AAAA风险管理及内部控制评价办法.docx

PAGE 288 PAGE 584 80 - 风险管理及内部控制评价办法 第一章 总 则 第一条 目的与依据 为组织开展公司风险内控自我评价、对所属单位开展相关评价以及编制风险管理及内部控制评价报告，为公司股东、决策层和管理层提供增值服务，促进公司各级责任主体持续提高风险管理及内部控制水平，根据财政部《企业内部控制基本规范》及其配套指引、国资委《中央企业全面风险管理指引》等有关法律法规和标准，制订本评价办法。 第二条 定义 风险管理及内部控制评价：是指评价者按照评价办法和规则，收集、测试和分析被评价单位在一定期间的风险管理及内部控制信息，包括风险管理及内部控制设计完整性、遵循性、绩效目标风险和风险趋势这四个方面信息，进一步作出判定和报告。 设计完整性：以被评价的风险管理及内部控制设计的实际状况与标准规定的差异来表示。 遵循性：以对执行情况抽样测评结果来表示。 绩效目标风险：把实际完成绩效值分别与下达的绩效考核值或标杆值对比，两类对比差距分别表示剩余风险和固有风险。 风险趋势：以综合指标或单项指标的变化发展趋势来表示。 第三条 评价原则 一、重要性原则：依据战略发展方向和经营目标，确定重点评价对象、业务领域及其业务流程。 二、一致性原则：评价应当采用统一可比的评价指标体系和评价方法，保证评价结果的可比性。 三、公允性原则：评价应当以事实为依据，有证据支持，评价数量和分布应当有抽样代表性。 四、独立性原则：除了开展自我评价之外，应当组织独立评价。 五、效率和成本的原则：应当充分利用信息系统，独立评价人员应当精干，知识和经验多元化，提高评价效率，减少评价活动成本。 六、剩余风险和固有风险评价相结合的原则：为了揭示剩余风险和固有风险，要全面参考基于考核目标和基于标杆值得出的两套评价结果，以基于考核目标得出的评价结果作为评价的主要依据，而以基于标杆值得出的评价结果作为评价的参考和修正依据。 第四条 评价办法主要内容 一、评价类型； 二、评价范围与评价指标体系； 三、评价规则； 四、内部控制缺陷； 五、风险管理及内部控制评价报告； 六、评价工作程序； 七、评价人员守则。 第五条 适用范围 本评价办法既适用于公司对所属单位开展独立评价，也适用于指导公司本部及所属单位开展自我评价。 第二章 评价类型 第六条 风险管理及内部控制评价主要有自我评价、独立评价、专项评价、全面评价、定期评价和不定期评价，公司应把评价工作纳入年度工作计划，组织实施，各种评价类型要有效结合。 第七条 自我评价 是根据集团或公司评价方案要求，先由本部各业务部门及所属单位结合自身业务范围，按照评价规则和评价通知书确定的评价内容和适用的评价指标，规范开展的风险管理及内部控制评价。审计内控部门在汇总本部各部门及所属单位评价结果的基础上进行评定和完善，最终形成公司整体的自我评价报告。 第八条 独立评价 是由独立于被评价单位或业务职能部门的内部和外部评价机构组织实施的评价。 第九条 专项评价 是对局部指标进行评价，以满足局部对比分析、预测、监督和改进的需要，对局部指标评价与综合评价同等重要。公司及所属各单位应当根据实际需要开展专项评价，评价的方式、范围、程序和频率由企业根据实际情况自行确定。 第十条 定期评价 是指按照规定的时间间隔开展的评价。各级责任主体每年至少开展一次评价。评价的方式、范围、具体方案由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平及上级单位要求等确定。 第三章 评价范围与评价指标体系 第十一条 评价范围 评价范围包括五个方面内容，先评价四个方面专项内容，分别是风险管理及内部控制设计完整性、遵循性、绩效目标风险和风险趋势；在专项评价基础上再进行综合评价。 一、风险管理及内部控制设计完整性：是指企业各业务流程及活动应当符合公司对规范风险管理及内部控制的基本要求，包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面，做到“应设必设”，减少设计漏洞。 二、风险管理及内部控制遵循性：是指企业各项管理活动是否按照设计的风险管理及内部控制要求和措施来实施和执行。实质就是允许的控制行为是否发生，禁止的控制行为是否被避免，做到“令行禁止”。 三、绩效目标风险：是指被评价对象在评价时点所实现的经营绩效与下达的考核目标值和标杆值之间的差距，差距越小，表明风险管理及内部控制效果就越好。 四、风险趋势预测：在以上三个方面评价数据和历史数据基础上，谨慎预测评价对象的单项指标和综合指标数据发展趋势。 第十二条 评价指标体系 评价指标体系结构与评价范围相对应，指标体系包括五个方面内容，分为四级。五方面专项内容分别是风险管理及内部控制设计完整性、遵循性、绩效目标风险、风险趋势指标和综合评价指标；四级指标