第二十壹條企業進行風險評估時,應當準確識別與實現控制目標相關的內部風險和外部風險,並確定相應的風險容忍度。
風險容忍度是企業能夠承受的風險極限,包括整體風險容忍度和業務層面可接受的風險水平。
第二十二條企業在識別內部風險時,應當關註以下因素:
(1)董事、監事、經理及其他高級管理人員的職業道德和員工的專業能力等人力資源因素。
(2)組織機構、經營方式、資產管理、業務流程等管理因素。
(三)研發、技術投入和信息技術應用等自主創新要素。
(4)財務狀況、經營成果、現金流量等財務因素。
(5)作業安全、員工健康、環境保護等安全環保因素。
(六)其他相關內部風險因素。
第二十三條企業在識別外部風險時,應當關註以下因素:
(1)經濟形勢、產業政策、融資環境、市場競爭、資源供給等經濟因素。
(2)法律法規、監管要求等法律因素。
(3)安全穩定、文化傳統、社會信用、教育水平、消費行為等社會因素。
(四)技術進步、工藝改進等科技因素。
(五)自然災害、環境條件等自然環境因素。
(6)其他外部風險因素。
第二十四條企業應當采用定性和定量相結合的方法,根據風險發生的可能性和影響程度,對已識別的風險進行分析和排序,確定需要重點關註和控制的風險。
企業在進行風險分析時,應充分吸收專業人士,組成風險分析團隊,按照嚴格規範的程序開展工作,確保風險分析結果的準確性。
第二十五條企業應當根據風險分析和風險承受能力的結果,權衡風險和收益,確定風險應對策略。
企業應當合理分析和準確把握董事、經理、其他高級管理人員和關鍵崗位員工的風險偏好,並采取適當的控制措施,避免個人風險偏好對企業經營造成嚴重損失。
第二十六條企業應當綜合運用風險規避、風險降低、風險分擔和風險容忍度,實現有效的風險控制。
風險規避是企業通過放棄或停止與超出風險承受能力的風險相關的經營活動來避免和減少損失的策略。
風險降低是企業在權衡成本和收益後,采取適當的控制措施,減少風險或損失,將風險控制在風險承受範圍內的策略。
風險分擔是企業準備利用他人的力量,采取業務分包、購買保險等適當的控制措施,將風險控制在風險承受範圍內的壹種策略。
風險承受能力是企業風險承受能力範圍內的風險。權衡成本和收益後,不準備采取控制措施降低風險或減少損失。
第二十七條企業應當結合不同發展階段和業務拓展,持續收集風險變化相關信息,進行風險識別和風險分析,及時調整風險應對策略。
第四章控制活動
第二十八條企業應當根據風險評估結果,采取人工控制與自動控制相結合、預防控制與發現控制相結合的方式,並采取相應的控制措施,將風險控制在可接受的水平。
控制措施壹般包括:不相容職務分離控制、授權審批控制、會計制度控制、財產保護控制、預算控制、經營分析控制和績效評價控制。
第二十九條不相容崗位分離控制要求企業對業務流程中涉及的不相容崗位進行全面、系統的分析和梳理,實施相應的分離措施,形成各負其責、相互制約的工作機制。
第三十條授權審批控制要求企業根據常規授權和特別授權的規定,明確各崗位在辦理業務和事項中的權限範圍、審批程序和相應責任。
企業應當制定常規授權的權限指引,規範特別授權的範圍、權限、程序和責任,嚴格控制特別授權。常規授權是指企業在日常經營管理活動中,按照既定職責和程序進行的授權。特別授權是指企業在特殊情況和特定條件下的授權。
企業各級管理者應當在授權範圍內行使職權,承擔責任。
企業應當實行重大業務和事項集體決策審批或者聯簽制度,任何個人不得單獨決策或者擅自改變集體決策。
第三十壹條會計制度控制要求企業嚴格執行國家統壹的會計準則體系,加強會計基礎工作,明確會計憑證、會計賬簿和財務會計報告的處理程序,保證會計數據的真實完整。
企業應當依法設置會計機構,配備會計從業人員。從事會計工作的人員必須取得會計從業資格證書。會計機構負責人應當具有會計師以上專業技術資格。
大中型企業應設總會計師。設有總會計師的企業,不得設置與其職權重疊的副職。
第三十二條財產保護控制要求企業建立日常財產管理制度和定期盤點制度,采取財產登記、實物保管、定期盤點、賬實核對等措施,確保財產安全。
企業應嚴格限制未經授權的人員接觸和處置財產。
第三十三條預算控制要求企業實施全面預算管理制度,明確各責任單位在預算管理中的職責權限,規範預算編制、審批、發布和執行程序,強化預算約束。
第三十四條經營分析與控制要求企業建立經營分析系統。管理者要綜合運用生產、購銷、投資、融資、財務等方面的信息。,並定期運用因素分析、比較分析、趨勢分析等方法進行運營分析。,找出存在的問題,及時找出原因並改進。
第三十五條績效評價與控制要求企業建立並實施績效考核制度,科學設置考核指標體系,對企業內部各責任單位和員工的績效進行定期考核和客觀評價,並將考核結果作為確定員工薪酬、晉升、考核、降職、崗位調整和解聘的依據。
第三十六條企業應當根據內部控制目標,結合風險應對策略,綜合運用控制措施,對各項業務和事項進行有效控制。
第三十七條企業應當建立重大風險預警機制和突發事件應急機制,明確風險預警標準,針對可能出現的重大風險或突發事件制定應急預案,明確責任人員,規範處理程序,確保突發事件得到及時妥善處理。