《某集团公司下属子公司内部审计风险评估实施》由会员分享,可在线阅读,更多相关《某集团公司下属子公司内部审计风险评估实施(12页珍藏版)》请在金锄头文库上搜索。
1、内部审计风险评估实施细则内部审计风险评估实施细则第一章第一章 总总 则则第一条第一条 为贯彻国务院国有资产监督管理委员会下发的中央企业全面风险管理指引和 COSO 内部控制规范中对“风险评估”工作的要求,建立科学的、规范的、系统的风险评估方法和流程,强化风险评估工作的组织管理,有效推进风险评估工作的实施,合理确保公司发展战略及经营目标的实现,结合公司实际,制定本实施细则。第二条第二条 本实施细则中所指的“风险”是指未来的不确定性对企业实现其经营目标的影响或带来的损失,包括战略、财务、市场、运营和法律等五类风险领域。第三条第三条 风险按是否考虑有关内部控制的状况而划分为固有风险和剩余风险两大类。
2、固有风险是指在不考虑相关内部控制体系的存在和有效性的情况下,企业在运营中所面对的不能实现经营目标的潜在风险;固有风险由两个重要因素组成:风险的影响程度和风险的发生机会, “风险的影响程度”是指特定风险对企业影响的重要程度, “风险的发生机会”是指企业发生特定风险的可能性程度(或频率、概率) 。剩余风险是指在考虑相关内部控制体系的存在和有效性情况下,影响企业实现经营目标的风险。如果没有任何内控措施的情况,则剩余风险就等于固有风险。第四条第四条 风险评估是风险管理工作的重要组成部分,本实施细则所指的风险评估是指由公司内部审计部门牵头组织、其他各业务单位共同实施的,对公司各主要职能、业务部门是否存在
3、重要风险、以及是否对相关重要风险建立适当内部控制措施、内部控制措施是否得到有效遵循而进行辨识、分析和评价的过程,即对公司的固有风险、内部控制的存- 2 -在性与遵循情况和剩余风险进行辨识、分析和评价的过程。第五条第五条 本实施细则适用于公司及其下属单位。第二章第二章 风险评估组织管理风险评估组织管理第六条第六条 在公司各业务部门和各级单位开展风险管理工作的基础上,公司内审部根据集团公司内审部的工作计划及相关要求每年度对各风险领域开展评估工作。第七条第七条 风险评估组织方式公司内审部根据集团公司内审部的要求组织成立公司风险评估项目工作组,负责牵头组织本公司层面的风险评估工作。各业务单位按相关要求
4、成立相应的评估小组,共同实施评估工作。第八条第八条 风险评估项目工作组职责风险评估项目工作组由组长、副组长和评估员组成,主要职责为:(一)根据集团公司内审部的指导意见和相关要求,结合公司实际,编制、修订风险评估调查问卷。(二)制定公司风险评估计划、方案。(三)下发风险评估通知文件。(四)召开风险评估工作启动会议。(五)实施风险评估工作并监控风险评估过程。(六)完成公司风险评估报告。第九条第九条 评估项目工作组职责划分(一)组长原则上由公司内审部负责人担任,副组长由公司内审部人员担任,主要负责计划、组织、监督、指导、协调评估项目各项工作的全面落实,以及风险评估报告的编制等,具体职责包括:1制订风
5、险评估工作计划、方案,组织召开评估工作启动会议。2组织和实施公司风险评估项目参与人员的培训,提高风险评估技能。- 3 -3监控实地风险评估工作的进度和质量,确保风险评估工作按计划和高质量的组织和实施。4与相关单位的沟通、协调,组织协调风险评估项目工作组在实际工作中遇到的困难和障碍。5组织评估人员就评估结果与被评估业务单位进行沟通。6组织编写风险评估报告 。(二)评估员评估员是评估工作的实施人员,由内审部人员或业务单位人员或中介事务所人员担任。主要负责评估工作的具体执行,并就评估工作中出现的问题及时向组长、副组长汇报等。具体职责包括:1根据风险评估计划,采用访谈、资料审阅、穿行测试等多种方式开展
6、实地评估工作,及时完成并提交风险评估工作底稿给组长和副组长审阅。2在评估过程中遇到的任何问题,应及时和完整地向组长或副组长汇报,并保持持续的沟通。3及时就评估结果与被评估业务单位进行沟通。第十条第十条 公司各业务单位的主要职责(一)积极配合公司内审部开展评估工作,按要求安排访谈、提供评估资料以及有关问题的沟通、确认等,保障风险评估工作的顺利开展和完成。(二)各业务单位根据内审部提供的风险评估调查问卷,开展自我评估工作。(三)指定风险评估工作接口人(即联系人) 。主要负责:1积极按照项目组要求,配合项目组协调本单位或其所管辖的单位的相关工作。2及时安排相关人员配合项目组完成项目的访谈、数据和资料
7、的提供等工作。- 4 -3协调、解决评估工作中的具体问题,并及时与评估人员就评估结果进行沟通与确认。(四)根据风险评估结果,确定现有风险对策的适当性、完善风险控制应对措施,并反馈项目组。第十一条第十一条 参与评估项目成员要求应配备足够、经过培训的人员负责组织、开展风险评估工作,评估项目工作组成员和项目接口人应具备评估所需要的知识、技能、经验等,应具备以下能力和素质:1充分了解公司战略和各主要业务流程。2充分了解风险评估基础知识和本实施细则的内容。3具有较强的沟通能力和综合分析能力。第三章第三章 风险评估的范围风险评估的范围第十二条第十二条 风险评估范围主要包括公司战略和业务流程两个层面。第十三
8、条第十三条 公司战略层面的风险评估主要针对公司所面对的战略性风险。评估内容主要包括公司在政治、经济、社会及技术上的优势、劣势、机会和威胁等,找出公司在组织结构、长远目标设定、战略计划等方面的相关内部控制,分析公司面临的战略性风险。第十四条第十四条 业务流程层面的风险评估范围主要是针对公司在运营中所面对的风险,包括策略管理机制、核心业务流程、资源管理机制三大类风险。包括但不限于以下十七种机制或流程:(一)策略管理机制:包括企业制定的长远使命及目标,以及确保达到目标的策略和方法。主要包括以下机制:1企业策略管理机制:主要流程包括策略管理目标制定和策略环境控制、规章制度的建设和维护、策略事件的识别、
9、应对和风险评估、战略确定、战略执行和资源保障等。2品牌策略管理机制:主要流程包括品牌规划、品牌机构的设立- 5 -和职责要求、规章制度的建设和维护、品牌风险信息的识别、应对和风险评估、品牌的建立、推广和宣传、品牌信息资源管理等。3内部审计机制:是通过应用系统化、规范化的方法,开展独立的、客观的确认和咨询活动,评价企业风险管理、控制和治理过程的效果, 旨在增加企业的价值和改善企业的运营效率,帮助企业实现其目标的管理机制。4企业管治机制:主要内容包括重大事件的决策机制、授权管理、责任与权力的匹配、高级管理层的甄选和任命、维护其他利益相关者、对外关系管理、正直的道德行为、信息披露管理、对内控措施的监
10、控、对失当行为的监察机制。5企业文化管理机制:主要流程包括文化理念的确定、建立企业文化的体系、企业文化的培训、企业文化的宣贯和传播、企业文化的效果评价与考核。6研发管理机制:主要流程包括研发策略的制定、研发预算的编列与研发项目选择、投资报酬率与风险平衡管理、研发成果的绩效评估、知识产权与技术专利的管理、研发投入比例和新增专利数的监控等。7法律合规管理机制:主要包括公文管理、安全管理、印章管理、上市公司资本市场监管规章制度的建设和维护、外包法律咨询管理、合同管理、诉讼管理、重要法律活动或事件的管理、劳动和环境保护的措施、知识产权管理、公司客户信息的管理、法律的管理等流程。(二)核心业务流程:包括
11、企业在提供其主要产品或服务中必须进行的活动。主要包括以下流程:1新业务新产品开发流程:主要流程包括数据业务、语音增值业务、需求管理、研发合作伙伴管理、研发过程管理、业务定价管理、业务(试)商用决策流程以及业务运营评估等。2网络规划及建设流程:主要流程包括网络规划管理、固定资产投资计划管理、工程建设管理、工程余料管理、工程款项支付、在建工- 6 -程核算、工程建设后评估等流程。3采购及物流管理流程:主要流程包括物资采购流程、服务采购流程、采购合同管理流程、采购审批管理流程、供应商选择管理机制、供应商评估考核管理流程、物流管理流程等。4网络管理及操作流程:主要流程包括网络维护管理、网络优化管理、网
12、络质量管理、网络安全管理、应急管理、维护费用管理等。涉及的系统有交换网络、传输网络、彩铃、智能网、SMS 等。5收入保障流程:主要流程包括交换机话单生成、计费帐务处理、计费系统管理、新业务和新产品计费管理、网间结算和漫游清算、客户收费与财务记录、收入分析管理等。6市场推广及销售流程:主要流程包括市场调研和信息收集、业务宣传计划和市场推广活动方案的制订、实施和监控,资费管理、渠道管理、销售工作开展、营收帐款及有价卡管理等。7客户服务流程:主要流程包括客户服务管理、业务及服务受理、客户投诉处理、客户关系管理、客户费用管理和欠费追缴、客户信息和信用管理等。(三)资源管理机制:主要包括负责分配业务所需
13、的资源及监控其运用情况的活动。主要包括以下机制:1人力资源管理机制:主要通过雇佣解雇管理、职位及聘任管理、薪酬福利管理、绩效管理、职业发展、培训管理、人力资源规划等工作,提供合理的人力资源保障,确保企业健康有序运营。2信息技术管理机制:主要流程包括信息技术管理、信息技术的规划、计划管理、程序开发管理、程序变更管理、信息安全管理、系统的操作与运行。涉及的系统有 BOSS、OA、MIS、MISC 等。3财务管理机制:主要包括 SOX 法案遵循、财务预算管理、会计核算、固定资产、资金管理、赠与/赞助业务、关联交易、税务管理、经营业绩考核办法、财务分析、财务报告、信息披露、档案管理等流程。- 7 -第
14、十五条第十五条 风险评估范围的更新(一)风险评估范围的更新主要体现在调查问卷的修订中。(二)公司内审部根据集团公司内审部统一下发的最新风险评估调查问卷和相关指导意见,结合本公司管理层关注的重点、公司运营状况、内外部环境变化等情况,适当修订或增加调查问卷内容,对评估范围及内容进行更新。第四章第四章 风险评估步骤和流程风险评估步骤和流程第十六条第十六条 风险评估包括风险辨识、风险分析和风险评价三个步骤。在风险评估工作中,评估项目工作组通过信息收集、与公司业务单位管理层或相关人员的访谈,辨识、分析和评价存在的固有风险;通过填写风险评估问卷和测试,分析公司现存的内控措施与问卷要求的内控措施之间的差异地
15、方,辨识、分析和评价存在的剩余风险。第十七条第十七条 风险辨识的目的是查找公司各业务单位、各项重要经营活动以及其重要业务流程是否存在风险、有哪些风险。第十八条第十八条 风险分析的目的是对辨识出的风险及其特征进行分析和描述风险发生可能性的高低、风险发生的条件。第十九条第十九条 风险评价的目的是评估风险对公司实现目标的影响程度。第二十条第二十条 风险评估流程主要包括:计划阶段、实施评估、分析结果、编写报告四个阶段。第二十一条第二十一条 计划阶段计划阶段计划阶段主要包括收集初始信息、编制修订调查问卷、制定评估计划、下发风险评估通知文件、召开评估工作启动会议等几个阶段。(一)风险信息收集:了解公司在战
16、略和业务流程方面的风险信息。- 8 -(二)编制修订调查问卷:按公司战略和业务流程的变化情况,对调查问卷内容进行完善。(三)制定评估计划、方案:包括确定评估目标、范围、工作时间、流程、评估组成员以及职责分工等内容。(四)召开风险评估启动会。第二十二条第二十二条 实施评估阶段,按照已制定的评估计划、方案对各相关单位开展风险评估工作。通过初始资料收集、访谈、问卷调查、穿行测试等方式,以定性、定量的方法完成风险辨识、分析和评价,主要工作包括:(一)差距分析1结合风险评估调查问卷内容,获取并审阅相关的制度和文件,初步提炼内部控制现状与调查问卷中的内控措施之间的差距。2评估员根据差距分析结果填写风险评估调查问卷 。3根据所收集的风险信息、调查问卷内容以及差距分析结果,准备访谈提纲,列出访谈的主要内容。(二)访谈1在访谈工作开始前,评估项目工作组应与相关单位确定访谈具体事宜。2访谈记录要注意以下事项:(1)访谈应按照访谈提纲进行。(2)在编写访
