1、 内控与风险管理手册(一)体系框架分册二一一年一月2北京房地产开发有限公司内控与风险管理手册目 录公司介绍11 手册使用说明21.1.编制目的、意义及原则21.1.1 手册编制的目的与意义21.1.2 手册编制的原则21.2 手册结构31.2.1 手册结构及内容概要31.2.2 手册的特征41.3.手册使用说明71.3.1 使用要求71.3.2 管理与维护71.3.3 编写与发布71.3.4 发放71.3.5 维护72 内部控制体系基本框架92.1 总则92.1.1 框架编制的目的92.1.2 框架编制的依据92.1.3 框架编制的思路与方法92.1.4 体系框架的实施102.2 编制原则10
2、2.2.1 先进性与实用性相结合102.2.2 方法论与操作性相结合102.2.3 继承性与包容性相结合102.2.4 满足外部监管与提升内部管理相结合112.3 参考标准112.3.1 财政部等五部委企业内部控制基本规范及配套指引112.3.2 国资委中央企业全面风险管理指引132.3.3 上交所、联交所内部控制相关的指引与守则142.3.4 COSO内部控制整体框架及企业风险管理整合框架152.4 适用范围192.5 内部控制体系框架的主要内容192.5.1 内部环境192.5.2 风险评估212.5.3 控制活动232.5.4 信息与沟通252.5.5 内部监督273 内部环境293.1
3、 概述293.2构成要素294 风险评估314.1 概述314.2构成要素314.3公司层面与业务流程层面风险评估及应对325 控制活动345.1 概述345.2 控制活动的实施345.3 控制活动有效性评价345.4 流程体系文件建模规范355.5 权限指引356信息与沟通366.1 概述366.2 构成要素366.3. 内部控制与全面风险管理信息平台367 内部监督387.1 概述387.2 构成要素38附录一:流程编码规则40公司介绍北京房地产开发有限公司是中铁房地产集团有限公司旗下的全资子公司,于 2008 年 8 月 21 日在北京市朝阳区注册成立,注册资金 2000 万元。公司目前
4、在朝阳区已取得土地 206 亩,开发面积 45 万平方米。1 手册使用说明1.1.编制目的、意义及原则1.1.1 手册编制的目的与意义随着公司规模不断扩大、项目开发日益深入和市场竞争日益加剧,以及国家各部委、外部监管机构对公司管控力度的不断加强,为进一步加强公司内部控制,提升公司风险管理水平,实现公司健康、良性发展,公司特编制内控与风险管理手册(以下简称“本手册”),作为公司建立、执行、评价及维护内控与风险管理体系的指导和依据。通过编制内控与风险管理手册,建立一套科学、系统的内部控制体系建设的方法和规范,为公司内部控制体系建设、运行和维护提供指引,并作为建立、运行及评价内部控制体系的依据,从而
5、确保公司上下思想上、认识上对内部控制体系保持高度统一,最终实现行为上的统一。1.1.2 手册编制的原则内控与风险管理手册是以财政部等五部委企业内部控制基本规范及配套指引、国资委中央企业风险管理指引、上交所和联交所的相关指引以及COSO内部控制整合框架和COSO企业风险管理整合框架为基础,结合北京房地产开发有限公司实际情况编制而成的。1.2 手册结构1.2.1 手册结构及内容概要本手册包括六个分册,即体系框架分册、内部环境分册、风险评估分册、控制活动分册、信息与沟通分册及内部监督分册。1.2.1.1 体系框架分册描述了内部控制体系组织结构与职责,较为全面地阐述了内部控制体系的建设目标,并以财政部
6、等五部委企业内部控制基本规范为指引,参考企业内部控制配套指引,从内部环境、风险评估、控制活动、信息与沟通和内部监督五个方面对内控关注要点及相应措施进行了较为全面、系统的阐述;1.2.1.2 内部环境分册描述了内部环境的概念,并从描述内部环境的概念及要素,从治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化五个方面对内部环境各要素关注要点、控制措施进行阐述;1.2.1.3 风险评估分册描述风险和风险评估的基本概念,从风险评估原则、基本程序、公司层面风险评估及应对、流程层面风险评估及应对四个方面对风险评估关注要点及相应措施进行阐述,并汇编公司层面和流程层面风险评估的相关成果及文档;1.
7、2.1.4 控制活动分册描述控制活动的概念及分类,从控制活动实施、控制活动有效性评价和权限指引三个方面对控制活动的关注要点及相应措施进行阐述,并汇编控制活动的相关文档及资料;1.2.1.5 信息与沟通分册描述了信息与沟通的概念及要素,从信息采集、信息沟通、信息系统、反舞弊机制以及内部控制与全面风险管理信息平台五个方面对内控关注要点及相应措施进行了阐述,并汇编了关键控制信息;1.2.1.6 内部监督分册描述了内部监督的概念及要素,并从日常监督、专项监督、缺陷跟踪和内部控制评价四个方面对内控关注要点及相应措施进行了阐述,并汇编了相关模板。以上六本手册相对自成一体,并与公司企业文化和制度体系相辅相成
8、,共同构成了支撑公司有效运营的内控与风险管理体系。1.2.2 手册的特征1.2.2.1 管理积淀与管理创新相结合本手册是在总结公司成立以来的管理经验及借鉴其他优秀公司管理经验基础上编制而成,是管理经验的沉淀和提炼。同时将先进的风险管理和流程管理理念融合在一起,在推动公司业务标准化、规范化运作的基础上,为后续公司内控管理体系的优化奠定基础。1.2.2.2 贯彻风险预控的管理理念本手册贯彻以风险为导向的内部控制理念,强调事前和过程控制,在构建良好的内部环境基础上把管理风险作为内部控制的目标,将业务活动所对应的风险以风险控制矩阵(RCM)的形式进行提炼,实现风险预控和标准化管理。1.2.2.3 对现
9、有管理体系的融入与整合本手册以风险管控为主线,将管理理念和企业文化贯穿于其中,要求北京房地产开发有限公司从风险的视角出发,将内部控制的原则和方法紧密结合到制度和流程建设中,形成公司相互融合、协调一致的有机整体。1.2.2.4 具有广泛适用性和前瞻性本手册以财政部等五部委企业内部控制基本规范及配套指引为指导,在借鉴国际较为成熟的内部控制和风险管理框架的基础上,立足中国国情,并充分考虑了公司的实际情况,为各项业务活动提供了具体的操作指引,在覆盖现有业务活动的同时,也能适应未来一定时期业务发展的需要。1.2.2.5 具有强制性和约束性本手册明确了公司建立内部控制体系及框架所需遵循的标准,规范了管理层
10、及员工的管理与业务控制活动,不仅适用于公司治理层面的控制,同时适用于经营管理层面的控制,具有广泛的约束性,一经批准发布,北京房地产开发有限公司必须严格执行。1.3.手册使用说明 1.3.1 使用要求本手册是公司重要文件,属公司机密。使用者应按相关保密要求正确使用,未经批准,不得复制,不得对外泄露。在使用过程中遇到疑难问题,及时向风险及内控管理工作小组咨询。1.3.2 管理与维护风险及内控管理工作小组对本手册进行规范管理,以保证其有效、完整、统一和适用。1.3.3 编写与发布本手册由风险及内控管理工作小组组织编写,总经理办公会审议,经董事会批准,北京房地产开发有限公司行文发布。1.3.4 发放本
11、手册须按发放范围统一发放。发放范围(一般包括总经理、副总经理、体系覆盖范围及特殊使用者)由风险及内控管理工作小组提出,经总经理批准执行。1.3.5 维护本手册的维护是一项长期性、经常性的重要工作,需要公司各部门高度重视,积极参与,大力配合。本手册的修订、维护由风险及内控管理工作小组负责。每年,风险及内控管理工作小组将根据相关法律法规的要求、内外部审计对公司内部控制的评价、公司内控管理中出现的新问题、各部门及所属各单位反馈的意见及建议等,对本手册进行修订,提交总经理办公会审议,经董事会批准,北京房地产开发有限公司行文发布。风险及内控管理工作小组应及时掌握本手册的执行情况,并采取有效措施确保内部控
12、制管理体系的有效运行。2 内部控制体系基本框架2.1 总则2.1.1 框架编制的目的通过确定内部控制体系建设目标,明晰内部控制体系建设的范围和内容,为公司建设“以风险为导向,以内部控制为手段”的内控与风险管理体系提供指引,以建立统一、规范、有效的内部控制体系,增强公司风险防范能力,为公司战略发展提供可靠保障。2.1.2 框架编制的依据财政部等五部委企业内部控制基本规范及配套指引;国资委中央企业全面风险管理指引;上交所上市公司内部控制指引;联交所企业管治常规守则和内部监控与风险管理的基本架构;COSO内部控制整体框架及COSO企业风险管理整合框架及公司相关管理规定。2.1.3 框架编制的思路与方
13、法在现有内控体系框架的基础上,根据财政部等五部委企业内部控制基本规范及配套指引的主要内容和要求,参照国资委中央企业全面风险管理指引的基本要求,结合上交所、联交所以及COSO内部控制整体框架和企业风险管理整合框架的先进理论,汲取国内外其他公司内部控制体系建设的先进经验,根据公司管理实际编制内部控制体系框架。2.1.4 体系框架的实施框架明确了公司内控与风险管理的工作任务和基本标准,是制定内控与风险管理工作规划的主要依据。框架确定的工作目标和内容将在今后分年度逐步建立健全。2.2 编制原则2.2.1 先进性与实用性相结合本手册参考了国内、国际先进的内部控制与企业风险管理理论、国内外大型企业集团的风
14、险管理与内部控制实践,立足于北京房地产开发有限公司自身的战略目标和管理特点,力求与现有的管理程序相衔接,充分考虑实际管理工作的可行性与可操作性。2.2.2 方法论与操作性相结合本手册的内容涵盖了内部控制体系的各个要素和环节,对北京房地产开发有限公司建设和运行内部控制体系提出了一套完整的方法论和指导原则,同时针对风险识别、风险评估、风险控制、内部控制评价等常规性工作,制定了具体的操作指引和工作模版。2.2.3 继承性与包容性相结合本手册与公司现行的管理制度体系相结合,力求与其他制度相融合,对于已不适用的其他各项管理制度,应对照本手册的规范要求及时修改、完善。2.2.4 满足外部监管与提升内部管理
15、相结合公司的内部控制工作既要为战略目标实现提供合理保障,又要满足财政部、国资委、证监会的监管要求。本手册的编制以满足外部监管要求为出发点,以提升公司内部控制水平为落脚点,兼顾了内外部的风险管理与内部控制要求。2.3 参考标准为了确保内部控制体系建设的规范化、标准化及合规化,本手册的编制参考了目前国内、国际通行的内部控制与风险管理标准,包括财政部等五部委企业内部控制基本规范及配套指引、国资委中央企业全面风险管理指引、上交所、联交所的内部控制相关指引与守则、COSO内部控制整体框架和COSO企业风险管理整合框架等。2.3.1 财政部等五部委企业内部控制基本规范及配套指引2008年6月,财政部会同证
16、监会、审计署、银监会、保监会制定并发布了企业内部控制基本规范(以下简称基本规范),对上市公司内部控制与风险管理工作开展提出了明确要求,并鼓励非上市的大中型企业执行,旨在加强和规范公司内部控制,提高公司经营管理水平和风险防范能力,促进公司可持续发展,维护社会主义市场经济秩序和社会公众利益。基本规范在形式上借鉴了COSO 报告的五要素框架,同时在内容上体现了风险管理八要素框架的实质,构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。其中:内部环境:内部环境是企业实施内部控制的基础,一般包括治
17、理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。风险评估:风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。控制活动:控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受范围之内。信息与沟通:信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。内部监督:内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。2010年4月,财政部等五部委又联合颁布了企业内部控制配套指引,并自2011年1月1日起首先在境内外同
18、时上市的公司施行,自2012年1月1日起扩大到在上交所、深交所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。配套指引的制定发布,标志着以防范风险和控制舞弊为中心、以控制标准和评价标准为主体,结构合理、层次分明、衔接有序、方法科学、体系完备的企业内部控制规范体系基本建成。企业内部控制配套指引包括18项企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引。其中,企业内部控制应用指引是对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引。应用指引可以划分为三类,即内部环境类指引、控制活动类指引、控制手段类指引,基本涵
19、盖了企业资金流、实物流、人力流和信息流等各项业务和事项,在配套指引乃至整个内部控制规范体系中占居主体地位。企业内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引。企业内部控制审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。三者之间既相互独立,又相互联系,形成一个有机整体,连同此前发布的企业内部控制基本规范,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。2.3.2 国资委中央企业全面风险管理指引2006年6月,国资委根据企业国有资产监督管理暂行条例(国务院令第378 号)关于“国有及国有控股企业应当加强内部监督和风险控
20、制”的要求,出台了中央企业全面风险管理指引(简称指引),旨在进一步加强和完善国有资产监管工作,深化国有企业改革,加强风险管理,促进企业持续、稳定、健康发展。指引对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理信息系统等方面进行了详细阐述,要求各中央企业把风险管理作为企业各项管理工作的主线,将风险管理要求融入企业管理和业务流程中去,尽快建立和完善全面风险管理体系。指引指出,全面风险管理,是企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,建立健全全面风险管理体系,包括风险管理策略、风险管理
21、组织体系、风险管理信息系统和内部控制系统,从而为实现风险管理总体目标提供合理保证的过程和方法。2.3.3 上交所、联交所内部控制相关的指引与守则2.3.3.1 上交所上市公司内部控制指引2006年6月,上海证券交易所(简称“上交所”)根据证监会关于提高上市公司质量意见等法律法规,制定发布了上市公司内部控制指引,明确要求在本所上市的公司应当建立健全内部控制制度,保证内控制度的完整性、合理性及实施的有效性,以提高公司经营的效率与效果,增强公司信息披露的可靠性,确保公司行为合法合规;同时要求公司董事会应在年度报告披露时披露年度内部控制自我评估报告,并根据实际执行情况披露会计师事务所对内部控制自我评估
22、报告的核实评价意见。2.3.3.2 联交所企业管治常规守则及内部监控与风险管理的基本架构2004年11月,香港联合交易所(简称“联交所”)公布了企业管治常规守则(简称守则),提出了上市公司的管治原则、守则条文和建议最佳常规等,并要求上市公司按规定披露内部控制等信息。守则第C.2 条列出了有关内部监控的条文,以及建议在企业管治报告中披露上市公司内部监控资料的规定。2005年,联交所邀请香港会计师公会(简称“公会”)制定进一步指引,以协助上市公司了解及实施守则内有关内部监控的规定,并制订其内部监控程序。公会接受联交所邀请,制订了内部监控与风险管理的基本架构(简称内部监控架构),为上市公司提供内部监
23、控基本架构的一般指引及建议。内部监控架构采用了COSO 内部控制整合框架所提供的模式、定义及概念性架构,明确内部监控系统是为企业实现营运的效益及效率、财务汇报的可靠性、遵守适用的法律规则三个目标而提供合理保证的程序,并提出完善内部监控系统的五个互相关联的要素:监控环境、风险评估、监控活动、资讯及沟通、监察。2.3.4 COSO内部控制整体框架及企业风险管理整合框架COSO是美国反虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financi
24、al Reporting)的英文缩写。COSO是自愿性的私人组织,致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。1985年,由美国注册会计师协会(AICPA)、会计协会(AAA)、财务经理协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建了反虚假财务报告委员会。该委员会旨在探讨财务报告中舞弊产生的原因,并寻求解决措施。两年后,该委员会提出了很多有价值的建议。基于该委员会的建议,其赞助机构成立了COSO委员会,专门研究内部控制问题。反虚假财务报告委员会于1987年签署了报告,号召研究并制定一个统一的内部控制框架。1992年9月,COSO
25、委员会提出了报告内部控制整体框架(1994年进行了增补),即COSO内部控制框架。COSO内部控制框架被广泛地选择作为构建和完善内部控制体系的标准,是因为:虽然COSO内部控制框架并非唯一的内部控制框架,但却是美国证券交易委员会唯一推荐使用的内部控制框架,萨班斯奥克斯利法案第404条款的“最终细则”也明确表明COSO内部控制框架可以作为评估公司内部控制的标准。COSO内部控制框架提出五个互相关联的组成要素,根据公司的规模和结构,公司可采用不同的方式来实施这些组成要素,但是所有公司都必须涉及这五个组成要素。因此,在对内部控制进行评估时,管理层必须考虑以下每个组成要素:控制环境:控制环境是内部控制
26、体系的基础,是有效实施内部控制的保障,直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。控制环境确定了公司的总体态度,是内部控制所有其他组成要素的基础。控制环境包括职业道德、员工的胜任能力、管理理念和经营风格、组织结构、权利和责任的分配、人力资源政策与措施以及董事会与审计委员会以及反舞弊等内容。风险评估:风险评估是识别及分析影响公司目标实现的风险的过程,是风险管理的基础。在风险评估中,应识别和分析对实现目标具有阻碍作用的风险。控制活动:控制活动是确保管理层的指令得到贯彻执行的必要措施,存在于整个机构内所有级别和职能部门。包括批准、授权、查证、核对、经营业绩评价、资产保全措施和
27、职责分工等活动。信息与沟通:信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式及时地传递,以便员工履行职责。信息不仅包括内部产生的信息,还包括与公司经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使公司的员工能及时取得他们在执行、管理和控制公司经营过程中所需的信息,并交换这些信息。监督检查:监督检查是对内部控制体系有效性进行评估的持续过程,包括持续监控、独立评价和缺陷报告等。在2001年以后,特别是安然事件发生以后,企业风险管理成为焦点而受到突出关注,需要一个强有力的框架有效地识别、评估和管理风险。2004年9月,COSO委员会发布企业风险管理整合框架,在内部控制的基础上,扩展、
28、提供了一个更强有力的框架,更广泛地专注企业的全面风险管理。该框架不会取代内控框架,而是将内控框架与其融合为一体。公司仍可以决定依靠这个企业风险管理框架去满足企业内控的需要,通过采用更全面的风险管理方法使企业持续发展。企业风险管理由八项相互关联的要素组成,来自管理层经营企业的方式,并融入管理过程本身。这些要素包括: 控制环境:控制环境包含了一个企业的基调,为该企业管理层和员工审视和应对风险的方式制定基础,包括风险管理理念和风险容量、诚信和道德价值观以及他们进行经营活动所处的环境。目标制定:在管理层能够识别影响目标实现的潜在事件之前,企业必须已制定目标。企业风险管理确保管理层使制定目标的流程到位,
29、并保持选择的目标支持企业的使命并与此并行不悖,同时这些目标也与企业的风险容量相一致。事件识别:必须识别出影响企业实现目标的各种外部和内部事件,并区分风险和机遇。可以在管理层制定企业战略或目标的过程中对机遇加以考虑。风险评估:应对风险进行分析,考虑其发生的可能性和影响,以作为确定应如何管理风险的基础。还应对企业固有风险及残存风险进行评估。风险应对:管理层选择风险反应方案:规避风险、接受风险、减少风险或分担风险,采取一系列措施使风险维持在企业的风险承受范围和风险容量范围之内。控制活动:确立和实施政策和程序,以有助于确保风险反应方案得以有效地贯彻执行。信息与沟通:相关信息在一定时限内以某种形式被识别
30、、获得和传达沟通,以便使员工履行自己的职责。从广义上讲,有效的沟通也应自上而下、自下而上地进行,贯穿整个企业。监督检查:监控整个企业风险管理过程,并根据需要作出修改。通过持续性监控活动、独立评价或两者兼而有之来完成监控。图1-1 COSO企业风险管理体系模型2.4 适用范围本手册适用于北京房地产开发有限公司。2.5 内部控制体系框架的主要内容2.5.1 内部环境内部环境是内部控制体系建设的基础,是有效实施内部控制的保障,直接影响着内部控制的贯彻执行、公司经营目标及整体战略目标的实现。内部环境确定了公司对内部控制体系建设的总体态度,是内部控制所有其他组成要素的基础。公司内部环境包括治理结构、机构
31、设置及权责分配、内部审计、人力资源政策、企业文化等内容。2.5.1.1 治理结构建立规范的公司治理结构(包括董事会、监事会和经理层),并制定相应的议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。2.5.1.2 机构设置及权责分配在治理结构所确定的内控基本组织框架基础上,设立满足公司经营管理所需要的职能机构,将内部控制管理的各项要求融入公司管理和业务流程中,明确职责权限,建立完善的权责管理体系,制定完善的授权管理文件,将权利和责任落实到各责任单位和部门,进一步健全公司的内部控制管理组织体系。2.5.1.3 内部审计建立完善的内部审计工作程序与机制,明确内部审计的
32、范围、责任、权限以及人员的胜任能力等,保证内部审计机构设置、人员配备和工作的独立性;健全内部审计机构对内部控制有效性的监督检查及报告机制。2.5.1.4 人力资源政策制定完善的员工招聘、培训、辞退与辞职、薪酬、考核、晋升与奖惩、关键岗位的强制休假和定期轮岗、重要岗位员工离岗的限制等政策及程序,健全公司管理人员的任用选拔、管理考核和激励监督机制,有效地保证内部控制在公司中的顺利实施。2.5.1.5 企业文化继承和发扬公司企业文化,体现公司的经营宗旨、价值观念和行为准则;将风险管理文化融入企业文化建设全过程,树立和传播正确的风险管理理念,增强守法意识和诚信意识,将风险管理意识转化为员工的共同认识和
33、自觉行动,提高全员风险意识;公司高级管理人员应在继承和发扬风险管理文化中发挥表率作用,中层管理人员应在继承和发扬风险管理文化中发挥骨干作用。加强全体员工的法制教育,增强董事、监事、经理及其他高级管理人员和员工的法制观念,建立健全公司的法律顾问制度和重大法律纠纷备案制度,保证各项重要业务活动的依法决策、依法办事和依法监督。2.5.2 风险评估风险是指未来的不确定性对公司实现其目标的影响。风险评估是及时识别、科学分析和评估影响公司目标实现的各种不确定因素并制定应对策略的过程,是实施内部控制的重要环节。在风险评估中,既要识别和分析对实现目标具有阻碍作用的风险,也要发现对实现目标具有积极影响的机遇。公
34、司应制定完善的风险评估规范,明确风险评估的范围、程序和方法,规范公司的风险评估工作。公司风险评估工作由企业发展部组织有关职能部门和业务单位实施。2.5.2.1 风险评估范围公司针对战略目标、经营目标、报告目标、合规目标和资产安全目标,分别确认风险评估的范围。2.5.2.2 风险评估的基本程序1. 目标设定与初始信息收集。公司在进行风险评估时,需根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。围绕公司战略目标和相关目标以及风险管理要求,相关职能部门、业务单位和内控管理部门广泛、持续收集与公司风险及风险管理相关的各种内、外部信息,包括收集历史数据和未来信息,关注宏观
35、经济与经营环境、竞争对手、新技术与新产品、海外经营、公司重组、业务整合、会计政策、信息系统、资本运作等方面已经发生和将要发生的变化情况。2. 风险识别。风险识别是指查找公司各项重要经营管理活动及其重要业务流程中存在的影响目标实现的风险和机遇的过程。公司应动态识别影响公司战略目标及相关目标实现的、内部和外部的各种不确定性因素。其中,带负面影响的因素代表风险,需要对其进行分析和应对;带正面影响的因素代表机遇,在制定目标和政策实施过程中应对其加以考虑并把握。3. 风险分析。风险分析是针对识别出的风险,进一步分析风险发生的可能性和对公司实现目标的影响程度的过程。公司可以综合运用定性和定量的方法,对风险
36、发生的可能性和影响程度进行分析、评价,并按照风险分析结果确定风险重要性水平,识别公司重大风险,确定风险管理的优先顺序。4. 风险应对。风险应对是针对风险发生的原因、风险重要性水平,考虑风险之间的关系并把握机遇,综合运用风险规避、风险降低、风险分担和风险承受等策略,确定风险应对策略的过程。2.5.2.3 风险库公司按照规定的程序和方法开展风险评估后,识别出公司层面和流程层面的风险事项,结合风险发生的层次、重要性水平和应对策略,建立与维护公司层面和业务流程层面的风险库。2.5.3 控制活动控制活动是指公司根据风险评估结果,采用相应的控制措施,将风险控制在可承受范围之内。控制活动是确保管理层关于风险
37、应对策略得以贯彻执行的政策和程序,存在于公司所有级别的分支机构和职能部门,包括不相容职务分离、授权审批、会计系统、财产保护、预算、运营分析、绩效考评、突发事件应急等。公司应根据内部控制目标,将控制措施与风险应对策略相结合,针对各类风险或每一项重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。公司应当按照各有关部门和业务单位的职责分工,组织实施控制措施。针对面临的各项风险,按照风险应对策略,建立相应的风险控制政策和措施,规范业务流程,并编制相关的工作文档。2.5.3.1 控制活动的实施1. 规范业务流程,制
38、定业务活动层面风险控制措施。控制活动通过针对公司各个业务主要流程设计和实施一系列政策、制度、规章和措施,对影响业务流程目标实现的各种风险进行有效地管理和控制。公司应通过确定业务流程体系框架、记录业务流程和内部控制情况、建立关键控制和一般控制等主要步骤来规范业务流程层面的控制活动。2. 分解重大风险,将公司层面重大风险与业务流程进行对接。为确保公司层面重大风险的管理能够落到实处,公司应根据各重大风险涉及的相关业务内容和控制目标,将公司层面重大风险进行层层分解,识别导致重大风险的众多风险事项,并将其与业务流程进行对接,评估与重大风险对接的流程的全流程控制措施是否存在和有效,保证风险管理工作真正落地
39、。2.5.3.2控制活动有效性评价 公司应根据内部监督的政策和程序,定期对控制活动的有效性进行评价,查找控制缺陷,并进行改进和完善,确保控制活动的持续有效性。2.5.3.3权限指引权限指引是企业内部控制和风险管理的重要组成部分,具体描述了企业授权制度是如何构成、应用和监控,公司内各级批准权限是如何界定的。公司应当设置科学、明确的权限指引表,明确各项重大决策、经营活动的审批权限,确保决策的科学性以及经营的效果和效率。2.5.4 信息与沟通信息与沟通是公司及时、准确地收集、传递与内部控制相关的信息,确保信息在公司内部、公司与外部之间进行有效沟通,以促使职责的履行。信息是指与公司经营相关的财务及非财
40、务信息,不仅包括内部产生的信息,还包括与公司经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使员工能及时取得他们在执行、管理和控制公司经营过程中所需的信息。公司建立符合发展战略并与经营管理活动一体化的信息系统,为风险管理提供足够的信息资源和顺畅的沟通渠道。2.5.4.1 信息采集公司应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性,即公司应持续不断地识别、收集、整理与归纳来自内部与外部、经营与管理的各种信息,针对不同的信息来源和信息类型,明确各种信息的收集人员、收集方式、传递程序、报告途径和加工与处理要求,确保经营管理各种信息资源得到及时、准确、完整收集。2.
41、5.4.2 沟通信息沟通是指内部控制相关信息在公司内部各管理级次、责任单位、业务环节之间,以及公司与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。公司应建立适当的渠道,与公司的相关方如供应商、客户、律师、股东、监管机构、外部审计师,就相关信息进行必要的外部沟通。2.5.4.3 信息系统公司应将信息技术应用于内部控制各项工作,运用信息系统对经营管理进行过程控制和信息的采集、存储、加工、分析、测试、传递、报告和披露等;满足公司内部控制相关信息报告制度和公司对外信息披露相关制度的要求。信息系统应实现信息在各职能部门、业务单位之间的集成与共享,既能满足单项业务内部控
42、制要求,也能满足公司整体和跨职能部门、业务单位的内控管理综合要求。1. 建立信息系统总体控制。建立包括信息系统内部环境、信息安全、信息系统项目建设管理等方面内容的信息系统总体控制规范与规章制度。2. 建立信息系统应用控制。全面识别应用系统相关风险,建立完善的应用系统控制规范,对应用系统的权限管理、自动控制进行有效管理。3. 建立内部控制与全面风险管理信息平台。实现流程、风险数据库、控制文档、制度、法律法规及案例的统一管理,实现对公司风险管理和内部控制情况的实时监督和评价。2.5.4.4 反舞弊机制公司应建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在
43、反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。2.5.5 内部监督内部监督是对公司内部控制建立与实施情况进行监督检查,评价内部控制有效性并及时加以改进的过程,包括日常监督、专项监督、内部控制评价和缺陷跟踪等。2.5.5.1 日常监督日常监督是指公司对建立与实施内部控制的情况进行常规、持续的监督检查。公司应制定内部控制体系运行与维护管理制度,明确授权的日常监督机构的职责权限,规范日常监督的程序、方法和要求,定期维护手册,将内部控制工作纳入公司各级管理层的业绩考核,构建内部控制体系运行长效机制。2.5.5.2 专项监督专项监督是指在公司发展战略、组织结构、经营活动、业务流
44、程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某个或者某些方面进行有针对性地评价。2.5.5.3 内部控制评价公司应结合内部监督情况,建立定期的内部控制评价制度,明确内部控制评价的机构和职责权限,规范评价的方式、范围、程序和频率,并编制相应的内部控制评价报告。2.5.5.4 缺陷跟踪公司应明确报告缺陷的职责、报告的内容,对报告缺陷的程序及跟进措施等方面进行规范;制定内部控制缺陷认定规范,明确缺陷定义及分类,以及缺陷评估内容、方法和标准等。3 内部环境3.1 概述内部环境确定了公司对内部控制体系建设的总体态度,是内部控制体系建设的基础,是有效实施内部控制的保障,直接影响着内部控制的贯
45、彻执行、公司经营目标及整体战略目标的实现。3.2构成要素内部环境构成要素包括治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化等内容。治理结构是建立并实施内部控制的基础,是影响内部环境的重要因素。公司应按照公司法要求,结合公司实际,建立规范的法人治理结构(包括董事会、监事会和经理层),并制定相应的议事规则和工作规则。主要控制要点及程序详见北京房地产开发有限公司内部控制手册-内部环境分册第2章-治理结构机构设置为公司提供了计划、执行、控制和监督其活动的框架。相关的机构设置包括确定权利与责任的关键界区,即确定权责的关键领域以及建立适当的报告负责部门。它强调权责分配的知情与监督,要求全体
46、员工掌握内部机构设置,明确权责分配,正确行使职权。主要控制要点及程序详见北京房地产开发有限公司内部控制手册-内部环境分册第3章-机构设置与权责分配。内部审计是公司内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进公司目标的实现。主要控制要点及程序详见北京房地产开发有限公司内部控制手册-内部环境分册第4章-内部审计。人力资源政策是影响公司内部环境的关键因素,引导员工达到公司期望的职业道德水平和胜任能力。它包括聘用、定岗、培训、辞退、辞职、薪酬、考核、评价、晋升、奖惩等活动。主要控制要点及程序详见北京房地产开发有限公司内部控制手册-内部环境分册第5章-人力资源政策。企业文化是指公司在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神,以及在此基础上形成的行为规范的总称。企业文化主要包括积极向上的价值观和社会责任感、诚实守信、爱岗敬业、开拓创新和团队协作精神、现代管理理念和风险意识;董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用;公司员工应当遵守员工行为守则;全体认真履行岗位职责。主要控制要点及程序详见北京房地产开发有限公司内部控制手册-内部环境分册第6章-企