(2)业务经办职务与审核监督职务要分离; (3)业务经办职务与会计记录职务要分离; (4)财产保管职务与会计记录职务要分离; (5)业务经办职务与财产保管职务要分离。 3.6 人力资源政策及实施
人力资源政策及实务是挽留和补充人才,保证企业计划实施和目标实现的关键因素,内控体系要求人力资源政策及实务的标准要求要涵盖人事管理、薪酬管理、候选人考察、违规行为处理及培训管理等方面。 3.6.1 人力资源政策和指引
应建立人力资源政策与指引,并由公司管理层审批。 现有人力资源政策和程序可以招聘并发展有能力、可信的人员,能够支持有效的内部控制系统,并对招聘和培训合适人员的关注程度是适当的。 3.6.2 员工责任和目标
员工应意识到他们的工作职责和公司对他们的期望。 3.6.3 违规行为的纠正措施
管理层对工作失职的行为应采取适当的措施,对违反政策的行为有适当的纠正措施。 3.6.4 道德标准的遵从
人力资源政策与相应的道德标准一致,诚信和道德价值是员工评价的一项标准。 3.6.5 核查候选人或继任者的背景
对频繁更换工作和职业背景相差很大的候选人要仔细核查,雇佣政策要包括对犯罪记录的调查。
4 风险管理
4.1 风险管理内容
风险管理不是孤立分配给风险管理部门的任务和责任,董事会、公司管理层、公司各职能部门、公司下属各单位都要把风险管理的各项工作融人到企业管理和各项业务流程及其管理制度中去,重点要做好战略发展、投资收购、财务管理及报告、安全生产、环境和职业健康、燃料管理、金融产品的交易、法律事务、内部审计等的风险管理工作。
(1)风险评估的前提条件是设立目标。设立目标是管理过程重要的一部分,它是风险管理的要素之一,是内部控制得以实施的先决条件。 (2)识别与上述目标相关的风险。
(3)评估上述被识别风险的后果和可能性,划分重要业务单位、流程、资产设备等,一旦确定了主要的风险因素,管理层就可以考虑它们的重要程度,并尽可能将这些风险因素与业务活动联系起来。
(4)针对风险的结果,考虑适当的控制活动。 4.2 风险管理目的
从组织结构上看,形成三道风险屏障,公司各业务职能部门和公司所属各单位形成第一道屏障,内控职能部门和公司管理层形成第二道屏障,内控职能部门和董事会下设的投资及风险控制委员会、审核委员会形成第三道屏障;从管理流程来看,风险管理成为内控体系及其制度体系的主要支撑,形成公司良好的风险管理文化。
公司各项管理活动和风险管理应该关联内容的参考标准见下表。
公司各项管理活动和风险管理应该关联内容的参考标准
序号 1 2 3 4 5 6 7 管理活动 确定战略 选择公司和所属公司的发展目标和阶段性 实施目标 识别风险和分析风险 管理风险 控制活动 信息与沟通 监督 风险管理关联内容 在战略规划过程中运用企业风险管理方法 在建立目标过程中运用企业风险管理方法 在公司层面和所属公司层面上建立定量的风险偏好和设定风险容忍度,定义潜在事件;评估风险影响和可能性 定义、评估风险,列示出重大关键事务排序,制定风险应对措施 考虑风险管理 考虑风险管理 监控公司和所属公司的风险管理要素是否存在及发生的实际作用 4.3 风险管理信息的采集
公司实行全面风险管理,应持续不断地收集与本公司风险和风险管理相关的内 部、外部初始信息,包括历史数据和未来预测数据,把收集初始信息的职责分工落实到有关职能管理部门和下属业务单位,必要时,按照效益大于成本的原则也可以把某项信息采集工作外包。 4.3.1 战略风险信息采集至少收集以下战略信息,并包含因战略风险导致企业受损失的案例:
(1)国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策; (2)科技进步、技术创新的有关内容; (3)市场对本企业产品的需求;
(4)与公司战略合作伙伴的关系,未来寻求战略合作伙伴的可能性; (5)本公司主要客户、供应商及竞争对手的有关情况; (6)与主要竞争对手相比,本公司实力与差距;
(7)本公司发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据;
(8)本公司对外投融资流程中曾发生或易发生错误的业务流程或环节。
4.3.2 财务风险信息采集至少收集以下财务信息(其中有行业平均指标或先进指标 的,也应尽可能收集),并包含因财务风险导致公司危机的案例: (1)负债、或有负债、负债率、偿债能力;
(2)现金流、应收账款及其占销售收入的比重、资金周转率;
(3)产品存货及其占销售成本的比重、应付账款及其占购货额的比重; (4)生产成本和管理费用、财务费用、营业费用; (5)盈利能力;
(6)成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节; (7)与本公司相关的行业会计政策、会计估算、与国际会计制度的差异与调节信息; (8)环保费用、政策优惠费用。
4.3.3 市场风险信息采集在市场风险方面,公司应广泛收集国内外公司忽视市场风险、缺乏应对措施导致公司蒙受损失的案例,并至少收集与本公司相关的以下重要信息: (1)产品的价格及供需变化;
(2)原材料、辅助材料等物资供应的充足性、稳定性和价格变化; (3)税收政策和利率、汇率、股票价格指数的变化; (4)潜在竞争者、竞争者及其主要产品情况。
4.3.4 运营风险信息采集在运营风险方面,应至少收集与本公司、本行业相关的以下信息:
(1)资产结构、产品结构、设备先进程度、设备健康状态、能耗;
(2)新项目的市场营销策略,包括产品定价与销售渠道,市场营销环境状况等;
(3)公司组织效能、管理现状、企业文化,高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验;
(4)质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节,相应的经验反馈;
(5)因公司内、外部人员的道德风险致使公司遭受损失或业务控制系统失灵; (6)对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力; (7)公司风险管理的现状和能力;
(8)给公司造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险。
4.3.5 法律风险信息采集公司应广泛收集国内外公司忽视法律法规风险、缺乏应对措施导致公司蒙受损失的案例,并至少收集与本公司相关的以下信息: (1)国内外与本公司相关的政治、法律环境; (2)影响公司的新法律法规和政策; (3)员工道德操守的遵从性;
(4)本公司签订的重大协议和有关贸易合同; (5)本公司发生重大法律纠纷案件的情况; (6)公司和竞争对手的知识产权情况。
4.3.6 对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合,以便进行风险评估。
4.4 风险评估
公司对采集的风险管理信息和公司各项业务管理及其重要业务流程进行风险评估,风险评估包括风险辨识、风险分析、风险评价三个基本环节,风险评估结果要在各项业务管理中充分应用。
风险评估的内控标准参考如下:
(1)公司层面应综合考虑组合风险,全面评估风险,风险评估应由公司组织有关职能部门和业务单位实施,也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。
(2)风险辨识是指查找公司各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对公司实现目标的影响程度、风险的价值等。
(3)进行风险辨识、分析、评价,应将定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论、计算机模拟、失效模式与影响分析、事件树分析等方法。
(4)进行风险定量评估时,应统一制定各风险的度量单位和风险度量模型,并通过测试等方法,确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。要根据环境的变化,定期对假设前提和参数进行复核和修改,并将定量评估系统的估算结果与实际效果对比,据此对有关参数进行调整和改进。
(5)风险分析应包括风险之间的关系分析,以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应,从风险策略上对风险进行统一集中管理。
(6)公司在评估多项风险时,应根据对风险发生可能性的高低和对目标的影响程度的评估,绘制风险坐标图,对各项风险进行比较,初步确定对各项风险的管理优先顺序和策略。
(7)公司应对风险管理信息实行动态管理,定期或不定期实施风险辨识、分析、评价,以便对新的风险和原有风险的变化重新评估。 4.5 风险管理策略
风险管理策略,指公司根据自身条件和外部环境,围绕公司发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。
4.5.1 风险管理的应对策略选择
公司应考虑所有评估出的高风险(比例应占10%-20%)的风险反应方案,为风险反应方案的选择提供广泛的空间,特别是对战略、财务、生产运营和法律风险,应采取风险承担、风险规避、风险转换、风险控制等方法。 4.5.2 制定风险预警线(容忍程度)
(1)公司应根据不同业务特点统一确定风险偏好和风险承受度,即公司愿意承担哪些风险,明确风险的最低限度和不能超过的最高限度,并据此确定风险的预警线及相应采取的对策。
(2)确定风险偏好和风险承受度,要正确认识和把握风险与收益的平衡,防止和纠正忽视风险,片面追求收益而不讲条件、范围,认为风险越大、收益越高的观念和做法;同时,也要防止单纯为规避风险而放弃发展机遇。 4.5.3 风险管理实施保障
(1)公司应根据风险与收益相平衡的原则,进一步确定风险管理的优选顺序。
(2)明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。
4.5.4 优化改进
公司应定期总结和分析已制定的风险管理策略的有效性和合理性,结合实际不断修订和完善。其中,应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效,并提出定性或定量的有效性标准。 4.6 风险应对措施
公司应根据风险管理策略,针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如关键风险指标管理、损失事件管理等)。
公司制定风险管理解决的外包方案,应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等,并制定相应的预防和控制措施。
公司制定风险解决的内控方案,应满足合规的要求,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。
4.6.1 关键岗位授权和审批
(1)建立关键岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围
和额度等,任何组织和个人不得超越授权做出风险性决定。
(2)建立内控批准制度。对内控所关注的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任。 4.6.2 内控报告
建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等。 4.6.3 明确内控责任
建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度。 4.6.4 审计监督
建立内控审计监督制度。结合内控的有关要求、方法、标准与流程,明确规定审计监督的对象、内容、方式和负责审计监督的部门等。 4.6.5 考核评价
建立考核评价制度。条件具备时应把各业务单位风险管理执行情况与绩效薪酬挂钩。 4.6.6 风险预警
建立重大风险预警制度。对重大风险进行持续不断的监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施。 4.6.7 法律风险防范
(1)建立健全以总法律顾问制度为核心的公司法律顾问制度。
(2)大力加强公司法律风险防范机制建设,形成由公司决策层主导、公司总法律顾问牵头、公司法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。
(3)完善公司重大法律纠纷案件的备案管理制度。 4.6.8 业务流程分割
对内控关注的高风险业务流程切割,分配给不同的主体承办,建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括授权批准、战略、投资、付款、合同采购、工程等业务经办、会计记录、财产保管和稽核检查等职责。对内控所关注的重要岗位可设置一岗双人、双职、双责,相互制约;明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任;将该岗位作为内部审计的重点等。 4. 6.9 风险应急预案
应制定定期对高风险项目、重要管理岗位、资金流通环节、安全健康环境保护、灾害事故、生产危机、群体事件、资本市场公众信任危机等的应急预控方案。
针对以上所列应急预控方案,在必要时组织应对演练,并落实责任分工。 4.7 风险管理的监督与改进
公司应以重大风险、重大事件和重大决策、重要管理及业务流程为重点,对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督,采用适当的方法对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。
选定某一风险反应方案后,管理者应在残存风险的基础上重新评估风险,即从公司总体的角度、或者组合风险的角度重新计量风险。各行政部门、职能部门或者业务部门的管理者应采取一定的措施对该部门的风险进行复合式评估并选择相应的风险反应方案。 4.7.1 风险管理信息沟通渠道
公司应建立贯穿于整个风险管理基本流程,连接各上下级、各部门和业务单位的风险管理信息沟通渠道,确保信息沟通的及时、准确、完整,为风险管理监督与改进奠定基础。 4.7.2 风险管理自我评估
公司各有关部门和业务单位应定期对风险管理工作进行自查和检验,及时发现缺陷并改