普华永道风控制度

PAGE普华永道风控制度一、总则（一）目的本风控制度旨在确保普华永道在业务运营过程中，有效识别、评估、应对各类风险，保障公司稳健发展，维护客户利益，提升行业声誉，符合相关法律法规及行业标准要求。（二）适用范围本制度适用于普华永道在中国境内的所有业务活动、分支机构及全体员工。（三）基本原则1.合规性原则：严格遵守国家法律法规、监管要求以及行业规范，确保公司运营合法合规。2.全面性原则：涵盖公司业务的各个环节、各个层面，包括但不限于审计、税务、咨询等服务领域，以及人员管理、财务管理、信息系统管理等内部运营方面。3.风险导向原则：以风险识别、评估为基础，优先关注高风险领域和关键环节，合理配置资源进行风险应对。4.制衡性原则：构建内部各部门、各岗位之间相互制约、相互监督的机制，避免权力过度集中，防范舞弊和错误发生。5.适应性原则：根据内外部环境的变化，及时调整和完善风控制度，确保制度的有效性和适应性。二、风险识别与评估（一）风险识别1.外部风险法律法规风险：密切关注国家法律法规、政策的变化，评估其对公司业务的直接或间接影响，如税收政策调整、行业监管加强等可能带来的风险。市场风险：分析宏观经济形势、行业竞争态势、市场需求变化等因素对公司业务拓展、客户获取与保留的影响，例如市场波动导致客户预算缩减、竞争对手推出更具吸引力的服务等风险。信用风险：对于涉及客户信用状况的业务，如长期咨询项目、大额审计业务等，评估客户的信用等级、偿债能力等，防范客户违约给公司带来的损失。2.内部风险业务流程风险：对公司各项业务流程进行梳理，识别可能存在的风险点，如审计业务中的审计程序执行不到位、税务咨询中的政策解读偏差、咨询项目中的方案设计不合理等风险。人员风险：考虑员工的专业素质、职业道德、工作态度等因素，评估因人员失误、违规操作、离职等情况给公司带来的风险，例如关键岗位人员流失导致业务中断、员工违反职业道德泄露公司机密等风险。信息系统风险：随着信息技术在公司业务中的广泛应用，关注信息系统的安全性、稳定性和可靠性，识别因系统故障、数据泄露、网络攻击等导致的风险，如重要业务数据丢失影响服务交付、客户信息泄露引发法律纠纷等风险。（二）风险评估1.风险可能性评估：根据历史数据、行业经验、内外部环境等因素，对识别出的风险发生的可能性进行评估，分为高、中、低三个等级。例如，对于法律法规风险，若近期国家频繁出台相关政策且行业监管力度加大，发生风险的可能性评估为高；对于一些相对稳定的市场环境下的常规业务流程风险，发生可能性评估为低。2.风险影响程度评估：从公司声誉、财务状况、业务运营、客户关系等方面，评估风险一旦发生可能造成的影响程度，同样分为高、中、低三个等级。例如，重大审计失败可能严重损害公司声誉，导致客户流失和监管处罚，影响程度评估为高；一般性的业务流程失误对公司短期运营有一定影响，但不至于造成重大损失，影响程度评估为中；一些轻微的内部管理问题对公司影响较小，影响程度评估为低。3.风险矩阵绘制：将风险可能性和影响程度进行交叉分析，绘制风险矩阵。通过风险矩阵直观展示不同风险的等级分布，确定风险的优先次序，以便公司集中资源应对高风险领域。例如，对于可能性高且影响程度高的风险，列为重点关注风险；对于可能性低且影响程度低的风险，可以适当简化管理措施。三、风险应对策略（一）风险规避对于某些风险极高且无法有效控制的情况，采取风险规避策略。例如，如果某项新的业务领域面临重大的法律法规不确定性，且可能给公司带来巨大损失，公司决定不涉足该领域。（二）风险降低1.制定风险应对措施：针对识别出的风险，制定具体的应对措施。对于业务流程风险，通过优化业务流程、加强培训、完善质量控制体系等方式降低风险发生的可能性和影响程度。例如，在审计业务中，详细制定审计计划和程序，加强审计人员培训，定期进行质量复核，以减少审计失误的风险。2.风险监控与预警：建立风险监控机制，持续跟踪风险状况。设定关键风险指标，当指标出现异常变化时及时发出预警信号。例如，对于信用风险，设定客户信用评级变动阈值、逾期账款比例等指标，一旦指标超出正常范围，立即启动风险应对程序，评估风险影响并采取相应措施，如暂停业务合作、加强账款催收等。（三）风险转移通过购买保险、签订免责条款等方式，将部分风险转移给第三方。例如，为公司的办公场所、重要设备等购买财产保险，以应对可能的自然灾害、意外事故等风险带来的损失；对于一些特定业务项目，在合同中明确双方的风险责任，合理转移部分风险给客户或合作伙伴。（四）风险承受对于一些风险较低且公司能够承受其影响的情况，采取风险承受策略。例如，一般性的办公设备损坏、日常办公用品损耗等风险，公司通过预留一定的费用进行修复或补充，自行承担风险。四、内部控制措施（一）组织架构控制1.明确职责分工：构建科学合理的组织架构，明确各部门、各岗位的职责权限，避免职能交叉、推诿扯皮现象。例如，审计部门负责独立开展审计业务，制定审计计划、实施审计程序、出具审计报告；税务部门专注于税务政策研究、税务筹划方案制定及税务申报等工作；咨询部门根据客户需求提供专业的咨询服务，包括战略咨询、运营咨询等。2.建立制衡机制：在组织架构设计中，注重建立制衡机制。例如，设立独立的风险管理部门，对公司整体风险状况进行监控和评估，向高级管理层汇报；财务部门负责财务管理和监督，与其他业务部门相互制约，确保资金安全和财务信息准确；内部审计部门定期对公司内部控制制度的执行情况进行审计监督，发现问题及时提出整改建议。（二）授权审批控制1.制定授权标准：根据公司业务性质、金额大小、风险程度等因素，制定明确的授权审批标准。例如，对于金额较小的日常费用报销，由部门负责人审批；对于较大金额的项目合同签订，需经过业务部门负责人、财务负责人、风险管理负责人及高级管理层多级审批；对于重大投资决策，还需经过董事会审议通过。2.严格审批流程：规范授权审批流程，确保每一项业务活动都经过适当的授权和审批。业务人员在开展业务前，需提交详细的业务申请，说明业务内容、金额、风险状况等信息，按照审批标准依次提交各级审批人审批。审批人应认真审核申请内容，签署明确的审批意见，不得越级审批或违规审批。（三）预算控制1.编制全面预算：每年定期编制公司全面预算，涵盖收入、成本、费用、利润等各个方面。业务部门根据年度业务计划和市场预测，制定详细的业务预算；财务部门汇总各部门预算，结合公司战略目标和资源状况，编制整体预算方案，报高级管理层审批。2.预算执行与监控：加强预算执行过程的监控，定期对比实际执行情况与预算指标，分析差异原因。对于预算执行偏差较大的项目，及时采取措施进行调整和纠正。例如，若发现某项业务成本超出预算，相关部门需分析原因，如是否因市场价格波动、业务范围扩大等因素导致，针对性地采取成本控制措施，如与供应商重新谈判、优化业务流程降低成本等。（四）财产保护控制1.实物资产管理：建立健全实物资产管理制度，对公司的固定资产、流动资产等进行全面管理。定期对实物资产进行清查盘点，确保资产账实相符。例如，每年至少进行一次固定资产盘点，详细记录资产的名称、数量、型号、购置时间、使用状况等信息，对于盘盈、盘亏的资产及时查明原因并进行账务处理。2.资产安全防护：加强对实物资产的安全防护措施，确保资产安全完整。对于重要的办公场所、数据中心等，安装必要的安全监控设备、防盗报警装置；对贵重资产采取特殊的保管措施，如保险柜存放、专人负责等；对电子数据进行加密存储和备份，防止数据丢失或泄露。（五）会计系统控制1.规范会计核算：严格按照国家会计准则和公司内部会计制度进行会计核算，确保财务信息真实、准确、完整。明确会计凭证、账簿、报表的编制、审核、保管等流程，加强会计人员培训，提高会计核算水平。例如，会计人员在编制会计凭证时，需确保原始凭证真实合法、记账凭证编制准确无误，经过审核后及时登记账簿，定期编制财务报表并进行财务分析。2.财务信息披露：按照相关法律法规和监管要求，及时、准确地披露公司财务信息。制定财务信息披露制度，明确披露的内容、方式、时间等要求。例如，定期发布年度财务报告，详细披露公司的财务状况、经营成果、现金流量等信息；对于重大财务事项，及时发布临时公告，向投资者和市场公众进行信息披露。五、监督与评价（一）内部监督1.内部审计监督：内部审计部门定期对公司内部控制制度的执行情况进行审计监督，检查各项风险应对措施和内部控制措施的有效性。制定内部审计计划，涵盖公司各个业务领域和管理环节，通过现场审计、非现场审计等方式，发现问题及时提出审计意见和建议，并跟踪整改情况。例如，每年对公司的财务收支、业务流程、风险管理等方面进行全面审计，出具审计报告，向高级管理层汇报审计结果。2.管理层监督：高级管理层定期对公司整体运营情况进行检查和监督，关注风险状况和内部控制执行效果。通过定期召开管理层会议、审阅业务报告、实地考察分支机构等方式，及时发现公司运营中存在的问题，督促各部门采取措施加以解决。例如，管理层每月听取各业务部门的工作汇报，了解业务进展、风险状况及内部控制执行情况，针对发现的问题提出明确的整改要求和期限。（二）外部监督1.接受监管部门检查：积极配合国家监管部门的监督检查工作，按照要求提供相关资料和信息，如实反映公司运营情况。对于监管部门提出的问题和整改要求，认真落实整改措施，确保公司运营符合监管要求。例如，定期接受财政部门、税务部门、行业监管机构等的检查，及时整改检查中发现的问题，不断完善公司内部控制制度。2.行业自律监督：参与行业协会组织的自律活动，接受行业内部的监督和评价。遵守行业自律规范，积极参与行业交流与合作，提升公司在行业内的形象和声誉。例如，参加会计师行业协会组织的职业道德培训、行业规范研讨等活动，与同行分享经验，共同推动行业健康发展。（三）风险与内部控制评价1.定期评价：每年定期对公司的风险识别、评估、应对措施以及内部控制制度进行全面评价，形成评价报告。评价内容包括风险状况的变化、内部控制措施的有效性、风险应对策略执行情况等方面。例如，通过问卷调查、访谈、数据分析等方式收集评价信息，对公司各个业务领域的风险和内部控制进行综合评价，分析存在的问题和改进方向。2.持续改进：根据风险与内部控制评价结果，及时调整和完善公司风控制度和内部控制措施。针对评价中发现的问题，制定具体的改进计划，明确责