风险评估规范

风险评估规范

第一章总则

第一条为规范江苏爱信诺航天信息科技有限公司（以下简称“公司”）风险评估的程序和方法，根据《企业内部控制基本规范》、《COSO企业风险管理框架与应用方法》等，结合公司管理实际，制定本规范。

第二条本规范适用于公司本部、分公司及连云港子公司。

第三条术语与定义：

（一）风险：是任何可能影响公司实施其目标的负面因素。风险按照风险的内容不同，可以分为公司层面风险和业务活动层面风险；按照风险对应的目标类别不同，分为战略风险、经营风险、合规性风险和财务报告风险。

（二）风险评估：风险评估是识别和分析那些影响目标实现因素的过程。

（三）风险可能性：是假定不采取任何措施去影响管理进程的情况下，将会发生风险的概率。

（四）风险影响程度：风险影响程度是风险对目标实现的负面影响水平。

（五）风险反应：是对识别的风险确定相应的对策方案。

第四条一般原则：风险评估应符合国家的法律和相关监管要求；符合公司的发展需要，与公司实际情况相结合；应运用专业判断和坚持重要性原则。

第二章程序与方法

第五条风险评估主要经过目标制定、风险识别、风险分析、风险反应等四项基本程序。

一、目标制定

第六条目标制定是风险识别和风险分析的前提。公司首先确定战略目标，因为战略目标是公司的总体目标，体现了公司的长远发展方向，然后以此为基础确定战略目标的相关目标，即经营目标、合规性目标和财务报告目标。经营目标

是关于公司经营效果和效率方面的目标。合规性目标是指公司遵守法律法规和相关监管规定等方面的目标。财务报告目标是编制可靠的财务报告的目标。

二、风险识别

第七条风险识别的主要方法：

（一）小组讨论：内控管理部门组织相关部门负责人和具有丰富经验的管理人员，按业务类别和人员构成进行分组讨论，形成意见。

（二）访谈法：内控管理部门组织相关人员，对熟悉业务流程的管理人员进行访谈，了解和讨论存在的风险，形成访谈记录。

（三）问卷调查法：内控管理部门编制风险调查问卷，收集、整理反馈意见确定相关风险。

（四）案例分析法：内控管理部门定期收集公司发生的有关案例，组织相关人员进行讨论，通过对案例中妨碍目标实现的负面因素进行分析来识别风险。

（五）参考专业机构咨询意见：内控管理部门通过向专业机构（如风险管理咨询公司、公司法律顾问等）进行咨询，参考专业机构提供的风险数据库或咨询意见，结合公司实际情况识别风险。

第八条公司层面风险识别的主要程序：

（一）确定公司总体目标：公司总体目标主要表现为公司制定的战略目标、与战略目标相关的中长期发展规划；公司层面风险是从公司整体角度对实现战略目标和对公司整体声誉等方面产生负面影响的因素。因此确定公司目标是风险识别的前提。

（二）收集公司同行业其他公司的风险情况：公司内控管理部门和相关部门将公司及同行业其他公司的相关风险进行收集、整理、归纳和分析，找出公司与同行业其他公司风险的共同点和差异点，作为识别公司层面风险的参考资料。

（三）识别确认风险：公司内控管理部门和相关管理部门参考公司和同行业其他公司的风险，采取分组讨论等方式，逐项识别公司内外部影响公司战略目标实现、影响公司整体发展和公司声誉等方面的负面因素，完成公司层面风险的识

别和确认。

第九条公司层面风险识别关注的主要因素：

（一）外部因素：技术发展和进步、行业特性与不断变化的市场需求、外部竞争、市场价格波动、新的法律法规、自然灾害等。

（二）内部因素：信息系统运行、员工的素质和培训、公司治理结构对公司发展的适应性、管理层职责等。

第十条业务层面风险识别的主要程序：

（一）明确目标：明确目标是风险识别的前提，在此基础上，进一步确定与具体业务流程相关的，影响目标实现的具体因素。

（二）描述业务流程：通过分析流程现状，梳理流程步骤，按照公司统一描述规范和描述工具，以流程图的形式对业务流程进行描述。

（三）识别风险：以业务流程图为主线，根据确认的各业务流程的具体目标，关注影响目标的主要因素，逐步识别各流程中存在的影响目标实现的负面因素及其发生原因，这些负面因素就是影响目标实现的风险。

三、风险分析

第十一条风险可能性分析。公司将风险发生的可能性分为极小可能和较大可能两级。风险可能性级别的确定，可以采用风险发生的概率或一定时期风险发生的次数来判断。由于不同类别的风险，很难用一个统一的、固定的概率或次数来划分，因此，可以按不同的风险类别设定不同的划分标准来确定风险可能性的级别。

第十二条风险影响程度分析。公司将风险影响程度分为极小影响和较大影响两级。如果风险的发生在很大程度上不会影响目标的实现或只有一些轻微的影响，则将风险影响程度确定为极小影响；如果风险的发生会对目标的实现产生一定的阻力，并且这种阻力将会增加实现目标的难度和成本，则将风险影响程度确定为较大影响。

第十三条风险重要性水平的判断。公司将风险重要性水平分为高、中、低

三类，主要根据风险发生的可能性和影响程度的对应关系来确定，判断方法是：（一）如果风险发生的可能性属于极小可能，并且风险影响程度确定为极小影响，则将该类风险的重要性水平确定为低。

（二）如果风险发生的可能性属于较大可能，但风险的影响程度属于极小影响，或者风险发生的可能性属于极小可能，但风险的影响程度属于较大影响，则将该类风险的重要性水平确定为中。

（三）如果风险发生的可能性属于较大可能，并且风险的影响程度属于较大影响，则将该类风险的重要性水平确定为高。

（四）舞弊风险的重要性水平均确定为高。

对于重要性水平为低的风险，由于其发生的可能性和影响程度均极小，公司可以忽略此类风险而不予关注；对于重要性水平为中的风险，公司将此类风险确定为一般风险并予以一般关注；对于重要性水平为高的风险，公司将此类风险确定为重要风险并给予重点关注。

四、风险反应

第十四条风险对策方案：公司在进行风险识别和分析后，要根据相关目标、风险发生的原因和风险重要性水平，结合实际情况做出适当的反应，确定采取不同的风险对策方案：

（一）回避风险：指公司退出产生风险的各项活动，不参与实施会造成相关风险的举措或活动等。

（二）减少风险：指公司采取行动减少风险发生的可能性或降低风险影响程度或两者同时降低。如建立或优化业务流程、增加相关控制措施等。

（三）分担风险：指公司通过将风险转移或者分担部分风险来减少风险的可能性和影响。如为重大的意外损失保险等。

（四）接受风险：指公司不采取任何行动去影响风险的可能性或影响。如不采取行动而接受符合风险接受程度内的风险。