風險管理評價的內容
風險管理評價可用以檢查,評價風險管理過程的充分性和有效性:1.評價風險管理主要目標的完成情況
主要表現在評價公司以及同行業的發展情況和趨勢,確定是否可能存在影響企業發展的風險;檢查公司的經營戰略,了解公司能夠接受的風險水平;與相關管理層討論部門的目標,存在的風險,以及對降低風險和加強控制的活動評價其有效性;評價風險監控報告制度是否恰當;評價風險管理結果的充分性和及時性;評價管理層對風險的分析是否全面,為防止風險而採取的措施是否完善,建議是否有效;對管理層的自我評估進行實地觀察、直接測試,檢查自我評占所蒐集的信息是否準確,以及審計技術的套用;評占與風險管理有關的薄弱環節,並與管理層、董事會、審計委員會討論,提出意見並監督實施。
2.評價管理層選擇的風險管理方式的適當性
每個公司應根據自身活動來設計風險管理過程。一般說來,規模大的、有市場融資能力的公司必須用正式的定量風險管理方法:規模小的,業務不太複雜的,則可以設定非正式的風險管理委員會定期開展評價活動。內部審計人員的職責是評價公司風險管理方式與公司活動的性質是否適當。
風險管理評價的指標
一、企業風險管理機制評價指標評價企業對風險是否能夠進行有效的管理,首要問題是考察企業的風管理機制。概括地說,企業風險管理機制主要寓於決策機制和內控機制中。企業的投資風險管理,取決於決策機制。企業實際運營與操作中的險管理,取決於內部控制機制。
(一)評價決策機制
主要關注三點:一是進行權力結構科學合理性分析,對其制衡機制的有效性作出判斷;二是進行決策程式的可行性分析,考察具體執行過程中是否常有“例外”情況發生;三是進行決策責任的確定性分析,即考察決策責任是否落實到具體人,發生決策失誤時,能否找到應該承擔責任的人。良好的決策機制主要表現為:權力結構合理,責任與權力統一,制衡機制有效,決策程式能夠嚴格執行,出現決策失誤責任人明確具體。
(二)評價內部控制機制
主要關注四點:一是內控制度是否健全,企業運營的所有操作都要有據可依,內部控制不能基於“天網恢恢,疏而不漏”的概念之上,內部控制制度必須全面、嚴密、明確、具體;二是內控制度執行是否嚴格,“有法不依”是風險防範的“天敵”,比“無法可依”危害更大,在企業運營中,任何人、任何行為都不能有“例外”;三是組織結構是否有利於內控機制的正常運轉,不相容的職務是否分設,制約制衡機制是否的效;四是“罰則”是否具體,能否落實。
二、企業經營風險管理評價指標
通常,對企業經營風險可以從生產、市場、資源、管理、財務、環境等方面進行考察和分析評價。具體做法可採取企業自測和專家分析相結合的方法。經過分析研究,對可能發生的風險列表,由企業相關人員對這些風險作出自測分析,在風險度上給出“高、中、低”三個層次等級的預測,然後再由有關專家進行鑑別。這種方法一般用來評價企業風險意識及風險管理的敏感程度。
(一)生產風險分析
主要分析設備(裝備)的適用性,能否滿足當前生產經營需要,能否滿足企業發展需要;產品(或經營服務)的市場定位和市場地位,客戶的滿意程度;主要產品所處的技術壽命周期和市場壽命周期;產品(或經營服務)的質量狀況;技術儲備和新產品開發情況;生產(經營)成本的競爭能力;工藝合理性及先進程度。
(二)市場風險分析
主要分析本企業競爭優勢、銷售策略、銷售網路、價格策略、市場份額,並與主要競爭對手進行對標分析。
(三)資源風險分析
主要分析人力、資本、原材料、能源、技術等重要資源的來源、價格、質量,以及資源占有率、地域分布等。
(四)管理風險分析
主要分析企業組織結構對企業發展戰略的適應性,決策程式的合理性,對所屬企業(分支機構)控制制度和控制方法的有效性,分配製度(激勵機制)的合理有效性,業績考核方式的合理合規性,內控制度的完備性和執行有效性。
(五)財務風險分析
主要分析資產結構的合理性,與本企業主業經營性質的適應性;根據財務報告,分析資產的可流動性和償債能力;匯率、利率變動對企業的影響;財務信息的客觀可靠性、及時性、完整性;財務信息對決策的影響力;投資評價制度的科學合理性,以及對投資主體的激勵作用等。
(六)環境風險分析
主要分析企業外部因素變化給企業帶來的風險,包括資金的供應狀況對企業融資的影響;社會上能夠滿足企業發展需要的人力資源的質量、價格對企業的影響;國家法律和政策變化(如產業政策、金融政策、稅收政策、環保政策、資源政策等)對企業發展的影響;重要客戶、供應商的資信狀況;社會技術進步狀況及發展趨勢對企業發展的影響;經濟全球化的現狀和發展趨勢對企業生存空間及未來發展的影響;國際市場與國內市場變化對企業的影響等。
風險管理評價的目標
進行風險管理評價,如同啟動正式的風險管理工作一樣重要。因為,所有工作都是圍繞企業的目標進行展開的。是否能夠達到預期的設計,需要有明確的目標導向引導工作的進行。如此一來,樹立清晰和可操作的標桿,就可以根據工作進展,及時界定風險管理工作的有效性。實施風險管理工作類似計畫假期旅行:除非選擇了目的地,否則不能隨意上路。同樣,企業不能開始就計畫風險管理工作,除非已經知道最終的目的。當管理層在年度報告中向董事會出具風險管理的報告時,如果肯定地回答出本年度對風險管理的工作卓有成效,並且企業的風險管理系統運行正常、管理有效,則意味著企業年度風險管理工作取得了滿意的成績。
企業建設全面風險管理體系是為了達到以下目標:
(1)從企業經營戰略出發,統一風險度量,建立風險預控機制和應對策略;
(2)明確企業不同層面的風險管理職責,保證風險管理體系的落實;
(3)形成風險信息的收集、分析、報告系統,為風險的實時有效監控和應對提供依據;
(4)有效地規避或減輕可能給企業造成重大損失的風險,保證企業戰略目標的實現;
(5)企業利益相關者能夠了解企業的風險,滿足股東、債權人以及監管機構的要求;
(6)形成一套自我運行、自我完善的風險管理機制;
(7)管理風險,創造價值。
企業全面風險管理體系是從企業整體層面建設企業的風險管理的整體架構,包括制定企業的風險管理戰略、完善企業的內控體系、設計與最佳化企業的風險管理流程、設計企業風險管理組織結構及其職能,從而使企業建立起風險管理的長效機制,從根本上提升風險管理的效率和效果。
風險管理評價的意義
風險管理評價是根據風險管理的理想模式,對企業現行風險管理體系的健全性、遵循性與有效性進行的檢測、分析和評定,其實質是評價企業風險管理體系的設計與執行情況。進行風險管理評價的意義主要體現在三個方面。1.對風險管理制度可行性檢測和改進
由於不同的企業,其經營規模、所面臨的外部經營環境和內部經營環境不同,同樣的風險管理體系在不同單位所產生的效果不盡相同,即使在同一單位,由於內外部各項條件的變化,其不同時期的風險管理與內部控制的效果也不相同。因此,定期或不定期地開展風險管理評價,不斷地調整和完善企業的風險管理體系及內部控制制度,是有效實施全面風險管理的重要手段和必要環節。
2.對風險管理制度貫徹執行情況的檢查和強化
通過風險管理與內部控制評價,不但能夠發現和檢測風險管理與企業內部控制制度的缺陷,而且可以了解員工對風險管理與內部控制制度的執行程度和執行結果,從而提高企業的經營管理水平。
3. 對企業審計和自律監管重點的選擇和確定
隨著現代企業的經營規模和經營業務的不斷擴展,內部審計工作的業務量也不斷加大,監督領域逐步拓寬,涉及企業經營管理的方方面面。在這樣的情況下,如果再採取過去那種事無巨細全面審計的方式,是不可取的。通過風險管理與內部控制評價,可以首先發現風險管理與內部控制失控點和風險點,然後,有所側重地集中力量,針對重點進行審計,從而提高審計工作的準確性和針對性,並降低審計成本。現階段,西方先進的審計理論和方法已經相當科學和完善,內部審計已經發展到以風險管理與內部控制評價為主體、以風險防範為目標、以提高績效為目的的高級階段。
風險管理評價的程式
風險管理評價程式包括評價準備、評價實施、評價報告、評價等級認定、評價結果利用和後續審計等步驟。評價準備
1.收集評價資料為全面掌握評價期內被評價單位風險管理與內部控制狀況,評價機構應收集整理評價期內被評價單位的以下資料:上級單位向被評價單位授權的檔案,以及被評價單位制定的規章制度;被評價單位主要業務經營指標的完成情況和風險指標控制情況;對被評價單位的內外部審計及監管檢查報告、通報、整改通知書等;被評價單位及其下屬單位發生的案件和責任事故情況等。
收集評價資料的方式一般有三種:一是向被評價單位有關管理人員和當事人詢問有關風險管理與內部控制的現狀情況;二是查閱被評價單位有關風險管理與內部控制的規章制度和檔案資料,如果被評價單位編有風險管理與內部控制流程圖或其他專門描述其風險管理與內部控制的檔案資料,可直接索取並加以利用;三是查閱以前年度有關被評價單位風險管理與內部控制方面的審計或評價檔案。如果以前曾對該單位進行過風險管理與內部控制評價,那么,以前的檔案也是評價人員了解被評價單位風險管理與內部控制現狀的一項主要依據。
2.非現場評價結果匯總分析
對評價期內收集的評價資料進行綜合匯總分析,在此基礎上,對非現場評價未涉及和需要進一步核實的評價點,確定為現場評價的重點內容。
3.制定評價方案
在對被評價單位風險管理進行了解分析和非現場評價的基礎上,制定評價實施方案,明確評價的目的、時間、內容、範圍、方法等。
4.組成評價
組抽調審計人員、企業管理專家與專業技術人員等組成評價組。評價人員應經過風險管理與內部控價的培訓,具備相應的評價能力,掌握評價方法和標準。
5.徵求上級單位有關部門對被評價單位的評價意見
評價前向被評價單位的上級單位各有關部門發出《風險管理與內部控制評價徵求意見表》(表1),了解上級單位有關部門對被評價單位風險管理與內部控制狀況的意見。
表1 風險管理與內部控制評價徵求意見表
處室名稱:評價年度:年度
被評價單位名稱 | 年度內本部門各項檢查或業務報告等工作中發現該單位存在的主要管理和風險問題 | 對該單位本部門管理業務風險管理狀況的簡要評價 | 建議本次評價應重點檢查的內容或範圍 | |||
較好 | 一般 | 較差 | 簡要說明 | |||
6.發出《風險管理與內部控制評價通知書》
現場評價前,上級單位向被評價單位發出《風險管理與內部控制評價通知書》(參考格式見表2),同時發出“被評價單位提供資料清單”(參考格式見表3)、“被評價單位各部門提供資料清單”(參考格式見表4)和“風險管理與內部控制評價問卷',要求被評價單位及其各部門按照資料清單的要求提供有關資料。問卷的內容在對被評價單位首次評價時,要求被評價單位全部回答。在之後的評價中,可根據實際情況,選擇問卷的全部或部分內容進行調查。
表2風險管理與內部控制評價通知書
被評價單位:
評價時間 | 年月日至年月日 |
被評價時間 | 年月日至年月日 |
評價的主要內容 | |
被評價單位參與的人員 | |
被評價單位準備的辦公、住宿等條件 | |
備註 |
發文單位:(公章)
年月日
表3被評價單位提供資料清單
資料名稱 | 數量 | 提供時間 | 調閱人簽名 | 歸還日期 | 收回人簽名 |
企業風險管理報告。主要包括的內容:①風險管理的基本情況;②採取的主要措施和成效;③風險管理存在的主要問題:④對以前評價、審計和檢查中發現問題的整改情況;⑤評價期內發生的案件和責任事故情況:⑥進一步加強風險管理的思路等 | |||||
本單位機構設定情況。包括領導人員及其分工、內設部門及其職能、風險管理機構體系構成等 | |||||
本單位的各項規章制度、業務流程圖、自律監管相關檔案和有關資料等 | |||||
年度工作計畫、評價年度工作總結等 | |||||
股東會、董事會、股事會、經理辦公會以及有關專業委員會會議記錄、紀要等 | |||||
內部風險管理部門、審計部門等,對本單位風險管理與內部控制審計、檢查形成的工作底稿和檢查(審計)報告等 | |||||
外部監管部門、中喬機構(包括監事會、政府審計部門、安全、環保等部門、會計師事務所等)對本單位的各項檢查報告、通報等 | |||||
其他: (1) (2) |
表4被評價單位各部門提供資料清單
資料名稱 | 數量 | 所屬部門 | 提供時間 | 調閱人簽名 | 歸還日期 | 收回人簽名 |
本部門年初工作計畫 | ||||||
本部門年度工作總結 | ||||||
本部門職責 | ||||||
本部門人員分工及崗位職責 | ||||||
本部門工作流程 | ||||||
本部門制定的各項規章制度 | ||||||
本部門辦公會議記錄和紀要 | ||||||
有關專業委員會會議記錄和紀要 | ||||||
本部門業務工作會議相關檔案 | ||||||
本部門自律監管相關資料 | ||||||
本單位風險管理機構、內部審計、紀檢監察等部門檢查中涉及本部門的問題及其整改情況 | ||||||
外部監管部門、中介機構(包括監事會、政府審計部門、安全、環保等部門、會計師事務所等)各項檢查中涉及本部門的問題及其整改情況 | ||||||
其他: (1) (2) |
評價實施
1.健全性測試健全性測試主要是了解、檢查和評價企業各種業務和事項中的風險是否被識別,關鍵風險點的定位是否準確,是否有相應的管理和控制制度、措施。健全性測試主要採取以下五種方式進行:
一是問卷調查。現場收集“風險管理與內部控制評價問卷”進行調查、分析,問卷調查結果要作為評價記錄加以保管。
二是詢問調查。現場評價時,首先要召開由評價組成員、被評價單位領導和有關部門負責人參加的進點會談,聽取被評價單位匯報。在進點會談後,評價組可以有針對性地與被評價單位領導及其各部門的負責人和主要業務人員進行座談調查。座談情況要登記《風險管理與內部控制評價調查記錄》(參考格式見表5),作為評價資料歸檔保存。
表5風險管理與內部控制評價調查記錄
編號:
被調查單位 | |||||
被調查人 | 工作部門 | 職務 | |||
調查時間 | 調查地點 | ||||
調查事項 | |||||
調查記錄 | |||||
被調查人簽字 | |||||
調查人簽字 |
三是查閱被評價單位各項管理制度和相關檔案,以及風險管理與內部控制過程中形成的檔案和記錄,如賬本、報表、憑證、各種檔案傳遞及簽閱單、各種記錄、契約、報告等。
四是觀察被審計單位業務活動和內部控制的實際運行情況等,了解被評價單位內部控制體系的基本情況,必要時可進行穿行測試。
五是流程圖比較。根據被評價單位現行的風險管理與內部控制制度,繪製被評價單位主要業務的標準業務流程圖。將標準業務流程圖與被評價單位實際操作流程圖進行比較,初步評價被評價單位風險管理與內部控制體系的健全性和充分性。
評價人員應將通過檢查所了解的被評價單位風險管理與內部控制的現狀,與事先確定的評價模式進行對照,以揭示其風險管理與內部控制措施是否被採用。在相互對照中發現的管理與控制缺陷,評價人員應按不同的性質和內容加以歸類、匯集,並登記在《風險管理與內部控制缺陷登記表》中(表6)。
表6 風險管理與內部控制缺陷登記表
被評價單位:
評價項目 | 管理與控制缺陷 | 潛在錯弊 | 補償性措施 | 重要性 | 備註 |
對於檢查出的管理與控制缺陷,評價人員應通過詢問管理人員或當事人以及查閱有關資料的方式,了解其是否存有補償性措施。倘若存在,評價人員則應進一步分析這些補償性控制措施能否全部抵消管理與控制缺陷的影響,並在“風險管理與內部控制缺陷登記表”中加以說明。
在確定被評價單位風險管理與內部控制缺陷沒有補償性措施或補償性措施不能全部抵消其影響後,評價人員應說明管理與控制缺陷可能產生某些錯弊的性質,以及對整個控制系統的影響程度。如果還存在其他缺陷的話,評價人員還應分析管理與控制缺陷間的相互聯繫及其可能產生的共同影響。
在分析被評價單位風險管理與內部控制系統中所有管理與控制缺陷及其潛在影響的基礎上,評價人員即可對其健全程度作出評價。
如果認為被評價單位的風險管理與內部控制系統是健全的或基本健全的,能夠保證評價人員所關注的管理與控制目標的實現,評價人員即可對該單位的風險管理與內部控制系統予以信賴,並測試其有效性;反之,評價人員則不予信賴,而直接進入實質性評價階段。
2.初步評價
在健全性測試後,評價人員要對被評價單位的風險管理與內部控制狀況進行初步評價,評價內容包括:被評價單位是否存在風險管理與內部控制缺陷;被評價單位對風險管理與內部控制缺陷是否已採取補償措施,採取措施後仍存在的風險和後果等,初步評價結果要登記“風險管理與內部控制健全性測試結果登記表”(參考格式見表7)。
表7 風險管理與內部控制健全性測試結果登記表
風險管理與內部控制制度健全性缺陷 | 已採取的補償措施 | 潛在風險 | 已發生的風險情況(典型案件) |
3.符合性測試和評價
實施健全性測試雖然解決了風險管理與內部控制制度本身設計是否健全完整的問題,但這些只是對規章制度或業務處理方面作出的規定,而在實際業務活動中企業是否貫徹這些規定,特別是有無按規定設定這些管理與控制環節和關鍵控制點,並真正發揮其作用,則需通過符合性測試和評價來解決。
符合性測試和評價,又稱“遵循性測試”,是評價人員為了證實風險管理與內部控制制度在實際工作中是否得到貫徹執行以及貫徹執行程度如何,而對在健全性評價中被認為健全或基本健全的風險管理與內部控制進行的測試評價。
1)符合性測試和評價的範圍和內容
符合性測試的範圍和內容是由健全性測試和評價所確定的,那些經過健全性測試和評價被認為是可以信賴的風險管理與內部控制,就構成了符合性測試的內容,而那些經過健全性評價被認為存在缺陷、錯誤或薄弱的內部控制,則應排斥在符合性測試的範圍之外,而直接列為實質性審計的重點內容。
2)符合性測試的數量
對於列入符合性測試範圍的風險管理與內部控制內容,並不是進行全面審查,而通常是實施抽樣測試。符合性測試的關鍵在於確定適當的樣本數量,這是關係到測試效率和質量的主要問題。樣本數量太小,無法保證抽樣結果的代表性,樣本數量太大,又會增加測試的工作量,影響測試效果。因此,評價人員必須根據評價工作的實際需要,科學地選擇測試樣本的容量。
符合性測試數量的最低限度一般由風險管理與內部控制執行頻率來確定,它與風險管理與內部控制執行頻率成正比。如以一年為一個評價期間,大體可確定樣本數量如表8所示。
表8 符合性測試表
控制發生頻率 | 建議測試樣本數量 |
每日一次 | 2~4 |
每周一次 | 3~8 |
每旬一次 | 4~10 |
每月一次 | 10~25 |
全年次數在1000次以下 | 25~50 |
全年次數在1000次以上 | 50~100 |
3)符合性測試的方法
符合性測試數量確定後,可通過判斷抽樣法、整批抽樣法、分層抽樣法、系統抽樣法和利用隨機數表等方法抽取樣本。也可以以業務循環為基礎、以經營部門為基礎、以財務報表的分類為基礎進行風險管理與內部控制測試。至於測試樣本的方法,主要使用檢查證據、穿行測試(重複執行)和實地觀察等方法。
(1)證據檢查法。證據檢查法是指評價人員在符合性測試和評價中,抽取一定數量的原始檔案、賬表、憑證等書面證據和其他有關證據,檢查其是否存在控制線索,以判斷風險管理與內部控制是否得到有效貫徹執行的方法。其工作原理是:被評價單位的風險管理與內部控制執行情況都要在資料檔案中表現出來,如憑證上的簽章等。
(2)穿行測試法。亦稱重複執行法,是指評價人員在符合性測試和評價中,抽取某項控制系統的幾筆業務,按照被評價單位規定的業務或事項處理程式,從頭到尾地重新執行一遍,以檢查這些業務在辦理過程中是否執行了規定的管理與控制措施,並通過其處理結果是否相符來判斷各項風險管理與控制措施能否有效發揮作用的技術方法。
(3)實地觀察法。是指評價人員在符合性測試和評價中,身臨被評價單位的工作現場,實地觀察有關人員的實際工作情況,以察看其規定的風險管理與控制措施是否得到嚴格執行的技術方法。
上述三種方法的適用範圍如表9所示。
表9符合性測試方法和控制類型表
控制類型 | 測試方法 | ||
證據檢查法 | 穿行測試法 | 實地觀察法 | |
財產保護控制 | 次要 | 不適用 | 主要 |
授權審批控制 | 主要 | 不適用 | 不適用 |
預算控制 | 次要 | 不適用 | 主要 |
職務分離控制 | 主要 | 次要 | 不適用 |
會計系統控制 | 主要 | 不適用 | 次要 |
運營分析控制 | 次要 | 不適用 | 主要 |
稽核控制 | 主要 | 次要 | 不適用 |
4)符合性測試表
對於符合性測試結果,通常登記在《符合性測試表》(表10)中,以作為符合性評價和日後查閱的依據。
表10符合性測試表
被評價單位:
測試項目 | 測試方法和數量 | 測試結果 | 被查人員 | 評價人員 | 日期 | 備註 |
5)符合性評價
符合性測試完畢,評價人員匯總符合性測試表記錄的單項測試結果,著重將風險管理與內部控制系統的薄弱環節和失控環節整理出來,對其失控性質、失控程度和潛在影響進行逐項分析,然後對風險管理與內部控制在實際工作中的執行與否和執行程度作出評價。如果關鍵控制點或多數一般控制點失去控制,則表明風險管理與內部控制無法發揮管理與控制功能,可以作出直接進行實質性審計的結論;如果是少數一般控制點執行不利或全部控制點都執行良好,則進入綜合性評價。
4.實質性測試
實質性測試是在符合性測試的基礎上,針對風險管理與內部控制缺陷和可能產生的後果,運用檢查、觀察、查詢及函證、計算、分析性覆核等方法,對被評價單位的業務項目進行直接審查的過程。實質性測試確定測試的重點領域時,應當考慮以下幾個方面:缺少風險管理與內部控制的重要業務領域;風險管理與內部控制設定不合理、控制目標不能實現的領域:風險管理與內部控制沒有發揮作用的領域。
5.風險管理內部控制指標分析
評價小組應對收集掌握的被評價單位風險管理與內部控制指標進行核實、對比分析和趨勢分析,對風險管理與內部控制目標的實現情況作出評價。
6.綜合評價
評價組根據現場和非現場評價情況,登記評價日記和評價工作底稿。在集體討論的基礎上,按照評價標準對每個評價要點進行評級,填寫《風險管理與內部控制評價計分表》。
評價報告
評價組要對評價結果進行歸納整理、統計分析和綜合匯總,撰寫評價報告,並徵求被評價單位的書面意見。評價組要將評價報告、被評價單位的書面意見以及評價日記、工作底稿等相關資料一併報送評價委託單位。評價報告正文內容包括基本情況、評價結果、評價分析等三部分。
1.基本情況主要包括以下內容
(1)企業概況、主要業務類型和經營範圍、與生產經營相關的風險管理與內部控制環境等。
(2)問卷調查的基本情況,企業風險管理與內部控制體系中的關鍵風險點及其配套制度的建設、執行情況等。
(3)企業在集團總體戰略目標規劃下,督促子企業建立健全風險管理與內部控制的實際管理情況等。
(4)如果企業由於行業性質、戰略目標和風險管理理念等因素可能存在特定風險,還應詳細介紹該特定風險的實際控制情況等。
(5)企業風險管理與內部控制管理機構的職責許可權、獨立性和實際運行狀況,風險管理與內部控制監督檢查工作的內容、程式、方式,以及相關工作報告的匯報對象和落實情況等。
2.評價結果主要包括以下內容
(1)企業集團、集團總部以及樣本子企業的定量和定性評價結果,在風險管理與內部控制建設與執行方面取得的主要成績和存在的主要不足。
(2)按照集團總部和樣本子企業,逐項列示存在的重大違規事項和重大風險管理與內部控制缺陷。
(3)根據集團總部和樣本子企業的評價結果繪製定性評價結果散點圖,詳細說明各樣本測試單位定性評價結果的整體分布情況及其對企業集團整體定性評價結果的影響。
3.評價分析主要包括以下內容
(1)根據企業集團的定量評價結果和定性評價結果散點圖,結合風險管理與內部控制評價工作的實際情況,分析企業集團整體的風險管理與內部控制水平。
(2)逐項說明重大違規事項的過程、原因和涉及金額或產生的影響。分析風險管理與內部控制設計的健全性和合理性,如果屬於風險管理與內部控制執行問題,還應分析其未發揮應有作用的原因。
(3)逐項說明重大風險管理與內部控制缺陷,用圖表、文字等形式對相關業務流程進行具體描述。分析相關風險管理與內部控制設計的健全性和合理性,如果屬於風險管理與內部控制執行問題,還應分析其未發揮應有作用的原因。
(4)針對集團總部和樣本子企業,逐項分析風險管理與內部控制存在缺陷的主要環節、原因及其影響,並提出完善建議。
(5)詳細說明集團總部和樣本子企業對評價結果的反饋意見、雙方存在較大分歧的內容和各自依據。
風險管理評價報告附屬檔案應當包括樣本測試單位、各項評價指標以及各項權重的確定情況,調整評價指標或權重的理由和具體調整情況,樣本測試單位評價結果匯總表等。
風險管理評價報告應當以充分、適當的測試證據為依據,形成評價結論。
後續審計或評價
風險管理與內部控制評價工作結束後,委託單位還要組織後續審計或評價,跟蹤檢查被評價單位問題整改情況和處罰處理決定執行情況等。後續審計或評價可以安排在下一次評價時,也可以與其他審計或評價項目合併進行。風險管理評價體系
風險管理評價主要是對企業風險管理狀況的評價,包括企業風險管理環境、企業風險識別與評估、企業內部控制、風險管理信息交流與反饋、風險管理監督與改進、風險管理與案件和責任事故評價等六個評價系統。1.企業風險管理環境評價系統(占評價總權重的25%)
評價的主要內容包括:風險管理組織體系是否建立健全,主要包括規範的公司法人治理結構(包括對予公司的控制);風險管理職能部門、內部審計部門和法律事務部門以及其他有關職能部門、業務單位的組織領導機構是否健全;股東(大)會、董事會、監事會與經理層、各職能部門之間的權責分配是否合理,職責分工是否明確,報告關係是否清晰;是否制定了明確、適宜、有效的風險管理與內部控制政策;是否建立了風險管理目標;是否建立了符合風險管理與內部控制要求的授權管理體系;是否制定了完整的人力資源政策,是否建立了完善的人力資源管理體系;是否建立了法律風險管理體系;是否培育和塑造了良好的風險管理文化等。
2.企業風險識別與評估評價系統(占評價總權重的10%)
評價的主要內容包括:是否建立了風險識別、評估的機制和程式,並進行持續的風險識別和評估;是否及時識別、系統分析經營活動中與實現內部控制目標相關的風險,合理確定風險應對策略;是否及時改進風險管理與內部控制制度、有效地防範和控制風險;是否建立了風險與危機預警系統;是否建立了風險應急、危機處理和相應的防範措施等。
3.企業內部控制評價系統(占評價總權重的50%)
評價的主要內容包括:內部控制是否貫穿決策、執行和監督全過程,是否覆蓋企業及其所屬單位的各種業務和事項;各項業務、事項和各個職能部門是否執行和實施了有效的相互制約、相互監督等內部制衡措施;各項業務和事項是否按照組織控制、許可權控制、目標控制、措施控制、流程控制等環節進行管理和控制等。內部控制評價系統包括10個子系統:
(1)企業預算內部控制評價(占內部控制評價權重的5%)。
(2)企業籌資內部控制評價(占內部控制評價權重的5%)。
(3)企業投資內部控制評價(占內部控制評價權重的5%)。
(4)企業財務內部控制評價(包括貨幣資金、存貨、固定資產、無形資產、工程項目、成本費用、擔保、關聯方交易、財務報告編制與信息披露等)(占內部控制評價權重的55%)。
(5)企業採購內部控制評價(占內部控制評價權重的5%)。
(6)企業銷售內部控制評價(占內部控制評價權重的5%)。
(7)企業質量內部控制評價(占內部控制評價權重的5%)。
(8)企業安全生產內部控制評價(占內部控制評價權重的5%)。
(9)企業環境保護內部控制評價(占內部控制評價權重的5%)。
(10)企業併購內部控制評價(占內部控制評價權重的5%)。
4.風險管理信息交流與反饋評價系統(占評價權重的5%)
評價的主要內容包括:是否建立了適用的、覆蓋企業全部業務和事項的信息系統;決策層、管理層是否能夠掌握充分、綜合、可靠、連續的財務、經營以及影響決策的其他內外部信息;是否建立了內部上下之間、內外部橫向之間信息交流機制和渠道;信息是否能夠及時、安全、準確、可靠地傳遞、存儲和使用等。
5.風險管理監督與改進評價系統(占評價權重的10%)
評價的主要內容包括:業務部門、風險管理部門、審計部門、紀檢監察部門等是否對風險管理和內部控制規章制度、業務流程的建設和執行情況進行連續的監管;監管活動是否合規;是否建立了監管結果直接向管理層、決策層和股東或股東大會報告的機制;監管中發現的風險管理和內部控制缺陷是否及時報告並得到有效糾正。包括四個評價子系統:
(1)審計監督評價(占風險管理監督與改進評價權重的15%)。
(2)紀檢監察監督評價(占風險管理監督與改進評價權重的15%)。
(3)自律監管評價(占風險管理監督與改進評價權重的40%)。
(4)問題整改評價(占風險管理監督與改進評價權重的30%)。
6.案件和責任事故評價(占總體權重的-10%)
評價的主要內容包括:企業是否發生了重大的風險或內部控制失誤事件;如果沒有發生重大的風險或內部控制失誤事件則計零分;如果發生了重大的風險或內部控制失誤事件,但損失和影響較小且及時採取了補救措施,則適當扣分;如果企業發生了重大的風險或內部控制失誤事件,本評價指標要全部扣分,但最高扣10%。