内控成果编制方法介绍

内控成果编制方法介绍上海立信锐思信息管理有限公司2013年4月目录内部控制体系概览内部控制成果具体编写说明23内部控制体系概览根据青岛港的控制环境类流程、控制手段类流程、控制活动类流程以及10家试点分、子公司的核心业务流程，目前内控体系中将青岛港集团的业务共划分为24个一级流程。其中除生产经营管理、生产管理（核心业务流程）外，其他二十二个流程为通用性业务流程。控制环境组织架构发展战略人力资源社会责任企业文化安全质量控制活动财务管理投资管理筹资管理担保管理采购管理资产管理生产经营管理生产管理科技项目管理工程项目财务报告控制手段信息规划信息系统运行与维护合同管理内部报告内部监督全面预算综合管理青岛港内控体系整体架构——流程划分青岛港内控体系文件介绍•内控体系文件是指对业务操作流程的控制要求描述：要清晰的表达每一个动作的操作要求•基于内控的体系文件是基于风险和控制要求的操作性描述：重点要突出控制措施对风险的管理作用风险清单流程图内控手册好的内控体系文件应该包括以下内容根据各业务流程的控制目标，影响目标实现存在的风险，梳理并完善风险管理控制措施，通过控制措施的详细表述明确各操作环节的规范要求企业业务操作程序的图化呈现，指导各岗位人员进行具体的业务操作对各业务流程存在的固有风险的全面识别，对各风险事件的属性的说明、企业风险管理策略的选择成果矩阵成果示例——风险清单•识别风险的各项要素：-公司哪些流程存在风险？存在哪些风险？风险的严重程度如何？-风险的责任部门和责任岗位？•目的是全面识别和分析各项风险，并落实每项风险的防控责任落实到人。二级流程名称风险事件编号风险事件描述风险属性风险类别初始风险评估风险管理策略风险责任部门频率损失等级承受规避降低分担发展战略制定R02.01.01-01发展战略归口管理不明确，可能导致发展战略相关工作组织不系统，影响发展战略的制定与实施。战略风险战略规划风险12普通级√集团办公室R02.01.01-02在制定战略目标过程中，缺乏充分的调研、科学分析和广泛的征求意见，可能导致战略脱离集团实际情况，影响战略的实施。战略风险战略规划风险14重要级√集团办公室R02.01.01-03缺乏明确的发展战略或发展战略制定不合理，可能导致集团盲目发展，难以形成竞争优势，丧失发展机遇和动力。战略风险战略规划风险14重要级√集团办公室R02.01.01-04制定的战略不符合国家有关法律法规的规定，可能导致外部处罚、经济损失和信誉损失。法律风险交易合规风险14重要级√集团办公室成果示例——流程图•流程图的主要作用：-建立对业务流程和控制活动全局观的保证-提纲挈领的记录文件-梳理目前业务流程的基础工具成果示例——成果矩阵成果矩阵的主要作用：-针对每项具体风险提出针对性的控制措施；-将各项风险控制措施与目前企业的管理制度进行对标，根据风险控制文档的内容对制度中涉及风险防控的内容进行更新。对应目标编号控制目标对应风险事件编号风险事件描述三级节点控制措施编号控制措施描述控制措施责任部门控制措施责任岗位控制频率预防性/检查性手工/自动影响报表科目对应制度涉及文档CO02.01-02确保战略制定的科学、合理R02.01.01-01发展战略归口管理不明确，可能导致发展战略相关工作组织不系统，影响发展战略的制定与实施。战略归口管理CA02.01.01-01发展战略归口管理集团指定集团办公室为发展战略的归口管理部门，具体负责战略的汇总，战略规划及年度工作计划的拟定，战略的评估与考核等工作。集团办公室秘书每年预防性手工无部门职责CO02.01-02确保战略制定的科学、合理R02.01.01-02在制定战略目标过程中，缺乏充分的调研、科学分析和广泛的征求意见，可能导致战略脱离集团实际情况，影响战略的实施。战略信息收集CA02.01.01-02战略信息收集与分析集团在制定战略目标时，集团各部室及下属分子公司充分收集和利用内外部信息，综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手情况、可利用的资源水平和自身优势与劣势等影响因素，并综合利用各种分析模型进行科学的分析，以确保战略目标符合集团实际。集团各部室、下属分子公司相关人员每年预防性手工无CO02.01-02确保战略制定的科学、合理R02.01.01-03缺乏明确的发展战略或发展战略制定不合理，可能导致集团盲目发展，难以形成竞争优势，丧失发展机遇和动力。战略制定与审批CA02.01.01-03战略目标拟定集团制定五年发展战略，首先集团各部室根据市场现状、宏观经济形势、集团内部资源能力提出战略要求和目标并提交至集团办公室汇总。集团各部室相关人员每年预防性手工无集团各部室战略目标初稿现阶段各单位内控成果编制要求集团内部控制体系正式文件包括：内控手册、风险清单。集团内部控制体系过程文件包括：流程图、成果矩阵。其中内控手册中的流程图即为过程文件的流程图，二者对应一致；内控手册中的控制矩阵即为成果矩阵中的内容，二者对应一致。各单位本阶段内控体系文件编制要求：本阶段完成风险清单、流程图和成果矩阵的编制工作其中，风险清单需各单位参考集团对应流程的风险进行重新识别；流程图可在纸张上手画完成，为非正式文件；成果矩阵通过与集团相应业务流程对标并经过适当增减完成。流程划分中P09、P10为生产经营管理、生产管理流程，为各单位核心业务流程，需各单位自行编制，对应的试点单位的该业务流程仅供参考。其他22个业务流程可与集团进行对标。10内部控制成果具体编写说明内控体系确定—业务流程划分根据集团业务流程划分进行对标确定本单位业务流程划分确定各业务流程内控成果编制的部门/岗位业务事项相同？——参考集团该部分业务流程划分业务事项存在差异？——根据集团业务流程划分进行调整本单位特有业务？——根据本单位实际情况进行本单位流程划分形成本单位内部控制体系框架明确内控体系文件编制工作的职责分工内控成果了解1、通览本业务流程的流程概览（内控手册word文档），了解该业务流程的流程框架；2、通览本业务流程的流程图（流程图pdf文件），了解该业务流程业务操作模式、操作程序；3、通读该业务流程的成果矩阵（excel文件），了解集团操作程序和在该业务流程对下属各单位的管控要求。内控成果概述风险与流程匹配后，对流程进行梳理为满足以上要求，需做以下准备流程图及流程描述成果矩阵（EXCEL）流程中各业务事项是如何发生、授权、执行、记录与监督的信息传递的渠道、范围针对各业务流程风险：企业现有控制措施有哪些（制度规范要求、流程描述）企业目前尚未明确或缺失的控制措施内控成果编制步骤步骤一：编制“流程图”根据流程内容、企业操作程序绘制流程图。步骤二：准备“流程描述”明确流程图中的各个控制环节具体执行的步骤步骤三：核对“流程图”/“流程描述”，改进记录文件。步骤四：编制“成果矩阵”对标集团成果矩阵内容对标内容与流程图核对，补充完善控制措施风险•流程中可能发生的错误•数据输入可能发生遗漏•交易未受到相应级别管理层的授权审批•数据输入可能在未经授权的情况下被更改内控成果编制步骤流程图梳理业务操作程序，明确操作部门/岗位确认改流程各环节操作涉及的表单文档刻画流程图1、流程图名称2、企业名称3、流程图编号4、流程图内容成果矩阵记录流程描述中能与该流程识别出的风险对应的、起到风险管控作用的描述增加制度中对该业务的其他管理要求补充完善缺失/未完善的控制措施1、流程名称2、控制目标3、该流程识别出的风险4、风险对应的控制措施5、控制措施执行的责任部门/岗位6、对应制度、涉及表单流程图与成果矩阵形成相互印证的文件流程图刻画—业务流程梳理在熟悉集团业务流程的操作模式和要求后，根据本单位实际操作程序，编制刻画本单位业务流程图（可依据集团流程图格式在纸张上画本单位流程图。流程图刻画要求：•操作顺序：从左到右，从上到下。•由各业务事项的牵头部门开始，涉及到的部门/单位从左到右依次排列。明确流程中每个环节的操作岗位。•流程各操作环节涉及表单文档明确。通过梳理刻画流程图，明确不同单位/部门在流程中的职责分工、权责分配，对业务操作模式予以固化。采购管理采购计划管理采购计划制定采购计划上报采购计划汇总采购计划切分采购招标管理采购方式选择采购方案拟定招标过程管理采购评标管理供应商资质审核评标过程管理采购合同的签订采购验收管理验收计划确认组织采购验收退换货管理采购质量反馈采购付款管理采购收货确认使用单位对账供应商对账采购付款采购付款记录供应商管理供应商选择供应商管理供应商评价供应商名单更新流程描述——三级节点确定根据集团内控体系框架制定业务一级流程与集团二级流程进行对标，明确本单位二级流程划分根据本单位业务管理模式，确定该二级流程的各操作环节，即三级节点（集团内控手册中的流程概览的三级节点可参考）三级节点细化，形成各操作步骤，对操作步骤进行详细描述第一层第二层第三层第四层内控体系建设阶段各业务流程梳理阶段成果矩阵—定义成果矩阵就是将流程中所涉及的风险和对应的内部控制措施进行汇总，对缺失的控制环节予以补充完善，最终形成企业健全完整的控制程序的一种矩阵表格。成果矩阵—对标成果矩阵对标内容成果矩阵—对标控制措施对标要求：集团原则性的要求，可依照集团要求填写集团操作性的要求，根据本单位流程图中的操作程序填写编制操作内容与集团进行对接的，写到与集团对接部门即可成果矩阵—对标控制措施对标要求：与集团所有控制措施进行对标，完成本单位成果矩阵的控制措施描述。集团矩阵中可与本单位进行对标的，则进行对标修改；集团矩阵中的控制措施不适用本单位的，则注明不适用。成果矩阵—对标控制措施对标要求：与集团所有控制措施对标完成后，拿对标的控制措施与本单位流程图进行核对。流程图中有，但对标矩阵缺失的，则在excel表中插入行，对缺失的控制措施予以补充完善。插入行：对比本单位刻画的流程图，增加的控制措施成果矩阵对标责任部门/岗位对标要求：每条控制措施需明确控制措施的责任部门、责任岗位，牵涉到多个部门、岗位的，全部填写上，依照部门、岗位的重要性程度依次列示。明确控制措施的责任部门明确控制措施的责任岗位成果矩阵对标控制活动发生频率：每日多次（一年发生次数大于365次）每天（一年发生次数大于52次，小于等于365次）每周（一年发生次数大于12次，小于等于52次）每月（一年发生次数大于4次，小于等于12次）每季度（一年发生次数大于2次，小于等于4次）每年（一年发生次数为1次）发生时（一年发生次数不确定，平均少于1次）控制频率、控制活动性质对标要求：控制频率：控制措施每年平均发生的频率，根据本单位实际情况进行认定控制活动性质：手工控制/信息系统自动化控制；事前预防性控制/事后检查性控制。成果矩阵—对标成果矩阵编制要求：对应制度即控制措施要求是否在公司制度规范文件中有相应要求，如有，填上制度名称；涉及文档即该条控制措施操作时留下的操作痕迹（表单），可以是书面的也可以是电子版的，也可以是信息系统某个操作界面。空缺时，需对制度进行补充完善明确表单名称成果矩阵—控制措施写作方法写作要素：成果矩阵—控制措施写作方法写作要素：五个要点（4W1H）•谁？（who）——控制措施的执行者•什么时候？（when）——控制措施的执行时间•做什么？（what）——控制措施产生的结果•怎么做？（how）——控制措施过程的具体描述•为什么？（why）——控制措施的具体目标和作用“事无巨细”用简单句用统一的语言名称和称谓成果矩阵—控制措施写作方法成果矩阵—控制措施写作方法成果矩阵—编号规则1、控制目标编号：如资产管理中的一个控制目标编号CO13.01-02：其中CO表示控制目标，13表示资产管理的一级流程编号，01表示集团总部代码，02表示该目标为本流程第二个目标。集团内控体系控制目标已梳理完毕，各单位仅需修改控制目标编号的公司代码部分。如某单位的公司代码为16，则对标时，即可修改为CO13.16-022、对应风险事件编号：如资产管理中的一个风险事件编号R13.01.01-07：其中R表示