搜索
全面内部控制建设2013年10月DeloittescreensmallJan2010目录“三鹿奶粉事件”案例分析全面内部控制的涵义内控的几个关键因素内控评价工作的有效开展“六位一体”内控实例介绍几点体会DeloittescreensmallJan2010三鹿简介三鹿集团是一个有半个世纪历史,集奶牛饲养、乳品加工、科研开发为一体的大型企业集团,是中国食品工业百强、农业产业化国家重点龙头企业,连续6年入选中国企业500强;是国产奶粉的“龙头”,奶粉产销量已连续10余年全国第一,2007年国内市场占有率达到18.26%,比位居二三的其他品牌分别高出5.68%和9.43%。DeloittescreensmallJan2010案例回顾2007年底,三鹿已经先后接到农村偏远地区反映,称食用三鹿婴幼儿奶粉后,婴儿出现尿液中有颗粒现象。2008年6月中旬,又收到婴幼儿患肾结石去医院治疗的信息。7月24日将16个样品委托河北出入镜检验检疫技术中心进行检测,并在8月1日得到了令人胆寒的结果。2008年7月29日,三鹿集团向各地代理商发送《婴幼儿尿结晶和肾结石问题的解释》,要求各终端以天气过热、饮水过多、脂肪摄取过多、蛋白质过量等理由安抚消费者。DeloittescreensmallJan2010案例回顾对于经销商,三鹿集团也同样采取了糊弄的手法。从2008年7月10日到8月底的几轮回收过程中,三鹿集团从未向经销商公开产品质量问题。三鹿牌婴幼儿配方奶粉重大食品安全事故发生后,三鹿集团于2008年9月12日全面停产。2008年12月25日,河北省石家庄市政府举行新闻发布会,通报三鹿集团股份有限公司破产案处理情况。至此,经中国品牌资产评价中心评定,价值高达149.07亿元的三鹿品牌资产灰飞烟灭。DeloittescreensmallJan2010结合《企业内部基本规范》五要素,从内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面进行分析如下:内部环境:•治理机构的制衡机制失效。•组织结构盲目扩张。组织体系要求体系内容要求体系保障要求体系评价要求控制活动信息与沟通内部监督内部环境风险评估案例分析DeloittescreensmallJan2010结合《企业内部基本规范》五要素,从内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面进行分析如下:内部环境:•“奶牛+农户”饲养管理模式在执行中存在重大风险。•奶源建设要求低,原奶质量不过关。•缺乏社会责任感。组织体系要求体系内容要求体系保障要求体系评价要求控制活动信息与沟通内部监督内部环境风险评估案例分析DeloittescreensmallJan2010结合《企业内部基本规范》五要素,从内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面进行分析如下:风险评估:•高层管理人员醉心规模扩张,风险意识淡薄。•食品安全风险重视不足。•缺少应有的风险预警机制。组织体系要求体系内容要求体系保障要求体系评价要求控制活动信息与沟通内部监督内部环境风险评估案例分析DeloittescreensmallJan2010结合《企业内部基本规范》五要素,从内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面进行分析如下:控制活动:•日常控制不足。组织体系要求体系内容要求体系保障要求体系评价要求控制活动信息与沟通内部监督内部环境风险评估案例分析DeloittescreensmallJan2010结合《企业内部基本规范》五要素,从内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面进行分析如下:信息与沟通:•未及时、真诚的与消费者和媒体进行沟通。组织体系要求体系内容要求体系保障要求体系评价要求控制活动信息与沟通内部监督内部环境风险评估内部监督:•监管不力。案例分析DeloittescreensmallJan2010目录“三鹿奶粉事件”案例分析全面内部控制的涵义内控的几个关键因素内控评价工作的有效开展“六位一体”内控实例介绍几点体会DeloittescreensmallJan2010全员全方位全过程DeloittescreensmallJan2010内部控制环境组织架构、发展战略、人力资源、社会责任、企业文化内部控制手段全面预算、合同管理、内部信息传递、信息系统内部控制活动资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告DeloittescreensmallJan2010确定标准衡量业绩纠正偏差控制1.什么是控制?管理学视控制过程为“确定标准+衡量业绩+纠正偏差”。核心是对个人行为的控制。全面内部控制强调管理控制。DeloittescreensmallJan2010基于业务实施控制实时监控嵌入式控制力集成化DeloittescreensmallJan2010——控制力越强越好吗?DeloittescreensmallJan2010目录“三鹿奶粉事件”案例分析全面内部控制的涵义内控的几个关键因素内控评价工作的有效开展“六位一体”内控实例介绍几点体会DeloittescreensmallJan2010以业务流程为纽带,将业务流程各节点与其他管理要素进行匹配和整合,将内控规范与业务运营融为一体,将内控规范与日常办公融为一体,并且贯穿于业务始终,让内控无时不在、无处不在,保证业务运作过程合法合规、高质高效、数据真实、风险可控。公司控制环境•组织架构•发展战略•人力资源•社会责任•企业文化•信息与沟通•…IT信息系统操作系统/数据库/网络/应用系统…公司层面控制业务层面控制业务层面控制•资金活动•采购业务•资产管理•销售业务•工程项目•担保业务•业务外包•财务报告•…基于业务本身实施内部控制DeloittescreensmallJan2010运用信息系统加强内部控制合理运用信息技术加强控制,建立与经营管理相适应的信息系统,实现对业务的过程控制,最终形成“集成化+在线化+实时化”的内部控制格局。IT系统应用控制业务流程中内嵌的信息系统相关控制,以保证信息处理的完整性,准确性,有效性和访问控制。应用系统控制的例子包括:•授权审批•职责分离•系统编辑控制•系统计算•…IT信息系统操作系统/数据库/网络/应用系统…公司层面控制对控制活动的记录将包括以下关注点(5W1H)-被控制的风险是什么(what)?-是如何控制的(how)?-为什么要实施控制(why)?-谁来实施控制(who)?-什么时候实施控制(when)?-控制活动是通过什么系统完成的(whatsystem)?DeloittescreensmallJan2010内控建设分工要明确内控建设总的思路应该是统一规划、归口管理、分头实施、共建共享。统一规划就是做好顶层设计;归口管理就是有一个综合部门统筹内控业务;分头实施就是本部各部门按照总体规划,承担分管业务的内控建设;共建共享就是达到共同建设、共同分享、共同应用的整体效果。内控归口管理部门的主要职责是建立标准,实行监管;业务部门应是内控建设的主导责任部门。只有这样,才能防止内部控制、风险管控与业务运营的“两张皮”。内控决不是游离业务之外而另搞一套体制、机制和制度。DeloittescreensmallJan2010目录“三鹿奶粉事件”案例分析全面内部控制的涵义内控的几个关键因素内控评价工作的有效开展“六位一体”内控实例介绍几点体会DeloittescreensmallJan2010“六位一体”概念基于“六位一体”全面内部控制,就是以业务流程为纽带,并使之与“岗位职责+业务风险+规章制度+规范标准+业绩指标”这些管理要素有机整合,靠信息化手段支撑,实现企业内控的集成化、在线化和实时化。概念设计理念主要做法主要特点DeloittescreensmallJan2010“六位一体”设计理念解决在哪控的问题解决控什么的问题解决怎么控的问题解决控得怎么样的问题解决在哪控的问题——解决在哪控的问题。实施“六位一体”全面内部控制是基于“业务业务流程业务流程节点”实施在线控制。概念设计理念主要做法主要特点DeloittescreensmallJan2010“六位一体”设计理念解决在哪控的问题解决控什么的问题解决怎么控的问题解决控得怎么样的问题——解决控什么的问题。就业务流程节点嵌入管理五要素,即职责+风险+制度+标准+业绩。同时,强化控制力,弥补“上级监督太远、同级监督太软、下级监督太难、外部监督太短、司法监督太晚”的不足。解决控什么的问题概念设计理念主要做法主要特点DeloittescreensmallJan2010“六位一体”设计理念解决在哪控的问题解决控什么的问题解决怎么控的问题解决控得怎么样的问题——解决怎么控的问题。采用“嵌入”方式,将内控规范像“楔子”一样嵌入到企业业务流程,强化日常运营监测,靠信息化手段达到在线控制和实时控制。解决怎么控的问题概念设计理念主要做法主要特点DeloittescreensmallJan2010“六位一体”设计理念解决在哪控的问题解决控什么的问题解决怎么控的问题解决控得怎么样的问题——解决控得怎么样的问题。通过全员业绩考核管理信息平台,强化绩效控制,把KRI+KPI指标纳入考核体系,让“怎么控”与“控得怎么样”形成闭环效应。解决控得怎么样的问题概念设计理念主要做法主要特点DeloittescreensmallJan2010“六位一体”主要做法1.如何管流程。概念设计理念主要做法主要特点梳理流程优化流程E化流程监控流程DeloittescreensmallJan2010“六位一体”主要做法2.如何管权责。概念设计理念主要做法主要特点编制《权限指引》E化《权限指引》DeloittescreensmallJan2010“六位一体”主要做法2.如何管权责。概念设计理念主要做法主要特点总裁助理以上行政级别人员年度绩效考评及年终管理支持体系集团二级、三级及以下部门组织机构设置和变更组织规划财务管理业务运营体系人力资源管理IT管理人事管理安全健康环保管理安全管理行政法务合同管理行政管理用车标准年度安全管理目标、指标项目立项基建工程立项(项目分级)基建管理IT建设IT项目立项及变更研发管理预算管理月度资金计划融资管理注册资本变更/发行债券商务管理生产计划产销类计划-中期产销存计划供方开发审批供应商管理治理、组织及文化计划与定价(营销)月度销售计划的制定及调整战略规划集团五年发展战略制定与调整营销管理服务订单(服务)维修合同审批组织战略体系董事的选举公司治理内部控制战略管理年度内控报告制造管理研发项目管理新领域产品研发项目立项及变更ABC集团授权地图3、决策流程地图决策授权的方法DeloittescreensmallJan2010“六位一体”主要做法3.如何管风险。概念设计理念主要做法主要特点识别风险评估风险监控风险DeloittescreensmallJan2010“六位一体”主要做法4.如何管制度。概念设计理念主要做法主要特点健全制度E化制度监控制度DeloittescreensmallJan2010“六位一体”主要做法5.如何管标准。概念设计理念主要做法主要特点梳理标准E化标准DeloittescreensmallJan2010“六位一体”主要做法6.如何管业绩。概念设计理念主要做法主要特点建立业绩考核体系按考核结果兑现奖惩DeloittescreensmallJan2010信息化支撑靠信息化把“六位一体”各要素管起来。针对“流程+权责+风险+制度+标准+业绩”,分别设计了信息支撑系统,实现全过程在线管理。概念设计理念主要做法主要特点DeloittescreensmallJan2010信息化支撑靠信息化让“六位一体”管理要素与业务运营融为一体。按照集成思想完成顶层设计,实现管理要素整合,针对业务流程节点设计“流程+职责+风险+制度+标准+指标”六个业务处理提示模块,让“怎么干”与“干得怎么样”更加清晰化。把内控规范浓缩到办公平台上去使用,使内部控制与日常业务运营融为一体,并且实现单点登录、统一待办、定时派发等功能,让内控无处不在、无时不在