张工——内部控制流程建设方法

0（二）企业内部控制流程的建设方法（四）企业内部控制建设完成后的有效运行本资料为第一会达公司版权所有，仅供此次培训使用，不得擅自传阅、引用或复制1一个例子内控流程的建设重点重点阐述小结（二）企业内部控制流程的建设方法2一个例子•为实施“xxx”战略工程，实现打造“中国领先企业”的战略目标，公司积极推进内控与风险管理体系建设工作。•按照统一部署，开展内部控制体系的建设与实施工作。该项目将在原有成果和经验的基础上，以风险为导向，以核心业务为重点，建立内部控制体系，完善内控机制，提升公司的经营管理水平和风险防范能力。3流程手册编写总体框架设计现状调查第一阶段第二阶段第三阶段内控手册编写指导内控体系试运行T1T4T5T6项目启动第四阶段风险评估T3T2工作计划•项目分为四个阶段，六个工作模块，计划用时六个月时间；第一阶段：全面调研内控体系建设的基础情况，掌握业务内容、制度、考核、组织、权限等方面基础信息。第二阶段：对各项工作内容执行过程中可能存在的风险进行梳理和总结；通过风险溯因分析，为完善流程风险的内部控制奠定基础，编写内控诊断报告，设计内控体系框、组织方案、流程框架；第三阶段：绘制流程图，明确流程目标、流程风险等内容，设计控制点及控制措施，确保业务流程设计符合合规要求，编写内控体系框架、内控基本规范等内容；第四阶段：推动内控体系发布、执行；组织开展内控自评价，通过穿行测试检查内控体系设计缺陷。•内控诊断基础上，本项目主要形成《内部控制手册》和《流程手册》两项成果。4项目主要成果介绍•内控诊断基础上，通过建立《内控手册》落实内控运行机制•内部控制手册：是内部控制工作的纲领性文件，明确了内部控制的目的、原则、适用范围、职责、规定和程序等规范要求。•手册结构：手册按照财政部《企业内部控制基本规范》搭建，分为：内部环境、内控体系运行机制、风险评估、控制活动、信息沟通、监督与改进、考核与激励七个章节；•手册内容：手册编写注重操作性，以内控运行机制为基础明确，明确各项内控工作的工作目标、职责分工、流程图，并提供项目中的过程文档作为工具模板。5项目主要成果介绍•内控诊断基础上，通过建立《流程手册》落实关键业务控制规范。•流程手册：是内部控制体系运行的操作性文件，是内部控制实施的依据，是对公司制度体系中控制要求的提炼和完善。•手册结构：手册分为：总则、流程体系综述、流程图及控制文档三部分。•手册内容：针对重点业务，建立系统的流程框架，针对每个重点业务流程，绘制流程图、流程文档及流程风险控制矩阵。6项目成果对内控机制的落实报告机制加强内部信息与沟通，增加各管理环节的透明度监督改进通过不断地自评与考核，发现管理缺陷并改进组织结构内部控制决策、监督、执行的组织架构1操作规程通过内控的闭环流程确保自我提升机制的运行2控制规范通过规范对关键业务活动的管控，保证公司正常运营34内部控制体系构成5内控制度流程手册•内控体系正常运转，需要落实内控组织，明确内控工作操作规程，建立内控报告机制和监督改进机制，同时建立针对关键业务活动的控制规范；•通过内控制度落实内控组织、操作规程、报告机制、监督改进机制等内容；•流程手册落实关键业务活动的控制规范；7目录——内控运行机制•针对内控手册，介绍内控体系如何运转，和更新维护•内控组织职责•内控工作循环及操作模板•内控体系报告机制•内控体系监督改进机制•内控体系更新与维护8内控组织结构•内控和风险管理组织是内部控制体系有效运转的保障，是各种制度，规范和流程，控制措施的载体。内控组织设计原则：•与企业现有组织结构相统一；•考虑上下级单位接口，形成内控组织体系；•落实内控组织职责分工；内控组织设计重点：•落实决策、管理、执行三个层次内控组织；•明确个层次内控组织构成；•落实内控组织职责分工；组织结构11内控组织结构•决策层：包含职工代表大会、党政联系会、内控委员会，红河局已经发布通知正式成立内控组织，建议石屏公司参照红河局执行。（1）职工代表大会职责（原有）：负责对内控体系建设中所形成的涉及职工切身利益的重要改革方案和重大事项进行集体决议。（2）党政联系会职责（原有）：负责审批涉及“三重一大”的重大风险解决方案。（2）内控委员会职责（新成立）：负责内控体系试运转工作的统一部署、组织和领导；负责审定《年度风险评估报告》及《内部控制自评价报告》；负责审定《内部控制手册》及《流程手册》；负责推进工作所需人力、资金、物力的保障；负责重大问题决策；负责协调各专项工作统一按计划开展。组织结构12•管理层（即：内控体系推进工作机构）：内部控制委员会下设办公室和2个专项工作小组，办公室设在审计室，负责内部控制委员会日常事务办理。同时设立内控体系运行与监督工作组、内控体系建设与改进工作组。内控组织结构（4）内控体系运行与监督工作组内控体系运行与监督工作组是内部控制工作的推进和监督机构，由审计室归口管理。负责制定年度内部控制工作计划，监督落实内部控制工作内容。负责定期组织开展年度风险评估工作，收集整理风险辨识结果，编制《年度风险评估报告》。负责编制内控自我评价工作计划，定期组织开展内部控制有效性评估工作，并编制《内部控制自评价报告》。负责定期向内部控制委员会汇报工作。（5）内控体系建设与改进工作组内控体系建设与改进工作组是内部控制工作的完善与保障机构，由企业管理部归口管理。负责推进内部控制体系的建立健全，依据内部控制体系工作内容及组织职责变化修订《内部控制手册》。负责依据流程风险及控制措施变化修订《流程管理手册》，指导业务部门执行内部控制指引等制度流程。负责定期组织开展内部控制活动梳理工作，建立健全内部控制制度和流程框架，并定期进行更新维护。负责定期向内部控制委员会汇报工作。组织结构13•执行层：包含内控体系涉及的所有部门。内控组织结构（6）内部控制体系的执行单位•构成：每个部门设置兼职内部控制网络员1名；•职责：负责根据内部控制体系建设要求，执行所建立的重点业务流程控制文档，及时向内控体系运行与监督工作组反馈控制措施执行中存在的问题。负责更新完善本部门业务流程的风险识别及控制措施。配合内控体系运行与监督工作组，定期开展风险评估及内部控制自评价工作，对发现的管控缺陷进行改进，并将改进情况报内控体系建设与改进工作组备案。组织结构14操作规程内控工作循环•本项目所建立的内控体系为风险导向型内控体系，风险导向型内控关注于企业的重点风险和管控缺陷，通过内控操作规程落实风险控制措施和管控缺陷改进策略，通过内控体系更新实现内控体系不断提升。风险评估内控自评价内控优化内控执行内控更新找风险、找缺陷应对风险和缺陷落实和执行体系完善内控监督（包括考核和审计）风险应对15内控组织落实内控工作循环•本项目在落实内控组织结构基础上建立内控体系工作循环，落实内部控制体系顺利有效运转的机制和方法，包括风险评估、内部控制优化、内部控制执行、内部控制评价、内部控制更新等五部分内容。内控工作循环•风险评估：通过定期与不定期的风险辨识、评估，确定重大风险变化情况；•内控优化：针对重大风险开展控制现状分析，制定重大风险应对策略；•内控执行落实内控体系成果，执行内控工作循环及控制规范；•监督与评价落实内控考核办法，促进内控体系落地实施；•内控更新依据控制环境变化更新完善内控机制；操作规程16风险评估•风险评估是内控体系建设的基础性工作，帮助企业了解自身当前所面临的风险水平，在分析各项风险属性的基础上，判断风险的重要性特征、确定企业的重要风险，并明晰风险管理中的不足、确定改进方向，为制定针对性的风险管理建设方案奠定基础。•风险评估操作上分为年度风险评估和日常风险评估两种类型。年度风险评估是对各项业务风险的全面梳理；日常风险评估建立临时风险评估程序，确保风险辨识的实效性。操作规程核心步骤内控优化流程目标设定信息收集风险描述风险评估评估报告风险分类风险辨识19风险评估关键环节介绍企业所面临的风险是内外部环境中的不确定因素对公司各类控制目标的影响，因此目标设定是风险评估工作的基础；本项目针对控制目标识别风险，控制目标分为两级，一级目标参考国资委和财政部的五个内部控制目标，二级目标依据各类业务的主要业绩指标和考核指标进行细化和分解。ABCDEF一级流程二级流程三级流程四级流程一级目标二级目标针对每个业务流程设置控制目标①合理保证企业经营管理合规合法；②合理保证企业资产安全；③合理保证企业财务报告及相关信息真实完整；④提高经营效率和效果；⑤促进企业实现发展战略依据各类业务的主要业绩指标和考核指标进行细化和分解关键环节目标设定信息收集风险描述风险评估评估报告风险分类风险辨识操作规程20风险评估关键环节介绍辨识风险事件时应关注并收集与战略、市场、财务、运营、法律相关的各类信息，通过对初始信息进行必要的筛选、对比、统计分析，总结提炼出现有及潜在的内外部风险。战略类信息1）前沿输变电技术；2）新能源电力上网电价政策；3）电动汽车、智能电网等新兴产业的发展动态；4）战略规划、经营计划及重大投资的执行情况、经验总结及问题分析；……财务类信息1）相关的国内外货币政策、税收政策及投资管理政策变化；2）资本市场的合规要求；3）财务结构、资本成本、偿债能力、现金流及投资收益情况；4）成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节；……运营类信息1）业务经营现状、管理现状、人员保障情况；2）电网运行、安全生产、电费管理、资产管理等管理中曾发生的内部控制失效事件、违规事件、损失事件的发生、处理情况及经验反馈；……风险辨识信息收集关注点详见《内控手册》P20、P21、P22。关键环节目标设定信息收集风险描述风险评估评估报告风险分类风险辨识操作规程21风险评估关键环节介绍关键环节目标设定信息收集风险描述风险评估评估报告风险分类风险辨识是风险评估工作的核心内容，是在了解企业基本情况的基础上，系统地搜集和确认企业各个层面对经营目标有影响的风险事件，包括内部和外部的风险事件，并根据风险的定义对风险事件进行归类形成企业当前状态的风险事件库。ABCDEFGHIJ一级流程二级流程三级流程四级流程一级目标二级目标一级分类二级分类三级分类风险事件风险辨识针对每个业务流程的控制目标辨识风险，同时确定所辨识的风险分类，并注重风险的描述。操作规程22风险评估关键环节介绍关键环节目标设定信息收集风险描述风险评估评估报告风险分类风险辨识是风险评估工作的核心内容，是在了解企业基本情况的基础上，系统地搜集和确认企业各个层面对经营目标有影响的风险事件，包括内部和外部的风险事件，并根据风险的定义对风险事件进行归类形成企业当前状态的风险事件库。ABCDEFGHIJ一级流程二级流程三级流程四级流程一级目标二级目标一级分类二级分类三级分类风险事件风险辨识针对每个业务流程的控制目标辨识风险，同时确定所辨识的风险分类，并注重风险的描述。操作规程23风险评估关键环节介绍关键环节目标设定信息收集风险描述风险评估评估报告风险分类风险辨识通过对主要业务流程风险进行梳理，整理风险分类结构。风险分类结构一般分为四级：一级风险，二级风险，三级风险，风险事件。（1）一级风险为风险分类的总体框架，参考国资委《指引》，分为战略类、市场类、财务类、运营类、法律类五个类别；（2）二级风险是一级风险的细化，主要根据风险在不同业务类别划分，如运营风险下，设置了工程风险、营销风险、物资风险、人力资源风险等二级风险。（3）三级风险是二级风险的进一步细分，主要根据风险所在不同的细分业务类别进行划分，如工程风险下，设置了工程造价风险、工程质量风险、工程工期风险、工程成本控制风险等三级风险；（4）风险事件为具体风险表现形式；操作规程25风险评估关键环节目标设定信息收集风险描述风险评估评估报告风险分类风险辨识风险辨识时，应注重风险描述，所描述的风险事件采用主谓宾句式进行描述：（由于）……导致……。例如：负荷预测不准确导致规划脱离实际。所填写的风险事件描述应符合以下规定：（1）风险描述应具体，表述清楚导致风险事件的原因