大连港内控管理方案汇报

完善内控知行合一大连港集团内控方案汇报用友软件股份有限公司刘巍2011年10月17日目录大连港内控管理需求分析用友风险内控管理解决方案咨询服务方案风险内控信息化方案实施保障资源投入实施计划大连港集团面临风险类型大连港集团管理层风格战略风险治理结构运营风险法律风险企业文化财务风险市场风险企业内部控制环境战略风险常见的战略风险包括：宏观政策及形势把握风险、发展方向失误风险、发展速度过快风险、新产品推广策略风险、对新市场开发投入风险、并购风险。财务风险常见的财务风险包括：资金结构与现金流风险、会计核算与流程的风险、会计及财务报告虚假、不准确风险等。市场风险常见的市场风险包括：商品价格与物资供应风险、客户、供应商信用风险、影响市场需求的因素及变化风险、税收风险、利率、汇率风险、竞争对手给本企业带来的风险。法律风险常见的法律风险包括：国内外政治法律环境与政策风险、员工道德操守风险、重大协议与合同的遵守与履行风险、法律纠纷、知识产权保护。大连港集团面临风险类型运营风险企业内部流程和系统、人为或外部因素给企业造成的经济损失。常见的运营风险包括：流程风险是指交易流程中出现错误而导致损失的风险。例如：采购、销售、生产、资产管理、工程项目等流程环节。具体在销售流程中可能在定价、记录、确认、出货等环节出错而导致损失的风险。信息系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而导致损失的风险。人为因素是指企业员工由于缺乏诚信道德而导致的舞弊行为，或缺乏知识、能力而导致的错误和重大损失。外部事件风险是指火灾、自然灾害、市场扭曲等事件。大连港集团面临风险类型战略管理经营管理项目管理服务活动资产投资活动业务管理资源管理法务管理人力资源资金市场活动销售活动采购活动基建项目战略风险项目风险服务风险资产风险投资风险人力风险资金风险市场风险销售风险采购风险信息系统风险公司治理内部控制法律风险研发活动财务管理研发风险财务报告预算管理税务报告披露风险预算风险税务风险控制环境企业风险管理企业层面流程层面风险评估信息沟通内部监督销售管理流程项目管理流程采购及外包管理流程投资管理流程资产管理流程基建工程管理流程人力资源管理流程预算管理流程税务管理流程市场传播管理流程研发管理流程信息安全管理流程资金及费用管理流程财务报告流程信息服务管理流程企业风险内控管理结构企业内控与风险管理的三大障碍缺乏良好的控制环境法人治理结构不健全，内部控制的外部约束较弱；公司治理结构中责任不到位；缺乏绩效考核对内部控制与风险管理的引导机制高管层缺乏自主控制意识没有形成重视风险的控制文化缺乏内部控制方法理论缺乏理论指导，以最佳实践为参考，注重对事件本身的控制，忽视对责任人的行为尤其是高管层行为的控制；没有完善的行权、职责、反馈、改进规范；把内控看成一套制度，而不是过程，缺乏动态理念。崇尚经验式管理对管理的有效性和制度的适当性缺乏评价标准制度拟定部门从自身利益考虑，造成跨部门流程断裂或交叉对重要的职责与权限划分有较大的随意性，重权力划分，轻责任归属缺乏系统的风险评估方法和工具缺乏定期反馈和修正机制就内部控制建设而言，目前国企最缺乏的是制度化的风险评估以及科学的风险应对策略。内部控制环境是内部控制是否有效的关键因素。内控方法论应在行为管理学理论基础上创新发展企业风险与内控管理的常见问题1、缺乏全面风险与内控管理运作体系•缺乏整体建设思路，缺乏独立组织与相应考核制度2、风险管理和内控管理流程难以长期坚持•涉及全员，流程复杂，手工难以控制3、风险与内控管理业务孤立运作•基本处于手工独立运作，与日常业务系统无关联，4、风险控制评价工作量巨大，增加管理成本•手工进行控制点进行样本测试，并进行后续的改进监督测试，造成相关人员工作量巨大，难以满足内部管理需要5、风险管理和内控报告输出困难•面向多个监管部门的不同要求，管理报告占用大量编制时间和成本内控制度缺失•与实际不符•制度缺失•版本混乱•没有统一管理内控制度执行不力•与制度不一致•缺乏监督•信息沟通不顺畅•战略不能贯彻内控意识不足•领导重视不够•没有专业人员•绩效无关联•缺乏专业知识分子公司管控难•分散管理，各自为政•缺乏明确管理主线•上下信息不对称•缺乏激励与制衡被动响应多种监管要求•内部管理与监管要求难以统一•忙于应对多种合规要求•缺少统一内控与风险管理体系•合规管理与业务管理没有整合缺乏内控监督•内控与风控没有融入日常管理•缺乏自我评估与定期检查•缺少监控体系和工具•信息系统建设滞后无从入手•风险无处不在•风险难以度量•缺乏风险指标•没有整体规划企业风险内控体系建设面临主要困惑大连港集团内控管理信息化需求分析完善风险内控体系•巩固现有成果、梳理管理建议书•协助编写内控手册和测试手册建立风险内控工作平台•覆盖集团主要成员单位•完成从内控环境、风险评估、控制活动、监督评价和风险绩效的全要素、全业务过程管理统一规划分布实施•第一阶段：试点领域内先独立运作，完成基本体系管理•第二阶段：与现有业务系统集成，进行风险指标监控•第三阶段：全面推广到所有内控领域目录大连港内控管理需求分析用友风险内控管理解决方案咨询服务方案风险内控信息化方案实施保障资源投入实施计划用友内控咨询服务•内控现状判断，管理建议书企业内控评价•辨识风险、确定控制目标，对标控制活动企业风险矩阵编制•梳理流程、更新制度、提出整改建议企业内控体系设计•设计监督体系、编写评价手册，监督内控执行整改内控体系执行评价•协助自我评估报告编写和对外沟通内控自我评价报告•结合现有业务系统，优化落实相关内控体系内控IT体系规划用友内控咨询服务成果介绍管理建议书•调查问卷•评估标准•内控现状及差异分析报告内控手册•风险控制矩阵•标准化流程制度测试监督手册•测试计划•测试底稿•缺陷汇总报告内控IT规划报告•信息化系统流程优化用友软件企业风险内控体系建设实施路线图确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范记录内控缺陷设计整改方案完善内控制度更新内控文件发布内控手册制定监督制度开展评估测试跟踪缺陷整改开展自我评价出具自评报告进行模拟审计提供所需证据出具管理声明披露审计报告持续运行改进信息化建设内控与风险管理工作持续开展内控梳理对标内控整改固化内控自我评价内控审计确立项目目标成立专属部门进行前期培训统一工作方法确定工作计划项目启动阶段确立项目目标成立专属部门进行前期培训统一工作方法确定工作计划项目启动内控整改固化内控自我评价内控审计项目启动-确立项目目标项目启动内控梳理对标风险内控体系建设管理符合五部委《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》以及《XXXX上市公司内部控制指引》等相关标准的要求,内控自我评估及审计工作达到监管要求。改善经营管理，提高企业经营效率和管理效果。满足企业战略和持续发展的目标。日常监督内部监督确立项目目标成立专属部门进行前期培训统一工作方法确定工作计划项目启动董事会审计委员会监督内控的有效实施和内控自我评价情况内审内控自评部门组织领导内控的日常运行对内控体系运行进行内部独立检查;负责内控建立健全有效实施和自我评价经理层监事会对董事会实施内部控制进行监督专门或适当机构负责组织协调内控的建立实施及日常工作向董事会、监事会、审计委员会报告监督检查中发现的内控重要和重大缺陷内控整改固化内控自我评价内控审计项目启动-成立专属部门项目启动内控梳理对标风险内控相关工作人员的素质要求风险和内控相关技术能力专业背景工作经验和谐沟通能力学习创新能力风险内控专业团队项目管理能力团队合作精神项目启动-组建项目团队确立项目目标成立专属部门组建项目团队进行前期培训统一工作方法确定工作计划项目启动从内部控制五要素出发梳理企业内控，关注重要分子公司业务事项和高风险领域：信息与沟通（内部信息与沟通、外部信息与沟通、反舞弊机制）控制环境治理结构、组织机构、职责权限，企业文化社会责任，人力资源政策，内部审计机制风险评估目标设定、风险识别风险分析、风险应对、变革管理控制活动人力资源、财务报告存货、销售、采购工程项目、资金、合同监督日常专项确定梳理范围实施风险评估整理现有制度对标管理规范辨识内控环节内控梳理对标内控梳理对标-确定内控梳理范围风险识别与评估的依据：梳理出的重要分子公司业务领域中可能存在的风险运用适当的风险识别工具，逐步细化风险点和管理手段充分运用风险管理工具，强化风险管理，提升经营水平，并为内控体系建设和内控评价奠定良好基础内控梳理对标内控整改固化内控自我评价内控审计确定梳理范围实施风险评估整理现有制度对标管理规范辨识内控环节内控梳理对标内控梳理对标-实施风险评估内控梳理对标内控整改固化内控自我评价内控审计确定梳理范围实施风险评估整理现有制度对标管理规范辨识内控环节内控梳理对标内控梳理对标-实施风险评估风险评估分析风险识别风险从关键业务出发，找寻在实现目标过程中内部和外部的风险源对所有风险源发生的可能性和影响做出分析，确定风险值根据公司风险偏好，结合风险评估标准，划分风险等级按风险值对风险排序，依据风险等级确定关键风险，形成风险热力图分析风险影响的战略目标及相应的风险容忍度，确定风险应对方案风险应对目标设置与分解将目标逐级分解，最终对应到业务单元、关键业务风险评估标准风险地图风险评估科目分布表风险评估问卷风险分析Marci图内控梳理对标-实施风险评估内控梳理对标内控整改固化内控自我评价内控审计确定梳理范围实施风险评估整理制度流程对标管理规范辨识内控环节内控梳理对标内控梳理对标-整理制度流程流程编号一级流程二级流程三级流程责任部门MP01人力资源管理MP01.01人力资源配置MP01.01.01年度人力资源计划人力资源部MP01.01.02人力资源配置实施MP01.01.04劳动合同管理人力资源部MP01.02员工发展与培训MP01.02.02年度培训计划人力资源部MP01.02.05培训费用人力资源部现有制度访谈记录最佳实践法规要求整理分析控制活动编写的原则：4W+1H•WHO:哪个岗位执行控制活动•WHEN:该控制活动发生的时间或频率•WHERE:该控制活动发生的地点•WHAT:根据什么进行控制－如制度、单据、报告、电子邮件、系统数据等•HOW:控制活动的具体内容是如何？如何操作？风险控制矩阵依托最佳实践和控制数据库进行对标梳理内控梳理对标内控整改固化内控自我评价内控审计确定梳理范围实施风险评估整理现有制度对标管理规范辨识内控环节内控梳理对标内控梳理对标-对标管理规范风险控制矩阵业务目标业务风险控制点1.合同依据经营风险：擅自订立合同，造成损失。1.1合同主办部门应在本部门职责范围和权限内根据公司生产经营计划订立合同。生产经营计划包括但不限于物资采购计划、产品销售计划、大中小修计划等。2.资信调查经营风险：对方当事人不具备相应的签约和/或履约能力，引发合同纠纷。2.1合同主办部门应当审查（或者配合内部资信管理部门审查）拟签约对象的主体资格、资信情况及履约能力等，进行综合分析论证，合理选择签约对象，必要时可提请相关部门予以协助。内控梳理对标内控整改固化内控自我评价内控审计确定梳理范围实施风险评估整理现有制度对标管理规范辨识内控环节内控梳理对标内控梳理对标-辨识内控环节流程编号一级流程二级流程三级流程责任部门MP01人力资源管理MP01.01人力资源配置MP01.01.01年度人力资源计划人力资源部MP01.01.02人力资源配置实施MP01.01.04劳动合同管理人力资源部MP01.02员工发展与培训MP01.02.02年度培训计划人力资源部MP01.02.05培训费用人力资源部MP01.03薪酬福利与保险MP01.03.01工资总额人力资源部MP01.03.02薪酬MP01.03.03福利人力资源部MP01.03.04员工保险人力资源部MP01.03.05住房公积金人力资源部形成业务流程目录XX公司业务流程目录形成风险评估表风险类别风险定义风险描述风险事件风险评估主要业务流程主责部门/公