內(nèi)控體系建設手冊

1、全面風險管理與內(nèi)控體系建設內(nèi)控體系建設操作手冊一、內(nèi)控簡介31、為什么談內(nèi)控32、什么是內(nèi)控53、為什么要做內(nèi)部控制體系建設64、內(nèi)控體系形成的文檔錯誤!未定義書簽。二、流程體系框架梳理81、基本概念82、流程體系框架梳理方法8三、公司層面風險識別131、公司層面風險評估的目的132、公司層面重大風險的識別與評估13四、業(yè)務流程體系的梳理201、繪制流程圖202、流程描述編制273、風險控制矩陣文檔的編制294、風險數(shù)據(jù)庫的編制325、控制文檔的編制356、缺陷跟蹤報告的編制36五、內(nèi)控建設項目最終形成的報告381、內(nèi)部控制手冊382、管理建議書393、業(yè)務流程體系文件404、全面風險管理報告

2、405、編制權(quán)限指引表4044、內(nèi)控簡介1、為什么談內(nèi)控2010年豐田事件從2010年1月份開始，因油門踏板等問題，豐田汽車先后宣布從美國、加拿大、歐洲和中國召回汽車共計近445萬輛汽車，加上2009年從美國市場召回的凱美瑞、普瑞斯等車型共計近420萬輛，豐田公司的問題車輛在850萬輛以上，超過其2009年全球698萬輛汽車的銷量水平。據(jù)測算，每輛被召回的汽車維修費用約25美元（約157元人民幣）至30美元（約188元人民幣），不包括人工成本。按照召回800萬輛計算，豐田此次維修費用損失高達2億美元（約12.5億元人民幣）至2.4億美元（約15億元人民幣）。豐田汽車一直是全球汽車企業(yè)的標桿和制

3、造業(yè)精細管理的楷模。本次龍頭企業(yè)出現(xiàn)如此大規(guī)模的召回事件，具有一定的行業(yè)代表性，即豐田召回事件是汽車行業(yè)現(xiàn)有經(jīng)營模式弊端的集中體現(xiàn)，綜合多方分析，豐田汽車發(fā)生大規(guī)模召回事件的原因主要有以下幾個方面：（ 1） 、發(fā)展戰(zhàn)略出現(xiàn)偏差，過分注重擴大規(guī)模。在過去的10年間，豐田海外生產(chǎn)基地和產(chǎn)量持續(xù)大規(guī)模增加，使質(zhì)量監(jiān)管體系力所不及。（ 2） 、利用規(guī)模優(yōu)勢壓價采購零部件，造成產(chǎn)品質(zhì)量難以保障。（ 3） 、盛名至上企業(yè)“顧客至上”的理念有所松動，不干實事求是的面對產(chǎn)品缺陷和質(zhì)量問題。過分強調(diào)削減成本，部件設計開發(fā)和實證試驗階段必要的程序也在簡化等。（ 4） 、零部件采購體系單一。與美國公司“同時選擇2-

4、3家供應商，使之互相競爭”不同，豐田建立了與供應商密切合作的關(guān)系，并持有核心零部件供應商的部分股份。我公司實例：（一）合同風險類（1）合同主體問題集團公司某銷售部門簽訂了一份產(chǎn)品銷售合同，合同約定我公司為賣方，對方為買方，付款方為第三方，但合同只有我公司與對方簽字與蓋章，付款方?jīng)]有簽字和蓋章，而公司卻一直向第三方催款，造成該款多年未能收回。這是一份典型的為第三方設定義務的合同，合同要對第三方生效，必須取得第三方的同意與確認，即第三方必須在合同上簽字和蓋章，才能對第三方即付款方產(chǎn)生效力。出現(xiàn)這種情況的原因是我們的合同簽訂人員對合同法不了解，同時沒有履行合同的審批程序，造成合同在實際履行中無法落實

5、付款單位。（2）合同執(zhí)行問題合同簽訂后的執(zhí)行十分重要，一份好的合同如果執(zhí)行不當同樣會給公司造成不好的后果，比如在集團公司總部包括子分公司都出現(xiàn)這樣的合同執(zhí)行情況，合同明明約定先款后貨，但我們在實際執(zhí)行中對方尚未付款，我們卻已經(jīng)將貨發(fā)了，造成后期貨款催收的困難，使一份本來結(jié)公司很有利的合同瞬間變?yōu)橐环莺蠊缓玫暮贤?，究其原因很顯然是我們在合同執(zhí)行中沒有嚴格按照合同的規(guī)定去履行，同時缺乏有效的監(jiān)管。（3）人力資源類2008年勞動合同法的頒布對公司人力資源的管理帶來很大的影響，集團公司總部現(xiàn)在所有的原勞務工全部交由勞務派遣公司管理，這在一定程度上避免和減小了人力資源風險，但集團公司下屬的一些子分公司

6、現(xiàn)在仍對勞務工沒有進行很好的管理，沒有簽訂合同也沒有采取勞務派遣的方式，這樣的法律后果是非常嚴重的。近兩年來集團公司及其下屬子分公司均不同程度的發(fā)生類似糾紛，處理不好將引起全面反應，這將提醒我們要加強人力資源的管理，按照法律規(guī)定和企業(yè)實際制訂切實可行的人力資源政策。2、什么是內(nèi)控2006年，國務院國資委出臺中央國有企業(yè)全面風險管理指引，2008年，財政部、證監(jiān)會等五部委出臺企業(yè)內(nèi)部控制基本規(guī)范，2010年，五部委出臺基本規(guī)范配套指引，年財政部耗時6個月，完成企業(yè)內(nèi)部控制審計-政策解讀與操作指引，2009年，中國中鐵股份有限公司下發(fā)關(guān)于全面開展內(nèi)控體系建設相關(guān)工作的通知，2012年證監(jiān)會下發(fā)關(guān)于

7、做好2012上市公司建立健全內(nèi)部控制規(guī)范體系監(jiān)管工作的通知，這些文件，是我們寶橋集團開展內(nèi)部控制體系建設的綱領性文件。從這些文件中，我們從四個方面提煉一下內(nèi)部控制的基本概念：（1）是什么：內(nèi)部控制體系是保障企業(yè)目標實現(xiàn)的管理過程。（2）誰來做：公司的董事會、經(jīng)營層和全體員工。（3）為什么做：保障企業(yè)戰(zhàn)略、經(jīng)營、財報、合規(guī)和資產(chǎn)安全目標實現(xiàn)。（4）怎么做：持續(xù)的過程。這里，我們要特別強調(diào)的一點是內(nèi)部控制體系在企業(yè)內(nèi)部不是新生的，不是獨立于我們?nèi)粘Ｉa(chǎn)經(jīng)營活動新增加的一項管理活動。企業(yè)在未進行體系建設之前，已經(jīng)存在大量的內(nèi)部控制的活動、機制和方法。而內(nèi)部控制體系建設的目的是把這些已經(jīng)存在的內(nèi)控活動

8、、機制和方法用系統(tǒng)化、標準化和規(guī)范化的手段進行梳理、識別和評價，最終目的是保證公司的內(nèi)部控制能夠?qū)崿F(xiàn)體系化、規(guī)范化和標準化。3、為什么要做內(nèi)部控制體系建設內(nèi)控體系建設可以說是勢在必行、刻不容緩。企業(yè)建設內(nèi)部控制體系建設，存在外在壓力和內(nèi)在動力，其中：外在壓力是指上述國資委、證件會等政策文件的要求。特別是五部委出臺配套指引的通知，對上市公司提出了明確的時間表。我們寶橋集團隸屬于中國中鐵股份有限公司，是屬于境內(nèi)外上市企業(yè)，根據(jù)通知要求，我們必須于2011年1月1日開始實施有效的內(nèi)部控制體系，尤其是國資發(fā)評價【2012】68號文關(guān)于加快構(gòu)建中央企業(yè)內(nèi)部控制體系有關(guān)事項的通知，要求將內(nèi)部控制建設與執(zhí)行

9、效果納入到績效考核體系當中，這些是國家層面的強制要求。每年會計師事務所要對內(nèi)部控制體系設計與運行的有效性發(fā)表審計意見，出具審計報告，并且公開披露。內(nèi)部動力是指隨著寶橋集團的發(fā)展規(guī)模不斷壯大，業(yè)務范圍不斷拓展，外部市場環(huán)境不斷變化，內(nèi)部管理需要能夠具備風險防控的意識和體系化管理的手段，來不斷地化解來至內(nèi)外部發(fā)展的風險，并且能夠明確組織、授權(quán)、流程、制度等基本管理工具，并且講話這些工具的運用與執(zhí)行，以提高我們的管理效率，理清我們的管理鏈條，加強我們應對風險的反應能力，并增強我們應對風險事件的處理能力。4、內(nèi)控體系基礎理論知識我們通常所講的內(nèi)部控制是指基于全面風險管理的內(nèi)部控制，它涉及兩個方面：全面

10、風險管理和內(nèi)部控制。企業(yè)全面風險管理強調(diào)通過量化分析支撐下的決策分析，在決策層面上管控戰(zhàn)略方向選擇、重大業(yè)務決策等方面的風險。相形之下，COSOM險管理框架以內(nèi)控為中心，強調(diào)通過制度、流程和財務等手段，在業(yè)務層面上管控運營、操作過程中的風險。它可以在企業(yè)整體層面制定風險戰(zhàn)略，構(gòu)建內(nèi)控體系，完善風險管理制度，優(yōu)化流程和組織職能，為企業(yè)構(gòu)建風險管理的長效機制，從根本上提升風險管理的效率和效果，最終幫助企業(yè)實現(xiàn)風險管理的各項目標，包括：（1）公司層面重大風險識別與評估?公司層面重大風險數(shù)據(jù)庫?公司層面重大風險分布圖（2）梳理內(nèi)部控制流程體系，規(guī)范和改進內(nèi)部控制流程體系各業(yè)務模塊的流程體系文件，具體包

11、括：?業(yè)務流程體系框架?各業(yè)務流程的流程圖?各業(yè)務流程的流程描述?各業(yè)務流程的風險控制矩陣?各業(yè)務流程的風險數(shù)據(jù)庫?各業(yè)務流程的控制文檔?各業(yè)務模塊的管理建議報告（3）項目總結(jié)報告工作?管理建議報告（包含各業(yè)務模塊的管理建議）?內(nèi)部控制管理手冊（包含體系框架分冊、內(nèi)部環(huán)境分冊、風險評估分冊、控制活動分冊、信息與溝通分冊、內(nèi)部監(jiān)督分冊）二、流程體系框架梳理1、基本概念流程體系框架提供了一種流程設計的思路，通過分類分級，形成企業(yè)級的流程分類分級清單，將企業(yè)內(nèi)的流程進行結(jié)構(gòu)化的整理和歸納，建立全局視圖。企業(yè)流程框架體系的初步搭建，是整個流程管理工作的開始，也是非常重要的一環(huán)，在完成打基礎、建框架的過

12、程中，實現(xiàn)流程管理理念的導入和流程文化的建設，為后續(xù)開展流程梳理及優(yōu)化等工作提供了很好的基礎。2、流程體系框架梳理方法流程體系框架在項目建設初期可根據(jù)公司章程、現(xiàn)有的部門職責、部門業(yè)務及規(guī)章制度建立健全等方面的問題，對高層管理人員、部門負責人及相關(guān)崗位責任人員進行了訪談，摸清公司大致的業(yè)務類別和運作方式，在此基礎上通過與部門負責人、部門分管領導反復溝通中初步制作一份體系框架，待業(yè)務流程訪談中逐步完善流程體系框架。一般來說，企業(yè)的各種業(yè)務流程可以劃分為三個層級。一級流程：一般根據(jù)企業(yè)的經(jīng)營范圍、企業(yè)持續(xù)經(jīng)營所必需的所有重要活動及管理職能劃分，例如人力資源管理、財務管理、生產(chǎn)管理、法律事務管理、綜

13、合管理及公司治理等。二級流程：在一級流程的基礎上，按照業(yè)務的類型進行劃分，例如人力資源管理可以劃分為人力資源配置管理、發(fā)展與培訓管理、薪酬與福利管理及績效評價與考核管理等。三級流程：在二級流程的基礎上，進一步劃分到具體的業(yè)務單元，例如人力資源配置管理可以劃分為：專業(yè)技術(shù)人才招聘流程、入職與簽訂勞務合同流程、見習管理流程、勞務派遣用工管理流程、員工內(nèi)部調(diào)動流程、離職離崗流程等。要注意的是，一級流程和二級流程是很容易劃分的，三級流程需要細分到每個操作單元。流程框架TI耀、性林_)心物 )避.計劃"理) - aaig 如何)也髀J4H精)i4ii>n taiMi制旗，碎 HMI &#

14、171; !Ji務H理_) n Of«)，其粒收二級黜人力資源配置_J發(fā)展郵J耦與聊I醵酬與考核)三雕程1蚓闞加J 刖由。馳!II 勃CU工tfl_虹j 部端M憫制髓犯月,施版專皿!髓科閶睛獨騰 BM*混L 看我w隹與才棣_ iMtitf 與a® ，社觸好的管建二 4蛆及QfSA郵!F- ,匚融區(qū)機管理 HAAIStt ,獨必獨一 土比公國UStWHt*與附I流程體系框架疏理的具體方法為：(1) .部門負責人訪談。了解的主要內(nèi)容為本部門負責的具體工作內(nèi)容及主要職責。通過部門負責人訪談劃分出該部門主責的一級流程和二級流程。(2) .部門職員訪談。了解的內(nèi)容為該職員負責的具體工

15、作內(nèi)容、主要職責及可參照的企業(yè)現(xiàn)有制度，通過部門基層職員的訪談，將二級流程進一步細分成三級流程。(3) .部門負責人及職員確認并修訂。將已劃分出的三級業(yè)務流程交給部門負責人和基層職員進行確認，并完成最終修訂。(4) .為已梳理出的流程進行編號。編號規(guī)則為：流程編號公式：一級流程英文單詞簡寫十二級流程編號十三級流程編號。例如：一級流程為財務管理模塊，取英文簡寫FM若為人力資源管理模塊，取英文簡寫HRM若為法律事務模塊，取英文簡寫LEA二級流程和三級流程按以上公式規(guī)則編號。業(yè)務流程框架清單模板如表所示流程編號一級流程二級流程三級流程責任部門相關(guān)制度或文件COG公司治理COG.01治理結(jié)構(gòu)COG.0

16、1.01董事會議事企業(yè)規(guī)劃部COG.01.02監(jiān)事會議事企業(yè)規(guī)劃部COG.01.03專業(yè)委員會議事企業(yè)規(guī)劃部COG.01.04總經(jīng)理辦公會議事公司辦公室COG.01.05董事會決議的執(zhí)行與督辦企業(yè)規(guī)劃部COG.02子公司治理管控COG.O2.O1子公司章程制定與修訂企業(yè)規(guī)劃部COG.O2.O2外派董事、監(jiān)事聘任企業(yè)規(guī)劃部COG.O2.O3子分公司領導選拔與任用人力資源部附：流程編碼對照表1公司治理CorporateGovernanceCOG集團治理以及集團參與子公司治理管控2管理結(jié)構(gòu)ManagementStructureMAS授權(quán)、組織機構(gòu)、制度體系、內(nèi)控體系、企業(yè)文化3戰(zhàn)略管理Strateg

17、icManagementSTM戰(zhàn)略目標及規(guī)劃體系4經(jīng)營計劃管理OperationPlanningandBudgetOPB經(jīng)營計劃、全面預算5資本運營CapitalManagementCAM金融投資、權(quán)益投資、固定資產(chǎn)投資等6科技管理ManagementofTechnologyMOT研發(fā)及科技項目7采購管理PurchaseManagementPUM物資、設備采購8生產(chǎn)管理ProductionManagementPRM排產(chǎn)、材料、成本、定額9市場營銷MarketingandSalesManagementMSM市場、銷售10倉儲物流WarehousingandLogisticsManagementW

18、LM倉庫、運輸、產(chǎn)成品11安全質(zhì)量環(huán)保Safety,QualityandEnvironmentalprotectionSQE安全、質(zhì)里、環(huán)保12長期資產(chǎn)管理Long-termAssetsManagementLAM固定資產(chǎn)、無形資產(chǎn)等計劃、驗收、使用、維修、計量、處置13財務管理FinancialManagementFIM資金、核算、財報、稅務、融資、分析14人力資源管理HumanResourcesManagementHRM勞動關(guān)系、發(fā)展、培訓、薪酬15綜合管理IntegratedManagementITM檔案、公文、車輛、會議16信息管理InformationManagementIFM信息化項

19、目、系統(tǒng)、運維17法律事務LegalAffairsLEA訴訟、合同、非訴法律事務18運營監(jiān)控BusinessControlBUC統(tǒng)計、內(nèi)審、監(jiān)察流程編號說明：一級流程用3位英文縮寫標識，二級流程用英文縮寫和2位順序碼標識，三級流程在二級流程編號的基礎上用".X”表示,X表示三級流程的順位。如一級流程為“戰(zhàn)略管理”，其下面的第一個流程為“公司戰(zhàn)略管理”，其下的第一個三級流程為“公司發(fā)展戰(zhàn)略規(guī)劃制定”，則編碼為：STM01.01三、公司層面風險識別1、公司層面風險評估的目的?滿足監(jiān)管部門和上級單位報送全面風險管理報告的要求。?通過風險識別和風險評估明確企業(yè)當前面臨的重大風險?使企業(yè)管理層

20、對當前企業(yè)面臨的重大風險有統(tǒng)一認識?實現(xiàn)風險評估結(jié)果的深化分析，對管理決策提供更充分支持。2、公司層面重大風險的識別與評估風險識別是指查找公司各項經(jīng)營管理活動中存在的影響目標實現(xiàn)的風險和機遇的過程。動態(tài)識別影響公司戰(zhàn)略目標及相關(guān)目標實現(xiàn)的內(nèi)部和外部的各種不確定性因素。(1)整體操作流程:風險識別:風險評估:(2)風險識別程序1)了解企業(yè)行業(yè)及管理需求例如：公司的核心業(yè)務是什么；標桿企業(yè)是誰；行業(yè)地位怎么樣；所處行業(yè)的發(fā)展情況；所處行業(yè)企業(yè)為什么能成功；企業(yè)曾經(jīng)出現(xiàn)過什么問題；什么因素制約企業(yè)發(fā)展；管理層的經(jīng)營理念；法律法規(guī)有什么要求等。2)收集初始信息圍繞公司戰(zhàn)略目標和相關(guān)目標及風險管理要求，

21、對可能影響集團公司戰(zhàn)略、市場、財務、運營和法律等各方面業(yè)務活動運營的信息進行了收集，包括收集歷史數(shù)據(jù)和未來信息，關(guān)注宏觀經(jīng)濟與經(jīng)營環(huán)境、競爭對手、新技術(shù)與新產(chǎn)品、海外經(jīng)營、公司重組、業(yè)務整合、會計政策、信息系統(tǒng)、資本運作等方面已經(jīng)發(fā)生和將要發(fā)生的變化情況。例如:廳P內(nèi)容1董事會或總經(jīng)理辦公會的有關(guān)會議決議2近幾年年公司經(jīng)營管理年度，作計劃3公司最新的組織機構(gòu)圖及部門職責分配4上年年度工作報告，主要領導講話5近幾年各部門工作總結(jié)6公司各部門現(xiàn)行的規(guī)章制度，手冊匯編等7公司近三年來發(fā)生的重大風險損失事件3）設計調(diào)查問卷問卷調(diào)查的重要信息主要來自于法律法規(guī)規(guī)定、行業(yè)風險、上級單位風險、企業(yè)特點等，調(diào)

22、查問卷已根據(jù)中鐵寶橋具體情況，并結(jié)合迪博企業(yè)風險管理技術(shù)有限公司相關(guān)行業(yè)數(shù)據(jù)庫設計完成。問卷中包含各項風險共64個，涉及戰(zhàn)略風險、財務風險、市場風險、運營風險、法律風險五大類，可直接進行使用。企業(yè)風險怦白眼有問卷崢月,叫E 事夏軍a費rt -t V- ? f- »，小A-即看辱/ ：上< H . 111 ： T-&工匚_七：芝品篤嗎口；町二苗"看WWWCK用是XT ”一":代/二嗎” ，年士工-毗-v魯 7»r - f -p - uffflB * 4事.在'ai*«i-*.TV士工產(chǎn)才工事!I*號3*廿*七山仁:聲聿七工施

23、EftlffiKWii克嬖*1%:居士f|M««HA一丁/'""5Y智一，?!*»£<F一，*:三產(chǎn)川年=昆齊/Fj？aiETVj，事07鼻三阡7-一，.7足4）發(fā)放問卷調(diào)查發(fā)放范圍：內(nèi)控項目組應盡量涵蓋向公司高層管理人員、中層負責人及業(yè)務主干發(fā)放公司層面風險評估調(diào)查問卷，要求參加答卷人就各風險之發(fā)生可能性及影響程度進行打分，并得出相應之風險等級，在此基礎上進行調(diào)查問卷的評分工作。問卷調(diào)查通過兩輪多次的循環(huán)驗證，最終使公司中高層對風險的理解和認識趨于一致。問卷評分標準:風險發(fā)生的可能性評分標準評分12345標準極低低中等

24、高極高一般情況下不會發(fā)生極少情況下才發(fā)生某些情況下發(fā)生較多情況下發(fā)生常常會發(fā)生舉例（注）今后10年內(nèi)發(fā)生的可能少于1次今后510年內(nèi)可能發(fā)生1次今后25年內(nèi)可能發(fā)生1次今后1年內(nèi)可能發(fā)生1次今后1年內(nèi)至少發(fā)生1次注：舉例中的對可能性判定標準的描述僅供您參考，可以根據(jù)自己對風險發(fā)生可能性的判定標準對問卷中風險發(fā)生的可能性進行判斷。風險影響重大性評分標準評分12345標準極輕微的輕微的中等的重大的災難性的舉例（注）財務損失較低輕微中等重大極大企業(yè)日常運行不受影響輕度影響（造成輕微的人身傷害，情況立刻受到控制）中度影響（造成一定人身傷害，需要醫(yī)療救援，情況需要外部支持才能得到控制）嚴重影響（企業(yè)失去

25、一些業(yè)務能力，造成嚴重人身傷害，情況失控，但無致命影響）重大影響（重大業(yè)務失誤，造成重大人身傷亡，情況失控，給企業(yè)致命影響）企業(yè)嚴含負面消息在企業(yè)內(nèi)部流傳，企業(yè)聲含沒有受損負面消息在當?shù)鼐植苛鱾?，對企業(yè)聲譽造成輕微損害負面消息在某區(qū)域流傳，對企業(yè)聲譽造成中等損害負面消息在全國各地流傳，對企業(yè)聲譽造成重大損害負面消息流傳世界各地，政府或監(jiān)管機構(gòu)進行調(diào)查，引起公眾關(guān)注，對企業(yè)聲譽造成無法彌補的損害注：舉例中對影響重大性判定因素及標準的列舉僅供您參考，可以根據(jù)自己對風險影響重大性的考慮因素和判定標準對問卷中風險發(fā)生影響的重大性進行判斷。風險調(diào)查問卷，將識別完成的風險按照發(fā)生可能性與影響程度，要求被調(diào)

26、查者進行打分。一般數(shù)據(jù)庫可以使用2-3年。5）統(tǒng)計回收結(jié)果，進行風險評估程序統(tǒng)計回收的調(diào)查問卷的打分情況，通過兩種方式進行定性和定量驗證：1、德爾菲調(diào)研2、集中度測試，獲取公司層面排位前十名的風險信息。運用統(tǒng)計學頻率分析以及正態(tài)分布檢測，判斷風險評估統(tǒng)計結(jié)論是否合理有效，如果風險調(diào)查統(tǒng)計結(jié)果不符合統(tǒng)計學正態(tài)分布形態(tài)，則將第一輪統(tǒng)計結(jié)果與不符項發(fā)送給選定調(diào)查對象，進行第二輪或第三輪評估打分，直至結(jié)果合理。通過評估驗證循環(huán)，將最終達成一致的風險評估結(jié)果作為排序依據(jù)，按分值從高往低排序選出管理層最關(guān)注的風險，并疏理出公司層面重大風險數(shù)據(jù)庫及對應之風險地圖。公司層面風險地圖模板：公司層面重大風險弓口口

27、1.004 00工0。1.005.001.004 00 只降可能性 i.oo圖1;公司層面率大E聆卡殊用風險城；中風險域說明：R2口-市布前或風險R4A質(zhì)量管現(xiàn)風I陛EL3-人力資源管狂風造I幗風除城R20競爭對于風隆的口瞬準命格瘋陶叩£-宏觀政施同展6）風險應對策略根據(jù)國家五部委發(fā)布的企業(yè)內(nèi)部控制基本規(guī)范及國資委中央企業(yè)全面風險管理指引，在公司層面風險評估的基礎上，對識別出來的公司重大風險，能夠充分考慮到風險的因素，并且圍繞著戰(zhàn)略目標，分析內(nèi)外部各項風險因素，制定重大風險應對策略和解決方案，最終形成全面風險管理報告。風險應對策略主要有以下幾種基本類型：風險降低：是企業(yè)在權(quán)衡成本效益

28、之后，準備采取適當?shù)目刂拼胧┙档惋L險或者減輕損失，將風險控制在風險承受度之內(nèi)的策略。風險降低具體包括風險對沖，風險控制，風險分散等方法，不同的實際情況適用不同的風險降低方法。常用的一種形式是風險分散，即通過分散的形式來降低風險，比如在多種股票而非單一股票上投資。公司還可以采用其他許多方法降低風險敞口，包括市場研究、地區(qū)及產(chǎn)品的多樣化、篩選和監(jiān)控客戶、外包、給產(chǎn)品定價時分配風險酬金、存貨或股權(quán)計入生產(chǎn)量中，以及推行已制定的程序，以將經(jīng)營風險降至最低。風險規(guī)避：是企業(yè)對超出風險承受度的風險，通過放棄或者停止與該風險相關(guān)的業(yè)務活動以避免和減輕損失的策略。采用風險規(guī)避的目的是，預期出現(xiàn)不利后果時，一并

29、化解風險。比如公司可以認為某個投資項目的風險發(fā)生的可能性很大而又不能承受也不能采取措施降低，公司則可以選擇退出投資項目，從而規(guī)避風險。風險分擔：是企業(yè)準備借助他人力量，采取業(yè)務分包，購買保險等方式和適當?shù)目刂拼胧?，將風險控制在風險承受度之內(nèi)的策略。采用風險分擔的目的是，將風險分擔給另一家公司或機構(gòu)。合同及財務協(xié)議是分擔風險的主要方式。分擔風險并不會降低其可能的嚴重程度，只是從一方移除后分擔給另外一方。分擔風險時，管理層應考慮各方的目標、轉(zhuǎn)移的能力、存在風險的情景以及成本效益。風險承受：是企業(yè)對風險承受度之內(nèi)的風險，在權(quán)衡成本效益之后，不準備采取控制措施降低風險或者減輕損失的策略。公司采取風險承

30、受的策略，或者是因為這是比較經(jīng)濟的策略，或者是因為沒有其他備選方法（比如降低、規(guī)避或分擔）。采用風險承受時，管理層需考慮所有的方案，即如果沒有其他備選方案，管理層需確定已對所有可能的規(guī)避、降低或分擔方法進行分析來決定承受風險。在考慮做出風險應對的過程中，管理層需要評估各種風險控制措施的成本，及風險發(fā)生可能性和影響程度降低所帶來的收益，選擇一種風險應對策略。將公司層面重大風險與業(yè)(注：對于識別出來的公司層面的重大風險要進行分解,務流程進行對接。為確保公司層面重大風險的管理能夠落到實處，公司應根據(jù)各重大風險涉及的相關(guān)業(yè)務內(nèi)容和控制目標，將公司層面重大風險進行層層分解，識別導致重大風險的眾多風險事項

31、，并將其與業(yè)務流程進行對接，評估與重大風險對接的流程的全流程控制措施是否存在和有效，保證風險管理工作真正落地)。四、業(yè)務流程體系的梳理業(yè)務流程梳理的整體操作流程:濘儕控刷.有效性風險數(shù)據(jù)庫控隹!丈檔決陷及改進建設在業(yè)務流程梳理過程中，共形成6個表單：流程圖、流程描述、風險控制矩陣、風險數(shù)據(jù)庫、控制文檔，下面逐一介紹6個表單的編制：1、繪制流程圖(1)流程圖的概念流程圖是以可視的方式，運用特定符號展示某一流程的一種形式，其意義在于幫助人們認識重要交易是如何生成、記錄，獲得授權(quán)并被處理和報告的。缺點是，無法展現(xiàn)“何時做”“如何做”等細節(jié)。（2）流程圖的核心要素?明確每個流程步驟的執(zhí)行部門及崗位。?

32、明確每個具體步驟的操作內(nèi)容。?明確每個步驟的輸入和輸出文檔。?明確流程的控制點。（3）、繪制流程圖的步驟1）部門負責人及職員訪談通過對部門負責人及職員的訪談，詳細了解每個三級流程的具體操作步驟、每個步驟的操作方法及注意事項等，訪談中特別要關(guān)注和識別流程中的控制點，例如某審核步驟、審批步驟，要在訪談中充分了解這些控制點的審核關(guān)注內(nèi)容、審批關(guān)注內(nèi)容等。2）收集該流程輸入和輸出的穿行測試資料及相關(guān)制度通過分析了解該流程中輸入和輸出的穿行測試資料及制度，可以輔助繪制流程圖。（穿行測試：跟單作業(yè)，選擇兩個樣本，檢查其在流程起點到終點期間，是否滿足設計的流程的所有要求，形成控制文檔或控制痕跡）3）用PB建

33、模軟件繪制流程圖PB常見流程圖符號的含義如表3所示。表3PB軟件流程圖符號對照表符號操作名稱簡介說明、一選擇選擇狀態(tài)。O開始流程開始的準備工作。日進程流程中具體步驟。框中數(shù)字為步驟編號，文字為步驟名稱。1HL一虛線組合框流程中同時進行的步驟。連線流程節(jié)點間的連接。o判定條件判斷?？蛑芯帉懪卸l件。表示對驟進行判定，根據(jù)判定結(jié)果，下，驟將分為兩條支線。o子流程表示流程與流程之間的關(guān)聯(lián)關(guān)系；流程中出現(xiàn)子流程，理解為流程的輸入或輸出。文檔流程輸入、輸出等相關(guān)的文件。A文字在連線上加入說明文字。CD結(jié)束符表小流程結(jié)束?？刂泣c表示該步驟為控制點，框中數(shù)字為控制點編號。流程圖例:國明幺輒主責歷槐z公司高管

34、也需繪制主貴崗位圉底，與聯(lián) 健普區(qū)的名稱保持一致，1主責俚位碓的妮咯.大小需保持一致.(4).流程圖繪制的要求國用作用；主骨的位圖樹肆冽晦中善步,的主貴崗也郎行人員,媒制于崗位所,第口職能芾區(qū)的下方,潞括動執(zhí)行人員在源程中的活動州在讀取艙帶下.使用說明和標淮I主貴崗14底與其所,的部門通取)相對應.使用該崗em正式全稱.4原n上，同一職能常內(nèi)的主責崗位按箕行政級劇由相測高的取序，從扭到右蚌列I如為同級制的按崗fiL則按活動步號的先后(序，從左到右柞列.睡愎金弱就u圖小名稱:職能音區(qū)怛用作用；每條職能帶代表該海程的f參與葫門人員，流程中由該承與部門我行的活動步H&iW在該職能帶下例的皿嗨

35、使用說叨和標準；L參與部門等占一到，應使用莓門名稱的正式全稱*工公司高皆單獨占一列，應使用眼務正式全藉.3.原鬼上，標或為參與tin的職能靜區(qū)技海程的先后翱扎從左到右排列；標訊為公司芮管的職能帶區(qū)按行政毓別由低到高的順序，從左到右排列T子分公司.外部單位放1于at程閨的左儡位*.階段帶區(qū)圈服作用.每個階段尸（代表流程按藁一塞度選行的分兔分段，放If圖貼胤料屬于該階更的活動排疆置于核階段帶區(qū)的林使用說明利標淮I1 .階M區(qū)的蜘*堂或聆U程的特點和實際翻網(wǎng).2 .階段精區(qū)的沒不要點數(shù)量一定大于1,殖則同階段活動步U的界定區(qū)分.Q才圖形片林；流程開始/結(jié)束1和外用：標識流程的開始或者第柬使用說明和新

36、掂*L在圖梅中分別填入“開始、龍結(jié)束*字機工當升她引自關(guān)聯(lián)子流程時，或者結(jié)束轉(zhuǎn)至關(guān)聯(lián)子艇時改用于流程相.u圖用名版控制國用作用，對保物理目標魏,有雌帆齡房采取的雌.僧用說明和標正：L出現(xiàn)復機審鼎審定，審批，審議，檢壹等情形時曲故控制福2 .本耀與關(guān)糊度醫(yī)接或以制配部定力執(zhí)行做時，應在開始圖框標注控制福工可姆W為如果把控施步觸儺后仍不醐8的翱曲f,可極戰(zhàn)方控制.4-髓橫植的步驟題建就就鼬拄嶇冊時的童卻i抵nt n用形名稱，子流程因形作用；在柳程中，需要熨用關(guān)聯(lián)漉理時使用工成艇中某一環(huán)節(jié)的步射于復雜.C進一步拆分.蒯優(yōu)或于流程時使用.佗用說明和標準；L作為流程中的一個環(huán)節(jié).填寫于流程的流«

37、;««,無需虹舞號：可*JHE震的中即盅可篦是開始雌束.%使用此留格附，H確保該子漫程的il程圖3 .子漆逐圖形不需單建其對應飄船帶區(qū)，但放置時不可的的兩4已設置的職位帶區(qū).刷泮他輸出文酉川濘本艇中不同Sf動步SWf形或蝴出的埼文件.怏用也用和標他L埴等內(nèi)容為她的編號鐳川編號與讀文檔初次形成或*出的），序號一甑多小步展箱出輸一文首，其序號不騎與實斥地名梆相同.2,輸出文檔WB盡可般與同序號的步爨楣列示于同f箱上新中一憎出文首僅列示I次即可.HJ嘯 A、lh輻院給 劃Hr要者UU /3.簍個*出文者的圖械招、大小應保特一致，且4414艇內(nèi)蜥時瓶圖形片稱：其照圖后作用：當步H流

38、向需在不同桀件下進行區(qū)分、判斷時，懾用此圖格，使用說明和標柞:1-需判斷，區(qū)分的條件需包含可能出現(xiàn)的所有情況f不同條件可能會技助化程廈卷號分層，流程圖可望金出珞連續(xù)的第個刊斯根.2,判斷引出的觸線看慢用文字避一步予以說明，加使用*蜃k虞*否R,盛氏情必B情況*3.描述為斷圖框內(nèi)的條件時，需注廢步疆忖的夏轉(zhuǎn)合理性更易于理事，區(qū)分.5）、繪制流程圖的注意事項1）流程中的控制點識別方法：假設去掉這個流程步驟，若該流程仍能完整的進行下去，則該步驟為控制點；若該流程到此卡住無法再進行下去，則該步驟不是控制點，僅為一般步驟。例如某個流程中存在幾個審核、審批步驟，去掉某一個或某幾個審核、審批步驟，該流程都能

39、繼續(xù)進行下去，但會存在風險隱患，因此，這類審核、審批步驟就是控制點。2） 很多流程中的最后一個步驟往往是資料歸檔、文案歸檔之類，這也是控制點，屬于事后控制，在流程文檔編制過程中容易被遺漏。2、流程描述編制流程描述是對流程圖的一個補充，其明確闡述了業(yè)務流程的各個操作環(huán)節(jié)和控制點，能夠?qū)α鞒淘O計的有效性進行整體評估，能夠進行測試以驗證流程執(zhí)行的有效性。流程描述主要包括流程目標，適用范圍、相關(guān)政策和制度、責任崗位/人員、流程步驟以及描述、控制點等點、線、面、體的結(jié)構(gòu)，詳細說明了業(yè)務流程的各個步驟、控制點、輸入輸出文檔等，并明確各個崗位的職責范圍，以確保業(yè)務操作的規(guī)范。它提供了詳細明確的操作信息、流程

40、關(guān)注點，并規(guī)定了不同節(jié)點的操作標準和規(guī)范。流程圖和流程描述反應了公司目前的經(jīng)營管理現(xiàn)狀，幫助公司建立業(yè)務規(guī)范手冊，并幫助員工熟悉業(yè)務，有利于管理知識和管理經(jīng)驗的積累沉淀。流程描述模板：（1）流程描述基本要求?對步驟、控制、文檔、控制缺陷編號?步驟明確到具體部門崗位及對應的文檔?要有流程的轉(zhuǎn)入、轉(zhuǎn)出、流程結(jié)束等(2)流程描述方法用規(guī)范化的語言對流程中的各步驟進行描述：1)誰；2)什么時候；3)什么事4)怎樣；5)頻率。(3)、流程描述文檔的填列流程描述文檔包括編號、流程步驟、責任崗位、適用政策與制度、流程步驟描述、輸出文檔。1) 編號、流程步驟、責任崗位，從流程圖中直接獲取。2) 適用的政策與制

41、度：僅填編號，并且對應流程各步驟點對點標識。3) 流程步驟描述：如有制度，則對制度進行描述，“什么時間什么部門印發(fā)了什么制度(文件編號)，該制度規(guī)定了什么，制度經(jīng)xx審核，xx審批執(zhí)行”如有判斷，則對判斷進行描述，“如果。，則轉(zhuǎn)至本流程步驟SXX否則轉(zhuǎn)至步驟SXX,注意轉(zhuǎn)回的承接性，如“轉(zhuǎn)自本流程步驟SXX，“轉(zhuǎn)自XXXXK程”。如有控制，引述流程圖控制編號并對控制進行描述，如“XX審核。主要關(guān)注。審核同意后簽字確認”。4)輸出文檔只要本步驟新輸出或在原文檔基礎上輸出地文檔都要在相應步驟中列示，但編號使用首次輸出的步驟編號。(4).三級業(yè)務流程編號規(guī)則三級業(yè)務流程文檔編碼對照表廳P三級流程編號

42、英義全稱縮寫1步驟StepS2控制目標TargetT3風險riskR4控制措施ControlC5缺陷gapG6現(xiàn)行制度ActiveregulationAR7輸出文檔ExportfileEF例如：步驟（Step）大寫字母"S'表示；標記出流程中的控制點（Control）步驟，用大寫英文字母"C'表示。步驟1為一般流程步驟，標記為S01,步驟04為第1個控制點步驟，標記為S04【C01；步驟05為第2個控制點步驟，標記為【S05】【C021。（5）流程描述注意事項?流程描述需要詳細說明業(yè)務流程的步驟?使用簡練的陳述句進行描述?流程描述中避免使用感情色彩副詞，可能

43、性副詞等，比如“非常”“可能”“應該”等文字。?保持流程描述前后的一致性及連貫性。3、風險控制矩陣文檔的編制風險控制矩陣（RCM是在確定流程控制目標的基礎上將流程中涉及到的風險和對應的控制措施進行匯總，從中發(fā)現(xiàn)控制缺陷并提出改進建議的一種矩陣表格。風險控制矩陣以三級業(yè)務流程為基礎，通過表格形式完整體現(xiàn)控制目標、風險、控制措施、發(fā)現(xiàn)描述以及建議。它不僅僅是一張表單，更是一個工具，一種方法，一套機制，更為業(yè)務操作人員以及管理人員發(fā)現(xiàn)流程層面的缺陷、評價控制的有效性提供了清晰明了的思路。相關(guān)人員可以通過風險控制矩陣中涵蓋的三級業(yè)務流程對應的主要目標、風險和控制措施，同時根據(jù)訪談紀要、公司規(guī)章制度、穿

44、行測試、行業(yè)標準等判斷流程的設計有效性和執(zhí)行有效性，提出發(fā)現(xiàn)并給予相關(guān)的改進建議。風險控制矩陣用于明確每個流程的具體控制目標，并確認、記錄每個流程及每個步驟中存在的風險和已建立的控制。公司應通過風險控制矩陣進行差異分析，查找現(xiàn)有控制的差距和不足，然后補充和完善現(xiàn)有控制措施，以達到防范風險的目的；同時，為進一步補充、修訂制度提供依據(jù)。目標編號控制目標風險編號風險描述控制措施編號控制措施缺陷編號缺陷描述建議(1)、風險控制矩陣的填列風險控制矩陣包括目標編號、控制目標、風險編號、風險描述、控制措施編號控制措施、缺陷編號、缺陷描述、建議。1）目標編號：T是target（目標）的簡寫，T01表示本流程中

45、的第一個控制目標，T02表示本流程中的第二個控制目標，以此類推。2）控制目標：控制目標的細分要結(jié)構(gòu)合理；制度的建立與完善可以作為一個流程的首個控制目標；控制目標與風險描述的關(guān)系。3）風險編號：R是risk（風險）的簡寫，R01表示本流程中的第一個風險點，R02表示本流程中的第二個風險點，以此類推。4）風險描述:風險描述中所提及的風險，是指流程中影響目標的潛在因素或不確定性，要與控制目標相關(guān)聯(lián)，考慮全面，重點突出。流程中的風險識別方法：以流程控制目標為出發(fā)點，從流程步驟走向進行風險思考，結(jié)合控制點識別出風險點。對流程中的風險點識別，需要有一定的風險管理基礎知識、足夠敏銳的風險意識，然后將識別的風

46、險描述出來。5）控制措施編號：C是“Control"（控制）的簡寫，C01表示本流程中的第一個控制點，C02表示本流程中的第二個控制點，以此類推。在本過程中需要特別注意以下幾點：1）風險點與控制點不是一一對應的，一個風險點可能只對應一個控制點，也可能對應多個控制點。2）編制風險控制矩陣文檔的過程中，應先識別風險點，后識別控制點，這是為了能夠不遺漏的識別出流程中的控制缺陷。6）控制措施：對應風險，引自流程描述。控制措施為公司現(xiàn)在已經(jīng)制定的一系列控制活動，是保證管理層的指令得到實施的政策和程序，主要包括授權(quán)審批、驗證調(diào)節(jié)、業(yè)績復核、資產(chǎn)保全、職責分工、簽字確認、蓋章、臺賬更新和文檔保存等

47、。7）缺陷編號：G是Gap（缺陷）的簡寫，G01表示本流程中的第一個缺陷，G02表示本流程中的第二個缺陷，以此類推。8）缺陷描述：流程缺陷指的是在流程中存在的控制缺失、控制不足或控制過多、控制無效、控制不合理、控制錯誤等現(xiàn)象，以及流程自身存在的問題，包括流程步驟不合理、權(quán)責界定不清、流程與戰(zhàn)略不匹配、不一致等缺陷，需要進行流程優(yōu)化甚至流程重組。若某一風險點沒有任何控制點與之對應，即該風險點沒有得到控制，因此該流程中存在控制缺陷，需要對流程進行優(yōu)化甚至重組，確保每個風險點都有相應的控制點與之對應；或者改進控制點的控制措施，確保每個控制點都能有效的控制對應的風險點。對該風險發(fā)生后造成的影響進行描述

48、，注意要突出造成的不利影響。9）建議：對于識別出來的控制缺陷，要有針對性的提出改進建議，對于不能即時整改的，應盡可能注意優(yōu)化時點。4、風險數(shù)據(jù)庫的編制風險數(shù)據(jù)庫是在風險控制矩陣完成的基礎上，集合相應業(yè)務流程中的主要風險，進行風險類別對應，同時從風險發(fā)生的可能性和影響程度兩個維度，進行風險評估，確立風險等級（發(fā)生可能性X影響程度），并結(jié)合客戶風險偏好程度，判別業(yè)務流程的重大風險以及對應的關(guān)鍵控制點。業(yè)務流程層面風險管理數(shù)據(jù)庫的模板如表所示:風險風險類別發(fā)生可影響程風險對應控戰(zhàn)經(jīng)報合資產(chǎn)風應編P描述略營告規(guī)安能性度等級制編會風風風風全(1-5)(1-5)險險險險風險R01C01R02C02（1）、

49、風險數(shù)據(jù)庫的填列風險數(shù)據(jù)庫包括風險編號、風險描述、風險類別、風險等級、和對應控制編號1）風險編號：引用風險控制矩陣中對應的風險編號。2）風險描述：引用風險控制矩陣中所識別出的風險。3）風險類別：按照五大類風險可劃分為戰(zhàn)略風險、經(jīng)營風險、報告風險、合規(guī)風險、資產(chǎn)安全風險。這里要注意的是：一個風險點它可能是單一的某一類風險，也可能是兩類以上風險。4）風險等級：風險等級的劃分依靠兩個維度來判定，即風險發(fā)生可能性和風險發(fā)生影響程度打分的乘積。風險發(fā)生可能性分為極低、較低、中等、較高、極高五個等級；風險發(fā)生影響程度分為輕微、較低、中等、重大、災難性五個等級。關(guān)于風險發(fā)生可能性，要根據(jù)集團所在行業(yè)及自身經(jīng)

50、營情況來判定，可參照“表1風險發(fā)生可能性評分標準”。關(guān)于風險發(fā)生造成影響，要根據(jù)該風險內(nèi)容，結(jié)合集團所在行業(yè)及自身經(jīng)營情況來判定，可參照“表2風險影響程度評分標準”。注意：對不同種類風險的風險發(fā)生可能性及影響程度的判定因素，應結(jié)合企業(yè)實際情況制定不同的標準。讓流程中相關(guān)部門人員對以上兩個維度進行打分并取平均值，然后根據(jù)圖4判定風險等級。若評定結(jié)果落在紅色區(qū)域，則為重大風險若評定結(jié)果落在黃色區(qū)域，則為中等風險。若評定結(jié)果落在綠色區(qū)域，則為安全風險。圖4風險等級劃分示意圖t 區(qū)封k較 中 重.帳號大 一影響程度一表1風險發(fā)生可能性評分標準（示例）評分12345標準極低低中等高極高定性標準一M情況r

51、極少情況卜某些情況卜較多情況卜經(jīng)常發(fā)生不會發(fā)生zl發(fā)生發(fā)生發(fā)生定量標準今后io年今后5-10今后2-5年今后1年內(nèi)今后1年內(nèi)（舉例）內(nèi)發(fā)生的可年可能發(fā)生內(nèi)可能發(fā)生可能發(fā)生1至少發(fā)生1能性少于i1次1次次次次表2風險影響程度評分標準（示例）評分12345標準極輕微的輕微的中等的重大的災難性的舉例財務損失輕微較低中等重大極大企業(yè)日常運不受影響輕度影響中度影響嚴重影響重大影響行影響（造成輕微（造成一定（企業(yè)失去（重大業(yè)務人身傷害情人身傷害，一些業(yè)務能失誤，造成況立刻收到需要醫(yī)療救力，造成嚴重大人身傷控制）援，情況需重人身傷亡，情況失要外部支持害，情況失控，給企業(yè)得到控控但無致命造成致命影制）影響）響）5）對應控制編號。引自風險控制矩陣的“控制措施編號”5、控制文檔的編制控制文檔根據(jù)風險控制矩陣和風險數(shù)據(jù)庫內(nèi)容識別流程活動中的一般流程步驟、一般控制和關(guān)鍵控制，并明確其控制類型、控制方式、控制頻率，并對應到活動實施證據(jù)和責任部門、責任崗位，為內(nèi)部控制評價提供合理依據(jù)。業(yè)務流程層面控制數(shù)據(jù)庫的模板如表所示：步驟編號流程步驟流程步驟類型流程步驟描述權(quán)重控制類型（事前/事中/事后）控制方式控制頻率（隨時/日/月/季/