《风险管理解决方法与内部控制实施详细说明》由会员分享,可在线阅读,更多相关《风险管理解决方法与内部控制实施详细说明(17页珍藏版)》请在金锄头文库上搜索。
1、XXX公司风险管理与内部控制实施细则第一章 总 则第一条 为规范XXX公司(以下简称“公司”)的风险管理与内部控制工作,提高全员风险管理与内部控制意识和风险防范能力。第二条 公司风险管理与内部控制应遵循以下原则:(一) 合规性原则。遵守国家法律法规和证券监管机构的规定,符合公司章程。(二)统一性原则。建立统一的风险管理与内部控制机制,制定统一的风险评估方法和程序,规范内部控制方法和流程,统一组织开展风险评估工作,采用统一的工具和方法描述控制措施,制定统一的测试规范开展有效性评价。(三)适应性原则。符合经营管理需要,具有可操作性,并随着经营管理情况的变化而不断修订和完善。(四) 成本效益原则。尽
2、量做到以合理的成本取得最佳的效益。第二章 风险管理与内部控制机构与职责第三条 公司成立风险管理与内部控制领导小组,组长由公司总经理担任,副组长由分管风险管理与内部控制领导担任,成员由公司各部门负责人组成。领导小组下设风险管理与内部控制办公室,办公室设在合同管理部。第四条 公司风险管理与内部控制领导小组是公司风险管理与内部控制的决策机构,其在风险管理工作方面的主要职责:(一)负责审定风险管理与内部控制组织机构设置及其职责;(二)负责审定风险管理与内部控制的重大方针、政策、规章制度流程、相关标准、方法;(三)审定内部控制体系框架及实施计划,指导和督促公司内控体系建设和运行工作的组织和实施;(四)制
3、定针对公司层面重大和主要风险的管控策略和风险解决方案,包括风险偏好和风险承受度;(五)审批公司的风险解决方案、风险管理报告与内部控制评估报告,并提出修改意见;对公司突发的重大风险事件的事前、事中、事后的解决方案进行督促和指导;(六)负责重要内控方案的审批并提供所需的资源;(七)推动公司风险管理体系的监督和评价工作,检查内控部门职能发挥的有效性,确保公司全面风险管理体系运行的有效性;(八)负责决定与内控有关的其他重大事项。第五条 风险管理与内部控制办公室在公司风险管理与内部控制领导小组的领导下,负责公司风险管理与内部控制日常工作,其主要职责:(一)制定和完善公司风险管理与内部控制制度及其他风险管
4、理相关工作流程和重要文档,统一和规范公司的风险管理与内部控制行为;(二)协助和指导公司各部门按风险管理与内部控制相关制度开展工作;(三)组织公司各部门汇总、整理、筛选、建立公司风险事件库,开展风险评估工作;(四)协助和指导公司各部门开展重大风险管理策略的制定,协助公司各部门对重大风险解决方案的研究制定和落实执行;(五)组织和开展公司重大风险解决方案落实执行情况的监督检查工作,配合公司的审核检查工作并具体落实公司管理体系运行的考核工作;(六)根据上年度风险评估结果、风险管理体系建设和运行工作、内部控制评价工作开展情况,组织编制公司风险管理报告和内部控制评价报告,报送风险管理与内部控制领导小组批准
5、;(七)完成风险管理与内部控制领导小组授权的有关风险管理与内部控制的其他事项。第六条 公司各部门在风险管理和内部控制方面的主要职责:(一)贯彻执行公司风险管理与内部控制相关制度,配合公司主管部门开展风险管理与内部控制体系建设工作;(二)收集战略方面、财务方面、外部市场方面、运营方面、法律方面内外部信息,对本部门业务涉及的风险事件进行识别、归类,并定期维护和更新;(三)根据提供的方法和工具,对本部门 “风险数据库”中的各风险事件进行评估,并依据评估结果对风险高低进行排序和分类,向合同管理部提交“风险评估结果”,并定期维护和更新;(四)针对本部门的重点风险和公司提出的管理策略,制定相应的风险解决方
6、案,向合同管理部提交本部门的风险解决方案;明确各风险解决方案的执行负责人、实施要求,并安排应有的资源支持;(五)按照公司内部控制实施方案进行本部门内部控制工作,并编制本部门内部控制自评报告;(六)对职责范围内风险管理活动,定期进行自评并提出改进建议,按照改进计划,执行改进实施方案。第七条 公司各部门设置风险内控联络员,具体负责本部门风险管理与内部控制工作的实施。风险内控联络员主要职责:(一)定期收集本部门风险信息,形成风险信息快报,制定风险应对措施,经部门负责人审定后,报送至公司风险管理主要责任部门。(二)定期对本部门内部控制运行情况进行自我评价,形成自我评价报告,经部门负责人审定后,报送至公
7、司内部控制主管部门。(三)配合公司风险管理主要责任部门进行风险评估、分析,检查风险识别和应对情况。(四)配合公司内部控制主要责任部门完成内部控制自我评价底稿填制工作,并提供本部门内部控制证据材料。(五)在主要责任部门的组织下,参与上级单位组织的风险管理与内部控制各项管理工作。第三章 风险识别第八条 公司应每年度进行风险识别,收集风险信息并进行归类,建立风险信息库。第九条 公司各部门于每年1月份开展风险信息识别工作,2月份由公司合同管理部牵头组织各部门完成公司风险信息库的建立。 第十条 公司各部门应从战略风险、财务风险、外部风险、运营风险、合规性风险等方面识别各类风险信息。(一)战略风险方面,主
8、要收集与公司相关的以下重要信息:国内外宏观经济政策以及经济运行情况、国家产业政策、项目投资行业发展状况;与公司战略合作伙伴的关系,未来寻求战略合作伙伴的可能性;公司发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据等;(二)财务风险方面,主要收集以下重要信息(尽可能收集项目投资行业平均指标或先进指标):负债、或有负债、负债率、偿债能力;现金流、应收账款及其占销售收入的比重、资金周转率;资产财务状况;预算及预算指标执行情况;管理费用、财务费用、营业费用;盈利能力;经审计的财务报表及财务情况说明;成本核算、资金结算和现金管理业务中曾发生或易发生错误的业
9、务流程或环节等;(三)外部风险方面,主要收集以下重要信息:国资委对国有企业的相关政策、税收政策和利率、汇率;潜在竞争者、竞争者情况;(四)运营风险方面,主要收集以下重要信息:公司法人治理机构、组织效能、管理现状、企业文化,高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验;投资业务、质量、安全、环保、信息安全、项目运营等管理中曾发生或易发生失误的业务流程或环节;因公司内、外部人员的道德风险致使公司遭受损失或业务控制系统失灵;给公司造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险;对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进;公司风险管理的现状和能力等;(五)合
10、规性风险方面,主要收集以下重要信息:国内外与公司相关的政治、法律环境;影响公司的新法律法规和政策;员工道德操守的遵从性;公司签订的重大协议和合同;公司发生重大法律纠纷案件的情况等。第十一条 主要通过研讨会、访谈、问卷调查、情景分析、流程风险辨识、PEST分析法等多种方法,辨识公司的风险,并对风险事件及风险进行归类汇总,形成风险事件列表:(一)研讨会。组织公司风险管理与内部控制领导小组成员对相关流程的风险进行集中讨论。讨论中,小组成员应充分发表意见,确保被识别的风险全面、准确。同时,在进行讨论前,可通过发放风险调查表等形式向相关部门收集在日常经营管理活动中,与风险识别相关的情况、建议和意见;(二
11、)访谈法。组织一到两名有一定经验的风险管理人员,编成访谈小组,对相关部门熟悉业务流程的管理人员进行面对面的访谈。在访谈之前应制定详细的访谈计划,列出与风险相关的若干访谈提问题目。同时,应避免访谈人员对受访对象的影响,尽可能地让受访人员独立发表意见;(三)问卷调查法。编制一套风险调查问卷,采取单项或多项选择的方式,向相关管理人员或责任人员通过问卷调查,询问相关流程的风险,在对问卷调查结果进行统计后,分析确定相关风险;(四)情景分析法。通过有关数字、图表和曲线等方式,对公司未来某个状态或某种情况进行详细地描绘和分析,从而识别引起风险的关键因素以及影响程度;(五)流程图法。通过流程图帮助识别人员分析
12、和了解风险所处的具体环节及各个环节之间存在的风险以及风险的起因和影响;(六)PEST分析法。PEST分析法是分析宏观环境的有效工具,不仅能够分析外部环境,而且能够识别一切对组织有冲击作用的力量。它是调查组织外部影响因素的方法,其每一个字母代表一个因素,可以分为政治因素(Political)、经济因素(Economic)、社会因素(Social)、技术因素(Technological)四大因素,通过这四个因素分析公司所面临的外部风险状况及影响大小;(七)征求专家意见。对风险进行初步识别后,可通过召开座谈会、评审会等形式将风险数据库初稿向有关专家、学者征求意见,经过充分讨论后对风险数据库进行修改、
13、完善。第四章 风险评估第十二条 风险识别后,风险管理与内部控制办公室应在各部门配合下每季度对风险进行分析,主要针对风险辨识所得到的各个风险事件的属性信息,根据风险评估的具体目标,运用定性和定量相结合的方法,结合统计学原理,进行整理和综合性分析,最终确定各个风险的重要性特征和基本属性特征,从而为风险评价提供依据。第十三条 风险分析主要从风险发生的可能性和对公司目标的影响程度两个角度来分析,风险分析一般采用定性和定量相结合的方法。经过风险分析后,确认出应当引起重视的风险和予以一般关注的风险,对于需要重视的风险,再进一步划分,分别确认为“重要风险”与“一般风险”。(一)风险发生的可能性分析1.定性分
14、析(1)风险发生的可能性划分标准。一般来讲,如果能够判断相关风险发生的概率大于0但小于或等于5%,确定为风险“极小可能发生”;如果风险发生的概率大于5但小于或等于50,确定为风险“可能发生”;如果风险发生的概率大于50但小于或等于95,确定为风险“很可能发生”;如果风险发生的概率大于95但小于100,确定为风险“基本确定发生”。(2)对于风险发生的概率的估计,一般考虑以下因素:一是与风险相关的资产的变现能力(主要指变现难易程度),如果资产变现能力越强,则风险发生的概率就高,反之,风险发生的概率就低;二是经营管理中人工参与的程度,凡是人工参与程度越高,而自动化程度越低,则风险发生的概率就越高,反
15、之,风险发生的概率就低;三是经营管理中是否涉及大量的、繁杂的人工计算。凡是涉及大量的、繁杂的人工计算,风险发生的概率就高,反之,风险发生的概率就低。2.定量分析将风险事件发生的可能性按等级划分为4个等级,分别赋予1分至4分,以此表示可能性逐渐增加,1分表示该风险事件极小可能发生,4分表示该风险事件基本确定发生。(二)风险影响程度分析风险分析中,除了进行风险发生可能性分析外,还要对风险影响程度进行分析,主要针对风险对目标实现的负面影响程度,分为定性分析和定量分析。1.定性分析如果风险对于目标的实现产生直接的、决定性的影响,定义为风险影响程度“大”,如:财务会计报告未经过有效的审核,将会对报告的真
16、实性和准确性产生直接的、决定性的影响,因此,该项风险被认定为影响程度“大”;反之,如果风险对于目标的实现,只是产生间接、非决定性的影响,定义为风险影响程度“小”,如:没有定期维修机器设备,对于财务会计报告的真实性、准确性只会产生间接的、非决定性的影响,因此,该项风险属于影响程度“小”。同样,影响程度可以更加细化为轻微、较小、较大、严重4个等级。2.定量分析在风险影响程度分析中,除运用定性分析外,还可运用定量分析。即将影响程度分为4个等级,分别赋予1分至4分,表示影响程度依次加强。1分代表影响程度很低,4分代表影响程度非常高。结合投资行业特性和公司实际情况,公司风险事件的影响程度主要从风险相关的资产或负债总额占总资
