内控建设与管理提升：制度化、流程化、信息化

内控建设与管理提升：制度化、流程化、信息化普信GPRC内控方法论汪健豪2013.04.21Page2主讲人介绍：汪健豪北京普信管理咨询有限公司董事长首席管理专家国家注册高级风险管理师、高级工程师财政部“企业内部控制标准委员会”咨询专家财政部“会计信息化委员会”咨询专家证监会《上市公司内控体系建设工作指南》专家组成员《国家注册风险管理师考试大纲》编委会编委及《内部控制》教程作者银监会培训中心“商业银行合规风险管理与内控”课程特聘教师山东大学经济学院金融学硕士生导师《银行家》杂志社编委兼上海首席代表企业内部控制基本规范Page3Page3以下文件，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成内控的多视角困惑：横看成岭侧成峰Page4Page5普信PROOF内控评价模型示意图企业风险管理显现的有三个视角：目标，组织架构，风险管理。还有一个隐含的视角：流程。所以企业风险管理与内部控制是四元结构：目标，组织，流程，风险。风险可以从四个维度的任意一个维度而涉及到其他方面。Page5Page6Page6Process-流程对流程的评价应重点关注：流程识别的充分性流程的成熟度-5级（以COBIT来指导IT化的流程评级）流程的合规性流程与目标的适宜性Risk–风险对风险的评价应重点关注发现和解决问题的能力，包括内控环境（风险政策、风险偏好、风险容忍度等等）风险识别与评估风险应对与控制信息与沟通监督与控制Objectives-目标目标设定程序的科学性、合理性，有效性，是否符合SMART原则目标体系应包括以下两方面内容，并在各职能层级和机构分解、管理：1）战略目标、运营目标、资产目标（KPI’s）2）报告目标、合规目标（KRI’s）Organization-组织对组织架构与运营模式的评价应关注适宜性制衡性组织结构的效率资源配置的合理性Financial-财务基于财务报告KPI/KRI及KPA/KRA的“财务报告内部控制规范体系”普信内部控制评价PROOF模型释义管理活动规范化：企业内部控制十八个应用指引Page7Page7政策解读Page8关于加快构建中央企业内部控制体系
有关事项的通知
关于加快构建中央企业内部控制体系
有关事项的通知
2012年5月7日，国资委、财政部联合发布《关于加快构建中央企业内部控制体系有关事项的通知》（国资发评价〔2012〕68号），其中明确要求“各中央企业要力争用两年时间，按照《企业内部控制基本规范》和配套指引的要求，建立规范、完善的内部控制体系”。并且在第三条第五点中提到“推进内部控制体系建设同信息化建设的融合对接”。Page9管理制度化、制度流程化、流程信息化

…

…

各中央企业要按照管理制度化、制度流程化、流程信息化的要求，立足企业实际，倡导全员参与，注重控制实效，防止流于形式，抓好内部控制建设的基础工作和关键环节。一是建立规范的公司治理结构和议事规则。二是以价值管理为主线，以风险管理为导向，全面梳理各类各项业务流程，实施业务流程再造，编制内部控制管理手册，促进业务处理规范化和标准化。三是加强重点流程与特殊业务的内部控制。四是结合内部控制目标，梳理完善管理制度体系，防止出现制度和流程缺陷。五是推进内部控制体系建设同信息化建设的融合对接，将业务流程和控制措施逐步固化到信息系统，实现在线运行。


…

…

《关于加快构建中央企业内部控制体系有关事项的通知》

（国资发评价〔2012〕68号）普信内控方法论的基本思路Page10通过配套的管理咨询实现管理制度化：对企业内控基本信息现状进行清理，管理制度对标，识别评估风险、建立控制措施、确认设计缺陷，同时设计企业全新的内控制度框架，编制各类内控制度，形成内控手册，实现企业管理的制度化。通过管理平台实现制度流程化：应用普信GPRC内部控制评价与管理平台，打通企业各个管理职能，整合各类管理要求，通过“一图两表”工具进行整合，促进企业制度的流程化提升。通过管理平台实现流程信息化：通过普信管理平台的工作流配置功能，最终实现从流程化到信息化的转变，帮助企业建立完善的内部控制和风险管理体系。普信方法论解读（一）Page11普信“内控评价与管理系统”内置完善的制度管理流程，通过具有自主知识产权的“一图两表编辑器”将制度进行流程化，并且具备通过流程自动生成制度，和将流程转变为实际工作流实现流程信息化的功能。普信“内控评价与管理系统”通过梳理各类业务和管理流程，建立内部控制和风险管理“一图两表”，进行以流程为基础的与环节相关的风险识别评估，明确风险等级、风险清单、控制节点及控制要求，并以此为基础实施业务流程再造，最终自动生成内部控制管理手册。（参见下页案例）附：“一图两表”及风险点标识Page12“一图两表”即：“配置流程图”、“流程分析表”和“风险自我评估表”的简称，是由北京普信管理咨询有限公司在大量管理咨询研究和实务经验基础上研究和总结的具有独创性的应用技术。通过普信“内控评价与管理系统”，能够实现流程图在线绘制、风险识别评估控制及相关风险点标识的一眼清。配置流程图流程分析表风险自我评估表Page13Page13基于流程风险管理的“一图二表”普信方法论解读（二）Page14普信“内控评价与管理系统”具有强大的工作流引擎，能够通过参数配置，快速将嵌入制度和控制措施的流程图转变为能够进行数据流转的业务工作流，实现在线运行。（参见下页案例）附：工作流案例Page15

2011年，普信利用“一图两表编辑器”及工作流配置功能为交通银行河南省分行定制了4个部门共计14个管理工作流，包括：证照管理、规章制度管理、授权管理、投诉管理、考核管理、贷款规模管理、产品定价审批管理、会议管理、机构管理、印章管理、人员调配管理、综合目标考核管理、人力资源规划管理等。普信方法论解读（三）Page16通过普信“内控评价与管理系统”工作流引擎，能够将风险信息沟通及报告流程转变为报告工作流，实现风险信息报告的IT化。普信“内控评价与管理系统”具有“在线测试”功能，能够利用题库自动生成测试考卷，实现分发、测试、判卷、评分和统计的全IT化过程。“日常和专项监督检查”是普信“内控评价与管理系统”的核心功能之一，通过全IT化的检查过程实施和问题报告功能，实现从监督检查、事件处理、跟踪整改到管理改进的完整管理闭环。普信“内控评价与管理系统”的“内控设计评价”功能，能够通过穿行测试等方法，发现并认定制度缺失或流程缺陷，并通过缺陷整改，不断完善内部控制的制度体系。普信方法论解读（四）Page17普信结合五部委《内部控制基本规范》及18个应用指引的要求，建立了一整套“内控示范流程”，各企业均能够以此作为相关业务的评价体系和内部控制缺陷认定标准。同上页，普信“内控评价与管理系统”的“内控设计评价”和“内控运营评价”功能，能够通过穿行测试、控制测试等方法，发现并认定内部制度的设计缺失和运行缺陷，并通过缺陷整改、跟踪落实等控制手段，实现内控的闭环管理，促进管理水平的不断提高。普信“内控评价与管理系统”具有“内控绩效管理”功能，能够将体系建立、运行、评价过程中发现的问题通过积分等绩效考核手段进行管理并自动生成多维度的统计报告，能够以此作为履职评价或绩效考核的重要依据。Page18数字化内控评价与管理系统管理要求管控平台：管理要求一眼清管理事务工作平台：管理工作一眼清辅助决策监测平台：管理报表一眼清流程提升应用平台GPRC管理G管理治理P流程管理R风险管理C合规管理普信方法论：数字化GPRC内控评价与管理系统的建立普信GPRC内控评价与管理系统功能架构Page19日常专项监测内控缺陷管理风险识别评估业务流程梳理内部制度管理内控规范要求内控基础信息内控设计评价内控运营评价内控评价报告内控体系建设和运维内控体系评价和改进普信GPRC内控评价与管理系统实施流程Page20项目启动系统功能配置基础数据导入一图两表工具制度对标工具穿行测试工具内控基础信息清理管理对象分析制度流程化制度对标设计评价报告控制测试工具运行评价报告内控评价报告内控手册标准化实施工具标准化实施过程普信GPRC内控评价与管理系统核心方法Page21一图两表

一图两表是指流程图、流程分析表和风险识别评估表。这是一种基于流程的整合落地工具，通过流程将岗责、绩效指标、控制要求、风险等等要素关联起来，实现管理要素数字化整合。普信GPRC系统核心方法Page22普信PUSH矩阵在进行对标分析过程中，普信提供PUSH矩阵对象分析法，将某个职能、某个模块进行对象分解，按照不同的对象进行对标。流程维度对象维度内控体系运营Page23基础信息管理对象分类流程文件清单组织机构/权限外部法律法规内部规章制度目标/