山东航空集团有限公司全面风险管理体系

山东航空集团有限公司全面风险管理体系内容摘要：

况，并根据环境变化及风险评估等情况， 及时对发展战略作出调整。 (1)人力资源政策是否有利于企业可持续发展和内部控制的冇效执行；是否明 确各岗位职责权限、任职条 件和工作要求，选拔是否三公，是否因事设岗、以岗 选人。 (2)是否制定并实施关于员工辞退与辞职、聘用、培训、健康与安全、薪酬、 ff升与奖惩、考核等方面的管理制度；是否建立员工培训长期制度。 (3)楚否设置严谨的绩效考核指标体系，并严格考核评价，以此作为确定员工 薪酬、职级调整和解除劳动同等的重要依据；是存在人才流失现象；是对 关键岗位员 I:訂强制休假制度或定期轮岗制度等方面的安排；是否对掌握國家秘 密或重要秘密的 W工离岗有限制性的规定；是否将布效执行内部控制纳入企业绩 效考评体系。 (1)公 ifj足采収切实科效的措施，积极培存： ^街 {^丨身特 1： ^1的企业文化，打造 以主业为核心的企业品牌，促进企业长远发展。 (2)公司董事、监事、经理及其他高级管理人员是否在文化建设和履行社会责 任中起到表率作用，是否促进文化建设在内部各层级的有效沟通；是否做到文化 建设与发展战备的有机结合，使员工自身价值在企业发展中得到充分体现；是否 重视并购重组后的企业文化建设，平等对待被并购方的员工，促进并购双方的文 化融合。 (3)公司是否建立企业文化评估制度，重点对经理和其他 高级管理人员、监事、 董事在企业文化建设中的责任履行情况、全体员工对企业经营管理行为与企业文 化的一致性、员工对企业未来发展的信心、参与企业并购重组各方文化的融合度、 企业品牌的社会影响力，以及企业核心价值观的认同感做出评估；是否研究影响 企业文化建设的不利因素，分析深层次的原因，及时采取措施加以改进。 (1)公司是否建立严格的安全生产管理体系、操作规范和应急预案，切实做到 安全生产；是否落实安全生产责任，对安全生产的投入，包括人力、物力等，是 否能保证及时发现、排队生产 安全隐患；发生生产安全事故，是否妥善处理，排 除故障，减轻损失，追究责任。 是否有迟报、谅报、瞒报重大生产安全事故现象。 (2)公司是否建立严格的产品质量控制和检验制度并严格执行，是否有良好的 售后服务，能够妥善处理消费者提出的投诉和建议。 (3)公司是否制定环境保护与资源节约制度，采取措施促进环境保护、生态建 设和资源节约并实现节能减排目标；是否实施清洁生产，合理幵发利用不可再生 资源。 (4)公司是否依法保护员工的合法权益，保持工作岗位相对稳定，积极促进充 分就业；是否实现按劳分配、同工同 酬、建立科学的员工薪酬制度和激励机制， 是否建立高级管理人员与员工薪酬的正常增长机制；是否及时办理员工社会保险， 足额缴纳社会保险费；是否维护员工健康，落实休息休假制度；是否积极彡 T?展员 工职业教育培训，创造平等发展机会。 风险评估系统在风险管理中居于核心位置。 风险评估是对企业存在的弱点、 面临的风险以及带来的影响进行辨识，并对风险的客观存在、发生的概率、造成 的损失和范围等进行全面的估计与衡量，并制定相应的应对措施和监控手段。 事件识别是进行风 险评估的基础和前提，风险管理的第一步是确定企业所面 临的各种风险，进行风险分类，发现导致风险的各种原因。 扎实的风险识别，是 风险评估和控制的效果得到保证的前提。 在全面风险管理框架下，风险识别的 0 标，就是要广泛、持续地收集与本企业风险和风险管理相关的内部、外部初始信 息，发现企业面临的各种风险。 风险评估使小：体能够考虑潜在事项影响 1:1标实现的程度。 管理者应从两个角 度 —— 可能性和影响 —— 对事项进行评估，并且通常采用定性和定量相结合的方 法。 应该个别或分类考察整个主体中 潜在事项的正面和负面影响。 基于固存风险 和剩余风险来进行风险评估。 在风险评估过程中，可以采用多种操作方法，包括 基于模型（ Modelbased)的分析方法、驻于知识（ Knowledgebased)的分析方 法、定量（ Quantitative)分析和定性（ Qualitative)分析，不管是什么方法， 共同的目标是确定公司各业务层面面临的风险及其影响，以及目前风险管理水平 与组织安全需求之间的差距。 本文以定量分析和定性分析及两者相结合的方法进 行评估。 (1)定量分析。 记景风险分析有四个靈要 的概念： 风险因素（ Exposure Factor, HF) 或者说损失的裡度，即特定风险对特 定资产造成损失的 I39。 l分比； ?Y— 预期损失（ Single Loss [Expectancy, SLB) 即特定风险打― 丨能造 成的潜在损失总景； 姆年发生频率（ Annualized Rate of Occurrencc, ARO) 即某种风险在 年内估计会发生的频率。 年度预期损失（ Annualized Loss Expectancy, ALE) 或者称作 EAC (Estimated Annual Cost)，表示特定资产在一年内遭受损失的预期值。 通过研究定量分析的过程，可对特定资产面临的风险进行量化，过程如下： ①首先，辨别资产并为其赋予数值或货币金额； ②通过风险和缺陷评估，评价特定风险作用于特定资产所造成的影响，即 EF (取值在 0%?100%之间）； ③计算特定风险发生的频率，即 ARO。 ④计算资产的 SLE: SLE = Asset Value X EF ⑤计算资产的 ALE: ALE = SLE X ARO 举例：假定山航集团投资 10， 000， 000元建了一个货运仓库，其最大的威胁是 火灾，一旦火灾发生，货运仓库的估计损失程度是 35%。 根据相关部门和历史资 料推断，该货运仓库所在的地 K每 10 年会发生一次火灾，那么可得出了 ARO为。 基于以上数据，山航集团货运仓库的 ALE将是 350， 000元。 进行定量分析，最关键的指标有两个是：每年发生的频率（ ARO)和其他损失 事件的威胁，可能会导致特定风险对特定资产造成损失的百分比（ EF)。 从纯理 论角度看，定量分析可以对安全风险进行准确的分类，但它有一个前提，那就是 供参考的数据指标 是准确的，但在实践中，由于数据统计缺乏长期性，计算过程 又极易出错，且影响风险的因素复杂多变，很难将所有因素都加以量化，定量分 析所依据的数据的可靠性是很难保证的。 所以，目前的信息安全风险分析，采用 定量分析或者纯定量分析方法的已经比较较为少见。 (2)定量与定性分析相结合 ,通过风险坐标图的形式来显示公司面临的风险。 风险坐标图是把风险发生可能性的高低、风险发生后对目标的影响程度，作 为两个维度绘制在同一个平面上（即绘制成直角坐标系）。 对风险发生可能性的高 低、风险对目标影响程度的评估有定性、 定量等方法。 定性方法是直接用文字描 述风险发生可能性的高低、风险对目标的影响程度，如“极低”、“低”、“中 等”、“高”、“极高”等。 定量方法是对风险发生可能性的高低、风险对目标 影响程度用具有实际意义的数量描述，如对风险发生可能性的高低用概率来表示， 对目标影响程度用损失金额来表示。 表 41通过列出公司对风险发生可能性的定性、定量评佔标准及其相互对应 关系，供实际操作中参考。 ②风险控制，即采取控制措施，将风险控制在企业可承受的范围，可通过降 低风险发生的概率或降低风险 对计划的作用程度来实现。 ③风险转移，即通过分包、保险、远期合约等方法将某些风险转移给其他经 济主体承担。 ④风险接受，即当潜在风险的影响程度在企业可承受范围内或者其管理成本 超过预期收益时，不采取行动而是接受风险带来的影响，并运用风险准备金等手 段弥补风险承担者的损失。 公司根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决 方案。 方案应包括：所涉及的管理及业务流程，风险解决的具体目标，风险事件 发生前、中、后所采取的具体应对措施，所需的条件、手段等资源， 所需的组织 领导，以及风险管理工具（如：关键风险指标管理、损失事件管理等）。 在实践工 作中，主要监控措施包括： ①建立岗位授权制度。 对风险管理所涉及的各岗位明确规定授权的范围、条 件、对象和额度等，任何组织和个人必须在授权范围内履行职责，不得超越授权。 ②建立风险报告制度。 明确规定接受报告人与报告人，报告的内容、时间、 传递路线、负责处理报告的部门和人员、频率等。 ③建立风险管理批准制度。 对公司风险管理涉及的重大事项，明确规定批准 的范围和额度、条件、程序、必备文件以及有权批准的部门和人员及 其相应责任； ④建立风险管理责任制度。 按照责任、义务和权利相统一的原则，明确规定 各岗位、有关部门和业务单位、人员应负的责任和奖惩制度。 ⑤建立审计检查制度。 结合风险管理的有关要求、方法、标准与流程，明确 规定屯计检查的对象、内容、方式和负责屯计检查的部门等。 ⑥建立考核评价制度。 将风险管理执行情况与取位的绩效考核相结合，与绩 效薪酬挂钩。 ⑦建立重大风险预警制度。 对重大风险制定应急预案，及时发布预警信息， 进行持续不断的监测，并根据情况变化调整控制措施。 ⑧建立企业法律顾问制度。 大力加强 企业法律风险防范机制建设，形成由企 业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共 同参与的法律风险责任体系。 完善公司重大法律纠纷案件的备案管理制度。 ⑨建立重要岗位权力制衡制度。 要明确不相容岗位的设置与分离，主要包括： 会计记录、业务经办、授权批准、稽核检查和财产保管等职责。 对风险管理所涉 及的重要岗位可通过一岗双职、双人、双责，相互制约；明确相关岗位的主管部 门或主管人员对其应采取的检查监督办法和应负的主管责任；将该岗位作为内部 带计的重点等。 系统 风险管理信息体系包括信息收集及处理和传递的及时性、反舞弊机制的健全 性、沟通的顺畅性、利用信息化程度四个方而，具体内容如下： 公司必须重视信息系统在内部控制中的作用，根据风险管理要求，结合组织 架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加 大投入力度，有序组织信息系统 Jf?发、运行与维护，优化管理流程，防范经营。