企业内部控制制度之风险评估

风险评估第一节职责分离矩阵ABCDA×B×C×D××:表示需分离的职务职责说明：A：填写风险评估调查问卷B：审核并汇总问卷，形成风险事件排序表C：编写风险评估报告D：审核风险评估报告第二节风险控制矩阵序号控制环节控制目标主要风险主要风险类别控制频率控制重要性等级控制活动法律风险资产安全风险报告风险经营风险战略风险12345678910111208-01建立风险评估机制建立风险评估管理制度，有效开展风险评价。企业对于自身的风险处于未知状态√流程描述4.108-02目标设定建立战略目标、战略规划与业务计划，为有效进行事项识别、风险评估和风险应对奠定基础。公司没有建立战略目标、战略规划与业务计划，无法通过管理与控制措施，保证目标的实现。√流程描述4.208-03风险识别及时、准确、完整预期与识别关键风险点。现有业务及新增业务的风险未被及时、准确、完整识别。√√流程描述4.308-04风险分析科学评价风险未准确识别风险的高低程度与评价风险√流程描述4.408-05风险应对策略制定合理、准确、完整的风险应对策略。由于个人风险偏好给企业经营带来重大损失。√流程描述4.508-06风险应对策略严格审议和批准应对策略由于个人风险偏好给企业经营带来重大损失。√流程描述4.508-07风险应对策略合理运用风险应对策略公司无具体的风险应对方案，风险控制不完整。√流程描述4.508-08风险应对策略适时调整风险应对策略应对策略不能适应公司内外环境的变化，导致其不适用。√流程描述4.5第三节流程描述目的为加强**面业股份有限公司（以下简称公司）的风险管理，及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险承受度和风险应对策略。适用范围**面业股份有限公司。术语与定义风险：指未来的不确定性对企业实现其控制目标的影响。风险评估:公司及时识别、系统分析经营活动中影响企业内部控制目标实现的各种不确定因素，并合理确定风险应对策略的管理行为。风险评估包括目标设定、风险识别、风险分析和风险应对等程序。风险发生的可能性：指假定企业不采取任何措施去影响经营管理过程，将会发生风险概率的大小。风险承受度：是公司能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。风险识别：指对企业面临的尚未发生的潜在的各种风险进行系统的归类分析，从而加以认识与辨别的过程。关键控制活动建立风险管理机制风险评估应当由归口管理部门(审计部)组织有关职能部门和业务单位实施，也可聘请专业风险管理中介机构协助实施。由公司审计部负责制定公司的风险评估相关管理制度，明确规定风险管理的主体、对象、范围、内容、程序与方法等内容。目标设定企业层面的目标：通过董事会及员工的相互沟通，明确自身的发展目标和发展方向；制定实现目标的战略规划；制定符合企业中长期战略规划的年度经营计划及资金预算。业务层面的目标：业务层面根据自身的实际情况及总体目标的要求提出本单位的目标，通过上下不断沟通确定，并根据企业的发展变化定期更新业务活动的目标。在确定各业务单位的目标之后，合理分配人、财、物等保证目标实现的资源，并将目标分解至各具体的业务活动中，明确相应岗位的目标。公司按照《内部控制手册•发展战略》编制战略规划和按年滚动调整，保持公司战略计划与战略目标的一致性；按照《内部控制手册•全面预算管理》进行预算调整程序，保持业务计划、预算目标与公司战略及经营环境的一致性。风险识别相关职能部门、业务单位和内部控制管理部门应围绕公司战略目标以及风险管理要求，一方面通过感性认识和历史经验进行判断，另一方面通过对各种客观的资料和风险事故的记录进行分析、归纳和整理，以及必要的专家访问，找出各种明显和潜在的风险及其损失规律。由于风险具有可变性，风险识别需要风险管理者持续、系统地密切关注原有风险的变化，并随时发现新的风险。以便及时、准确、完整预期与识别风险及其来源与类别。本手册所指的风险类别及来源包括：环境风险：指影响公司实现其目标进而对公司生存构成威胁的外部力量，包括来自于竞争对手、股东关系、自然灾害、政策、法律监管、行业、金融市场、资本的可获得等方面的风险。过程风险：指影响公司内部业务过程有效实施，导致未能实现企业经营模式所规定的预计目标的内部力量。包括业务风险、财务风险、信息技术风险及综合风险等。决策所需信息风险：指企业据以制定决策的信息不充分、不及时、不正确或者与决策制定过程不相关的风险。企业层面的风险识别：从外部专家处获得风险意见：公司可从法律顾问、外部审计师等专业机构获得有关企业层面的风险意见，还可通过参加行业联合会，与同行业知名企业、咨询机构沟通的方式，获得更多、更全面的信息，从而更准确地识别企业层面的风险。从内部管理人员处获得风险意见：管理人员通过对企业所处的内外部环境进行分析，从而识别出可能存在的风险。包括对宏观环境、行业情况、竞争态势等外部环境方面的分析，以及对人力资源、财务资源、管理能力等自身资源及能力分析等，以识别影响企业战略目标实现的内部风险因素。业务层面的风险识别：从外部供应商、客户等相关利益方获取有关企业采购、生产、销售、技术发展等方面的信息，从中辨识存在的风险。从各业务部的管理人员反馈的日常管理过程中碰到的问题中识别其中存在的风险。公司审计部组织关键岗位人员识别和记录企业内、外部关键风险点，形成企业风险清单或风险库。风险评估公司应当着重关注影响本企业目标实现程度的特定因素，结合企业规模、经营的复杂性等，评估风险的可能性及其影响。公司评估风险的时间范围应与相关战略和目标的时间范围保持一致。时间范围越大，风险发生的可能性越大；不同时间段说对应风险发生的可能性是不同的。风险评估应将管理人员的主观判断与外部客观数据分析相结合，以增大风险评估的正确性。风险评估需要从风险发生的可能性及对企业目标的影响程度两个角度分析。公司审计部根据收集、整理的从公司内、外部获取的风险评估信息，编制风险评估调查问卷。风险评估调查问卷经分管领导批准后下发各相关单位填报，各单位应积极配合风险识别和分析工作、及时填写调查问卷，调查问卷经各单位负责人确认并签署后提交公司审计部。公司审计部收集整理风险评估调查问卷，并结合需要安排访谈、实地调研、专题会议等形式，获取相关单位或部门对风险评估的意见或建议。公司审计部根据收集、整理的反馈意见，采用定性与定量相结合的方法，根据风险发生的可能性（或频率、概率）、风险可能产生的影响、风险的重要性水平进行风险分析，并根据相关目标、风险发生的原因和风险重要性水平，将识别的风险进行分析和排序，确定关注重点和优先控制的风险，并结合实际情况作出适当的风险应对，提出采取不同的风险应对方案及明确风险管理责任部门的建议。风险应对策略公司审计部根据风险分析结果编制风险评估报告，依据内控管理要求和公司具体情况，提出风险应对策略和具体管控措施建议。风险评估报告经分管领导审查，必要时提交总经理办公会审议，若出现重大风险，应提交董事会审计委员会审议。对于重大风险，公司管理层应当研究制定风险解决方案，方案一般应包括风险解决的具体目标，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施。同时对公司相关制度流程进行增加、修订，以保障公司风险控制体系的完整性和有效性。审计部跟踪落实相关部门的风险应对方案，并对其实施进行监督，将风险控制贯穿于风险事件发生的各个阶段。公司如发生需要根据风险评估报告对《内部控制手册》进行修订的事项，公司企业管理部应组织相应单位或部门及时对《内部控制手册》相关内容进行修订，将修改意见提交董事会审计委员会审议通过后，提交董事会审议确认后下发实施。公司应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。第四节权限表工作事项审计部企业管理部各下属单位各下属单位负责人分