企業(yè)內控項目案例

1、公司內控體系建設項目案例管理咨詢有限公司2014年2月2一項目背景及客戶需求二工作思路、與方法目錄3簡介公司成立注冊資本金由1.19億元增加到5.78億元公司成為某公司的控股股東經批準，公司由三級公司升格為二級公司2013.2.25公司黨委、紀委成立2010.12.202012.12.222013.3.282013.6.26 公司員工將近公司員工將近500500人，人，其中總部其中總部6060余人，子公余人，子公司司200200余人余人 20132013年實現營業(yè)收入年實現營業(yè)收入7 7億余元億余元項目系統(tǒng)集成；項目系統(tǒng)集成；核心裝備制造；核心裝備制造；項目的投資建設；項目的投資建設；工程實施

2、及運營管理工程實施及運營管理人員規(guī)模產品結構銷售收入4n2015年實現銷售收入20億元。n成為“國內一流、國際知名的上市公司。n打基礎n抓好運營、在建項目的管理n謀發(fā)展n重點抓好大項目推進和落地。發(fā)展戰(zhàn)略：一個目標兩個支撐十二五的核心工作與目標5的內控要求國資發(fā)評價201268號文關于央企加強構建內控體系的通知關于轉發(fā)國資委、財政部的通知 2013年 2018年工業(yè)領域全方位服務商國內一流，國際知名銷售收入XX億元服務綜合解決方案發(fā)展全方位服務行業(yè)服務百強公司上市銷售收入七億銷售收入二十億 2015年 戰(zhàn)略規(guī)劃目標要求戰(zhàn)略規(guī)劃目標要求2014年工作任務年工作任務流程梳理風險事件庫內控手冊國資委

3、及總部要求五年發(fā)展規(guī)劃的戰(zhàn)略部署6競爭者敏感性股東關系資金充足性 金融市場災難性損失獨立政治法律行政管理行業(yè)環(huán)境風險信息技術風險使用權 完整性相關性 可得到性 基礎設施財務風險貨幣利率流動性結算再投資信用雙邊關系現金轉移或流速改變廉政風險管理欺詐雇員欺詐非法行為無授權使用商譽 治理與管控風險領導力權力限制 表現激勵溝通公司治理營運風險客戶滿意人力資源產品開發(fā)效率能力表現差異循環(huán)時間資源商品定價過失或損失符合性業(yè)務中斷健康和安全 環(huán)境產品或服務失敗 商標或產品名侵蝕營運價格合同投入衡量結盟完整性和精確性管理報告決策信息風險財務預算和計劃 完整性和精確性會計信息財務報告評價稅收養(yǎng)老基金投資評估管理

4、報告 戰(zhàn)略環(huán)境檢視業(yè)務組合價值衡量組織結構資源分配計劃生命周期企業(yè)風險模型告知我們，企業(yè)經營過程中始終存在多重風險7中國內部控制相關法規(guī)的發(fā)展歷程979899000102030405070809106月5日，上海證券交易所出臺上海證券交易所上市公司內部控制指引6月6日，國務院國有資產監(jiān)督管理委員會“關于印發(fā)中央企業(yè)全面風險管理指引的通知”9月28日，深圳證券交易所出臺關于發(fā)布上市公司內部控制指引的通知3月3日，財政部發(fā)布關于印企業(yè)內部控制規(guī)范基本規(guī)范和17項具體規(guī)范（征求意見稿）的通知2008年6月28日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯合召開企業(yè)內部控制基本規(guī)范發(fā)布會發(fā)布了企業(yè)內部控

5、制基本規(guī)范以及配套規(guī)范的征求意見稿，2009年7月1日起實施2009年1月，陸續(xù)發(fā)布了企業(yè)內部控制應用指引的數個更新稿6月5日，中共中央辦公廳、國務院辦公廳印發(fā)了關于進一步推進國有企業(yè)貫徹落實“三重一大”決策制度的意見4月26日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯合發(fā)布了企業(yè)內部控制配套指引。該配套指引包括18項企業(yè)內部控制應用指引、企業(yè)內部控制評價指引和企業(yè)內部控制審計指引，標志著我國企業(yè)內部控制規(guī)范體系基本建成0611125月7日，國資委、財政部發(fā)布關于加快構建中央企業(yè)內部控制體系有關事項的通知，要求各中央企業(yè)應當自2013年起，于每年5月31日前向國資委報送內部控制評價報告，同時抄

6、送派駐本企業(yè)監(jiān)事會。8中國內部控制與內控法規(guī)概覽財政部等五部委出臺的企業(yè)內部控制基本規(guī)范，為企業(yè)提供了完整和公認的內部控制框架，同時以法規(guī)的形式要求上市公司對本公司內部控制的有效性進行自我評價。國資委出臺的指引強調對風險的識別、分析、評估、防控和監(jiān)督，為企業(yè)防控風險，建立控制體系提供指引。應用指引具體提出18個具體流程的應用指引。在每個具體流程中規(guī)定了該指引的目的，相關定義，該流程的主要風險，崗位分工及授權批準，及主要流程的控制程序。評價指引具體規(guī)范了內控評價的內容和標準，評價的程序和方法，內控缺陷的認定，以及規(guī)定了評價報告的相關內容。審計指引指導注冊會計師執(zhí)行內控審計業(yè)務。證交所出臺了一系列

7、的內部控制指引，為上市公司建立和實施內部控制制度提供指引。財政部等五部委企業(yè)內部控制基本規(guī)范企業(yè)內部控制應用指引企業(yè)內部控制評價指引企業(yè)內部控制審計指引國資委中央企業(yè)全面風險管理指引證券交易所 行業(yè)監(jiān)管機構上市公司內控指引上交所內控指引 深交所內控指引行業(yè)內控指引商業(yè)銀行內控指引證券公司內控指引保險公司內部控制基本準則9我們對上市公司內部控制體系建設需求的理解為了全面應對風險管理和內部控制的相關法律法規(guī)，上市公司應該構建一個內部控制的整合框架體系，做到“兩個融合”?；谪攧請蟾娴膬炔靠刂婆c基于全面風險管理的內部控制體系的整合內部控制整合框架內部控制體系與全面風險管理體系的整合上市公司企業(yè)內部控

8、制基本規(guī)范及配套指引全面風險管理指引上市公司內控指引10一項目背景及客戶需求二工作思路、與方法目錄11內控體系基本思路、原則和目標 全面性原則：覆蓋各種業(yè)務和事項 重要性原則 ：關注重要業(yè)務事項和高風險領域 制衡性原則 ：相互制約、相互監(jiān)督，并兼顧運營效率 適應性原則 ：與企業(yè)相適應，并隨情況的變化及時加以調整 成本效益原則 ：權衡實施成本與預期效益東方博融根據企業(yè)內部控制基本規(guī)范整理12五部委內部控制基本規(guī)范企 業(yè) 內 部 控 制 基 本 規(guī) 范企 業(yè) 內 部 控 制 應 用 指 引資金活動采購業(yè)務資產管理銷售業(yè)務研究與開發(fā)工程項目擔保業(yè)務業(yè)務外包財務報告組織架構發(fā)展戰(zhàn)略人力資源企業(yè)文化社會

9、責任全面預算合同管理內部信息傳遞信息系統(tǒng)企業(yè)內部控制審計指引企業(yè)內部控制評價指引內部環(huán)境類控制手段類控制活動類13管理層CEO第三道防線第二道防線第一道防線業(yè)務部門董事會風險管理內部審計審計委員會風險管理委員會企業(yè)風險管理框架企業(yè)的管理風險，可以通過公司治理體系下的三道防線予以警示和化解，而內控管理就是常態(tài)化的風險防范機制。14內控建設的整合框架模型內控梳理和建立業(yè)務分析與流程梳理識別與評價關鍵控制點完善內控的措施和體系內控體系的實施推進內控自我評估及改進企業(yè)各層級業(yè)務經營管理公司治理戰(zhàn)略管理業(yè)務與流程管理下屬分支機構管控內控梳理和建立加強信息化建設，實現系統(tǒng)化的控制加強培訓教育，提升企業(yè)的內

10、控理念加強組織領導，建立內控組織管理架構15項目整體工作思路調研診斷流程梳理、風險事件庫構建搭建內控體系成立內控建設小組對業(yè)務的深入調研全面分析和診斷梳理完善各項業(yè)務的管理制度和控制措施編制針對風險的內控手冊對制度和手冊進行輔導實施的推進關鍵流程梳理編制流程手冊識別主要風險對企業(yè)風險信息數據進行收集、整理、匯總編制風險事件庫16調研診斷流程梳理、風險事件庫構建搭建內控體系 成立內控建設小組 對業(yè)務的深入調研 全面分析和診斷 梳理完善各項業(yè)務的管理制度和控制措施 編制針對風險的內控手冊 對制度和手冊進行輔導實施的推進 關鍵流程梳理 編制流程手冊 識別主要風險 對企業(yè)風險信息數據進行收集、整理、匯

11、總 編制風險事件庫第一階段：調研診斷行業(yè)背景業(yè)務情況組織架構公司治理經營管理政策法規(guī)科目1科目2科目3科目4流程1流程2流程3流程4風險1風險2風險3風險4控制措施1控制措施2控制措施3控制措施3對公司總體情況的了解重要活動的確認流程的辨識和確認風險的辨識和確認控制措施和確認流程手冊、風險事件庫成果17總體計劃18具體計劃19訪談計劃20通過資料收集、流程梳理、訪談調研等多種形式，對風險信息進行全面收集資料收集 從各層面人員收集公司運營管理及項目運作層面的相關信息 發(fā)現與本項目相關的關鍵問題 明確項目管理模式的重點內容資料分析 收集近三年的管理規(guī)章制度、項目操作手冊、經營計劃和總結、主要財務報

12、表等 搜集媒體相關報道信息，客觀了解公司現狀深度訪談 參觀相關單位、生產現場等 約請高管人士座談21深度訪談訪談準備1、明確訪談目的，了解流程和控制2、訪談前應大致了解：被訪談人員的崗位職責訪談相關的業(yè)務制度、流程關鍵控制目標、業(yè)務固有風險相關監(jiān)管要求、標準控制措施訪談提綱業(yè)務訪談1、介紹背景2、交代目的3、適度引導4、做好鋪墊訪談紀要自下而上開始點終結點 控制點逐步分層流程活動控制方法相關人員輸出文檔22組織結構、部門職能23經營模型、價值鏈內外環(huán)境分析對外期望戰(zhàn)略規(guī)劃戰(zhàn)略實施與監(jiān)控戰(zhàn)略評價經營計劃全面預算投資規(guī)劃與實施市場及營銷生產管理存貨管理銷售訂單及信用管理采購管理固定資產管理技改工程

13、管理研究與開發(fā)財務、資金及稅務管理人力資源管理審計監(jiān)察信息化管理安全、質量、環(huán)保24資料收集客戶內部資料相關專業(yè)資料行業(yè)資料內控項目前期資料需求清單25調研診斷流程梳理、風險事件庫構建搭建內控體系 成立內控建設小組 對業(yè)務的深入調研 全面分析和診斷 梳理完善各項業(yè)務的管理制度和控制措施 編制針對風險的內控手冊 對制度和手冊進行輔導實施的推進 關鍵流程梳理 編制流程手冊 識別主要風險 對企業(yè)風險信息數據進行收集、整理、匯總 編制風險事件庫第二階段：流程梳理、風險事件庫構建行業(yè)背景業(yè)務情況組織架構公司治理經營管理政策法規(guī)科目1科目2科目3科目4流程1流程2流程3流程4風險1風險2風險3風險4控制措

14、施1控制措施2控制措施3控制措施3對公司總體情況的了解重要活動的確認流程的辨識和確認風險的辨識和確認控制措施和確認流程手冊、風險事件庫成果26關鍵流程梳理工作方式合理劃分出流程清單的章、節(jié)、流程名和標號 各部門組織識別本部門領導或參與的流程 對各部門主管和骨干、流程專管人員進行流程概念培訓流程專管人員整合清理各部門主管確認，提交流程專管人員形成流程清單在集團現有流程的基礎上，通過對集團總部各部門進行培訓、研討、確認流程框架體系，形成流程清單27某公司的內控框架28梳理基于發(fā)展戰(zhàn)略/商業(yè)模式的關鍵流程采購IT人力資源資源組織物流配送市場營銷售后服務產品研發(fā)財務商業(yè)模式主流程： 一級子流程： 二級

15、子流程： 產品規(guī)劃產品維護業(yè)務模式業(yè)務流程模板、手冊/表單流程體系結構業(yè)務流程模板、表單與手冊企業(yè)業(yè)務模式表述為體現為執(zhí)行的流程建立執(zhí)行的標準企業(yè)商業(yè)模式/戰(zhàn)略轉化為3產品設計29財務報告基于財務數據公司范圍重要科目重要科目與流程匹配30流程手冊構成-流程目錄（示例）一、戰(zhàn)略管理流程采購招投標管理流程集團戰(zhàn)略規(guī)劃制定流程采購合同管理流程戰(zhàn)略目標年度回顧流程企業(yè)管理改進流程四、新建項目建設管理流程二、經營計劃及資金預算管理流程項目投資決策流程年度經營計劃制定流程項目立項流程預算啟動流程項目招標流程預算編制和審批流程預算執(zhí)行和調整流程五、營銷管理流程資金計劃管理流程年度營銷計劃和預算制定流程財務分

16、析流程價格制定流程三、供應管理流程示例31流程手冊構成-權責表（示例）示例32明確每個流程步驟的執(zhí)行部門及崗位明確每個步驟的輸入和輸出文檔明確每個具體步驟的操作明確流程控制點流程手冊構成-流程圖（示例）示例33識別關鍵流程風險控制點風險控制點說明1 研發(fā)中心自身信息收集薄弱2市場部和研發(fā)部門銜接不暢，市場部對信息的搜集整理職能薄弱3 缺乏科學規(guī)劃4 無權威專家把關市場研發(fā)中心技術專家委員會經理辦公會總經理董事會信息整理分析新技術預研建議立項批準批準立項可行性分析轉入新產品開發(fā)YNYN研究開發(fā)成立新技術研究小組評定評定評審評定市場需求信息收集技術發(fā)展規(guī)劃NNNYYYNY重新開題立項評定2431示

17、例34通過三個步驟構建風險事件庫風險識別風險評估風險控制風險控制目標流程、組織、職責、溝通構建風險事件庫的目的就是實現企業(yè)的內部控制目標風險事件庫建立包括風險識別、風險評估、風險控制三個模塊流程、組織、職責和溝通是發(fā)揮風險事件庫作用的重要手段35綜合內外部風險因素，對風險事件進行識別風險識別通過項目管理部門、技術部門、人力資源部門、財務部門、市場部門、同業(yè)競爭等各種渠道，從環(huán)境因素、技術因素、目標因素和制度因素等各個角度，通過不同方法的交叉使用來實現。設備管理部企業(yè)員工人力資源部財務部售后服務部審計部采購部技術研發(fā)部市場部總裁辦經濟形勢政策法規(guī)行業(yè)趨勢競爭對手新興技術外部專家專業(yè)研究機構其他部

18、門風險事件36企業(yè)經營中存在的風險(風險宇宙TM )資信制度知識產權財務流動資產與信貸資本結構市場財務報告營運法律生產程序營商環(huán)境市場結構民風與文化管治策略董事會活動交易并購變賣聲譽道德社區(qū)責任風險管理董事會及管理層業(yè)績組織結構監(jiān)察與溝通執(zhí)行籌劃與開發(fā)利益有關方供應商政府顧客股東經濟情況國家情況市場變化競爭對手人才資源雇員溝通有形資產機器、廠房與土地其他有形資產負債合約法規(guī)市場與銷售生產及流通商品/服務開發(fā)流程估值與選擇買家評估與甄選盡職調查并購后整合資信管理運營組織與監(jiān)察硬件軟件網絡無形資產知識管理信息現金管理對沖融資股東資本債務商品利率外匯稅務會計合規(guī)示例37通過可能性和影響程度雙緯度進行

19、評估影響程度近乎沒有輕微中等重大災難幾乎 肯定極可能可能低極低BCAGIDJKHEF可能性說明:A 人力資源風險B 財務風險C 競爭風險D 開發(fā)風險E 過度自信風險F 系統(tǒng)故障風險G 主要客戶風險H 欺詐風險I 政治風險J 薪酬獎勵風險K 科技風險概率模型通過可能性和影響程度雙緯度進行評估38風險發(fā)生的可能性評估標準評分可能性說明5幾乎肯定在未來12個月內，這項風險幾乎肯定會出現至少 1次4極可能在未來12個月，這項風險極可能出現1次3可能在未來2至10年內，這項風險可能出現1次2低在未來10至100年內，這項風險可能出現至少1次1極低這項風險出現的可能性極低，估計在100年內出現的可能性少于

20、1次風險發(fā)生的可能性評估標準- 指在公司目前管理水平下，風險事件發(fā)生概率的大小或發(fā)生的頻繁程度。- 風險發(fā)生的可能性分為五個等級，分別賦值1-5分，表示可能性逐漸增加，1分表示該風險事件發(fā)生的可能性極低，5分表示該風險事件幾乎確定會發(fā)生。39風險的影響程度評估標準評分影響程度說明5災難令企業(yè)失去繼續(xù)運作的能力(或占稅前利潤達20%)4重大對于企業(yè)在爭取完成其策略性計劃和目標，造成重大影響(5-10%稅前利潤)3中等對于企業(yè)在爭取完成其策略性計劃和目標的過程，在一定程度上造成阻礙(至5%稅前利潤)2輕微對于企業(yè)在爭取完成其策略性計劃和目標，只造成輕微影響(至1%稅前利潤)1幾乎沒有影響程度十分輕

21、微風險的影響程度評估標準- 指該風險事件會對公司的經營管理和業(yè)務發(fā)展所產生影響的大小。- 影響程度分為五個等級，分別賦值1-5分，表示影響程度依此加強，1分表示該風險事件的影響程度幾乎沒有，5分表示該風險事件的影響是災難性的。40根據風險事件評估結果，采取相應風險控制手段風險防范風險化解風險處理風險評估風險控制內部控制戰(zhàn)略風險控制既要亡羊補牢，更要未雨綢繆l消滅根源：可能時盡量識別和消除風險根源l著力預防：將識別和防范作為工作一部分，加以規(guī)劃和執(zhí)行l(wèi)風險預案：事先制訂好風險發(fā)生后的補救措施。如對不可控制的因素，如純粹的天災l失敗處理：覺察到風險并迅速處理l危機管理：風險已經造成大麻煩后的處理風

22、險生命周期風險點（萌芽）風險發(fā)生風險控制就是在內部控制戰(zhàn)略指導下，針對風險等級形成應對策略庫風險識別41風險控制的不同策略選擇影響程度影響程度可可能能性性風險風險轉移轉移風險回避風險回避損失控制損失控制風險自留風險自留大大小小高高低低風險控制是指內部控制者采取各種措施和方法，消滅或減少風險事件發(fā)生的各種可能性，或者減少風險事件發(fā)生時造成的損失。根據風險事件發(fā)生的可能性及其影響程度，可分為：42風險控制的不同策略選擇風險回避- 風險回避是投資主體有意識地放棄風險行為，完全避免特定的損失風險。簡單的風險回避是一種最消極的風險處理辦法，因為投資者在放棄風險行為的同時，往往也放棄了潛在的目標收益。損失

23、控制- 損失控制不是放棄風險，而是制定計劃和采取措施降低損失的可能性或者是減少實際損失?？刂频碾A段包括事前、事中和事后三個階段。風險轉移- 風險轉移，是指通過契約，將讓渡人的風險轉移給受讓人承擔的行為。通過風險轉移過程有時可大大降低經濟主體的風險程度。風險轉移的主要形式是合同和保險。損失自留- 風險自留，即風險承擔。也就是說，如果損失發(fā)生，經濟主體將以當時可利用的任何資金進行支付。風險保留包括無計劃自留、有計劃自我保險。綜合考慮企業(yè)面臨的各種情況，選擇適合的風險控制措施：43風險事件庫（示例）示例44風險事件管理職責分工表（示例）信用風險人員道德風險人力資源管理風險公司治理風險業(yè)務模式風險市場

24、風險政策風險合同管理風險戰(zhàn)略風險現金流風險投資風險法律風險安全生產風險不良資產管理風險資產管理中心信息安全風險業(yè)務板塊紀檢監(jiān)察保衛(wèi)部信息中心投資管理部法律部審計部財務總部企劃部人力資源部信用風險人員道德風險人力資源管理風險公司治理風險業(yè)務模式風險市場風險政策風險合同管理風險戰(zhàn)略風險現金流風險投資風險法律風險安全生產風險不良資產管理風險資產管理中心信息安全風險業(yè)務板塊紀檢監(jiān)察保衛(wèi)部信息中心投資管理部法律部審計部財務總部企劃部人力資源部風險名稱部門名稱主導管理責任協(xié)助管理責任示例45調研診斷流程梳理、風險事件庫構建搭建內控體系 成立內控建設小組 對業(yè)務的深入調研 全面分析和診斷 梳理完善各項業(yè)務的

25、管理制度和控制措施 編制針對風險的內控手冊 對制度和手冊進行輔導實施的推進 關鍵流程梳理 編制流程手冊 識別主要風險 對企業(yè)風險信息數據進行收集、整理、匯總 編制風險事件庫第三階段：搭建內控體系內控手冊流程手冊制度匯編風險事件庫46撰寫內控手冊等報告，完成內控體系建設向客戶領導進行溝通匯報項目組研討咨詢機構領導及專家評審委評審形成內控體系報告初稿撰寫內控手冊、制度手冊等文件正式匯報在前期調研診斷、流程梳理、建立風險事件庫的基礎上，項目組進行內控手冊、制度手冊等報告文件的編寫47內控手冊（示例）示例48項目最終提交成果匯總（示例）示例49企業(yè)內控運行有效性評價內部控制有效性內部控制設計有效性內部控制運行有效性內部控制文檔記錄是否完整、準確重要控制設計是否有效相關控制在評價期內是如何運行的相關控制是否得到了持續(xù)一致的運行實施控制人員是否具備必要的權限和能力建設階段評價階段50有效性評價的步驟步驟二：根據測試底稿，取得樣本總體，并通過適當抽樣方法選取一定數量樣本作為測試對象。步驟一：以風險控制矩陣中的關鍵控制點為對象，編制測試底稿，針對每項待測試關鍵控制點判斷測試方法，設計測試要點，明確測試屬性和工作步驟。步驟三：通過詢問、觀察、檢查及重新執(zhí)行等方式進行測試，以評價相關控制活動的執(zhí)行情況