公司內(nèi)控體系建設(shè)項目案例課件

1、內(nèi)控體系建設(shè)項目案例2014年2月項目背景及客戶需求工作思路、與方法目錄簡介公司成立注冊資本金由1.19億元增加到5.78億元公司成為某公司的控股股東經(jīng)批準，公司由三級公司升格為二級公司2013.2.25公司黨委、紀委成立2010.12.202012.12.222013.3.282013.6.26公司員工將近500人，其中總部60余人，子公司200余人2013年實現(xiàn)營業(yè)收入7億余元項目系統(tǒng)集成；核心裝備制造；項目的投資建設(shè)；工程實施及運營管理人員規(guī)模產(chǎn)品結(jié)構(gòu)銷售收入2015年實現(xiàn)銷售收入20億元。成為“國內(nèi)一流、國際知名的上市公司。打基礎(chǔ)抓好運營、在建項目的管理謀發(fā)展重點抓好大項目推進和落地。

2、發(fā)展戰(zhàn)略：一個目標兩個支撐十二五的核心工作與目標的內(nèi)控要求國資發(fā)評價201268號文關(guān)于央企加強構(gòu)建內(nèi)控體系的通知關(guān)于轉(zhuǎn)發(fā)國資委、財政部的通知 2013年 2018年工業(yè)領(lǐng)域全方位服務(wù)商國內(nèi)一流，國際知名銷售收入XX億元服務(wù)綜合解決方案發(fā)展全方位服務(wù)行業(yè)服務(wù)百強公司上市銷售收入七億銷售收入二十億 2015年 戰(zhàn)略規(guī)劃目標要求2014年工作任務(wù)流程梳理風險事件庫內(nèi)控手冊國資委及總部要求五年發(fā)展規(guī)劃的戰(zhàn)略部署競爭者敏感性股東關(guān)系資金充足性 金融市場災(zāi)難性損失獨立政治法律行政管理行業(yè)環(huán)境風險信息技術(shù)風險使用權(quán) 完整性相關(guān)性 可得到性 基礎(chǔ)設(shè)施財務(wù)風險貨幣利率流動性結(jié)算再投資信用雙邊關(guān)系現(xiàn)金轉(zhuǎn)移或流速

3、改變廉政風險管理欺詐雇員欺詐非法行為無授權(quán)使用商譽 治理與管控風險領(lǐng)導力權(quán)力限制 表現(xiàn)激勵溝通公司治理營運風險客戶滿意人力資源產(chǎn)品開發(fā)效率能力表現(xiàn)差異循環(huán)時間資源商品定價過失或損失符合性業(yè)務(wù)中斷健康和安全 環(huán)境產(chǎn)品或服務(wù)失敗 商標或產(chǎn)品名侵蝕營運價格合同投入衡量結(jié)盟完整性和精確性管理報告決策信息風險財務(wù)預算和計劃完整性和精確性會計信息財務(wù)報告評價稅收養(yǎng)老基金投資評估管理報告 戰(zhàn)略環(huán)境檢視業(yè)務(wù)組合價值衡量組織結(jié)構(gòu)資源分配計劃生命周期企業(yè)需要按照以下的“企業(yè)風險模型”設(shè)計企業(yè)內(nèi)部管理及風險控制體系來全面減少企業(yè)的經(jīng)營風險企業(yè)風險模型告知我們，企業(yè)經(jīng)營過程中始終存在多重風險中國內(nèi)部控制相關(guān)法規(guī)的發(fā)展

4、歷程979899000102030405070809106月5日，上海證券交易所出臺上海證券交易所上市公司內(nèi)部控制指引6月6日，國務(wù)院國有資產(chǎn)監(jiān)督管理委員會“關(guān)于印發(fā)中央企業(yè)全面風險管理指引的通知”9月28日，深圳證券交易所出臺關(guān)于發(fā)布上市公司內(nèi)部控制指引的通知3月3日，財政部發(fā)布關(guān)于印企業(yè)內(nèi)部控制規(guī)范基本規(guī)范和17項具體規(guī)范（征求意見稿）的通知2008年6月28日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合召開企業(yè)內(nèi)部控制基本規(guī)范發(fā)布會發(fā)布了企業(yè)內(nèi)部控制基本規(guī)范以及配套規(guī)范的征求意見稿，2009年7月1日起實施2009年1月，陸續(xù)發(fā)布了企業(yè)內(nèi)部控制應(yīng)用指引的數(shù)個更新稿6月5日，中共中央辦公廳

5、、國務(wù)院辦公廳印發(fā)了關(guān)于進一步推進國有企業(yè)貫徹落實“三重一大”決策制度的意見4月26日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了企業(yè)內(nèi)部控制配套指引。該配套指引包括18項企業(yè)內(nèi)部控制應(yīng)用指引、企業(yè)內(nèi)部控制評價指引和企業(yè)內(nèi)部控制審計指引，標志著我國企業(yè)內(nèi)部控制規(guī)范體系基本建成0611125月7日，國資委、財政部發(fā)布關(guān)于加快構(gòu)建中央企業(yè)內(nèi)部控制體系有關(guān)事項的通知，要求各中央企業(yè)應(yīng)當自2013年起，于每年5月31日前向國資委報送內(nèi)部控制評價報告，同時抄送派駐本企業(yè)監(jiān)事會。中國內(nèi)部控制與內(nèi)控法規(guī)概覽財政部等五部委出臺的企業(yè)內(nèi)部控制基本規(guī)范，為企業(yè)提供了完整和公認的內(nèi)部控制框架，同時以法規(guī)的形式

6、要求上市公司對本公司內(nèi)部控制的有效性進行自我評價。國資委出臺的指引強調(diào)對風險的識別、分析、評估、防控和監(jiān)督，為企業(yè)防控風險，建立控制體系提供指引。應(yīng)用指引具體提出18個具體流程的應(yīng)用指引。在每個具體流程中規(guī)定了該指引的目的，相關(guān)定義，該流程的主要風險，崗位分工及授權(quán)批準，及主要流程的控制程序。評價指引具體規(guī)范了內(nèi)控評價的內(nèi)容和標準，評價的程序和方法，內(nèi)控缺陷的認定，以及規(guī)定了評價報告的相關(guān)內(nèi)容。審計指引指導注冊會計師執(zhí)行內(nèi)控審計業(yè)務(wù)。證交所出臺了一系列的內(nèi)部控制指引，為上市公司建立和實施內(nèi)部控制制度提供指引。財政部等五部委企業(yè)內(nèi)部控制基本規(guī)范企業(yè)內(nèi)部控制應(yīng)用指引企業(yè)內(nèi)部控制評價指引企業(yè)內(nèi)部控制

7、審計指引國資委中央企業(yè)全面風險管理指引證券交易所 行業(yè)監(jiān)管機構(gòu)上市公司內(nèi)控指引上交所內(nèi)控指引 深交所內(nèi)控指引行業(yè)內(nèi)控指引商業(yè)銀行內(nèi)控指引證券公司內(nèi)控指引保險公司內(nèi)部控制基本準則我們對上市公司內(nèi)部控制體系建設(shè)需求的理解為了全面應(yīng)對風險管理和內(nèi)部控制的相關(guān)法律法規(guī)，上市公司應(yīng)該構(gòu)建一個內(nèi)部控制的整合框架體系，做到“兩個融合”。基于財務(wù)報告的內(nèi)部控制與基于全面風險管理的內(nèi)部控制體系的整合內(nèi)部控制整合框架內(nèi)部控制體系與全面風險管理體系的整合上市公司企業(yè)內(nèi)部控制基本規(guī)范及配套指引全面風險管理指引上市公司內(nèi)控指引項目背景及客戶需求工作思路、與方法目錄內(nèi)控體系基本思路、原則和目標全面性原則：覆蓋各種業(yè)務(wù)和事

8、項重要性原則 ：關(guān)注重要業(yè)務(wù)事項和高風險領(lǐng)域制衡性原則 ：相互制約、相互監(jiān)督，并兼顧運營效率 適應(yīng)性原則 ：與企業(yè)相適應(yīng)，并隨情況的變化及時加以調(diào)整成本效益原則 ：權(quán)衡實施成本與預期效益東方博融根據(jù)企業(yè)內(nèi)部控制基本規(guī)范整理五部委內(nèi)部控制基本規(guī)范企 業(yè) 內(nèi) 部 控 制 基 本 規(guī) 范企 業(yè) 內(nèi) 部 控 制 應(yīng) 用 指 引資金活動采購業(yè)務(wù)資產(chǎn)管理銷售業(yè)務(wù)研究與開發(fā)工程項目擔保業(yè)務(wù)業(yè)務(wù)外包財務(wù)報告組織架構(gòu)發(fā)展戰(zhàn)略人力資源企業(yè)文化社會責任全面預算合同管理內(nèi)部信息傳遞信息系統(tǒng)企業(yè)內(nèi)部控制審計指引企業(yè)內(nèi)部控制評價指引內(nèi)部環(huán)境類控制手段類控制活動類管理層CEO第三道防線第二道防線第一道防線業(yè)務(wù)部門董事會風險

9、管理內(nèi)部審計審計委員會風險管理委員會企業(yè)風險管理框架企業(yè)的管理風險，可以通過公司治理體系下的三道防線予以警示和化解，而內(nèi)控管理就是常態(tài)化的風險防范機制。內(nèi)控建設(shè)的整合框架模型內(nèi)控梳理和建立業(yè)務(wù)分析與流程梳理識別與評價關(guān)鍵控制點完善內(nèi)控的措施和體系內(nèi)控體系的實施推進內(nèi)控自我評估及改進企業(yè)各層級業(yè)務(wù)經(jīng)營管理公司治理戰(zhàn)略管理業(yè)務(wù)與流程管理下屬分支機構(gòu)管控內(nèi)控梳理和建立加強信息化建設(shè)，實現(xiàn)系統(tǒng)化的控制加強培訓教育，提升企業(yè)的內(nèi)控理念加強組織領(lǐng)導，建立內(nèi)控組織管理架構(gòu)項目整體工作思路調(diào)研診斷流程梳理、風險事件庫構(gòu)建搭建內(nèi)控體系成立內(nèi)控建設(shè)小組對業(yè)務(wù)的深入調(diào)研全面分析和診斷梳理完善各項業(yè)務(wù)的管理制度和控制

10、措施編制針對風險的內(nèi)控手冊對制度和手冊進行輔導實施的推進關(guān)鍵流程梳理編制流程手冊識別主要風險對企業(yè)風險信息數(shù)據(jù)進行收集、整理、匯總編制風險事件庫調(diào)研診斷流程梳理、風險事件庫構(gòu)建搭建內(nèi)控體系成立內(nèi)控建設(shè)小組對業(yè)務(wù)的深入調(diào)研全面分析和診斷梳理完善各項業(yè)務(wù)的管理制度和控制措施編制針對風險的內(nèi)控手冊對制度和手冊進行輔導實施的推進關(guān)鍵流程梳理編制流程手冊識別主要風險對企業(yè)風險信息數(shù)據(jù)進行收集、整理、匯總編制風險事件庫第一階段：調(diào)研診斷行業(yè)背景業(yè)務(wù)情況組織架構(gòu)公司治理經(jīng)營管理政策法規(guī)科目1科目2科目3科目4流程1流程2流程3流程4風險1風險2風險3風險4控制措施1控制措施2控制措施3控制措施3對公司總體情

11、況的了解重要活動的確認流程的辨識和確認風險的辨識和確認控制措施和確認流程手冊、風險事件庫成果總體計劃具體計劃訪談計劃通過資料收集、流程梳理、訪談?wù){(diào)研等多種形式，對風險信息進行全面收集資料收集從各層面人員收集公司運營管理及項目運作層面的相關(guān)信息發(fā)現(xiàn)與本項目相關(guān)的關(guān)鍵問題明確項目管理模式的重點內(nèi)容資料分析收集近三年的管理規(guī)章制度、項目操作手冊、經(jīng)營計劃和總結(jié)、主要財務(wù)報表等搜集媒體相關(guān)報道信息，客觀了解公司現(xiàn)狀深度訪談參觀相關(guān)單位、生產(chǎn)現(xiàn)場等約請高管人士座談深度訪談訪談準備1、明確訪談目的，了解流程和控制2、訪談前應(yīng)大致了解：被訪談人員的崗位職責訪談相關(guān)的業(yè)務(wù)制度、流程關(guān)鍵控制目標、業(yè)務(wù)固有風險相

12、關(guān)監(jiān)管要求、標準控制措施訪談提綱業(yè)務(wù)訪談1、介紹背景2、交代目的3、適度引導4、做好鋪墊訪談紀要組織結(jié)構(gòu)、部門職能經(jīng)營模型、價值鏈內(nèi)外環(huán)境分析對外期望戰(zhàn)略規(guī)劃戰(zhàn)略實施與監(jiān)控戰(zhàn)略評價經(jīng)營計劃全面預算投資規(guī)劃與實施市場及營銷生產(chǎn)管理存貨管理銷售訂單及信用管理采購管理固定資產(chǎn)管理技改工程管理研究與開發(fā)財務(wù)、資金及稅務(wù)管理人力資源管理審計監(jiān)察信息化管理安全、質(zhì)量、環(huán)保資料收集客戶內(nèi)部資料相關(guān)專業(yè)資料行業(yè)資料內(nèi)控項目前期資料需求清單調(diào)研診斷流程梳理、風險事件庫構(gòu)建搭建內(nèi)控體系成立內(nèi)控建設(shè)小組對業(yè)務(wù)的深入調(diào)研全面分析和診斷梳理完善各項業(yè)務(wù)的管理制度和控制措施編制針對風險的內(nèi)控手冊對制度和手冊進行輔導實施的

13、推進關(guān)鍵流程梳理編制流程手冊識別主要風險對企業(yè)風險信息數(shù)據(jù)進行收集、整理、匯總編制風險事件庫第二階段：流程梳理、風險事件庫構(gòu)建行業(yè)背景業(yè)務(wù)情況組織架構(gòu)公司治理經(jīng)營管理政策法規(guī)科目1科目2科目3科目4流程1流程2流程3流程4風險1風險2風險3風險4控制措施1控制措施2控制措施3控制措施3對公司總體情況的了解重要活動的確認流程的辨識和確認風險的辨識和確認控制措施和確認流程手冊、風險事件庫成果關(guān)鍵流程梳理工作方式合理劃分出流程清單的章、節(jié)、流程名和標號 各部門組織識別本部門領(lǐng)導或參與的流程 對各部門主管和骨干、流程專管人員進行流程概念培訓流程專管人員整合清理各部門主管確認，提交流程專管人員形成流程清

14、單在集團現(xiàn)有流程的基礎(chǔ)上，通過對集團總部各部門進行培訓、研討、確認流程框架體系，形成流程清單某公司的內(nèi)控框架梳理基于發(fā)展戰(zhàn)略/商業(yè)模式的關(guān)鍵流程采購IT人力資源資源組織物流配送市場營銷售后服務(wù)產(chǎn)品研發(fā)財務(wù)商業(yè)模式主流程： 一級子流程： 二級子流程： 產(chǎn)品規(guī)劃產(chǎn)品維護業(yè)務(wù)模式業(yè)務(wù)流程模板、手冊/表單流程體系結(jié)構(gòu)業(yè)務(wù)流程模板、表單與手冊企業(yè)業(yè)務(wù)模式表述為體現(xiàn)為執(zhí)行的流程建立執(zhí)行的標準企業(yè)商業(yè)模式/戰(zhàn)略轉(zhuǎn)化為3產(chǎn)品設(shè)計財務(wù)報告基于財務(wù)數(shù)據(jù)公司范圍重要科目重要科目與流程匹配流程手冊構(gòu)成-流程目錄（示例）一、戰(zhàn)略管理流程采購招投標管理流程集團戰(zhàn)略規(guī)劃制定流程采購合同管理流程戰(zhàn)略目標年度回顧流程企業(yè)管理改

15、進流程四、新建項目建設(shè)管理流程二、經(jīng)營計劃及資金預算管理流程項目投資決策流程年度經(jīng)營計劃制定流程項目立項流程預算啟動流程項目招標流程預算編制和審批流程預算執(zhí)行和調(diào)整流程五、營銷管理流程資金計劃管理流程年度營銷計劃和預算制定流程財務(wù)分析流程價格制定流程三、供應(yīng)管理流程示例流程手冊構(gòu)成-權(quán)責表（示例）示例明確每個流程步驟的執(zhí)行部門及崗位明確每個步驟的輸入和輸出文檔明確每個具體步驟的操作明確流程控制點流程手冊構(gòu)成-流程圖（示例）示例識別關(guān)鍵流程風險控制點風險控制點說明1 研發(fā)中心自身信息收集薄弱2市場部和研發(fā)部門銜接不暢，市場部對信息的搜集整理職能薄弱3 缺乏科學規(guī)劃4 無權(quán)威專家把關(guān)市場研發(fā)中心技

16、術(shù)專家委員會經(jīng)理辦公會總經(jīng)理董事會信息整理分析新技術(shù)預研建議立項批準批準立項可行性分析轉(zhuǎn)入新產(chǎn)品開發(fā)YNYN研究開發(fā)成立新技術(shù)研究小組評定評定評審評定市場需求信息收集技術(shù)發(fā)展規(guī)劃NNNYYYNY重新開題立項評定2431示例通過三個步驟構(gòu)建風險事件庫風險識別風險評估風險控制風險控制目標流程、組織、職責、溝通構(gòu)建風險事件庫的目的就是實現(xiàn)企業(yè)的內(nèi)部控制目標風險事件庫建立包括風險識別、風險評估、風險控制三個模塊流程、組織、職責和溝通是發(fā)揮風險事件庫作用的重要手段綜合內(nèi)外部風險因素，對風險事件進行識別風險識別通過項目管理部門、技術(shù)部門、人力資源部門、財務(wù)部門、市場部門、同業(yè)競爭等各種渠道，從環(huán)境因素、技

17、術(shù)因素、目標因素和制度因素等各個角度，通過不同方法的交叉使用來實現(xiàn)。設(shè)備管理部企業(yè)員工人力資源部財務(wù)部售后服務(wù)部審計部采購部技術(shù)研發(fā)部市場部總裁辦經(jīng)濟形勢政策法規(guī)行業(yè)趨勢競爭對手新興技術(shù)外部專家專業(yè)研究機構(gòu)其他部門風險事件企業(yè)經(jīng)營中存在的風險(風險宇宙TM )資信制度知識產(chǎn)權(quán)財務(wù)流動資產(chǎn)與信貸資本結(jié)構(gòu)市場財務(wù)報告營運法律生產(chǎn)程序營商環(huán)境市場結(jié)構(gòu)民風與文化管治策略董事會活動交易并購變賣聲譽道德社區(qū)責任風險管理董事會及管理層業(yè)績組織結(jié)構(gòu)監(jiān)察與溝通執(zhí)行籌劃與開發(fā)利益有關(guān)方供應(yīng)商政府顧客股東經(jīng)濟情況國家情況市場變化競爭對手人才資源雇員溝通有形資產(chǎn)機器、廠房與土地其他有形資產(chǎn)負債合約法規(guī)市場與銷售生產(chǎn)及

18、流通商品/服務(wù)開發(fā)流程估值與選擇買家評估與甄選盡職調(diào)查并購后整合資信管理運營組織與監(jiān)察硬件軟件網(wǎng)絡(luò)無形資產(chǎn)知識管理信息現(xiàn)金管理對沖融資股東資本債務(wù)商品利率外匯稅務(wù)會計合規(guī)示例通過可能性和影響程度雙緯度進行評估影響程度近乎沒有輕微中等重大災(zāi)難幾乎 肯定極可能可能低極低BCAGIDJKHEF可能性說明:A 人力資源風險B 財務(wù)風險C 競爭風險D 開發(fā)風險E 過度自信風險F 系統(tǒng)故障風險G 主要客戶風險H 欺詐風險I 政治風險J 薪酬獎勵風險K 科技風險概率模型通過可能性和影響程度雙緯度進行評估風險發(fā)生的可能性評估標準評分可能性說明5幾乎肯定在未來12個月內(nèi)，這項風險幾乎肯定會出現(xiàn)至少 1次4極可能

19、在未來12個月，這項風險極可能出現(xiàn)1次3可能在未來2至10年內(nèi)，這項風險可能出現(xiàn)1次2低在未來10至100年內(nèi)，這項風險可能出現(xiàn)至少1次1極低這項風險出現(xiàn)的可能性極低，估計在100年內(nèi)出現(xiàn)的可能性少于1次風險發(fā)生的可能性評估標準指在公司目前管理水平下，風險事件發(fā)生概率的大小或發(fā)生的頻繁程度。風險發(fā)生的可能性分為五個等級，分別賦值1-5分，表示可能性逐漸增加，1分表示該風險事件發(fā)生的可能性極低，5分表示該風險事件幾乎確定會發(fā)生。風險的影響程度評估標準評分影響程度說明5災(zāi)難令企業(yè)失去繼續(xù)運作的能力(或占稅前利潤達20%)4重大對于企業(yè)在爭取完成其策略性計劃和目標，造成重大影響(5-10%稅前利潤)

20、3中等對于企業(yè)在爭取完成其策略性計劃和目標的過程，在一定程度上造成阻礙(至5%稅前利潤)2輕微對于企業(yè)在爭取完成其策略性計劃和目標，只造成輕微影響(至1%稅前利潤)1幾乎沒有影響程度十分輕微風險的影響程度評估標準指該風險事件會對公司的經(jīng)營管理和業(yè)務(wù)發(fā)展所產(chǎn)生影響的大小。影響程度分為五個等級，分別賦值1-5分，表示影響程度依此加強，1分表示該風險事件的影響程度幾乎沒有，5分表示該風險事件的影響是災(zāi)難性的。根據(jù)風險事件評估結(jié)果，采取相應(yīng)風險控制手段風險防范風險化解風險處理風險評估風險控制內(nèi)部控制戰(zhàn)略風險控制既要亡羊補牢，更要未雨綢繆消滅根源：可能時盡量識別和消除風險根源著力預防：將識別和防范作為工

21、作一部分，加以規(guī)劃和執(zhí)行風險預案：事先制訂好風險發(fā)生后的補救措施。如對不可控制的因素，如純粹的天災(zāi)失敗處理：覺察到風險并迅速處理危機管理：風險已經(jīng)造成大麻煩后的處理風險生命周期風險點（萌芽）風險發(fā)生風險控制就是在內(nèi)部控制戰(zhàn)略指導下，針對風險等級形成應(yīng)對策略庫風險識別風險控制的不同策略選擇影響程度可能性風險轉(zhuǎn)移風險回避損失控制風險自留大小高低風險控制是指內(nèi)部控制者采取各種措施和方法，消滅或減少風險事件發(fā)生的各種可能性，或者減少風險事件發(fā)生時造成的損失。根據(jù)風險事件發(fā)生的可能性及其影響程度，可分為：風險控制的不同策略選擇風險回避風險回避是投資主體有意識地放棄風險行為，完全避免特定的損失風險。簡單的

22、風險回避是一種最消極的風險處理辦法，因為投資者在放棄風險行為的同時，往往也放棄了潛在的目標收益。損失控制損失控制不是放棄風險，而是制定計劃和采取措施降低損失的可能性或者是減少實際損失?？刂频碾A段包括事前、事中和事后三個階段。風險轉(zhuǎn)移風險轉(zhuǎn)移，是指通過契約，將讓渡人的風險轉(zhuǎn)移給受讓人承擔的行為。通過風險轉(zhuǎn)移過程有時可大大降低經(jīng)濟主體的風險程度。風險轉(zhuǎn)移的主要形式是合同和保險。損失自留風險自留，即風險承擔。也就是說，如果損失發(fā)生，經(jīng)濟主體將以當時可利用的任何資金進行支付。風險保留包括無計劃自留、有計劃自我保險。綜合考慮企業(yè)面臨的各種情況，選擇適合的風險控制措施：風險事件庫（示例）示例風險事件管理職

23、責分工表（示例）信用風險人員道德風險人力資源管理風險公司治理風險業(yè)務(wù)模式風險市場風險政策風險合同管理風險戰(zhàn)略風險現(xiàn)金流風險投資風險法律風險安全生產(chǎn)風險不良資產(chǎn)管理風險資產(chǎn)管理中心信息安全風險業(yè)務(wù)板塊紀檢監(jiān)察保衛(wèi)部信息中心投資管理部法律部審計部財務(wù)總部企劃部人力資源部信用風險人員道德風險人力資源管理風險公司治理風險業(yè)務(wù)模式風險市場風險政策風險合同管理風險戰(zhàn)略風險現(xiàn)金流風險投資風險法律風險安全生產(chǎn)風險不良資產(chǎn)管理風險資產(chǎn)管理中心信息安全風險業(yè)務(wù)板塊紀檢監(jiān)察保衛(wèi)部信息中心投資管理部法律部審計部財務(wù)總部企劃部人力資源部風險名稱部門名稱主導管理責任協(xié)助管理責任示例調(diào)研診斷流程梳理、風險事件庫構(gòu)建搭建內(nèi)控

24、體系成立內(nèi)控建設(shè)小組對業(yè)務(wù)的深入調(diào)研全面分析和診斷梳理完善各項業(yè)務(wù)的管理制度和控制措施編制針對風險的內(nèi)控手冊對制度和手冊進行輔導實施的推進關(guān)鍵流程梳理編制流程手冊識別主要風險對企業(yè)風險信息數(shù)據(jù)進行收集、整理、匯總編制風險事件庫第三階段：搭建內(nèi)控體系內(nèi)控手冊流程手冊制度匯編風險事件庫撰寫內(nèi)控手冊等報告，完成內(nèi)控體系建設(shè)向客戶領(lǐng)導進行溝通匯報項目組研討咨詢機構(gòu)領(lǐng)導及專家評審委評審形成內(nèi)控體系報告初稿撰寫內(nèi)控手冊、制度手冊等文件正式匯報在前期調(diào)研診斷、流程梳理、建立風險事件庫的基礎(chǔ)上，項目組進行內(nèi)控手冊、制度手冊等報告文件的編寫內(nèi)控手冊（示例）示例項目最終提交成果匯總（示例）示例企業(yè)內(nèi)控運行有效性評

25、價內(nèi)部控制有效性內(nèi)部控制設(shè)計有效性內(nèi)部控制運行有效性內(nèi)部控制文檔記錄是否完整、準確重要控制設(shè)計是否有效相關(guān)控制在評價期內(nèi)是如何運行的相關(guān)控制是否得到了持續(xù)一致的運行實施控制人員是否具備必要的權(quán)限和能力建設(shè)階段評價階段有效性評價的步驟步驟二：根據(jù)測試底稿，取得樣本總體，并通過適當抽樣方法選取一定數(shù)量樣本作為測試對象。步驟一：以風險控制矩陣中的關(guān)鍵控制點為對象，編制測試底稿，針對每項待測試關(guān)鍵控制點判斷測試方法，設(shè)計測試要點，明確測試屬性和工作步驟。步驟三：通過詢問、觀察、檢查及重新執(zhí)行等方式進行測試，以評價相關(guān)控制活動的執(zhí)行情況。步驟四：在測試底稿中記錄測試結(jié)果，進行缺陷認定，并留存相關(guān)可驗證的

26、文檔。有效性評價的原則如何選擇需要測試的關(guān)鍵控制點RAPSBS原則Relevant：相關(guān)性是指所選擇的控制能夠?qū)崿F(xiàn)控制目標Adequate：充分性是指所選擇的控制能夠充分起到防止或發(fā)現(xiàn)并糾正在認定層面重大錯報的作用Pervasive：全面性是指所選擇的控制在風險防范和發(fā)現(xiàn)功能上較其他控制而言具有更廣泛的適用性Sensitive：敏感度是指在錯報發(fā)生前，控制能夠及時察覺并防止其發(fā)生，在錯報發(fā)生后，控制能夠及時察覺該錯報，并起到糾正的作用Balance of Prevent and Detect：合理平衡預防性與檢查性控制Suite of Controls：控制組合觀是基于控制屬性而做的安排，合理

27、設(shè)計/執(zhí)行不同屬性的控制組合可以有效從多維度防范和發(fā)現(xiàn)風險。測試底稿測試方法 重新執(zhí)行 檢查 觀察 詢問有效性遞增詢問：詢問公司內(nèi)部或外部的適當人員，以獲取信息。詢問可分為書面形式和口頭形式，提供的保障程度最低。 觀察：觀察公司的經(jīng)營活動以及員工執(zhí)行控制的過程等，只能保證測試者在觀察時內(nèi)部控制得到了有效執(zhí)行。檢查：檢查內(nèi)部控制執(zhí)行過程中所保留的記錄或文檔，通過檢查手工控制留下的證據(jù)可以作為測試手工控制的較好方法，所獲評價證據(jù)的可靠程度較高。 重新執(zhí)行：提供了最高程度的保證 。評價標準達標：對于每個控制活動，只有當抽取的樣本達到規(guī)定的樣本量且每個樣本全部滿足要求后，此控制活動才被認為是得到了有效執(zhí)行，測試結(jié)果為“達標”。未達標：對于某個控制活動，一旦某一個樣本不滿足控制活動要求時，選擇測試結(jié)果為“未達標”（對于每日多次發(fā)現(xiàn)1例未達標樣本，在追加樣本測試未發(fā)現(xiàn)新不合格樣本時結(jié)論可為“達標”）。不適用：測試單位不存在此種情況或此項業(yè)務(wù)，選擇測試