【文章內(nèi)容簡介】 作。評價采取自我評價與 協(xié)助評價相結(jié)合、現(xiàn)場評價與跟蹤指導相結(jié)合、重點評價與全面評價相結(jié)合等多種有效方式，并在樣本選取、模版格式、報告體例等方面進行了統(tǒng)一規(guī)范，分別編制了穿行測試表和控制測試表各 XXX個，通過審閱內(nèi)控流程文檔、開展穿行測試、實施控制測試、編制評價結(jié)果備忘錄、匯總編制控制缺陷表等統(tǒng)一規(guī)范的步驟，對評價過程實施標準化管理，保證 了風險防控與 內(nèi)控評價工作的有序高效開展。 …… 二、 2020年度企業(yè)風險評估情況 （一）對未來風險總體形勢的研判 結(jié)合 2020年度本單位經(jīng)營目標，簡要描述本單位 2020年面臨的內(nèi)外部環(huán)境因素的變化 ，并就其對經(jīng)營目標的影響進行總體研判和簡要分析，包括給本單位帶來的風險和機遇，以及擬定的應(yīng)對措施等（ 1000字以上）。 【示例】： 結(jié)合公司 2020年度經(jīng)營目標，公司適時 加強 了 對未來中長期所面臨風險的全局性、趨勢性研判 ，定位了下一年度公司風險管理工作的方向 12 和重點。經(jīng)評估分析， 2020年度公司面臨的重大經(jīng)營環(huán)境變化包括： （ 1）電價政策變化 ………… （ 2）…… （二）風險管理初始信息收集情況 ，即收集、整理、分析本單位、國內(nèi)外同行業(yè)企業(yè)發(fā)生的重大風險損失事件 典型案例的有關(guān)情況。 【示例】： 2020 年 度 ，公司高度重視全面風險管理工作，以報送全面風險管理報告為契機，部署系統(tǒng)內(nèi)各單位開展風險信息收集與分析工作，結(jié)合公司自身業(yè)務(wù)特點， 從戰(zhàn)略、 運營、市場 、財務(wù)、法律 五類風險信息進行歸 類、匯總、分析，并針對每類風險收集相應(yīng)的風險案例，形成了 公司典型風險案例庫，合計 XX 個典型風 險案例。典型風險案例內(nèi)容包括案例名稱、發(fā)生時間、案例簡介、案例分析以及為防止同類事件再次發(fā)生所采取的防范措施等內(nèi)容，突出 了以下 案例的典型警示功能。 。收集本單位以及國內(nèi)外其它企 業(yè)有借鑒意義的典型風險案例，對典型風險案例按照案例名稱、時間、案例簡介、案例分析、防控措施的格式編寫，其中 供電單位 風險案例個數(shù)不少于 8 個， 非供電單位 風險案例個數(shù)不少于4 個。 13 【示例】： 案例名稱 ：重大活動供電敏感信息泄露 發(fā)生時間 ： 2020 年春節(jié)前夕 案例簡介 ： 某 單位 接到國家安全部所屬中國信息安全測評中心通報，發(fā)現(xiàn)涉及某重大活動的園區(qū)供電方案、保障方案、場館變電站建筑結(jié)構(gòu)圖、電氣主接線圖以及相關(guān)敏感資料和信息等泄露。經(jīng)查，此次信息安全事件是由于 使用 信息外網(wǎng)郵箱處理敏感資料所致。重大活動供電敏感信息泄露，使公 司被國家安全部所屬中國信息安全測評中心通報，嚴重影響公司形象。 案例分析 ： 調(diào)查發(fā)現(xiàn)該公司外網(wǎng)郵件系統(tǒng)有 170 余人賬戶使用了字符串為 “password”的初始弱口令，部分人員外網(wǎng)郵箱中存有與重大活動相關(guān)的規(guī)劃、安全性評價報告等敏感材料。 分析事件發(fā)生原因， 一是該公司少數(shù)員工信息安全保密意識淡薄，在信息外網(wǎng)郵箱存儲敏感資料，通過信息外網(wǎng)郵箱和社會公用郵箱向互聯(lián)網(wǎng)發(fā)送郵件 ； 二是該公司部分信息外網(wǎng)郵件用戶采用初始弱口令 ； 三是信息內(nèi)外網(wǎng)隔離后，該公司原本地郵件系統(tǒng)仍在重復并軌運行，未完成域名統(tǒng)一 、 及時關(guān)閉原有郵件系統(tǒng) ，也未 對本地信息外網(wǎng)郵件內(nèi)容采取過濾和審計措施。 防控 措施： 一是嚴格遵守公司信息安全保密紀律，強化全員信息安全保密意識，嚴格執(zhí)行公司 保密 要求，落實到位 。二 是將公司全部信息外網(wǎng)郵件系統(tǒng)整合至公司集中統(tǒng)一外網(wǎng)郵件系統(tǒng)，加強對郵件系統(tǒng)的統(tǒng)一管理和審計，消除安全隱患。 三 是加強現(xiàn)有系統(tǒng)收發(fā)日志審計和敏感內(nèi)容攔截，組織檢查互聯(lián)網(wǎng)交互記錄和內(nèi)外網(wǎng)郵件發(fā)送信息，定期對審計關(guān)鍵字進行動態(tài)更新 。四是 協(xié)同各級保密部門對在信息外網(wǎng)和互聯(lián)網(wǎng)上違規(guī)傳送公司秘密及敏感信息的情況進行通報與處理。 14 （三）風險評估情況 2020 年度風險評估的范圍、方式及參與人員等有關(guān)情況進行說明。 【示例】： 風險評估范圍 ：本次風險評估涵蓋公司總部部門 XX 個、網(wǎng)省公司XX 家、直屬單位 XX家，涉及所有業(yè)務(wù)及崗位。 風險評估方式 ：采取 “自下而上、縱橫整合、內(nèi)外結(jié)合 ”的評估方式。風險梳理采取 “自下而上 ”的方式，即崗位風險 → 下屬單位層面風險、總部部門層面風險 → 公司層面風險，體現(xiàn)了風險的層次性和統(tǒng)一性；風險辨識采取 “縱橫整合 ”的方法，即橫向覆蓋所有總部部門、所有下屬單位、所有業(yè)務(wù)，縱向從政策、制度及執(zhí)行、組織職責、人力資源、技術(shù)等各方面對每個風險進行 深入的分析，體現(xiàn)了風險識別的全面性和準確性； …… 參與人員 ：在公司全面風險管理委員會的統(tǒng)一指導下，由 風險管理辦公室 具體組織，總部各部門及各下屬單位分別開展風險梳理辨識和評估工作，共計 XXX 人參加，其中網(wǎng)省公司 XXX 人，直屬單位 XXX 人，總部部門 XXX 人。 說明本單位在分析風險事件發(fā)生的可能性、風險事件發(fā)生后對經(jīng)營目標的影響程度時，所采用的評估標準（以附件列示）。網(wǎng)省公司可參照附件 3，直屬單位可以根據(jù)所屬行業(yè)政 15 府主管部門的相關(guān)要求或本單位實際情況制定評估標準。 對本單位 2020年度可能面臨的風險進行評估， 按照企業(yè)風險分類，列示本單位 2020年度風險評估結(jié)果，以及經(jīng)評估確定的重大風險，填寫附件 1所示的風險評估信息表，企業(yè)風險分類示例見附件 2。 網(wǎng)省公司列示的風險不少于 30項，其中重大風險不少于 10項，直屬單位列示的風險不少于 15項，其中重大風險不少于 5項。 （四）重大風險關(guān)鍵成因量化分析 簡要說明本單位對重大風險關(guān)鍵成因進行量化分析的情況，包括建立分析、預(yù)測模型等。 【示例】： 重大風險一：海外并購風險 首先運用風險分析工具識別影響海外并購工作的風險因素，其次借助層次分析法建立 風險評估模型，然后計算并購項目的風險值，從而最終確定項目的風險大小，為“走出去”科學決策提供依據(jù)。 （ 1）建立海外并購風險評估模型的方法與過程 運用層次分析法，建立“走出去” 海外并購風險評估模型，包括以下三個層次 :目標層，即海外并購風險評價 。主準則層，即并購的準備與設(shè)計階段風險、并購的談判與實施階段風險、并購的整合階段；分準則層，即影響主準則層的具體指標。具體模型見圖 5。 16 企 業(yè) 并 購 風 險 U第 一 階 段 風 險 U1戰(zhàn)略制定風險國內(nèi)體制風險產(chǎn)業(yè)技術(shù)風險自身實力評估風險政治風險政策法律風險融資與財務(wù)風險市場風險反并購風險業(yè)務(wù)整合風險經(jīng)營風險文化沖突風險第 二 階 段 風 險 U2第 三 階 段 風 險 U3 圖：海外并購風險評估模型 在海外并購風險因素評價時，安排 10 名以 上專家對每個因素進行打分，運用統(tǒng)計方法確定各個不同因素最終的權(quán)值大小。 本模型共分二級，第一級是對準則層 (Ui)進行評價，第二級是對目標層 (U)進行評價。 ?第一級評價： …… （五）風險坐標圖 按照風險發(fā)生的可能性和風險發(fā)生后對本單位經(jīng)營目標的影響程度兩個維度，將本單位 2020 年度的重大風險繪制成風險坐標圖，風險坐標圖縱坐標為發(fā)生可能性、橫坐標為影響程度。 【示例】： 17 ① 技術(shù)標準不完備，標準更新不及時 風險 ② ... ... 三、 2020年度全面風險管理工作有關(guān)情況及重大風險管 理情況 （一） 2020年度風險管理工作計劃 本單位董事會、黨組、總經(jīng)理辦公會等決策層對 2020 年度全面風險管理工作提出的要求。 【示例】： 18 公司黨組 高度重視公司全面風險管理工作，在公司二屆一次職代會暨 2020 年度工作會議、公司主要黨政負責人年度會議、 及全面風險管理委員會會議上 ，要求總部各部門和公司各單位充分認識全面風險管理工作的重要意義， 在公司全面風險管理委員會的統(tǒng)一領(lǐng)導下， 繼續(xù)深入 落實《中央企業(yè)全面風險管理指引》， 建立以實現(xiàn)公司發(fā)展戰(zhàn)略為目標，以風險管理為核心，以內(nèi)控制度為主體，以管理流 程為載體，以組織、策略、措施和信息系統(tǒng)為主要內(nèi)容，結(jié)構(gòu)合理、層次分明、銜接有序、方法科學的全面風險管理體系。具體要求如下： （ 1） 要 完善工作機制， 推進風險管理工作常態(tài)化 。 …… （ 2）…… 對本單位 2020 年度全面風險管理工作計劃（包括所屬主要 子單位 推進全面風險管理工作的計劃）進行說明。