內(nèi)控成果編制方法介紹上海立信銳思信息管理有限公司2013年4月內(nèi)控成果編制方法介紹上海立信銳思信息管理有限公司目錄內(nèi)部控制體系概覽內(nèi)部控制成果具體編寫說明2目錄23內(nèi)部控制體系概覽3內(nèi)部控制體系概覽根據(jù)青島港的控制環(huán)境類流程、控制手段類流程、控制活動類流程以及10家試點分、子公司的核心業(yè)務流程，目前內(nèi)控體系中將青島港集團的業(yè)務共劃分為24個一級流程。其中除生產(chǎn)經(jīng)營管理、生產(chǎn)管理（核心業(yè)務流程）外，其他二十二個流程為通用性業(yè)務流程?？刂骗h(huán)境組織架構(gòu)發(fā)展戰(zhàn)略人力資源社會責任企業(yè)文化安全質(zhì)量控制活動財務管理投資管理籌資管理擔保管理采購管理資產(chǎn)管理生產(chǎn)經(jīng)營管理生產(chǎn)管理科技項目管理工程項目財務報告控制手段信息規(guī)劃信息系統(tǒng)運行與維護合同管理內(nèi)部報告內(nèi)部監(jiān)督全面預算綜合管理青島港內(nèi)控體系整體架構(gòu)——流程劃分根據(jù)青島港的控制環(huán)境類流程、控制手段類流程、控制活動類流程以青島港內(nèi)控體系文件介紹內(nèi)控體系文件是指對業(yè)務操作流程的控制要求描述：要清晰的表達每一個動作的操作要求基于內(nèi)控的體系文件是基于風險和控制要求的操作性描述：重點要突出控制措施對風險的管理作用風險清單流程圖內(nèi)控手冊好的內(nèi)控體系文件應該包括以下內(nèi)容根據(jù)各業(yè)務流程的控制目標，影響目標實現(xiàn)存在的風險，梳理并完善風險管理控制措施，通過控制措施的詳細表述明確各操作環(huán)節(jié)的規(guī)范要求企業(yè)業(yè)務操作程序的圖化呈現(xiàn)，指導各崗位人員進行具體的業(yè)務操作對各業(yè)務流程存在的固有風險的全面識別，對各風險事件的屬性的說明、企業(yè)風險管理策略的選擇成果矩陣青島港內(nèi)控體系文件介紹內(nèi)控體系文件是指對業(yè)務操作流程的控制要成果示例——風險清單識別風險的各項要素：公司哪些流程存在風險？存在哪些風險？風險的嚴重程度如何？風險的責任部門和責任崗位？目的是全面識別和分析各項風險，并落實每項風險的防控責任落實到人。二級流程名稱風險事件編號風險事件描述風險屬性風險類別初始風險評估風險管理策略風險責任部門頻率損失等級承受規(guī)避降低分擔發(fā)展戰(zhàn)略制定R02.01.01-01發(fā)展戰(zhàn)略歸口管理不明確，可能導致發(fā)展戰(zhàn)略相關工作組織不系統(tǒng)，影響發(fā)展戰(zhàn)略的制定與實施。戰(zhàn)略風險戰(zhàn)略規(guī)劃風險12普通級

√

集團辦公室

R02.01.01-02在制定戰(zhàn)略目標過程中，缺乏充分的調(diào)研、科學分析和廣泛的征求意見，可能導致戰(zhàn)略脫離集團實際情況，影響戰(zhàn)略的實施。戰(zhàn)略風險戰(zhàn)略規(guī)劃風險14重要級

√

集團辦公室

R02.01.01-03缺乏明確的發(fā)展戰(zhàn)略或發(fā)展戰(zhàn)略制定不合理，可能導致集團盲目發(fā)展，難以形成競爭優(yōu)勢，喪失發(fā)展機遇和動力。戰(zhàn)略風險戰(zhàn)略規(guī)劃風險14重要級

√

集團辦公室

R02.01.01-04制定的戰(zhàn)略不符合國家有關法律法規(guī)的規(guī)定，可能導致外部處罰、經(jīng)濟損失和信譽損失。法律風險交易合規(guī)風險14重要級

√

集團辦公室成果示例——風險清單識別風險的各項要素：二級流程名稱風險事件成果示例——流程圖流程圖的主要作用：建立對業(yè)務流程和控制活動全局觀的保證提綱挈領的記錄文件梳理目前業(yè)務流程的基礎工具成果示例——流程圖流程圖的主要作用：成果示例——成果矩陣成果矩陣的主要作用：針對每項具體風險提出針對性的控制措施；將各項風險控制措施與目前企業(yè)的管理制度進行對標，根據(jù)風險控制文檔的內(nèi)容對制度中涉及風險防控的內(nèi)容進行更新。對應目標編號控制目標對應風險

事件編號風險事件描述三級節(jié)點控制措施編號控制措施描述控制措施

責任部門控制措施

責任崗位控制頻率預防性/檢查性手工/自動影響報

表科目對應制度涉及文檔CO02.01-02確保戰(zhàn)略制定的科學、合理R02.01.01-01發(fā)展戰(zhàn)略歸口管理不明確，可能導致發(fā)展戰(zhàn)略相關工作組織不系統(tǒng)，影響發(fā)展戰(zhàn)略的制定與實施。戰(zhàn)略歸口管理CA02.01.01-01發(fā)展戰(zhàn)略歸口管理

集團指定集團辦公室為發(fā)展戰(zhàn)略的歸口管理部門，具體負責戰(zhàn)略的匯總，戰(zhàn)略規(guī)劃及年度工作計劃的擬定，戰(zhàn)略的評估與考核等工作。集團辦公室秘書每年預防性手工無

部門職責CO02.01-02確保戰(zhàn)略制定的科學、合理R02.01.01-02在制定戰(zhàn)略目標過程中，缺乏充分的調(diào)研、科學分析和廣泛的征求意見，可能導致戰(zhàn)略脫離集團實際情況，影響戰(zhàn)略的實施。戰(zhàn)略信息收集CA02.01.01-02戰(zhàn)略信息收集與分析

集團在制定戰(zhàn)略目標時，集團各部室及下屬分子公司充分收集和利用內(nèi)外部信息，綜合考慮宏觀經(jīng)濟政策、國內(nèi)外市場需求變化、技術(shù)發(fā)展趨勢、行業(yè)及競爭對手情況、可利用的資源水平和自身優(yōu)勢與劣勢等影響因素，并綜合利用各種分析模型進行科學的分析，以確保戰(zhàn)略目標符合集團實際。集團各部室、下屬分子公司相關人員每年預防性手工無

CO02.01-02確保戰(zhàn)略制定的科學、合理R02.01.01-03缺乏明確的發(fā)展戰(zhàn)略或發(fā)展戰(zhàn)略制定不合理，可能導致集團盲目發(fā)展，難以形成競爭優(yōu)勢，喪失發(fā)展機遇和動力。戰(zhàn)略制定與審批CA02.01.01-03戰(zhàn)略目標擬定

集團制定五年發(fā)展戰(zhàn)略，首先集團各部室根據(jù)市場現(xiàn)狀、宏觀經(jīng)濟形勢、集團內(nèi)部資源能力提出戰(zhàn)略要求和目標并提交至集團辦公室匯總。集團各部室相關人員每年預防性手工無

集團各部室戰(zhàn)略目標初稿成果示例——成果矩陣成果矩陣的主要作用：對應目標編號控制目標現(xiàn)階段各單位內(nèi)控成果編制要求集團內(nèi)部控制體系正式文件包括：內(nèi)控手冊、風險清單。集團內(nèi)部控制體系過程文件包括：流程圖、成果矩陣。

其中內(nèi)控手冊中的流程圖即為過程文件的流程圖，二者對應一致；內(nèi)控手冊中的控制矩陣即為成果矩陣中的內(nèi)容，二者對應一致。各單位本階段內(nèi)控體系文件編制要求：本階段完成風險清單、流程圖和成果矩陣的編制工作

其中，風險清單需各單位參考集團對應流程的風險進行重新識別；流程圖可在紙張上手畫完成，為非正式文件；成果矩陣通過與集團相應業(yè)務流程對標并經(jīng)過適當增減完成。流程劃分中P09、P10為生產(chǎn)經(jīng)營管理、生產(chǎn)管理流程，為各單位核心業(yè)務流程，需各單位自行編制，對應的試點單位的該業(yè)務流程僅供參考。其他22個業(yè)務流程可與集團進行對標?，F(xiàn)階段各單位內(nèi)控成果編制要求集團內(nèi)部控制體系正式文件包括：內(nèi)10內(nèi)部控制成果具體編寫說明10內(nèi)部控制成果具體編寫說明內(nèi)控體系確定—業(yè)務流程劃分根據(jù)集團業(yè)務流程劃分進行對標確定本單位業(yè)務流程劃分確定各業(yè)務流程內(nèi)控成果編制的部門/崗位業(yè)務事項相同？——參考集團該部分業(yè)務流程劃分業(yè)務事項存在差異？——根據(jù)集團業(yè)務流程劃分進行調(diào)整本單位特有業(yè)務？——根據(jù)本單位實際情況進行本單位流程劃分形成本單位內(nèi)部控制體系框架明確內(nèi)控體系文件編制工作的職責分工內(nèi)控體系確定—業(yè)務流程劃分根據(jù)集團業(yè)務流程劃分進行對標確定本內(nèi)控成果了解1、通覽本業(yè)務流程的流程概覽（內(nèi)控手冊word文檔），了解該業(yè)務流程的流程框架；2、通覽本業(yè)務流程的流程圖（流程圖pdf文件），了解該業(yè)務流程業(yè)務操作模式、操作程序；3、通讀該業(yè)務流程的成果矩陣（excel文件），了解集團操作程序和在該業(yè)務流程對下屬各單位的管控要求。內(nèi)控成果了解1、通覽本業(yè)務流程的流程概覽（內(nèi)控手冊word文內(nèi)控成果概述風險與流程匹配后，對流程進行梳理為滿足以上要求，需做以下準備流程圖及流程描述成果矩陣（EXCEL）流程中各業(yè)務事項是如何發(fā)生、授權(quán)、執(zhí)行、記錄與監(jiān)督的信息傳遞的渠道、范圍針對各業(yè)務流程風險：企業(yè)現(xiàn)有控制措施有哪些（制度規(guī)范要求、流程描述）企業(yè)目前尚未明確或缺失的控制措施內(nèi)控成果概述風險與流程匹配后，對流程進行梳理為滿足以上要求，內(nèi)控成果編制步驟步驟一：編制“流程圖”

根據(jù)流程內(nèi)容、企業(yè)操作程序繪制流程圖。步驟二：準備“流程描述”

明確流程圖中的各個控制環(huán)節(jié)具體執(zhí)行的步驟步驟三：核對“流程圖”/“流程描述”，改進記錄文件。步驟四：編制“成果矩陣”

對標集團成果矩陣內(nèi)容

對標內(nèi)容與流程圖核對，補充完善控制措施

風險流程中可能發(fā)生的錯誤數(shù)據(jù)輸入可能發(fā)生遺漏交易未受到相應級別管理層的授權(quán)審批

數(shù)據(jù)輸入可能在未經(jīng)授權(quán)的情況下被更改內(nèi)控成果編制步驟步驟一：編制“流程圖”風險流程中可能發(fā)生的錯內(nèi)控成果編制步驟流程圖梳理業(yè)務操作程序，明確操作部門/崗位確認改流程各環(huán)節(jié)操作涉及的表單文檔刻畫流程圖1、流程圖名稱2、企業(yè)名稱3、流程圖編號4、流程圖內(nèi)容成果矩陣記錄流程描述中能與該流程識別出的風險對應的、起到風險管控作用的描述增加制度中對該業(yè)務的其他管理要求補充完善缺失/未完善的控制措施1、流程名稱2、控制目標3、該流程識別出的風險4、風險對應的控制措施5、控制措施執(zhí)行的責任部門/崗位6、對應制度、涉及表單流程圖與成果矩陣形成相互印證的文件內(nèi)控成果編制步驟流程圖梳理業(yè)務操作程序，明確操作部門/崗位1流程圖刻畫—業(yè)務流程梳理在熟悉集團業(yè)務流程的操作模式和要求后，根據(jù)本單位實際操作程序，編制刻畫本單位業(yè)務流程圖（可依據(jù)集團流程圖格式在紙張上畫本單位流程圖。流程圖刻畫要求：操作順序：從左到右，從上到下。由各業(yè)務事項的牽頭部門開始，涉及到的部門/單位從左到右依次排列。明確流程中每個環(huán)節(jié)的操作崗位。流程各操作環(huán)節(jié)涉及表單文檔明確。通過梳理刻畫流程圖，明確不同單位/部門在流程中的職責分工、權(quán)責分配，對業(yè)務操作模式予以固化。流程圖刻畫—業(yè)務流程梳理在熟悉集團業(yè)務流程的操作模式和要求后采購管理采購計劃管理采購計劃制定

采購計劃上報

采購計劃匯總

采購計劃切分

采購招標管理采購方式選擇

采購方案擬定

招標過程管理

采購評標管理供應商資質(zhì)審核

評標過程管理

采購合同的簽訂

采購驗收管理驗收計劃確認

組織采購驗收

退換貨管理

采購質(zhì)量反饋

采購付款管理采購收貨確認

使用單位對賬

供應商對賬

采購付款

采購付款記錄

供應商管理供應商選擇

供應商管理

供應商評價

供應商名單更新流程描述——三級節(jié)點確定根據(jù)集團內(nèi)控體系框架制定業(yè)務一級流程與集團二級流程進行對標，明確本單位二級流程劃分根據(jù)本單位業(yè)務管理模式，確定該二級流程的各操作環(huán)節(jié)，即三級節(jié)點（集團內(nèi)控手冊中的流程概覽的三級節(jié)點可參考）三級節(jié)點細化，形成各操作步驟，對操作步驟進行詳細描述第一層第二層第三層第四層示例內(nèi)控體系建設階段各業(yè)務流程梳理階段采購管理采購計劃管理采購計劃制定采購計劃上報采購計劃成果矩陣—定義成果矩陣就是將流程中所涉及的風險和對應的內(nèi)部控制措施進行匯總，對缺失的控制環(huán)節(jié)予以補充完善，最終形成企業(yè)健全完整的控制程序的一種矩陣表格。成果矩陣—定義成果矩陣成果矩陣—對標成果矩陣對標內(nèi)容成果矩陣—對標成果矩陣對標內(nèi)容成果矩陣—對標控制措施對標要求：集團原則性的要求，可依照集團要求填寫集團操作性的要求，根據(jù)本單位流程圖中的操作程序填寫編制操作內(nèi)容與集團進行對接的，寫到與集團對接部門即可成果矩陣—對標控制措施對標要求：成果矩陣—對標控制措施對標要求：與集團所有控制措施進行對標，完成本單位成果矩陣的控制措施描述。集團矩陣中可與本單位進行對標的，則進行對標修改；集團矩陣中的控制措施不適用本單位的，則注明不適用。成果矩陣—對標控制措施對標要求：成果矩陣—對標控制措施對標要求：與集團所有控制措施對標完成后，拿對標的控制措施與本單位流程圖進行核對。流程圖中有，但對標矩陣缺失的，則在excel表中插入行，對缺失的控制措施予以補充完善。插入行：對比本單位刻畫的流程圖，增加的控制措施成果矩陣—對標控制措施對標要求：插入行：對比本單位刻畫的流程成果矩陣對標責任部門/崗位對標要求：每條控制措施需明確控制措施的責任部門、責任崗位，牽涉到多個部門、崗位的，全部填寫上，依照部門、崗位的重要性程度依次列示。明確控制措施的責任部門明確控制措施的責任崗位成果矩陣對標責任部門/崗位對標要求：明確控制措施的責任部門明成果矩陣對標控制活動發(fā)生頻率：每日多次（一年發(fā)生次數(shù)大于365次）每天（一年發(fā)生次數(shù)大于52次，小于等于365次）每周（一年發(fā)生次數(shù)大于12次，小于等于52次）每月（一年發(fā)生次數(shù)大于4次，小于等于12次）每季度（一年發(fā)生次數(shù)大于2次，小于等于4次）每年（一年發(fā)生次數(shù)為1次）發(fā)生時（一年發(fā)生次數(shù)不確定，平均少于1次）控制頻率、控制活動性質(zhì)對標要求：控制頻率：控制措施每年平均發(fā)生的頻率，根據(jù)本單位實際情況進行認定控制活動性質(zhì)：手工控制/信息系統(tǒng)自動化控制；事前預防性控制/事后檢查性控制。成果矩陣對標控制活動發(fā)生頻率：每日多次（一年發(fā)生次數(shù)大于36成果矩陣—對標成果矩陣編制要求：對應制度即控制措施要求是否在公司制度規(guī)范文件中有相應要求，如有，填上制度名稱；涉及文檔即該條控制措施操作時留下的操作痕跡（表單），可以是書面的也可以是電子版的，也可以是信息系統(tǒng)某個操作界面?？杖睍r，需對制度進行補充完善明確表單名稱成果矩陣—對標成果矩陣編制要求：空缺時，需對制度進行補充完善成果矩陣—控制措施寫作方法寫作要素：成果矩陣—控制措施寫作方法寫作要素：成果矩陣—控制措施寫作方法寫作要素：五個要點（4W1H）誰？（who）——控制措施的執(zhí)行者什么時候？（when）——控制措施的執(zhí)行時間做什么？（what）——控制措施產(chǎn)生的結(jié)果怎么做？（how）——控制措施過程的具體描述為什么？（why）——控制措施的具體目標和作用“事無巨細”用簡單句用統(tǒng)一的語言名稱和稱謂成果矩陣—控制措施寫作方法寫作要素：五個要點（4W1H）成果矩陣—控制措施寫作方法成果矩陣—控制措施寫作方法成果矩陣—控制措施寫作方法成果矩陣—控制措施寫作方法成果矩陣—編號規(guī)則1、控制目標編號：如資產(chǎn)管理中的一個控制目標編號CO13.01-02：其中CO表示控制目標，13表示資產(chǎn)管理的一級流程編號，01表示集團總部代碼，02表示該目標為本流程第二個目標。集團內(nèi)控體系控制目標已梳理完畢，各單位僅需修改控制目標編號的公司代碼部分。如某單位的公司代碼為16，則對標時，即可修改為CO13.16-022、對應風險事件編號：如資產(chǎn)管理中的一個風險事件編號R13.01.01-07：其中R表示風險，13表示資產(chǎn)管理的一級流程編號，01表示集團總部代碼，第二個01表示資產(chǎn)管理流程中的第一個二級流程，07表示該流程的第7個風險事件。每個業(yè)務流程風險事件識別完畢后，對風險事件末尾部分進行流水編號，并修改風險事件編號的公司代碼部分。如某單位的公司代碼為16，則對標時，即可修改為R13.16.01-073、控制措施編號：如資產(chǎn)管理中的一個控制措施編號CA13.01.01-07：其中CA表示控制措施，13表示資產(chǎn)管理的一級流程編號，01表示集團總部代碼，第二個01表示資產(chǎn)管理流程中的第一個二級流程，07表示該流程的第7個控制措施。在每一個二級業(yè)務流程，從第一條到最后一條控制措施，編號前半部分相同，最后一部分流水號編制。成果矩陣—編號規(guī)則1、控制目標編號：如資產(chǎn)管理中的一個控制目RISK風險目標企業(yè)經(jīng)營

風險，指未來的不確定性對企業(yè)實現(xiàn)其經(jīng)營目標的影響。

--國資委《中央企業(yè)全面風險管理指引》其中，目標可以有不同的方面，例如：財務、健康和安全、以及環(huán)境目標。目標同時可以適用于不同的層面，例如：戰(zhàn)略、整個組織、項目、產(chǎn)品和過程。

影響是企業(yè)日常經(jīng)營過程中因不確定性因素導致實際后果與預期結(jié)果的偏離（積極和/或消極）風險清單-風險定義RISK風險目標企業(yè)經(jīng)營風險，指未來的31風險清單-風險評估主體由企業(yè)(內(nèi)部控制建設牽頭部門)組織有關職能部門和業(yè)務單位實施公司級層面，高級管理層應該參與評估活動。部門級層面，部門管理層和關鍵流程責任人應該參加評估活動。在有些情況下，對獨特的業(yè)務風險有獨特了解的人應該參與評估工作。在其他情況下，董事會可能也需要參與。風險評估一定要全員參與風險清單-風險評估主體由企業(yè)(內(nèi)部控制建設牽頭部門)組織有關32風險清單-風險管理邏輯風險清單-風險管理邏輯33風險清單-風險辨識風險辨識是指查找企業(yè)各業(yè)務單元、各項重要經(jīng)營活動及其重要業(yè)務流程中有無風險，有哪些風險。風險辨識的思路：本部門涉及到哪些重要流程？這些流程有哪些關鍵目標？影響這些關鍵目標實現(xiàn)的因素有哪些？風險清單-風險辨識風險辨識是指查找企業(yè)各業(yè)務單元、各項重要經(jīng)34風險清單-風險辨識示例合法性合規(guī)性合理性真實性完整性有效性效率性準確性及時性保密性重大物資采購的供應商選擇是否按國家招投標法進行……重大采購流程是否信息公開，紀檢監(jiān)察參與……采購物資的申請是否合理，該物資是否需要，是否有庫存……供應商的報價材料是否真實準確，有依據(jù)支撐……采購驗收的操作是否完善，驗收的方面是否齊全……采購后該物資的使用效果如何……采購的成本是否合算……采購入賬金額是否準確……供應商送貨是否及時……特殊物資采購是否做到了保密……風險清單-風險辨識示例合法性重大物資采購的供應商選擇是否按國35風險清單-風險分析判斷風險產(chǎn)生的：-原因-后果-觸發(fā)條件示例：未對人力資源規(guī)劃的執(zhí)行情況進行定期評估，難以持續(xù)了解人力資源相關工作，可能導致難以根據(jù)實際情況進行恰當調(diào)整，影響戰(zhàn)略目標的實現(xiàn)及日常運營。觸發(fā)條件原因后果風險清單-風險分析判斷風險產(chǎn)生的：示例：未對人力資源規(guī)劃的執(zhí)36風險清單-風險頻率與損失的認定分值頻率定義5很高每天發(fā)生4高每周發(fā)生一次3一般每月發(fā)生一次2低每年發(fā)生一次1很低幾乎不發(fā)生，只在特定時期發(fā)生分值后果法規(guī)運營/體系經(jīng)濟（損失）聲譽安全環(huán)境5災難性被起訴重大影響（如設施永久損害，造成生產(chǎn)線廢棄）300萬元以上負面消息流傳世界各地，政府或監(jiān)管機構(gòu)進行調(diào)查，引起公眾關注，對企業(yè)聲譽造成無法彌補的損害引起多位職工或公民死亡對周圍環(huán)境造成永久污染或無法彌補的破壞4重大被起訴嚴重影響(如生產(chǎn)長時間關停)30萬元至300萬元之間負面消息在全國各地流傳，對企業(yè)聲譽造成重大損害導致一位職工或公民死亡對周圍環(huán)境造成嚴重污染或者需高額恢復成本3重要被公開警告，罰款中度影響(如生產(chǎn)故障造成停產(chǎn))3萬元至30萬元負面消息在某區(qū)域流傳，對企業(yè)聲譽造成中等損害長期影響多位職工或公民健康環(huán)境污染和破壞在可控范圍內(nèi)，沒有造成永久的環(huán)境影響2中等被公開警告，不罰款一般影響（生產(chǎn)線暫時無法生產(chǎn)）3千元至3萬元負面消息在當?shù)鼐植苛鱾鳎瑢ζ髽I(yè)聲譽造成輕微損害長期影響一位職工或公民健康無污染，沒有產(chǎn)生永久的環(huán)境影響1輕微被政府機關構(gòu)質(zhì)疑/調(diào)查輕度影響（影響貨物交付）少于3千元負面消息在企業(yè)內(nèi)部流傳，企業(yè)聲譽沒有受損短暫影響職工或公民的健康系統(tǒng)內(nèi)危害，無外借污染和環(huán)境影響風險發(fā)生頻率定義風險發(fā)生時造成的損失，僅供參考，各單位需根據(jù)風險承受能力制定本單位的風險損失認定標準重大級17≤風險等級≤25，或風險損失=5重要級9≤風險等級≤16，或風險損失=4普通級1≤風險等級≤8，且風險損失<4風險等級=風險頻率*風險損失*具體風險等級認定可參考各業(yè)務流程內(nèi)控成果風險清單中風險級別認定標準表格風險清單-風險頻率與損失的認定分值頻率定義5很高每天發(fā)生4高37風險屬性類別認定風險屬性認定戰(zhàn)略風險財務風險市場風險運營風險法律風險風險類別認定根據(jù)風險清單中風險級別認定標準（第二個sheet）：風險類別參考中的各風險定義進行認定風險責任部門：風險發(fā)生的主要責任部門具體定義參考附件風險屬性類別認定風險屬性認定戰(zhàn)略風險財務風險市場風險運營風險38風險管理策略選擇風險管理策略可以分為風險承受、風險規(guī)避、風險分擔、風險降低風險管理策略風險承受風險規(guī)避風險分擔風險降低定義風險承受是指企業(yè)對所面臨的風險采取被動接受的態(tài)度，從而承擔風險帶來的后果。是企業(yè)對超出風險承受度的風險，通過放棄或者停止與該風險相關的業(yè)務活動以避免和減輕損失的策略。是企業(yè)準備借助他人力量，采取業(yè)務分包、購買保險等方式和適當?shù)目刂拼胧?，將風險控制在風險承受度之內(nèi)的策略。是企業(yè)在權(quán)衡成本效益之后，準備采取適當?shù)目刂拼胧┙档惋L險或者減輕損失，將風險控制在風險承受度之內(nèi)的策略。以應收賬款為例對于兄弟公司一律先貨后款對于新客戶一律先款后貨對于部分客戶可以由相關單位擔保后賒銷對于老客戶需信用評級，評級合格可賒銷風險管理策略選擇風險管理策略可以分為風險承受、風險規(guī)避、風險39內(nèi)控成果編制方法介紹上海立信銳思信息管理有限公司2013年4月內(nèi)控成果編制方法介紹上海立信銳思信息管理有限公司目錄內(nèi)部控制體系概覽內(nèi)部控制成果具體編寫說明41目錄242內(nèi)部控制體系概覽3內(nèi)部控制體系概覽根據(jù)青島港的控制環(huán)境類流程、控制手段類流程、控制活動類流程以及10家試點分、子公司的核心業(yè)務流程，目前內(nèi)控體系中將青島港集團的業(yè)務共劃分為24個一級流程。其中除生產(chǎn)經(jīng)營管理、生產(chǎn)管理（核心業(yè)務流程）外，其他二十二個流程為通用性業(yè)務流程。控制環(huán)境組織架構(gòu)發(fā)展戰(zhàn)略人力資源社會責任企業(yè)文化安全質(zhì)量控制活動財務管理投資管理籌資管理擔保管理采購管理資產(chǎn)管理生產(chǎn)經(jīng)營管理生產(chǎn)管理科技項目管理工程項目財務報告控制手段信息規(guī)劃信息系統(tǒng)運行與維護合同管理內(nèi)部報告內(nèi)部監(jiān)督全面預算綜合管理青島港內(nèi)控體系整體架構(gòu)——流程劃分根據(jù)青島港的控制環(huán)境類流程、控制手段類流程、控制活動類流程以青島港內(nèi)控體系文件介紹內(nèi)控體系文件是指對業(yè)務操作流程的控制要求描述：要清晰的表達每一個動作的操作要求基于內(nèi)控的體系文件是基于風險和控制要求的操作性描述：重點要突出控制措施對風險的管理作用風險清單流程圖內(nèi)控手冊好的內(nèi)控體系文件應該包括以下內(nèi)容根據(jù)各業(yè)務流程的控制目標，影響目標實現(xiàn)存在的風險，梳理并完善風險管理控制措施，通過控制措施的詳細表述明確各操作環(huán)節(jié)的規(guī)范要求企業(yè)業(yè)務操作程序的圖化呈現(xiàn)，指導各崗位人員進行具體的業(yè)務操作對各業(yè)務流程存在的固有風險的全面識別，對各風險事件的屬性的說明、企業(yè)風險管理策略的選擇成果矩陣青島港內(nèi)控體系文件介紹內(nèi)控體系文件是指對業(yè)務操作流程的控制要成果示例——風險清單識別風險的各項要素：公司哪些流程存在風險？存在哪些風險？風險的嚴重程度如何？風險的責任部門和責任崗位？目的是全面識別和分析各項風險，并落實每項風險的防控責任落實到人。二級流程名稱風險事件編號風險事件描述風險屬性風險類別初始風險評估風險管理策略風險責任部門頻率損失等級承受規(guī)避降低分擔發(fā)展戰(zhàn)略制定R02.01.01-01發(fā)展戰(zhàn)略歸口管理不明確，可能導致發(fā)展戰(zhàn)略相關工作組織不系統(tǒng)，影響發(fā)展戰(zhàn)略的制定與實施。戰(zhàn)略風險戰(zhàn)略規(guī)劃風險12普通級

√

集團辦公室

R02.01.01-02在制定戰(zhàn)略目標過程中，缺乏充分的調(diào)研、科學分析和廣泛的征求意見，可能導致戰(zhàn)略脫離集團實際情況，影響戰(zhàn)略的實施。戰(zhàn)略風險戰(zhàn)略規(guī)劃風險14重要級

√

集團辦公室

R02.01.01-03缺乏明確的發(fā)展戰(zhàn)略或發(fā)展戰(zhàn)略制定不合理，可能導致集團盲目發(fā)展，難以形成競爭優(yōu)勢，喪失發(fā)展機遇和動力。戰(zhàn)略風險戰(zhàn)略規(guī)劃風險14重要級

√

集團辦公室

R02.01.01-04制定的戰(zhàn)略不符合國家有關法律法規(guī)的規(guī)定，可能導致外部處罰、經(jīng)濟損失和信譽損失。法律風險交易合規(guī)風險14重要級

√

集團辦公室成果示例——風險清單識別風險的各項要素：二級流程名稱風險事件成果示例——流程圖流程圖的主要作用：建立對業(yè)務流程和控制活動全局觀的保證提綱挈領的記錄文件梳理目前業(yè)務流程的基礎工具成果示例——流程圖流程圖的主要作用：成果示例——成果矩陣成果矩陣的主要作用：針對每項具體風險提出針對性的控制措施；將各項風險控制措施與目前企業(yè)的管理制度進行對標，根據(jù)風險控制文檔的內(nèi)容對制度中涉及風險防控的內(nèi)容進行更新。對應目標編號控制目標對應風險

事件編號風險事件描述三級節(jié)點控制措施編號控制措施描述控制措施

責任部門控制措施

責任崗位控制頻率預防性/檢查性手工/自動影響報

表科目對應制度涉及文檔CO02.01-02確保戰(zhàn)略制定的科學、合理R02.01.01-01發(fā)展戰(zhàn)略歸口管理不明確，可能導致發(fā)展戰(zhàn)略相關工作組織不系統(tǒng)，影響發(fā)展戰(zhàn)略的制定與實施。戰(zhàn)略歸口管理CA02.01.01-01發(fā)展戰(zhàn)略歸口管理

集團指定集團辦公室為發(fā)展戰(zhàn)略的歸口管理部門，具體負責戰(zhàn)略的匯總，戰(zhàn)略規(guī)劃及年度工作計劃的擬定，戰(zhàn)略的評估與考核等工作。集團辦公室秘書每年預防性手工無

部門職責CO02.01-02確保戰(zhàn)略制定的科學、合理R02.01.01-02在制定戰(zhàn)略目標過程中，缺乏充分的調(diào)研、科學分析和廣泛的征求意見，可能導致戰(zhàn)略脫離集團實際情況，影響戰(zhàn)略的實施。戰(zhàn)略信息收集CA02.01.01-02戰(zhàn)略信息收集與分析

集團在制定戰(zhàn)略目標時，集團各部室及下屬分子公司充分收集和利用內(nèi)外部信息，綜合考慮宏觀經(jīng)濟政策、國內(nèi)外市場需求變化、技術(shù)發(fā)展趨勢、行業(yè)及競爭對手情況、可利用的資源水平和自身優(yōu)勢與劣勢等影響因素，并綜合利用各種分析模型進行科學的分析，以確保戰(zhàn)略目標符合集團實際。集團各部室、下屬分子公司相關人員每年預防性手工無

CO02.01-02確保戰(zhàn)略制定的科學、合理R02.01.01-03缺乏明確的發(fā)展戰(zhàn)略或發(fā)展戰(zhàn)略制定不合理，可能導致集團盲目發(fā)展，難以形成競爭優(yōu)勢，喪失發(fā)展機遇和動力。戰(zhàn)略制定與審批CA02.01.01-03戰(zhàn)略目標擬定

集團制定五年發(fā)展戰(zhàn)略，首先集團各部室根據(jù)市場現(xiàn)狀、宏觀經(jīng)濟形勢、集團內(nèi)部資源能力提出戰(zhàn)略要求和目標并提交至集團辦公室匯總。集團各部室相關人員每年預防性手工無

集團各部室戰(zhàn)略目標初稿成果示例——成果矩陣成果矩陣的主要作用：對應目標編號控制目標現(xiàn)階段各單位內(nèi)控成果編制要求集團內(nèi)部控制體系正式文件包括：內(nèi)控手冊、風險清單。集團內(nèi)部控制體系過程文件包括：流程圖、成果矩陣。

其中內(nèi)控手冊中的流程圖即為過程文件的流程圖，二者對應一致；內(nèi)控手冊中的控制矩陣即為成果矩陣中的內(nèi)容，二者對應一致。各單位本階段內(nèi)控體系文件編制要求：本階段完成風險清單、流程圖和成果矩陣的編制工作

其中，風險清單需各單位參考集團對應流程的風險進行重新識別；流程圖可在紙張上手畫完成，為非正式文件；成果矩陣通過與集團相應業(yè)務流程對標并經(jīng)過適當增減完成。流程劃分中P09、P10為生產(chǎn)經(jīng)營管理、生產(chǎn)管理流程，為各單位核心業(yè)務流程，需各單位自行編制，對應的試點單位的該業(yè)務流程僅供參考。其他22個業(yè)務流程可與集團進行對標?，F(xiàn)階段各單位內(nèi)控成果編制要求集團內(nèi)部控制體系正式文件包括：內(nèi)49內(nèi)部控制成果具體編寫說明10內(nèi)部控制成果具體編寫說明內(nèi)控體系確定—業(yè)務流程劃分根據(jù)集團業(yè)務流程劃分進行對標確定本單位業(yè)務流程劃分確定各業(yè)務流程內(nèi)控成果編制的部門/崗位業(yè)務事項相同？——參考集團該部分業(yè)務流程劃分業(yè)務事項存在差異？——根據(jù)集團業(yè)務流程劃分進行調(diào)整本單位特有業(yè)務？——根據(jù)本單位實際情況進行本單位流程劃分形成本單位內(nèi)部控制體系框架明確內(nèi)控體系文件編制工作的職責分工內(nèi)控體系確定—業(yè)務流程劃分根據(jù)集團業(yè)務流程劃分進行對標確定本內(nèi)控成果了解1、通覽本業(yè)務流程的流程概覽（內(nèi)控手冊word文檔），了解該業(yè)務流程的流程框架；2、通覽本業(yè)務流程的流程圖（流程圖pdf文件），了解該業(yè)務流程業(yè)務操作模式、操作程序；3、通讀該業(yè)務流程的成果矩陣（excel文件），了解集團操作程序和在該業(yè)務流程對下屬各單位的管控要求。內(nèi)控成果了解1、通覽本業(yè)務流程的流程概覽（內(nèi)控手冊word文內(nèi)控成果概述風險與流程匹配后，對流程進行梳理為滿足以上要求，需做以下準備流程圖及流程描述成果矩陣（EXCEL）流程中各業(yè)務事項是如何發(fā)生、授權(quán)、執(zhí)行、記錄與監(jiān)督的信息傳遞的渠道、范圍針對各業(yè)務流程風險：企業(yè)現(xiàn)有控制措施有哪些（制度規(guī)范要求、流程描述）企業(yè)目前尚未明確或缺失的控制措施內(nèi)控成果概述風險與流程匹配后，對流程進行梳理為滿足以上要求，內(nèi)控成果編制步驟步驟一：編制“流程圖”

根據(jù)流程內(nèi)容、企業(yè)操作程序繪制流程圖。步驟二：準備“流程描述”

明確流程圖中的各個控制環(huán)節(jié)具體執(zhí)行的步驟步驟三：核對“流程圖”/“流程描述”，改進記錄文件。步驟四：編制“成果矩陣”

對標集團成果矩陣內(nèi)容

對標內(nèi)容與流程圖核對，補充完善控制措施

風險流程中可能發(fā)生的錯誤數(shù)據(jù)輸入可能發(fā)生遺漏交易未受到相應級別管理層的授權(quán)審批

數(shù)據(jù)輸入可能在未經(jīng)授權(quán)的情況下被更改內(nèi)控成果編制步驟步驟一：編制“流程圖”風險流程中可能發(fā)生的錯內(nèi)控成果編制步驟流程圖梳理業(yè)務操作程序，明確操作部門/崗位確認改流程各環(huán)節(jié)操作涉及的表單文檔刻畫流程圖1、流程圖名稱2、企業(yè)名稱3、流程圖編號4、流程圖內(nèi)容成果矩陣記錄流程描述中能與該流程識別出的風險對應的、起到風險管控作用的描述增加制度中對該業(yè)務的其他管理要求補充完善缺失/未完善的控制措施1、流程名稱2、控制目標3、該流程識別出的風險4、風險對應的控制措施5、控制措施執(zhí)行的責任部門/崗位6、對應制度、涉及表單流程圖與成果矩陣形成相互印證的文件內(nèi)控成果編制步驟流程圖梳理業(yè)務操作程序，明確操作部門/崗位1流程圖刻畫—業(yè)務流程梳理在熟悉集團業(yè)務流程的操作模式和要求后，根據(jù)本單位實際操作程序，編制刻畫本單位業(yè)務流程圖（可依據(jù)集團流程圖格式在紙張上畫本單位流程圖。流程圖刻畫要求：操作順序：從左到右，從上到下。由各業(yè)務事項的牽頭部門開始，涉及到的部門/單位從左到右依次排列。明確流程中每個環(huán)節(jié)的操作崗位。流程各操作環(huán)節(jié)涉及表單文檔明確。通過梳理刻畫流程圖，明確不同單位/部門在流程中的職責分工、權(quán)責分配，對業(yè)務操作模式予以固化。流程圖刻畫—業(yè)務流程梳理在熟悉集團業(yè)務流程的操作模式和要求后采購管理采購計劃管理采購計劃制定

采購計劃上報

采購計劃匯總

采購計劃切分

采購招標管理采購方式選擇

采購方案擬定

招標過程管理

采購評標管理供應商資質(zhì)審核

評標過程管理

采購合同的簽訂

采購驗收管理驗收計劃確認

組織采購驗收

退換貨管理

采購質(zhì)量反饋

采購付款管理采購收貨確認

使用單位對賬

供應商對賬

采購付款

采購付款記錄

供應商管理供應商選擇

供應商管理

供應商評價

供應商名單更新流程描述——三級節(jié)點確定根據(jù)集團內(nèi)控體系框架制定業(yè)務一級流程與集團二級流程進行對標，明確本單位二級流程劃分根據(jù)本單位業(yè)務管理模式，確定該二級流程的各操作環(huán)節(jié)，即三級節(jié)點（集團內(nèi)控手冊中的流程概覽的三級節(jié)點可參考）三級節(jié)點細化，形成各操作步驟，對操作步驟進行詳細描述第一層第二層第三層第四層示例內(nèi)控體系建設階段各業(yè)務流程梳理階段采購管理采購計劃管理采購計劃制定采購計劃上報采購計劃成果矩陣—定義成果矩陣就是將流程中所涉及的風險和對應的內(nèi)部控制措施進行匯總，對缺失的控制環(huán)節(jié)予以補充完善，最終形成企業(yè)健全完整的控制程序的一種矩陣表格。成果矩陣—定義成果矩陣成果矩陣—對標成果矩陣對標內(nèi)容成果矩陣—對標成果矩陣對標內(nèi)容成果矩陣—對標控制措施對標要求：集團原則性的要求，可依照集團要求填寫集團操作性的要求，根據(jù)本單位流程圖中的操作程序填寫編制操作內(nèi)容與集團進行對接的，寫到與集團對接部門即可成果矩陣—對標控制措施對標要求：成果矩陣—對標控制措施對標要求：與集團所有控制措施進行對標，完成本單位成果矩陣的控制措施描述。集團矩陣中可與本單位進行對標的，則進行對標修改；集團矩陣中的控制措施不適用本單位的，則注明不適用。成果矩陣—對標控制措施對標要求：成果矩陣—對標控制措施對標要求：與集團所有控制措施對標完成后，拿對標的控制措施與本單位流程圖進行核對。流程圖中有，但對標矩陣缺失的，則在excel表中插入行，對缺失的控制措施予以補充完善。插入行：對比本單位刻畫的流程圖，增加的控制措施成果矩陣—對標控制措施對標要求：插入行：對比本單位刻畫的流程成果矩陣對標責任部門/崗位對標要求：每條控制措施需明確控制措施的責任部門、責任崗位，牽涉到多個部門、崗位的，全部填寫上，依照部門、崗位的重要性程度依次列示。明確控制措施的責任部門明確控制措施的責任崗位成果矩陣對標責任部門/崗位對標要求：明確控制措施的責任部門明成果矩陣對標控制活動發(fā)生頻率：每日多次（一年發(fā)生次數(shù)大于365次）每天（一年發(fā)生次數(shù)大于52次，小于等于365次）每周（一年發(fā)生次數(shù)大于12次，小于等于52次）每月（一年發(fā)生次數(shù)大于4次，小于等于12次）每季度（一年發(fā)生次數(shù)大于2次，小于等于4次）每年（一年發(fā)生次數(shù)為1次）發(fā)生時（一年發(fā)生次數(shù)不確定，平均少于1次）控制頻率、控制活動性質(zhì)對標要求：控制頻率：控制措施每年平均發(fā)生的頻率，根據(jù)本單位實際情況進行認定控制活動性質(zhì)：手工控制/信息系統(tǒng)自動化控制；事前預防性控制/事后檢查性控制。成果矩陣對標控制活動發(fā)生頻率：每日多次（一年發(fā)生次數(shù)大于36成果矩陣—對標成果矩陣編制要求：對應制度即控制措施要求是否在公司制度規(guī)范文件中有相應要求，如有，填上制度名稱；涉及文檔即該條控制措施操作時留下的操作痕跡（表單），可以是書面的也可以是電子版的，也可以是信息系統(tǒng)某個操作界面?？杖睍r，需對制度進行補充完善明確表單名稱成果矩陣—對標成果矩陣編制要求：空缺時，需對制度進行補充完善成果矩陣—控制措施寫作方法寫作要素：成果矩陣—控制措施寫作方法寫作要素：成果矩陣—控制措施寫作方法寫作要素：五個要點（4W1H）誰？（who）——控制措施的執(zhí)行者什么時候？（when）——控制措施的執(zhí)行時間做什么？（what）——控制措施產(chǎn)生的結(jié)果怎么做？（how）——控制措施過程的具體描述為什么？（why）——控制措施的具體目標和作用“事無巨細”用簡單句用統(tǒng)一的語言名稱和稱謂成果矩陣—控制措施寫作方法寫作要素：五個要點（4W1H）成果矩陣—控制措施寫作方法成果矩陣—控制措施寫作方法成果矩陣—控制措施寫作方法成果矩陣—控制措施寫作方法成果矩陣—編號規(guī)則1、控制目標編號：如資產(chǎn)管理中的一個控制目標編號CO13.01-02：其中CO表示控制目標，13表示資產(chǎn)管理的一級流程編號，01表示集團總部代碼，02表示該目標為本流程第二個目標。集團內(nèi)控體系控制目標已梳理完畢，各單位僅需修改控制目標編號的公司代碼部分。如某單位的公司代碼為16，則對標時，即可修改為CO13.16-022、對應風險事件編號：如資產(chǎn)管理中的一個風險事件編號R13.01.01-07：其中R表示風險，13表示資產(chǎn)管理的一級流程編號，01表示集團總部代碼，第二個01表示資產(chǎn)管理流程中的第一個二級流程，07表示該流程的第7個風險事件。每個業(yè)務流程風險事件識別完畢后，對風險事件末尾部分進行流水編號，并修改風險事件編號的公司代碼部分。如某單位的公司代碼為16，則對標時，即可修改為R13.16.01-073、控制措施編號：如資產(chǎn)管理中的一個控制措施編號CA13.01.01-07：其中CA表示控制措施，13表示資產(chǎn)管理的一級流程編號，01表示集團總部代碼，第二個01表示資產(chǎn)管理流程中的第一個二級流程，07表示該流程的第7個控制措施。在每一個二級業(yè)務流程，從第一條到最后一條控制措施，編號前半部分相同，最后一部分流水號編制。成果矩陣—編號規(guī)則1、控制目標編號：如資產(chǎn)管理中的一個控制目RISK風險目標企業(yè)經(jīng)營

風險，指未來的不確定性對企業(yè)實現(xiàn)其經(jīng)營目標的影響。

--國資委《中央企業(yè)全面風險管理指引》其中，目標可以有不同的方面，例如：財務、健康和安全、以及環(huán)境目標。目標同時可以適用于不同的層面，例如：戰(zhàn)略、整個組織、項目、產(chǎn)品和過程。

影響是企業(yè)日常經(jīng)營過程中因不確定性因素導致實際后果與預期結(jié)果的偏離（積極和/或消極）風險清單-風險定義RISK風險目標企業(yè)經(jīng)營風險，指未來的70風險清單-風險評估主體由企業(yè)(內(nèi)部控制建設牽頭部門)組織有關職能部門和業(yè)務單位實施公司級層面，高級管理層應該參與評估活動。部門級層面，部門管理層和關鍵流程責任人應該參加評估活動。在有些情況下，對獨特的業(yè)務風險有獨特了解的人應該參與評估工作。在其他情況下，董事會可能也需要參與。風險評估一定要全員參與風險清單-風險評估主體由企業(yè)(內(nèi)部控制建設牽頭部門)組織有關71風險清單-風險管理邏輯風險清單-風險管理邏輯72風險清單-風險辨識風險辨識是指查找企業(yè)各業(yè)務單元、各項重要經(jīng)營活動及其重要業(yè)務流程中有無風險，有哪些風險。風險辨識的思路：本部門涉及到哪些重要流程？這些流程有哪些關鍵目標？影響這些關鍵目標實現(xiàn)的因素有哪些？風險清單-風險辨識風險辨識是指查找企業(yè)各業(yè)務單元、各項