1、 内控和风险管理手册(一)体系框架分册二一十二个月一月目 录企业介绍11 手册使用说明21.1.编制目标、意义及标准21.1.1 手册编制目标和意义21.1.2 手册编制标准21.2 手册结构31.2.1 手册结构及内容概要31.2.2 手册特征41.3.手册使用说明71.3.1 使用要求71.3.2 管理和维护71.3.3 编写和公布71.3.4 发放71.3.5 维护72 内部控制体系基础框架92.1 总则92.1.1 框架编制目标92.1.2 框架编制依据92.1.3 框架编制思绪和方法92.1.4 体系框架实施102.2 编制标准102.2.1 优异性和实用性相结合102.2.2 方法
2、论和操作性相结合102.2.3 继承性和包容性相结合102.2.4 满足外部监管和提升内部管理相结合112.3 参考标准112.3.1 财政部等五部委企业内部控制基础规范及配套指导112.3.2 国资委中央企业全方面风险管理指导132.3.3 上交所、联交所内部控制相关指导和守则142.3.4 COSO内部控制整体框架及企业风险管理整合框架152.4 适用范围192.5 内部控制体系框架关键内容192.5.1 内部环境192.5.2 风险评定212.5.3 控制活动232.5.4 信息和沟通252.5.5 内部监督273 内部环境293.1 概述293.2组成要素294 风险评定314.1 概
3、述314.2组成要素314.3企业层面和业务步骤层面风险评定及应对325 控制活动345.1 概述345.2 控制活动实施345.3 控制活动有效性评价345.4 步骤体系文件建模规范355.5 权限指导356信息和沟通366.1 概述366.2 组成要素366.3. 内部控制和全方面风险管理信息平台367 内部监督387.1 概述387.2 组成要素38附录一:步骤编码规则40企业介绍北京第六大洲房地产开发是中铁房地产集团旗下全资子企业,于 年 8 月 21 日在北京市朝阳区注册成立,注册资金 万元。企业现在在朝阳区已取得土地 206 亩,开发面积 45 万平方米。1 手册使用说明1.1.编
4、制目标、意义及标准1.1.1 手册编制目标和意义伴随企业规模不停扩大、项目开发日益深入和市场竞争日益加剧,和国家各部委、外部监管机构对企业管控力度不停加强,为深入加强企业内部控制,提升企业风险管理水平,实现企业健康、良性发展,企业特编制内控和风险管理手册(以下简称“本手册”),作为企业建立、实施、评价及维护内控和风险管理体系指导和依据。经过编制内控和风险管理手册,建立一套科学、系统内部控制体系建设方法和规范,为企业内部控制体系建设、运行和维护提供指导,并作为建立、运行及评价内部控制体系依据,从而确保企业上下思想上、认识上对内部控制体系保持高度统一,最终实现行为上统一。1.1.2 手册编制标准内
5、控和风险管理手册是以财政部等五部委企业内部控制基础规范及配套指导、国资委中央企业风险管理指导、上交所和联交所相关指导和COSO内部控制整合框架和COSO企业风险管理整合框架为基础,结合北京第六大洲房地产开发实际情况编制而成。1.2 手册结构1.2.1 手册结构及内容概要本手册包含六个分册,即体系框架分册、内部环境分册、风险评定分册、控制活动分册、信息和沟通分册及内部监督分册。1.2.1.1 体系框架分册描述了内部控制体系组织结构和职责,较为全方面地叙述了内部控制体系建设目标,并以财政部等五部委企业内部控制基础规范为指导,参考企业内部控制配套指导,从内部环境、风险评定、控制活动、信息和沟通和内部
6、监督五个方面对内控关注关键点及对应方法进行了较为全方面、系统叙述;1.2.1.2 内部环境分册描述了内部环境概念,并从描述内部环境概念及要素,从治理结构、机构设置和权责分配、内部审计、人力资源政策、企业文化五个方面对内部环境各要素关注关键点、控制方法进行叙述;1.2.1.3 风险评定分册描述风险和风险评定基础概念,从风险评定标准、基础程序、企业层面风险评定及应对、步骤层面风险评定及应对四个方面对风险评定关注关键点及对应方法进行叙述,并汇编企业层面和步骤层面风险评定相关结果及文档;1.2.1.4 控制活动分册描述控制活动概念及分类,从控制活动实施、控制活动有效性评价和权限指导三个方面对控制活动关
7、注关键点及对应方法进行叙述,并汇编控制活动相关文档及资料;1.2.1.5 信息和沟通分册描述了信息和沟通概念及要素,从信息采集、信息沟通、信息系统、反舞弊机制和内部控制和全方面风险管理信息平台五个方面对内控关注关键点及对应方法进行了叙述,并汇编了关键控制信息;1.2.1.6 内部监督分册描述了内部监督概念及要素,并从日常监督、专题监督、缺点跟踪和内部控制评价四个方面对内控关注关键点及对应方法进行了叙述,并汇编了相关模板。以上六本手册相对自成一体,并和企业企业文化和制度体系相辅相成,共同组成了支撑企业有效运行内控和风险管理体系。1.2.2 手册特征1.2.2.1 管理积淀和管理创新相结合本手册是
8、在总结企业成立以来管理经验及借鉴其它优异企业管理经验基础上编制而成,是管理经验沉淀和提炼。同时将优异风险管理和步骤管理理念融合在一起,在推进企业业务标准化、规范化运作基础上,为后续企业内控管理体系优化奠定基础。1.2.2.2 落实风险预控管理理念本手册落实以风险为导向内部控制理念,强调事前和过程控制,在构建良好内部环境基础上把管理风险作为内部控制目标,将业务活动所对应风险以风险控制矩阵(RCM)形式进行提炼,实现风险预控和标准化管理。1.2.2.3 对现有管理体系融入和整合本手册以风险管控为根本,将管理理念和企业文化贯穿于其中,要求北京第六大洲房地产开发从风险视角出发,将内部控制标准和方法紧密
9、结合到制度和步骤建设中,形成企业相互融合、协调一致有机整体。1.2.2.4 含有广泛适用性和前瞻性本手册以财政部等五部委企业内部控制基础规范及配套指导为指导,在借鉴国际较为成熟内部控制和风险管理框架基础上,立足中国国情,并充足考虑了企业实际情况,为各项业务活动提供了具体操作指导,在覆盖现有业务活动同时,也能适应未来一定时期业务发展需要。1.2.2.5 含有强制性和约束性本手册明确了企业建立内部控制体系及框架所需遵照标准,规范了管理层及职员管理和业务控制活动,不仅适适用于企业治理层面控制,同时适适用于经营管理层面控制,含有广泛约束性,一经同意公布,北京第六大洲房地产开发必需严格实施。1.3.手册
10、使用说明1.3.1 使用要求本手册是企业关键文件,属企业机密。使用者应按相关保密要求正确使用,未经同意,不得复制,不得对外泄露。在使用过程中碰到疑难问题,立即向风险及内控管理工作小组咨询。1.3.2 管理和维护风险及内控管理工作小组对本手册进行规范管理,以确保其有效、完整、统一和适用。1.3.3 编写和公布本手册由风险及内控管理工作小组组织编写,总经理办公会审议,经董事会同意,北京第六大洲房地产开发行文公布。1.3.4 发放本手册须按发放范围统一发放。发放范围(通常包含总经理、副总经理、体系覆盖范围及特殊使用者)由风险及内控管理工作小组提出,经总经理同意实施。1.3.5 维护本手册维护是一项长
11、久性、常常性关键工作,需要企业各部门高度重视,主动参与,大力配合。本手册修订、维护由风险及内控管理工作小组负责。每十二个月,风险及内控管理工作小组将依据相关法律法规要求、内外部审计对企业内部控制评价、企业内控管理中出现新问题、各部门及所属各单位反馈意见及提议等,对本手册进行修订,提交总经理办公会审议,经董事会同意,北京第六大洲房地产开发行文公布。风险及内控管理工作小组应立即掌握本手册实施情况,并采取有效方法确保内部控制管理体系有效运行。2 内部控制体系基础框架2.1 总则2.1.1 框架编制目标经过确定内部控制体系建设目标,明晰内部控制体系建设范围和内容,为企业建设“以风险为导向,以内部控制为
12、手段”内控和风险管理体系提供指导,以建立统一、规范、有效内部控制体系,增强企业风险防范能力,为企业战略发展提供可靠保障。2.1.2 框架编制依据财政部等五部委企业内部控制基础规范及配套指导;国资委中央企业全方面风险管理指导;上交所上市企业内部控制指导;联交所企业管治常规守则和内部监控和风险管理基础架构;COSO内部控制整体框架及COSO企业风险管理整合框架及企业相关管理要求。2.1.3 框架编制思绪和方法在现有内控体系框架基础上,依据财政部等五部委企业内部控制基础规范及配套指导关键内容和要求,参考国资委中央企业全方面风险管理指导基础要求,结合上交所、联交所和COSO内部控制整体框架和企业风险管
13、理整合框架优异理论,汲取中国外其它企业内部控制体系建设优异经验,依据企业管理实际编制内部控制体系框架。2.1.4 体系框架实施框架明确了企业内控和风险管理工作任务和基础标准,是制订内控和风险管理工作计划关键依据。框架确定工作目标和内容将在以后分年度逐步建立健全。2.2 编制标准2.2.1 优异性和实用性相结合本手册参考了中国、国际优异内部控制和企业风险管理理论、中国外大型企业集团风险管理和内部控制实践,立足于北京第六大洲房地产开发本身战略目标和管理特点,努力争取和现有管理程序相衔接,充足考虑实际管理工作可行性和可操作性。2.2.2 方法论和操作性相结合本手册内容涵盖了内部控制体系各个要素和步骤
14、,对北京第六大洲房地产开发建设和运行内部控制体系提出了一套完整方法论和指导标准,同时针对风险识别、风险评定、风险控制、内部控制评价等常规性工作,制订了具体操作指导和工作模版。2.2.3 继承性和包容性相结合本手册和企业现行管理制度体系相结合,努力争取和其它制度相融合,对于已不适用其它各项管理制度,应对照本手册规范要求立即修改、完善。2.2.4 满足外部监管和提升内部管理相结合企业内部控制工作既要为战略目标实现提供合理保障,又要满足财政部、国资委、证监会监管要求。本手册编制以满足外部监管要求为出发点,以提升企业内部控制水平为落脚点,兼顾了内外部风险管理和内部控制要求。2.3 参考标准为了确保内部
15、控制体系建设规范化、标准化及合规化,本手册编制参考了现在中国、国际通行内部控制和风险管理标准,包含财政部等五部委企业内部控制基础规范及配套指导、国资委中央企业全方面风险管理指导、上交所、联交所内部控制相关指导和守则、COSO内部控制整体框架和COSO企业风险管理整合框架等。2.3.1 财政部等五部委企业内部控制基础规范及配套指导6月,财政部会同证监会、审计署、银监会、保监会制订并公布了企业内部控制基础规范(以下简称基础规范),对上市企业内部控制和风险管理工作开展提出了明确要求,并激励非上市大中型企业实施,意在加强和规范企业内部控制,提升企业经营管理水平和风险防范能力,促进企业可连续发展,维护社
16、会主义市场经济秩序和社会公众利益。基础规范在形式上借鉴了COSO 汇报五要素框架,同时在内容上表现了风险管理八要素框架实质,构建了以内部环境为关键基础、以风险评定为关键步骤、以控制活动为关键手段、以信息和沟通为关键条件、以内部监督为关键确保,相互联络、相互促进五要素内部控制框架。其中:内部环境:内部环境是企业实施内部控制基础,通常包含治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。风险评定:风险评定是企业立即识别、系统分析经营活动中和实现内部控制目标相关风险,合理确定风险应对策略。控制活动:控制活动是企业依据风险评定结果,采取对应控制方法,将风险控制在可承受范围之内。信息和沟
17、通:信息和沟通是企业立即、正确地搜集、传输和内部控制相关信息,确保信息在企业内部、企业和外部之间进行有效沟通。内部监督:内部监督是企业对内部控制建立和实施情况进行监督检验,评价内部控制有效性,发觉内部控制缺点,应该立即加以改善。4月,财政部等五部委又联合颁布了企业内部控制配套指导,并自1月1日起首先在境内外同时上市企业施行,自1月1日起扩大到在上交所、深交所主板上市企业施行;在此基础上,择机在中小板和创业板上市企业施行;同时,激励非上市大中型企业提前实施。配套指导制订公布,标志着以防范风险和控制舞弊为中心、以控制标准和评价标准为主体,结构合理、层次分明、衔接有序、方法科学、体系完备企业内部控制
18、规范体系基础建成。企业内部控制配套指导包含18项企业内部控制应用指导、企业内部控制评价指导和企业内部控制审计指导。其中,企业内部控制应用指导是对企业根据内控标准和内控“五要素”建立健全本企业内部控制所提供指导。应用指导能够划分为三类,即内部环境类指导、控制活动类指导、控制手段类指导,基础涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项,在配套指导乃至整个内部控制规范体系中占居主体地位。企业内部控制评价指导是为企业管理层对本企业内部控制有效性进行自我评价提供指导。企业内部控制审计指导是为注册会计师和会计师事务所实施内部控制审计业务执业准则。三者之间既相互独立,又相互联络,形成一个有机整体
19、,连同以前公布企业内部控制基础规范,标志着适应中国企业实际情况、融合国际优异经验中国企业内部控制规范体系基础建成。2.3.2 国资委中央企业全方面风险管理指导6月,国资委依据企业国有资产监督管理暂行条例(国务院令第378 号)相关“国有及国有控股企业应该加强内部监督和风险控制”要求,出台了中央企业全方面风险管理指导(简称指导),意在深入加强和完善国有资产监管工作,深化国有企业改革,加强风险管理,促进企业连续、稳定、健康发展。指导对中央企业开展全方面风险管理工作总体标准、基础步骤、组织体系、风险评定、风险管理策略、风险管了处理方案、监督和改善、风险管理信息系统等方面进行了具体叙述,要求各中央企业
20、把风险管理作为企业各项管理工作根本,将风险管理要求融入企业管理和业务步骤中去,立即建立和完善全方面风险管理体系。指导指出,全方面风险管理,是企业围绕总体经营目标,经过在企业管理各个步骤和经营过程中实施风险管理基础步骤,建立健全全方面风险管理体系,包含风险管理策略、风险管理组织体系、风险管理信息系统和内部控制系统,从而为实现风险管理总体目标提供合理确保过程和方法。2.3.3 上交所、联交所内部控制相关指导和守则2.3.3.1 上交所上市企业内部控制指导6月,上海证券交易所(简称“上交所”)依据证监会相关提升上市企业质量意见等法律法规,制订公布了上市企业内部控制指导,明确要求在本所上市企业应该建立
21、健全内部控制制度,确保内控制度完整性、合理性及实施有效性,以提升企业经营效率和效果,增强企业信息披露可靠性,确保企业行为正当合规;同时要求企业董事会应在年度汇报披露时披露年度内部控制自我评定汇报,并依据实际实施情况披露会计师事务所对内部控制自我评定汇报核实评价意见。2.3.3.2 联交所企业管治常规守则及内部监控和风险管理基础架构11月,香港联合交易所(简称“联交所”)公布了企业管治常规守则(简称守则),提出了上市企业管治标准、守则条文和提议最好常规等,并要求上市企业按要求披露内部控制等信息。守则第C.2 条列出了相关内部监控条文,和提议在企业管治汇报中披露上市企业内部监控资料要求。,联交所邀
22、请香港会计师公会(简称“公会”)制订深入指导,以帮助上市企业了解及实施守则内相关内部监控要求,并制订其内部监控程序。公会接收联交所邀请,制订了内部监控和风险管理基础架构(简称内部监控架构),为上市企业提供内部监控基础架构通常指导及提议。内部监控架构采取了COSO 内部控制整合框架所提供模式、定义及概念性架构,明确内部监控系统是为企业实现营运效益及效率、财务汇报可靠性、遵守适用法律规则三个目标而提供合理确保程序,并提出完善内部监控系统五个相互关联要素:监控环境、风险评定、监控活动、资讯及沟通、监察。2.3.4 COSO内部控制整体框架及企业风险管理整合框架COSO是美国反虚假财务汇报委员会下属提
23、议人委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)英文缩写。COSO是自愿性私人组织,致力于经过强化商业道德、建立完善有效内部控制和法人治理结构以提升财务汇报质量。1985年,由美国注册会计师协会(AICPA)、会计协会(AAA)、财务经理协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建了反虚假财务汇报委员会。该委员会意在探讨财务汇报中舞弊产生原因,并寻求处理方法。两年后,该委员会提出了很多有价值提议。
24、基于该委员会提议,其赞助机组成立了COSO委员会,专门研究内部控制问题。反虚假财务汇报委员会于1987年签署了汇报,号召研究并制订一个统一内部控制框架。1992年9月,COSO委员会提出了汇报内部控制整体框架(1994年进行了增补),即COSO内部控制框架。COSO内部控制框架被广泛地选择作为构建和完善内部控制体系标准,是因为:即使COSO内部控制框架并非唯一内部控制框架,但却是美国证券交易委员会唯一推荐使用内部控制框架,萨班斯奥克斯利法案第404条款“最终细则”也明确表明COSO内部控制框架能够作为评定企业内部控制标准。COSO内部控制框架提出五个相互关联组成要素,依据企业规模和结构,企业可
25、采取不一样方法来实施这些组成要素,不过全部企业全部必需包含这五个组成要素。所以,在对内部控制进行评定时,管理层必需考虑以下每个组成要素:控制环境:控制环境是内部控制体系基础,是有效实施内部控制保障,直接影响着企业内部控制落实实施、企业经营目标及整体战略目标实现。控制环境确定了企业总体态度,是内部控制全部其它组成要素基础。控制环境包含职业道德、职员胜任能力、管理理念和经营风格、组织结构、权利和责任分配、人力资源政策和方法和董事会和审计委员会和反舞弊等内容。风险评定:风险评定是识别及分析影响企业目标实现风险过程,是风险管理基础。在风险评定中,应识别和分析对实现目标含有阻碍作用风险。控制活动:控制活
26、动是确保管理层指令得到落实实施必需方法,存在于整个机构内全部等级和职能部门。包含同意、授权、查证、查对、经营业绩评价、资产保全方法和职责分工等活动。信息和沟通:信息和沟通是企业经营管理所需信息被识别、取得并以一定形式立即地传输,方便职员推行职责。信息不仅包含内部产生信息,还包含和企业经营决议和对外汇报相关外部信息。通畅沟通渠道和机制使企业职员能立即取得她们在实施、管理和控制企业经营过程中所需信息,并交换这些信息。监督检验:监督检验是对内部控制体系有效性进行评定连续过程,包含连续监控、独立评价和缺点汇报等。在以后,尤其是安然事件发生以后,企业风险管理成为焦点而受到突出关注,需要一个强有力框架有效
27、地识别、评定和管理风险。9月,COSO委员会公布企业风险管理整合框架,在内部控制基础上,扩展、提供了一个更强有力框架,更广泛地专注企业全方面风险管理。该框架不会替换内控框架,而是将内控框架和其融合为一体。企业仍能够决定依靠这个企业风险管理框架去满足企业内控需要,经过采取更全方面风险管理方法使企业连续发展。企业风险管理由八项相互关联要素组成,来自管理层经营企业方法,并融入管理过程本身。这些要素包含: 控制环境:控制环境包含了一个企业基调,为该企业管理层和职员审阅和应对风险方法制订基础,包含风险管理理念和风险容量、诚信和道德价值观和她们进行经营活动所处环境。目标制订:在管理层能够识别影响目标实现潜
28、在事件之前,企业必需已制订目标。企业风险管理确保管理层使制订目标步骤到位,并保持选择目标支持企业使命并和此并行不悖,同时这些目标也和企业风险容量相一致。事件识别:必需识别出影响企业实现目标多种外部和内部事件,并区分风险和机遇。能够在管理层制订企业战略或目标过程中对机遇加以考虑。风险评定:应对风险进行分析,考虑其发生可能性和影响,以作为确定应怎样管理风险基础。还应对企业固有风险及残余风险进行评定。风险应对:管理层选择风险反应方案:规避风险、接收风险、降低风险或分担风险,采取一系列方法使风险维持在企业风险承受范围和风险容量范围之内。控制活动:确立和实施政策和程序,以有利于确保风险反应方案得以有效地
29、落实实施。信息和沟通:相关信息在一定时限内以某种形式被识别、取得和传达沟通,方便使职员推行自己职责。从广义上讲,有效沟通也应自上而下、自下而上地进行,贯穿整个企业。监督检验:监控整个企业风险管理过程,并依据需要作出修改。经过连续性监控活动、独立评价或二者兼而有之来完成监控。图1-1 COSO企业风险管理体系模型2.4 适用范围本手册适适用于北京第六大洲房地产开发。2.5 内部控制体系框架关键内容2.5.1 内部环境内部环境是内部控制体系建设基础,是有效实施内部控制保障,直接影响着内部控制落实实施、企业经营目标及整体战略目标实现。内部环境确定了企业对内部控制体系建设总体态度,是内部控制全部其它组
30、成要素基础。企业内部环境包含治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等内容。2.5.1.1 治理结构建立规范企业治理结构(包含董事会、监事会和经理层),并制订对应议事规则,明确决议、实施、监督等方面职责权限,形成科学有效职责分工和制衡机制。2.5.1.2 机构设置及权责分配在治理结构所确定内控基础组织框架基础上,设置满足企业经营管理所需要职能机构,将内部控制管理各项要求融入企业管理和业务步骤中,明确职责权限,建立完善权责管理体系,制订完善授权管理文件,将权利和责任落实到各责任单位和部门,深入健全企业内部控制管理组织体系。2.5.1.3 内部审计建立完善内部审计工作程序和机
31、制,明确内部审计范围、责任、权限和人员胜任能力等,确保内部审计机构设置、人员配置和工作独立性;健全内部审计机构对内部控制有效性监督检验及汇报机制。2.5.1.4 人力资源政策制订完善职员招聘、培训、解聘和辞职、薪酬、考评、晋升和奖惩、关键岗位强制休假和定时轮岗、关键岗位职员离岗限制等政策及程序,健全企业管理人员任用选拔、管理考评和激励监督机制,有效地确保内部控制在企业中顺利实施。2.5.1.5 企业文化继承和发扬企业企业文化,表现企业经营宗旨、价值观念和行为准则;将风险管理文化融入企业文化建设全过程,树立和传输正确风险管理理念,增强遵法意识和诚信意识,将风险管理意识转化为职员共同认识和自觉行动
32、,提升全员风险意识;企业高级管理人员应在继承和发扬风险管理文化中发挥表率作用,中层管理人员应在继承和发扬风险管理文化中发挥骨干作用。加强全体职员法制教育,增强董事、监事、经理及其它高级管理人员和职员法制观念,建立健全企业法律顾问制度和重大法律纠纷立案制度,确保各项关键业务活动依法决议、依法办事和依法监督。2.5.2 风险评定风险是指未来不确定性对企业实现其目标影响。风险评定是立即识别、科学分析和评定影响企业目标实现多种不确定原因并制订应对策略过程,是实施内部控制关键步骤。在风险评定中,既要识别和分析对实现目标含有阻碍作用风险,也要发觉对实现目标含有主动影响机遇。企业应制订完善风险评定规范,明确
33、风险评定范围、程序和方法,规范企业风险评定工作。企业风险评定工作由企业发展部组织相关职能部门和业务单位实施。2.5.2.1 风险评定范围企业针对战略目标、经营目标、汇报目标、合规目标和资产安全目标,分别确定风险评定范围。2.5.2.2 风险评定基础程序1. 目标设定和初始信息搜集。企业在进行风险评定时,需依据设定控制目标,全方面系统连续地搜集相关信息,结合实际情况,立即进行风险评定。围绕企业战略目标和相关目标和风险管理要求,相关职能部门、业务单位和内控管理部门广泛、连续搜集和企业风险及风险管理相关多种内、外部信息,包含搜集历史数据和未来信息,关注宏观经济和经营环境、竞争对手、新技术和新产品、海
34、外经营、企业重组、业务整合、会计政策、信息系统、资本运作等方面已经发生和将要发生改变情况。2. 风险识别。风险识别是指查找企业各项关键经营管理活动及其关键业务步骤中存在影响目标实现风险和机遇过程。企业应动态识别影响企业战略目标及相关目标实现、内部和外部多种不确定性原因。其中,带负面影响原因代表风险,需要对其进行分析和应对;带正面影响原因代表机遇,在制订目标和政策实施过程中应对其加以考虑并把握。3. 风险分析。风险分析是针对识别出风险,深入分析风险发生可能性和对企业实现目标影响程度过程。企业能够综合利用定性和定量方法,对风险发生可能性和影响程度进行分析、评价,并根据风险分析结果确定风险关键性水平
35、,识别企业重大风险,确定风险管理优先次序。4. 风险应对。风险应对是针对风险发生原因、风险关键性水平,考虑风险之间关系并把握机遇,综合利用风险规避、风险降低、风险分担和风险承受等策略,确定风险应对策略过程。2.5.2.3 风险库企业根据要求程序和方法开展风险评定后,识别出企业层面和步骤层面风险事项,结合风险发生层次、关键性水平和应对策略,建立和维护企业层面和业务步骤层面风险库。2.5.3 控制活动控制活动是指企业依据风险评定结果,采取对应控制方法,将风险控制在可承受范围之内。控制活动是确保管理层相关风险应对策略得以落实实施政策和程序,存在于企业全部等级分支机构和职能部门,包含不相容职务分离、授
36、权审批、会计系统、财产保护、预算、运行分析、绩效考评、突发事件应急等。企业应依据内部控制目标,将控制方法和风险应对策略相结合,针对各类风险或每一项重大风险所包含各管理及业务步骤,制订涵盖各个步骤全步骤控制方法;对其它风险所包含业务步骤,要把关键步骤作为控制点,采取对应控制方法。企业应该根据各相关部门和业务单位职责分工,组织实施控制方法。针对面临各项风险,根据风险应对策略,建立对应风险控制政策和方法,规范业务步骤,并编制相关工作文档。2.5.3.1 控制活动实施1. 规范业务步骤,制订业务活动层面风险控制方法。控制活动经过针对企业各个业务关键步骤设计和实施一系列政策、制度、规章和方法,对影响业务
37、步骤目标实现多种风险进行有效地管理和控制。企业应经过确定业务步骤体系框架、统计业务步骤和内部控制情况、建立关键控制和通常控制等关键步骤来规范业务步骤层面控制活动。2. 分解重大风险,将企业层面重大风险和业务步骤进行对接。为确保企业层面重大风险管理能够落到实处,企业应依据各重大风险包含相关业务内容和控制目标,将企业层面重大风险进行层层分解,识别造成重大风险众多风险事项,并将其和业务步骤进行对接,评定和重大风险对接步骤全步骤控制方法是否存在和有效,确保风险管理工作真正落地。2.5.3.2控制活动有效性评价 企业应依据内部监督政策和程序,定时对控制活动有效性进行评价,查找控制缺点,并进行改善和完善,
38、确保控制活动连续有效性。2.5.3.3权限指导权限指导是企业内部控制和风险管理关键组成部分,具体描述了企业授权制度是怎样组成、应用和监控,企业内各级同意权限是怎样界定。企业应该设置科学、明确权限指导表,明确各项重大决议、经营活动审批权限,确保决议科学性和经营效果和效率。2.5.4 信息和沟通信息和沟通是企业立即、正确地搜集、传输和内部控制相关信息,确保信息在企业内部、企业和外部之间进行有效沟通,以促进职责推行。信息是指和企业经营相关财务及非财务信息,不仅包含内部产生信息,还包含和企业经营决议和对外汇报相关外部信息。通畅沟通渠道和机制使职员能立即取得她们在实施、管理和控制企业经营过程中所需信息。
39、企业建立符合发展战略并和经营管理活动一体化信息系统,为风险管理提供足够信息资源和顺畅沟通渠道。2.5.4.1 信息采集企业应该对搜集多种内部信息和外部信息进行合理筛选、查对、整合,提升信息有用性,即企业应连续不停地识别、搜集、整理和归纳来自内部和外部、经营和管理多种信息,针对不一样信息起源和信息类型,明确多种信息搜集人员、搜集方法、传输程序、汇报路径和加工和处理要求,确保经营管理多种信息资源得到立即、正确、完整搜集。2.5.4.2 沟通信息沟通是指内部控制相关信息在企业内部各管理级次、责任单位、业务步骤之间,和企业和外部投资者、债权人、用户、供给商、中介机构和监管部门等相关方面之间进行沟通和反
40、馈。企业应建立合适渠道,和企业相关方如供给商、用户、律师、股东、监管机构、外部审计师,就相关信息进行必需外部沟通。2.5.4.3 信息系统企业应将信息技术应用于内部控制各项工作,利用信息系统对经营管理进行过程控制和信息采集、存放、加工、分析、测试、传输、汇报和披露等;满足企业内部控制相关信息汇报制度和企业对外信息披露相关制度要求。信息系统应实现信息在各职能部门、业务单位之间集成和共享,既能满足单项业务内部控制要求,也能满足企业整体和跨职能部门、业务单位内控管理综合要求。1. 建立信息系统总体控制。建立包含信息系统内部环境、信息安全、信息系统项目建设管理等方面内容信息系统总体控制规范和规章制度。
41、2. 建立信息系统应用控制。全方面识别应用系统相关风险,建立完善应用系统控制规范,对应用系统权限管理、自动控制进行有效管理。3. 建立内部控制和全方面风险管理信息平台。实现步骤、风险数据库、控制文档、制度、法律法规及案例统一管理,实现对企业风险管理和内部控制情况实时监督和评价。2.5.4.4 反舞弊机制企业应建立反舞弊机制,坚持惩防并举、重在预防标准,明确反舞弊工作关键领域、关键步骤和相关机构在反舞弊工作中职责权限,规范舞弊案件举报、调查、处理、汇报和补救程序。2.5.5 内部监督内部监督是对企业内部控制建立和实施情况进行监督检验,评价内部控制有效性并立即加以改善过程,包含日常监督、专题监督、
42、内部控制评价和缺点跟踪等。2.5.5.1 日常监督日常监督是指企业对建立和实施内部控制情况进行常规、连续监督检验。企业应制订内部控制体系运行和维护管理制度,明确授权日常监督机构职责权限,规范日常监督程序、方法和要求,定时维护手册,将内部控制工作纳入企业各级管理层业绩考评,构建内部控制体系运行长久有效机制。2.5.5.2 专题监督专题监督是指在企业发展战略、组织结构、经营活动、业务步骤、关键岗位职员等发生较大调整或改变情况下,对内部控制某个或一些方面进行有针对性地评价。2.5.5.3 内部控制评价企业应结合内部监督情况,建立定时内部控制评价制度,明确内部控制评价机构和职责权限,规范评价方法、范围
43、、程序和频率,并编制对应内部控制评价汇报。2.5.5.4 缺点跟踪企业应明确汇报缺点职责、汇报内容,对汇报缺点程序及跟进方法等方面进行规范;制订内部控制缺点认定规范,明确缺点定义及分类,和缺点评定内容、方法和标准等。3 内部环境3.1 概述内部环境确定了企业对内部控制体系建设总体态度,是内部控制体系建设基础,是有效实施内部控制保障,直接影响着内部控制落实实施、企业经营目标及整体战略目标实现。3.2组成要素内部环境组成要素包含治理结构、机构设置和权责分配、内部审计、人力资源政策、企业文化等内容。治理结构是建立并实施内部控制基础,是影响内部环境关键原因。企业应根据企业法要求,结合企业实际,建立规范
44、法人治理结构(包含董事会、监事会和经理层),并制订对应议事规则和工作规则。关键控制关键点及程序详见北京第六大洲房地产开发内部控制手册-内部环境分册第2章-治理结构机构设置为企业提供了计划、实施、控制和监督其活动框架。相关机构设置包含确定权利和责任关键界区,即确定权责关键领域和建立合适汇报负责部门。它强调权责分配知情和监督,要求全体职员掌握内部机构设置,明确权责分配,正确行使职权。关键控制关键点及程序详见北京第六大洲房地产开发内部控制手册-内部环境分册第3章-机构设置和权责分配。内部审计是企业内部一个独立客观监督和评价活动,它经过审查和评价经营活动及内部控制合适性、正当性和有效性来促进企业目标实
45、现。关键控制关键点及程序详见北京第六大洲房地产开发内部控制手册-内部环境分册第4章-内部审计。人力资源政策是影响企业内部环境关键原因,引导职员达成企业期望职业道德水平和胜任能力。它包含聘用、定岗、培训、解聘、辞职、薪酬、考评、评价、晋升、奖惩等活动。关键控制关键点及程序详见北京第六大洲房地产开发内部控制手册-内部环境分册第5章-人力资源政策。企业文化是指企业在生产经营实践中逐步形成、为整体团体所认同并遵守价值观、经营理念和企业精神,和在此基础上形成行为规范总称。企业文化关键包含主动向上价值观和社会责任感、老实守信、爱岗敬业、开拓创新和团体协作精神、现代管理理念和风险意识;董事、监事、经理及其它
46、高级管理人员应该在企业文化建设中发挥主导作用;企业职员应该遵守职员行为守则;全体认真推行岗位职责。关键控制关键点及程序详见北京第六大洲房地产开发内部控制手册-内部环境分册第6章-企业文化。 4 风险评定4.1 概述风险评定采取定性和定量相结合方法。定性方法包含问卷调查、部门研讨、教授咨询、政策分析、行业标杆比较、管理层访谈、由专员主持工作访谈和实地调研等;定量方法包含统计推论、事件树分析等。各级责任主体从可能性和影响程度等方面对风险关键性进行评定,综合评定结果,确定重大风险和管理优先次序。风险评定实施程序为目标设定、风险辨识、风险评价、风险应对。风险概念及类型、风险评定概念及范围详见北京第六大洲房地产开发内部控制手册-风险评定分册第1章-概述。4.2组成要素风险评定组成要素包含风险评定标准、建立风险评定基础、关注关键点等。其中,风险评定标准详见北京第六大洲房地产开发内部控制手册-风险评定分册第3章-风险评定标准;建立风险评定基础详见北京第六大洲房地产开发内部控制手册-风险评定分册第4章-风险评定基础程序;关注关键点详见北京第六大洲房地产开发内部控制手册-风险评定分册第2章-关注关键点。 4.3企业层面和业
浙ICP备2021020529号-1 | 浙B2-20240490 
