全面内部控制建设

全面内部控制建设2013年10月1目录“三鹿奶粉事件”案例分析全面内部控制的涵义内控的几个关键因素内控评价工作的有效开展“六位一体”内控实例介绍几点体会2INDEX三鹿简介三鹿集团是一个有半个世纪历史,集奶牛饲养、乳品加工、科研开发为一体的大型企业集团,是中国食品工业百强、农业产业化国家重点龙头企业,连续6年入选中国企业500强;是国产奶粉的“龙头”,奶粉产销量已连续10余年全国第一,2007年国内市场占有率达到18.26%,比位居二三的其他品牌分别高出5.68%和9.43%。3INDEX案例回顾2007年底，三鹿已经先后接到农村偏远地区反映，称食用三鹿婴幼儿奶粉后，婴儿出现尿液中有颗粒现象。2008年6月中旬，又收到婴幼儿患肾结石去医院治疗的信息。7月24日将16个样品委托河北出入镜检验检疫技术中心进行检测，并在8月1日得到了令人胆寒的结果。2008年7月29日，三鹿集团向各地代理商发送《婴幼儿尿结晶和肾结石问题的解释》，要求各终端以天气过热、饮水过多、脂肪摄取过多、蛋白质过量等理由安抚消费者。4INDEX案例回顾对于经销商，三鹿集团也同样采取了糊弄的手法。从2008年7月10日到8月底的几轮回收过程中，三鹿集团从未向经销商公开产品质量问题。三鹿牌婴幼儿配方奶粉重大食品安全事故发生后，三鹿集团于2008年9月12日全面停产。2008年12月25日，河北省石家庄市政府举行新闻发布会，通报三鹿集团股份有限公司破产案处理情况。至此，经中国品牌资产评价中心评定，价值高达149.07亿元的三鹿品牌资产灰飞烟灭。5结合《企业内部基本规范》五要素，从内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面进行分析如下：内部环境：治理机构的制衡机制失效。组织结构盲目扩张。组织体系要求体系内容要求体系保障要求体系评价要求控制活动信息与沟通内部监督内部环境风险评估案例分析6结合《企业内部基本规范》五要素，从内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面进行分析如下：内部环境：“奶牛+农户”饲养管理模式在执行中存在重大风险。奶源建设要求低，原奶质量不过关。缺乏社会责任感。组织体系要求体系内容要求体系保障要求体系评价要求控制活动信息与沟通内部监督内部环境风险评估案例分析7结合《企业内部基本规范》五要素，从内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面进行分析如下：风险评估：高层管理人员醉心规模扩张，风险意识淡薄。食品安全风险重视不足。缺少应有的风险预警机制。

组织体系要求体系内容要求体系保障要求体系评价要求控制活动信息与沟通内部监督内部环境风险评估案例分析8结合《企业内部基本规范》五要素，从内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面进行分析如下：控制活动：日常控制不足。

组织体系要求体系内容要求体系保障要求体系评价要求控制活动信息与沟通内部监督内部环境风险评估案例分析9结合《企业内部基本规范》五要素，从内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面进行分析如下：信息与沟通：未及时、真诚的与消费者和媒体进行沟通。

组织体系要求体系内容要求体系保障要求体系评价要求控制活动信息与沟通内部监督内部环境风险评估内部监督：监管不力。

案例分析10目录“三鹿奶粉事件”案例分析全面内部控制的涵义内控的几个关键因素内控评价工作的有效开展“六位一体”内控实例介绍几点体会11什么是全面内部控制？全面全员全方位全过程12什么是全面内部控制？全面内部内部控制环境组织架构、发展战略、人力资源、社会责任、企业文化内部控制手段全面预算、合同管理、内部信息传递、信息系统内部控制活动资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告13什么是全面内部控制？全面内部控制控制1.什么是控制？管理学视控制过程为“确定标准+衡量业绩+纠正偏差”。核心是对个人行为的控制。全面内部控制强调管理控制。14基于业务实施控制实时监控嵌入式控制力集成化什么是全面内部控制？全面内部控制15什么是全面内部控制？全面内部控制——控制力越强越好吗？16目录“三鹿奶粉事件”案例分析全面内部控制的涵义内控的几个关键因素内控评价工作的有效开展“六位一体”内控实例介绍几点体会17以业务流程为纽带，将业务流程各节点与其他管理要素进行匹配和整合，将内控规范与业务运营融为一体，将内控规范与日常办公融为一体，并且贯穿于业务始终，让内控无时不在、无处不在，保证业务运作过程合法合规、高质高效、数据真实、风险可控。公司控制环境组织架构发展战略人力资源社会责任企业文化信息与沟通…IT信息系统操作系统/数据库/网络/应用系统…公司层面控制业务层面控制业务层面控制资金活动采购业务资产管理销售业务工程项目担保业务业务外包财务报告…基于业务本身实施内部控制18运用信息系统加强内部控制

合理运用信息技术加强控制，建立与经营管理相适应的信息系统，实现对业务的过程控制，最终形成“集成化+在线化+实时化”的内部控制格局。

IT系统应用控制业务流程中内嵌的信息系统相关控制，以保证信息处理的完整性，准确性，有效性和访问控制。应用系统控制的例子包括：授权审批职责分离系统编辑控制系统计算…IT信息系统操作系统/数据库/网络/应用系统…公司层面控制对控制活动的记录将包括以下关注点（5W1H）-被控制的风险是什么(what)？-是如何控制的（how)？-为什么要实施控制(why)？-谁来实施控制(who)？-什么时候实施控制(when)？-控制活动是通过什么系统完成的(whatsystem)？19内控建设分工要明确

内控建设总的思路应该是统一规划、归口管理、分头实施、共建共享。统一规划就是做好顶层设计；归口管理就是有一个综合部门统筹内控业务；分头实施就是本部各部门按照总体规划，承担分管业务的内控建设；共建共享就是达到共同建设、共同分享、共同应用的整体效果。内控归口管理部门的主要职责是建立标准，实行监管；业务部门应是内控建设的主导责任部门。只有这样，才能防止内部控制、风险管控与业务运营的“两张皮”。内控决不是游离业务之外而另搞一套体制、机制和制度。20目录“三鹿奶粉事件”案例分析全面内部控制的涵义内控的几个关键因素内控评价工作的有效开展“六位一体”内控实例介绍几点体会21“六位一体”概念基于“六位一体”全面内部控制，就是以业务流程为纽带，并使之与“岗位职责+业务风险+规章制度+规范标准+业绩指标”这些管理要素有机整合，靠信息化手段支撑，实现企业内控的集成化、在线化和实时化。概念设计理念主要做法主要特点22“六位一体”设计理念——解决在哪控的问题。实施“六位一体”全面内部控制是基于“业务业务流程业务流程节点”实施在线控制。概念设计理念主要做法主要特点23INDEX“六位一体”设计理念——解决控什么的问题。就业务流程节点嵌入管理五要素，即职责+风险+制度+标准+业绩。同时，强化控制力，弥补“上级监督太远、同级监督太软、下级监督太难、外部监督太短、司法监督太晚”的不足。概念设计理念主要做法主要特点24INDEX“六位一体”设计理念——解决怎么控的问题。采用“嵌入”方式，将内控规范像“楔子”一样嵌入到企业业务流程，强化日常运营监测，靠信息化手段达到在线控制和实时控制。概念设计理念主要做法主要特点25INDEX“六位一体”设计理念——解决控得怎么样的问题。通过全员业绩考核管理信息平台，强化绩效控制，把KRI+KPI指标纳入考核体系，让“怎么控”与“控得怎么样”形成闭环效应。概念设计理念主要做法主要特点26“六位一体”主要做法1.如何管流程。概念设计理念主要做法主要特点27“六位一体”主要做法2.如何管权责。概念设计理念主要做法主要特点28“六位一体”主要做法2.如何管权责。概念设计理念主要做法主要特点3、决策流程地图决策授权的方法29“六位一体”主要做法3.如何管风险。概念设计理念主要做法主要特点30“六位一体”主要做法4.如何管制度。概念设计理念主要做法主要特点31“六位一体”主要做法5.如何管标准。概念设计理念主要做法主要特点32“六位一体”主要做法6.如何管业绩。概念设计理念主要做法主要特点33信息化支撑靠信息化把“六位一体”各要素管起来。针对“流程+权责+风险+制度+标准+业绩”，分别设计了信息支撑系统，实现全过程在线管理。概念设计理念主要做法主要特点34信息化支撑靠信息化让“六位一体”管理要素与业务运营融为一体。概念设计理念主要做法主要特点35信息化支撑大唐国际办公平台的定位概念设计理念主要做法主要特点36信息化支撑大唐国际办公平台设计理念概念设计理念主要做法主要特点实现三个融合满足三项需求体现三化效应12字典型设计37信息化支撑大唐国际办公平台建设目标（八大需求）概念设计理念主要做法主要特点主要包括统一待办＋单点登录＋定时派发＋远程办公办公需求主要包括指标检测+任务监测+流程监测+风险监测+市场监测+股市监测以及政策资讯监控需求主要包括数据中心（来自经营决策支持系统）、信息专报信息需求主要包括事项征询、部门联络单和便笺传输沟通需求38信息化支撑大唐国际办公平台建设目标（八大需求续）概念设计理念主要做法主要特点主要包括“六位一体”提示模块、重要业务流程节点控制、痕迹化管理及系统授权功能的实现执行需求通过用户中心建设，规范用户统一管理，提高信息系统安全等级安全需求增强办公平台的交互功能，实现点对点报送，减少因材料报送带来的不必要的负荷减负需求主要包括通讯录、个人日程管理、天气预报、意见反馈、常用链接等功能辅助需求39“六位一体”主要特点——体现集成思想。按照集成思想完成顶层设计，实现管理要素的整合。一是基于业务的“六位一体”化控制，整合了企业管理资源，让“怎么干”与“干得怎么样”更加清晰化。二是基于“数据流+业务流”两条服务总线的信息系统整体设计，一方面实现了各管理信息系统的数据共享、流程贯通和操作友好；一方面实现了单点登录、统一授权、统一待办。三是把内控规范浓缩到办公平台上去使用，使内控与日常业务运营融为一体，让内控无处不在、无时不在。概念设计理念主要做法主要特点40“六位一体”主要特点——体现在线思想。在线就是实时，就是消灭文本化。一是让流程跑起来，实现流程表单化、表单信息化；二是让制度从纸面上走下来，实现制度e化；三是内控监测实现实时化，办公平台中时刻汇集各类风险监控情况；四是“五个报告”（业务操作说明书+员工业绩清单+制度评析报告+内控评价报告+风险评估报告）依赖信息化手段实现半自动生成。概念设计理念主要做法主要特点41“六位一体”主要特点——体现闭环思想。主要形成内控持续优化的运营体系。一是打破部门壁垒，让流程实现端到端贯通，业务输入与业务输出形成闭环控制；二是“六位一体”设计，让基于每项业务的“六个环节”（怎么做+谁来做+遵循什么制度+依照什么标准+规避什么风险+好坏如何评价）可视化，形成业务全过程控制；三是内控体系自身的建设、评价与审计形成相互制衡。概念设计理念主要做法主要特点42“六位一体”主要特点——体现体内监控思想。以强化控制力为方向，采取嵌入的方式，靠信息化手段，变软监督为硬监督，体现内控的刚性。同时，通过流程实时监控+风险实时监控+指标实时监控+任务实时监控+市场实时监控等企业管理预报系统，帮助领导每天掌握关键流程的运转情况，变体外监督为体内监控，弥补目前内部监督手段的不足。概念设计理念主要做法主要特点43目录“三鹿奶粉事件”案例分析全面内部控制的涵义内控的几个关键因素内控评价工作的有效开展“六位一体”内控实例介绍几点体会44内部控制的监督监督主体监督手段政府、外部审计师等公司内部控制监督各业务系统日常监督内控审计监管检查内控评价内部审计督查督办效能监察法律监督…按内部控制制度自我监督内部控制的监督分为外部监督、内部监督、持续监督。外部监督内部监督持续监督45财政部、审计署、保监会、银监会和证监会五部委联合下发了《企业内部控制基本规范》，要求上市公司建立内部控制，对本公司内部控制的有效性进行自我评价，披露年度自我评价报告。作为上市公司，还面临外部审计。外部审计师出具内控审计报告，并对外披露。企业内部控制基本规范企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引2008年6月28日财政部等五部委联合发布三项配套指引2011年1月1日起在境内外同时上市的公司施行2012年1月1日起在上交所、深交所主板上市公司施行“全面系统的”梳理与建立“实质的”评价程序与文件“严格的”审计师意见如何满足监管机构的要求，保证全面合规，无偏差？内控评价的依据--《内部控制基本规范》提出了明确、“硬性”的外部要求46公司应当根据国家有关法律法规和监管规则的要求，结合实际情况，围绕公司战略、经营管理的效率和效果、财务报告、资产安全、合规等目标，对公司内部控制系统设计和运行的有效性进行定期或不定期的调查、测试、分析、评价、改进，合理保证公司目标的实现。公司内部制度《大唐国际内部控制评价管理办法》（试行）《大唐国际内部控制评价手册》制度与手册配套使用2013年，公司发布《大唐国际内部控制评价管理办法》（试行）、《大唐国际内部控制缺陷认定标准》，并制定《大唐国际内部控制评价手册》明确内控评价的管理组织及职责、内控评价内容、评价程序、内控评价缺陷、内控评价报告及评价的监督与考核详细规定内控评价程序及方法内控评价的依据--公司制定《大唐国际内部控制评价管理办法》（试行）及《大唐国际内部控制评价手册》《大唐国际内部控制缺陷认定标准》以控制目标为出发点，按照不同的维度，从定性和定量两个方面对缺陷进行认定，将缺陷分为重大、重要和一般缺陷47内控评价的目的48内控评价的方式和程序根据评价项目的要求，选派合适的人员组成内控评价组，并确定评价组组长、评价组副组长。评价组根据项目需要另行进行专业小组的划分，每个专业小组确定1名组长。召开启动会现场评和调研召开座谈式研讨会1.方法。首先，采取个别访谈的方法了解公司内部控制设计及重要业务领域的制度发布情况。然后，根据访谈结果，采取抽样测试、实地查验的方法进行验证、分析，检查流程各环节涉及的控制文档，确认制度落实情况，并验证内部控制执行的有效性。2.评价组召开内部总结会，进行问题总结。与被评价企业领导班子召开座谈式研讨会。包括：1.沟通交流发现的问题。2.内控理念的宣贯。3.内控相关知识的培训。内部控制评价方式分为独立评价和自评价。独立评价工作由上级企业组织实施。自评价工作由各所属企业内控归口管理部门负责组织实施。独立评价的程序如下：出具内控评价通报组建评价调研组1.起草内控评价通报，编写内控评价与内控建设情况调研报告及缺陷汇总表。2.开展报告研讨。3.正式印发。介绍评价依据、评价目的、评价范围、评价方法及评价期间的时间和人员安排等内容。49内控评价的结果公司以《大唐国际内控评价通报》对公司本部、所属各企业内部控制情况进行通报。由于内部控制评价旨在为被评价企业服务，合理保证被评价企业经营管理合法合规、高效高质、数据真实完整。因此，该通报直接送到被评价企业。附件一：关于xx公司2013年内控评价与内控建设情况调研报告附件二：xx公司内控建议与运行缺陷汇总表50大唐国际内控评价的特点——按照“六位一体”内部控制建设思路，从业务出发，重点关注业务流程是否优化，权责体系是否清晰，制度执行是否到位，规范标准是否健全，业务风险是否在控，业绩考核是否有力。51大唐国际内控评价的特点——结合管理提升开展内控评价。通过内控评价，为管理提升提供合理的诊断工具。内控评价不仅关注不合规的问题，同时将内控控制的合理性作为查找待改进事项的线索，将控制的效果和效率作为需要完善事项的依据。结合“六位一体”，从制度、流程与职责的协调和匹配中，找需要改进的环节；从缺少量化规范标准中，找需要提升的环节。52大唐国际内控评价的特点——开展内控评价的同时，积极宣贯内控理念。现场内控评价结束后，开展座谈时培训会，与企业领导班子进行交流，沟通评价过程中发现的问题，同时宣传大唐国际内控建设的思路，并结合企业自身特点，选取重要业务开展相应的内控知识培训，提升中层及以上领