告0817東軟集團股份有限公司2011年全面風險評估報告2011年8月X2011年8月X日 2 2 31.確定工作范圍 32.整理風險匯總表 43.制定評分標準 44.第一次風險問卷 65.高管層訪談 66.第二次風險問卷 77.20大風險排序 78.匯總合同有關風險 79.合同風險問卷 8 8 812.合同風險列表 9 1.20大風險坐標分析 212.全面風險評估結果 1.風險關注程度 2.風險應計策略 26 (三)制定風險預警機制 附件1:東軟集團有限公司風險匯總表 附件2:第一次風險調查問卷發放統計表 附件3:中高級管理層最關注的20項風險因素(含打分) 2010年4月15日，五部委正式下發了《關于印發企業內部操縱配套指引的通知》,明確規定了內控規范體系的實施時間：自2011年1月1日起首先在境內外同時上市的公司施行，自2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行。根據這一要求，執行內控體系建設的上市公司與非上市大中型企業，應當對內部操縱的有效性進行自我評價，披露年度自我評價報告，同時應當聘請會計師東軟集團股份有限公司作為行業標桿企業，被遼寧省證監局指定為內控規范實施試點單位，并在2011年度同意外部審計師的的審計。在公司執行內控梳理與評價的過程中，為了有效的提高工作效率、明確工作側重點，應當遵循風險導向原則，以風險評估為基礎，全面考慮企業面臨的要緊風險，根據發生的可能性與對企業單個或者整體操縱目標造成的影響來確定需要評價的重點業務單元、重要業務領域或者流程環節。因此，管理層借助本項目達到對現有風險因素安永：“安永(中國)企業咨詢有限公司”二、風險評估工作實施方法風險評估考慮因素風險評估考慮因素進行風險評估舞弊與內部控制目標高中低第二次第一次風險評估范圍●公司目前面臨來自外部內控合規要求及內部管理提升需要，因此風險評估工作的起點是從滿足企業內部操縱的直接目標出發，同時兼顧管理整合與改進需求，●風險評估考慮因素的制定充分考慮了公司內部管理需求、外部監管要求、業務?具體風險評估范圍的確定參考了安永的全球行業風險宇宙，從戰略、運營、財務及合規四個維度匯總、分析了可能出現的潛在風險，以合理保證本次風險評,在項目推行過程中，安永使用了兩輪風險問卷(第一次為中高層管理人員，第二次為高級管理層),同時針對高級管理層成員組織了訪談，并根據由此收集整理風險匯總表4986235本次風險評估工作以集團層面高度為基調進行，關注公司核心管理團隊的風險承受能力及風險偏好，同時對各國內區域負責人、子公司負責人、事業部負責人、職能部門負責人發放風險調查問卷，參考他們對集團層面風險初步的評價與推斷，綜合各由于集團海外機構受到當地政治經濟環境及人文文化影響，對整個集團層面風險要素的構成不具有典型意義與直接影響，因此本次海外機構并未包含在風險調查及評估的范圍內。以安永全球行業風險宇宙為基礎，結合東軟自身特點，從戰略、運營、合規、財務四個層面做出了全面的風險匯總表，共涉及23個類別的118項風險。其中，23個風公司治理*行為規范118項全面風險列表請參見附件1:東軟集團有限公司風險匯總表。風險評分標準根據風險對公司的影響及風險發生的可能性兩個維度進行劃分。風險參數建立在公司的風險偏好基礎上，即公司為實現自己的戰略目標而愿意同意的風險程度。考慮以上因素，將風險發生的后果及可能性分為下列五類分值：1分可忽略的：能夠在正常活動中將不良發生可能很低，幾乎不可能發生的事件2分決的不利事件發生可能性較低的事件中等的：需要額外管理的嚴重事件發生可能性為中度的事件發生可能性較高的事件發生的可能性很高或者必定會發生的1對戰略實施影響對戰略實施影響輕微。一定程度上影響戰略實施與目標實關于企業完成戰略計劃與目標造成重大影響。續運作的能力。沒有者成本方面存在小范圍超出預算的情況，影響能響輕微者成本方面存在況，影響較小。一定程度上減慢營業運作；成本方面明顯超出預算，需對預算數據進行小范圍調成重大影響；者成本方面大幅超出預算，需對重大預算數據進行調整。的營運目標各項預算數據失控，預算需要重新制定。法行為，無糾紛。在一些不重要的問題上違規，沒有引起訴訟。違規違法，引起訴訟，導致巨額違規違法，引巨額虧損，企業無法正常運營。外部審計師在管理建議書中提出少量通常性問題。通常性問題。外部審計師對報表項目或者其他事項出具保留意見。外部審計師在管理建議書中提出重大問題。外部審計師對否定意見。11管理層并不擔心未來會發生管理層認為未的可能性較低管理層認為目前某些事態說明該事件可能管理層對該事件較為關注由于未來發生的看，此事件一定會在未來發生尚無特別討論曾經提醒有關部門或者人員注意不定期會要求定期討論且有關部門或者人員需要進行定隨時關注在整理出的風險匯總表及初步制定的風險評估標準基礎上，安永編寫并發放了第一次全面風險評估調查問卷，并將此問卷下發了公司52位中高級管理人員，請他們針對問卷內容提出自己的見解并按照上述評分標準對每項風險進行打分。這些中高級管理人員包含20位事業部負責人、8位區域負責人、醫療板塊子公司負責人、4位研發部門負責人與19位總部職能部門負責人。在問卷回收截止日(6月20日),我們完成了第一輪風險問卷的回收工作。本輪調查問卷發放及回收情況統計請參見附件2:第一次風險調查問卷發放統計表。根據本次問卷結果，安永總結出了中高級管理層最關注的20項風險因素，并對各部門的風險偏好有了初步熟悉。名列本輪打分前20名的風險請參見附件3:中高級管理層最關注的20項風險因素。基于第一次風險調查問卷的初步評分與分析結論，安永有側重點的開展了高級管層訪談，通過與高管層面對面的交流，從公司整體運作層面熟悉了目前公司的風險狀姓名訪談時間公司高級副總裁兼首席運營官2011年6月22日下午15:30-16:30公司高級副總裁2011年6月27日下午14:00-15:00公司高級副總裁兼首席財務官王莉女士2011年6月22日上午10:30-11:30公司高級副總裁兼首席技術官、首席知識官2011年6月22日上午9:00-10:00公司高級副總裁2011年6月23日下午13:30-14:30公司高級副總裁兼首席營銷官2011年6月28日上午9:00-10:00通過對高管層的訪談，安永對原有20大風險因素進行了合并與調整，并汲取了高管層訪談過程中表達出的重要集團層面風險因素，最終確定了東軟目前面臨的20大風險。為了對這20大風險的重要性進行最終排序，安永編寫了第二次全面風險評估調查問卷，對每一項風險的關注點及調查見聞進行了全面列示，并仍然從風險發生可能性7.20大風險排序在回收了全部二次問卷后，根據高管層打分結果，安永按照下列公式計算出每個風險的得分，并據此對20大風險做出了重要性排序。風險發生可能性=乙每位高管風險發生可能性打分/高管人數風險影響程度=二每位高管風險影響程度打分/高管人數風險總分=風險發生可能性X風險影響程度根據風險總分得出的20大風險最終排序結果請參見第三大部分“風險評估結果”8.1匯總合同有關風險8.2合同風險問卷8.3取得合同清單8.4批閱合同樣本合同名稱合同名稱中山市城鄉居民門診醫療X2TSL11001商用出口合同西安交通大學附屬第一醫院PACS硬件平臺采購Intel咨詢合同OKL開發人員SOW東芝軟件業務委托合同希世軟件業務委托基礎合同結合上述合同管理現狀調研及具體合同條款批閱的具體發現，安永發現與行業最東軟建立了一項合同評審流程與神品流程。合同評審與審批流程重點關注審批職責的授權東軟大量使用客戶合同模板，這導致無法對合同優化采取預應式行動東軟大概并未充分利用其專業經驗來識別與管理合同風險東軟的合同管理指南并未表達其合同管理知識，因此，并不鼓勵標具體問題描述請參見(葉瀧部分)具體問題描述請參見(葉瀧部分)基于上述工作，我們總結、分析了風險評估過程中收集到的各類數據與現場觀察(一)20大風險排序根據第二輪風險問卷中高管層對重要風險的投票結果，我們按照風險得分從高到低的順序將目前東軟面臨的20大要緊風險排序如下。同時，為了幫助管理層掌握風險風險大類：戰略風險足、能力不夠、管控不善等給企業帶來諸如政治風險、財務風險、經營風險、整合風險等諸多風險風險風險行適時調整，從而阻礙企業戰略目標及業務目標實現的風險4組織架構、授權分配及責任劃分不清晰，與企業戰略目標不一致當前的組織架構與企業業務的各部門不一致，影響整個企業架構的有效性現有的組織架構及有關制度與程序無法有效地在全球標準化的基礎上平衡地區國家間的特性4是否制定了有效的市場競爭策略，開展對整體市場及競爭對手的分析熟悉及對不一致層次客戶需求的調研，是否能擴展業務或者保住現有市場份額競爭對手有一定分析，但不夠系統也無人檢查截止到2010年12月31日，以凈利潤增長率為指標，東軟集團在行業排名第25位。其主營業務收入68%來自境內，32%來自境外的風險風險大類：財務風險該風險是指對外幣與匯率的監督不當，從而導致企業的投資回報低于預期、借貸或者者生產成本高于預期，行業中的競爭力下降的風險外幣價格發生不利變動時，國際金融交易可能對企業的資產、負債、成本費用等造成影響從2010年年報中，公允價值變動收益較上年同期減少989萬元，下降107.55%,要緊由于簽訂的外幣遠期結匯合同產生2010年，匯率變化范圍與幅度：歐元：1.18～1.44美元/歐元，22%;日73.39～87.49日元/美元，19%;人民幣：5.57～6.76人民幣元/美元，21%風險大類：戰略風險該風險是指企業未能應用新技術實現企業的比較戰略目標實現的風險該風險是指企業由于不熟悉業務特性、消費者及市場的波動，可能導致不合理的產品結構的風險企業缺少產品整合/捆綁戰略未能根據市場變化與產品需求對產品結構進行調整樹立正直、誠信的道德觀、提升員工的道德水準。同時，公司各層級管理層存在決策效率低下的問題3風險大類：合規風險、運營風險該風險是指企業可能簽訂對企業不利的合同；合同條款的遵循及操縱未能得到有效的執行，導致未將合同條款與銷售戰略結合起來，以合理確認收入或者在正確的期間內確認收入?由于簽約對方地位或者地域的特殊性，使企業執行的合同內容關于企業來說不是最佳條款或者規定，合同條款不清晰(如：沒有明確的賠償條款的確定),發生問題后于難以達成共識，可能會帶來重大的經濟缺失缺乏合同條款審核規范/制度用于指導參與合同審核部門對條款內容的正確完整性進行把握，會導致潛在的合同糾紛該風險是指企業為對信息安全與知識產權進行有效的保護，可能導致企業保密信息泄露、經濟缺失與承擔法律責任的風險者形象受損風險大類：運營風險進行有效預算，可能導致未能支持公司的戰略與成長目標、影響業務擴張與并購活動與公司整體盈利水平的風險未能根據市場與業務條件的變化來更新預算預算的設定未能從操縱的角度出發，或者沒有基于合理的假設風險大類：財務風險、運營風險、合規風險該風險是指企業因未能建立起符合外部監管機構及股東要求的內部操縱環境，如企業內部操縱制度不規范，存在重大內控缺陷等，從而給企業帶來合規或者運營上的風險品/服務，或者提供的質量出現問題而給企業帶來的經濟缺失與客戶流失的風險3企業缺乏業務質量操縱體系缺乏對客戶滿意度進行跟蹤調查總結該風險是指企業對過高人力成本操縱不力，可能導致盈利水平下降，員工流淌率上升的風險數據來源不充分或者不可靠會導致管理層無法做出合理合規的商業決策依靠于手工輸入或者外部來源數據的完整性不可靠對系統進行未授權的變更可能對數據完整性造成負面影響該風險是指公司經營過程中出現的不適當行為、不符合有關法律法規的要求、或者公司員工及其他股東的潛在不規范行為，會對公司形象或者聲面影響風險大類：戰略風險該風險是指企業中不一致崗位員工之間，與與管理層之間未建立互相懂得與信任的溝通基調，由于不良的溝通關系從而可能降低工作效率的風險部門及員工之間信息溝通不暢，未能快速傳達信息關的因素會影響到公司保持或者增加利潤能力的風險面影響o賒銷政策不適當，或者不習慣業務進展需求o應收帳款無法及時收回，繼而影響公司財務狀況32風險關注點公司目前的賒銷政策是否能夠適合現階段公司業務進展的需求是否建立了有效的信用管理機制，用來定期監控各個客戶信用狀況的改變已成型的信用管理機制是否被有效的執行執行有關監控工作的同事是否具有足夠的專業素養，惡化征兆時作出及時反應帳款回款狀況調研見聞“信用風險能夠是對企業內部，也能夠是對企業外部，分為信用與回款兩個層面，均與財務風險直接有關。”經測算，2010年華為技術有限公司應收帳款周轉率為2.5%,應收帳款周轉天數為94天。對比華為，東軟在應收帳款管理方面尚有提升空間(比如我們初步測算的2010年應收帳款回收率為5.2%)目前公司由經營業務部主導與客戶的對賬工作，但目前公司并未建立明確的對賬工作流程，將對賬頻率及需要對賬的重要客戶標準進行明確界定在現場觀察中我們發現目前經營業務部同事盡管發出對為了更好的表達東軟現有重大風險總體管控狀況，我們引用風險坐標這一工具直觀的反應20大風險的具體分布情況。風險坐標是基于各個風險的打分情況及風險總分，將其分為高、中、低三個等級，反應在下圖不一致顏色的區域中(其中綠色為低風險區域，黃色為中風險區域，紅色5432112345結合東軟20大風險的打分結果，我們得出了下列風險坐標分布：風險風險X個，等等(插餅圖);。1)風險發生可能性得分明顯低于風險影響程度得分?風險發生可能性的平均分值為1.9分，而風險影響程度的平均分值為3分；?這一結果表達出管理團隊普遍對目前公司的風險管理策略較有信心，也較為認可目前公司的總體操縱環境，認為非正常的風險風險發生可能性平均分最高的4個風險(平均得分超過2.5分)分別為員工招聘與挽留(2.9)、薪酬福利體系(2.8)、市場競爭(2.7)、外幣與匯率?風險影響程度平均分最高的10個風險(平均得分超過3.5分)分別為公司高層的基調(3.9)、戰略規劃(3.8)、公司內控環境(3.7)、組織結構(3.7)、市場競爭(3.7)、產品結構(3.7)、投資決策(3.7)、員工招聘與挽留(3.7)、董事會表現(3.6)、人力資源規劃及政策(3.6)。2)高、中、低級別風險總體分布情況如下：?綜合風險評估結論與高管層對20大風險的評估結論一致，不存在評級為高?中級風險共有104個，占總風險比例的88%,其余14個為低風險，占總風險比例的12%;3)不一致業務單元的不一致風險偏好：?根據受訪人所處的不一致類型業務單元，我們分別對國總部研發部門總部職能部門04011?由上表能夠看出，總部研發部門負責人與總部事業部負責人的風險打分明顯到了49%,說明其對各項風險因素都比較敏感，風險承受能力較低；低一些，說明區域負責人對公司總體風險水平與管控●總部職能部門負責人與子公司負責人的風險打分較平均分明顯偏低(除了子公司負責人識別出一個影響較大的風險：市場競爭),說明這些業務單元的為了更好的表達東軟現有重大風險總體管控狀況，我們引用風險坐標這一工具直觀的反應20大風險的具體分布情況。觀的反應20大風險的具體分布情況。四、未來風險管理工作建議關于不一致的風險，管理層需根據其可能造成的不一致影響投以不一致的關注程度、明確不一致的管理策略，才能達到雙高效(高效果、高效率)的目的。三個風險需要監控該風險，保證其在可控范圍內中等風險需采取定量手段減少該風險，并制定時間表，保證風險在可控范圍內高風險在未降低風險前，須停止與其有關的經營活動若與此有關的經營活動正在進行中，應擬定完備在未降低風險前，不管其執行代價有多大，與該風動(包含已經開始進行的經營活動)均務必停1)對該風險變化情況進行監控；理、全面的估計；3)制定完善的應急措施、恢復計劃、補制訂恢復計劃調查并采取后續行動通過采取措施將可能風險因素進行化解與行方面的各類缺陷，對風險加以有效的操整改組織體系改善經營措施由于風險過于龐大或者能夠采取的處理措施成本過高，因此管理層決定完全放棄可停止業務活動退出市場撤資改變或者重新確立目標安永建議管理層逐條分析公司目前面對的重大風險，討論確認相應的風險應計策略，并針對風險應計策略制定的應對風險的具體措施，包含采取的應對動作、執行人、為了提高公司整體風險防范能力，我們建議管理層從下列幾方面入手建立與完善o此工作組能夠為非常設機構，由公司要緊領導及負責風險評估等具o工作組應召開定期會議(通常半年一次即可),對當期公司風險總體?在公司范圍內建立風險管控體系(包含風險信息收集途徑、評估方法、匯報機制等),明確各級別員工在體系中的分工?為每項風險因素指定專門的風險管理部門及風險所有人，明確風險管理部門?將風險因素，特別是重要風險因素，與現有內部操縱進行對接，明確各個風?定期(通常為一年一次)進行公司范圍內的全面風險評估，識別新增及產生?根據風險評估結果制定或者更新風險應對計劃，根據當期實際情況調整風險應計策略(三)制定風險預警機制為了更好的追蹤與監控風險變化情況，高級管理層需制定重大風險預警機制，并o由于公司開展新的業務，或者由于國家有關政策、行業競爭等發生o由于經濟大環境、國家政策及行業規范的變化，導致部分風險的發生頻率及影響烈度發生改變。關于那些風險評級可能收到影響而提高的風險(比如風險級別由中等變為高),風險預警機制應給予特別?負責戰略研究與分析的部門應針對上述兩種風險進行持續不斷的監測(包含隨時收集國家政策、行業規范方面的信息，隨時熟悉公司新型業務的開展情況等),并對執行這一監控職能的崗位及監控手段進行明確。?高級管理層需針對這些重大風險制定明確的預警上限，制定預警上限時需要結合公司的風險偏好及風險承受度，并從定量與定性兩方面進行考慮，以達?負責戰略研究與分析的部門應及時對超過預警上限的重大風險實施報警，提?高級管理層應聯合有關部門管理層制定出嚴密的風險應急預案，并根據情況附件1:東軟集團有限公司風險匯總表市場公司治理公司高層的基調公司內控環境法律原料價格波動管理層基調組織結構戰略計劃資金管理戰略規劃投資立項策預測監管貿易供應鏈測組織結構融資預測采購與存貨關系組織結構T能力戰略規劃戰略規劃特殊目的公司間接稅國際貿易收入確認愿景與方向內部操縱要求員工招聘與挽留策員工進展與績資本結構伙制公司新技術應用競爭手段與反貿易薪酬福利體系預測勞資關系特殊目的公司監監管市場因素信息支出民眾生活水平進展災害自然災害溝通與投資者關系與媒體的關系實物資產管信息技術內部員工溝通備稅務管理基建項目管理資產經營計劃附件2:第一次風險調查問卷發放統計表姓名發出時間收回時間1電力事業部副總裁兼事業部陳宏印2電信事業部劉寧寧3章越4IT服務事業部5副總裁兼事業部6交通事業部副總裁兼事業部王鳳冽7數字媒體與教育祁山8企業解決方案賈彥生9副總裁兼事業部徐洪利移動互聯網副總裁兼事業部郭壯合作伙伴產品軟件產品事業部副總裁兼事業部網絡安全產品營銷中心副總裁兼中心總簡國棟國際合作事業部熊海平