1、 内部控制与风险管理体系 操作实务 迪博企业风险管理技术有限公司 中国领先的内部控制 /风险管理解决方案提供商 发展 创新 品牌 为承诺负责,竭尽全力 培训讲师介绍 相关 资历 洪先生拥有 11年 以上的内部控制咨询、风险管理咨询、内部审计及财务审计服务经验 ,曾先后服务于普华永道、甫瀚咨询、安永咨询等国际知名咨询机构。曾为 金融行业、制造业、电力行业、高科技等行业的 60余家国有企业、民营企业、外商合资、合作等,提供内部控制及风险管理咨询、并购尽职调查、内部控制评估、萨班斯法案合规咨询、财务审计等服务。 洪先生 是业内唯一参与了上证所 董事会关于公司内部控制的自我评估报告 格式指引 制订的全
2、过程;同时还参与了 内部控制基本规范 的征求意见过程;参与了 COSO内部控制整合框架 监督 中文版本的翻译和校稿过程;参与了 企业内部控制审计 政策解读与操作指引 的校稿过程。 洪先生于 2010年 8月被青海省商务厅聘请为风险控制管理专家委员会成员。 除了丰富的实务咨询经验外,洪乐先生亦曾参与为中国内审协会、深圳国资委、青海省商务厅、中电投集团、美的集团、中化集团、河南省国资委、克缇集团等公司机构提供关于内部审计及风险管理的相关培训。 洪乐 副总裁 咨询事业部 总经理 电 邮: 专业资格 国际注册内部审计师 注册项目管理师 国际内部审计师协会会员 美国项目管理协会会员 服务过的主要客户
3、中国各地证监局 上海 证券交易所 中电投集团 上海电气集团 深圳国资委 潍柴集团 中国重汽集团 中联重科 宇通客车 深圳天 健 皖通高速 克缇国际 橡果国际 英利绿色能源 中化集团方兴地产 中国远洋集装箱运输集团 目 录 基本 概念 总体方法 任务地图 具体操作 财 报内控 Vs.全面内控 全面内部控制 Vs.财务报告内部控制 ,最大差异是目标不同,因此随之风险评估程序不同,关注的控制活动重点不同。 财务报告内部控制 全面 内部 控制 以对外投资为例: 从全面内部 控制角度来看,主要追求的目标是如何保证投资目标的实现,具体可能是指实现战略布局,获得投资收益,改善经营绩效。 从 财报内部 控制角
4、度来看,主要追求的目标是如何保证账面记录的投资事项(包括资产负债表中“长期股权投资”等,以及损益表中“投资收益”、“资产减值损失”等)全部被记录、是真实存在和发生的、计算是准确的、分类是正确的、披露是及时的。 内控制度 Vs.管理制度 内部控制制度并不是要求企业根据指引编制一套“瘦身版”的制度文本,就可以作为 XX股份有限公司内部控制制度 ; 内控制度是从突出、强化风险和控制的角度来表述某一项管理制度。所以内控规范工作完成后需要形成的一系列成果文件,例如流程图、流程描述、风险控制矩阵等,和企业原有的制度文件、规范体系等一起,共同构成企业内部控制制度。 在具备一定基础的条件下,企业可以将制度文件
5、、流程、各类指引等整合成一套 内控制度,而不用以多种形式并存。 目 录 基本 概念 总体方法 任务地图 具体操作 内部控制规范总体步骤 结合以往内部控制项目实施经验,那些内部控制实施效果最好、效率最高的公司都采用了一种自上而下以风险为导向的方法 : 2-4周 1周 8-10周 3-4周 1周 内部控制规范总体方法论 内部控制规范工作的核心方法是明确关键的四个要素:目标、风险、控制和人之间是否匹配、平衡、协调。 目标 控制 人 风险 内部控制存在于生产经营之中 理清企业的整体业务架构,分析关键管理功能,明确具体管理程序和标准 战略与经营计划管理 年度经营目标与计划编制 年度经营计划调整 年度经营
6、计划分解与落实 年度经营计划执行 年度经营计划分析与报告 年度经营计划 总结与考核 经营计划管理 4 预算目标确定与分解 预算方案编制 预算执行与监控 预算调整 预算外事项管理 预算考核与报告 全面预算管理 5 战略执行与监控流程 战略调整与审批流程 战略执行与监控 2 战略评价与考核流程 战略评价与考核 3 集团战略规划制定流程 集团战略目标 和发展规划 职能战略目标与规划 子、分公司战略目标和 发展规划 战略制定 1 纵向是程序 横向是公司治理、组织机构和人 目 录 基本 概念 总体方法 任务地图 具体操作 目 录 基本 概念 总体方法 任务地图 具体操作 启动与方案 开展内控体系规范工作
7、,从组织机构设置开始。 有效的内控组织机构设置,首先从功能分析开始。 启动与方案 组织机构 人员配置 方案选择 形成决议 启动大会 内控体系梳理与规范 内控体系日常运行 项目决策 项目管理 项目工作 项目领导小组 项目工作小组 常设职能机构 内控规范成果文件批准 持续地整改与优化 持续地执行 定期监督和评价 绩效考核 定期开展风险评估 董事会及专业委员会 董事会及专业委员会 内控管理部门 总经理及管理团队 各业务归口管理部门 总经理及管理团队 各业务归口管理部门 董事会及专业委员会 内控评价部门 董事会及专业委员会 内控管理部门 启动与方案 企业在设置内控组织机构时,需充分考虑到现行管理机构的
8、运行情况。 关键控制点 : 在 公司现行管理结构基础上,成立包括董事会、经理层、部门的内部控制体系组织架构; 设立专项推进组织,包括项目领导机构与项目工作机构; 董事会层面,可设立独立的专业委员会,如内控与风险管理委员会,也可将职责授予审计委员会 经理层面,需具备足够管理权限的人员参加到项目领导机构 部门层面,可指定或新设项目推进机构 将体系建设列入公司年度工作 重点 启动与方案 组织机构 人员配置 方案选择 形成决议 启动大会 启动与方案 某企业内控主管部门岗位设置及人员配置案例。 关键点: 是否需要招聘有成熟实施或管理经验之内控人才 非专设部门下成立需设立专门的内控处室 根据企业规模不同,
9、设置相应的内控岗位及编制 明确设立在各部门内控联络员 /专员之职责 启动与方案 组织机构 人员配置 方案选择 形成决议 启动大会 启动与方案 内控规范实施方案主要考虑以下内容: 在既定时间和资金预算内,如何将重要业务和单位全部覆盖? 不同的需求,在方案中逐步实现还是一步到位? 内部的资源匹配能力与素质 项目开展与生产管理周期协调 明确既定方案下主要阶段、时间及关键里程碑 是否聘请中介机构以及聘请什么样的中介机构? 各种管理体系之间如何协调与融合? 启动与方案 组织机构 人员配置 方案选择 形成决议 启动大会 启动与方案 内控规范实施方案主要考虑以下内容: 在既定时间和资金预算内,如何将重要业务
10、和单位全部覆盖? 启动与方案 组织机构 人员配置 方案选择 形成决议 启动大会 启动与方案 内控规范实施方案主要考虑以下内容: 不同的需求,在方案中逐步实现还是一步到位? 启动与方案 组织机构 人员配置 方案选择 形成决议 启动大会 财报内控 全面内控 围绕经营目标实现关键风险领域 根据需求复杂程度 4-8个月 整体 风险评估、目标风险分析法、最佳实践 法、穿行测试、控制测试等 流程图、流程描述、控制文档、风险控制矩阵、风险数据库、缺陷跟踪报告、管理建议报告、内控手册、权限指引等 解决实际的问题和困难;内控与业务的深度融合;提升管理能力;满足审计和监管需求 项目范围 项目周期 项目方法 项目成
11、果 项目绩效 采购、销售等重要业务循环 标准化 2-3个月 穿行测试,控制测试、检查清单 控制矩阵与评价表单、内控缺陷报告、内控手册、流程图与描述( 可选 )、评价手册与报告 满足审计和监管需求;提升管理水平 启动与方案 内控规范实施方案需要以正式地形式进行批准并发布。 关键 点: 经过 充分授权的领导者 发布 董事会 满足 证券监管机构的时间 要求 2012年 3月 31日 明确 体系发展方向,合理规划体系建设规划 小贴士:内控工作中,哪些文件需要上董事会? 启动与方案 组织机构 人员配置 方案选择 形成决议 启动大会 内部控制 体系实施 方案 内部控制体系实施阶段汇报 内部控制体系实施阶段
12、汇报 内部控制手册 内部控制运行管理制度 内部控制评价方案 内部控制自评价报告 内部控制审计报告 启动与方案 精心组织的内部启动大会对项目的成功至关重要。 关键 点: 提前策划并安排会议方案 筹备 好“松土培训” 建立 起相关信息发布和工作推进机制 启动与方案 组织机构 人员配置 方案选择 形成决议 启动大会 启动与方案 精心组织的内部启动大会对项目的成功至关重要。 关键 点: 提前策划并安排会议 方案 筹备 好“松土培训” 启动与方案 组织机构 人员配置 方案选择 形成决议 启动大会 主管部门 起草 关于召开公司内部控制体系建设启动会议的通知 会议 主题:项目组织机构方案、项目开展方式等 参
13、会人员:公司领导班子成员、总部各部门部长及业务骨干、子公司领导班子成员、子公司主管部门部长及业务骨干 会议议程:上级领导(监管机构讲话)、领导讲话、介绍咨询公司团队、明确相关职责和要求、项目计划讲解、总体培训等 会议时间:项目进场点,持续时间 1个小时,培训 2个小时 会议方式:现场会议 /视频会议 会议地点: - 联系人: - 造势之举,也是强势的文化和理念导入之时。因此,参会 人员规模、莅临领导级别 等显得至关重要 。 启动与方案 精心组织的内部启动大会对项目的成功至关重要。 关键 点: 建立 起相关信息发布和工作推进 机制 风险文化与控制理念的宣传与导入 启动与方案 组织机构 人员配置
14、方案选择 形成决议 启动大会 启动与方案 精心组织的内部启动大会对项目的成功至关重要。 关键 点: 建立 起相关信息发布和工作推进 机制 工作推进机制 -联合项目组 启动与方案 组织机构 人员配置 方案选择 形成决议 启动大会 外部机构 XXX 项目 领导小组 内控体系 归口责任部门 各 部门及单位 配合人员 项目顾问团队 项目联合工作小组 项目 经理 项目总负责人 XXX 质量保证 专家团队 工作小组 启动与方案 精心组织的内部启动大会对项目的成功至关重要。 关键 点: 建立 起相关信息发布和工作推进 机制 工作推进机制 -建立项目管理章程 启动与方案 组织机构 人员配置 方案选择 形成决议
15、 启动大会 启动与方案 精心组织的内部启动大会对项目的成功至关重要。 关键 点: 建立 起相关信息发布和工作推进 机制 工作推进机制 -建立项目计划管理 启动与方案 组织机构 人员配置 方案选择 形成决议 启动大会 风险评估 目标设定是指企业在不同层面确定的发展与管理的目标以及对这些目标的分解、量化和监督的过程,是风险评估的起点。 风险评估 目标设定 风险辨识 风险评估 风险应对 解决方案 公司 及 主要板块关键业务流程的 控制目标及主要岗位职责与绩效 公司要 业务板块的年度经营目标 及具体绩效指标 公司 主要 业务板块的总体发展目标及量化 指标 整体 的 定位、发展期望和经营准则 战略目标及
16、 关键指标 愿景、使命和价值观 具体业务程序目标 及岗位绩效 经营目标及 绩效指标 公司层面目标 业务层面目标 风险评估 风险评估包含公司总体层面风险评估和业务层面风险评估。 公司层面目标 业务层面目标 宏观经济及信贷政策 行业政策及管理思路 行业发展及未来前景 行业产业链及上下游竞争 行业技术革新或突破 战略目标及规划 市场价格波动 市场渠道变化 历史损失 案例 经营目标及预算 绩效考核方案 资源投入情况 流程执行效率 授权机制 职责划分 子流程目标编号控制目标风险编号风险描述风险评级控制编号控制描述1 1 . 1 人事及薪资文档管理T1 确保公司人员信息的真实性和完整性。R1 未经授权的人
17、员拥有人事、薪资主文档的读取和变更权限,可能导致不真实人员信息的产生。中 C01 人力资源部人事档案由人力资源部建档,总经办保管。如员工需借阅个人档案,则借阅员工向人力资源部人事专员提交书面申请,人力资源部经理审核批准后,该员工方可向总经办提出借阅。T2 及时变更人事、薪资主档案,确保主档案的完整可靠。R2 人事、薪资主档案未被及时更新,或者增减/变更缺乏有效支持文件和适当审批。中 C02 新员工正式被录用时,人力资源部人事专员为该员工建立员工档案,档案中包括签订的劳动合同、面试表格、试用转正的表格、用工备案表等。档案建立后,人力资源部人事专员将员工档案移交总经办,总经办负责为档案编号、入册并
18、存档。其他员工基本信息,如员工身份证复印件、身份证复印件、学历证明资料等由1 1 . 2 员工招聘C03 每年X 月份,或者知悉人员离职X 天以内, 用人需求部门填写用人需求申请,需求部门 领导 以及 公司业 务 部门 分管 领导 分别审核用人需求申请并签字, 审核 主要关注 部门业务 用人需求是否 合理 符合定岗定编要求或是否满足业务需求 。用人需求部门将审核通过的用人需求申请提交人力资源部。人力资源部经理C04 人力资源部培训专员通知面试通过的应聘人员到公司报道,福利专员安排录用人员去指定医院体检。录用人员按规定时间报到后,培训专员组织入职前培训,主要内容为公司规章制度、企业文化、安全教育
19、等。同时,培训专员在O A 上填写新员工录用申请, 经 人力资源部经理、 公司人力分管领导 在O A 中 审核无误后T4 与员工签订劳动用工合同、保密协议、竞业竞争等条款,明确双方义务,保证公司与员工双方的利益。R4 未与员工签订劳动用工合同或保密协议、竞业竞争等条款,导致双方责任义务不明确,可能导致法律诉讼或企业经济受损。高 C05 人力资源部人事专员在新员工入职1 个月内征求用人部门经理意见,确定是否与员工签订劳动合同书及保密承诺。若用人部门经理无意见,则人力资源部人事专员通知录用人员签订劳动合同书,录用人员详细填写信息,人力资源部人事专员审核无误后在劳动合同书加盖合同专用章。T 5 确保
20、员工转正经过适当审批,符合公司规定。R5 员工的转正不符合公司规定,或未经过适当审批。低 C06 试用期结束后,人力资源部人事专员通知录用人员与用人部门填写试用期员工考核转正申请审批表,用人部门经理主要对录用人员工作表现、工作能力进行评价,录用人员主要填写试用期转正申请。填写完毕后部门经理将试用期员工考核转正申请审1 1 . 3 员工离职(包括辞职、退离休、辞退等)T6 员工离职申请和离职手续经过适当审批,确保离职情况符合公司要求。R6 员工离职申请和离职手续未经过适当的审批。低 C07 离职员工提前1 个月编写辞职报告并提交至员工所在部门经理,该部门经理与离职员工进行辞职前沟通,了解辞职原因
21、,若挽留无效则在辞职报告上签字确认并提交人力资源部经理审核;如技术岗位、管理人员离职,则由人力资源部经理与相关人T7 妥善办理离职交接手续,确保企业正常经营。R7 员工离职未妥善办理离职交接手续,可能导致企业遭受损失。低 C08 离职异动申请审批通过后,人力资源部人事专员与离职人员签订解除劳动合同证明,且该离职人员与公司各业务相关部门办理离职前工作交接。用人部门填写员工离职手续表,用人部门经理、总经办经理、财务部经理、行政部经理、信息部经理、1 1 . 4 调岗调薪(包括晋升)R8 员工的岗位或者薪资调整变动未经过适当的审批。中 C09 相关部门经理与人力资源部经理沟通人员调岗事宜,经人力资源
22、部经理同意后,人力资源部人事专员在O A 系统填写人事异动申请表,并分别由人力资源部经理、公司人力分管领导以及总经理审核、审批该申请。申请审批通过后,人力资源部人事专员通知本人领取异动通知单,原部门经理以及调入部门经理分别在异R9 员工的选拔和晋升不符合公司政策,或未经过适当审批,可能导致管理的混乱。中 C10 主管及以上员工晋升由公司高层领导直接提出并将晋升员工名单及相关信息提交人力资源部,人力资源部根据晋升员工名单及晋升级别进行岗位调级。主管以下员工晋升由本部门经理直接提出并将晋升员工名单及相关信息提交人力资源部,人力资源部根据晋升员工名单及晋升级T3 确保员工招聘与录用符合公司政策和招聘
23、计划,保证招聘的员工能力、数量、人员构成满足企业经营发展需要。R3 员工招聘与录用不符合公司政策,不符合招聘计划要求,或未经过适当审批,导致招聘的员工不具备适当胜任能力或人数、人员构成无法满足企业经营发展需要。高控制说明T8 员工的选拔和晋升、薪资调整经过适当审批,确保员工的有效发展,为公司储备人才。确定核心业务流程 确定关键控制活动 风险评估 风险评估是指运用多种方式去验证求解多个风险因素的发生概率、频度、影响等。其目的是寻找到影响企业不同目标实现的最关键的几个风险,从而进行重点管控。 风险评估的方法包括访谈法、座谈法、问卷调查等。 风险评估 目标设定 风险辨识 风险评估 风险应对 解决方案
24、 风险评估 风险应对策略是指管理层需要结合自身的风险偏好和容忍度,确定风险应对的整体策略与态度。例如规避、转移、控制、承受等。 不同的应对策略,反应了高层不同的管理风格,也体现了企业的控制能力和信心。 风险评估 目标设定 风险辨识 风险评估 风险应对 解决方案 风险转移 风险规避 风险控制 风险对冲 风险控制 风险转换 风险 承受 风险控制 风险承受 风险转换 风险承受 风险控制 风险评估 风险解决方案是指管理层确定的针对该风险的政策、授权、具体措施以及为实现这些措施而开展的资源投入和准备。期中,事前解决方案也叫风险预控;事中解决方案也叫风险防控;事后解决方案也叫风险应急。 风险评估 目标设定 风险辨识 风险评估 风险应对 解决方案 制度设计 组织和岗位、人员素质 管理 流程 管理 技术与方法 监督检查 报告、信息系统 事前 事 中 事后 设计有效性评价 内部控制框架设计需要重点关注以下几个方面: 重大风险的分解和应对 设计有效评价 框架确定 流程记录 风险矩阵 穿行测试 缺陷建议
