1、集团企业内控与风险管理目录l 客户需求分析l 产品总体架构l 产品详细解决方案l 产品应用价值l 客户案例国内外内控规范发展的历程回顾国内法规对内部控制概念的定义l 董事会负责内部控制的建立健全和有效实董事会负责内部控制的建立健全和有效实施。施。l 监事会对董事会建立与实施内部控制进行监事会对董事会建立与实施内部控制进行监督。监督。l 经理层负责组织领导企业内部控制的日常经理层负责组织领导企业内部控制的日常运行。运行。l 企业成立专门机构或者指定适当的机构具企业成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工体负责组织协调内部控制的建立实施及日常工作。作。内部控制的内部
2、控制的目标目标:l 企业经营管理合法合规企业经营管理合法合规l 资产安全资产安全l 财务报告及相关信息真实完整财务报告及相关信息真实完整l 提高经营效率和效果提高经营效率和效果l 促进企业实现发展战略促进企业实现发展战略内部控制,是由企业内部控制,是由企业董事会董事会、监事会监事会、经理层经理层和和全体员工全体员工实施的、旨在实现控制目实施的、旨在实现控制目标的标的过程过程。-摘自财会20087号 企业内部控制基本规范监管机构对企业内控体系建设提出具体要求2011年中国证监会主席郭树清在上海公司治理论坛上指出,监管层将进一步促进和完善公司治理。自2012年1月1日起,国家相关部委联合发布的企业
3、内部控制规范的监管范围将由试点扩大到主板上市公司,并将在中小板和创业板上市公司择机实行。监管要求(五部委)企业内部控制基本规范企业内部控制配套指引实施范围2011年1月1日境内外同时上市的公司2012年1月1日主板上市公司择机中小板、创业板上市公司鼓励非上市大中型企业与此同时,国内不断曝光的由于内控缺失给企业带来巨大损失的典型案例,也凸显出内控体系建设的重要性中航油事件-对子公司内控失效-导致巨额亏损在新加坡风光无限的陈久霖在新加坡被捕的陈久霖为什么要加强内部控制-教训-中航油事件做了国家明令禁止的事情违规交易未及时汇报母公司不闻不问为什么要加强内部控制-教训-中石油事件中石油大连分公司-内部
4、制度执行不到位,制度设计不到位-导致安全事故事故现场处罚决定(http:/ 以内控合规为目标 控制大的风险 表现为“家法家规”解决有无的问题 以提升管理能力为目标 将内控与日常管理结合 把内控作为一个管理工具,帮助企业完成绩效指标 更多的自动控制管理内控 以提升内控工作价值为目标 有效利用有利风险 为企业各部门提供咨询服务 更多的预防性控制价值内控合规内控目录l 客户需求分析l 产品总体架构l 产品详细解决方案l 产品应用价值l 客户案例产品总体应用目标CEO(管理层)第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计业务部门业务部门审计委员会风险管理委员会风险收集识别分析风险评估管
5、理策略应对方案监督与评价风险控制实施方案手册制订手册审核手册发布手册发放测评改进实施审计审计报告审计处理决定审计复审审计计划信信息息系系统统SOX企业内控基本规范企业内控应用指引企业内控评价指引企业内控审计指引COSOISO38500ISO27000COBITITSS整体解决方案治理结构治理目标组织架构业务流程风险识别风险收集风险分析治理方案设计风险管理策略风险应对方案风险评估风险评估重大风险认定内控手册管理制订版本管理监控及预警访问安全控制发布风控指标突发事件监控监督及改进测试自评缺陷分析及认定整改及跟踪统计分析报告管理绩效管理计划管理项目管理审计作业审计方案审计报告审计底稿审计整改审计问题
6、审计工具数据抽样数据分析经营指标预警审计方法预警档案管理审计IT管理系统治理体系设计控制实施监督改进问题管理变更管理配置管理项目管理供应链财务UAP平台企业服务总线实时数据集成结构化/非结构化数据管理规则引擎预警管理风控矩阵知识库业务流程控制业务系统第第一一道道防防线线第第二二道道防防线线第第三三道道防防线线企企业业治治理理目录l 客户需求分析l 产品总体架构l 产品详细解决方案l 产品应用价值l 客户案例第一阶段:项目启动与计划阶段项目阶段项目启动与计项目启动与计划阶段划阶段内控梳理对标阶段内控梳理对标阶段内控整改固化阶段内控整改固化阶段内控自我评价阶段内控自我评价阶段接受外部审计、董事会接
7、受外部审计、董事会报告及持续运行阶段报告及持续运行阶段-建立内控体系建设联合项目组,定义项目职责分工-进行定量定性的专业分析,确定项目具体工作范围并搭建业务流程总体框架-确定及细化项目推进计划-参加启动大会并对项目组成员进行内控相关知识培训-结合业务流程总体框架,识别出与关键风险对应的重大业务流程-编制项目交付品模板-建立内控体系建设联合项目组-共同参与制定项目小组工作职责和项目日常管理制度-提供范围确定所需要的资料-项目小组成员参与讨论、审核项目总体范围和推进具体计划-协调安排项目启动会相关事宜-协调、安排相关人员接受访谈-对用友的工作成果进行及时反馈-联合项目小组成员名单及联络表-风险调查
8、问卷-访谈计划-访谈提纲-访谈纪要-业务流程总体框架-项目推进具体计划-启动会材料-项目交付品模板主要工作内容需贵公司配合事项工作成果建立内控管理组织与岗位体系 集团可以根据行业、地域不同建立多个内控组织范围;建立标准的岗位与职责分工;对集团内部各层级的风险加以识别 支持集团全面风险管理问卷的设计、下发与信息上报管理。实现集团多级风险评估管理 支持多层级多部门风险评估运作机制;支持风险评估标准与模型建立;支持评估结果自动选取标准重要风险认定与评估结果分析 支持风险排序与重大风险确定管理;支持集团级风险评估审核与上报管理;支持多宗风险评估结果热图分析第二阶段:内控梳理对标阶段项目阶段项目阶段项目
9、启动与计划项目启动与计划阶段阶段内控梳理对标阶段内控梳理对标阶段内控整改固化阶段内控整改固化阶段内控自我评价阶段内控自我评价阶段接受外部审计、董事会接受外部审计、董事会报告及持续运行阶段报告及持续运行阶段-结合企业内部控制基本规范和配套指引,组织对高级管理层、业务流程负责人访谈,形成风险控制矩阵-对发现的内部控制缺陷,提出整改方案-分析各流程的管控现状和整改需求-协助安排与相关人员的访谈-协助与相关人员进行缺陷问题的沟通-及时安排对用友出具的流程改进意见的审阅工作并进行反馈和讨论-公司层面及业务流程层面风险控制矩阵-流程描述-流程图-流程内控设计缺陷汇总表及管理建议书-阶段性汇报材料主要工作内
10、容需贵公司配合事项工作成果建立企业内控体系和流程标准 支持跨公司的业务流程定义;支持业务流程在不同的子集团、公司存在不同的业务环节;集团内部不同行业执行不同的业务流程标准形成风险控制矩阵和相关流程制度针对集团各公司的业务,编制对应的内控矩阵、手册,包括业务目标、可能产生的风险、各个流程环节设置哪些控制点,控制对应的监督检查方法,实施的业务部门和监督部门以及该业务流程相关的各种图表、流程图、制度等资料。内部控制穿行测试 根据内控措施中要求的监督部门和业务部门,进行多次控制措施的自我评测;第三阶段:内控整改固化阶段项目阶段项目阶段项目启动与计划项目启动与计划阶段阶段内控梳理对标阶段内控梳理对标阶段
11、内控整改固化阶段阶段内控自我评价阶段内控自我评价阶段接受外部审计、董事会接受外部审计、董事会报告及持续运行阶段报告及持续运行阶段-提供内控缺陷报告-与流程负责人讨论缺陷报告的初稿,修改缺陷报告并定稿-确定并下发整改计划-根据用友提出的管理建议进行整改-监督整改的落实情况-确认内部控制手册-管理建议书-内部缺陷报告-阶段性汇报材料主要工作内容需贵公司配合事项工作成果根据内部控制点测试报告进行整改 跟踪业务部门的整改进度和效果;分析风险控制的执行效果确定后的控制矩阵和相关资料形成内控手册 经过审核后的内控手册由集团统一发布,形成版本信息;允许不同公司针对同一个业务流程采用不同的控制和监督方法,体现
12、各自的管理特色。第四阶段:内控自我评价阶段项目阶段项目阶段项目启动与计项目启动与计划阶段划阶段内控梳理对标阶段内控梳理对标阶段内控整改固化阶段内控整改固化阶段内控自我评价阶段内控自我评价阶段接受外部审计、董事会接受外部审计、董事会报告及持续运行阶段报告及持续运行阶段-设计控制测试模板-编写内控测试指导手册-提供内控运行测试方法培训-在公司对各环节内部控制进行抽样测试过程中,给予充分的技术支持-根据内控运行缺陷,提出整改建议-拟定内控自我评价报告-确认内控测试指导手册-组织安排测试人员-协调各部门流程责任人对测试发现的缺陷进行确认-确认整改方案-监督整改方案执行情况-确认内控自我评价报告-测试指
13、导手册-内部控制测试底稿-内部控制测试培训材料-控制测试结果-内控自我评价报告-阶段性汇报材料主要工作内容需贵公司配合事项工作成果集团多层级内部控制的自我评价 根据内控措施中要求的监督部门和业务部门,进行多次控制措施的自我评测;分析风险控制的执行效果。信息系统安全监控全景权限监控关键用户权限监控关键角色权限监控关键功能权限监控关键流程权限监控权限监控系统管理员权限集团管理员权限普通管理员权限特权监控离职人员帐号监控调配人员帐号监控不明身份人员帐号监控密码设置策略监控密码修改监控事前控制:控制互斥职责授权事后监控:反应互斥职责稽核 结果互斥职责稽核密码安全监控系统管理员授权监控集团管理员授权监控
14、普通管理员授权监控授权监控账号实施管理监控应用信息系统提供持续有效的信息系统安全监控支持内控IT审计对于信息化系统的控制要求 密码策略分析报告;权限变更报告;关键授权监控报告;实现系统控制的业务职责分离检查 根据内控职责分离要求,通过IT风险监控系统的对人员的授权合理性进行判断;定期修订内控手册,与时俱进 根据评价的结果,修订相关的内控手册,形成新的版本;不同版本之间可进行对比分析;不同业务流程也可进行对比分析。第五阶段:接受外部审计、董事会报告及持续运行阶段项目阶段项目阶段项目启动与计划项目启动与计划阶段阶段内控整改固化阶段内控整改固化阶段内控自我评价阶段内控自我评价阶段接受外部审计、董事会
15、接受外部审计、董事会报告及持续运行阶段报告及持续运行阶段内控梳理对标阶段内控梳理对标阶段主要工作内容需贵公司配合事项工作成果-协助公司与外部审计师沟通-对2012年内部控制工作开展情况进行总结,编制内控总结汇报材料-对2013年内部控制工作进行规划,制定工作规划方案-对2012年内控项目总结报告进行沟通确认-对2013年内控项目规划方案进行沟通确认-本年度内控工作总结汇报材料-下年度内控工作规划方案内控审计平台实现与外部审计的对接目录l 客户需求分析l 产品总体架构l 产品详细解决方案l 产品应用价值l 客户案例NC6集团企业内控与风险管理解决方案价值构建体系(事前)完善企业内控管理体系,满足
16、合规监管要求 构建内控组织、人员和作业流程的集中管控平台内控常态化(事中)将风险内控管理与业务管理相融合,促进内控常态化 实现风险识别、评估和应对控制的流程化、标准化管理管理优化(事后)通过内控自测和系统自动监控,提高内控执行的监管效率 内控测试数据分析与报告,推进内控持续优化目录l 客户需求分析l 产品总体架构l 产品详细解决方案l 产品应用价值l 客户案例项目背景项目方案项目价值禾嘉股份是一家在上海证交所上市的公司,主要从事汽车零配件、特种大口径高压阀门制造及种子繁育销售的混合型集团公司。随着公司的不断发展,管理层意识到了公司原有内部控制制度的不足以及为了满足监管机构对 上市公司内控制度的
17、要求,公司希望建立更加完善、有效的内部控制制度。对控股公司及下属其子公司的公司层面以及流程层面进行内控评价,采用调查问卷、编制内部控制风险矩阵、穿行测试、内控样本测试等方法对公司内部控制制度进行测试、评价,并对测试、评价过程中发现的薄弱环节与缺陷提出整改建议,协助公司建立健全多层级的管控体系,协助管理层编制流程层面的内部控制制度、规范及操作模版。指导设立内部控制部门,由该部门负责公司内控制度的改进、施行与监督按照COSO内控框架的标准建立了内部控制制度大大改善了公司管理制度比较欠缺、制度执行不力的局面优化了管理结构,降低了企业风险满足财政部等五部委关于上市公司内部控制的要求案例1:禾嘉股份公司
18、项目背景项目方案项目价值满足财政部等部委对上市公司提出的内部控制合规要求 建立内部控制体系,通过规范化的内控制度体系,提升企业的管理水平 建立多层级的内部控制体系的分析、监控、处置和报告机制对公司总部和分子公司的管控体系进行评估,并对多个关键管理流程的内控执行的有效性进行测试。对评估和测试过程中发现的薄弱环节与缺陷提出整改建议,协助公司建立健全多层级的风控管理体系;基于以上工作对公司管理流程和内部控制进行书面化,形成各项内控制度。协助客户建立内控自我评估体系通过ERP、OA及企业业务系统,将咨询成果转化为标准化的业务流程,实现风险内控咨询成果的信息化落地。构建了内部控制体系满足了监管部门的相关
19、要求,提升了企业管理水平,进而提高了企业的绩效 企业自身的内控管理人员可以通过评价改进功能,检查管控措施的的实施效果,发现制度流程设计和运行中的缺陷,及时指导业务部门改善运营管理通过咨询IT全面解决方案,保证企业内部控制体系建设的咨询成果通过信息系统落地实施,切实保证内控体系建设的有效性,以及制度、流程执行的有效性案例2:大连国际合作股份公司项目背景项目方案项目价值新华联不动产股份有限公司前身为牡丹江石化集团股份有限公司,经黑龙江省体改委批准,由牡丹江石油化工企业集团公司分立组建,于1993年6月领取企业法人营业执照,并于1996年10月在深圳证券交易所上市。除了满足外部合规性的要求,新华联决定建立有效的风险管理与内部控制体系,持持续的业务增长,提升管理的质量,促进企业的有效经营,保护股东和投资人的利益,保证会计信息的真实性和准确性,以及有效防范企业经营风险,通过用友的咨询服务以及与信息化系统建设相衔接,使内控体系建设既能按期满足外部监管需求,又能通过信息系统落地,为企业经管管理流程在风险和效率之间获取最佳平衡内控体系建设与信息化系统建设相结合,提升效率的同时,降低了流程风险大大改善了公司管理制度比较欠缺、制度执行不力的局面优化了管理结构,降低了企业风险满足财政部等五部委关于上市公司内部控制的要求案例3:北京新华联不动产