集团企业内控与风险管理课件

1、集团企业内控与风险管理客户需求分析产品总体架构产品详细解决方案产品应用价值客户案例国内外内控规范发展的历程回顾国内法规对内部控制概念的定义董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。内部控制的目标： 企业经营管理合法合规 资产安全 财务报告及相关信息真实完整 提高经营效率和效果 促进企业实现发展战略内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。- 摘自财会20087号 企业内部控制基本规范监管机构对企

2、业内控体系建设提出具体要求2011年中国证监会主席郭树清在上海公司治理论坛上指出，监管层将进一步促进和完善公司治理。自2012年1月1日起，国家相关部委联合发布的企业内部控制规范的监管范围将由试点扩大到主板上市公司，并将在中小板和创业板上市公司择机实行。监管要求（五部委）企业内部控制基本规范企业内部控制配套指引实施范围2011年1月1日境内外同时上市的公司2012年1月1日主板上市公司择机中小板、创业板上市公司鼓励非上市大中型企业与此同时，国内不断曝光的由于内控缺失给企业带来巨大损失的典型案例，也凸显出内控体系建设的重要性中航油事件-对子公司内控失效-导致巨额亏损在新加坡风光无限的陈久霖在新加

3、坡被捕的陈久霖为什么要加强内部控制-教训-中航油事件做了国家明令禁止的事情违规交易未及时汇报母公司不闻不问为什么要加强内部控制-教训-中石油事件中石油大连分公司-内部制度执行不到位，制度设计不到位-导致安全事故事故现场处罚决定（ /11/1126/03/7JOM99TU00014JB6.html ）经查，这起事故的直接原因是： 中油燃料油股份有限公司委托上海祥诚公司使用天津辉盛达公司生产的含有强氧化剂过氧化氢的“脱硫化氢剂”，违规在原油库输油管道上进行加注“脱硫化氢剂”作业中国石油国际事业有限公司（中国联合石油有限责任公司）及其下属公司安全生产管理制度不健全，未认真执行承包商施工作业安全审核制

4、度中油燃料油股份有限公司未经安全审核就签订原油硫化氢脱除处理服务协议中石油大连石化分公司及其下属石油储运公司未提出硫化氢脱除作业存在安全隐患的意见；中国石油天然气集团公司和中国石油天然气股份有限公司对下属企业的安全生产工作监督检查不到位为什么要加强内部控制-教训-中石油事件农业银行邯郸支行现金被盗事件-内部控制缺失-导致现金被盗主犯处罚决定为什么要加强内部控制-教训-农行事件为什么要加强内部控制-教训-农行事件国务院调查组调查结论：邯郸农行现金被盗的结论：邯郸农行对巨额现金被盗负有推卸不了的责任：其一农行制度不严，措施不利。其二，领导高高在上，官僚主义。其三，人防、技防形同虚设，害人害己。其四

5、对职工的教育和监管不够，拜金主义恶性膨胀。其五农行企图掩盖真相,拖延报案时间.因此，“对外满足合规，对内提升管理”构成了企业开展内控体系建设的双重动因在当今激烈的市场竞争环境下，为提高企业经济利益，增强企业核心竞争能力，加强企业内部控制越来越显示出其不可替代的作用。 做好内部控制管理是企业可持续发展的永恒不变的有效途径，加强企业内部控制对提高企业经营管理水平、风险行为防范能力、确保企业战略目标得以实现具有重大意义。从构建合规内控为基础逐步提升企业管理能力，帮助企业持续发展数据显示世界500强企业平均寿命42岁，一般性跨国公司平均寿命12岁，中国企业平均寿命9岁，中国民营企业的平均寿命2.9岁。

6、内控部门的核心任务就是梳理风险、优化流程，从企业管理的角度打通以部门为界限的设计工作，帮助企业成为“百年老店”。以风险为导向，以控制为中心，以提升为目的以内控合规为目标控制大的风险表现为“家法家规”解决有无的问题以提升管理能力为目标将内控与日常管理结合把内控作为一个管理工具，帮助企业完成绩效指标更多的自动控制管理内控以提升内控工作价值为目标有效利用有利风险为企业各部门提供咨询服务更多的预防性控制价值内控合规内控客户需求分析产品总体架构产品详细解决方案产品应用价值客户案例产品总体应用目标保障战略目标落实有效形成企业内控三道防线CEO(管理层）第三道防线第二道防线第一道防线业务部门董事会风险管理内

7、部审计业务部门审计委员会风险管理委员会添加标题风险收集识别分析风险评估管理策略应对方案监督与评价风险控制实施方案手册制订手册审核手册发布手册发放测评改进实施审计审计报告审计处理决定审计复审审计计划信息系统全方位一体化应用，降低审计成本满足外部合规要求相关标准政策法规SOX企业内控基本规范企业内控应用指引企业内控评价指引企业内控审计指引COSOISO38500ISO27000COBITITSS整体解决方案治理结构治理目标组织架构业务流程风险识别风险收集风险分析治理方案设计风险管理策略风险应对方案风险评估风险评估重大风险认定内控手册管理制订版本管理监控及预警访问安全控制发布风控指标突发事件监控监督

8、及改进测试自评缺陷分析及认定整改及跟踪统计分析报告管理绩效管理计划管理项目管理审计作业审计方案审计报告审计底稿审计整改审计问题审计工具数据抽样数据分析经营指标预警审计方法预警档案管理审计IT管理系统治理体系设计控制实施监督改进问题管理变更管理配置管理项目管理供应链财务UAP平台企业服务总线实时数据集成结构化/非结构化数据管理规则引擎预警管理风控矩阵知识库业务流程控制业务系统第一道防线第二道防线第三道防线企业治理客户需求分析产品总体架构产品详细解决方案产品应用价值客户案例第一阶段：项目启动与计划阶段项目阶段项目启动与计划阶段内控梳理对标阶段内控整改固化阶段内控自我评价阶段接受外部审计、董事会报告

9、及持续运行阶段建立内控体系建设联合项目组，定义项目职责分工进行定量定性的专业分析，确定项目具体工作范围并搭建业务流程总体框架确定及细化项目推进计划参加启动大会并对项目组成员进行内控相关知识培训结合业务流程总体框架，识别出与关键风险对应的重大业务流程编制项目交付品模板建立内控体系建设联合项目组共同参与制定项目小组工作职责和项目日常管理制度 提供范围确定所需要的资料项目小组成员参与讨论、审核项目总体范围和推进具体计划协调安排项目启动会相关事宜协调、安排相关人员接受访谈 对用友的工作成果进行及时反馈联合项目小组成员名单及联络表风险调查问卷访谈计划访谈提纲访谈纪要业务流程总体框架项目推进具体计划 启动

10、会材料项目交付品模板主要工作内容需贵公司配合事项工作成果建立内控管理组织与岗位体系集团可以根据行业、地域不同建立多个内控组织范围；建立标准的岗位与职责分工；对集团内部各层级的风险加以识别支持集团全面风险管理问卷的设计、下发与信息上报管理。实现集团多级风险评估管理支持多层级多部门风险评估运作机制；支持风险评估标准与模型建立；支持评估结果自动选取标准重要风险认定与评估结果分析支持风险排序与重大风险确定管理；支持集团级风险评估审核与上报管理；支持多宗风险评估结果热图分析第二阶段：内控梳理对标阶段项目阶段项目启动与计划阶段内控梳理对标阶段内控整改固化阶段内控自我评价阶段接受外部审计、董事会报告及持续运

11、行阶段结合企业内部控制基本规范和配套指引，组织对高级管理层、业务流程负责人访谈，形成风险控制矩阵对发现的内部控制缺陷，提出整改方案分析各流程的管控现状和整改需求协助安排与相关人员的访谈协助与相关人员进行缺陷问题的沟通及时安排对用友出具的流程改进意见的审阅工作并进行反馈和讨论公司层面及业务流程层面风险控制矩阵流程描述流程图流程内控设计缺陷汇总表及管理建议书阶段性汇报材料主要工作内容需贵公司配合事项工作成果建立企业内控体系和流程标准支持跨公司的业务流程定义；支持业务流程在不同的子集团、公司存在不同的业务环节；集团内部不同行业执行不同的业务流程标准形成风险控制矩阵和相关流程制度针对集团各公司的业务，

12、编制对应的内控矩阵、手册，包括业务目标、可能产生的风险、各个流程环节设置哪些控制点，控制对应的监督检查方法，实施的业务部门和监督部门以及该业务流程相关的各种图表、流程图、制度等资料。内部控制穿行测试根据内控措施中要求的监督部门和业务部门，进行多次控制措施的自我评测；第三阶段：内控整改固化阶段项目阶段项目启动与计划阶段内控梳理对标阶段内控整改固化阶段内控自我评价阶段接受外部审计、董事会报告及持续运行阶段- 提供内控缺陷报告与流程负责人讨论缺陷报告的初稿，修改缺陷报告并定稿确定并下发整改计划根据用友提出的管理建议进行整改监督整改的落实情况确认内部控制手册管理建议书内部缺陷报告阶段性汇报材料主要工作

13、内容需贵公司配合事项工作成果根据内部控制点测试报告进行整改跟踪业务部门的整改进度和效果；分析风险控制的执行效果确定后的控制矩阵和相关资料形成内控手册经过审核后的内控手册由集团统一发布，形成版本信息；允许不同公司针对同一个业务流程采用不同的控制和监督方法，体现各自的管理特色。第四阶段：内控自我评价阶段项目阶段项目启动与计划阶段内控梳理对标阶段内控整改固化阶段内控自我评价阶段接受外部审计、董事会报告及持续运行阶段设计控制测试模板编写内控测试指导手册提供内控运行测试方法培训 在公司对各环节内部控制进行抽样测试过程中，给予充分的技术支持根据内控运行缺陷，提出整改建议拟定内控自我评价报告确认内控测试指导

14、手册 组织安排测试人员 协调各部门流程责任人对测试发现的缺陷进行确认确认整改方案监督整改方案执行情况确认内控自我评价报告测试指导手册内部控制测试底稿内部控制测试培训材料控制测试结果内控自我评价报告阶段性汇报材料主要工作内容需贵公司配合事项工作成果集团多层级内部控制的自我评价根据内控措施中要求的监督部门和业务部门，进行多次控制措施的自我评测；分析风险控制的执行效果。信息系统安全监控全景权限监控关键用户权限监控关键角色权限监控关键功能权限监控关键流程权限监控权限监控系统管理员权限集团管理员权限普通管理员权限特权监控离职人员帐号监控调配人员帐号监控不明身份人员帐号监控密码设置策略监控密码修改监控事前

15、控制：控制互斥职责授权事后监控：反应互斥职责稽核 结果互斥职责稽核密码安全监控系统管理员授权监控集团管理员授权监控普通管理员授权监控授权监控账号实施管理监控应用信息系统提供持续有效的信息系统安全监控支持内控IT审计对于信息化系统的控制要求密码策略分析报告；权限变更报告；关键授权监控报告；实现系统控制的业务职责分离检查根据内控职责分离要求，通过IT风险监控系统的对人员的授权合理性进行判断；定期修订内控手册，与时俱进根据评价的结果，修订相关的内控手册，形成新的版本；不同版本之间可进行对比分析；不同业务流程也可进行对比分析。第五阶段：接受外部审计、董事会报告及持续运行阶段项目阶段项目启动与计划阶段内

16、控整改固化阶段内控自我评价阶段接受外部审计、董事会报告及持续运行阶段内控梳理对标阶段主要工作内容需贵公司配合事项工作成果协助公司与外部审计师沟通对2012年内部控制工作开展情况进行总结，编制内控总结汇报材料对2013年内部控制工作进行规划，制定工作规划方案对2012年内控项目总结报告进行沟通确认对2013年内控项目规划方案进行沟通确认本年度内控工作总结汇报材料下年度内控工作规划方案内控审计平台实现与外部审计的对接客户需求分析产品总体架构产品详细解决方案产品应用价值客户案例NC6集团企业内控与风险管理解决方案价值构建体系（事前）完善企业内控管理体系，满足合规监管要求构建内控组织、人员和作业流程的

17、集中管控平台内控常态化（事中）将风险内控管理与业务管理相融合，促进内控常态化实现风险识别、评估和应对控制的流程化、标准化管理管理优化（事后）通过内控自测和系统自动监控，提高内控执行的监管效率内控测试数据分析与报告，推进内控持续优化客户需求分析产品总体架构产品详细解决方案产品应用价值客户案例项目背景项目方案项目价值禾嘉股份是一家在上海证交所上市的公司，主要从事汽车零配件、特种大口径高压阀门制造及种子繁育销售的混合型集团公司 。随着公司的不断发展，管理层意识到了公司原有内部控制制度的不足以及为了满足监管机构对 上市公司内控制度的要求，公司希望建立更加完善、有效的内部控制制度。对控股公司及下属其子公

18、司的公司层面以及流程层面进行内控评价，采用调查问卷、编制内部控制风险矩阵、穿行测试、内控样本测试等方法对公司内部控制制度进行测试、评价，并对测试、评价过程中发现的薄弱环节与缺陷提出整改建议，协助公司建立健全多层级的管控体系，协助管理层编制流程层面的内部控制制度、规范及操作模版。指导设立内部控制部门，由该部门负责公司内控制度的改进、施行与监督按照COSO内控框架的标准建立了内部控制制度大大改善了公司管理制度比较欠缺、制度执行不力的局面优化了管理结构，降低了企业风险满足财政部等五部委关于上市公司内部控制的要求案例1：禾嘉股份公司项目背景项目方案项目价值满足财政部等部委对上市公司提出的内部控制合规要求 建立内部控制体系，通过规范化的内控制度体系，提升企业的管理水平 建立多层级的内部控制体系的分析、监控、处置和报告机制对公司总部和分子公司的管控体系进行评估，并对多个关键管理流程的内控执行的有效性进行测试。对评估和测试过程中发现的薄弱环节与缺陷提出整改建议，协助公司建立健全多层级的风控管理体系；基于以上工作对公司管理流程和内部控制进行书面化，形成各项内控制度。协助客户建立内控自我评估体系通过ERP、OA及企业业务系统