风险控制矩阵描述介绍©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。目录©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。▪内控流程记录概述▪流程记录▪风险控制矩阵简介-风险控制矩阵编制的目的-风险控制矩阵的运用▪小结▪课堂练习内部控制记录概述流程图及注释流程描述风险控制矩阵(Excel)■相关的重要交易是怎样发生、授权、记录、处理和报告的信息■重大错报可能发生的具体信息评估(a)内部控制的有效性,以及(b)内部控制防止或发现财务报告的舞弊以及资产的挪用等效果风险与流程匹配后,对流程进行梳理为满足此要求需要制作以下2套资料©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。企业名称:组织名称:***循环:销售流程:接受订单・・・・・・・・・・・・・・・・・・・・・・・・・・・1.2.3.4.5.・・・・・・・・・・・・・・・・・流程描述企业名称:组织名称:***循环:销售流程:接受订单流程图企业名称:组织名称:***循环:销售流程:接受订单控制••・・・・・・・・・・・・・・・・・・・・・・风险控制矩阵注上风险号码(R-1)风险・・・・・・・・・・・(R-1)对相关的流程的操作步骤按照实际情况进行描述①将业务描述上记载的内容做成流程图②确定容易引起重大错报的风险具体记载流程图上特定的为降低风险而实施的控制活动的相关内容R-1©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。内部控制记录概述•交易未受到相应级别管理层的授权审批,•数据输入可能在未经授权的情况下被更改。步骤三:核对“流程图”/“流程描述”,改进记录文件。步骤四:编制“风险控制矩阵”在“流程描述”中用于减轻相关风险的控制应当在“风险控制矩阵”中做相关列示。•流程中可能发生的错误。•数据输入可能发生遗漏。步骤一:编制“流程图”根据流程的内容绘制流程图。准备“流程描述”描述流程图中各个控制环节中具体执行的步骤。步骤二:(*)风险©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。内部控制记录步骤流程图是➢建立对业务流程和控制活动全局观的保证➢提纲挈领的记录文件➢梳理目前业务流程的基础工具©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。流程图作用业务环节采购销售销售订单销售处理发货开具发票具体流程三单匹配打印发票盖章确认送出发票活动进入税务系统输入数据核对数据打印步骤第一层第二层第三层©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。绘制流程图-分层次的方法例示:流程图记录输出输入流程©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。输入的信息发生了什么变化……例如:➢修改和确认➢审批➢计算整个交易流程所期望的结果……例如:➢交易活动报告➢管理报告➢异常情况报告➢财务处理➢进入下一流程的电子文档促使某一交易活动开始的事件……例如:➢原始文件➢电话➢电子文档流程图内容流程描述简介©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。什么是流程描述流程描述可以回答这些问题:做什么?怎么做?多久做?©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。使用流程描述目的避免因技术/管理人员流失而是知识流失短期内使操作人员快速掌握工作/管理程序作为作业标准,易于追查不良品产生根源树立良好管理形象,取得客户信赖和满意©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。流程描述示例-审批记录©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。流程描述示例-修订更新记录©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。流程描述示例-内容©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。流程描述示例-附表©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。程序描述是:➢分析内部控制设计缺陷的基础;➢针对现有内部控制设计缺陷提出改进建议的基础;➢管理层对有关财务报告的内部控制执行有效性进行评估的基础;➢对内控进行审计的基础。©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。流程描述作用写作要素➢五个要点(4W1H):•谁?(Who)---控制活动的执行者•什么时候?(When)---控制活动的执行时间•做什么?(What)---控制活动产生的结果•怎么做?(How)---控制活动过程的具体描述•为什么?(Why)---控制活动的具体目标和作用➢“事无巨细”➢用简单句➢用统一的语言名称和称谓©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。流程描述写作方法“应付账款会计在收到入库单、采购检验单及供应商发票后,进行“三单匹配”,即检查其是否与采购合同/订单上的采购项目、数量、单价、总金额、质量要求等一致。”谁?谁?什么时候?什么时候?做什么?做什么?怎么做?怎么做?为什么?为什么?流程描述编写举例©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。“财务部、技术部、生产管理部、生产制造部门每半年召开生产参数等考评会议,与其他部门讨论设定并更新对生产标准参数的设定,以便提高生产计划制定的准确性和可靠性。”什么时候什么时候??为什么?为什么?谁?谁?做什么?做什么?怎么做?怎么做?©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。流程描述编写举例“A将有标记的蓝色联存档,并将绿色联传递给B,B保留黄色联,将粉色联交给A,同时C保留紫色联,褐色联用于存档。”太多无关细节!太多无关细节!让我想想…©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。流程描述编写举例✓在一个业务活动中的所有子流程,以及流程步骤✓流程中的交易活动是怎样从头至尾开展的✓每一个关键文件是怎样产生的?有什么作用?✓谁在流程记录的活动中,做了什么?流程产生了什么报告?✓每份报告交给谁审核或参考?✓流程活动产生了什么证据?✓交易活动多长时间发生一次?每天?每周?每月?✓文件备份或者数据库是怎样维护和更新的?应该包括所有流程步骤,而不单单只记录了流程中的控制活动。➢不应记录不相干的流程细节和交易活动!➢不按照实际情况,而是按照理想化或假想的模型!注意事项©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。流程描述注意点风险控制矩阵简介©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。风险控制矩阵(RiskandControlMatrix)就是将流程中所涉及的和对应的进行汇总,以发现的一种矩阵表格。什么是风险控制矩阵©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。什么是风险控制矩阵风险控制矩阵可以回答这些问题:风险有哪些?控制有哪些?谁对流程/控制负责?控制是怎样设计的?控制设计是否有效?©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。明确公司所面临的风险明确针对风险的现有内部控制对公司现有内部控制活动重要性进行划分识别控制缺陷©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。使用风险控制矩阵的目的风险控制矩阵的应用©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。风险控制矩阵包含的主要内容©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。了解控制的基本概念什么是风险?风险:即企业风险,指未来的不确定性对企业实现其经营目标的影响。战略风险财务风险©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。市场风险运营风险法律风险企业风险©2009上海甫瀚投资管理咨询有限公司风险:风险是一种威胁,这一威胁将对公司完成经营目标和执行经营战略产生不利影响。简单的说,就是可能影响控制目标实现的因素。什么是风险?机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。什么是风险?(续)©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。风险举例:➢××制度不完整,可能导致XX实际操作缺乏制度性指引;➢××缺乏适当的审批,可能产生不合理的XX行为,造成公司利益损失;➢××缺乏适当的权责分离,存在舞弊风险。这些扩展风险是为了帮助使用者更清晰、直观地了解可能存在的风险,其根本还是这些风险点可能会导致控制目标无法有效实现。另外,还有一些风险本身并不直接影响到财务报告,而是导致经营效率低下或企业行为不合法合规等问题。❖未与供应商签订包含法律责任条款的协议文书;❖逾期未到货的采购订单未被有效地监控。其他风险进一步举例:另外,还有一些风险本身并不直接影响到财务报告,而是导致经营效率低下或企业行为不合法合规等问题。❖未与供应商签订包含法律责任条款的协议文书;❖逾期未到货的采购订单未被有效地监控。©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。什么是风险?(续)了解控制的基本概念(续)©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。什么是控制?控制:即内部控制活动,是指由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程。注:摘自由财政部、证监会、审计署、银监会、保监会联合颁布的《企业内部控制基本规范》内部控制目标企业经营管理合法合规财务报告及相关信息真实完整资产安全提高经营效率和效果促进企业实现发展战略控制活动:是一种保证管理层的指令得到实施的政策和程序,它确保必要的活动得到执行,以降低风险,达成企业目标。控制活动贯穿于整个企业组织内,涉及所有的级别和部门。控制活动简单的说就是公司为了合理保证前述认定的实现而在业务流程层面所采取的行动。注:尽管控制活动本身可以看做是一个过程、体系,但在流程层面,我们需要将其中的关键点(即与控制认定的实现最相关的关键控制活动)识别出来并准确记录。什么是控制活动?©2009上海甫瀚投资管理咨询有限公司机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发