全面风险与内部控制管理手册20xx年版

全面风险与内部控制管理手册20xx年版内容摘要：

组织目标实现的各类风险 B、 建立风险管理机制 及预警机制 风险 应对策略主要包括 ： 风险规避、风险减少、风险分担 及风险承受。 （ 3） 控制活动 控制活动是企业根据风险评估的结果，采用相应的控制措施，将风险控制在可承受度之内。 控制活动的内容包含但不限于： A、 所有经营活动应有适当的授权 （授权审批控制） B、 不相容职务应当分离 （不相容职务分离控制） C、 有效控制凭证和记录的真实性 （会计系统控制） D、 资产和记录的接近限制 （预算控制） E、 独立的业务审核 （ 4） 信息与沟通的主要内容包括： 信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。 其主要内容包括： A、 及时、准 确、完整的记录所有信息 B、 清晰的沟通渠道和汇报路线 [键入文字 ] 17 C、 完整、详细和及时的财务和管理报告 D、 保证管理信息系统的有序运行 ，持续开发、测试和监控计算机系统和程序， 保证管理信息系统的安全可靠 （ 5） 监督的主要内容包括： 内部监督分为日常监督和专项监督。 日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。 在 内部监督在评估过程中 ， 需考虑的因素包括但 不限于： A、 对内部控制的定期评估和监督 B、 实施改进建议 C、 建立内部审计职能以实施监控 根据风险识别阶段确认的二级风险及内控五要素定义内容，将二级风险归类如下： [键入文字 ] 18 （二） 根据 风险识别 结果完成风险控制矩阵，并获取相关资料进行审阅和测试完成穿行测试。 风险控制矩阵是将所涉及的风险和对应的内部控制进行汇总， 以发现控制缺陷的一种矩阵表格。 公司层面风险控制矩阵 内容包括风险内容、控制内容、 控制责任人、 控制 是否有效等。 使用风险控制矩阵，可明确公司所面临的风险、明确针对风险的现有内部控制、对公司现有内部控制活动重 要性进行划分及识别控制缺陷。 公司层面 风险矩阵格式如下图：（详细格式详见附件 四之公司层面风险控制矩阵 ） [键入文字 ] 19 公司层面风险矩阵填写要求和方法如下： （ 1） 文档编码规则： 全面风险管理与内部控制项目，为保证项目的规范管理，对相关的文档应按一定的规则编码。 其文档的编码规则如下 表 ： （ 2） 风险 描述 ： 风险 即 是可能影响控制目标实现的因素。 风控矩阵中的风险 对应风险清单中的三级风险。 其描述内容基本包括风险的内容及影响。 如：缺乏适当的审批，可能产生不合理的 XX行为，造成公司利益损失。 （ 3） 控制 活动： 是企业根据风险评估结果，采用相应的控 制措[键入文字 ] 20 施，将风险控制在可承受度之内。 因此，控制活动是落实风险评估结果的基本手段，是整个内部控制体系中最为关键的组成部分。 控制活动体现在整个企业的不同层次和不同部门中，贯穿于企业所有的运营活动中。 控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。 编写控制活动应包含以下因素 ： A、 WHO：哪个岗位执行控制活动。 B、 WHEN：该控制活动发生的时间或频率。 C、 WHERE：该控制活动发生的地点。 D、 WHAT：根据什么进行控制 ,如何控制， 如制度、 单据、报告、电子邮件、系统数据等。 E、 WHY：控制活动的 目的。 （ 4） 控制活动有效性： 是指 企业建立与实施内部控制对实现控制目标提供合理保证的程度。 评价控制活动的有效性，就是评价相关目标的风险在经过内部控制之后是否已经降低到了一个适当的水平，如果已经降到了一个适当的水平，则内部控制是有效的，反之，则无效。 公司层面控制活动有效性主要是通过穿行测试的结果判断。 （ 5） 是否执行 控制测试： 重点 关注关键控制点的控制是否存在及控制效果如何。 可按照控制的发生频率确定是否需要进行控制测试。 （ 6） 穿行测试 ： 是选取一个样本验证访谈过程中了解到 的控制设计及执行是否切实存在。 穿行测试一般分为四个步骤，包括选取[键入文字 ] 21 样本、执行测试、记录测试及进行测试评价。 实施公司层面的穿行测试，应根据访谈中获取的风险及控制信息，抽取相关的控制制度，检查其控制是否切实存在，应详细描述穿行测试的程序，记录并复印留存相关文档，并做好交叉索引工作。 穿行测试结果分为三类：成功、失败、不适用。 成功即抽查的样本验证了控制的存在；不成功即抽查的样本未验证控制的存在 ，即存在缺陷 ；不适用表示在控制有效性判断时 就 判断为控制无效，即为控制缺陷，无需再进行穿行测试。 （ 7） 控制测试：根据是否执行控制测试判断，对需要进行控制测试的风险按照控制测试模版进行控制测试。 （三）整理控制缺陷。 通过风险识别、风险评估及内部控制阶段，对风险控制内容进行评价，查找内控缺陷，对缺陷进行综合分析并进行适当的分类。 内部控制缺陷的定义 当某项控制或若干项控制的设计或运行不能使管理层或员工在日常履行其职责，及时发现或防止差错，则控制缺陷存在。 内部控制缺陷按内容分类包括设计缺陷和 操作 缺陷。 设计缺陷 ：当存在设计缺陷时，表明必要的控制或控制的必要成分缺失无法达到控制目标，或者现有的控制设计不 当，即使按设计执行后仍无法满足控制目标。 操作 缺陷 ：当存在 操作 缺陷时，表明一个设计合理的控制未能按预期执行，或者执行控制的人员没有执行所需的授权或能力，导致无法有效执行该控[键入文字 ] 22 制。 内部控制缺陷按其严重程度分为重大缺陷、重要缺陷和一般缺陷。 重大缺陷 ：是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标的情形。 重要缺陷 ：是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标的情形。 一般缺陷 ：是指除重大缺陷、重要缺陷之外的其他控制缺陷。 注意：对内控缺陷应进行 详细的描述，涉及到财务报表金额的需要匡算出对财务报表的影响。 整理控制缺陷格式可参照缺陷报告格式。 风险应对 阶段 （一） 公司层面 风险应对 报告 风险识别阶段识别的风险，根据评估结果和内控测试结果，整理风险应对表， 其模版格式 参考 附件四公司层面风险管理与内控评估工作模版汇[键入文字 ] 23 总 ： 填表说明： （ 1）风险描述 、业务流程及责任部门 与风险控制矩阵中的描述一致。 （ 2）剩余风险评级：剩余风险即考虑相关内部控制措施后发生重大风险的可能性。 其评定 主要根据内控缺陷的程度判定。 （ 3）是否承受风险：根据剩余风险的判断 ，制定风险应对策略，分为承受和不承受，规避、分担和降低均为不承受风险，需进行整改。 （ 4）风险解决方案（整改方案）：根据是否承受风险判断，对于不承受风险的判断，均需制定详细的整改方案，并确定整改日期和整改负责人。 将风险应对表与管理层沟通，制定 并 整改计划，出具风险应对报告。 （二）公司层面缺陷报告 根据风险应对报告中相关负责人对风险解决方案即缺陷整改措施的反馈确定，按照内控缺陷报告格式整理内控缺陷报告： 流程层面风险管理与内控评估工作 流程层面风险管理与内控评估工作，应区分总部和二级企业。 总部流程层面风 险管理与内控评估工作分为各中心部门自我评价阶段和风险[键入文字 ] 24 独立评价阶段，二级企业只需执行风险独立评价阶段。 各中心部门自我评价阶段 各中心部门需根据风险管理的四个阶段对本中心部门进行风险自查自评。 风险自查表格可参考如下： （一）风险识别阶段 各职能部门 根据各部门的岗位职能、工作内容和职能目标，梳理出主要风险，并将相关内容填入风险自查表格。 （二）风险分析阶段 各职能部门将识别的风险综合考虑发生的可能性和影响程度，对风险按高中低进行分级，详细的分级方法参考公司层面固有风险评级方法。 同时，将风险分级填入风险自查表 格。 （三）风险应对阶段 各职能部门根据识别的风险，实施制度自查，并根据相关风险的制度建设情况分析风险应对结果。 同时，将风险应对情况填入风险自查表格。 制度自查：其内容包括各制度梳理、制度梳理汇总表及拟新建制度清[键入文字 ] 25 单。 （ 1） 各制度梳理：各职能部门整理该部门的所有制度，对各制度的有效性、完善性和执行情况进行评价，并根据实际情况提出修改意见。 制度梳理可参照格式： （ 2） 制度梳理汇总：将各制度梳理的结果汇总，并对相关制度进行分类，同时对制度有效性、完善性和执行情况打分。 梳理汇总表可参照格式如下： （ 3） 拟新建制度清单：根据 实际执行控制的情况，汇总拟新建的制度清单。 拟新建制度清单可参照格式 ： [键入文字 ] 26 （四）风险监控阶段 各中心部门根据自查自评的风险及应对情况，对自查的缺陷制定相关的整改方案及整改计划，由风险管理部监督。 风险 独立评价 阶段 流程层面风险独立评价阶段， 通常是通过了解重要业务领域 和关键业务流程， 形成流程清单 ， 并通过流程描述、 绘制流程图、 风险控制矩阵等文档对控制活动和控制点进行记录，执行穿行测试和控制测试，获取关于控制设计有效性和执行有效性的证据，对发现问题缺陷进行报告和提出改进建议。 其独立评价流程如下图： （一 ） 确 定重要业务领域和关键业务流程 ； [键入文字 ] 27 重要业务领域和关键业务流程的确定，应区分总部和二级企业。 总部根据风险管理计划规定必选的重要业务领域和关键业务流程，并统一发放通知至二级企业。 二级企业在确定重要业务领域和关键业务流程的范围时，除了总部规定的范围外，还可根据各企业的实际情况选择其他。