《长春某风险评价手册.doc》由会员分享,可在线阅读,更多相关《长春某风险评价手册.doc(16页珍藏版)》请在三一办公上搜索。
1、长春万科风险评价手册第一章 总论一、编制目的为促进长春万科风险管理体系的设计与运行情况,规范风险评价程序和评价报告,强化风险管理激励约束机制,保证企业风险管理体系长期有效运行,制定本手册。本手册明确了风险体系评价中相关机构组织及其职责权限,规定了评价的原则、程序、方法、内容和报告形式。二、试用范围本手册适用于长春公司各部门。三、风险评价定义风险管理体系评价,是指公司对内部风险管理体系的有效性进行全面评价,形成评价结论。风险管理体系有效性,是指公司建立与实施的风险管理体系对实现控制目标提供合理保证的程序,包括设计的有效性和运行的有效性。出具评价报告的过程,主要包括:内部控制测试、缺陷认定、评价报
2、告。1) 内部控制测试内部控制测试是按照规定的程序、方法和标准,针对控制目标,对公司内部控制体系设计有效性和执行有效性进行检查,旨在发现内部控制体系在设计层面和执行层面是否存在偏差。2) 缺陷认定缺陷认定是按照规定和程序、方法和标准,对内部控制测试过程中发现的例外事项进行综合分析判断,进而确定内部控制是否存在缺陷以及缺陷影响程度的过程。3) 评价报告评价报告是在测试和缺陷认定结果的基础上,对内部控制与风险管理有效性进行评价及报告的过程。四、长春万科风险评价内容长春万科开展的风险评价工作主要包括三类:1)由各业务部门开展的自评价工作:根据集团及公司风险管理组的要求,由各业务部门内控流程对接人组织
3、部门相关人员,开展的体系设计与执行的自查工作。2)公司层面内控检查/专项检查:根据公司内控管理需要,由公司风险管理组组织的,对公司整体或业务部门进行的检查活动。3)集团审计/外部检查:由集团或外部审计机构开展的检查工作。本手册主要对第一类及第二类评价工作开展的要求、程序、方法等内容作出规范。第二章 风险评价的基本方法和程序一、风险评价图二、风险评价基本程序风险体系评价的程序,主要包括四个阶段:组织与准备、内部控制测试、缺陷评估与编报评价报告。122.1 组织与准备2.1.1 在开始正式的内部控制体系评价之前,需要做好组织与准备工作:主要包括组成评价工作组、确定评价范围和内容、确定评价工作方案。
4、2.1.2 评价小组是在风险管理组领导下,具体承担内部控制检查评价任务。风险管理组应当挑选熟悉公司风险管理相关规定、参与日常监控的负责人或业务骨干组成评价工作组,工作组成员应具备必要的独立性、业务胜任能力和职业道德素养。2.2 内控测试2.2.1 内部控制测试是按照规定的程序、方法和标准,对公司内部控制与风险管理体系设计有效性和执行有效性进行检查,测试主要包括以下内容:a) 根据设计和运行有效性评价的要求,对公司层面、业务活动层面有效性综合运用各种测试方法分别进行现场测试。b) 按要求填写工作底稿、记录相关测试结果,对测试发现的例外事项进行确认说明。2.2.2 例外事项是指内部控制体系设计层面
5、和执行层面与相应的规范、标准、要求之间存在的偏差。2.2.3 工作底稿应由风险管理组负责人审核确认。2.3 缺陷评估2.3.1 缺陷评估是以规定的程序、方法和标准,汇总各评价工作组的测试结果,对工作组测试现场发现的例外事项进行全面复核,分类汇总,对例外事项的成因、表现形式及风险程序进行定量或定性的综合分析,按照对控制目标的影响程序判断缺陷等级以及导致财务报告错报的影响程度和发生可能性的过程。2.3.2 缺陷评估是以单个控制缺陷分析为基础,由于与特定会计科目、披露事项以及内部控制要素相关的多个控制缺陷增加了错报的可能性,还应对控制缺陷进行总结,以此确定汇总后的缺陷是否构成重要缺陷或重大缺陷。2.
6、3.3 对于认定的内部控制缺陷,应当要求责任单位及时整改,并跟踪其整改落实情况;已经造成损失或负面影响的,公司应当追究相关人员的责任。2.4 编制评价报告2.4.1 评价报告是在测试和缺陷评估结果的基础上,综合风险管理工作整体情况,客观、公正、完整地编制评价报告。2.4.2 评价报告编写完成后,检查者需就评价报告内容与被检查领域的对接人、负责人进行沟通,就被检查人的疑问进行解答,最终确定检查结论。三、内控测试具体方法评价工作组应当对被评价单位进行现场测试,综合运用询问、观察、实地查验、检查、重新执行、穿行测试、抽样、比较分析和专题讨论等方法,充分收集被评价单位内部控制与风险管理体系设计和运行有
7、效性的证据,按照测试的具体内容,如实填写测试工作底稿,研究分析存在的例外事项。33.1 询问询问是通过口头或书面的方式对执行控制的相关人员提出问题,根据被询问人的回答确定控制是否存在并有效运行,以及控制执行人对控制的理解程度。具体形式有访谈,调查问卷等。3.1.1 访谈法访谈法主要用于了解公司内部控制的现状,在公司层面测试及业务层面测试的了解阶段经常使用。访谈前应根据内部控制测试需要形成访谈提纲,撰写访谈纪要,记录访谈的内容。3.1.2 问卷调研法调查问卷法主要用于公司层面测试。调查问卷应尽量扩大对象范围,包括公司各个层给员工,应注意事先保密性,题目尽量简单易答(如答案只需为“是”、“否”、“
8、有”、“没有”等)询问是确信水平最弱的一种测试方法,仅仅通过访谈不能获得充分的证据,应该与其他测试方法同时运用。3.2 观察观察现场,见证正在执行的控制,从而判断控制是否存在并有效运行。观察对测试接触性控制非常有效,较询问的确信水平高,但仍应与其他测试方法同时运用。3.3 实地查验法实地查验法主要针对业务层面控制,它通过使用统一的测试工作表,与实际的业务、单证进行核对的方法进行控制测试,如实地盘点某种存货。3.4 检查检查是通过查看与控制相关的文档性记录,对控制有效性做出判断。3.5 重新执行重新执行是通过重新执行控制活动以确定控制是否有效。检查应与询问结合运用,并进行适当的再执行程序,确认控
9、制确实有效执行。3.6 穿行测试穿行测试法是指在内部控制流程中任意选取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程,以此了解控制措施设计的有效性,并识别出关键控制点。在操作中,将初始数据输入内控流程,穿越全流程和所有关键环节,把运行结果与设计要求对比,以发现内控流程缺陷的方法。穿行测试的实施一般可分为以下几步:1)确定拟测试的业务流程,根据业务流程走向填写测试内容。(一般风险控制矩阵表会按照流程线编写,可参照其内容编写穿行测试内容)例如,对与工程相关的采购与付款流程执行穿行测试,可选取若干笔采购业务,从每一笔采购业务的
10、采购计划、采购实施、付款申请、采购付款四大环节的过程资料进行检查。示例如下:2)选取样本进行测试。样本可以任意选取,如如选取最近发生的典型样本以涵盖所有控制点。也可指定选取,如关注金额较大样本、或经常发生业务的样本、或特殊业务的样本、或一次性交易的样本等。如上述采购与付款测试,测试项目的选取可从采购计划表中选取,往下追溯;或从合同台账中选取,分别向前追溯到采购计划阶段,往后追溯到付款阶段;或从财务付款记录中选取,往前追溯。3)根据选取的样本执行测试。测试人员在执行穿行测试时,需要将拟测试的业务相关的重要的交易流程从前到后的全部“看”一遍,然后确定内部控制的设置是否良好、内部控制是否正在执行等情
11、况,并填写测试底稿。测试过程中综合运用询问、观察、检查文件记录、重新执行等多种程序。3.7 抽样法抽样法主要应用于对某一控制点执行情况的检查,如对设计变更审批程序的检查等。一般来说,风险控制矩阵表中列明检查要求及测试样本名称的细项,均可对其进行抽样测试。抽样法分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本;其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。抽样法是以样本代表总体,通过对样本的检查,判断控制总体执行情况的一种方法。3.8 比较分析法比较分析法是指通过数据分析,识别评价关注点的方法。数据分析可以是与历史数据、行业(公司)标准数据或行业
12、最优数据等进行比较。3.9 专题讨论法专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析,既可以是控制评价的手段,也是形成缺陷整改方案的途径。四、内控测试底稿评价工作底稿应详细记录企业执行评价工作的内容,应当设计合理、证据充分、简便易行、便于操作。有关工作底稿和模板见第三章、第四章具体说明及附件。五、测试样本量的确定45123455.1 样本总体的确定:样本总体包括构成某类交易和事项的所有项目,测试人员应当确保样本总体的适当性和完整性。5.1.1 适当性:测试人员确定的样本总体应适合于特定测试目标。如:营销物资入库验收数量控制中,控制目标为保证入库物资数量计量的准确性,样本总
13、体应为营销物资入库数量验收事项,而不应是物资入库质量验收事项。5.1.2 完整性:测试人员应从样本总体项目内容和涉及时间等方面确定样本总体的完整性。如:固定资产报废控制中,测试人员不仅要了解财务账所反映的报废项目情况,还要结合其他相关资料(如相关审批文件、会议纪要等)确定样本总体,以保证样本总体为全部资产报废事项。5.2 测试样本量的确定:关键控制样本量确定表不定期发生次数固定控制频率/折合频率样本数量每年一次1每半年一次2每季一次215次以下每月一次415次和50次之间每周一次1050次和200次之间每日一次20大于200次每日数次30六、缺陷评估1234566.1 缺陷分类6.1.1 按照
14、缺陷成因或来源分类,包括设计缺陷和执行缺陷。a) 设计缺陷是指公司缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。b) 执行缺陷是指设计有效(合理且适当)的内部控制由于执行不当(包括不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的缺陷。6.1.2 按照影响目标实现的严重程度分类,分为重大缺陷、重要缺陷和一般缺陷。6.2 缺陷认定标准对于各类评价及检查过程中发现的控制缺陷,公司应当结合自身的实际情况和关注重点,制定适应企业的重大缺陷、重要缺陷和一般缺陷的认定标准。鉴于内部控制缺陷的表现形式和影响目标不同,可从公司层面
15、与业务流程层面两个方面来区分缺陷的认定标准。6.2.1 公司层面缺陷认定公司层面的缺陷一般是跟控制环境相关的缺陷。应关注如下定性因素:(1) 缺陷在企业中的普遍性,是否具有广泛性影响;(2) 缺陷对企业层面控制各组成要素的相对重要性;(3) 高级管理层凌驾的风险包括考虑舞弊的可能性、以往内部控制缺陷记录、表明内部控制风险增加的迹象等;(4) 控制运行有效性方面已发现的例外情形的性质、原因和频次;(5) 缺陷可能的潜在影响。公司层面内部控制缺陷具体认定标准如下:(1) 以下任一情况可视为重大缺陷:a) 识别出高级管理层中任何程度的舞弊行为,包括财务报告舞弊;b) 资产不当使用;不实的收入、费用及
16、负债;资产的不当取得;偷税和高层舞弊等方面;c) 对已签发的财务报告进行重报,以反映对错报的更正;d) 外部审计发现的、最初未被公司财务报告内部控制识别的当期财务报告中的重大错报;(2) 以下任一情况可视为重要缺陷:a) 沟通后的重大缺陷没有在合理的期间得到纠正;b) 控制环境无效。例如,高级管理层不能或未在全公司范围内推动内部控制管理程序,管理层没有建立适当机制以获得会计准则变化及其他涉及财务报告要求的法规的更新,缺乏针对非常规、复杂或特殊交易的财务处理的控制等;c) 公司内部审计职能无效。例如,未制定内部审计工作的相关制度,未明确内部审计工作的目标、职责、权利、标准等,或未按制度规定执行;
17、内部审计部门缺乏独立性,内部审计人员资质不够等;d) 对于是否根据一般公认会计原则对会计政策进行选择和应用的控制方面,没有相应的控制措施或有一项或多项措施没有实施,而且没有补充、补偿性控制的情况;e) 对于非常规、复杂或特殊交易的账务处理的控制,没有建立相应的控制机制或没有实施,且没有相应的补充、补偿性控制;f) 未建立反舞弊程序和控制。例如,没有建立有效执行的职业道德规范、未建立举报和报告机制,经营班子对反舞弊采取消极态度,管理层、经营班子对认定的重大缺陷、重要缺陷及已发现的舞弊或疑似舞弊没有采取恰当的补救措施等。一般缺陷是不属于重大缺陷、重要缺陷判断标准范畴内的缺陷。6.2.2 业务流程层
18、面缺陷认定业务流程层面的缺陷认定一般视其对财务报告维度的影响、对运营维度的影响、对声誉的影响来判断。财务维度运营维度声誉维度重要缺陷大于期末净资产、当期主营业务收入或当期利润总额的 2%影响项目一级节点的达成;发生安全事故造成人员死亡;严重损害与客户的关系且无法修复,在客户关系上形成普遍的负面评价,严重威胁到未来客户关系成长,失去较多的潜在客户;负面消息在全国各地流传,被全国性媒体持续报道;声誉需要超过很多年甚至更长的时间恢复声誉。重要缺陷介于期末净资产、当期主营业务收入或当期利润总额的 0.1%到2%之间影响项目二级节点的达成;发生安全事故造成人员重伤;对客户关系形成了一定的负面评价;客户投
19、诉能够通过调解加以解决,不影响合同的签订,但会影响潜在客户对公司的评价关于企业安全、环保、社会责任、职业道德、经营状况的负面消息,被省内或全国性媒体报道,受到行业或监管机构关注、调查,在行业范围内造成较大不良影响一般缺陷 小于期末净资产、当期主营业务收入或当期利润总额的 0.1%不影响项目一二级节点的达成;发生质量安全事故仅造成轻伤;对客户关系的影响较小,对客户基础基本没有影响;客户投诉能够马上解决;对销售收入和合同金额没有影响。未引起全省、全国范围内的持续负面新闻报道,造成的声誉影响较小。第三章 风险自评实施具体程序一、自评任务下达6.1 内控专员根据自评计划,在内控平台上向相关专业及部门下
20、发自评任务。6.2 自评任务以风险控制矩阵表的形式下发,风险控制矩阵表内容及释义如下:风险控制矩阵表主要内容说明:名称风险分析控制措施控制属性检查要求测试样本名称含义备注6.3 内控专员下发的自评任务应包含如下内容:6.3.1 待评估事项相应的风险控制矩阵表;6.3.2 专业部门自评时检查要求,包括检查范围、样本选取、样本上传等;6.3.3 自评工作完成、人员时间要求等。二、自评实施开展77.1 部门内控对接人接到自评任务后,组织部门骨干员工形成自评小组,开始自评工作。7.2 针对风险控制矩阵表中所列的每一项控制措施,进行检查测试。测试可采用观察、检查、询问、再执行等方式。7.3 针对风险控制
21、矩阵表中,列明“测试样本名称”的控制措施项,自评小组需对样本进行关键控制抽样测试。7.4 样本选择的要求:将下发的样本总体清单上传至内控平台,自动确定样本清单。1)如样本总体数量50个,则选取自动抽样方式;2)样本总体数量50个,则选取手动抽样,随机选取15个样本,需覆盖所有项目;3)如样本总体数量15个,则样本全部上传。7.5 自评小组需逐一对照控制属性要求进行检查,内控专员在内控平台对检查过程进行自评复核、自评确认。7.6 自评结束后,自评小组按照自评结论编写内控检查报告,抄送管理层、本领域及相关领域部门负责人、风险管理组。7.7 针对发现的例外事项,自评小组需编制缺陷整改计划,明确各缺陷
22、整改措施,整改责任人、整改完成时间。7.8 整改计划随同自评结果上传内控平台。三、缺陷整改 各部门内控对接人按照整改计划,督促部门相关人员完成整改。风险管理小组成员进行跟踪。具体参见长春万科风险管理手册。第四章 公司内控检查/专项检查实施具体程序环节子项内容和要求1、检查准备1.1下发检查通知通知主要包括检查目的、检查范围、检查时间、工作协调联络人等。下发对象:被检查领域风险负责人抄送对象:公司管理层、相关业务负责人和经办人、风险领导小组1.2收集分析检查资料1、内部控制情况、职责分工、人员变化、近期业务的重大调整及变化;2、年度经营计划完成情况;3、重大节点控制情况;4、销售计划完成、回款情
23、况;5、成本控制情况;6、结算情况;1.3初步填列工作底稿1、初步检查方案确定。根据审计分析情况,确定现场检查重点,同时列示检查分析过程中存在的疑问,现场加以核实。2、修改检查方案。根据检查领域的特点及一定时期检查的关注点,修改检查方案,调整检查关注点。3、收集检查标准。从国家政策、地方政府政策、集团制度、区域制度、公司制度等方面收集审计标准并将其填列在工作底稿中。4、填列准备期间发现的疑问。将检查分析过程中,形成的疑问等内容适当地填写在工作底稿中。 2、现场检查2.1 查看项目现场1、项目情况。占地面积、建筑面积、可售面积,项目开发分期情况,开发进度情况(重大节点)。2、配套情况。车库、会所
24、、商业、学校、幼儿园、其他(比例、面积、产权、政府规划要求)3、销售情况。销售进度、销售态势。4、销售宣传情况。了解销售口头承诺,收集销售书面资料。5、周边项目情况。有需要时了解,产品类型、价格、定位、销售情况等信息。2.2访谈相关负责人1、相关工作分工情况。具体了解被检查领域内部工作分工情况,初步判断是否符合牵制原则,是否存在控制缺陷。2、实际控制流程。了解公司相关业务的实际操作控制程序,进一步分析判断其出现失控和错误的可能性。3、业务部门现存问题困难。了解业务部门目前存在的问题和困难,判断控制流程中可能存在的薄弱环节和缺陷。2.3完善工作底稿1、检查疑问解释。请相关人员解释在检查过程中产生
25、的疑问,并加以分析其解释是否成立。2、收集检查证据。根据检查准备期间的分析情况抽样检查,收集证据,证实被检查领域实际控制过程中存在的有差错和缺陷情况。3、发现控制薄弱环节。根据检查情况,确定被检查领域存在的控制薄弱环节。4、与相关人员沟通。现场与相关人员沟通确认检查过程中发现的各种异常情况,并与其达成一致意见。5、检查分析。根据检查标准、访谈及被检查领域对检查疑问的解释情况,分析其业务实际控制情况是否有效。6、初步做出检查结论。根据检查分析情况、沟通情况,初步得出检查结论。7、复核程序。完成工作底稿后,由风险管理组负责人进行复核,检查确认相关记录是否清晰,内容是否完整,是否达到检查要求的深度等
26、。 3、检查报告3.1编写检查报告初稿1、确定检查报告框架。主审提出报告框架,通过内部讨论,确定检查报告框架。2、编写报告初稿。在报告框架基础上,编写报告初稿。3、咨询专业部门意见。根据发现问题情况,在内部难以判断其性质或处理方式时,向相关专业部门咨询意见,寻求专业力量帮助,以对发现的问题作出客观公正的判断。4、报告审核。将报告初稿发送风险管理组负责人审核报告表述是否准确。3.2根据反馈意见修改检查报告1、下发报告初稿。将报告初稿发送至被检查领域风险负责人确认表述是否准确,有无修改事项。2、根据反馈意见修改报告。根据被检查领域反馈意见补充相关资料,确认是否修改检查报告。将检查报告发送至风险管理
27、组负责人审核。3.3下发正式检查报告1、发送时间:检查报告反馈意见后5个工作日内。2、发送对象:被检查领域第一负责人3、抄送对象:公司管理层、相关业务负责人和经办人、风险领导小组3、指导性文件3.1【万科内控信息系统操作手册】3.2【万科企业股份有限公司内部审计工作程序】3.3【万科集团内控评估标准】4、表单与模板4.1【内控检查报告模板】4.2【销售法律风险检查报告范本】第五章 附则一、本手册为长春公司风险管理评价操作文件,为保证内部控制体系“设计有效、执行有力”,公司各部门、各事业部应认真组织实施,严格遵照执行。二、本手册经风险管理组确认,总经理批准后执行。三、集团财务与风险管理管理部对一线公司的风险管理考核指标调整时,风险管理管理小组可根据指标及内容做出相应调整。四、本手册的管理者为风险管理小组,由财务部风险管理专员负责对其进行修订、换版等日常维护,保证其有效完整、统一和适用。五、本手册自发布之日起执行。
