普信咨询 © 版权所有
内控建设与管理提升:制度化、流程化、信息化
------普信GPRC内控方法论
汪 健 豪
普信咨询 © 版权所有 Page 2
主讲人介绍:汪健豪
北京普信管理咨询有限公司 董 事 长
首席管理专家
国家注册高级风险管理师、高级工程师
财政部“企业内部控制标准委员会” 咨 询 专 家
财政部“会计信息化委员会” 咨 询 专 家
证监会《上市公司内控体系建设工作指南》 专家组成员
《国家注册风险管理师考试大纲》编委会 编 委
及《内部控制》教程 作 者
银监会培训中心“商业银行合规风险管理与内控”课程 特 聘 教 师
山东大学经济学院 金融学硕士生导师
《银行家》杂志社 编委 兼 上海首席代表
普信咨询 © 版权所有
企业内部控制基本规范
Page 3
Page 3
以下文件,标志着适应我国企业实际情况、融合国际先进经
验的中国企业内部控制规范体系基本建成
普信咨询 © 版权所有
内控的多视角困惑:横看成岭侧成峰
Page 4
普信咨询 © 版权所有 Page 5
普信PROOF内控评价模型示意图
企业风险管理显现的有三个视角:目标,组织架构,风险管理。还有一个隐含的视角:
流程。所以企业风险管理与内部控制是四元结构:目标,组织,流程,风险。
风险可以从四个维度的任意一个维度而涉及到其他方面。
Page 5
普信咨询 © 版权所有 Page 6
Page 6
� Process-流程
� 对流程的评价应重点关注:
流程识别的充分性
流程的成熟度-5级(以COBIT来指导IT化的流程评级)
流程的合规性
流程与目标的适宜性
� Risk –风险
� 对风险的评价应重点关注发现和解决问题的能力,包括
内控环境(风险政策、风险偏好、风险容忍度等等)
风险识别与评估
风险应对与控制
信息与沟通
监督与控制
� Objectives-目标
� 目标设定程序的科学性、合理性,有效性,是否符合SMART原则
� 目标体系应包括以下两方面内容,并在各职能层级和机构分解、管理:
1)战略目标、运营目标、资产目标(KPI’s)
2)报告目标、合规目标(KRI’s)
� Organization-组织
� 对组织架构与运营模式的评价应关注
适宜性
制衡性
组织结构的效率
资源配置的合理性
� Financial-财务
� 基于财务报告KPI/KRI及KPA/KRA的“财务报告内部控制规范体系”
普信内部控制评价PROOF模型释义
普信咨询 © 版权所有
管理活动规范化:企业内部控制十八个应用指引
Page 7
Page 7
普信咨询 © 版权所有
政策解读
Page 8
关于加快构建中央企业内部控制体系
有关事项的通知
关于加快构建中央企业内部控制体系
有关事项的通知
2012年5月7日,国资委、财政部联合发布《关于加
快构建中央企业内部控制体系有关事项的通知》(国资
发评价〔2012〕68号),其中明确要求“各中央企业要
力争用两年时间,按照《企业内部控制基本规范》和配
套指引的要求,建立规范、完善的内部控制体系”。并
且在第三条第五点中提到“推进内部控制体系建设同信
息化建设的融合对接”。
普信咨询 © 版权所有 Page 9
管理制度化、制度流程化、流程信息化
… …
各中央企业要按照管理制度化、制度流程化、流程信息化的要求,立足企业实际,倡导全员参与,
注重控制实效,防止流于形式,抓好内部控制建设的基础工作和关键环节。
一是建立规范的公司治理结构和议事规则。
二是以价值管理为主线,以风险管理为导向,全面梳理各类各项业务流程,实施业务流程再造,编制内
部控制管理手册,促进业务处理规范化和标准化。
三是加强重点流程与特殊业务的内部控制。
四是结合内部控制目标,梳理完善管理制度体系,防止出现制度和流程缺陷。
五是推进内部控制体系建设同信息化建设的融合对接,将业务流程和控制措施逐步固化到信息系统,实
现在线运行。
… …
《关于加快构建中央企业内部控制体系有关事项的通知 》
(国资发评价〔2012〕68号)
普信咨询 © 版权所有
普信内控方法论的基本思路
Page 10
通过配套的管理咨询实现管理制度化:
对企业内控基本信息现状进行清理,管理制度对标,识别评估风险、建立控制措
施、确认设计缺陷,同时设计企业全新的内控制度框架,编制各类内控制度,形
成内控手册,实现企业管理的制度化。
通过管理平台实现制度流程化:
应用普信GPRC内部控制评价与管理平台,打通企业各个管理职能,整合各类管
理要求,通过“一图两表”工具进行整合,促进企业制度的流程化提升。
通过管理平台实现流程信息化:
通过普信管理平台的工作流配置功能,最终实现从流程化到信息化的转变,帮助
企业建立完善的内部控制和风险管理体系。
普信咨询 © 版权所有
普信方法论解读(一)
Page 11
普信“内控评价与管理系统”内置完善的
制度管理流程,通过具有自主知识产权的“一
图两表编辑器”将制度进行流程化,并且具备
通过流程自动生成制度,和将流程转变为实际
工作流实现流程信息化的功能。
普信“内控评价与管理系统” 通过梳理各类
业务和管理流程,建立内部控制和风险管理“一
图两表”,进行以流程为基础的与环节相关的风
险识别评估,明确风险等级、风险清单、控制节
点及控制要求,并以此为基础实施业务流程再造,
最终自动生成内部控制管理手册。(参见下页案
例)
普信咨询 © 版权所有
附:“一图两表” 及风险点标识
Page 12
“一图两表”即:“配置流程图”、“流程分析表”和“风险自我评估表”的简称,
是由北京普信管理咨询有限公司在大量管理咨询研究和实务经验基础上研究和总结的具
有独创性的应用技术。通过普信“内控评价与管理系统”,能够实现流程图在线绘制、
风险识别评估控制及相关风险点标识的一眼清。
配置流程图
流程分析表
风险自我评估表
普信咨询 © 版权所有 Page 13
Page 13
基于流程风险管理的“一图二表”
普信咨询 © 版权所有
普信方法论解读(二)
Page 14
普信“内控评价与管理系统”具有强大的工
作流引擎,能够通过参数配置,快速将嵌入制度
和控制措施的流程图转变为能够进行数据流转的
业务工作流,实现在线运行。(参见下页案例)
普信咨询 © 版权所有
附:工作流案例
Page 15
2011年,普信利用“一图两表编辑器”及工作流配置功能为交通银行河南省分行
定制了4个部门共计14个管理工作流,包括:证照管理、规章制度管理、授权管理、投
诉管理、考核管理、贷款规模管理、产品定价审批管理、会议管理、机构管理、印章管
理、人员调配管理、综合目标考核管理、人力资源规划管理等。
普信咨询 © 版权所有
普信方法论解读(三)
Page 16
通过普信“内控评价与管理系统”工作流引
擎,能够将风险信息沟通及报告流程转变为报告
工作流,实现风险信息报告的IT化。
普信“内控评价与管理系统” 具有“在线测
试”功能,能够利用题库自动生成测试考卷,实
现分发、测试、判卷、评分和统计的全IT化过程。
“日常和专项监督检查”是普信“内控评价与
管理系统”的核心功能之一,通过全IT化的检查
过程实施和问题报告功能,实现从监督检查、事
件处理、跟踪整改到管理改进的完整管理闭环。
普信“内控评价与管理系统”的“内控设
计评价”功能,能够通过穿行测试等方法,发
现并认定制度缺失或流程缺陷,并通过缺陷整
改,不断完善内部控制的制度体系。
普信咨询 © 版权所有
普信方法论解读(四)
Page 17
普信结合五部委《内部控制基本规范》及18
个应用指引的要求,建立了一整套“内控示范流
程”,各企业均能够以此作为相关业务的评价体
系和内部控制缺陷认定标准。
同上页,普信“内控评价与管理系统”的“
内控设计评价”和“内控运营评价”功能,能够
通过穿行测试、控制测试等方法,发现并认定内
部制度的设计缺失和运行缺陷,并通过缺陷整改、
跟踪落实等控制手段,实现内控的闭环管理,促
进管理水平的不断提高。
普信“内控评价与管理系统”具有“内控绩
效管理”功能,能够将体系建立、运行、评价过
程中发现的问题通过积分等绩效考核手段进行管
理并自动生成多维度的统计报告,能够以此作为
履职评价或绩效考核的重要依据。
普信咨询 © 版权所有 Page 18
•• 数字化内控评价与管理系统数字化内控评价与管理系统
•• 管理要求管控平台:管理要求一眼清管理要求管控平台:管理要求一眼清
•• 管理事务工作平台:管理工作一眼清管理事务工作平台:管理工作一眼清
•• 辅助决策监测平台:管理报表一眼清辅助决策监测平台:管理报表一眼清
•• 流程提升应用平台流程提升应用平台
•• GPRCGPRC管理管理
•• GG 管理治理 管理治理
•• P P 流程管理 流程管理
•• RR 风险管理 风险管理
•• CC 合规管理 合规管理
普信方法论:数字化GPRC内控评价与管理系统的建立
普信咨询 © 版权所有
普信GPRC内控评价与管理系统功能架构
Page 19
日常专项监测
内控缺陷
管理
风 险 识 别 评 估
业务流程
梳理
内部制度
管理
内控
规范要求
内控
基础信息
内控
设计评价
内控
运营评价
内控评价
报告
内控体系建设和运维 内控体系评价和改进
普信咨询 © 版权所有
普信GPRC内控评价与管理系统实施流程
Page 20
项
目
启
动
系统功
能配置
基础数
据导入
一图两
表工具
制度对
标工具
穿行测
试工具
内控基
础信息
清理
管理对
象分析
制度流
程化
制度对
标
设计评
价报告
控制测
试工具
运行评
价报告
内控评价报告内控手册
标准化实施工具
标准化实施过程
普信咨询 © 版权所有
普信GPRC内控评价与管理系统核心方法
Page 21
一图两表
一图两表是指流程图、流程分析表和风险识别评估表。这是一种基于流
程的整合落地工具,通过流程将岗责、绩效指标、控制要求、风险等等要素
关联起来,实现管理要素数字化整合。
普信咨询 © 版权所有
普信GPRC系统核心方法
Page 22
普信PUSH矩阵
在进行对标分析过程中,普信提供PUSH矩阵对象分析法,将某个职能、
某个模块进行对象分解,按照不同的对象进行对标。
流程维度
对
象
维
度
普信咨询 © 版权所有
内控体系运营
Page 23
基础信息
•管理对象分类
•流程文件清单
•组织机构/权限
•外部法律法规
•内部规章制度
•目标/指标
•风险列表
•检查/监测
流程策划
•流程定义
•整合设计
•流程发布
•流程测试
•版本管理
监测改进
•企业监测
•缺陷管理
•统计分析
内部控制
应用指引
示范流程
普信咨询 © 版权所有
普信内控方法论:“系统-管理”过程
Page 24
内控规范体系建立过程
� 标准规范解析
� 基础信息收集
� 对标评价
� 缺陷整改
� 业务流程梳理
内控体系运维过程
� 内控制度管理
� 检查管理
� 问题管理
� 风险评估
内控评价过程
� 设计评价/运营评价
� 评价准备
� 评价分工
� 评价实施
� 缺陷整改
� 评价报告
体系建立
体系运维
自我评价
普信咨询 © 版权所有
普信GPRC系统核心功能:内控规范要求
Page 25
内控评价及建设的标准体系
产品将外部法律法规、《内部控制基本规范》及18个应用指引的内容进行解析,
在内控体系框架下,通过一图两表形成标准的内控示范流程和控制要求,既能够作为企
业对标和评价的标准,查找缺陷,也能够作为示范和参考帮助企业进行内控体系的建立
的。
普信咨询 © 版权所有
普信GPRC系统核心功能:内控环境信息
Page 26
企业内控信息诊断清单
产品集合了企业内控相关的所有基本情况,通过表单的方式进行展示和管理,能
够进行定期的更新维护,是企业进行内控评价的重要对象,更是企业进行内控体系建设
的基础。
普信咨询 © 版权所有
内部制度管理
Page 27
内部制度管理全流程
产品提供了企业内部制度管理的全流程IT化解决方案,从制度的规划、建立、发
布、维护、评价等,并能够提供内控手册的自动生成和查阅功能。
普信咨询 © 版权所有
业务流程梳理
Page 28
企业制度流程化
产品通过“一图两表编辑器”将企业内部制度进行“流程化”,并通过对流程的分析和
风险的识别评估,实现自身内部控制的岗责要求、操作规范、控制策划和落实等。
普信咨询 © 版权所有
普信GPRC系统核心功能:日常专项监督
Page 29
设计评价和运营评价的基础
产品将日常和专项检查的结果和问题进行收集,既能够进行一眼清查看,也能够进行整
改和跟踪,同时,收集的结果和问题还能够作为对企业进行设计评价和运营评价的基础。
普信咨询 © 版权所有
风险管理
Page 30
风险评估及控制策划
产品提供包括问卷调查在内的多种风险识别评估功能,用于收集风险信息和重大风
险信息,并形成风险字典库以及与风险相对应的控制措施库。
普信咨询 © 版权所有
内控设计评价
Page 31
设计评价的全流程IT化
产品通过穿行测试等日常评价方法,将内控设计评价的全流程进行IT化,从评价计划、
评价准备、评价实施、缺陷认定与整改到设计评价报告,完整体现设计评价的过程。
普信咨询 © 版权所有
普信GPRC系统核心功能:内控运营评价
Page 32
对内控有效性的评价
产品采用抽样的控制测试方法,对运营评价过程进行管理,通过发现企业运营评
价缺陷进行整改和运营评价报告,实现对企业内部控制有效性的评价。
普信咨询 © 版权所有
普信GPRC系统核心功能:内控缺陷管理
Page 33
缺陷的维护、整改和跟踪
产品提供了对设计评价和运营评价中发现的缺陷的管理流程,通过对缺陷的维护和
跟踪,促进缺陷的整改,实现企业内控设计和运营有效性的不断提升。
普信咨询 © 版权所有
与企业共创管理最佳实践
欢迎与我联系
13801032548
wangjianhao@
