风险管理及内部控制评价指引.pdf

风险管理及内部控制评价指引 第一节 总则 1．为规范集团公司及所属企业风险管理及内部控制评价工作， 持续促进企业提高风险管理及内部控制水平，特制订本指引。 2 ．本指引所称风险管理及内部控制评价，指由企业的决策层 和管理层要求的，对企业内部控制的设计完整性、执行遵循性 和效果进行评价，以评价时点的风险管理及内部控制设计与本 手册规定的标准差异来表示完整性，以抽样执行情况来表示遵 循性，以实现绩效目标所残余的风险来表示效果。 3 ．企业决策机构及其评价计委员会或风险管理委员会负责领 导本企业的风险管理及内部控制评价工作。监事会对评价进行 监督。 4 ．按照企业风险管理及内部控制评价主体分为独立评价和自 我评价，按照评价时点和范围分为年度评价和专项评价。 5 ．企业可以授权评价计和风险管理及内部控制机构组织和实 施独立评价工作。独立评价报告应当提交企业决策机构及其评 价计委员会或风险管理委员会评价议，责任单位应当落实整改 意见。 6.企业应当建立风险管理及内部控制评价信息系统，提高评价 工作效率，减少评价成本。 7.企业实施风险管理及内部控制评价应当遵循的原则： 7.1 风险导向原则。以目标差距和对标差距及其风险评估为基 础，确定重点评价对象、业务领域及其业务流程环节。 7.2 一致性原则。评价应当采用统一可比的评价指标体系和评 价方法，保证评价结果的可比性。 7.3 公允性原则。评价应当以事实为依据，评价结果应当有适 当的证据支持，所评价三级单位的数量和分布应当有抽样代表 性，能客观反映所归口二级单位的风险管理及内部控制情况。 7.4 独立性原则。评价工作应当与风险管理及内部控制设计与 运行相互分离。 7.5.兼顾效率和成本的原则。评价组织的人员应当精干、知识 和经验多元化，应当充分利用信息系统提高评价的效率。 8 ．本指引对评价内容、指标体系、评价类型、评价方法、评 价工作程序、评价成果运用做出了规定。 9 ．本指引适用于集团公司对所属单位的风险管理及内部控制 评价，集团公司所属各单位应当依据本指引和实际情况制定本 单位的评价办法，开展自我评价和组织对所属单位的风险管理 及内部控制评价。 第二节 评价的内容 对企业风险管理及内部控制情况应当评价以下四方面内 容： 1．内部控制设计完整性。控制设计完整性是指企业各项控制 措施应当符合集团公司对规范风险管理及内部控制所要求的内 部环境、风险评估、控制活动、信息与沟通、内部监督 5 大要 素及其子要素的基本要求。实质就是合理的控制行为是否被允 许，不合理的控制行为是否被禁止。本指引所称控制措施主要 包括企业各项规章制度和管理文件及其所规定的规则和业务流 程。 2 ．内部控制执行遵循性。 内部控制执行遵循性是指各项管理 活动是否按照企业设计的内部控制要求来做，实质就是允许的 控制行为是否发生，禁止的控制行为是否被避免。 3 ．基于目标的风险。风险管理及内部控制效果是指被评价对 象在评价时点所实现的经营绩效与是目标绩效和标杆指标之间 的差距。差距越小，表明风险管理及内部控制效果就越好，实 质是以残余风险大小来表示效果。 4 ．对风险的预测。在以上三个方面评价数据和历史数据基础 上，对评价对象的单项指标和综合性指标数据发展趋势开展谨 慎预测。 第三节 评价类型 评价分为自我评价和独立性评价两类。 1．自我评价。自我评价是企业或业务职能部门结合自身业务 范围，确定评价内容和适用的评价指标，按照评价规则，规范 开展的风险管理及内部控制评价，企业或业务职能部门对所属 企业的开展的独立评价是自我评价主要组成部分。 2 ．独立性评价。独立性评价是由独立于被评价企业或业务职 能部门的内评价机构组织的风险管理及内部控制评价，是在被 评价企业或业务职能部门自我评价的结果基础的独立性评价。 第四节 评价指标体系 本评价体系对应上述 3 部分评价内容，由 3 个一级指标体系构 成，分别是风险管理及内部控制的设计完整性指标体系、执行 遵循性指标体系、效果性指标体系，各一级指标体系下设有二 级指标体系，二级指标下设有三级指标体系。 指标体系结构如下图。 1．内部控制设计完整性指标： 本手册第四章对集团公司 20 类业务循环流程的 130 个风险管理及内部要点提出了控制要 求，表示了内部控制设计完整性，相应地由 130 个三级指标表 征完整性，作为内部控制设计完整性指标体系。如下图所示。 2.执行遵循性指标体系：执行遵循性指标体系与内部控制设计 完整性指标一一对应，共有 130 个执行情况的三级指标体系。