某某公司内项目实施方案

某某公司某某公司风险管理与内部控制系统建设项目实施方案某某公司风险管理与内部控制系统建设项目实施方案中国.北京国富浩华会计师事务所有限公司二一一年四月六日目录1. 相关法规解读和我们对项目需求的理解 21.1 风险管理与内部控制相关法规解读 21.1.1 中国风险管理与内部控制相关法规的发展历程 21.1.2 中国风险管理与内部控制法规概览 31.1.3 内部控制的定义 41.1.4 五部委内控体系：基本思路、原则和目标 41.1.5 五部委内控体系整体框架 51.1.6 国资委全面风险管理体系 51.1.7 国资委全面风险管理：财务风险管理框架 61.1.8 交易所上市公司内控指引框架 71.2 我们对项目需求的理解 81.2.1 项目目标 81.2.2 项目实施的难点及要点 81.2.3 项目范围 81.2.4 需要特殊考虑的因素 92. 项目工作方案 102.1 项目实施总体思路 102.2 项目实施步骤 102.2.1 项目实施流程图 102.2.2 项目准备 102.2.3 风险评估112.2.4 建立新的内控体系132.2.5 内控体系的评价和持续改进172.3 项目实施工作进度计划182.3.1 项目整体工作时间安排182.3.2 项目实施单位时间估算表202.4 本项目采取的主要方法202.5 项目实施质量与进度的保证措施202.6 本项目实施对某某公司的配合要求202.7 本次项目实施对外部审计师的配合要求212.8 本次项目实施的主要建设成果212.9 培训与沟通222.9.1 工作思路222.9.2 授课培训222.9.3 现场辅导与即时沟通232.10 后续服务及承诺 231.相关法规解读和我们对项目需求的理解1.1风险管理与内部控制相关法规解读从2006年6月上海证券交易所出台上海证券交易所上市公司内部控制指引至今，各监管部门针对上市公司和大中型国有企业相继出台了多个与企业风险管理与内部控制相关的文件规范，下面就在制定某某公司风险管理与内部控制系统建设项目实施方案之前，就根据国富浩华对上述文件规范的理解，以图表的形式对此进行一个既全面又扼要的回顾和解读。1.1.1中国风险管理与内部控制相关法规的发展历程1.1.2中国风险管理与内部控制法规概览财政部等五部委企业内部控制基本规范：l 企业内部控制应用指引l 企业内部控制评价指引l 企业内部控制审计指引国资委中央企业全面风险管理指引证券交易所 行业监管机构上市公司内控指引 行业内控指引上交所内控指引 商业银行内控指引深交所内控指引 证券公司内控指引保险公司内部控制基本准则l 财政部等五部委出台的企业内部控制基本规范，为企业提供了完整和公认的内部控制框架，同时以法规的形式要求上市公司对本公司内部控制的有效性进行自我评价。l 国资委出台的指引强调对风险的识别、分析、评估、防控和监督，为企业防控风险，建立控制体系提供指引。l 应用指引具体提出18个具体流程的应用指引。在每个具体流程中规定了该指引的目的，相关定义，该流程的主要风险，岗位分工及授权批准，及主要流程的控制程序。l 评价指引具体规范了内控评价的内容和标准，评价的程序和方法，内控缺陷的认定，以及规定了评价报告的相关内容。l 审计指引指导注册会计师执行内控审计业务。l 证交所出台了一系列的内部控制指引，为上市公司建立和实施内部控制制度提供指引。1.1.3内部控制的定义1.1.4五部委内控体系：基本思路、原则和目标1.1.5五部委内控体系整体框架内部环境控制手段控制活动1.1.6国资委全面风险管理体系1.1.7国资委全面风险管理：财务风险管理框架集团公司的财务风险预警母子公司重大财务事项管控母子公司财务精细化管理外部推动1.1.8交易所上市公司内控指引框架交易所 内控框架 制定并执行公司内部控制自查制度和年度内部控制自查计划 改进内部控制缺陷和异常事项 内部控制自我评价报告应与公司年度报告同时对外披露 对控股子公司的管理控制 关联交易内部控制 对外担保的内部控制 募集资金使用的内部控制 重大投资的内部控制 信息披露的内部控制1.2我们对项目需求的理解1.2.1项目目标在某某公司原有风险管理与内部控制制度的基础上，实施企业内部控制基本规范及相关配套指引，建立新的符合规范及指引要求的风险管理与内部控制制度体系，并且工作进度至少要符合深圳证监局“深证局公司字【2011】31号”关于做好深圳辖区上市公司内部控制规范试点有关工作的通知中的时间要求，如：2011年4月30日前全部完成内控实施工作方案的制定；2012年6月底前完成与财务报告相关的内控建设工作；2012年半年报披露同时披露内控自我评价报告。上述工作进度可根据企业的要求进行调整。1.2.2项目实施的难点及要点企业内部控制基本规范及相关配套指引在企业实施的过程，实质上是对企业原有内控制度进行优化的过程，企业原有的内控缺陷在此过程中将得到完善，原来未被有效制约的权力在此过程中将被有效制约。由于我国企业普遍存在的历史积累下来的风险管理与内控意识薄弱的特点，以及存在职责不清、人力资源不足等控制薄弱点和风险点，我们认为，本项目实施的最大难点是将企业风险管理与内部控制的理念深入贯彻到企业治理层、管理层以至普通员工的思想与行为中去，只有这样，项目的实施才可能得到企业上下各部门与人员的有效配合，才可能调动起全体员工的积极性与创造性。于是，由这个难点引出了项目实施的要点，那就是在项目一开始就应该采取各种有效措施对企业进行各种层次的培训、宣贯，使风险管理与内部控制的理念深入人心，同时在项目实施的全过程都力求得到公司最高权力当局的有力且及时的支持。项目实施过程中还会有其他的难点及要点，但与前述事项相比均是技术性的，并非是不可克服的。1.2.3 项目范围根据招标文件中所列的工作范围，本项目将包括某某公司等十家公司：l 某某公司l 深圳新电力实业有限公司l 深南能源（新加坡）有限公司l 深圳协孚供油有限公司l 深圳深南电燃机工程技术有限公司l 深南电（中山）电力有限公司l 深南电（东莞）唯美电力有限公司l 中山市深中房地产开发有限公司l 中山市深中房地产投资置业有限公司l 深圳深南电环保有限公司就流程划分的工作范围，本项目将按以上1.1.5五部委内控体系整体框架中，针对与财务管理流程相关的风险管理及内控点作为本项目的范围。实际工作范围及重点则需要在“风险评估”过程中明确主要风险所在，再分配资源按计划进行建立、评估及改进等相关工作。1.2.4需要特殊考虑的因素某某公司作为全国最大型燃机发电企业，有因其自身行业特点决定的内部控制特点以及建立内控体系过程中需要特殊考虑的因素：nnn2. 项目工作方案2.1 项目实施总体思路本次项目实施的总体思路是以企业内部控制基本规范及相关配套指引为指南，在深入了解某某公司治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等内部环境因素的基础上，全面评估某某公司经营活动中与实现内部控制目标相关的风险并合理确定风险应对策略，然后根据风险评估结果采用相应的控制措施，对某某公司原有内控系统进行补充完善，从而建立包括及时有效的内控信息反馈与沟通制度和内控评价与持续改制度在内的新的风险管理与内部控制体系，并将新的内控体系在某某公司及其下属子公司推广实施。2.2 项目实施步骤项目准备风险评估 全面分析和诊断风险，对公司企业风险管理体系现状分析； 对企业公司层面控制进行全面梳理、评价，识别公司层面的风险和控制； 对公司主要业务和管理流程中的内部控制进行识别和梳理、实施穿行测试和遵从测试，评估相关风险与控制。建立新的内控体系 根据风险评估识别出的风险和确定的风险应对策略梳理； 针对主要业务和管理流程中存在的内部控制设计和执行缺陷，提出改善建议，并督促整改。 编制针对风险的内控手册 对更完善的内部控制流程进行辅导实施和推广；内控体系的评价和持续改进 企业内部：编制规范的内控评价底稿、编制和披露内控自我评价报告、对内控缺陷的改进和完善、对内控工作及其效果进行监督评价； 外部鉴证：聘请第三方进行内控审计。2.2.1项目实施流程图：2.2.2项目准备项目准备的目的统一思想、建立共识，进行项目实施必要的资料、知识和后勤保障准备，明确项目阶段的里程碑标志。项目准备的工作内容国富浩华 项目启动会，明确项目实施的重要性和涉及部门与人员的广泛性； 对相关人员进行风险调查问卷填写的培训； 就具体项目工作计划与某某公司达成一致； 根据计划分配项目任务、明确双方职责以及调配资源； 收集项目相关资料及信息。某某公司 协助安排项目启动会； 建立项目领导团队，建议包括某某公司董、监、高及其子公司的主要管理人员，以对项目执行过程中所发生的问题予以决策，并对项目成果进行审批； 建立项目执行团队，建议包括项目总协调人以及各子公司协调人，以满足工作团队与各子公司间沟通的需要，推动与协调项目成果的审批决策；及为双方的项目工作团队提供必要的行政支持保障，包括提供项目必要的资料、文件、办公场所以及会议组织。2.2.3风险评估工作思路对公司总体情况的了解财务报表的重要科目确认流程的辨识和确认风险的辨识和确认控制措施的辨识和确认政策法规组织结构业务情况行业背景控制措施1控制措施4控制措施3控制措施2风险4风险3风险2风险1科目3科目1科目4科目2政策法规市场环境公司治理组织结构业务情况行业背景公司治理市场环境科目1科目2科目3科目4流程2流程3流程1流程4工作目标某某公司内控建设总体目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。本项工作的目标是用系统的方法，围绕某某公司内控建设的总体目标实施风险评估，在对内部控制流程进行深入调研的基础上对企业内控风险进行全面的分析和诊断，识别所有的主要风险，进而确定适当的风险应对策略，提交“风险评估报告”，为某某公司建立完善的内控体系提供必要的基础信息。工作方法及双方责任国富浩华的工作某某公司的工作风险评估1. 与某某公司及其子公司主要管理层进行访谈：n 初步了解某某公司的行业特点、业务情况、运行模式、风险因素，为接下来合理界定与财务报表相关的内控范围及具体业务流程提供必要的信息；n 了解管理层对于企业内控的关注点与期望值；n 理解公司组织架构与职能、未来发展方向及影响；n 初步了解主要风险和管理层风险偏好；n 了解公司战略。2. 与公司监事会、内审部门、独立董事以及IT信息系统管理等相关人员进行访谈：n 初步了解监事会的具体职责、职权行使情况和监事会发现的企业内控方面的问题；n 了解公司内审部门人员组成和工作开展情况，判断内审部门在企业发挥作用的程度；n 了解独立董事在公司董事会发挥作用的情况；n 了解公司内控管理报告制度和处理情况；n 初步了解公司IT信息系统如何发挥作用及发挥作用的总体情况。3. 设计风险调查问卷，安排调查问卷的发放、填写和回收；4. 除访谈及调查问卷外，通过抽查凭证、穿行测试、实地查验、抽样检查、对比分析等等方法搜集公司内控有效性方面的相关资料；5. 根据调查问卷的结果、访谈记录、以及通过抽查凭证、穿行测试、实地查验、抽样检查、对比分析等方法搜集的信息，并按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序；6. 以座谈会或专题讨论的形式，与相关职能人员以及管理层讨论已识别的风险并对风险排序进行相应调整；7. 确认某某公司内部控制主要风险；8. 根据风险分析的结果，结合风险承受度，并考虑到某某公司董监事高等高级管理人员及关键岗位员工的风险偏好，权衡风险与收益，确定风险应对策略9. 出具风险评估报告（公司层面及流程层面）1. 协调、安排相关人员接受访谈，并确保相关人员按时参与访谈；2. 安排团队人员协助国富浩华进行访谈记录；3. 及时提供现有的相关内控制度以及报表、账本、凭证、合同、业务流程规范、组织结构等会计和非会计资料；4. 安排调查问卷的发放、填写和回收；5. 及时填写调查问卷；6. 按时参加改进建议讨论、并及时给予反馈；7. 审阅国富浩华提交的风险评估报告。工作成果：风险评估报告（公司层面及流程层面）2.2.4 建立新的内控体系2.2.4.1 工作思路内部控制体系文件 控制措施评价表风险管理及内控手册风险管理数据库3212.2.4.2 改进内部控制活动的具体步骤工作目标：本项工作的目标是在风险评估结果的基础上对有关内部控制流程进行改进，从而建立新的内部控制体系。工作方法及双方责任：国富浩华的工作某某公司的工作内部控制流程梳理确定内部控制流程梳理工作的范围根据风险评估结果确定需要改进完善的内部控制流程的范围，按照企业内部控制应用指引分别归集需要改进完善的内部控制流程，在前期风险评估工作的基础上，进一步梳理需要改进完善的内部控制流程，并对工作结果进行记录。1. 安排并确保内部控制流程相关人员参加访谈；2. 提供理解和记录业务流程所需的相关内部控制文件；3. 确认国富浩华编制完成的内控流程图和流程描述与实际执行是否一致；4. 参加流程确认和改进建议讨论，并及时给予反馈；5. 及时提供测试样本；6. 审阅国富浩华提交的内部控制改进方案及设计与执行缺陷汇总；7. 编制控制缺陷的改进工作计划并进行缺陷整改，同时监督缺陷整改进度和效果；8. 审阅国富浩华提交的内控风险数据库；9. 审阅国富浩华提交的风险管理及内控手册与评价手册。评价内部控制设计有效性1、 在前期风险评估工作的基础上，将识别的内控流程风险与相关内控制度中的关键控制点进行分析比较，确认控制设计缺陷；2、 分析控制设计缺陷，与相关人员进行反复沟通，提出相关内控制度改进建议；3、 汇总内控设计缺陷。评价内部控制执行的有效性1. 针对设计有效的控制，制定具体测试方案并实施测试工作，验证相关控制活动执行的有效性；2. 针对执行无效的控制点提出整改建议和意见3、 汇总内控执行缺陷。建立内控风险数据库根据对企业风险因素的了解及已发现并汇总的内控设计缺陷和执行缺陷，建立企业内控风险数据库，向管理层提交内部控制改进方案。建立风险管理及内控手册在针对发现的内控缺陷与某某公司相关人员反复讨论的基础上，对企业现有的内控制度进行修订和完善，从而建立企业新的风险管理及内控手册与评价手册。工作成果l 内部控制流程描述；l 内部控制流程图；l 风险控制矩阵；l 风险清单；l 风险应对表；l 访谈记录与调查问卷；l 穿行测试结果记录；l 控制测试计划及测试结果；l 内部控制改进方案及内控缺陷汇总表；l 内控风险数据库；l 风险管理及内控手册与评价手册等。2.2.4.3改进的内控制度推广工作目标：本项工作的目标是将改进的内控制度在某某公司及其子公司进行推广。工作方法及双方责任：国富浩华的工作某某公司的工作制定推广方案编制推广阶段工作方案，确定管理和控制推广工作的方法。1. 建立推广项目团队并确定协调人员；2. 审阅推广方案并及时反馈意见。实施推广1、 对项目团队人员、流程负责人和其他参与人员分别进行内部控制流程改进的培训； 2、 审阅更新的内控制度条文，提出修改意见；3、 组织定期及不定期会议，沟通推广进度并解决推广中遇到的问题； 4、 根据推广进度情况，及时调整方案和加强人员培训工作。1. 参加培训，加强对内部控制的理解；2. 更新内控制度；3. 根据修改意见修改内控制度条文。检查推广结果1. 对推广结果进行穿行测试，检查评估推广方案是否确切落实。2. 出具推广评估报告。审阅国富浩华提交的推广评估报告。在整体项目完成前，我们将协助某某公司编制新内控制度在其所属子公司进行推广的方案、工作计划和时间安排，确保新内部控制体系在某某公司子公司的顺利推广。工作成果：主要内容包括但不限于： 推广方案； 对更新后的内部控制流程描述、内部控制流程图、风险控制矩阵等文件的审阅意见； 会议纪要； 穿行测试结果记录； 推广评估报告等。2.2.4.4成功建立新的内控体系的必要条件 各职能部门与项目组紧密合作 企业管理高层和各业务职能部门始终参与内控建设的全过程。 内控建设小组必须由内控管理专家组成，形成专业服务。 定期反馈与沟通2.2.5内控体系的评价和持续改进工作思路内部审计部门：n 对包括内控管理职能部门在内的各有关部门和业务单位能否按照有关规定开展内控工作及其工作效果进行监督评价。内控管理部门：n 对内控设计有效性进行评估；n 提出调整或改进建议，出具评价和建议报告。工作目标：本项工作的目标是编制规范的内控评估底稿、依据企业内部控制配套指引编制和披露某某公司内控自我评价报告，对内控工作及其效果进行监督评价，并引入外部专业机构进行内控鉴证，以利于企业内控制度的改进与提升。工作方法及双方责任：国富浩华的工作某某公司的工作1. 编制规范的内控评价底稿，提供内部审计规章制度和内部审计工作手册样本；2. 协助根据自查结果完成内部控制自我评价报告，评价某某公司内控设计与执行的有效性；1. 审阅国富浩华提交的内控评价底稿和内部审计规章制度和内部审计工作手册样本，并及时反馈意见；2. 对内部控制进行自查并完成内部控制自我评价报告工作成果：主要内容包括但不限于： 内控评价底稿 内部审计规章制度 内部审计工作手册样本 某某公司内部控制自我评价报告2.3项目实施工作进度计划2.3.1项目整体工作时间安排l 项目准备：5个工作日l 风险评估：3个月l 建立新的内控体系：5个月l 内控体系的评价和持续改进：3个月上述工作时间可以是交叉进行的，总的实施时间按某某公司的要求进行调整。本项目实施进度横道图如下：项目实施进度横道图实施单位项目实施进度2011年2012年5月6月7月8月9月10月11月12月1月2月3月某某公司公司总部有限公司有限公司有限公司有限公司有限公司有限公司有限公司有限公司有限公司横道图中:表示风险评估阶段表示建立新的内控体系阶段表示内控体系的评价和持续改进阶段2.3.2项目实施单位时间估算表项目实施单位单位（小时）1. 某某公司公司总部28002. 有限公司1503. 有限公司1004. 有限公司1505. 有限公司2006. 有限公司4007. 有限公司4008. 有限公司1509. 有限公司15010. 有限公司200合计4700上述估算时间在项目实施过程中将可能根据实际进行调整。2.4本项目采取的主要方法本项目实施我们将采取的主要方法包括：访谈、问卷调查、穿行测试、审阅检查会计资料、核对现有内控制度和业务流程形成的相关业务资料、分析与讨论、绘制业务管理流程图、编制风险评估分析框架、培训讲解与现场指导等等。2.5 项目实施质量与进度的保证措施就国富浩华方面而言，将采取如下措施确保本项目按时保质的完成： 进行充分的资料、知识准备，加强项目组人员和企业相关人员的培训； 配备高水平的经验丰富的咨询团队； 加强与某某公司管理层及职能部门的及时沟通与反馈； 合理分配并动态调配项目团队内部各项目实施小组的工作； 对内控实施情况进行跟踪与回访检查。2.6 本项目实施对某某公司的配合要求 协助安排项目启动会； 建立包括某某公司董、监、高及其职能部门主管和子公司的主要管理人员的项目领导团队，明确直接与国富浩华配合的执行机构和人员； 负责及时安排访谈调研对象和提供业务流程相关的文件资料； 对项目实施提供必要的行政支持保障，包括提供项目必要的办公场所以及会议组织； 负责协调解决项目实施过程中可能遇到的相关人员不配合，拖延、抵制乃至阻挠项目实施的障碍； 参加流程确认和改进建议讨论，并及时给予反馈； 对项目阶段性成果及最终成果进行验收或审批； 协调解决新的风险管理与内部控制系统推广的问题与障碍。2.7 本次项目实施对外部审计师的配合要求 在风险评估的过程中，充分沟通风险评估的结果以及所订立的工作范围； 在订立具体工作计划及工作范围时，充分就内控工作的期望进行沟通。2.8 本次项目实施的主要建设成果本次项目实施主要建设成果的整体架构如下图所示：需要说明的是，上述包括控制文档与手册、数据库、流程图等等在内的文件资料，只是本项目建设成果的物理表现形式。这些都只是纸面的东西，这一切必须真正贯彻到企业这一市场经济大海中无时不在运动的、变动不居的鲜活主体之中，才能使一切环节真正得到控制，所以关键是“控制”，而一切控制均是通过“人”来实现的，这一切纸面的东西只有深入到“人”的意识中，才能真正贯彻到企业这一鲜活主体之中。所以，某某公司本次项目实施依据内控规范和配套指引建立内控体系的过程，有一明一暗两条主线贯穿其中，明的是上述控制文档与手册、数据库、流程图等等在内的文件资料的形成过程，暗的是内控理念