风险管理与内部控制考核办法

风险管理与内部控制考核办法

第一章 总则

第一条 为加强公司的内部控制和风险管理，遵循总部的监管要求，强化内部控制评价机制，提高风险管理水平，确保风险评估与内部控制有效运行，根据国家内部控制评价指引以及航天信息股份公司《内部控制及风险管理评价手册》的有关规定，响应风险管理体系要求，特制定本办法。

第二条 本办法规定了内部控制及风险管理评价的职责,明确了日常工作考评内容、考评分值权重及考评程序、考核实施等。

第三条 本办法适用于省公司各部门和旗下分公司。

第二章 职责

第四条 审计法律部为风险管理职能部门，负责公司内部控制检查、制定评价方案、组织内控评价、明确分工和工作进度安排；牵头建立公司内控及风险管理评价体系，对评价结果认定、指导和监督风险管理各项工作有效开展，以及相关考核制度的拟定、组织考核评分和考核结果汇总。

第五条 各业务部门负责人（含分公司负责人）为本部门涉及业务的第一责任人，对本部门或本公司业务涉及的内部控制与风险管理工作进行组织、并建立本职能部门（含分公司）的风险管理内部控制

子系统，对评价或审计出现的问题进行整改，对风险事项提出对应措施并执行对应，对本部门报送到审计法律部的业务事项进行审批。

第六条 公司各职能部门及评价小组的成员，执行公司内控及风险管理基本流程，按时完成日常工作事项，对日常风险工作事项的信息维护、反馈、提交等。

第七条 公司风险管理委员会领导负责对最终考核结果审批，对公司最终认定的重大风险、重大缺陷、重大事项的审批。

第三章 日常工作考评内容

第八条 内控体系环境维护。

各业务部门为风险管理委员会下设的组织机构子体系，部门负责人就风险管理工作应配置各项业务的专兼职人员，并对专兼职人员明确具体职责，职能人员发生变更时应及时通知审计法律部进行更新备案；建立完整配套的规章制度、权限、流程等，确保各子体系的风险管理工作任务有效开展。

第九条 内控制度管理。

内控制度包括制度、流程以及业务手册。原则上每年3月（具体时间以实时通知为准）对各部门涉及业务的内控手册、制度、流程进行梳理，根据梳理结果制定整改计划，确保制度的全局性与完整性；每年4月至5月（具体时间以实时通知为准）对本部门涉及业务的制度流程从设计与执行两个方面实施对标，确保制度的有效性。

第十条 风险管理工作内容涵盖风险评估、内部控制评价、报

告三个环节。

（一）风险评估从业务维度分为流程风险、业务风险与重大风险；按业务性质分为战略风险、财务风险、市场风险、运营风险与法律风险五大风险。风险评估应围绕风险影响程度与发生的可能性两个维度进行判断，同时在评价过程中应遵行风险辨认、识别、分析及风险评价程序进行。原则上每年6月至7月（具体时间以实时通知为准）完成各项业务风险评估。

1、风险评估程序与方法。实施风险评估由审计法律部编制评估工作底稿，各业务部门按要求进行识别、分析和评估，最终由审计法律部对评估结果进行综合分析复评。各业务部门对最终认定为重要风险以及重大风险应提出对应措施和解决方案。

2、审计法律部在复评时将采用综合运用调查问卷、个别访谈、统计抽样、比较分析等多种方法，广泛收集业务部门评估风险时所采纳的证据，最终由审计法律部按风险级别进行汇总、排序，初步确定风险排名前10为重大风险，并呈报公司总经理审批。

（二）内控评价遵循全面性、重要性和独立性原则实施内部控制评价，确保评价工作标准统一、客观公正。各业务部门及审计法律部在自评与复评过程中应对内部控制缺陷进行综合判断，按其重要程度分为重大缺陷、重要缺陷和一般缺陷。

1、评价标准、方法和评价程序。实施内部控制评价，由审计法律部编制评价工作底稿，各业务部门按要求进行自评，最终由审计法律部进行复评。

2、审计法律部在复评时根据需要将采用综合运用个别访谈、专题讨论、统计抽样等多种方法，广泛收集被评价部门内部控制设计和有效运行的证据，研究认定内部控制设计缺陷和执行缺陷。经审计法律部的评价小组研究认定内部控制缺陷存在重大缺陷的，报公司总经理审批。

3、各业务部门根据最终认定的缺陷制定整改计划，落实完成整改的结止时点与整改责任人。

（三）评价报告分为风险管理与内部控制评价两类报告。各业务评价小组根据内部控制评价结果和整改计划情况，在评价结束的后一个工作日内编写评价报告，并及时报审计法律部，由审计法律部根据汇总各业务部门评价报告情况，汇编整体评价报告，报总经理审批。各业务部门子体系的内部控制评价报告包括下列内容：

1、部门内部控制环境说明（权限分配、人员设置、控制手册、信息反馈、监督与改进等）。

2、内部控制评价的范围和内容（主要业务和重点业务自评情况）。

3、内部控制评价的标准和依据。

4、内部控制一般缺陷和重大缺陷及其认定情况（《内部控制缺陷认定汇总及整改底稿》）。

5、内部控制缺陷的整改措施及责任追究情况（具体的整改方案）。

6、内部控制有效性的结论，存在一个或多个内部控制重大缺陷的，应当作为内部控制无效的结论。

7、风险管理与内部控制工作亮点、问题及建议。

第十一条 风险信息数据库管理。各部门结合本部门业务按要求建立独立的信息数据库，对内控环境资源、风险管理工作产生的数据所形成的资料、记录进行备档等，当信息或执行文件发生变更时，风险数据库的信息应进行同步更新。

第四章 考评分值权重

第十二条 月度考核考评分值按照第三章日常工作考评内容，含内控体系环境维护、内控制度管理、风险管理、风险信息数据管理四项，针对每月开展工作的项目赋予权重。如3月计划开展制度梳理和数据库建立，即当月仅针对该两项指标设定权重进行考评，考核明细项目占比值以参照《风险管理与内部控制月度考核》为准。

第十三条 年度考评分值按照内控环境运行、日常管理、运行效果三大项赋予权重，其中内控环境运行30%，涉及考核明细10项，每项占分值均为3分；日常管理40%，涉及考核明细12项，每项各占分值不等；运行效果30%，涉及考核明细4项，每项各占分值不等；具体明细项目占分值以参照《风险管理与内部控制年度考核》为准。

第五章 考评程序

第十四条 审计法律部结合年度检查与日常工作进度记录情况作为评分依据。各部门风险控管理考评结合管理需要分为月度考核和年度考核，月度考核按照工作开展项目情况定期每月考评一次；年度考核按照工作质量完成情况每年考评一次，具体考评工作按以下程序

进行：

（一）月度考核

1、内控体系环境维护。审计法律部组织不定期对各业务部门内部控制环境运行情况进行检查，具体参照附表《风险管理体系运行检查表》，并作为月度考核评分依据。

2、风险信息数据库管理。审计法律部组织不定期就数据库的完整性与更新及时性，对各业务部门数据库管理情况进行检查，具体参照附表《风险数据库检查表》作为月度考核评分依据。

3、内控制度管理与风险管理。审计法律部结合月度各项工作完成进度与完成质量情况，参照《风险工作进度记录表》评分对应关系进行评分并填写评分值。

（二）年度考核

每年12月上旬，审计法律部结合考核指标，内控环境运行、日常业务管理、运行效果三大项核实相关记录、收集材料等依据进行初步评分，评分结果由各部门审核签字。具体考核事项以参照《风险管理与内部控制年度考核》为准。

第六章 考核兑现

第十五条 考核结果兑现。

（一）考核对象均为风险管理体系内各业务部门负责人。各部门负责人可根据管理需要将相关考核项纳入本部门人员考核内容。该风险管理考核方案与人力资源部纳入的月度和年度考核的总权

重挂钩，仅作为直接扣分项进行考评。

（二）该考核项分为四个阶梯进行评分，90分-100分（优）不扣分，80分-89分（良好）扣0.5分，60分-79分（中）扣1.5分，60分以下（差）扣2分。

第七章 附则

第十六条 本办自印发之日实行，由审计法律部门负责解释。 第十七条 相关文件和记录

《风险管理与内部控制制度》

《风险管理体系运行检查表》

《风险数据库检查表》

《内部控制缺陷认定汇总及整改底稿》

《风险管理与内部控制月度考核》

《风险管理与内部控制年度考核》

风险管理与内部控制考核办法

第一章 总则

第一条 为加强公司的内部控制和风险管理，遵循总部的监管要求，强化内部控制评价机制，提高风险管理水平，确保风险评估与内部控制有效运行，根据国家内部控制评价指引以及航天信息股份公司《内部控制及风险管理评价手册》的有关规定，响应风险管理体系要求，特制定本办法。

第二条 本办法规定了内部控制及风险管理评价的职责,明确了日常工作考评内容、考评分值权重及考评程序、考核实施等。

第三条 本办法适用于省公司各部门和旗下分公司。

第二章 职责

第四条 审计法律部为风险管理职能部门，负责公司内部控制检查、制定评价方案、组织内控评价、明确分工和工作进度安排；牵头建立公司内控及风险管理评价体系，对评价结果认定、指导和监督风险管理各项工作有效开展，以及相关考核制度的拟定、组织考核评分和考核结果汇总。

第五条 各业务部门负责人（含分公司负责人）为本部门涉及业务的第一责任人，对本部门或本公司业务涉及的内部控制与风险管理工作进行组织、并建立本职能部门（含分公司）的风险管理内部控制

子系统，对评价或审计出现的问题进行整改，对风险事项提出对应措施并执行对应，对本部门报送到审计法律部的业务事项进行审批。

第六条 公司各职能部门及评价小组的成员，执行公司内控及风险管理基本流程，按时完成日常工作事项，对日常风险工作事项的信息维护、反馈、提交等。

第七条 公司风险管理委员会领导负责对最终考核结果审批，对公司最终认定的重大风险、重大缺陷、重大事项的审批。

第三章 日常工作考评内容

第八条 内控体系环境维护。

各业务部门为风险管理委员会下设的组织机构子体系，部门负责人就风险管理工作应配置各项业务的专兼职人员，并对专兼职人员明确具体职责，职能人员发生变更时应及时通知审计法律部进行更新备案；建立完整配套的规章制度、权限、流程等，确保各子体系的风险管理工作任务有效开展。

第九条 内控制度管理。

内控制度包括制度、流程以及业务手册。原则上每年3月（具体时间以实时通知为准）对各部门涉及业务的内控手册、制度、流程进行梳理，根据梳理结果制定整改计划，确保制度的全局性与完整性；每年4月至5月（具体时间以实时通知为准）对本部门涉及业务的制度流程从设计与执行两个方面实施对标，确保制度的有效性。

第十条 风险管理工作内容涵盖风险评估、内部控制评价、报

告三个环节。

（一）风险评估从业务维度分为流程风险、业务风险与重大风险；按业务性质分为战略风险、财务风险、市场风险、运营风险与法律风险五大风险。风险评估应围绕风险影响程度与发生的可能性两个维度进行判断，同时在评价过程中应遵行风险辨认、识别、分析及风险评价程序进行。原则上每年6月至7月（具体时间以实时通知为准）完成各项业务风险评估。

1、风险评估程序与方法。实施风险评估由审计法律部编制评估工作底稿，各业务部门按要求进行识别、分析和评估，最终由审计法律部对评估结果进行综合分析复评。各业务部门对最终认定为重要风险以及重大风险应提出对应措施和解决方案。

2、审计法律部在复评时将采用综合运用调查问卷、个别访谈、统计抽样、比较分析等多种方法，广泛收集业务部门评估风险时所采纳的证据，最终由审计法律部按风险级别进行汇总、排序，初步确定风险排名前10为重大风险，并呈报公司总经理审批。

（二）内控评价遵循全面性、重要性和独立性原则实施内部控制评价，确保评价工作标准统一、客观公正。各业务部门及审计法律部在自评与复评过程中应对内部控制缺陷进行综合判断，按其重要程度分为重大缺陷、重要缺陷和一般缺陷。

1、评价标准、方法和评价程序。实施内部控制评价，由审计法律部编制评价工作底稿，各业务部门按要求进行自评，最终由审计法律部进行复评。

2、审计法律部在复评时根据需要将采用综合运用个别访谈、专题讨论、统计抽样等多种方法，广泛收集被评价部门内部控制设计和有效运行的证据，研究认定内部控制设计缺陷和执行缺陷。经审计法律部的评价小组研究认定内部控制缺陷存在重大缺陷的，报公司总经理审批。

3、各业务部门根据最终认定的缺陷制定整改计划，落实完成整改的结止时点与整改责任人。

（三）评价报告分为风险管理与内部控制评价两类报告。各业务评价小组根据内部控制评价结果和整改计划情况，在评价结束的后一个工作日内编写评价报告，并及时报审计法律部，由审计法律部根据汇总各业务部门评价报告情况，汇编整体评价报告，报总经理审批。各业务部门子体系的内部控制评价报告包括下列内容：

1、部门内部控制环境说明（权限分配、人员设置、控制手册、信息反馈、监督与改进等）。

2、内部控制评价的范围和内容（主要业务和重点业务自评情况）。

3、内部控制评价的标准和依据。

4、内部控制一般缺陷和重大缺陷及其认定情况（《内部控制缺陷认定汇总及整改底稿》）。

5、内部控制缺陷的整改措施及责任追究情况（具体的整改方案）。

6、内部控制有效性的结论，存在一个或多个内部控制重大缺陷的，应当作为内部控制无效的结论。

7、风险管理与内部控制工作亮点、问题及建议。

第十一条 风险信息数据库管理。各部门结合本部门业务按要求建立独立的信息数据库，对内控环境资源、风险管理工作产生的数据所形成的资料、记录进行备档等，当信息或执行文件发生变更时，风险数据库的信息应进行同步更新。

第四章 考评分值权重

第十二条 月度考核考评分值按照第三章日常工作考评内容，含内控体系环境维护、内控制度管理、风险管理、风险信息数据管理四项，针对每月开展工作的项目赋予权重。如3月计划开展制度梳理和数据库建立，即当月仅针对该两项指标设定权重进行考评，考核明细项目占比值以参照《风险管理与内部控制月度考核》为准。

第十三条 年度考评分值按照内控环境运行、日常管理、运行效果三大项赋予权重，其中内控环境运行30%，涉及考核明细10项，每项占分值均为3分；日常管理40%，涉及考核明细12项，每项各占分值不等；运行效果30%，涉及考核明细4项，每项各占分值不等；具体明细项目占分值以参照《风险管理与内部控制年度考核》为准。

第五章 考评程序

第十四条 审计法律部结合年度检查与日常工作进度记录情况作为评分依据。各部门风险控管理考评结合管理需要分为月度考核和年度考核，月度考核按照工作开展项目情况定期每月考评一次；年度考核按照工作质量完成情况每年考评一次，具体考评工作按以下程序

进行：

（一）月度考核

1、内控体系环境维护。审计法律部组织不定期对各业务部门内部控制环境运行情况进行检查，具体参照附表《风险管理体系运行检查表》，并作为月度考核评分依据。

2、风险信息数据库管理。审计法律部组织不定期就数据库的完整性与更新及时性，对各业务部门数据库管理情况进行检查，具体参照附表《风险数据库检查表》作为月度考核评分依据。

3、内控制度管理与风险管理。审计法律部结合月度各项工作完成进度与完成质量情况，参照《风险工作进度记录表》评分对应关系进行评分并填写评分值。

（二）年度考核

每年12月上旬，审计法律部结合考核指标，内控环境运行、日常业务管理、运行效果三大项核实相关记录、收集材料等依据进行初步评分，评分结果由各部门审核签字。具体考核事项以参照《风险管理与内部控制年度考核》为准。

第六章 考核兑现

第十五条 考核结果兑现。

（一）考核对象均为风险管理体系内各业务部门负责人。各部门负责人可根据管理需要将相关考核项纳入本部门人员考核内容。该风险管理考核方案与人力资源部纳入的月度和年度考核的总权

重挂钩，仅作为直接扣分项进行考评。

（二）该考核项分为四个阶梯进行评分，90分-100分（优）不扣分，80分-89分（良好）扣0.5分，60分-79分（中）扣1.5分，60分以下（差）扣2分。

第七章 附则

第十六条 本办自印发之日实行，由审计法律部门负责解释。 第十七条 相关文件和记录

《风险管理与内部控制制度》

《风险管理体系运行检查表》

《风险数据库检查表》

《内部控制缺陷认定汇总及整改底稿》

《风险管理与内部控制月度考核》

《风险管理与内部控制年度考核》