上市公司内控体系建设工作思路与实施方案

上市公司内控体系建设工作思路与实施方案立信锐思上市公司内控体系建设工作思路与实施方案上市公司内控体系建设实施方案与工作思路立信锐思咨询20112月上市公司内控体系建设实施方案与工作思路一、内部控制法规解读中国内部控制法规介绍企业如何应对内控法规二、企业内部控制体系的建立:工作思路与实施方案三、关于我们上市公司内控体系建设实施方案与工作思路第3页中国内部控制相关法规的发展历程20086月28日，财政部、证监6月5日，中共中央办公厅、国务会、审计署、银监会、保监会联院办公厅印发了关于进一步推合召开企业内部控制基本规范发进国有企业贯彻落实“三重一大”布会、发布了《企业内部控制基决策制度的意见》本规范》以及配套规范的征求意4月26日，财政部、证监会、审3月3日，财政部发布关于印发《企见稿计署、银监会、保监会联合发布业内部控制规范基本规范》和1720091月，陆续发布了企业内了《企业内部控制配套指引》。项具体规范（征求意见稿）的通知部控制应用指引》的数个更新稿该配套指引包括18项企业内部控制应用指引》、企业内部控制评价指引》和《企业内部控制6月5日，上海证券交易所出台上海审计指引》，标志着我国企业内证券交易所上市公司内部控制指引》部控制规范体系基本建成6月6日，国务院国有资产监督管理委员会“关于印发中央企业全面风险管理指引》的通知”9月28日，深圳证券交易所出台关于发布《上市公司内部控制指引》的通知9798990001020304050607080910上市公司内控体系建设实施方案与工作思路第4页中国风险管理与内控法规概览财政部财政部等五部委等五部委财政部等五部委出台的《企业内部控制基本范》，为企业提供了完整和公认的内部控制框架，企业内部控制基本规范同时以法规的形式要求上市公司对本公司内部控制的有效性进行自我评价。企业内部控制应用指引国资委出台的指引强调对风险的识别、分析、评企业内部控制评价指引估、防控和监督，为企业防控风险，建立控制体系提供指引。企业内部控制审计指引《应用指引》具体提出18个具体流程的应用指引。国资委国资委在每个具体流程中规定了该指引的目的，相关定义，该流程的主要风险，岗位分工及授权批准，中央企业全面风险管理指引及主要流程的控制程序。《评价指引》具体规范了内控评价的内容和准，证券交证券交易所易所行业监行业监管机构管机构评价的程序和方法，内控缺陷的认定，以及规定了评价报告的相关内容。行业内控指引上市公司内控指引《审计指引》指导注册会计师执行内控审计业务。上交所内控指引商业银行内控指引深交所内控指引证券公司内控指引证交所出台了一系列的内部控制指引，为上市公保险公司内部控制基本准则司建立和实施内部控制制度提供指引。上市公司内控体系建设实施方案与工作思路第5页内部控制的定义内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关息真实完整，提高经营效率和效果，促进企业实注册会计师应当对财务报告内部控制的有效性发表现发展战略。审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告《企业内部控制基本规范》2008中增加“非财务报告内部控制重大缺陷描述段”予以披露。《企业内部控制审计指引》2010上市公司内控体系建设实施方案与工作思路第6页五部委内控体系:基本思路、原则和目提高经营效率效果促进企业实现发展战略合法合规全面性原则:覆盖各种业务和资产安全事项。财务报告及相关信重要性原则:关注重要业务事息真实完整全全项和高风险领域。内部监督管管体体制衡性原则:相互制约、相互治治员员监督，并兼顾运营效率。理理工工息沟通理理适应性原则:与企业相适应，层层并随情况的变化及时加以调整。层层控制活动本效益原则:权衡实施成本企业建立与实施有效的与预期效益。风险评估内控，应当包括五项要素内部环境内部控制应由企业董事会、监事会、经理层和全体员工共同实施*立信锐思根据《企业内部控制基本规范》整理上市公司内控体系建设实施方案与工作思路第7页五部委内控体系:整体框架企业内部控制基本规范企业内部控制应用指引业业内内部部组织架构资金活动全面预算控发展战略采购业务合同管理控制人力资源资产管理内部信息传递制评社会责任销售业务信息系统审价企业文化研究与开发计指工程项目控制手段类指内部环境类担保业务引业务外包引财务报告控制活动类上市公司内控体系建设实施方案与工作思路第8页国资委全面风险管理体系全面风险管理组织体系全面风险管理基本流程企业经营管理体系面收集风险管理初始信息面风治理结构风险进行风险评估险管管理理文制定风险管理策略战略管理信化息风险管理解决方案系统业务流程监督及改进*立信锐思根据《中央企业全面风险管理指引》整理上市公司内控体系建设实施方案与工作思路第9页国资委全面风险管理:财务风险管理框架资产负债率速动比率集团公司的债务风险担保净资产比财务风险预警上海已获利息倍数国现金部资产比资存货周转率部委现金流风险应收账款周转率推母子公司重大风盈余现金保障倍数动财务事项管控险预净资产收益率警盈利能力风险经营性营业利润占比指主营业务利润率母子公司财务标投资收益率精细化管理投资风险投资现金收益率上市公司内控体系建设实施方案与工作思路第10页交易所上市公司内控指引框架P对控股子公司的管理控制P关联交易内部控制p对外担保的内部控制p募集资金使用的内部控制风险对策P重大投资的内部控制风险评估控制活动P信息披露的内部控制事项识别交易所信息与沟p内部控制自我评价报告应与公内控框架通司度报告同时对外披露目标设定检查与监督内部环境P制定并执行公司内部控制自查制度和度内部控制自查计划P改内部控制缺陷和异常事项*立信锐思根据《上市公司内控指引》整理上市公司内控体系建设实施方案与工作思路第11页外部法规的核心要求u五部委《企业内部控制基本规范》第六条企业应当根据有关法律法规、本规范及其配套办法、制定本企业的内部控制制度并组织实施。第十四条企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。第四十六条企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。u《企业内部控制评价指引》第十一条内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。u《上市公司内控指引》第三条在本所上市的公司应当按照法律、行政法规、部门规章以及本所股票上市规则的规定建健全内部控33制制度，保证内控制度的完整性、合理性及实施的有效性，以提高公司经营的效果与效率，增强公司信息披露的可靠性，确保公司行为合法合规。第二十九条检查监督部门的工作资料，包括内部控制检查监督工作报告、工作底稿及相关资料，保存时间不于十年。第三十二条公司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。上市公司内控体系建设实施方案与工作思路第12页企业如何应对以上法律法规证监会、交易所、国资委及其他监管部门的多项法规的三项核心要求:1-企业知道它所面对的主要风险吗,企业应企业应对对::-例如:什么风险正在或者将会影响企业,识别识别风风险，制险，制作作风险风险数据库数据库2-企业是否已对这些风险进行了管理,-企业需要就各业务单位在日常运作中所面对的风险，构建内企业应企业应对对::部控制管理体系，以确保目标的实现完善完善内内控制度，控制度，编编制内控制内控手册手册-企业的内控管理体系是否能实现动态的自我更新,-企业要对其内部控制管理体系行监控和测试，以确保内控企业应企业应对对::开展开展内内控评价，控评价，完善完善评价评价底稿底稿管理的有效性上市公司内控体系建设实施方案与工作思路第13页内部控制管理的“三步走”战略基于信息化的内控管理通过业务流程信息系统实现对风风险预警指标梳理与考核险的自动控制通过梳理、设定、监控企业的风险通过信息系统实现对内控管理信发展阶段内部控制体系建设管理指标体系,来实现对风险的主息的自动收集、分析、处理、呈动管理,预先控制和考核激励报和利用建立内部控制的基本流程,尤其是基于财务报告的内部控制，包括财务、关联交易、投融资等核心流程工作思路必须科学合理，符合?建立合理的指标体系?配套的内部控制管理措施难点企业的管理风格和管理基础?建立指标信息的收集系统?管理人员的素质和内控管理?领导自上而下的推行和全体员?根据指标体系完善绩效考核与能力工的理解和参与激励?重大风险损失得到初步控制;?实现对风险的提早发现，全面?由人工控制提升为系统自动化收益?企业经营风格从机会导向转为分析，考核激励和预先控制控制，集中控制管理导向?极大提升管理的精细化程度，?内控管理信息的自动收集、分提高企业战的执行力析、处理、呈报和利用，节省目前大多数企业所处的阶段企业内控管理的精力上市公司内控体系建设实施方案与工作思路第14页上市公司内控体系建设实施方案与工作思路一、内部控制法规解读二、企业内部控制体系的建立:工作思路与实施方案我们对上市公司实施内部控制体系建设需求的理解项目整体解决方案三、关于我们上市公司内控体系建设实施方案与工作思路第15页我们对上市公司内部控制体系建设需求的理解为了全面应对风险管理和内部控制的相关法律法规，上市公司应该构建一个内部控制的整合框架体系，做到“两个融合”。n《企业内部控制基本规范》及配套指引n《全面风险管理指引》n《上市公司内控指引》上市公司n基于财务报告内部n内部控制体的内部控制与基控制系与全面风险于全面风险管理整合管理体系的整的内部控制体系框架合的整合上市公司内控体系建设实施方案与工作思路第16页内控建设的整合框架模型加强组织领导，建立内控组织管理架构加内控梳理和建企业各层级业务经营管理加强强信业务分析与流程梳理公司治理培息训化教建识别与评价关键控制点战管理育，设，提实升现完善内控的措施和体系企系业统业务与流程管理的化内控体系的实施推内的控控理制内控自我评估及改下属分支机构管控念上市公司内控体系建设实施方案与工作思路第17页内控整合框架的建设步骤第三阶段:评估改进第二阶段:体系建立?编制规范的内控评估底稿?对内控行自我评估?梳理完善各项业务的?编制和披露内控自我评估第一阶段:调研诊断管理制度和控制措施报告?编制针对风险的内控?对内控缺陷的改和完善?成立内控建设小组手册?聘请第三方行内控审计?对业务的深入调研?对制度和手册行辅?全面分析和诊断导实施的推?识别所有的主要风险上市公司内控体系建设实施方案与工作思路第18页调研诊断的工作思路上市公司内控体系建设实施方案与工作思路第19页体系建设的工作思路1内-企业知道它所面对的主要风险吗,风险风险数据库数据库部控2制-企业是否已对这些风险进行了管理,风险管理风险管理及及体内控内控手册手册系3文件-企业的内控管理体系是否能实现动态的自我控制控制措措施评价施评价表表评价和更新,上市公司内控体系建设实施方案与工作思路第20页评估改进的工作思路定期监动态内控管督评价步骤内部审计部门:-对包括内控管理职能部门在内的各内控管理部门:有关部门和业务单位能否按照有关规-对内控设计有效性行评估;定开展内控工作及其工作效果行监-提出调整或改建议，出具评价和建议报告。督评价。上市公司内控体系建设实施方案与工作思路第21页内控体系的成果:内部控制体系文件的整体架构部分主要内容XXX公司概述、目的、原则、依据、主要内总纲内部控制体系文件容介绍、领导相关要求确定内控管理职能部门、内审部门和法律事务部门以及其他有关职能定定义义、规、规划划内部内部控控制的制的整整个个体体系系内部控制组织结构部门、业务单位的组织领导机构及其职责及权责分配企业的内部控制文化的要素、每个内部控制文化理念要素的关注点及应对措施内部控制内部控制手册手册中与中与每每个循个循环对环对应的应的核心核心内内对企业的治理结构、人力资源政策容容内部环境、内部审计等方面行评估重要会计科目与流程含控制措施的流程图风险评估风险辨识、风险分析、风险评价、风险应对的方法及步骤风险数据库控制文档评价手册针对各业务循环的风险点行针对内部控控制活动性的控制措施，选择风险管理工具制基本，并提供综合解决方案的过程框架在各级在各级员工中员工中提提升升内内部部控制控制文化文化与理与理念念信息与沟通公司内外部的信息沟通和反舞弊机制的建立企业对整体内控管理工作持续监督监督、评价、改和跟踪的操作规范全方位的培训体系对企业各个层面的信息化的运用及其风内部控制的信息化险行评估上市公司内控体系建设实施方案与工作思路第22页各职能部门与项目组紧密合作u企业管理高层和各业务职能部门始终参与内控建设的全过程。u内控建设小组必须由内控管理专家组，形专业服务。公司业公司业务务部部门门和和高高管管内控建设小组访谈调研领导领导内控建内控建设设过过程程确定调研安排分析研究审审核核项项目结果目结果讨论项目思路编制成果参参与和与和协调调研协调调研安排汇报会议提供建议培训辅导上市公司内控体系建设实施方案与工作思路第23页项目的实施方法和参考准《中央企业基于财务报告的内部控制现场访谈与抽凭指引国资委2006业务管理流程图《企业内部控制基本规范及配套指引五部委2008年，2010参考应用标准工具不相容职责分析《上市公司内控指引交易所，2006风险评级分析框架公司现有的管理制度内部控制测评软件系统上市公司内控体系建设实施方案与工作思路第24页定期反馈与沟通u内控建设小组必须定期与公司管理层和各职能部门进行汇报沟通，以保证项目进度和总体方向的最优化。上市公司内控体系建设实施方案与工作思路第25页培训与持续监督u项目开展中，公司需要举办针对各层次人员的内控培训，提升相关部门和人员的内控意识和操作技能。在各业务现场行控制措施通过全方位的培训，提升各的操作指导层级员工的内控理念帮业务人员了解控制措施通过业务操作的培训让员工流程培训现场辅导的具体实施了解其在公司风险管理中的意义和作用对业务人员在内控实施中遇即交流互动在内控实施后对执行情况到的任何问题行实时解答跟踪回访行持续的跟踪与业务人员行内控的交流，在执行一定期限后对内控的发现内控设计中的不足执行行回访检查上市公司内控体系建设实施方案与工作思路第26页上市公司内控体系建设实施方案与工作思路一、内部控制法规解读二、企业内部控制体系的建立:工作思路与实施方案三、关于我们立信锐思简介部分风险管理体系建设案例分上市公司内控体系建设实施方案与工作思路第27页立信锐思简介立信锐思是一家业内领先的风险管理及内部控制领域专业咨询机构，由众多具有深厚理论功底的研究专家和丰富实务经验的咨询顾问组建而成;专注于为企业提供高质量的风险管理和内部控制解决方案，以应对中国企业迅猛增长的风险管理和内控服务需求;中国上海自成立以来，立信锐思已经为大型国有企业、上市公司、优秀民营企业等上百家国内知名公司提南京东路61号9楼200002供风险管理、内部控制咨询及专业培训服务;网址:.lx-rs邮箱:mail@lx-rs凭借领先的理念，负责的态度，高效的工作，专业的员工，开放的胸怀，严谨的作风，立信锐思电话:+86-21-3366-5117赢得了广大客户的认可。传真:+86-21-6321-4767上市公司内控体系建设实施方案与工作思路第28页立信锐思的优势问题的关键我们的应对注注重重风险与风险与效率效率在建立内部控制体系，完善风险防范过程中理顺组织结构，明确职责和流程，提高效，一些企业担心加强内部控制会影响业务开率;通过风险评估，加强高风险点的关键的的协协调调展、降低运营效率，导致推内部控制建设控制，去除不必要控制点;不是简单地采时有疑虑或抵触取约束，而是约束和激励手段并用;写一份大而全的企业内部控制制度也许并非让客户全面参与到项目过程中;不追求一强调可强调可操操作作性性难事，而如何将其有效推和执行才是真正步到位、大而全;流程化、表单化、智能的难题，很多企业的风险管理制度非常完美化，提供大量可操作的管理工具，强化内，却只是摆在桌上、挂在墙上审内控部门职能重视知重视知识识传递传递与与每个企业有自身独特的业务流程和企业文化在项目结束后会对客户企业行持续跟踪，企业管理人员对企业更为熟悉和了解，如和回访，对实施中遇到的各种问题行完持续改持续改进进果咨询方案与企业实务变成两张皮，则项目善;提升企业内控人员专业技能，既授之往往会失败以鱼，亦授之以渔考考虑虑反反舞弊舞弊及及本本一些企业或咨询公司，在行风险管理改在行企业内部控制设计时，结合本土环和内控建设时，或对舞弊风险重视不够，或境因素，充分考虑潜在的舞弊风险，通过土环境因土环境因素素对我国企业经营环境了解不足，或缺乏相应职责分离、完善流程、强化记录与核查等的专业经验，导致内控制度形同虚设控制手段来防范舞弊很多企业往往没有借信息系统行内部立信锐思有丰富的企业信息系统实施经验先先进进的信的信息息技术技术控制的针对化管理，使得内部控制建设难，拥有自主开发的内控软件，并能很好地以低成本而有效的实施协助客户建设相应的内控信息化系统上市公司内控体系建设实施方案与工作思路第29页部分内部控制体系建设案例分享(1)上海某大型国有集团内控体系建设服务服务时间20102月,20111月服务内容内部控制制度建设服务成果风险数据库、管理制度集团为资产近200亿的大型地方国有企业集团。项目组为集团下属的14家分支机构(包括一家上市公司)行了内控测评，对其所有项目概述业务的风险行了识别、分析和评价，给出了包括集团本部在内的15份内部控制测评报告。项目组为整个集团编制了统一的管理制度，上市公司内控体系建设实施方案与工作思路第30页部分风险管理体系建设案例分享(2)云南某集团公司的全面风险管理咨询服务时间20109月,20113月服务内容全面风险管理体系建设服务成果内部控制和全面风险管理手册集团为大型资源开采企业。项目组为集团及其下属的10家分支机构行了风险梳理，编制了风险数据库。项目概述对业务流程中的风险点和控制措施行全面的梳理和优化，提交了控制手册。对公司各层级员工行了全面的风险管理的理念培训。上市公司内控体系建设实施方案与工作思路第31页部分风险管理体系建设案例分享(3)浙江某上市公司内部控制建设咨询服务客户全称200812月,2011服务内容全面的内控建设核心业务循环的制度建设;全面风险管理建设;服务成果全面的内控理念培训;各项内控管理的持续推;公司是浙江地区的知名民营上市公司。项目组为公司的采购、销售、合同、预算、人事等11