财务管理内部控制内
控体系建设手册
全面风险管理与内控体系建设
——内控体系建设操作手册
目录
一、内控简介 3
1、为什么谈内控 3
2、什么是内控 5
3、为什么要做内部控制体系建设 6
4、内控体系形成的文档 7
二、流程体系框架梳理 7
1、基本概念 7
2、流程体系框架梳理方法 8
三、公司层面风险识别 13
1、公司层面风险评估的目的 13
2、公司层面重大风险的识别与评估 13
四、业务流程体系的梳理 23
1、绘制流程图 23
2、流程描述编制 30
3、风险控制矩阵文档的编制 33
4、风险数据库的编制 36
5、控制文档的编制 39
6、缺陷跟踪报告的编制 40
五、内控建设项目最终形成的报告 41
1、内部控制手册 41
2、管理建议书 43
3、业务流程体系文件 44
4、全面风险管理报告 44
5、编制《权限指引表》44
一、内控简介
1、为什么谈内控
2010年丰田事件
▲从 2010年 1月份开始,因油门踏板等问题,丰田汽车先后宣布从美国、加拿
大、欧洲和中国召回汽车共计近 445万辆汽车,加上 2009年从美国市场召回的
凯美瑞、普瑞斯等车型共计近 420万辆,丰田公司的问题车辆在 850万辆以上,
超过其 2009年全球 698万辆汽车的销量水平。
▲据测算,每辆被召回的汽车维修费用约 25美元(约 157元人民币)至 30美元
(约 188元人民币),不包括人工成本。按照召回 800万辆计算,丰田此次维修
费用损失高达 2亿美元(约 亿元人民币)至 亿美元(约 15亿元人民
币)。
丰田汽车一直是全球汽车企业的标杆和制造业精细管理的楷模。本次龙头企业出
现如此大规模的召回事件,具有一定的行业代表性,即丰田召回事件是汽车行业
现有经营模式弊端的集中体现,综合多方分析,丰田汽车发生大规模召回事件的
原因主要有以下几个方面:
(1)、发展战略出现偏差,过分注重扩大规模。在过去的 10年间,丰田海外生
产基地和产量持续大规模增加,使质量监管体系力所不及。
(2)、利用规模优势压价采购零部件,造成产品质量难以保障。
(3)、盛名至上企业“顾客至上”的理念有所松动,不干实事求是的面对产品缺
陷和质量问题。过分强调削减成本,部件设计开发和实证试验阶段必要的程序也
在简化等。
(4)、零部件采购体系单一。与美国公司“同时选择 2-3家供应商,使之互相竞
争”不同,丰田建立了与供应商密切合作的关系,并持有核心零部件供应商的部
分股份。
我公司实例:
(一)合同风险类
(1)合同主体问题
集团公司某销售部门签订了一份产品销售合同,合同约定我公司为卖方,对方为
买方,付款方为第三方,但合同只有我公司与对方签字与盖章,付款方没有签字
和盖章,而公司却一直向第三方催款,造成该款多年未能收回。这是一份典型的
为第三方设定义务的合同,合同要对第三方生效,必须取得第三方的同意与确认,
即第三方必须在合同上签字和盖章,才能对第三方即付款方产生效力。出现这种
情况的原因是我们的合同签订人员对合同法不了解,同时没有履行合同的审批程
序,造成合同在实际履行中无法落实付款单位。
(2)合同执行问题
合同签订后的执行十分重要,一份好的合同如果执行不当同样会给公司造成不好
的后果,比如在集团公司总部包括子分公司都出现这样的合同执行情况,合同明
明约定先款后货,但我们在实际执行中对方尚未付款,我们却已经将货发了,造
成后期货款催收的困难,使一份本来结公司很有利的合同瞬间变为一份后果不好
的合同,究其原因很显然是我们在合同执行中没有严格按照合同的规定去履行,
同时缺乏有效的监管。
(3)人力资源类
2008年劳动合同法的颁布对公司人力资源的管理带来很大的影响,集团公司总部
现在所有的原劳务工全部交由劳务派遣公司管理,这在一定程度上避免和减小了
人力资源风险,但集团公司下属的一些子分公司现在仍对劳务工没有进行很好的
管理,没有签订合同也没有采取劳务派遣的方式,这样的法律后果是非常严重的。
近两年来集团公司及其下属子分公司均不同程度的发生类似纠纷,处理不好将引
起全面反应,这将提醒我们要加强人力资源的管理,按照法律规定和企业实际制
订切实可行的人力资源政策。
2、什么是内控
2006年,国务院国资委出台《中央国有企业全面风险管理指引》,2008年,
财政部、证监会等五部委出台《企业内部控制基本规范》,2010年,五部委出台
基本规范《配套指引》,年财政部耗时 6个月,完成《企业内部控制审计-政策解
读与操作指引》,2009年,中国中铁股份有限公司下发《关于全面开展内控体系
建设相关工作的通知》,2012年证监会下发《关于做好 2012上市公司建立健全内
部控制规范体系监管工作的通知》,这些文件,是我们宝桥集团开展内部控制体
系建设的纲领性文件。从这些文件中,我们从四个方面提炼一下内部控制的基本
概念:
(1)是什么:内部控制体系是保障企业目标实现的管理过程。
(2)谁来做:公司的董事会、经营层和全体员工。
(3)为什么做:保障企业战略、经营、财报、合规和资产安全目标实现。
(4)怎么做:持续的过程。
这里,我们要特别强调的一点是内部控制体系在企业内部不是新生的,不是
独立于我们日常生产经营活动新增加的一项管理活动。企业在未进行体系建设之
前,已经存在大量的内部控制的活动、机制和方法。而内部控制体系建设的目的
是把这些已经存在的内控活动、机制和方法用系统化、标准化和规范化的手段进
行梳理、识别和评价,最终目的是保证公司的内部控制能够实现体系化、规范化
和标准化。
3、为什么要做内部控制体系建设
内控体系建设可以说是势在必行、刻不容缓。企业建设内部控制体系建设,
存在外在压力和内在动力,其中:
外在压力是指上述国资委、证件会等政策文件的要求。特别是五部委出台配
套指引的通知,对上市公司提出了明确的时间表。我们宝桥集团隶属于中国中铁
股份有限公司,是属于境内外上市企业,根据通知要求,我们必须于 2011年 1
月 1日开始实施有效的内部控制体系,尤其是国资发评价【2012】68号文《关于
加快构建中央企业内部控制体系有关事项的通知》,要求将内部控制建设与执行
效果纳入到绩效考核体系当中,这些是国家层面的强制要求。每年会计师事务所
要对内部控制体系设计与运行的有效性发表审计意见,出具审计报告,并且公开
披露。
内部动力是指随着宝桥集团的发展规模不断壮大,业务范围不断拓展,外部
市场环境不断变化,内部管理需要能够具备风险防控的意识和体系化管理的手段,
来不断地化解来至内外部发展的风险,并且能够明确组织、授权、流程、制度等
基本管理工具,并且讲话这些工具的运用与执行,以提高我们的管理效率,理清
我们的管理链条,加强我们应对风险的反应能力,并增强我们应对风险事件的处
理能力。
4、内控体系基础理论知识
我们通常所讲的内部控制是指基于全面风险管理的内部控制,它涉及两个方
面:全面风险管理和内部控制。
企业全面风险管理强调通过量化分析支撑下的决策分析,在决策层面上管控
战略方向选择、重大业务决策等方面的风险。相形之下,COSO风险管理框架以内
控为中心,强调通过制度、流程和财务等手段,在业务层面上管控运营、操作过
程中的风险。它可以在企业整体层面制定风险战略,构建内控体系,完善风险管
理制度,优化流程和组织职能,为企业构建风险管理的长效机制,从根本上提升
风险管理的效率和效果,最终帮助企业实现风险管理的各项目标,包括:
(1)公司层面重大风险识别与评估
公司层面重大风险数据库
公司层面重大风险分布图
(2)梳理内部控制流程体系,规范和改进内部控制流程体系
各业务模块的流程体系文件,具体包括:
业务流程体系框架
各业务流程的流程图
各业务流程的流程描述
各业务流程的风险控制矩阵
各业务流程的风险数据库
各业务流程的控制文档
各业务模块的管理建议报告
(3)项目总结报告工作
管理建议报告(包含各业务模块的管理建议)
内部控制管理手册(包含体系框架分册、内部环境分册、风险评
估分册、控制活动分册、信息与沟通分册、内部监督分册)
二、流程体系框架梳理
1、基本概念
流程体系框架提供了一种流程设计的思路,通过分类分级,形成企业级的流程分
类分级清单,将企业内的流程进行结构化的整理和归纳,建立全局视图。企业流
程框架体系的初步搭建,是整个流程管理工作的开始,也是非常重要的一环,在
完成打基础、建框架的过程中,实现流程管理理念的导入和流程文化的建设,为
后续开展流程梳理及优化等工作提供了很好的基础。
2、流程体系框架梳理方法
流程体系框架在项目建设初期可根据公司章程、现有的部门职责、部门业务及规
章制度建立健全等方面的问题,对高层管理人员、部门负责人及相关岗位责任人
员进行了访谈,摸清公司大致的业务类别和运作方式,在此基础上通过与部门负
责人、部门分管领导反复沟通中初步制作一份体系框架,待业务流程访谈中逐步
完善流程体系框架。一般来说,企业的各种业务流程可以划分为三个层级。
一级流程:一般根据企业的经营范围、企业持续经营所必需的所有重要活动及管
理职能划分,例如人力资源管理、财务管理、生产管理、法律事务管理、综合管
理及公司治理等。
二级流程:在一级流程的基础上,按照业务的类型进行划分,例如人力资源管理
可以划分为人力资源配置管理、发展与培训管理、薪酬与福利管理及绩效评价与
考核管理等。
三级流程:在二级流程的基础上,进一步划分到具体的业务单元,例如人力资源
配置管理可以划分为:专业技术人才招聘流程、入职与签订劳务合同流程、见习
管理流程、劳务派遣用工管理流程、员工内部调动流程、离职离岗流程等。
要注意的是,一级流程和二级流程是很容易划分的,三级流程需要细分到每个操
作单元。
流程体系框架疏理的具体方法为:
(1).部门负责人访谈。了解的主要内容为本部门负责的具体工作内容及主要职
责。通过部门负责人访谈划分出该部门主责的一级流程和二级流程。
(2).部门职员访谈。了解的内容为该职员负责的具体工作内容、主要职责及可
参照的企业现有制度,通过部门基层职员的访谈,将二级流程进一步细分成三级
流程。
(3).部门负责人及职员确认并修订。将已划分出的三级业务流程交给部门负责
人和基层职员进行确认,并完成最终修订。
(4).为已梳理出的流程进行编号。编号规则为:
流程编号公式:一级流程英文单词简写+二级流程编号+三级流程编号。
例如:一级流程为财务管理模块,取英文简写 FM;若为人力资源管理模块,取英
文简写 HRM;若为法律事务模块,取英文简写 LEA。二级流程和三级流程按以上
公式规则编号。
业务流程框架清单模板如表所示。
流程编号 一级流程 二级流程 三级流程 责任部门 相关制度或文件
COG 公司治理
治理结构
董事会议事
企业规划
部
监事会议事
企业规划
部
专业委员会
议事
企业规划
部
总经理办公
会议事
公司办公
室
董事会决议
的执行与督
办
企业规划
部
子公司治
理管控
子公司章程
制定与修订
企业规划
部
外派董事、
监事聘任
企业规划
部
子分公司领
导选拔与任
用
人力资源
部
附:流程编码对照表
序
号
流程名称(如
适用)
英文全称 编码 备注
1 公司治理 CorporateGovernance COG
集团治理以及集团参与子公
司治理管控
2 管理结构 ManagementStructure MAS
授权、组织机构、制度体系、
内控体系、企业文化
3 战略管理 StrategicManagement STM 战略目标及规划体系
4 经营计划管理
OperationPlanningandBu
dget
OPB 经营计划、全面预算
5 资本运营 CapitalManagement CAM
金融投资、权益投资、固定资
产投资等
6 科技管理 ManagementofTechnology MOT 研发及科技项目
7 采购管理 PurchaseManagement PUM 物资、设备采购
8 生产管理 ProductionManagement PRM 排产、材料、成本、定额
9 市场营销
MarketingandSalesManag
ement
MSM 市场、销售
10 仓储物流
WarehousingandLogistic
sManagement
WLM 仓库、运输、产成品
11 安全质量环保
Safety,QualityandEnvir
onmentalprotection
SQE 安全、质量、环保
12 长期资产管理
Long-termAssetsManagem
ent
LAM
固定资产、无形资产等计划、
验收、使用、维修、计量、处
置
13 财务管理 FinancialManagement FIM
资金、核算、财报、税务、融
资、分析
14 人力资源管理
HumanResourcesManageme
nt
HRM 劳动关系、发展、培训、薪酬
15 综合管理 IntegratedManagement ITM 档案、公文、车辆、会议
16 信息管理 InformationManagement IFM 信息化项目、系统、运维
17 法律事务 LegalAffairs LEA 诉讼、合同、非诉法律事务
18 运营监控 BusinessControl BUC 统计、内审、监察
流程编号说明:一级流程用 3位英文缩写标识,二级流程用英文缩写和 2位顺序
码标识,三级流程在二级流程编号的基础上用".X"表示,X表示三级流程的顺位。
如一级流程为“战略管理”,其下面的第一个流程为“公司战略管理”,其下的
第一个三级流程为“公司发展战略规划制定”,则编码为:
三、公司层面风险识别
1、公司层面风险评估的目的
满足监管部门和上级单位报送全面风险管理报告的要求。
通过风险识别和风险评估明确企业当前面临的重大风险
使企业管理层对当前企业面临的重大风险有统一认识
实现风险评估结果的深化分析,对管理决策提供更充分支持。
2、公司层面重大风险的识别与评估
风险识别是指查找公司各项经营管理活动中存在的影响目标实现的风险和机
遇的过程。动态识别影响公司战略目标及相关目标实现的内部和外部的各种不确
定性因素。
(1)整体操作流程
(2)风险识别程序
1)了解企业行业及管理需求
例如:公司的核心业务是什么;标杆企业是谁;行业地位怎么样;所处行业
的发展情况;所处行业企业为什么能成功;企业曾经出现过什么问题;什么因素
制约企业发展;管理层的经营理念;法律法规有什么要求等。
2)收集初始信息
围绕公司战略目标和相关目标及风险管理要求,对可能影响集团公司战略、
市场、财务、运营和法律等各方面业务活动运营的信息进行了收集,包括收集历
史数据和未来信息,关注宏观经济与经营环境、竞争对手、新技术与新产品、海
外经营、公司重组、业务整合、会计政策、信息系统、资本运作等方面已经发生
和将要发生的变化情况。
例如:
序号 内容
1 董事会或总经理办公会的有关会议决议
2 近几年年公司经营管理年度工作计划
3 公司最新的组织机构图及部门职责分配
4 上年年度工作报告,主要领导讲话
5 近几年各部门工作总结
6 公司各部门现行的规章制度,手册汇编等
7 公司近三年来发生的重大风险损失事件
3)设计调查问卷
问卷调查的重要信息主要来自于法律法规规定、行业风险、上级单位风险、
企业特点等,调查问卷已根据中铁宝桥具体情况,并结合迪博企业风险管理技术
有限公司相关行业数据库设计完成。问卷中包含各项风险共 64个,涉及战略风
险、财务风险、市场风险、运营风险、法律风险五大类,可直接进行使用。
4)发放问卷调查
发放范围:内控项目组应尽量涵盖向公司高层管理人员、中层负责人及业务
主干发放《公司层面风险评估调查问卷》,要求参加答卷人就各风险之发生可能
性及影响程度进行打分,并得出相应之风险等级,在此基础上进行调查问卷的评
分工作。问卷调查通过两轮多次的循环验证,最终使公司中高层对风险的理解和
认识趋于一致。
问卷评分标准:
●风险发生的可能性评分标准
评分 1 2 3 4 5
极低 低 中等 高 极高标准
一般情况下不
会发生
极少情况下才
发生
某些情况下
发生
较多情况下
发生
常常会发
生
举例(注)
今后 10 年内
发生的可能少
于 1次
今后 5-10 年
内可能发生 1
次
今后 2- 5
年内可能发
生 1次
今后 1 年内
可能发生 1
次
今后 1 年
内至少发
生 1次
注:举例中的对可能性判定标准的描述仅供您参考,可以根据自己对风险发生可
能性的判定标准对问卷中风险发生的可能性进行判断。
●风险影响重大性评分标准
评分 1 2 3 4 5
标准 极轻微的 轻微的 中等的 重大的 灾难性的
举例(注)
财务
损失
较低 轻微 中等 重大 极大
企业日常
运行
不受影响 轻度影响
(造成轻微
的人身伤
害,情况立
刻受到控
制)
中 度 影 响
(造成一定
人身伤害,
需要医疗救
援,情况需
要外部支持
才能得到控
制)
严重影响(企
业失去一些业
务能力,造成
严重人身伤害,
情况失控,但
无致命影响)
重大影响(重大业务失
误,造成重大人身伤亡,
情况失控,给企业致命
影响)
企业
声誉
负面消息在
企业内部流
传,企业声誉
没有受损
负面消息
在当地局
部流传,对
企业声誉
造成轻微
损害
负面消息在
某区域流传,
对企业声誉
造成中等损
害
负面消息在全
国各地流传,
对企业声誉造
成重大损害
负面消息流传世界各地,
政府或监管机构进行调
查,引起公众关注,对
企业声誉造成无法弥补
的损害
注:举例中对影响重大性判定因素及标准的列举仅供您参考,可以根据自己对风
险影响重大性的考虑因素和判定标准对问卷中风险发生影响的重大性进行判断。
风险调查问卷,将识别完成的风险按照发生可能性与影响程度,要求被调查者进
行打分。一般数据库可以使用 2-3年。
5)统计回收结果,进行风险评估程序
统计回收的调查问卷的打分情况,通过两种方式进行定性和定量验证:1、德
尔菲调研 2、集中度测试,获取公司层面排位前十名的风险信息。
运用统计学频率分析以及正态分布检测,判断风险评估统计结论是否合理有
效,如果风险调查统计结果不符合统计学正态分布形态,则将第一轮统计结果与
不符项发送给选定调查对象,进行第二轮或第三轮评估打分,直至结果合理。通
过评估验证循环,将最终达成一致的风险评估结果作为排序依据,按分值从高往
低排序选出管理层最关注的风险,并疏理出公司层面重大风险数据库及对应之风
险地图。
公司层面风险地图模板:
6)风险应对策略
根据国家五部委发布的《企业内部控制基本规范》及国资委《中央企业全面
风险管理指引》,在公司层面风险评估的基础上,对识别出来的公司重大风险,
能够充分考虑到风险的因素,并且围绕着战略目标,分析内外部各项风险因素,
制定重大风险应对策略和解决方案,最终形成《全面风险管理报告》。
风险应对策略主要有以下几种基本类型:
风险降低:是企业在权衡成本效益之后,准备采取适当的控制措施降低风险
或者减轻损失,将风险控制在风险承受度之内的策略。
风险降低具体包括风险对冲,风险控制,风险分散等方法,不同的实际情况
适用不同的风险降低方法。常用的一种形式是风险分散,即通过分散的形式来降
低风险,比如在多种股票而非单一股票上投资。
公司还可以采用其他许多方法降低风险敞口,包括市场研究、地区及产品的
多样化、筛选和监控客户、外包、给产品定价时分配风险酬金、存货或股权计入
生产量中,以及推行已制定的程序,以将经营风险降至最低。
风险规避:是企业对超出风险承受度的风险,通过放弃或者停止与该风险相
关的业务活动以避免和减轻损失的策略。
采用风险规避的目的是,预期出现不利后果时,一并化解风险。比如公司可
以认为某个投资项目的风险发生的可能性很大而又不能承受也不能采取措施降
低,公司则可以选择退出投资项目,从而规避风险。
风险分担:是企业准备借助他人力量,采取业务分包,购买保险等方式和适
当的控制措施,将风险控制在风险承受度之内的策略。
采用风险分担的目的是,将风险分担给另一家公司或机构。合同及财务协议
是分担风险的主要方式。分担风险并不会降低其可能的严重程度,只是从一方移
除后分担给另外一方。分担风险时,管理层应考虑各方的目标、转移的能力、存
在风险的情景以及成本效益。
风险承受:是企业对风险承受度之内的风险,在权衡成本效益之后,不准备
采取控制措施降低风险或者减轻损失的策略。
公司采取风险承受的策略,或者是因为这是比较经济的策略,或者是因为没
有其他备选方法(比如降低、规避或分担)。采用风险承受时,管理层需考虑所有
的方案,即如果没有其他备选方案,管理层需确定已对所有可能的规避、降低或
分担方法进行分析来决定承受风险。
在考虑做出风险应对的过程中,管理层需要评估各种风险控制措施的成本,
及风险发生可能性和影响程度降低所带来的收益,选择一种风险应对策略。
(注:对于识别出来的公司层面的重大风险要进行分解,将公司层面重大风险与业
务流程进行对接。为确保公司层面重大风险的管理能够落到实处,公司应根据各重大风
险涉及的相关业务内容和控制目标,将公司层面重大风险进行层层分解,识别导致重大
风险的众多风险事项,并将其与业务流程进行对接,评估与重大风险对接的流程的全流
程控制措施是否存在和有效,保证风险管理工作真正落地)。
四、业务流程体系的梳理
业务流程梳理的整体操作流程:
在业务流程梳理过程中,共形成 6个表单:流程图、流程描述、风险控制矩
阵、风险数据库、控制文档,下面逐一介绍 6个表单的编制:
1、绘制流程图
(1)流程图的概念
流程图是以可视的方式,运用特定符号展示某一流程的一种形式,其意义在
于帮助人们认识重要交易是如何生成、记录,获得授权并被处理和报告的。缺点
是,无法展现“何时做”“如何做”等细节。
(2)流程图的核心要素
明确每个流程步骤的执行部门及岗位。
明确每个具体步骤的操作内容。
明确每个步骤的输入和输出文档。
明确流程的控制点。
(3)、绘制流程图的步骤
1)部门负责人及职员访谈
通过对部门负责人及职员的访谈,详细了解每个三级流程的具体操作步骤、
每个步骤的操作方法及注意事项等,访谈中特别要关注和识别流程中的控制点,
例如某审核步骤、审批步骤,要在访谈中充分了解这些控制点的审核关注内容、
审批关注内容等。
2)收集该流程输入和输出的穿行测试资料及相关制度
通过分析了解该流程中输入和输出的穿行测试资料及制度,可以辅助绘制流程图。
(穿行测试:跟单作业,选择两个样本,检查其在流程起点到终点期间,是否满
足设计的流程的所有要求,形成控制文档或控制痕迹)
3)用 PB建模软件绘制流程图
PB常见流程图符号的含义如表 3所示。
表 3PB软件流程图符号对照表
符号 操作名称 简介说明
选择 选择状态。
开始 流程开始的准备工作。
进程
流程中具体步骤。框中数字为步骤编号,文字为步
骤名称。
虚线组合框 流程中同时进行的步骤。
连线 流程节点间的连接。
判定
条件判断。框中编写判定条件。表示对上一步骤进
行判定,根据判定结果,下一步骤将分为两条支线。
子流程 表示流程与流程之间的关联关系;流程中出现子流
程,理解为流程的输入或输出。
文档 流程输入、输出等相关的文件。
文字 在连线上加入说明文字。
结束符 表示流程结束。
控制点 表示该步骤为控制点,框中数字为控制点编号。
流程图例:
(4).流程图绘制的要求
(5)、绘制流程图的注意事项
1)流程中的控制点识别方法:假设去掉这个流程步骤,若该流程仍能完整
的进行下去,则该步骤为控制点;若该流程到此卡住无法再进行下去,则该步骤
不是控制点,仅为一般步骤。例如某个流程中存在几个审核、审批步骤,去掉某
一个或某几个审核、审批步骤,该流程都能继续进行下去,但会存在风险隐患,
因此,这类审核、审批步骤就是控制点。
2)很多流程中的最后一个步骤往往是资料归档、文案归档之类,这也是控制
点,属于事后控制,在流程文档编制过程中容易被遗漏。
2、流程描述编制
流程描述是对流程图的一个补充,其明确阐述了业务流程的各个操作环节和
控制点,能够对流程设计的有效性进行整体评估,能够进行测试以验证流程执行
的有效性。流程描述主要包括流程目标,适用范围、相关政策和制度、责任岗位
/人员、流程步骤以及描述、控制点等点、线、面、体的结构,详细说明了业务
流程的各个步骤、控制点、输入输出文档等,并明确各个岗位的职责范围,以确
保业务操作的规范。它提供了详细明确的操作信息、流程关注点,并规定了不同
节点的操作标准和规范。流程图和流程描述反应了公司目前的经营管理现状,帮
助公司建立业务规范手册,并帮助员工熟悉业务,有利于管理知识和管理经验的
积累沉淀。
流程描述模板:
(1)流程描述基本要求
对步骤、控制、文档、控制缺陷编号
步骤明确到具体部门岗位及对应的文档
要有流程的转入、转出、流程结束等
(2)流程描述方法
用规范化的语言对流程中的各步骤进行描述:1)谁;2)什么时候;3)什么
事 4)怎样;5)频率。
(3)、流程描述文档的填列
流程描述文档包括编号、流程步骤、责任岗位、适用政策与制度、流程步骤
描述、输出文档。
1) 编号、流程步骤、责任岗位,从流程图中直接获取。
2) 适用的政策与制度:仅填编号,并且对应流程各步骤点对点标识。
3) 流程步骤描述:
如有制度,则对制度进行描述,“什么时间什么部门印发了什么制度
(文件编号),该制度规定了什么,制度经 xx审核,xx审批执行”
如有判断,则对判断进行描述,“如果。。。。,则转至本流程步骤 SXX,
否则转至步骤 SXX”,注意转回的承接性,如“转自本流程步骤 SXX”,“转
自 XXXX流程”。
如有控制,引述流程图控制编号并对控制进行描述,如“XX审
核。。。。。主要关注。。。。。。审核同意后签字确认”。
4)输出文档只要本步骤新输出或在原文档基础上输出地文档都要在相应步骤中
列示,但编号使用首次输出的步骤编号。
(4).三级业务流程编号规则
三级业务流程文档编码对照表
序号 三级流程编号 英文全称 缩写
1 步骤 Step S
2 控制目标 Target T
3 风险 risk R
4 控制措施 Control C
5 缺陷 gap G
6 现行制度 Activeregulation AR
7 输出文档 Exportfile EF
例如:
步骤(Step)大写字母“S”表示;标记出流程中的控制点(Control)步骤,用
大写英文字母“C”表示。
步骤 1为一般流程步骤,标记为【S01】,步骤 04为第 1个控制点步骤,标记为
【S04】【C01】;步骤 05为第 2个控制点步骤,标记为【S05】【C02】。
(5)流程描述注意事项
流程描述需要详细说明业务流程的步骤
使用简练的陈述句进行描述
流程描述中避免使用感情色彩副词,可能性副词等,比如“非常”“可
能”“应该”等文字。
保持流程描述前后的一致性及连贯性。
3、风险控制矩阵文档的编制
风险控制矩阵(RCM)是在确定流程控制目标的基础上将流程中涉及到的风险
和对应的控制措施进行汇总,从中发现控制缺陷并提出改进建议的一种矩阵表格。
风险控制矩阵以三级业务流程为基础,通过表格形式完整体现控制目标、风险、
控制措施、发现描述以及建议。它不仅仅是一张表单,更是一个工具,一种方法,
一套机制,更为业务操作人员以及管理人员发现流程层面的缺陷、评价控制的有
效性提供了清晰明了的思路。相关人员可以通过风险控制矩阵中涵盖的三级业务
流程对应的主要目标、风险和控制措施,同时根据访谈纪要、公司规章制度、穿
行测试、行业标准等判断流程的设计有效性和执行有效性,提出发现并给予相关
的改进建议。
风险控制矩阵用于明确每个流程的具体控制目标,并确认、记录每个流程及
每个步骤中存在的风险和已建立的控制。公司应通过风险控制矩阵进行差异分析,
查找现有控制的差距和不足,然后补充和完善现有控制措施,以达到防范风险的
目的;同时,为进一步补充、修订制度提供依据。
目
标
编
号
控制
目标
风
险
编
号
风险描述
控制
措施
编号
控制
措施
缺
陷
编
号
缺陷
描述
建议
(1)、风险控制矩阵的填列
风险控制矩阵包括目标编号、控制目标、风险编号、风险描述、控制措施编号、
控制措施、缺陷编号、缺陷描述、建议。
1)目标编号:T是 target(目标)的简写,T01表示本流程中的第一个控制
目标,T02表示本流程中的第二个控制目标,以此类推。
2)控制目标:控制目标的细分要结构合理;制度的建立与完善可以作为一个
流程的首个控制目标;控制目标与风险描述的关系。
3)风险编号:R是 risk(风险)的简写,R01表示本流程中的第一个风险点,
R02表示本流程中的第二个风险点,以此类推。
4)风险描述:风险描述中所提及的风险,是指流程中影响目标的潜在因素或
不确定性,要与控制目标相关联,考虑全面,重点突出。
流程中的风险识别方法:以流程控制目标为出发点,从流程步骤走向进行风
险思考,结合控制点识别出风险点。对流程中的风险点识别,需要有一定的风险
管理基础知识、足够敏锐的风险意识,然后将识别的风险描述出来。
5)控制措施编号:C是“Control”(控制)的简写,C01表示本流程中的第
一个控制点,C02表示本流程中的第二个控制点,以此类推。在本过程中需要特
别注意以下几点:1)风险点与控制点不是一一对应的,一个风险点可能只对应
一个控制点,也可能对应多个控制点。2)编制风险控制矩阵文档的过程中,应
先识别风险点,后识别控制点,这是为了能够不遗漏的识别出流程中的控制缺陷。
6)控制措施:对应风险,引自流程描述。控制措施为公司现在已经制定的一
系列控制活动,是保证管理层的指令得到实施的政策和程序,主要包括授权审批、
验证调节、业绩复核、资产保全、职责分工、签字确认、盖章、台账更新和文档
保存等。
7)缺陷编号:G是 Gap(缺陷)的简写,G01表示本流程中的第一个缺陷,G02
表示本流程中的第二个缺陷,以此类推。
8)缺陷描述:流程缺陷指的是在流程中存在的控制缺失、控制不足或控制过
多、控制无效、控制不合理、控制错误等现象,以及流程自身存在的问题,包括
流程步骤不合理、权责界定不清、流程与战略不匹配、不一致等缺陷,需要进行
流程优化甚至流程重组。
若某一风险点没有任何控制点与之对应,即该风险点没有得到控制,因此该流程
中存在控制缺陷,需要对流程进行优化甚至重组,确保每个风险点都有相应的控
制点与之对应;或者改进控制点的控制措施,确保每个控制点都能有效的控制对
应的风险点。对该风险发生后造成的影响进行描述,注意要突出造成的不利影响。
9)建议:对于识别出来的控制缺陷,要有针对性的提出改进建议,对于不能
即时整改的,应尽可能注意优化时点。
4、风险数据库的编制
风险数据库是在风险控制矩阵完成的基础上,集合相应业务流程中的主要风
险,进行风险类别对应,同时从风险发生的可能性和影响程度两个维度,进行风
险评估,确立风险等级(发生可能性 X影响程度),并结合客户风险偏好程度,
判别业务流程的重大风险以及对应的关键控制点。
业务流程层面风险管理数据库的模板如表所示:
风险类别
风险编号
风险
描述
战
略
风
险
经
营
风
险
报
告
风
险
合
规
风
险
资
产
安
全
风
险
发生可
能性
(1-5)
影响程
度(1-5)
风险
等级
对应控
制编号
R01 C01
R02 C02
……
(1)、风险数据库的填列
风险数据库包括风险编号、风险描述、风险类别、风险等级、和对应控制编号。
1)风险编号:引用风险控制矩阵中对应的风险编号。
2)风险描述:引用风险控制矩阵中所识别出的风险。
3)风险类别:按照五大类风险可划分为战略风险、经营风险、报告风险、合
规风险、资产安全风险。这里要注意的是:一个风险点它可能是单一的某一类风
险,也可能是两类以上风险。
4)风险等级:风险等级的划分依靠两个维度来判定,即风险发生可能性和风
险发生影响程度打分的乘积。风险发生可能性分为极低、较低、中等、较高、极
高五个等级;风险发生影响程度分为轻微、较低、中等、重大、灾难性五个等级。
关于风险发生可能性,要根据集团所在行业及自身经营情况来判定,可参照“表
1风险发生可能性评分标准”。
关于风险发生造成影响,要根据该风险内容,结合集团所在行业及自身经营情况
来判定,可参照“表 2风险影响程度评分标准”。
注意:对不同种类风险的风险发生可能性及影响程度的判定因素,应结合企业实
际情况制定不同的标准。
让流程中相关部门人员对以上两个维度进行打分并取平均值,然后根据图 4判定
风险等级。
若评定结果落在红色区域,则为重大风险。
若评定结果落在黄色区域,则为中等风险。
若评定结果落在绿色区域,则为安全风险。
图 4风险等级划分示意图
表 1风险发生可能性评分标准(示例)
评分 1 2 3 4 5
标准 极低 低 中等 高 极高
定性标准 一般情况下
不会发生
极少情况下
才发生
某些情况下
发生
较多情况下
发生
经常发生
定量标准
(举例)
今后 10年
内发生的可
能性少于 1
次
今后 5-10
年可能发生
1次
今后 2-5年
内可能发生
1次
今后 1年内
可能发生 1
次
今后 1年内
至少发生 1
次
表 2风险影响程度评分标准(示例)
评分 1 2 3 4 5
标准 极轻微的 轻微的 中等的 重大的 灾难性的
举例
财务损失 轻微 较低 中等 重大 极大
企业日常运
行影响
不受影响 轻度影响
(造成轻微
人身伤害情
况立刻收到
控制)
中度影响
(造成一定
人身伤害,
需要医疗救
援,情况需
要外部支持
才能得到控
制)
严重影响
(企业失去
一些业务能
力,造成严
重人身伤害,
情况失控但
无致命影响)
重大影响
(重大业务
失误,造成
重大人身伤
亡,情况失
控,给企业
造成致命影
响)
5)对应控制编号。引自风险控制矩阵的“控制措施编号”。
5、控制文档的编制
控制文档根据风险控制矩阵和风险数据库内容识别流程活动中的一般流程步骤、
一般控制和关键控制,并明确其控制类型、控制方式、控制频率,并对应到活动
实施证据和责任部门、责任岗位,为内部控制评价提供合理依据。
业务流程层面控制数据库的模板如表所示:
流程步骤
描述
步骤
编号
流程
步骤
流程
步骤
类型
控制
措施
编号
控
制
措
施
权
重
控制类
型(事
前/事
中/事
后)
控制
方式
控制频
率(随
时/日/
月/季/
年)
实
施
证
据
责
任
部
门
责
任
岗
位
责
任
人
控制文档的内容包括:步骤编号、流程步骤、流程步骤类型、控制措施编号、控
制措施、权重、控制类型、控制方式、控制频率、实施证据、责任部门、责任岗
位及责任人。
(1)步骤编号、流程步骤:引自流程描述
(2)流程步骤类型:分为三类:一般流程步骤、一般控制、关键控制。未被识
别为控制点的步骤都属于“一般流程步骤”;对于识别的控制点,经过在风险数
据库文档中对风险等级的计算,经过咨询公司长期经验的积累,我们认为风险等
级>8分以上为“关键控制”,≤8分为“一般控制”。要注意的是,对于关键控
制点,在实际操作过程中应特别加以标识,这是为了便于在后续建立全面风险管
理信息系统时,对关键控制点设置流程关卡以防范重大风险。
(3)控制措施编号及控制措施:引自风险控制矩阵。
(4)权重:在风险数据库中计算各项风险等级分值,然后在风险控制矩阵中找
到各风险对应的控制措施,如果 R01对应 C01,则 C01的权重为 R01的等级分值占
全部等级分值的比;如果 R01同时对应 C01和 C02,则 C01和 C02均取 R01的值;
如果 C01即对应 R01,又对应 R02,则 C01的分值为 R01+R02,最后权重为各控制
点分值占总控制点分值的比。
(5)实施证据:即流程中的输入和输出文档。
6、缺陷跟踪报告的编制
缺陷与跟踪报告集中列示风险控制矩阵中识别的缺陷和提出的改进建议,并
根据控制文档内容对应到相应的责任人。各责任人可根据缺陷内容描述做出是否
符合实际情况的说明,如不符合则出示不符合的证据;对于确认的缺陷,责任人
做出是否采纳改进建议的说明,如不采纳则说明不采纳的原因。
流程控制缺陷数据库模板所示。
编号
缺
陷
建
议
责
任
人
缺陷是否
符合实际
情况(是/
否)
不符
合的
依据
是否
采纳
建议
不采
纳的
依据
反
馈
时
间
反
馈
结
果
尚
需
工
作
G01
G02
根据流程文档的内容分别填写该流程的缺陷编号、缺陷描述、建议、和流程
责任人;该责任人的上级领导对该控制缺陷进行评估,在“缺陷是否符合实际情
况”中填“是”或“否”,如填“否”,在“不符合的依据”处描述不符合的依据。
在“是否采纳建议”处填“是”或“否”,如填“否”,在“不采纳的依据”处描
述不采纳该建议的依据,并以此填写“反馈时间”、“反馈结果”及“尚需工
作”。
公司应根据本数据库中的缺陷及建议,积极探索流程优化、改进控制措施、
流程步骤或流程执行的具体操作方法,同时应合理把握控制力度及流程效率的平
衡,在风险可控的前提下尽力提高流程运行效率。
五、内控建设项目最终形成的报告
1、内部控制手册(包含体系框架分册、内部环境分册、风险评估分册、控
制活动分册、信息与沟通分册、内部监督分册)
通过前期对公司战略目标、企业文化及各业务流程的了解,为合理保障公司
发展战略目标的实现,编制形成《XX公司内部控制手册》。
内部控制手册的内容涵盖了内部控制体系的各个要素和环节,对公司建立和
运行内部控制体系提出了一套完整的方法论和指导原则,针对风险识别、风险评
估、风险控制、内部控制评价等基础工作,制定了具体的操作指引和工作模版。
内部控制手册包含六个分册:
(1)《体系框架分册》
主要描述内部控制体系组织结构与职责,全面阐述内部控制体系的建设目标,
并以财政部等五部委《企业内部控制基本规范》为指引,参考《企业内部控制配
套指引》,从内部环境、风险评估、控制活动、信息与沟通和内部监督五个方面
对内控关注要点及相应措施进行了较为全面、系统的阐述;
(2)《内部环境分册》
主要描述内部环境的概念,从治理结构、机构设置与权责分配、内部审计、
人力资源政策、企业文化五个方面对内部环境各要素关注要点、控制措施进行阐
述;
(3)《风险评估分册》
主要描述风险和风险评估的基本概念,从风险评估原则、基本程序、公司层
面风险评估及应对、流程层面风险评估及应对四个方面对风险评估关注要点及相
应措施进行阐述,并汇编公司层面和流程层面风险评估的相关成果及文档;
(4)《控制活动分册》
主要描述控制活动的概念及分类,从控制活动实施、控制活动有效性评价和
权限指引三个方面对控制活动的关注要点及相应措施进行阐述,并汇编控制活动
的相关文档及资料;
(5)《信息与沟通分册》
主要描述信息与沟通的概念及要素,从信息采集、信息沟通、信息系统、反
舞弊机制以及内部控制与全面风险管理信息平台五个方面对内控关注要点及相
应措施进行了阐述,并汇编了关键控制信息;
(6)《内部监督分册》
主要描述内部监督的概念及要素,并从日常监督、专项监督、缺陷跟踪和内
部控制评价四个方面对内控关注要点及相应措施进行了阐述,并汇编了相关模板。
以上六本手册相对自成一体,并与公司企业文化和制度体系相辅相成,共同
构成了支撑公司有效运营的内控与风险管理体系(见附件一)。
2、管理建议书(包含各业务模块的管理建议)
通过应用德尔菲调研等方法对公司层面的的风险进行识别和评估,针对识别出
来的公司层面十大风险要提出应对措施及通过业务流程的梳理,针对识别出来的
业务流程层面的缺陷,提出改进的管理建议,最终形成《XX公司管理建议书》(见
附件二)。
3、业务流程体系文件
通过对业务流程的梳理,最终将所有业务流程形成的 5个文档(流程图、流程描
述、风险控制矩阵、风险数据库、控制文档)进行汇编。
4、全面风险管理报告
全面风险管理是企业内部控制体系建设的重要组成部分,是内部控制的主要目标,
根据国资委及中国中铁的要求,各单位要充分考虑企业内外部影响因素的变化,
结合企业业务的实际,定期不定期开展公司层面和流程层面的风险识别、评价和
控制工作,于每年年底编报《XX公司企业全面风险管理报告》,实现重大、重要
风险与业务流程的全面对接,确保重大、重要风险的全流程控制公司(见附件
三)。
5、编制《权限指引表》
权限指引是集团全面风险管理与内控体系的重要组成部分,具体描述了企业
授权制度是如何构成、应用和监控,企业内各级批准权限是如何界定的。企业应
当设置科学、明确的权限指引表,明确各项重大决策、经营活动的审批权限,确
保决策的科学性以及经营的效果和效率(见模板)。
编
号
一
级
流
程
二
级
流
程
三
级
流
程
责
任
部
门
部
门
业
务
主
管
部门
(单位)
业务主
管领导
职能
部门
部长
/车
间主
任
公司
业务
分管
领导
总
经
理
总
经
理
办
公
会
党
委
会
董
事
长
董
事
会
备
注