XX公司風險管理控制手迓

前言

為滿足外部監管需要及有效防范各類風險，XX新

能源XX分公司積極主動地開展了風險管理及內部

控制體系建設工作，按照“整體設計、分步實施、

逐層推進、整合運行”的實施原則，結合公司實

際，在風險點分析、制度梳理、流程設計等工作的

基礎上，編制了公司《風險管理及內部控制手

冊》，現己通過公司審計與風險管理委員會審議，

予以正式發布。

《風險管理及內部控制手冊》是在總結自身風險管

理及內部控制實踐的基礎上，按照國資委《中央企

業全面風險管理指引》、財政部等五部委《企業內

部控制基本規范》等相關法律法規的要求編寫，本

手冊主要有五部分構成：一是手冊編制的說明；二

是風險管理及內部控制的基礎；三是風險管理及內

部控制基本框架；四是主要業務活動及流程的控制

要求；五是風險管理及內部控制的評價辦法。手冊

涵蓋了公司各方面的管理，較為系統全面地分析了

崗位及流程風險，提出了內部控制目標，手冊標準

化程度較高，既有風險管理和內部控制的原則性要

求，又列出了操作性較強的業務執行流程、控制矩

陣和責任范圍，提出了以信息化為支撐、可以獨立

開展風險管理及內部控制評價的四級指標評價體

系。

手冊具有以下幾個方面的特點：

強化環境控制。本手冊將公司與利益相關方要求、公司治理與

管控、公司戰略目標、員工紀律守則、權限管理基本規范和利

益沖突守則等作為實施有效風險管理及內部金制的基礎，突出

了環境控制的根本作用。其中，員工紀律守則不僅提出了誠

實、廉潔、勤勉和負責的基本要求，還就理念價值、尊重個

人、職業道德、廉潔從業、安全保障、職業健康、客戶關系等

作出了規范性表述，要求各級員工遵循公司企業理念及核心價

值觀，堅持績效導句，按照正常信息渠道坦誠發表個人觀點，

注重安全、職業健康，自覺維護和保護環境，時時處處堅持廉

潔從業，正確處理與客戶、供應商和承包商的關系，確保公司

的聲譽和利益不會因欺詐、不忠或貪污行為而受損。

規范權限管理。權限管理基本規范是按照公司管理定位、集權

分權和管控一體化、責權利相統一的原則，與公司管控一體化

方案、公司章程、制度、文件規定保持協調一致，涉及第三方

權利時，要求按照國家法律法規、公司章程、協議執行，明確

授權結構與分類，對權限管理作出基本規定，對所授權利應被

調整或終止的特殊情況也提出具體規定，進一步提出權利實施

與監督的辦法，引導公司及所屬單位合理劃分權限，引導授權

人或受托人正確行使職權；利益沖突守則列舉了利益沖突關系

和發生利益沖突的情況，進一步提出實施與監督辦法，規范和

指引公司及所屬單位利益沖突管理，避免各級員工利益與企業

利益發生沖突，并要求各級領導人員遵守國家有關規定，提前

采取防范措施，規避利益沖突帶來的風險。增強適用性。風險

管理及內部控制的框架性要求緊緊圍繞企業治理結構、財務控

制、業務控制三大主線和內部環境、風險管理、控制活動、信

息與溝通、內部監督五大要素提出了要求，雖然業務活動及流

程的控制要求和評價部分僅對23類業務活動作出相應規定，

但是，體系結構的下層是開放的，適用于公司各業務板塊。框

架設計不僅適用于企業治理層面的控制，同時適用于經營管理

層面的的控制。既適用于自我評價，也適用于外部評價，既可

以用于全面評價，也可用于局部專項評價，是自律和它律相結

合的工具。

注重操作性。棄冊編制秉承了“處其厚不居其薄，處其實

不居其華”的務實理念，依據風險內控框架的要求，從業務活

動及流程的設計和執行兩個方面，明確了業務流程標準和關鍵

控制點，制定了評價標準和辦法，構建了涵蓋企業治理以及管

理流程設計、流程執行、完成績效風險、風險發展趨勢四個方

面的四級綜合評價指標體系，評價指標體系也包括了EVA指

標，兼顧了自身縱向對比和橫向對比，突出定量評價作用，具

有可操作性。

強制約束性。手冊遵循了財政部、國資委和XX集團公司

的有關規定及國家為審準則。同時，列示了公司持續改進管理

所必須遵循的風險管理及內部控制基木原則、政策和標準，是

基礎性制度，要求各級企業的決策層負責組織推動本手冊的執

行。因此，具有強制約束性。

推進閉環管理。風險管理及內控體系建設實行起草、會

簽、審核、簽發、執行、評價、反饋、修正、創新的閉環管

理。本手冊在執行過程中，要求按照PDCA循環的工作程序，

通過評價，發現問題，及時反饋，勇于改進，不斷修正，不斷

完善，不斷提高。

雖然在手冊的編寫過程中，工作組認真梳理了公司的主要

業務流程，查找各流程中存在的薄弱環節和風險因素，廣泛征

求了有關人員的意見和建議，但由于風險管陛及內部控制體系

建設是一個復雜的系統工程，不可能一蹴而就，手冊中難免還

會存在不足之處，懇請給予批評指正，工作組將在后續的修正

過程中加以更新和完善。

手冊匯編過程口，得到了各級領導及各部門工作人員的大

力支持，并對手冊內容提出了寶貴的意見建嘆，在此，編寫組

表示衷心感謝。

一.總則

（一）目的

為提高公司經營管理水平，圍繞公司總體經營目

標，建立一套設計科學、層次清晰、運行有效，既

符合公司自身發展和管理需要，又具有可操作性的

風險管理及內部控制體系，通過在經營管理的各個

環節和經營過程中執行內部控制的基本流程，培育

良好的企業管理文化，提高風險防范能力，提供增

值服務，為實現經營目標和持續健康發展奠定基

礎，特制定本風險管理及內部控制手哥。

1建立健全公司風險管理及內部控制體系

公司風險管理及內部控制體系的構成是系統化的，相關組織機

構及人員、《公司風險管理及內部控制制度》及其配套手冊是

體系的主要構成部分，制定風險管理及內部受制手冊是發揮體

系有效性的重要手段。同時，滿足財政部、國資委等政府相關

法規和市場監管要求。

2.有效發揮風險管理及內部控制體系的管控作用

風險管理及內部控制本質上是把風險預測與應對、制衡和監督

的要求貫徹落實到業務管理體系與流程中，形成有效管理體

系。一方面應在各級責任主體之間形成有效監督機制，另一方

面各級責任主體在具體業務活動中應規范做好風險預測與應

對。提出相對統一、規范的業務流程標準，明確管理界面、關

鍵控制點、權限匹配，引導各級責任主體的行為較好地符合公

司管控要求。通過建立風險管理及內部控制基本框架，提出對

業務活動的控制要求，提高各級責任主體對風險管理及內部控

制的認知程度，為公司建立健全風險管理及內部控制手冊提供

基本依據，為優化管理流程、清晰界定權限和明確劃分職責提

供參照，促進公司建立較為規范和統一的經營管理系統和程

序。加強和規范風險管理及內部控制評價工作，提高公司制度

執行力，提升管控能力。制定公司統一的風險管理及內部控制

評價辦法，對公司管控體系的充分性、有效性進行評價和審

計，形成以風險為導向的審計監督機制，促進公司把風險預

控、過程控制和事后懲戒方法相結合，實現“大監督”模式，

形成企業治理和內部管理閉環持續改進機制。（二）適用范圍

1.適用于公司風險管理及內部控制管理工作。2.適用于公司風

險管理及內部控制評價和審計。

（三）結構內容

本手冊主要由以下三個部分組成：?風險管理及內部控制體系

基本框架；?對主要業務及流程的控制；?風險管理及內部控

制評價辦法。

1風險管理及內部控制基本框架

公司風險管理及內部控制基本框架分為內部環境、風險管理、

控制活動、信息與溝通、內部監督五部分，每一部分都包含了

一系列具體要求和指導方法。?內部環境。對治理結構、組織

架構及權責分工、人力資源管理、企業文化、“三重一大”決

策機構等內部環境提出具體要求。?風險管理。對風險辨識、

風險分析與評估、風險應對提出要求，要求按照統一定義的風

險結構及分類來排查、辨識風險；要求開展風險評估、分析工

作，對風險進行排序，選擇重點和優先控制的風險；要求選擇

風險應對策略，制定風險應對措施。?控制活動。對控制活動

進行分類，規定了主要業務應遵循的內部控制活動。?信息與

溝通。對重大應急事件管理、信息內外部溝通、反舞弊機制等

提出要求，明確內部控制相關信息的收集、處理和傳遞程序，

確保信息及時溝通，要求對舞弊行為的投訴與舉報保持渠道暢

通。

?內部監督0對內部監督提出要求，包括組織內的監控機

制、持續有效監督、獨立評估，內部監督是提高執行力的最有

效環節。

2.主要業務活動及流程的風險管理及內部控制要求遵循

《企業內部控制基本規范》、《審計署關于內部審計工作的規

定》、《中央企業全面風險管理指引》、公司《風險管理及內

部控制標準》，按照公司主要業務活動及流程分類，對16類

主要業務活動及流程進行描述，針對業務流程關鍵環節，提出

風險管理及內部控制要求，公司各部門要規范有序開展業務活

動，使業務活動符合內部控制要求，合理控制風險。公司各部

門要把風險管理及內部控制要求作為參照，落實到以下管理活

動中：?通過規章制度對具體業務流程和權責做出明確界定，

形成有效的事前預測、應對、制衡和監督機制。?按照規章制

度要求，開展公司日常管理，部署各項工作，合理處置風

險。?組織評價或審計公司風險管理及內部受制情況，形成監

督與持續改進并重機制

3.風險管理及內部控制評價辦法?規定了風險管理及內部

控制評價的類型、適用范圍和職責。?依據風險管理及內部控

制框架要求，結合公司治理結構及內部管理的實際情況，明確

了評價內容和指標體系，指標體系分為三類，每一類又分四

級。三類內容分別是：風險管理及內部控制設計完整性、風險

管理及內部控制遵循性、基于時間的風險預測；四級分別是：0

級、1級、2級、3級（最底層）。?制定了評價規則和評價

實施程序。?對評價紀律提出了具體要求。

（四）手冊的修訂本手冊每年評估、更新一次，根據需要

進行動態更新，更新依據主要來源于公司管理高層、專業委員

會、各部門、評估結果以及外部監管機構對風險管理及內部控

制的要求或建議。審計內控中心負責手冊修7工作的組織和實

施。1手冊修訂的信息來源有以下三類：?外部法規和監管環

境變化：對于來自國家監管機構的各項法律法規的最新要求，

或者國家有關審計機關等監管機構提出的改進建議，在平時工

作中通過現有的發文體系進行補充，先行整改實施。待本手冊

進行年度修訂時，各部門負責將本年度內所有由于外部法規和

監管環境變化導致需要刪除或加入本手冊的修改意見，匯總后

交審計內控委員會；?管理層自身管理要求：對于實際工作中

由于管理需要刪除、更改或增加的工作流程，或者刪除、修訂

或增加管理辦法的，各部門在工作中通過現有的發文體系進行

補充說明，并先行實施。待本手冊進行年度修訂時，各部門負

責將本年度內所有此類修改意見匯總，報本部門負責人，由其

審核批準后交審計內控委員會：?內部控制的監督檢查部門：

審計內控中心對內部控制流程設計和執行情況定期測評結果

中，涉及到需要修訂制度、流程的部分，各部門在平時工作中

先通過現有發文體系進行補充說明，及時整改。待本手冊進行

年度修訂時，審計內控委員會負責匯總、更新需修訂制度、流

程的修改意見。.2在本手冊進行年度修訂時，結合相關專業

部門的意見，對以上三類修訂意見進行審杳、過濾，決定是否

采納修訂意見。增加或修改意見采納標準應當同時滿足以下兩

個條件：?時間要求：假設該修訂意見納入本次修訂，該修訂

意見的存續或者適用期自該新版手冊發布之日起，將超過一

年；?內容要求：用以規范公司新增的主要核心業務流程、或

者用以變更或取代公司現有的核心業務流程的、體現內部控制

管理要求的文件。

3審計內控中心在形成手冊修訂意見，報公司領導討論通

過后，辦理審批程序并正式頒布實施

修訂版，同時廢止原版本手冊

（五）執行要求

1本手冊具有強制性和約束性，一經發布，必須嚴格執

行.

?各部門負責組織推動本手冊的執行。

?無論是企業治理行為，還是具體的經營管理行為，都

應遵循本手冊的相關要求。公司各級責任主體應把本手冊要

求貫徹落實到具體經營管理活動和業務流程中去，開展自我

評價，持續改進。

?各部門應把風險管理及內部控制要求與制度體系、經

營理念和企業文化有效結合，形成'他律”和“自律”相結合

的機制，提升管理效率和質量。

?公司審計內控中心負責組織獨立評價和審計，提出意

見和改進建議，評價報告提交公司，以推動整改落實工作，

評價結果作為審計等監督導向，實現閉環管理，提高企業執

行力。

2本手冊由公司審計內控中心歸口管理并負責解釋。

（六）頒布及生效日期

本手冊于XXXX年XX月頒布，自頒布之日起生效。

1.風險管理及內部控制基礎

風險管理及內部控制的本質是與企業發展階段相適應的

內部管理機制，是把風險預測、制衡、監督等要素與具體業

務流程相結合的機制。公司與主要利益相關方的關系、清晰

的企業治理結構、組織機構及其責任劃分、戰略、員工行為

規范、權限管理和利益沖突管理等軟性支撐和業務管理體系

類硬性支撐是公司風險內控的基礎，這些基礎也將會隨著公

司發展而發生變化。

為了完善充實公司規范實施風險管理及內部控制的基

礎，按照風險管理及內部控制要求，在公司己經確立了的企

業治理結構和組織機構、戰略，管理界面劃分和責任分工，

以及員工行為紀律守則基礎上，本標準對公司職責范圍內的

權限管理和利益沖突管理提出原則性和框架性要求。

2公司與主要利益相關方的關系

3與社會和政府的關系

公司的發展離不開社會和政府的支持和幫助，遵守所在

地區的一切法定機構的政策、法律和規定，合法經營，依法

納稅，正確履行社會責任，積極承擔保護環境和節約資源的

責任，積極關注并參與公益性環境保護，確保責任性環境保

護達到或優于國家和地區標準，參與各種社會公益事業，為

國家和地區繁榮、社會的和諧作出貢獻。

4與出資人的關系

公司對所有的股東負責，在出資人監督下進行生產經營

活動，充分披露內部信息，保證公司資產保值和增值，努力

向投資方提供合理回報，實現共同利益與公司持續發展的有

效統一。

5與員工的關系

員工是公司最寶貴的財富，是公司事業可持續成長的重

要保證，本著認真負責和有效的態度管理員工，以人為本，

保障員工的健康和安全，尊重知識、尊重個性，倡導員工發

揮團隊精神，自我超越。

公司發展規劃的實施依賴于科學合理地