企业内控项目案例

公司内控体系建设项目案例管理咨询有限公司2014年2月项目背景及客户需求工作思路、与方法目录简介公司成立注册资本金由1.19亿元增加到5.78亿元公司成为某公司的控股股东经批准，公司由三级公司升格为二级公司2013.2.25公司党委、纪委成立2010.12.202012.12.222013.3.282013.6.26公司员工将近500人，其中总部60余人，子公司200余人2013年实现营业收入7亿余元项目系统集成；核心装备制造；项目的投资建设；工程实施及运营管理人员规模产品结构销售收入2015年实现销售收入20亿元。成为“国内一流、国际知名的上市公司。打基础抓好运营、在建项目的管理谋发展重点抓好大项目推进和落地。发展战略：

一个目标两个支撑十二五的核心工作与目标的内控要求国资发评价〔2012〕68号文《关于央企加强构建内控体系的通知》《关于转发国资委、财政部<关于加快构建中央企业内部控制体系有关事项>的通知》

2013年

2018年工业领域全方位服务商国内一流，国际知名销售收入XX亿元服务综合解决方案发展全方位服务行业服务百强公司上市销售收入七亿销售收入二十亿

2015年战略规划目标要求2014年工作任务流程梳理风险事件库内控手册国资委及总部要求五年发展规划的战略部署

竞争者 敏感性 股东关系 资金充足性 金融市场

灾难性损失 独立／政治 法律 行政管理 行业 环境风险信息技术风险使用权完整性 相关性可得到性基础设施

财务风险货币 利率流动性 结算再投资 信用双边关系现金转移或流速改变

廉政风险管理欺诈 雇员欺诈非法行为 无授权使用商誉治理与管控风险领导力 权力限制 表现激励沟通 公司治理

营运风险客户满意 人力资源产品开发 效率能力 表现差异循环时间 资源商品定价 过失或损失符合性 业务中断健康和安全 环境产品或服务失败商标或产品名侵蚀

营运价格 合同投入衡量结盟 完整性和精确性管理报告决策信息风险

财务预算和计划 完整性和精确性会计信息 财务报告评价税收 养老基金投资评估 管理报告

战略环境检视 业务组合价值衡量 组织结构资源分配 计划生命周期企业需要按照以下的“企业风险模型”设计企业内部管理及风险控制体系来全面减少企业的经营风险企业风险模型告知我们，企业经营过程中始终存在多重风险中国内部控制相关法规的发展历程979899000102030405070809106月5日，上海证券交易所出台《上海证券交易所上市公司内部控制指引》6月6日，国务院国有资产监督管理委员会“关于印发《中央企业全面风险管理指引》的通知”9月28日，深圳证券交易所出台关于发布《上市公司内部控制指引》的通知3月3日，财政部发布关于印《企业内部控制规范——基本规范》和17项具体规范（征求意见稿）的通知2008年6月28日，财政部、证监会、审计署、银监会、保监会联合召开企业内部控制基本规范发布会发布了《企业内部控制基本规范》以及配套规范的征求意见稿，2009年7月1日起实施2009年1月，陆续发布了《企业内部控制应用指引》的数个更新稿6月5日，中共中央办公厅、国务院办公厅印发了《关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见》4月26日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，标志着我国企业内部控制规范体系基本建成0611125月7日，国资委、财政部发布《关于加快构建中央企业内部控制体系有关事项的通知》，要求各中央企业应当自2013年起，于每年5月31日前向国资委报送内部控制评价报告，同时抄送派驻本企业监事会。中国内部控制与内控法规概览财政部等五部委出台的《企业内部控制基本规范》，为企业提供了完整和公认的内部控制框架，同时以法规的形式要求上市公司对本公司内部控制的有效性进行自我评价。国资委出台的指引强调对风险的识别、分析、评估、防控和监督，为企业防控风险，建立控制体系提供指引。《应用指引》具体提出18个具体流程的应用指引。在每个具体流程中规定了该指引的目的，相关定义，该流程的主要风险，岗位分工及授权批准，及主要流程的控制程序。《评价指引》具体规范了内控评价的内容和标准，评价的程序和方法，内控缺陷的认定，以及规定了评价报告的相关内容。《审计指引》指导注册会计师执行内控审计业务。证交所出台了一系列的内部控制指引，为上市公司建立和实施内部控制制度提供指引。财政部等五部委企业内部控制基本规范企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引国资委中央企业全面风险管理指引证券交易所行业监管机构上市公司内控指引•上交所内控指引•深交所内控指引行业内控指引•商业银行内控指引•证券公司内控指引•保险公司内部控制基本准则我们对上市公司内部控制体系建设需求的理解为了全面应对风险管理和内部控制的相关法律法规，上市公司应该构建一个内部控制的整合框架体系，做到“两个融合”。基于财务报告的内部控制与基于全面风险管理的内部控制体系的整合内部控制整合框架内部控制体系与全面风险管理体系的整合上市公司《企业内部控制基本规范》及配套指引《全面风险管理指引》《上市公司内控指引》项目背景及及客户需求求工作思路、、与方法目录内控体系基基本思路、、原则和目目标全面性原则则：覆盖各种业业务和事项项重要性原则则：关注重要业业务事项和和高风险领领域制衡性原则则：相互制约、、相互监督督，并兼顾顾运营效率率适应性原则则：与企业相适适应，并随随情况的变变化及时加加以调整成本效益原原则：权衡实施成成本与预期期效益东方博博融根根据《企业内内部控控制基基本规规范》整理五部委委内部部控制制基本本规范范企业业内内部部控控制制基基本本规规范范企业业内内部部控控制制应应用用指指引引资金活活动采购业业务资产管管理销售业业务研究与与开发发工程项项目担保业业务业务外外包财务报报告组织架架构发展战战略人力资资源企业文文化社会责责任全面预预算合同管管理内部信信息传传递信息系系统企业内部控制审计指引企业内部控制评价指引内部环环境类类控制手手段类类控制活活动类类管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会企业风风险管管理框框架企业的的管理理风险险，可可以通通过公公司治治理体体系下下的三三道防防线予予以警警示和和化解解，而而内控控管理理就是是常态态化的的风险险防范范机制制。内控建建设的的整合合框架架模型型内控梳理和建立业务分析与流程梳理识别与评价关键控制点完善内控的措施和体系内控体系的实施推进内控自我评估及改进企业各层级业务经营管理公司治理战略管理业务与流程管理下属分支机构管控内控梳理和建立加强信息化建设，实现系统化的控制加强培训教育，提升企业的内控理念加强组织领导，建立内控组织管理架构项目整体工作作思路调研诊断流程梳理、风险事件库构建搭建内控体系成立内控建设小组对业务的深入调研全面分析和诊断梳理完善各项业务的管理制度和控制措施编制针对风险的内控手册对制度和手册进行辅导实施的推进关键流程梳理编制流程手册识别主要风险对企业风险信息数据进行收集、整理、汇总编制风险事件库调研诊断流程梳理、风险事件库构建搭建内控体系成立内控建设小组对业务的深入调研全面分析和诊断梳理完善各项业务的管理制度和控制措施编制针对风险的内控手册对制度和手册进行辅导实施的推进关键流程梳理编制流程手册识别主要风险对企业风险信息数据进行收集、整理、汇总编制风险事件库第一阶段：调调研诊断行业背景业务情况组织架构公司治理经营管理政策法规科目1科目2科目3科目4流程1流程2流程3流程4风险1风险2风险3风险4控制措施1控制措施2控制措施3控制措施3对公司总体情况的了解重要活动的确认流程的辨识和确认风险的辨识和确认控制措施和确认流程手册、风险事件库成果总体计划具体计划访谈计划通过资料收集集、流程梳理理、访谈调研研等多种形式式，对风险信信息进行全全面收集资料收集从各层面人员收集公司运营管理及项目运作层面的相关信息发现与本项目相关的关键问题明确项目管理模式的重点内容资料分析收集近三年的管理规章制度、项目操作手册、经营计划和总结、主要财务报表等搜集媒体相关报道信息，客观了解公司现状深度访谈参观相关单位、生产现场等约请高管人士座谈深度访谈访谈准备1、明确访谈目目的，了解流流程和控制2、访谈前应大大致了解：被访谈人员的的岗位职责访谈相关的业业务制度、流流程关键控制目标标、业务固有有风险相关监管要求求、标准控制制措施访谈提纲业务访谈1、介绍背景2、交代目的3、适度引导4、做好铺垫访谈纪要自下而上开始点终结点控制点逐步分层流程活动控制方法相关人员输出文档组织结构、部部门职能经营模型、价价值链内外环境分析析对外期望战略规划战略实施与监监控战略评价经营计划全面预算投资规划与实实施市场及营销生产管理存货管理销售订单及信用管理采购管理固定资产管理理技改工程管理理研究与开发财务、资金及及税务管理人力资源管理理审计监察信息化管理安全、质量、、环保资料收集客户内部资料料相关专业资料料行业资料内控项目前期期资料需求清清单调研诊断流程梳理、风险事件库构建搭建内控体系成立内控建设小组对业务的深入调研全面分析和诊断梳理完善各项业务的管理制度和控制措施编制针对风险的内控手册对制度和手册进行辅导实施的推进关键流程梳理编制流程手册识别主要风险对企业风险信息数据进行收集、整理、汇总编制风险事件库第二阶段：流流程梳理、风风险事件库构构建行业背景业务情况组织架构公司治理经营管理政策法规科目1科目2科目3科目4流程1流程2流程3流程4风险1风险2风险3风险4控制措施1控制措施2控制措施3控制措施3对公司总体情况的了解重要活动的确认流程的辨识和确认风险的辨识和确认控制措施和确认流程手册、风险事件库成果关键流程梳理理工作方式合理划分出流程清单的章、节、流程名和标号各部门组织识别本部门领导或参与的流程对各部门主管和骨干、流程专管人员进行流程概念培训流程专管人员整合清理各部门主管确认，提交流程专管人员形成流程清单在集团现有流流程的基础上上，通过对集集团总部各部部门进行培训训、研讨、确确认流程框架架体系，形成成流程清单…某公司的内控控框架梳理基于发展展战略/商业业模式的关键键流程采购IT人力资源源资源组织物流配送送市场营销售后服务产品研发财务商业模式式主流程：：一级子流程程：二级子流流程：产品规划产品维护业务模式式业务流程程模板、手手册/表单流程体系系结构业务流程程模板、表表单与手册企业业务务模式表述为体现为执执行的流流程建立执行行的标准准企业商业业模式/战略转化为3产品设计财务报告告基于财务务数据公司范围围重要科目目重要科目目与流程程匹配流程手册册构成-流程目目录（示示例）一、战略管理流程采购招投标管理流程集团战略规划制定流程采购合同管理流程战略目标年度回顾流程……企业管理改进流程四、新建项目建设管理流程二、经营计划及资金预算管理流程项目投资决策流程年度经营计划制定流程项目立项流程预算启动流程项目招标流程预算编制和审批流程……预算执行和调整流程五、营销管理流程资金计划管理流程年度营销计划和预算制定流程财务分析流程价格制定流程…………三、供应管理流程示例流程手册册构成-权责表（（示例））示例①明确每个流程步骤的执行部门及岗位②明确每个步骤的输入和输出文档③明确每个具体步骤的操作④明确流程控制点流程手册册构成-流程图图（示例例）示例识别关键键流程风风险控制制点风险控制点说明1研发中心自身信息收集薄弱2市场部和研发部门衔接不畅，市场部对信息的搜集整理职能薄弱3

缺乏科学规划4无权威专家把关市场研发中心技术专家委员会经理办公会总经理董事会信息整理分析新技术预研建议立项批准批准立项可行性分析转入新产品开发YNYN研究开发成立新技术研究小组评定评定评审评定市场需求信息收集技术发展规划NNNYYYNY重新开题立项评定2431示例通过三个个步骤构构建风险险事件库库风险识别风险评估风险控制风险控制目标流程、组织、职责、沟通构建风险险事件库库的目的的就是实实现企业业的内部部控制目目标风险事件件库建立立包括风风险识别别、风险险评估、、风险控控制三个个模块流程、组组织、职职责和沟沟通是发发挥风险险事件库库作用的的重要手手段综合内外外部风险险因素，，对风险险事件进进行识别别风险识别别通过项项目管理理部门、、技术部部门、人人力资源源部门、、财务部部门、市市场部门门、同业业竞争等等各种渠渠道，从从环境因因素、技技术因素素、目标标因素和和制度因因素等各各个角度度，通过过不同方方法的交交叉使用用来实现现。设备管理理部企业员工工人力资源源部财务部售后服务务部审计部采购部技术研发发部市场部总裁办经济形势势政策法规规行业趋势势竞争对手手新兴技术术外部专家家专业研究机构构其他部门门风险事件件企业经营营中存在在的风险险(风险宇宙TM)资信制度知识产权财务流动资产与信贷资本结构市场财务报告营运法律生产程序营商环境市场结构民风与文化管治策略董事会活动交易并购变卖声誉道德社区责任风险管理董事会及管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规示例通过可能能性和影影响程度度双纬度度进行评评估影响程度度近乎没有轻微中等重大灾难几乎肯肯定极可能可能低极低BCAGIDJKHEF可能性说明:A–人人力资资源风险险B–财财务风风险C–竞竞争风风险D–开开发风风险E–过过度自自信风险险F–系系统故故障风险险G–主主要客客户风险险H–欺欺诈风风险I––政治治风险J––薪酬酬奖励风风险K–科科技风风险概率模型型通过可能能性和影影响程度度双纬度度进行评评估风险发生生的可能能性评估估标准评分可能性说明5几乎肯定在未来12个月内，这项风险几乎肯定会出现至少1次4极可能在未来12个月，这项风险极可能出现1次3可能在未来2至10年内，这项风险可能出现1次2低在未来10至100年内，这项风险可能出现至少1次1极低这项风险出现的可能性极低，估计在100年内出现的可能性少于1次风险发生生的可能能性评估估标准指在公司司目前管管理水平平下，风风险事件件发生概概率的大大小或发发生的频频繁程度度。风险发生生的可能能性分为为五个等等级，分分别赋值值1-5分，表示示可能性性逐渐增增加，1分表示该该风险事事件发生生的可能能性极低低，5分表示该该风险事事件几乎乎确定会会发生。。风险的影影响程度度评估标标准评分影响程度说明5灾难令企业失去继续运作的能力(或占税前利润达20%)4重大对于企业在争取完成其策略性计划和目标，造成重大影响(5-10%税前利润)3中等对于企业在争取完成其策略性计划和目标的过程，在一定程度上造成阻碍(至5%税前利润)2轻微对于企业在争取完成其策略性计划和目标，只造成轻微影响(至1%税前利润)1几乎没有影响程度十分轻微风险的影影响程度度评估标标准指该风险险事件会会对公司司的经营营管理和和业务发发展所产产生影响响的大小小。影响程度度分为五五个等级级，分别别赋值1-5分，表示示影响程程度依此此加强，，1分表示该该风险事事件的影影响程度度几乎没没有，5分表示该该风险事事件的影影响是灾灾难性的的。根据风险险事件评评估结果果，采取取相应风风险控制制手段风险防范范风险化解解风险处理理风险评估估风险控制制内部控制制战略风险控制制既要亡亡羊补牢牢，更要要未雨绸绸缪消灭根源源：可能能时尽量量识别和和消除风风险根源源着力预防防：将识识别和防防范作为为工作一一部分，，加以规规划和执执行风险预案案：事先先制订好好风险发发生后的的补救措措施。如如对不可可控制的的因素，，如纯粹粹的天灾灾失败处理理：觉察察到风险险并迅速速处理危机管理理：风险险已经造造成大麻麻烦后的的处理风险生命命周期风险点（（萌芽））风险发生生风险控制制就是在在内部控控制战略略指导下下，针对对风险等等级形成成应对策策略库风险识别别风险控制制的不同同策略选选择影响程度可能性风险转移风险回避损失控制风险自留大小高低风险控制制是指内内部控制制者采取取各种措措施和方方法，消消灭或减减少风险险事件发发生的各各种可能能性，或或者减少少风险事事件发生生时造成成的损失失。根据风险事事件发生的的可能性及及其影响程程度，可分分为：风险控制的的不同策略略选择风险回避风险回避是是投资主体体有意识地地放弃风险险行为，完完全避免特特定的损失失风险。简简单的风险险回避是一一种最消极极的风险处处理办法，，因为投资资者在放弃弃风险行为为的同时，，往往也放放弃了潜在在的目标收收益。损失控控制损失控控制不不是放放弃风风险，，而是是制定定计划划和采采取措措施降降低损损失的的可能能性或或者是是减少少实际际损失失。控控制的的阶段段包括括事前前、事事中和和事后后三个个阶段段。风险转转移风险转转移，，是指指通过过契约约，将将让渡渡人的的风险险转移移给受受让人人承担担的行行为。。通过过风险险转移移过程程有时时可大大大降降低经经济主主体的的风险险程度度。风风险转转移的的主要要形式式是合同和保险。损失自自留风险自自留，，即风风险承承担。。也就就是说说，如如果损损失发发生，，经济济主体体将以以当时时可利利用的的任何何资金金进行行支付付。风风险保保留包包括无无计划划自留留、有有计划划自我我保险险。综合考考虑企企业面面临的的各种种情况况，选选择适适合的的风险险控制制措施施：风险事事件库库（示示例））示例风险事事件管管理职职责分分工表表（示示例））信用风险人员道德风险人力资源管理风险公司治理风险业务模式风险市场风险政策风险合同管理风险战略风险现金流风险投资风险法律风险安全生产风险不良资产管理风险资产管理中心信息安全风险业务板块纪检监察保卫部信息中心投资管理部法律部审计部财务总部企划部人力资源部信用风险人员道德风险人力资源管理风险公司治理风险业务模式风险市场风险政策风险合同管理风险战略风险现金流风险投资风险法律风险安全生产风险不良资产管理风险资产管理中心信息安全风险业务板块纪检监察保卫部信息中心投资管理部法律部审计部财务总部企划部人力资源部风险名称部门名称主导管理责任协助管理责任示例调研诊断流程梳理、风险事件库构建搭建内控体系成立内控建设小组对业务的深入调研全面分析和诊断梳理完善各项业务的管理制度和控制措施编制针对风险的内控手册对制度和手册进行辅导实施的推进关键流程梳理编制流程手册识别主要风险对企业风险信息数据进行收集、整理、汇总编制风险事件库第三阶阶段：：搭建建内控控体系系内控手册流程手册制度汇编风险事件库撰写内内控手手册等等报告告，完完成内内控体体系建建设向客户户领导导进行行沟通通汇报报项目组组研讨讨咨询机机构领领导及及专家家评审审委评评审形成内内控体体系报报告初初稿撰写内内控手手册、、制度度手册册等文文件正式汇汇报在前期期调研研诊断断、流流程梳梳理、、建立立风险险事件件库的的基础础上，，项目目组进进行内内控手手册、、制度度手册册等报报告文文件的的编写写内控手手册（（示例例）示例项目最最终提提交成成果汇汇总（（示例例）示例企业内内控运运行有有效性性评价价内部控制有效性内部控控制设设计有有效性性内部控控制运运行有有效性性内部控控制文文档记记录是是否完完整、、准确确重要控控制设设计是是否有有效相关控制在评价期内是如何运行的相关控制是否得到了持续一致的运行实施控制人员是否具备必要的权限和能力建设阶阶段评价阶阶段有效性性评价价的步步骤步骤二：根据测试底稿，取得样本总体，并通过适当抽样方法选取一定数量样本作为测试对象。步骤一：以风险控制矩阵中的关键控制点为对象，编制测试底稿，针对每项待测试关键控制点判断测试方法，设计测试要点，明确测试属性和工作步骤。步骤三：通过询问、观察、检查及重新执行等方式进行测试，以评价相关控制活动的执行情况。步骤四：在测试底稿中记录测试结果，进行缺陷认定，并留存相关可验证的文档。有效性性评价价的原原则如何选选择需需要测测试的的关键键控制制点——RAPSBS原则Relevant：相关性性是指所所选择择的控控制能能够实实现控控制目目标Adequate：充分性性是指所所选择择的控控制能能够充充分起起到防防止或或发现现并纠纠正在在认定定层面面重大大错报报的作作用Pervasive：全面性性是指所所选择择的控控制在在风险险防范范和发发现