第三章 风险评估
第三十三条 不同的企业、同一企业在不同的时期以及同一企业内部不同的内部环境、业务层面和工作环节,可能面临不同的风险,企业应当按照立足实际、突出重点、体现差异、适应变化的原则,有针对性地开展风险评估。
风险,是指对实现内部控制目标可能产生负面影响的不确定性因素。
风险评估,是指及时识别、科学分析影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程。
第三十四条 风险评估一般应当按照目标设定、风险识别、风险分析、风险应对等程序进行。
第三十五条 目标设定是风险识别、风险分析和风险应对的前提。企业应当按照战略目标,设定相关的经营目标、财务报告目标、合规性目标与资产安全完整目标,并根据设定的目标合理确定企业整体风险承受能力和具体业务层次上的可接受的风险水平。
第三十六条 企业应当在充分调研和科学分析的基础上,准确识别影响企业内部控制目标实现的内部风险因素和外部风险因素。
应当关注的内部风险因素一般包括:高级管理人员职业操守、员工专业胜任能力、团队精神等人员素质因素;经营方式、资产管理、业务流程设计、财务报告编制与信息披露等管理因素;财务状况、经营成果、现金流量等基础实力因素;研究开发、技术投入、信息技术运用等技术因素;营运安全、员工健康、环境污染等安全环保因素。
应当关注的外部风险因素一般包括:经济形势、产业政策、资源供给、利率调整、汇率变动、融资环境、市场竞争等经济因素;法律法规、监管要求等法律因素;文化传统、社会信用、教育基础、消费者行为等社会因素;技术进步、工艺改进、电子商务等科技因素;自然灾害、环境状况等自然环境因素。
第三十七条 企业在进行风险识别时,可以采取座谈讨论、问卷调查、案例分析、咨询专业机构意见等方法识别相关的风险因素,特别应注意总结、吸取企业过去的经验教训和同行业的经验教训,加强对高危性、多发性风险因素的关注。
第三十八条 企业应当针对已识别的风险因素,从风险发生的可能性和影响程度两个方面进行分析。企业应当根据实际情况,针对不同的风险类别确定科学合理的定性、定量分析标准。
企业应当根据风险分析的结果,依据风险的重要性水平,运用专业判断,按照风险发生的可能性大小及其对企业影响的严重程度进行风险排序,确定应当重点关注的重要风险。
第三十九条 企业应当根据风险分析情况,结合风险成因、企业整体风险承受能力和具体业务层次上的可接受风险水平,确定风险应对策略。
风险应对策略一般包括风险回避、风险承担、风险降低和风险分担等。
企业对超出整体风险承受能力或者具体业务层次上的可接受风险水平的风险,应当实行风险回避。
企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险,在权衡成本效益之后无意采取进一步控制措施的,可以实行风险承担。
企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险,在权衡成本效益之后愿意单独采取进一步的控制措施以降低风险、提高收益或者减轻损失的,可以实行风险降低。
企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险,在权衡成本效益之后愿意借助他人力量,采取包括业务分包、购买保险等进一步的控制措施以降低风险、提高收益或者减轻损失的,可以实行风险分担。
风险应对策略与企业的具体业务或者事项相联系,不同的业务或事项可以采取不同的风险应对策略,同一业务或事项在不同的时期可以采取不同的风险应对策略,同一业务或事项在同一时期也可以综合运用风险降低和风险分担应对策略。
第四十条 企业按照规定的程序和方法开展风险评估后,可以结合业务流程、风险因素、重要性水平和风险应对策略,在对可能存在的风险进行分析的基础上,设立风险清单,建立企业风险数据库,为持续开展和不断改进风险评估提供充分、有效的数据支持。
企业应当重视风险评估的持续性,及时收集风险及与风险变化相关的各种信息,定期或者不定期地开展风险评估,适时更新、维护风险数据库。
第四章 控制措施
第四十一条 控制措施,是指企业根据风险评估结果,结合风险应对策略,确保内部控制目标得以实现的方法和手段。
第四十二条 企业应当综合运用控制措施实现对具体业务与事项的控制,合理保证将剩余风险控制在可接受水平之内。
剩余风险是指企业采取控制措施之后仍可能发生的风险。控制措施的运用,并不能保证企业可以杜绝全部风险,但可以合理保证将剩余风险控制在可接受水平之内,可以合理保证企业不出现内部控制的重大缺陷,可以合理保证企业内部控制目标的实现。
控制措施通常包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
第四十三条 职责分工控制要求根据企业目标和职能任务,按照科学、精简、高效的原则,合理设置职能部门和工作岗位,明确各部门、各岗位的职责权限,形成各司其职、各负其责、便于考核、相互制约的工作机制。
企业在确定职责分工过程中,应当充分考虑不相容职务相互分离的制衡要求。不相容职务通常包括:授权、批准、业务经办、会计记录、财产保管、稽核检查等。
企业应当根据各项经济业务与事项的流程和特点,系统、完整地分析、梳理执行该经济业务与事项涉及的不相容职务,并结合岗位职责分工采取分离措施。有条件的企业,可以借助计算机信息技术系统,通过权限设定等方式自动实现不相容职务的相互分离。
企业应当结合岗位特点和重要程度,明确财会等关键岗位员工轮岗的期限和有关要求,建立规范的岗位轮换制度,对关键岗位的员工,可以实行强制休假制度,并确保在最长不超过五年的时间内进行岗位轮换,防范并及时发现岗位职责履行过程中可能存在的重要风险,以强化职责分工控制的有效性。
第四十四条 授权控制要求企业根据职责分工,明确各部门、各岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容。企业内部各级管理人员必须在授权范围内行使职权和承担责任,业务经办人员必须在授权范围内办理业务。
授权一般包括常规性授权和临时性授权。常规性授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权,临时性授权是指企业在特殊情况、特定条件下进行的应急性授权。
企业可以根据常规性授权编制权限指引并以适当形式予以公布,提高权限的透明度,加强对权限行使的监督和管理。
企业应当加强对临时性授权的管理,规范临时性授权的范围、权限、程序、责任和相关的记录措施。有条件的企业,可以采用远程办公等方式逐步减少临时性授权。
企业对于金额重大、重要性高、技术性强、影响范围广的经济业务与事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策意见。
未经授权的部门和人员,不得办理企业各类经济业务与事项。
第四十五条 审核批准控制要求企业各部门、各岗位按照规定的授权和程序,对相关经济业务和事项的真实性、合规性、合理性以及有关资料的完整性进行复核与审查,通过签署意见并签字或者签章,做出批准、不予批准或者作其他处理的决定。
第四十六条 预算控制要求企业加强预算编制、执行、分析、考核等各环节的管理,明确预算项目,建立预算标准,规范预算的编制、审定、下达和执行程序,及时分析和控制预算差异,采取改进措施,确保预算的执行。
第四十七条 财产保护控制要求企业限制未经授权的人员对财产的直接接触和处置,采取财产记录、实物保管、定期盘点、账实核对、财产保险等措施,确保财产的安全完整。
第四十八条 会计系统控制要求企业依据《中华人民共和国会计法》、国家统一的会计制度,制定适合本企业的会计制度,明确会计凭证、会计账簿和财务报告以及相关信息披露的处理程序,规范会计政策的选用标准和审批程序,建立、完善会计档案保管和会计工作交接办法,实行会计人员岗位责任制,充分发挥会计的监督职能,确保企业财务报告真实、可靠和完整。
第四十九条 内部报告控制要求企业建立和完善内部报告制度,明确相关信息的收集、分析、报告和处理程序,及时提供业务活动中的重要信息,全面反映经济活动情况,增强内部管理的时效性和针对性。
内部报告方式通常包括例行报告、实时报告、专题报告、综合报告等。
第五十条 经济活动分析控制要求企业综合运用生产、购销、投资、财务等方面的信息,利用比较分析、比率分析、因素分析、趋势分析等方法,定期对企业经营管理活动进行分析,发现存在的问题,查找原因,并提出改进意见和应对措施。
第五十一条 绩效考评控制要求企业科学设置业绩考核指标体系,对照预算指标、盈利水平、投资回报率、安全生产目标等方面的业绩指标,对各部门和员工当期业绩进行考核和评价,兑现奖惩,强化对各部门和员工的激励与约束。
第五十二条 信息系统控制要求企业结合实际情况和计算机信息技术应用程度,建立与本企业经营管理业务相适应的信息化控制流程,提高业务处理效率,减少和消除人为操纵因素,同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全、有效运用。
第五十三条 企业应当以书面形式或者其他适当的形式,记录企业制定的控制措施,促进控制措施的有效执行。
企业应当完整收集、妥善保存控制措施实施过程中的相关记录或者资料,确保控制措施实施过程的可验证性。
第五章 信息与沟通
第五十四条 企业应当建立有效的信息收集系统和信息沟通渠道,确保与影响内部环境、风险评估、控制措施、监督检查有关的信息有效传递,促进企业董事会、管理层和员工正确履行相应的职责。
信息与沟通,是指及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程。
第五十五条 企业收集的信息应当真实、准确、完整、及时、相关。
第五十六条 企业应当准确识别、全面收集来源于企业外部及内部、与企业经营管理相关的财务及非财务信息,为内部控制的有效运行提供信息支持。
第五十七条 内部信息主要包括会计信息、生产经营信息、资本运作信息、人员变动信息、技术创新信息、综合管理信息等。
企业可以通过会计资料、经营管理资料、调查研究报告、会议记录纪要、专项信息反馈、内部报刊网络等渠道和方式获取所需的内部信息。
第五十八条 外部信息主要包括政策法规信息、经济形势信息、监管要求信息、市场竞争信息、行业动态信息、客户信用信息、社会文化信息、科技进步信息等。
企业可以通过立法监管部门、社会中介机构、行业协会组织、业务往来单位、市场调查研究、外部来信来访、新闻传播媒体等渠道和方式获取所需的外部信息。
第五十九条 企业应当采取互联网络、电子邮件、电话传真、信息快报、例行会议、专题报告、调查研究、员工手册、教育培训、内部刊物等多种方式,实现所需的内部信息、外部信息在企业内部准确、及时传递和共享,确保董事会、管理层和企业员工之间有效沟通。
有效的信息沟通需要合理考虑来自不同部门和岗位、不同渠道的相关信息进行合理筛选和相互核对。
第六十条 企业有责任建立良好的外部沟通渠道,对外部有关方面的建议、投诉和收到的其他信息进行记录,并及时予以处理、反馈。
外部沟通应当重点关注以下方面:
(一)与投资者和债权人的沟通。企业应当根据《中华人民共和国公司法》、《中华人民共和国证券法》等法律法规、企业章程的规定,通过股东大会、投资者会议、定向信息报告等方式,及时向投资者报告企业的战略规划、经营方针、投融资计划、年度预算、经营成果、财务状况、利润分配方案以及重大担保、合并分立、资产重组等方面的信息,听取投资者的意见和要求,妥善处理企业与投资者之间的关系。
(二)与客户的沟通。企业可以通过客户座谈会、走访客户等多种形式,定期听取客户对消费偏好、销售政策、产品质量、售后服务、货款结算等方面的意见和建议,收集客户需求和客户的意见,妥善解决可能存在的控制不当问题。
(三)与供应商的沟通。企业可以通过供需见面会、订货会、业务洽谈会等多种形式与供应商就供货渠道、产品质量、技术性能、交易价格、信用政策、结算方式等问题进行沟通,及时发现可能存在的控制不当问题。
(四)与监管机构的沟通。企业应当及时向监管机构了解监管政策和监管要求及其变化,并相应完善自身的管理制度;同时,认真了解自身存在的问题,积极反映诉求和建议,努力加强与监管机构的协调。
(五)与外部审计师的沟通。企业应当定期与外部审计师进行会晤,听取外部审计师有关财务报表审计、内部控制等方面的建议,以保证内部控制的有效运行以及双方工作的协调。
(六)与律师的沟通。企业可以根据法定要求和实际需要,聘请律师参与有关重大业务、项目和法律纠纷的处理,并保持与律师的有效沟通。
第六章 监督检查
第六十一条 监督检查,是指企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面检查报告并作出相应处理的过程。
企业应当利用信息与沟通情况,提高监督检查工作的针对性和时效性;同时,通过实施监督检查,不断提高信息与沟通的质量和效率。
第六十二条 企业应当加强对内部控制及其实施情况的监督检查。监督检查的方式主要包括持续性监督检查和专项监督检查等。
持续性监督检查,是指企业对建立和实施内部控制的整体情况所进行的连续的、全面的、系统的、动态的监督检查。
专项监督检查,是指企业对内部控制建立与实施的某一方面或者某些方面的情况所进行的不定期的、有针对性的监督检查。
持续性监督检查和专项监督检查应当有机结合。
第六十三条 企业董事会所属审计委员会、内部审计机构或者实际履行内部控制监督职责的其他有关机构应当根据国家法律法规要求和企业授权,采取适当的程序和方法,对内部控制的建立与实施情况进行监督检查,形成检查结论并出具书面检查报告。
履行内部控制监督检查职责的机构,应当加强队伍职业道德建设和业务能力建设,不断提高监督检查工作的质量和效率,树立并增强监督检查的权威性。
第六十四条 企业对在监督检查过程中发现的内部控制缺陷,应当采取适当的形式及时进行报告。对于监督检查中发现的重大缺陷或者重大风险,应当及时向董事长、审计委员会和经理汇报。
内部控制缺陷,是指内部控制的设计存在漏洞、不能有效防范错误与舞弊,或者内部控制的运行存在弱点和偏差、不能及时发现并纠正错误与舞弊的情形。重大缺陷,是指业已发现的内部控制缺陷可能严重影响财务报告的真实可靠和资产的安全完整。
第六十五条 企业应当分析内部控制缺陷产生的原因,并有针对性地提出和实施改进方案,不断健全和完善企业内部控制。
第六十六条 企业应当结合其内部控制,对在监督检查中发现的违反内部控制规定的行为,及时通报情况和反馈信息,并严格追究相关责任人的责任,维护内部控制的严肃性和权威性。
第六十七条 企业应当结合内部控制监督检查工作,定期对内部控制的健全性、合理性与有效性进行自我评估,形成书面评估报告。评估报告应当全面反映企业一定时期内建立与实施内部控制的总体情况。
内部控制自我评估的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等多种因素合理确定,但是至少应当每三年进行一次,法律、行政法规和有关监管规则另有规定的除外。
第六十八条 企业根据国家有关法律、行政法规或者有关监管规则的规定提交并披露(以财务报告为主的)内部控制自我评估报告时,至少应当在内部控制自我评估报告中披露以下内容:
(一)声明企业董事会对建立健全和有效实施内部控制负责,并履行了指导和监督职责,能够保证财务报告的真实可靠和资产的安全完整;
(二)声明已经遵循有关的标准和程序对内部控制设计与运行的健全性、合理性和有效性进行了自我评估;
(三)对开展内部控制自我评估所涉及的范围和内容进行简要描述;
(四)声明通过内部控制自我评估,可以合理保证本企业的内部控制不存在重大缺陷;
(五)如果在自我评估过程中发现内部控制存在重大缺陷,应当披露有关的重大缺陷及其影响,并专项说明拟采取的改进措施;
(六)保证除了已披露的内部控制重大缺陷之外,不存在其他重大缺陷;
(七)自资产负债表日至内部控制自我评估报告报出日之间(以下简称报告期内)如果内部控制的设计与运行发生重大变化的,应当说明重大变化情况及其影响。
依法应当披露的内部控制自我评估报告,经董事会审议批准后公布。 |
