度内控实务培训讲义

2021年度内部控制实务培训审计与内控部内容提要工作安排内容提要内控评价一、制定评价工作方案各企业结合实际情况，由内控职能部门牵头制定具体工作方案，明确评价范围、工作任务、评价程序及方法、人员组织、进度安排等相关内容。评价方案应包含的主要内容：评价范围〔分子公司、工程部、职能部门和业务模块〕；评价程序〔自评、交叉复核、二次复核、缺陷认定、审批上报〕；工作进度〔明确每个环节时间要求〕；任务分工〔牵头领导及部门、参与部门〕内控评价根本程序二、组成评价工作小组内控职能部门为内控评价工作的牵头部门抽调各部门专业胜任能力强、熟悉内控专业知识及业务流程的人员组成内控评价工作小组*，具体承担内控评价任务。评价小组成员主要工作任务：按照职责分工进行自评、收集证据、填写程序表、编制工作底稿、初步认定内控缺陷。内控评价根本程序三、确定评价内容和重点评价工作小组根据评价方案进一步细化评价内容，设计评价工作底稿，明确评价方法及抽样标准，进行评价人员分工，组织开展评价前发动及培训会。内控评价根本程序三、确定评价内容和重点〔几项重点工作〕细化评价内容〔细化到每个流程，梳理不适用、未发生评价点〕设计评价表〔主要涉及评价表体系框架、评分方法、具体评价点的调整和优化〕明确评价方法〔不同流程控制点采用不同的评价方法〕明确抽样标准〔测试的样本量数量〕评价人员具体分工〔自评的内容、交叉复核的内容〕内控评价根本程序四、开展评价测试工作评价人员根据各自分工，综合运用各种评价方法对企业内控设计与运行的有效性进行检查测试，填写工作底稿，记录测试结果，初步认定内控缺陷。填写评价程序表，记录评价过程编制工作底稿，原那么上存在缺陷的评价点必须编制底稿初步认定缺陷，区别运行缺陷、设计缺陷等内控评价根本程序五、组织自评结果复核针对评价人员的初步评价测试结果进行复核，可以采取交叉互评以及内控专职人员复核等方式，对评价方法、抽样数量、底稿、评分、证据等关键点进行复核并完善。交叉复核或互评〔小组成员之间，即相关部门之间〕二次复核〔内控专职人员复核、评价小组组长最终审核〕复核根底上进行修改、完善内控评价根本程序六、汇总编制评价报告评价工作小组对初步认定缺陷的成因、表现形式及影响程度进行分析，确定缺陷等级〔重大、重要、一般〕。内控职能部门以汇总的评价结果和认定的内控缺陷为根底，编制内控评价报告，并履行企业的审批程序。缺陷沟通认定编制评价报告履行审批程序内控评价根本程序七、整理填报评价文件2021年度内部控制评价工作底稿2021年度内部控制评价程序表2021年度内部控制评价汇总表2021年度内部控制缺陷改进方案表2021年度内部控制评价报告内控评价根本程序八、集团组织抽查复核集团抽调各企业内控专业人员组成检查小组，对各企业的内控自评结果进行现场复核，重点针对企业内控自评工作组织情况、评价程序的标准性、自评得分的准确性、控制证据的完整性、缺陷认定的合理性以及评价报告编制情况等进行复核，并提出改进建议。内控评价根本程序九、落实内控缺陷整改各企业根据内控评价结果，编制内控缺陷整改方案，经企业批准后组织实施。整改方案应明确改进措施、整改期限、责任部门及责任人、跟踪检查与结果反响等内容，整改情况应列入年度考核中。缺陷整改方案〔近期和远期〕缺陷整改结果跟踪检查缺陷整改与考核结合内控评价根本程序内容提要内控评价内控评价表优化—原因分析各企业内控评价手册按照内控五要素的理论结构设计，在实际应用中不易于操作，存在局部公司层面评价指标与业务层面指标重复、局部评价指标横跨几个部门、局部指标没有归属部门、出现评价空白点等问题，主要原因就是现有指标体系框架与企业业务分类及部门分工不完全匹配，应结合企业的业务特点和管理要求，对评价指标体系框架进行调整，完全按照业务模块设计指标体系，与企业的职能分工及业务管理相适应。各企业现有评价指标都是基于内控建设期的管理根底设计的，经过这几年机构调整、业务变化、管理提升以及内控体系持续改进，局部评价指标已不够适用和不够合理，需进行改进和优化。内控评价表优化—结构调整五要素结构业务模块结构内控评价表优化—结构调整内控评价程序表模版内控评价表优化—评分调整调整后评分表调整前评分表评价项目标准分值实际得分内部环境90**风险评估46**控制活动决策管理88**财务管理188**………….信息与沟通26**内部监督20**合计2258**评价项目标准分值基础分值实际得分战略规划管理541**经营管理8137**财务管理9188**资产管理675**人力资源管理7197**法律事务管理552**审计内控管理5107**……合计1002258**内控评价表优化—评分调整内控评价评分表〔模版〕内控评价表优化—评价点调整内控评价表优化—评价点调整一、公司层面评价点拆分1、公司层面评价点与业务流程中评价内容相同或相似的评价点，可以合并处理。内部环境-组织结构相关评价点→人力资源管理内部环境-人力资源相关评价点→人力资源管理内部环境-内部审计相关评价点→审计与内控管理内部环境-社会责任平安环保相关评价点→平安与科技环保管理内部环境-社会责任人力资源相关评价点→人力资源管理风险评估相关评价点→审计与内控管理信息与沟通-信息、沟通相关评价点→分别调整到各个业务模块中内部监督-持续监督相关评价点→审计与内控管理内部监督-自我评价相关评价点→审计与内控管理内控评价表优化—评价点调整一、公司层面评价点拆分2、公司层面评价点与业务流程中评价内容不相同的，应结合实际工作，可以单独形成一个业务模块，也可以在相关业务流程中增加评价点或与其他评价点融合。内部环境-企业文化→企业文化信息与沟通-反舞弊机制→反舞弊内控评价表优化—评价点调整二、审批节点评价点合并1、公司内部的审核节点可以合并，但审核与审批节点应分开。局部经理审核-分管领导审核-总经理审核部门经理、分管领导、总经理审核局部经理审核-分管领导审核-总经理审批部门经理、分管领导审核总经理审批公司内部审核节点从部门、分管领导到总经理合并为一个评价点，中间任意一个审核点未实施，均为执行缺陷，评价不得分。1、公司内部审核节点从部门到分管领导合并为一个评价点；2、总经理审批，必须单独作为一个评价点，即审核与审批节点要分开。内控评价表优化—评价点调整二、审批节点评价点合并2、涉及集体决策的审议审批节点，每一项均单独作为一个评价点。局部经理审核—分管领导审核—总经理审核—总经理办公会审议、审批/党委会审议、审批/董事会审批/集团审批、备案/政府机构审批、备案部门经理、分管领导、总经理审核总经理办公会审议、审批党委会审议、审批集团审批、备案董事会审批政府审批、备案内控评价表优化—评价点调整三、不易操作的评价点优化1、结合这两年内控自评情况，对自评手册中不易操作的评价点或指标进行梳理和调整。评价点描述不清晰评价内容不明确无法提供评价证据一个评价点需要很多证据来支持评价点所涉及工作实际无法开展……2、结合实际工作，对评价点进行细化、拆分、合并、修订等方式，确保评价点的可操作性。

内控评价表优化—评价点调整三、不易操作的评价点优化不易操作评价点例如

内容提要内控评价内控评价重点环节一、评价底稿存在问题：内容填写不完整、过程记录过于简单、问题阐述不够清晰、分析说明不够详细、审核不够严格等。评价程序表工作底稿内控评价重点环节二、控制证据全面性应收集该控制点在执行过程中形成的所有相关的证据资料，如业务表单、审批记录、原始凭证、会议纪要、总结报告、统计报表等，假设控制证据不完整，那么缺乏以支持相应的评价结论，尤其是流程执行有效性的评价结论。内控评价重点环节二、控制证据相关性例1：评价平安指标考核结果的审批点，自评证据为?2021年平安生产总结审批单?，应调整为?平安类指标综合评分表?审批单。例2：评价对所属子公司的监控及出资人职责履行情况，自评证据为办公会、董事会、监事会、股东会决议，其中内容未涉及所属子公司的重大决策事项，证据相关性缺乏。内控评价重点环节二、控制证据准确性例1：评价运行规程管理流程节点，自评证据为“修订意见说明书〞〔自评手册〕，实际执行为“修编对照表〞。例2：评价定期试验轮换流程节点，自评证据为“工作明细表、工作记录〞〔自评手册〕，实际执行为“运行日志〞等。例3：评价设备可靠性管理流程节点，自评证据为“解决方案〞，实际执行为“分析报告〞。内控评价重点环节三、评价方法—存在问题评价方法单一，如穿行测试、实地查验、专题讨论、访谈等方法使用较少。抽样法使用不标准。一是样本数量缺乏。按照内控评价要求，抽样比例应与业务发生频率相匹配，各部门实际自评过程中，没有明确抽样比例的标准，局部业务流程的样本数量缺乏，抽样数量均为1个样本，影响到评价结果的准确性；二是样本描述不清晰。局部样本的文件名称、合同名称、凭证号、报告名称、表单号等未列示清楚，局部工作底稿也未明确具体是哪个样本，如：评价资金流入与流出管理流程，抽样的控制证据为“收款单、转款单〞，未明确凭证号及数量，样本描述不清晰。内控评价重点环节三、评价方法—主要方法

评价方法个别访谈抽样法调查问卷法穿行测试法实地查验法比较分析法专题讨论内控评价重点环节三、评价方法—穿行测试含义也称全程测试法，是指评价人员在每一类业务循环中选取一笔或多笔业务，从头到尾检查其实际处理过程〔即该流程从起点到终点的全过程〕，以验证内控的设计与执行情况。

如：为了评价采购流程，评价人员可以选取一笔或多笔材料采购业务，从请购单→订货→验收入库→库存保管→审核发票→付款→记账，对整个采购过程进行详细检查，以确定材料采购各个环节的实际执行情况是否符合内控流程。内控评价重点环节三、评价方法—穿行测试要点选择的业务样本应该具有代表性和典型性。每种业务都应该单独选择一笔业务样本进行穿行测试。涵盖业务全过程，把该流程的所有控制点全部覆盖，测试各个控制点的设计和实际运行情况。收集全套证据资料，对穿行测试的全过程进行记录，并留下证据。

内控评价重点环节三、评价方法—抽样法含义针对具体的业务流程，依据其发生频率及固有风险的上下，按一定比例从样本库中抽取一定数量的样本，通过对样本的符合性进行分析判断，进而对内控执行的有效性做出评价。抽样法分为随机抽样和其他抽样。随机抽样是指按随机原那么从样本库中抽取一定数量的样本；其他抽样是指人工选取或按照一定标准从样本库中抽取一定数量的样本。

内控评价重点环节三、评价方法—抽样法要点对样本库的完整性进行确认，样本库中要包含符合要求的所有样本；选取的样本应充分和恰当：充分是指测试证据的数量应当能合理保证相关控制的有效性；恰当是指获取的证据应当与相关控制的设计与运行有关，并能真实反映控制的实际运行状况。

内控评价重点环节三、评价方法—抽样法要点实际操作时，可以参考业务发生频率与样本量的对照关系：固定频率控制活动样本量控制运行频率控制运行样本总量测试的样本量区间每年1次11每半年1次21每季1次42每月1次122～5每周1次525～15每天1次25020～40每天多次大于25025～60内控评价重点环节三、评价方法—抽样法要点实际操作时，可以参考业务发生频率与样本量的对照关系：非固定频率控制活动样本量预计每年发生次数测试的样本量区间1～2次13～6次1～27～15次2～516～50次5～1551～250次20～40大于250次25～60内控评价重点环节三、评价方法—抽样法要点抽取样本的多少取决于被评价工程的风险、业务频次、重要性等，可在根据业务频次确定抽样量的根底上，再根据被评价工程的风险和重要性进行调整。为防止抽样风险，假设无特殊情况，应在测试期间相对均匀地选择样本。样本应考虑时效性，距测试截止日越近的样本其证明力越强，应至少抽取距截止日最近的一个季度内的样本，除非在这一期间控制活动未发生。如果控制活动存在缺陷并完成了整改，样本应从整改完成日后抽取，且应满足全年样本量的要求。

内控评价重点环节三、评价方法—其他方法实地查验法

主要应用于业务层面控制，通过对企业财产进行盘点、清查，以及针对业务流程中的各个控制环节进行现场查验等方式，进行控制测试。如现场查验存货出、入库环节。专题讨论法

集合有关专业人员就内部控制执行情况或控制问题进行分析，既可以是控制评价的手段，也是制定缺陷整改方案的有效途径。如：对于涉及多个业务部门的控制缺陷时，就需要由内控部门组织召开专题会议，综合各部门意见，确定整改方案。

内控评价重点环节四、缺陷认定1、缺陷性质—设计与运行缺陷内控评价重点环节四、完善缺陷认定1、缺陷性质—影响程度重要缺陷重大缺陷除重大缺陷、重要缺陷以外的其他缺陷指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。一个或多个控制缺陷的组合，可能严重影响企业内部控制的有效性，导致企业严重偏离控制目标一般缺陷企业应当根据评价指引，结合自身情况和关注的重点，确定重大缺陷、重要缺陷和一般缺陷的具体认定标准。内控评价重点环节四、完善缺陷认定2、缺陷认定企业内控评价小组应当根据现场测试及收集的证据，对内控缺陷进行初步认定，编制内控缺陷认定汇总表，并结合日常监督和专项检查发现的内控缺陷及其改进情况，对内控缺陷及其成因、表现形式、影响程度进行综合分析、研讨、全面复核，提出认定意见，并履行公司的审批程序。对于认定的重大缺陷，应当及时采取应对策略，将风险控制在可承受度之内，并落实相关责任。内控评价重点环节五、流程修订1、存在问题：流程体系改进不到位管理体系和业务模式频繁调整，流程更新不及时。这种情形在平台企业、综合管理职能企业或者业务类型多的企业比较普遍。由于企业整体管理架构在摸索和优化过程中，机构、职责、分工以及业务操作屡次调整，导致管理标准和流程体系不能到达完善的、稳定的运行状态，而标准和流程的滞后，又不同程度制约到这些企业管理标准化水平的提升。内控评价重点环节五、流程修订1、存在问题：流程体系改进不到位内控流程与管理标准存在差异。这种情形在大多数企业都不同程度存在，局部企业对标准与流程的关系认识不够清晰，定期修订标准但不修订流程，执行过程中也同样存在制度与操作“两张皮〞的现象；局部企业是由于标准化与内控的职能部门不同，标准化办公室负责标准管理，而内控部门负责流程改进，内部协同管理不到位造成标准和流程不一致。内控评价重点环节五、流程修订1、存在问题：流程体系改进不到位设计不合理的流程优化工作滞后。主要反映在管理根底相对薄弱的企业，员工对内控的理解以及流程执行的主动性缺乏，并受内控专业力量的限制，针对局部流程设计与企业管理现状不相适应或者流程不易于操作等，没有及时对流程进行改进和优化。内控评价重点环节五、流程修订2、改进方法应结合企业实际情况，在满足内控及企业管理标准要求的根底上，对不适宜、不合理的流程及时进行修订，确保流程体系与企业业务现状和管理要求相适应。内控流程的修订要与标准化相结合，在修改流程的同时要对相关管理标准进行梳理并同步修订，业务流程与管理标准必须保持一致性。内控流程的修订要与ERP等信息系统相结合，对于已经上线应用的业务模块，还要结合信息系统的操作流程进行调整，两个体系的流程在操作上不应存在原那么性差异。内控评价重点环节六、基建企业内控评价基建企业尚未开展系统的内控体系建设，未编制内控自评手册，但可以参考生产运营企业内控评价根本程序，开展关键业务模块以及高风险业务执行情况的评价。如：财务管理、工程管理、物资管理、业务外包、合同管理……参考资料：集团各项管理标准、企业各项管理标准及业务流程〔已建立〕集团基建工程内控流程及控制措施内容提要风险评估风险评估根本程序一、制定风险评估方案各企业内控职能部门制定风险评估方案，明确参与风险评估人员及任务分工，确定风险评估的根本程序、方法及标准。方案要点：参与人员及分工〔内控职能部门为牵头部门，参与人员主要为公司领导、中层管理人员〕、根本程序、具体标准。风险评估根本程序二、收集风险信息在充分了解企业内外部根本情况的根底上，各企业系统的搜集各个层面的内外部风险信息，并进行必要的筛选、提炼、比照、分类、组合等。工作要点：〔1〕在企业已经建立的公司层面风险清单及业务层面风险事件库的根底上收集新增、变化的信息；〔2〕各个部门均应参与信息收集工作；〔3〕内控部门对信息进行汇总、筛选、分类等。风险评估根本程序三、进行风险识别各企业对收集的风险信息和各项业务管理活动进行风险识别，对公司层面风险清单和业务层面风险事件库进行补充和完善。工作要点〔1〕重点对公司层面风险清单进行补充、完善〔2〕业务层面风险事件库与业务流程相关联，业务流程发生变化后，对业务层面风险事件库进行更新。风险评估根本程序四、开展风险分析采用定性和定量相结合的方法，对识别出的风险进行分析。按照风险发生的可能性及其影响程度等对风险进行分析和排序，确定重点关注和优先控制的风险，绘制风险排序表及风险坐标图。〔方法、标准〕风险评估根本程序四、开展风险分析定性分析：主要包括动因分析、责任岗位分析、管理上可参照的文件标准分析。通过定性分析，确定风险的属性特征。〔1〕动因分析：了解风险发生的深层次动因，确定关键性驱动因素，对风险产生的关键点进行重点管理，从根源上控制风险；〔2〕责任岗位分析：明确风险的控制和监督的责任归属，提高风险管理的整体效率；〔3〕管理上可参照的文件标准分析：了解现有风险的管理文件建设水平，为完善标准建设提供信息依据。风险评估根本程序四、开展风险分析定量分析：主要包括风险影响程度分析、发生可能性分析、风险水平分析等。通过定量分析，明确各个风险的重要性特征。〔1〕风险影响程度指该风险会对经营目标所产生影响的大小。根据实际情况，可能涉及损益、运营、平安、环境等几个方面的影响。影响程度分为极轻微、轻微、中等、严重、极严重5个等级，分别赋予1分至5分，表示影响程度依次加强。1分代表影响程度很低，根本可以忽略，5分代表影响程度非常高。风险评估根本程序四、开展风险分析—定量分析〔2〕风险发生的可能性指该风险在目前的管理水平下，风险事件发生概率的大小或者发生的频繁程度。风险事件发生的可能性分为极低、低、中、高、极高5个等级，分别赋予1分至5分，表示可能性逐渐增加。1分表示该风险事件发生的可能性极低，5分表示该风险事件几乎确定会发生。〔3〕风险水平是指风险事件的影响程度与发生可能性的乘积。通过风险水平的大小可以对所有风险进行总体分析，判断各个风险的重要性特征。风险评估根本程序定性分析定量分析影响程度分析可能性分析风险水平分析风险分析动因分析成因分析表责任岗位分析文件制度分析风险评估根本程序四、开展风险分析风险级别：在风险分析的根底上，依据风险的重要性特征，判断风险的重要性级别，可将风险分为三个级别：〔1〕重大风险：管理资源分配优先级为高的风险，即当前情况下需要重点关注，优先分配管理资源、积极提高风险管理水平、改善风险管理效果的风险；〔2〕中等风险：管理资源分配优先级为中的风险，即需根据风险变化趋势持续关注，并相应调整管理资源、保证风险管理效果的风险；〔3〕一般风险：管理资源分配优先级为低的风险，即维持现有管理水平即可，并可适当调整其风险管理资源至其它风险管理上的风险。风险评估根本程序四、开展风险分析采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。公司层面风险成因分析表风险排序列表风险坐标图风险评估根本程序五、确定风险应对策略根据风险分析结果，结合企业自身条件和外部环境，围绕企业的开展战略和经营目标，确定风险偏好和风险承受度，制定公司层面风险的应对策略。〔概念〕风险评估根本程序五、确定风险应对策略风险偏好企业根据自身的资源优势和管理水平，对其面临的风险所采取的根本态度和看法。风险偏好分为三类：积极利用、适度承担和坚决防止。风险承受度企业为实现战略目标和其他经营目标所愿意和能够承担的风险水平。对重大风险可设置两级承受度，作为风险管理的具体目标和日常风险预警的依据。风险评估根本程序五、确定风险应对策略风险承受度一级承受度：表示实现企业战略目标和正常经营所能承受的风险水平。如风险到达或超出这一水平，将会影响战略目标的实现和经营业务的正常开展。二级承受度：表示满足企业根本经营需求和继续生存所能承受的风险水平。如风险到达或超出这一水平，将会对公司产生重大影响，甚至导致公司经营活动中断。当风险度量指标预期触及一级承受度但未到达二级承受度时，亮黄色预警；当风险度量指标预期触及二级承受度时，亮红色预警。风险评估根本程序五、确定风险应对策略风险应对策略风险应对策略一般包括风险躲避、风险降低、风险分担和风险承受。〔1〕风险躲避：企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以防止损失的策略。〔2〕风险降低：企业在权衡本钱效益之后，准备采取适当的控制措施降低风险发生可能性或者减轻损失，将风险控制在风险承受度之内的策略。〔3〕风险分担：企业准备借助他人力量，采取业务分包、购置保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。〔4〕风险承受：企业对风险承受度之内的风险，在权衡本钱效益之后，不准备采取控制措施降低风险或者减轻损失的策略。风险评估根本程序六、制定风险解决方案根据企业风险管理策略，针对优先控制的重大风险制定风险解决方案。建立重大风险预警制度，对重大风险持续监测，发布预警信息，制定应急预案。重大风险解决方案〔每一类风险解决方案〕风险预警指标风险评估根本程序七、整理填报评价文件〔1〕公司层面风险清单〔2〕风险评估调查表〔3〕风险水平及排序表〔4〕风险坐标图〔5〕重大风险解决方案〔模板〕〔6〕重大风险预警指标表〔7〕风险评估说明内容提要风险评估风险评估例如风险评估阶段风险识别1、牵头部门：内控职能部门。2、参与人员：公司领导、部门负责人。3、风险识别工作步骤：〔1〕内控职能部门设计风险识别调查表。见模板〔2〕发放风险识别调查表到各个部门。〔3〕内控职能部门收集风险识别调查表进行汇总、筛选、分类。〔4〕根据整理后的风险识别调查表，更新公司层面风险清单、风险评估调查表。发放风险识别调查表，更新公司层面风险清单风险识别风险识别调查表-增加风险序号风险类别风险名称风险描述新增风险成因分析新增风险的影响结果外部因素内部因素1

2

3

4

5

6

7

8

9

10

风险识别调查表-减少风险序号风险类别风险名称风险描述风险减少的原因1

2

3

4

5

6

7

8

9

10

风险识别调查表模板：风险识别XX公司风险清单根据风险识别增加或减少的风险信息，补充完善公司层面风险清单。要点提示风险类别风险名称风险描述战略风险政策法规风险由于国家或地方政策、环保节能政策、税收政策以及用工政策的变化，以及公司地处北京，对各项政策经济指标要求更高；政策补贴不到位等原因，可能导致政策性亏损加大，环保成本增加，人工成本、维稳成本上升，甚至资金链断裂，而给公司发展和经济利益带来的不确定性。宏观环境风险由于国内经济形势变化，水价、燃气等上游价格不断上涨，而由政府严格控制的电价、热价长期得不到调整，形成销售价格与成本价格倒挂；公司地处北京，还承担着部分政府职能和维护首都稳定的政治任务，供电、供热的公益性和商品属性同时存在，可能导致主营业务收入难以填补燃气价格上涨的缺口，一旦政府补助无法及时到账，在企业承担社会效益的同时,经济利益、利润空间被不断挤压，而给公司预期经营收益带来的不确定性。…………风险分析风险分析主要工作内容1、内控职能部门根据收集的风险识别调查表，补充完善风险成因分析表。风险成因分析表2、开展风险定量分析。风险分析—定量分析操作步骤

01030204发放风险评估调查表汇总统计风险评估调查表编制风险排序表绘制风险坐标图风险分析步骤1：内控职能部门发放风险评估调查表给公司领导、部门负责人。进行风险定量评估时，应统一制定各风险的度量单位和风险度量模型，并通过测试等方法，确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确新。要根据环境的变化，定期对假设前提和参数进行复核和修改，并将定量评估系统的估算结果与实际效果比照，据此对有关参数进行调整和改进。风险分析编号风险类别风险名称风险描述风险的影响程度风险发生的可能性风险偏好轻微较小中等严重非常严重极低低中较高很高积极利用适度承担坚决避免

1战略风险宏观环境风险宏观环境风险是指由于国内经济形势变化，通胀压力下原材料、水价、燃气等上游价格不断上涨，而由政府严格控制的电价、热价长期得不到调整，形成销售价格与成本价格倒挂；公司地处北京，还承担着部分政府职能和维护首都稳定的政治任务，供电、供热的公益性和商品属性同时存在，可能导致主营业务收入难以填补燃气价格上涨的缺口，一旦政府补助无法及时到账，在企业承担社会效益的同时，经济利益、利润空间被不断挤压，而给公司预期经营收益带来的不确定性。

2政策法规风险政策法规风险是指由于国家或地方政策、环保节能政策、税收政策以及用工政策的变化，以及公司地处北京，对各项政策经济指标要求更高；政策补贴不到位等原因，可能导致政策性亏损加大，环保成本增加，人工成本、维稳成本上升，甚至资金链断裂，而给公司发展和经济利益带来的不确定性。

3…………

XX公司--风险评估调查表填表人姓名：

部门/岗位名称：

填表日期：

风险分析可能性等级发生可能性描述1-极低在公司现有的管理水平、人员结构素质和管控手段条件下，风险事件基本不会发生，仅在例外情况下可能发生。2-低在公司现有的管理水平、人员结构素质和管控手段条件下，风险事件发生的可能性较低。3-中等在公司现有的管理水平、人员结构素质和管控手段条件下，风险事件发生可能性一般。4-较高在公司现有的管理水平、人员结构素质和管控手段条件下，风险事件发生的可能性很高。5-很高在公司现有的管理水平、人员结构素质和管控手段条件下，风险事件发生可能性非常高。风险评估维度一：风险发生可能性等级风险分析风险影响等级影响程度对财务目标影响-税前利润损失（总额百分比）对公司运营影响持续健康发展企业形象1-轻微1%以下时间、人力成本超出预算<1%，对运营影响微弱对公司战略目标的影响很小对公司商誉、地位、形象没有影响，或影响很小2-较小1%—5%时间、成本超出预算>1%，<5%，对运营影响轻微局部工作受到阻碍，对公司整体战略目标的影响较小对公司商誉、地位、形象造成暂时的负面影响，且影响程度较低3-中等5%以上—10%时间、人力成本方面超出预算>5%,<10%；减慢营业运作某些部门功能受到影响，阶段性目标或某些业务板块目标实现发生困难，影响到整体战略目标的顺利实现对公司商誉、地位、形象造成一定的负面影响，但这种影响可能持续较长的时间4-严重10以上%—20%人力、时间成本超出预算>10%，<20%；无法达到部分业绩指标公司正常持续经营受到很大影响，整体战略目标较难实现对公司商誉、地位、形象造成严重不良影响，要消除这种影响需要很长的时间或要付出很高的代价5-非常严重20%以上人力、时间成本超出预算>20%,无法达到大部分运营及关键业绩指标公司经营发生严重亏损，整体战略目标很难实现对公司商誉、地位、形象造成严重不良影响，很难、甚至无法恢复风险评估维度二：风险影响程度等级风险分析风险评估维度三：风险偏好

风险偏好的分类并没有明确的界限，从积极利用到适度承担，再到坚决防止，只是说明公司对于风险的厌恶程度逐步增强。分类标准可从战略趋同、获利可能、管理能力三个方面考虑。

风险分析步骤二：内控职能部门收集风险评估调查表进行汇总统计。参见模板“调查表汇总〞●风险影响程度从轻微到非常严重分别赋予1-5分；风险发生可能性从极低到很高分别赋予1-5分。●各项风险对应主管领导及主管部门。参见“风险对应统计〞模板；●计算方法:“加权平均〞；●权重设置：为保证评估结果统一在公司层面上，本次评估使用的风险定量评估标准设为三个，企业可以根据公司实际情况进行选定。A、公司领导65%、部门负责人35%B、公司领导70%、部门负责人30%C、公司领导75%、部门负责人25%风险评估步骤

公司领导70%部门负责人30%公司管理层100%总经理30%主管部门负责人20%主管领导25%非主管部门负责人10%非主管领导15%分项权重设置举例说明如下：风险分析步骤三：编制风险排序表。参见模板中“原始排序表〞、“风险排序表〞“风险排序表〔风险水平〕〞三张模板表格实质是一样的，分别代表我们做风险排序表的三个阶段。第一阶段“原始排序表〞为“调查表汇总〞中“编号〞、“风险名称〞、“统计结果〞粘贴过来的。第二阶段“风险排序表〞根据统计结果进行了风险排序，并初步选定重大风险、中等风险及一般风险。风险排序操作方法：将表格内容全部选中，点击排序和筛选按钮中的“自定义排序〞，主要关键字设置为列C〔影响程度〕，次要关键字设置为列D，按数值降序排列。结果出来后，根据风险判断标准，个别风险进行手工调整。第三阶段“风险排序表〔风险水平〕〞是在已完成的风险排序表中增加“风险水平〞列，风险水平是指风险事件的影响程度与发生可能性的乘积。风险分析判断标准:重大风险：当某个风险的评价结果满足以下情况其一时，将其视为重大风险：“风险发生后对目标的影响程度〞的综合评价得分为4分以上〔含〕，且“风险发生可能性〞的综合评价得分为2分以上〔含〕；“风险发生后对目标的影响程度〞的综合评价得分为3分以上〔含〕，且“风险发生可能性〞的综合评价得分为3分以上〔含〕。一般风险：当某个风险的评价结果满足以下情况其一时，将其视为一般风险：“风险发生后对目标的影响程度〞的综合评价得分为3分以下〔含〕，且“风险发生可能性〞的综合评价得分为1分以下〔含〕；“风险发生后对目标的影响程度〞的综合评价得分为2分以下〔含〕，且“风险发生可能性〞的综合评价得分为4分以下〔含〕；中等风险：当某个风险的评价结果不满足以上情况时，将其视为中等风险。风险分析XX公司风险排序表风险等级风险排序编号风险名称影响程度可能性重大风险0101宏观环境风险4.73.580254供电供热风险4.243.260314安全生产风险3.813.80中等风险0416生产技术风险3.892.750555营销管理风险3.832.730656市场竞争风险3.782.790728薪酬管理风险2.632.150818职业健康风险2.562.060934印鉴管理风险2.552.411021内部审计风险2.552.191151诉讼与纠纷风险2.542.261253品牌管理风险2.532.61337宣传与舆情管理风险2.502.091410工程项目管理风险2.492.321512采购管理风险2.482.871619环境保护风险2.452.081703战略规划风险2.432.021805组织结构风险2.412.92一般风险19