电力行业内部控制

（三）舞弊风险评估

企业成立专门的舞弊风险评估分析小组，负责舞弊风险的分析与评估工作。 二、 管理措施

（一）建立反舞弊机制

1. 企业应建立预防、识别舞弊风险的内部控制措施与程序，明确有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。 2. 企业至少应当将下列情形作为反舞弊工作的重点：

（1）经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。 （2）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。 （3）董事、监事、经理及其他高级管理人员滥用职权。 （4）相关机构或人员串通舞弊。 （二）反舞弊情况的信息沟通

1. 建立与外部关系方（包括供应商、客户等）的信息沟通渠道，使外部关系方能够对企业可能的舞弊行为进行投诉及举报。

2. 建立内部员工的投诉、举报等沟通渠道，如员工可以通过信访、电话、手机短信和电子邮件等方式反映问题及意见。

3. 企业对发现的问题应建立处理和报告机制。对通过各种渠道上报的可能不当行为应进行复核和调查，并依据调查结果和企业相关规定进行处理，对处理结果保留存档记录。 （三） 舞弊风险评估

企业应不定期开展舞弊风险评估，通过内部审计、专项调查等形式，对可能的舞弊行为进行调查，并依据调查结果和企业相关规定对相关责任人进行处理，对处理结果保留存档记录。

第四章 风险评估

第一节 对风险和风险管理的认识 一、 风险的定义

本指南所述之风险，是指未来的不确定性对企业实现其经营目标的影响。 二、 风险的特征

一般来说，风险具有如下特征： 客观性：风险的存在取决于决定风险的各种因素，完全消除或完全控制风险是不可能的。只有认识风险、承认风险，并采取相应的控制措施，才有可能降低或化解风险。 突发性：风险的产生往往突如其来，因而也加剧了风险的破坏性。

多变性：风险会受到各种因素的影响。随着影响因素的变动，风险在性质、破坏程度等方面呈现动态变化的特征。

相对性：企业对风险的承受能力，因拥有资源和管理经验的差异而各不相同，其造成的相对损失及后续影响也不尽相同。 无形性：风险需要运用不同的概念和方法予以界定和估计，使用定性和定量的方法综合分析。

三、 风险分类

风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等。结合电力行业的行业特点，上述五类风险可以进一步细分。其中：

战略风险中较为典型的风险包括：宏观经济与社会政治风险、政策风险、自然环境与地质风险、电力体制改革风险、电力监管风险、行业竞争风险、公司治理和管控结构风险、战

略规划风险、投资决策风险、电源规划风险、备用容量风险、电网规划风险、产能淘汰风险、节能减排风险等。

财务风险中较为典型的风险包括：预算风险、资金及流动性风险、成本管理风险、关联交易风险、融资风险、担保风险、短期投资风险、产权风险、税收策划风险、会计政策、报告及披露风险等。

市场风险中较为典型的风险包括：竞价上网风险、电力市场需求风险、供求平衡风险、信用风险、电煤价格波动风险、燃料价格风险、产业链风险、汇率及利率风险、金融市场波动风险。

运营风险中较为典型的风险包括：市场营销风险、电力交易风险、电力市场辅助服务风险、安全生产风险、输电阻塞风险、输电能力风险、备用率风险、电力可靠性风险、电力稳定性风险、电能质量风险、健康安全环境（HSE)风险、工程建设风险、供应链风险、人力资源风险、技术研发与创新风险、信息系统风险、信息安全与传递风险、部门协作风险、运营监控风险、维稳风险、品牌与舆情风险。

法律风险中较为典型的风险包括：制度合规风险、环保合规风险、合同风险、法律诉讼与纠纷风险、知识产权风险、审计与监察评价风险、信息披露风险、道德与廉政风险。 四、 全面风险管理

全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。风险应对主要是针对不同的风险级别采取相应的应对措施。风险程度高或中等不可控的重大风险，企业应建立重大风险解决或危机与应急预案方案，落实责任部门的风险管理职责；风险程度低或风险程度高但可控的风险，企业应对照内控制度，评估是否已纳入日常管理范畴，判断制度与流程是否需要优化或修改。企业应将风险应对措施融入业务流程，并在制度中予以固化。不同业务类型的单位可根据自身特点，科学设计风险应对的工作流程。 五、 风险管理流程

风险管理流程主要包括信息收集、风险识别、风险分析、风险评估四个步骤。企业应根据实际情况，明确风险管理流程，确定风险识别、评估、应对的周期，原则上每年至少识别、评估风险一次。风险评估是指用规范的语言描述识别出的风险，依据风险度量标准（风险矩阵）进行定性或定量评价，确定风险发生的可能性和影响程度，形成风险分值，排序后初步确定风险等级，形成风险事件库，绘制风险图的过程。 （一）信息收集

在风险管理过程的所有阶段，企业应与内外部利益相关方沟通，制定沟通计划。该计划应阐明与风险本身、风险原因、风险后果有关的事项，以及对其所采取的应对措施。沟通的目的是得到实施风险管理过程的责任人和利益相关方的理解。

风险管理须考虑内、外部环境。在明确环境因素时，企业可以从以下几方面入手： 1.外部环境。如社会、政治、法律；自然环境和竞争环境；对组织目标有影响的关键驱动因素和发展趋势；外部利益相关方；等等。

2.内部环境。如治理结构、内部机构、角色和责任；方针、目标、与内部利益相关方的关系；组织的文化、信息系统、信息流和决策过程；等等。

3.风险管理过程。包括确定风险管理活动的目的和目标；风险管理职责；开展风险管理的范围、深度和广度；风险评估方法；风险管理绩效考评；等等。

4.风险准则。如风险的特性和发生原因的种类、可能出现的后果、以及如何测量；如何确定风险发生的可能性、风险等级、风险可接受或可容忍的等级；等等。

（二）风险识别

风险识别是发现、辨识和表述风险的过程，包括对风险源、风险事件、风险原因和它们的潜在后果的识别。风险识别应重点关注风险识别的全面性、重要性、风险与风险源的关系。风险识别的基本内容包括：潜在的风险事件、风险源、风险原因、潜在的后果、影响范围、控制措施和风险清单等。 （三）风险分析

风险分析是理解风险特性和确定风险大小（定性或定量）的过程，它为风险评价和风险应对提供基础。风险分析的主要内容包括：分析潜在的风险事件、分析风险后果、分析风险发生的可能性、分析控制措施、确定风险等级。风险分析的方法主要有危险与可操作性分析法、危险分析与关键控制点法、因果分析法、事件树分析法、决策树分析法、风险矩阵法等。 （四）风险评估

风险评估是把风险分析的结果与风险准则相比较，以决定风险及其大小是否可以接受或可容忍的过程。风险评估的输出是风险应对的输入。风险评估的主要内容包括：组织的风险偏好、风险后果、可能性的测试指标、风险等级、风险带、风险的可接受性、风险的时间敞口、利益相关方的意见、风险是否需要应对等。风险评估的方法主要包括头脑风暴法、德尔菲法、情景分析法、因果分析法、事件树分析法等。

第二节 风险评估的方法与步骤 一、 风险评估的组织管理

企业董事会或类似权力机构决定企业风险管理体系。董事会或类似权力机构下设的公司风险委员会或审计委员会等类似机构，为董事会风险决策提供咨询、建议，对董事会负责，定期听取风险管理部门的汇报，解决风险评估中的重大事项。

企业管理层负责审核风险评估的方案，接受董事会或类似权力机构的授权，指导、协调风险评估工作，定期向董事会或类似权力机构汇报风险管理总体工作进展及重大事项。 企业风险管理部门负责制定并向管理层报告风险评估工作计划或实施方案，负责审核各业务部门风险评估结果的质量，与业务部门建立并保持畅通的沟通机制，具体协调、组织、推进风险评估工作，定期向管理层汇报风险评估工作情况。 二、 风险评估的基本方法 （一）确定风险度量标准 企业应根据自身特点，首先确定风险分类，进而明确风险度量标准，可采用定性的方式，也可以采用量化的方式。风险度量标准代表本单位的风险容忍度，其表现形式是风险矩阵。风险矩阵是围绕重要业务领域设定的指标，由风险发生的可能性、影响程度两个维度构成。风险矩阵确定后，企业应根据自身发展状况和外部环境变化定期修正。 在对风险发生可能性的高低进行分析时，可采用定性和定量相结合方法，将发生可能性分为“低、较低、中等、高、极高”五个级别，依次对应1至5分。

在分析风险发生后对目标的影响程度时，采用定性、定量相结合的方法，从企业关注的重点项目，如可以从“产出”、“资金”、“健康安全环保”、“成本”、“储量”等方面将风险影响严重程度分为“不重要、较小、中等、较大、重大”五个级别。 （二）定性与定量评估

企业风险评估方法包括定量和定性方法。两种方法均需明确风险事件的概率和风险损失。定量评估法一般准确度较高，但比较复杂，通常需设定数学模型。定性方法相对简单，但对评估人员的知识、经验及风险事件的背景要求较高。

企业可同时选择一种或多种风险评估方法。常用的方法有：

1.事件库法：详细列出同类型企业常见的潜在事件，及本企业曾经发生过的事件，总结

出按相关属性分类的风险事件列表。 2.访谈法：风险管理机构制订详细的访谈计划，访谈熟悉业务流程、有经验的管理人员，讨论、评估风险情况，形成访谈记录。

3.头脑风暴法：组成讨论小组，充分发挥集体智慧，对潜在事件提出各自的意见，通过自由、宽松的讨论，汇总、整理有价值的信息，从而正确、全面地识别风险及其相互关系。 4.德尔菲法：又称专家调查法，针对某个风险同时咨询多个专家，专家们根据自己的经验作出各自的评估，再综合这些评估得出结果，专家据此修改，直至达成一致。

5.风险临界法：将当前交易或事件对照预先定义的风险标准，并在风险达到临界时引起管理层的警觉。一旦发现事件达到临界值，企业则需进一步评估或作出反应。

6.讨论会法：通过组织讨论，综合管理层、员工和其他利益相关者的知识、经验识别风险事项。讨论会主持人应引导与会者，讨论可能影响实现企业或某一业务单元目标的风险事项。

7.流程分析法：通过综合考虑影响流程的内、外部因素，识别出影响实现流程目标的事件。

8.故障树分析法：遵循从结果找原因的原则，通过分析可能造成项目失败的各种因素，画出逻辑框架图，从而确定可能导致项目失败的原因。该方法还可与其他定量分析方法结合使用。

9.事件重要指标法：通过监测与事件相关的资料，识别是否存在引发风险事件的条件。 10.损失事件数据法：结合以往各个损失事件的数据库，识别风险事件发生原因或发展趋势。

11.问卷调查法：通过事先设定的问卷，收集不同级别的人员对风险的态度、认识和经验，并收集风险事项。 三、 风险评估实施步骤 风险评估主要步骤如下：

1.成立风险评估工作组织。由企业风险管理机构牵头，各业务部门确定风险协调人，共同组成工作小组。

2.确定风险度量标准。企业初次开展风险评估，尚无风险度量标准的，可向部门经理以上人员发放调查问卷（或访谈），拟订形成风险矩阵，交管理层审定。再次评估风险前，由风险管理部门审核原有风险矩阵，提出修改方案。 3.实施风险评估

（1）风险管理机构向业务部门发放“风险评估调查问卷”，内容一般包括风险编号、风险描述、风险事项发生可能性打分标准、风险评估指标的影响严重程度打分标准及评估人、日期等。

（2）风险管理机构统一对各部门风险评估人员开展风险评估前的培训，培训内容一般包括风险分类、风险评估标准、风险模板、应对策略制定原则等。

（3）部门风险评估人员填写“风险评估调查问卷”，分析风险源、制订初步的应对方案。具体工作程序如下：

本部门评估人在经过相关培训后收到“风险评估调查问卷”，按“风险矩阵”中对应的风险度量标准对识别的风险事项打分；

评估人根据风险发生可能性评估表判断该风险发生的可能性，并将对应的风险级别分值填入“风险发生可能性”栏内；

评估人根据风险发生影响程度评估表判断该风险对所列指标的影响程度，并将对应的风险级别分值填入相关的指标栏内，不影响该项指标的，该栏分值不填，影响多项指标的，应分别填列分值；