内控成果编制方法介绍

内控成果编制方法介绍2013年4月1目录内部控制体系概览内部控制成果具体编写说明2内部控制体系概览3根据青岛港的控制环境类流程、控制手段类流程、控制活动类流程以及10家试点分、子公司的核心业务流程，目前内控体系中将青岛港集团的业务共划分为24个一级流程。其中除生产经营管理、生产管理（核心业务流程）外，其他二十二个流程为通用性业务流程。青岛港内控体系整体架构——流程划分4青岛港内控体系文件介绍内控体系文件是指对业务操作流程的控制要求描述：要清晰的表达每一个动作的操作要求基于内控的体系文件是基于风险和控制要求的操作性描述：重点要突出控制措施对风险的管理作用风险清单流程图内控手册好的内控体系文件应该包括以下内容根据各业务流程的控制目标，影响目标实现存在的风险，梳理并完善风险管理控制措施，通过控制措施的详细表述明确各操作环节的规范要求企业业务操作程序的图化呈现，指导各岗位人员进行具体的业务操作对各业务流程存在的固有风险的全面识别，对各风险事件的属性的说明、企业风险管理策略的选择成果矩阵5成果示例——风险清单识别风险的各项要素：公司哪些流程存在风险？存在哪些风险？风险的严重程度如何？风险的责任部门和责任岗位？目的是全面识别和分析各项风险，并落实每项风险的防控责任落实到人。6成果示例——流程图流程图的主要作用：建立对业务流程和控制活动全局观的保证提纲挈领的记录文件梳理目前业务流程的基础工具7成果示例——成果矩阵成果矩阵的主要作用：针对每项具体风险提出针对性的控制措施；将各项风险控制措施与目前企业的管理制度进行对标，根据风险控制文档的内容对制度中涉及风险防控的内容进行更新。8现阶段各单位内控成果编制要求集团内部控制体系正式文件包括：内控手册、风险清单。集团内部控制体系过程文件包括：流程图、成果矩阵。

其中内控手册中的流程图即为过程文件的流程图，二者对应一致；内控手册中的控制矩阵即为成果矩阵中的内容，二者对应一致。各单位本阶段内控体系文件编制要求：本阶段完成风险清单、流程图和成果矩阵的编制工作

其中，风险清单需各单位参考集团对应流程的风险进行重新识别；流程图可在纸张上手画完成，为非正式文件；成果矩阵通过与集团相应业务流程对标并经过适当增减完成。流程划分中P09、P10为生产经营管理、生产管理流程，为各单位核心业务流程，需各单位自行编制，对应的试点单位的该业务流程仅供参考。其他22个业务流程可与集团进行对标。9内部控制成果具体编写说明10内控体系确定—业务流程划分根据集团业务流程划分进行对标确定本单位业务流程划分确定各业务流程内控成果编制的部门/岗位业务事项相同？——参考集团该部分业务流程划分业务事项存在差异？——根据集团业务流程划分进行调整本单位特有业务？——根据本单位实际情况进行本单位流程划分形成本单位内部控制体系框架明确内控体系文件编制工作的职责分工11内控成果了解1、通览本业务流程的流程概览（内控手册word文档），了解该业务流程的流程框架；2、通览本业务流程的流程图（流程图pdf文件），了解该业务流程业务操作模式、操作程序；3、通读该业务流程的成果矩阵（excel文件），了解集团操作程序和在该业务流程对下属各单位的管控要求。12内控成果概述风险与流程匹配后，对流程进行梳理为满足以上要求，需做以下准备流程图及流程描述成果矩阵（EXCEL）流程中各业务事项是如何发生、授权、执行、记录与监督的信息传递的渠道、范围针对各业务流程风险：企业现有控制措施有哪些（制度规范要求、流程描述）企业目前尚未明确或缺失的控制措施13内控成果编制步骤步骤一：编制“流程图”

根据流程内容、企业操作程序绘制流程图。步骤二：准备“流程描述”

明确流程图中的各个控制环节具体执行的步骤步骤三：核对“流程图”/“流程描述”，改进记录文件。步骤四：编制“成果矩阵”

对标集团成果矩阵内容

对标内容与流程图核对，补充完善控制措施

风险流程中可能发生的错误数据输入可能发生遗漏交易未受到相应级别管理层的授权审批

数据输入可能在未经授权的情况下被更改14内控成果编制步骤流程图梳理业务操作程序，明确操作部门/岗位确认改流程各环节操作涉及的表单文档刻画流程图1、流程图名称2、企业名称3、流程图编号4、流程图内容成果矩阵记录流程描述中能与该流程识别出的风险对应的、起到风险管控作用的描述增加制度中对该业务的其他管理要求补充完善缺失/未完善的控制措施1、流程名称2、控制目标3、该流程识别出的风险4、风险对应的控制措施5、控制措施执行的责任部门/岗位6、对应制度、涉及表单流程图与成果矩阵形成相互印证的文件15流程图刻画—业务流程梳理在熟悉集团业务流程的操作模式和要求后，根据本单位实际操作程序，编制刻画本单位业务流程图（可依据集团流程图格式在纸张上画本单位流程图。流程图刻画要求：操作顺序：从左到右，从上到下。由各业务事项的牵头部门开始，涉及到的部门/单位从左到右依次排列。明确流程中每个环节的操作岗位。流程各操作环节涉及表单文档明确。通过梳理刻画流程图，明确不同单位/部门在流程中的职责分工、权责分配，对业务操作模式予以固化。16流程描述——三级节点确定根据集团内控体系框架制定业务一级流程与集团二级流程进行对标，明确本单位二级流程划分根据本单位业务管理模式，确定该二级流程的各操作环节，即三级节点（集团内控手册中的流程概览的三级节点可参考）三级节点细化，形成各操作步骤，对操作步骤进行详细描述第一层第二层第三层第四层示例内控体系建设阶段各业务流程梳理阶段17成果矩阵—定义成果矩阵就是将流程中所涉及的风险和对应的内部控制措施进行汇总，对缺失的控制环节予以补充完善，最终形成企业健全完整的控制程序的一种矩阵表格。18成果矩阵—对标成果矩阵对标内容19成果矩阵—对标控制措施对标要求：集团原则性的要求，可依照集团要求填写集团操作性的要求，根据本单位流程图中的操作程序填写编制操作内容与集团进行对接的，写到与集团对接部门即可20成果矩阵—对标控制措施对标要求：与集团所有控制措施进行对标，完成本单位成果矩阵的控制措施描述。集团矩阵中可与本单位进行对标的，则进行对标修改；集团矩阵中的控制措施不适用本单位的，则注明不适用。21成果矩阵—对标控制措施对标要求：与集团所有控制措施对标完成后，拿对标的控制措施与本单位流程图进行核对。流程图中有，但对标矩阵缺失的，则在excel表中插入行，对缺失的控制措施予以补充完善。插入行：对比本单位刻画的流程图，增加的控制措施22成果矩阵对标责任部门/岗位对标要求：每条控制措施需明确控制措施的责任部门、责任岗位，牵涉到多个部门、岗位的，全部填写上，依照部门、岗位的重要性程度依次列示。明确控制措施的责任部门明确控制措施的责任岗位23成果矩阵对标控制活动发生频率：每日多次（一年发生次数大于365次）每天（一年发生次数大于52次，小于等于365次）每周（一年发生次数大于12次，小于等于52次）每月（一年发生次数大于4次，小于等于12次）每季度（一年发生次数大于2次，小于等于4次）每年（一年发生次数为1次）发生时（一年发生次数不确定，平均少于1次）控制频率、控制活动性质对标要求：控制频率：控制措施每年平均发生的频率，根据本单位实际情况进行认定控制活动性质：手工控制/信息系统自动化控制；事前预防性控制/事后检查性控制。24成果矩阵—对标成果矩阵编制要求：对应制度即控制措施要求是否在公司制度规范文件中有相应要求，如有，填上制度名称；涉及文档即该条控制措施操作时留下的操作痕迹（表单），可以是书面的也可以是电子版的，也可以是信息系统某个操作界面。空缺时，需对制度进行补充完善明确表单名称25成果矩阵—控制措施写作方法写作要素：26成果矩阵—控制措施写作方法写作要素：五个要点（4W1H）谁？（who）——控制措施的执行者什么时候？（when）——控制措施的执行时间做什么？（what）——控制措施产生的结果怎么做？（how）——控制措施过程的具体描述为什么？（why）——控制措施的具体目标和作用“事无巨细”用简单句用统一的语言名称和称谓27成果矩阵—控制措施写作方法28成果矩阵—控制措施写作方法29成果矩阵—编号规则1、控制目标编号：如资产管理中的一个控制目标编号CO13.01-02：其中CO表示控制目标，13表示资产管理的一级流程编号，01表示集团总部代码，02表示该目标为本流程第二个目标。集团内控体系控制目标已梳理完毕，各单位仅需修改控制目标编号的公司代码部分。如某单位的公司代码为16，则对标时，即可修改为CO13.16-022、对应风险事件编号：如资产管理中的一个风险事件编号R13.01.01-07：其中R表示风险，13表示资产管理的一级流程编号，01表示集团总部代码，第二个01表示资产管理流程中的第一个二级流程，07表示该流程的第7个风险事件。每个业务流程风险事件识别完毕后，对风险事件末尾部分进行流水编号，并修改风险事件编号的公司代码部分。如某单位的公司代码为16，则对标时，即可修改为R13.16.01-073、控制措施编号：如资产管理中的一个控制措施编号CA13.01.01-07：其中CA表示控制措施，13表示资产管理的一级流程编号，01表示集团总部代码，第二个01表示资产管理流程中的第一个二级流程，07表示该流程的第7个控制措施。在每一个二级业务流程，从第一条到最后一条控制措施，编号前半部分相同，最后一部分流水号编制。30RISK风险目标企业经营

风险，指未来的不确定性对企业实现其经营目标的影响。

--国资委《中央企业全面风险管理指引》其中，目标可以有不同的方面，例如：财务、健康和安全、以及环境目标。目标同时可以适用于不同的层面，例如：战略、整个组织、项目、产品和过程。

影响是企业日常经营过程中因不确定性因素导致实际后果与预期结果的偏离（积极和/或消极）风险清单-风险定义31风险清单-风险评估主体由企业(内部控制建设牵头部门)组织有关职能部门和业务单位实施公司级层面，高级管理层应该参与评估活动。部门级层面，部门管理层和关键流程责任人应该参加评估活动。在有些情况下，对独特的业务风险有独特了解的人应该参与评估工作。在其他情况下，董事会可能也需要参与。风险评估一定要全员参与32风险清单-风险管理逻辑33风险清单-风险辨识风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。风险辨识的思路：本部门涉及到哪些重要流程？这些流程有哪些关键目标？影响这些关键目标实现的因素有哪些？34风险清单-风险辨识示例合法性合规性合理性真实性完整性有效性效率性准确性及时性保密性重大物资采购的供应商选择是否按国家招投标法进行……重大采购流程是否信息公开，纪检监察参与……采购物资的申请是否合理，该物资是否需要，是否有库存……供应商的报价材料是否真实准确，有依据支撑……采购验收的操作是否完善，验收的方面是否齐全……采购后该物资的使用效果如何……采购的成本是否合算……采购入账金额是否准确……供应商送货是否及时……特殊物资采购是否做到了保密……35风险清单-风险分析判断风险产生的：-原因-后果-触发条件示例：未对人力资源规划的执行情况进行定期评估，难以持续了解人力资源相关工作，可能导致难以根据实际情况进行恰当调整，影响战略目标的实现及日常运营。触发条件原因后果36风险清单-风险频率与损失的认定分值频率定义5很高每天发生4高每周发生一次3一般每月发生一次2低每年发生一次1很低几乎不发生，只在特定时期发生分值后果法规运营/体系经济（损失）声誉安全环境5灾难性被起诉重大影响（如设施永久损害，造成生产线废弃）300万元以上负面消息流传世界各地，政府或监管机构进行调查，引起公众关注，对企业声誉造成无法弥补的损害引起多位职工或公民死亡对周围环境造成永久污染或无法弥补的破坏4重大被起诉严重影响(如生产长时间关停)30万元至300万元之间负面消息在全国各地流传，对企业声誉造成重大损害导致一位职工或公民死亡对周围环境造成严重污染或者需高额恢复成本3重要被公开警告，罚款中度影响(如生产故障造成停产)3万元至30万元负面消息在某区域流传，对企业声誉造成中等损害长期影响多位职工或公民健康环境污染和破坏在可控范围内，没有造成永久的环境影响2中等被公开警告，不罚款一般影响（生产线暂时无法生产）3千元至3万元负面消息在当地局部流传，对企业声誉造成轻微损害长期影响一位职工或公民健康无污染，没有产生永久的环境影响1轻微被政府机关构质疑/调查轻度影响（影响货物交付）少于3千元负面消息在企业内部流传，企业声誉没有受损短暂影响职工或公民的