企业面临的风险包括战略风险、商业风险、声誉风险、组织风险、运营风险、财务风险、合规风险、监管风险等。风险内控，是指对公司各业务部门、事业部及子公司经营活动的真实性、合法性、合规性、效益性以及各种文件制度的科学性和有效性进行审查、核实和评价的监控活动。

风险内控工作机制的建立能更有效地围绕公司战略及经营目标的落地，以防范风险为导向，以流程为抓手，在流程中设立若干监控与审计点，同时明确各级管理人员的职责，实现自动审计。

一、风险内控工作机制组织架构及职责

风险内控机制主打三道防线：

第一道防线：在业务运作中控制风险。

第二道防线：针对跨流程跨领域进行高风险拉通管理，进行方法论的推广，进行内控赋能。

第三道防线：通过审计调查，对风险进行独立评估和冷威慑。

（1）组织架构图

（2）各部门主要工作职责

审计委员会作为公司的风险管理中心、协调改善中心、风控咨询中心，负责统筹、组织、协调流程梳理以及内控风险管理工作。

1．审计监察部（第三道防线）

第一，负责受理风险防控部与综合管理部提供的线索，通过审计调查，对风险进行独立评估和冷威慑；

第二，移交审计过程中发现的相关风险点及流程漏洞至风险防控部。

2．风险防控部（第二道防线）

第一，统筹、组织、协调第三道防线进行全公司流程梳理，进行风险识别，风险分级，输出风险地图；

第二，根据风险地图，统一组织风控项目，风险防控部负责主流程，管理部（各平台部门、事业部、子公司）负责业务活动，业务节点网格组负责业务节点，通过对流程管控现状进行评价并针对发现的问题进行分析；

第三，统筹、组织、协调三道防线进行流程优化工作；

第四，将流程梳理过程中发现的线索提供至审计监察部，由审计监察部进行重大案件专项审计；

第五，对管理部和业务节点网格组进行培训、业务指导以及进行答疑解惑。

3．管理部及业务节点网格组（第一道防线）

第一，管理部（各平台部门、事业部、子公司）。一是配合风险防控部完成风险地图梳理；二是根据风险防控部审计项目计划完成业务活动自检审计；三是每月一次向风险防控部汇报本部门内控工作的相关情况；四是遇到重大及异常问题，立即向风险防控部汇报。

第二，业务节点网格组。一是根据风险防控部审计项目计划完成业务节点自检审计；二是每月一次向风险防控部汇报所负责的业务节点内控工作的相关情况（公司内部汇报业务流程节点运行情况；三是遇到重大及异常问题，立即向风险防控部汇报。

4．两办/绩效（运营总裁办、平台总裁办、薪酬与考核委员会）

一是，配合风险内控工作开展；二是，每月一次向审计委员会提供决策事项清单以及文件制度等；三是，重大事项立即反馈至审计委员会；

5．信息工程中心：根据需求完成OA流程搭建以及线上流程优化事宜。

二、实施方案

风险内控工作的开展需建立分层、分级的内控流程管理机制，主要围绕“三大工作流”开展，分别为确保公司战略以及经营目标落地、流程及制度梳理优化、日常业务需求。通过自上而下、自下而上、几上几下的方式，保证流程循环往复迭代。

（1）确保公司战略及经营目标落地

新的公司战略及经营目标或者原有公司战略以及经营目标的调整，必然会导致业务流程的更新以及变化。通过对公司战略及经营目标的理解、把握、分析、确认、部署、实操，从而建立有效的内控流程管理机制，是确保公司战略及经营目标落地的关键。

因公司战略及经营目标制定/调整时，风险内控工作开展步骤如下：

1．董事会提出/调整公司战略及经营目标，两办/绩效整理决策事项清单，提交审计委员会风险防控部；

2．审计委员会风险防控部对公司战略及经营目标进行分析，梳理主要运营流程，确认策略及运营风险，从而进行内控策略及工作部署，形成内控工作计划书；

3．管理部及业务节点网格组根据内控工作计划书开展业务活动及业务节点内控自检审计，自检报告提交审计委员会风险防控部；

4．根据自检结果及内控计划书，必要时审计委员会风险防控部开展主流程内控审计，审计问题汇总后制定流程优化方案提交董事会审批；

5．联合管理部和业务节点网格组进行流程优化；

6．提交信息部进行线上流程搭建。

（2）流程及制度梳理优化

为了强化组织管理，提升组织效率，流程与制度需不断进行更新迭代以确保适应业务流程的变化。因此，流程与制度梳理优化是风险内控工作的重要一环，包括审计发现异常、绩效跟踪异常、两办管理异常等。

因流程及制度梳理优化时，风险内控工作开展步骤如下：

1．两办/绩效提出流程及制度梳理需求，上报审计委员会风险防控部；

2．审计委员会风险防控部审核两办/绩效需求，若需求简单，风险不大，则提供方法论由两办/绩效自主梳理；若需求风险较高，审计委员会风险防控部专项梳理内控策略及工作部署，形成内控工作计划书；

3．管理部及业务节点网格组根据内控工作计划书开展业务活动及业务节点内控自检审计，自检报告提交审计委员会风险防控部；

4．根据两办/绩效自主梳理结果、管理部及业务节点网格组自检报告或内控审计问题汇总，由审计委员会风险防控部制定流程优化方案提交董事会审批；

5．联合管理部和业务节点网格组进行流程优化；

6．提交信息部进行线上流程搭建。

（3）日常业务需求

风险内控工作的开展，需与业务部门建立相应的协同机制、反馈机制和监督机制。

因业务部门日常需求时，风险内控工作开展步骤如下：

1、需求部门提出需求，部门内部审核通过后上报审计委员会风险防控部；

2．审计委员会风险防控部审核需求，进行流程设计，优化方案提交董事会审批；

3．联合需求部门进行流程优化；

4．提交信息部进行线上流程搭建。

（4）风险识别及应对实施步骤

进行有效的风险识别以及制定相应的应对方案是风险内控机制有效运行的基础。

1．风险识别。风险识别是一个由管理层和员工识别对达成一致的目标带来负面影响的事件或条件的过程。

2．风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。需要评估和考虑其对实现目标产生正面或负面影响的范围，从发生的可能性和影响程度两个维度进行评估。

3．风险应对。风险应对是指在风险评估后，根据风险性质和决策主体对风险的承受能力而制定的回避、承受、降低或分担的风险应对策略。

风险应对并非要求公司采取应对策略无休止地降低风险，而不考虑实施应对策略的成本，风险应对原则是将风险控制在管理层可容忍的限度之内。风险应对的控制措施一般包括不相容岗位分离控制、授权审批控制、会计系统控制、预算控制、运营分析控制和绩效考评控制等。

4．内控标准建立。结合公司文化制度、当前操作流程、风险评估结果以及管理层风险容忍度，建立统一的内控标准，包括为什么要执行、谁执行、谁审批、执行关注内容、执行频率、形成什么样的表单。

5．建立风险预警和应急机制。建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保特发事件得到及时妥善处理，尤其是安全生产、社会安全、突发事件。

三、交付成果

（1）内部控制流程梳理实施方案，包括主要任务、职责、实施方案、实施步骤等内容。

（2）形成规章制度目录，并及时更新公司规章制度数据库。

（3）形成主要业务流程目录，并建立公司主要业务管理程序和业务流程。

（4）编制《内部控制流程操作手册》。

（5）形成内部控制评价报告。