公司内控体系建设项目案例.ppt

公司内控体系建设项目案例,管理咨询有限公司,项目背景及客户需求 工作思路、与方法,目录,简介,公司员工将近500人，其中总部60余人，子公司200余人,2013年实现营业收入7亿余元,项目系统集成； 核心装备制造； 项目的投资建设； 工程实施及运营管理,人员规模,产品结构,销售收入,十二五的核心工作与目标,的内控要求,国资发评价201268号文关于央企加强构建内控体系的通知 关于转发国资委、财政部的通知,2013年,2018年,2015年,战略规划目标要求,2014年工作任务,流程梳理,风险事件库,内控手册,国资委及总部要求,五年发展规划的战略部署,竞争者 敏感性 股东关系 资金充足性 金融市场,灾难性损失 独立政治 法律 行政管理 行业,环境风险,信息技术风险 使用权 完整性 相关性 可得到性 基础设施,财务风险 货币 利率 流动性 结算 再投资 信用 双边关系 现金转移或流速改变,廉政风险 管理欺诈 雇员欺诈 非法行为 无授权使用商誉,治理与管控风险 领导力 权力 限制 表现激励 沟通 公司治理,营运风险 客户满意 人力资源 产品开发 效率 能力 表现差异 循环时间 资源 商品定价 过失或损失 符合性 业务中断 健康和安全 环境 产品或服务失败 商标或产品名侵蚀,营运 价格 合同投入衡量 结盟 完整性和精确性 管理报告,决策信息风险,财务 预算和计划 完整性和精确性 会计信息 财务报告评价 税收 养老基金 投资评估 管理报告,战略 环境检视 业务组合 价值衡量 组织结构 资源分配 计划 生命周期,企业需要按照以下的“企业风险模型”设计企业内部管理及风险控制体系来全面减少企业的经营风险,企业风险模型告知我们，企业经营过程中始终存在多重风险,中国内部控制相关法规的发展历程,97,98,99,00,01,02,03,04,05,07,08,09,10,6月5日，上海证券交易所出台上海证券交易所上市公司内部控制指引 6月6日，国务院国有资产监督管理委员会“关于印发中央企业全面风险管理指引的通知” 9月28日，深圳证券交易所出台关于发布上市公司内部控制指引的通知,3月3日，财政部发布关于印企业内部控制规范基本规范和17项具体规范（征求意见稿）的通知,2008年6月28日，财政部、证监会、审计署、银监会、保监会联合召开企业内部控制基本规范发布会发布了企业内部控制基本规范以及配套规范的征求意见稿，2009年7月1日起实施 2009年1月，陆续发布了企业内部控制应用指引的数个更新稿,6月5日，中共中央办公厅、国务院办公厅印发了关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见 4月26日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制配套指引。该配套指引包括18项企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引，标志着我国企业内部控制规范体系基本建成,06,11,12,5月7日，国资委、财政部发布关于加快构建中央企业内部控制体系有关事项的通知，要求各中央企业应当自2013年起，于每年5月31日前向国资委报送内部控制评价报告，同时抄送派驻本企业监事会。,中国内部控制与内控法规概览,财政部等五部委出台的企业内部控制基本规范，为企业提供了完整和公认的内部控制框架，同时以法规的形式要求上市公司对本公司内部控制的有效性进行自我评价。,国资委出台的指引强调对风险的识别、分析、评估、防控和监督，为企业防控风险，建立控制体系提供指引。,应用指引具体提出18个具体流程的应用指引。在每个具体流程中规定了该指引的目的，相关定义，该流程的主要风险，岗位分工及授权批准，及主要流程的控制程序。 评价指引具体规范了内控评价的内容和标准，评价的程序和方法，内控缺陷的认定，以及规定了评价报告的相关内容。 审计指引指导注册会计师执行内控审计业务。,证交所出台了一系列的内部控制指引，为上市公司建立和实施内部控制制度提供指引。,财政部等五部委,企业内部控制基本规范,企业内部控制应用指引,企业内部控制评价指引,企业内部控制审计指引,国资委,中央企业全面风险管理指引,证券交易所 行业监管机构,上市公司内控指引 上交所内控指引 深交所内控指引,行业内控指引 商业银行内控指引 证券公司内控指引 保险公司内部控制基本准则,我们对上市公司内部控制体系建设需求的理解,为了全面应对风险管理和内部控制的相关法律法规，上市公司应该构建一个内部控制的整合框架体系，做到“两个融合”。,项目背景及客户需求 工作思路、与方法,目录,内控体系基本思路、原则和目标,全面性原则：覆盖各种业务和事项 重要性原则 ：关注重要业务事项和高风险领域 制衡性原则 ：相互制约、相互监督，并兼顾运营效率 适应性原则 ：与企业相适应，并随情况的变化及时加以调整 成本效益原则 ：权衡实施成本与预期效益,东方博融根据企业内部控制基本规范整理,五部委内部控制基本规范,企 业 内 部 控 制 基 本 规 范,企 业 内 部 控 制 应 用 指 引,资金活动 采购业务 资产管理 销售业务 研究与开发 工程项目 担保业务 业务外包 财务报告,组织架构 发展战略 人力资源 企业文化 社会责任,全面预算 合同管理 内部信息传递 信息系统,企 业 内 部 控 制 审 计 指 引,企 业 内 部 控 制 评 价 指 引,内部环境类,控制手段类,控制活动类,企业风险管理框架,企业的管理风险，可以通过公司治理体系下的三道防线予以警示和化解，而内控管理就是常态化的风险防范机制。,内控建设的整合框架模型,项目整体工作思路,第一阶段：调研诊断,总体计划,具体计划,访谈计划,通过资料收集、流程梳理、访谈调研等多种形式，对风险信息进行 全面收集,深度访谈,访谈准备 1、明确访谈目的，了解流程和控制 2、访谈前应大致了解： 被访谈人员的岗位职责 访谈相关的业务制度、流程 关键控制目标、业务固有风险 相关监管要求、标准控制措施 访谈提纲 业务访谈 1、介绍背景 2、交代目的 3、适度引导 4、做好铺垫 访谈纪要,组织结构、部门职能,经营模型、价值链,内外环境分析,对外期望,战略规划,战略实施与监控,战略评价,经营计划,全面预算,投资规划与实施,市场及营销,生产管理,存货管理,销售订单及 信用管理,采购管理,固定资产管理,技改工程管理,研究与开发,财务、资金及税务管理,人力资源管理,审计监察,信息化管理,安全、质量、环保,资料收集,客户内部资料 相关专业资料 行业资料,内控项目前期资料需求清单,第二阶段：流程梳理、风险事件库构建,关键流程梳理工作方式,在集团现有流程的基础上，通过对集团总部各部门进行培训、研讨、确认流程框架体系，形成流程清单,某公司的内控框架,梳理基于发展战略/商业模式的关键流程,采购,IT,人力资源,资源 组织,物流配送,市场 营销,售后 服务,产品 研发,财务,商业模式,主流程：,一级子流程：,二级子流程：,产品 规划,产品 维护,业务模式,业务流程,模板、手册/表单,流程体系结构,业务流程,模板、表单 与手册,企业业务模式,表述为,体现为执行的流程,建立执行的标准,企业商业模式/战略,转化为,3,产品 设计,财务报告,基于财务数据,公司范围,重要科目,重要科目与流程匹配,流程手册构成-流程目录（示例）,示例,流程手册构成-权责表（示例）,示例,明确每个流程步骤的执行部门及岗位 明确每个步骤的输入和输出文档 明确每个具体步骤的操作 明确流程控制点,流程手册构成-流程图（示例）,示例,识别关键流程风险控制点,示例,通过三个步骤构建风险事件库,构建风险事件库的目的就是实现企业的内部控制目标,风险事件库建立包括风险识别、风险评估、风险控制三个模块,流程、组织、职责和沟通是发挥风险事件库作用的重要手段,综合内外部风险因素，对风险事件进行识别,风险识别通过项目管理部门、技术部门、人力资源部门、财务部门、市场部门、同业竞争等各种渠道，从环境因素、技术因素、目标因素和制度因素等各个角度，通过不同方法的交叉使用来实现。,设备管理部,企业员工,人力资源部,财务部,售后服务部,审计部,采购部,技术研发部,市场部,总裁办,经济形势,政策法规,行业趋势,竞争对手,新兴技术,外部专家,专业 研究机构,其他部门,风险事件,企业经营中存在的风险,示例,通过可能性和影响程度双纬度进行评估,影响程度,几乎 肯定,极可能,可能,低,极低,B,C,A,G,I,D,J,K,H,E,F,可能性,说明: A 人力资源风险 B 财务风险 C 竞争风险 D 开发风险 E 过度自信风险 F 系统故障风险 G 主要客户风险 H 欺诈风险 I 政治风险 J 薪酬奖励风险 K 科技风险,概率模型,通过可能性和影响程度双纬度进行评估,风险发生的可能性评估标准,风险发生的可能性评估标准 指在公司目前管理水平下，风险事件发生概率的大小或发生的频繁程度。 风险发生的可能性分为五个等级，分别赋值1-5分，表示可能性逐渐增加，1分表示该风险事件发生的可能性极低，5分表示该风险事件几乎确定会发生。,风险的影响程度评估标准,风险的影响程度评估标准 指该风险事件会对公司的经营管理和业务发展所产生影响的大小。 影响程度分为五个等级，分别赋值1-5分，表示影响程度依此加强，1分表示该风险事件的影响程度几乎没有，5分表示该风险事件的影响是灾难性的。,根据风险事件评估结果，采取相应风险控制手段,风险防范,风险化解,风险处理,风险评估,风险控制,内部控制战略,风险控制既要亡羊补牢，更要未雨绸缪,消灭根源：可能时尽量识别和消除风险根源 着力预防：将识别和防范作为工作一部分，加以规划和执行 风险预案：事先制订好风险发生后的补救措施。如对不可控制的因素，如纯粹的天灾 失败处理：觉察到风险并迅速处理 危机管理：风险已经造成大麻烦后的处理,风险生命周期,风险点（萌芽）,风险发生,风险控制就是在内部控制战略指导下，针对风险等级形成应对策略库,风险识别,风险控制的不同策略选择,风险控制是指内部控制者采取各种措施和方法，消灭或减少风险事件发生的各种可能性，或者减少风险事件发生时造成的损失。 根据风险事件发生的可能性及其影响程度，可分为：,风险控制的不同策略选择,风险回避 风险回避是投资主体有意识地放弃风险行为，完全避免特定的损失风险。简单的风险回避是一种最消极的风险处理办法，因为投资者在放弃风险行为的同时，往往也放弃了潜在的目标收益。 损失控制 损失控制不是放弃风险，而是制定计划和采取措施降低损失的可能性或者是减少实际损失。控制的阶段包括事前、事中和事后三个阶段。,风险转移 风险转移，是指通过契约，将让渡人的风险转移给受让人承担的行为。通过风险转移过程有时可大大降低经济主体的风险程度。风险转移的主要形式是合同和保险。 损失自留 风险自留，即风险承担。也就是说，如果损失发生，经济主体将以当时可利用的任何资金进行支付。风险保留包括无计划自留、有计划自我保险。,综合考虑企业面临的各种情况，选择适合的风险控制措施：,风险事件库（示例）,示例,风险事件管理职责分工表（示例）,示例,第三阶段：搭建内控体系,内控手册,撰写内控手册等报告，完成内控体系建设,向客户领导进行沟通汇报,项目组研讨,咨询机构领导及专家评审委评审,形成内控体系报告初稿,撰写内控手册、制度手册等文件,正式汇报,在前期调研诊断、流程梳理、建立风险事件库的基础上，项目组进行内控手册、制度手册等报告文件的编写,内控手册（示例）,示例,项目最终提交成果汇总（示例）,示例,企业内控运行有效性评价,内部控制设计有效性,内部控制运行有效性,内部控制文档记录是否完整、准确,重要控制设计是否有效,建设阶段,评价阶段,有效性评价的步骤,步骤二：根据测试底稿，取得样本总体，并通过适当抽样方法选取一定数量样本作为测试对象。,步骤一：以风险控制矩阵中的关键控制点为对象，编制测试底稿，针对每项待测试关键控制点判断测试方法，设计测试要点，明确测试属性和工作步骤。,步骤三：通过询问、观察、检查及重新执行等方式进行测试，以评价相关控制活动的执行情况。,步骤四：在测试底稿中记录测试结果，进行缺陷认定，并留存相关可验证的文档。,有效性评价的原则,如何选择需要测试的关键控制点RAPSBS原则 Relevant：相关性是指所选择的控制能够实现控制目标 Adequate：充分性是指所选择的控制能够充分起到防止或发现并纠正在认定层面重大错报的作用 Pervasive：全面性是指所选择的控制在风险防范和发现功能上较其他控制而言具有更广泛的适用性 Sensitive：敏感度是指在错报发生前，控制能够及时察觉并防止其发生，在错报发生后，控制能够及时察觉该错报，并起到纠正的作用 Balance of Prevent and Detect：合理平衡预防性与检查性控制 Suite of Controls：控制组合观是基于控制属性而做的安排，合理设计/执行不同属性的控制组合可以有效从多维度防范和发现风险。,测试底稿,测试方法,有效性递增,询问：询问公司内部或外部的适当人员，以获取信息。询问可分为书面形式和口头形式，提供的保障程度最低。 观察：观察公司的经营活动以及员工执行控制的过程等，只能保证测试者在观察时内部控制得到了有效执行。 检查：检查内部控制执行过程中所保留的记录或文档，通过检查手工控制留下的证据可以作为测试手工控制的较好方法，所获评价证据的可靠程度较高。 重新执行：