1、合规先行 监控落地 用友NC内控管理解决方案目录什么是内控管理企业应该如何应对用友内控咨询与信息化一体解决方案方案特点与价值分析典型案例国内外内控规范发展的历程回顾国内法规对内部控制概念的定义l 董事会负责内部控制的建立健全和有效实施。l 监事会对董事会建立与实施内部控制进行监督。l 经理层负责组织领导企业内部控制的日常运行。l 企业成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。内部控制的目标:l 企业经营管理合法合规l 资产安全l 财务报告及相关信息真实完整l 提高经营效率和效果l 促进企业实现发展战略内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨
2、在实现控制目标的过程。-摘自财会20087号 企业内部控制基本规范监管机构对企业内控体系建设已经提出了具体的要求2011年中国证监会主席郭树清在上海公司治理论坛上指出,监管层将进一步促进和完善公司治理。自2012年1月1日起,国家相关部委联合发布的企业内部控制规范的监管范围将由试点扩大到主板上市公司,并将在中小板和创业板上市公司择机实行。监管要求(五部委)企业内部控制基本规范企业内部控制配套指引实施范围2011年1月1日境内外同时上市的公司2012年1月1日主板上市公司择机中小板、创业板上市公司鼓励非上市大中型企业与此同时,国内不断曝光的由于内控缺失给企业带来巨大损失的典型案例,也凸显出内控体
3、系建设的重要性中航油事件-对子公司内控失效-导致巨额亏损在新加坡风光无限的陈久霖在新加坡被捕的陈久霖为什么要加强内部控制-教训-中航油事件做了国家明令禁止的事情违规交易未及时汇报母公司不闻不问为什么要加强内部控制-教训-中石油事件中石油大连分公司-内部制度执行不到位,制度设计不到位-导致安全事故事故现场处罚决定(http:/ 以内控合规为目标 控制大的风险 表现为“家法家规”解决有无的问题 以提升管理能力为目标 将内控与日常管理结合 把内控作为一个管理工具,帮助企业完成绩效指标 更多的自动控制管理内控 以提升内控工作价值为目标 有效利用有利风险 为企业各部门提供咨询服务 更多的预防性控制价值内
4、控合规内控目录什么是内控管理企业应该如何应对用友内控咨询与信息化一体解决方案方案特点与价值分析典型案例企业建设内部控制体系的路线图内控梳理对标内控整改固化内控自评制定监督制度跟踪缺陷整改开展自我评价编制自评报告记录内控缺陷设计整改方案完善内控制度更新内控文件成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控审计提供所需证据出具管理声明披露审计报告内部控制应用指引内部控制评价指引内部控制审计指引内部控制基本规范管理层持续整改/内部监督持续开展信息化建设企业在建设内部控制体系过程中关注什么?如何高效有序地建立内控体系,以合理的投入达到最好的效果?如何使得内控体系融入公司日
5、常管理,提升管理水平,实现其对公司管理的价值?如何明确内部责任体系,提高执行力并支撑公司董事和管理层对外披露内控有效性?如何在合规的基础上,发挥内控效能,最大程度防范风险?已开展过系统内控建设工作的企业如何持续优化?16各阶段工作方案分享内控梳理对标成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标内控整改固化内控自评内控审计内控梳理对标内控的日常运行 负责内部控制的建立健全 和有效实施经理层(各业务部门)董事会负责组织协调内控的 建立实施及日常工作对内控体系运行进行监督检查专门或适当机构内部审计机构监督内控的有效实施和内控自我评价情况审计委员会对董事会建立实施内部控制进
6、行监督监事会内控建设&日常运行内控监督有权向董事会/审计委员会/监事会报告监督检查中发现的内控重大缺陷基本规范第十二条 董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。基本规范第十三条 企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。基本规范第十五条 内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控
7、制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。基本规范第四十条 企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。基本规范第四十五条 企业应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。基本规范中内控组织结构设计的要求评价指引第四条 企业董事会应当对内部控制评价报告的真
8、实性负责。评价指引第十三条 企业内部控制评价部门应当拟订评价工作方案,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会或其授权机构审批后实施。评价指引第十五条 企业内部控制评价部门应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。评价指引第二十四条 内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。审计指引第三条 建立健全和有效实施内部控制,评价内
9、部控制的有效性是企业董事会的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。规范指引中内控组织结构设计的要求监管要求虽然是对董事会层面形成的对内部控制的有效性对外进行披露,公司董事会应由公司总经理对其负责,而公司总经理应由下属各级管理层对其负责,各级管理层由执行内控活动的员工对其负责。所以应明确内部责任体系,支撑公司董事会对外披露内控有效性。内控组织机构设计的关键点各阶段工作方案分享内控梳理对标成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标内控整改固化内控自评内控审计内控梳理对标本阶段工作的主要挑战:v企业当前的组织架
10、构设置无法满足开展内控体系建设工作的要求,需进行组织架构变更v缺乏具备内部控制专业胜任能力的人才从事相关工作,导致内控部门人力资源配置不充分v内控部门职责分工不合理,存在独立性冲突v业务部门缺乏对内部控制的知识与经验,对自身在内控体系建设项目扮演的角色认识不足各阶段工作解决方案分享内控梳理对标(续)成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标内控梳理对标内控整改固化内控自评内控审计原则:涵盖企业及其所属单位的各种业务和事项 关注重要业务单位、重大业务事项和高风险领域风险识别:应重点关注18个内部控制应用指引中所列示的风险可运用适当的风险识别工具,逐步细化风险点和管理
11、手段各阶段工作解决方案分享内控梳理对标(续)成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标内控梳理对标内控整改固化内控自评内控审计本阶段工作的主要困难:v缺乏风险识别方法与工具,工作难以下手v缺乏统一的、量化的风险评估标准,难以有效地识别重大风险以指导内控工作的方向v业务部门对风险的认识上有所偏差,与内控缺陷的概念有所混淆,从而对风险识别与评估工作产生抵触情绪各阶段工作解决方案分享内控梳理对标(续)成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标 风险识别和管理工具-企业价值地图内控梳理对标内控整改固化内控自评内控审计各阶段工作解决方案分享内控
12、梳理对标(续)成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标 风险识别和管理工具企业风险地图内控梳理对标内控整改固化内控自评内控审计各阶段工作解决方案分享内控梳理对标(续)成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标 依托最佳实践和控制数据库进行对标梳理内部控制应用指引 访谈内容企业现有制度内控梳理对标内控整改固化内控自评内控审计各阶段工作解决方案分享内控梳理对标(续)成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标内控梳理对标内控整改固化内控自评内控审计本阶段工作的主要困难:v工作量繁杂庞大,在时间把控与人力资源配
13、置方面存在困难v缺乏内控梳理对标的方法与工具,无法保证辨识控制活动的有效性及完整性v对内控规范的解读不足,致使对标梳理工作难以达到合规要求v缺乏管理最佳实践经验,在满足合规要求的基础上难以进一步满足管理提升的目的各阶段工作解决方案分享内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化内控整改固化 建立内部控制缺陷认定汇总表 记录内部控制缺陷成因、表现形式和影响程度 以控制目标为核心,打破部门和流程局限,设计适合企业运营特点的整改方案 明确整改责任部门与责任人 明确整改完成期限 追踪整改进度 保留整改证据内控梳理对标内控梳理对标内控整改固化内控整改固化内控自评内控自评内控审
14、计内控审计各阶段工作解决方案分享内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化内控梳理对标内控整改固化内控自评内控审计本阶段工作的主要困难:v高级管理层对于内控工作的宣贯不足,业务部门对内控工作存在误解,不愿暴露自身存在的缺陷v难以发现日常工作中形成的、已成为惯例的流程中潜在的内控缺陷v对于已识别的内控缺陷,缺乏定性及定量的分析方法,确定对企业带来的影响程度v对于已识别的内控缺陷,尤其是存在客观制约因素的缺陷,难以制定出合理有效的整改方案v对于整改时间进度上的把握过于宽松各阶段工作解决方案分享内控整改固化(续)记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固
15、化 内部控制手册、业务流程图与流程文件内控梳理对标内控整改固化内控自评内控审计各阶段工作解决方案分享内控整改固化(续)记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化内控梳理对标内控整改固化内控自评内控审计31本阶段工作的主要困难:v内控工作中涉及流程图、控制矩阵、不相容职责表等文档,专业化程度较高且工作量较大v对于初次进行内控体系建设工作的企业,容易出现“三板斧”的现象,即在初步工作完成后未定期进行复核、评估、更新的工作,未能形成长期的、固化的内控工作机制各阶段工作解决方案分享内控自评制定监督制度跟踪缺陷整改开展自我评价披露自评报告内控自评 制定监督制度、明确监督活动外部监督内部
16、审计监督持续监督监督主体工作内容政府、外部审 计师等公司内部审计监督各业务系统 日常监督内控鉴证监管检查专项内部控制评价内部控制缺陷整改跟踪按内部控制制度自我监督内控梳理对标内控整改固化内控自评内控审计各阶段工作解决方案分享内控自评制定监督制度跟踪缺陷整改开展自我评价披露自评报告内控自评内控梳理对标内控整改固化内控自评内控审计制定评制定评价工作价工作方案方案组成评组成评价工作价工作组组实施现实施现场测试场测试认定控认定控制缺陷制缺陷汇总评汇总评价结果价结果编报评编报评价报告价报告33各阶段工作解决方案分享内控自评制定监督制度跟踪缺陷整改开展自我评价披露自评报告内控自评内控梳理对标内控整改固化内
17、控自评内控审计34本阶段工作的主要困难:v对于上一阶段中发现的内控缺陷整改情况未形成跟踪机制,使缺陷整改流于形式v对内控自我评价的流程与方法了解不足,难以满足企业内部控制评价指引中的相关要求v各业务部门对内控自评工作带来的额外工作量存在抵触情绪,对测试工作不够重视、执行存在随意性v未能及时、恰当地披露自评报告,违反合规要求各阶段工作解决方案分享内控审计 企业应提供详尽的以下信息将有利于注册会计师省时高效的完成内部控制审计 与企业相关的风险 相关法律法规和行业概况 企业组织结构、经营特点和资本结构等相关重要事项 企业内部控制最近发生变化的程度 相关制度政策及内部控制文档 已注意到的内部控制缺陷
18、与内部控制有效性相关的证据 自我评价工作底稿提供所需证据出具管理声明披露审计报告内控审计内控梳理对标内控整改固化内控自评内控审计35各阶段工作解决方案分享内控审计 管理声明的内容应包括 企业董事会认可其对建立健全和有效实施内部控制负责 企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准以及得出的结论 企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础 企业已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺陷和重要缺陷 企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷,是否已经采取措施予以解决 企业在内部控制自我评价基准日后,内部控制是否发生重大变
19、化,或者存在对内部控制具有重要影响的其他因素提供所需证据出具管理声明披露审计报告内控审计内控梳理对标内控梳理对标内控整改固化内控整改固化内控自评内控自评内控审计内控审计36各阶段工作解决方案分享内控审计提供所需证据出具管理声明披露审计报告内控审计内控梳理对标内控整改固化内控自评内控审计37本阶段工作的主要困难:v对内控审计的理解不足,未在前期进行充分准备,导致被出具有保留意见的审计报告v缺少审计资料或工作底稿企业内部控制体系建设成功的关键因素38目录什么是内控管理企业应该如何应对用友内控咨询与信息化一体解决方案方案特点与价值分析典型案例集团企业全面风险与内控管理的常见问题2、风险管理和内控管理
20、流程难以长期坚持 涉及全员,流程复杂,手工难以控制1、缺乏全面风险与内控管理运作体系 多种经济、贸易、会计、税务、劳务制度4、风险控制评价工作量巨大,增加管理成本 手工进行控制点进行样本测试,并进行后续的改进监督测试,造成相关人员工作量巨大,难以满足内部管理需要3、风险与内控管理业务孤立运作 基本处于手工独立运作,与日常业务系统无关联5、风险管理和内控报告输出困难 面向多个监管部门的不同要求,管理报告占用大量编制时间和成本方案总体方案总体应用目标应用目标CEO(管理层)第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计业务部门业务部门审计委员会风险管理委员会风险收集识别分析风险评估管
21、理策略应对方案监督与评价风险控制实施方案手册制订手册审核手册发布手册发放测评改进实施审计审计报告审计处理决定审计复审审计计划信息系统SOX企业内控基本规范企业内控应用指引企业内控评价指引企业内控审计指引COSOISO38500ISO27000COBITITSS内控体系建设项目实施路线图内控梳理对标内控梳理对标内控整改固化内控整改固化内控自我评价内控自我评价外部审计、董事外部审计、董事会报告及持续运会报告及持续运行行项目启动阶段项目启动阶段信息化建设风险内控管理工作持续开展确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范记录内控缺陷设计整改方案完善内控制度更新内控文件发布内控手册制定
22、监督制度开展评估测试跟踪缺陷整改开展自我评价出具自评报告进行模拟审计提供所需证据出具管理声明披露审计报告持续运行改进确立项目目标成立专属部门进行前期培训统一工作方法确定工作计划第一道防线第二道防线第三道防线内部环境管理企业目标 组织架构业务流程制度管理风险识别风险收集风险分析风控方案设计风险管理策略风险控制矩阵风险评估风险评价重大风险认定风控手册制订版本管理监控及预警 安全监控业务流程监控发布指标监控及预警突发事件监控监督及改进测试自评缺陷分析及认定自评计划整改及跟踪统计分析报告管理 治理绩效管理计划管理项目管理审计作业审计方案审计报告审计底稿审计整改审计问题审计工具数据抽样数据分析经营指标预
23、警审计方法预警档案管理审计系统业务系统管理体系设计控制实施监督改进人力资源资金管理采购业务资产管理担保管理销售管理财务管理知识库内控体系将与企业自身的业务流程体系和审计流程体系相关关联,构成企业风险防范的“三道防线”第一阶段:项目启动与计划阶段项目阶段项目启动与计划阶段内控梳理对标阶段内控整改固化阶段内控自我评价阶段接受外部审计、董事会报告及持续运行阶段-建立内控体系建设联合项目组,定义项目职责分工-进行定量定性的专业分析,确定项目具体工作范围并搭建业务流程总体框架-确定及细化项目推进计划-参加启动大会并对项目组成员进行内控相关知识培训-结合业务流程总体框架,识别出与关键风险对应的重大业务流程
24、-编制项目交付品模板-建立内控体系建设联合项目组-共同参与制定项目小组工作职责和项目日常管理制度-提供范围确定所需要的资料-项目小组成员参与讨论、审核项目总体范围和推进具体计划-协调安排项目启动会相关事宜-协调、安排相关人员接受访谈-对用友的工作成果进行及时反馈-联合项目小组成员名单及联络表-风险调查问卷-访谈计划-访谈提纲-访谈纪要-业务流程总体框架-项目推进具体计划-启动会材料-项目交付品模板主要工作内容需亚太科技配合事项工作成果集团企业内控部门的基本职责制定及优化公司的内部控制流程、政策、方法及执行标准;组织并执行公司的内部控制工作,帮助各部门、下属子公司及控股公司现场规范相关的业务流程
25、及操作规程;负责制定及优化公司总部、下属子公司及控股公司风险评估体系;帮助管理层鉴别公司总部、下属子公司及控股公司管理上存在的风险;负责协调公司的内部控制自我评估项目,确保公司的有效控制达到管理层的控制目标;1)协助流程及控制实施人制定无效控制的补救计划,及跟踪计划,确保无效控制得以控制并转为有效;2)给流程及控制实施人提供关于内控方面的培训,建立及维护内部控制、自我评估、测试模板及工具,文件存档标准,及管理证明;3)检查各控制实施人的自我测试工作效果,包括测试样本,测试文件的归档等。负责检查公司总部、下属子公司及控股公司相关运营、财务、人事等业务政策及流程情况;负责平衡内部控制的要求与实际的
26、业务发展的冲突,参与其他与内部控制相关的工作。建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告建立内控管理组织与岗位体系集团可以根据行业、地域不同建立多个内控组织范围;建立标准的岗位与职责分工;建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告对集团内部各层级的风险加以识别支持集团全面风险管理问卷的设计、下发与信息上报管理。建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告实现集团多级风险评估管理支持多层级多部门风险评估运作机制;支持风险评估标准与模型建立;支持评估结果自动选取标准建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告重要风险认定与评估结果
27、分析支持风险排序与重大风险确定管理;支持集团级风险评估审核与上报管理;支持多宗风险评估结果热图分析第二阶段:内控梳理对标阶段项目阶段项目启动与计划阶段内控梳理对标阶段内控整改固化阶段内控自我评价阶段接受外部审计、董事会报告及持续运行阶段-结合企业内部控制基本规范和配套指引,组织对高级管理层、业务流程负责人访谈,形成风险控制矩阵-对发现的内部控制缺陷,提出整改方案-分析各流程的管控现状和整改需求-协助安排与相关人员的访谈-协助与相关人员进行缺陷问题的沟通-及时安排对用友出具的流程改进意见的审阅工作并进行反馈和讨论-公司层面及业务流程层面风险控制矩阵-流程描述-流程图-流程内控设计缺陷汇总表及管理
28、建议书-阶段性汇报材料主要工作内容需贵公司配合事项工作成果建立企业内控体系和流程标准支持跨公司的业务流程定义;支持业务流程在不同的子集团、公司存在不同的业务环节;集团内部不同行业执行不同的业务流程标准建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告形成风险控制矩阵和相关流程制度针对集团各公司的业务,编制对应的内控手册,包括业务目标、可能产生的风险、各个流程环节设置哪些控制点;控制对应的监督检查方法,实施的业务部门和监督部门;该业务流程相关的各种图表、流程图、制度等资料。建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告内部控制穿行测试根据内控措施中要求的监督部门和业务部门
29、,进行多次控制措施的自我评测;建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告第三阶段:内控整改固化阶段项目阶段项目启动与计划阶段内控梳理对标阶段内控整改固化阶段内控自我评价阶段接受外部审计、董事会报告及持续运行阶段-提供内控缺陷报告-与流程负责人讨论缺陷报告的初稿,修改缺陷报告并定稿-确定并下发整改计划-根据用友提出的管理建议进行整改-监督整改的落实情况-确认内部控制手册-管理建议书-内部缺陷报告-阶段性汇报材料主要工作内容需贵公司配合事项工作成果根据内部控制点测试报告进行整改跟踪业务部门的整改进度和效果;分析风险控制的执行效果确定后的控制矩阵和相关资料形成内控手册经过审核后的内
30、控手册由集团统一发布,形成版本信息;允许不同公司针对同一个业务流程采用不同的控制和监督方法,体现各自的管理特色。建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告第四阶段:内控自我评价阶段项目阶段项目启动与计划阶段内控梳理对标阶段内控整改固化阶段内控自我评价阶段接受外部审计、董事会报告及持续运行阶段-设计控制测试模板-编写内控测试指导手册-提供内控运行测试方法培训-在公司对各环节内部控制进行抽样测试过程中,给予充分的技术支持-根据内控运行缺陷,提出整改建议-拟定内控自我评价报告-确认内控测试指导手册-组织安排测试人员-协调各部门流程责任人对测试发现的缺陷进行确认-确认整改方案-监督整
31、改方案执行情况-确认内控自我评价报告-测试指导手册-内部控制测试底稿-内部控制测试培训材料-控制测试结果-内控自我评价报告-阶段性汇报材料主要工作内容需贵公司配合事项工作成果集团多层级内部控制的自我评价根据内控措施中要求的监督部门和业务部门,进行多次控制措施的自我评测;分析风险控制的执行效果。建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告信息系统安全监控全景权限监控关键用户权限监控关键角色权限监控关键功能权限监控关键流程权限监控权限监控系统管理员权限集团管理员权限普通管理员权限特权监控离职人员帐号监控调配人员帐号监控不明身份人员帐号监控密码设置策略监控密码修改监控事前控制:控制互
32、斥职责授权事后监控:反应互斥职责稽核 结果互斥职责稽核密码安全监控系统管理员授权监控集团管理员授权监控普通管理员授权监控授权监控账号实施管理监控应用信息系统提供持续有效的信息系统安全监控建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告支持内控IT审计对于信息化系统的控制要求密码策略分析报告;权限变更报告;关键授权监控报告;实现系统控制的业务职责分离检查根据内控职责分离要求,通过IT风险监控系统的对人员的授权合理性进行判断;建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告定期修订内控手册,与时俱进根据评价的结果,修订相关的内控手册,形成新的版本;不同版本之间可进行对比分析
33、;不同业务流程也可进行对比分析。建立组织指责体系风险评估控制活动方案内部评价与改进监督与报告第五阶段:接受外部审计、董事会报告及持续运行阶段项目阶段项目启动与计划阶段内控整改固化阶段内控自我评价阶段接受外部审计、董事会报告及持续运行阶段内控梳理对标阶段主要工作内容需贵公司配合事项工作成果-协助公司与外部审计师沟通-对2012年内部控制工作开展情况进行总结,编制内控总结汇报材料-对2013年内部控制工作进行规划,制定工作规划方案-对2012年内控项目总结报告进行沟通确认-对2013年内控项目规划方案进行沟通确认-本年度内控工作总结汇报材料-下年度内控工作规划方案内控审计平台实现与外部审计的对接目
34、录什么是内控管理企业应该如何应对用友内控咨询与信息化一体解决方案方案特点与价值分析典型案例特点1体现不同集团管控模式下的内控管理体系特点NCv6企业建模的优势,适用于不同管控模式下的内控管理特点运营管控型集团对内控一统到底,个性化程度低存在集团内跨组织流程统一制定内控手册的相关内容,下属单位执行一套内控体系,并入一个内控组织范围管理。风险监管事件和指标的内容按照重要性原则设计;监管重大突发风险战略管控型集团实行一套总分式的内控体系,即总部规范部份流程,分子公司制定部份内控规则;存在全局式跨集团流程;按照内控业务的特性可以形成多个内控组织监管重大突发风险,其余指标按照职能层级设计财务管控型集团内
35、间隔多个子集团内控体系,可以按照行业、股权关系等划分,彼此不考虑共同标准内控流程;几乎不存在跨集团的流程;集团总部只考虑监管突发重大风险事件和指标特点2IT自动监控满足上市公司IT审计要求密码策略权限分配矩阵、变动审批、双人授权等;超级用户限制,多级授权访问安全性体现不相容职责分离原则与NC授权的自动关联,形成检查;外部审计机构关注重点,防范人员变动引发的授权危机职责授权分离检查与HR人员档案和变动联系,自动提供预警日志记录(引申oracle插件,实现IT追踪审计)关键风险岗位、职能、流程的授权监控异常监控特点3客户化的IT自动测评(深入业务细节)参数与计算方法控制 变动记录与报告 历史影响预
36、估流程与规则控制 变动记录与报告 例外报告与追溯分析关键数据控制 参考预算管理的内控审计线索 参考主数据审计信息和审批功能异常数据监测 根据控制矩阵中的监督方法和异常数据定义进行查询 非法数据筛选特点4基于应用集成的风险信息监控风险指标与重大事件监控重大突发风险管理风险指标预警企业安保监控企业CRM客户投诉企业经法管理法律诉讼企业内部举报/纪检管理用友内控咨询与信息化一体解决方案价值构建体系(事前)完善企业内控管理体系,满足合规监管要求 构建内控组织、人员和作业流程的集中管控平台内控常态化(事中)将风险内控管理与业务管理相融合,促进内控常态化 实现风险识别、评估和应对控制的流程化、标准化管理管
37、理优化(事后)通过内控自测和系统自动监控,提高内控执行的监管效率 内控测试数据分析与报告,推进内控持续优化目录什么是内控管理企业应该如何应对用友内控咨询与信息化一体解决方案方案特点与价值分析典型案例项目背景项目方案项目价值禾嘉股份是一家在上海证交所上市的公司,主要从事汽车零配件、特种大口径高压阀门制造及种子繁育销售的混合型集团公司。随着公司的不断发展,管理层意识到了公司原有内部控制制度的不足以及为了满足监管机构对 上市公司内控制度的要求,公司希望建立更加完善、有效的内部控制制度。对控股公司及下属其子公司的公司层面以及流程层面进行内控评价,采用调查问卷、编制内部控制风险矩阵、穿行测试、内控样本测
38、试等方法对公司内部控制制度进行测试、评价,并对测试、评价过程中发现的薄弱环节与缺陷提出整改建议,协助公司建立健全多层级的管控体系,协助管理层编制流程层面的内部控制制度、规范及操作模版。指导设立内部控制部门,由该部门负责公司内控制度的改进、施行与监督按照COSO内控框架的标准建立了内部控制制度大大改善了公司管理制度比较欠缺、制度执行不力的局面优化了管理结构,降低了企业风险满足财政部等五部委关于上市公司内部控制的要求案例1:禾嘉股份公司项目背景项目方案项目价值满足财政部等部委对上市公司提出的内部控制合规要求 建立内部控制体系,通过规范化的内控制度体系,提升企业的管理水平 建立多层级的内部控制体系的
39、分析、监控、处置和报告机制对公司总部和分子公司的管控体系进行评估,并对多个关键管理流程的内控执行的有效性进行测试。对评估和测试过程中发现的薄弱环节与缺陷提出整改建议,协助公司建立健全多层级的风控管理体系;基于以上工作对公司管理流程和内部控制进行书面化,形成各项内控制度。协助客户建立内控自我评估体系通过ERP、OA及企业业务系统,将咨询成果转化为标准化的业务流程,实现风险内控咨询成果的信息化落地。构建了内部控制体系满足了监管部门的相关要求,提升了企业管理水平,进而提高了企业的绩效 企业自身的内控管理人员可以通过评价改进功能,检查管控措施的的实施效果,发现制度流程设计和运行中的缺陷,及时指导业务部
40、门改善运营管理通过咨询IT全面解决方案,保证企业内部控制体系建设的咨询成果通过信息系统落地实施,切实保证内控体系建设的有效性,以及制度、流程执行的有效性案例2:大连国际合作股份公司项目背景项目方案项目价值新华联不动产股份有限公司前身为牡丹江石化集团股份有限公司,经黑龙江省体改委批准,由牡丹江石油化工企业集团公司分立组建,于1993年6月领取企业法人营业执照,并于1996年10月在深圳证券交易所上市。除了满足外部合规性的要求,新华联决定建立有效的风险管理与内部控制体系,持持续的业务增长,提升管理的质量,促进企业的有效经营,保护股东和投资人的利益,保证会计信息的真实性和准确性,以及有效防范企业经营风险,通过用友的咨询服务以及与信息化系统建设相衔接,使内控体系建设既能按期满足外部监管需求,又能通过信息系统落地,为企业经管管理流程在风险和效率之间获取最佳平衡内控体系建设与信息化系统建设相结合,提升效率的同时,降低了流程风险大大改善了公司管理制度比较欠缺、制度执行不力的局面优化了管理结构,降低了企业风险满足财政部等五部委关于上市公司内部控制的要求案例3:北京新华联不动产
