上市公司内控公司层面调查问卷----风险评估.docx

1、公司层面调查问卷调查问卷说明：1、 本调查问卷的目的是了解公司层面涉及到的关键控制活动的现状，因此请被调查部门/人员如实填写（回答）；（一般控制活动、一般控制证据描述为常规控制供参考）2、 本调查问卷中的问题都是依据公司层面风险清单及关键控制点设计而成，为内部控制设计缺陷的评估以及内控体系建设工作提供最有效的参考证据；3、 被调查对象（访谈对象）在回答问卷时，应将内部控制活动进行详细描述（如控制责任人、控制频率、控制证据等）；4、 对于每一项正在实施的控制活动，被调查人需要提供一个样本（控制证据）以支持自己的回答，该证据将作为穿行测试的重要组成部分，为内部控制设计缺陷的评估提供参考；5、 如果

2、该问题不适用于企业的实际情况，请填写“不适用”。索引一级分类二级分类E2风险评估风险评估程序建立/更新目标设定风险识别风险分析风险应对E2风险评估编号问题受访人一般控制活动一般控制证据E2.1风险评估程序建立/更新E2.1.a管理层是否建立/更新风险评估程序，以确保其完整性、合理性？E2.1.1由风险管理委员会牵头，企业发展部负责建立及定期（每年）更新风险评估制度，以确保评估程序（通常包括：目标设定、风险识别、风险分析、风险应对）的完整性、适当性。E2.1.2风险评估制度经风险管理委员会审批后，提交给董事会批准并予以颁布。E2.2目标设定E2.2.a企业整体目标设定与战略目标是否一致?E2.2

3、.1每年第四季度初,董事会根据宏观经济环境、行业形势、产品竞争力、企业发展战略和本年度的实际经营情况等进行预测，提出下年度企业的经营目标、财务报告目标、合规性目标、资产安全完整目标等等。并通过预算工作将该等整体目标进行细化。具体的流程控制参见“预算”流程。E2.2.b流程层面的目标与企业整体目标及战略目标是否一致？E2.2.2流程层面的目标在所有层次管理人员的参与下制订，以确保与战略目标、整体目标的一致性。具体的流程控制参见“预算”流程。E2.2.c企业整体目标、流程层面目标是否被有效地传递到各级人员？E2.2.3预算委员会对审批后的集团经营预算表、集团资本性支出预算表、集团财务预算表进行指标

4、分解，并逐级下达给集团各公司、职能部门等预算执行单位，并由后者对预算目标进行进一步分解后下达给各下属部门，并由其严格遵照执行。具体的流程控制参见“预算”流程。E2.3风险识别E2.3.a风险管理初始信息的收集工作是否全面、持续？E2.3.1依据风险评估制度，针对企业所面临的不同风险类型（战略、财务、市场、运营、法律等），对应的主要责任部门承担全面系统地持续收集初始信息的工作，并定期通过风险管理初始信息表的形式汇总至企业发展部。E2.3.2根据风险评估制度的要求，各责任部门进行初始信息收集、筛选、提炼的工作，将借鉴行业标准、最佳实务操作，收集相关风险案例，并结合企业历年进行风险评估所累积的历史风

5、险管理初始信息。并且，收集工作既需要考虑影响目标实现的内部风险点，也需要关注外部风险点。E2.3.b风险识别的方法是否客观、合理？E2.3.3每年初，由企业发展部牵头，各责任部门参与，根据整体目标、流程层面目标，并参照风险管理初始信息表中的信息进行相应的风险识别工作，从而建立/更新年度风险清单，并报送风险管理委员会批复。E2.3.4当出现重大变化（例如：企业经营模式发生重大变动；企业所使用的信息技术发生重大变动；关键人员变动；企业所适用的会计准则发生重大变动；购并的发生、金融工具的使用等等涉及到复杂的会计处理要求的事项发生；等等）时，企业发展部将针对该等变化进行风险识别、分析、应对策略选择等工

6、作，相应更新年度风险清单、风险分析底稿、风险图、风险分析报告后报风险管理委员会批复。E2.4风险分析E2.4.a风险分析的方法是否客观、合理？E2.4.1根据风险评估制度的要求，企业发展部牵头进行的风险分析工作采取定性（如：问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等）与定量（统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等）相结合的方法。风险分析的工作通过风险分析底稿予以实现。E2.4.2对于所识别的风险清单，在定性与定量相结合的分析基础之上，企业发展部牵头按照风险发生的可能性及影响程度

7、进行分析、排序，形成风险图，以确保主要风险的重点和优先控制。在此基础上，提出初步的风险应对策略，最终形成风险评估报告草案。E2.4.b风险分析工作是否考虑了相关参与人员的胜任能力？E2.4.3风险管理委员会的成员均是风险管理方面的专业人士。E2.4.4风险分析工作参与人员熟悉相关风险管理的要求，熟悉、了解其工作领域的整体操作流程。E2.4.5定期对参与人员进行评价工作，以确定其胜任能力。E2.5风险应对E2.5.a风险应对策略是否能够正确选择以确保对公司风险的控制？E2.5.1风险评估制度中明确风险规避、风险降低、风险分担、风险承受等风险应对策略适用的环境和应用的方式，从而为应对策略的选择提供

8、了原则及实例上的指引。E2.5.2风险评估报告草案中针对企业所面临主要风险点（即，风险图中所列示）的应对策略的选择，均充分说明了选择的理由。E2.5.b企业是否采取了适当的措施以避免个人风险偏好而影响应对策略的合理性？E2.5.3风险评估报告草案将根据审批权限表的规定，经过适当的审核、批准程序，以避免因个人风险偏好而造成企业经营方面损失风险。经审批通过形成风险评估报告。E2.5.4经审批通过的风险评估报告通过适当的形式（通知、宣讲、培训等等）将年度风险清单、对应的应对策略传递给企业各级人员，以便各级人员充分理解企业所面临的风险以及应对的措施，做好事先防范工作。E2.5.5由风险管理委员会负责，指定企业发展部设立独立的沟通渠道（电话、信箱、邮箱）以接受各级人员对所颁布的年度风险清单及其应对策略的质询、建议，从而，进一步确保应对策略的适用性，避免实际操作中可能发生的问题。