GB/T24353-2022《風險管理指南》之10：“6風險管理過程--6.7記錄和報告”專業深度解讀和實踐應用培訓指導材料雷澤佳編寫2025C1附件A：2025年企業全面風險管理報告（模本）（基于《中央企業全面風險管理指引》(國資發改革〔2006〕108號)和GB/T24353-2022《風險管理指南》）1.年度風險管理工作總體情況模塊內容要點填報要求1.1風險管理工作執行情況1)風險管理框架執行情況（參照GB/T24353條款5.4）

2)重大風險管理成效：

-純粹風險降本/止損金額

-機會風險創造價值金額

3)風險事件庫覆蓋范圍（本企業/國內/國際案例）量化成果需注明計算依據

機會風險需標注捕獲機制（指引第八條）1.2風險事件分析1)近三年重大風險事件統計（2023-2025）：

-事件分類（戰略/財務/運營/法律/市場）

-發生頻率與損失程度趨勢

2)根本原因分析與改進措施（附RCA報告編號）按指引第七條（五）要求披露危機處理計劃執行效果

需說明事件是否涉及“三重一大”事項（指引第四十五條）2.重大風險管理工作規劃模塊內容結構合規要求2.1重大風險識別1)風險描述（每項含）：

-風險類別（按指引第三條分類）

-風險源（GB/T243533.4）

-關聯核心流程

-潛在后果（定量+定性）

2)風險坐標圖：

-橫軸：可能性（1-5級，采用指引附錄標準）

-縱軸：影響程度（1-5級，區分財務/運營/聲譽影響）

-標注純粹風險與機會風險（指引第三條）需附風險坐標圖及評級標準依據（GB/T243536.3.4）

低概率高影響風險單獨說明（如網絡安全、供應鏈斷鏈）2.2風險管理流程1.

風險評估：

-初始信息收集范圍（指引第十一至十六條）

-評估方法（蒙特卡羅/KRI/情景分析等，指引附錄）

-同比風險變化分析

2.

風險應對（GB/T243536.5）：

-策略類型（規避/轉移/接受/利用）

-關鍵風險指標（KRI）及預警閾值

-資源分配方案

3.

監督改進：

-董事會/風險管理委員會監督職責（指引第四十五、四十七條）

-內審部門年度評價計劃（指引第四十條）風險管理工具需標注適用場景（指引第二十七條）

解決方案需包含壓力測試安排（指引附錄）2.3年度實施方案1)目標對齊：風險管理目標與企業戰略目標關聯性（GB/T243535.3）

2)實施計劃：

-里程碑節點

-責任主體（明確三道防線職責）

-資源保障（預算、技術、人力）需體現“整合性原則”（GB/T24353原則a）

重大風險應對需經董事會批準（指引第二十六條）3.風險管理體系與文化現狀領域匯報內容附件要求3.1組織體系1)治理結構：

-董事會下設風險管理委員會構成（外部董事≥50%，指引第四十四條）

-專職部門設置（指引第四十九條）

2)所屬企業覆蓋：三級以上子公司風險管控架構附組織架構圖及職責清單（含審計委員會監督職能，指引第五十條）3.2內控與信息系統1)內控系統：

-重要流程管控點（指引第三十四條九項制度）

-年度缺陷改進率

2)信息系統：

-風險監控實時性（指引第五十五條）

-與ERP/BI系統集成度標注內控遵循《企業內部控制基本規范》

系統需支持風險組合分析（指引第二十三條）3.3文化與考核1)文化建設：

-年度培訓人次/覆蓋率（指引第六十五條）

-員工行為準則執行情況

2)考核機制：

-KPI權重（≥10%，指引第六十四條）

-所屬企業考核掛鉤比例需說明“持續改進”機制（GB/T243535.7）

附培訓課程清單及考核結果應用案例4.意見與建議類別內容框架需上級或行業主管部門協助事項1)跨企業風險協同：跨境數據合規/供應鏈金融風險

2)政策支持：風險準備金計提標準優化工作建議1)建立行業風險信息共享平臺（符合GB/T243536.2溝通原則）

2)推廣風險量化工具（蒙特卡羅/失效模式分析）“6.7記錄和報告”工作流程表一級流程二級流程三級流程流程活動實施和控制要點流程輸出/成文信息策劃機制定義框架制定策略-明確記錄和報告的目標（支撐決策、改進、合規）

-建立風險信息分級標準（含機密/敏感/公開）

-設計差異化的報告矩陣（按相關方層級定制）風險管理記錄與報告策略

相關方信息需求矩陣資源配置工具部署-選擇RMIS系統/數字化平臺（支持自動采集、版本控制）

-配置安全措施：加密訪問、審核日志、備份機制（符合信息安全要求）系統安全配置清單

數據管理權限表記錄管理創建記錄過程記錄-實時記錄風險管理各環節：風險識別（源/事件/后果）、分析模型與假設（附不確定性說明）、應對方案選擇依據（成本效益分析）

-確保要素完整：風險唯一ID、責任主體、版本號風險登記冊

風險評估會議紀要

應對方案比選記錄信息處理敏感信息保護-執行最小權限原則訪問控制

-機密數據加密存儲

-定期銷毀過期記錄（留存周期按法規/運營需求設定）信息訪問日志

數據銷毀證明報告編制整合分析提煉關鍵信息-從記錄中提取決策相關數據：重大風險狀態變化、應對措施有效性（如敞口縮減率）、剩余風險熱力圖

-關聯戰略目標（使用BSC/OKR工具）風險數據集市

風險-目標關聯分析表定制化輸出差異化報告生成-按受眾需求生成報告版本：

?董事會版：聚焦戰略風險全景與治理銜接

?業務層版：操作風險細節+KPI偏差

?監管版：合規證據鏈季度風險簡報（高管）

月度風險預警（業務）

ESG合規報告（監管）分發溝通動態傳遞觸發式報告-定期報告（季度/年度）+事件觸發報告（如風險等級突變）

-通過安全渠道傳遞（郵件加密/門戶系統）重大風險事件快報

年度風險管理報告反饋收集相關方確認-獲取決策層對報告的批復意見

-收集業務單位執行反饋報告簽收確認單

相關方反饋記錄驗證改進質量驗證記錄與報告審核-定期檢查：記錄的存在性/準確性/及時性，報告的相關性/可操作性/成本效益

-使用區塊鏈存證確保數據溯源記錄審核報告

報告效用評估表持續優化教訓閉環-分析報告中的失效案例（如重復風險事件）

-修訂流程/模板（如更新風險準則），納入知識庫風險管理改進措施記錄

流程優化備忘錄“6.7記錄和報告”過程審核檢查單受審核過程受審核活動審核具體內容和要點所需驗證的成文信息策劃機制定義框架目標與策略一致性

-是否明確定義記錄和報告的核心目標（決策支持/改進/合規/相關方溝通）？

-策略是否覆蓋信息敏感性分級（機密/敏感/公開）？

-相關方信息需求矩陣是否動態更新？風險管理記錄與報告策略

相關方信息需求矩陣

信息分級標準文件策劃機制資源配置工具與安全合規

-RMIS/數字化平臺是否支持自動采集、版本控制？

-信息安全措施是否到位（加密訪問、審核日志、備份機制）？

-權限管理是否符合最小權限原則？系統安全配置清單

數據管理權限表

系統操作日志樣本記錄管理創建記錄完整性與時效性

-風險記錄是否覆蓋全過程（識別→監控）？

-關鍵要素是否完整（風險唯一ID、責任主體、版本號）？

-是否在活動發生后及時記錄？風險登記冊

風險評估會議紀要

風險應對方案比選記錄記錄管理信息處理敏感信息保護

-機密數據是否加密存儲？

-訪問控制日志是否完整可追溯？

-過期記錄是否按留存周期安全銷毀？信息訪問日志

數據銷毀證明

信息分級標識樣本報告編制整合分析決策相關性

-報告內容是否提煉自風險記錄關鍵數據？

-是否分析風險與戰略目標的關聯性（如BSC/OKR）？

-剩余風險熱力圖是否反映當前狀態？風險數據集市

風險-目標關聯分析表

風險熱力圖樣本報告編制定制化輸出受眾適配性

-是否按相關方層級生成差異化報告？

-董事會報告是否包含治理銜接內容？

-監管報告是否提供完整合規證據鏈？季度風險簡報（高管版）

月度風險預警（業務版）

ESG合規報告分發溝通動態傳遞及時性與安全性

-定期報告是否按時分發？

-重大事件觸發報告是否在約定時限內發出？

-傳輸渠道是否符合保密要求？重大風險事件快報及發送記錄

年度風險管理報告簽收單

加密傳輸系統日志分發溝通反饋收集閉環管理

-是否收集決策層對報告的批復意見？

-業務單位執行反饋是否用于改進報告？報告簽收確認單

相關方反饋記錄

反饋處理行動跟