公司内控体系建设项目案例

公司内控体系建设项目案例管理咨询有限公司2014年2月项目背景及客户需求工作思路、与方法目录简介公司成立注册资本金由1.19亿元增加到5.78亿元公司成为某公司的控股股东经批准，公司由三级公司升格为二级公司2013.2.25公司党委、纪委成立2010.12.202012.12.222013.3.282013.6.26公司员工将近500人，其中总部60余人，子公司200余人2013年实现营业收入7亿余元项目系统集成；核心装备制造；项目的投资建设；工程实施及运营管理人员规模产品结构销售收入2015年实现销售收入20亿元。成为“国内一流、国际知名的上市公司。打基础抓好运营、在建项目的管理谋发展重点抓好大项目推进和落地。发展战略：

一个目标两个支撑十二五的核心工作与目标的内控要求国资发评价〔2012〕68号文《关于央企加强构建内控体系的通知》《关于转发国资委、财政部<关于加快构建中央企业内部控制体系有关事项>的通知》

2013年

2018年工业领域全方位服务商国内一流，国际知名销售收入XX亿元服务综合解决方案发展全方位服务行业服务百强公司上市销售收入七亿销售收入二十亿

2015年战略规划目标要求2014年工作任务流程梳理风险事件库内控手册国资委及总部要求五年发展规划的战略部署

竞争者 敏感性 股东关系 资金充足性 金融市场

灾难性损失 独立／政治 法律 行政管理 行业 环境风险信息技术风险使用权完整性 相关性可得到性基础设施

财务风险货币 利率流动性 结算再投资 信用双边关系现金转移或流速改变

廉政风险管理欺诈 雇员欺诈非法行为 无授权使用商誉治理与管控风险领导力 权力限制 表现激励沟通 公司治理

营运风险客户满意 人力资源产品开发 效率能力 表现差异循环时间 资源商品定价 过失或损失符合性 业务中断健康和安全 环境产品或服务失败商标或产品名侵蚀

营运价格 合同投入衡量结盟 完整性和精确性管理报告决策信息风险

财务预算和计划 完整性和精确性会计信息 财务报告评价税收 养老基金投资评估 管理报告

战略环境检视 业务组合价值衡量 组织结构资源分配 计划生命周期企业需要按照以下的“企业风险模型”设计企业内部管理及风险控制体系来全面减少企业的经营风险企业风险模型告知我们，企业经营过程中始终存在多重风险中国内部控制相关法规的发展历程979899000102030405070809106月5日，上海证券交易所出台《上海证券交易所上市公司内部控制指引》6月6日，国务院国有资产监督管理委员会“关于印发《中央企业全面风险管理指引》的通知”9月28日，深圳证券交易所出台关于发布《上市公司内部控制指引》的通知3月3日，财政部发布关于印《企业内部控制规范——基本规范》和17项具体规范（征求意见稿）的通知2008年6月28日，财政部、证监会、审计署、银监会、保监会联合召开企业内部控制基本规范发布会发布了《企业内部控制基本规范》以及配套规范的征求意见稿，2009年7月1日起实施2009年1月，陆续发布了《企业内部控制应用指引》的数个更新稿6月5日，中共中央办公厅、国务院办公厅印发了《关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见》4月26日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，标志着我国企业内部控制规范体系基本建成0611125月7日，国资委、财政部发布《关于加快构建中央企业内部控制体系有关事项的通知》，要求各中央企业应当自2013年起，于每年5月31日前向国资委报送内部控制评价报告，同时抄送派驻本企业监事会。中国内部控制与内控法规概览财政部等五部委出台的《企业内部控制基本规范》，为企业提供了完整和公认的内部控制框架，同时以法规的形式要求上市公司对本公司内部控制的有效性进行自我评价。国资委出台的指引强调对风险的识别、分析、评估、防控和监督，为企业防控风险，建立控制体系提供指引。《应用指引》具体提出18个具体流程的应用指引。在每个具体流程中规定了该指引的目的，相关定义，该流程的主要风险，岗位分工及授权批准，及主要流程的控制程序。《评价指引》具体规范了内控评价的内容和标准，评价的程序和方法，内控缺陷的认定，以及规定了评价报告的相关内容。《审计指引》指导注册会计师执行内控审计业务。证交所出台了一系列的内部控制指引，为上市公司建立和实施内部控制制度提供指引。财政部等五部委企业内部控制基本规范企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引国资委中央企业全面风险管理指引证券交易所行业监管机构上市公司内控指引•上交所内控指引•深交所内控指引行业内控指引•商业银行内控指引•证券公司内控指引•保险公司内部控制基本准则我们对上市公司内部控制体系建设需求的理解为了全面应对风险管理和内部控制的相关法律法规，上市公司应该构建一个内部控制的整合框架体系，做到“两个融合”。基于财务报告的内部控制与基于全面风险管理的内部控制体系的整合内部控制整合框架内部控制体系与全面风险管理体系的整合上市公司《企业内部控制基本规范》及配套指引《全面风险管理指引》《上市公司内控指引》项目背景及客户需求工作思路、与方法目录内控体系基基本思路、、原则和目目标全面性原则则：覆盖各种业业务和事项项重要性原则则：关注重要业业务事项和和高风险领领域制衡性原则则：相互制约、、相互监督督，并兼顾顾运营效率率适应性原则则：与企业相适适应，并随随情况的变变化及时加加以调整成本效益原原则：权衡实施成成本与预期期效益东方博融根根据《企业内部控控制基本规规范》整理五部委内部部控制基本本规范企业内内部控控制基基本规规范企业内内部控控制应应用指指引资金活动采购业务资产管理销售业务研究与开发发工程项目担保业务业务外包财务报告组织架构发展战略人力资源企业文化社会责任全面预算合同管理内部信息传传递信息系统企业内部控制审计指引企业内部控制评价指引内部环境类类控制手段类类控制活动类类管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会企业风险管管理框架企业的管理理风险，可可以通过公公司治理体体系下的三三道防线予予以警示和和化解，而而内控管理理就是常态态化的风险险防范机制制。内控建设的的整合框架架模型内控梳理和建立业务分析与流程梳理识别与评价关键控制点完善内控的措施和体系内控体系的实施推进内控自我评估及改进企业各层级业务经营管理公司治理战略管理业务与流程管理下属分支机构管控内控梳理和建立加强信息化建设，实现系统化的控制加强培训教育，提升企业的内控理念加强组织领导，建立内控组织管理架构项目整体工工作思路调研诊断流程梳理、风险事件库构建搭建内控体系成立内控建设小组对业务的深入调研全面分析和诊断梳理完善各项业务的管理制度和控制措施编制针对风险的内控手册对制度和手册进行辅导实施的推进关键流程梳理编制流程手册识别主要风险对企业风险信息数据进行收集、整理、汇总编制风险事件库调研诊断流程梳理、风险事件库构建搭建内控体系成立内控建设小组对业务的深入调研全面分析和诊断梳理完善各项业务的管理制度和控制措施编制针对风险的内控手册对制度和手册进行辅导实施的推进关键流程梳理编制流程手册识别主要风险对企业风险信息数据进行收集、整理、汇总编制风险事件库第一阶段：：调研诊断断行业背景业务情况组织架构公司治理经营管理政策法规科目1科目2科目3科目4流程1流程2流程3流程4风险1风险2风险3风险4控制措施1控制措施2控制措施3控制措施3对公司总体情况的了解重要活动的确认流程的辨识和确认风险的辨识和确认控制措施和确认流程手册、风险事件库成果总体计划划具体计划划访谈计划划通过资料料收集、、流程梳梳理、访访谈调研研等多种种形式，，对风险险信息进进行全全面收集集资料收集从各层面人员收集公司运营管理及项目运作层面的相关信息发现与本项目相关的关键问题明确项目管理模式的重点内容资料分析收集近三年的管理规章制度、项目操作手册、经营计划和总结、主要财务报表等搜集媒体相关报道信息，客观了解公司现状深度访谈参观相关单位、生产现场等约请高管人士座谈深度访谈谈访谈准备备1、明确访访谈目的的，了解解流程和和控制2、访谈前前应大致致了解：：被访谈人人员的岗岗位职责责访谈相关关的业务务制度、、流程关键控制制目标、、业务固固有风险险相关监管管要求、、标准控控制措施施访谈提纲纲业务访谈谈1、介绍背背景2、交代目目的3、适度引引导4、做好铺铺垫访谈纪要要组织结构构、部门门职能经营模型型、价值值链内外环境境分析对外期望望战略规划划战略实施施与监控控战略评价价经营计划划全面预算算投资规划划与实施施市场及营营销生产管理理存货管理理销售订单单及信用管理理采购管理理固定资产产管理技改工程管理理研究与开发财务、资金及及税务管理人力资源管理理审计监察信息化管理安全、质量、、环保资料收集客户内部资料料相关专业资料料行业资料内控项目前期期资料需求清清单调研诊断流程梳理、风险事件库构建搭建内控体系成立内控建设小组对业务的深入调研全面分析和诊断梳理完善各项业务的管理制度和控制措施编制针对风险的内控手册对制度和手册进行辅导实施的推进关键流程梳理编制流程手册识别主要风险对企业风险信息数据进行收集、整理、汇总编制风险事件库第二阶段：流流程梳理、风风险事件库构构建行业背景业务情况组织架构公司治理经营管理政策法规科目1科目2科目3科目4流程1流程2流程3流程4风险1风险2风险3风险4控制措施1控制措施2控制措施3控制措施3对公司总体情况的了解重要活动的确认流程的辨识和确认风险的辨识和确认控制措施和确认流程手册、风险事件库成果关键流程梳理理工作方式合理划分出流程清单的章、节、流程名和标号各部门组织识别本部门领导或参与的流程对各部门主管和骨干、流程专管人员进行流程概念培训流程专管人员整合清理各部门主管确认，提交流程专管人员形成流程清单在集团现有流流程的基础上上，通过对集集团总部各部部门进行培训训、研讨、确确认流程框架架体系，形成成流程清单…某公司的内控控框架梳理基于发展展战略/商业业模式的关键键流程采购IT人力资源资源组织物流配送市场营销售后服务产品研发财务商业模式主流程：一级子流程：：二级子流程：：产品规划产品维护业务模式业务流程模板、手册册/表单流程体系结结构业务流程模板、表单单与手册企业业务模模式表述为体现为执行行的流程建立执行的的标准企业商业模模式/战略转化为3产品设计财务报告基于财务数数据公司范围重要科目重要科目与与流程匹配配流程手册构构成-流程程目录（示示例）一、战略管理流程采购招投标管理流程集团战略规划制定流程采购合同管理流程战略目标年度回顾流程……企业管理改进流程四、新建项目建设管理流程二、经营计划及资金预算管理流程项目投资决策流程年度经营计划制定流程项目立项流程预算启动流程项目招标流程预算编制和审批流程……预算执行和调整流程五、营销管理流程资金计划管理流程年度营销计划和预算制定流程财务分析流程价格制定流程…………三、供应管理流程示例流程手册构构成-权责表（示示例）示例①明确每个流程步骤的执行部门及岗位②明确每个步骤的输入和输出文档③明确每个具体步骤的操作④明确流程控制点流程手册构构成-流程程图（示例例）示例识别关键流流程风险控控制点风险控制点说明1研发中心自身信息收集薄弱2市场部和研发部门衔接不畅，市场部对信息的搜集整理职能薄弱3

缺乏科学规划4无权威专家把关市场研发中心技术专家委员会经理办公会总经理董事会信息整理分析新技术预研建议立项批准批准立项可行性分析转入新产品开发YNYN研究开发成立新技术研究小组评定评定评审评定市场需求信息收集技术发展规划NNNYYYNY重新开题立项评定2431示例通过三个步步骤构建风风险事件库库风险识别风险评估风险控制风险控制目标流程、组织、职责、沟通构建风险事事件库的目目的就是实实现企业的的内部控制制目标风险事件库库建立包括括风险识别别、风险评评估、风险险控制三个个模块流程、组织织、职责和和沟通是发发挥风险事事件库作用用的重要手手段综合内外部部风险因素素，对风险险事件进行行识别风险识别通通过项目管管理部门、、技术部门门、人力资资源部门、、财务部门门、市场部部门、同业业竞争等各各种渠道，，从环境因因素、技术术因素、目目标因素和和制度因素素等各个角角度，通过过不同方法法的交叉使使用来实现现。设备管理部部企业员工人力资源部部财务部售后服务部部审计部采购部技术研发部部市场部总裁办经济形势政策策法法规规行业业趋趋势势竞争争对对手手新兴兴技技术术外部部专专家家专业业研究究机机构构其他他部部门门风险险事事件件企业业经经营营中中存存在在的的风风险险(风险宇宙TM)资信制度知识产权财务流动资产与信贷资本结构市场财务报告营运法律生产程序营商环境市场结构民风与文化管治策略董事会活动交易并购变卖声誉道德社区责任风险管理董事会及管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规示例例通过过可可能能性性和和影影响响程程度度双双纬纬度度进进行行评评估估影响响程程度度近乎没有轻微中等重大灾难几乎乎肯肯定定极可可能能可能能低极低低BCAGIDJKHEF可能能性性说明明:A––人人力力资资源源风风险险B––财财务务风风险险C–竞竞争风风险D–开开发风风险E–过过度自自信风险险F–系系统故故障风险险G–主主要客客户风险险H–欺欺诈风风险I––政治治风险J––薪酬酬奖励风风险K–科科技风风险概率模型型通过可能能性和影影响程度度双纬度度进行评评估风险发生生的可能能性评估估标准评分可能性说明5几乎肯定在未来12个月内，这项风险几乎肯定会出现至少1次4极可能在未来12个月，这项风险极可能出现1次3可能在未来2至10年内，这项风险可能出现1次2低在未来10至100年内，这项风险可能出现至少1次1极低这项风险出现的可能性极低，估计在100年内出现的可能性少于1次风险发生生的可能能性评估估标准指在公司司目前管管理水平平下，风风险事件件发生概概率的大大小或发发生的频频繁程度度。风险发生生的可能能性分为为五个等等级，分分别赋值值1-5分，表示示可能性性逐渐增增加，1分表示该该风险事事件发生生的可能能性极低低，5分表示该该风险事事件几乎乎确定会会发生。。风险的影影响程度度评估标标准评分影响程度说明5灾难令企业失去继续运作的能力(或占税前利润达20%)4重大对于企业在争取完成其策略性计划和目标，造成重大影响(5-10%税前利润)3中等对于企业在争取完成其策略性计划和目标的过程，在一定程度上造成阻碍(至5%税前利润)2轻微对于企业在争取完成其策略性计划和目标，只造成轻微影响(至1%税前利润)1几乎没有影响程度十分轻微风险的影影响程度度评估标标准指该风险险事件会会对公司司的经营营管理和和业务发发展所产产生影响响的大小小。影响程度度分为五五个等级级，分别别赋值1-5分，表示示影响程程度依此此加强，，1分表示该该风险事事件的影影响程度度几乎没没有，5分表示该该风险事事件的影影响是灾灾难性的的。根据风险险事件评评估结果果，采取取相应风风险控制制手段风险防范范风险化解解风险处理理风险评估估风险控制制内部控制制战略风险控制制既要亡亡羊补牢牢，更要要未雨绸绸缪消灭根源源：可能能时尽量量识别和和消除风风险根源源着力预预防：：将识识别和和防范范作为为工作作一部部分，，加以以规划划和执执行风险预预案：：事先先制订订好风风险发发生后后的补补救措措施。。如对对不可可控制制的因因素，，如纯纯粹的的天灾灾失败处处理：：觉察察到风风险并并迅速速处理理危机管管理：：风险险已经经造成成大麻麻烦后后的处处理风险生生命周周期风险点点（萌萌芽））风险发发生风险控控制就就是在在内部部控制制战略略指导导下，，针对对风险险等级级形成成应对对策略略库风险识识别风险控控制的的不同同策略略选择择影响程度可能性风险转移风险回避损失控制风险自留大小高低风险控控制是是指内内部控控制者者采取取各种种措施施和方方法，，消灭灭或减减少风风险事事件发发生的的各种种可能能性，，或者者减少少风险险事件件发生生时造造成的的损失失。根据风风险事事件发发生的的可能能性及及其影影响程程度，，可分分为：：风险控控制的的不同同策略略选择择风险回回避风险回回避是是投资资主体体有意意识地地放弃弃风险险行为为，完完全避避免特特定的的损失失风险险。简简单的的风险险回避避是一一种最最消极极的风风险处处理办办法，，因为为投资资者在在放弃弃风险险行为为的同同时，，往往往也放放弃了了潜在在的目目标收收益。。损失控制损失控制不不是放弃风风险，而是是制定计划划和采取措措施降低损损失的可能能性或者是是减少实际际损失。控控制的阶段段包括事前前、事中和和事后三个个阶段。风险转移风险转移，，是指通过过契约，将将让渡人的的风险转移移给受让人人承担的行行为。通过过风险转移移过程有时时可大大降降低经济主主体的风险险程度。风风险转移的的主要形式式是合同和保险。损失自留风险自留，，即风险承承担。也就就是说，如如果损失发发生，经济济主体将以以当时可利利用的任何何资金进行行支付。风风险保留包包括无计划划自留、有有计划自我我保险。综合考虑企企业面临的的各种情况况，选择适适合的风险险控制措施施：风险事件库库（示例））示例风险事件管管理职责分分工表（示示例）信用风险人员道德风险人力资源管理风险公司治理风险业务模式风险市场风险政策风险合同管理风险战略风险现金流风险投资风险法律风险安全生产风险不良资产管理风险资产管理中心信息安全风险业务板块纪检监察保卫部信息中心投资管理部法律部审计部财务总部企划部人力资源部信用风险人员道德风险人力资源管理风险公司治理风险业务模式风险市场风险政策风险合同管理风险战略风险现金流风险投资风险法律风险安全生产风险不良资产管理风险资产管理中心信息安全风险业务板块纪检监察保卫部信息中心投资管理部法律部审计部财务总部企划部人力资源部风险名称部门名称主导管理责任协助管理责任示例调研诊断流程梳理、风险事件库构建搭建内控体系成立内控建设小组对业务的深入调研全面分析和诊断梳理完善各项业务的管理制度和控制措施编制针对风险的内控手册对制度和手册进行辅导实施的推进关键流程梳理编制流程手册识别主要风险对企业风险信息数据进行收集、整理、汇总编制风险事件库第三阶段：：搭建内控控体系内控手册流程手册制度汇编风险事件库撰写内控手手册等报告告，完成内内控体系建建设向客户领导导进行沟通通汇报项目组研讨讨咨询机构领领导及专家家评审委评评审形成内控体体系报告初初稿撰写内控手手册、制度度手册等文文件正式汇报在前期调研研诊断、流流程梳理、、建立风险险事件库的的基础上，，项目组进进行内控手手册、制度度手册等报报告文件的的编写内控手册（（示例）示例项目最终提提交成果汇汇总（示例例）示例企业内控运运行有效性性评价内部控制有效性内部控制设设计有效性性内部控制运运行有效性性内部控制文文档记录是是否完整、、准确重要控制设设计是否有有效相关控制在评价期内是如何运行的相关控制是否得到了持续一致的运行实施控制人员是否具备必要的权限和能力建设阶段评价阶段有效性评价价的步骤步骤二：根据测试底稿，取得样本总体，并通过适当抽样方法选取一定数量样本作为测试对象。步骤一：以风险控制矩阵中的关键控制点为对象，编制测试底稿，针对每项待测试关键控制点判断测试方法，设计测试要点，明确测试属性和工作步骤。步骤三：通过询问、观察、检查及重新执行等方式进行测试，以评价相关控制活动的执行情况。步骤四：在测试底稿中记录测试结果，进行缺陷认定，并留存相关可验证的文档。有效效性性评评价价的的原原则则Relevant：相关性是指所选择的控制能够实现控制目标Adequate：充分性是指所选择的控制能够充分起到防止或发现并纠正在认定层面重大错报的作用Pervasive：全面性是指所选择的控制在风险防范和发现功能上较其他控制而言具有更广泛的适用性Sensitive：敏感度是指在错报发生前，控制能够及时察觉并防止其发生，在错报发生后，控制能够及时察觉该错报，并起到纠正的作用BalanceofPreventandDetect：合理平衡预防性与检查性控制SuiteofControls：控制组合观是基于控制属性而做的安排，合理设计/执行不同属性的控制组合可以有效从多维度防范和发现风险。测试试底底稿稿测试试方方法法重新执行检查观察询问有效效询问问：：询询问问公公司司内内部部或或外外部部的的适适当当人人员员，，以以获获取取信信息息。。询询问问可可分分为为书书面面形形式式和和口口头头形形式式，，提提供供的的保保障障程程度度最最低低。。观察察：：观观察察公公司司的的经经营营活活动动以以及及员员工工执执行行控控制制的的过过程程等等，，只只能能保保证证测测试试者者在在观观察察时时内内部部控控制制得得到到了了有有效效执执检查：检查内部控制执行过程中所保留的记录或文档，通过检查手工控制留下的证据可以作为测试手工控制的较好方法，所获评价证据的可靠程度较高。重新执行：提供了最高程度的保证。评价标准达标：对于每个控控制活动，只未达标：对于某个控制活动，一旦某一个样本不满足控制活动要求时，选择测试结果为“未达标”（对于每日多次发现1例未达标样本，在追加样本测试未发现新不合格样本时结论可为“达标”）。不适用：测试单位不存在此种情况或此项业务，选择测试结果“不适用”。样本量不足：指已抽取的样本全部达标，只是由于整改或者新流程的改变导致无法取得满足要求的样本数量。未发生交易：控制活动所涉及的业务在测试期间尚未发生。感谢聆听！9、静夜四无邻邻，荒居旧业业贫。。2023/1/62023/1/6Friday,January6,202310、雨中中黄叶叶树，，灯下下白头头人。。。2023/1/62023/1/62023/1/61/6/20231:33:02PM11、以我独沈久久，愧君相见见频。。2023/1/62023/1/62023/1/6Jan-2306-Jan-2312、故故人人江江海海别别，，几几度度隔隔山山川川。。。。2023/1/62023/1/62023/1/6Friday,January6,202313、乍见见翻疑疑梦，，相悲悲各问问年。。。2023/1/62023/1/62023/1/62023/1/61/6/202314、他乡生白发发，旧国见青青山。。06一月20232023/1/62023/1/62023/1/615、比不不了得得就不不比，，得不不到的的就不不要。。。。。一月232023/1/62023/1/62023/1/61/6/202316、行动出出成果，，工作出出财富。。。2023/1/62023/1/606January202317、做前前，能能够环环视四四周；；做时时，你你只能能或者者最好好沿着着以脚脚为起起点的的射线线向前前。。。2023/1/62023/1/62023/1/62023/1/69、没有失失败，只只有暂时时停止成成功！。。2023/1/62023/1/6Friday,January6,202310、很多事情努努力了未必有有结果，但是是不努力却什什么改变也没没有。。2023