内部管理风险管理及内部控制评价指引10月19日.pdfVIP

内部管理风险管理及内部控制评价 指引 10 月 19 日 风险管理及内部控制评价指引 第一节 总则 1．为规范集团公司及所属企业风险管理及内部控制评价工作， 持续促进企业提高风险管理及内部控制水平，特制订本指引。 2．本指引所称风险管理及内部控制评价，指由企业的决策层和 管理层要求的，对企业内部控制的设计完整性、执行遵循性和 效果进行评价，以评价时点的风险管理及内部控制设计与本手 册规定的标准差异来表示完整性，以抽样执行情况来表示遵循 性，以实现绩效目标所残余的风险来表示效果。 3．企业决策机构及其评价计委员会或风险管理委员会负责领导 本企业的风险管理及内部控制评价工作。监事会对评价进行监 督。 4．按照企业风险管理及内部控制评价主体分为独立评价和自我 评价，按照评价时点和范围分为年度评价和专项评价。 5．企业可以授权评价计和风险管理及内部控制机构组织和实施 独立评价工作。独立评价报告应当提交企业决策机构及其评价 计委员会或风险管理委员会评价议，责任单位应当落实整改意 见。 6.企业应当建立风险管理及内部控制评价信息系统，提高评价 工作效率，减少评价成本。 7.企业实施风险管理及内部控制评价应当遵循的原则： 7.1 风险导向原则。以目标差距和对标差距及其风险评估为基 础，确定重点评价对象、业务领域及其业务流程环节。 7.2 一致性原则。评价应当采用统一可比的评价指标体系和评 价方法，保证评价结果的可比性。 7.3 公允性原则。评价应当以事实为依据，评价结果应当有适 当的证据支持，所评价三级单位的数量和分布应当有抽样代表 性，能客观反映所归口二级单位的风险管理及内部控制情况。 7.4 独立性原则。评价工作应当与风险管理及内部控制设计与 运行相互分离。 7.5.兼顾效率和成本的原则。评价组织的人员应当精干、知识 和经验多元化，应当充分利用信息系统提高评价的效率。 8．本指引对评价内容、指标体系、评价类型、评价方法、评价 工作程序、评价成果运用做出了规定。 9．本指引适用于集团公司对所属单位的风险管理及内部控制评 价，集团公司所属各单位应当依据本指引和实际情况制定本单 位的评价办法，开展自我评价和组织对所属单位的风险管理及 内部控制评价。 第二节 评价的内容 对企业风险管理及内部控制情况应当评价以下四方面内容： 1．内部控制设计完整性。控制设计完整性是指企业各项控制措 施应当符合集团公司对规范风险管理及内部控制所要求的内部 环境、风险评估、控制活动、信息与沟通、内部监督 5 大要素 及其子要素的基本要求。实质就是合理的控制行为是否被允许， 不合理的控制行为是否被禁止。本指引所称控制措施主要包括 企业各项规章制度和管理文件及其所规定的规则和业务流程。 2．内部控制执行遵循性。内部控制执行遵循性是指各项管理活 动是否按照企业设计的内部控制要求来做，实质就是允许的控 制行为是否发生，禁止的控制行为是否被避免。 3．基于目标的风险。风险管理及内部控制效果是指被评价对象 在评价时点所实现的经营绩效与是目标绩效和标杆指标之间的 差距。差距越小，表明风险管理及内部控制效果就越好，实质 是以残余风险大小来表示效果。 4．对风险的预测。在以上三个方面评价数据和历史数据基础上， 对评价对象的单项指标和综合性指标数据发展趋势开展谨慎预 测。 第三节 评价类型 评价分为自我评价和独立性评价两类。 1．自我评价。自我评价是企业或业务职能部门结合自身业务范 围，确定评价内容和适用的评价指标，按照评价规则，规范开 展的风险管理及内部控制评价，企业或业务职能部门对所属企 业的开展的独立评价是自我评价主要组成部分。 2．独立性评价。独立性评价是由独立于被评价企业或业务职能 部门的内评价机构组织的风险管理及内部控制评价，是在被评 价企业或业务职能部门自我评价的结果基础的独立性评价。 第四节 评价指标体系 本评价体系对应上述 3 部分评价内容，由 3 个一级指标体系构 成，分别是风险管理及内部控制的设计完整性指标体系、执行 遵循性指标体系、效果性指标体系，各一级指标体系下设有二 级指标体系，二级指标下设有三级指标体系。 指标体系结构如下图。 1．内部控制设计完整性指标： 本手册第四章对集团公司 20 类 业务循环流程的 130 个风险管理及内部要点提出了控制要求， 表示了内部控制设计完整性，相应地由 130 个三级指标表征完 整性，作为内部控制设计完整性指标体系。如下图所示。 2.执行遵循性指标体系：执行遵循性指标体系与内