1、xxx购物广场有限公司内部控制系列文件 010204管理风险评估20xx 版批 准: 20xx-04-01 发布 20xx-04-01 实施xxx购物广场有限公司1.0 目的本程序规定了x杉杉公司开展管理风险评估的各项要求,旨在规范开展管理风险评估的各项具体工作,保证在有限的成本条件下,有效防范和控制经营管理中潜在风险。2.0制度要求2.1术语和定义2.1.1管理风险在公司经营过程中存在不确定性,这种不确定性在一定条件下会对公司的资产安全、财务报表的可靠性、法律地位及管理目标的实现产生不良影响,严重时会使公司遭受重大损失甚至使经营活动陷于瘫痪或中断。2.1.2风险评估专家小组由高管层、内控负责
2、人、各部门负责人和财务总监组成管理风险评估小组。参加评估的组成人员须对本行业的专业技术有比较全面的了解和较高的个人素质。2.2管理风险评估管理程序制定 2.2.1内控人员根据集团管理风险评估要求,结合本公司实际制定本程序。2.2.2统括部和内控人员共同组织管理人员进行本程序培训。培训后应当对参加培训人员进行考核。2.3管理风险评估过程 2.3.1风险评估开展的周期2.3.1.1公司对各个业务循环每年至少进行一次风险评估,由相关的业务部门主导实施,内控部提供协助和支持。2.3.1.2 在公司内外部经营环境发生重大变化时,应即时根据实际经营需要对相应的业务循环进行风险评估。重大变化的情形主要包括但
3、不限于: 战略目标发生重大调整 国家法律法规有重大调整,对公司经营产生重大影响的 开拓新的业务线 经营管理模式发生重大调整的 外部审计机构或内审评价提出有重大风险事项的 上级内控机构提出专项要求的 企业发生其他重大变化的事项2.3.2 实施风险评估的主要活动 实施风险评估的主要活动包括: 流程环节的识别 业务风险点的识别 风险等级评价 确定风险控制措施和控制标准 明确控制痕迹 绘制风险矩阵表和编制风险评估报告2.3.3 业务风险点识别法: 业务风险点的识别是风险评估工作的核心关键,是保证指定有效的控制措施,达到风险控制目的的立足点。业务风险点识别主要途径和方法包括:2.3.3.1 合理、完整、
4、全面地掌握每个业务环节的各项工作要素,明确每个要素的具体内容,工作要素有: 输入要素:不仅包括一般意义的人、财、物,而且还包括信息、关系、计划、资金、时间等各项保证该环节有效运作所必须的资源。 活动要素:是为实现该环节的业务目标,责任承担人所需要进行的各项工作活动内容和承担的责任权限。 关系要素:本业务环节的活动过程中与其他业务活动之间的关联关系,如:起草、审核、批准、验收,等等。 输出要素:经过本业务环节的活动处理后,所输出的处理结果,并与所要求得到的结果标准要求相一致。 价值要素:在该业务环节中,各项活动所起到的作用和价值体现,这种价值不一定可直接地用货币来衡量,还可以表现为:正确性、及时
5、性、效益性和安全性等多种方面。 客户要素:公司内部业务流程环节的客户通常指流程下一环节的岗位责任人,反映在为下一个业务环节人员提供的工作成果质量和服务质量上。2.3.3.2 对每个业务环节的各个要素进行判断,是否存在某种原因而导致各项要素出现差错,影响管理目标和管理效果的风险事项风险点。尤其是发生资金流转、物资权属转移、信息传递的业务环节,以及在这些环节中相关权限等。一般情况下通常从以下五个方面来进行识别: 人:该业务环节的责任承担人或部门,是否具有相应的资质和能力;是否已经得到了有效的授权;是否与相关联的其他业务环节承担人具有利益冲突关系而影响公正性;涉及决策事项的,是否体现集体、公开决策的
6、原则;等等。 资金流:在整个资金流过程中,是否具有完整的提出、审核、审批等节点,且均具有相应的授权;资金流动的数量、金额是否能得到有效控制和监督;资金的保管是否具有安全性;等等。 物(资产)流:资产流入时,是否得到相应的验收和确认;内部流动时,资产的保管责任是否得到同步的转移和确认;资产流出时,是否具有相应的审批手续,且与授权项一致;资产的权属证书是否完整、合法;等等。 信息流:根据本环节的业务工作要求,所需要的信息是否能全面、准确和及时地获得;如何保证对流入本环节的信息得到正确、及时的处理;对信息的处理人是否具有相应的有效授权;能否保证将信息全面、准确和及时地传递给下一环节的责任人;等等。
7、其他:业务流程环节是否存在缺失;控制痕迹是否清晰、可行;业务运作是否符合法律法规和政策要求。2.3.4 风险等级的判定标准和方法: 风险等级主要依据风险发生的后果和频率两个方面进行评定。2.3.4.1 风险影响程度:风险影响程度一般依据其风险发生后所产生后果的严重性分为4个等级非常严重、严重、重要、轻微(参见附表1:风险影响程度分类表)。各产业公司可以根据本公司经营管理的实际规模和业务特性,参照附件的表单进行修订。2.3.4.2 风险发生频率:风险发生频率一般指可能导致该风险发生的相关事项的发生频率,如:会计制作凭证出现错误的风险,是以所制作凭证的数量来计量,而不是凭证制作出错的数量。风险发生
8、频率一般分为7个等级频繁、很可能、可能、很少、极少、不太可能、不可能(参见附表2:风险发生频率表)。2.3.4.3 风险等级判定:风险等级一般以风险影响程度和风险发生频率为纵横轴,通过不同的标点区域来划分等级,一般分为高度、中度和低度风险(参见附件3:风险矩阵图中红、黄、绿区域)2.3.4.4 其他风险事项:除上款规定的风险等级划分外,还应注意对特殊事项的等级确定,主要是指频率极低但后果及其严重的事项,如:生产安全的人身事故、重大的环保事故、媒体危机,等等;以及风险后果极小但过高的频率会对公司经营管理产生重大影响的事项,如:大范围的迟到早退、对企业文化的诋毁言词,等等。均应列为高度风险。(见风
9、险矩阵图的左上侧和右下侧的三角红色区域)2.3.5控制风险的主要途径包括:2.3.5.1 风险规避:对风险可能出现的后果超出公司能力所能够承受的范围,通过放弃或者停止的业务活动以避免风险损失。一般适用于风险特别重大或后果特别严重的风险事项。2.3.5.2 风险控制:是在权衡成本效益后,是可以通过适当的控制措施防止风险发生,或者即使发生也可以将损失控制在可承受的范围内的。对绝大部分的风险事项一般均采用这种途径加以控制。2.3.5.3 风险分担:在独立面对的风险后果过大时,采用外部合作、业务分包、购买保险等方式,将一部分的风险后果转移出去,使自己的风险保持在可承受范围内的控制方式。2.3.5.4
10、风险承受:如果出现风险控制的成本过大,且即使不采取任何控制和措施,所发生的风险后果也在可承受范围之内的,可以不采取控制措施,仅通过监控风险事项的发展,防止风险超出承受范围的方式予以解决。一般情况下,这种情形较少。2.3.6 风险评估的步骤2.3.6.1 风险评估的准备 内控部应在与相关业务部门充分沟通的情况下,于每年的1月提出年度风 险评估计划,编制年度风险评估计划表,提出风险评估小组成员名单,随内控工作年度计划一并上报审批。 按年度风险评估计划或临时安排的风险评估工作要求,内控部在具体实施风险评估工作前,需编制相关业务循环的风险评估实施计划表,应包括:业务风险控制的目的、业务部门、组织者、范
11、围、参评人员、所需信息和进度安排等必要内容,风险评估实施计划表应得到总经理的批准后正式实施。 公司可根据实际需要,邀请外部专家参与风险评估。 风险评估会前,内控部应协助相关业务部门编制完成风险评估矩阵表(参见附表4:风险矩阵表)。一方面,全面反映现有业务的实际情况,针对业务循环分环节地描述现有风险点、风险等级、控制措施和控制痕迹等信息,同时还应包括各相关风险事项的现有控制措施执行效果的判断,判断是否需要加以调整;另一方面,也可以同时提出对原有风险事项的调整或增加风险事项。2.3.6.2 风险评估的实施 公司可根据参评人员的实际情况,在风险评估会前,由内控部就有关风险评估时的注意事项进行必要的培
12、训和说明。 明确所评估业务流程的管理控制目的,并要求所有参评人员对此目的有准确的认识和有效的把握,以保证各项控制措施的提出和确认都与风险控制目的紧密相关。 首先由相关业务部门对每个流程,分业务环节,介绍相应的执行情况,以及对现有风险实际的控制效果。其中:对业务环节的分析是对固有风险的评估,对现有实际控制效果的分析是对残余风险的评估。 参评人员依据本条2.3.3、2.2.4条款,对每个业务环节的风险事项和风险等级进行逐项评定,一般情况下,以“定量思考、定性判定”的方式,可由评价小组以民主集中制原则进行判定。 对每个所确认的风险点,按2.3.5的控制途径,设定控制措施和控制标准,同时保证各项控制措
13、施的可操作性。 对各控制措施,应明确有相应记录控制措施实施后的控制痕迹和保存方法,并保证这类记录痕迹具有操作的简便性和可核查性。 风险评估的实施过程中,同时也应将其视为对特定业务循环风险事项的全面回顾,以及对中层以上干部的系统性风险意识的培训。2.3.6.3 风险矩阵表和评估报告的编制风险评估结束后,内控部应负责根据风险评估矩阵表和风险评估报告的编制,其中: 风险评估矩阵表是根据风险评估会议的结论,将业务部门编制的风险评估矩阵表加以充实和完善,该矩阵表是风险评估报告的必需附件。 风险评估报告应在遵循客观性(真实性)、重要性、有效性的前提下进行编制,内容包括:计划与评估概要、风险控制措施执行情况
14、介绍、新识别中高度风险点和控制措施、后续改进意见。 风险评估报告经总经理(总裁)签署后,上报董事会,并送相关职能部门和上级机构内控部备案。 风险评估报告应属公司机密级材料,任何人未经批准不得外泄。2.3.6风险评估后的执行和跟踪2.3.6.1 相关业务部门根据风险评估矩阵表和评估报告的结论,在2周内应就相关事项制订整改措施,经总经理批准后加以执行实施。整改计划同时备份内控部。2.3.6.2 内控部至少每2周一次,对相关部门的整改进展情况进行检查,并以周报的形式上报总经理、董事会和上级机构内控部。2.3.6.3 根据风险评估结论,需要对制度进行修订的,应对相关制度进行修订。为保证工作的效率性,在
15、修订制度颁布前,可以总经理办公会决议或公司正式文件的形式下发,要求就有关工作措施先行执行,并在年度进行制度修订时一并进行。2.3.6.4 相关业务部门根据在整改完成后,应提交整改总结报告,上报总经理,备份内控部。对整改时间较长的,至少每季度出具一份整改工作进展情况说明。2.3.6.5 风险评估报告同时还具有以下的应用: 是制度修订的依据,应根据风险评估结果对相关内控制度进行立、改、废。 列入内控检查和内控评价的范围。 作为内控部门和先关职能部门管理工作的考核内容之一。3.0 流程图(另附)4.0 政策4.1公司管理风险评估每年至少进行一次,由内控负责人召集,各部门负责人和有关专家具体参加执行。
16、4.2视情况经集团内控部和董事会批准后可聘请有经验的外部专家和政府官员参加管理风险评估。 4.3特殊情况需要时,本公司可与杉杉内部其它公司组成管理风险统一评估小组,集中评估本公司各项业务管理中的风险,但须事先经董事会批准,并向集团公司申请批准,经同意后方可。4.4本制度原则上每年修订一次,遇特殊情况时经授权审批后可随时进行修改;制度最终解释权归总经理办公会。5.0 相关制度和表单表1: 风险影响程度分类表分值后果法规运营经济损失(直接损失和间接损失)声誉员工安全环境对经营目标的影响4非常严重诉讼并有较大败诉可能广泛损害,正常运营中断多于2天人民币 多于 160万媒体持续关注,与业务伙伴间的信任
17、受损,股东信任受损死亡可能被环保部门查处并停产整顿偏离经营目标20%以上3严重公开警告,罚款严重损害,正常运营中断少于2天人民币 80万 - 160万引起公众关注/评论,社会形象受损致严重伤残可能被环保部门查处并整改罚款偏离经营目标10%到20%之间2重要公开警告,不罚款轻微损害, 正常运营延误人民币 1万- 80万媒体负面报告致轻微伤残可能被环保部门查处并警告偏离经营目标5%到10%之间1轻微被政府机关构质疑/调查没有或轻微损害, 对正常运营没有影响人民币 少于1万元没有影响,或影响很小没有影响,或对健康影响很小可能被环保部门关注偏离经营目标5%以内表2 风险发生频率表分值频率定义7频繁每天
18、发生N次6很可能每天发生1次5可能每周发生1次4很少每月发生1次3极少的每季度发生1次2不太可能每年发生1次1不可能不会在这个行业内发生表3 风险矩阵图后 果4 高 高高 高中中中中高高高3低中中中中高高2低低中中中中中1低低低低中中中1234567频 率2、 风险等级高风险(红色区域):(15)管理优先级为高的风险。需要重点关注,优先调配资源以进行管理,以把风险排序降低。中度风险(黄色区域):管理优先级为中的风险。需关注风险趋势变化,适当地调整资源以进行管理,以有效的成本代价降低风险排序。低风险(绿色区域):(4)管理优先级为低的风险。需维持现有管理水平,可适当地把资源调配,用以管理其它风险 010204 -x杉杉-管理风险评估 11/13表4 风险矩阵表流程(循环)名称: 评估日期: 年 月 日流程环节名称风险编号固有、原始风险风险分析/评价现有控制措施控制痕迹剩余风险描述责任人验证备注风险事项内容与描述风险程度风险类别可能性后果等级剩余风险描述新增或改进措施措施内容相关制度010204-内控管理-管理风险评估第 11 页 共 13 页
浙ICP备2021020529号-1 | 浙B2-20240490 
