内控体系建设手册

内控体系建设手册内容摘要：

Control BUC 统计、内审、监察 13 流程编号说明：一级流程用 3 位英文缩写标识，二级流程用英文缩写和 2 位顺序码标识，三级流程在二级流程编号的基础上用 .X表示 ,X 表示三级流程的顺位。 如一级流程为“战略管理”，其下面的第一个流程为“公司战略管理”，其下的第一个三级流程为“公司 发展战略规划制定”，则编码为： 三、公司层面风险识别 公司层面风险评估的目的  满足监管部门和上级单位报送全面风险管理报告的要求。  通过风险识别和风险评估明确企业当前面临的重大风险  使企业管理层对当前企业面临的重大风险有统一认识  实现风险评估结果的深化分析，对管理决策提供更充分支持。 公司层面重大风险的识别与评估 风险识别是指查找公司各项经营管理活动中存在的影响目标实现的风险和机遇的过程。 动态识别影响公司战略目标及相关目标实现的内部和外部的各种不确定性因素。 （ 1）整体操作流 程 14 （ 2）风险识别程序 1）了解企业行业及管理需求 例如：公司的核心业务是什么；标杆企业是谁；行业地位怎么样；所处行业的发展情况；所处行业企业为什么能成功；企业曾经出现过什么问题；什么因素制约企业发展；管理层的经营理念；法律法规有什么要求等。 2）收集初始信息 围绕公司战略目标和相关目标及风险管理要求， 对可能影响集团公司战略、市场、财务、运营和法律等各方面业务活动运营的信息进行了收集 ，包括收集历史数据和未来信息，关注宏观经济与经营环境、竞争对手、新技术与新产品、海外经营、公司重组、业务整合、会计政策、 信息系统、资本运作等方面已经发生和将要发生的变化情况。 例如： 序号 内容 1 董事会或总经理办公会的有关会议决议 2 近几年年公司经营管理年度工作计划 15 3 公司最新的组织机构图及部门职责分配 4 上年年度工作报告，主要领导讲话 5 近几年各部门工作总结 6 公司各部门现行的规章制度，手册汇编等 7 公司近三年来发生的重大风险损失事件 3）设计调查问卷 问卷调查的重要信息主要来自于法律法规规定、行业风险、上级单位风险、企业特点等，调查问卷已根据中铁宝桥具体情况，并结合迪博企业风险管理技术有限公司相关行业数据库设计完成。 问卷中包含各项风险共 64 个，涉及战略风险、财务风险、市场风险、运营风险、法律风险五大类， 可直接进行使用。 4）发放问卷调查 发放范围：内控项目组应尽量涵盖向公司高层管理人员、中层负责人及业务主干发放《公司层面风险评估调查问卷》， 要求参加答卷人就各风险之发生可能性及影响程度进行打分，并得出相应之风险等级 ， 在此基础上进行调查问卷的评 16 分工作。 问卷调查通过两轮多次的循环验证，最终使公司中高层对风险的理解和认识趋于一致。 问卷评分标准： ●风险发生的可能性评分标准 评分 1 2 3 4 5 标准 极低 低 中等 高 极高 一般情况下不会发生 极少情况下才发生 某些情况下发生 较多情况下发生 常常会发生 举例（注） 今后 10年内发生的可能少于1 次 今后 5－ 10 年内可能发生 1次 今后 2－ 5年内可能发生1 次 今后 1 年内可能发生 1次 今后 1 年内至少发生 1 次 注：举例中的对可能性判定标准的描述仅供您参考，可以根据自己对风险发生可能性的判定标准对问卷中风险发生的可能性进行判断。 ●风险影响重大性评分标准 评分 1 2 3 4 5 标准 极轻微的 轻微的 中等的 重大的 灾 难性的 举例（注） 财务 损失 较低 轻微 中等 重大 极大 企业日常运行 不受影响 轻度影响(造成轻微的人身伤害，情况立刻受到控制 ) 中度影响( 造成一定人身伤害，需要医疗救援，情况需要外部支持才能得到控制 ) 严重影响 (企业失去一些业务能力，造成严 重 人 身 伤害，情况失控，但 无 致 命 影响 ) 重大影响 (重大业务失误，造成重大人身伤亡，情况失控，给企业致命影响 ) 企业 声誉 负面消 息在企业内 部流传，企业声誉没有受损 负面消息在当地局部流传，对企业声誉造成轻微损害 负面消息在某区域流传，对企业声誉造成中等损害 负面消息在全国各地流传，对企业声誉造成重大损害 负面消 息流传 世界 各地，政府或监管机构进行调查，引起公众关注，对企业声誉造成无法弥补的损害 17 注：举例中对影响重大性判定因素及标准的列举仅供您参考，可以根据自己对风险影响重大性的考虑因素和判定标准对问卷中风险发生影响的重大性进行判断。 风险调查问卷，将识别完成的风险按照发生可能性与影响程度，要求被调查者进行打分。 一般数据库可以使用 23 年。 5）统计回收结果，进行风险评估程序 统计回收的调查问卷的打分情况，通过两种方式进行定性和定量验证： 德尔菲调研 集中度 测试，获取公司层面排位前十名的风险信息。 运用统计学频率分析以及正态分布检测，判断风险评估统计结论是否合理有效，如果风险调查统计结果不符合统计学正态分布形态，则将第一轮统计结果与不符项发送给选定调查对象，进行第二轮或第三轮评估打分，直至结果合理。 通过评估验证循环，将最终达成一致的风险评估结果作为排序依据，按分值从高往低排序选出管理层最关注的风险， 并疏理出 公司层面重大风险数据库及对应之风险地图。 公司层面风险地图模板： 18 6） 风险应对策略 根据 国家五部委 发布的《企业内部控制基本规范》及国资委《中央企业 全面风险管理指引》，在公司层面风险评估的基础上， 对识别出来的 公司重大 风险，能够充分考虑到风险的因素，并且围绕着战略目标，分析内外部各项风险因素，制定重大风险应对策略和解决方案 ，最终形成《全面风险管理报告》。 风险应对 策略 主要有以下几种基本类型： 风险降低 ：是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。 风险降低具体包括风险对冲，风险控制，风险分散等方法，不同的实际情况适用不同的风险降低方法。 常用的一种形式是风险分散，即通过分散的形式来降 19 低风险，比如在多种股票而非单一股票上投资。 公司还可以采用其他许多方法降低风险敞口，包括市场研究、地区及产品的多样化、筛选和监控客户、外包、给产品定价时分配风险酬金、存货或股权计入生产量中，以及推行已制定的程序，以将经营风险降至最低。 风险规避 ： 是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。 采用风险规避的目的是，预期出现不利后 果时，一并化解风险。 比如公司可以认为某个投资项目的风险发生的可能性很大而又不能承受也不能采取措施降低，公司则可以选择退出投资项目，从而规避风险。 风险分担 ： 是企业准备借助他人力量，采取业务分包，购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。 采用风险分担的目的是，将风险分担给另一家公司或机构。 合同及财务协议是分担风险的主要方式。 分担风险并不会降低其可能的严重程度，只是从一方移除后分担给另外一方。 分担风险时，管理层应考虑各方的目标、转移的能力、存在风险的情景以及成本效益。 风险承受： 是企 业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。 公司采取风险承受的策略，或者是因为这是比较经济的策略，或者是因为没有其他备选方法 (比如降低、规避或分担 )。 采用风险承受时，管理层需考虑所有的方案，即如果没有其他备选方案，管理层需确定已对所有可能的规避、降低或分担方法进行分析来决定承受风险。 在考虑做出风险应对的过程中，管理层需要评估各种风险控制措施的成本，及风险发生可能性和影响程度降低所带来的收益，选择一种风险应对策略。 20 （注：对于识别出来的公司层面的重大风险要进 行 分解，将公司层面重大风险与业务流程进行对接。 为确保公司层面重大风险的管理能够落到实处，公司应根据各重大风险涉及的相关业务内容和控制目标，将公司层面重大风险进行层层分解，识别导致重大风险的众多风险事项，并将其与业务流程进行对接，评估与重大风险对接的流程的全流程控制措施是否存在和有效，保证风险管理工作真正落地 ）。 四、业务流程 体系的 梳理 业务流程梳理的整体操作流程： 在业务流程梳理过程中，共形成 6 个表单：流程图、流程描述、风险控制矩阵、风险数据库、控制文档，下面逐一介绍 6 个表单的编制： 绘制流程图 （ 1） 流程图的概念 流程图是以可视的方式，运用特定符号展示某一流程的 一种形式 ，其意义在于帮助人们认识重要交易是如何生成、记录，获得授权并被处理和 报告 的。 缺点是，无法展现“何时做”“如何做”等细节。 21 （ 2） 流程图的 核心要素  明确每个流程步骤的执行部门及岗位。  明确每个具体步骤的操作内容。  明确每个步骤的输入和输出文档。  明确流程的控制点。 （ 3）、 绘制流程图的步骤 1）部门负责人及职员访谈 通过对部门负责人及职员的访谈，详细了解每个三级流程的具体操作步骤、每个步骤的操作方法及注意事项等，访谈中特别要关注和识别流程 中的控制点，例如某审核步骤、审批步骤 ， 要在访谈中充分了解这些控制点的审核关注内容、审批关注内容等。 2）收集该流程输入和输出的 穿行测试资料及相关制度 通过分析 了解该 流程中输入和输出的 穿行测试资料及制度 ，可以辅助绘制流程图。 （穿行测试：跟单作业，选择两个样本，检查其在流程起点到终点期间，是否满足设计的流程的所有要求，形成控制文档或控制痕迹） 3） 用 PB 建模软件 绘制流程图 PB 常见流程图符号的含义如表 3 所示。 表 3 PB 软件流程图符号对照表 符号 操作名称 简介说明 选择 选择状态。 开始 流程开 始的准备工作。 进程 流程中具体步骤。 框中数字为步骤编号，文字为步骤名称。 22 虚线组合框 流程中同时进行的步骤。 连线 流程节点间的连接。 判定 条件判。