内控与全面风险管理解决方案

1©IDSScheerAG©IDSScheerAG企业面临的外部要求股东证券交易所内控与全面风险管理政府部门行业监管部门国资委：《中央企业全面风险管理指引》…治理结构财政部：《企业内部控制基本规范》…《萨班斯法案》《上海证券交易所上市公司内部控制指引》《深圳证券交易所上市公司内部控制指引》…《保险公司风险管理指引（试行）》《商业银行操作风险管理指引》…3©IDSScheerAG上述法律法规，要求企业建立适合自身特点的管理体系内部环境公司层面业务单元子公司风险评估控制活动信息与沟通内部监督指导框架公司环境管理销售物料管理采购排产组织视图销售处理检查信用额度确定交付日期询价处理报价处理功能视图报价客户询价数据视图询价处理询价已受理询价处理完毕报价处理客户报价询价销售流程视图客户订单客户询价客户报价产品/服务视图4©IDSScheerAG《基本规范》和《全面风险管理指引》的解读序号《基本规范》《全面风险管理指引》1内部环境第一章总则第七章风险管理组织体系第九章风险管理文化第十章附则2风险评估第二章风险管理初始信息3第三章风险评估4控制活动第四章风险管理策略第五章风险管理解决方案56信息与沟通第八章风险管理信息系统7内部监督第六章风险管理的监督与改进5©IDSScheerAG内控与全面风险管理体系风险方案设计风险评估体系手册发布风险管理策略风险应对措施/控制活动内部环境管理企业组织结构企业目标职责分离检查在线发布监控及预警监督及改进测试任务管理统计分析缺陷分析及认定风险评价风险分析风险识别管理体系设计控制实施监督及改进离线发布信息系统一致性检查测试及记录责任签署风险管理组织企业业务流程指标监控及预警测试结果审核整改及跟踪事件收集事件分析事件认定风险事件管理事件监控6©IDSScheerAG体系设计面临的挑战风险方案设计风险评估体系手册发布风险管理策略风险应对措施/控制活动内部环境管理企业组织结构企业目标职责分离检查在线发布监控及预警监督及改进测试任务管理统计分析缺陷分析及认定风险评价风险分析风险识别管理体系设计控制实施监督及改进离线发布信息系统一致性检查测试及记录责任签署风险管理组织企业业务流程指标监控及预警测试结果审核整改及跟踪事件收集事件分析事件认定风险事件管理事件监控管理要点设计符合要求的内部控制及全面风险管理体系，并根据公司内外部环境，例如组织结构、业务流程、信息系统等调整进行相应的调整和优化建立体系文件，提高体系的透明度，以确保可执行、可审计关键挑战体系文件更新，编制、审核的工作量大，版本管理难度大体系难以根据环境的变化进行及时调整和优化7©IDSScheerAG控制实施面临的挑战风险方案设计风险评估体系手册发布风险管理策略风险应对措施/控制活动内部环境管理企业组织结构企业目标职责分离检查在线发布监控及预警监督及改进测试任务管理统计分析缺陷分析及认定风险评价风险分析风险识别管理体系设计控制实施监督及改进离线发布信息系统一致性检查测试及记录责任签署风险管理组织企业业务流程指标监控及预警测试结果审核整改及跟踪事件收集事件分析事件认定风险事件管理事件监控管理要点按照体系设计方案执行相关控制措施，确保设计与执行的一致性实施过程保留可审计的控制实施证据关键挑战缺乏有效的发布实施平台，体系推广实施的成本高人工控制过多，控制成本高昂8©IDSScheerAG体系监督及改进面临的挑战风险方案设计风险评估体系手册发布风险管理策略风险应对措施/控制活动内部环境管理企业组织结构企业目标职责分离检查在线发布监控及预警监督及改进测试任务管理统计分析缺陷分析及认定风险评价风险分析风险识别管理体系设计控制实施监督及改进离线发布信息系统一致性检查测试及记录责任签署风险管理组织企业业务流程指标监控及预警测试结果审核整改及跟踪事件收集事件分析事件认定风险事件管理事件监控管理要点对体系设计和实施的有效性进行监督，并出具体系有效性的自我评价保留体系监督的过程资料，以保证监督测试过程的可审计关键挑战体系监督工作量大、协调难度高，监督成本高昂监督工作资料多，整理、统计、分析和再利用难度较大9©IDSScheerAG©IDSScheerAG法规准备内控体系完善人工内控测试评价与报告实施IT系统支持内控测试与报告实施IT系统支持内控文档管理流程标准化，增强体系可扩展性集成的全面风险管理信息系统：风险评估、损失事件库、控制自动化等功能应用发展阶段（时间）11©IDSScheerAG©IDSScheerAG内控与全面风险管理的信息化解决方案风险方案设计风险评估体系手册发布风险管理策略风险应对措施/控制活动内部环境管理企业组织结构企业目标职责分离检查在线发布监控及预警监督及改进测试任务管理统计分析缺陷分析及认定风险评价风险分析风险识别管理体系设计控制实施监督及改进离线发布信息系统一致性检查测试及记录责任签署风险管理组织企业业务流程指标监控及预警测试结果审核整改及跟踪事件收集事件分析事件认定风险事件管理事件监控建模模块风险评估模块发布模块监控及预警模块监督及改进模块风险事件管理模块13©IDSScheerAG建模模块及发布模块风险方案设计风险评估体系手册发布风险管理策略风险应对措施/控制活动内部环境管理企业组织结构企业目标职责分离检查在线发布监控及预警监督及改进测试任务管理统计分析缺陷分析及认定风险评价风险分析风险识别管理体系设计控制实施监督及改进离线发布信息系统一致性检查测试及记录责任签署风险管理组织企业业务流程指标监控及预警测试结果审核整改及跟踪事件收集事件分析事件认定风险事件管理事件监控建模模块风险评估模块监控及预警模块测试及评价模块风险事件管理模块发布模块14©IDSScheerAG分散的体系文档流程描述文档风险控制矩阵内控测试文档该流程涉及的部门(与流程图所示部门一致)财务部税务管理处、财务部资金管理处、财务部会计处描述一、背景介绍总部财务部负责公司委托资产营业税及附加的计算、申报和缴纳。本流程主要了解营业税及附加计算、申报和缴纳过程。相关IT系统：资产管理公司金手指系统二、可能的风险R1:如何保证投资业务营业税及附加计算的正确性？(C1)R2:如何保证营业税及附加及时、正确申报？(C2)R3:如何保证营业税及附加及时、正确缴纳？（C3）R4:如何保证营业税及附加正确进行会计处理？（C4）三、对应的控制C1:每月，财务部税务管理处根据资产管理公司提供的《科目余额表》，编制《投资业务营业税及附加计算表》及营业税申报表，并经过税务处处经理、部经理室、总经理室层层审核批准。（R1）C2:财务部税务处在总经理室批准的《营业税申报表》上加盖财务专用章，在税法规定时限内进行纳税申报。（R2）C3:税务处核对税务机关申报后打印的税收缴款书金额是否与总经理室同意的金额一致。如果一致，税务处根据税收缴款书填制报销单，经部室经理签字同意后，资金处完成资金支付。如不一致，则要重新向部经理室、总经理室报告批准。（R3）C4:核算会计岗（复核人员）审核缴税业务记账凭证会计分录及金额是否正确，凭证附件是否齐全，手续是否完备，审核无误后在CLAF系统中复核确认。(R4）四、详细叙述本流程及控制(请您确认所有流程及控制点的描述与流程图完全一致)中国人寿404条款遵循工作控制测试模板控制编号/描述HO-T-1.04.1.3流程1.04、应交税金及递延数据,1.04.1.3投资业务营业税金及附加重大科目内部往来；银行存款交易类型常规相应风险与控制编号R1、R2、R3、R4；C1、C2、C3、C4流程负责人财务部总经理赵立军测试负责人内控合规部边江审阅人安永尹霞完成日期10-May详细测试记录应包括的内容：1.对抽样样品的详细记录，包括相应文件的编号、序列号，时间或日期，数量，数目等。详细记录的程度应该保证其他人在做相同的测试时，可以在采用同样的样品的前提下，得到同样的结论。同时，在其他人审查的过程中，不需要看到单据或文件的复印件，对测试结果可以做出独立的但相同的结论。步骤号146样品序列号月份营业税计税依据、计提比率是否符合规定应交城建税金、教育费附加的计提方法、比率是否符合当地税法规定营业税计税基数是否正确计算的应交营业税金是否正确计算的应交城建税金、教育费附加是否正确是否经过税务处处长、财务部总经理和总经理室签章审批申报表金额是否与《营业税及附加计算表》一致是否加盖财务专用章缴税金额是否与《纳税申报表》一致；是否有税务局公章11月份√√√√√√√√√22月份√√√√√√√√√33月份√√√√√√√√√2.对每个需要测试的控制点，要有明确的测试的描述。C1:每月，财务部税务管理处根据资产管理公司提供的《科目余额表》，编制《投资业务营业税及附加计算表》及营业税申报表，并经过税务处处经理、部经理室、总经理室层层审核批准。（R1）C2:财务部税务处在总经理室批准的《营业税申报表》上加盖财务专用章，在税法规定时限内进行纳税申报。（R2）C3:税务处核对税务机关申报后打印的税收缴款书金额是否与总经理室同意的金额一致。如果一致，税务处根据税收缴款书填制报销单，经部室经理签字同意后，资金处完成资金支付。如不一致，则要重新向部经理室、总经理室报告批准。（R3）C4:核算会计岗（复核人员）审核缴税业务记账凭证会计分录及金额是否正确，凭证附件是否齐全，手续是否完备，审核无误后在CLAF系统中复核确认。(R4）3.对于任意抽取的情况，需要计算覆盖率，即整体数据的数量及样品数量的比例。4.涉及的风险点与控制点要明确标明并有简要描述。R1:如何保证投资业务营业税及附加计算的正确性？R2:如何保证营业税及附加及时、正确申报？R3:如何保证营业税及附加及时、正确缴纳？R4:如何保证营业税及附加正确进行会计处理？5.对每个样品的测试要有图例，如：√代表无例外或异常情况NA不适用×代表例外或异常情况，要在下面详细说明6.例外或异常情况，通常代表两种情况：－属于特殊情况，不是控制缺陷：要详细说明为什么不是缺陷。如有必要，扩大样品数量。－控制缺陷，在下面的发现问题中说明。发现问题/差异描述应包括相应的控制点的编号问题编号投资业务营业税及附加计算表纳税申报表8税收缴款书/报销单357中国人寿404条款遵循工作模版--风险矩阵分支机构名称：总公司财务部流程所属部门负责人姓名及联系方式：赵立军流程所属岗位人员姓名及联系方式：李国栋子流程名称及编号：投资业务营业税1.04.1.3涉及财务报表科目哪里会出错(风险点)提纲挈领的控制活动简介(控制点)完整性认定存在性/发生性认定计价或衡量认定权利和义务的认定表达和披露认定是否为关键控制是否具有反舞弊功能控制是否存在控制存在的证明性资料（从穿行测试中获取）内部往来；银行存款R1:如何保证投资业务营业税及附加计算的正确性？C1:每月，财务部税务管理处根据资产管理公司提供的《科目余额表》，编制《投资业务营业税及附加计算表》及营业税申