企业内部控制流程梳理及风险识别

1、-. z.企业内部控制流程梳理与风险识别主讲：赵玉梅目录一、认识内控流程二、认识风险识别三、如何建立与改良一、认识内控流程一案例典型内控事件二内部控制的概念三内控问题及产生原因一案例典型内控事件：安然公司(Enron Corporation)：原是世界上最大的综合性天然气和电力公司之一，在北美地区是头号天然气和电力批发销售商。辉煌业绩：世界最大的能源公司，500强排名第7，曾被称为美国最有创新精神的公司。严重问题：12001年末，安然宣布第三季度亏损6.4亿美元。美国证监会进展调查，发现该公司1997以来虚报利润5.8亿美元。22001年末安然申请破产保护。在之前10个月内，公司因股票价格超越

2、预期目标而向董事及高级管理人员发放3.2亿美元的红利。32006，安然主席及CEO被美国法院认定有罪，前创始人受多项指控，其中4项银行欺诈罪将导致最高120年监禁的判决；前CEO受19项指控最终判24年监禁；CFO也被判刑10年。4半年多时间，股市市值缩水2.5万亿美元；安然公司破产直接导致美国金融机构损失200亿美元。深层原因：1会计舞弊：通过财务作假和滥用会计方法，隐瞒亏损，掩盖债务和巨大的交易风险1997以来虚报利润5.8亿美元，误导投资人以牟取私利。2业务集中：业务集中在能源衍生品交易，公司出现任何信用风险后，带来一连串灾难性后果，造成现金流困难。3恶性扩*：追求管理创新，自封世界领先

3、公司，业务不断扩*，从天然气、电力业务，到风力、水力、投资、木材、广告、互联网宽带业务等，无所不包。风险事件的反思：1安然、世通、施乐、安达信等公司欺诈，会计造假丑闻使投资群众遭受巨大的损失。2中航油新加坡违规操作被判刑并罚款，巴林银行由于私自交易被1英镑价格交易。3在2000年至2002年期间，由于在美国发生的涉及巨型公司财务丑闻，导致资本市场损失了7万亿美金的市值。4诚信危机震撼着美国及国际社会，美国企业的假账丑闻一时间成为全球舆论的焦点。强化内部控制是有效防*风险的重要手段：1知名企业失败案例与内部控制缺陷密切相关；2内部控制能够做到事前防*，及时发现苗头并予以补救。二内部控制的概念内部

4、控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产平安、财务报告及相关信息真实完整，提高经营效率和效果、促进企业实现开展战略。1内部控制是融入在企业经营管理活动之中的一系列行为，不是一个额外的附加体系。内部控制是经营管理活动的一局部；内部控制的对象是经营管理过程的主体和活动；内部控制要融入经营管理的每个环节；内部控制要从被动到主动；内部控制要从附加到融入。2内部控制强调全员参与全体员工都担负内部控制实施的责任；管理者要带头垂*，要入局；内部控制与企业内人人事事都有关。3内部控制责任体系董事会：对内部控制的建立健全和有效

5、实施负最终责任；审计委员会：负责审查企业内部控制，监视内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等；监事会：对董事会建立与实施内部控制进展监视；管理层：负责组织领导企业内部控制的日常运行；企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作；内审部门：结合内部审计监视，对内部控制的有效性进展监视检查。三内控问题及产生原因二、认识风险识别一企业风险识别的概念二企业内部控制与风险管理的联系与区别三风险识别方法一企业风险识别的概念风险识别：指识别所有可能对组织产生负面影响的损失风险，即找出影响预期目标实现的主要风险。企业风险识别是指对企业面

6、临的尚未发生的潜在的各种风险进展系统的归类分析，从而加以认识与区分的过程。识别过程包括两个阶段：首先是风险的辨识，要找出各种风险及其存在之处，然后对其进展分析，主要分析引起风险的各种原因和可能的结果。1风险识别的原则系统性、连续性和全面性。2风险识别的内容1环境风险指由于外部环境意外变化打乱了企业预定的生产经营方案，而产生的经济风险。引起环境风险的因素有：国家宏观经济政策变化，使企业受到意外的风险损失；企业的生产经营活动与外部环境的要求相违背而受到的制裁风险；社会文化、道德风俗习惯的改变使企业的生产经营活动受阻而导致企业经营困难。2市场风险指市场构造发生意外变化，使企业无法按既定策略完成经营目

7、标而带来的经济风险。导致市场风险的因素主要有：企业对市场需求预测失误，不能准确地把握消费者偏好的变化；竞争格局出现新的变化，如新竞争者进入，所引发的企业风险；市场供求关系发生变化。3技术风险这是指企业在技术创新的过程中，由于遇到技术、商业或者市场等因素的意外变化而导致的创新失败风险。其原因主要有：技术工艺发生根本性的改良；出现了新的替代技术或产品；技术无法有效地商业化。4生产风险指企业生产无法按预定本钱完成生产方案而产生的风险。引起这类风险的主要因素有：生产过程发生意外中断；生产方案失误，造成生产过程紊乱。5财务风险由于企业收支状况发生意外变动给企业财务造成困难而引发的企业风险。6人事风险但凡

8、涉及企业人事管理方面的风险就称为人事风险。3风险识别应关注的因素风险承受度：是企业能够承当的风险限度，包括整体风险承受能力和业务层面的可承受风险水平。1内部风险单位识别内部风险，应当关注以下因素：高级管理人员的职业操守、员工专业胜任能力等人力资源因素；组织机构、业务活动方式、资产管理、业务流程等管理因素；研究开发、技术投入、信息技术运用等自主创新因素；财务状况、经营成果、现金流量等财务因素；营运平安、员工安康、环境保护等平安环保因素；其他有关内部风险因素。2外部风险企业识别外部风险，应当关注以下因素：经济形势、财政管理体制、融资环境、市场竞争、资源供给等经济因素；法律法规、监管要求等法律因素；

9、平安稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；技术进步、工艺改良等科学技术因素；自然灾害、环境状况等自然环境因素；其他有关外部风险因素。二企业内部控制与风险管理的联系与区别1企业内部控制与风险管理的内涵内部控制一般是指企业为合理保证实现经营管理目标，确保财务财产的平安完整，保证企业运营战略和有关规章制度的有序进展，确保企业高效率的运行而在公司里实行的调节、管制、方案和评估的方式及其技术措施的总称。除此之外，内部控制还是在特定的环境下，公司要提升其自身运营效率并充分获取利用所有资本，实现企业的管理目标而在公司内实行的一系列约束和调整的策略、流程和措施。风险管理是指公司在经营管理中

10、对于一些风险源实施区分、确认、评估与监管，在适当的时候也可以实施一些有效的方法对其进展监控与预防，从而给公司带来更大的平安保障的程序。随着国际经济形势日益复杂，企业面临着更加严峻的生存压力，全面风险管理的概念获得广泛认可。2企业内部控制与风险管理的联系内部控制和风险管理理论并不是相互独立的两类理论，二者在实施主体、组成要素以及实施目标等方面都密切相关。第一，内部控制与风险管理实施目标虽不尽一样，但二者在本质上都是通过一系列措施和手段，到达增加企业价值、使企业利润最大化的目的；第二，内部控制与风险管理实施主体与实施客体根本一样，都是由企业董事会、管理层以及其他人员共同实施，其实施客体都是企业员工

11、、资产以及企业在经营管理过程中形成的关系。值得注意的是，内部控制与风险管理并不仅针对企业董事会和管理层，二者需要企业全体人员的共同参与，企业高管与员工的区别在于其在内部控制和风险管理实施过程中的管理责任不尽一样；第三，内部控制与风险管理都是一个动态的过程，都需要在实施过程中进展反应与调节，使得企业内部控制和风险管理能够在一定限度内对环境变化作出相应调控；第四，内部控制是全面风险管理的重要组成局部，内部控制与风险管理组成要素在一些方面是相互重合的，风险管理对目标设定、事件识别和风险对策方面作出了更为细致的规*和要求；第五，全面风险管理以健全的内部控制为根底，公司对风险实施管理就必须要有科学、先进

12、的管理措施，倘假设没有完善的内部控制制度，则企业风险监管也将无法顺利实施。3企业内部控制与风险管理的区别首先，内部控制与风险管理职能定位不一致。企业施行内部控制制度的目的是维护自身财产的平安与完整，从而确保会计信息质量及其他管理信息的真实、可靠和及时。风险管理的目的是以最低的本钱应对企业风险，从而使企业防止损失，实现利润最大化。全面风险管理在制定合理的内部控制，保证企业经营合法合规和财务财产平安的同时，还需要对企业在战略制定和业务模式选择等方面提供合理保证。其次，企业内部控制与风险管理活动*围不尽一样。内部控制只是企业公司治理的一项职能，而企业的风险管理则在治理程序中的每个局部都存在，公司进展

13、内部监视控制的方式除了表现在对事中和事后的控制，最主要的是公司于事先规划方针的过程中就全面了解到危机的严重性。最后，内部控制与风险管理对风险的对策不同。企业在经营过程中，需要对所面对的风险采取必要的措施和手段，如采取防止风险、控制风险、分散与中和风险、承当风险、转移风险等方法，对企业风险进展管理，使运营战略与风险回报相协调，从而到达降低企业经营风险、增加企业价值的目的。三风险识别方法曾发生过这样一个生产事故：技术部门借用其他产品的图纸，并在此根底上进展了一些修改，但这个修改并没有通知到位。生产部门看到图纸后以为是其他产品工艺，并按此执行了生产工艺，结果直到生产完成后才发现工艺做错，所做的所有产

14、品报废。企业的事故发生后，企业当然会非常紧急的排查、解决、整改，但是对于企业而言，更重要的不是等待事故的到来，而是防患于未然，这也是为何企业内控中非常强调风险评估的原因。内控管理常常都是风险导向，因此,对于企业来说，企业内控的根底工作应该是风险识别。在企业内控的五大要素中，风险评估分别包括风险识别、风险分析以及风险应对这三个过程，而风险识别则是风险评估的第一步。对于业务风险和管理风险而言，最方便的风险识别载体就是流程，因为固化过的流程有明确的步骤和责任主体，便于按节点的进展风险识别。因此企业做内控建立的时候，很强调企业是否具有健全完整的流程体系，通过流程作为载体，可以更快捷有效的进展企业内控的

15、工作。利用流程来进展风险识别的步骤主要有三步：筛选、模拟以及归类。对于一个有着完整流程体系的企业来说，首先要从其固化流程的风险筛选开场做起。这种筛选往往采用的是经历法，即由相关部门对其所熟悉的流程中可能产生风险的节点进展汇总上报。在筛选的过程中，需要关注几点：针对流程的每一个步骤，考量其是否为重要风险节点，尤其是资料交付、产品转序等涉及人、财、物的重要活动；重点关注过去曾经发生过的事故节点；在前期流程梳理或是优化过程中，重点改动的活动节点。以上面发生的事故为例，其风险节点应该在图纸借用流程中技术部信息记录这个节点，对于需要记录的信息是否有确切的记录方式得以保存，以及图纸下发流程中技术部通知相关

16、部门这个节点上，是否将应有的信息传递给相关部门。在获得初步的风险节点清单以后，需要由内控主体部门开场进展风险的模拟，通过模拟活动来甄别风险节点的可能危害程度以及产生危害的几率。这种模拟活动需要让流程从正常、异常和紧急状态这三种活动状态出发，分别模拟这三种活动的情况发生后对流程过程和结果可能带来的影响，对于其危害结果要同时考虑其对过去、现在和未来三种时态，并同时评估产生这些危害的几率。在评估危害几率的过程中，可以考虑采用专家评估法或是问卷调查，通过估计危害可能发生的频率、是否有检查活动、是否已经受到控制、是否有规*性的制度以及员工能力这几个角度来评估危害可能发生的几率。在获得风险节点危害程度以及

17、发生几率数据以后，则对风险节点进展排序分类，通过计算风险预期危害数值，按照一定的划分标准，对前期风险节点清单中的节点进展划分，一般以重大、一般以及较轻三种类型区别根据企业实际情况决定。通过内控部门以及相关领导的最终评审后，获得最终的风险管控表清单。显然对于前面所描述的那个案例来说，记录与沟通是一个比拟重要的风险管控点。如果企业能够在前期就对这类风险点加以识别，并通过后期的其他风险评估过程，设计并执行应有的控制活动，则可以为企业大大降低运营风险，从而起到节约本钱，增强企业生存能力的作用。风险识别方法：现在使用的风险识别方法，可以分为宏观领域中的决策分析可行性分析、投入产出分析等和微观领域的具体分

18、析资产负债分析、损失清单分析等。主要方法有：生产流程分析法，又称流程图法。生产流程又叫工艺流程或加工流程，是指在生产工艺中，从原料投入到成品产出，通过一定的设备按顺序连续地进展加工的过程。该种方法强调根据不同的流程，对每一阶段和环节，逐个进展调查分析，找出风险存在的原因。风险专家调查列举法。由风险管理人员对该企业、单位可能面临的风险逐一列出，并根据不同的标准进展分类。专家所涉及的面应尽可能广泛些，有一定的代表性。一般的分类标准为：直接或间接，财务或非财务，政治性或经济性等。资产财务状况分析法。即按照企业的资产负债表及损益表、财产目录等的财务资料，风险管理人员经过实际的调查研究，对企业财务状况进

19、展分析，发现其潜在风险。分解分析法。指将一复杂的事物分解为多个比拟简单的事物，将大系统分解为具体的组成要素，从中分析可能存在的风险及潜在损失的威胁。失误树分析方法是以图解表示的方法来调查损失发生前种种失误事件的情况，或对各种引起事故的原因进展分解分析，具体判断哪些失误最可能导致损失风险发生。风险的识别还有其他方法，诸如环境分析、保险调查、事故分析等。企业在识别风险时，应该交互使用各种方法。三、如何建立与改良一如何建立企业风险与内部控制体系二改良企业内部控制,加强风险管理的对策三案例内控及风险管理体系建立一如何建立企业风险与内部控制体系1建立与实施风控的原则全面性原则。内部控制应当贯穿决策、执行

20、和监视全过程，覆盖企业及其所属单位的各种业务和事项。重要性原则。内部控制应当在全面控制的根底上，关注重要业务事项和高风险领域。制衡性原则。内部控制应当在治理构造、机构设置及权责分配、业务流程等方面形成相互制约、相互监视，同时兼顾运营效率。适应性原则。内部控制应当与企业经营规模、业务*围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。本钱效益原则。内部控制应当权衡实施本钱与预期效益，以适当的本钱实现有效控制。合规性原则。遵照国家的法律、法规和政策，遵照财政部等五部委制定的内部控制根本规*及其配套指引，符合国务院国有资产监视管理委员会制定的风险管理指引的原则要求。2建立与实施风控的总体

21、思路1梳理业务流程、搭建流程框架体系根据企业生产经营的价值链，对企业的管理活动、生产活动分类逐级进展全面梳理，构建企业业务流程框架，绘制流程图，撰写流程描述，根据信息化的要求编制各业务活动的编码。2开展规*对标、编制缺陷清单按照梳理的各项业务活动，清理现有管理制度中的控制措施，逐一核对企业内部控制根本规*及其配套指引、企业全面风险管理指引以及上级单位的相关管理要求，编制对标缺陷清单。3建立风险数据库、绘制风险地图结合缺陷清单，分析查找各项业务活动存在的主要风险，按照风险发生的可能性和影响程度对风险进展评估，编制风险数据库。4将风险数据库与流程清单进展匹配将流程清单与风险数据库进展匹配，以便明确

22、*个风险表达在哪个流程中，*个流程中有哪些风险。这个匹配首先在风险类别层面进展，为下一步全面识别具体风险点与流程中的控制点的匹配打下根底。5制定或优化业务流程图结合风险和控制措施，制定或者优化业务流程图，降低或防止风险。6制定风险控制矩阵根据风险数据库，基于业务流程图确定业务活动的关键控制点，制定关键控制点的具体控制措施，建立风险控制矩阵包括企业级、工程级、流程级。7制定或修订相关管理制度、编制权限指引表编制内部控制与风险管理相关管理制度，如内控管理方法，内控评价管理方法、内控监视管理方法，全面风险管理方法等。基于业务流程图编制业务活动权限指引表，明确各项业务参与者的工作分工和执行权限，进一步

23、明确内控与风险工作权责分配关系。8编制内部控制手册制定公司内部控制手册，包括内部环境手册、风险评估手册、控制活动手册、信息与沟通手册和内部监视手册，作为内部控制体系建立、运行、维护、评价的依据，确保全公司从思想和行为上对内部控制体系保持高度统一。9开展内部控制与风险管理监视检查与评价监视检查与评价包括内部环境、风险评估、控制活动、信息与沟通、内部监视等五大方面。监视检查方式包括审计、监察、内审外审、管理评审等方式。编制内部控制自评价报告，报告的主要内容：内部控制报告真实性的声明，评价工作的总体情况，评价依据，评价的*围，评价的程序和方法，内部控制缺陷及其认定，、整改情况，内部控制有效性的结论。

24、编制全面风险管理报告，报告的主要内容：年度企业内部控制管理工作回忆，年度企业风险评估情况，年度内部控制管理工作安排，有关意见和建议。3企业内部控制体系建立路径及启示AB股份*以下简称AB公司或公司是一家在国内主板的A股上市公司，为符合上市公司内控法规要求，加强和规*企业内部控制，提高企业经营管理水平和风险防*能力，促进企业可持续开展，根据财政部、证监会等五部委印发的企业内部控制根本规*及配套指引的要求，公司聘请外部咨询公司，于2011年3月起着手进展内部控制规*体系的建立工作。根据内部控制企业内部控制根本规*及其配套指引要求，结合国外公司经历，企业内部控制体系建立通常分为四个阶段，内部控制梳理

25、、内部控制整改固化、内部控制自我评价和内部控制审计，其中前三个阶段是内控建立核心工作，需由企业主导完成，内控审计由审计师在企业配合下实施。为做实做好内控规*体系建立工作，公司于2011年3月正式成立内控工作领导小组，由公司董事长牵头，高层领导主管、总部各部门负责人及各分子公司总经理作为组员，负责组织领导公司内部控制规*化建立工作。2011年3月中旬召开内控实施工程启动会，对公司内控建立工作进展了部署和发动，并制定公司内控实施方案及工作方案。第一：建立内控建立组织架构，明确相关人员职责。内部控制建立作为一项长期系统性地工程，并非一蹴而就，公司决定建立一种长效领导机制持续运作。公司明确董事长为内部

26、控制实施工作的第一责任人；公司总经理、副总经理为内控实施的具体负责人。通过四大系统的职责分工及事业部、*公司、*公司责任人的落实，形成了矩阵式的控制构造，可以有效确保内控控制的全面性和深入性。明确内控领导小组职责经第六届第十次董事会审议通过，公司成立风险管理委员会，成员包括董事长、审核委员会主席、总经理、分管主要业务的公司高管及专业人士，作为内控工作领导小组。风险管理委员会对董事会负责，主要履行以下职责：负责营造良好的内部控制建立环境；负责制定公司内部控制战略规划，提出总体建立方案；负责审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；部署内部控制

27、建立、执行及监视活动等；审议内控手册的编制、修改及更新；提交内部控制评价报告；协调公司内部控制建立的重大事项；考核内部控制建立的相关人员，保持公司整体利益和方向的一致性。明确内控工程小组职责公司在风险管理委员会下设立风险管理委员会办公室作为内控工程组，主要履行以下职责：全面贯彻执行风险管理委员会关于内部控制建立的精神和方针；制定公司内部控制建立阶段性的目标及实施方案，提交风险管理委员会审核；负责内部控制建立的有效实施和运行，落实内部控制建立的具体责任；研究提出内部控制评价报告；负责公司内控手册的编制、修改及更新；审核在内部控制建立过程中存在的问题，催促各部门进展整改。1公司在风险管理委员会办公

28、室细分为4大系统，即风控系统、战略与证券系统、财务系统和运营系统，明确各系统的具体职责。2风险管理委员会办公室成员主要来自于财务管理部、战略与证券管理部、风险管理部、管理创新部、营销中心、质量与客服部、供给链中心、法律事务部、研发中心、制造中心及战略人力资源部，配备33名专职人员。各业务单位、职能部门及子公司事业部在风险管理委员会办公室的指导下共同参与、实施内控建立工作。3审核委员会作为公司内部控制体系有效性的监视机构，监视内部控制的有效实施和内部控制自我评价情况，审核及监视外部审计机构是否独立客观及审计程序是否有效，审核公司的财务信息及其披露，协调内部控制审计及其他相关事宜。责任部门及工作预

29、算与内控工作小组相对应，公司确认了内部控制建立的责任部门，即风险管理部、战略与证券管理部、财务管理部、管理创新部、营销中心、供给链中心、质量与客服部、法律事务部、制造中心、研发中心、战略人力资源部。本次内控工程工作制定了相关预算，包括内控咨询、内控审计及人力本钱费用、培训费用等。为保证内控建立工作的专业化、系统化和合理化，公司聘请咨询公司作为外部咨询机构为公司提供专业支持，协助公司梳理、构建及完善内部控制总体架构，帮助公司识别内部控制存在的薄弱环节和主要风险，有针对性的设计控制的重点流程和内容并协助公司开展内部控制自我评价工作。风控系统人员将全程参与风险识别及评估、编制风险清单及控制矩阵、内控

30、缺陷整改、开展内控评价等工作，为公司培养内部控制建立及评价人才。第二：内控体系建立工作具体推进内部控制建立工作，公司将分为五个阶段，时间从2011年4月1日至2012年1月31日，总体安排如下：确定内控实施*围2011年4月10日前完成根据证监局文件精神，结合公司实际，本次内控实施*围为股份公司、一家*子公司以及一家*子公司。按照企业内部控制根本规*及其配套指引要求，结合公司业务性质，公司将重点关注开展战略、组织架构、人力资源等公司层面3大流程，以及信息系统、财务报告、信息披露、关联交易、全面预算、资金活动、采购业务、销售业务、资产管理等业务层面9大流程。各流程责任人如下代表责任人*：注：上述

31、责任人适用于内控建立中的每个阶段风险识别及评估2011年5月31日前完成1流程梳理：公司通过访谈、审阅文档或问卷调查等方式梳理流程，明确上述12大流程的相应子流程，完善组织架构和审批授权指引，根据统一的模板编制业务流程图。在流程梳理过程中，及时发现并记录有遗漏、杂乱、不符合相关法律、不相容职务未别离或权限设置不合理等内控缺失的工作流程，采取相应的措施规*操作流程，防止内部舞弊等重大风险出现，提高工作效率。2风险识别：结合企业内部控制根本规*及相关配套指引所列示的风险、公司客户审核要求、内审报告、提案改善、质量事故等初始资料，从风险发生的可能性和影响程度，对子流程中涉及到的每个控制点进展综合分析

32、，识别固有风险，评价风险等级，形成风险清单。3文档记录：根据风险等级，识别流程中的关键控制活动，并在流程图中进展编号；编制流程描述、风险控制矩阵等内控文档对控制活动和控制点进展记录。4查找内控缺陷：将公司现有制度和控制措施流与风险清单进展比对，通过穿行测试、控制测试等手段，获取关于内控设计和运行有效性的证据，查找内控缺陷，形成风险数据库和内控风险诊断和评价报告。对发现的重大缺陷及时报告董事会及管理层，管理层对发现的内部控制缺陷应及时制定内控缺陷整改方案。确定内控缺陷整改方案2011年6月30日前完成1编制内部控制管理建议书：公司对发现的内控缺陷进展分类分析，确定内控缺陷的重要性程度，区分设计缺

33、陷和运行缺陷，形成内部控制管理建议书。2制定内控缺陷整改方案：公司根据内部控制管理建议书和具体的控制缺陷，提出整改时间及责任部门、人员，形成内控缺陷整改方案。3提交审议：内控缺陷整改方案应当经过风险管理委员会审议通过。内控缺陷整改2011年9月30日前完成1落实整改、提交报告：责任部门将按照内控缺陷整改方案对发现的缺陷进展逐一整改，完善公司各项内部控制管理制度和控制措施，提交内控缺陷整改报告；内控工程组连同中介机构对缺陷整改情况进展运行有效性测试，形成内控运行测试报告。2编制内部控制手册：内控工程组根据风险清单和各项内控文档等资料，编制内部控制手册，并对手册内容进展实施辅导和推进执行。3编制内

34、控自我评估工作指引：内控工程组编制内控自我评估工作指引，为下一步内控自我评价工作的开展奠定根底。4提交审议：内控缺陷整改报告内控运行测试报告内部控制手册及内控自我评估工作指引应报风险管理委员会审议。内控持续推进和内控自我评价公司在内控体系成果完成后，将予以持续推进，并根据辖区证监局要求，公司将于每季度完毕后的10个工作日内，向证监局报送内控进展情况说明，并在定期报告中予以披露。每季度进展情况说明至少包括该季度内控建立工作的开展情况、与工作方案中方案进度的对照情况、差异原因以及拟采取的解决措施等。通过以上工作，公司初步建立健全了内部控制体系，有效提高了内控管理水平。第三：企业内控体系的落地和持续

35、推进AB公司在完成内控体系初步建立完成后具体推行过程中，一些部门和员工或因对新的内控制度理解不够，或因由于长期工作习惯难以改变，或因内控制度变革触及自身利益而不愿遵循，使得内控制度在一段时期内一直都不能落到实处。如何真正将内控体系有效执行下去，并保持内控体系的持续完善和提高，是管理层迫切需要解决的难题。为了切实将内控制度体系真正落地，AB公司通过全方位内控培训、加强内控检查与监视、完善考核及鼓励机制以及借助第三方专业机构的持续辅导等措施，有力地保证了内控建立的持续维护，公司的内控建立取得了卓有成效的进展。具体来说，采取的主要措施有：1完善内控工作组织架构，成立内控部，强化审计部，建立推进内控工

36、作的组织机构和运行机制。通过对国际大企业内控建立的现状和过程的全面考察，AB公司发现要实行有效的内部控制，必须建立相配套的组织架构。为此，公司由管理高层成立了内控工作领导小组，各子公司管理层对应的成立内控管理小组。在部门设置上，AB公司新成立了内控部，各下属子公司根据其规模大小设立内控部或内控负责岗，负责内控建立工作；在内控监视上：转变了原有的审计部的职责，增加了内控评价和检查的功能，并由公司董事会的审计委员会直接领导，在规模较大的子公司同时设立内部审计专员，负责子公司的内控自查。2注重内控环境建立，进展全方位内控培训。AB公司通过一系列的培训和辅导，提高各层级管理人员和根底员工对内控理念的认

37、识，营造有利的内控工作开展的文化环境。首先，公司抓好以普及内控根本知识、营造内控实施环境的宣传工作。公司内控部组织编制了内控宣传册，在股份公司各职能部门和下属公司主要管理干部*围内发放学习。手册通过生动的案例和形象的语言帮助各级管理人员统一对内控的理解和认识，减少内控推进的思想阻力。其次，公司根据内控规*实施的进度，围绕内部控制的各个方面，开展了包括根底理念、管理制度、风险评估、内控评价、内控考核在内的各类集中的专题培训，对内控制度的编制和实施起了极大的推进作用。3建立内控推进的沟通机制，保证内控建立持续性和问题解决的及时性。自内控制度建立正式推进以来，为了保证推进的执行力，公司开展了全方位的

38、信息沟通机制，实现了信息的实时传递，和通畅的上传下达。首先，AB公司建立了周例会制度。内控领导小组每周组织内控工作例会，由公司董事或审计委员会主任主持，参与者包括内控领导小组成员、内控部、审计部、财务部、各子公司的内控负责人等。总部各职能部门及各子公司必须在会上以书面形式上报内控工作一周报告，汇报内控的进展情况、及存在的问题、解决的方案、遇到的困难以及需要股份给予协助的事项，并由内控领导小组组长对相关的具体问题提出意见和工作指导，会后股份公司内控部负责对每家子公司进展回复，保证所有的问题都能得到及时有效的解决。所有会议记录和相关文件在会后抄送股份公司的总经理和董事会，并抄送相关子公司的管理层，

39、保证管理高层对内控进展的时刻了解。其次，公司建立了内控体系的月度工作总结。每月末各个子公司的内控负责人就内控开展情况进展工作总结，由内控部在股份公司管理层、子公司管理层以及相关内控负责人之间进展通报，催促各子公司的内控执行力。最后，建立了重大工程的单独汇报机制。各子公司的内控负责人对于子公司内控建立中发现的重大问题要求及时向内控领导小组和股份内控部进展汇报，以实时处理可能的重大风险。此外，股份公司的内控部长、审计部长、财务总监的联系方式向子公司的所有内控负责人和内控专员公开，作为信息直接传递的一个重要渠道，帮助股份公司及时了解下属子公司内控风险。4完善内控评价检查机制，建立了多层次的内控检查体

40、系。为了保证内控制度的落地和真正有效的执行，公司从各子公司到股份公司的内控部和审计部，再到外部独立的第三方中介，建立了全方位的内控评价和检查体系。股份公司内控部对各业务循环定期开展内控检查，通过发放内控调查清单以及内控专员的现场检查，发现子公司在内控建立中的缺乏，并及时下发风险联系函、风险关注函和风险警示函，以帮助子公司及时进展内控整改和完善。其中联系函主要是对子公司联系函件的回复为主；关注函主要是对子公司发生的业务表示关注，一般要求对方在一定时间内给出书面说明；警示函是在关注函的根底上对于重大风险或执行不到位的情况给予警告。股份公司审计部对各子公司每年开展两次的内控评价。为了实现评价的量化和

41、标准化，审计部编制了内控评价底稿通过检查，对子公司形成内控建立的量化评价，并针对检查中发现的问题出具改良建议，并要求各子公司在规定的时间内予以整改，总部内控部对子公司整改措施和整改质量进展全程的监视，整改完成后，审计部及时予以复查，确保审计中发现的问题能及时整改。5将内控建立纳入绩效考核，通过奖惩机制实现内控的有效性。首先，为有效发挥各下属子公司的管理者在内控推进中的作用和积极性，自20年开场，股份公司将审计部对各子公司的内控评价结果纳入其管理班子的绩效考核的指标中，明确了管理班子对于内部控制建立的责任和关键任务。通过这种绩效考核，鼓励管理层切实关注和推动内控的执行工作，从而为内控工作的推进建

42、立良好环境。其次，对于股份公司向各子公司委派的重要人员也直接与内控建立挂钩。公司出台了委派内控人员绩效考核管理方法，对各个子公司的内控负责人实施全面的内控建立考核，明确了委派的内控人员的绩效考核指标、考核方式和奖惩机制，进一步促进了委派内控人员的工作落实力度；对于股份委派的财务负责人，也在其年度考核的总分中100分制纳入了相当比重的的内控建立的相关内容，从财务职能加强了对子公司的内控推进。6充分发挥专业中介机构力量。AB公司在开场建立内控体系即聘请的专业咨询公司提供咨询效劳，在整个体系建立过程中，充分发挥咨询公司专业力量，并聘请专业参谋对公司人员进展培训，提高公司人员内控理念和技能。在内控体系

43、初步建立之后，仍继续与咨询公司保持合作，借助咨询公司在专业及独立性方面优势，共同推进公司内控持续建立工作，在内控持续建立工作中，专业咨询公司提供了大量了专业意见和培训辅导效劳，帮助公司完善各项成果，使得公司的内控持续建立取得了令人瞩目的成效。第四：企业内控体系建立过程的经历和启示在公司董事会、各层级管理人员和根底员工不懈努力下，公司内部控制体系的建立取得了一系列的良好效果，全公司各级员工的风险管理意识显著提高，对风险的理解和重视切入到各个业务和管理环；强化了各项经营活动的规*化操作，实现了重大经营活动的集体化决策机制，有效防*了决策风险；提高了公司的财务管理水平，保证了从产业公司到股份公司的各

44、层级财务数据的真实公允以及资金、资产的平安；加强了公司对新经营环境下管理风险的关注；完善了公司的风险预警机制，提高了各职能部门对业务发生之后的潜在风险的持续监控、分析和应对。1公司董事会和最高管理层的重视和亲自参与。在AB公司董事会，无论是大股东委派董事、非执行董事还是独立董事，都非常重视和关心内部控制体系的建立工作。作为公司的大股东，集团对股份公司的内控建立给予了极大的理解和支持，有力的推动了产业公司的内控建立的进程。董事会的定期会议都将内部控制进展情况作为重要议题沟通，对于内部控制推进中出现的任何问题，董事会层面时刻给予相应和支持。在公司管理层方面，成立了内控领导小组，投入了大量的人力和财

45、力，带着企业员工共同进展内部控制建立，为内部控制的推进提供了良好的内部环境，同时也激发员工的积极性和主动性，推动企业内部控制朝更顺利、更完善的方向开展。2对内部控制理念以及其与公司其他管理体系关系的认识统一。AB公司在内控推进的第一阶段大力推行高频率、大幅度的培训，帮助各级管理者以及基层员工了解内部控制的主要原理和价值，减少内控实施中的思想阻力，统一了内控体系与其他管理体系的认识。内部控制和风险管理不是一套孤立的新的体系和制度，而是一种基于目标风险控制监视框架的管理思路，这种管理思路可以融入到企业的所有其他的管理体系和管理制度中去，是对企业原有的管理制度的整合和提升。3制定了清晰明确的内部控制

46、战略规划。公司根据自身实际情况，在订并提出了内部控制的五年两步走的规划，并将其纳入到公司的5年战略规划中。第一阶段3年，通过自上而下的刚性要求，构建全面的统一化的集团内部控制架构，并通过理念灌输形成内控推进的文化*围；第二阶段2年，通过自下而上的，自觉的内控体系的完善，形成各个产业公司的特色化内部控制。这一从强制到自觉，从理念普及到制度完善再到内控手册的表格化提升的建立步骤，使得公司从管理高层到基层员工的各级人员都明确内部控制不同时期的不同任务及不同开展状态，稳步推进，逐步加深，为内部控制的开展道路勾画了清晰路径。4因企制宜的实施方案。AB公司意识到对于集团化企业，内部控制不能是一刀切的，公司

47、要实行内部控制，需要根据自身的业务类型、公司规模、公司所处阶段来选择适宜的内部控制方法。首先，公司在吸收了五部委内部控制根本规*和配套指引的相关精华的根底上，结合企业经营实践，基于先主后次的重要性原则以及本钱收益原则，提出了以假设干业务循环作为公司内控建立的主要循环*围。其次，考虑公司的人员能力和素质，在内控成果上也没有一步到位册，而是以制度建立为根底，通过制度规*，到流程优化再到风险提炼，逐步实现内部控制的层层递进。最后，在内控推进上，公司充分考虑下属各产业公司的业务特点，确定适合各公司的内部控制方式和侧重点。5循序渐进的实施步骤。第一步：自上而下的理念推进向自下而上的流程推进的递进。在内控

48、实施的第一阶段，公司强调自上而下的理念推进。公司通过内部培训、各种工作会议达成内控理念的统一，并向各子公司传达，之后各子公司则进展自下而上的内控流程推进，即各产业公司根据自身的内部流程，进展制度的完善，并经由公司内控部审核后实施。第二步：由总部出台框架性的制度到各个子公司制订针对性的业务流程的递进。公司内控部结合外部力量制定框架性的制度，明确各业务循环的关键控制点和操作要求，各产业公司根据自身业务情况，在满足框架制度要求的前提下制定适合企业自身的管理制度，以求更贴近产业公司的经营管理实践。第三步：普遍性、通用性的风险点向专业性、针对性的风险点的递进。公司首先根据对产业公司实际情况的调研，绘制公

49、司的全面风险数据库，梳理出具有普遍性的通用性主要风险点，之后，各产业公司在实际操作中不断发现专业性、针对不同企业业务特色的独特风险，以实现内部控制的完善。第四步：抓重点公司，抓主要循环和风险、抓典型事件。公司的内部控制遵循重要性原则，关注重点公司级重要循环与风险，并关注典型事件，以期通过重点带动全面，推动内部控制的开展。6借助外部专业中介机构推动内控建立。外部专业机构相对而言具有更丰富的内控专业力量和实施经历，并且具有客观性和独立性，AB公司在整个体系建立过程中，充分发挥咨询公司专业力量，但也没有完全依赖中介机构甩手不管，而是充分参与和配合，在内控建立过程中，实现知识传递和内控人才培养，取得了

50、相对较好的实施效果。二改良企业内部控制,加强风险管理的对策1完善公司治理构造企业内部控制要有序进展、风险管理要顺利实施就必须不断完善治理构造。公司治理体系的健全完善可以使公司各个部门之间职责划清楚确并形成相互制约，是有效开展内部控制和风险管理的前提。一方面，完善公司治理构造需要认识到独立董事在公司中的重要性，肯定其在公司治理中的地位，使独立董事在公司内部控制的监视工作中发挥重要作用；另一方面，公司应依据在经营中的需要设置专门委员会，可以从董事会成员中选拔一些专业人才成立委员会，充分利用其专业优势，有效解决企业经营过程中的重要特殊事项，在对公司的风险进展识别、评估和控制过程中充分发挥作用。2强化

51、业务素质培训，提升全员内部控制和风险意识随着企业所处竞争环境日益复杂、经营风险不断加剧，现代企业制度逐渐建立和完善，企业现有人员的内部控制意识和风险意识也必须适应企业开展的需要。因此，企业需要不断强化员工的风险意识和全员参与内部控制的意识。为此，企业应根据员工实际情况和所处管理层级，为其量身定制不同的培训，从而促使企业员工重视企业的内部控制和风险管理工作并积极参与其中，以适应企业开展的需求。3强化内部审计制度建立应充分发挥内部审计在企业内部控制和风险管理中的监视评价作用，保障内部控制和风险管理工作制度设计的合理性、实施的有效性。强化公司的内部控制与风险管理监视机制，即强化内部审计制度建立，这需

52、要从三个方面着手：首先，提升内部审计在企业中的地位，重点强化公司内部审计工作的独立性，确保内部控制与风险管理评价工作的权威性。其次，内部审计的监视重点应从财务资产平安转移至运营与风险管理，促进提高公司的风险管理和内部控制水平。最后，应深入开展对公司内部控制与风险管理工作的全过程监视评价。事前介入、事中跟踪、事后评价反应，从而及时发现控制缺陷和管理漏洞，防*经营风险，提升企业价值。三案例内控及风险管理体系建立*集团*公司，在内控及风险管理体系建立与改良融合方面的实践。1内部控制与风险管理体系建立1内部控制体系建立自2006年开场，*集团以中国*为切入点，开展以风险管理为导向的内部控制体系建立工作

53、:一是明确体系建立的目标，即培育风险管理理念，将国际先进的风险分析和识别方法引入企业日常的内控及风险管理，分析企业内外部的环境、时机和威胁，力求使风险的影响程度降到最低，实现不确定环境中的企业价值最大化。二是确定体系建立的根本原则，即满足*联交所和*证交所监管的要求，兼顾中央企业全面风险管理指引的精神。以COSO企业风险管理整合框架为指导，严密结合公司实际情况和管理习惯，力求先进性与实用性的统一。在上述目标与根本原则的指导下，构建起由组织架构和制度架构两个都分组成的内部控制体系。其运行机制，是一个由公司董事会、高管层和其他人员将内控管理制度和根本流程融人企业管理的过程。组织架构提供内控及风险管

54、理的组织保障中国*按照国家有关法律法规、股东会决议和公司章程设计内控及风险管理的组织架构。组织架构明确了董事会、监事会、高管层、各部门、各分子公司在内控及风险管理中的角色和职责，从而为内控及风险管理的有效运行提供了组织保障。内控组织架构与公司治理组织架构一致，内控审计部直接向审计委员会汇报，在公司高管层的指导下，开展日常的内控工作。制度架构提供内控及风险管理的制度保障制度架构的核心是内部控制手册和自我评估手册。内部控制手册作为保障内控及风险管理体系得以构建并有效运行的根本制度，是开展内控及风险管理的纲领性文件。自我评估手册规定了对具体业务流程主要风险点的管控要求和自评方法，是对内控及风险管理进

55、展持续监控的重要工具。2全面风险管理体系建立自2010年开场，*集团在总结以风险管理为导向的内部控制体系建立经历的根底上，结合国务院国资委、财政部等监管要求，并借鉴其他央企的风险管理制度，启动全面风险管理体系建立工作。2011年编制完成*集团公司全面风险管理方法以下简称方法，并正式下发，标志着*集团全面风险管理体系的初步构建。*集团确立统一管理、分层负责的风险管理体制，明确了风险管理与本质平安管理、风险管理与内部控制的关系，规*了风险管理组织体系、风险分类和风险管理根本流程。2内部控制与风险管理体系的持续改良1重大风险动态评估风险动态评估长效机制是对风险进展有效管控的前提和根底。*集团从200

56、6年开场，每年都要进展一次较为全面的风险评估。近五年来，从风险评估的程序、方法、*围到风险评估结果的利用方面积累了丰富的实践经历，形成了比拟科学的风险评估机制。自2010年开场，*集团在全集团*围内进展风险评估。2010年，*集团采用风险自查、现场调研访谈和向集团公司领导汇报等方式进展风险评沽，工作覆盖集团公司总部31个部门，17家非上市子分公司和15家上市子分公司。2011年，*集团要求总部各部门、子分公司编制并提交本单位的年度风险管理报告。共33个总部部门、35家子分公司提交了报告，通过汇总分析，确定主要风险共52项，结合总部各部门及子分公司领导访谈，初步确定重大风险15项。在此根底上，对

57、集团公司党组成员及管理层进展当面或书面访谈，经董事会全面风险管理委员会审议后，最终确定2011年度面临的10项重大风险。2012年，*集团进一步要求各子分公司上报本单位重大风险专项报告。同时，重大风险确实定更有针对性，主要表现在：一是，保存了属于固有风险或与战略目标严密相关的风险，同时突出公司以煤炭为根底的产业特点；二是，选择能够使风险管控更具体，更有操作性的风险；三是，风险管控措施确实定更为具体。2明确集约化管理，专业化运营，一体化协同的管控模式集约化管理是指主要业务开展规划、投资决策及管理。经营决策、市场及营销、产权管理、业务方案及目标设定、生产规*、业务流程标准、绩效考核等核心经营管理职

58、能集中至*集团管理层，井将具体职能分解至*集团各业务管理部门。各业务管理部门是*集团最高决策层的参谋部，履行对下属生产单位方案执行状态的监视和协调职能。专业化运营是指专业生产管理部负责各产业的专业化运营管理，二级各产业的生产单位承当具体的生产执行责任。一体化协同是指为全集团提供高质量、低本钱的专业效劳能力，如神东矿区设立统一的生产效劳中心、开拓准备中心，建立救援基地和救护大队等，降低了生产本钱，提高了生产效率。3定期不定期缺陷整改自2006年开场，首先在中国*总部层面开展年度内控自我评估工作，并在年报中进展披露。2007年，自评工作涵盖中国*总部及所有子(分)公司，并对重点测试单位的重点流程进

59、展现场测试、审核、评价工作。2008年，根据中国*管控重点和各业务板块的具体特点，设计了总部、煤炭、电力、运输四套自评底稿问卷，涉及900多个关键控制点。自2010年开场，*集团在全集团*围内开展年度内控检查评价工作，工作*围涵盖集团公司总部所有部门和所有子分公阅，工作内容根本覆盖了*集团所有重要业务经营活动流程。在集团公司总部层面，所有部门均应编报内控自我评价报告。董事会办公室等19个部门应填报内控自我评价工作底稿，其中法律事务部等8个部门应配合完成重点流程的测试工作；子分公司层面，37家子分公司均应填报自我评价工作底稿，编报内控自我评价报告。2011年，*集团确立了满足监管要求和结合公司实际，突出公司特色的内部控制评价原则。评价工作*围覆盖集团公司总部及子分公司的主要业务和事项，评价内容包括财政部等五部委18项应用指引的全部内容，并补充公司特有业务，根本涵盖了公司生产经营的生产主要方面。4开展煤炭行业风险预警指标与标准研究煤炭企业系统主要运营