公司内控体系建设项目案例

1、公司内控体系建设项目案例 管理咨询有限公司 2 一项目背景及客户需求 二工作思路、与方法 目录 3 简介 公司成立 注册资本金由1.19亿元 增加到5.78亿元 公司成为某公司的控股股东 经批准，公司由三级公司 升格为二级公司 2013.2.25 公司党委、纪委成立 2010.12.20 2012.12.222013.3.28 2013.6.26 公司员工将近公司员工将近500500人，人， 其中总部其中总部6060余人，子公余人，子公 司司200200余人余人 20132013年实现营业收入年实现营业收入7 7 亿余元亿余元 项目系统集成；项目系统集成； 核心装备制造；核心装备制造； 项目的

2、投资建设；项目的投资建设； 工程实施及运营管理工程实施及运营管理 人员规模产品结构销售收入 4 n2015年实现销售收 入20亿元。 n成为“国内一流、国 际知名的上市公司。 n打基础 n抓好运营、在建项目 的管理 n谋发展 n重点抓好大项目 推进和落地。 发展战略： 一个目标两个支撑 十二五的核心工作与目标 5 的内控要求 内控体系建设 五年发展规划 国资发评价201268号 文关于央企加强构建内控 体系的通知 关于转发国资委、财政 部的 通知 2013年 2018年 工业 领域 全方 位服 务商 国 内 一 流 ， 国 际 知 名 销 售 收 入 xx 亿 元服务综 合解决 方案 发展 全

3、方 位服 务 行 业 服 务 百 强 公 司 上 市 销 售 收 入 七 亿 销 售 收 入 二 十 亿 2015年 战略规划目标要求战略规划目标要求 2014年工作任务 年工作任务 流程梳理风险事件库内控手册 国资委及总部要求五年发展规划的战略部署 6 竞争者敏感性股东关系资金充足性 金融市场 灾难性损失独立政治法律行政管理行业 环境 风险 信息技术风险 使用权 完整性相关性 可得到性 基础设施 财务风险 货币利率 流动性结算 再投资信用 双边关系 现金转移或流速改变 廉政风险 管理欺诈雇员欺诈 非法行为无授权使用商誉 治理与管控风险 领导力权力 限制 表现激励 沟通公司治理 营运风险 客户

4、满意人力资源 产品开发效率 能力表现差异 循环时间资源 商品定价过失或损失 符合性业务中断 健康和安全 环境 产品或服务失败 商标或产品名侵蚀 营运 价格合同投入衡量 结盟完整性和精确性 管理报告 决策信 息风险 财务 预算和计划 完整性和精确性 会计信息财务报告评价 税收养老基金 投资评估管理报告 战略 环境检视业务组合 价值衡量组织结构 资源分配计划 生命周期 企业风险模型告知我们，企业经营过程中始终存在多重风险 7 中国内部控制相关法规的发展历程 97989900010203040507080910 6月5日，上海证券交易所出台上海证券交易 所上市公司内部控制指引 6月6日，国务院国有资

5、产监督管理委员会“关 于印发中央企业全面风险管理指引的通知” 9月28日，深圳证券交易所出台关于发布上市 公司内部控制指引的通知 3月3日，财政部发布关于印企业内部控制规范基 本规范和17项具体规范（征求意见稿）的通知 2008年6月28日，财政部、证监会、审计署、银监会、保监会联合 召开企业内部控制基本规范发布会发布了企业内部控制基本规范 以及配套规范的征求意见稿，2009年7月1日起实施 2009年1月，陆续发布了企业内部控制应用指引的数个更新稿 6月5日，中共中央办公厅、国务院办公厅印发了关于进一步推 进国有企业贯彻落实“三重一大”决策制度的意见 4月26日，财政部、证监会、审计署、银监

6、会、保监会联合发布 了企业内部控制配套指引。该配套指引包括18项企业内部 控制应用指引、企业内部控制评价指引和企业内部控制 审计指引，标志着我国企业内部控制规范体系基本建成 061112 5月7日，国资委、财政部发布关 于加快构建中央企业内部控制体系 有关事项的通知，要求各中央企 业应当自2013年起，于每年5月31 日前向国资委报送内部控制评价报 告，同时抄送派驻本企业监事会。 8 中国内部控制与内控法规概览 财政部等五部委出台的企业内部控制基本规范，为企 业提供了完整和公认的内部控制框架，同时以法规的形式 要求上市公司对本公司内部控制的有效性进行自我评价。 国资委出台的指引强调对风险的识别

7、、分析、评估、防控 和监督，为企业防控风险，建立控制体系提供指引。 应用指引具体提出18个具体流程的应用指引。在每个 具体流程中规定了该指引的目的，相关定义，该流程的主 要风险，岗位分工及授权批准，及主要流程的控制程序。 评价指引具体规范了内控评价的内容和标准，评价的 程序和方法，内控缺陷的认定，以及规定了评价报告的相 关内容。 审计指引指导注册会计师执行内控审计业务。 证交所出台了一系列的内部控制指引，为上市公司建立和 实施内部控制制度提供指引。 财政部等五部委 企业内部控制基本规范 企业内部控制应用指引 企业内部控制评价指引 企业内部控制审计指引 国资委 中央企业全面风险管理指引 证券交易

8、所 行业监管机构 上市公司内控指引 上交所内控指引 深交所内控指引 行业内控指引 商业银行内控指引 证券公司内控指引 保险公司内部控制基 本准则 9 我们对上市公司内部控制体系建设需求的理解 为了全面应对风险管理和内部控制的相关法律法规，上市公司应该构建一个 内部控制的整合框架体系，做到“两个融合”。 基于财务报告的内 部控制与基于全面 风险管理的内部控 制体系的整合 内部 控制 整合 框架 内部控制体系与全 面风险管理体系的 整合 上市公司 企业内部控制基本规范 及配套指引 全面风险管理指引上市公司内控指引 10 一项目背景及客户需求 二工作思路、与方法 目录 11 内控体系基本思路、原则和

9、目标 全面性原则：覆盖各种业务和事项 重要性原则 ：关注重要业务事项和高 风险领域 制衡性原则 ：相互制约、相互监督， 并兼顾运营效率 适应性原则 ：与企业相适应，并随情 况的变化及时加以调整 成本效益原则 ：权衡实施成本与预期 效益 东方博融根据企业内部控制基本规范整理 12 五部委内部控制基本规范 企 业 内 部 控 制 基 本 规 范 企 业 内 部 控 制 应 用 指 引 资金活动 采购业务 资产管理 销售业务 研究与开发 工程项目 担保业务 业务外包 财务报告 组织架构 发展战略 人力资源 企业文化 社会责任 全面预算 合同管理 内部信息传递 信息系统 企 业 内 部 控 制 审 计

10、 指 引 企 业 内 部 控 制 评 价 指 引 内部环境类 控制手段类 控制活动类 13 管理层 ceo 第三道防线第二道防线 第一道防线 业务部门 董事会 风险管理内部审计 审计委员 会 风险管理 委员会 企业风险管理框架 企业的管理风险，可以通过公司治理体系下的三道防线予以警示和化解， 而内控管理就是常态化的风险防范机制。 14 内控建设的整合框架模型 内控梳理和建立 业务分析与流程梳理 识别与评价关键控制点 完善内控的措施和体系 内控体系的实施推进 内控自我评估及改进 企业各层级业务经营管理 公司治理 战略管理 业务与流程管理 下属分支机构管控 内控梳理和建立 加 强 信 息 化 建

11、设 ， 实 现 系 统 化 的 控 制 加 强 培 训 教 育 ， 提 升 企 业 的 内 控 理 念 加强组织领导，建立内控组织管理架构 15 项目整体工作思路 调研诊断 流程梳理、风险事件 库构建 搭建内控体系 成立内控建设小组 对业务的深入调研 全面分析和诊断 梳理完善各项业务的管理 制度和控制措施 编制针对风险的内控手册 对制度和手册进行辅导实 施的推进 关键流程梳理 编制流程手册 识别主要风险 对企业风险信息数据进行 收集、整理、汇总 编制风险事件库 16 调研诊断 流程梳理、风险事 件库构建 搭建内控体系 成立内控建设小组 对业务的深入调研 全面分析和诊断 梳理完善各项业务的 管理

12、制度和控制措施 编制针对风险的内控 手册 对制度和手册进行辅 导实施的推进 关键流程梳理 编制流程手册 识别主要风险 对企业风险信息数据进 行收集、整理、汇总 编制风险事件库 第一阶段：调研诊断 行业背景业务情况组织架构 公司治理经营管理政策法规 科目1科目2科目3科目4 流程1流程2流程3流程4 风险1风险2风险3风险4 控制措施1控制措施2控制措施3控制措施3 对公司总体 情况的了解 重要活动的确认 流程的辨识和确 认 风险的辨识和确 认 控制措施和确认 流程手册、风险事件库成果 17 总体计划 18 具体计划 19 访谈计划 20 通过资料收集、流程梳理、访谈调研等多种形式，对风险信息进

13、行 全面收集 资料收集 从各层面人员收集公司运营管理及项目运作层面的相关信息 发现与本项目相关的关键问题 明确项目管理模式的重点内容 资料分析 收集近三年的管理规章制度、项目操作手册、经营计划和总结、主要财务报 表等 搜集媒体相关报道信息，客观了解公司现状 深度访谈 参观相关单位、生产现场等 约请高管人士座谈 21 深度访谈 访谈准备 1、明确访谈目的，了解流程和控制 2、访谈前应大致了解： 被访谈人员的岗位职责 访谈相关的业务制度、流程 关键控制目标、业务固有风险 相关监管要求、标准控制措施 访谈提纲 业务访谈 1、介绍背景 2、交代目的 3、适度引导 4、做好铺垫 访谈纪要 自下而上 开始

14、点 终结点 控制点 逐步分层 流程活动 控制方法 相关人员 输出文档 22 组织结构、部门职能 23 经营模型、价值链 内外环境分析对外期望 战略规划战略实施与监控战略评价 经营计划全面预算 投资规划与实 施 市场及营销生产管理存货管理 销售订单及 信用管理 采购管理 固定资产管理 技改工程管理 研究与开发 财务、资金及税务管理 人力资源管理 审计监察 信息 化管 理 安全、质量、环保 24 资料收集 客户内部资料 相关专业资料 行业资料 内控项目前期资料需求清单 25 调研诊断 流程梳理、风险事 件库构建 搭建内控体系 成立内控建设小组 对业务的深入调研 全面分析和诊断 梳理完善各项业务的

15、管理制度和控制措施 编制针对风险的内控 手册 对制度和手册进行辅 导实施的推进 关键流程梳理 编制流程手册 识别主要风险 对企业风险信息数据进 行收集、整理、汇总 编制风险事件库 第二阶段：流程梳理、风险事件库构建 行业背景业务情况组织架构 公司治理经营管理政策法规 科目1科目2科目3科目4 流程1流程2流程3流程4 风险1风险2风险3风险4 控制措施1控制措施2控制措施3控制措施3 对公司总体 情况的了解 重要活动的确认 流程的辨识和确 认 风险的辨识和确 认 控制措施和确认 流程手册、风险事件库成果 26 关键流程梳理工作方式 合理划分出流程清单的 章、节、流程名和标号 各部门组织识别本部

16、门领导 或参与的流程 对各部门主管和骨干、 流程专管人员进行流 程概念培训 流程专管人员整合清理 各部门主管确认，提交流程 专管人员 形成流程清单 在集团现有流程的基础上，通过对集团总部各部门进行培训、研讨、确认流程 框架体系，形成流程清单 27 某公司的内控框架 28 梳理基于发展战略/商业模式的关键流程 采购 it 人力资源 资源 组织 物流 配送 市场 营销 售后 服务 产品 研发 财务 商业模式 主流程： 一级子流程： 二级子流程： 产品 规划 产品 维护 业务模式 业务流程 模板、手册/表单 流程体系结构 业务流程 模板、表单 与手册 企业业 务模式 表述为 体现为 执行的 流程 建

17、立执行 的标准 企业商业 模式/战略 转 化 为 3 产品 设计 29 财务报告 基于财务数据公司范围重要科目重要科目与流程匹配 30 流程手册构成-流程目录（示例） 一、战略管理流程采购招投标管理流程 集团战略规划制定流程采购合同管理流程 战略目标年度回顾流程 企业管理改进流程四、新建项目建设管理流程 二、经营计划及资金预算管理流程项目投资决策流程 年度经营计划制定流程项目立项流程 预算启动流程项目招标流程 预算编制和审批流程 预算执行和调整流程五、营销管理流程 资金计划管理流程年度营销计划和预算制定流程 财务分析流程价格制定流程 三、供应管理流程 示例 31 流程手册构成-权责表（示例）

18、示例 32 明确每个流程步骤的执行部门及岗位 明确每个步骤的输入和输出文档 明确每个具体步骤的操作 明确流程控制点 流程手册构成-流程图（示例） 示例 33 识别关键流程风险控制点 风险控制点说明 1 研发中心自身信息收集薄弱 2 市场部和研发部门衔接不畅， 市场部对信息的搜集整理职能 薄弱 3 缺乏科学规划 4 无权威专家把关 市场研发中心技术专家委员会经理办公会总经理董事会 信息整理分析 新技术预研建议 立项 批准批准 立项 可行性分析 转入新产 品开发 y n y n 研究开发 成立新技术研究小组 评定评定评审评定 市场需 求 信息收 集 技术发展 规划 nnn y yy n y 重新开

19、题 立项 评定 2 4 3 1 示例 34 通过三个步骤构建风险事件库 风 险 识 别 风 险 评 估 风 险 控 制 风险控制目标 流程、组织、职责、沟通 构建风险事件库的目 的就是实现企业的内 部控制目标 风险事件库建立包括 风险识别、风险评估 、风险控制三个模块 流程、组织、职责和 沟通是发挥风险事件 库作用的重要手段 35 综合内外部风险因素，对风险事件进行识别 风险识别通过项目管理部门、技术部门、人力资源部门、财务部门、市场部 门、同业竞争等各种渠道，从环境因素、技术因素、目标因素和制度因素等各个 角度，通过不同方法的交叉使用来实现。 设备管理部 企业员工 人力资源部 财务部 售后服

20、务部 审计部 采购部 技术研发部市场部总裁办 经济形势政策法规行业趋势竞争对手新兴技术外部专家 专业 研究机构 其他部门 风险事件 36 企业经营中存在的风险 (风险宇宙tm ) 资信 制度知识产权 财务 流动资产与 信贷 资本结构市场财务报告 营运 法律生产程序 营商环境 市场结构民风与文化 管治 策略董事会活动 交易 并购变卖 声誉 道德 社区责任风险管理 董事会及 管理层业绩 组织结构 监察与沟通 执行 筹划与开发 利益有关方 供应商 政府 顾客 股东 经济情况 国家情况 市场变化 竞争对手 人才资源 雇员 沟通 有形资产 机器、厂房 与土地 其他 有形资产 负债 合约 法规 市场与销售

21、 生产及流通 商品/服务开发 流程 估值与 选择买家 评估与甄选 尽职调查 并购后整合 资信管理 运营 组织与监察 硬件 软件 网络 无形资产 知识管理 信息 现金管理 对冲 融资 股东资本 债务 商品 利率 外汇 税务 会计 合规 示例 37 通过可能性和影响程度双纬度进行评估 影响程度 近乎没有轻微中等重大灾难 几乎 肯定 极可能 可能 低 极低 b c a g i d j khe f 可 能 性 说明: a 人力资源风险 b 财务风险 c 竞争风险 d 开发风险 e 过度自信风险 f 系统故障风险 g 主要客户风险 h 欺诈风险 i 政治风险 j 薪酬奖励风险 k 科技风险 概率模型 通

22、过可能性和影响程度双纬度进行评估 38 风险发生的可能性评估标准 评分可能性说明 5几乎肯定在未来12个月内，这项风险几乎肯定会出现至少 1次 4极可能在未来12个月，这项风险极可能出现1次 3可能在未来2至10年内，这项风险可能出现1次 2低在未来10至100年内，这项风险可能出现至少1次 1极低这项风险出现的可能性极低，估计在100年内出现的可能性少于1次 风险发生的可能性评估标准 - 指在公司目前管理水平下，风险事件发生概率的大小或发生的频繁程度。 - 风险发生的可能性分为五个等级，分别赋值1-5分，表示可能性逐渐增加，1分表示 该风险事件发生的可能性极低，5分表示该风险事件几乎确定会发

23、生。 39 风险的影响程度评估标准 评分影响程度说明 5灾难令企业失去继续运作的能力(或占税前利润达20%) 4重大对于企业在争取完成其策略性计划和目标，造成重大影响(5-10%税前利润) 3中等 对于企业在争取完成其策略性计划和目标的过程，在一定程度上造成阻碍 (至5%税前利润) 2轻微 对于企业在争取完成其策略性计划和目标，只造成轻微影响(至1%税前利 润) 1几乎没有影响程度十分轻微 风险的影响程度评估标准 - 指该风险事件会对公司的经营管理和业务发展所产生影响的大小。 - 影响程度分为五个等级，分别赋值1-5分，表示影响程度依此加强，1分表示该风险 事件的影响程度几乎没有，5分表示该风

24、险事件的影响是灾难性的。 40 根据风险事件评估结果，采取相应风险控制手段 风险防范风险化解风险处理 风险评估风险控制 内部控制战略 风险控制既要亡羊补牢，更要未雨绸缪 l消灭根源：可能时尽量识别和消除风险根源 l着力预防：将识别和防范作为工作一部分，加以规划和执行 l风险预案：事先制订好风险发生后的补救措施。如对不可控制的因 素，如纯粹的天灾 l失败处理：觉察到风险并迅速处理 l危机管理：风险已经造成大麻烦后的处理 风险生命周期 风险点（萌芽） 风险发生 风险控制就是在内部控制战略指导下，针对风险等级形成应对策略库 风险识别 41 风险控制的不同策略选择 影响程度影响程度 可可 能能 性性

25、风险风险转移转移风险回避风险回避 损失控制损失控制风险自留风险自留 大大小小 高高 低低 风险控制是指内部控制者采取各种措施和方法，消灭或减少风险事件发生的各种可能性 ，或者减少风险事件发生时造成的损失。 根据风险事件发生的可能性及其影响程度，可分为： 42 风险控制的不同策略选择 风险回避 - 风险回避是投资主体有意识地放弃风险行为 ，完全避免特定的损失风险。简单的风险回 避是一种最消极的风险处理办法，因为投资 者在放弃风险行为的同时，往往也放弃了潜 在的目标收益。 损失控制 - 损失控制不是放弃风险，而是制定计划和采 取措施降低损失的可能性或者是减少实际损 失。控制的阶段包括事前、事中和事

26、后三个 阶段。 风险转移 - 风险转移，是指通过契约，将让渡人的风险 转移给受让人承担的行为。通过风险转移过 程有时可大大降低经济主体的风险程度。风 险转移的主要形式是合同和保险。 损失自留 - 风险自留，即风险承担。也就是说，如果损 失发生，经济主体将以当时可利用的任何资 金进行支付。风险保留包括无计划自留、有 计划自我保险。 综合考虑企业面临的各种情况，选择适合的风险控制措施： 43 风险事件库（示例） 示例 44 风险事件管理职责分工表（示例） 信用风险 人员道德风险 人力资源管理风险 公司治理风险 业务模式风险 市场风险 政策风险 合同管理风险 战略风险 现金流风险 投资风险 法律风险

27、 安全生产风险 不良资产管理风险 资产管 理中心 信息安全风险 业务板 块 纪检监 察保卫 部 信息中 心 投资管 理部 法律部审计部 财务总 部 企划部 人力资 源部 信用风险 人员道德风险 人力资源管理风险 公司治理风险 业务模式风险 市场风险 政策风险 合同管理风险 战略风险 现金流风险 投资风险 法律风险 安全生产风险 不良资产管理风险 资产管 理中心 信息安全风险 业务板 块 纪检监 察保卫 部 信息中 心 投资管 理部 法律部审计部 财务总 部 企划部 人力资 源部 风险名称 部门名称 主导管理责任协助管理责任 示例 45 调研诊断 流程梳理、风险事 件库构建 搭建内控体系 成立内

28、控建设小组 对业务的深入调研 全面分析和诊断 梳理完善各项业务的 管理制度和控制措施 编制针对风险的内控 手册 对制度和手册进行辅 导实施的推进 关键流程梳理 编制流程手册 识别主要风险 对企业风险信息数据进 行收集、整理、汇总 编制风险事件库 第三阶段：搭建内控体系 内控手册 流程手册 制度汇编 风险事件库 46 撰写内控手册等报告，完成内控体系建设 向客户领导进行沟通汇报 项目组研讨 咨询机构领导及 专家评审委评审 形成内控体系报告初稿 撰写内控手册、 制度手册等文件 正式汇报 在前期调研诊断、流程梳理、建立风险事件库的基础上，项目组进行内控手册、 制度手册等报告文件的编写 47 内控手册（示例） 示例 48 项目最终提交成果汇总（示例） 示例 49 企业内控运行有效性评价 内部控制有效性 内部控制设计有效性 内部控制运行有效性 内部控制文档记录是 否完整、准确 重要控制设计是否有 效 相关控制在评价期内 是如何运行的 相关控制是否得到了 持续一致的运行 实施控制人员是否具 备必要的权限和能力 建设阶段 评价阶段 50 有效性评价的步骤 步骤二：根据测试底稿，取得样本总体，并通过适当 抽样方法选取一定数量样本作为测试对象。 步骤一：以风险控制矩阵中的关键控制点为对象，编 制测试底稿，针对每项待测试关键控制点判断测试方