风险管理与内部控制实施细则

风险管理与内部控制实施细则（三）负责风险评估和内部控制评价工作的组织和实施，指导各部门制定风险管理和内部控制计划，并监督实施效果；（四）负责制定风险管理和内部控制培训计划和方案，组织培训并跟踪效果；（五）负责内部控制缺陷的整改工作，评估整改效果；（六）负责风险管理和内部控制的信息披露工作；（七）负责风险管理和内部控制的监督和评价工作，向领导小组报告工作进展和存在的问题，并提出改进意见；（八）协助领导小组处理与风险管理和内部控制有关的其他事项。第三章风险管理与内部控制流程第六条公司应制定风险管理和内部控制流程，包括风险评估、内部控制评价、内部控制缺陷整改、风险管理和内部控制信息披露等环节。流程应具体、清晰、可操作，符合公司的实际情况和管理需要。第七条公司应按照流程要求，制定风险管理和内部控制相关的制度和规程，明确各部门的职责和工作程序，确保流程的顺畅和有效。第八条公司应定期开展风险评估和内部控制评价工作，及时发现和解决风险和内部控制缺陷，确保公司的风险管理和内部控制工作的有效性和可持续性。第九条公司应及时披露风险管理和内部控制相关信息，包括但不限于风险管理和内部控制制度、风险评估报告、内部控制评价报告、内部控制缺陷整改情况等，向投资者和社会公众提供真实、准确、及时、完整的信息。第四章附则第十条本细则自发布之日起施行，公司原有的风险管理和内部控制制度和规程与本细则不一致的，以本细则为准。第十一条本细则的解释权归公司风险管理与内部控制领导小组所有。在公司的风险管理和内部控制领导小组中，可以组织研讨会，集中讨论相关流程的风险。在讨论前，可以通过发放风险调查表等形式向相关部门收集日常经营管理活动中与风险识别相关的情况、建议和意见。另一种方法是采用访谈法，组织一到两名有经验的风险管理人员，编成访谈小组，对相关部门熟悉业务流程的管理人员进行面对面的访谈。在访谈之前，应制定详细的访谈计划，列出与风险相关的若干访谈提问题目。同时，应避免访谈人员对受访对象的影响，尽可能地让受访人员独立发表意见。还可以采用问卷调查法，编制一套风险调查问卷，采取单项或多项选择的方式，向相关管理人员或责任人员通过问卷调查，询问相关流程的风险，并在对问卷调查结果进行统计后，分析确定相关风险。情景分析法可以通过数字、图表和曲线等方式，对公司未来某个状态或某种情况进行详细地描绘和分析，从而识别引起风险的关键因素以及影响程度。流程图法可以通过流程图帮助识别人员分析和了解风险所处的具体环节及各个环节之间存在的风险以及风险的起因和影响。PEST分析法是分析宏观环境的有效工具，不仅能够分析外部环境，而且能够识别一切对组织有冲击作用的力量。它是调查组织外部影响因素的方法，其每一个字母代表一个因素，可以分为政治因素(Political)、经济因素(Economic)、社会因素(Social)、技术因素(Technological)四大因素，通过这四个因素分析公司所面临的外部风险状况及影响大小。最后，可以征求专家意见，对风险进行初步识别后，可通过召开座谈会、评审会等形式将风险数据库初稿向有关专家、学者征求意见，经过充分讨论后对风险数据库进行修改、完善。在风险识别后，风险管理与内部控制办公室应在各部门配合下每季度对风险进行分析，主要针对风险辨识所得到的各个风险事件的属性信息，根据风险评估的具体目标，运用定性和定量相结合的方法，结合统计学原理，进行整理和综合性分析，最终确定各个风险的重要性特征和基本属性特征，从而为风险评价提供依据。风险事件对目标实现的影响程度也可以通过定量分析进行评估。将风险事件对目标实现的影响程度按等级划分为4个等级，分别赋予1分至4分，以此表示影响程度逐渐增加，1分表示影响程度轻微，4分表示影响程度严重。在风险分析中，一般采用定性和定量相结合的方法，综合考虑风险发生的可能性和影响程度，对风险进行全面评估和分类。根据评估结果，确认出应当引起重视的风险和予以一般关注的风险，并进一步将需要重视的风险划分为“重要风险”和“一般风险”。在进行风险发生可能性分析时，需要考虑与风险相关的资产的变现能力、人工参与的程度以及是否涉及大量的、繁杂的人工计算等因素。定量分析中，将可能性按等级划分为4个等级，以此表示可能性逐渐增加。在进行风险影响程度分析时，需要考虑风险对目标实现的负面影响程度。定性分析中，将影响程度分为轻微、较小、较大、严重4个等级；定量分析中，将影响程度按等级划分为4个等级，以此表示影响程度逐渐增加。在风险影响程度分析中，除了运用定性分析，还可以运用定量分析。这种分析将影响程度分为四个等级，分别为1分至4分，依次表示影响程度加强。1分代表影响程度很低，4分代表影响程度非常高。根据投资行业特性和公司实际情况，公司风险事件的影响程度主要从风险相关的资产或负债总额占总资产额的比例、风险相关的收支对税前利润影响、投资内部收益率、运营、安全、环境等方面进行评估。以下是具体方法：1.根据风险相关的资产或负债总额占总资产额的比例确定风险等级。一般认为，如果这一比例达到或超过1%但低于2%，该项风险被认定为影响程度“较大”，高于2%，则被认定为影响程度“严重”；反之，低于1%高于0.5%，该项风险被认定为影响程度“较小”，若低于0.5%，则被认定为影响程度“轻微”。2.根据风险相关的收支对税前利润的影响确定风险等级。按照风险相关的收入或支出（含损失）占税前利润的比例来判断，一般认为，如果这一比例达到或超过了5%但低于10%，该项风险被认定为影响程度“较大”，高于10%，则被认定为影响程度“严重”；反之，低于5%高于1%，该项风险被认定为影响程度“较小”，若低于1%，则被认定为影响程度“轻微”。风险重要程度的判断主要根据风险发生的可能性和影响程度来确定。若采用定量描述，即风险重要程度是风险事件的影响程度与发生可能性的乘积：1.如果风险发生的可能性属于“极小可能发生”的，该风险就可不被关注；2.如果风险发生的可能性高于或等于“可能发生”，且风险的影响程度小，就将该类风险确定为一般风险；3.如果风险发生的可能性等于或高于“风险可能发生”，且风险的影响程度大，就将该类风险确定为重要风险。各部门应根据风险评估标准，结合本部门业务特点，每季度进行风险分析。风险管理与内部控制办公室应每季度组织各部门进行风险评估，计算风险水平，对风险进行排序，形成风险评估报告。风险接受程度是公司在追求目标实现过程中愿意接受的风险程度，反映了公司的风险管理理念。公司在不同的发展阶段对风险可有不同的接受程度，不管采取何种风险接受程度，都要保证公司发展目标的实现。第五章为风险应对。第十七条规定了进行风险分析后，应根据风险分析结果、公司风险偏好和风险承受度，选择相应的风险管控策略，包括规避、减少、分担或接受风险。其中，规避风险是指退出产生风险的活动，减少风险则是采取行动降低风险的可能性或影响程度，分担风险则是通过转移或分担部分风险来减少可能性和影响，而接受风险则是不采取任何行动去影响风险的可能性或影响。第十八条规定了确定风险管控策略后，各涉及部门或实施部门应对其进行细化，采取相应的风险控制活动或解决方案。第十九条定义了风险控制活动，指为了实现公司目标、确保管理层指示得到贯彻执行而采取的行动，包括控制政策和控制程序两个方面。第二十条将风险控制活动分为四类：根据对应的公司目标不同，分为战略目标控制、经营控制、财务报告控制和合规性控制；根据作用不同，分为完整性、准确性、有效性和接触性控制；根据手段不同，分为人工和自动控制；根据内容不同，分为公司层面和业务层面的控制。第二十一条规定了每季度进行风险分析评估后，应制定风险应对措施，由风险管理与内部控制办公室组织各部门风险内控联络员制定风险应对方案，各业务部门组织实施。第二十二条强调了风险监控的重要性，是保证风险战略得到贯彻执行的基本措施，是风险管理基本流程在日常监管层面的应用。第二十三条详细说明了风险监控预警的目标和原则，包括关注不同管理环节的指标变化、捕捉内外部环境因素、分析和预测重大风险，并提早准备应对方案和应急预案。第三、风险监控预警指标选取根据风险评估结果，确定关键业务链上的监控指标。公司可选取项目投资进度与成本、投资收益、质量、安全、环保、国家产业政策与宏观调控等指标进行监控预警。第四、风险监控预警指标分析公司各职能部门应定期分析监控预警指标的现状、趋势和原因，监控指标变化情况，并分析变化原因。第七章内部控制评价第二十四条内部控制评价范围内部控制评价分为公司层面和业务层面。公司层面从内部控制的设计有效性和运行有效性两方面对内部环境、风险评估、控制活动、信息与沟通、内部监督等五个方面进行全面系统评价。业务层面则对单个或整体控制目标实现所设置的内部控制活动进行评价，以确保战略目标、经营管理效率和效果、财务报告及相关信息真实完整、资产安全、合法合规等。第二十五条评价方法评价工作应综合运用抽样测试、个别访谈、符合性测试、调查问卷、穿行测试、比较分析、实地查验、召开专题讨论会等方法，以全面、客观的方式收集内部控制设计和运行是否有效的证据。第二十六条抽样测试针对具体业务流程，根据其发生频率及固有风险的高低，按比例从确定的范围内抽取一定数量的样本进行评价。根据业务特点不同，可采取随机抽样和非随机抽样方法。具体抽样测试样本量标准如下：1.每月执行一次的业务或事项，抽样量应保持在2-6个之间。2.每周执行一次的业务或事项，抽样量应保持在4-10个之间。3.每日执行一次的业务或事项，抽样量应保持在10-25个之间。4.每日执行多次的业务或事项，全年10000次以下的，抽样量应保持在25-50个之间；全年10000次以上的，抽样量应保持在50个以上。5.每季度执行一次的业务或事项，抽样量应不少于2个。6.每年或每半年执行一次的业务或事项，抽样量应不少于1个。第二十七条内部控制评价程序1.公司各部门应定期回顾、梳理业务和管理流程，制定内部控制评价实施方案，编制内部控制自我评价底稿，并经本单位董事会或领导机构批准后实施。2.公司各部门每半年进行一次内部控制自我评价，形成内部控制自我评价报告，并报送至风险管理与内部控制办公室。三、风险管理和内部控制办公室将组织各部门的风险内控联络员，对各部门提交的自我评价报告进行复核。他们会提出内部控制缺陷，并反馈至自我评价报告提交的部门。四、公司的各个部门将按照整改意见，对本部门存在的内部控制缺陷进行整改。并在一个月内将整改结果报送至风险管理和内部控制办公室。五、风险管理和内部控制办公室将组织风险内控联络员，汇总各部门内部控制自我评价情况。这将形成公司自我评价报告，并上报公司风险管理和内部控制领导小组。公司董事会批准后，再上报投资公司。六、在风险管理和内部控制办公室的指导下，各部门将按照内部控制自我评价缺陷及投资公司复核提出的缺陷进行整改。风险管理和内部控制办公室将汇总整改结果，然后上报投资公司。第八章：内部控制改进第二十八条：为了及时消除自我评估工作中发现的管控缺陷，公司应加强对管控体系的持续改进。这将全面提升公司管理水平，并形成内控促进管理、管理推动内控的互