某集团公司下属子公司内部审计风险评估实施细则.doc

内部审计风险评估实施细则第一章 总 则第一条 为贯彻国务院国有资产监督管理委员会下发的中央企业全面风险管理指引和COSO内部控制规范中对“风险评估”工作的要求，建立科学的、规范的、系统的风险评估方法和流程，强化风险评估工作的组织管理，有效推进风险评估工作的实施，合理确保公司发展战略及经营目标的实现，结合公司实际，制定本实施细则。第二条 本实施细则中所指的“风险”是指未来的不确定性对企业实现其经营目标的影响或带来的损失，包括战略、财务、市场、运营和法律等五类风险领域。第三条 风险按是否考虑有关内部控制的状况而划分为固有风险和剩余风险两大类。固有风险是指在不考虑相关内部控制体系的存在和有效性的情况下，企业在运营中所面对的不能实现经营目标的潜在风险；固有风险由两个重要因素组成：风险的影响程度和风险的发生机会，“风险的影响程度”是指特定风险对企业影响的重要程度，“风险的发生机会”是指企业发生特定风险的可能性程度（或频率、概率）。剩余风险是指在考虑相关内部控制体系的存在和有效性情况下，影响企业实现经营目标的风险。如果没有任何内控措施的情况，则剩余风险就等于固有风险。第四条 风险评估是风险管理工作的重要组成部分，本实施细则所指的风险评估是指由公司内部审计部门牵头组织、其他各业务单位共同实施的，对公司各主要职能、业务部门是否存在重要风险、以及是否对相关重要风险建立适当内部控制措施、内部控制措施是否得到有效遵循而进行辨识、分析和评价的过程，即对公司的固有风险、内部控制的存在性与遵循情况和剩余风险进行辨识、分析和评价的过程。第五条 本实施细则适用于公司及其下属单位。第二章 风险评估组织管理第六条 在公司各业务部门和各级单位开展风险管理工作的基础上，公司内审部根据集团公司内审部的工作计划及相关要求每年度对各风险领域开展评估工作。第七条 风险评估组织方式公司内审部根据集团公司内审部的要求组织成立公司风险评估项目工作组，负责牵头组织本公司层面的风险评估工作。各业务单位按相关要求成立相应的评估小组，共同实施评估工作。第八条 风险评估项目工作组职责风险评估项目工作组由组长、副组长和评估员组成，主要职责为： （一）根据集团公司内审部的指导意见和相关要求，结合公司实际，编制、修订风险评估调查问卷。 （二）制定公司风险评估计划、方案。 （三）下发风险评估通知文件。 （四）召开风险评估工作启动会议。 （五）实施风险评估工作并监控风险评估过程。 （六）完成公司风险评估报告。第九条 评估项目工作组职责划分 （一）组长原则上由公司内审部负责人担任，副组长由公司内审部人员担任，主要负责计划、组织、监督、指导、协调评估项目各项工作的全面落实，以及风险评估报告的编制等，具体职责包括：1制订风险评估工作计划、方案，组织召开评估工作启动会议。2组织和实施公司风险评估项目参与人员的培训，提高风险评估技能。3监控实地风险评估工作的进度和质量，确保风险评估工作按计划和高质量的组织和实施。4与相关单位的沟通、协调，组织协调风险评估项目工作组在实际工作中遇到的困难和障碍。5组织评估人员就评估结果与被评估业务单位进行沟通。6组织编写风险评估报告。 （二）评估员 评估员是评估工作的实施人员，由内审部人员或业务单位人员或中介事务所人员担任。主要负责评估工作的具体执行，并就评估工作中出现的问题及时向组长、副组长汇报等。具体职责包括：1根据风险评估计划，采用访谈、资料审阅、穿行测试等多种方式开展实地评估工作，及时完成并提交风险评估工作底稿给组长和副组长审阅。2在评估过程中遇到的任何问题，应及时和完整地向组长或副组长汇报，并保持持续的沟通。3及时就评估结果与被评估业务单位进行沟通。第十条 公司各业务单位的主要职责 （一）积极配合公司内审部开展评估工作，按要求安排访谈、提供评估资料以及有关问题的沟通、确认等，保障风险评估工作的顺利开展和完成。 （二）各业务单位根据内审部提供的风险评估调查问卷，开展自我评估工作。 （三）指定风险评估工作接口人（即联系人）。主要负责：1积极按照项目组要求，配合项目组协调本单位或其所管辖的单位的相关工作。2及时安排相关人员配合项目组完成项目的访谈、数据和资料的提供等工作。3协调、解决评估工作中的具体问题，并及时与评估人员就评估结果进行沟通与确认。 （四）根据风险评估结果，确定现有风险对策的适当性、完善风险控制应对措施，并反馈项目组。第十一条 参与评估项目成员要求应配备足够、经过培训的人员负责组织、开展风险评估工作，评估项目工作组成员和项目接口人应具备评估所需要的知识、技能、经验等，应具备以下能力和素质：1充分了解公司战略和各主要业务流程。2充分了解风险评估基础知识和本实施细则的内容。3具有较强的沟通能力和综合分析能力。第三章 风险评估的范围第十二条 风险评估范围主要包括公司战略和业务流程两个层面。第十三条 公司战略层面的风险评估主要针对公司所面对的战略性风险。评估内容主要包括公司在政治、经济、社会及技术上的优势、劣势、机会和威胁等，找出公司在组织结构、长远目标设定、战略计划等方面的相关内部控制，分析公司面临的战略性风险。第十四条 业务流程层面的风险评估范围主要是针对公司在运营中所面对的风险，包括策略管理机制、核心业务流程、资源管理机制三大类风险。包括但不限于以下十七种机制或流程： （一）策略管理机制：包括企业制定的长远使命及目标，以及确保达到目标的策略和方法。主要包括以下机制：1企业策略管理机制：主要流程包括策略管理目标制定和策略环境控制、规章制度的建设和维护、策略事件的识别、应对和风险评估、战略确定、战略执行和资源保障等。2品牌策略管理机制：主要流程包括品牌规划、品牌机构的设立和职责要求、规章制度的建设和维护、品牌风险信息的识别、应对和风险评估、品牌的建立、推广和宣传、品牌信息资源管理等。3内部审计机制：是通过应用系统化、规范化的方法，开展独立的、客观的确认和咨询活动，评价企业风险管理、控制和治理过程的效果, 旨在增加企业的价值和改善企业的运营效率，帮助企业实现其目标的管理机制。4企业管治机制：主要内容包括重大事件的决策机制、授权管理、责任与权力的匹配、高级管理层的甄选和任命、维护其他利益相关者、对外关系管理、正直的道德行为、信息披露管理、对内控措施的监控、对失当行为的监察机制。5企业文化管理机制：主要流程包括文化理念的确定、建立企业文化的体系、企业文化的培训、企业文化的宣贯和传播、企业文化的效果评价与考核。6研发管理机制：主要流程包括研发策略的制定、研发预算的编列与研发项目选择、投资报酬率与风险平衡管理、研发成果的绩效评估、知识产权与技术专利的管理、研发投入比例和新增专利数的监控等。7法律合规管理机制：主要包括公文管理、安全管理、印章管理、上市公司资本市场监管规章制度的建设和维护、外包法律咨询管理、合同管理、诉讼管理、重要法律活动或事件的管理、劳动和环境保护的措施、知识产权管理、公司客户信息的管理、法律的管理等流程。 （二）核心业务流程：包括企业在提供其主要产品或服务中必须进行的活动。主要包括以下流程：1新业务新产品开发流程：主要流程包括数据业务、语音增值业务、需求管理、研发合作伙伴管理、研发过程管理、业务定价管理、业务（试）商用决策流程以及业务运营评估等。2网络规划及建设流程：主要流程包括网络规划管理、固定资产投资计划管理、工程建设管理、工程余料管理、工程款项支付、在建工程核算、工程建设后评估等流程。3采购及物流管理流程：主要流程包括物资采购流程、服务采购流程、采购合同管理流程、采购审批管理流程、供应商选择管理机制、供应商评估考核管理流程、物流管理流程等。4网络管理及操作流程：主要流程包括网络维护管理、网络优化管理、网络质量管理、网络安全管理、应急管理、维护费用管理等。涉及的系统有交换网络、传输网络、彩铃、智能网、SMS等。5收入保障流程：主要流程包括交换机话单生成、计费帐务处理、计费系统管理、新业务和新产品计费管理、网间结算和漫游清算、客户收费与财务记录、收入分析管理等。6市场推广及销售流程：主要流程包括市场调研和信息收集、业务宣传计划和市场推广活动方案的制订、实施和监控，资费管理、渠道管理、销售工作开展、营收帐款及有价卡管理等。7客户服务流程：主要流程包括客户服务管理、业务及服务受理、客户投诉处理、客户关系管理、客户费用管理和欠费追缴、客户信息和信用管理等。 （三）资源管理机制：主要包括负责分配业务所需的资源及监控其运用情况的活动。主要包括以下机制：1人力资源管理机制：主要通过雇佣解雇管理、职位及聘任管理、薪酬福利管理、绩效管理、职业发展、培训管理、人力资源规划等工作，提供合理的人力资源保障，确保企业健康有序运营。2信息技术管理机制：主要流程包括信息技术管理、信息技术的规划、计划管理、程序开发管理、程序变更管理、信息安全管理、系统的操作与运行。涉及的系统有BOSS、OA、MIS、MISC等。3财务管理机制：主要包括SOX法案遵循、财务预算管理、会计核算、固定资产、资金管理、赠与/赞助业务、关联交易、税务管理、经营业绩考核办法、财务分析、财务报告、信息披露、档案管理等流程。第十五条 风险评估范围的更新 （一）风险评估范围的更新主要体现在调查问卷的修订中。 （二）公司内审部根据集团公司内审部统一下发的最新风险评估调查问卷和相关指导意见，结合本公司管理层关注的重点、公司运营状况、内外部环境变化等情况，适当修订或增加调查问卷内容，对评估范围及内容进行更新。第四章 风险评估步骤和流程第十六条 风险评估包括风险辨识、风险分析和风险评价三个步骤。在风险评估工作中，评估项目工作组通过信息收集、与公司业务单位管理层或相关人员的访谈，辨识、分析和评价存在的固有风险；通过填写风险评估问卷和测试，分析公司现存的内控措施与问卷要求的内控措施之间的差异地方，辨识、分析和评价存在的剩余风险。第十七条 风险辨识的目的是查找公司各业务单位、各项重要经营活动以及其重要业务流程是否存在风险、有哪些风险。第十八条 风险分析的目的是对辨识出的风险及其特征进行分析和描述风险发生可能性的高低、风险发生的条件。第十九条 风险评价的目的是评估风险对公司实现目标的影响程度。第二十条 风险评估流程主要包括：计划阶段、实施评估、分析结果、编写报告四个阶段。第二十一条 计划阶段计划阶段主要包括收集初始信息、编制修订调查问卷、制定评估计划、下发风险评估通知文件、召开评估工作启动会议等几个阶段。 （一）风险信息收集：了解公司在战略和业务流程方面的风险信息。 （二）编制修订调查问卷：按公司战略和业务流程的变化情况，对调查问卷内容进行完善。 （三）制定评估计划、方案：包括确定评估目标、范围、工作时间、流程、评估组成员以及职责分工等内容。 （四）召开风险评估启动会。第二十二条 实施评估阶段，按照已制定的评估计划、方案对各相关单位开展风险评估工作。通过初始资料收集、访谈、问卷调查、穿行测试等方式，以定性、定量的方法完成风险辨识、分析和评价，主要工作包括： （一）差距分析1结合风险评估调查问卷内容，获取并审阅相关的制度和文件，初步提炼内部控制现状与调查问卷中的内控措施之间的差距。2评估员根据差距分析结果填写风险评估调查问卷。3根据所收集的风险信息、调查问卷内容以及差距分析结果，准备访谈提纲，列出访谈的主要内容。 （二）访谈1在访谈工作开始前，评估项目工作组应与相关单位确定访谈具体事宜。2访谈记录要注意以下事项： （1）访谈应按照访谈提纲进行。 （2）在编写访谈记录表时注明访谈人员的姓名、访谈日期时间、地点等。 （3）访谈过程中要随问、随听、随记，以免遗忘有关信息。 （4）应详细记录访谈内容，避免概括性的记录，不要对被访者回答的内容作摘要。3访谈结束后，访谈所记录的内容应与被访谈对象进行沟通、确认，以确保访谈结果的准确性。如有待进一步明确、补充的问题 ，应确定下一步的访谈时间和方式。 （三）汇总、整理、分析相关资料根据访谈内容、调查问卷所体现的内控要求等，按照统一的评估方法，初步确认内部控制现状与问卷内控措施的差距，围绕这些初步确认的差异，进一步获取、审阅相关资料，并对调查问卷和资料进行汇总、整理，为下一步分析做准备。 （四）集体讨论和沟通1评估项目工作组应定期召开小组会议，沟通各自发现的问题和看法，及时对评估的进度进行分析，确保评估工作按计划完成。2评估项目工作组对各评估员的初步评估结果进行集体讨论。3评估员根据集体讨论结果，更新完善风险点的评估等级。第二十三条 分析结果 （一）评估员根据风险评估调查问卷中的分析、评估记录，得出各风险事件的风险等级。 （二）对各业务流程的各风险事件评估结果进行排序。 （三）根据公司当前运营状况、管理层风险偏好及风险承受度，确定公司面临的重大风险。 （四）评估员应及时就风险评估结果与被评估单位的管理层、相关业务人员作充分沟通，避免任何误解情况出现。第二十四条 编写报告 （一）组长及副组长应根据各评估员的评估结果和各风险点相关责任单位的沟通、确认意见，组织撰写风险评估报告初稿，提交被评估单位确认。并就确认的风险评估报告向公司管理层汇报。 （二）风险评估报告包含但不限于以下方面的内容：1风险评估的目的、范围。2风险评估采用的方法、步骤。3公司所面临的重大风险清单和风险评级。4重大风险的发现描述和影响分析。第五章 风险评级的方法第二十五条 风险评估主要是通过定性和定量的方法对公司各项管理工作中存在的固有风险和控制状况进行风险辨识、分析、评价，以确定公司的剩余风险。第二十六条 风险评估时主要考虑风险的影响程度、风险的发生的可能性以及内控措施三个重要因素。风险的影响程度是指特定风险对企业影响的重要程度；风险的发生的可能性是指企业发生特定风险的可能性程度（或频率、概率）；内控措施是指在考虑相关内部控制体系的存在和有效性的情况下，对固有风险的控制程度。内控措施可分为必要控制措施、遵循控制措施、管理及优化控制措施，并通过调查问卷的方式进行量化和分解。内部控制应具备以下五个要素：控制环境、风险评估、控制活动、信息与沟通、监督。公司通过内控控制活动的开展可以降低、消除或转移固有风险。第二十七条 在设计风险评估问卷时，已考虑各业务流程中所面对固有风险的影响程度和发生的可能性。本实施细则的风险评估只对中高风险的固有风险事件开展评估工作，即中高的固有风险事件才会被纳入风险评估问卷题目中。第二十八条 评估各管理机制及业务流程的剩余风险，主要考虑内控措施的设计和执行有效性。在面对高固有风险流程时，必要控制措施的设计和有效执行是有效减低固有风险的方法，即剩余风险等于固有风险减去内控措施。如果没有任何内控措施的情况，剩余风险等于固有风险。第二十九条 本实施细则的风险评估结果设定为高、中、低三个等级，因考虑控制措施执行的不确定性，现在执行有效，不等于后续均执行有效，即内控措施只是合理避免风险事件的发生，所以剩余风险不能设定为无风险。第三十条 风险评估调查问卷问题的设计： （一）问卷的选项为多选，一般设置a、b、c、d、e五个选项，其中：1为不适用。2为无控制代表标准的内控措施不存在和没有记录。3为必要控制代表标准的内控措施已存在并记录，并且设计有效。4为遵循控制代表标准的内控措施已存在、记录和遵循，并且遵循有效。5管理优化最佳实践。 （二）如果选择了1项表示此风险管理点不适用于被评估单位或公司，则不能对其他选项进行选择，即