1、全面風險管理體系建設 實務操作講解,迪博企業風險管理技術有限公司 中國領先的內部控制/風險管理解決方案提供商,為承諾負責，竭盡全力,發展 創新 品牌,34,1,2,6,5,4,3,不定,12周,4周,12周,3周,2周,1、項目準備與規劃：,理清公司對內部控制工作的具體需求； 根據自身需求制定短期、中期及長期內控工作規劃； 建立恰當的組織機構確保內部控制建設、維護及評價工作能有效運行； 明確本年度內控工作計劃， 明確內控工作推展的方式（公司自己完成，中介機構指導完成，或中介機構主導完成） 明確相關預算（預算包括資金和人力資源）,積極參與相關培訓 積極與有相關工作經驗的兄弟公司的溝通交流 與中介

2、機構充分溝通（咨詢公司、會計師事務所）,內控工作短期、中期及長期規劃 內控工作組織架構及職責分工 2012年內控工作計劃、推進方式 內控工作預算,主要工作內容,可獲取的外部協助,工作成果,不定,時間,準備與規劃,本年度內控需要重點關注的,2011 -2012年,2012年 2013年,2013年及以后,短、中、長期內控工作規劃,短、中、長期內控工作規劃,短、中、長期內控工作規劃,迪博項目總負責人,高級管理層,總部主要部門領導,項目管理小組,迪博項目副總 項目總監,項目領導小組,決策、部署、指揮,核心職能,組織、協調、溝通,執行、確認、反饋,培訓、指導、復核,結合我們為眾多公司提供風險管理及內部

3、控制咨詢服務的經驗，我們認為建立如下的項目組織架構，能夠為本項目的實施提供有力的保障和支持：,項目工作小組,各子公司內審內控人員 各子公司內控專員,迪博項目經理 項目助理經理 高級顧問、顧問,項目組織架構建議,在項目領導小組、項目管理辦公室和項目團隊具體人員構成方面，我們的建議如下：,項目領導 小組,項目總負責：董事長 領導小組：董事會成員、董事會秘書、監事會主席、副總裁、高級總裁、總裁助理，試點單位負責人及各分管副總 中介機構成員：項目負責人,項目管理 小組,人數：6 - 8人 主任：總部審計部負責人 成員：董事會辦公室、財務、審計、信息系統、人力資源等職能部室負責人 中介機構成員：項目副總

4、、項目總監,項目工作 小組,人數：每組20人左右 每個單位組成一個項目工作小組，每組20人左右，包含1名迪博項目經理，1名迪博經理助理，1-3名迪博咨詢顧問，15名左右員工，先后開展總部及下屬事業部的工作 組長：組長均由迪博項目經理擔任 組員（公司）：總部審計部員工需要23人，各子公司共抽調15人， 組員（迪博）：共派出10名左右員工，其中高級顧問占比30%、咨詢顧問占比40%,項目組織架構建議,為了確保內控評價工作的效率和工作質量，我們建議在項目實施過程中，公司總部應有12人參與整個項目的管理和協調。 此外，各子公司各部門負責人還需要負責協調組員的日常工作與風險管理工作的比例，使得組員能夠有

5、充足的時間完成項目組的工作。而內控小組成員應符合以下標準：,溝通、表達能力強，領悟力高； 學習能力強，并對風險管理和內控相關領域有興趣； 對風險管理和內部控制的基礎知識有初步的認識； 對貴公司的整體業務和運營現狀有全局的認識； 在貴公司的工作年限大于2年； 熟悉公司其他部門的主要骨干，人際關系良好； 有較強的書面撰寫能力。,項目組織架構建議,2、項目啟動階段：,編制項目管理章程，明確項目進展中的關鍵內容 進行定量定性的專業分析，最終確定項目具體工作范圍 確定及細化項目推進計劃 參加啟動大會并對項目組成員進行內控基礎知識培訓 針對項目小組成員進行更具體的內控實務培訓,共同參與制定項目管理章程 提

6、供項目范圍確定所需要的資料 項目管理組成員參與討論、審核項目總體范圍和推進具體計劃 協調安排項目啟動會相關事宜 組織各公司各主要部門挑選合適的小組成員 組織對項目小組成員的內控實務培訓,項目章程 啟動會議程及培訓材料 項目范圍確定文檔 項目推進具體計劃 內控工作小組名單 內控培訓資料,主要工作內容,公司需配合事項,工作成果,12周,時間,項目啟動計劃,舉 例,舉 例,項目章程,項目章程,舉 例,具體工作計劃,舉 例,舉 例,舉 例,啟動大會及培訓資料,與各相關方的溝通應貫穿于整個項目過程，利用定期和不定期溝通，協商和提交工作計劃、分享發現及問題，密切監控項目進度。,2.4 項目溝通,項目周報展

7、示,舉 例,舉 例,舉 例,項目溝通,項目簡報,舉 例,舉 例,舉 例,2.4 項目溝通,風險評估,3、風險識別評估階段,主要工作內容,需貴公司配合事項,工作成果,時間,根據公司整體經營目標、管理策略和業績衡量標準，初步討論公司潛在的風險來源； 就公司的風險分類及定義、風險評估標準、風險評估方法等內容提出建議，形成初步風險數據模型、評估標準文檔； 通過定量、定性的風險評估，評價企業層面風險，并依據其重要性，對各項風險進行優先排序。,提供風險識別、分析和評估所需要的基礎數據，并為整理基礎數據提供必要支持（如：提供文檔，接受訪談等） 組織審閱確認、填寫和反饋風險調查問卷 協助安排相關人員按照約定的

8、時間參與風險訪談 確認風險診斷結果,風險調查問卷 風險調查問卷和風險診斷統計結果 重大風險排序結果,48周,風險識別評估,風險框架及風險事件庫介紹,19,國資委中央企業全面風險管理指引把風險一般可以分為五大類： 戰略風險 財務風險 市場風險 運營風險 法律風險,風險框架及風險事件庫介紹,利用迪博制造行業已有的風險事件庫，結合本公司的經營狀況、業務特點，對公司的戰略風險、市場風險、運營風險、財務風險、法律風險五大方面進行了評估，通過管理層訪談及風險問卷調查相結合，全面識別公司的風險事件，建立公司的風險分類框架。,按照五大類風險涉及的業務領域或業務流程劃分二級風險，具有行業共性，可根據企業實際特殊

9、情況進行調整。 按照二級風險涉及的管理領域細分或者業務流程細化，分解出的三級風險，具有行業共性，可根據企業實際特殊情況進行調整。,20,通過收集資料，對收集的管理制度或辦法、年度經營計劃、經營分析內容及形式、內控管理制度等進行了初步研究與學習，對組織架構和職能設計、內部資源使用效果、管理體系運行進行深入分析，通過專業網站等渠道了解行業的市場環境、產業前景、同行業發展狀況等，分析公司業務板塊所面臨的風險環境、潛在的內外部風險。結合風險問卷調查及風險訪談，初步整理出總部及各試點公司的風險分類框架圖及風險事件庫。,風險框架及風險事件庫介紹,收集 分析 初步整理,具體分析 全面識別,歸納整理 統一定義

10、,風險框架和風險事件庫的形成,逐條分析和整理具體風險事件，合并同類風險，剔除多余風險，全面辨識出中聯重科當前存在的可能會影響公司目標實現的五大類風險。,對辨識出的風險事件歸納整理、統一定義，結合各個風險事件的屬性信息， 經過系統辯識和篩選，最終整理出公司面臨的5大類風險下的二級風險、三級風險，針對三級風險，提煉出的引發該項風險發生的不確定性事件。,21,風險框架及風險事件庫介紹,風險框架和風險事件庫的維護與更新,當企業外部壞境（如政治和法律環境因素、經濟環境因素、技術環境因素、社會環境因素）和內部壞境（如組織架構調整，企業戰略規劃調整、企業政策調整）變化可能導致企業面臨新的風險或原有風險不再適

11、用。當風險不再適用時，企業應及時刪掉不適用的不風險；新增加的風險及時更新到風險事件庫中，更新風險框架。,22,風險問卷調查表模板簡介,風險調查問卷表：旨在通過公司管理人員評估風險，定量化風險等級，更好掌握公司風險實際情況，為提出風險應對措施提供依據。 風險調查問卷表包括：問卷封面、問卷填寫說明、問題填寫表、風險評估標準、填寫示例、風險分類框架六個子表。,23,風險問卷調查有個兩個特色： 一是將風險識別與風險評估同步進行，提高了工作效率； 二是充分利用迪博已有風險數據庫，幫助企業快速識別所適用的風險，但同時也開放了新增特有風險的權限，并在填寫指導中詳細說明了如何識別新增風險，最終經過分析整理形成

12、了有企業個性的風險數據庫。,已有數據庫,判斷是否適用，可修改和補充,風險問卷調查表模板簡介,風險問卷調查表工作程序風險識別,風險問卷調查的工作程序可以分為4個階段：風險識別階段、制定評分標準、填寫風險調查問卷、調查問卷的更新與維護。 風險識別階段：通過對公司的戰略風險、市場風險、運營風險、財務風險、法律風險五大方面進行了評估，識別出公司所面臨的風險。 在風險識別中，首先引用行業的固有風險，再根據對公司領導、各部門主管領導、關鍵崗位人員訪談來識別出公司特有風險，最后從戰略、市場、運營、財務、法律五方面歸類風險，并編制風險分類框架表。,風險調查表工作程序制定評分標準,風險發生的可能性和影響程度兩個

13、維度設計了明確的風險評估標準。 風險發生可能性：采用定性與定量相結合的方式，定性方式通過判斷風險發生的頻率來確定；定量方式參考了歷史經驗數據及管理層的風險偏好及承受度。,風險影響程度：從對公司經濟價值的影響、人員健康安全、公司持續健康發展、企業形象四個維度分析。,風險調查表工作程序制定評分標準,一級風險： 填寫五類風險中所屬于的風險。 二級風險： 對一級風險，按照其涉及的業務領域或業務流程劃分的二級風險的名稱。 三級風險： 按照其涉及的管理領域細分或者業務流程的細化而分解出的三級風險名稱。 風險事件： 針對三級風險，提煉出的引發該項風險發生的不確定性事件。 是否適用： 風險評估部門首先需要對該

14、風險類別及風險事件進行識別與確認，如果選擇適用，則需要進行評分，如果選擇不適用，則需要在后面輸入不適用原因，如果選擇適用但需修改，則需要在后面輸入修改后的風險事件描述。,風險問卷調查表工作程序-填寫問卷,1,2,3,5,4,5,4,3,2,1,風險問卷調查表-舉例,風險發生可能性：根據風險發生可能性的評分標準打分。 風險影響程度：根據風險發生可能性的評分標準打分。 “修改”后的描述或“不適用”的理由：風險事件描述適用但需要修改的在此欄填寫；風險事件描述不適用的則填寫不適用原因。 主要管理部門：填寫該風險管控的主體責任部門。 輔助管理部門：填寫為該風險管控提供協助及支持、配合的部門。,1,2,3

15、,4,5,5,4,3,2,1,30,風險問卷調查表工作程序-填寫問卷,對于風險調查問卷的每一項填寫方法，在表填寫示例中均以批注的方式，詳細說明了填寫方法，確保在填寫過程中的正確性。,風險問卷調查表填寫示例,31,風險問卷調查表-更新與維護,風險調查問卷表更新與維護：當企業外部壞境（如政治和法律環境因素、經濟環境因素、技術環境因素、社會環境因素）和內部壞境（如組織架構調整，企業戰略規劃調整、企業政策調整）變化可能導致企業面臨新的風險或原有風險不再適用。當風險不再適用時，企業應及時刪掉不適用的風險；新增加的風險及時填寫新增風險登記表并更新風險分類框架中。,如果只是增加風險事件，則參照風險分類框架，

16、在一級風險、二級風險、三級風險列明增加的風險事件對應的風險類別。,如果只是增加風險事件，則參照風險分類框架，在一級風險、二級風險、三級風險列明增加的風險事件對應的風險類別。,32,風險評估表模板介紹,風險評估表是對問卷調查結果的匯總整理，取各部門評分結果的平均，提高評分的準確度和可信度。 風險評估問卷 ：從風險問卷調查表中引入，詳細內容介紹見前。 平均風險發生可能性：風險問卷調查表中各個部門對風險發生可能性的打分的平均值。 平均風險影響程度：風險問卷調查表中各個部門對風險影響程度的打分的平均值。 評分部門數量：有效參與風險評分的部門數量。,1,2,3,4,2,3,4,1,33,風險評估表模板介

17、紹（續）,綜合計算各部門打分結果，即求所有實際參與部門打分分數的平均值。,原始評分,綜合得分,34,風險分布圖模板介紹-計算二級風險得分,根據風險評估表中確定的風險得分，計算二級風險的風險值。,兩個數值的平均值即為二級風險戰略管理風險的風險發生可能性分值；以此方法計算風險影響程度分值。,35,目的：對中高層管理人員進行訪談，了解公司在戰略、經營管理和職能目標方面，風險和措施情況。,企業高速發展過程中有哪些問題？ 存在哪些風險？ 目前有沒有相應控制措施？ 沒有措施或措施不到位可能造成什么影響？,36,風險訪談,風險訪談階段及內容,公司主要業務都包含在訪談計劃內 嗎？ 訪談計劃銜接性強嗎？ 訪談提

18、綱內容完整嗎？問題有沒有 歧義？問題順序設置合理嗎？ 訪談時間、地點確定了嗎？ 我對訪談人分管業務了解嗎？,快速打開電腦或者紙和筆記本。 注意提問的速度。 留給足夠的回答時間。 不用問題用提升、幫助等字眼 提問。 控制被訪談人的夸夸奇談。 禮貌打斷被訪談人的滿腹牢騷和話題偏離,風險訪談,訪談內容主要涉及： 1、本部門的組織架構、管理職能、相關制度、系統應用等基本情況 2、對下屬各個子部門間管理和控制 3、公司面臨著怎樣的機會與威脅 4、本次內控體系建設在風險管理流程中重點關注哪些方面,訪談人,被訪談人,訪談時間,訪談目的： 1、了解在公司戰略、經營管理和職能目標方面，風險和措施情況。 2、了解

19、內控體系建設、流程梳理及優化等方面的具體想法和期望等,訪談計劃與訪談提綱,風險訪談,合理選取提問方式,1、開放式的問題，讓被訪談人沒有確切的指引性回答，其可從現在的分管工作情況、目前存在的問題、優秀的管理模式等多方面進行介紹； 2、訪談人抓住被訪談人釋放的信息，針對反映的問題，縮小提問的范圍，深入挖掘； 3、針對被訪談人反映的風險點，訪談人可以采用封閉式的問題獲知目前是否已采取措施進行改進，改進的效果是否得當等。,開放式問題,封閉式問題,39,風險訪談,訪談記錄整理的原則： 1、及時性 能夠減少信息遺忘與失真的程度，保證訪談信息的準確和完整性。 2、規范性 有利于公司整體風險的分析與匯總，保證

20、查閱的便捷性。,40,風險訪談,風險分布圖模板介紹-風險排序、風險得分,根據風險發生可能性與風險影響程度計算風險的綜合得分（可能性與影響程度數值相乘，再結合與高管訪談的風險信息和業務流程內控評價發現的問題，對該風險進行適當調整并確定最終得分。）,歸結出企業面臨風險的整體風險等級情況（綜合得分在9分以上的為重大風險，標為紅色；分數在4-9之間則為中等風險，標黃色；綜合得分在4分以下則為低風險，以綠色標示。,根據風險綜合得分對風險進行排序,41,風險分布圖模板介紹-風險坐標地圖,在風險分布圖模板中，將數據復制到風險綜合評分排序表中后，在附表風險分布圖中將自動生成風險坐標地圖。,風險坐標地圖,42,

21、風險分布圖-更新與維護,風險分布地圖更新與維護：當內外部壞境變化導致風險調查問卷表更新時，風險綜合評分排序表格應隨著更新，之后更新后的風險綜合評分排序來重新生成風險分布圖。,43,風險評估報告模板介紹,風險評估報告：是對企業面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用而帶來風險的可能性的評估。,44,風險評估報告模板介紹風險評估報告目標及作用,風險評估報告目的和作用,提升員工整體的風險意識和水平 搭建以風險為導向的內部控制管理體系的整體框架 促進內部控制及風險管理文化自上而下的建設 全面、客觀地辨識、分析和評價企業的風險事件，抓住內部控制的主要環節，以有效利用管理資源,45,風險評估報

22、告模板介紹風險評估工作范圍,風險評估工作范圍：根據2008年6月財政部及五部委發布的企業內部控制基本規范及2010年4月發布的企業內部控制應用指引相關規定，及中聯重科公司的經營狀況、業務特點，參照國務院國資委發布的中央企業全面風險管理指引框架要求，對公司的戰略風險、市場風險、運營風險、財務風險、法律風險五大方面進行評估。,企業內部控制基本規范,企業內部控制應用指引,中央企業全面風險管理指引,46,風險評估報告模板介紹-風險評估工作思路,風險評估工作思路：,把握風險整體狀況 并兼顧業務重點,注重夯實內部 控制管理基礎,突出風險評估在制度與內 控體系建設中的導向作用,實現風險 評估目的,47,風險

23、評估報告模板介紹-風險評估工作程序及方法,整理風險事件 風險歸集與分類,組織籌備 資料收集 資料分析 風險訪談,確定評價范圍與形式 制定評價標準 風險量化測評 評價結果整理,風險辨識,風險分析,風險評價,風險評估工作程序及方法：,48,風險評估報告模板介紹-風險評估工作程序及方法,如何進行風險辨識：,組織籌備: 組織籌備包括成立聯合項目小組、明確領導小組、工作小組、各部門業務接口人，并制定詳盡的工作計劃等； 資料收集: 收集內容主要包括各主要流程的的政策制度、管理辦法，項目組成員在深入現場的時候了解到的日常工作表單，以及進行風險問卷調查時回收的風險調查問卷等； 資料分析: 對收集到的資料進行對

24、進行了步研究與學習，對公司的組織架構和職能設計、內部資源使用效果、管理體系運行進行深入分析；同時，通過專業網站等渠道了解公司所面臨的風險環境、潛在的內外部風險等，梳理出公司風險管控現狀和內控實施效果； 風險訪談: 與公司領導及各部門主管領導、重點部門關鍵崗位人員逐一進行訪談溝通，了解業務管控方式、管控效果和以往風險案例,并結合訪談進一步完善風險框架和風險信息庫。,49,風險評估報告模板介紹-風險評估工作程序及方法,如何進行風險分析：,整理風險事件 通過訪談、發放風險評估問卷和基礎信息統計等方式，全面辨識出中聯重科當前存在的可能會影響公司目標實現的五大類風險，并收集相應的風險屬性信息，辨識出公司

25、當前可能面臨的各類風險事件，形成中聯重科風險事件庫； 風險歸集與分類 通過對辨識出風險事件歸納整理、統一定義，結合各個風險事件的屬性信息， 經過系統辯識和篩選，參照國資委中央企業全面風險管理指引的分類，5大類風險分別是戰略類風險、市場類風險、運營類風險、財務類風險、法律類風險，并整理出風險框架及風險數據庫。,50,風險評估報告模板介紹-風險評估工作程序及方法,如何進行風險評價：,確定評價范圍與形式 主要通過發放風險評估問卷，讓各個業務部門對其職能管理范圍內的風險進行評價，對每個風險的評價從風險發生可能性和影響程度兩個維度進行考慮。風險評估問卷覆蓋了總部及試點公司各部門，由各部門組織本部門內部討

26、論，各部門負責人進行填寫，對風險發生可能性和影響程度進行打分，同時也可發表對公司其他管理領域風險的評價意見，作為項目組深入了解風險的參考信息。 制定評價標準 項目組從風險發生的可能性和影響程度兩個維度設計了明確的風險評估標準。 風險量化測評 風險的綜合特性是發生可能性和影響程度兩個風險指標的分值綜合作用的結果，兩個維度的分值決定了公司所面臨的各個風險的重要性程度和風險等級。項目組用兩個維度的乘積作為量化測評的綜合得分，整理出風險評估排序及分布圖。 評價結果整理 根據評估結果制作風險坐標圖，并整理描述重大風險的狀況及重要風險的狀況。,51,風險評估報告模板介紹-重大風險分析,重大風險分析：對風險

27、評估結果中的前五大風險從不同的維度進行深入的分析，內容包括該項風險的定義、表現及成因分析。,XXXX公司前五大風險列示：,52,風險評估報告模板介紹-重大風險應對,53,行業對宏觀政策依賴大，且兩大宏觀政策調控，為企業下游市場帶來較大沖擊。 行業壁壘消失、競爭對手增加。 市場容量有限，行業產能過剩。,市場競爭風險表現及原因,主要策略,53,公司司應該通過對政策，宏觀層面的分析把握和預測市場的發展，明確市場變化趨勢，并將其確定為管控目標。 公司應該加強市場調查，獲取客戶需求，結合自身和競爭對手的特點制定營銷政策。 企業內部應該加強市場部門、制造部門和技術研發部門的聯系，確保快速的調整市場政策面對

28、市場可能的變化。,54,戰略管理風險表現及原因,應對策略,應確保企業建立發展戰略管理議事機構，明確職責權限及議事規則，保證企業戰略的制定有據可循，科學全面、客觀可行并得到得到合理的審批。 應確保公司戰略能合理準確的進行分解并保證其分解落實情況及時、準確傳遞到內部各管理層級和全體員工。 應確保加強對發展戰略實施情況的監控，定期收集和分析相關信息，對于明顯偏離發展戰略的情況，應當及時報告和調整,戰略的分解未有效落實，導致戰略無法落地。 戰略的實施過程未有效的監控，導致可能出現的偏差未得到及時的調整。,風險評估報告模板介紹-重大風險應對,55,銷售信用風險表現及原因,應對策略,公司應建立客戶信用評價

29、機制，明確客戶信用管理要求，如對于引入的新客戶應當建立綜合評價機制，包括財務信用狀況、支付能力、盈利能力等，根據綜合評價結果給予適當的信用額度和對應的信用等級。 設置專門崗位對客戶信用信息進行動態管理，定期更新客戶信用信息；利用信息管理技術實現客戶信用信息動態管理；建立預警機制，在發生實質性違約前有關部門采取相應有效措施。 確保信用評審部門的獨立性及權威性。,客戶信用管理辦法不夠細化，或對客戶信用監控程序不合理，可能導致信用風險。 對客戶信用進行調查、評估的獨立性及權威性可能被忽略，以銷售規模為導向的業績考核可能導致信用控制失效。,風險評估報告模板介紹-重大風險應對,56,制定采購管理制度，加

30、強采購職能，明確采購管理流程。 擴大集中采購管理模式。 加強采購尋源，擴大供應商基礎。 建立戰略采購合作關系，提高合作廣度與深度。 采購管理部門應根據公司中長期規劃、年度經營計劃制定匹配的采購中長期規劃、年度采購行動計劃，確保采購計劃與公司戰略目標和經營計劃相匹配。,采購供應風險表現及原因,應對策略,未進行與公司生產經營相匹配的采購計劃，將可能導致采購物資過量或短缺，或者采購效率低下，影響企業正常生產經營。 未建立供應商的戰略采購機制，無法有效的控制采購成本。 未建立供應商定期評估，不利于提高合作關系 對外包業務缺少監控,風險評估報告模板介紹-重大風險應對,57,人力資源風險表現及原因,應對策

31、略,人力資源部門應按照公司總體發展戰略規劃方向，對人力資源發展規劃及實現路徑進行制定，確保有力支撐總體發展戰略的實現。 確保按照規劃及設計的方式，及時高效地組織招聘。并保證入司和離職都符合國家法律。 建立結構合理的薪酬體系，明確合理的內部員工晉升機制。 企業需建立一套完備的員工培訓流程，對員工培訓評估應由各部門開展，由部門負責人予以審核，并經人力資源部匯總審批并保留審核記錄。,人力規劃不合理，不能保證人員與公司發展或業務需求相匹配。 崗位設置和職責權限尚未系統明確。 考核體系有待進一步公平、公正發揮積極有效的促進作用。 現有培訓體系可能落后于公司發展所需員工能力提高的速度，影響對業務發展、管理

32、需要的支撐。,57,風險評估報告模板介紹-重大風險應對,58,缺陷類型：制度缺失,解決方案,企業應該對供應商建立完整的管理制度，包括供應商的準入和退出條件和評價體系，并由獨立的部門進行供應商的評估和維護供應商庫，加大集中采購以達到提高采購效率、質量和降低采購成本的目的。 企業的人力資源部應該對企業的關鍵崗位進行梳理，對于潛在風險系數較高的崗位進行強制性的定期輪崗以防止舞弊風險。 建立完善的質量管理制度和標準化流程。明確各級質量事故標準和上報途徑。建立嚴格的質量考核體系。以提升企業產品的質量。,未制定供應商管理辦法對供應商管理進行規范。 未建立定期輪崗制度。 未形成完整成型的質量管理制度 ,58,風險評估報告模板介紹-重大風險應對,59,缺陷類型：制度設計不合理,解決方案,舉報制度中對舉報人的保護缺乏規定。導致舉報人無法放心的進行舉報。建議舉報制度中明確督察部在保護舉報人方面的職責，并通過信息技術手段保證舉報過程和內容的安全性。 建議關聯交易決策制度 中明確對交聯方交易管控的指標，比如關聯方交易額度。 建議建立統一的客戶資信管理平臺，整合總部按揭管理部、營銷公司資金管理部、融資租賃針對分期、融資