风险防范.doc

管 理 名 称风险评估规则管 理 编 号Jrhg-1002管 理 内 容风险评估管理管 理 部 门具体内容具体内容具体内容具体内容具体内容具体内容风险评估规则一、风险识别1）风险识别的主要方法。（1）小组讨论。（2）访谈法。（3）问卷调查法（4）案例分析法。（5）参考专业机构咨询意见（6）征求专家意见。2）风险识别的主要程序。（1）公司层面风险识别的主要程序。明确公司总体目标。收集公司及同行业其他公司在资本市场披露的公司风险情况。识别确认风险。公司层面风险识别关注的主要因素：外部因素：内部因素：管理层职责，董事会或审计委员会无法有效履行其职责等。（2）业务层面风险识别的主要程序。业务活动层面风险包括经营风险、合规性风险和财务风险。财务报告风险识别的主要程序：明确财务目标。财务目标一是为公司及时提供真实、准确、完整的经营管理信息；二是及时提供真实、准确、完整的财务会计报告；三是防止资产未经授权购置、使用或转让出售。确定重要会计科目和披露事项。确定业务流程。 描述业务流程。确定财务报表认定。财务报表认定是公司按重要的会计科目和披露事项确定的满足财务报告目标的判断标准，通过识别重要的会计科目和披露事项中影响财务报表错报的主要方面，为识别财务报告风险作准备。识别确认风险。以业务流程为主线，根据确认的各业务流程的具体目标，结合重要会计科目和财务报告风险识别关注的主要因素：a.相关岗位设置、职责和权限划分。b.会计政策、程序和方法，内部稽核程序。c.来源于业务流程的财务信息的及时性、合规性、真实性和准确性。d.资产购置、处置、转让出售等程序。e.财务报告流程，财务报告及相关信息的披露。二、风险分析风险分析包括风险可能性和影响程度分析。1）公司层面风险分析。（1）可能性分析。公司层面风险可能性分析主要通过具有经验的风险管理人员和相关管理人员，结合国内、外政治因素的变化情况、市场价格变化趋势、技术发展趋势、自然灾害发生规律、竞争环境变化情况、信息系统运转现状等实际情况，分析确定相关风险发生的可能性。（2）影响程度分析。2）财务报告风险分析。（1）可能性分析。按照风险发生的概率或一个会计年度内风险发生的次数，将风险发生的频率分为“极小可能”和“较大可能”。其判断标准分为概率和频率标准： 概率标准：资产变现难易程度、业务流程中人工参与的程度以及财务数据是否涉及大量繁杂的人工计算。 频率标准：对于不便以概率估计的，以发生频率为标准，即以一个会计年度内风险发生的次数判断。低于一次的，为极小可能；大于或等于一次的，为较大可能。 （2）影响程度分析。主要针对相关风险对公司财务报告目标及其具体目标的实现的影响程度判断。影响程度判断标准：风险相关的资产或负债总额占总资产额的比例。风险相关的收支对税前利润的影响。按照风险相关的收入或支出（含损失）占税前利润的比例来判断。风险的发生对资本市场股价的影响。3）风险重要性水平的判断。公司将风险重要性水平分为高、中、低三类，主要根据风险发生的可能性和影响程度的对应关系来确定，判断方法是：（1）如果风险发生的可能性属于极小可能，并且风险影响程度确定为极小影响，则将该类风险的重要性水平确定为低。（2）如果风险发生的可能性属于较大可能，但风险的影响程度属于极小影响，或者风险发生的可能性属于极小可能，但风险的影响程度属于较大影响，则将该类风险的重要性水平确定为中。（3）如果风险发生的可能性属于较大可能，并且风险的影响程度属于较大影响，则将该类风险的重要性水平确定为高。（4）舞弊风险的重要性水平均确定为高。对于重要性水平为低的风险，由于其发生的可能性和影响程度均为极小，公司忽略此类风险而不予关注。对于重要性水平为中的风险，公司将此类风险确定为一般风险并给予一般关注。对于重要性水平为高的风险，公司将此类风险确定为重要风险并给予重点关注。一般风险和重要风险的划分是公司确定风险反应对策和制定控制措施的一个重要依据。三、 风险反应1）风险反应方案。公司在进行风险识别和分析后，要根据相关目标、风险发生的原因和风险重要性水平，结合实际情况作出适当的风险反应，确定采取不同的风险反应方案：（1）回避风险：退出产生风险的各种活动。（2）减少风险：采取行动减少风险发生的可能性或降低风险影响程度或两者同时降低。如建立或优化业务流程、增加相关控制措施等。（3）分担风险：通过将风险转移或者分担部分风险来减少风险的可能性和影响。如为重大的意外损失保险、外包业务、套期保值等。（4）接受风险：不采取任何行动去影响风险的可能性或影响。如不采取行动而接受符合风险接受程度内的风险。2）确定风险反应方案考虑的主要因素。（1）风险反应方案是否符合成本效益原则。（2）风险反应方案中可能的机遇与相关的风险的比较。（3）考虑多种风险反应方案的组合。第二节 风险评估1、风险是指任何可能影响公司实现其目标的负面因素，包括战略风险、经营风险、合规性风险和财务报告风险。2、 公司实行统一的内部控制体系，制定统一的风险评估规范，组织相关部门、专业分公司，按照风险评估规范确定的风险评估程序和方法，根据公司制定的目标，查找影响目标实现的负面因素，分析风险发生的可能性和影响程度，结合公司实际确定风险应对对策，形成风险数据库初稿。3、 公司内控部将风险数据库初稿向相关部门、专业分公司和地区公司征求意见并根据反馈意见进行修改，修改后送相关部门、专业分公司审核确认，审核确认后送交公司内控项目建设委员会审议，审议通过后发布实施。4、 公司相关部门、专业分公司和地区公司发生新的业务或者现有业务中发生新的风险时，应向公司内控部书面报送相关情况。风险数据库进行更新：1）组织结构的重大变化。2）公司目标