咨询电话
151 0105 1188
151 0105 1188
前言概要:1.政策依据+上级单位/主要领导要求;2.提炼总结战略发展、管理提升方面的需求,特制定本方案。
一、项目背景
1.公司基础信息
2.公司发展简历史
3.公司主责主业概要
4.全资、控制子企业基本情况及集团管控策略介绍
5.组织结构及部门职责分工
6.经营状况、管理水平(含制度建设)情况概述
7.公司内部其他有助于项目需求理解的信息
二、公司风控现状
1.历次风控体系建设情况总结,含启、承关系、整体思路、基本方法、重要成果及成效等内容。
2.风控相关专项制度执行与执行情况
3.历次重大风险事件(含诉讼案件和非诉经营风险事项)处置安排及成果
4.公司内部其他风控公司方面的信息
三、风控体系建设思路
以中国特色现代企业理论为指导,围绕XX战略发展目标,根据公司XX现状和XX管控需要,结合国资国企XX专项工作和各级公司“十X五”规划,按照“统一领导、分级管理”“业务谁主管、风险谁负责”的原则,借鉴《中央企业全面风险管理指引》《内部控制基本规范》及配套指引、《中央企业合规管理办法》,以及聂外部最佳实践案例,进一步完善风险管理组织架构以及风险管理三道防线(三线)的职能职责,建立以风险为导向、以内控为手段、以合规为基础的风控合规体系,实现“强内控、防风险、促合规”一体化、集约化管理目标,形成严格、规范、全面、有效嵌入业务流程的工作机制。
四、风控体系建设目标
(一)总体目标
1.合规经营。有效执行内外部合规要求。
2.资产安全。建立危机处理计划,防止资产流失或遭受重大损失。
3.信息沟通。有效沟通经营管理相关的内外部信息,财务报告及相关信息真实完整。
4.运行效率。降低不确定性对经营目标的影响,提高经营效率与效果。
5.战略支撑。将风险控制在总体目标相适应并可承受范围内,为公司战略目标实现提供合理保障。
(二)基础目标
1.全面贯彻集团管控要求,规范履行国有资本出资人职责,守住国有资本不流失的底线,不断强化国有资本保值增值能力。
2.积极维护独立法人地位,完善各级法人主体治理机制,确保授权放权机制有效运行,不断提高各级公司抗风险能力。
(三)阶段目标
第一阶段。界面清晰、流程完整、制度健全、运行有效
按照确定目标、梳理业务、测试流程、提出整改建议、实施整改的步骤,建立全面风险管理体系及评价标准,形成“评建结合”“以评促建”的风控能力动态提升机制。
第二阶段。治理规范、量化评估、及时预警、持续提升
运行全面风险管理体系,落实合规审核和风险评估职责,完善风险评估量化体系,建立风险预警体系。
第三阶段。流程规范、系统支持、数据完整、适时监测
按照管理制度化、制度流程化、流程信息化的内控理念,将合规审核、风险评估等关键控制点嵌入业务信息化流程,实现业务风险全过程监控、风险预警及相应适时跟踪。
五、风控体系总体框架
(一)实施范围“1+X”
公司本部牵头建立日常经营风控合规体系,分XX、XX板块各X家公司,完善全面风险管理体系。
(二)内容框架“123456”
一个目标:守住不发生重大风险的底线;
两大抓手:合规审查、风险评估;
三道防线:一线主战、二线主建、三线总监;
四级责任:董事会主体责任、经理层领导责任、归口部门监督责任、责任主体直接责任;
五类工作:规章制度建设、风险信息沟通、风险事项应对、风控体系监督检查、风险责任考核评价;
六项成果:风险分级分类清单、风险评估工具表单、内部控制矩阵、内控缺陷认定标准、合规义务清单、风险预警标准与信息化流程。
六、风控体系过程方法
(一)项目开展依据
1.国资监管要求相关文件
《中央企业全面风险管理指引》
《内部控制基本规范》及配套指引
《中央企业合规管理办法》
《关于加强中央企业内部控制体系建设与监督工作的实施意见》
《关于进一步推动构建国资监管大格局有关工作的通知》
《中央企业重大经营风险事件报告工作规则》
《XX国有企业违规经营投资责任追究办法》
……
2.金融监管要求相关文件(金融类企业适用)
……
3.集团公司管控要求文件
……
(二)要素框架及主要文件
1.公司环境确认
(1)公司章程
(2)十X五战略规划
(3)人力资源专项规划
(4)三重一大制度
(5)三会议事规则
(6)公司领导职责分工
(7)部门设置及职责分工
(8)岗位职责及说明书
(9)规章制度体系
(10)信息化流程等
……
2.风险评估活动确认
(1)集团管控
(2)公司治理
(3)战略规划及专项规划
(4)知识产权管理
(5)购产销存管理
(6)资金资产管理
(7)投融资管理
(8)人力资源管理
(9)计划预算管理
(10)合同管理
(11)风控合规管理
(12)信息及信息系统管理
(13)审计监察等监督管理
……
3.控制措施梳理及改进建议
(1)制度设计的有效性
一是覆盖日常经营管理活动的完整性
二是制度之间的协调性
三是与流程体系的互补性
四是与公司文化和发展阶段的匹配性
五是规章制度生命周期管理的规范性
(2)制度执行的有效性
一是职责分工的合理性
二是流程支撑的可靠性
三是数据信息的真实性
四是考核评价的公平性
4.信息沟通机制梳理及改进建议
(1)母子公司授权与监督机制
(2)公司治理机构设置及运行机制
(3)法定代表人授权体系
(4)不相容职责分离
(5)关键控制点控制措施
(6)控制责任报告与监督机制
(7)信息沟通与风险应对机制
(三)方法步骤及工作量
1.方法步骤
一是审阅规章制度及规范性文件
围绕公司战略目标,搜集并整理反映公司经营管理现状相关的中长期战略规划、公司文化、治理机构设计与运行、管控机制设计与运行、组织机构设计与运行、人力资源规划与实施、社会责任与履行等规章制度与文件,作为验证或评估公司管理水平的支撑材料。
二是访谈管理层风控理解和管理诉求
依据职责分工,结合战略目标分解,对公司领导和部门领导逐一面谈,搜集各级领导对公司战略定位、文化理念、产业布局、管理提升等方面的理解、评价、期望、建议,整理形成问题清单,指导业务梳理与流程测试。
三是梳理关键业务流程并测试
参考外部指引文件和实践案例,结合战略目标和问题清单,梳理重点业务范围及支撑流程清单,采用穿性测试、现场观察、关键操作人员访谈等方法核实流程的有效行,形成流程清单和内控缺陷清单,指导内控提升。
四是提出整改建议并整改固化
界定缺陷类型和等级,明确整改责任部门和责任人,设定整改时限和成果质量,监督和辅导相关责任人整改缺陷并形成规范有效的控制措施,为内部控制手册制定奠定基础。
五是撰写风控文件并沟通确认
以内控矩阵为核心,按照目标点、风险点、控制点相对应的逻辑,撰写风控体系文件初稿,组织专项沟通与改进活动,形成最终风控成果,以备项目验收与结项。
六是发布风控成果并组织培训
以正式文件发布风控体系成果,并组织专题培训,以便全员理解和支持风控体系落地。
七是实施风控文件并开展评价
建立定期和不定期风控体系评价机制。如重大经营决策事项风险评估机制和重大风险事项管理机制等日常不定期风控体系运行评价机制,以及年度风控专项评价、审计、检查等定期评价机制,持续改进风控措施、固化风控实践成果。
2.工作量测算
(1)项目立项(预计耗时X周)
立项文件拟定,X个工作日
立项文件审定,X个工作日
(2)中介选聘(预计耗时X周)
招标文件准备,X个工作日
招标公告,X个工作日
评标,1个工作日*评标委员会人数,约为X个工作日。
评标结果公示,X个工作日。
中标通知及合同签订,X个工作日。
(3)项目启动培训(预计耗X时周)
预计X人*2小时,约为X个工作日。
(4)资料收集与整理(预计耗时X周)
预计X条业务线*2个工作日,共X个工作日。
(5)领导访谈(预计耗时X周)
二对一访谈,3*X*1.5=X个工作日。
(6)流程测试(预计耗时X周)
预计X条业务线*4个工作日,共X个工作日。
(7)缺陷整改(预计耗时X周)
预计每条业务线X个缺陷,每个缺陷整改需要X个工作日,X*X*X=X个工作日(含缺陷沟通和整改方法培训)。
(8)风控文件撰写(预计耗时X周)
预计X条业务线*2个工作日,共X个工作日
(9)风控文件审定(预计耗时X周)
风控文件最终沟通X周,X个工作日
风控文件上会审定X周,X个工作日
(10)项目结项与培训(预计耗时X周)
预计X人*2小时,约为X个工作日。
项目总进度预计X周(X-X个月),总工时保守估计X个工作日(相当于每个公司X个人专职工作X个月)。
七、风控体系成果形式
(一)核心成果(一图两表两报告)
1.流程图
每项业务流程至少包括风险点、控制点、合规责任点等信息。
风险点:完全可控、部分可控、不可控
控制点:关键控制、一般控制
责任点:强制责任、自愿责任。
2.大合规综合评价检查表
每项流程设置若干检查点、并明确刚性程度和红线底线。
3.决策事项审批权限表
一是三会权利清单;
二是法定代表人授权清单
4.风险事项报告
一是重大风险事件报告。包括初报、续报、终报三大过程。
二是重大内控缺陷报告。包括发现、认定、整改三大过程。
5.年度体系报告
一是上一年度总结。包括体系建设与执行、监督评价等;
二是下一年度计划。包括制度建设、重大风险评估与检测、监督评价工作计划、信息化等。
(二)文本形式(一制度一手册)
1.梳理既有成果
(1)集团管控框架;
(2)三会权责清单;
(3)法定代表人授权清单。
2.制定或修订风控合规专项制度
正文包括目标、原则、组织结构及职责分工、流程程序及执行标准、考核方式及成果应用等内容。附件包括风险清单、内控缺陷认定标准、风险评估与报告表单、风险预警指标、风控体系评价表单等文件。
3.制定或修订《内控合规手册》
包括前言、目录以及分业务的目标、流程、不相容职责、适用范围、内部控制矩阵及合规目录等要素。(矩阵参考文末附图)
4.其他辅助文件
(1)项目重要沟通记录或底稿资料;
(2)培训材料及参考文献;
(3)其他专项参考意见或建议。
八、风控体系建设组织保障
(一)治理机构职责
1.董事会:负责履行“定战略、做决策、防风险”职责,决定风控合规体系,制定基本管理制度,确定公司公司风险偏好和风险承受度,审批批准年度风控报告、重大风险管理解决方案、风控体系评价报告。
2.党委会:负责履行“把方向、管大局、促落实”职责,领导推进风控合规体系建设主体责任落实,定期听取风控合规工作专题汇报。
3.经理层:负责履行“谋经营、抓落实、强管理”职责,成立专项领导小组,承担风控合规组织领导和统筹协调工作,指导体系建立、完善和运行,协调过程中的重大问题。总经理全面主持日常经营管理工作,组织制定体系建设方案,拟定基本规章制度,制定具体管理制度。
(二)专项领导小组
组 长:董事长
副组长:本级总经理、下属公司董事长或总经理
成 员:本级副总经理、下属公司风控合规分管领导
职 责:贯彻落实董事会、党委会关于风控体系建设相关的决定、指示;统筹风控体系建设相关的规划、计划、制度、报告等工作;协调风控体系建设与运行的重大事项,指导监督风控体系评价工作的开展。
项目结项后,由风控专项制度固化专项领导小组组成方式及职责范围。各级法人主体建立健全风控合规专项领导小组,专项领导小组下设办公室,由风控合规归口管理部门负责履行职责。
(三)项目工作小组(含中介)
组 长:分管领导
副组长:牵头部门负责人、中介机构项目负责人
成 员:风控专职人员、中介项目团队成员、本部其他部门风控兼职人员、下属公司风控工作联络人。
职 责:接受专项领导小组领导,按照本方案分工落实责任,结合项目进展需要支持内部协同,对风控体系建设提供改进建议或意见,牵头或指导内控缺陷整改,带头宣传风控体系成果。
项目结项后,解散项目工作小组,同时以该小组成员为基础建立日常风控工作联系名单,推动日常风控工作开展。
(四)项目验收小组
组成:项目工作小组成员(除中介机构项目团队成员外)
职责:审核中介机构提供的项目成果,提出成果落地的具体建议或意见。
(五)落地评价小组
审计部门牵头按照风控专项审计纳入年度内审计划。
九、风控体系建设计划及分工
(一)项目立项(20XX年XX月底)
XXX部牵头,本部各部门、各下属公司配合,形成《公司风控体系项目工作方案》并提请决策会议审议通过。
(二)中介选聘(20XX年XX月底)
中介选聘作为本方案的子项目,本方案立项及中介选聘立项。
XX部牵头,本部各部门配合,规范履行招标采购程序,确定中介机构并签订服务合同。
(三)项目实施(20XX年XX月底)
以与中介机构商定的项目进度表为基础,风控法务部协调中介推进项目实施,各部门各下属公司根据进度安排做好配合协同工作,包括但不限于提供资料、参与访谈和培训、落实整改责任、提出体系改进建议等具体工作,配合和督促中介机构按时保质保量提交项目成果。
(四)成果验收(20XX年XX月底)
风控法务部牵头项目验收组按照服务合同约定验收项目成果,出具验收意见,并提交决策会议审议通过后发布。
(五)落地评价(20XX年XX月底)
审计监察部牵头,开展风控体系落地专项审计并出具报告。
十、需讨论的几个问题
(一)体系建设的深度问题
一是通用体系与管控需要。如何界定集团管控边界,以及如何选择或设计适用不同主体的统一内控流程,避免内控不足。如,履行出资人职责的最低内控要求、增强内部战略协同的沟通机制、提升管理水平的关键措施等;
二是特殊体系与监管机制。如何维护各市场主体独立法人地位,如何促进激发经营活力,避免内控过度。如,自有业务的决策权限、具体业务项目的过程报告、不同条线的重复检查等。
三是体系基础与提升空间。如何保障体系建设覆盖全面、重点突出,如何保障体系运行沟通顺畅、规范有效,避免两张皮。如,内控措施设计合理但执行不到位、风险责任明确但监测机制不健全、违规责任明确但追责程序或标准模糊等。
(二)中介机构选聘与费用问题
一是中介资质资格要求。律师事务所、会计事务所以及其他咨询机构或团队都能提供风控体系服务,国内所、国际所都有参与国企项目经验,如何确定需求并匹配相应机构条件。
二是中介应用与报告的路径。项目开展既需要依靠中介服务团推专业能力,也需要内部员工特别是管理层管理智慧,如何建立沟通机制保障充分发挥各方的优势。
三是中介统一选聘与费用分担。涉及集团化管控的内容,统一招标是最佳选择。费用是平均分担还是采用其他分担方式。
(三)组织保障的沟通机制问题
一是专项领导小组成为常设领导机制的必要性。大型国企体系建设成立专项领导小组是一种惯例,是否可以采用扁平化沟通模式,是否有必要参考大型国企建立专项领导小组。
二是日常业务沟通与风险信息专项沟通的协同。通常以日常业务沟通为主,以风险信息专线沟通为辅;但在例行管理流程不成熟的情况下,或实施管理变革的过程中,旺旺以风险沟通为主促进管理流程规范;是否有必要建立风险信息专项沟通机制,以及如必要又如何建设。
附件:1.业务分工表
2.项目进度表
3.中介评价表
4.项目验收表
