JFU风险管理和内控实务纲领– 第三部分（一）

来源 : 傅子刚咨询

2015年11月18日

为C.2.4披露陈述制定政策

我们上期的简讯提出，发行人可以采用关于风管和内控的政策陈述，在此基础上准备C.2.4要求的披露陈述。请见我们2015年11月11日的《风险管理和内控实务纲领– 第二部分（四）》JFU解决方案4(a)-(e)。

清注意，下述内容是假设政策在实际中得到彻底执行，不需要为准备C.2.4披露陈述做出修改。

风险管理和内控系统（“系统”）

为确保符合风险管理和内控规则条文，企业（包括其子公司）已经采取了表A规定的行动（指前几期《JFU简讯》标注为“行动点”的政策提议）。在设计和执行系统方面，企业已经参考表B列出的《2013版内部控制整合框架》和《ISO 31000风险管理标准》规定的框架和指导原则。

用于识别、评估、管理重大风险的程序——C.2.4(a)

公司保存风险登记簿，收集整理系统文件任命的业务单位、功能部门或程序负责人（“所有人”）提交的风险情况。对收集到的风险情况要有明确解释，以便于风险管理和评估。

风险管理程序由管理层负责财务、运营和法律职能的高级成员组成的工作组执行。工作组遵照表B中《ISO 31000风险管理标准》和COSO《2013版内部控制——整合框架》关于风险评估的原则、框架和程序的规定，进行风险管理。

实质上，工作组与各业务单位、职能部门和实体（《ISO 31000风险管理标准》第5.2章）的成员进行沟通和咨询，得出观察结果，确定业务和运营环境中的变化，对登记的风险和出现的问题进行评估。风险评估包括风险分析，用以评估事件发生的可能性，确定其影响和可能产生的反应。进行风险评估时，工作组要考虑风险，同时要考虑业务单位和职能部门在实现财务、运营和合规目标时可能发生的欺诈行为，进而考虑到整个公司在这方面的情况。(《ISO 31000风险管理标准》第 5.4章, 和COSO《2013版内部控制——整合框架》原则 6-9)

工作组每月举行例会，并向董事会汇报，得到其指导和建议，发挥其监控和持续监督的作用。(《ISO 31000风险管理标准》第 5.6章, 和COSO《2013版内部控制——整合框架》原则 16-17)

系统的主要特点——C.2.4(b)

如上一段里所解释的，公司采用COSO《2013版内部控制——整合框架》作为系统设计和执行的依据，采用《ISO 31000风险管理标准》作为风险管理的程序。系统适用于公司业务单位、部门和实体的所有活动，并可分为四个层次进行分析：

管治

管治的主要目标是，为公司各业务单位、职能部门和实体实现目标效绩提供有效的领导、方向和控制。

管治结构包括股东大会、董事会，以及各种委员会，包括独立董事、主管任命、主管薪酬、股票性薪酬、审计委员会、内审、对价格敏感信息、委员会评估等委员会。

董事会主席确保有效地管理董事会和各委员会，对管治、确定目标和策略、关键指标的设置、效绩监控、审计，以及针对风险和公司控制事务组织广泛的沟通等方面，负有全面责任。

[特别规定]
管理

管理的主要目标是，执行公司策略，取得为公司各业务单位、职能部门及实体制定的效绩目标。

附注的组织结构图标注出了公司的管理结构。管理层根据目标和任务，将恰当的资源分配给各业务单位、职能部门和实体，并配以相应的预算，用以完成管理报告、预算控制、差异分析、学习和后续跟踪。

首席执行官负责有效地管理组织机构，高效地利用分配的资源，监管各个单位、部门和实体的效绩、跟踪差异、改进业务活动。由管理层高级成员组成的工作组负责系统的设计、建立和运作。

[特别规定]
特别交易或项目

公司开辟特别的交易或项目，以推动创新、成长和发展。特别的交易或项目指的是全新的或特设的，不会重复发生的交易或项目，比如新产品发布、资本筹措、资本支出或企业并购。假定这种交易或项目都具有风险，对价格敏感。因此需要董事会给予特别的关注，制定特别的规定。

对各个交易和项目，要组成交易组/项目组，在计划、评估、决定、执行、监控和报告的过程中提供支持，并进行控制。对沟通和传播信息进行的控制，其程度和形式，要听从价格敏感信息委员会的建议，并由董事会批准。

[特别规定]
运营

公司的运营要分配到各个业务单位、职能部门及实体，以董事会和管理层认为最有用、最高效的方式进行。整合活动，形成顺畅的流程、程序和交易周期，以取得预期的功能效果，同时配以恰当的控制活动，处理无论是出于疏忽还是欺诈而可能产生的错误或薄弱环节。

下面是上述层次适用的主要程序或重要交易周期：
[特别规定]

< 回到主页

< 前页 下页 >

如有查询
请与我们联系

电话: +852 3719 6000

enquiries@jfuconsultants.com