1、集團企業內控與風險管理客戶需求分析產品總體架構產品詳細解決方案產品應用價值客戶案例國內外內控規范發展的歷程回顧國內法規對內部控制概念的定義董事會負責內部控制的建立健全和有效實施。監事會對董事會建立與實施內部控制進行監督。經理層負責組織領導企業內部控制的日常運行。企業成立專門機構或者指定適當的機構具體負責組織協調內部控制的建立實施及日常工作。內部控制的目標： 企業經營管理合法合規 資產安全 財務報告及相關信息真實完整 提高經營效率和效果 促進企業實現發展戰略內部控制，是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。- 摘自財會20087號 企業內部控制基本規范監管機構對企

2、業內控體系建設提出具體要求2011年中國證監會主席郭樹清在上海公司治理論壇上指出，監管層將進一步促進和完善公司治理。自2012年1月1日起，國家相關部委聯合發布的企業內部控制規范的監管范圍將由試點擴大到主板上市公司，并將在中小板和創業板上市公司擇機實行。監管要求（五部委）企業內部控制基本規范企業內部控制配套指引實施范圍2011年1月1日境內外同時上市的公司2012年1月1日主板上市公司擇機中小板、創業板上市公司鼓勵非上市大中型企業與此同時，國內不斷曝光的由于內控缺失給企業帶來巨大損失的典型案例，也凸顯出內控體系建設的重要性中航油事件-對子公司內控失效-導致巨額虧損在新加坡風光無限的陳久霖在新加

3、坡被捕的陳久霖為什么要加強內部控制-教訓-中航油事件做了國家明令禁止的事情違規交易未及時匯報母公司不聞不問為什么要加強內部控制-教訓-中石油事件中石油大連分公司-內部制度執行不到位，制度設計不到位-導致安全事故事故現場處罰決定（ /11/1126/03/7JOM99TU00014JB6.html ）經查，這起事故的直接原因是： 中油燃料油股份有限公司委托上海祥誠公司使用天津輝盛達公司生產的含有強氧化劑過氧化氫的“脫硫化氫劑”，違規在原油庫輸油管道上進行加注“脫硫化氫劑”作業中國石油國際事業有限公司（中國聯合石油有限責任公司）及其下屬公司安全生產管理制度不健全，未認真執行承包商施工作業安全審核制

4、度中油燃料油股份有限公司未經安全審核就簽訂原油硫化氫脫除處理服務協議中石油大連石化分公司及其下屬石油儲運公司未提出硫化氫脫除作業存在安全隱患的意見；中國石油天然氣集團公司和中國石油天然氣股份有限公司對下屬企業的安全生產工作監督檢查不到位為什么要加強內部控制-教訓-中石油事件農業銀行邯鄲支行現金被盜事件-內部控制缺失-導致現金被盜主犯處罰決定為什么要加強內部控制-教訓-農行事件為什么要加強內部控制-教訓-農行事件國務院調查組調查結論：邯鄲農行現金被盜的結論：邯鄲農行對巨額現金被盜負有推卸不了的責任：其一農行制度不嚴，措施不利。其二，領導高高在上，官僚主義。其三，人防、技防形同虛設，害人害己。其四

5、對職工的教育和監管不夠，拜金主義惡性膨脹。其五農行企圖掩蓋真相,拖延報案時間.因此，“對外滿足合規，對內提升管理”構成了企業開展內控體系建設的雙重動因在當今激烈的市場競爭環境下，為提高企業經濟利益，增強企業核心競爭能力，加強企業內部控制越來越顯示出其不可替代的作用。 做好內部控制管理是企業可持續發展的永恒不變的有效途徑，加強企業內部控制對提高企業經營管理水平、風險行為防范能力、確保企業戰略目標得以實現具有重大意義。從構建合規內控為基礎逐步提升企業管理能力，幫助企業持續發展數據顯示世界500強企業平均壽命42歲，一般性跨國公司平均壽命12歲，中國企業平均壽命9歲，中國民營企業的平均壽命2.9歲。

6、內控部門的核心任務就是梳理風險、優化流程，從企業管理的角度打通以部門為界限的設計工作，幫助企業成為“百年老店”。以風險為導向，以控制為中心，以提升為目的以內控合規為目標控制大的風險表現為“家法家規”解決有無的問題以提升管理能力為目標將內控與日常管理結合把內控作為一個管理工具，幫助企業完成績效指標更多的自動控制管理內控以提升內控工作價值為目標有效利用有利風險為企業各部門提供咨詢服務更多的預防性控制價值內控合規內控客戶需求分析產品總體架構產品詳細解決方案產品應用價值客戶案例產品總體應用目標保障戰略目標落實有效形成企業內控三道防線CEO(管理層）第三道防線第二道防線第一道防線業務部門董事會風險管理內

7、部審計業務部門審計委員會風險管理委員會添加標題風險收集識別分析風險評估管理策略應對方案監督與評價風險控制實施方案手冊制訂手冊審核手冊發布手冊發放測評改進實施審計審計報告審計處理決定審計復審審計計劃信息系統全方位一體化應用，降低審計成本滿足外部合規要求相關標準政策法規SOX企業內控基本規范企業內控應用指引企業內控評價指引企業內控審計指引COSOISO38500ISO27000COBITITSS整體解決方案治理結構治理目標組織架構業務流程風險識別風險收集風險分析治理方案設計風險管理策略風險應對方案風險評估風險評估重大風險認定內控手冊管理制訂版本管理監控及預警訪問安全控制發布風控指標突發事件監控監督

8、及改進測試自評缺陷分析及認定整改及跟蹤統計分析報告管理績效管理計劃管理項目管理審計作業審計方案審計報告審計底稿審計整改審計問題審計工具數據抽樣數據分析經營指標預警審計方法預警檔案管理審計IT管理系統治理體系設計控制實施監督改進問題管理變更管理配置管理項目管理供應鏈財務UAP平臺企業服務總線實時數據集成結構化/非結構化數據管理規則引擎預警管理風控矩陣知識庫業務流程控制業務系統第一道防線第二道防線第三道防線企業治理客戶需求分析產品總體架構產品詳細解決方案產品應用價值客戶案例第一階段：項目啟動與計劃階段項目階段項目啟動與計劃階段內控梳理對標階段內控整改固化階段內控自我評價階段接受外部審計、董事會報告

9、及持續運行階段建立內控體系建設聯合項目組，定義項目職責分工進行定量定性的專業分析，確定項目具體工作范圍并搭建業務流程總體框架確定及細化項目推進計劃參加啟動大會并對項目組成員進行內控相關知識培訓結合業務流程總體框架，識別出與關鍵風險對應的重大業務流程編制項目交付品模板建立內控體系建設聯合項目組共同參與制定項目小組工作職責和項目日常管理制度 提供范圍確定所需要的資料項目小組成員參與討論、審核項目總體范圍和推進具體計劃協調安排項目啟動會相關事宜協調、安排相關人員接受訪談 對用友的工作成果進行及時反饋聯合項目小組成員名單及聯絡表風險調查問卷訪談計劃訪談提綱訪談紀要業務流程總體框架項目推進具體計劃 啟動

10、會材料項目交付品模板主要工作內容需貴公司配合事項工作成果建立內控管理組織與崗位體系集團可以根據行業、地域不同建立多個內控組織范圍；建立標準的崗位與職責分工；對集團內部各層級的風險加以識別支持集團全面風險管理問卷的設計、下發與信息上報管理。實現集團多級風險評估管理支持多層級多部門風險評估運作機制；支持風險評估標準與模型建立；支持評估結果自動選取標準重要風險認定與評估結果分析支持風險排序與重大風險確定管理；支持集團級風險評估審核與上報管理；支持多宗風險評估結果熱圖分析第二階段：內控梳理對標階段項目階段項目啟動與計劃階段內控梳理對標階段內控整改固化階段內控自我評價階段接受外部審計、董事會報告及持續運

11、行階段結合企業內部控制基本規范和配套指引，組織對高級管理層、業務流程負責人訪談，形成風險控制矩陣對發現的內部控制缺陷，提出整改方案分析各流程的管控現狀和整改需求協助安排與相關人員的訪談協助與相關人員進行缺陷問題的溝通及時安排對用友出具的流程改進意見的審閱工作并進行反饋和討論公司層面及業務流程層面風險控制矩陣流程描述流程圖流程內控設計缺陷匯總表及管理建議書階段性匯報材料主要工作內容需貴公司配合事項工作成果建立企業內控體系和流程標準支持跨公司的業務流程定義；支持業務流程在不同的子集團、公司存在不同的業務環節；集團內部不同行業執行不同的業務流程標準形成風險控制矩陣和相關流程制度針對集團各公司的業務，

12、編制對應的內控矩陣、手冊，包括業務目標、可能產生的風險、各個流程環節設置哪些控制點，控制對應的監督檢查方法，實施的業務部門和監督部門以及該業務流程相關的各種圖表、流程圖、制度等資料。內部控制穿行測試根據內控措施中要求的監督部門和業務部門，進行多次控制措施的自我評測；第三階段：內控整改固化階段項目階段項目啟動與計劃階段內控梳理對標階段內控整改固化階段內控自我評價階段接受外部審計、董事會報告及持續運行階段- 提供內控缺陷報告與流程負責人討論缺陷報告的初稿，修改缺陷報告并定稿確定并下發整改計劃根據用友提出的管理建議進行整改監督整改的落實情況確認內部控制手冊管理建議書內部缺陷報告階段性匯報材料主要工作

13、內容需貴公司配合事項工作成果根據內部控制點測試報告進行整改跟蹤業務部門的整改進度和效果；分析風險控制的執行效果確定后的控制矩陣和相關資料形成內控手冊經過審核后的內控手冊由集團統一發布，形成版本信息；允許不同公司針對同一個業務流程采用不同的控制和監督方法，體現各自的管理特色。第四階段：內控自我評價階段項目階段項目啟動與計劃階段內控梳理對標階段內控整改固化階段內控自我評價階段接受外部審計、董事會報告及持續運行階段設計控制測試模板編寫內控測試指導手冊提供內控運行測試方法培訓 在公司對各環節內部控制進行抽樣測試過程中，給予充分的技術支持根據內控運行缺陷，提出整改建議擬定內控自我評價報告確認內控測試指導

14、手冊 組織安排測試人員 協調各部門流程責任人對測試發現的缺陷進行確認確認整改方案監督整改方案執行情況確認內控自我評價報告測試指導手冊內部控制測試底稿內部控制測試培訓材料控制測試結果內控自我評價報告階段性匯報材料主要工作內容需貴公司配合事項工作成果集團多層級內部控制的自我評價根據內控措施中要求的監督部門和業務部門，進行多次控制措施的自我評測；分析風險控制的執行效果。信息系統安全監控全景權限監控關鍵用戶權限監控關鍵角色權限監控關鍵功能權限監控關鍵流程權限監控權限監控系統管理員權限集團管理員權限普通管理員權限特權監控離職人員帳號監控調配人員帳號監控不明身份人員帳號監控密碼設置策略監控密碼修改監控事前

15、控制：控制互斥職責授權事后監控：反應互斥職責稽核 結果互斥職責稽核密碼安全監控系統管理員授權監控集團管理員授權監控普通管理員授權監控授權監控賬號實施管理監控應用信息系統提供持續有效的信息系統安全監控支持內控IT審計對于信息化系統的控制要求密碼策略分析報告；權限變更報告；關鍵授權監控報告；實現系統控制的業務職責分離檢查根據內控職責分離要求，通過IT風險監控系統的對人員的授權合理性進行判斷；定期修訂內控手冊，與時俱進根據評價的結果，修訂相關的內控手冊，形成新的版本；不同版本之間可進行對比分析；不同業務流程也可進行對比分析。第五階段：接受外部審計、董事會報告及持續運行階段項目階段項目啟動與計劃階段內

16、控整改固化階段內控自我評價階段接受外部審計、董事會報告及持續運行階段內控梳理對標階段主要工作內容需貴公司配合事項工作成果協助公司與外部審計師溝通對2012年內部控制工作開展情況進行總結，編制內控總結匯報材料對2013年內部控制工作進行規劃，制定工作規劃方案對2012年內控項目總結報告進行溝通確認對2013年內控項目規劃方案進行溝通確認本年度內控工作總結匯報材料下年度內控工作規劃方案內控審計平臺實現與外部審計的對接客戶需求分析產品總體架構產品詳細解決方案產品應用價值客戶案例NC6集團企業內控與風險管理解決方案價值構建體系（事前）完善企業內控管理體系，滿足合規監管要求構建內控組織、人員和作業流程的

17、集中管控平臺內控常態化（事中）將風險內控管理與業務管理相融合，促進內控常態化實現風險識別、評估和應對控制的流程化、標準化管理管理優化（事后）通過內控自測和系統自動監控，提高內控執行的監管效率內控測試數據分析與報告，推進內控持續優化客戶需求分析產品總體架構產品詳細解決方案產品應用價值客戶案例項目背景項目方案項目價值禾嘉股份是一家在上海證交所上市的公司，主要從事汽車零配件、特種大口徑高壓閥門制造及種子繁育銷售的混合型集團公司 。隨著公司的不斷發展，管理層意識到了公司原有內部控制制度的不足以及為了滿足監管機構對 上市公司內控制度的要求，公司希望建立更加完善、有效的內部控制制度。對控股公司及下屬其子公

18、司的公司層面以及流程層面進行內控評價，采用調查問卷、編制內部控制風險矩陣、穿行測試、內控樣本測試等方法對公司內部控制制度進行測試、評價，并對測試、評價過程中發現的薄弱環節與缺陷提出整改建議，協助公司建立健全多層級的管控體系，協助管理層編制流程層面的內部控制制度、規范及操作模版。指導設立內部控制部門，由該部門負責公司內控制度的改進、施行與監督按照COSO內控框架的標準建立了內部控制制度大大改善了公司管理制度比較欠缺、制度執行不力的局面優化了管理結構，降低了企業風險滿足財政部等五部委關于上市公司內部控制的要求案例1：禾嘉股份公司項目背景項目方案項目價值滿足財政部等部委對上市公司提出的內部控制合規要求 建立內部控制體系，通過規范化的內控制度體系，提升企業的管理水平 建立多層級的內部控制體系的分析、監控、處置和報告機制對公司總部和分子公司的管控體系進行評估，并對多個關鍵管理流程的內控執行的有效性進行測試。對評估和測試過程中發現的薄弱環節與缺陷提出整改建議，協助公司建立健全多層級的風控管理體系；基于以上工作對公司管理流程和內部控制進行書面化，形成各項內控制度。協助客戶建立內控自我評估體系通過ERP、OA及企業業務系統