某某医药公司风险评估及应对报告.doc

1、*医药有限公司风险评估及应对报告报告单位：*医药有限公司编报时间：2018 年 9 月 28 日风险评估及应对报告为贯彻集团总部风险预防精神，切实从源头上预防、减少和消除经营过程中影响安全生产隐患。根据这一要求，执行内控体系建设的企业，应当对内部控制的有效性进行自我评价。在公司执行内控梳理和评价的过程中，为了有效的提高工作效率、明确工作侧重点，应当遵循风险导向原则，以风险评估为基础，全面考虑企业面临的主要风险，根据发生的可能性和对企业单个或整体控制目标造成的影响来确定需要评价的重点业务单元、重要业务领域或流程环节。因此，管理层借助本项目达到对现有风险因素进行归集和分析的目的，以期对未来公司战略

2、及管理理念的调整提供有益的参考。 一、风险评估相关情况说明 （一）风险评估的时间 2018年9月28日（二）风险评估的范围、目标 公司目前面临来自外部内控合规要求及内部管理提升需要，因此风险评估工作的起点是从满足企业内部控制的直接目标出发，同时兼顾管理整合和改进需求，力求在保证工作目标明确提高工作效率； 风险评估考虑因素的制定充分考虑了公司内部管理需求、外部监管要求、业务重要性、行业影响因素及其他专业机构可能提出的参考和建议； 具体风险评估范围的确定，主要从战略、运营、财务及合规四个维度汇总、分析了可能出现的潜在风险，以合理保证本次风险评估工作的完 整性和充分性； 在项目推行过程中，主要针对公

3、司管理人员组织了讨论，并根据由此收集到的风险信息，对潜在风险进行了梳理和排序。（三）风险评估的方法本次风险评估工作以公司层面高度为基调进行，关注公司核心管理团队的风险承受能力及风险偏好，同时对各职能部门负责人进行风险讨论，参考他们对公司层面风险初步的评价和判断，综合各项风险影响因素而形成最终风险清单和风险排序。工作方法包括管理层讨论、专家咨询、集体讨论、情景分析、政策分析、行业标杆比较、由专人主持的工作讨论和调查研究、模型计算等。通过上述方法评估，结合公司自身特点，从战略、运营、合规、财务四个层面做出了详细的风险汇总表，共涉及 23 个类别的 72 项风险。其中，23个风险类别包括：战略风险

4、经营风险 合规风险 财务风险公司治理战略规划及资源配置重大革新合并和资产剥离市场因素营销和市场-信息科技供应链人力资源信息技术灾害实物资产管理税务项目管理资产经营行为规范法律监管全融市场资产流动性和公司信誉会计政策和报告资本结构监管（四）风险评估参与人员10 月 8 日在公司会议室，通过开展管理层讨论，从公司整体运作层面了解了目前公司的风险状况。参与讨论的高管层包括：部门职位 姓名总经理副总经理总经理助理质量副总质管部负责人采购部负责人储运部负责人销售部负责人财务部负责人行政部负责人信息部负责人（五）风险评分的标准 风险评分标准依据风险对公司的影响及风险发生的可能性两个维度进行划分。风险参数建

5、立在公司的风险偏好基础上，即公司为实现自己的战略目标而愿意接受的风险程度。考虑以上因素，将风险发生的后果及可能性分为以下五类分值：分值 影响程度 发生可能性1 分 可忽略的：可以 在正常活动中将不良影响消化的事件。 发生可能很低，几乎不会发生的事件。2 分 轻微的：通过一定的管理手段就能解决的不利事件。 发生可能性较低的事件。3 分 中等的：需要额外管理的严重事件。 发生可能性为中度的事件。4 分 严重的：需要特别管理的危机事件。 发生可能性较高的事件。5 分 灾难性的：可能导致崩溃的灾难/特殊事件。 发生的可能性很高或必然会发生的事件。风险影响程度的判断参考指标：判断结果分析层面 1 2 3

6、 4 5战略对战略实施影响近乎没有。对战略实施影响轻微一定程度上影响战略实施和目标实现。对于企业完成战略计划和目标造成重大影响。令企业失去继续运作的能力。运营对营运影响近乎没有：在时间、人力或成本方面存在预算的情况，影响可以消化。对营运目标或关键业绩指标影响轻微：在时间、人力或成本方面存在预算的情况，影响较小。一定程度上减慢营业运作：在时间、人力或成本方面超出预算，需要对预算数据进行小范围调整。对营运目标或关键业绩指标造成重大影响：在时间、人力或成本方面超出预算，需要对重大预算数据进行调整。无法达到企业的营运目标：各项预算数据失控，预算需要重新调整。合规近乎没有违规违法行为，无纠纷。在一些不重

7、要的问题上违规，没有引起诉讼。在某类问题上违规，引起纠纷和诉讼。在重要的问题上违规，引起诉讼，导致巨额赔偿。在重要的问题上违规，引起诉讼，导致巨额亏损，企业无法正常运营。财务外部审计师在管理建议书中提出少量一般性问题。外部审计师在管理建议书中提出若干一般性问题外部审计师对报表项目或其他事项具保留意见。外部审计师在管理建议书中提出重大问题。外部审计师对财务报表出具否定意见。风险发生可能性的判断参考指标：判断结果分析层面1 2 3 4 5管理层关注管理层并不担心未来会发生类似事件管理层认为未来发生该事件的可能性较低但也需要关注管理层认为目前某些事态表明该事件可能在未来发生管理层对该事件较为关注因为

8、未来发生的可能性较大从目前形势来看，此事件一定会在未来发生管理层对该事件的讨论尚无特别讨论曾经提醒相关部门或人员注意不定期会要求相关部门或人员进行汇报定期讨论且相关部门或人员需要进行定期汇报随时关注根据管理层讨论结果，按照上下公式计算出第个风险的得分，并据些对10 大分险做出了排序。风险发生可能性 = 每位部门负责人风险发生可能性打分/高管人数风险影响程度 = 每位部门负责人风险影响程度打分/高管人数风险总分 = 风险发生可能性 X 风险影响程度根据风险总分得出的 20 大风险最终排序结果见风险评估结果。（六）风险评估报告基于上述工作，我们总结、分析了风险评估过程中收集到的各类数据和现场观察结

9、果，汇总形成本报告，并提交管理层作为未来风险管理工作的基础。二、风险评估的结果 （一）风险评估结果及风险描述根据管理层对重要风险的讨论结果，我们按照风险得分从高到低的顺序将目前公司面临的 10 大主要风险排序如下。同时，为了帮助管理层掌握风险细节，我们也将具体风险描述、风险得分及风险关注点一同做了列示：风险 风险描述NO.1：竞争（市场竞争）风险风险大类：战略风险该风险是指影响公司的市场竞争力，从而阻碍公司长期发展的风险。风险影响程度 风险发生可能性 风险总分4 4.5 18风险关注点1、 市场主要竞争者或新进者削弱了企业的比较优势和可持续发展的能力；2、 是否制定了有效的市场竞争策略，开展对

10、整体市场及竞争对手的分析了解及对不同层次客户需求的调研，是否能扩展业务或保住现有市场份额；3、 企业在本地区内均有业务分布，从一定程度而言分散了部分风险，对竞争对手有一定分析，但不够系统也无人反馈；4、 无法对主要竞争对手的行动进行快速、有效的应对而导致的风险；5、 营销策略制订不当或出现不利的环境因素而导致市场营销活动受损甚至失败的风险；6、 生产材料或设备的供应价格、质量以及供需关系的不利变动甚至供应的中断而导致的风险；7、 销售市场价格或供需关系的不利波动而导致的风险风险 风险描述NO.2：信用与回款风险风险大类：市场风险、财务风险该风险是指 1.赊销政策不适当，或不适应业务发展需求；2

11、.应收帐款无法及时收回，进而影响公司财务状况。风险影响程度 风险发生可能性 风险总分4 4 16风险关注点1、 公司在经营活动中，供应商或客户不能履行交易约定义务而给公司造成财务损失的风险，具体表现为因供应商未能按时、保质、保量供货或提供服务而导致公司承担额外成本或失去销售机会造成收益损失，或者因客户拖欠货款、代垫款等造成的公司额外营运资本占用或坏账损失；2、 由于客户选择不当，对客户评价不合理以及对客户投诉处理不当等，影响公司销售目标达成；3、 公司目前的赊销政策是否能够适合现阶段公司业务发展的需求；4、 是否建立了有效的信用管理机制，用来定期监控各个客户信用状况的改变；5、 已成型的信用管

12、理机制是否被有效的执行；6、 执行相关监控工作的同事是否具有足够的专业素养，能够在客户信用状况出现恶化征兆时作出及时反应；7、 公司提供给客户的赊销政策及客户信用管理水平，在一定程度上直接影响应收帐款回款状况。风险 风险描述NO.3：合同风险风险大类：合规风险、运营风险该风险是指该风险是指企业可能签订对企业不利的合同；合同条款的遵循及控制未能得到有效的执行，导致违约并给企业造成潜在的损失的风险。风险影响程度 风险发生可能性 风险总分3.6 3.4 12.2风险关注点1、 未将合同条款与销售战略结合起来，以合理确认收入或在正确的期间内确认收入；2、 由于签约对方地位或地域的特殊性，使企业执行的合

13、同内容对于企业来说不是最佳条款或规定，合同条款不清晰（如：没有明确的赔偿条款的确定） ，发生问题后于难以达成共识，可能会带来重大的经济损失；3、 缺乏合同条款审核规范/制度用于指导参与合同审核部门对条款内容的正确性，完整性进行把握，会导致潜在的合同纠纷；4、 在合同起草、谈判、审核、签订、履行、存档等各个环节中，由于管理或处理不当，导致合同无法履行或违约的风险。5、 违反国家法律法规或各类监管规则，导致公司/相关人员负上法律责任的风险。风险 风险描述NO.4：业务结构风险风险大类：战略风险该风险是指企事业由于不了解业务特性、消费者及市 场的波动，可能导致不合理的产品结构的风险。风险影响程度 风

14、险发生可能性 风险总分3.8 3 11.4风险关注点1、 企业的市场战略不符合现在和将来的市场需求，不符合业务/服务的生命周期；2、 企业缺少竞争市场产品，无产品整合/捆绑战略3、 未能根据市场变化和产品需求对产品结构进行调整；4、 因市场准入、销售渠道管理、产品交付、退货管理及销售计划实施不当等导致市场占有率、消费者满意度下降，退货增多以及盈利目标无法达成等风险。 ；风险 风险描述NO.5：人力资源风险风险大类：运营风险该风险是指人力资源战略、政策、人力储备相关的风险风险影响程度 风险发生可能性 风险总分3 3.4 10.2风险关注点1、 人力资源战略需要根据企业发展情况进行调整，否则无法为

15、企业战略目标、员工需求、企业的价值观和愿景提供支持；2、 未能招聘到或挽留住优秀员工来确保人力资源的质量及平衡，关键岗位管理层或员工可能缺乏能力执行企业的战略目标落地；3、 绩效评估的合理性不足，从而无法确保企业战略目标的实现。需要考虑各个业务线绩效考核体系的个性化是否足够；4、 人力资源规划不全面、不科学，与集团战略发展目标不匹配，导致无法满足集团发展需要的风险。5、 无法招到合格的员工和招聘不合格的员工带来的风险。6、 没有制定明确的岗位人才标准的风险，没有选择科学测评工具的风险，测评工具使用或解读不当的风险；以及测评工具自身误差，影响对人才能力、素质做出准确真实的判断的风险。7、 人与物

16、、人与事、人与人之间配置不合理影响工作效率和业绩目标达成的风险。8、 经理人晋升聘任的政策及程序合规性风险。9、 未根据业务快速发展及时评估岗位价值，关键岗位和关键人才调整缺乏明确的依据，激励力度不足，从而出现人岗不匹配的风险。10、 培训计划或内容不合理，影响培训效果和人员综合素质提升。11、 薪酬与福利设计的科学性、合理性、合规性不足，影响绩效目标的达成和人员稳定性。12、 绩效考核内容不科学或考核结果未合理运用，影响考核目标达成的风险。13、 员工用工形式、劳动合同签订不规范等引起的风险。14、 目前我公司员工离职率约为 26%，而医药行业平均员工离职率约为 20.45%（2016 年）

17、 ，公司员工离职率与高于行业平均水平。风险 风险描述NO.6：资金及预算管理风险风险大类：运营风险、财务风险该风险是指企业未能对现有的或新的经营活动所需资金进行有效的预算，可能导致未能支持公司的战略和成长目标、影响业务扩张及公司盈利水平的风险。风险影响程度 风险发生可能性 风险总分3.4 2.8 9.52风险关注点1、 公司没有足够资金兑现日常生产经营及资本性支出的支付承诺、无法按期完成现金付息派息或偿还到期债务；2、 因金融机构未能履行交易约定义务而给公司造成财务损失的风险，具体表现为在最终交易结算前或结算时金融机构违约，导致公司的资产无法按期全部收回或者收益无法全部实现；3、 因预算编制参

18、与度低，范围、项目不全面，编制依据信息不足，编制程序、方法不规范，可能导致预算编制缺乏准确性、合理性和可行性，预算管理责、权、利不匹配等；4、 因各部门执行预算责任不明确，未根据外部环境和市场变化适时调整预算或不按规定程序随意调整预算，导致公司资源的错配，或不能揭示经营中存在的风险，不能对经营策略改变的财务后果进行评估，影响盈利目标的实现；5、 由于考核指标定义模糊，不能量化，或者仅根据预算执行结果对各预算单位进行业绩评价和激励，导致考核不全面，流于形式甚至业绩操纵等风险；6、 财务资源分配未能有效地与重要风险领域及战略目标相一致；7、 未能根据市场和业务条件的变化来更新预算；8、 迫于展示运

19、营结果的压力而导致年度预算不准确；9、预算的设定未能从控制的角度出发，或没有基于合理的假设。风险 风险描述NO.7：公司内控环境风险风险大类：财务风险、运营风险、合规风险该风险是指因未能建立起符合外部监管机构要求的内部控制环境，如企业内部控制制度不规范，存在重大内控缺陷等，从而给企业带来合规或运营上的风险。风险影响程度 风险发生可能性 风险总分3.2 2.8 8.96风险关注点1、 因文化建设中的战略规划、体系建设、组织管理、传播推广、践行落地、评价考核、优化提升等环节，因工作疏漏或执行不力，造成文化建设的作用和成效难以体现；2、 无效的治理及内部控制监督；3、 没有书面记录的流程，且没有按照

20、流程要求操作；4、 不恰当或无效的控制环境导致额外的审计程序及成本；5、 对已知控制缺陷及/或审计发现没有适当的反馈措施；6、 管理层没有倡导一个鼓励道德诚信的企业文化；7、 企业或行业控制环境复杂或不成熟；8、 公司未制定充分的应对程序来处理已发现或怀疑的不规范行为；9、 管理层的不规范行为（如商业间谍、内幕交易等）对公司员工的道德观造成负面影响；10、 管理层对待与政策制度相关的事项缺乏明确清晰的态度，可能会导致控制的薄弱；11、 制度、文化等宣贯不够，或监督不到位，经理人和员工事业心、责任感较欠缺，大局观念不强，思想道德水平不高，缺乏职业操守，做出逃避监管、弄虚作假、营私舞弊等违背国家法

21、规和华润诚信价值观行为的风险。风险 风险描述NO.8：信息安全风险风险大类：运营风险该风险是指企业为信息安全进行有效的保护，可能导致企业保密信息泄露、经济损失以及承担法律责任的风险。风险影响程度 风险发生可能性 风险总分3 2.6 7.8风险关注点1、 投入不足，IT 系统及应用的安全访问措施未能有效保护企业数据；或信息安全工作措施不足，导致内部敏感信息或资料遭到泄露；2、 未进行相应的培训，员工意识或职业操守不高，导致信息泄露，给企业带来不良影响（业界声誉，企业形象，巨额赔付） ；3、 未授权第三方获取企业员工、顾客或运营数据，导致企业需承担法律责任或形象受损；4、 信息系统规划不合理、不科

22、学，无法满足业务运营管理提升和发展的需要；IT战略规划实施进度缓慢或者执行方向出现偏差、IT 项目实施人员配置不足等原因，导致无法实现信息系统规划目标的风险；5、 系统运行过程中数据丢失、系统无法使用，业务无法正常运转等；6、 信息系统架构不一致，缺乏供可用的架构，出现系统间不连通、数据无法集成共享，影响业务运转等风险；7、 企业商密信息被内部人员泄露，或被外部人员、机构窃取，造成集团经济损失、竞争力损害和企业形象破坏的风险。风险 风险描述NO.9：战略规划与执行风险风险大类：战略风险、运营风险该风险是指对集团或公司战略制定或执行不当，从而阻碍公司长期发展的风险。风险影响程度 风险发生可能性

23、风险总分3 2.4 7.2风险关注点1、 未能进行重大的技术革新从而阻碍了企业战略目标的实现，未能应用新技术实现企业的比较优势；2、 未能在众多选择中发现、评估并进行正确选择以为企业战略目标达成的有效执行提供方向并分配资源；3、 战略目标没有进行详细分解导致各个部门对目标的理解存在不一致的现象，且战略目标的分解与绩效指标的挂钩不科学；4、 面对未来重大经济变革的战略布局与实际战略执行存在不一致，过度强调短期盈利目标的达成，从而忽略了长期目标的实现。5、 公司制定的战略决策（含行业进退）不符合股东、其他关键利益相关者的期望以及公司的现状而导致的风险。6、 战略与组织架构和管理流程的不匹配、不恰当

24、的资源分配及战略合作伙伴等原因，而导致战略实施无效或低效的风险。风险 风险描述NO.10：内部员工沟通风险风险大类：战略风险该风险是指企业中不同岗位员工之间，以及与管理层之间未建立互相理解和信任的沟通基调，由于不良的沟通关系从而可能降低工作效率的风险。风险影响程度 风险发生可能性 风险总分3 2 6风险描述1、 不能充分的利用内部及外部的知识及能力的资源来提升员工的整体技能及水平；2、 部门及员工之间信息沟通不畅，未能快速传达信息；（二）风险坐标分析1、为了更好的体现公司现有重大风险总体管控状况，我们引用风险坐标这一工具直观的反应10大风险的具体分布情况。风险坐标是基于各个风险的打分情况及风险

25、总分，将其分为高、中、低三个等级，反应在下图不同颜色的区域中（其中绿色为低风险区域、黄色为中风险区域、红色为高风险区域）：灾难性 5 5 10 15 20 25重大 4 4 8 12 16 20中等 3 3 6 9 12 15轻微 2 2 4 6 8 10风险影响程度 可忽略 1 1 2 3 4 51 2 3 4 5极低 低 中等 高 极高风险可能性结合10大风险的打分结果，我们可以得出以下风险分布：发生可能性影响程度1.0 2.01.5 2.53.03.54.0 5.04.52.01.52.53.03.54.05.04.5高风险 中风险 低风险 由上图可以看出，目前公司主要风险为中等水平风险

26、。三、未来风险管理工作建议（一）风险应对策略1、风险关注程度对于不同的风险，管理层需根据其可能造成的不同影响投以不同的关注程度、明确不同的管理策略，才能达到双高效（高效果、高效率）的目的。三个风险级别及我们建议的管理层关注程度如下：风险水平 管理层应关注程度为了降低现有风险水平，需采取措施改进内部控制低风险需要监控该风险，保证其在可控范围内需采取定量手段减少该风险，并制定时间表，保证风险在可控范围内应考虑控制成本中等风险若危害后果较大，则应经常评估该风险发生的可能性在未降低风险前，须停止与其相关的经营活动若与此相关的经营活动正在进行中，应拟定完备的应急计划和紧急措施积极采取措施降低风险高风险在

27、未降低风险前，无论其执行代价有多大，与该风险相关的所有经营活动（包括已经开始进行的经营活动）均必须停止2、风险应对策略风险应对是指管理层在评估相关风险后，按照风险管理优先顺序和风险管理策略，结合风险预警机制，对各类风险或每一项重大风险制定、评估和选择风险管理解决方案的过程。其中，风险应对策略指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险转移、风险控制、风险规避等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。一般公司引用的应对策略有以下几类：应对策略 定义 可以采取的具体措施完全接受该风险制定奖励/亏损

28、目标和容忍标准建立并监控关键性风险指标制定完善的应急措施制订恢复计划调查并采取后续行动建立补救措施承担管理层决定承受该风险带来的可能危害。此时管理层的关注重点应该集中在：1）对该风险变化情况进行监控；2）该风险一旦发生，对其后果能够合理、全面的估计；3）制定完善的应急措施、恢复计划、补救措施等为后果筹备资金投保业务共享业务外包业务多样化/业务扩展转移 通过采取措施将可能风险因素进行化解和转化套期保值整改组织体系修正总体方针改善经营措施控制采取严密的纠正措施，修正内控设计和执行方面的各类缺陷，对风险加以有效的控制。 进行实时监控停止业务活动撤资退出市场改变或重新确立目标规避由于风险过于庞大或能够

29、采取的处理措施成本过高，因此管理层决定彻底放弃可能产生风险的这部分经营活动。重新设计业务流程、系统及工具缩小规模建议管理层逐条分析公司目前面对的重大风险，讨论确认相应的风险应对策略，并针对风险应对策略制定的应对风险的具体措施，包括采取的应对动作、执行人、执行成本等，最终形成风险应对计划。（二）建立完善风险管控及监督体系为了提高公司整体风险防范能力，我们建议管理层从以下几方面入手建立和完善风险管控及监督体系：1、组建风险管理工作组：1.1 此工作组可以为非常设机构，由公司主要领导及负责风险评估等具体工作的同事组成；1.2 工作组应召开定期会议（一般半年一次即可），对当期公司风险总体状况的变动情况

30、进行分析和讨论。2、在公司范围内建立风险管控体系（包括风险信息收集途径、评估方法、汇报机制等），明确各级别员工在体系中的分工；3、为每项风险因素指定专门的风险管理部门及风险所有人，明确风险管理部门及风险所有人在风险管理工作中应尽到的管理、监督责任；4、将风险因素，特别是重要风险因素，与现有内部控制进行对接，明确各个风险的可控程度及失控原因；5、定期（一般为一年一次）进行公司范围内的全面风险评估，识别新增及产生了变动的风险，关注风险排序的变化趋势；6、 根据风险评估结果制定或更新风险应对计划，根据当期实际情况调整风险应对策略；7、将风险管控工作与各相关部门、岗位的绩效考核机制相结合；8、建立风险

31、预警机制。(三)制定风险预警机制为了更好的追踪和监控风险变化情况，高级管理层需制定重大风险预警机制，并进行制度化。我们建议该机制包含以下主要内容：1、风险预警机制的关注重点应集中在以下两点：1.1 由于公司开展新的业务，或由于国家相关政策、行业竞争等发生明显变化，而导致公司面临一些以前未曾面对的风险；1.2 由于经济大环境、国家政策及行业规范的变化，导致部分风险的发生频率及影响烈度发生改变。对于那些风险评级可能收到影响而提高的风险（例如风险级别由中等变为高），风险预警机制应给予特别关注。2、 负责战略研究与分析的部门应针对上述两种风险进行持续不断的监测（包括随时收集国家政策、行业规范方面的信息，随时了解公司新型业务的开展情况等），并对执行这一监控职能的岗位及监控手段进行明确。3、 高级管理层需针对这些重大风险制定明确的预警上限，制定预警上限时需要结合公司的风险偏好及风险承受度，并从定量和定性两方面进行考虑，以达到成本效益原则与风险预警有效性的统一。4、负责战略研究与分析的部门应及时对超过预警上限的重大风险实施报警，提醒高级管理层做好应急准备。5、 高级管理层应联合相关部门管理层制定出严密的风险应急预案，并根据情况变化实时调整控制措施。6、风险预警机制还应包括明确的汇报路线和奖罚措施。