《内控成果编制方法介绍.ppt》由会员分享,可在线阅读,更多相关《内控成果编制方法介绍.ppt(39页珍藏版)》请在三一办公上搜索。
1、内控成果编制方法介绍,目录,内部控制体系概览内部控制成果具体编写说明,2,内部控制体系概览,3,根据青岛港的控制环境类流程、控制手段类流程、控制活动类流程以及10家试点分、子公司的核心业务流程,目前内控体系中将青岛港集团的业务共划分为24个一级流程。其中除生产经营管理、生产管理(核心业务流程)外,其他二十二个流程为通用性业务流程。,青岛港内控体系整体架构流程划分,青岛港内控体系文件介绍,内控体系文件是指对业务操作流程的控制要求描述:要清晰的表达每一个动作的操作要求基于内控的体系文件是基于风险和控制要求的操作性描述:重点要突出控制措施对风险的管理作用,风险清单,流程图,内控手册,好的内控体系文件
2、应该包括以下内容,根据各业务流程的控制目标,影响目标实现存在的风险,梳理并完善风险管理控制措施,通过控制措施的详细表述明确各操作环节的规范要求,企业业务操作程序的图化呈现,指导各岗位人员进行具体的业务操作,对各业务流程存在的固有风险的全面识别,对各风险事件的属性的说明、企业风险管理策略的选择,成果矩阵,成果示例风险清单,识别风险的各项要素:公司哪些流程存在风险?存在哪些风险?风险的严重程度如何?风险的责任部门和责任岗位?目的是全面识别和分析各项风险,并落实每项风险的防控责任落实到人。,成果示例流程图,流程图的主要作用:建立对业务流程和控制活动全局观的保证提纲挈领的记录文件梳理目前业务流程的基础
3、工具,成果示例成果矩阵,成果矩阵的主要作用:针对每项具体风险提出针对性的控制措施;将各项风险控制措施与目前企业的管理制度进行对标,根据风险控制文档的内容对制度中涉及风险防控的内容进行更新。,现阶段各单位内控成果编制要求,集团内部控制体系正式文件包括:内控手册、风险清单。集团内部控制体系过程文件包括:流程图、成果矩阵。其中内控手册中的流程图即为过程文件的流程图,二者对应一致;内控手册中的控制矩阵即为成果矩阵中的内容,二者对应一致。各单位本阶段内控体系文件编制要求:本阶段完成风险清单、流程图和成果矩阵的编制工作 其中,风险清单需各单位参考集团对应流程的风险进行重新识别;流程图可在纸张上手画完成,为
4、非正式文件;成果矩阵通过与集团相应业务流程对标并经过适当增减完成。流程划分中P09、P10为生产经营管理、生产管理流程,为各单位核心业务流程,需各单位自行编制,对应的试点单位的该业务流程仅供参考。其他22个业务流程可与集团进行对标。,内部控制成果具体编写说明,10,内控体系确定业务流程划分,根据集团业务流程划分进行对标,确定本单位业务流程划分,确定各业务流程内控成果编制的部门/岗位,业务事项相同?参考集团该部分业务流程划分业务事项存在差异?根据集团业务流程划分进行调整本单位特有业务?根据本单位实际情况进行本单位流程划分,形成本单位内部控制体系框架,明确内控体系文件编制工作的职责分工,内控成果了
5、解,1、通览本业务流程的流程概览(内控手册word文档),了解该业务流程的流程框架;,2、通览本业务流程的流程图(流程图pdf文件),了解该业务流程业务操作模式、操作程序;,3、通读该业务流程的成果矩阵(excel文件),了解集团操作程序和在该业务流程对下属各单位的管控要求。,内控成果概述,风险与流程匹配后,对流程进行梳理,为满足以上要求,需做以下准备,流程图及流程描述,成果矩阵(EXCEL),流程中各业务事项是如何发生、授权、执行、记录与监督的信息传递的渠道、范围,针对各业务流程风险:企业现有控制措施有哪些(制度规范要求、流程描述)企业目前尚未明确或缺失的控制措施,内控成果编制步骤,步骤一:
6、编制“流程图”根据流程内容、企业操作程序绘制流程图。步骤二:准备“流程描述”明确流程图中的各个控制环节具体执行的步骤步骤三:核对“流程图”/“流程描述”,改进记录文件。步骤四:编制“成果矩阵”对标集团成果矩阵内容 对标内容与流程图核对,补充完善控制措施,风险,流程中可能发生的错误数据输入可能发生遗漏交易未受到相应级别管理层的授权审批 数据输入可能在未经授权的情况下被更改,内控成果编制步骤,流程图与成果矩阵形成相互印证的文件,流程图刻画业务流程梳理,在熟悉集团业务流程的操作模式和要求后,根据本单位实际操作程序,编制刻画本单位业务流程图(可依据集团流程图格式在纸张上画本单位流程图。流程图刻画要求:
7、操作顺序:从左到右,从上到下。由各业务事项的牵头部门开始,涉及到的部门/单位从左到右依次排列。明确流程中每个环节的操作岗位。流程各操作环节涉及表单文档明确。通过梳理刻画流程图,明确不同单位/部门在流程中的职责分工、权责分配,对业务操作模式予以固化。,流程描述三级节点确定,根据集团内控体系框架制定业务一级流程,与集团二级流程进行对标,明确本单位二级流程划分,根据本单位业务管理模式,确定该二级流程的各操作环节,即三级节点(集团内控手册中的流程概览的三级节点可参考),三级节点细化,形成各操作步骤,对操作步骤进行详细描述,第一层,第二层,第三层,第四层,示例,内控体系建设阶段,各业务流程梳理阶段,成果
8、矩阵定义,成果矩阵就是将流程中所涉及的风险和对应的内部控制措施进行汇总,对缺失的控制环节予以补充完善,最终形成企业健全完整的控制程序的一种矩阵表格。,成果矩阵对标,成果矩阵对标内容,成果矩阵对标,控制措施对标要求:集团原则性的要求,可依照集团要求填写集团操作性的要求,根据本单位流程图中的操作程序填写编制操作内容与集团进行对接的,写到与集团对接部门即可,成果矩阵对标,控制措施对标要求:与集团所有控制措施进行对标,完成本单位成果矩阵的控制措施描述。集团矩阵中可与本单位进行对标的,则进行对标修改;集团矩阵中的控制措施不适用本单位的,则注明不适用。,成果矩阵对标,控制措施对标要求:与集团所有控制措施对
9、标完成后,拿对标的控制措施与本单位流程图进行核对。流程图中有,但对标矩阵缺失的,则在excel表中插入行,对缺失的控制措施予以补充完善。,插入行:对比本单位刻画的流程图,增加的控制措施,成果矩阵对标,责任部门/岗位对标要求:每条控制措施需明确控制措施的责任部门、责任岗位,牵涉到多个部门、岗位的,全部填写上,依照部门、岗位的重要性程度依次列示。,明确控制措施的责任部门,明确控制措施的责任岗位,成果矩阵对标,控制频率、控制活动性质对标要求:控制频率:控制措施每年平均发生的频率,根据本单位实际情况进行认定控制活动性质:手工控制/信息系统自动化控制;事前预防性控制/事后检查性控制。,成果矩阵对标,成果
10、矩阵编制要求:对应制度即控制措施要求是否在公司制度规范文件中有相应要求,如有,填上制度名称;涉及文档即该条控制措施操作时留下的操作痕迹(表单),可以是书面的也可以是电子版的,也可以是信息系统某个操作界面。,空缺时,需对制度进行补充完善,明确表单名称,成果矩阵控制措施写作方法,写作要素:,成果矩阵控制措施写作方法,写作要素:,五个要点(4W1H)谁?(who)控制措施的执行者什么时候?(when)控制措施的执行时间做什么?(what)控制措施产生的结果怎么做?(how)控制措施过程的具体描述为什么?(why)控制措施的具体目标和作用“事无巨细”用简单句用统一的语言名称和称谓,成果矩阵控制措施写作
11、方法,成果矩阵控制措施写作方法,成果矩阵编号规则,1、控制目标编号:如资产管理中的一个控制目标编号CO13.01-02:其中CO表示控制目标,13表示资产管理的一级流程编号,01表示集团总部代码,02表示该目标为本流程第二个目标。集团内控体系控制目标已梳理完毕,各单位仅需修改控制目标编号的公司代码部分。如某单位的公司代码为16,则对标时,即可修改为CO13.16-02,2、对应风险事件编号:如资产管理中的一个风险事件编号:其中R表示风险,13表示资产管理的一级流程编号,01表示集团总部代码,第二个01表示资产管理流程中的第一个二级流程,07表示该流程的第7个风险事件。每个业务流程风险事件识别完
12、毕后,对风险事件末尾部分进行流水编号,并修改风险事件编号的公司代码部分。如某单位的公司代码为16,则对标时,即可修改为R13.16.01-07,3、控制措施编号:如资产管理中的一个控制措施编号:其中CA表示控制措施,13表示资产管理的一级流程编号,01表示集团总部代码,第二个01表示资产管理流程中的第一个二级流程,07表示该流程的第7个控制措施。在每一个二级业务流程,从第一条到最后一条控制措施,编号前半部分相同,最后一部分流水号编制。,风险清单-风险定义,RISK 风险,目标,企业经营,风险,指未来的不确定性对企业实现其经营目标的影响。-国资委中央企业全面风险管理指引 其中,目标可以有不同的方
13、面,例如:财务、健康和安全、以及环境目标。目标同时可以适用于不同的层面,例如:战略、整个组织、项目、产品和过程。影响是企业日常经营过程中因不确定性因素导致实际后果与预期结果的偏离(积极和/或消极),风险清单-风险评估主体,由企业(内部控制建设牵头部门)组织有关职能部门和业务单位实施公司级层面,高级管理层应该参与评估活动。部门级层面,部门管理层和关键流程责任人应该参加评估活动。在有些情况下,对独特的业务风险有独特了解的人应该参与评估工作。在其他情况下,董事会可能也需要参与。,风险评估一定要全员参与,风险清单-风险管理逻辑,风险清单-风险辨识,风险辨识是指查找企业各业务单元、各项重要经营活动及其重
14、要业务流程中有无风险,有哪些风险。风险辨识的思路:本部门涉及到哪些重要流程?这些流程有哪些关键目标?影响这些关键目标实现的因素有哪些?,风险清单-风险辨识示例,合法性合规性合理性真实性完整性有效性效率性准确性及时性保密性,风险清单-风险分析,判断风险产生的:-原因-后果-触发条件,示例:未对人力资源规划的执行情况进行定期评估,难以持续了解人力资源相关工作,可能导致难以根据实际情况进行恰当调整,影响战略目标的实现及日常运营。,触发条件,原因,后果,风险清单-风险频率与损失的认定,风险发生频率定义,风险发生时造成的损失,仅供参考,各单位需根据风险承受能力制定本单位的风险损失认定标准,风险等级=风险频率*风险损失,*具体风险等级认定可参考各业务流程内控成果风险清单中风险级别认定标准表格,风险属性类别认定,风险责任部门:风险发生的主要责任部门,具体定义参考附件,风险管理策略选择,风险管理策略可以分为风险承受、风险规避、风险分担、风险降低,