风险管理及内部控制评价指引第一节总则1.为规范集团公司及所属企业风险管理及内部控制评价工作,持续促进企业提高风险管理及内部控制水平,特制订本指引。2.本指引所称风险管理及内部控制评价,指由企业的决策层和管理层要求的,对企业内部控制的设计完整性、执行遵循性和效果进行评价,以评价时点的风险管理及内部控制设计与本手册规定的标准差异来表示完整性,以抽样执行情况来表示遵循性,以实现绩效目标所残余的风险来表示效果。3.企业决策机构及其评价计委员会或风险管理委员会负责领导本企业的风险管理及内部控制评价工作。监事会对评价进行监督。4.按照企业风险管理及内部控制评价主体分为独立评价和自我评价,按照评价时点和范围分为年度评价和专项评价。5.企业可以授权评价计和风险管理及内部控制机构组织和实施独立评价工作。独立评价报告应当提交企业决策机构及其评价计委员会或风险管理委员会评价议,责任单位应当落实整改意见。6.企业应当建立风险管理及内部控制评价信息系统,提高评价工作效率,减少评价成本。7.企业实施风险管理及内部控制评价应当遵循的原则:7.1风险导向原则。以目标差距和对标差距及其风险评估为基础,确定重点评价对象、业务领域及其业务流程环节。7.2一致性原则。评价应当采用统一可比的评价指标体系和评价方法,保证评价结果的可比性。7.3公允性原则。评价应当以事实为依据,评价结果应当有适当的证据支持,所评价三级单位的数量和分布应当有抽样代表性,能客观反映所归口二级单位的风险管理及内部控制情况。7.4独立性原则。评价工作应当与风险管理及内部控制设计与运行相互分离。7.5.兼顾效率和成本的原则。评价组织的人员应当精干、知识和经验多元化,应当充分利用信息系统提高评价的效率。8.本指引对评价内容、指标体系、评价类型、评价方法、评价工作程序、评价成果运用做出了规定。9.本指引适用于集团公司对所属单位的风险管理及内部控制评价,集团公司所属各单位应当依据本指引和实际情况制定本单位的评价办法,开展自我评价和组织对所属单位的风险管理及内部控制评价。第二节评价的内容对企业风险管理及内部控制情况应当评价以下四方面内容:1.内部控制设计完整性。控制设计完整性是指企业各项控制措施应当符合集团公司对规范风险管理及内部控制所要求的内部环境、风险评估、控制活动、信息与沟通、内部监督5大要素及其子要素的基本要求。实质就是合理的控制行为是否被允许,不合理的控制行为是否被禁止。本指引所称控制措施主要包括企业各项规章制度和管理文件及其所规定的规则和业务流程。2.内部控制执行遵循性。内部控制执行遵循性是指各项管理活动是否按照企业设计的内部控制要求来做,实质就是允许的控制行为是否发生,禁止的控制行为是否被避免。3.基于目标的风险。风险管理及内部控制效果是指被评价对象在评价时点所实现的经营绩效与是目标绩效和标杆指标之间的差距。差距越小,表明风险管理及内部控制效果就越好,实质是以残余风险大小来表示效果。4.对风险的预测。在以上三个方面评价数据和历史数据基础上,对评价对象的单项指标和综合性指标数据发展趋势开展谨慎预测。第三节评价类型评价分为自我评价和独立性评价两类。1.自我评价。自我评价是企业或业务职能部门结合自身业务范围,确定评价内容和适用的评价指标,按照评价规则,规范开展的风险管理及内部控制评价,企业或业务职能部门对所属企业的开展的独立评价是自我评价主要组成部分。2.独立性评价。独立性评价是由独立于被评价企业或业务职能部门的内评价机构组织的风险管理及内部控制评价,是在被评价企业或业务职能部门自我评价的结果基础的独立性评价。第四节评价指标体系本评价体系对应上述3部分评价内容,由3个一级指标体系构成,分别是风险管理及内部控制的设计完整性指标体系、执行遵循性指标体系、效果性指标体系,各一级指标体系下设有二级指标体系,二级指标下设有三级指标体系。指标体系结构如下图。1.内部控制设计完整性指标:本手册第四章对集团公司20类业务循环流程的130个风险管理及内部要点提出了控制要求,表示了内部控制设计完整性,...
