公司内控体系建设项目案例

1、公司内控体系建设项目案例管理咨询有限公司2014年2月2项目背景及客户需求工作思路、与方法目录3简介公司成立注册资本金由1.19亿元增加到5.78亿元公司成为某公司的控股股东经批准，公司由三级公司升格为二级公司2013.2.25公司党委、纪委成立2010.12.202012.12.222013.3.282013.6.26 公司员工将近公司员工将近500500人，人，其中总部其中总部6060余人，子公余人，子公司司200200余人余人 20132013年实现营业收入年实现营业收入7 7亿余元亿余元项目系统集成；项目系统集成；核心装备制造；核心装备制造；项目的投资建设；项目的投资建设；工程实施及运

2、营管理工程实施及运营管理人员规模产品结构销售收入4n2015年实现销售收入20亿元。n成为“国内一流、国际知名的上市公司。n打基础n抓好运营、在建项目的管理n谋发展n重点抓好大项目推进和落地。发展战略：一个目标两个支撑十二五的核心工作与目标5的内控要求国资发评价201268号文关于央企加强构建内控体系的通知关于转发国资委、财政部的通知 2013年 2018年工业领域全方位服务商国内一流，国际知名销售收入XX亿元服务综合解决方案发展全方位服务行业服务百强公司上市销售收入七亿销售收入二十亿 2015年 战略规划目标要求战略规划目标要求2014年工作任务年工作任务流程梳理风险事件库内控手册国资委及总

3、部要求五年发展规划的战略部署6竞争者敏感性股东关系资金充足性 金融市场灾难性损失独立政治法律行政管理行业环境风险信息技术风险使用权 完整性相关性 可得到性 基础设施财务风险货币利率流动性结算再投资信用双边关系现金转移或流速改变廉政风险管理欺诈雇员欺诈非法行为无授权使用商誉 治理与管控风险领导力权力限制 表现激励沟通公司治理营运风险客户满意人力资源产品开发效率能力表现差异循环时间资源商品定价过失或损失符合性业务中断健康和安全 环境产品或服务失败 商标或产品名侵蚀营运价格合同投入衡量结盟完整性和精确性管理报告决策信息风险财务预算和计划 完整性和精确性会计信息财务报告评价税收养老基金投资评估管理报告

4、 战略环境检视业务组合价值衡量组织结构资源分配计划生命周期企业风险模型告知我们，企业经营过程中始终存在多重风险7中国内部控制相关法规的发展历程979899000102030405070809106月5日，上海证券交易所出台上海证券交易所上市公司内部控制指引6月6日，国务院国有资产监督管理委员会“关于印发中央企业全面风险管理指引的通知”9月28日，深圳证券交易所出台关于发布上市公司内部控制指引的通知3月3日，财政部发布关于印企业内部控制规范基本规范和17项具体规范（征求意见稿）的通知2008年6月28日，财政部、证监会、审计署、银监会、保监会联合召开企业内部控制基本规范发布会发布了企业内部控制基

5、本规范以及配套规范的征求意见稿，2009年7月1日起实施2009年1月，陆续发布了企业内部控制应用指引的数个更新稿6月5日，中共中央办公厅、国务院办公厅印发了关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见4月26日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制配套指引。该配套指引包括18项企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引，标志着我国企业内部控制规范体系基本建成0611125月7日，国资委、财政部发布关于加快构建中央企业内部控制体系有关事项的通知，要求各中央企业应当自2013年起，于每年5月31日前向国资委报送内部控制评价报告，同时抄送派

6、驻本企业监事会。8中国内部控制与内控法规概览财政部等五部委出台的企业内部控制基本规范，为企业提供了完整和公认的内部控制框架，同时以法规的形式要求上市公司对本公司内部控制的有效性进行自我评价。国资委出台的指引强调对风险的识别、分析、评估、防控和监督，为企业防控风险，建立控制体系提供指引。应用指引具体提出18个具体流程的应用指引。在每个具体流程中规定了该指引的目的，相关定义，该流程的主要风险，岗位分工及授权批准，及主要流程的控制程序。评价指引具体规范了内控评价的内容和标准，评价的程序和方法，内控缺陷的认定，以及规定了评价报告的相关内容。审计指引指导注册会计师执行内控审计业务。证交所出台了一系列的内

7、部控制指引，为上市公司建立和实施内部控制制度提供指引。财政部等五部委企业内部控制基本规范企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引国资委中央企业全面风险管理指引证券交易所 行业监管机构上市公司内控指引上交所内控指引 深交所内控指引行业内控指引商业银行内控指引证券公司内控指引保险公司内部控制基本准则9我们对上市公司内部控制体系建设需求的理解为了全面应对风险管理和内部控制的相关法律法规，上市公司应该构建一个内部控制的整合框架体系，做到“两个融合”。基于财务报告的内部控制与基于全面风险管理的内部控制体系的整合内部控制整合框架内部控制体系与全面风险管理体系的整合上市公司企业内部控制基

8、本规范及配套指引全面风险管理指引上市公司内控指引10项目背景及客户需求工作思路、与方法目录11内控体系基本思路、原则和目标 全面性原则：覆盖各种业务和事项 重要性原则 ：关注重要业务事项和高风险领域 制衡性原则 ：相互制约、相互监督，并兼顾运营效率 适应性原则 ：与企业相适应，并随情况的变化及时加以调整 成本效益原则 ：权衡实施成本与预期效益东方博融根据企业内部控制基本规范整理12五部委内部控制基本规范企 业 内 部 控 制 基 本 规 范企 业 内 部 控 制 应 用 指 引资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包财务报告组织架构发展战略人力资源企业文化社会责任全面

9、预算合同管理内部信息传递信息系统企业内部控制审计指引企业内部控制评价指引内部环境类控制手段类控制活动类13管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会企业风险管理框架企业的管理风险，可以通过公司治理体系下的三道防线予以警示和化解，而内控管理就是常态化的风险防范机制。14内控建设的整合框架模型内控梳理和建立业务分析与流程梳理识别与评价关键控制点完善内控的措施和体系内控体系的实施推进内控自我评估及改进企业各层级业务经营管理公司治理战略管理业务与流程管理下属分支机构管控内控梳理和建立加强信息化建设，实现系统化的控制加强培训教育，提升企业的内控理念加

10、强组织领导，建立内控组织管理架构15项目整体工作思路调研诊断流程梳理、风险事件库构建搭建内控体系成立内控建设小组对业务的深入调研全面分析和诊断梳理完善各项业务的管理制度和控制措施编制针对风险的内控手册对制度和手册进行辅导实施的推进关键流程梳理编制流程手册识别主要风险对企业风险信息数据进行收集、整理、汇总编制风险事件库16调研诊断流程梳理、风险事件库构建搭建内控体系 成立内控建设小组 对业务的深入调研 全面分析和诊断 梳理完善各项业务的管理制度和控制措施 编制针对风险的内控手册 对制度和手册进行辅导实施的推进 关键流程梳理 编制流程手册 识别主要风险 对企业风险信息数据进行收集、整理、汇总 编制

11、风险事件库第一阶段：调研诊断行业背景业务情况组织架构公司治理经营管理政策法规科目1科目2科目3科目4流程1流程2流程3流程4风险1风险2风险3风险4控制措施1控制措施2控制措施3控制措施3对公司总体情况的了解重要活动的确认流程的辨识和确认风险的辨识和确认控制措施和确认流程手册、风险事件库成果17总体计划18具体计划19访谈计划20通过资料收集、流程梳理、访谈调研等多种形式，对风险信息进行全面收集资料收集 从各层面人员收集公司运营管理及项目运作层面的相关信息 发现与本项目相关的关键问题 明确项目管理模式的重点内容资料分析 收集近三年的管理规章制度、项目操作手册、经营计划和总结、主要财务报表等 搜

12、集媒体相关报道信息，客观了解公司现状深度访谈 参观相关单位、生产现场等 约请高管人士座谈21深度访谈访谈准备1、明确访谈目的，了解流程和控制2、访谈前应大致了解：被访谈人员的岗位职责访谈相关的业务制度、流程关键控制目标、业务固有风险相关监管要求、标准控制措施访谈提纲业务访谈1、介绍背景2、交代目的3、适度引导4、做好铺垫访谈纪要22组织结构、部门职能23经营模型、价值链内外环境分析对外期望战略规划战略实施与监控战略评价经营计划全面预算投资规划与实施市场及营销生产管理存货管理销售订单及信用管理采购管理固定资产管理技改工程管理研究与开发财务、资金及税务管理人力资源管理审计监察信息化管理安全、质量、

13、环保24资料收集客户内部资料相关专业资料行业资料内控项目前期资料需求清单25调研诊断流程梳理、风险事件库构建搭建内控体系 成立内控建设小组 对业务的深入调研 全面分析和诊断 梳理完善各项业务的管理制度和控制措施 编制针对风险的内控手册 对制度和手册进行辅导实施的推进 关键流程梳理 编制流程手册 识别主要风险 对企业风险信息数据进行收集、整理、汇总 编制风险事件库第二阶段：流程梳理、风险事件库构建行业背景业务情况组织架构公司治理经营管理政策法规科目1科目2科目3科目4流程1流程2流程3流程4风险1风险2风险3风险4控制措施1控制措施2控制措施3控制措施3对公司总体情况的了解重要活动的确认流程的辨

14、识和确认风险的辨识和确认控制措施和确认流程手册、风险事件库成果26关键流程梳理工作方式合理划分出流程清单的章、节、流程名和标号 各部门组织识别本部门领导或参与的流程 对各部门主管和骨干、流程专管人员进行流程概念培训流程专管人员整合清理各部门主管确认，提交流程专管人员形成流程清单在集团现有流程的基础上，通过对集团总部各部门进行培训、研讨、确认流程框架体系，形成流程清单27某公司的内控框架28梳理基于发展战略/商业模式的关键流程采购IT人力资源资源组织物流配送市场营销售后服务产品研发财务商业模式主流程： 一级子流程： 二级子流程： 产品规划产品维护业务模式业务流程模板、手册/表单流程体系结构业务流

15、程模板、表单与手册企业业务模式表述为体现为执行的流程建立执行的标准企业商业模式/战略转化为3产品设计29财务报告基于财务数据公司范围重要科目重要科目与流程匹配30流程手册构成-流程目录（示例）一、战略管理流程采购招投标管理流程集团战略规划制定流程采购合同管理流程战略目标年度回顾流程企业管理改进流程四、新建项目建设管理流程二、经营计划及资金预算管理流程项目投资决策流程年度经营计划制定流程项目立项流程预算启动流程项目招标流程预算编制和审批流程预算执行和调整流程五、营销管理流程资金计划管理流程年度营销计划和预算制定流程财务分析流程价格制定流程三、供应管理流程示例31流程手册构成-权责表（示例）示例3

16、2明确每个流程步骤的执行部门及岗位明确每个步骤的输入和输出文档明确每个具体步骤的操作明确流程控制点流程手册构成-流程图（示例）示例33识别关键流程风险控制点风险控制点说明1 研发中心自身信息收集薄弱2市场部和研发部门衔接不畅，市场部对信息的搜集整理职能薄弱3 缺乏科学规划4 无权威专家把关市场研发中心技术专家委员会经理办公会总经理董事会信息整理分析新技术预研建议立项批准批准立项可行性分析转入新产品开发YNYN研究开发成立新技术研究小组评定评定评审评定市场需求信息收集技术发展规划NNNYYYNY重新开题立项评定2431示例34通过三个步骤构建风险事件库风险识别风险评估风险控制风险控制目标流程、组

17、织、职责、沟通构建风险事件库的目的就是实现企业的内部控制目标风险事件库建立包括风险识别、风险评估、风险控制三个模块流程、组织、职责和沟通是发挥风险事件库作用的重要手段35综合内外部风险因素，对风险事件进行识别风险识别通过项目管理部门、技术部门、人力资源部门、财务部门、市场部门、同业竞争等各种渠道，从环境因素、技术因素、目标因素和制度因素等各个角度，通过不同方法的交叉使用来实现。设备管理部企业员工人力资源部财务部售后服务部审计部采购部技术研发部市场部总裁办经济形势政策法规行业趋势竞争对手新兴技术外部专家专业研究机构其他部门风险事件36企业经营中存在的风险(风险宇宙TM )资信制度知识产权财务流动

18、资产与信贷资本结构市场财务报告营运法律生产程序营商环境市场结构民风与文化管治策略董事会活动交易并购变卖声誉道德社区责任风险管理董事会及管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规示例37通过可能性和影响程度双纬度进行评估影响程度近乎没有轻微中等重大灾难几乎 肯定极可能可能低极低BCAGIDJ

19、KHEF可能性说明:A 人力资源风险B 财务风险C 竞争风险D 开发风险E 过度自信风险F 系统故障风险G 主要客户风险H 欺诈风险I 政治风险J 薪酬奖励风险K 科技风险概率模型通过可能性和影响程度双纬度进行评估38风险发生的可能性评估标准评分可能性说明5几乎肯定在未来12个月内，这项风险几乎肯定会出现至少 1次4极可能在未来12个月，这项风险极可能出现1次3可能在未来2至10年内，这项风险可能出现1次2低在未来10至100年内，这项风险可能出现至少1次1极低这项风险出现的可能性极低，估计在100年内出现的可能性少于1次风险发生的可能性评估标准- 指在公司目前管理水平下，风险事件发生概率的大

20、小或发生的频繁程度。- 风险发生的可能性分为五个等级，分别赋值1-5分，表示可能性逐渐增加，1分表示该风险事件发生的可能性极低，5分表示该风险事件几乎确定会发生。39风险的影响程度评估标准评分影响程度说明5灾难令企业失去继续运作的能力(或占税前利润达20%)4重大对于企业在争取完成其策略性计划和目标，造成重大影响(5-10%税前利润)3中等对于企业在争取完成其策略性计划和目标的过程，在一定程度上造成阻碍(至5%税前利润)2轻微对于企业在争取完成其策略性计划和目标，只造成轻微影响(至1%税前利润)1几乎没有影响程度十分轻微风险的影响程度评估标准- 指该风险事件会对公司的经营管理和业务发展所产生影

21、响的大小。- 影响程度分为五个等级，分别赋值1-5分，表示影响程度依此加强，1分表示该风险事件的影响程度几乎没有，5分表示该风险事件的影响是灾难性的。40根据风险事件评估结果，采取相应风险控制手段风险防范风险化解风险处理风险评估风险控制内部控制战略风险控制既要亡羊补牢，更要未雨绸缪l消灭根源：可能时尽量识别和消除风险根源l着力预防：将识别和防范作为工作一部分，加以规划和执行l风险预案：事先制订好风险发生后的补救措施。如对不可控制的因素，如纯粹的天灾l失败处理：觉察到风险并迅速处理l危机管理：风险已经造成大麻烦后的处理风险生命周期风险点（萌芽）风险发生风险控制就是在内部控制战略指导下，针对风险等

22、级形成应对策略库风险识别41风险控制的不同策略选择影响程度影响程度可可能能性性风险风险转移转移风险回避风险回避损失控制损失控制风险自留风险自留大大小小高高低低风险控制是指内部控制者采取各种措施和方法，消灭或减少风险事件发生的各种可能性，或者减少风险事件发生时造成的损失。根据风险事件发生的可能性及其影响程度，可分为：42风险控制的不同策略选择风险回避- 风险回避是投资主体有意识地放弃风险行为，完全避免特定的损失风险。简单的风险回避是一种最消极的风险处理办法，因为投资者在放弃风险行为的同时，往往也放弃了潜在的目标收益。损失控制- 损失控制不是放弃风险，而是制定计划和采取措施降低损失的可能性或者是减

23、少实际损失。控制的阶段包括事前、事中和事后三个阶段。风险转移- 风险转移，是指通过契约，将让渡人的风险转移给受让人承担的行为。通过风险转移过程有时可大大降低经济主体的风险程度。风险转移的主要形式是合同和保险。损失自留- 风险自留，即风险承担。也就是说，如果损失发生，经济主体将以当时可利用的任何资金进行支付。风险保留包括无计划自留、有计划自我保险。综合考虑企业面临的各种情况，选择适合的风险控制措施：43风险事件库（示例）示例44风险事件管理职责分工表（示例）信用风险人员道德风险人力资源管理风险公司治理风险业务模式风险市场风险政策风险合同管理风险战略风险现金流风险投资风险法律风险安全生产风险不良资

24、产管理风险资产管理中心信息安全风险业务板块纪检监察保卫部信息中心投资管理部法律部审计部财务总部企划部人力资源部信用风险人员道德风险人力资源管理风险公司治理风险业务模式风险市场风险政策风险合同管理风险战略风险现金流风险投资风险法律风险安全生产风险不良资产管理风险资产管理中心信息安全风险业务板块纪检监察保卫部信息中心投资管理部法律部审计部财务总部企划部人力资源部风险名称部门名称主导管理责任协助管理责任示例45调研诊断流程梳理、风险事件库构建搭建内控体系 成立内控建设小组 对业务的深入调研 全面分析和诊断 梳理完善各项业务的管理制度和控制措施 编制针对风险的内控手册 对制度和手册进行辅导实施的推进

25、关键流程梳理 编制流程手册 识别主要风险 对企业风险信息数据进行收集、整理、汇总 编制风险事件库第三阶段：搭建内控体系内控手册流程手册制度汇编风险事件库46撰写内控手册等报告，完成内控体系建设向客户领导进行沟通汇报项目组研讨咨询机构领导及专家评审委评审形成内控体系报告初稿撰写内控手册、制度手册等文件正式汇报在前期调研诊断、流程梳理、建立风险事件库的基础上，项目组进行内控手册、制度手册等报告文件的编写47内控手册（示例）示例48项目最终提交成果汇总（示例）示例49企业内控运行有效性评价内部控制有效性内部控制设计有效性内部控制运行有效性内部控制文档记录是否完整、准确重要控制设计是否有效相关控制在评价期内是如何运行的相关控制是否得到了持续一致的运行实施控制人员是否具备必要的权限和能力建设阶段评价阶段50有效性评价的步骤步骤二：根据测试底稿，取得样本总体，并通过适当抽样方法选取一定数量样本作为测试对象。步骤一：以风险控制矩阵中的关键控制点为对象，编制测试底稿，针对每项待测试关键控制点判断测试方法，设计测试要点，明确测试属性和工作步骤。步骤三：通过询问、观察、检查及重新执行等方式进行测试，以评价相关控制活动的执行情况。步骤四