����
從滿足不同內部控制監管要求出發,基于多年的內部控制的研究和行業積累,為上市公司、國有企業、大中型企業的內部控制過程提供專業的咨詢服務。通過評估企業公司層面和流程層面的內部控制和風險管理,識別管控無效、管控不足和管控冗余的環節,梳理現有流程和對應制度,為企業搭建和優化基于風險管理的內部控制體系。
風險與內控體系建設工作思路由三部分組成,分別為準備及啟動階段、體系建立階段和運行與改進階段。
1、準備及啟動階段
建立內控體系組織體系;編寫內部控制實施方案;召開內部控制體系建設動員會。
2、體系建立階段
���
梳理各項業務流程;開展規范對標,編制缺陷清單;建立風險數據庫,繪制風險地圖;將風險數據庫與流程(或制度)清單進行匹配;制定或優化業務流程圖;編制風險控制矩陣;制定或修訂相關管理制度,編制業務工作權限指引表;編制內部控制手冊;編制內部控制自評價報告、全面風險管理報告。
3、運行與改進階段
���
持續開展內控檢查與評價,對發現的缺陷持續改進,更新內部控制手冊、制度與流程;逐步實現內部控制信息化。
風險與內控體系建設具體實施過程
�����
1、梳理業務流程,搭建流程框架體系搭建流程框架的首要因素就是識別流程,美國哈默博士提出的定義為:流程是一組能夠為客戶創造價值的相關聯的活動過程。流程的分類可以根據不同的原則進行,美國生產力質量協會(APQC)提出流程分類框架,將流程分為運營流程與管理和支持流程兩類。
梳理流程的一般步驟:
1)對各部門主管和骨干、流程專管人員進行流程概念培訓;
2)各部門組織,識別部門負債或參與的流程;
3)各部門主管確認,提交流程專管人員;
4)流程專管人員整合清理;
5)合理劃分出流程清單的章、節、流程名和編號;
6)形成流程清單。
������
2、開展規范對標,編制缺陷清單按照梳理的各項業務活動,清理現有管理制度中的控制措施,逐一核對《企業內部控制基本規范》及其配套指引、《中央企業全面風險管理指引》以及上級單位的相關管理要求,編制對標缺陷清單。
������
3、建立風險數據庫,繪制風險地圖結合缺陷清單,分析查找各項業務活動存在的主要風險,按照風險發生的可能性和影響程度對風險進行評估,編制風險數據庫。根據風險發生的可能性和影響程度,繪制風險地圖,并對全院各類風險按照風險等級進行排序。
評估影響程度時,將從影響日常運營、影響企業聲譽、造成財務報告的錯誤、引起經濟責任、發生違規等多個角度綜合考慮,將影響分為“極輕微”至“災難性的”五級,分別對應1至5分的數值。評估發生可能性時,綜合運用損失發生次數、發生概率等方法,將風險發生可能性分為“極低”到“極高”五個等級,分別對應1至5分的數值。風險
等級= = 影響程度* *
�����
4、將風險數據庫與流程清單進行匹配將流程清單與風險數據庫進行匹配,以便明確某個風險體現在哪個流程中,某個流程中有哪些風險。這個匹配首先在風險類別層面進行,為下一步全面識別具體風險點與流程中的控制點的匹配打下基礎。
5、制定或優化業務流程結合風險和控制措施,制定或者優化業務流程圖,降低或避免風險。
�������
6、制定風險控制矩陣根據風險數據庫,基于業務流程圖確定業務活動的關鍵控制點,制定關鍵控制點的具體控制措施,建立風險控制矩陣(包括企業級、項目級、流程級)
������
7、制定或修訂相關管理制度,編制權限指引表編制內部控制與風險管理相關管理制度,如內控管理辦法,內控評價管理辦法、內控監督管理辦法,全面風險管理辦法等。基于業務流程圖編制業務活動權限指引表,明確各項業務參與者的工作分工和執行權限,進一步明確內控與風險工作權責分配關系。
��
8、編制內部控制手冊制定公司內部控制手冊,包括內部環境手冊、風險評估手冊、控制活動手冊、信息與溝通手冊和內部監督手冊,作為內部控制體系建設、運行、維護、評價的依據,確保全公司從思想和行為上對內部控制體系保持高度統一。
������
9、開展內部控制與風險管理監督檢查與評價監督檢查 與評價
包括內部環境、風險評估、控制活動、信息與溝通、內部監督等五大方面。監督檢查方式包括審計、監察、內審/ / 外審、管理評審等方式。
編制 《 內部控制自評價報告 》 ,報告的主要內容:
�����
——內部控制報告真實性的聲明,評價工作的總體情況,評價依據,評價的范圍,評價的程序和方法,內部控制缺陷及其認定,、整改情況,內部控制有效性的結論。
編制 《 全面風險管理 報告 》 ,報告的主要內容:
������
——年度企業內部控制管理工作回顧,年度企業風險評估情況,年度內部控制管理工作安排,有關意見和建議
結語:做好全面風險管理是現今時代背景下的重要工作內容,也是應對未來挑戰的有力保障。
