1、内控成果编制方法介绍上海立信锐思信息管理有限公司2013年4月2目录目录n 内部控制体系概览n 内部控制成果具体编写说明3内部控制体系概览根据青岛港的控制环境类流程、控制手段类流程、控制活动类流程以及10家试点分、子公司的核心业务流程,目前内控体系中将青岛港集团的业务共划分为24个一级流程。其中除生产经营管理、生产管理(核心业务流程)外,其他二十二个流程为通用性业务流程。青岛港内控体系整体架构流程划分青岛港内控体系文件介绍 内控体系文件是指对业务操作流程的控制要求描述:要清晰的表达每一个动作的操作要求 基于内控的体系文件是基于风险和控制要求的操作性描述:重点要突出控制措施对风险的管理作用风险清
2、单流程图内控手册好的内控体系文件应该包括以下内容好的内控体系文件应该包括以下内容根据各业务流程的控制目标,影响目标实现存在的风险,梳理并完善风险管理控制措施,通过控制措施的详细表述明确各操作环节的规范要求企业业务操作程序的图化呈现,指导各岗位人员进行具体的业务操作对各业务流程存在的固有风险的全面识别,对各风险事件的属性的说明、企业风险管理策略的选择成果矩阵成果示例风险清单 识别风险的各项要素:-公司哪些流程存在风险?存在哪些风险?风险的严重程度如何?-风险的责任部门和责任岗位?目的是全面识别和分析各项风险,并落实每项风险的防控责任落实到人。二级流程名称风险事件编号风险事件描述风险属性风险类别初
3、始风险评估风险管理策略风险责任部门频率损失等级承受规避降低分担发展战略制定R02.01.01-01发展战略归口管理不明确,可能导致发展战略相关工作组织不系统,影响发展战略的制定与实施。战略风险战略规划风险12普通级集团办公室R02.01.01-02在制定战略目标过程中,缺乏充分的调研、科学分析和广泛的征求意见,可能导致战略脱离集团实际情况,影响战略的实施。战略风险战略规划风险14重要级集团办公室R02.01.01-03缺乏明确的发展战略或发展战略制定不合理,可能导致集团盲目发展,难以形成竞争优势,丧失发展机遇和动力。战略风险战略规划风险14重要级集团办公室R02.01.01-04制定的战略不符
4、合国家有关法律法规的规定,可能导致外部处罚、经济损失和信誉损失。法律风险交易合规风险14重要级集团办公室成果示例流程图 流程图的主要作用:-建立对业务流程和控制活动全局观的保证-提纲挈领的记录文件-梳理目前业务流程的基础工具成果示例成果矩阵u成果矩阵的主要作用:-针对每项具体风险提出针对性的控制措施;-将各项风险控制措施与目前企业的管理制度进行对标,根据风险控制文档的内容对制度中涉及风险防控的内容进行更新。对应目标编号控制目标对应风险事件编号风险事件描述三级节点控制措施编号控制措施描述控制措施责任部门控制措施责任岗位控制频率预防性/检查性手工/自动影响报表科目对应制度涉及文档CO02.01-0
5、2确保战略制定的科学、合理R02.01.01-01发展战略归口管理不明确,可能导致发展战略相关工作组织不系统,影响发展战略的制定与实施。战略归口管理CA02.01.01-01发展战略归口管理发展战略归口管理集团指定集团办公室为发展战略的归口管理部门,具体负责战略的汇总,战略规划及年度工作计划的拟定,战略的评估与考核等工作。集团办公室秘书每年预防性手工无部门职责CO02.01-02确保战略制定的科学、合理R02.01.01-02在制定战略目标过程中,缺乏充分的调研、科学分析和广泛的征求意见,可能导致战略脱离集团实际情况,影响战略的实施。战略信息收集CA02.01.01-02战略信息收集与分析战略
6、信息收集与分析集团在制定战略目标时,集团各部室及下属分子公司充分收集和利用内外部信息,综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手情况、可利用的资源水平和自身优势与劣势等影响因素,并综合利用各种分析模型进行科学的分析,以确保战略目标符合集团实际。集团各部室、下属分子公司相关人员每年预防性手工无CO02.01-02确保战略制定的科学、合理R02.01.01-03缺乏明确的发展战略或发展战略制定不合理,可能导致集团盲目发展,难以形成竞争优势,丧失发展机遇和动力。战略制定与审批CA02.01.01-03战略目标拟定战略目标拟定集团制定五年发展战略,首先集团各部室根据市场现状
7、、宏观经济形势、集团内部资源能力提出战略要求和目标并提交至集团办公室汇总。集团各部室相关人员每年预防性手工无集团各部室战略目标初稿现阶段各单位内控成果编制要求集团内部控制体系集团内部控制体系正式文件正式文件包括:内控手册包括:内控手册、风险清单。风险清单。集团内部控制体系集团内部控制体系过程文件过程文件包括:流程图、成果矩阵。包括:流程图、成果矩阵。其中内控手册中的流程图即为过程文件的流程图,二者对应一致;内控手册中的控制矩阵即为成果矩阵中的内容,二者对应一致。各单位本阶段内控体系文件编制要求:本阶段完成风险清单、流程图和成果矩阵各单位本阶段内控体系文件编制要求:本阶段完成风险清单、流程图和成
8、果矩阵的编制工作的编制工作 其中,风险清单需各单位参考集团对应流程的风险进行重新识别;流程图可在纸张上手画完成,为非正式文件;成果矩阵通过与集团相应业务流程对标并经过适当增减完成。流程划分中P09、P10为生产经营管理、生产管理流程,为各单位核心业务流程,需各单位自行编制,对应的试点单位的该业务流程仅供参考。其他22个业务流程可与集团进行对标。10内部控制成果具体编写说明内控体系确定业务流程划分业务事项相同?参考集团该部分业务流程划分业务事项存在差异?根据集团业务流程划分进行调整本单位特有业务?根据本单位实际情况进行本单位流程划分形成本单位内部控制体系框架明确内控体系文件编制工作的职责分工内控
9、成果了解1、通览本业务流程的流程概览(内控手册word文档),了解该业务流程的流程框架;2、通览本业务流程的流程图(流程图pdf文件),了解该业务流程业务操作模式、操作程序;3、通读该业务流程的成果矩阵(excel文件),了解集团操作程序和在该业务流程对下属各单位的管控要求。内控成果概述风险与流程匹配后,对流程进行梳理风险与流程匹配后,对流程进行梳理为满足以上要求,需做以下准备为满足以上要求,需做以下准备流程图及流程描述成果矩阵(EXCEL)n 流程中各业务事项是如何发生、授权、执行、记录与监督的n 信息传递的渠道、范围针对各业务流程风险:n 企业现有控制措施有哪些(制度规范要求、流程描述)n
10、 企业目前尚未明确或缺失的控制措施内控成果编制步骤步骤一:编制“流程图”根据流程内容、企业操作程序绘制流程图。根据流程内容、企业操作程序绘制流程图。步骤二:准备“流程描述”明确流程图中的各个控制环节具体执行的步骤明确流程图中的各个控制环节具体执行的步骤步骤三:核对“流程图”/“流程描述”,改进记录文件。步骤四:编制“成果矩阵”对标集团成果矩阵内容对标集团成果矩阵内容 对标内容与流程图核对,补充完善控制措施对标内容与流程图核对,补充完善控制措施 风险风险流程中可能发生的错误数据输入可能发生遗漏交易未受到相应级别管理层的授权审批 数据输入可能在未经授权的情况下被更改内控成果编制步骤流程图流程图u梳
11、理业务操作程序,明确操作部门/岗位u确认改流程各环节操作涉及的表单文档u刻画流程图1、流程图名称2、企业名称3、流程图编号4、流程图内容成果矩阵成果矩阵u记录流程描述中能与该流程识别出的风险对应的、起到风险管控作用的描述u增加制度中对该业务的其他管理要求u补充完善缺失/未完善的控制措施1、流程名称2、控制目标3、该流程识别出的风险4、风险对应的控制措施5、控制措施执行的责任部门/岗位6、对应制度、涉及表单流程图与成果矩阵形成相互印证的文件流程图刻画业务流程梳理在熟悉集团业务流程的操作模式和要求后,根据本单位实际操作程序,编制刻画本单位业务流程图(可依据集团流程图格式在纸张上画本单位流程图。流程
12、图刻画要求:操作顺序:从左到右,从上到下。由各业务事项的牵头部门开始,涉及到的部门/单位从左到右依次排列。明确流程中每个环节的操作岗位。流程各操作环节涉及表单文档明确。通过梳理刻画流程图,明确不同单位/部门在流程中的职责分工、权责分配,对业务操作模式予以固化。采购管理采购管理 采购计划管理采购计划管理 采购计划制定采购计划制定采购计划上报采购计划上报采购计划汇总采购计划汇总采购计划切分采购计划切分采购招标管理采购招标管理 采购方式选择采购方式选择采购方案拟定采购方案拟定招标过程管理招标过程管理采购评标管理采购评标管理 供应商资质审核供应商资质审核评标过程管理评标过程管理采购合同的签订采购合同的
13、签订采购验收管理采购验收管理 验收计划确认验收计划确认组织采购验收组织采购验收退换货管理退换货管理采购质量反馈采购质量反馈采购付款管理采购付款管理 采购收货确认采购收货确认使用单位对账使用单位对账供应商对账供应商对账采购付款采购付款采购付款记录采购付款记录供应商管理供应商管理供应商选择供应商选择供应商管理供应商管理供应商评价供应商评价供应商名单更新供应商名单更新流程描述三级节点确定根据集团内控体系框架制定业务一级流程与集团二级流程进行对标,明确本单位二级流程划分根据本单位业务管理模式,确定该二级流程的各操作环节,即三级节点(集团内控手册中的流程概览的三级节点可参考)三级节点细化,形成各操作步骤
14、,对操作步骤进行详细描述第一层第一层第二层第二层第三层第三层第四层第四层内控内控体系体系建设建设阶段阶段各业各业务流务流程梳程梳理阶理阶段段成果矩阵定义成果矩阵成果矩阵就是将流程中所涉及的就是将流程中所涉及的风险风险和对应的和对应的内部控制内部控制措施措施进行汇总,对缺失的控制环节予以进行汇总,对缺失的控制环节予以补充完补充完善善,最终形成企业,最终形成企业健全完整健全完整的控制程序的一种的控制程序的一种矩阵表格。矩阵表格。成果矩阵对标成果矩阵对标内容成果矩阵对标内容成果矩阵对标控制措施对标要求:集团原则性的要求,可依照集团要求填写 集团操作性的要求,根据本单位流程图中的操作程序填写编制 操作
15、内容与集团进行对接的,写到与集团对接部门即可成果矩阵对标控制措施对标要求:与集团所有控制措施进行对标,完成本单位成果矩阵的控制措施描述。集团矩阵中可与本单位进行对标的,则进行对标修改;集团矩阵中的控制措施不适用本单位的,则注明不适用。成果矩阵对标控制措施对标要求:与集团所有控制措施对标完成后,拿对标的控制措施与本单位流程图进行核对。流程图中有,但对标矩阵缺失的,则在excel表中插入行,对缺失的控制措施予以补充完善。插入行插入行:对比本单位刻画的流程图,增加的控制措施成果矩阵对标责任部门责任部门/岗位对标岗位对标要求:要求:每条控制措施需明确控制措施的责任部门、责任岗位,牵涉到多个部门、岗位的
16、,全部填写上,依照部门、岗位的重要性程度依次列示。明确控制措施的责任部门明确控制措施的责任岗位成果矩阵对标控制活动发生频率:每日多次(一年发生次数大于365次)每天(一年发生次数大于52次,小于等于365次)每周(一年发生次数大于12次,小于等于52次)每月(一年发生次数大于4次,小于等于12次)每季度(一年发生次数大于2次,小于等于4次)每年(一年发生次数为1次)发生时(一年发生次数不确定,平均少于1次)控制频率、控制活动性质对标控制频率、控制活动性质对标要求:要求:控制频率:控制措施每年平均发生的频率,根据本单位实际情况进行认定 控制活动性质:手工控制/信息系统自动化控制;事前预防性控制/
17、事后检查性控制。成果矩阵对标成果矩阵编制要求:成果矩阵编制要求:对应制度即控制措施要求是否在公司制度规范文件中有相应要求,如有,填上制度名称;涉及文档即该条控制措施操作时留下的操作痕迹(表单),可以是书面的也可以是电子版的,也可以是信息系统某个操作界面。空缺时,需对制度进行补充完善明确表单名称成果矩阵控制措施写作方法写作要素:写作要素:成果矩阵控制措施写作方法写作要素:写作要素:五个要点(4W1H)谁?(who)控制措施的执行者什么时候?(when)控制措施的执行时间做什么?(what)控制措施产生的结果怎么做?(how)控制措施过程的具体描述为什么?(why)控制措施的具体目标和作用“事无巨
18、细”用简单句 用统一的语言名称和称谓成果矩阵控制措施写作方法成果矩阵控制措施写作方法成果矩阵编号规则1、控制目标编号、控制目标编号:如资产管理中的一个控制目标编号CO13.01-02:其中CO表示控制目标,13表示资产管理的一级流程编号,01表示集团总部代码,02表示该目标为本流程第二个目标。集团内控体系控制目标已梳理完毕,各单位仅需修改控制目标编号的公司代码部分。如某单位的公司代码为16,则对标时,即可修改为CO13.16-022、对应风险事件编号、对应风险事件编号:如资产管理中的一个风险事件编号R13.01.01-07:其中R表示风险,13表示资产管理的一级流程编号,01表示集团总部代码,
19、第二个01表示资产管理流程中的第一个二级流程,07表示该流程的第7个风险事件。每个业务流程风险事件识别完毕后,对风险事件末尾部分进行流水编号,并修改风险事件编号的公司代码部分。如某单位的公司代码为16,则对标时,即可修改为R13.16.01-073、控制措施编号、控制措施编号:如资产管理中的一个控制措施编号CA13.01.01-07:其中CA表示控制措施,13表示资产管理的一级流程编号,01表示集团总部代码,第二个01表示资产管理流程中的第一个二级流程,07表示该流程的第7个控制措施。在每一个二级业务流程,从第一条到最后一条控制措施,编号前半部分相同,最后一部分流水号编制。RISK 风险 目标
20、 企业经营 风险,指未来的不确定性对企业实现其经营目标的影响。-国资委中央企业全面风险管理指引 其中,目标可以有不同的方面,例如:财务、健康和安全、以及环境目标。目标同时可以适用于不同的层面,例如:战略、整个组织、项目、产品和过程。影响是企业日常经营过程中因不确定性因素导致实际后果与预期结果的偏离(积极和/或消极)风险清单-风险定义风险清单-风险评估主体由企业(内部控制建设牵头部门)组织有关职能部门和业务单位实施u公司级层面,高级管理层应该参与评估活动。u部门级层面,部门管理层和关键流程责任人应该参加评估活动。u在有些情况下,对独特的业务风险有独特了解的人应该参与评估工作。u在其他情况下,董事
21、会可能也需要参与。风险评估一定要全员参与风险评估一定要全员参与风险清单-风险管理逻辑风险清单-风险辨识 风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。风险辨识的思路:-本部门涉及到哪些重要流程?-这些流程有哪些关键目标?-影响这些关键目标实现的因素有哪些?风险清单-风险辨识示例合法性合规性合理性真实性完整性有效性效率性准确性及时性保密性重大物资采购的供应商选择是否按国家招投标法进行重大采购流程是否信息公开,纪检监察参与采购物资的申请是否合理,该物资是否需要,是否有库存供应商的报价材料是否真实准确,有依据支撑采购验收的操作是否完善,验收的方面是否齐全采购
22、后该物资的使用效果如何采购的成本是否合算采购入账金额是否准确供应商送货是否及时特殊物资采购是否做到了保密风险清单-风险分析u判断风险产生的:-原因 -后果 -触发条件示例:示例:未对人力资源规划的执行情况进行定期评估,难以持续了解人力资源相关工作,可能导致难以根据实际情况进行恰当调整,影响战略目标的实现及日常运营。触发条件触发条件原因原因后果后果风险清单-风险频率与损失的认定分值分值频率频率定义定义5很高每天发生4高每周发生一次3一般每月发生一次2低每年发生一次1很低几乎不发生,只在特定时期发生分分值值后后果果法规法规运营运营/体系体系经济经济(损失(损失)声誉声誉安全安全环境环境5灾难性被起
23、诉重大影响(如设施永久损害,造成生产线废弃)300万元以上负面消息流传世界各地,政府或监管机构进行调查,引起公众关注,对企业声誉造成无法弥补的损害引起多位职工或公民死亡对周围环境造成永久污染或无法弥补的破坏4重大被起诉严重影响(如生产长时间关停)30万元至300万元之间负面消息在全国各地流传,对企业声誉造成重大损害导致一位职工或公民死亡对周围环境造成严重污染或者需高额恢复成本3重要被公开警告,罚款中度影响(如生产故障造成停产)3万元至30万元负面消息在某区域流传,对企业声誉造成中等损害长期影响多位职工或公民健康环境污染和破坏在可控范围内,没有造成永久的环境影响2中等被公开警告,不罚款一般影响(
24、生产线暂时无法生产)3千元至3万元负面消息在当地局部流传,对企业声誉造成轻微损害长期影响一位职工或公民健康无污染,没有产生永久的环境影响1轻微被政府机关构质疑/调查轻度影响(影响货物交付)少于3千元负面消息在企业内部流传,企业声誉没有受损短暂影响职工或公民的健康系统内危害,无外借污染和环境影响风险发生频率定义风险发生频率定义风险发生时造成的损失风险发生时造成的损失,仅供参考,各单位需根据风险承受能力制定本单位的风险损失认定标准重大级17风险等级25,或风险损失=5重要级9风险等级16,或风险损失=4普通级1风险等级8,且风险损失4风险等级=风险频率*风险损失*具体风险等级认定可参考各业务流程内
25、控成果风险清单中风险级别认定标准风险级别认定标准表格风险属性类别认定风险属性认定风险属性认定战略风险战略风险 财务风险财务风险 市场风险市场风险 运营风险运营风险 法律风险法律风险风险类别认定风险类别认定根据风险清单中风险级别认定标准(第二个根据风险清单中风险级别认定标准(第二个sheet):风险):风险类别参考中的各风险定义进行认定类别参考中的各风险定义进行认定风险责任部门:风险发生的主要责任部门风险责任部门:风险发生的主要责任部门具体定义具体定义参考附件参考附件风险管理策略选择u风险管理策略可以分为风险承受、风险规避、风险分担、风险降低 风险管理风险管理策略策略风险承受风险承受风险规避风险规避风险分担风险分担风险降低风险降低定义风险承受是指企业对所面临的风险采取被动接受的态度,从而承担风险带来的后果。是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。以应收账款为例对于兄弟公司一律先货后款对于新客户一律先款后货对于部分客户可以由相关单位担保后赊销对于老客户需信用评级,评级合格可赊销