公司层面重大风险的具体原因相对2010年出现了变化,使得部分重大风险在2011年表现出加剧或缓和的趋势。如下表所示,公司2011年升级及新增的重大风险有:融资风险……
(1)融资风险
2011年融资风险上升为重大风险,主要原因:一是我国货币政策从稳健但适度宽松转向稳健,中央银行通过调节存款准备金率和公开市场操作这两大数量型工具回收流动性。二是……
(2)……
四、有关意见和建议
(一)需要公司协调解决的重大风险问题(二)对推动全面风险管理工作的建议
附件1:2012年度风险评估信息表
填写部门:联系人:联系电话:电子邮箱:
注:具体的风险测量标准参见附件3
23
附件2:企业风险分类示例
投资风险政策风险战略管理风险
战略风险
“走出去”风险
健康安全环保风险人力资源风险经营风险技术风险集团管控风险信息风险产品风险公司治理风险
宏观经济风险产业结构风险改制风险
运营风险
竞争风险市场需求风险价格风险行业风险
重大风险
市场风险
汇利率风险信用风险证券市场风险客户风险商品策划风险
研究开发风险资源保障风险信息系统安全信息系统安全风风险工程建设风险项目管理风险稳定风险社会舆情风险道德风险执行风险
系统供应商风险
现金流风险
应应收收//预预付付账账款款风险
文件体系建设风险流程管理风险品牌管理风险风险采购风险运行控制风险
存货风险
财务风险
成本费用风险财务控制风险资本运作风险资产风险关联交易风险
合同管理风险知识产权风险法律纠纷风险合规风险
法律风险
附件3:风险评估标准
1、风险评估标准包括风险发生的可能性和风险损失度两个维度;2、可将风险发生的可能性分为五个级别,分别是:极低、低、中等、高、极高五个级别,依次对应1至5分;3、可将风险损失度分为三大类(安全、社会形象、直接经济损失),每类分为五个等级。
附表1
风险评估方法定量方法(分值)定性方法(文字描述)
风险可能性分类等级
风险发生的可能性
极低1
低2
中等3
高4
极高5
公司可能每公司可能每公司可能每公司可能每公司可能每5年以上发1-5年发生年发生该类半年发生该月发生该类生该类风险该类风险风险类风险风险
附表2风险损失度分类等级风险损失度
风险损失
等级
电网安全
安全
社会形象
人员伤亡
在县所辖范围内受到影响,但该影响可由所辖公司短期内自行消除
在地市范围内受到影响,但该影响需要一定时间、付出一定代价消除
在网省范围内受到影响,这种影响需要较长时间、付出较大代价消除
在全国范围内受到影响,这种影响需要通过长时间努力、付出巨额代价消除
直接经济损
失
1
符合电网一类障
3人以下人员重
碍及其以下故障
伤
标准
1000万元以下
2
符合B类一般电网3人以下死亡,或事故标准者10人以下重伤
1000万元及
以上、1亿元以下
3
3人及以上10人
符合A类一般电网以下死亡,或者事故标准10人及以上50人
以下重伤符合《电力生产事故调查暂行规定[电监会令第4号]》的重大电网事故
10人及以上30人以下死亡,或者50人及以上100人以下重伤
1亿元及以上、10亿元以下
4
10亿元及以上、50亿元以下
5
符合《电力生产事
故调查暂行规定30人及以上死在国际范围内
50亿元及以
[电监会令第4亡,或者100人受到影响,这种
上
号]》的特大电网及以上重伤影响难以消除事故标准
附表3电网安全事故标准说明
序号
安全等级
详细说明
未构成事故,符合下列条件之一者,为电网一类障碍。
(一)110kV及以上电网非正常解列。(二)220kV及以上电网发生低频振荡持续时间超过3分钟。
(三)变电站220kV及以上电压等级任一段母线被迫停止运行。
(四)电网电能质量降低,造成下列后果之一:1.频率偏差超出以下数值:
装机容量在3000MW及以上电网频率偏差超出50±0.2Hz,且延续时间20分钟以上;或偏差超出50±0.5Hz,且延续时间10分钟以上;
装机容量3000MW以下电网频率偏差超出50±0.5Hz,且延续时间20分钟以上;或偏差超出50±1Hz,且延续时间10分钟以上;
2.电压监视控制点电压偏差超出电网调度规定的电压曲线值±5%,且延续时间超过1小时;或偏差超出±10%,且延续时间超过30分钟。
(五)发生下列情况之一的:
1.电网输电断面超稳定限额运行时间超过15分钟;
2.区域电网、省网实时运行中的备用有功功率小于下列数值,且时间超过1小时:
电网发电负荷备用有功功率(%为备用占电网发电负荷的比例)
40000MW及以上2%或电网内的最大单机出力;20000~40000MW3%或电网内的最大单机出力;10000~20000MW4%或电网内的最大单机出力;10000MW以下5%或电网内的最大单机出力。
3.切机、切负荷、振荡解列、低频低压解列等安全自动装置非计划停运时间超过72小时,导致电网安全水平降低;
4.220kV及以上线路、母线、变压器主保护非计划停运,导致主保护非计划单套运行时间超过36小时;
5.地(市)级及以上调度机构调度自动化系统失灵超过30分钟、调度通信系统通信中断超过1小时;
6.通信电路非计划停运,造成远方跳闸保护、远方切机(切负荷)装置由双通道改为单通道,时间超过30小时。
1电网一类障碍
2
3未构成特、重大电网事故,符合下列条件之一者,定为B类一般电网事故。(一)110kV及以上电网失去稳定。(二)省间500kV及以上电网非正常解列。(三)110kV及以上电网非正常解列成三片及以上。(四)发生下列情况之一的:B类一般电网1.220kV及以上母线、联络线运行的线路、变压器事故的主保护非计划停运,造成无主保护运行;2.电网输电断面超稳定限额运行时间超过1小时;3.切机、切负荷、振荡解列、低频低压解列、安稳装置等安全自动装置非计划停运时间超过168小时,导致电网安全水平降低;4.地(市)级及以上调度机构调度自动化系统失灵超过1小时、调度通信系统通信中断超过2小时。未构成特、重大电网事故,符合下列条件之一者,定为A类一般电网事故。(一)110kV以上省级电网或者区域电网非正常解列,并造成全网减供负荷达到下列数值之一的:1.电网负荷为20000MW以上的,减供负荷4%;2.电网负荷为10000MW以上不满20000MW的,减供负荷5%或者800MW;3.电网负荷为5000MW以上不满10000MW的,减供负荷8%或者500MW;4.电网负荷为1000MW以上不满5000MW的,减供负荷10%或者400MW;5.电网负荷为不满1000MW的,减供负荷20%或者100MW。A类一般电网(二)变电所220kV以上任一电压等级母线全停事故的。
(三)电网电能质量降低,造成下列情形之一的:
1.装机容量3000MW以上的电网,频率偏差超出
50±0.2Hz,且延续时间30分钟以上;或者频率偏差
超出50±0.5Hz,且延续时间15分钟以上。
2.装机容量不满3000MW的电网,频率偏差超出
50±0.5Hz,且延续时间30分钟以上;或者频率偏差
超出50±1Hz,且延续时间15分钟以上。
3.电压监视控制点电压偏差超出电力调度规定
的电压曲线值±5%,且延续时间超过2小时;或者电
压偏差超出电力调度规定的电压曲线值±10%,且延续
时间超过1小时。
28
电网发生有下列情形之一的大面积停电,为重大电网
事故。
(一)省、自治区电网或者区域电网减供负荷达
到下列数值之一的:
1.电网负荷为20000MW以上的,减供负荷8%;
2.电网负荷为10000MW以上不满20000MW的,减
供负荷10%或者1600MW;
3.电网负荷为5000MW以上不满10000MW的,减供
负荷15%或者1000MW;
4.电网负荷为1000MW以上不满5000MW的,减供
负荷20%或者750MW;
5.电网负荷为不满1000MW的,减供负荷40%或者
200MW。
(二)直辖市减供负荷20%以上的;
(三)省和自治区人民政府所在地城市以及其他
大城市减供负荷40%以上的;
(四)中等城市减供负荷60%以上的;
(五)小城市减供负荷80%以上的。
电网发生有下列情形之一的大面积停电,为特大电网
事故。
(一)省、自治区电网或者区域电网减供负荷达
到下列数值之一的:
1.电网负荷为20000MW以上的,减供负荷20%;
2.电网负荷为10000MW以上不满20000MW的,减
供负荷30%或者4000MW;
3.电网负荷为5000MW以上不满10000MW的,减供
负荷40%或者3000MW;
4.电网负荷为1000MW以上不满5000MW的,减供
负荷50%或者2000MW。
(二)直辖市减供负荷50%以上的;
(三)省和自治区人民政府所在地城市以及其他
大城市减供负荷80%以上的。4重大电网事故5特大电网事故
注:电网安全事故标准参照《电力生产事故调查暂行规定[电监会令第4号]》制定。
29