企业内控与风险管理体系设规划方案【原创】

1内控与风险管理工作汇报材料-内控与风险管理五年规划方案 MageaaMageaa于于 20102010年年5 5月月2尊敬的各位领导：尊敬的各位领导： 感谢您在百忙之中，看这份内控与风险管理专题文档，感谢您在百忙之中，看这份内控与风险管理专题文档， 内控与风险管理工作内控与风险管理工作在公司已经推行五个年头了，在各位领导的大力关心与支持下，取了很好的效果，在公司已经推行五个年头了，在各位领导的大力关心与支持下，取了很好的效果，在满足了资本市场的要求的同时，也夯实了管理基础，促进了公司健康持续发展。在满足了资本市场的要求的同时，也夯实了管理基础，促进了公司健康持续发展。 4 4月月2626日财政部等五部委联合发布了日财政部等五部委联合发布了企业内部控制配套指引企业内部控制配套指引，内控配套内控配套指引指引不仅是对公司财务流程的控制指引，而且是对各业务板块全流程的控制指引。不仅是对公司财务流程的控制指引，而且是对各业务板块全流程的控制指引。这套规范出台，要求我们的内控与风险管理工作要向更高层面推进。这套规范出台，要求我们的内控与风险管理工作要向更高层面推进。 有句话讲：有句话讲：“高度决定影响力高度决定影响力”，没有领导的关心与支持，省市内控队伍是很，没有领导的关心与支持，省市内控队伍是很难开展和推动内控相关工作的，无论是过去内控成果的取得，还是即将面临新形势难开展和推动内控相关工作的，无论是过去内控成果的取得，还是即将面临新形势下内控的发展，都需要领导的关心与支持。下内控的发展，都需要领导的关心与支持。 所以，在感谢各位领导一直以来的关心与支持的同时，也恳请各位领导一如既所以，在感谢各位领导一直以来的关心与支持的同时，也恳请各位领导一如既往地关心和支持全省内控与风险管理工作，谢谢！往地关心和支持全省内控与风险管理工作，谢谢！ 省公司法律与风险管理部省公司法律与风险管理部前言前言3企业内控与风险管理工作的四个阶段两个核心企业内控与风险管理工作的四个阶段两个核心1广东广东*公司第二个内控五年计划的考虑公司第二个内控五年计划的考虑3各单位抓好内控与风险管理的意义各单位抓好内控与风险管理的意义4广东广东*公司第一个内控五年计划的工作成果及存在问题公司第一个内控五年计划的工作成果及存在问题2目录目录4（1.11.1）企业内控与风险管理工作的四个阶段）企业内控与风险管理工作的四个阶段1困惑学习困惑学习阶段阶段2内控体系内控体系建设阶段建设阶段3落实内控落实内控体系阶段体系阶段 不清楚内控概念 不知如何开展 不清楚内控的投入预算 建立内控与风险管理委员会及办公室组织机构 建立公司风险控制矩阵、内控流程及措施等相关内控文档 开展持续的内控评审。 抓内控制度的执行落实 实现内控规范与业务结合 借助IT支撑系统实现内部控制4内控完善内控完善后的管理后的管理效益阶段效益阶段 内控带来管理提升，增强公司经营管理的效果与效率 业务风险的规避 法律法规的遵从 保证财务报告的真实性 内控成本的降低及内控效率提升。5（1.21.2）企业内控与风险管理工作的两个核心问题）企业内控与风险管理工作的两个核心问题 无论是风险点的标识还是无论是风险点的标识还是控制措施等内控文档都应当控制措施等内控文档都应当存在于公司各类业务流程中存在于公司各类业务流程中，与各岗位实际的业务操作，与各岗位实际的业务操作行为密切相关，内控体系文行为密切相关，内控体系文档不应该是脱离于实际业务档不应该是脱离于实际业务流程及业务操作行为之外的流程及业务操作行为之外的独立文档体系。独立文档体系。 以以ERPERP为代表的各类为代表的各类ITIT支撑支撑系统，其本质上是个管理工程，系统，其本质上是个管理工程，其目的是要把根据企业实际情况其目的是要把根据企业实际情况提炼出来的先进管理流程、管理提炼出来的先进管理流程、管理方法、管理技术及管理理念，用方法、管理技术及管理理念，用现代现代ITIT技术固化成型，从而提升技术固化成型，从而提升企业的工作效率。而在企业的工作效率。而在ERPERP等等ITIT支撑系统环境中建立完善有效的支撑系统环境中建立完善有效的内部控制体系，可实现传统管理内部控制体系，可实现传统管理控制、会计控制等手段到控制、会计控制等手段到ITIT控制控制手段的提升手段的提升, ,实现内控与风险管实现内控与风险管理的手工控制手段到计算机系统理的手工控制手段到计算机系统自动控制手段的飞跃。自动控制手段的飞跃。6广东广东* *公司第一个内控五年计划的工作成果及存在问题公司第一个内控五年计划的工作成果及存在问题2广东广东*公司第二个内控五年计划的考虑公司第二个内控五年计划的考虑3各单位抓好内控与风险管理的意义各单位抓好内控与风险管理的意义4企业内控与风险管理工作的四个阶段两个核心企业内控与风险管理工作的四个阶段两个核心1目录目录7（2.12.1）广东）广东* *公司第一个内控五年计划实施后的工作成果公司第一个内控五年计划实施后的工作成果1困惑学习困惑学习阶段阶段2内控体系内控体系建设阶段建设阶段3落实内控落实内控体系阶段体系阶段4内控完善内控完善后的管理后的管理效益阶段效益阶段20042004年年20092009年年第一个内控五年计划工作第一个内控五年计划工作成果成果 * *公司公司20042004年至年至20092009年，五年时间，完成了前年，五年时间，完成了前两个阶段的工作，在各级两个阶段的工作，在各级对内控的认识和理解基础对内控的认识和理解基础上，建立了全集团的较为上，建立了全集团的较为完善的内控管理体系。完善的内控管理体系。8广东广东*公司内控与风险管理委员会公司内控与风险管理委员会及委员会办公室控制及委员会办公室控制审审计计部部门门省公司法律省公司法律与风险管理与风险管理部部省公司省公司各专业各专业部门部门内控评审内控评审各分公司各分公司分公司内控与分公司内控与风险管理委员会风险管理委员会及委员会办公室及委员会办公室分公司各分公司各专业部门专业部门内控评审内控评审内控督导督导本专业内控内控督导（2.1.12.1.1）、工作成果一：建立了完善的内控与风险管理组织体系）、工作成果一：建立了完善的内控与风险管理组织体系9第一道防线第一道防线A省市业务或专业部门，是所管业务风险的直接责任者直接责任者。第二道防线第二道防线B省市内控与风险管理委员会及办公室，是公司内控与风险管理工作的推动者和协调者推动者和协调者。第三道防线第三道防线C内部审计队伍，是公司内控与风险管理体系建设情况及工作效果进行客观、独立地监督和评价的检查者检查者。省市内控管理员省市内控管理员D省市内控管理员必须承上启下，联络左右承上启下，联络左右，直接对本单位内控与风险管理办公室汇报工作，同时协调本单位业务部门进行相关内控与风险管理工作的推进。（2.1.12.1.1）、工作成果一：建立了完善的内控与风险管理组织体系）、工作成果一：建立了完善的内控与风险管理组织体系10省市内控与风险管理省市内控与风险管理队伍队伍A队伍包括省公司内控与风险管理委员会及办公室，各部门内控分管领导、内控管理员，分公司内控与风险管理委员会及办公室，分公司内控管理员。尽管兼职的居多，但队伍还是很壮大的。省市业务或专业部门省市业务或专业部门的专业队伍的专业队伍B省公司27个部门（包括新国信和广东华盛）、22个分公司（包括深圳物业）各专业或业务线条的岗位人员。业务结果与业务结果与内控结果内控结果C省市业务或专业部门的队伍对所管辖的业务结果负责，省市内控队伍对流程制度的健全和规范、风险点的有效控制负责。（2.1.12.1.1）、工作成果一：建立了完善的内控与风险管理组织体系）、工作成果一：建立了完善的内控与风险管理组织体系11（2.1.22.1.2）工作成果二：完善的风险控制矩阵等文档）工作成果二：完善的风险控制矩阵等文档 广东广东* *公司的最新版内公司的最新版内控矩阵，共控矩阵，共153153个内控个内控流程，流程，372372个风险点，个风险点，524524个控制措施。个控制措施。内内 部部 环环 境境战战 略略目目 标标 设设 定定事事 件件 识识 别别风风 险险 评评 估估风风 险险 应应 对对控控 制制 活活 动动信息与沟通信息与沟通监监 控控经经 营营报报 告告遵遵 循循子子公公司司业业务务单单位位分分支支机机构构企企业业整整体体层层次次12（2.1.32.1.3）工作成果三：成体系内控评测办法和内控测试文档）工作成果三：成体系内控评测办法和内控测试文档13（2.22.2）广东）广东* *公司第一个内控五年计划后还面临的五大问题公司第一个内控五年计划后还面临的五大问题4、难以满足持续合规需求3、难以满足不断增加的合规要求2、影响业务效率1、合规成本高5、难以被专业部门接受和执行14（2.2.12.2.1）问题一：合规成本过高）问题一：合规成本过高 随做环境的变化，内控手册需要逐项优化修改。现行内控手册涉及153个内控流程，372个风险点，524个控制措施，组织架构变，甚至每个岗位的变化均关联到内控手册的修订。每次修订，工作量很大，效率也低。 每次内控评审均会产生大量测试底稿，底稿种类多，差异大，很难准确归档，查询难度大； 测试底稿往往只能作为当次内控评测时用，下次评测难再利用。 参与评审人员众多； 测试文档复杂且量大； 测试结果统计分析的数据量巨大，错误多，效率低。15（2.2.22.2.2）问题二：影响业务效率）问题二：影响业务效率内控以防风险为目的业务流程以效率为目的 为保证执行到位，在现有为保证执行到位，在现有工流程中必须标识出风险点工流程中必须标识出风险点并进行控制，从而实现：流并进行控制，从而实现：流程所涉及到的岗位环节不仅程所涉及到的岗位环节不仅仅知道做什么、怎么做、什仅知道做什么、怎么做、什么时候做，还要知道可能发么时候做，还要知道可能发生什么问题、如何预防问题生什么问题、如何预防问题的发生并采取相应措施等。的发生并采取相应措施等。这增加的控制工作量会影响这增加的控制工作量会影响业务效率。业务效率。 根据需要持续开展的流程根据需要持续开展的流程梳理工作，其主要目的是集梳理工作，其主要目的是集中在在流程效率的提高上，中在在流程效率的提高上，其中不可避免地对一些看似其中不可避免地对一些看似不增值，但是重要的控制环不增值，但是重要的控制环节加以删减，容易造成业务节加以删减，容易造成业务人员在对流程执行过程中没人员在对流程执行过程中没有必要的控制，所以对关键有必要的控制，所以对关键控制点的删减将会对企业管控制点的删减将会对企业管理带来大的风险隐患，甚至理带来大的风险隐患，甚至会造成严重影响。会造成严重影响。16（2.2.32.2.3）问题三：难以满足不断增加的合规要求）问题三：难以满足不断增加的合规要求1996.12财政部发布独立审计具体准则第9号内部控制和审计风险。2000.3深圳证券交易所发布的公开发行证券公司信息披露编报规则第1号、第3号、第5号。2001.10中国证券监督委员会发出关于做好证券公司内部控制评价工作的通知2002.3中国注册会计师协会颁布的内部控制审核指导意见2006.6国资委中央企业全面风险管理工作指引2008.6财政部、证监会、审计署、银监会、保监会联合发布的企业内部控制基本规范2004.8国资委发布的中央企业内部审计管理暂行办法 2010.4财政部、证监会、审计署、银监会、保监会等五部委联合发布企业内部控制配套指引。17（2.2.42.2.4）问题四：难以满足持续合规要求）问题四：难以满足持续合规要求18（2.2.52.2.5）问题五：难以被业务部门接受和执行）问题五：难以被业务部门接受和执行1、现版内控文档的组织和变现形式过于复杂，不利于各业务部门、各岗位理解和执行。2、内控制度得不到各部门、各岗位的有效执行是现今很严重的问题。1、各类业务管理办法或专业管理办法，均较独立又较全面地地包括了流程、岗位、报表文档等内容。2、各执行单位只看办法而不理会统一归整和梳理的流程及内控等其他管理性文档的现象普遍存在。19广东广东* *公司第二个内控五年计划的考虑公司第二个内控五年计划的考虑3各单位抓好内控与风险管理的意义各单位抓好内控与风险管理的意义4企业内控与风险管理工作的四个阶段两个核心企业内控与风险管理工作的四个阶段两个核心1广东广东*公司第一个内控五年计划的工作成果及存在问题公司第一个内控五年计划的工作成果及存在问题2目录目录20（3.13.1）广东）广东* *公司第二个内控五年计划拟达到的目标公司第二个内控五年计划拟达到的目标1困惑学习困惑学习阶段阶段2内控体系内控体系建设阶段建设阶段3落实内控落实内控体系阶段体系阶段4内控完善内控完善后的管理后的管理效益阶段效益阶段20102010年年20142014年年第二个内控五年计划工作目标 完成第三阶段的工作，实现第四阶段的预期收益！分三步走：第一步：整合各类分散的管理文档；第二步：用ERP系统实现IT手段控制；第三步：搭建内控与风险管理平台实现大部分控制且实现风险预警等功能。21（3.23.2）三个步骤完成内控体系的）三个步骤完成内控体系的100%100%落实执行落实执行1 1整合分散的整合分散的管理文档管理文档2 2ERPERP实现实现ITIT手段控制手段控制3 3搭建内控与搭建内控与风险管理平台风险管理平台22（3.2.13.2.1）三步走之一：整合各类分散管理体系文档）三步走之一：整合各类分散管理体系文档23（3.2.13.2.1）三步走之一：将内控文档整合集中化）三步走之一：将内控文档整合集中化1、识别业务流程中的风险、识别业务流程中的风险2、定义降低风险的控制及控制记录、定义降低风险的控制及控制记录风险风险控制控制控制测试控制测试3、定义内控管理相关组织岗位、定义内控管理相关组织岗位.风险经理风险经理控制经理控制经理测试员测试员测试审核员测试审核员24（3.2.13.2.1）三步走之一：实现同一套流程模型，可以维护不同）三步走之一：实现同一套流程模型，可以维护不同的主题信息的主题信息流程流程质量管理信息安全管理信息内控管理信息.25（3.2.13.2.1）三步走之一：实现基于同一套流程，可以输出各种）三步走之一：实现基于同一套流程，可以输出各种管理主题需要的报告管理主题需要的报告25流程流程由一个流程自动导出各种流程文档风险控制文档风险控制文档岗位职责说明书岗位职责说明书质量管理文件质量管理文件26（3.2.23.2.2）三步走之二：利用）三步走之二：利用ERPERP系统实现系统实现ITIT控制控制27（3.2.23.2.2）三步走之二：利用）三步走之二：利用ERPERP系统实现系统实现ITIT控制控制图中红黄绿灯图中红黄绿灯即标识此套流程即标识此套流程中涉及到的风中涉及到的风险控制点险控制点(R1/R2/R3)(R1/R2/R3)28（3.33.3）三步走之三：搭建内控与全面风险管理平台）三步走之三：搭建内控与全面风险管理平台总总部部省省分分企业综合管理类系统企业综合管理类系统ERPERP类系统类系统公共服务类系统公共服务类系统项目管理系统资产管理系统采购管理系统资金管理系统预算管理系统办公系统合同管理系统企业风险管理系统档案管理系统人力资源管理系统ERP核心系统财务报帐系统内部门户系统主数据管理系统通信服务系统决策支持系统企业综合管理类系统企业综合管理类系统ERPERP类系统类系统公共服务类系统公共服务类系统办公系统档案管理系统内部门户系统通信服务系统29（3.33.3）三步走之三：搭建内控与全面风险管理平台）三步走之三：搭建内控与全面风险管理平台风险方案设计风险方案设计风险评估风险评估体系手册发布体系手册发布风险管理策略风险管理策略风险应对措施风险应对措施/控制活动控制活动内部环境管理内部环境管理企业组织结构企业组织结构企业目标企业目标职责分离检查职责分离检查在线发布在线发布监控及预警监控及预警监督及改进监督及改进测试任务管理测试任务管理统计分析统计分析缺陷分析及认缺陷分析及认定定风险评价风险评价风险分析风险分析风险识别风险识别管理体系设计管理体系设计控制实施控制实施监督及改进监督及改进离线发布离线发布信息系统一致信息系统一致性检查性检查测试及记录测试及记录责任签署责任签署风险管理组织风险管理组织企业业务流程企业业务流程指标监控及预指标监控及预警警测试结果审核测试结果审核整改及跟踪整改及跟踪事件收集事件收集事件分析事件分析事件认定事件认定风险事件管理风险事件管理事件监控事件监控建模模块建模模块风险评估模块风险评估模块发布模块发布模块监控及预警模块监控及预警模块监督及改进模块监督及改进模块风险事件管理模块风险事件管理模块30（3.33.3）三步走之三：搭建内控与全面风险管理平台）三步走之三：搭建内控与全面风险管理平台实现实现1：搭建一个业务部门和风险管理部门共同使用的知识管理平台：搭建一个业务部门和风险管理部门共同使用的知识管理平台4搭建涵盖所有业务范围的业务流程数据库搭建涵盖所有业务范围的业务流程数据库4网络部署及应用架构，分布建模、集中管理、网络发布及浏览，满足大型企业应用需求网络部署及应用架构，分布建模、集中管理、网络发布及浏览，满足大型企业应用需求4基于数据库的、集成的建模方式，一次维护、全面共享、单点维护，提高质量，降低成本基于数据库的、集成的建模方式，一次维护、全面共享、单点维护，提高质量，降低成本实现实现2：提高了业务流程和风险制度管理及宣贯效率，降低成本：提高了业务流程和风险制度管理及宣贯效率，降低成本4基于业务流程的风险管理方案，根据实际业务识别风险，在业务操作中控制风险基于业务流程的风险管理方案，根据实际业务识别风险，在业务操作中控制风险4满足对业务流程多种应用的需求，例如系统实施、风险控制、职责管理等满足对业务流程多种应用的需求，例如系统实施、风险控制、职责管理等4多种统计分析功能，满足业务和风险管理的决策信息需求多种统计分析功能，满足业务和风险管理的决策信息需求31（3.33.3）三步走之三：搭建内控与全面风险管理平台）三步走之三：搭建内控与全面风险管理平台实现实现3：通过流程信息化，建立持续的风险评估工作机制：通过流程信息化，建立持续的风险评估工作机制实现实现4：基于同一个平台展现风险评估结果，全面掌握风险分布及风险变化情况基于同一个平台展现风险评估结果，全面掌握风险分布及风险变化情况4人工或系统自动发起风险评估任务人工或系统自动发起风险评估任务4明确风险评估责任人明确风险评估责任人4固化风险评估流程固化风险评估流程4风险坐标图，明确公司重要风险风险坐标图，明确公司重要风险4风险趋势图，掌握风险变化趋势风险趋势图，掌握风险变化趋势32（3.33.3）三步走之三：搭建内控与全面风险管理平台）三步走之三：搭建内控与全面风险管理平台实现实现5：通过流程信息化，建立持续的风险事件搜集机制：通过流程信息化，建立持续的风险事件搜集机制实现实现6：建立公司统一的风险事件库，为风险评估和应对提供数据支持建立公司统一的风险事件库，为风险评估和应对提供数据支持4规范风险事件搜集的信息规范风险事件搜集的信息4固化风险事件管理流程固化风险事件管理流程4快速掌握风险分布，明确重要风险快速掌握风险分布，明确重要风险4掌握风险变化趋势掌握风险变化趋势33各单位抓好内控与风险管理的意义各单位抓好内控与风险管理的意义4广东广东*公司第二内控五年计划的考虑公司第二内控五年计划的考虑3企业内控与风险管理工作的四个阶段两个核心企业内控与风险管理工作的四个阶段两个核心1广东广东*公司第一个内控五年计划的工作成果及存在问题公司第一个内控五年计划的工作成果及存在问题2目录目录34尊敬的各位领导：尊敬的各位领导： 感谢您百忙之中看完了这份内控与风险管理文档，尽管公司开展内控与风险感谢您百忙之中看完了这份内控与风险管理文档，尽管公司开展内控与风险管理工作已经五年有余，但各部门、各分公司或多或少地对内控与风险管理工作管理工作已经五年有余，但各部门、各分公司或多或少地对内控与风险管理工作存在两大认识误区：一种认为内控与风险管理是存在两大认识误区：一种认为内控与风险管理是“管、卡、压管、卡、压”，抓内控会影响，抓内控会影响业务部门工作效率；另一种认为内控只为财务服务的，对于经营管理没有帮助。业务部门工作效率；另一种认为内控只为财务服务的，对于经营管理没有帮助。其实，内控要保证财务报告的真实性，同时也要保证公司经营管理的效率和效果。其实，内控要保证财务报告的真实性，同时也要保证公司经营管理的效率和效果。 当前各业务部门、各分公司经营任务、网络建设任务、网络维护任务压力都非当前各业务部门、各分公司经营任务、网络建设任务、网络维护任务压力都非常大，在这个时候开展内控与风险等夯实基础管理类的工作会花一些精力，但有常大，在这个时候开展内控与风险等夯实基础管理类的工作会花一些精力，但有一点可以肯定的是：这些内控与风险管理做好一定会促进各单位当前的经营任务一点可以肯定的是：这些内控与风险管理做好一定会促进各单位当前的经营任务目标、网络建设任务目标、网络维护任务目标的实现。目标、网络建设任务目标、网络维护任务目标的实现。 还有当前公司面临收入增长趋缓，成本费用居高不下，盈利水平大幅下降的经还有当前公司面临收入增长趋缓，成本费用居高不下，盈利水平大幅下降的经营困境的时候，强化管理，向管理要效益就更重要。比如，当我们的收入的全业营困境的时候，强化管理，向管理要效益就更重要。比如，当我们的收入的全业务过程管控管理做到位了，可以有效地防止收入的务过程管控管理做到位了，可以有效地防止收入的“跑冒滴漏跑冒滴漏”，这其实也是增，这其实也是增加主营收入的一个办法。再比如：接入间宽带资源的管理，通过内控评审，发现加主营收入的一个办法。再比如：接入间宽带资源的管理，通过内控评审，发现了问题，优化流程及内控管理相关制度，让前后台有了清晰的接入间端口资料、了问题，优化流程及内控管理相关制度，让前后台有了清晰的接入间端口资料、有了清晰的号线资料，至少会带来四个好结果：一是必将大大促进市场一线单位有了清晰的号线资料，至少会带来四个好结果：一是必将大大促进市场一线单位发展放号效率和效果；二是必将大大促进运维部门维护效率与效果；三是必将大发展放号效率和效果；二是必将大大促进运维部门维护效率与效果；三是必将大大避免建设部门盲目地、频繁地实施端口扩容、主干扩容、配线扩容等工程，减大避免建设部门盲目地、频繁地实施端口扩容、主干扩容、配线扩容等工程，减少重复浪费投资的同时也将大大减少建设部门的工程量；四是必将大大减少宽带少重复浪费投资的同时也将大大减少建设部门的工程量；四是必将大大减少宽带业务方面的三方资料差异（业务方面的三方资料差异（IPIP网管、号线系统、网管、号线系统、BSSBSS系统），减少收入损失风险。系统），减少收入损失风险。 最后，再次感谢您对内控与风险管理的关心与支持，谢谢！最后，再次感谢您对内控与风险管理的关心与支持，谢谢！省公司法律与风险管理部省公司法律与风险管理部 四、各单位抓好内控与风险管理工作的意义（结束语）四、各单位抓好内控与风险管理工作的意义（结束语）