立信锐思
上市公司内控体系建设
工作思路与实施方案
上市公司内控体系建设
实施方案与工作思路
立信锐思咨询
2011年2月
上市公司内控体系建设实施方案与工作思路
第3页
上市公司内控体系建设实施方案与工作思路
一、内部控制法规解读
中国内部控制法规介绍
企业如何应对内控法规
二、企业内部控制体系的建立:工作思路与实施方案
三、关于我们
上市公司内控体系建设实施方案与工作思路
第4页
中国内部控制相关法规的发展历程
9700030609980104079902050810
6月5日,上海证券交易所出台《上海
证券交易所上市公司内部控制指引》
6月6日,国务院国有资产监督管理委
员会“关于印发《中央企业全面风险
管理指引》的通知”
9月28日,深圳证券交易所出台关于
发布《上市公司内部控制指引》的通
知
2008年6月28日,财政部、证监
会、审计署、银监会、保监会联
合召开企业内部控制基本规范发
布会、发布了《企业内部控制基
本规范》以及配套规范的征求意
见稿
2009年1月,陆续发布了《企业内
部控制应用指引》的数个更新稿
3月3日,财政部发布关于印发《企
业内部控制规范——基本规范》和17
项具体规范(征求意见稿)的通知
6月5日,中共中央办公厅、国务
院办公厅印发了《关于进一步推
进国有企业贯彻落实“三重一大”
决策制度的意见》
4月26日,财政部、证监会、审
计署、银监会、保监会联合发布
了《企业内部控制配套指引》。
该配套指引包括18项《企业内部
控制应用指引》、《企业内部控
制评价指引》和《企业内部控制
审计指引》,标志着我国企业内
部控制规范体系基本建成
上市公司内控体系建设实施方案与工作思路
第5页
中国风险管理与内控法规概览
《应用指引》具体提出18个具体流程的应用指引。
在每个具体流程中规定了该指引的目的,相关定
义,该流程的主要风险,岗位分工及授权批准,
及主要流程的控制程序。
《评价指引》具体规范了内控评价的内容和标准,
评价的程序和方法,内控缺陷的认定,以及规定
了评价报告的相关内容。
《审计指引》指导注册会计师执行内控审计业务。
企业内部控制基本规范
企业内部控制应用指引
企业内部控制评价指引
企业内部控制审计指引
上市公司内控指引
?上交所内控指引
?深交所内控指引
行业内控指引
?商业银行内控指引
?证券公司内控指引
?保险公司内部控制基本准则
行业监管机构
财政部等五部委出台的《企业内部控制基本规
范》,为企业提供了完整和公认的内部控制框架,
同时以法规的形式要求上市公司对本公司内部控
制的有效性进行自我评价。
证交所出台了一系列的内部控制指引,为上市公
司建立和实施内部控制制度提供指引。
证券交易所
中央企业全面风险管理指引
国资委
财政部等五部委
国资委出台的指引强调对风险的识别、分析、评
估、防控和监督,为企业防控风险,建立控制体
系提供指引。
上市公司内控体系建设实施方案与工作思路
第6页
内部控制的定义
内部控制,是由企业董事会、监事会、经理
层和全体员工实施的、旨在实现控制目标的
过程。
内部控制的目标是合理保证企业经营管理合
法合规、资产安全、财务报告及相关信息真
实完整,提高经营效率和效果,促进企业实
现发展战略。
----《企业内部控制基本规范》2008
注册会计师应当对财务报告内部控制的有效性发表
审计意见,并对内部控制审计过程中注意到的非财
务报告内部控制的重大缺陷,在内部控制审计报告
中增加“非财务报告内部控制重大缺陷描述段”予
以披露。
----《企业内部控制审计指引》2010
上市公司内控体系建设实施方案与工作思路
第7页
五部委内控体系:基本思路、原则和目标
全
体
员
工
管
理
层
治
理
层
信息沟通
控制活动
风险评估
内部环境
内部监督
企业建立与实施有效的
内控,应当包括五项要
素
内部控制应由企业董事会、监事会、
经理层和全体员工共同实施
全面性原则:覆盖各种业务和
事项。
重要性原则:关注重要业务事
项和高风险领域。
制衡性原则:相互制约、相互
监督,并兼顾运营效率。
适应性原则:与企业相适应,
并随情况的变化及时加以调整。
成本效益原则:权衡实施成本
与预期效益。
合法合规
资产安全
财务报告及相关信
息真实完整
提高经营效率效果
促进企业实现发展
战略
立信锐思根据《企业内部控制基本规范》整理
上市公司内控体系建设实施方案与工作思路
第8页
五部委内控体系:整体框架
企业内部控制基本规范
企业内部控制应用指引
组织架构
发展战略
人力资源
社会责任
企业文化
资金活动
采购业务
资产管理
销售业务
研究与开发
工程项目
担保业务
业务外包
财务报告
全面预算
合同管理
内部信息传递
信息系统
企
业
内
部
控
制
评
价
指
引
企
业
内
部
控
制
审
计
指
引内部环境类
控制活动类
控制手段类
上市公司内控体系建设实施方案与工作思路
第9页
国资委全面风险管理体系
收集风险管理初始信息
进行风险评估
全面风险管理组织体系
全面风险管理基本流程企业经营管理体系
制定风险管理策略
风险管理解决方案
监督及改进
业务流程
战略管理
治理结构
全
面
风
险
管
理
文
化
全
面
风
险
管
理
信
息
系
统
立信锐思根据《中央企业全面风险管理指引》整理
上市公司内控体系建设实施方案与工作思路
第10页
现金流风险
盈利能力风险
投资风险
债务风险
资产负债率
速动比率
担保净资产比
已获利息倍数
现金部资产比
存货周转率
应收账款周转率
盈余现金保障倍数
净资产收益率
经营性营业利润占比
主营业务利润率
投资收益率
投资现金收益率
上
海
国
资
委
风
险
预
警
指
标
外
部
推
动
集团公司的
财务风险预警
母子公司重大
财务事项管控
母子公司财务
精细化管理
国资委全面风险管理:财务风险管理框架
上市公司内控体系建设实施方案与工作思路
第11页
交易所上市公司内控指引框架
交易所
内控框架
风险评估
检查与监督
控制活动
目标设定
内部环境
信息与沟
通事项识别
风险对策
p对控股子公司的管理控制
p关联交易内部控制
p对外担保的内部控制
p募集资金使用的内部控制
p重大投资的内部控制
p信息披露的内部控制
p内部控制自我评价报告应与公
司年度报告同时对外披露
p制定并执行公司内部控制自查制度
和年度内部控制自查计划
p改进内部控制缺陷和异常事项立信锐思根据《上市公司内控指引》整理
上市公司内控体系建设实施方案与工作思路
第12页
u《上市公司内控指引》
第三条在本所上市的公司应当按照法律、行政法规、部门规章以及本所股票上市规则的规定建立健全内部控
制制度,保证内控制度的完整性、合理性及实施的有效性,以提高公司经营的效果与效率,增强公司信息披露的可
靠性,确保公司行为合法合规。
第二十九条检查监督部门的工作资料,包括内部控制检查监督工作报告、工作底稿及相关资料,保存时间不少于
十年。
第三十二条公司董事会应在年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部
控制自我评估报告的核实评价意见。
第十一条内部控制评价工作应当形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风
险点、采取的控制措施、有关证据资料以及认定结果等。
评价工作底稿应当设计合理、证据充分、简便易行、便于操作。
外部法规的核心要求
u五部委《企业内部控制基本规范》
第六条企业应当根据有关法律法规、本规范及其配套办法、制定本企业的内部控制制度并组织实施。
第十四条企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任
单位。
企业应当通过编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正
确行使职权。
第四十六条企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。
u《企业内部控制评价指引》
上市公司内控体系建设实施方案与工作思路
第13页
企业如何应对以上法律法规
1
2
3
-企业知道它所面对的主要风险吗?
-例如:什么风险正在或者将会影响企业?
-企业是否已对这些风险进行了管理?
-企业需要就各业务单位在日常运作中所面对的风险,构建内
部控制管理体系,以确保目标的实现
-企业的内控管理体系是否能实现动态的自我更新?
-企业要对其内部控制管理体系进行监控和测试,以确保内控
管理的有效性
证监会、交易所、国资委及其他监管部门的多项法规的三项核心要求:
企业应对:
识别风险,制作风险数据库
企业应对:
完善内控制度,编制内控手册
企业应对:
开展内控评价,完善评价底稿
上市公司内控体系建设实施方案与工作思路
第14页
内部控制管理的“三步走”战略
内部控制体系建设
建立内部控制的基本流程,尤其
是基于财务报告的内部控制,包
括财务、关联交易、投融资等核
心流程
风险预警指标梳理与考核
通过梳理、设定、监控企业的风险
管理指标体系,来实现对风险的主
动管理,预先控制和考核激励
基于信息化的内控管理
通过业务流程信息系统实现对风
险的自动控制
通过信息系统实现对内控管理信
息的自动收集、分析、处理、呈
报和利用
?工作思路必须科学合理,符合
企业的管理风格和管理基础
?领导自上而下的推行和全体员
工的理解和参与
?建立合理的指标体系
?建立指标信息的收集系统
?根据指标体系完善绩效考核与
激励
?配套的内部控制管理措施
?管理人员的素质和内控管理
能力
?重大风险损失得到初步控制;
?企业经营风格从机会导向转为
管理导向
?实现对风险的提早发现,全面
分析,考核激励和预先控制
?极大提升管理的精细化程度,
提高企业战略的执行力
?由人工控制提升为系统自动化
控制,集中控制
?内控管理信息的自动收集、分
析、处理、呈报和利用,节省
企业内控管理的精力
难点
收益
发展阶段
目前大多数企业所处的阶段
上市公司内控体系建设实施方案与工作思路
第15页
上市公司内控体系建设实施方案与工作思路
一、内部控制法规解读
二、企业内部控制体系的建立:工作思路与实施方案
我们对上市公司实施内部控制体系建设需求的理解
项目整体解决方案
三、关于我们
上市公司内控体系建设实施方案与工作思路
第16页
我们对上市公司内部控制体系建设需求的理解
上市公司
n基于财务报告
的内部控制与基
于全面风险管理
的内部控制体系
的整合
n内部控制体
系与全面风险
管理体系的整
合
n《企业内部控制基本规
范》及配套指引
n《全面风险管理指引》n《上市公司内控指引》
内部
控制
整合
框架
为了全面应对风险管理和内部控制的相关法律法规,上市公司应该构建一个内
部控制的整合框架体系,做到“两个融合”。
上市公司内控体系建设实施方案与工作思路
第17页
内控建设的整合框架模型
业务分析与流程梳理
识别与评价关键控制点
内控梳理和建立企业各层级业务经营管理
完善内控的措施和体系
内控体系的实施推进
内控自我评估及改进
业务与流程管理
战略管理
公司治理
下属分支机构管控
加强组织领导,建立内控组织管理架构
加
强
信
息
化
建
设,
实
现
系
统
化
的
控
制
加
强
培
训
教
育,
提
升
企
业
的
内
控
理
念
上市公司内控体系建设实施方案与工作思路
第18页
内控整合框架的建设步骤
第一阶段:调研诊断
第二阶段:体系建立
第三阶段:评估改进
?成立内控建设小组
?对业务的深入调研
?全面分析和诊断
?识别所有的主要风险
?梳理完善各项业务的
管理制度和控制措施
?编制针对风险的内控
手册
?对制度和手册进行辅
导实施的推进
?编制规范的内控评估底稿
?对内控进行自我评估
?编制和披露内控自我评估
报告
?对内控缺陷的改进和完善
?聘请第三方进行内控审计
上市公司内控体系建设实施方案与工作思路
第19页
调研诊断的工作思路
上市公司内控体系建设实施方案与工作思路
第20页
体系建设的工作思路
-企业知道它所面对的主要风险吗?
-企业是否已对这些风险进行了管理?
-
-企业的内控管理体系是否能实现动态的自我
评价和更新?
1
2
3
风险数据库
风险管理及
内控手册
控制措施评价表
内
部
控
制
体
系
文
件
上市公司内控体系建设实施方案与工作思路
第21页
评估改进的工作思路
动态内控管
理步骤
定期监
督评价
内控管理部门:
-对内控设计有效性进行评估;
-提出调整或改进建议,出具评价和建议报告。
内部审计部门:
-对包括内控管理职能部门在内的各
有关部门和业务单位能否按照有关规
定开展内控工作及其工作效果进行监
督评价。
上市公司内控体系建设实施方案与工作思路
第22页
在各级员工中提升内部控制文化与理念
内部控制手册中与每个循环对应的核心内
容
内控体系的成果:内部控制体系文件的整体架构
XXX公司
内部控制体系文件
风险数据库控制文档评价手册
全方位的培训体系
部分主要内容
总纲概述、目的、原则、依据、主要内容介绍、领导相关要求
内部控制组织结构
确定内控管理职能部门、内审部门
和法律事务部门以及其他有关职能
部门、业务单位的组织领导机构及
其职责及权责分配
内部控制文化理念企业的内部控制文化的要素、每个要素的关注点及应对措施
内部控
制基本
框架
内部环境对企业的治理结构、人力资源政策、内部审计等方面进行评估
风险评估风险辨识、风险分析、风险评价、风险应对的方法及步骤
控制活动
针对各业务循环的风险点进行针对
性的控制措施,选择风险管理工具
,并提供综合解决方案的过程
信息与沟通公司内外部的信息沟通和反舞弊机制的建立
监督企业对整体内控管理工作持续监督、评价、改进和跟踪的操作规范
内部控制的信息化对企业各个层面的信息化的运用及其风险进行评估
定义、规划内部控制的整个体系
重要会计科目与流程含控制措施的流程图
上市公司内控体系建设实施方案与工作思路
第23页
各职能部门与项目组紧密合作
u企业管理高层和各业务职能部门始终参与内控建设的全过程。
u内控建设小组必须由内控管理专家组成,形成专业服务。
内控建设小组公司业务部门和高管
?确定调研安排
?讨论项目思路
?安排汇报会议
?访谈调研
?分析研究
?编制成果
?提供建议
?培训辅导
?领导内控建设过程
?审核项目结果
?参与和协调调研
上市公司内控体系建设实施方案与工作思路
第24页
项目的实施方法和参考标准
《企业内部控制基本规范》及配套指引
五部委2008年,2010年
不相容职责分析
业务管理流程图
现场访谈与抽凭
《上市公司内控指引》交易所,2006年
公司
现有的管理制度
《中央企业基于财务报告的内部控制
指引》
国资委2006年
风险评级分析框架
内部控制测评软件系统
应用
工具
参考
标准
上市公司内控体系建设实施方案与工作思路
第25页
定期反馈与沟通
u内控建设小组必须定期与公司管理层和各职能部门进行汇报沟通,以保证项目进
度和总体方向的最优化。
上市公司内控体系建设实施方案与工作思路
第26页
培训与持续监督
u项目开展中,公司需要举办针对各层次人员的内控培训,提升相关部门和人
员的内控意识和操作技能。
即时交流互动
现场辅导流程培训
跟踪回访
在各业务现场进行控制措施
的操作指导
帮助业务人员了解控制措施
的具体实施
在内控实施后对执行情况进
行持续的跟踪
在执行一定期限后对内控的
执行进行回访检查
对业务人员在内控实施中遇
到的任何问题进行实时解答
与业务人员进行内控的交流,
发现内控设计中的不足
通过全方位的培训,提升各
层级员工的内控理念
通过业务操作的培训让员工
了解其在公司风险管理中的意
义和作用
上市公司内控体系建设实施方案与工作思路
第27页
上市公司内控体系建设实施方案与工作思路
一、内部控制法规解读
二、企业内部控制体系的建立:工作思路与实施方案
三、关于我们
立信锐思简介
部分风险管理体系建设案例分享
上市公司内控体系建设实施方案与工作思路
第28页
立信锐思简介
立信锐思是一家业内领先的风险管理及内部控制
领域专业咨询机构,由众多具有深厚理论功底的
研究专家和丰富实务经验的咨询顾问组建而成;
专注于为企业提供高质量的风险管理和内部控制
解决方案,以应对中国企业迅猛增长的风险管理
和内控服务需求;
自成立以来,立信锐思已经为大型国有企业、上
市公司、优秀民营企业等上百家国内知名公司提
供风险管理、内部控制咨询及专业培训服务;
凭借领先的理念,负责的态度,高效的工作,专
业的员工,开放的胸怀,严谨的作风,立信锐思
赢得了广大客户的认可。
中国·上海
南京东路61号9楼200002
网址:www.lx-rs.com
邮箱:mail@lx-rs.com
电话:+86-21-3366-5117
传真:+86-21-6321-4767
上市公司内控体系建设实施方案与工作思路
第29页
立信锐思的优势
注重风险与效率
的协调
我们的应对问题的关键
强调可操作性
重视知识传递与
持续改进
考虑反舞弊及本
土环境因素
先进的信息技术
在建立内部控制体系,完善风险防范过程中
,一些企业担心加强内部控制会影响业务开
展、降低运营效率,导致推进内部控制建设
时有疑虑或抵触
理顺组织结构,明确职责和流程,提高效
率;通过风险评估,加强高风险点的关键
控制,去除不必要控制点;不是简单地采
取约束,而是约束和激励手段并用;
写一份大而全的企业内部控制制度也许并非
难事,而如何将其有效推进和执行才是真正
的难题,很多企业的风险管理制度非常完美
,却只是摆在桌上、挂在墙上
让客户全面参与到项目过程中;不追求一
步到位、大而全;流程化、表单化、智能
化,提供大量可操作的管理工具,强化内
审内控部门职能
每个企业有自身独特的业务流程和企业文化
,企业管理人员对企业更为熟悉和了解,如
果咨询方案与企业实务变成两张皮,则项目
往往会失败
在项目结束后会对客户企业进行持续跟踪
和回访,对实施中遇到的各种问题进行完
善;提升企业内控人员专业技能,既授之
以鱼,亦授之以渔
一些企业或咨询公司,在进行风险管理改进
和内控建设时,或对舞弊风险重视不够,或
对我国企业经营环境了解不足,或缺乏相应
的专业经验,导致内控制度形同虚设
在进行企业内部控制设计时,结合本土环
境因素,充分考虑潜在的舞弊风险,通过
职责分离、完善流程、强化记录与核查等
控制手段来防范舞弊
很多企业往往没有借助信息系统进行内部
控制的针对化管理,使得内部控制建设难
以低成本而有效的实施
立信锐思有丰富的企业信息系统实施经验
,拥有自主开发的内控软件,并能很好地
协助客户建设相应的内控信息化系统
上市公司内控体系建设实施方案与工作思路
第30页
部分内部控制体系建设案例分享(1)
上海某大型国有集团内控体系建设服务
服务时间2010年2月-2011年1月
服务内容内部控制制度建设
服务成果风险数据库、管理制度
项目概述
集团为资产近200亿的大型地方国有企业集团。
项目组为集团下属的14家分支机构(包括一家上市公司)进行了内控测评,对其所有
业务的风险进行了识别、分析和评价,给出了包括集团本部在内的15份内部控制测评
报告。
项目组为整个集团编制了统一的管理制度,
上市公司内控体系建设实施方案与工作思路
第31页
部分风险管理体系建设案例分享(2)
云南某集团公司的全面风险管理咨询
服务时间2010年9月-2011年3月
服务内容全面风险管理体系建设
服务成果内部控制和全面风险管理手册
项目概述
集团为大型资源开采企业。
项目组为集团及其下属的10家分支机构进行了风险梳理,编制了风险数据库。
对业务流程中的风险点和控制措施进行全面的梳理和优化,提交了控制手册。
对公司各层级员工进行了全面的风险管理的理念培训。
上市公司内控体系建设实施方案与工作思路
第32页
部分风险管理体系建设案例分享(3)
浙江某上市公司内部控制建设咨询服务
客户全称2008年12月-2011年
服务内容全面的内控建设
服务成果
核心业务循环的制度建设;
全面风险管理建设;
全面的内控理念培训;
各项内控管理的持续推进;
项目概述
公司是浙江地区的知名民营上市公司。
项目组为公司的采购、销售、合同、预算、人事等11大核心循环进行了全方位的风险评
估,梳理了相关业务循环的风险点,并就这五个业务循环编制了管理制度。
项目组为公司提供了持续的内控培训服务,提升了客户的内控理念。
项目组帮客户进行了内控管理的升级,进行了全面的风险管理服务的推进,并与国际大
型企业的内控管理进行接轨。
客户被列为了当地内控的优秀企业。
上市公司内控体系建设实施方案与工作思路
第33页
我们的部分客户:上市公司
上市公司内控体系建设实施方案与工作思路
第34页
我们的部分客户:非上市大型企业
上市公司内控体系建设实施方案与工作思路
第35页
谢谢!
上市公司内控体系建设实施方案与工作思路
第36页
ThedocumentismadebyShanghaiReiscontrolCo.,Ltd(Reiscontrol)fortheexclusiveuseofourclients.Itis
notcompleteunlesssupportedbytheunderlyingdetailedanalysisandoralpresentation.Itmustnotbe
passedontothirdpartiesexceptwiththeexplicitpriorwrittenconsentofShanghaiReiscontrolCo.Ltd.
Copyright?2010ShanghaiReiscontrolCo.,Ltd.Allrightsreserved.
本文件由上海立信锐思信息管理有限公司(以下称“立信锐思”)提供,仅供特定客户内部使用。未经立信锐思
书面许可,任何其他机构或个人不得擅自传阅、引用或复制。
Copyright?2010上海立信锐思信息管理有限公司版权所有。
内控方案提供者
InternalControlExpertise
中国上海南京东路61号9楼200002;
61EastNanjingRoad,9thFloor|Shanghai,200002|China
电话Phone:+86-21-3366-5116
传真Fax:+86-21-6321-4767
|
|
