完整版)风险管理与内部控制实施细则

1、XXX 公司风险管理与内部控制实施细则第一章 总 则第一条 为规范 XXX 公司（以下简称“公司” ）的风险管理与 内部控制工作， 提高全员风险管理与内部控制意识和风险防范能力。第二条 公司风险管理与内部控制应遵循以下原则：（一）合规性原则。 遵守国家法律法规和证券监管机构的规定， 符合公司章程。（二）统一性原则。建立统一的风险管理与内部控制机制，制 定统一的风险评估方法和程序，规范内部控制方法和流程，统一组 织开展风险评估工作，采用统一的工具和方法描述控制措施，制定 统一的测试规范开展有效性评价。（三）适应性原则。符合经营管理需要，具有可操作性，并随 着经营管理情况的变化而不断修订和完善。（

2、四）成本效益原则。 尽量做到以合理的成本取得最佳的效益。第二章 风险管理与内部控制机构与职责第三条 公司成立风险管理与内部控制领导小组，组长由公司 总经理担任，副组长由分管风险管理与内部控制领导担任，成员由 公司各部门负责人组成。 领导小组下设风险管理与内部控制办公室， 办公室设在合同管理部。第四条 公司风险管理与内部控制领导小组是公司风险管理与内部控制的决策机构，其在风险管理工作方面的主要职责：（一）负责审定风险管理与内部控制组织机构设置及其职责；（二）负责审定风险管理与内部控制的重大方针、政策、规章 制度流程、相关标准、方法；（三）审定内部控制体系框架及实施计划，指导和督促公司内 控体系建

3、设和运行工作的组织和实施；（四）制定针对公司层面重大和主要风险的管控策略和风险解 决方案，包括风险偏好和风险承受度；（五）审批公司的风险解决方案、风险管理报告与内部控制评 估报告，并提出修改意见；对公司突发的重大风险事件的事前、事 中、事后的解决方案进行督促和指导；（六）负责重要内控方案的审批并提供所需的资源；（七）推动公司风险管理体系的监督和评价工作，检查内控部 门职能发挥的有效性，确保公司全面风险管理体系运行的有效性；（八）负责决定与内控有关的其他重大事项。第五条 风险管理与内部控制办公室在公司风险管理与内部控 制领导小组的领导下，负责公司风险管理与内部控制日常工作，其 主要职责：（一）制

4、定和完善公司风险管理与内部控制制度及其他风险管 理相关工作流程和重要文档，统一和规范公司的风险管理与内部控 制行为；二）协助和指导公司各部门按风险管理与内部控制相关制度开展工作；（三）组织公司各部门汇总、整理、筛选、建立公司风险事件 库，开展风险评估工作；（四）协助和指导公司各部门开展重大风险管理策略的制定， 协助公司各部门对重大风险解决方案的研究制定和落实执行；（五）组织和开展公司重大风险解决方案落实执行情况的监督 检查工作，配合公司的审核检查工作并具体落实公司管理体系运行 的考核工作；（六）根据上年度风险评估结果、风险管理体系建设和运行工 作、内部控制评价工作开展情况，组织编制公司风险管理

5、报告和内 部控制评价报告，报送风险管理与内部控制领导小组批准；（七）完成风险管理与内部控制领导小组授权的有关风险管理 与内部控制的其他事项。第六条 公司各部门在风险管理和内部控制方面的主要职责：（一）贯彻执行公司风险管理与内部控制相关制度，配合公司 主管部门开展风险管理与内部控制体系建设工作；（二）收集战略方面、财务方面、外部市场方面、运营方面、 法律方面内外部信息，对本部门业务涉及的风险事件进行识别、归 类，并定期维护和更新；（三）根据提供的方法和工具，对本部门 “风险数据库”中的 各风险事件进行评估， 并依据评估结果对风险高低进行排序和分类，向合同管理部提交“风险评估结果” ，并定期维护和

6、更新；（四）针对本部门的重点风险和公司提出的管理策略，制定相 应的风险解决方案，向合同管理部提交本部门的风险解决方案；明 确各风险解决方案的执行负责人、实施要求，并安排应有的资源支 持；（五）按照公司内部控制实施方案进行本部门内部控制工作， 并编制本部门内部控制自评报告；（六）对职责范围内风险管理活动，定期进行自评并提出改进 建议，按照改进计划，执行改进实施方案。第七条 公司各部门设置风险内控联络员，具体负责本部门风 险管理与内部控制工作的实施。风险内控联络员主要职责：（一）定期收集本部门风险信息，形成风险信息快报，制定风 险应对措施，经部门负责人审定后，报送至公司风险管理主要责任 部门。（二

7、）定期对本部门内部控制运行情况进行自我评价，形成自 我评价报告， 经部门负责人审定后， 报送至公司内部控制主管部门（三）配合公司风险管理主要责任部门进行风险评估、分析， 检查风险识别和应对情况。（四）配合公司内部控制主要责任部门完成内部控制自我评价 底稿填制工作，并提供本部门内部控制证据材料。（五）在主要责任部门的组织下，参与上级单位组织的风险管理与内部控制各项管理工作第三章 风险识别第八条 公司应每年度进行风险识别，收集风险信息并进行归 类，建立风险信息库。第九条 公司各部门于每年 1 月份开展风险信息识别工作， 2 月份由公司合同管理部牵头组织各部门完成公司风险信息库的建立。第十条 公司各

8、部门应从战略风险、财务风险、外部风险、运 营风险、合规性风险等方面识别各类风险信息。（一）战略风险方面，主要收集与公司相关的以下重要信息：国内外宏观经济政策以及经济运行情况、国家产业政策、项目 投资行业发展状况；与公司战略合作伙伴的关系，未来寻求战略合 作伙伴的可能性；公司发展战略和规划、投融资计划、年度经营目 标、经营战略，以及编制这些战略、规划、计划、目标的有关依据 等；（二）财务风险方面，主要收集以下重要信息（尽可能收集项 目投资行业平均指标或先进指标） ：负债、或有负债、负债率、偿债能力；现金流、应收账款及其 占销售收入的比重、资金周转率；资产财务状况；预算及预算指标 执行情况；管理费

9、用、财务费用、营业费用；盈利能力；经审计的 财务报表及财务情况说明；成本核算、资金结算和现金管理业务中 曾发生或易发生错误的业务流程或环节等；（三）外部风险方面，主要收集以下重要信息：国资委对国有企业的相关政策、税收政策和利率、汇率；潜在竞争者、竞争者情况；（四）运营风险方面，主要收集以下重要信息： 公司法人治理机构、组织效能、管理现状、企业文化，高、中 层管理人员和重要业务流程中专业人员的知识结构、专业经验；投 资业务、质量、安全、环保、信息安全、项目运营等管理中曾发生 或易发生失误的业务流程或环节；因公司内、外部人员的道德风险 致使公司遭受损失或业务控制系统失灵；给公司造成损失的自然灾 害

10、以及除上述有关情形之外的其他纯粹风险；对现有业务流程和信 息系统操作运行情况的监管、运行评价及持续改进；公司风险管理 的现状和能力等；（五）合规性风险方面，主要收集以下重要信息： 国内外与公司相关的政治、法律环境；影响公司的新法律法规 和政策；员工道德操守的遵从性；公司签订的重大协议和合同；公 司发生重大法律纠纷案件的情况等。第十一条 主要通过研讨会、访谈、问卷调查、情景分析、流 程风险辨识、 PEST 分析法等多种方法，辨识公司的风险，并对风 险事件及风险进行归类汇总，形成风险事件列表：（一）研讨会。组织公司风险管理与内部控制领导小组成员对 相关流程的风险进行集中讨论。 讨论中，小组成员应充

11、分发表意见， 确保被识别的风险全面、准确。同时，在进行讨论前，可通过发放 风险调查表等形式向相关部门收集在日常经营管理活动中，与风险 识别相关的情况、建议和意见；（二）访谈法。组织一到两名有一定经验的风险管理人员，编 成访谈小组，对相关部门熟悉业务流程的管理人员进行面对面的访 谈。在访谈之前应制定详细的访谈计划，列出与风险相关的若干访 谈提问题目。同时，应避免访谈人员对受访对象的影响，尽可能地 让受访人员独立发表意见；（三）问卷调查法。编制一套风险调查问卷，采取单项或多项 选择的方式，向相关管理人员或责任人员通过问卷调查，询问相关 流程的风险，在对问卷调查结果进行统计后，分析确定相关风险；（四

12、）情景分析法。通过有关数字、图表和曲线等方式，对公 司未来某个状态或某种情况进行详细地描绘和分析，从而识别引起 风险的关键因素以及影响程度；（五）流程图法。通过流程图帮助识别人员分析和了解风险所 处的具体环节及各个环节之间存在的风险以及风险的起因和影响；（六）PEST分析法。PEST分析法是分析宏观环境的有效工具，不仅能够分析外部环境，而且能够识别一切对组织有冲击作用的力 量。它是调查组织外部影响因素的方法，其每一个字母代表一个因 素，可以分为政治因素 （Political） 、经济因素 （Economic） 、社会因 素 （Social） 、技术因素 （Technological） 四大因素

13、，通过这四个因素 分析公司所面临的外部风险状况及影响大小；（七）征求专家意见。对风险进行初步识别后，可通过召开座 谈会、评审会等形式将风险数据库初稿向有关专家、 学者征求意见， 经过充分讨论后对风险数据库进行修改、完善。第四章 风险评估第十二条 风险识别后，风险管理与内部控制办公室应在各部 门配合下每季度对风险进行分析，主要针对风险辨识所得到的各个 风险事件的属性信息，根据风险评估的具体目标，运用定性和定量 相结合的方法，结合统计学原理，进行整理和综合性分析，最终确 定各个风险的重要性特征和基本属性特征，从而为风险评价提供依 据。第十三条 风险分析主要从风险发生的可能性和对公司目标的 影响程度

14、两个角度来分析，风险分析一般采用定性和定量相结合的 方法。经过风险分析后，确认出应当引起重视的风险和予以一般关 注的风险，对于需要重视的风险，再进一步划分，分别确认为“重 要风险”与“一般风险” 。（一）风险发生的可能性分析1.定性分析（1）风险发生的可能性划分标准。一般来讲，如果能够判断 相关风险发生的概率大于 0 但小于或等于 5% ，确定为风险“极小 可能发生”；如果风险发生的概率大于 5 但小于或等于 50 ，确 定为风险“可能发生” ；如果风险发生的概率大于 50 但小于或等 于 95 ，确定为风险 “很可能发生” ；如果风险发生的概率大于 95 但小于 100 ，确定为风险“基本确

15、定发生” 。（2）对于风险发生的概率的估计，一般考虑以下因素：一是 与风险相关的资产的变现能力 （主要指变现难易程度） ，如果资产变 现能力越强， 则风险发生的概率就高， 反之，风险发生的概率就低； 二是经营管理中人工参与的程度，凡是人工参与程度越高，而自动 化程度越低，则风险发生的概率就越高，反之，风险发生的概率就 低；三是经营管理中是否涉及大量的、繁杂的人工计算。凡是涉及 大量的、繁杂的人工计算，风险发生的概率就高，反之，风险发生 的概率就低。2.定量分析将风险事件发生的可能性按等级划分为 4 个等级，分别赋予 1 分至 4 分，以此表示可能性逐渐增加， 1 分表示该风险事件极小可 能发生

16、， 4 分表示该风险事件基本确定发生。（二）风险影响程度分析 风险分析中，除了进行风险发生可能性分析外，还要对风险影 响程度进行分析，主要针对风险对目标实现的负面影响程度，分为 定性分析和定量分析。1.定性分析 如果风险对于目标的实现产生直接的、决定性的影响，定义为 风险影响程度“大” ，如：财务会计报告未经过有效的审核，将会对 报告的真实性和准确性产生直接的、决定性的影响，因此，该项风 险被认定为影响程度“大” ；反之，如果风险对于目标的实现，只是 产生间接、非决定性的影响，定义为风险影响程度“小” ，如：没有 定期维修机器设备，对于财务会计报告的真实性、准确性只会产生 间接的、非决定性的影

17、响，因此，该项风险属于影响程度“小” 。同 样，影响程度可以更加细化为轻微、较小、较大、严重 4 个等级。 2.定量分析 在风险影响程度分析中，除运用定性分析外，还可运用定量分 析。即将影响程度分为 4 个等级，分别赋予 1 分至 4 分，表示影响 程度依次加强。 1 分代表影响程度很低， 4 分代表影响程度非常高。 结合投资行业特性和公司实际情况，公司风险事件的影响程度主要 从风险相关的资产或负债总额占总资产额的比例、风险相关的收支 对税前利润影响、投资内部收益率、运营、安全、环境等方面进行 评估。方法举例：（1）根据风险相关的资产或负债总额占总资产额的比例确定 风险等级。 一般认为， 如果

18、这一比例达到或超过 1% 但低于 2% ，该 项风险被认定为影响程度“较大” ，高于 2% ，则被认定为影响程度 “严重”；反之，低于 1% 高于 0.5% ，该项风险被认定为影响程度 “较小”，若低于 0.5% ，则被认定为影响程度“轻微” ；（ 2 ）根据风险相关的收支对税前利润的影响确定风险等级。 按照风险相关的收入或支出（含损失）占税前利润的比例来判断， 一般认为，如果这一比例达到或超过了 5% 但低于 10% ，该项风险 被认定为影响程度“较大” ，高于 10% ，则被认定为影响程度“严 重”；反之，低于 5% 高于 1% ，该项风险被认定为影响程度 “较小”， 若低于 1% ，则被

19、认定为影响程度“轻微” 。第十四条 重要风险与一般风险的判断标准 风险重要程度（风险水平）的判断主要根据风险发生的可能性 和影响程度来确定的，若定量描述，即风险重要程度是风险事件的 影响程度与发生可能性的乘积：（一）如果风险发生的可能性属于“极小可能发生”的，该风 险就可不被关注；（二）如果风险发生的可能性高于或等于 “可能发生” ，且风险 的影响程度小，就将该类风险确定为一般风险；（三）如果风险发生的可能性等于或高于 “风险可能发生” ，且 风险的影响程度大，就将该类风险确定为重要风险。第十五条 公司各部门应根据风险评估标准，结合本本部门业 务特点，每季度进行风险分析；风险管理与内部控制办公

20、室应每季 度组织各部门进行风险评估，计算风险水平，对风险进行排序，形 成风险评估报告。第十六条 风险接受程度风险接受程度是公司在追求目标实现过程中愿意接受的风险程 度，反映了公司的风险管理理念。公司在不同的发展阶段对风险可有不同的接受程度，不管采取 何种风险接受程度，都要保证公司发展目标的实现。第五章 风险应对第十七条 进行风险分析后，应根据风险分析结果，结合风险 发生的原因以及公司风险偏好和风险承受度，选择风险管控策略： 规避风险、接受风险、减少风险或分担风险。（一）规避风险：退出产生风险的各种活动；（二）减少风险：采取行动减少风险的可能性或降低风险影响 程度或两者同时降低；（三）分担风险：

21、通过将风险转移或者分担部分风险来减少风 险的可能性和影响；（四）接受风险：不采取任何行动去影响风险的可能性或影响。 第十八条 确定了风险管控策略后，各风险涉及部门或风险管 控策略实施部门应对其进行细化，采取相应的风险控制活动或风险 解决方案。第十九条 风险控制活动是指为了规避风险，实现公司目标， 确保管理层的指示得到贯彻执行而采取的行动。控制活动包括控制 政策和控制程序两个方面。第二十条 风险控制活动的分类（一）基于风险控制活动对应的公司目标不同，风险控制活动 分为：战略目标控制活动、经营控制活动、财务报告控制活动和合 规性控制活动；（二）基于风险控制活动的作用不同，风险控制活动分为：完 整性

22、控制、准确性控制、有效性控制和接触性控制；（三）基于风险控制活动的手段不同，风险控制活动分为：人 工控制和自动控制；（四）按照风险控制活动的内容不同，风险控制活动分为：公 司层面的控制和业务层面的控制。第二十一条 每季度进行风险分析评估后， 应制定风险应对措施，由风险管理与内部控制办公室组织各部门风险内控联络员制定风险 应对方案，各业务部门组织实施。第六章 风险监控第二十二条 风险监控是贯穿公司日常经营和管理活动的一项 重要工作，是保证风险战略得到贯彻执行的基本措施，是风险管理 基本流程在日常监管层面的应用。第二十三条 风险的监控预警（一）风险监控预警目标。公司通过对风险的动因分析和对公 司战

23、略目标的分解，确定关键业务活动中的风险因素对公司战略、 财务、市场、运营等目标的影响，将风险控制在可承受的范围内， 最终完成公司战略目标。（二）风险监控预警原则。公司风险监控预警应遵循及时性原 则和目标化原则，关注公司不同管理环节的指标变化，并实时捕捉 宏观经济趋势、 经济周期变化的外部因素和投融资能力、 项目进度、 现金流、人员设备等内部环境。结合风险量化模型和统计模型对其 进行分析和预测，对监控到的重大风险，提早准备应对方案和应急 预案。（三）风险监控预警指标选取。根据风险评估出的风险，找出 关键业务链上的监控指标。公司监控预警指标一般可选取项目投资 进度与成本、投资收益、质量、安全、环保

24、、国家产业政策与宏观调控等（四）风险监控预警指标分析。公司各职能部门应定期针对监 控预警指标进行现状分析、趋势分析和原因分析，监控预警指标变 化情况，分析变化原因。第七章 内部控制评价第二十四条 内部控制评价范围内部控制评价分为公司层面和业务层面， 公司层面对内部环境、 风险评估、控制活动、信息与沟通、内部监督等五个方面从内部控 制的设计有效性和运行有效性两方面进行全面系统评价。 业务层面， 对为确保战略目标、经营管理效率和效果、财务报告及相关信息真 实完整、资产安全、合法合规等单个或整体控制目标实现所设置的 内部控制活动进行评价。第二十五条 评价方法评价工作开展过程中，应综合运用抽样测试、个

25、别访谈、符合 性测试、调查问卷、穿行测试、比较分析、实地查验、召开专题讨 论会等方法，进行全面、客观的评价，以充分收集内部控制设计和 运行是否有效的证据。第二十六条 对于抽样测试工作，应针对具体业务流程，依据 其发生频率及固有风险的高低，按比例从确定的范围内抽取一定数 量的样本进行评价。根据业务特点不同，可采取随机抽样和非随机 抽样方法。具体抽样测试样本量标准为：（一）每月执行一次的业务或事项，抽样量应保持在 2-6 个之 间。（二）每周执行一次的业务或事项，抽样量应保持在 4-10 个 之间。（三）每日执行一次的业务或事项，抽样量应保持在 10-25 个 之间。（四）每日执行多次的业务或事项， 全年 10000 次以下的， 抽 样量应保持在 25-50 个之间；全年 10000 次以上的，抽样量应保 持在 50 个以上。（五）每季度执行一次的业务或事项，抽样量应不少于