内部控制体系基本框架.doc

内部控制体系基本框架目次1 总则 11 编制目的 12 编制依据 13 编制原则 14 主要应用 15 主要内容 16 控制的原则 17 控制的职责 2 框架基础21 公司愿景22 公司使命23 公司战略24 经营理念25 企业文化26 核心价值观27 公司与政府的关系28 公司与投资方的关系29 公司与员工的关系3 控制环境31 公司治理架构32 管理理念及经营风格33 组织结构34 诚信与道德价值观35 权责分配体系36 人力资源政策及实施4 风险管理41 风险管理内容42 风险管理目的43 风险管理信息的采集 44 风险评估 45 风险管理策略 46 风险应对措施 47 风险管理的监督与改进5 控制活动 51 实施控制活动的基本要求 52 建立预算管理和经营活动分析评价制度 53 期末财务报告流程 54 建立控制活动体系6 信息与沟通 61 信息 62 沟通 63 信息披露7 监督 71 持续监督 72 独立评估 73 缺陷报告74 内部审计与监督1 总则 介绍了内部控制体系基本框架(简称本框架)的编制目的、编制原则、主要应用及内部控制五大要素在公司运营中的主要内容，同时也提出了构建内部控制体系的总体要求。11 编制目的本框架列示了公司对建立一个有效内部控制系统所必须的基本控制原则、政策和标准。提供各部门完善内部控制的基本依据，同时也是为了提高管理层及员工对管理职责的认知和接受程度，从而更好地建立和保持与这些标准一致的控制系统和程序。这些控制标准允许各部门在设计与公司现有的政策和程序相一致的控制系统时进行灵活运用。本框架是一个较为理想的框架，可能公司的内部控制现状均与之有一定差距，但公司董事会、管理层以及各级员工希望通过理解和贯彻本框架的要求，梳理管理流程、规范管理行为，逐步建立健全风险管理体系，增强风险防范能力，来实现提升公司整体管理水平的目的。12 编制依据121 公司治理和管理的内在要求。122 本框架依据美国萨班斯法案、COSO（Committee of Sponsoring Organizations of the Treadway Commission即反虚假财务报告委员会的发起人组织委员会）内部控制整体框架、COSO企业风险管理整合框架及中华人民共和国公司法、中华人民共和国合同法、中华人民共和国会计法等国家法律法规编制。13 编制原则131 合法性原则以国内及上市地法律法规为准绳，结合公司实际进行内控体系设计。132 完整性原则以中华人民共和国公司法、中华人民共和国合同法、中华人民共和国会计法等国家法律法规及美国萨班斯法案、COSO内部控制框架五要素为指引，全面开展内控体系建设，并覆盖各项业务和部门，构建公司有机的内部控制框架。133 继承性原则与公司管理制度体系相结合，在公司现有管理体系的基础上，建立内部控制管理体系。134 有效性原则在内控体系设计过程中考虑了实施的可行性，根据公司运行的实际需要进行体系设计。14 主要应用本框架是公司构建良好的控制系统所遵循的基本控制原则和理论基础，它适用于任何业务部门和业务流程，公司及所属各部门应依据本框架所介绍的控制标准建立有关系统和程序，并定期进行审查以确保其足够性和有效性。公司内控部有职责就有关控制事项向各职能部门提出意见，希望并鼓励各部门向其寻求意见。管理人员应就任何与控制标准有关的例外情况，与内控部进行书面沟通。如果业务流程产生了重大变化，或由于出现其他情况而使本框架的某一个或多个程序与实际情况不相符合时，请通知内控部。如果需要，公司内控部将对例外情况进行调研、备案，并协调解决方法，适时地建议职能部门采用替代的控制程序。15 主要内容本框架以COSO框架与萨班斯法案规定为指引进行内控体系建设，从控制环境、风险评估、控制活动、信息与沟通和监督等五个要素开始，对每一个要素再细分为若干个子要素，全面、系统地阐述了内控体系建设的目标、方法和标准，以全面、有效地指导公司内控体系建设工作。151 控制环境1511 释义控制环境是指对建立、加强或削弱特定政策、程序的效率和效果有重大影响的各种因素。有些是有形的因素，如组织机构、授权、组织业务活动；还有一些是无形的因素，比如员工的能力和诚信、高层管理人员的道德影响力、公司管理层与所属人员沟通和推行政策的方式以及影响公司业务的各种外部关系等。1512 控制环境的作用营造良好的控制环境是公司生存发展的必要条件。公司管理层所建立的总体控制环境，对公司内部控制的选择和控制效率都具有非常重要的影响。一个健全的管理系统可以帮助创建良好的控制环境，从而进行有效的控制。这种环境的特点是关注控制的存在，确保控制的执行，对执行控制持有正确的态度。恶劣的控制环境可能会使一些内部控制失效，达不到任何目的，不利于企业目标的实现。152 风险评估1521 释义风险是未来的不确定性对公司实现其经营目标的影响，所有公司无论规模、结构和行业性质，都面临着诸多来自内部和外部的风险，影响公司既定目标的实现。风险评估是指对相关风险进行识别和分析，是发现和分析那些影响目标实现的风险的过程，是确定如何管理和控制风险的基础。为提升公司管理水平和创造股东价值为目的，董事会与管理层将精力主要放在可能产生重大风险环节上，而不是所有细小环节上，应将风险管理作为内部控制的主要内容。1522 风险评估的目的由于外部宏观环境(如经济状况、行业状况、法规)和公司内部经营状况会不断发生变化，要发现并处理这些变化对有关风险的影响，必须建立健全一套风险评估制度体系和持续改进的运作机制，以有效地识别、分析和管理影响目标实现的相关风险，提高公司抵御各种风险的能力。153 控制活动1531 释义控制活动是确保管理层指令得以执行的政策和程序，政策和程序是两个不同层面上的构成要素，是针对风险采取的控制措施；同时，控制活动是由董事会、管理层、业务执行部门及公司所属各单位分层次实施的，以实现公司营运的效率和效果、财务报告的可靠性、遵守适用的法律法规的目标。控制活动贯穿于公司的各个层次和部门，一般包括诸如职责分派、授权、批准、记录、查证核对、分析审核经营业绩、资产保护等活动。1532 控制活动主要工作内容建立健全控制活动制度体系。建立健全经营活动分析及其管理活动分析制度，并按照制度规定开展分析评价活动；控制现状描述与分析，对关键业务流程进行风险控制分析，编制分析文档并修改、完善、补充相关制度；建立关键控制，进行流程分析，建立完善的关键控制的确认标准(内部控制体系评价标准)，确定所有业务流程的关键控制；规范期末财务、工程投资、生产运营报告流程，完善相关期末报告制度。154 信息与沟通1541 释义信息与沟通是指相关信息以某种形式并在某个时段被识别、获得和沟通，以促使员工采取一定的措施或行动履行自己的职责。信息与沟通连接了内部控制体系整体框架的其他要素，是有效实施内部控制的保障，直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。1542 目的公司管理的最重要的内容之一就是决策，管理行为的重点就是采集、加工决策所需的信息。信息与沟通包括两个方面，一是有一套能够支持信息确认、信息获取和信息交流的系统，使员工能够按照一定的形式和时间行使职责以及正确编制财务和非财务报告；二是在公司各个层面对相关信息进行有效的沟通和将其传达给相关的各方，冲突必须得到有效管理和控制，以利于实现公司预定目标。1543 公司系统内部信息与沟通基础工作组织结构要有利于信息的传递和交流； 要建立能有效解决横向部门、上下级之间的冲突与矛盾解决机制； 信息沟通应能有效促进公司经营目标的实现。1544 信息与沟通必须做好的工作从制度上保证信息沟通体系的建立。建立健全信息沟通渠道及沟通方式；完善与信息沟通相关的管理制度，包括：沟通的种类、沟通的渠道、相关部门的职责等。利用计算机信息基础，提高信息与沟通的管理水平。结合公司信息化建设，逐步在整个公司系统形成集中、统一、完整的计算机应用系统，分级实施，为公司实现网络化经营提供统一平台，提高信息处理和沟通的及时性、高效性，确保生产经营数据的真实性、完整性。完善对外披露事项的管理制度，包括重大事项判定标准、报告程序及规范披露事项的收集、汇总和披露程序等方面。155 监督1551 释义为了使内部控制系统有效运行，就需要对内部控制系统的建立和实施开展恰当的监督，通过监督活动，评价内部控制系统的效果和质量。包括持续监督、独立评估和内控缺陷报告等。1552 内容持续监督。建立完善的内控体系维护机制、管理制度及内控测试标准，持续监控内控体系的有效性。独立评估。相关部门定期监督、评估内控体系的有效性。独立评估的范围和频率主要依赖于风险评估和持续监督的有效性。缺陷报告。建立健全缺陷报告管理机制，制定缺陷确认标准，明确向相关管理人员和董事会上报内控风险的程序。内部控制的缺陷应自下而上进行报告，重要事项应报知高层管理人员和董事会。16控制的原则161 管理权利的分散化在现有的机构和人员条件内，每个部门都应该在营运范围内尽量发挥其管理职责和授权，并对结果负完全责任，不应该过于突出某一个部门的作用或地位，而导致公司总体控制的不平衡发展。162 职责的划分对财务资产及有形资产的保管与会计职责进行划分。任何一个部门或员工都不应该具有控制任何一个重大交易或一组重大交易的权利。163 文件记录所有营运程序、业务活动和交易都要保留文件证据，目的是为了确定审批和查证职责、提供准确及时的会计记录和报告，提供记录，用于分析和回顾。164 监管与检查对管理人员和其他员工的工作进行系统、详细的监管和检查，有助于确保员工对控制程序的了解和执行。165 时效性记录、报告和检查是评估业绩过程的一部分，这些工作应该及时地按照计划进行。166 与风险相关控制程序的设计反映出风险的性质和程度，控制的成本应该与产生的效益相关。167 尽量减少控制的相互依赖内部控制的每个方面都应该精心组织，如果任何一个部分出现重大失误，应该确保不会严重削弱整个系统中其他控制部分的效率。17 控制的职责171 管理层进行适当、有效的控制是各部门的重要职责之一，从最基础的主管开始，向上一直到公司的管理层，公司内控在一种分散化的机构框架中进行。各级管理人员都有职责就控制理念和控制要求与其机构内所属的员工进行沟通，这些管理人员还负责在其机构的营运系统和工作程序中采取充分的控制措施。执行公司政策和程序、找出需要改变的控制是日常业务主管人员的职责；公司管理层在各部门的协助下负责对控制系统实施总体监督。172 内部审计公司内部审计对内部控制系统运作的足够性和有效性进行独立、客观的监督和评价。公司建立了一套报告关系，确保内部审计人员在选择检查范围或评估有关工作时，不受某些机构可能给予的压力的影响，这些报告关系包括直接或间接地与公司高级管理人员沟通。各级管理层有义务对所有在内部审计中发现的问题和提出的意见进行评估并采取适当的行为，特别注意对内部控制中的不足进行纠正。173 外部审计外部审计人员主要是对公司的综合财务报告发表意见。审查过程中，他们有义务报告与其审查的财务报告和资料相关的任何重大内部会计控制缺陷。由于外部审计人员对内部控制的审查可能局限于一般接受的审计标准，所以公司的管理人员不能用外部审计人员的审查来完全替代各部门对控制职能的评价。外部审计人员可以对所有他们认为与执行审计工作有关的营运、记录、人员和有形财产进行检查。174 各级员工各级员工都应参与公司控制系统并遵循公司的政策和程序。在执行工作过程中，所有员工都应对现行政策和程序不相符合的情况或交易保持警惕和提出质疑。2 框架基础在控制的过程中，将公司管理层的目标和要求明确地传达到公司组织的各个方面是非常重要的，在本部分列出了公司的基本政策，为确保公司的持续发展提供良好的控制基础和前提条件。21 公司愿景建设世界一流企业，创建世界一流品牌。22 公司使命建设资源节约型、环境友好型企业，为社会提供纯天然、零热量、高品质的“第三代健康糖源”。23 公司战略“建设世界一流企业，创建世界一流品牌”既是GLG全体员工的共同愿景，也是企业的战略定位。依靠忠诚的员工队伍，凭借自身拥有的目前世界最全的集种苗研发、种植、工业加工、国际市场营销网络于一体的产业链，依托科学的管理、先进的设备，我们完全可以做到全球产量最大、质量最高、成本最低，我们坚信，有了这样的核心竞争力，不断加强管理、技术和文化的创新，在注重发展质量、规避经营风险的前提下，打造以 “文化独特化，利益一体化，责任社会化，管理现代化，经营国际化，品牌大众化，产品差异化，优势显著化，竞争正规化”为特质的世界一流企业、一流品牌的目标一定能够早日实现。24 经营理念诚信为本，规范经营，业绩优良，回报股东。作为上市公司，依法合规经营，以诚信的理念和心态主动沟通，真诚面对股东，面对社会，实现对股东的承诺。25 企业文化GLG集团认为：企业文化是企业的灵魂，完美的企业必须有强大的企业文化主导。志在成为世界甜菊糖行业“巨无霸”的GLG集团应该具备有GLG特色的企业文化。GLG文化传承中华民族优秀的传统文化，吸收、借鉴西方现代文明以及人类一切优秀文明成果，崇尚人文关怀，追求和谐包容。GLG倡导“健康有意义的人生”，奉行“学、诚、勤，和、信、廉”，提倡“充满激情而又严谨的工作”；GLG主张“学习是一种生活方式”，努力打造学习型团队。鼓励员工不断超越自我，追求杰出。人文化成，文化兴企。GLG将通过企业文化的固化、细化，完善包括精神文化、制度文化、物质文化在内的企业文化体系，建立企业文化的各种载体，打造企业文化“软实力”，为企业的快速、健康、可持续发展提供不竭的动力，并最终造就一大批杰出的GLG人。 26 核心价值观忠诚 提升 和谐 诚信在GLG文化里，“忠诚”首先表现为每一个GLG员工作为一个社会公民的道德底线：自尊、自重、自爱，奉公守法，遵守公俗良序；其次，“忠诚”是作为一个职业人最基本的职业精神。它要求GLG的每一个成员都必须自觉维护企业利益和企业荣誉：有强烈的责任感，尽职尽责，能充分承担本职工作的经济责任、社会责任和道德责任，公私分明，不做任何与履行职责相悖的事，不做有损企业形象和企业信誉的事。坚决反对和杜绝一切贪污腐败的行为。与此同时，GLG以构建和谐价值链为己任，与行业、产业的上下游企业和全体员工共同提升。“和谐”是GLG始终不渝追求的目标和集团持续快速健康发展的保障。GLG谋求建设“共融、共享、共赢、共荣”的和谐企业，我们要在继承中创新、在创新中发展，不断追求高尚、不断追求完美、不断追求人生的更高境界、不断创造集团更美好的未来。“和谐GLG”根本是价值理念高度认同，不论形势如何变化都始终予以坚持；和谐的关键是集团高层公道正派，各级领导在人品上率先垂范；和谐的基础是团队动作协调、上下目标统一、企业均衡发展；和谐的保障是工作流程简约而不简单、决策严谨而不繁琐、执行高效而不盲动；和谐的真谛是原则上坚定、利益上互让、性格上包容。GLG提倡以实事求是的精神指导自己的一切行为，坚持说老实话、办老实事、做老实人，以诚待人，光明磊落。言必信，行必果。正确处理义利关系，坚持守法经营，讲究诚信，坚决反对任何吹牛浮夸、弄虚作假的行为。27 公司与政府的关系企业与政府是现代社会中两种最有影响力的组织。GLG集团认为，企业与政府是主体平等、相互依存的鱼水关系、手足关系，GLG集团依照法治原则、高效原则、平等保护原则、经济原则，在与政府权利、义务对等的前提下，依法进行经营活动，同时，注重加强企业的社会形象管理，努力创设有利于企业发展的良好的外部环境。28 公司与投资方的关系公司对所有的股东负责，在董事会领导和监督下进行生产经营活动，从而向投资方进行合理的回报，实现共同利益与公司持续发展的有机结合。29 公司与员工的关系291 GLG认为，员工和企业是休戚相关的利益共同体。对GLG绝对忠诚是员工的神圣义务；GLG为忠于公司、恪尽职守的员工的提升和个人价值的实现提供良好的平台； GLG努力构建和谐企业，建设和谐友爱的GLG大家庭；恪守诚信是GLG集团基业长青的保证。292 GLG所有员工在人格上人人平等，在发展机会面前人人平等；GLG倡导简单而真诚的人际关系。3 控制环境控制环境是整个内部控制框架的基础，直接影响到内部控制的贯彻和执行，影响企业经营目标和整体战略目标的实现。公司要颁布纪律守则和政策声明，支持内控环境的构建，应包含以下子要素。31 公司治理架构公司治理是指股东、董事会、董事会辖下管理委员会、管理层之间形成的权责分配、约束与激励、权力制衡关系。虽然内部控制的贯彻落实是属于内部管理措施问题，但是，内部控制机制设计则属于公司治理范围。311 股权结构公司应向公众充分披露公司股权结构，包括披露股东背后的相关利益方，使股权结构保持透明清晰；大股东不损害小股东的利益；母公司或控股公司股东不通过公司章程外的手段来影响经营者或独立董事的行为；管理层和内部持股者不能损害股东的利益。312 相关利益方的平衡关系每个股东都能按照程序规定参加股东大会，并获得充足的信息；由全体股东参与的股东大会可以控制决策过程；股东应有权益不受到削弱。313 财务透明度和信息披露财务报表和信息披露内容质量能被公众认可；向公众披露的信息及时、清晰完整、容易获取；在公司章程、规章制度中有明确阐述。314 董事会结构及运作董事会能公正代表股东的利益；董事会选举过程透明，董事本人不参与；董事的薪酬制定程序规范，有明确的连任政策；董事会下设立适当的专业委员会，并在董事会闭会期间监督公司的经营状况。32 管理理念及经营风格管理理念及经营风格表现为管理者的各种偏好，对公司的内部控制效率和效果有深远的影响，也对员工的道德行为、行为方式有直接影响，内部控制的有效性无法超越管理者的管理哲学及经营风格，主要有对接受风险的态度、是否重视对关键岗位人员的监测或轮换、对会计账目以及财务报告真实性、可靠性、安全性的态度等。321 接受风险的程度对高风险领域的投资行为按照制度规定的程序进行分析论证；力求公司的债务和权益比始终保持同行领先水平；在介人新业务前，应在进行仔细的风险和收益分析后才采取行动；制定风险偏好标准和风险容忍度。322 重视关键岗位人员轮换使用建立物资、会计、技改、工程等岗位人员的轮换制度，并按照规定执行；管理层和监督层人员不应存在过高的更换频率；对关键岗位的员工应有相应的制度或措施保证由于突然离职或意外情况的发生使公司的业务不受影响。323 管理者对数据的态度管理当局质疑各种基础数据统计、财务报告的真实性和可靠性，而且制定制度规范数据处理；管理层要重视综合统计分析报告和财务报告；管理层重视预算执行偏差分析报告；重要资产，如包括知识产权和信息被严格地保护，防止未经授权的接触。33 组织结构331 建立原则组织机构以精简、高效和应变为原则而建立，通过结构优化提高员工的整体素质，并且要与公司发展战略规划相匹配。同时考虑以下几个方面： (1)有利于强化责任，确保公司目标和战略的实现； (2)有利于简化流程，快速响应顾客的需求和市场的变化； (3)有利于提高协作效率，降低成本； (4)有利于信息的交流，促进创新和优秀人才的脱颖而出； (5)有利于培养领导干部，使公司可持续发展。332 发展原则组织结构的演变不应当是一种自发的过程，其发展具有阶段性。组织结构在一定时期内的相对稳定，是稳定政策、稳定干部队伍、稳定员工思想和提高管理水平的条件，是提高效率和效果的保证。333 权责分配组织结构能满足公司的规划、执行、控制、监督活动，日常经营层的设立应满足需要的职能部门，对重大的投资、财务预决算等决策做好前期工作，报专业委员会审查，对具有投资价值的战略项目、再报董事会或股东大会通过。334 信息沟通和汇报组织机构设置的横向扁平宽度和垂直层次要合理，使信息沟通和汇报能满足公司日常管理；各业务流程必须在部门之间、上下级单位之间适当分割，使计划、授权、审批、执行、控制、考核评价、监督职能适当分离和牵制，管理业务信息顺畅，兼顾效率和效果。335 组织结构变化的适应性组织结构会随着环境的变化而变化。具体包括：管理人员定期根据变化的业务或行业环境来评价公司的组织结构。336 员工人数足够配备足够数量的员工，特别是管理人员。使管理人员拥有足够的时间来有效地履行职责。同时保证管理人员能够将工作分派给其下属，避免出现大量加班来完成本可以由多名员工完成的工作。34 诚信与道德价值观 341 道德准则的制定及推行管理层应该向员工传达诚信与道德标准，并且必须不折不扣地执行。员工应该知晓和理解这些规定。管理层应该在言谈和行动的方式中表现出对道德标准一丝不苟的遵循。342 内容道德标准是全面的，针对利益冲突、非法或其他不当付款、反不正当竞争准则、内幕交易等。公司对道德标准进行有效地宣传推广，建立包括详尽的道德指导并在公司上下沟通程度的指导，管理层通过一言一行，在公司范围内传达一种对诚信与道德观的遵循，对存在问题的迹象适当地关注。员工知晓什么行为是可接受的，什么是不可以接受的，以及当遇到不当行为时应该采取的行动，让员工感觉到被同仁敦促做正确的事情的压力。343 与利益相关方的关系管理层与员工、供应商、客户、投资者、债权人、保险公司、竞争对象和审计师等进行交往时，是否采用高的道德标准，并且要求其他人同样遵守道德标准。具体包括：与客户、供应商、员工和其他相关方的日常业务建立在诚实和公允的基础上。344 违规处理针对违反政策和道德标准的情况采取适当的措施，具体包括： (1)管理层对违规行为应进行回应。 (2)对违规行为会进行纪律处分，处理的原则和结果应在公司上下进行传达并保持一贯性。 (3)员工确信如果违规要承担后果。345 管理层对干预或逾越既定控制的态度管理层干预是指为了合法的目的而偏离既定的规章和程序的行为。当出现特殊的和非标准的交易和事件时，管理层的干预是合理的，因为没有一个公司在设计内部控制时能够考虑所有因素，当特殊情况出现，现有的内部控制不适用时，需要管理层采取干预进行处理。而管理层的越权行为则是指为了不合法的目的而不遵守既定的规定和程序，这是内部控制禁止的。346 实现目标的压力绩效目标的制定应是合理的，绩效考核导向是与公司战略目标和阶段目标相一致的，特别是短期目标，工资与绩效目标实现的挂钩程度是合理的。具体包括： (1)不存在偏激的奖惩制度，影响员工对道德标准的遵守。 (2)升职和工资不能仅基于短期绩效目标的实现程度。(3)实施控制以减少以其他形式存在的诱惑。35权责分配体系公司内部机构之间、各经办人员之间的科学分工与牵制是内控环境的软要素，做到不相容职务分离，要通过建立制度和工作程序来规范完成。以下不相容职务要分离： (1)授权审批职务与执行业务职务要分离； (2)业务经办职务与审核监督职务要分离； (3)业务经办职务与会计记录职务要分离； (4)财产保管职务与会计记录职务要分离； (5)业务经办职务与财产保管职务要分离。36 人力资源政策及实施人力资源政策及实务是挽留和补充人才，保证企业计划实施和目标实现的关键因素，内控体系要求人力资源政策及实务的标准要求要涵盖人事管理、薪酬管理、候选人考察、违规行为处理及培训管理等方面。361 人力资源政策和指引应建立人力资源政策与指引，并由公司管理层审批。现有人力资源政策和程序可以招聘并发展有能力、可信的人员，能够支持有效的内部控制系统，并对招聘和培训合适人员的关注程度是适当的。362 员工责任和目标员工应意识到他们的工作职责和公司对他们的期望。363 违规行为的纠正措施管理层对工作失职的行为应采取适当的措施，对违反政策的行为有适当的纠正措施。364 道德标准的遵从人力资源政策与相应的道德标准一致，诚信和道德价值是员工评价的一项标准。365 核查候选人或继任者的背景对频繁更换工作和职业背景相差很大的候选人要仔细核查，雇佣政策要包括对犯罪记录的调查。4 风险管理41 风险管理内容风险管理不是孤立分配给风险管理部门的任务和责任，董事会、公司管理层、公司各职能部门、公司下属各单位都要把风险管理的各项工作融人到企业管理和各项业务流程及其管理制度中去，重点要做好战略发展、投资收购、财务管理及报告、安全生产、环境和职业健康、燃料管理、金融产品的交易、法律事务、内部审计等的风险管理工作。(1)风险评估的前提条件是设立目标。设立目标是管理过程重要的一部分，它是风险管理的要素之一，是内部控制得以实施的先决条件。 (2)识别与上述目标相关的风险。(3)评估上述被识别风险的后果和可能性，划分重要业务单位、流程、资产设备等，一旦确定了主要的风险因素，管理层就可以考虑它们的重要程度，并尽可能将这些风险因素与业务活动联系起来。 (4)针对风险的结果，考虑适当的控制活动。42 风险管理目的从组织结构上看，形成三道风险屏障，公司各业务职能部门和公司所属各单位形成第一道屏障，内控职能部门和公司管理层形成第二道屏障，内控职能部门和董事会下设的投资及风险控制委员会、审核委员会形成第三道屏障；从管理流程来看，风险管理成为内控体系及其制度体系的主要支撑，形成公司良好的风险管理文化。公司各项管理活动和风险管理应该关联内容的参考标准见下表。公司各项管理活动和风险管理应该关联内容的参考标准 序号 管理活动 风险管理关联内容1确定战略在战略规划过程中运用企业风险管理方法 2 选择公司和所属公司的发展目标和阶段性 实施目标 在建立目标过程中运用企业风险管理方法3识别风险和分析风险 在公司层面和所属公司层面上建立定量的风险偏好和设定风险容忍度，定义潜在事件；评估风险影响和可能性4 管理风险 定义、评估风险，列示出重大关键事务排序，制定风险应对措施5 控制活动 考虑风险管理6 信息与沟通 考虑风险管理7 监督 监控公司和所属公司的风险管理要素是否存在及发生的实际作用 43 风险管理信息的采集公司实行全面风险管理，应持续不断地收集与本公司风险和风险管理相关的内 部、外部初始信息，包括历史数据和未来预测数据，把收集初始信息的职责分工落实到有关职能管理部门和下属业务单位，必要时，按照效益大于成本的原则也可以把某项信息采集工作外包。431 战略风险信息采集至少收集以下战略信息，并包含因战略风险导致企业受损失的案例： (1)国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策； (2)科技进步、技术创新的有关内容； (3)市场对本企业产品的需求； (4)与公司战略合作伙伴的关系，未来寻求战略合作伙伴的可能性； (5)本公司主要客户、供应商及竞争对手的有关情况； (6)与主要竞争对手相比，本公司实力与差距；(7)本公司发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制这些战略、规划、计划、目标的有关依据； (8)本公司对外投融资流程中曾发生或易发生错误的业务流程或环节。432 财务风险信息采集至少收集以下财务信息(其中有行业平均指标或先进指标 的，也应尽可能收集)，并包含因财务风险导致公司危机的案例： (1)负债、或有负债、负债率、偿债能力； (2)现金流、应收账款及其占销售收入的比重、资金周转率； (3)产品存货及其占销售成本的比重、应付账款及其占购货额的比重； (4)生产成本和管理费用、财务费用、营业费用； (5)盈利能力；(6)成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节；(7)与本公司相关的行业会计政策、会计估算、与国际会计制度的差异与调节信息； (8)环保费用、政策优惠费用。433 市场风险信息采集在市场风险方面，公司应广泛收集国内外公司忽视市场风险、缺乏应对措施导致公司蒙受损失的案例，并至少收集与本公司相关的以下重要信息： (1)产品的价格及供需变化； (2)原材料、辅助材料等物资供应的充足性、稳定性和价格变化； (3)税收政策和利率、汇率、股票价格指数的变化； (4)潜在竞争者、竞争者及其主要产品情况。434 运营风险信息采集在运营风险方面，应至少收集与本公司、本行业相关的以下信息：(1)资产结构、产品结构、设备先进程度、设备健康状态、能耗；(2)新项目的市场营销策略，包括产品定价与销售渠道，市场营销环境状况等；(3)公司组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验；(4)质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节，相应的经验反馈；(5)因公司内、外部人员的道德风险致使公司遭受损失或业务控制系统失灵；(6)对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力；(7)公司风险管理的现状和能力； (8)给公司造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险。435 法律风险信息采集公司应广泛收集国内外公司忽视法律法规风险、缺乏应对措施导致公司蒙受损失的案例，并至少收集与本公司相关的以下信息： (1)国内外与本公司相关的政治、法律环境； (2)影响公司的新法律法规和政策； (3)员工道德操守的遵从性； (4)本公司签订的重大协议和有关贸易合同； (5)本公司发生重大法律纠纷案件的情况； (6)公司和竞争对手的知识产权情况。436 对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估。44 风险评估 公司对采集的风险管理信息和公司各项业务管理及其重要业务流程进行风险评估，风险评估包括风险辨识、风险分析、风险评价三个基本环节，风险评估结果要在各项业务管理中充分应用。 风险评估的内控标准参考如下：(1)公司层面应综合考虑组合风险，全面评估风险，风险评估应由公司组织有关职能部门和业务单位实施，也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。(2)风险辨识是指查找公司各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对公司实现目标的影响程度、风险的价值等。(3)进行风险辨识、分析、评价，应将定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论、计算机模拟、失效模式与影响分析、事件树分析等方法。(4)进行风险定量评估时，应统一制定各风险的度量单位和风险度量模型，并通过测试等方法，确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。要根据环境的变化，定期对假设前提和参数进行复核和修改，并将定量评估系统的估算结果与实际效果对比，据此对有关参数进行调整和改进。(5)风险分析应包括风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行统一集中管理。(6)公司在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图，对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略。(7)公司应对风险管理信息实行动态管理，定期或不定期实施风险辨识、分析、评价，以便对新的风险和原有风险的变化重新评估。45 风险管理策略风险管理策略，指公司根据自身条件和外部环境，围绕公司发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。451 风险管理的应对策略选择公司应考虑所有评估出的高风险(比例应占10-20)的风险反应方案，为风险反应方案的选择提供广泛的空间，特别是对战略、财务、生产运营和法律风险，应采取风险承担、风险规避、风险转换、风险控制等方法。452 制定风险预警线(容忍程度)(1)公司应根据不同业务特点统一确定风险偏好和风险承受度，即公司愿意承担哪些风险，明确风险的最低限度和不能超过的最高限度，并据此确定风险的预警线及相应采取的对策。(2)确定风险偏好和风险承受度，要正确认识和把握风险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件、范围，认为风险越大、收益越高的观念和做法；同时，也要防止单纯为规避风险而放弃发展机遇。453 风险管理实施保障(1)公司应根据风险与收益相平衡的原则，进一步确定风险管理的优选顺序。(2)明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。454 优化改进公司应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。46 风险应对措施公司应根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如关键风险指标管理、损失事件管理等)。公司制定风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防和控制措施。公司制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。461 关键岗位授权和审批(1)建立关键岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定。(2)建立内控批准制度。对内控所关注的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任。462 内控报告建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等。463 明确内控责任建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度。464 审计监督建立内控审计监督制度。结合内控的有关要求、方法、标准与流程，明确规定审计监督的对象、内容、方式和负责审计监督的部门等。465 考核评价建立考核评价制度。条件具备时应把各业务单位风险管理执行情况与绩效薪酬挂钩。466 风险预警建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施。467 法律风险防范(1)建立健全以总法律顾问制度为核心的公司法律顾问制度。(2)大力加强公司法律风险防范机制建设，形成由公司决策层主导、公司总法律顾问牵头、公司法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。(3)完善公司重大法律纠纷案件的备案管理制度。468 业务流程分割对内控关注的高风险业务流程切割，分配给不同的主体承办，建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括授权批准、战略、投资、付款、合同采购、工程等业务经办、会计记录、财产保管和稽核检查等职责。对内控所关注的重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点等。4 69 风险应急预案应制定定期对高风险项目、重要管理岗位、资金流通环节、安全健康环境保护、灾害事故、生产危机、群体事件、资本市场公众信任危机等的应急预控方案。针对以上所列应急预控方案，在必要时组织应对演练，并落实责任分工。47 风险管理的监督与改进公司应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用适当的方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。选定某一风险反应方案后，管理者应在残存风险的基础上重新评估风险，即从公司总体的角度、或者组合风险的角度重新计量风险。各行政部门、职能部门或者业务部门的管理者应采取一定的措施对该部门的风险进行复合式评估并选择相应的风险反应方案。471 风险管理信息沟通渠道公司应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。472 风险管理自我评估公司各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改进，其检查、检验报告应及时报送公司风险管理职能部门。473 风险管理内控评估监督公司风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验，要根据本手册对风险管理策略进行评估，对跨部门和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送公司总经理或其委托分管风险管理工作的高级管理人员。5 控制活动51 实施控制活动的基本要求511 控制活动的分类 内部控制的组合方式或者分类形式，按照控制目标为标志，划分为会计控制和管理控制。5111 会计控制部分，包括为保证与财务记录的完整性、客观性以及保证达到授权、会计核算和资产保护的目的