(完整版)风险管理与内部控制实施细则

XXX 公司
风险管理与内部控制实施细则
第一章总则
第一条为规范 XXX 公司(以下简称“公司”)的风险管理与内部控制工作，提高全员风险管理与内部控制意识和风险防范能力。

第二条公司风险管理与内部控制应遵循以下原则：
(一) 合规性原则。

遵守国家法律法规和证券监管机构的规定，符合公司章程。

(二)统一性原则。

建立统一的风险管理与内部控制机制，制定统一的风险评估方法和程序，规范内部控制方法和流程，统一组织开展风险评估工作，采用统一的工具和方法描述控制措施，制定统一的测试规范开展有效性评价。

(三)适应性原则。

符合经营管理需要，具有可操作性，并随着经营管理情况的变化而不断修订和完善。

(四) 成本效益原则。

尽量做到以合理的成本取得最佳的效益。

第二章风险管理与内部控制机构与职责
第三条公司成立风险管理与内部控制领导小组，组长由公司总经理担任，副组长由分管风险管理与内部控制领导担任，成员由公司各部门负责人组成。

领导小组下设风险管理与内部控制办公室，办公室设在合同管理部。

第四条公司风险管理与内部控制领导小组是公司风险管理与内部控制的决策机构，其在风险管理工作方面的主要职责：
(一)负责审定风险管理与内部控制组织机构设置及其职责；
(二)负责审定风险管理与内部控制的重慷慨针、政策、规章制度流程、相关标准、方法；
(三)审定内部控制体系框架及实施计划，指导和催促公司内控体系建设和运行工作的组织和实施；
(四)制定针对公司层面重大和主要风险的管控策略和风险解决方案，包括风险偏好和风险承受度；
(五)审批公司的风险解决方案、风险管理报告与内部控制评估报告，并提出修改意见；对公司突发的重大风险事件的事前、事中、事后的解决方案进行催促和指导；
(六)负责重要内控方案的审批并提供所需的资源；
(七)推动公司风险管理体系的监督和评价工作，检查内控部门职能发挥的有效性，确保公司全面风险管理体系运行的有效性；
(八)负责决定与内控有关的其他重大事项。

第五条风险管理与内部控制办公室在公司风险管理与内部控制领导小组的领导下，负责公司风险管理与内部控制日常工作，其主要职责：
(一)制定和完善公司风险管理与内部控制制度及其他风险管理相关工作流程和重要文档，统一和规范公司的风险管理与内部控制行为；
(二)协助和指导公司各部门按风险管理与内部控制相关制度开展工作；
(三)组织公司各部门汇总、整理、筛选、建立公司风险事件库，开展风险评估工作；
(四)协助和指导公司各部门开展重大风险管理策略的制定，协助公司各部门对重大风险解决方案的研究制定和落实执行；
(五)组织和开展公司重大风险解决方案落实执行情况的监督检查工作，配合公司的审核检查工作并具体落实公司管理体系运行的考核工作；
(六)根据上年度风险评估结果、风险管理体系建设和运行工作、内部控制评价工作开展情况，组织编制公司风险管理报告和内部控制评价报告，报送风险管理与内部控制领导小组批准；
(七)完成风险管理与内部控制领导小组授权的有关风险管理与内部控制的其他事项。

第六条公司各部门在风险管理和内部控制方面的主要职责：
(一)贯彻执行公司风险管理与内部控制相关制度，配合公司主管部门开展风险管理与内部控制体系建设工作；
(二)采集战略方面、财务方面、外部市场方面、运营方面、法律方面内外部信息，对本部门业务涉及的风险事件进行识别、归类，并定期维护和更新；
(三)根据提供的方法和工具，对本部门“风险数据库”中的各风险事件进行评估，并依据评估结果对风险高低进行排序和分类，
向合同管理部提交“风险评估结果”，并定期维护和更新；
(四)针对本部门的重点风险和公司提出的管理策略，制定相应的风险解决方案，向合同管理部提交本部门的风险解决方案；明确各风险解决方案的执行负责人、实施要求，并安排应有的资源支持；
(五)按照公司内部控制实施方案进行本部门内部控制工作，并编制本部门内部控制自评报告；
(六)对职责范围内风险管理活动，定期进行自评并提出改进建议，按照改进计划，执行改进实施方案。

第七条公司各部门设置风险内控联络员，具体负责本部门风险管理与内部控制工作的实施。

风险内控联络员主要职责：
(一)定期采集本部门风险信息，形成风险信息快报，制定风险应对措施，经部门负责人审定后，报送至公司风险管理主要责任部门。

(二)定期对本部门内部控制运行情况进行自我评价，形成自我评价报告，经部门负责人审定后，报送至公司内部控制主管部门。

(三)配合公司风险管理主要责任部门进行风险评估、分析，检查风险识别和应对情况。

(四)配合公司内部控制主要责任部门完成内部控制自我评价底稿填制工作，并提供本部门内部控制证据材料。

(五)在主要责任部门的组织下，参预上级单位组织的风险管理与内部控制各项管理工作。

第三章风险识别
第八条公司应每年度进行风险识别，采集风险信息并进行归类，建立风险信息库。

第九条公司各部门于每年 1 月份开展风险信息识别工作， 2 月份由公司合同管理部牵头组织各部门完成公司风险信息库的建立。

第十条公司各部门应从战略风险、财务风险、外部风险、运营风险、合规性风险等方面识别各类风险信息。

(一)战略风险方面，主要采集与公司相关的以下重要信息：
国内外宏观经济政策以及经济运行情况、国家产业政策、项目投资行业发展状况；与公司战略合作火伴的关系，未来寻求战略合作火伴的可能性；公司发展战略和规划、投融资计划、年度经营
目标、经营战略，以及编制这些战略、规划、计划、目标的有关
依据等；
(二)财务风险方面，主要采集以下重要信息(尽可能采集项目投资行业平均指标或者先进指标)：
负债、或者有负债、负债率、偿债能力；现金流、应收账款及其占销售收入的比重、资金周转率；资产财务状况；预算及预算
指标执行情况；管理费用、财务费用、营业费用；盈利能力；经
审计的财务报表及财务情况说明；成本核算、资金结算和现金管
理业务中曾经发生或者易发生错误的业务流程或者环节等；
(三)外部风险方面，主要采集以下重要信息：
国资委对国有企业的相关政策、税收政策和利率、汇率；潜在
竞争者、竞争者情况；
(四)运营风险方面，主要采集以下重要信息：
公司法人管理机构、组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验；投资业务、质量、安全、环保、信息安全、项目运营等管理中曾经发生或者易发生失误的业务流程或者环节；因公司内、外部人员的道德风险导致公司遭受损失或者业务控制系统失灵；给公司造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险；对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进；公司风险管理的现状和能力等；
(五)合规性风险方面，主要采集以下重要信息：
国内外与公司相关的政治、法律环境；影响公司的新法律法规和政策；员工道德操守的遵从性；公司签订的重大协议和合同；公司发生重大法律纠纷案件的情况等。

第十一条主要通过研讨会、访谈、问卷调查、情景分析、流程风险辨识、 PEST 分析法等多种方法，辨识公司的风险，并对风险事件及风险进行归类汇总，形成风险事件列表：
(一)研讨会。

组织公司风险管理与内部控制领导小组成员对相关流程的风险进行集中讨论。

讨论中，小组成员应充分发表意见，确保被识别的风险全面、准确。

同时，在进行讨论前，可通过发放风险调查表等形式向相关部门采集在日常经营管理活动中，与风险识别相关的情况、建议和意见；
(二)访谈法。

组织一到两名有一定经验的风险管理人员，编成访谈小组，对相关部门熟悉业务流程的管理人员进行面对面的访谈。

在访谈之前应制定详细的访谈计划，列出与风险相关的若干访谈提问题目。

同时，应避免访谈人员对受访对象的影响，尽可能地让受访人员独立发表意见；
(三)问卷调查法。

编制一套风险调查问卷，采取单项或者多项选择的方式，向相关管理人员或者责任人员通过问卷调查，问询相关流程的风险，在对问卷调查结果进行统计后，分析确定相关风险；
(四)情景分析法。

通过有关数字、图表和曲线等方式，对公司未来某个状态或者某种情况进行详细地描绘和分析，从而识别引起风险的关键因素以及影响程度；
(五)流程图法。

通过流程图匡助识别人员分析和了解风险所处的具体环节及各个环节之间存在的风险以及风险的起因和影响；
(六)PEST 分析法。

PEST 分析法是分析宏观环境的有效工具，不仅能够分析外部环境，而且能够识别一切对组织有冲击作用的力量。

它是调查组织外部影响因素的方法，其每一个字母代表一个因素，可以分为政治因素 (Political)、经济因素(Economic)、社会因素(Social)、技术因素 (Technological)四大因素，通过这四个因素分析公司所面临的外部风险状况及影响大小；
(七)征求专家意见。

对风险进行初步识别后，可通过召开座谈会、评审会等形式将风险数据库初稿向有关专家、学者征求意见，经过充分讨论后对风险数据库进行修改、完善。

第四章风险评估
第十二条风险识别后，风险管理与内部控制办公室应在各部门配合下每季度对风险进行分析，主要针对风险辨识所得到的各个风险事件的属性信息，根据风险评估的具体目标，运用定性和定量相结合的方法，结合统计学原理，进行整理和综合性分析，最终确定各个风险的重要性特征和基本属性特征，从而为风险评价提供依据。

第十三条风险分析主要从风险发生的可能性和对公司目标的影响程度两个角度来分析，风险分析普通采用定性和定量相结合的方法。

经过风险分析后，确认出应当引起重视的风险和予以普通关注的风险，对于需要重视的风险，再进一步划分，分别确认为“重要风险”与“普通风险”。

(一)风险发生的可能性分析
1.定性分析
( 1 )风险发生的可能性划分标准。

普通来讲，如果能够判断
相关风险发生的概率大于 0 但小于或者等于 5% ，确定为风险“极小可能发生”；如果风险发生的概率大于5％但小于或者等于50％，确定为风险“可能发生”；如果风险发生的概率大于 50％但小
于或者等于 95％，确定为风险“很可能发生”；如果风险发生的概
率大于 95％但小于 100％，确定为风险“基本确定发生” 。

( 2 )对于风险发生的概率的估计，普通考虑以下因素：一是
与风险相关的资产的变现能力(主要指变现难易程度)，如果资产变
现能力越强，则风险发生的概率就高，反之，风险发生的概率就低；二是经营管理中人工参预的程度，凡是人工参预程度越高，而自动化程度越低，则风险发生的概率就越高，反之，风险发生的概率就低；三是经营管理中是否涉及大量的、繁杂的人工计算。

凡是涉及大量的、繁杂的人工计算，风险发生的概率就高，反之，风险发生的概率就低。

2.定量分析
将风险事件发生的可能性按等级划分为 4 个等级，分别赋予 1 分至 4 分，以此表示可能性逐渐增加， 1 分表示该风险事件极小可能发生， 4 分表示该风险事件基本确定发生。

(二)风险影响程度分析
风险分析中，除了进行风险发生可能性分析外，还要对风险影响程度进行分析，主要针对风险对目标实现的负面影响程度，分为定性分析和定量分析。

1.定性分析
如果风险对于目标的实现产生直接的、决定性的影响，定义为风险影响程度“大”，如：财务会计报告未经过有效的审核，将会对报告的真实性和准确性产生直接的、决定性的影响，因此，该项风险被认定为影响程度“大”；反之，如果风险对于目标的实现，只是产生间接、非决定性的影响，定义为风险影响程度“小”，如：没有定期维修机器设备，对于财务会计报告的真实性、准确性只会产生间接的、非决定性的影响，因此，该项风险属于影响程度“小”。

同
样，影响程度可以更加细化为轻微、较小、较大、严重 4 个等级。

2.定量分析
在风险影响程度分析中，除运用定性分析外，还可运用定量分析。

即将影响程度分为 4 个等级，分别赋予 1 分至 4 分，表示影响程度挨次加强。

1 分代表影响程度很低，4 分代表影响程度非常高。

结合投资行业特性和公司实际情况，公司风险事件的影响程度主要从风险相关的资产或者负债总额占总资产额的比例、风险相关的收支对税前利润影响、投资内部收益率、运营、安全、环境等方面
进行评估。

方法举例：
( 1 )根据风险相关的资产或者负债总额占总资产额的比例确
定风险等级。

普通认为，如果这一比例达到或者超过1%但低于2%，该项风险被认定为影响程度“较大”，高于 2% ，则被认定为影
响程度“严重”；反之，低于 1%高于 0.5% ，该项风险被认定为
影响程度“较小”，若低于 0.5% ，则被认定为影响程度“轻微” ；
( 2 )根据风险相关的收支对税前利润的影响确定风险等级。

按照风险相关的收入或者支出(含损失)占税前利润的比例来判断，普通认为，如果这一比例达到或者超过了 5%但低于 10% ，该项风险被认定为影响程度“较大”，高于 10% ，则被认定为影响程度“严重”；反之，低于 5%高于 1%，该项风险被认定为影响程度“较小”，若低于 1% ，则被认定为影响程度“轻微” 。

第十四条重要风险与普通风险的判断标准
风险重要程度(风险水平)的判断主要根据风险发生的可能性
和影响程度来确定的，若定量描述，即风险重要程度是风险事件的影响程度与发生可能性的乘积：
(一)如果风险发生的可能性属于“极小可能发生”的，该风险就可不被关注；
(二)如果风险发生的可能性高于或者等于“可能发生”，且风险的影响程度小，就将该类风险确定为普通风险；
(三)如果风险发生的可能性等于或者高于“风险可能发生”，且风险的影响程度大，就将该类风险确定为重要风险。

第十五条公司各部门应根据风险评估标准，结合本本部门业务特点，每季度进行风险分析；风险管理与内部控制办公室应每季度组织各部门进行风险评估，计算风险水平，对风险进行排序，形成风险评估报告。

第十六条风险接受程度
风险接受程度是公司在追求目标实现过程中愿意接受的风险程度，反映了公司的风险管理理念。

公司在不同的发展阶段对风险可有不同的接受程度，不管采取何种风险接受程度，都要保证公司发展目标的实现。

第五章风险应对
第十七条进行风险分析后，应根据风险分析结果，结合风险发生的原因以及公司风险偏好和风险承受度，选择风险管控策略：规避风险、接受风险、减少风险或者分担风险。

(一)规避风险：退出产生风险的各种活动；
(二)减少风险：采取行动减少风险的可能性或者降低风险影响程度或者两者同时降低；
(三)分担风险：通过将风险转移或者分担部份风险来减少风险的可能性和影响；
(四)接受风险：不采取任何行动去影响风险的可能性或者影响。

第十八条确定了风险管控策略后，各风险涉及部门或者风险管控策略实施部门应对其进行细化，采取相应的风险控制活动或
者风险解决方案。

第十九条风险控制活动是指为了规避风险，实现公司目标，确保管理层的指示得到贯彻执行而采取的行动。

控制活动包括控制政策和控制程序两个方面。

第二十条风险控制活动的分类
(一)基于风险控制活动对应的公司目标不同，风险控制活动分为：战略目标控制活动、经营控制活动、财务报告控制活动和合规性控制活动；
(二)基于风险控制活动的作用不同，风险控制活动分为：完整性控制、准确性控制、有效性控制和接触性控制；
(三)基于风险控制活动的手段不同，风险控制活动分为：人工控制和自动控制；
(四)按照风险控制活动的内容不同，风险控制活动分为：公司层面的控制和业务层面的控制。

第二十一条每季度进行风险分析评估后，应制定风险应对措施，由风险管理与内部控制办公室组织各部门风险内控联络员制定风险应对方案，各业务部门组织实施。

第六章风险监控
第二十二条风险监控是贯通公司日常经营和管理活动的一项重要工作，是保证风险战略得到贯彻执行的基本措施，是风险管理基本流程在日常监管层面的应用。

第二十三条风险的监控预警
(一)风险监控预警目标。

公司通过对风险的动因分析和对公司战略目标的分解，确定关键业务活动中的风险因素对公司战略、财务、市场、运营等目标的影响，将风险控制在可承受的范围内，最终完成公司战略目标。

(二)风险监控预警原则。

公司风险监控预警应遵循及时性原则和目标化原则，关注公司不同管理环节的指标变化，并实时捕捉宏观经济趋势、经济周期变化的外部因素和投融资能力、项目进度、现金流、人员设备等内部环境。

结合风险量化模型和统计模型对其进行分析和预测，对监控到的重大风险，提早准备应对方案和应急预案。

(三)风险监控预警指标选取。

根据风险评估出的风险，找出关键业务链上的监控指标。

公司监控预警指标普通可选取项目投资进度与成本、投资收益、质量、安全、环保、国家产业政策与宏观
调控等。

(四)风险监控预警指标分析。

公司各职能部门应定期针对监控预警指标进行现状分析、趋势分析和原因分析，监控预警指标变化情况，分析变化原因。

第七章内部控制评价
第二十四条内部控制评价范围
内部控制评价分为公司层面和业务层面，公司层面对内部环境、风险评估、控制活动、信息与沟通、内部监督等五个方面从内部控制的设计有效性和运行有效性两方面进行全面系统评价。

业务层面，对为确保战略目标、经营管理效率和效果、财务报告及相关信息真实完整、资产安全、合法合规等单个或者整体控制目标实现所设置的内部控制活动进行评价。

第二十五条评价方法
评价工作开展过程中，应综合运用抽样测试、个别访谈、符合性测试、调查问卷、穿行测试、比较分析、实地查验、召开专题讨论会等方法，进行全面、客观的评价，以充分采集内部控制设计和运行是否有效的证据。

第二十六条对于抽样测试工作，应针对具体业务流程，依据其发生频率及固有风险的高低，按比例从确定的范围内抽取一定数量的样本进行评价。

根据业务特点不同，可采取随机抽样和非随机抽样方法。

具体抽样测试样本量标准为：
(一)每月执行一次的业务或者事项，抽样量应保持在 2-6 个之间。

(二)每周执行一次的业务或者事项，抽样量应保持在 4-10 个之间。

(三)每日执行一次的业务或者事项，抽样量应保持在10-25 个之间。

(四)每日执行多次的业务或者事项，全年10000 次以下的，抽样量应保持在 25-50 个之间；全年 10000 次以上的，抽样量应保持在 50 个以上。

(五)每季度执行一次的业务或者事项，抽样量应不少于 2 个。

(六)每年或者没半年执行一次的业务或者事项，抽样量应不
少于
1 个。

第二十七条内部控制评价程序
(一)公司各部门应依据公司所处的经营环境及包含的内部控制范围，定期对其业务和管理流程进行回顾、梳理，于每年年初制定内部控制评价实施方案，编制内部控制自我评价底稿，经本单位董事会或者领导机构批准后实施。

(二)公司各部门在合同管理部的指导下每半年进行一次内部控制自我评价，形成内部控制自我评价报告，报送至风险管理与内部控制办公室。

(三)风险管理与内部控制办公室组织各部门风险内控联络员对各部门提交的自我评价报告进行复核，提出内部控制缺陷，反馈
至自我评价报告提交部门。

(四)公司各部门按照整改意见对本部门存在的内部控制缺陷进行整改，并在一个月内将整改结果报送至风险管理与内部控制办公室。

(五)风险管理与内部控制办公室组织风险内控联络员汇总各部门内部控制自我评价情况，形成公司自我评价报告，上报公司风险管理与内部控制领导小组，并经公司董事会批准后上报投资公司。

(六)在风险管理与内部控制办公室组织指导下，各部门按照内部控制自我评价缺陷及投资公司复核提出的缺陷进行整改，风险管理与内部控制办公室汇总整改结果上报投资公司。

第八章内部控制改进
第二十八条为了及时消除自我评估工作中发现的管控缺陷，公司应加强对管控体系的持续改进，全面提升公司管理水平，形成内控促进管理、管理推动内控的互动机制。

第二十九条内部控制改进的实施程序
(一)公司各部门应基于对内控自我评估中发现的管控缺陷，在风险管理与内部控制办公室的牵头组织下，制定有效的改进实施方案；
(二)公司各部门应根据公司批准的改进计划，开展改进工作，确保完成改进目标；
(三)风险管理与内部控制办公室应跟踪和检查实施效果，对。