企业风险管理与内部控制解读精选.

1、企业风险管理与内部控制解读  主要内容  风险管理与内部控制项目概述 风险管理与内部控制项目主要成果 法规视角下的内部控制 公司层面的内部控制 业务流程层面的内部控制 内部控制与业务流程变革 风险管理与内部控制 内部控制手册 内部控制自评估机制 风险管理信息系统 总结 第一章  风险管理与内部控制项目概述 项目目标 风险管理与内部控制项目的目标为协助集团公司实现： 风险管理与内部控制项目实施路线图

2、 项目主要工作内容 搭建集团公司风险分类框架和风险库任务工作层级主要内容风险与控制现状调研与诊断集团总部二级总部三级企业         与高级管理层、外籍管理人员、业务部门骨干人员开展访谈         收集分析相关制度，进行分析和诊断风险识别集团总部二级总部三级企业         以全球化工行业通用风

3、险库为基础         参考全球及国内主要化工企业主要风险对标结果，以及央企先进经验         根据风险与控制现状调研与诊断，识别战略转型期特有的风险         形成为集团公司量身打造的风险分类框架和风险库 开展年度风险评估，编制风险评估报告任务工作层级主要内容风险评估集团总部二级总部三级企业 

4、;        根据集团总部、二级总部和三级企业具体情况，经过多轮沟通确定风险评估标准         组织集团总部、二级总部和三级企业各部门使用“风险评估表” 进行风险评估         与国际国内标杆企业识别的重大风险进行对标，分析风险评估初步结果的完整性和合理性     

5、;    与集团总部8名高级管理人员、二级总部6名外籍高管和3名中方高管进行访谈，对风险评估结果和重大风险排序进行沟通         形成2010年各级公司风险坐标图和重大风险事件清单重大风险应对思路和解决方案集团总部二级总部三级企业         结合公司正在开展或拟开展的管理变革工作，落实风险管控举措      

6、;   对于管理变革工作尚未覆盖的领域，起草重大风险解决方案，向高级管理层进行汇报2010年度风险管理报告集团总部二级总部三级企业         根据国资委对中央企业2010年度风险管理报告的要求，草拟2010年度风险管理报告，协助完成首次报送         根据确认后的风险评估结果，编制二级总部和三级企业风险管理报告/总结 编制内部控制指引，试点企业内部控制体系建设任务工

7、作层级主要内容编制内部控制指引集团总部二级总部         结合国资委和财政部相关要求，分别编制集团总部和二级总部内部控制指引，明确内部控制目标与控制措施试点企业内部控制体系建设三级企业         按业务流程开展内部控制有效性测试，针对内控薄弱环节，提出应对方案和改进建议         对内控薄弱环节的改进情况进行持

8、续监控         编制内部控制手册、内部控制自评估手册和内部控制自评估文档，作为今后管理层实施内控自评估的模板 建议风险管理组织体系和工作流程任务工作层级主要内容建议风险管理组织体系集团总部二级总部三级企业         编制集团总部、二级总部和三级企业风险管理办法，明确集团公司及其所属单位风险管理组织体系结构、职责分工和工作流程，并统筹考虑风险管理职能在各层级企业的接口 风险管理文化培育

9、和知识转移任务工作层级主要内容风险管理和内部控制知识转移集团总部二级总部三级企业         在集团总部和二级总部开展了3场风险管理和内部控制基础培训、风险评估技术培训         在三级企业举行了10场风险管理与内部控制专题培训，超过100位流程负责人和业务骨干参与了培训培育风险管理企业文化集团总部二级总部三级企业        

10、; 编制风险管理与内部控制知识百问在内部报刊上发布，提升全员对全面风险管理的正确认知，培育风险管理理念和风险管理氛围 项目主要内容总结  内部控制项目与其他管理变革项目  项目交付成果概述 项目第一阶段共形成交付成果21项，各类成果所占比例如下：第二章 法规视角下的内部控制 现代企业理论内部控制  萨班斯法案404条款的要求 在美国上市的中国公司应当遵守萨班斯法案的要求u       萨班斯法案要求所有美国

11、的上市公司要在所有与财务报告有关的流程建立并维持足够的内部控制u       满足萨班斯法案的第一步就是识别所有与财务报告有关的流程u       外部审计师须对公司的财务报告流程的内部控制进行审计，并出具意见 404条款- 年度财务报告内部控制的公司管理层报告u       设立并维持了足够的财务报告内控体系；u    

12、60;  财务报告内控体系有效性的评价；u       为评价财务报告内控体系而采用的评价体系的说明。  我国内部控制基本规范法定要求 财政部、审计署、保监会、银监会、证监会联合下发了企业内部控制基本规范，要求上市公司于2009年7月1日起开始实施，对本公司内部控制的有效性进行自我评价，披露年度自我评价报告。集团公司下属的A股上市公司根据要求需要编制内控自评估报告，同时面临外部审计师对其内部控制现状的检验。 2008年6月28日财政部等五部委联合发布企业内部控制基本

13、规范及其三项配套指引企业内部控制应用指引、企业内部控制评价指引、企业内部控制审计指引，前两个指引适用于企业、监管机构、咨询方、审计师，第三个指引适用于审计师。 国资委的全面风险管理要求 国务院国资委2006年6月6日发布了中央企业全面风险管理指引，要求所有的中央企业根据实际情况推行企业风险管理工作。  COSO内部控制整合框架VS 企业风险管理整合框架 内控是风险管理的重要组成部分，风险管理是内控的扩展。 我国内部控制体系框架 公司层面的内部控制控制环境  控制环境员工守则 Ø

14、;         企业的诚信和道德价值观一般通过员工行为准则来体现，它是告诉企业员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动。Ø         对于企业来说，首要的工作是建立一套员工能够接受和理解的诚信和道德标准，如员工行为手册；其次是必须让员工知晓和理解这些规定，这是执行的前提条件；最后就是贯彻执行。 控制环境企业文化  控制环境管理理念和经营风

15、格 策略类型投资/成长获利/保护收成/合并管理风格创业家经营者管理者行为特征.风险偏好者2.喜欢冒险3.讲求效率4.具有吸引力5.个人导向6.较少的控制7.创新性思维8.机会主义者1.风险计算者2.适度的冒险3.讲求效率与效果4.具有说服力5.团队建立者6.适度的控制7.适应性思维者8.分析者1.风险规避者2.较为保守3.讲求效果4.依赖纪律的约束5.群体维持者6.高度控制7.推断性思考者8.务实主义者  控制环境组织结构 简单结构 Ø        &#

16、160;具有简单结构的企业，通常是被个人控制；Ø         组织的形态也是以个人所建立与维系的关系和做事的非正式流程为主；Ø         这种结构类型的主要问题：企业只在一定的规模以下才能正常运转，一旦超过一定规模，一个人将难当重任。 职能结构 优点 首席执行官掌握各运行部门 简化控制机制 明确的职责划分 在中高层管理者中有某种

17、职能专家缺点 高层管理者为事务性工作所困扰 高层管理者容易忽视战略性问题 较难应对组织内的多样性 各职能部门之间的协调比较困难 适应能力差 多分部结构 优点 集中精力于业务领域（如产品、市场） 有利于对各部门业绩的考核 增减业务单位十分便利 有利于高级管理者将注意力放在战略问题上 鼓励综合管理层的发展缺点 职责不清（集权与分权的界限不清） 各分部之间易发生冲突 管理成本高昂 部门之间的交易使管理变得复杂 分部成长得过于庞大&#

18、160;分部过多会使协调变得更为复杂化 矩阵结构 优点 当有利益冲突时可以做出明智的选择 直接交流取代了官僚主义 管理层有更大的主动性 参与决策使管理者有更好的发展空间缺点 决策时间延长 工作和任务职责不清晰 成本与利润责任不明确 冲突的可能性增大 容易忽略主要矛盾 传统组织结构的缺陷 Ø         一项业务流程流经各个职能部门,环环相等,整个流程被分解

19、6;         部门之间在衔接中大量等待Ø         各部门增加重复劳动,大大延长了完成任务所花费的时间Ø         层次过多,管理费用和组织成本过大Ø         信息传递速度过慢、信息

20、质量较差 扁平化流程型组织模型 Ø         扁平化组织的目的在于改善一个组织的工作流程和作业，从而更为实际而有效地满足或超越顾客不断变化的需求。Ø         降低管理费用与组织成本Ø         提高信息质量与沟通速度Ø  

21、0;      减少不必要的错误、提高快速反应能力 控制环境权责分配 战略规划类型  财务控制类型  战略控制类型  控制环境内部审计 内部审计范围和主要领域的演变 内部审计的转型方向  国际注册内部审计师协会关于内部审计职责的相关规定 国际内部审计师协会（IIA）新版的内部审计实务标准中，内部审计的定义发生了明显的变化。 内部审计实务标准关于内部审计的两大职责：Ø  

22、;       鉴证（Assurance）Ø         咨询（Consulting） 风险导向内部审计的核心流程 基本风险的年度审计计划：Ø         了解公司战略和业务目标Ø         确定

23、目标程序/风险Ø         实施公司级风险评估程序Ø         排列风险优先次序Ø         确定审计范畴Ø         制定年度和长期计划 风险导向的审计项目实施程序

24、：Ø         对下属企业开展初步的风险评估Ø         了解业务流程Ø         根据业务流程中的风险确定审计重点Ø         沟通风险导向的测试计划Ø 

25、        测试关键控制Ø         对风险管理能力的评估Ø         考虑风险的基础上汇总结果 海外企业-风险坐标图  海外企业以风险为导向内部审计计划 AUDIT PROJECTPRIORITYFREQUENCY  (Years)Infor

26、mation Technology General Controls (ITGC)13Process Control Systems (ITGC)13Commodity Hedging (Platinum)13   Financial Reporting24Intellectual Property24Treasury24Strategic Purchasing24Plant Purchasing24Inventory24Foreign Subsidiaries (1 or 2 per year)24   Payroll35Fixed

27、 Assets35Legal Contract Administration35          Note: The above projects represent the recommended recurring auditable units to be addressed over the cycle. Each year they would provide the basis of a draft audit plan for discussion with management

28、 on current risk factors to develop an audit plan for submission to the Audit Committee.In addition to the above projects management requests for particular audits or investigations would be considered when the annual plan was being discussed or at any other time. 控制环境人力资源政策和措施 人力资源战略与企业战略

29、企业战略廉价战略优质战略创新战略人力资源战略吸引战略参与战略投资战略特点中央集权高度分工严格控制依靠工资与奖金来维持员工积极性企业决策权下放员工参与管理藉此提供员工认同/归属感注重发挥绝大多数员工的积极性、创造性和主动性重视人才资本投资企业与员工建立长期工作关系注重发挥管理人员和技术人员的作用 目标设定内部控制的目标  目标设定战略目标 目标体系： 目标设定发展战略（Ansoff矩阵）  目标设定战略目标 目标分解 目标设定战略目标 战略的三个层次竞争战略的基本类型 战略目标竞争优势整

30、个市场低成本独特性成本领先战略差异化战略特定细分市场集中化战略成本领先化集中化差异化集中化 风险管理如何推动战略管理  五竞争力模型 SWOT分析框架 价值链 基本活动是指那些与产品或服务的创造或交付直接相关的活动； 辅助活动帮助提高基本活动的效果或效率。 成本领先战略的价值链 差异化战略的价值链 目标设定目标的实现  一项行动计划有助于实现多个控制目标； 报告目标和合规性目标相对比较容易实现，在企业的控制范围之内； 经营目标比较难以实现，取决于外部因素：

31、 外部竞争对手的状况 环境因素 政治因素 法律因素 风险管理有助于减轻外部因素的影响 风险偏好和风险承受度 Ø         风险偏好和风险承受度是风险管理策略的重要组成部分Ø         风险容量是一个企业在追求价值过程中所愿意承受的风险的数量。Ø     &#

32、160;   风险承受度是相对于目标的实现而言所能接受的偏离程度。风险容限与企业的目标相关，是相对于实现一项具体目标而言可接受的偏离程度。风险承受度有两重含义：作为风险偏好的边界和企业采取行动的指标。在风险偏好以外，企业可以设置若干承受度指标，以显示不同的警示级别。 目标设定风险偏好 Ø         平衡成长性、风险与回报之间的关系Ø        &#

33、160;战略制定要与企业的风险偏好保持一致Ø         在战略制定过程中运用风险管理方法，有助于企业管理层选择一个符合自身风险偏好的企业战略。 风险偏好、风险承受度和预警指标  风险偏好 承担什么风险 承担多少风险 风险承受度 作为风险偏好的边界 作为预警指标 Ø         应当与这个公司联盟吗？

34、Ø         是否需要套期保值？Ø         应当在美国投资吗？投资多少？Ø         应当保持多高的资产负债率？Ø         市场表现到什么时候，我们就应当追加投资或一定退出

35、？Ø         资产负债率高到什么时候，我们就需要停止投资？ 风险承受度与预警  重大风险的风险偏好 Ø         风险偏好和风险承受度是针对公司的重大风险制定的；Ø         对企业的非重大风险的风险偏好和风险承受度不一定要十分明确，甚至可

36、以先不提出；Ø         企业的风险偏好依赖于企业的风险评估的结果。由于企业的风险不断变化，企业需要持续进行风险评估，并调整自己的风险偏好；Ø         重大风险的风险偏好是企业的重大决策，应由董事会决定。 风险识别事件识别  区分风险和机遇 可能产生负面影响的事件为风险 可能产生正面影响的事件为机遇，这些机遇使管理层重新考虑战略的制定

37、 包括识别发生在内部或外部的可能影响战略和目标实现的事件 考虑内部和外部因素如何相互关联，共同影响风险水平 风险分类框架  统一的风险库共同的风险语言  海外企业的风险库 固定资产业务循环的风险库 风险评估  理解潜在的事件对企业目标有多大的影响，并从两个方面对风险进行评估： 发生的可能性 影响程度 明确用来评估风险以及用来衡量相关的目标- 结合定性和定量两个方面来评估风险- 将时间和目标联系起来- 从固有风险和剩余风险的角度

38、来评估风险 固有风险与剩余风险  风险的类型 风险的类型固有风险及剩余风险  风险评估固有风险VS剩余风险 企业普遍面临的风险风险类型企业规模企业类型中小型企业大型企业多元化企业单一行业企业战略风险：重组并购风险集团管控风险中等/低高高中等/低市场风险：价格风险利率、汇率风险高高高高投资风险投资决策风险投资实施及监控风险中等/低高高中等/低信用风险：信息评级风险赊销及信用额度管理风险中等/低高高中等/低财务风险资金管理风险财务报告风险中等/低高高高法律风险合规风险合同及诉讼风险高高高中等/低   

39、;  风险评估概述 1.       风险评估是基于过去风险发生频率和平均影响程度，考虑现有管控措施，做出的对未来的判断。2.       评估人需从集团整体层面考虑风险对集团的整体影响。3.       从风险“发生可能性”和一旦风险发生后给集团带来的“影响程度”两个维度进行。4.      &#

40、160;“影响程度”维度又细分为四个方面，分别是对集团“目标与运营” 的影响、“财务影响”、对“集团声誉”的影响、对“安全健康环保”的影响。每个评估维度都采用5分制的原则进行评估。 风险评估维度说明 发生可能性：指基于该风险过去发生的情况，考虑现有管控措施，对该风险未来发生概率做出的判断。影响程度：Ø         目标与运营：考虑风险对管理目标、效率、质量、运营可持续性等方面的影响Ø      

41、;   财务影响：考虑风险给公司造成的成本上升、收益下降或直接财产损失Ø         集团声誉：考虑风险对公司造成的声誉或企业形象方面的影响Ø         安全：考虑风险对员工/公众健康/安全的影响 风险评估评估标准 可能性评估标准事项评估分值12345评估说明风险发生的可能性非常小，几乎不会发生风险发生的可能性很小风险有可能发生风险很有可

42、能发生风险极有可能发生参照标准一X<5%5X<1010X<2525X<50X50参照标准二集团总部平均每5年发生一次集团总部平均每3年发生一次集团总部平均每年发生一次集团总部平均每半年发生一次集团总部平均每季度发生一次以上参照标准三各二级单位几乎都不会发生在个别二级单位内发生在少数二级单位内发生在部分二级单位内发生在多数二级单位内发生大型灾难事故参照标准今后10年内发生的可能少于1次今后5年内可能发生1次今后3年内可能发生1次今后1年内可能发生1次今后1年内至少发生1次 影响程度评估标准目标与运营事项评估分值12345评估说明对集团经营目标和日常运营有轻微影响

43、对集团经营目标和日常运营有较小影响对集团经营目标和日常运营有中等影响对集团经营目标和日常运营有较大影响对集团经营目标和日常运营有重大影响参照标准影响集团某一个非重要管理类目标影响集团某几个非重要管理类目标影响集团某一个重要管理类目标影响集团某几个重要管理类目标影响集团部分重要管理类目标对集团整体运营有轻微影响，短期内可自行消除对集团整体运营有较小影响，短期内需付出一定代价恢复对集团整体运营有中等影响，一定时间内需付出一定代价恢复对集团整体运营有较大影响，较长时间内需付出一定代价恢复对集团整体运营有重大影响，较长时间内需付出较大代价恢复 影响程度评估标准财务影响事项评估分值12345评

44、估说明轻微的财务影响较小的财务影响中等的财务影响较大的财务影响重大的财务影响参照标准     注1：评估单位需要根据实际情况，参考以下的任一组标准作为基础进行确定。  评估分值12345参照标准制定依据净资产X<1净资产1X<5净资产5X<10净资产10X<20净资产X20营业收入X<0.2营业收入0.2X<1营业收入1X<2营业收入2X<4营业收入X4利润总额X<5利润总额5X<20利润总额20X<50利润总额50X<80利润总额X80资产总额X<

45、;0.3资产总额0.3X<1.5资产总额1.5X<3资产总额3X<6资产总额X6 影响程度评估标准集团声誉事项评估分值12345评估说明给集团造成轻微影响，短期内可自行消除给集团造成较小影响，短期内需付出一定代价恢复给集团造成中等影响，一定时间内需付出一定代价恢复给集团造成较大影响，较长时间内需付出一定代价恢复给集团造成极为重大影响，较长时间内需付出较大代价恢复参照标准负面消息在公司范围内流传负面消息在集团范围内流传负面消息在局部地域/领域流传负面消息在多个地域/领域内流传负面消息在海内外流传基本不会引起监管机构/上级单位注意引起监管机构/上级单位关注集团/下属单位

46、被监管机构/上级单位要求内部整改集团/下属单位被监管机构/上级单位通报或公开谴责集团/下属单位被监管机构/上级单位勒令停业整顿基本不会引起合作伙伴注意少数合作伙伴关注集团负面消息，收紧同集团合作条件部分合作伙伴关注集团负面消息，收紧同集团合作条件或暂停合作主要合作伙伴关注集团负面消息，暂停或停止同集团合作部分主要合作伙伴暂停或停止同集团合作基本不会引起员工/公众关注员工/公众开始关注集团负面消息员工工作效率效果降低公众对集团产品/服务的忠诚度降低员工无法正常工作公众抵制集团产品/服务引发公众/员工群体性事件注2：合作伙伴指客户、供应商、经销商、代理委托方、金融机构等。 影响程度评估标

47、准安全健康环保事项评估分值12345评估说明影响个别职工/公众健康/安全影响极少数职工/公众健康/安全影响少数职工/公众健康/安全影响部分职工/公众健康/安全影响一定数量职工/公众健康/安全参照标准一般重伤事故一般死亡事故较大事故重大事故特别重大事故 风险应对 Ø         确定并评估可能的应对风险的方法Ø         根据企业风险偏好、潜在风险应对措施的成本效益原则

48、来评价各种风险应对措施，以及各种风险应对措施可以在多大程度上降低风险影响程度和/或发生可能性Ø         基于对风险和应对措施组合的评估，选择并实施适当的措施。 风险应对的主要策略  规避Avoid 控制Control 转移Transfer 分散Diversity 共享Share 接受Accept 风险应对  控制活动 控制活动主要包括: 审批(Approval

49、s) 授权(Authorizations) 核实查证(Verifications) 对帐(Reconciliation) 检查(Review) 资产的安全(Security of assets) 责权分离(Segregation of duties) 预算控制（budgeting) 绩效考核 主要控制活动-不相容职务相分离  超越预算（Beyond Budgeting) 业务流程层面的内部控制 业务层面内部控制运行的一般流程  识别公司的所有重大

50、账户/确定控制目标； 针对上述所有重大账户识别所有相关的业务流程； 针对上述每项业务流程，确定该公司应具有的一套控制目标； 针对每一个控制目标，持续地对所识别出来的风险进行评估； 依据风险评估结果，设计并实施一套有效控制活动，以防止或检验所识别风险的发生。 风险及内控“蕴含”在业务流程及配套制度中  以财务报告目标为导向的业务层面内部控制  以战略目标和经营目标为导向的业务层面内部控制 目标重大风险风险应对策略关键流程/因素关键控制点（1）短期目标：2010年度实现利润总额增长10%，其中：销售

51、收入增长20%；经营成本降低15%。（2）长期目标：在未来5年实现利润总额增长10%。因不可靠的和不切实际的销售预测而造成大量囤货和存货报废。降低和承担预算编制流程有效地编制和控制经营计划和财务预算采取措施增强销售预测的准确性，并只承担在容忍范围内的风险，比如，获取可靠的市场信息，将实际情况与预算进行比较，将可能发生的风险与自身的风险容忍度进行比较。因履行不平等的或不利的合同条款而造成严重损失（比如，赔偿损失和名誉损害等）降低合同签订流程在主要的经营领域建立制度和程序，比如，销售、采购、财务与投资等对销售合同进行审阅和批准，并咨询法律专业人士。因未被授权的或者给予过多的折扣而造成毛利降低或直接

52、亏损降低销售定价流程折扣须经过授权和审批。严重的坏账损失降低应收账款管理流程强化信用控制加强收款控制由于买进不需要、质量不合格或价格没有竞争力的产品而造成库存积压/存货作废/资源浪费/质量不良而带来损失降低采购流程采购与付款的权限分配表采购的申请（合理性）、审阅、批准（整个过程需要书面化）不正当的付款降低付款流程核对三个文件：采购订单、入库单和发票在业务部门采取防止不正当付款或舞弊事件的措施，营造一个杜绝不正当付款行为的环境，比如，制订控制程序（预防性的侦察性的控制）、职业道德规范、签署利益冲突和保证文件等。 内部控制与业务流程变革 业务流程与作业业绩企业竞争优势的唯一来源

53、 Ø         一种普遍的现象：各个竞争对手都可获得相同的原材料、资本、技术、设备、机器、供应商、劳动力和顾客，但是，他们之间的业绩却大为不同。Ø         企业管理界认为，原因就在于他们的流程和作业业绩不同，流程和作业业绩是竞争优势的唯一来源。 竞争优势来源于企业的流程与作业  企业之间竞争优势的差异来自于企业设计、生产、销售与配送产品或服务流

54、程中的成百上千个作业。 竞争优势来自于能比竞争对手更有效率地完成某些特殊作业。 差异化优势来自于如何选择作业以及怎样执行这些作业。 公司整体优劣势归因于所有作业组合方式及执行效率 客户价值最大化的关键  竞争优势的重要来源高质、低价、快速的服务 企业成功的关键因素（Key success factor）质量成本时间 业务流程创造价值的不同周期  业务流程变革的形式  业务流程优化六西格玛工具   第一步定义业务流程优化的目标和客户交付物 

55、;第二步量化和确定客户需求和规格 第三步分析能满足客户需求的业务流程的各种可能性 第四步设计新业务流程以满足客户需求 第五步验证新业务流程满足客户需求的业绩和能力 业务流程再造的特点 业务流程再造是以企业流程为对象，以关心客户的需求和满意度为目标，利用先进的信息技术，对现有企业的业务流程进行基本的再思考和彻底性的再设计，从而实现在成本、质量、服务、速度和效益等方面的显著改善。 Ø         组织结构从传统的职能型结构向流程型结构转

56、变，实现组织结构的扁平化。Ø         从顾客的需求出发，以价值创造作为重新设计业务流程的标准。Ø         “信息技术”是业务流程再造的使能器。 案例：采购与付款循环业务流程再造 三级公司原来的采购业务流程如下：采购部门向供应商发出订单，并将副本交财务部，供应商将货物运到公司后，作为验收单位的仓库将验收的详细情况登录在表格上，并将表格送财务部；同时，供应商开出发票

57、送财务部，财务部收到3份文件（即订单副本、验收单及发票），并检验其一致后，确认其符合规定就可以付款，否则还要进行调查，并写出报告送有关部门。其业务流程如下图所示。  在分析上述业务流程时，发现财务部门的员工大部分精力用于3份文件是否一致，结合信息技术，我们可以将其业务流程重组如下图所示。采购部门向供应商发出订单的同时就把采购信息输入数据库中，当供应商将货物发运到仓库后，仓库管理员查看数据库中有无此订单，若有，则验收入库，并将入库信息输入到数据库中，计算机在收到仓库来的验收单后，即自动通知财务签发支票给供应商；若货物不符合订单上的要求，验收时将拒绝收货，并将货退回供应商。&#

58、160; 内部控制与业务流程再造的关系  内部控制影响业务流程的方式  内部控制机制运行的一般流程  内部控制与业务流程再造的差异 1、目标不同：Ø         内部控制侧重于财务报告目标和合规性目标Ø         务流程再造以满足顾客需求为导向，侧重于经营目标2、工具与方法不同Ø 

59、0;       内部控制风险评估是内部控制机制设计所采用的基本工具Ø         业务流程再造企业价值链模型是最为基本的工具和方法3、对组织结构的要求不同Ø         内部控制根据内外部环境变化及自身需要来确定组织结构Ø       &#

60、160; 业务流程再造以流程为导向的扁平化组织结构4、人力资源政策的侧重点不同Ø         内部控制员工专业化培养和合理分工，员工不得兼任不相容职务Ø         业务流程再造把员工培养成多面手，必要时身兼数职5、授权方式不同Ø         内部控制以相互牵制为基本原则

61、16;         业务流程再造将不同的步骤整合，全部交由员工承担，并充分放权 ERP、业务流程再造与内部控制  ERP、业务流程与内部控制  OA办公系统与SAP系统的结合 风险管理与内部控制 内部控制：控制不是静态的 企业风险的变化和新风险的出现对早期设计的内部控制系统施加压力. 内部控制的评价  风险管理与内部控制 适当的内部控制能降低企业所面对的风险至它可接受的风险程度，但不

62、能完全消除所有的风险。内部控制是全面风险管理体系的组成部分，是开展全面风险管理工作的重要手段和必要举措。内部控制：正确的做事Ø         内控解决的是流程问题，包括业务流程、管理流程中的风险控制，解决的是“正确地做事”。Ø         内部控制更加重视实施，嵌入到企业各业务流程的具体业务活动中，融合在企业的各项规章制度之中，使企业在正常运营过程中自发地防止错误，确保合规和真实，Ø

63、;         从而合理保证目标的实现。Ø 风险管理：做正确的事Ø         全面风险管理解决的不仅是流程问题，更是要解决战略决策问题、应急处理问题；不仅要解决当前的问题，更要预测和应对将来可能发生的问题；不但要解决“正确地做事”，关键是还要解决“做正确的事”Ø         

64、风险管理更偏向于前端，对影响目标实现的因素的分析、评估与应对，防止重大决策失误Ø         防止出现重大危机问题。内部控制手册 内部控制手册的设计  独立格式 混合格式 内部控制手册的设计-操作手册举例 操作手册的明确了各部门职责，减少了部门间的扯皮，其主要要素是： 业务流程范围 控制目标 涉及部门 特定政策 流程说明 关键控制点 表格填制方法 职责分

65、工 时间要求 系统操作说明 项目主要成果 名称：内部控制手册用途：根据企业内部控制基本规范和配套指引要求结合实际情况，编制的内部控制手册，包括流程概述、控制矩阵、流程图和不相容职责分离原则，作为公司各业务流程实施内部控制的指导性文档。  风险管理与内部控制指引的结构  风险管理与内部控制指引的流程地图  销售与收款循环 循环类别流程管理控制目标风险控制活动销售与收款销售预测（1）订单仅在经批准的顾客信贷额度内处理；（2）由管理层批准订单的价格及销售条款；（3）所有已发货的货物均已开具发

66、票；（4）发票都已记录在适当期间；（5）所有的现金收款数据已输入以待处理； （1）销售策略风险；（2）销售渠道管理风险；（3）销售确认及回款风险；（4）售后服务风险；（1）制定销售政策和信用政策；（2）销售订单审批；（3）销售订单、发货单和销售发票三单匹配；（4）制定收入确认制度；（5）增值税发票管理；（6）应收款项账龄分析；销售计划订单管理客户信用交货发票开立应收款管理客诉处理销售折让/退回 采购与付款循环循环类别流程管理控制目标风险控制活动采购与付款计划与预算（1）采购业务相关算的制定和调整得到适当的审批；（2）选取适当的采购方式，并确保只有有效的供应商被选择；（3）仅

67、在经核准后才发出采购订单；（4）所有已收货物的金额已记录到应付账款；（5）已支付的预付款项及定金已经过适当审批；（1）采购计划风险（2）采购渠道理风险（3）采购招标风险（4）采购验收风险（5）采购审批风险（6）合同风险 （1）建立供应商评价制度；（2）供应商档案的定期复核；（3）物资采购定价机制（4）采购订单的制定和审批（5）采购物资的验收和入库；（6）应付账款的确认；（7）付款申请和审批；（8）制定业务外包管理制度 供应商的选择与档案管理采购定价采购计划的订立与审批采购合同的订立与审批购货程序发票管理购货的入库与退回应付款的管理费用管理 存货与生产循环 

68、;循环类别流程管理控制目标风险控制活动存货与生产循环存货管理（1）存货是可销售或可使用的；（2）所有存货价格或数量的调整都已记录；（3）所有接收的原材料都已记录；（4）所有流转至生产部门的原材料已准确记录于适当的期间；（1）存货管理风险；（2）入库风险；（3）仓储管理风险；（4）出库管理风险；（5）生产计划与执行风险；（6）生产成本风险；（1）存货跌价准备的审批；（2）存货盘点；（3）物资验收和入库；接收及储存原材料领用原材料存货的生产/成本计算处理产成品运送产成品  内部控制自我评估机制 内部控制自评估机制的程序 1、建立标准控制矩阵公司建立一套标准控

69、制矩阵。控制矩阵中包括控制目标、标准控制活动、控制类型和控制频率等各项内容。2、对标及识别关键控制活动及设计缺陷从标准控制矩阵出发，通过检查现有制度，以及与各有关人员进行访谈，以了解现行的流程。根据控制目标和标准控制活动，识别出公司现行的控制活动及设计缺陷。3、开展设计有效性和执行有效性测试对公司自身的关键控制活动编制测试程序并开展设计及执行有效性测试。如果测试结果有异常情况，则可认定为在内部控制执行上存在改进点。4、缺陷整改与公司各相关职能部门讨论确定相关改进点产生的原因和确定改进方案，并进行改进。5、缺陷评价对于控制测试中发现的未整改完成的控制缺陷进行评价。6、出具内部控制评价报告根据自评

70、估结果，编制内部控制自评估报告，按照规定的权限报经批准后对外报出。 内部控制自复核与评估方法 内部控制体系分为设计和执行两个方面，通常分别从这两个方面，对企业现有内部控制体系的有效性进行复核与评估。 内控体系有效性=设计有效性+执行有效性 内部控制设计有效性测试步骤：Ø         在风险评估的基础上确定控制目标与标准控制活动；Ø         访谈相

71、关控制负责人，获取有关内控文档、管理制度等，并对有关流程和内控情况进行了解；Ø         根据访谈内容编写流程描述，明确实际存在的控制活动；Ø         评估实际存在的控制活动是否满足标准控制活动，并达到控制目标要求；Ø         实施穿行测试。 穿行测试步骤 

72、1. 根据确定的业务流程选取一项业务活动进行现场观察2. 就该项业务活动，确定其在流程的各个环节中所涉及的整套文档3. 就确定的整套文档向被访谈人员索要复印件4. 检查原件是否存在，并核对原件与复印件5. 检查原件上是否有相关人员的签字或其他痕迹6. 根据检查结果判断内部控制是否存在和执行7. 对测试情况进行记录8. 将收集的复印件按照统一的编号规则在右上角编号后存档 内部控制自评估测试的样本量确定 根据控制活动的执行频率确定测试的样本量。手工控制的控制活动的抽样数量如下表所示：执行频率样本量每

73、年1个每半年1个每季度1个每月2个每周5个每日15个每日多次25个业务发生时具体计算 对于那些发生频率不确定的控制活动，需要计算该控制活动全年预计发生的数量并据此确定样本量。 测试结果类型 Ø         达标当所有的测试程序全部执行完毕，抽取的样本达到规定的样本量，所选的样本完全符合测试属性的要求，未发现例外情况时，测试结果为“达标”。Ø         未达标在测试过程中发现有些样本不符合测试属性的要求，存在例外情况时，测试结果为“未达标”。Ø         不适用对于某些测试单位可能存在一些控制活动不适用的情况，测试结果为“不适用”。Ø         未发生交易有些控制活动所涉及的业务在测试期间尚未发生，测试结果为“未发生交易”。Ø