长春万科风险评价手册第一章总论一、编制目的为促进长春万科风险管理体系的设计与运行情况，规范风险评价程序和评价报告，强化风险管理激励约束机制，保证企业风险管理体系长期有效运行，制定本手册。

本手册明确了风险体系评价中相关机构组织及其职责权限，规定了评价的原则、程序、方法、内容和报告形式。

二、试用范围本手册适用于长春公司各部门。

三、风险评价定义风险管理体系评价，是指公司对内部风险管理体系的有效性进行全面评价，形成评价结论。

风险管理体系有效性，是指公司建立与实施的风险管理体系对实现控制目标提供合理保证的程序，包括设计的有效性和运行的有效性。

出具评价报告的过程，主要包括：内部控制测试、缺陷认定、评价报告。

1）内部控制测试内部控制测试是按照规定的程序、方法和标准，针对控制目标，对公司内部控制体系设计有效性和执行有效性进行检查，旨在发现内部控制体系在设计层面和执行层面是否存在偏差。

2）缺陷认定缺陷认定是按照规定和程序、方法和标准，对内部控制测试过程中发现的例外事项进行综合分析判断，进而确定内部控制是否存在缺陷以及缺陷影响程度的过程。

3）评价报告评价报告是在测试和缺陷认定结果的基础上，对内部控制与风险管理有效性进行评价及报告的过程。

四、长春万科风险评价内容长春万科开展的风险评价工作主要包括三类：1）由各业务部门开展的自评价工作：根据集团及公司风险管理组的要求，由各业务部门内控流程对接人组织部门相关人员，开展的体系设计与执行的自查工作。

2）公司层面内控检查/专项检查：根据公司内控管理需要，由公司风险管理组组织的，对公司整体或业务部门进行的检查活动。

3）集团审计/外部检查：由集团或外部审计机构开展的检查工作。

本手册主要对第一类及第二类评价工作开展的要求、程序、方法等内容作出规范。

第二章风险评价的基本方法和程序一、风险评价图二、风险评价基本程序风险体系评价的程序，主要包括四个阶段：组织与准备、内部控制测试、缺陷评估与编报评价报告。

2.1组织与准备2.1.1在开始正式的内部控制体系评价之前，需要做好组织与准备工作：主要包括组成评价工作组、确定评价范围和内容、确定评价工作方案。

2.1.2评价小组是在风险管理组领导下，具体承担内部控制检查评价任务。

风险管理组应当挑选熟悉公司风险管理相关规定、参与日常监控的负责人或业务骨干组成评价工作组，工作组成员应具备必要的独立性、业务胜任能力和职业道德素养。

2.2内控测试2.2.1内部控制测试是按照规定的程序、方法和标准，对公司内部控制与风险管理体系设计有效性和执行有效性进行检查，测试主要包括以下内容：a)根据设计和运行有效性评价的要求，对公司层面、业务活动层面有效性综合运用各种测试方法分别进行现场测试。

b)按要求填写工作底稿、记录相关测试结果，对测试发现的例外事项进行确认说明。

2.2.2例外事项是指内部控制体系设计层面和执行层面与相应的规范、标准、要求之间存在的偏差。

2.2.3工作底稿应由风险管理组负责人审核确认。

2.3缺陷评估2.3.1缺陷评估是以规定的程序、方法和标准，汇总各评价工作组的测试结果，对工作组测试现场发现的例外事项进行全面复核，分类汇总，对例外事项的成因、表现形式及风险程序进行定量或定性的综合分析，按照对控制目标的影响程序判断缺陷等级以及导致财务报告错报的影响程度和发生可能性的过程。

2.3.2缺陷评估是以单个控制缺陷分析为基础，由于与特定会计科目、披露事项以及内部控制要素相关的多个控制缺陷增加了错报的可能性，还应对控制缺陷进行总结，以此确定汇总后的缺陷是否构成重要缺陷或重大缺陷。

2.3.3对于认定的内部控制缺陷，应当要求责任单位及时整改，并跟踪其整改落实情况；已经造成损失或负面影响的，公司应当追究相关人员的责任。

2.4编制评价报告2.4.1评价报告是在测试和缺陷评估结果的基础上，综合风险管理工作整体情况，客观、公正、完整地编制评价报告。

2.4.2评价报告编写完成后，检查者需就评价报告内容与被检查领域的对接人、负责人进行沟通，就被检查人的疑问进行解答，最终确定检查结论。

三、内控测试具体方法评价工作组应当对被评价单位进行现场测试，综合运用询问、观察、实地查验、检查、重新执行、穿行测试、抽样、比较分析和专题讨论等方法，充分收集被评价单位内部控制与风险管理体系设计和运行有效性的证据，按照测试的具体内容，如实填写测试工作底稿，研究分析存在的例外事项。

3.1询问询问是通过口头或书面的方式对执行控制的相关人员提出问题，根据被询问人的回答确定控制是否存在并有效运行，以及控制执行人对控制的理解程度。

具体形式有访谈，调查问卷等。

3.1.1访谈法访谈法主要用于了解公司内部控制的现状，在公司层面测试及业务层面测试的了解阶段经常使用。

访谈前应根据内部控制测试需要形成访谈提纲，撰写访谈纪要，记录访谈的内容。

3.1.2问卷调研法调查问卷法主要用于公司层面测试。

调查问卷应尽量扩大对象范围，包括公司各个层给员工，应注意事先保密性，题目尽量简单易答（如答案只需为“是”、“否”、“有”、“没有”等）询问是确信水平最弱的一种测试方法，仅仅通过访谈不能获得充分的证据，应该与其他测试方法同时运用。

3.2观察观察现场，见证正在执行的控制，从而判断控制是否存在并有效运行。

观察对测试接触性控制非常有效，较询问的确信水平高，但仍应与其他测试方法同时运用。

3.3实地查验法实地查验法主要针对业务层面控制，它通过使用统一的测试工作表，与实际的业务、单证进行核对的方法进行控制测试，如实地盘点某种存货。

3.4检查检查是通过查看与控制相关的文档性记录，对控制有效性做出判断。

3.5重新执行重新执行是通过重新执行控制活动以确定控制是否有效。

检查应与询问结合运用，并进行适当的再执行程序，确认控制确实有效执行。

3.6穿行测试穿行测试法是指在内部控制流程中任意选取一笔交易作为样本，追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程，即该流程从起点到终点的全过程，以此了解控制措施设计的有效性，并识别出关键控制点。

在操作中，将初始数据输入内控流程，穿越全流程和所有关键环节，把运行结果与设计要求对比，以发现内控流程缺陷的方法。

穿行测试的实施一般可分为以下几步：1）确定拟测试的业务流程，根据业务流程走向填写测试内容。

（一般风险控制矩阵表会按照流程线编写，可参照其内容编写穿行测试内容）例如，对与工程相关的采购与付款流程执行穿行测试，可选取若干笔采购业务，从每一笔采购业务的采购计划、采购实施、付款申请、采购付款四大环节的过程资料进行检查。

示例如下：2）选取样本进行测试。

样本可以任意选取，如如选取最近发生的典型样本以涵盖所有控制点。

也可指定选取，如关注金额较大样本、或经常发生业务的样本、或特殊业务的样本、或一次性交易的样本等。

如上述采购与付款测试，测试项目的选取可从采购计划表中选取，往下追溯；或从合同台账中选取，分别向前追溯到采购计划阶段，往后追溯到付款阶段；或从财务付款记录中选取，往前追溯。

3）根据选取的样本执行测试。

测试人员在执行穿行测试时，需要将拟测试的业务相关的重要的交易流程从前到后的全部“看”一遍，然后确定内部控制的设置是否良好、内部控制是否正在执行等情况，并填写测试底稿。

测试过程中综合运用询问、观察、检查文件记录、重新执行等多种程序。

3.7抽样法抽样法主要应用于对某一控制点执行情况的检查，如对设计变更审批程序的检查等。

一般来说，风险控制矩阵表中列明检查要求及测试样本名称的细项，均可对其进行抽样测试。

抽样法分为随机抽样和其他抽样。

随机抽样是指按随机原则从样本库中抽取一定数量的样本；其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。

抽样法是以样本代表总体，通过对样本的检查，判断控制总体执行情况的一种方法。

3.8比较分析法比较分析法是指通过数据分析，识别评价关注点的方法。

数据分析可以是与历史数据、行业（公司）标准数据或行业最优数据等进行比较。

3.9专题讨论法专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析，既可以是控制评价的手段，也是形成缺陷整改方案的途径。

四、内控测试底稿评价工作底稿应详细记录企业执行评价工作的内容，应当设计合理、证据充分、简便易行、便于操作。

有关工作底稿和模板见第三章、第四章具体说明及附件。

五、测试样本量的确定5.1样本总体的确定：样本总体包括构成某类交易和事项的所有项目，测试人员应当确保样本总体的适当性和完整性。

5.1.1适当性：测试人员确定的样本总体应适合于特定测试目标。

如：营销物资入库验收数量控制中，控制目标为保证入库物资数量计量的准确性，样本总体应为营销物资入库数量验收事项，而不应是物资入库质量验收事项。

5.1.2完整性：测试人员应从样本总体项目内容和涉及时间等方面确定样本总体的完整性。

如：固定资产报废控制中，测试人员不仅要了解财务账所反映的报废项目情况，还要结合其他相关资料（如相关审批文件、会议纪要等）确定样本总体，以保证样本总体为全部资产报废事项。

5.2测试样本量的确定：关键控制样本量确定表六、缺陷评估6.1缺陷分类6.1.1按照缺陷成因或来源分类，包括设计缺陷和执行缺陷。

a)设计缺陷是指公司缺少为实现控制目标所必需的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标。

b)执行缺陷是指设计有效（合理且适当）的内部控制由于执行不当（包括不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等）而形成的缺陷。

6.1.2按照影响目标实现的严重程度分类，分为重大缺陷、重要缺陷和一般缺陷。

6.2缺陷认定标准对于各类评价及检查过程中发现的控制缺陷，公司应当结合自身的实际情况和关注重点，制定适应企业的重大缺陷、重要缺陷和一般缺陷的认定标准。

鉴于内部控制缺陷的表现形式和影响目标不同，可从公司层面与业务流程层面两个方面来区分缺陷的认定标准。

6.2.1公司层面缺陷认定公司层面的缺陷一般是跟控制环境相关的缺陷。

应关注如下定性因素：（1）缺陷在企业中的普遍性，是否具有广泛性影响；（2）缺陷对企业层面控制各组成要素的相对重要性；（3）高级管理层凌驾的风险包括考虑舞弊的可能性、以往内部控制缺陷记录、表明内部控制风险增加的迹象等；（4）控制运行有效性方面已发现的例外情形的性质、原因和频次；（5）缺陷可能的潜在影响。

公司层面内部控制缺陷具体认定标准如下：（1）以下任一情况可视为重大缺陷：a)识别出高级管理层中任何程度的舞弊行为，包括财务报告舞弊；b)资产不当使用；不实的收入、费用及负债；资产的不当取得；偷税和高层舞弊等方面；c)对已签发的财务报告进行重报，以反映对错报的更正；d)外部审计发现的、最初未被公司财务报告内部控制识别的当期财务报告中的重大错报；（2）以下任一情况可视为重要缺陷：a)沟通后的重大缺陷没有在合理的期间得到纠正；b)控制环境无效。