公司内控体系建设项目案例管理咨询有限公司2014年2月2一.项目背景及客户需求二.工作思路、与方法目录3简介公司成立注册资本金由1.19亿元增加到5.78亿元公司成为某公司的控股股东经批准,公司由三级公司升格为二级公司2013.2.25公司党委、纪委成立2010.12.202012.12.222013.3.282013.6.26•公司员工将近500人,其中总部60余人,子公司200余人•2013年实现营业收入7亿余元•项目系统集成;•核心装备制造;•项目的投资建设;•工程实施及运营管理人员规模产品结构销售收入42015年实现销售收入20亿元。成为“国内一流、国际知名的上市公司。打基础抓好运营、在建项目的管理谋发展重点抓好大项目推进和落地。发展战略:一个目标两个支撑十二五的核心工作与目标5的内控要求内控体系建设五年发展规划国资发评价〔2012〕68号文《关于央企加强构建内控体系的通知》《关于转发国资委、财政部关于加快构建中央企业内部控制体系有关事项的通知》2013年2018年工业领域全方位服务商国内一流,国际知名销售收入XX亿元服务综合解决方案发展全方位服务行业服务百强公司上市销售收入七亿销售收入二十亿2015年战略规划目标要求2014年工作任务流程梳理风险事件库内控手册国资委及总部要求五年发展规划的战略部署6竞争者敏感性股东关系资金充足性金融市场灾难性损失独立/政治法律行政管理行业信息技术风险使用权完整性相关性可得到性基础设施财务风险货币利率流动性结算再投资信用双边关系现金转移或流速改变廉政风险管理欺诈雇员欺诈非法行为无授权使用商誉治理与管控风险领导力权力限制表现激励沟通公司治理营运风险客户满意人力资源产品开发效率能力表现差异循环时间资源商品定价过失或损失符合性业务中断健康和安全环境产品或服务失败商标或产品名侵蚀营运价格合同投入衡量结盟完整性和精确性管理报告决策信息风险财务预算和计划完整性和精确性会计信息财务报告评价税收养老基金投资评估管理报告战略环境检视业务组合价值衡量组织结构资源分配计划生命周期企业需要按照以下的“企业风险模型”设计企业内部管理及风险控制体系来全面减少企业的经营风险企业风险模型告知我们,企业经营过程中始终存在多重风险7中国内部控制相关法规的发展历程979899000102030405070809106月5日,上海证券交易所出台《上海证券交易所上市公司内部控制指引》6月6日,国务院国有资产监督管理委员会“关于印发《中央企业全面风险管理指引》的通知”9月28日,深圳证券交易所出台关于发布《上市公司内部控制指引》的通知3月3日,财政部发布关于印《企业内部控制规范——基本规范》和17项具体规范(征求意见稿)的通知2008年6月28日,财政部、证监会、审计署、银监会、保监会联合召开企业内部控制基本规范发布会发布了《企业内部控制基本规范》以及配套规范的征求意见稿,2009年7月1日起实施2009年1月,陆续发布了《企业内部控制应用指引》的数个更新稿6月5日,中共中央办公厅、国务院办公厅印发了《关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见》4月26日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,标志着我国企业内部控制规范体系基本建成0611125月7日,国资委、财政部发布《关于加快构建中央企业内部控制体系有关事项的通知》,要求各中央企业应当自2013年起,于每年5月31日前向国资委报送内部控制评价报告,同时抄送派驻本企业监事会。8中国内部控制与内控法规概览财政部等五部委出台的《企业内部控制基本规范》,为企业提供了完整和公认的内部控制框架,同时以法规的形式要求上市公司对本公司内部控制的有效性进行自我评价。国资委出台的指引强调对风险的识别、分析、评估、防控和监督,为企业防控风险,建立控制体系提供指引。《应用指引》具体提出18个具体流程的应用指引。在每个具体流程中规定了该指引的目的,相关定义,该流程的主要风险,岗位分工及授权批准,及主要流程的控制程序。《评价指引》具体规范了内控评价的内容和标准,评价的程序和方法,内控缺陷的认定,以及规定了评价报告的相关内容。《审计指引》指导注册会计师执行内控审计业务。证交所出台了一系列的内部控制指引,为上市公司建立和实施内部控制制度提供指引。财政部等五部委企业内部控制基本规范企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引国资委中央企业全面风险管理指引证券交易所行业监管机构上市公司内控指引•上交所内控指引•深交所内控指引行业内控指引•商业银行内控指引•证券公司内控指引•保险公司内部控制基本准则9我们对上市公司内部控制体系建设需求的理解为了全面应对风险管理和内部控制的相关法律法规,上市公司应该构建一个内部控制的整合框架体系,做到“两个融合”。基于财务报告的内部控制与基于全面风险管理的内部控制体系的整合内部控制整合框架内部控制体系与全面风险管理体系的整合上市公司《企业内部控制基本规范》及配套指引《全面风险管理指引》《上市公司内控指引》10一.项目背景及客户需求二.工作思路、与方法目录11内控体系基本思路、原则和目标全面性原则:覆盖各种业务和事项重要性原则:关注重要业务事项和高风险领域制衡性原则:相互制约、相互监督,并兼顾运营效率适应性原则:与企业相适应,并随情况的变化及时加以调整成本效益原则:权衡实施成本与预期效益东方博融根据《企业内部控制基本规范》整理12五部委内部控制基本规范企业内部控制基本规范企业内部控制应用指引资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包财务报告组织架构发展战略人力资源企业文化社会责任全面预算合同管理内部信息传递信息系统企业内部控制审计指引企业内部控制评价指引内部环境类控制手段类控制活动类13管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会企业风险管理框架企业的管理风险,可以通过公司治理体系下的三道防线予以警示和化解,而内控管理就是常态化的风险防范机制。14内控建设的整合框架模型内控梳理和建立业务分析与流程梳理识别与评价关键控制点完善内控的措施和体系内控体系的实施推进内控自我评估及改进企业各层级业务经营管理公司治理战略管理业务与流程管理下属分支机构管控内控梳理和建立加强信息化建设,实现系统化的控制加强培训教育,提升企业的内控理念加强组织领导,建立内控组织管理架构15项目整体工作思路调研诊断流程梳理、风险事件库构建搭建内控体系•成立内控建设小组•对业务的深入调研•全面分析和诊断•梳理完善各项业务的管理制度和控制措施•编制针对风险的内控手册•对制度和手册进行辅导实施的推进•关键流程梳理•编制流程手册•识别主要风险•对企业风险信息数据进行收集、整理、汇总•编制风险事件库16调研诊断流程梳理、风险事件库构建搭建内控体系•成立内控建设小组•对业务的深入调研•全面分析和诊断•梳理完善各项业务的管理制度和控制措施•编制针对风险的内控手册•对制度和手册进行辅导实施的推进•关键流程梳理•编制流程手册•识别主要风险•对企业风险信息数据进行收集、整理、汇总•编制风险事件库第一阶段:调研诊断行业背景业务情况组织架构公司治理经营管理政策法规科目1科目2科目3科目4流程1流程2流程3流程4风险1风险2风险3风险4控制措施1控制措施2控制措施3控制措施3对公司总体情况的了解重要活动的确认流程的辨识和确认风险的辨识和确认控制措施和确认流程手册、风险事件库成果17总体计划18具体计划19访谈计划20通过资料收集、流程梳理、访谈调研等多种形式,对风险信息进行全面收集资料收集•从各层面人员收集公司运营管理及项目运作层面的相关信息•发现与本项目相关的关键问题•明确项目管理模式的重点内容资料分析•收集近三年的管理规章制度、项目操作手册、经营计划和总结、主要财务报表等•搜集媒体相关报道信息,客观了解公司现状深度访谈•参观相关单位、生产现场等•约请高管人士座谈21深度访谈访谈准备1、明确访谈目的,了解流程和控制2、访谈前应大致了解:被访谈人员的岗位职责访谈相关的业务制度、流程关键控制目标、业务固有风险相关监管要求、标准控制措施访谈提纲业务访谈1、介绍背景2、交代目的3、适度引导4、做好铺垫访谈纪要自下而上开始点终结点控制点逐步分层流程活动控制方法相关人员输出文档22组织结构、部门职能23经营模型、价值链内外环境分析对外期望战略规划战略实施与监控战略评价经营计划全面预算投资规划与实施市场及营销生产管理存货管理销售订单及信用管理采购管理固定资产管理技改工程管理研究与开发财务、资金及税务管理人力资源管理审计监察信息化管理安全、质量、环保24资料收集客户内部资料相关专业资料行业资料内控项目前期资料需求清单25调研诊断流程梳理、风险事件库构建搭建内控体系•成立内控建设小组•对业务的深入调研•全面分析和诊断•梳理完善各项业务的管理制度和控制措施•编制针对风险的内控手册•对制度和手册进行辅导实施的推进•关键流程梳理•编制流程手册•识别主要风险•对企业风险信息数据进行收集、整理、汇总•编制风险事件库第二阶段:流程梳理、风险事件库构建行业背景业务情况组织架构公司治理经营管理政策法规科目1科目2科目3科目4流程1流程2流程3流程4风险1风险2风险3风险4控制措施1控制措施2控制措施3控制措施3对公司总体情况的了解重要活动的确认流程的辨识和确认风险的辨识和确认控制措施和确认流程手册、风险事件库成果26关键流程梳理工作方式合理划分出流程清单的章、节、流程名和标号各部门组织识别本部门领导或参与的流程对各部门主管和骨干、流程专管人员进行流程概念培训流程专管人员整合清理各部门主管确认,提交流程专管人员形成流程清单在集团现有流程的基础上,通过对集团总部各部门进行培训、研讨、确认流程框架体系,形成流程清单…27某公司的内控框架28梳理基于发展战略/商业模式的关键流程采购IT人力资源资源组织物流配送市场营销售后服务产品研发财务商业模式主流程:一级子流程:二级子流程:产品规划产品维护业务模式业务流程模板、手册/表单流程体系结构业务流程模板、表单与手册企业业务模式表述为体现为执行的流程建立执行的标准企业商业模式/战略转化为3产品设计29财务报告基于财务数据公司范围重要科目重要科目与流程匹配30流程手册构成-流程目录(示例)一、战略管理流程采购招投标管理流程集团战略规划制定流程采购合同管理流程战略目标年度回顾流程……企业管理改进流程四、新建项目建设管理流程二、经营计划及资金预算管理流程项目投资决策流程年度经营计划制定流程项目立项流程预算启动流程项目招标流程预算编制和审批流程……预算执行和调整流程五、营销管理流程资金计划管理流程年度营销计划和预算制定流程财务分析流程价格制定流程…………三、供应管理流程示例31流程手册构成-权责表(示例)示例32①明确每个流程步骤的执行部门及岗位②明确每个步骤的输入和输出文档③明确每个具体步骤的操作④明确流程控制点流程手册构成-流程图(示例)示例33识别关键流程风险控制点风险控制点说明1研发中心自身信息收集薄弱2市场部和研发部门衔接不畅,市场部对信息的搜集整理职能薄弱3缺乏科学规划4无权威专家把关市场研发中心技术专家委员会经理办公会总经理董事会信息整理分析新技术预研建议立项批准批准立项可行性分析转入新产品开发YNYN研究开发成立新技术研究小组评定评定评审评定市场需求信息收集技术发展规划NNNYYYNY重新开题立项评定2431示例34通过三个步骤构建风险事件库风险识别风险评估风险控制风险控制目标流程、组织、职责、沟通构建风险事件库的目的就是实现企业的内部控制目标风险事件库建立包括风险识别、风险评估、风险控制三个模块流程、组织、职责和沟通是发挥风险事件库作用的重要手段35综合内外部风险因素,对风险事件进行识别风险识别通过项目管理部门、技术部门、人