1、以风险地图为基础构建4A级全面风险防控体系中国移动通信集团广东有限公司广州分公司内审部 中国移动广东广州分公司内审部自2006年成立以来,致力于以sox测试、专项审计、风险咨询为手段推动公司风险与内控管理水平的提升。在全业务竞争的新形势下,公司发展面临的不确定性增大。为进一步做好公司全方位的风险防空工作,在美国coso委员会全面风险管理框架下,结合广州公司风险管理实践经验,根据公司领导指示,于2009年3月份启动风险地图项目,并以风险地图为基础构件了4A级全面风险防控体系,它以风险地图为基础,以风险评价标准为尺度,以风险解决方案为方法论,以整改责任体系为保障。该体系自全面运用以来,推动了公司重
2、大风险点的整改,以及与SOX测试的重要控制点的自我评估,直接确保了年终集团SOX测试的顺利通过。以风险地图为基础构建的4A级全面风险防控体系,不仅成功探索了SOX测试组织工作的新方法,探索了电信企业全面风险管理新模式,也是国内首家以地图方式进行全面风险管理的企业。一、以风险地图为基础的4A级全面风险防控体系建设的背景(一)打造全面的风险防控体系是适应公司经营环境的迫切需要伴随着电信重组和3G牌照发放,在全业务运营的大背景下,移动互联的发展趋势进一步凸现,公司面临的内外部环境越来越错综复杂,越来越变幻莫测。在这种更加激烈、复杂的竞争环境下,公司发展的不确定增大,对风险的敏感程度有所增强。如何在目
3、前工作的基础上,进一步开拓创新,深入开展全面的风险管理,增强公司的风险免疫能力,是全业务运营的环境下的重要课题。(二)打造全面的风险防控体系是开展风险管理的题中之义自2006年开展SOX法案遵循工作以来,我们围绕控制点做了很多的遵循测试工作,基本得到了上级公司的认可,最近几年的SOX集团年中测试也未发展无效控制点。但是,SOX测试遵循的主要目标只是为了保证财务目标的实现,最大限度的降低公司财务风险。而公司从总体上面临着包括财务风险、战略风险、经营风险以及合规风险。为适应公司环境变化和发展需要,我们迫切需要进一步延伸SOX测试成果,将风险管理的领域从财务风险逐步扩大到战略、运营、合规等领域,进行
4、全面、持续的风险及内控管理。(三)打造全面的风险防控体系是全面落实风险整改的内在要求在历年的SOX测试以及专项审计中,审计发现的大量问题未得到各个部门的足够重视,长期得不到整改,很多问题一而再再而三的被发现,每年年终集团SOX测试压力非常大,直接影响公司经营战略目标的实现。另一方面,一部分长期存在问题的控制点和流程,基本都是跨部门的,而在目前公司的管理架构中,涉及到跨部门协作,或者处于部门临界点的控制点,在实际执行中处于一定的真空地带,而各个业务部门往往站在自己本部门的角度,对风险的认识不足,存在一定的片面性。在这种背景下,我们迫切的需要改变业务部门在SOX测试、专项审计乃至风险管理中的被动参
5、与局面,充分调动起主动意识,提升其作为风险管理的主体,在应对奉献自我管理方面的能力。二、以风险地图为基础的4A级全面风险防控体系的内涵以风险地图为基础的4A级全面风险防控体系,是指A map(一张风险地图),A evaluating standard (一个风险评估标准),A solving method(一个风险解决方案),A liability system(一个责任体系)。四个A以一个完整的逻辑搭建起了广州公司全面的风险与内控管理体系。A evaluating standard (评估标准)4A级全面风险防控体系A Map(风险地图)A solving method (解决方案)A li
6、ability system (责任体系)如何对风险进行科学有效的评估我们面对的风险是什么,在什么地方对于存在的风险,如何进行持续性的解决如何强化责任使风险有效落地12341A:风险地图是基础,是公司进行风险管理的基石和载体。通过地图的方式,全面展示了公司三大线条、所有部门可能存在的风险,如下图所示:在风险地图中,不仅对风险点的部门属性进行了界定,而且对其等级、发生的可能性以及所属的业务流程等属性都进行了详细描述。各部门在使用的过程中,可以非常方便的对风险进行分析,比如通过部门风险热度图可以清楚的了解中高风险的分布,通过流程筛选可以全面了解各个岗位、流程的风险状态。2A:风险评估标准是尺度和工
7、具,是对风险进行科学管理的依据。在借鉴全球电信业风险衡量标准的基础上,充分结合了广州公司战略目标实现制定了该标准。它主要从“风险发生的可能性”以及“风险发生的影响程度”两个纬度进行判断,在“风险发生的影响程度”中,又主要按照“对公司造成的财务损失”、“造成的客户投诉级别”、等四个方面进行判断。对于上述每一个维度,都根据行业惯例或公司的相关制度赋予了具体的指标值以及对应分值。这样就可以科学的对各个风险点进行量化评估,最终按照下表所示的坐标分布图来确定各个风险点的等级。影响程度高中低高中低发生可能性(说明:红色代表高风险、黄色代表中风险、绿色代表低风险)3A:风险解决方案是方法论,为各个部门进行持
8、续的风险改善提供了指引,也搭建了风险管理的持续更新机制。建立了风险地图之后,就需要各个部门在自己的业务领域内进行自主的风险改善和优化。风险解决方案正是应运这种需求而产生的。它从风险辨识、风险持续评估、风险应对策略选择以及内部控制自我评估四个阶段对开展风险点的整改提供了充足的策略指引和详细的执行指引。下图对该方案进行了详细的描述。4A:责任体系是制度保障,是保证风险得到持续改善的推动力。确保风险点的整改落地是衡量风险管理是否有效的重要指标。在本体系中,建立了以“风险整改责任状”为主体的长效责任机制。在具体的风险整改策略中,“年度主题风险”和“部门风险与内控自我评估(CSA)”双向互动,各个部门第
9、一负责人需要就涉及本部门的年度主题风险与公司领导签订整改责任状,承诺在规定的时间内完成对主题风险的整改;同时,还需要结合年度SOX法案遵循测试,对重要控制点进行内控自我评估,并对评估结果负责,实现确保年终集团SOX测试顺利通过的目的。 三、该项目主要特点和创新点(一)以地图的形式生动而且全面的展示公司各业务线条、各部门、分公司的风险,并对风险的高低等级进行了科学的初始化评估。风险是枯燥的,通过地图的形式展示风险,形象生动,更容易吸引风险管理责任部门和责任人的兴趣和关注。这种对风险的展示形式,在国内也属于首创。在使用上,我们通过集中组织,进一步完善了风险地图的内容,对所有风险点进行了初始化评估,
10、确定了每一个风险点的等级、发生可能性、以及风险所属的业务领域或流程。使用部门可以从地图中进入本部门领地,并方便的从上述风险的各种属性进行更加细致地分析,全面深刻地了解本部门的风险及内控管理状态。(二)在风险评估过程中形成了中西合璧的广州公司风险评价体系。它既参考了安永全球电信业风险评价标准,又充分结合了广州公司经营战略目标和要求。在以全球通用的按照“财物损失”和“客户流失”等维度的基础上结合公司实际经营状况进行了修正,即以“客户投诉”维度取代了“客户流失”维度;在具体的指标值设置方面,主要以公司战略目标以及相关的管理办法为依据,根据财务部对财务损失的忍受程度、市场部的客户投诉管理办法分别定义了
11、从高到底的具体指标值,比如可能引发黑色投诉的事件就被直接定义为高损失风险。(三)在风险与内控管理提升中创新了“年度主题风险”和“部门自我评估”的全面撒网、重点突破的管理策略和以“风险整改责任状”为主体的长效责任机制。在公司层,每年根据公司经营环境变化,科学选定几个影响最大、最紧急的风险,作为各个部门的“年度主题风险”,由部门签订“风险整改责任状”,通过强化责任制,承诺整改,实现对公司所有高、中风险点有计划的、持续性的整改提升。在部门层,贯彻执行部门风险与内控自我评估(CSA )制度,各业务部门根据标准化模板,对涉及本部门的风险,结合SOX法案遵循测试的所有控制点定期进行评估,形成了从战略到业务
12、的全面、立体的风险与内控管理体系;同时对风险地图进行定期更新,保证了该体系的生命力。四、以风险地图为基础构建4A级全面风险防控体系实施的效果(一)应用情况以风险地图为基础构建4A级全面风险防控体系,从2009年7月份开始,全面运用到公司三大线条各个业务部门的日常管理中来,具体表现在以下两方面:1、根据公司领导的具体指示,圈定了2009年需要整改的年度主题风险,并组织各部门在规定的时间内(10月份之前)完成整改。各部门按照3A(即一个风险解决方案)所提供的标准化风险解决方案模板,按照风险点所属业务领域,组织开展了有针对性地整改策略的制定和整改措施的执行。截至目前,各部门已经全部完成了对本部门主题
13、风险的整改和风险再评估。2、结合SOX法案遵循测试重要控制点,组织各部门开展了部门风险与内控自我评估(CSA)活动。按照2A(即一个风险评估标准)所提供的风险评估标准对138个重要的SOX控制点进行了风险评估。根据评估结果,138个重要控制点均为中风险点或者低风险点,所有控制点均能够通过集团SOX测试。(二)成果效益该体系自09年7月在各部门、分公司深入运用以来,取得了良好效果,公司风险与内控管理水平得到一定的改善,主要体现在以下几方面:1、完成了2009年确定的38 个年度主题风险的整改。38个主题风险中,有21个降低为中风险,有17个降低为低风险。通过整改,高风险点从上半年的46个降低为14个,降幅达到70%,公司风险及内控管理水平得到较大幅度提升。2、省公司在今年下半年组织开展的对广州公司经济责任审计中,未发现重大经营风险和漏洞,对广州公司的整体经营管理水平给出了较高的评价。 3、广州公司在2009年年终集团第一阶段SOX测试中顺利通过,未发现一个执行无效点,完成了省公司和公司领导下达的指标,也确保了年终经营业绩考核2分不会丢失(相当于全省1400万工资总额)。=成果主要完成人:许永刚、闵伟、庄晋磊、张利、刘敏 6
浙ICP备2021020529号-1 | 浙B2-20240490 
