内控和风险管理手册模板

1、内控及风险管理手册内控及风险管理手册目录一、前言3.二、手册说明3.三、管理架构4.四、工作目标4.五、工作内容5.六、工作原则6.七、流程与活动 7.八、环境建设8.九、 工作计划10内控与风险管理手册（总册）、前言为了响应集团公司内控及风险管理工作组织开展要求，促进公司管理更加 完善和规范，满足资本市场对上市企业的监管要求，公司特根据内部控制与风险管理指南组织编制内控及风险管理手册，通过内控及风险管理手册 的宣贯与执行，以期达到：便于公司各部门、岗位对内控及风险管理工作的学习、认识和理解；指导公司内控制度建设；完善公司内控体系；促进公司业务开展的有序和一致性；保障业务过程可控及可追溯；及时

2、发现并有效规避风险；确保公司实现又快又好的发展。二、手册说明根据公司业务类型及组织架构，针对手册编写目的，本手册主要确定、阐 述的内容有：1、内控及风险管理组织架构；2、内控及风险管理工作目标；3、内控及风险管理工作内容；4、内控及风险管理工作原则；5、流程与活动；6环境建设；7、工作计划；8、业务流程手册。序号文件编号文件名称文件细目1 1SC- 01内控及风险管理手册（总册）2SC- 02内控及风险管理手册（财务管理）3 :SC 03内控及风险管理手册（业务管理）4SC- 04内控及风险管理手册（XXX ）5SC- 05内控及风险管理手册（维护服务）6 :SC- 06内控及风险管理手册（客

3、户服务）7 1SC- 07内控及风险管理手册（XX服务）8SC- 08内控及风险管理手册（XX业务）9 1SC- 09内控及风险管理手册（XXX ）三、管理架构为了加强和规范公司内部控制工作，提高公司经营管理水平和风险防范能 力，实现企业可持续发展，根据中国通信服务陕西公司开展内控体系建设工作相 关要求及关于开展XX公司内控体系建设的通知文件精神，在现有内部控制 与风险管理工作的基础上，为进一步梳理完善内控架构，修订和补充内控流程， 制定相应的规章制度，建立规范的公司内控及风险管理体系并确保公司内控体系 不断完善，特成立内控及风险管理机构。1、领导小组由公司总经理任组长、公司副总经理及各部门经

4、理参加组成。2、工作小组由主管副总经理任小组长、各部门风险管理员参加组成。3、牵头部门日常工作管理由市场部牵头、安排派驻风险管理员及工作组联系人负责协 调。四、工作目标能够有效防范风险，提高运营绩效，确保企业生存和发展，内控及风险管 理工作按上级之要求，拟定两阶段工作目标。1、短期目标（2009年）基本完成全面风险管理的基础性建设工作。包括：初步建立全面风险管理体系；建立全面风险管理工作机制；初步建立风险管理流程；普及风险管理知识，基本统一对风险管理的认识； 辨识、评估和解决经营发展过程中面临的重大风险；协调与内控、 内审、法律、监察等现有相关工作的关系，形成企业综合监督控制 防范体系。2、中

5、长期目标（2010-2012年）整体提升公司全面风险管理水平。包括：形成完善的全面风险管理体系；形成明确的风险战略，针对面临的 各类风险制定全面风险管理策略；建设相应的风险管理信息系统模 块；形成完善的风险管理流程和制度。五、工作内容1、遵循香港联交所企业管治常规守则 C.2.1的要求： 最少每年检讨一次内部控制系统是否有效，并在企业管治报告中披露; 有关检讨包括财务控制、运营控制、合规控制以及风险管理功能 。2、满足XX集团关于推进XX全面风险管理工作的指导意见的要求： 健全全面风险管理的三道防线； 建立风险信息反馈和报告制度； 风险管理与企业战略目标结合，与企业日常活动相结合。3、满足企业

6、内部管理要求企业的日常经营管理，要求能够有效防范风险，提高运营绩效，确保企业生 存和发展。 确保财务报告可靠，遵循法律法规； 降低企业风险，减少风险损失，抓住发展机遇； 确保企业资产与资金的安全完整，提高资源利用的效率和效益。六、工作原则公司各部门在开展相关业务活动时应根据中国通信服务股份有限公司风险管理办法（暂行）确定的八项原则指引加强内部控制，防范各种风险。1、分级管控、分级负责原则根据公司发展战略所确定的各目标，公司风险管理领导小组负责内部控制和风险管理的组织实施和审查评估等工作；各部门负责本部门的内部控制和风险 管理的组织实施和审查评估等工作，并接受公司的领导和监督。公司领导和部门 负

7、责人分别对本公司和本部门的风险负最终责任。2、合法性原则公司必须在合法经营业务的基础上按照公司适用的法律法规和公认的内部控制和风险管理框架建立公司的内部控制和风险管理体系，并严格执行。3、有效性原则内部控制和风险管理体系在企业的经营过程中能够得到贯彻执行并发挥作用，实现控制目标。4、合理性原则内部控制和风险管理以防范、控制风险和审慎经营为出发点，为公司各类目标的实现提供合理的保障。5、可问责原则公司内部控制和风险管理的运行过程应留下相关痕迹，便于事后评估和责任界定。6、成本效益原则内部控制和风险管理在为公司各类目标的实现提供合理保障的过程中，必 须以公司整体利益和长远利益最大化为原则，但加强内

8、部控制和风险管理所花费 的成本不应超过所取得的收益或防止的损失。7、与公司日常运营相结合原则内部控制和风险管理作为公司基础管理的一项内容，应融入到公司日常经 营管理工作中，各级员工在进行业务和管理活动时必须要有对风险防范的意识和 风险防范的举措。8持续改进原则内部控制和风险管理体系的内容不是一成不变的，而是随着公司战略、文 化、经营等的变化而调整，各级公司和部门要从防范风险、创造价值的角度，不 断优化和改进本公司本部门的风险管理工作。七、流程与活动1、风险管理流程风险管理流程是一个包含5个环节并形成闭环管理的过程。每一个环节中均涉及多项具体工作内容，具体工作的有效开展呢，促使本 环节工作的不断

9、完善，各个环节工作的全面推进，形成风险管理流程的顺畅流转, 风险管理工作效能得到切实提升。y倍分析5.评估与改进由法方寧3、应对方案 选择凤飙对策時罔密垃S?韩片方応径制沼动M话动包箍：我祝审毗、刚、眼甭划氷业券播程拉廉作扳也业券记录、灌制标樓静备沖英型. 控尿括动方求；捧制囱1应尽可舵用辛面方式于以辄定和肉通O拴制臥却讪m制疑创iFA. e.匚=曖2、风险控制活动控制活动是确保管理层的指令得以执行的政策及程序，是管理层识别和评估 风险后，对控制这些风险所实行的针对性措施。控制活动包括授权审批、核对、职责划分、业务流程及操作流程、业务记录、 控制标准等各种类型。控制活动又可以分为人工控制和信息

10、系统控制两大类。控制活动是各控制要 素中数量最大的一类，因此企业控制活动的设计必须进行成本和收益的权衡。此外，控制活动应尽可能用书面方式予以规定和沟通。控制活动与业务活动结合的环节，成为控制点。公司的控制点由明确的责任 人、简单易行的控制行动以及行动准则和依据、可供监督检查的控制记录等几方 面内容组成。按照控制点在流程中的作用和可能导致风险的大小、可能性，确定控制点的控制级别。根据公司当前状况和内部控制与风险管理目标，控制级别设A，B，C三级，各级别控制点对公司总部的关注程度以及公司对各级公司执行该点控制活 动的要求如下：A:公司强烈关注的关键控制点，控制不到位将造成重大风险，必须严格按照控制

11、的具体要求执行；B：影响本业务功能完成的重要风险，必须按照控制原则参照修改相关业务流 程进行管控；C:有条件可选控制点，对业务功能完成有一定影响，但可以通过其它管控措 施或方法实现对此类风险的管控， 在可解释和可承受的前提下，该控制点 是可选的。八、环境建设内部控制和风险管理有效推进需要提供良好的环境建设和基础， 并追求通过 风险评估等风险管理活动对公司内部环境各方面起到改善和优化作用， 促进公司 的有机发展。1、组织体系风险管理组织体系是通过企业设置专职的风险管理组织机构或确定相关职 能部门履行全面风险管理的职责，与其它部门一起形成风险管理组织体系，在明 确风险管理责任的同时使风险管理有了统

12、筹的安排，将风险管理责任落实到每一 个岗位，从而保证风险管理工作的顺利进行。公司风险管理活动通过建设，要形成三道有效的风险管理防线：第一道防线：各生产和职能部门；第二道防线：公司风险管理工作小组（牵头部门市场部）；第三道防线：公司风险管理领导小组。在风险管理工作开展过程中，每一道防线要为下一道防线负责。2、风险文化风险文化是公司内部控制和风险管理的基石。 公司以最高管理层为起点，通 过企业纪律与架构，塑造企业文化和正确的价值观，并影响企业员工的控制意识 和工作能力，是所有其它内部控制组成要素的基础。公司风险文化，包括公司对风险的整体意识、风险偏好或态度、风险容忍度界定。公司风险文化依托乙方文化

13、的建设，是乙方文化在风险管理中的具体体现。3、信息系统公司信息系统将通过持续建设对对公司业务和管理活动提供有力支撑，同时为公司内部控制和风险管理活动提供高效运转的保证。业务信息系统中嵌入控制要素和通过风险预警系统等内控系统建设， 信息系 统对内部控制和风险管理提供直接的支撑。4、信息与沟通信息和沟通存在于所有经营管理活动中，使员工得以有效的收集和传递为开 展经营、实施管理和运行控制等活动所需要的信息。内部控制和风险管理的全过程都需要高质量的信息以及顺畅的沟通。高质量信息具有内容相关、正确、提供及时以及便于获取等特征。有效的信息与沟通系 统使企业内部的员工能取得他们在执行、管理和控制企业经营过程

14、中所需信息， 并利用它们进行相应的活动。这种信息反馈的速度、准确性如何，直接影响到内部控制指令的正确性和纠偏措施的准确性。企业不仅应当致力于提升内部沟通的有效性， 以便控制责任人能够履行其职 责，还应关注与企业外部的沟通问题。外部沟通（如客户、供应商、审计师等） 有助于管理层建立企业目标，向外传递企业理念和工作标准，并从外部了解内部 控制的运行状况。公司的信息与沟通机制包括工作汇报机制、 文件档案管理机制、信息搜集处 理办法，以及公司与外部的信息通达渠道和方式等机制。为了提高信息质量，各单位应积极进行信息系统的广泛应用。九、工作计划根据公司内控及风险管理工作起步开展至深化过程，为对该项工作的组

15、织 具有较为具体的指导性，拟根据工作目标分阶段制订相应工作计划。1、建设阶段本阶段主要工作任务是建立完善管理架构及体系，制订相应的管理制度及措施序号任务目标工作内容备注15环节设计风险识别 风险分析 应对方案 方案执行 评估与改进2全面风险管理的责任体系制订三道防线责任体系，落实责任人及其职责业务单位员工风险管理部风险管理委员会3风险文化建设风险管理培训、运行监督、领导重视4风险管理信息反馈和报告编制年报、月报、周报及专题报告制度5风险管理纳入年度绩效考核编制绩效考核办法2、执行阶段根据公司内控及风险管理短期及中长期目标，本阶段主要工作任务是制订 较为详尽的阶段工作进度计划，并加强进度计划的监督与落实。工作进度计划拟于每年初制订年度进度计划。本手册仅纳入了2009年度内控及风险管理工作进度计划内容，后续进 度计划届时再行编制发布。内控及风险管理手册2009年度内控及风险管理工作进度计划序号工作内容组织形式计划时间备注4月5月6月7月8月9月10月11月12月1内控及风险管理工作动员由主管副总主持、总经理参加，召开启动动员 会议，进行工作部署与安排2全面风险管理的责任架构体 系组织人员确定、职责确认落实、明确管控责任， 制订三道防线责任体系。业务部门员工风险管理部风险管理委员会3内控手册编写各部门自行对业务及管理流程进行梳理；各部门根据参考格式