1、內控與風險管理手冊（一）體系框架分冊二一一年一月目錄公司介紹11 手冊使用說明21.1.編制目的、意義及原則21.1.1 手冊編制的目的與意義21.1.2 手冊編制的原則21.2 手冊結構31.2.1 手冊結構及內容概要31.2.2 手冊的特征41.3.手冊使用說明71.3.1 使用要求71.3.2 管理與維護71.3.3 編寫與發布71.3.4 發放71.3.5 維護72 內部控制體系基本框架92.1 總則92.1.1 框架編制的目的92.1.2 框架編制的依據92.1.3 框架編制的思路與方法92.1.4 體系框架的實施102.2編制原則102.2.1 先進性與實用性相結合102.2.2

2、方法論與操作性相結合102.2.3 繼承性與包容性相結合102.2.4 滿足外部監管與提升內部管理相結合112.3 參考標準112.3.1 財政部等五部委企業內部控制基本規范及配套指引112.3.2 國資委中央企業全面風險管理指引132.3.3 上交所、聯交所內部控制相關的指引與守則142.3.4 COSO內部控制整體框架及企業風險管理整合框架152.4 適用范圍192.5 內部控制體系框架的主要內容192.5.1 內部環境192.5.2 風險評估212.5.3 控制活動232.5.4 信息與溝通252.5.5 內部監督273 內部環境293.1 概述293.2構成要素294 風險評估314.

3、1 概述314.2構成要素314.3公司層面與業務流程層面風險評估及應對325 控制活動345.1 概述345.2 控制活動的實施345.3 控制活動有效性評價345.4 流程體系文件建模規范355.5 權限指引356信息與溝通366.1 概述366.2 構成要素366.3. 內部控制與全面風險管理信息平臺367 內部監督387.1 概述387.2 構成要素38附錄一：流程編碼規則40公司介紹北京第六大洲房地產開發有限公司是中鐵房地產集團有限公司旗下的全資子公司，于 2008 年 8 月 21 日在北京市朝陽區注冊成立，注冊資金 2000 萬元。公司目前在朝陽區已取得土地 206 畝，開發面積

4、 45 萬平方米。1手冊使用說明1.1.編制目的、意義及原則手冊編制的目的與意義隨著公司規模不斷擴大、項目開發日益深入和市場競爭日益加劇，以及國家各部委、外部監管機構對公司管控力度的不斷加強，為進一步加強公司內部控制，提升公司風險管理水平，實現公司健康、良性發展，公司特編制內控與風險管理手冊（以下簡稱“本手冊”），作為公司建立、執行、評價及維護內控與風險管理體系的指導和依據。通過編制內控與風險管理手冊，建立一套科學、系統的內部控制體系建設的方法和規范，為公司內部控制體系建設、運行和維護提供指引，并作為建立、運行及評價內部控制體系的依據，從而確保公司上下思想上、認識上對內部控制體系保持高度統一，

5、最終實現行為上的統一。手冊編制的原則內控與風險管理手冊是以財政部等五部委企業內部控制基本規范及配套指引、國資委中央企業風險管理指引、上交所和聯交所的相關指引以及COSO內部控制整合框架和COSO企業風險管理整合框架為基礎，結合北京第六大洲房地產開發有限公司實際情況編制而成的。1.2 手冊結構1.2.1手冊結構及內容概要本手冊包括六個分冊，即體系框架分冊、內部環境分冊、風險評估分冊、控制活動分冊、信息與溝通分冊及內部監督分冊。1.2.1.1 體系框架分冊描述了內部控制體系組織結構與職責，較為全面地闡述了內部控制體系的建設目標，并以財政部等五部委企業內部控制基本規范為指引，參考企業內部控制配套指引

6、，從內部環境、風險評估、控制活動、信息與溝通和內部監督五個方面對內控關注要點及相應措施進行了較為全面、系統的闡述；1.2.1.2 內部環境分冊描述了內部環境的概念，并從描述內部環境的概念及要素，從治理結構、機構設置與權責分配、內部審計、人力資源政策、企業文化五個方面對內部環境各要素關注要點、控制措施進行闡述；1.2.1.3 風險評估分冊描述風險和風險評估的基本概念，從風險評估原則、基本程序、公司層面風險評估及應對、流程層面風險評估及應對四個方面對風險評估關注要點及相應措施進行闡述，并匯編公司層面和流程層面風險評估的相關成果及文檔；1.2.1.4 控制活動分冊描述控制活動的概念及分類，從控制活動

7、實施、控制活動有效性評價和權限指引三個方面對控制活動的關注要點及相應措施進行闡述，并匯編控制活動的相關文檔及資料；1.2.1.5 信息與溝通分冊描述了信息與溝通的概念及要素，從信息采集、信息溝通、信息系統、反舞弊機制以及內部控制與全面風險管理信息平臺五個方面對內控關注要點及相應措施進行了闡述，并匯編了關鍵控制信息；1.2.1.6 內部監督分冊描述了內部監督的概念及要素，并從日常監督、專項監督、缺陷跟蹤和內部控制評價四個方面對內控關注要點及相應措施進行了闡述，并匯編了相關模板。以上六本手冊相對自成一體，并與公司企業文化和制度體系相輔相成，共同構成了支撐公司有效運營的內控與風險管理體系。1.2.2

8、手冊的特征1.2.2.1 管理積淀與管理創新相結合本手冊是在總結公司成立以來的管理經驗及借鑒其他優秀公司管理經驗基礎上編制而成，是管理經驗的沉淀和提煉。同時將先進的風險管理和流程管理理念融合在一起，在推動公司業務標準化、規范化運作的基礎上，為后續公司內控管理體系的優化奠定基礎。1.2.2.2 貫徹風險預控的管理理念本手冊貫徹以風險為導向的內部控制理念，強調事前和過程控制，在構建良好的內部環境基礎上把管理風險作為內部控制的目標，將業務活動所對應的風險以風險控制矩陣（RCM）的形式進行提煉，實現風險預控和標準化管理。1.2.2.3 對現有管理體系的融入與整合本手冊以風險管控為主線，將管理理念和企業

9、文化貫穿于其中，要求北京第六大洲房地產開發有限公司從風險的視角出發，將內部控制的原則和方法緊密結合到制度和流程建設中，形成公司相互融合、協調一致的有機整體。1.2.2.4 具有廣泛適用性和前瞻性本手冊以財政部等五部委企業內部控制基本規范及配套指引為指導，在借鑒國際較為成熟的內部控制和風險管理框架的基礎上，立足中國國情，并充分考慮了公司的實際情況，為各項業務活動提供了具體的操作指引，在覆蓋現有業務活動的同時，也能適應未來一定時期業務發展的需要。1.2.2.5 具有強制性和約束性本手冊明確了公司建立內部控制體系及框架所需遵循的標準，規范了管理層及員工的管理與業務控制活動，不僅適用于公司治理層面的控

10、制，同時適用于經營管理層面的控制，具有廣泛的約束性，一經批準發布，北京第六大洲房地產開發有限公司必須嚴格執行。1.3.手冊使用說明1.3.1使用要求本手冊是公司重要文件，屬公司機密。使用者應按相關保密要求正確使用，未經批準，不得復制，不得對外泄露。在使用過程中遇到疑難問題，及時向風險及內控管理工作小組咨詢。1.3.2管理與維護風險及內控管理工作小組對本手冊進行規范管理，以保證其有效、完整、統一和適用。1.3.3編寫與發布本手冊由風險及內控管理工作小組組織編寫，總經理辦公會審議，經董事會批準，北京第六大洲房地產開發有限公司行文發布。1.3.4發放本手冊須按發放范圍統一發放。發放范圍（一般包括總經

11、理、副總經理、體系覆蓋范圍及特殊使用者）由風險及內控管理工作小組提出，經總經理批準執行。1.3.5維護本手冊的維護是一項長期性、經常性的重要工作，需要公司各部門高度重視，積極參與，大力配合。本手冊的修訂、維護由風險及內控管理工作小組負責。每年，風險及內控管理工作小組將根據相關法律法規的要求、內外部審計對公司內部控制的評價、公司內控管理中出現的新問題、各部門及所屬各單位反饋的意見及建議等，對本手冊進行修訂，提交總經理辦公會審議，經董事會批準，北京第六大洲房地產開發有限公司行文發布。風險及內控管理工作小組應及時掌握本手冊的執行情況，并采取有效措施確保內部控制管理體系的有效運行。2內部控制體系基本框

12、架2.1 總則框架編制的目的通過確定內部控制體系建設目標，明晰內部控制體系建設的范圍和內容，為公司建設“以風險為導向，以內部控制為手段”的內控與風險管理體系提供指引，以建立統一、規范、有效的內部控制體系，增強公司風險防范能力，為公司戰略發展提供可靠保障。2.1.2框架編制的依據財政部等五部委企業內部控制基本規范及配套指引；國資委中央企業全面風險管理指引；上交所上市公司內部控制指引；聯交所企業管治常規守則和內部監控與風險管理的基本架構；COSO內部控制整體框架及COSO企業風險管理整合框架及公司相關管理規定。2.1.3框架編制的思路與方法在現有內控體系框架的基礎上，根據財政部等五部委企業內部控制

13、基本規范及配套指引的主要內容和要求，參照國資委中央企業全面風險管理指引的基本要求，結合上交所、聯交所以及COSO內部控制整體框架和企業風險管理整合框架的先進理論，汲取國內外其他公司內部控制體系建設的先進經驗，根據公司管理實際編制內部控制體系框架。2.1.4體系框架的實施框架明確了公司內控與風險管理的工作任務和基本標準，是制定內控與風險管理工作規劃的主要依據。框架確定的工作目標和內容將在今后分年度逐步建立健全。2.2編制原則先進性與實用性相結合本手冊參考了國內、國際先進的內部控制與企業風險管理理論、國內外大型企業集團的風險管理與內部控制實踐，立足于北京第六大洲房地產開發有限公司自身的戰略目標和管

14、理特點，力求與現有的管理程序相銜接，充分考慮實際管理工作的可行性與可操作性。方法論與操作性相結合本手冊的內容涵蓋了內部控制體系的各個要素和環節，對北京第六大洲房地產開發有限公司建設和運行內部控制體系提出了一套完整的方法論和指導原則，同時針對風險識別、風險評估、風險控制、內部控制評價等常規性工作，制定了具體的操作指引和工作模版。繼承性與包容性相結合本手冊與公司現行的管理制度體系相結合，力求與其他制度相融合，對于已不適用的其他各項管理制度，應對照本手冊的規范要求及時修改、完善。滿足外部監管與提升內部管理相結合公司的內部控制工作既要為戰略目標實現提供合理保障，又要滿足財政部、國資委、證監會的監管要求

15、。本手冊的編制以滿足外部監管要求為出發點，以提升公司內部控制水平為落腳點，兼顧了內外部的風險管理與內部控制要求。2.3 參考標準為了確保內部控制體系建設的規范化、標準化及合規化，本手冊的編制參考了目前國內、國際通行的內部控制與風險管理標準，包括財政部等五部委企業內部控制基本規范及配套指引、國資委中央企業全面風險管理指引、上交所、聯交所的內部控制相關指引與守則、COSO內部控制整體框架和COSO企業風險管理整合框架等。財政部等五部委企業內部控制基本規范及配套指引2008年6月，財政部會同證監會、審計署、銀監會、保監會制定并發布了企業內部控制基本規范（以下簡稱基本規范），對上市公司內部控制與風險管

16、理工作開展提出了明確要求，并鼓勵非上市的大中型企業執行，旨在加強和規范公司內部控制，提高公司經營管理水平和風險防范能力，促進公司可持續發展，維護社會主義市場經濟秩序和社會公眾利益。基本規范在形式上借鑒了COSO 報告的五要素框架，同時在內容上體現了風險管理八要素框架的實質，構建了以內部環境為重要基礎、以風險評估為重要環節、以控制活動為重要手段、以信息與溝通為重要條件、以內部監督為重要保證，相互聯系、相互促進的五要素內部控制框架。其中：內部環境：內部環境是企業實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。風險評估：風險評估是企業及時識別、系統分析經

17、營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。控制活動：控制活動是企業根據風險評估結果，采用相應的控制措施，將風險控制在可承受范圍之內。信息與溝通：信息與溝通是企業及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業內部、企業與外部之間進行有效溝通。內部監督：內部監督是企業對內部控制建立與實施情況進行監督檢查，評價內部控制的有效性，發現內部控制缺陷，應當及時加以改進。2010年4月，財政部等五部委又聯合頒布了企業內部控制配套指引，并自2011年1月1日起首先在境內外同時上市的公司施行，自2012年1月1日起擴大到在上交所、深交所主板上市的公司施行；在此基礎上，擇機在中小板和

18、創業板上市公司施行；同時，鼓勵非上市大中型企業提前執行。配套指引的制定發布，標志著以防范風險和控制舞弊為中心、以控制標準和評價標準為主體，結構合理、層次分明、銜接有序、方法科學、體系完備的企業內部控制規范體系基本建成。企業內部控制配套指引包括18項企業內部控制應用指引、企業內部控制評價指引和企業內部控制審計指引。其中，企業內部控制應用指引是對企業按照內控原則和內控“五要素”建立健全本企業內部控制所提供的指引。應用指引可以劃分為三類，即內部環境類指引、控制活動類指引、控制手段類指引，基本涵蓋了企業資金流、實物流、人力流和信息流等各項業務和事項，在配套指引乃至整個內部控制規范體系中占居主體地位。企

19、業內部控制評價指引是為企業管理層對本企業內部控制有效性進行自我評價提供的指引。企業內部控制審計指引是為注冊會計師和會計師事務所執行內部控制審計業務的執業準則。三者之間既相互獨立，又相互聯系，形成一個有機整體，連同此前發布的企業內部控制基本規范，標志著適應我國企業實際情況、融合國際先進經驗的中國企業內部控制規范體系基本建成。國資委中央企業全面風險管理指引2006年6月，國資委根據企業國有資產監督管理暫行條例（國務院令第378 號）關于“國有及國有控股企業應當加強內部監督和風險控制”的要求，出臺了中央企業全面風險管理指引（簡稱指引），旨在進一步加強和完善國有資產監管工作，深化國有企業改革，加強風險

20、管理，促進企業持續、穩定、健康發展。指引對中央企業開展全面風險管理工作的總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監督與改進、風險管理信息系統等方面進行了詳細闡述，要求各中央企業把風險管理作為企業各項管理工作的主線，將風險管理要求融入企業管理和業務流程中去，盡快建立和完善全面風險管理體系。指引指出，全面風險管理，是企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，建立健全全面風險管理體系，包括風險管理策略、風險管理組織體系、風險管理信息系統和內部控制系統，從而為實現風險管理總體目標提供合理保證的過程和方法。2.3.3上交所、聯交所內

21、部控制相關的指引與守則.1 上交所上市公司內部控制指引2006年6月，上海證券交易所（簡稱“上交所”）根據證監會關于提高上市公司質量意見等法律法規，制定發布了上市公司內部控制指引，明確要求在本所上市的公司應當建立健全內部控制制度，保證內控制度的完整性、合理性及實施的有效性，以提高公司經營的效率與效果，增強公司信息披露的可靠性，確保公司行為合法合規；同時要求公司董事會應在年度報告披露時披露年度內部控制自我評估報告，并根據實際執行情況披露會計師事務所對內部控制自我評估報告的核實評價意見。.2 聯交所企業管治常規守則及內部監控與風險管理的基本架構2004年11月，香港聯合交易所（簡稱“聯交所”）公布

22、了企業管治常規守則（簡稱守則），提出了上市公司的管治原則、守則條文和建議最佳常規等，并要求上市公司按規定披露內部控制等信息。守則第C.2 條列出了有關內部監控的條文，以及建議在企業管治報告中披露上市公司內部監控資料的規定。2005年，聯交所邀請香港會計師公會（簡稱“公會”）制定進一步指引，以協助上市公司了解及實施守則內有關內部監控的規定，并制訂其內部監控程序。公會接受聯交所邀請，制訂了內部監控與風險管理的基本架構（簡稱內部監控架構），為上市公司提供內部監控基本架構的一般指引及建議。內部監控架構采用了COSO 內部控制整合框架所提供的模式、定義及概念性架構，明確內部監控系統是為企業實現營運的效益

23、及效率、財務匯報的可靠性、遵守適用的法律規則三個目標而提供合理保證的程序，并提出完善內部監控系統的五個互相關聯的要素：監控環境、風險評估、監控活動、資訊及溝通、監察。 COSO內部控制整體框架及企業風險管理整合框架COSO是美國反虛假財務報告委員會下屬的發起人委員會（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文縮寫。COSO是自愿性的私人組織，致力于通過強化商業道德、建立完善有效的內部控制和法人治理結構以提高財務報告的質量。19

24、85年，由美國注冊會計師協會（AICPA）、會計協會（AAA）、財務經理協會（FEI）、內部審計師協會（IIA）、管理會計師協會（IMA）聯合創建了反虛假財務報告委員會。該委員會旨在探討財務報告中舞弊產生的原因，并尋求解決措施。兩年后，該委員會提出了很多有價值的建議。基于該委員會的建議，其贊助機構成立了COSO委員會，專門研究內部控制問題。反虛假財務報告委員會于1987年簽署了報告，號召研究并制定一個統一的內部控制框架。1992年9月，COSO委員會提出了報告內部控制整體框架（1994年進行了增補），即COSO內部控制框架。COSO內部控制框架被廣泛地選擇作為構建和完善內部控制體系的標準，是因

25、為：雖然COSO內部控制框架并非唯一的內部控制框架，但卻是美國證券交易委員會唯一推薦使用的內部控制框架，薩班斯奧克斯利法案第404條款的“最終細則”也明確表明COSO內部控制框架可以作為評估公司內部控制的標準。COSO內部控制框架提出五個互相關聯的組成要素，根據公司的規模和結構，公司可采用不同的方式來實施這些組成要素，但是所有公司都必須涉及這五個組成要素。因此，在對內部控制進行評估時，管理層必須考慮以下每個組成要素：控制環境：控制環境是內部控制體系的基礎，是有效實施內部控制的保障，直接影響著公司內部控制的貫徹執行、公司經營目標及整體戰略目標的實現。控制環境確定了公司的總體態度，是內部控制所有其

26、他組成要素的基礎。控制環境包括職業道德、員工的勝任能力、管理理念和經營風格、組織結構、權利和責任的分配、人力資源政策與措施以及董事會與審計委員會以及反舞弊等內容。風險評估：風險評估是識別及分析影響公司目標實現的風險的過程，是風險管理的基礎。在風險評估中，應識別和分析對實現目標具有阻礙作用的風險。控制活動：控制活動是確保管理層的指令得到貫徹執行的必要措施，存在于整個機構內所有級別和職能部門。包括批準、授權、查證、核對、經營業績評價、資產保全措施和職責分工等活動。信息與溝通：信息與溝通是公司經營管理所需的信息被識別、獲得并以一定形式及時地傳遞，以便員工履行職責。信息不僅包括內部產生的信息，還包括與

27、公司經營決策和對外報告相關的外部信息。暢通的溝通渠道和機制使公司的員工能及時取得他們在執行、管理和控制公司經營過程中所需的信息，并交換這些信息。監督檢查：監督檢查是對內部控制體系有效性進行評估的持續過程，包括持續監控、獨立評價和缺陷報告等。在2001年以后，特別是安然事件發生以后，企業風險管理成為焦點而受到突出關注，需要一個強有力的框架有效地識別、評估和管理風險。2004年9月，COSO委員會發布企業風險管理整合框架，在內部控制的基礎上，擴展、提供了一個更強有力的框架，更廣泛地專注企業的全面風險管理。該框架不會取代內控框架，而是將內控框架與其融合為一體。公司仍可以決定依靠這個企業風險管理框架去

28、滿足企業內控的需要，通過采用更全面的風險管理方法使企業持續發展。企業風險管理由八項相互關聯的要素組成，來自管理層經營企業的方式，并融入管理過程本身。這些要素包括：控制環境：控制環境包含了一個企業的基調，為該企業管理層和員工審視和應對風險的方式制定基礎，包括風險管理理念和風險容量、誠信和道德價值觀以及他們進行經營活動所處的環境。目標制定：在管理層能夠識別影響目標實現的潛在事件之前，企業必須已制定目標。企業風險管理確保管理層使制定目標的流程到位，并保持選擇的目標支持企業的使命并與此并行不悖，同時這些目標也與企業的風險容量相一致。事件識別：必須識別出影響企業實現目標的各種外部和內部事件，并區分風險和

29、機遇。可以在管理層制定企業戰略或目標的過程中對機遇加以考慮。風險評估：應對風險進行分析，考慮其發生的可能性和影響，以作為確定應如何管理風險的基礎。還應對企業固有風險及殘存風險進行評估。風險應對：管理層選擇風險反應方案：規避風險、接受風險、減少風險或分擔風險，采取一系列措施使風險維持在企業的風險承受范圍和風險容量范圍之內。控制活動：確立和實施政策和程序，以有助于確保風險反應方案得以有效地貫徹執行。信息與溝通：相關信息在一定時限內以某種形式被識別、獲得和傳達溝通，以便使員工履行自己的職責。從廣義上講，有效的溝通也應自上而下、自下而上地進行，貫穿整個企業。監督檢查：監控整個企業風險管理過程，并根據需

30、要作出修改。通過持續性監控活動、獨立評價或兩者兼而有之來完成監控。圖1-1 COSO企業風險管理體系模型2.4 適用范圍本手冊適用于北京第六大洲房地產開發有限公司。2.5內部控制體系框架的主要內容2.5.1內部環境內部環境是內部控制體系建設的基礎，是有效實施內部控制的保障，直接影響著內部控制的貫徹執行、公司經營目標及整體戰略目標的實現。內部環境確定了公司對內部控制體系建設的總體態度，是內部控制所有其他組成要素的基礎。公司內部環境包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等內容。.1治理結構建立規范的公司治理結構（包括董事會、監事會和經理層），并制定相應的議事規則，明確決

31、策、執行、監督等方面的職責權限，形成科學有效的職責分工和制衡機制。.2 機構設置及權責分配在治理結構所確定的內控基本組織框架基礎上，設立滿足公司經營管理所需要的職能機構，將內部控制管理的各項要求融入公司管理和業務流程中，明確職責權限，建立完善的權責管理體系，制定完善的授權管理文件，將權利和責任落實到各責任單位和部門，進一步健全公司的內部控制管理組織體系。.3 內部審計建立完善的內部審計工作程序與機制，明確內部審計的范圍、責任、權限以及人員的勝任能力等，保證內部審計機構設置、人員配備和工作的獨立性；健全內部審計機構對內部控制有效性的監督檢查及報告機制。.4 人力資源政策制定完善的員工招聘、培訓、

32、辭退與辭職、薪酬、考核、晉升與獎懲、關鍵崗位的強制休假和定期輪崗、重要崗位員工離崗的限制等政策及程序，健全公司管理人員的任用選拔、管理考核和激勵監督機制，有效地保證內部控制在公司中的順利實施。.5 企業文化繼承和發揚公司企業文化，體現公司的經營宗旨、價值觀念和行為準則；將風險管理文化融入企業文化建設全過程，樹立和傳播正確的風險管理理念，增強守法意識和誠信意識，將風險管理意識轉化為員工的共同認識和自覺行動，提高全員風險意識；公司高級管理人員應在繼承和發揚風險管理文化中發揮表率作用，中層管理人員應在繼承和發揚風險管理文化中發揮骨干作用。加強全體員工的法制教育，增強董事、監事、經理及其他高級管理人員

33、和員工的法制觀念，建立健全公司的法律顧問制度和重大法律糾紛備案制度，保證各項重要業務活動的依法決策、依法辦事和依法監督。2.5.2風險評估風險是指未來的不確定性對公司實現其目標的影響。風險評估是及時識別、科學分析和評估影響公司目標實現的各種不確定因素并制定應對策略的過程，是實施內部控制的重要環節。在風險評估中，既要識別和分析對實現目標具有阻礙作用的風險，也要發現對實現目標具有積極影響的機遇。公司應制定完善的風險評估規范，明確風險評估的范圍、程序和方法，規范公司的風險評估工作。公司風險評估工作由企業發展部組織有關職能部門和業務單位實施。.1 風險評估范圍公司針對戰略目標、經營目標、報告目標、合規

34、目標和資產安全目標，分別確認風險評估的范圍。.2 風險評估的基本程序1. 目標設定與初始信息收集。公司在進行風險評估時，需根據設定的控制目標，全面系統持續地收集相關信息，結合實際情況，及時進行風險評估。圍繞公司戰略目標和相關目標以及風險管理要求，相關職能部門、業務單位和內控管理部門廣泛、持續收集與公司風險及風險管理相關的各種內、外部信息，包括收集歷史數據和未來信息，關注宏觀經濟與經營環境、競爭對手、新技術與新產品、海外經營、公司重組、業務整合、會計政策、信息系統、資本運作等方面已經發生和將要發生的變化情況。2. 風險識別。風險識別是指查找公司各項重要經營管理活動及其重要業務流程中存在的影響目標

35、實現的風險和機遇的過程。公司應動態識別影響公司戰略目標及相關目標實現的、內部和外部的各種不確定性因素。其中，帶負面影響的因素代表風險，需要對其進行分析和應對；帶正面影響的因素代表機遇，在制定目標和政策實施過程中應對其加以考慮并把握。3. 風險分析。風險分析是針對識別出的風險，進一步分析風險發生的可能性和對公司實現目標的影響程度的過程。公司可以綜合運用定性和定量的方法，對風險發生的可能性和影響程度進行分析、評價，并按照風險分析結果確定風險重要性水平，識別公司重大風險，確定風險管理的優先順序。4. 風險應對。風險應對是針對風險發生的原因、風險重要性水平，考慮風險之間的關系并把握機遇，綜合運用風險規

36、避、風險降低、風險分擔和風險承受等策略，確定風險應對策略的過程。.3 風險庫公司按照規定的程序和方法開展風險評估后，識別出公司層面和流程層面的風險事項，結合風險發生的層次、重要性水平和應對策略，建立與維護公司層面和業務流程層面的風險庫。2.5.3控制活動控制活動是指公司根據風險評估結果，采用相應的控制措施，將風險控制在可承受范圍之內。控制活動是確保管理層關于風險應對策略得以貫徹執行的政策和程序，存在于公司所有級別的分支機構和職能部門，包括不相容職務分離、授權審批、會計系統、財產保護、預算、運營分析、績效考評、突發事件應急等。公司應根據內部控制目標，將控制措施與風險應對策略相結合，針對各類風險或

37、每一項重大風險所涉及的各管理及業務流程，制定涵蓋各個環節的全流程控制措施；對其他風險所涉及的業務流程，要把關鍵環節作為控制點，采取相應的控制措施。公司應當按照各有關部門和業務單位的職責分工，組織實施控制措施。針對面臨的各項風險，按照風險應對策略，建立相應的風險控制政策和措施，規范業務流程，并編制相關的工作文檔。.1 控制活動的實施1. 規范業務流程，制定業務活動層面風險控制措施。控制活動通過針對公司各個業務主要流程設計和實施一系列政策、制度、規章和措施，對影響業務流程目標實現的各種風險進行有效地管理和控制。公司應通過確定業務流程體系框架、記錄業務流程和內部控制情況、建立關鍵控制和一般控制等主要

38、步驟來規范業務流程層面的控制活動。2. 分解重大風險，將公司層面重大風險與業務流程進行對接。為確保公司層面重大風險的管理能夠落到實處，公司應根據各重大風險涉及的相關業務內容和控制目標，將公司層面重大風險進行層層分解，識別導致重大風險的眾多風險事項，并將其與業務流程進行對接，評估與重大風險對接的流程的全流程控制措施是否存在和有效，保證風險管理工作真正落地。.2控制活動有效性評價公司應根據內部監督的政策和程序，定期對控制活動的有效性進行評價，查找控制缺陷，并進行改進和完善，確保控制活動的持續有效性。.3權限指引權限指引是企業內部控制和風險管理的重要組成部分，具體描述了企業授權制度是如何構成、應用和

39、監控，公司內各級批準權限是如何界定的。公司應當設置科學、明確的權限指引表，明確各項重大決策、經營活動的審批權限，確保決策的科學性以及經營的效果和效率。2.5.4信息與溝通信息與溝通是公司及時、準確地收集、傳遞與內部控制相關的信息，確保信息在公司內部、公司與外部之間進行有效溝通，以促使職責的履行。信息是指與公司經營相關的財務及非財務信息，不僅包括內部產生的信息，還包括與公司經營決策和對外報告相關的外部信息。暢通的溝通渠道和機制使員工能及時取得他們在執行、管理和控制公司經營過程中所需的信息。公司建立符合發展戰略并與經營管理活動一體化的信息系統，為風險管理提供足夠的信息資源和順暢的溝通渠道。.1信息

40、采集公司應當對收集的各種內部信息和外部信息進行合理篩選、核對、整合，提高信息的有用性，即公司應持續不斷地識別、收集、整理與歸納來自內部與外部、經營與管理的各種信息，針對不同的信息來源和信息類型，明確各種信息的收集人員、收集方式、傳遞程序、報告途徑和加工與處理要求，確保經營管理各種信息資源得到及時、準確、完整收集。.2溝通信息溝通是指內部控制相關信息在公司內部各管理級次、責任單位、業務環節之間，以及公司與外部投資者、債權人、客戶、供應商、中介機構和監管部門等有關方面之間進行溝通和反饋。公司應建立適當的渠道，與公司的相關方如供應商、客戶、律師、股東、監管機構、外部審計師，就相關信息進行必要的外部溝

41、通。.3 信息系統公司應將信息技術應用于內部控制各項工作，運用信息系統對經營管理進行過程控制和信息的采集、存儲、加工、分析、測試、傳遞、報告和披露等；滿足公司內部控制相關信息報告制度和公司對外信息披露相關制度的要求。信息系統應實現信息在各職能部門、業務單位之間的集成與共享，既能滿足單項業務內部控制要求，也能滿足公司整體和跨職能部門、業務單位的內控管理綜合要求。1. 建立信息系統總體控制。建立包括信息系統內部環境、信息安全、信息系統項目建設管理等方面內容的信息系統總體控制規范與規章制度。2. 建立信息系統應用控制。全面識別應用系統相關風險，建立完善的應用系統控制規范，對應用系統的權限管理、自動控

42、制進行有效管理。3. 建立內部控制與全面風險管理信息平臺。實現流程、風險數據庫、控制文檔、制度、法律法規及案例的統一管理，實現對公司風險管理和內部控制情況的實時監督和評價。.4 反舞弊機制公司應建立反舞弊機制，堅持懲防并舉、重在預防的原則，明確反舞弊工作的重點領域、關鍵環節和有關機構在反舞弊工作中的職責權限，規范舞弊案件的舉報、調查、處理、報告和補救程序。2.5.5內部監督內部監督是對公司內部控制建立與實施情況進行監督檢查，評價內部控制有效性并及時加以改進的過程，包括日常監督、專項監督、內部控制評價和缺陷跟蹤等。.1 日常監督日常監督是指公司對建立與實施內部控制的情況進行常規、持續的監督檢查。

43、公司應制定內部控制體系運行與維護管理制度，明確授權的日常監督機構的職責權限，規范日常監督的程序、方法和要求，定期維護手冊，將內部控制工作納入公司各級管理層的業績考核，構建內部控制體系運行長效機制。.2 專項監督專項監督是指在公司發展戰略、組織結構、經營活動、業務流程、關鍵崗位員工等發生較大調整或變化的情況下，對內部控制的某個或者某些方面進行有針對性地評價。.3 內部控制評價公司應結合內部監督情況，建立定期的內部控制評價制度，明確內部控制評價的機構和職責權限，規范評價的方式、范圍、程序和頻率，并編制相應的內部控制評價報告。.4 缺陷跟蹤公司應明確報告缺陷的職責、報告的內容，對報告缺陷的程序及跟進

44、措施等方面進行規范；制定內部控制缺陷認定規范，明確缺陷定義及分類，以及缺陷評估內容、方法和標準等。3內部環境3.1 概述內部環境確定了公司對內部控制體系建設的總體態度，是內部控制體系建設的基礎，是有效實施內部控制的保障，直接影響著內部控制的貫徹執行、公司經營目標及整體戰略目標的實現。3.2構成要素內部環境構成要素包括治理結構、機構設置與權責分配、內部審計、人力資源政策、企業文化等內容。治理結構是建立并實施內部控制的基礎，是影響內部環境的重要因素。公司應按照公司法要求，結合公司實際，建立規范的法人治理結構（包括董事會、監事會和經理層），并制定相應的議事規則和工作規則。主要控制要點及程序詳見北京第

45、六大洲房地產開發有限公司內部控制手冊-內部環境分冊第2章-治理結構機構設置為公司提供了計劃、執行、控制和監督其活動的框架。相關的機構設置包括確定權利與責任的關鍵界區，即確定權責的關鍵領域以及建立適當的報告負責部門。它強調權責分配的知情與監督，要求全體員工掌握內部機構設置，明確權責分配，正確行使職權。主要控制要點及程序詳見北京第六大洲房地產開發有限公司內部控制手冊-內部環境分冊第3章-機構設置與權責分配。內部審計是公司內部的一種獨立客觀的監督和評價活動，它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進公司目標的實現。主要控制要點及程序詳見北京第六大洲房地產開發有限公司內部控制手冊

46、-內部環境分冊第4章-內部審計。人力資源政策是影響公司內部環境的關鍵因素，引導員工達到公司期望的職業道德水平和勝任能力。它包括聘用、定崗、培訓、辭退、辭職、薪酬、考核、評價、晉升、獎懲等活動。主要控制要點及程序詳見北京第六大洲房地產開發有限公司內部控制手冊-內部環境分冊第5章-人力資源政策。企業文化是指公司在生產經營實踐中逐步形成的、為整體團隊所認同并遵守的價值觀、經營理念和企業精神，以及在此基礎上形成的行為規范的總稱。企業文化主要包括積極向上的價值觀和社會責任感、誠實守信、愛崗敬業、開拓創新和團隊協作精神、現代管理理念和風險意識；董事、監事、經理及其他高級管理人員應當在企業文化建設中發揮主導

47、作用；公司員工應當遵守員工行為守則；全體認真履行崗位職責。主要控制要點及程序詳見北京第六大洲房地產開發有限公司內部控制手冊-內部環境分冊第6章-企業文化。4風險評估4.1 概述風險評估采用定性與定量相結合的方法。定性方法包括問卷調查、部門研討、專家咨詢、政策分析、行業標桿比較、管理層訪談、由專人主持的工作訪談和實地調研等；定量方法包括統計推論、事件樹分析等。各級責任主體從可能性和影響程度等方面對風險的重要性進行評估，綜合評估結果，確定重大風險和管理優先順序。風險評估的實施程序為目標設定、風險辨識、風險評價、風險應對。風險概念及類型、風險評估概念及范圍詳見北京第六大洲房地產開發有限公司內部控制手

48、冊-風險評估分冊第1章-概述。4.2構成要素風險評估構成要素包括風險評估的原則、建立風險評估的基礎、關注要點等。其中，風險評估的原則詳見北京第六大洲房地產開發有限公司內部控制手冊-風險評估分冊第3章-風險評估的原則；建立風險評估的基礎詳見北京第六大洲房地產開發有限公司內部控制手冊-風險評估分冊第4章-風險評估的基本程序；關注要點詳見北京第六大洲房地產開發有限公司內部控制手冊-風險評估分冊第2章-關注要點。4.3公司層面與業務流程層面風險評估及應對公司層面風險評估主要基于與公司各職能部門負責人及業務操作人員進行充分調研的結果，結合行業常見風險，并且考慮國務院國資委以及財政部等政府部門有關風險評估

49、的相關要求，從戰略、財務、市場、運營及法律五個領域來進行識別。同時，在充分考慮公司當前背景的情形下，結合管理層對固有風險與剩余風險考慮，運用定性與定量相結合的方法，從風險發生的可能性和風險發生后對目標的影響程度進行評估。公司層面風險評估及應對詳見北京第六大洲房地產開發有限公司內部控制手冊-風險評估分冊第5章-公司層面風險應對策略。業務流程層面風險識別是指以流程活動為主線，圍繞每一末級業務流程中的相關流程目標，識別影響每一流程目標的相關風險的過程。公司進行業務流程層面風險識別時應首先明確流程控制目標并從識別流程中的事項入手，分析來自內、外部的影響因素，考慮各事項之間的相互關系，運用風險技術工具及

50、技術方法，對流程層面風險加以識別。業務流程層面風險評估具體步驟包括：搭建流程體系框架、繪制流程圖、編寫流程描述文件；確定流程控制目標、識別風險點和控制活動。具體內容詳見北京第六大洲房地產開發有限公司內部控制手冊-控制活動分冊5控制活動5.1 概述控制活動是指公司根據風險評估結果，采取相應的控制措施，將風險控制在可承受范圍內。控制活動是確保管理層關于公司經營管理指令得以貫徹執行的政策和程序，它存在于整個公司所有級別的分支機構、職能部門，通常包括不相容職務分離、授權審批、會計系統、財產保護、預算、運營分析、績效考評控制等。控制活動概念及分類詳見北京第六大洲房地產開發有限公司內部控制手冊-控制活動分冊第1章-概述。5.2 控制活動的實施控制活動的實施包括控制要點和主要控制措施和程序。詳細內容見北京第六大洲房地產開發有限公司內部控制手冊-控制活動分冊第2章-控制活動的實施。5.3 控制活動有效性評價公司應根據內部監督的政策和程序，定期對控制活動的有效性進行評價，查找控制缺陷，并進行改進和完善，確保控制活動的持續有效性。控制活動有效性評價詳細內容請參見北京第六大洲房地產開發有限公司內部控制手冊-內部監督分冊。5.4 流程體系文件建模規范為了統一和規范