全面风险管理与内控体系建设——内控体系建设操作手册_[全文]

全面风险管理与内控体系建设——内控体系建设操作手册_[全文]内容摘要：

G01表示本流程中的第一个控制缺陷， PG02 表示本流程中的第二个控制缺陷，以此类推。 本编号规则中， P 同时表示本缺陷为业务流程层面缺陷。 流 程诊断参照如下模型： 图 7 流程诊断六要素模型 _Toc282271006 10．检查资料 即与本流程对应的相关制度以及流程执行过程中产生的各种文件、表单、会议纪要等用于事后检查的资料（即流程图中的审计证据）。 流程文档模板如表 8 所示。 在此例举 2 个流程的流程文档，如表 9 和表 10 所示。 表 8 流程文档模板 XX 公司 一级流程名称 二级流程名称 三级流程名称 流程编号 XX流程 流程责任部门 流程责任岗位 流程控制目标 本流程 阐述了 相关程序（或步骤），旨在确保。 流程适用范围 描述本流程适用的集团、公司、部门或管理条线等。 流程相关制度 【制度名称】《 XX 公司 XX 管理办法》（编号： XX〔 20XX〕 XX 号）（本流程对应制度名称及编号） 【制度简述】对 XX、 XX 及 XX 进行了规范和说明。 （该制度中有关本流程的 相关规定简述） 【制度名称】《 XX 公司 XX 管理办法》（编号： XX〔 20XX〕 XX 号）（本流程对应制度名称及编号） 【制度简述】对 XX、 XX 及 XX 进行了规范和说明。 （该制度中有关本流程的相关规定简述） 流程图 （将用 visio 软件绘制的流程图贴在此处。 注意：图片的文字环绕方式设置为“浮于文字上方”） 流程描述 【 S01】 【 S02】【 C01】 „„ （用规范化的语言对流程中的各步骤进行描述，并标记出控制点。 ） 流程风险点及对应控制点： 【 PR01】 (对流程中的风险点进行描述 ) 风险分类： 按可能结果划分 ： □机会风险 □纯粹风险 按五大类风险划分： □战略风险 □财务风险 □市场风险 □运营风险 □法律风险 风险发生可能性： □极低 □较低 □中等 □较高 □极高 风险发生影响程度： □轻微 □较低 □中等 □重大 □灾难性 风险等级： □安全风险 □中等风险 □重大风险 造成影响描述： （对该风险造成的影响进行描述，列示出可能造成的各种不利影响。 ） 对应风险控制点： 【 S02】【 C01】： 【 S03】【 C02】： （注意，一个风险点可能对应一个控制点，也可 能对应多个控制点。 ） 控制类型：□事前控制 □事中控制 □事后控制 控制等级： □一般控制点 □关键控制点 【 PR02】 (对流程中的风险点进行描述 ) 风险分类： 按可能结果划分： □机会风险 □纯粹风险 按五大类风险划分：□战略风险 □财务风险 □市场风险 □运营风险 □法律风险 风险发生可能性： □极低 □较低 □中等 □较高 □极高 风险发生影响程度： □轻微 □较低 □中等 □重大 □灾难性 风险等级： □安全风险 □中等风险 □重大风险 造成影响描述： （对该风险造成的影响进行描述，列示出可能造成的各种不利影响） 对应风险控制点： 【 C03】【 S05】： 【 C04】【 S06】： （注意，一个风险点可能对应一个控制点，也可能对应多个控制点。 ） 控制类型：□事前控制 □事中控制 □事后控制 控制等级： □一般控制点 □关键控制点 …… 流程缺陷及建议： 【 PG01】 【建议】 【 PG02】 【建议】 „„ （若本流程中的某个风险点没有对应的控制点或控制措施达不到控制效果，则存在流程控制缺陷。 若本流程在匹配性、依赖性、震荡性、控制 性、一致性、竞争性六要素方面存在缺陷，则本流程自身存在缺陷，可能需要进行流程优化或流程重组。 在此描述本流程中存在的缺陷并提出改进建议。 ） 检查资料 : 《 XX 公司 XX 管理办法》 《 XX 文件》 《 XX 会议纪要》 „„ 表 9 XX 公司投资决策管理流程（示例 1） XX 集团公司 一级流程名称 二级流程名称 三级流程名称 流程编号 投资管理 项目投资 投资决策管理流程 【示例 1】投资决策管理流程 流程责任部门 资本运营部 流程责任岗位 资本运营部部长 流程目标 为适应股份公司发展需要，加强投资管理工作，规范股份公司投资活动，提高投资项目决策的科学性和民主性，有效防范投资风险。 流程适用范围 XX 集团总部、各分子公司及直属项目公司的投资决策管理。 流程相关制度 【制度名称】《 XX 股份有限公司投资管理暂行办法》（编号： XX 股份资【 200X】 XX 号） 【制度简述】对项目评审范围、原则、条件、评审内容、报送材料、评审组织等进行了规范，在一定程度上为投资决策管理提供了指引。 【制度名称】《 XX 股份有限公司项目投资评审管理暂行办法》（编号： XX 股份资【 200X】 XX号） 【制度简述】对 XX、 XX 及 XX 进行了规范。 流程图 流程描述 【 S01】上报可研报告等项目资料 需提请股份公司评审的项目投资包括： ； ：境内投资（包括固定资产投资、设备购置、转让或收购股权、合资、委托理财、 BT、 BOT 等合同），合同额或交易涉 及的资产总额达到人民币 5 亿元以上或合同履行或交易预计产生的利润达到人民币 1 亿元以上；海外业务涉及金额达到 3000 万美元以上。 当出现上述两类投资时，投资单位或部门编制电子版和纸质版的《关于 XX 项目可行性研究报告》、《 XX 单位关于 XX 项目决议》和《关于 XX 项目的请示》，经单位负责人同意后上报给股份公司资本运营部评审。 【 S02】【 C01】组织投资项目评审评审 资本运营部投资管理处处长在开展审慎调查的基础上，通过单独评估、组织股份公司相关部门专项评估或提交项目专家委员会评估以及委托外部专业机构评估等多种方式评审 《关于XX 项目可行性研究报告》，评审主要从经济可行性、技术可行性和资源保障、财务和资金、商务模式及合同条款、风险控制等至少八个方面开展，并出具《关于 XX 项目的评审报告》，经分管副部长同意后提交给资本运营部部长审核。 资本运营部部长审核后，向股份公司分管该项目领导汇报。 《关于 XX 项目的评审报告》包含评审的内容、评审结论及相关建议。 【 S03】【 C02】审核 股份公司分管领导听取资本运营部部长关于该项目的报告，审核《关于 XX 项目的评审报告》及相关资料，主要关注评审报告的客观性、全面性、合理性，审核无误后，同意提 交给总裁办公会审议，否则归入资本运营部投资项目资料库，转至步骤 08，流程结束。 【 S04】【 C03】总裁办公会审议 总裁办公会审议《关于 XX 项目的评审报告》，主要关注投资项目预期对公司现状及发展战略的影响，并分别做出如三种决议，形成《总裁办公会议纪要》： ，但需继续跟踪、补充调研，转至步骤 01； ，终止执行，转至步骤 08，流程结束； ，并就下一步工作做出安排，如投标文件编制（招标项目）、合同起草等，并制作《董事会议案》上报董事会。 【 S05】【 C04】召开董事会决议 股 份公司董事会审批《董事会议案》，对总裁办公会和资本运营部等提交的报告做进一步评估和审议，重点关注投资项目的可行性及风险是否在公司可以承受的范围内，评估审议结果形成董事会决议，即《董事会会议纪要》。 【 S06】批复决议结果 资本运营部投资管理处职员据董事会决议编制《关于 XX 单位 XX 项目的批复》文件，下发给投资单位或部门执行。 【 S07】投资项目实施 投资单位或部门按照股份公司的决策结果组织实施投资项目，并定期向股份公司投资管理处上报投资执行情况报表。 具体转入“ 投资实施监督流程”。 【 S08】 【 C05】评审资料归档 资本运营部投资管理处职员收集、整理《关于 XX 项目可行性研究报告》、《 XX 单位关于 XX项目决议》和《关于 XX 项目的请示》等投资决策过程中的相关资料并及时归档。 流程结束。 流程风险点及对应控制点： 【 PR01】可研报告未经过充分论证、评价，可能导致因可研报告不实导致投资决策失误。 风险分类： 按可能结果划分： √机会风险 □纯粹风险 按五大类风险划分： √战略风险 □财务风险 □市场风险 √运营风险 □法律风险 风险发生可能性： □极低 □较低 □中等 √较高 □极高 风险发生影响程度： □轻微 □较低 □中等 √重大 □灾难性 风险等级： □安全风险 □中等风险 √重大风险 造成影响描述： 可研报告是投资决策正确性性的关键，若投资决策出现失误，可能直接导致投资失败，造成重大经济损失，严重的甚至会造成公司破产，给公司带来不良的声誉，影响未来的投资信心，对员工的工作热情也造成较大打击。 对应控制点： 【 S02】【 C01】组织投资项目评审评审 控制类型： □事前控制 √事中控制 □事后控制 控制等级： □一般控制点 √关键控制点 【 S03】【 C02】审核 控制类型： □事前控制 √事中控制 □事后控制 控制等级： □一般控制点 √关键控制点 【 PR02】重大投资项目未经过集体决策，或决策过程未形成完整的书面记录。 风险分类： 按可能结果划分： √机会风险 □纯粹风险 按五大类风险划分： √战略风险 □财务风险 □市场风险 √运营风险 □法律风险 风险发生可能性： □极低 □较低 √中等 □较高 □极高 风险发生影响程度： □轻微 □较低 □中等 √重大 □灾难性 风险等级： □安全风险 □中等风险 √重大风险 造成影响描述： 重大投资项目未经过集体决策，可能导致决策失误，导致重大投资失败，带来重大经济损失；决策过程中未形成完整的书面记录，不利于公司文案管理，在进行审计时无法提供审计证据，或在未来项目投资决策中无法提供参考依据。 对应控制点： 【 S04】【 C03】总裁办公会审议 控制类型： □事前控制 √事中控制 □事后控制 控制等级： □一般控制点 √关键控制点 【 S05】【 C04】召开董事会决议 控制类型： □事前控制 √事中控制 □事后控制 控制等级： □一般 控制点 √关键控制点 【 PR03】投资决策过程资料没有得到妥善保管，不利于后续资料查询。 风险分类： 按可能结果划分： □机会风险 √纯粹风险 按五大类风险划分： □战略风险 □财务风险 □市场风险 √运营风险 □法律风险 风险发生可能性： □极低 √较低 □中等 □较高 □极高 风险发生影响程度： □轻微 √较低 □中等 □重大 □灾难性 风险等级： □安全风险 √中等风险 □重大风险 造成影响描述： 导致日后在需要参考相关资料时不可查，不利于公司 内部管理；在审计时无法提供审计证据，引起不必要的纠纷。 对应控制点： 【 S08】【 C05】评审资料归档 控制类型： □事前控制 √事中控制 □事后控制 控制等级： √一般控制点 □关键控制点 流程控制缺陷。