国有企业风险框架和风控数据库指导手册

风险框架和风控数据库指导手册

**

一、风险框架和风控数据库编制目的

科技集团有限公司（以下简称或“集团公司”）于2008年开始

启动全面风险管理体系建设工作，建立了初步的风险管理工作机制。

集团公司已连续4年定期开展风险评估工作，制定了集团公司的风

险框架以及风控数据库，为集团公司防范和化解风险起到积极的作用,

奠定了风险管理的基础。

随着风险管理工作的深入以及内外部环境的变化，需要构建一套以风

险为导向的，由全面风险管理及评估体系、内控构建、评价以及优化

体系共同适用的统一的风险框架和风控数据库，即为后续推进全集团

风险评估、风险监控、风险应对以及内部控制评价工作的开展奠定基

础，同时也能确保集团公司全面风险管理工作自上而下的统一。

二、风险框架和风控数据库编制依据

1、《中央企业全面风险管理指引》

2006年6月，国务院国资委发布了《中央企业全面风险管理指引》，

要求中央企业要确立风险管理目标，开展风险识别和评估，将风险管

理的各项要求融入企业管理和业务流程中，尽快建立和完善全面风险

管理体系。

2、《企业内部控制基本规范》及其配套指引

2008年6月，财政部等五部委发布了《企业内部控制基本规范》，

2010年4月，财政部等五部委联合颁布了《企业内部控制配套指引》,

要求中央企业建立以风险管理为导向的内部控制体系。

3、《关于加快构建中央企业内部控制体系有关事项的通知》

2012年国资委发布《关于加快构建中央企业内部控制体系有关事项

的通知》，要求中央企业以风险管理为导向，全面梳理各类各项业

务流程，为推动中央企业扎实开展管理提升活动夯实基础。

4、«2013年度中央企业全面风险管理报告（模本）》

根据《2013年度中央企业全面风险管理报告（模本）》中关于企业风

险的分类列示，编制集团风控数据库主要框架。

5、科技集团有限公司的相关管理规定

集团2013年3月19日全面风险管理工作小组第一次会议精神和

2013年4月25日召开的第二届十八次董事会审议通过的《科技集

团有限公司2013年度全面风险管理报告》中述及的“调整集团公司

风险分类框架，……逐步充实完善风险事件库”有关内容，开展调整

集团公司风险分类框架、风险与内控数据库整合优化的专项工作能够

有效提升集团风险管理水平。

三、风险框架和风控数据库编制方法

1、风险框架和数据库编制思路与方法

本次风险框架和风控数据库整合的总体思路以目标-风险-控制为主线,

按照集团公司管理层期望达到的经营目标为基础，识别出实现经营目

标所潜在的风险，通过经营管理过程中业务控制手段降低或规避风险

的发生，最终实现整体风险防控和管理提升的目标。

在集团公司现有的风险框架以及风控数据库的基础上，根据五部委

《企业内部控制基本规范》及其配套指引、国务院国资委《中央企业

全面风险管理指引》的主要内容和要求，结合《2013年度中央企业

全面风险管理报告（模本）》中关于企业风险的分类列示，通过对比

审计部风控数据库与财务部风控数据库内容，从横向风险分解、纵向

风险衔接的角度寻找差异，并将对比结果作为后续风险框架和风控数

据库整合基础输入信息。

结合风险框架和风控数据库对比信息，确定风险框架和风控数据库中

三级风险分类标准、定义三级风险名称、统一风险描述语言以及界定

不同级别风险之间关系。

收集、整理集团公司已发生的风险事件以及固有风险事件，按照统一

的风险描述语言编写后与三级风险对接，最终实现对集团公司的风险

框架和风控数据库的整体优化。

2、风险框架和风控数据库编制原则

本风险框架和风控数据库参考了国资委关于企业风险的分类列示，结

合了集团公司自身管理和业务特点，全面反映了集团公司面临的内外

部风险，编制过程中体现了以下原则：

全面性：依据国资委关于企业风险的分类列示，从战略、市场、财务、

法律和运营五个维度梳理并细化集团公司的二级、三级风险，优化后

的风险框架可涵盖国资委关于企业风险分类的全部内容。

适用性：风险框架按照集团公司的生产经营特点进行优化，反应集团

公司及二级单位管理（业务）领域的主要风险，如在三级风险中包括

科研项目管理风险、技术服务项目管理风险、代理业务风险、生产管

理风险、编辑出版风险等特有的业务领域风险。

实用性：风险框架中的二、三级风险包含集团公司以及二级单位所有

管理（业务）领域，满足各经营层级都能在风险框架中找到对应的风

险。如国贸能够在风险框架中找到与其对应的“代理业务风险”，纳

克能够在风险框架中找到与其对应的“生产管理风险”。

融合性：风险框架为内控与风险管理融合工作奠定基础，风险四级

分类的颗粒度使得内控业务流程和控制措施与风险实现对接，真正

实现以风险管理为导向的内控体系建设，确保风险管理工作有效落

地。

四、风险框架和风控数据库结构

1、风险框架部分

风险框架部分主要包括：风险编号、风险分类、风险名称、风险描述

及适用层级。

中国钢研科技集团有限公司风险框架

风险编号风险分类风险名称风险描述适用层级

企业在财费政策、财费运作、财务管理

等各项财务活动中，由于各种难以预料

HOR2一级财务风险和不恰当控制因素的作用，可能导致企

北实际收益与目标收益发生背离，进而

造成企“经济损失。

企业在资金使用过程中，由于现金、银

行账户、票据、报消、奥金收支等环节

集团公司、基层单

HOR2.01二级资金运营风险存在管理不当，可能界致企业资金使用

位

混乱，进而降低资金运作效益，引发企业

费金周转不畅。

企业现金使用、库存现金限额管理、现

金盘点和油查、保险柜防护等管理不集团公司、基层单

HOR2.01.01三级现金管理风险

与，可能导致现金被挪用、占用、抽逃位

欺诈以及盗窃，进而造成经济损失。

现金管理制度不健全，导致现金管理工集团公司、基层单

HOR2.01.01.01四级现金管理制度风险

作缺乏制度指导。位

现金管理未完善不相容卤位相互分离原

集团公司、基层单

HOR2.01.01.02四级现金保管风险贝4,导致现金管理工作缺乏制约和监督

位

O

现金使用未经适当授权或授权不明确，集团公司、基层单

HOR2.01.01.03四级现金使用风险

导致资金被挪用，违规占用亮金。位

未及时对现金进行盘点，导致账实不集团公司、基层单

HOR2.01.01.04四级现金盘点风险

符，财务信息失真。位

现金实物资产未妥善保管，导致现金失集团公基层单

HOR2.01.01.05四级现金安全风险、C34士、Z-Ur^-t'**.—XX人

具体描述如下：

风险分类：分为一级风险、二级风险、三级风险及四级风险。

①一级风险根据国资委要求命名，主要以影响企业经营目标实现来

划分，为战略风险、财务风险、市场风险、运营风险和法律风险五

大类。

②二级风险根据风险所在管理（业务）领域命名，主要以管理（业务）

领域来划分，例如项目投资管理风险、全面预算管理风险。（包括61

个二级风险）

③三级风险根据管理（业务）领域中的风险源命名，主要以管理（业

务）领域中风险源来划分，以二级战略规划风险为例，三级风险为战

略规划制定风险、战略规划实施风险以及战略规划调整风险。（包括

310个三级风险）

④四级风险根据流程关键控制命名，主要以风险对应的流程走向来划

分，以三级战略规划实施风险为例，四级风险分为战略规划宣贯风险、

战略规划分解风险以及战略规划执行风险。（目前包括623个四级风

险）

风险编号：一级风险编号，例如HORI、HOR2…；二级风险编号，

例如HORl.Ol,HOR1.02---;三级风险编号，例如HOR1.01.01,

HOR1.01.02---;四级风险编号，例如HOR1.01.01.01,HOR1.01.01.02---

风险描述：对风险发生的各种成因及其表现分类描述，例如：战略规

划制定风险可描述为企业战略规划制定不符合发展定位，可能导致企

业盲目发展，难以形成竞争优势，丧失发展机遇和动力。

适用层级：界定风险适用的范围和层级，确保风险归属清晰。例如：

集团公司、基层单位、集团公司与基层单位。

2、风险应对及控制措施部分

风险应对及控制措施部分将三级风险及风险事件与对应的控制目标、

控制措施等进行了对接。内容主要包括：风险管理策略、控制目标、

内部控制业务流程、内部控制措施、其他管理措施及管理制度等内容。

三绿凤粉三驾险名尸髓件I风吃事件霸述内部控含务藻

风险管理箫照控制目标内部控制恰0其他控制指他宜理制度

编Z

故蹄友良卿推友展目标制

企北应与根据发展目定战昭奴划。捌§规M啦当

标制定战略奴划。战明确发展GWi枝-It和发展程

略期划应与明确发展确定为个发耐用的同

欣酪期翔制I?-

的阶段性和发展程战略坦划制定流程体目标、工作任分秘眼跻

H0R105.01定风睑占嫡规划的W定球少充足的

李实依据与调研分析，专业度，确定每个发展阶绥。集团公司啦圈发展郃

人员没有整与到方案论证过段的具体目标、工作负责亲工如织侬单位麻J«中圜阳R科技集团

MDR1.05.01.风险控制公司有限公司占嬲规

程中，导致咽形式化、不任费和实施路径。相应的干堀故圈发展部

02.01划窗野,法》

具备前虺性与指导性，难以企丑的发展战略方案统筹、汇总后砌略委员会

落地。应及堇事会审议通汇报'讨论，并进行修订。

过，重点关注茸全局但订完毕后报故略委员会讨

性、长期性和可行性论，故略委员提出具体的修

改意见。姻发展部修改相

应故略后报Si事会审议。

企比未建立具有胜任融的止11也31±生中=I-董事会是集团公司雌的此

谡立战蹄委员会，或

H0R1.05.01.占嫡管理班能机佝履行战略准机构。董事会下设崛

风险控制指定相关机构负责发

03.01发展职魂，与致晒管理取委员会，主要负责了解国内

展能骼管拽工作，欣

能缺乏组织领导。外经济发展形势、行业发展

行相应职夷。企让应

故照管理机触走和议事规趋势、国家和行业的政策导—《中国谕宿技第团

MDR1.05.01.当明徐故略委员会的

贝杯腌.导致晒:夬策程风险控制向，定期分析并判断集团公

B职责和议事期则，对有限公司董事会M®

04.01序不科竽。向发展趋势；负责评估集团委员会议事规则》

战略委员会会议的召

公司故略枕戈的旅订、执行

故圜管理机构组织氐员选任开程序、表决方式、0

XDR1.05.01.制度碰和规范，导致胡原程；为堇事会被公司发

风除控制提案审议、保密费未展目标和发展方针提供建

0S.01略管理决策成员岗位胜任能和会议记录等作出奴

力不足。议；审查公司中卡期发展战

企北应与重视发展故技施坂痈就定后,蛔公前

略的宣传工作，通过

企业未通过各种适当渠道和遢过文件、会议和悟UI容多

内部各层级会议够种方式在集团公司内现行宣

方式，榭蟠规划传涕至各《中国渊丽技甄）

育培训等有效方式，贵，传达至簸团公司内部谷

XDR1.05.02.层缭员工，可能导致崛规风险控制有限公司董事会故陶

mmE4B.

具体描述如下:

风险管理策略：根据三级或四级风险的偏好和风险承受度对风险采取

的管理策略，包括风险承担、风险控制、风险规避、风险转移、风险

对冲等。

风险承担：企业以其内部的资源来弥补损失；

风险控制：企业采取各种措施和方法，消灭或减少风险事件发生的各

种可能性，或者减少风险事件发生时造成的损失；

风险规避：企业通过计划的变更来消除风险或风险发生的条件，保护

目标免受风险的影响；

风险转移：企业通过合同或非合同的方式，将风险转移给别人承担；

风险对冲：企业通过投资或购买与标的资产收益波动负相关的某种资

产或衍生产品，来冲销标的资产潜在的风险损失；

控制目标：结合财政部《企业内部控制指引》和集团公司《内控手册》

中要求，细分内控目标，并逐一与采用风险控制策略的三级或四级风

险对应，确保风险与控制目标的有效对接。内部控制业务流程：结合

集团公司《内控手册》和集团办公厅梳理的业务流程，与对应的三级

或四级风险对接，确保内控业务流程与风险对应。

内部控制措施：三级或四级风险实施的具体内部控制措施。

其它管理措施：三级或四级风险采用的除内部控制措施以外的其它风

险管理手段。

管理制度：三级或四级风险管理所对应的集团公司现行的管理制度。

五、风险框架和风控数据库特点

1、定义风险规则，促进风险管理工作标准化和规范化

通过对风险规则定义、完善风险框架和风控数据库的功能，为集团公

司在风险识别和描述工作中提供统一、系统的方法，避免在风险概念、

定位和内容等诸多方面说法和认识不统一的问题，有效地促进风险管

理标准化和规范化，从而提升风险管理工作的效率和效果。

2、完善风险框架，构建风险管理体系基础

优化后风险框架在原有风险框架二级风险分类的基础上补充和细化

了三级风险310个和四级风险623个，同时完善具有管控模式和业

务特点的风险内容，形成了完整和细化的风控数据库，一方面有利于

集团公司以及二级单位统一使用，另一方面统一和增强集团公司以及

二级单位对风险的认识。完整的风险框架为后续风险评估、风险监控

和风险应对等具体风险管控工作的开展奠定坚实的基础。

3、梳理风险应对，促进风险管理工作的落地

优化后的风控数据库针对所有三级和四级风险都梳理了风险管理策

略、风险管理主责部门、风险管控措施和相关的管理制度，从而明确

风险责任的归属、风险管控的业务流程和具体管控措施以及相关的管

理制度，以上风险管理要素的健全有效地促进了风险管理工作的落地

和管控效果的提升。

4、实现风险与内控对接，促进二者融合

根据“目标-风险-控制”的理念和方法论以及集团公司构建以风险为

导向的内控建设体系的指导思想，优化后的风控数据库将内控风控数

据库、业务流程梳理以及内控管理措施有效整合融入风控数据库，避

免风险管理与内部控制形成“两张皮”，同时风控数据库作为风险管

理和内控体系建设与评价的基础，在合理识别目标风险后能够科学的

指导内控体系建设和评价工作，从而提升风险管理与内控工作的工作

效率。

5、有效识别风险管控薄弱环节，为后续风险管理和内控工作提升提

供依据

优化后的风控数据库有效地梳理风险目标、内控措施，并在完成风险

与内控对接后，内部控制缺失和薄弱的部分将清晰体现出来，从而为

后续集团内控和风险管理工作的完善和提升提供了依据。

六、风险框架和风控数据库使用

1、风险框架和风控数据库的适用范围本风险框架和风控数据库适用

于集团公司及所属基层单位。

2、风险框架和风控数据库的使用

风险框架和风控数据库可供在如下工作内容中参考并使用，包括但不

限于：

(1)风险评估：集团公司及所属二级单位可根据风险框架和

风控数据库开展风险评估工作，可根据风险框架和风控数据库

中对应风险的分管层级及适用范围，针对风险框架和数据库中

不同层级的风险进行评分，识别出集团公司及所属二级单位的

重大及重要风险，针对识别出的重大及重要风险管控的薄弱环

节制定和完善相应的管控措施。

(2)风险预警：集团公司及所属二级单位可根据风险评估工

作识别出的重大及重要风险，设定相应的风险预警指标，结合

风险预警指标制定相应的应对措施及预案，以便最大程度的降

低和预防重大及重要风险的发生。

(3)内控及管理体系优化：集团及所属二级单位可根据风险

框架和风控数据库中风险应对措施出现空白或较为薄弱的部

分完善现有内部控制体系、制度体系及其他管理措施，以不断

优化和完善整体风险防控体系。

(4)内控评价：集团公司及所属二级单位可根据风险框架和

风控数据库开展内控评价工作。集团公司及所属二级单位可将

风控数据库中的风险事件作为内控评价的依据，在内控评价后

续整改过程中，集团公司及所属二级单位也应充分利用风险框

架和风控数据库中的风险作为补充和完善内控措施的基础。

(5)专项检查：集团公司及所属二级单位可根据风险框架和

风控数据库进行专项检查工作(如质量检查、安全检查、内部

审计等)，以风险框架和风控数据库中的风险作为专项检查的

依据，同时不断完善专业领域的风险点及管控措施。

(6)日常监督：集团公司及所属二级单位可根据风险框架和

风控数据库进行日常业务的检查，识别日常管理过程中的风险

点及管控较为薄弱的环节，逐步完善日常管理工作，提升工作

效率。

七、风险框架和风控数据库的管理和维护

1、风险框架和风控数据库的管理

集团公司审计部对风险框架和风控数据库进行管理，保证其有效、完

整、统一和适用，各二级单位应指定专职管理部门负责风险数据库的

日常管理和维护。

集团公司及各二级单位人员在使用过程中发现的问题，应及时向集团

公司审计部咨询和反馈。

本风险框架和风控数据库由集团公司审计部负责牵头组织编写，全面

风险管理工作小组会议审议，全面风险管理领导小组会议审定，经董

事会批准，发布执行。

2、风险框架和风控数据库的维护风险框架和风控数据库的维护

是一项经常性、持续性、长期性的工作，风险框架和风控数据库

需根据集团公司业务发展、管控模式变化以及集团公司和二级单

位对风险变化和管控的认识等因素，持续地更新和维护风险框架

和风控数据库相关内容，因此，需要集团公司各部门及所属二级

单位高度重视，积极参与，大力配合。

集团公司及所属基层单位在风险框架和风控数据库管理中的职责详

见下表：

牯检Nlifi崖闭由;十现崖印名颠门名会字公司

周脸母如牯松1温;十RFF

—细国胎生II亢M雉珀RFF

一细151脸生II元与雉珀RFF

=如屈脸生II身马傩珀RS/FW/F

皿州周脸生II身马傩珀SR/FR/F

国蛉事社编制后傩土白qR/FR/F

注：R-主办S-协办E-执行

其中，风险框架结构设计、一级风险、二级风险及三级风险的修订、

维护等工作由集团公司审计部负责；四级风险及风险事件的修订、维

护等工作由集团各部门及所属二级单位相关责任部门负责，集团公司

审计部协助处理。

集团公司各部门及二级单位相关责任部门应根据相关法律法规的规

定、公司业务发展、组织架构调整、管控模式变化以及各部门反馈的

意见及建议等，每年对风控数据库进行修订，上报集团公司审计部汇

总，经董事会批准发布执行。

集团公司审计部应及时掌握风险框架和风控数据库的使用情况，采取

有效措施确保风险框架和风控数据库的实用性。

（五）风险框架

科技集团有限公司风险框架

风险分

风险编号风险名称风险描述适用层级

类

1I0R1一级战略风险企业在可持续经营发展过程中由于集团公司基层单

战略性活动制定与执行、监控与调位

整等关键环节出现不恰当的管控，

可能导致战略性活动失败，进而造

成经济上的损失。

H0R1.01:级宏观经济风险企业未能及时识别和合理应对国内集团公司基层单

外宏观经济形势和市场经济环境等位

因素变化，可能导致企业在未来的

经营发展中处于不利地位，进而影

响企业在特定商业环境下保持或提

高收入和收益率的能力。

H0R1.01.01三级国际经济形势风险企业未能合理预测国际经济形势的集团公司基层单

走向，可能导致依赖国际经济的相位

关业务经营困难，进而影响企业整

体运营。

H0R1.01.02三级国内经济变化风险企业未能适时地监测并跟踪国家宏集团公司基层单

观经济、市场经济周期变化情况，位

可能导致企业不能合理有效对其进

行分析和应对，进而造成企业在未

来的经营发展中处于不利地位。

H0R1.01.03三级行业经济发展风险企业未能有效应对所在行业经济发集团公司基层单

展带来的不利影响，可能导致企业位

经营发生萎缩，进而造成利润下降。

H0R1.02二级国家政策风险企业未能识别和应对国家监管政集团公司基层单

策、法律法规的变动，可能导致企位

业经营受到不利影响，进而造成业

务发展受限或经营利润降低。

H0R1.02.01三级国家政策变化风险企业未能科学适应国家宏观经济政集团公司基层单

策、国家标准、行业标准等变化，位

可能导致企业经营出现不利变化，

进而影响企业的发展。

风险

风险编号风险名称风险描述适用层级

分类

HORI.02.02三级产业政策调控风险企业未有效识别国家产业政策变动集团公司基层

对行业带来的潜在损失或未及时捕单位

捉到产业政策调整所带来的商机，

可能导致企业承受经济损失或错失

商机，进而影响企业利润和持续发

展，

HORI.03:级产业结构风险企业缺乏明确的产业发展方向、合集团公司基层

理的产业布局以及各产业间的资源单位

配置和业务协同，可能导致企业持

续稳步发展遇到阻力，进而削弱企

业竞争力。

HORI.03.01三级产业结构设置风险企业产业布局不合理，结构单一或集团公司基层

过于分散，内部同业竞争或各产业单位

间未能形成较好的业务协同效应，

可能导致企业资源分散，抵御外部

影响的能力较弱或分散有限的管理

资源，进而企业持续稳定发展。

HORI.03.02三级产业结构优化风险企业未根据国家政策导向、行业发集团公司基层

展态势、市场需求情况及时进行产单位

业结构升级，可能导致产业结构落

后，进而影响企业的长远可持续发

展。

HORI.03.03三:级产品规划风险企业未根据行业发展态势、市场需集团公司基层

求等，结合自身优势和特点做好中单位

长期产品发展规划或发展规划存在

盲目性，可能导致企业产品落后或

存在缺陷，进而影响企业核心竞争

力。

HORI.04二级公司治理风险企业内部治理结构设置、组织机构集团公司基层

划分、职责权限界定及子分公司管单位

控等环节存在管理缺陷，可能导致

经营管理混乱或内部控制失效，进

而影响企业的正常运营和持续发

展。

HORI.04.01三级治理结构风险企业治理结构（包括董事会、监事集团公司基层

会、经理层等）存在缺陷，董事会单位

机制虚置或外部监督机制缺位，可

能导致决策、监督和执行之间的分

权和制衡出现真空，进而影响企业

的正常运作。

HORI.04.01四级治理结构设置风险治理架构（如董事会、监事会、经集团公司基层

.01理层）设置不合理、职责界定不清单位

晰，导致监督与制约作用无法实现，

影响治理机构正常运行。

HORI.04.01四级治理结议事规则风险治理机构（如董事会、监事会、经集团公司基层

.02理层）议事规则不完善，导致治理单位

机构工作程序缺乏操作依据。

风险分

风险编号风险名称风险描述适用层级

类

H0R1.04.01四级治理结构决策权限风治理机构（如董事会、监事会、经集团公司基层单

.03险理层）决策审批权限不明确，影响位

治理机构科学决策。

H0R1.04.01四级治理结构人员选任风治理机构（如董事会、监事会、经集团公司基层单

.04险理层）人员选择程序、标准等不清位

晰，导致人员不符合履职要求。

H0R1.04.01四级“三重一大”决策程“三重一大”集体决策审批或联签集团公司基层单

.05序风险程序和标准不清晰，影响决策合理位

合规性。

H0R1.04.02三级组织机构风险企业内部组织层级及架构设置不合集团公司基层单

理、各层级之间的职权界定不清晰,位

或者职能部门及关键岗位设置不合

理，权责分配不明确，对重点管控

领域管控不到位，可能导致企业的

管理层和员工不能清楚理解在各种

业务活动中所承担的责任和拥有的

权限，进而影响企业有序运行。

H0R1.04.02四级组织机构设置风险内部机构设置、权责界定不明确，集团公司基层单

.01对重点管控领域管控不到位，导致位

机构重叠、职能交叉，造成工作推

诿扯皮，运行效率低下。

H0R1.04.02四级岗位设置风险内部岗位设置不科学、岗位权限分集团公司基层单

.02配不清晰，导致各部门业务无法正位

常开展，造成工作效率低下。

H0R1.04.02四级组织机构文件风险组织结构图、业务流程图、岗（职）集团公司基层单

.03位说明书和权限指引等内部管理文位

件缺失，导致员工不能了解和掌握

组织架构设计及分配情况，影响正

确履行职责。

HORI.04.02四级组织机构评估风险组织机构管理部门缺少对内部机构集团公司基层单

.04设置的动态评估，不能及时根据企位

业战略发展及运营特点进行优化调