企業(yè)內部控制流程梳理與風險識別

企業(yè)內部控制流程梳理與風險識別目

錄一、認識內控流程二、認識風險識別三、如何建立與改進一、認識內控流程（一）案例——典型內控事件（二）內部控制的概念（三）內控問題及產生原因（一）案例——典型內控事件：安然公司(EnronCorporation)：原是世界上最大的綜合性天然氣和電力公司之一，在北美地區(qū)是頭號天然氣和電力批發(fā)銷售商。輝煌業(yè)績：世界最大的能源公司，500強排名第7，曾被稱為“美國最有創(chuàng)新精神的公司”。嚴重問題：（1）2001年末，安然宣布第三季度虧損6.4億美元。美國證監(jiān)會進行調查，發(fā)現(xiàn)該公司1997以來虛報利潤5.8億美元。（2）2001年末安然申請破產保護。在之前10個月內，公司因股票價格超越預期目標而向董事及高級管理人員發(fā)放3.2億美元的紅利。（3）2006，安然主席及CEO被美國法院認定有罪，前創(chuàng)始人受多項指控，其中4項銀行欺詐罪將導致最高120年監(jiān)禁的判決；前CEO受19項指控最終判24年監(jiān)禁；CFO也被判刑10年。（4）半年多時間，股市市值縮水2.5萬億美元；安然公司破產直接導致美國金融機構損失200億美元。深層原因：（1）會計舞弊：通過財務作假和濫用會計方法，隱瞞虧損，掩蓋債務和巨大的交易風險（1997以來虛報利潤5.8億美元），誤導投資人以牟取私利。（2）業(yè)務集中：業(yè)務集中在“能源衍生品交易”，公司出現(xiàn)任何信用風險后，帶來一連串災難性后果，造成現(xiàn)金流困難。（3）惡性擴張：追求“管理創(chuàng)新”，自封“世界領先公司”，業(yè)務不斷擴張，從天然氣、電力業(yè)務，到風力、水力、投資、木材、廣告、互聯(lián)網(wǎng)寬帶業(yè)務等，無所不包。風險事件的反思：（1）安然、世通、施樂、安達信等公司欺詐，會計造假丑聞使投資大眾遭受巨大的損失。（2）中航油（新加坡）違規(guī)操作被判刑并罰款，巴林銀行由于私自交易被1英鎊價格交易。（3）在2000年至2002年期間，由于在美國發(fā)生的涉及巨型公司財務丑聞，導致資本市場損失了7萬億美金的市值。（4）誠信危機震撼著美國及國際社會，美國企業(yè)的假賬丑聞一時間成為全球輿論的焦點。強化內部控制是有效防范風險的重要手段：（1）知名企業(yè)失敗案例與內部控制缺陷密切相關；（2）內部控制能夠做到事前防范，及時發(fā)現(xiàn)苗頭并予以補救。（二）內部控制的概念內部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。內部控制的目標是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產安全、財務報告及相關信息真實完整，提高經(jīng)營效率和效果、促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。1．內部控制是融入在企業(yè)經(jīng)營管理活動之中的一系列行為，不是一個額外的附加體系。內部控制是經(jīng)營管理活動的一部分；內部控制的對象是經(jīng)營管理過程的主體和活動；內部控制要融入經(jīng)營管理的每個環(huán)節(jié)；內部控制要從被動到主動；內部控制要從附加到融入。2．內部控制強調“全員參與”全體員工都擔負內部控制實施的責任；管理者要帶頭垂范，要“入局”；內部控制與企業(yè)內“人人”“事事”都有關。3．內部控制責任體系董事會：對內部控制的建立健全和有效實施負最終責任；審計委員會：負責審查企業(yè)內部控制，監(jiān)督內部控制的有效實施和內部控制自我評價情況，協(xié)調內部控制審計及其他相關事宜等；監(jiān)事會：對董事會建立與實施內部控制進行監(jiān)督；管理層：負責組織領導企業(yè)內部控制的日常運行；企業(yè)應當成立專門機構或者指定適當?shù)臋C構具體負責組織協(xié)調內部控制的建立實施及日常工作；內審部門：結合內部審計監(jiān)督，對內部控制的有效性進行監(jiān)督檢查。（三）內控問題及產生原因?二、認識風險識別（一）企業(yè)風險識別的概念（二）企業(yè)內部控制與風險管理的聯(lián)系與區(qū)別（三）風險識別方法（一）企業(yè)風險識別的概念風險識別：指識別所有可能對組織產生負面影響的損失風險，即找出影響預期目標實現(xiàn)的主要風險。企業(yè)風險識別是指對企業(yè)面臨的尚未發(fā)生的潛在的各種風險進行系統(tǒng)的歸類分析，從而加以認識與辨別的過程。識別過程包括兩個階段：首先是風險的辨識，要找出各種風險及其存在之處，然后對其進行分析，主要分析引起風險的各種原因和可能的結果。1．風險識別的原則系統(tǒng)性、連續(xù)性和全面性。2．風險識別的內容（1）環(huán)境風險指由于外部環(huán)境意外變化打亂了企業(yè)預定的生產經(jīng)營計劃，而產生的經(jīng)濟風險。引起環(huán)境風險的因素有：①國家宏觀經(jīng)濟政策變化，使企業(yè)受到意外的風險損失；②企業(yè)的生產經(jīng)營活動與外部環(huán)境的要求相違背而受到的制裁風險；③社會文化、道德風俗習慣的改變使企業(yè)的生產經(jīng)營活動受阻而導致企業(yè)經(jīng)營困難。（2）市場風險指市場結構發(fā)生意外變化，使企業(yè)無法按既定策略完成經(jīng)營目標而帶來的經(jīng)濟風險。導致市場風險的因素主要有：①企業(yè)對市場需求預測失誤，不能準確地把握消費者偏好的變化；②競爭格局出現(xiàn)新的變化，如新競爭者進入，所引發(fā)的企業(yè)風險；③市場供求關系發(fā)生變化。（3）技術風險這是指企業(yè)在技術創(chuàng)新的過程中，由于遇到技術、商業(yè)或者市場等因素的意外變化而導致的創(chuàng)新失敗風險。其原因主要有：①技術工藝發(fā)生根本性的改進；②出現(xiàn)了新的替代技術或產品；③技術無法有效地商業(yè)化。（4）生產風險指企業(yè)生產無法按預定成本完成生產計劃而產生的風險。引起這類風險的主要因素有：①生產過程發(fā)生意外中斷；②生產計劃失誤，造成生產過程紊亂。（5）財務風險由于企業(yè)收支狀況發(fā)生意外變動給企業(yè)財務造成困難而引發(fā)的企業(yè)風險。（6）人事風險凡是涉及企業(yè)人事管理方面的風險就稱為人事風險。3．風險識別應關注的因素風險承受度：是企業(yè)能夠承擔的風險限度，包括整體風險承受能力和業(yè)務層面的可接受風險水平。（1）內部風險單位識別內部風險，應當關注下列因素：①高級管理人員的職業(yè)操守、員工專業(yè)勝任能力等人力資源因素；②組織機構、業(yè)務活動方式、資產管理、業(yè)務流程等管理因素；③研究開發(fā)、技術投入、信息技術運用等自主創(chuàng)新因素；④財務狀況、經(jīng)營成果、現(xiàn)金流量等財務因素；⑤營運安全、員工健康、環(huán)境保護等安全環(huán)保因素；⑥其他有關內部風險因素。（2）外部風險企業(yè)識別外部風險，應當關注下列因素：①經(jīng)濟形勢、財政管理體制、融資環(huán)境、市場競爭、資源供給等經(jīng)濟因素；②法律法規(guī)、監(jiān)管要求等法律因素；③安全穩(wěn)定、文化傳統(tǒng)、社會信用、教育水平、消費者行為等社會因素；④技術進步、工藝改進等科學技術因素；⑤自然災害、環(huán)境狀況等自然環(huán)境因素；⑥其他有關外部風險因素。（二）企業(yè)內部控制與風險管理的聯(lián)系與區(qū)別1．企業(yè)內部控制與風險管理的內涵內部控制一般是指企業(yè)為合理保證實現(xiàn)經(jīng)營管理目標，確保財務財產的安全完整，保證企業(yè)運營戰(zhàn)略和有關規(guī)章制度的有序進行，確保企業(yè)高效率的運行而在公司里實行的調節(jié)、管制、計劃和評估的方式及其技術措施的總稱。除此之外，內部控制還是在特定的環(huán)境下，公司要提升其自身運營效率并充分獲取利用所有資本，實現(xiàn)企業(yè)的管理目標而在公司內實行的一系列約束和調整的策略、流程和措施。風險管理是指公司在經(jīng)營管理中對于一些風險源實施辨別、確認、評估與監(jiān)管，在適當?shù)臅r候也可以實施一些有效的方法對其進行監(jiān)控與預防，從而給公司帶來更大的安全保障的程序。隨著國際經(jīng)濟形勢日益復雜，企業(yè)面臨著更加嚴峻的生存壓力，“全面風險管理”的概念獲得廣泛認可。2．企業(yè)內部控制與風險管理的聯(lián)系內部控制和風險管理理論并不是相互獨立的兩類理論，二者在實施主體、組成要素以及實施目標等方面都密切相關。第一，內部控制與風險管理實施目標雖不盡相同，但二者在本質上都是通過一系列措施和手段，達到增加企業(yè)價值、使企業(yè)利潤最大化的目的；第二，內部控制與風險管理實施主體與實施客體基本相同，都是由企業(yè)董事會、管理層以及其他人員共同實施，其實施客體都是企業(yè)員工、資產以及企業(yè)在經(jīng)營管理過程中形成的關系。值得注意的是，內部控制與風險管理并不僅針對企業(yè)董事會和管理層，二者需要企業(yè)全體人員的共同參與，企業(yè)高管與員工的區(qū)別在于其在內部控制和風險管理實施過程中的管理責任不盡相同；第三，內部控制與風險管理都是一個動態(tài)的過程，都需要在實施過程中進行反饋與調節(jié)，使得企業(yè)內部控制和風險管理能夠在一定限度內對環(huán)境變化作出相應調控；第四，內部控制是全面風險管理的重要組成部分，內部控制與風險管理組成要素在一些方面是相互重合的，風險管理對目標設定、事件識別和風險對策方面作出了更為細致的規(guī)范和要求；第五，全面風險管理以健全的內部控制為基礎，公司對風險實施管理就必須要有科學、先進的管理措施，倘若沒有完善的內部控制制度，那么企業(yè)風險監(jiān)管也將無法順利實施。3．企業(yè)內部控制與風險管理的區(qū)別首先，內部控制與風險管理職能定位不一致。企業(yè)施行內部控制制度的目的是維護自身財產的安全與完整，從而確保會計信息質量及其他管理信息的真實、可靠和及時。風險管理的目的是以最低的成本應對企業(yè)風險，從而使企業(yè)避免損失，實現(xiàn)利潤最大化。全面風險管理在制定合理的內部控制，保證企業(yè)經(jīng)營合法合規(guī)和財務財產安全的同時，還需要對企業(yè)在戰(zhàn)略制定和業(yè)務模式選擇等方面提供合理保證。其次，企業(yè)內部控制與風險管理活動范圍不盡相同。內部控制只是企業(yè)公司治理的一項職能，而企業(yè)的風險管理則在治理程序中的每個部分都存在，公司進行內部監(jiān)督控制的方式除了表現(xiàn)在對事中和事后的控制，最主要的是公司于事先規(guī)劃方針的過程中就全面了解到危機的嚴重性。最后，內部控制與風險管理對風險的對策不同。企業(yè)在經(jīng)營過程中，需要對所面對的風險采取必要的措施和手段，如采取避免風險、控制風險、分散與中和風險、承擔風險、轉移風險等方法，對企業(yè)風險進行管理，使運營戰(zhàn)略與風險回報相協(xié)調，從而達到降低企業(yè)經(jīng)營風險、增加企業(yè)價值的目的。（三）風險識別方法曾發(fā)生過這樣一個生產事故：技術部門借用其他產品的圖紙，并在此基礎上進行了一些修改，但這個修改并沒有通知到位。生產部門看到圖紙后以為是其他產品工藝，并按此執(zhí)行了生產工藝，結果直到生產完成后才發(fā)現(xiàn)工藝做錯，所做的所有產品報廢。企業(yè)的事故發(fā)生后，企業(yè)當然會非常緊急的排查、解決、整改，但是對于企業(yè)而言，更重要的不是等待事故的到來，而是防患于未然，這也是為何企業(yè)內控中非常強調風險評估的原因。內控管理常常都是風險導向，因此,對于企業(yè)來說，企業(yè)內控的基礎工作應該是風險識別。在企業(yè)內控的五大要素中，風險評估分別包括風險識別、風險分析以及風險應對這三個過程，而風險識別則是風險評估的第一步。對于業(yè)務風險和管理風險而言，最方便的風險識別載體就是流程，因為固化過的流程有明確的步驟和責任主體，便于按節(jié)點的進行風險識別。因此企業(yè)做內控建設的時候，很強調企業(yè)是否具有健全完整的流程體系，通過流程作為載體，可以更快捷有效的進行企業(yè)內控的工作。利用流程來進行風險識別的步驟主要有三步：篩選、模擬以及歸類。對于一個有著完整流程體系的企業(yè)來說，首先要從其固化流程的風險篩選開始做起。這種篩選往往采用的是經(jīng)驗法，即由相關部門對其所熟悉的流程中可能產生風險的節(jié)點進行匯總上報。在篩選的過程中，需要關注幾點：①針對流程的每一個步驟，考量其是否為重要風險節(jié)點，尤其是資料交付、產品轉序等涉及人、財、物的重要活動；②重點關注過去曾經(jīng)發(fā)生過的事故節(jié)點；③在前期流程梳理或是優(yōu)化過程中，重點改動的活動節(jié)點。以上面發(fā)生的事故為例，其風險節(jié)點應該在圖紙借用流程中技術部信息記錄這個節(jié)點，對于需要記錄的信息是否有確切的記錄方式得以保存，以及圖紙下發(fā)流程中技術部通知相關部門這個節(jié)點上，是否將應有的信息傳遞給相關部門。在獲得初步的風險節(jié)點清單以后，需要由內控主體部門開始進行風險的模擬，通過模擬活動來甄別風險節(jié)點的可能危害程度以及產生危害的幾率。這種模擬活動需要讓流程從正常、異常和緊急狀態(tài)這三種活動狀態(tài)出發(fā)，分別模擬這三種活動的情況發(fā)生后對流程過程和結果可能帶來的影響，對于其危害結果要同時考慮其對過去、現(xiàn)在和未來三種時態(tài)，并同時評估產生這些危害的幾率。在評估危害幾率的過程中，可以考慮采用專家評估法或是問卷調查，通過估計危害可能發(fā)生的頻率、是否有檢查活動、是否已經(jīng)受到控制、是否有規(guī)范性的制度以及員工能力這幾個角度來評估危害可能發(fā)生的幾率。在獲得風險節(jié)點危害程度以及發(fā)生幾率數(shù)據(jù)以后，則對風險節(jié)點進行排序分類，通過計算風險預期危害數(shù)值，按照一定的劃分標準，對前期風險節(jié)點清單中的節(jié)點進行劃分，一般以重大、一般以及較輕三種類型區(qū)別（根據(jù)企業(yè)實際情況決定）。通過內控部門以及相關領導的最終評審后，獲得最終的風險管控表清單。顯然對于前面所描述的那個案例來說，記錄與溝通是一個比較重要的風險管控點。如果企業(yè)能夠在前期就對這類風險點加以識別，并通過后期的其他風險評估過程，設計并執(zhí)行應有的控制活動，則可以為企業(yè)大大降低運營風險，從而起到節(jié)約成本，增強企業(yè)生存能力的作用。風險識別方法：現(xiàn)在使用的風險識別方法，可以分為宏觀領域中的決策分析（可行性分析、投入產出分析等）和微觀領域的具體分析（資產負債分析、損失清單分析等）。主要方法有：①生產流程分析法，又稱流程圖法。生產流程又叫工藝流程或加工流程，是指在生產工藝中，從原料投入到成品產出，通過一定的設備按順序連續(xù)地進行加工的過程。該種方法強調根據(jù)不同的流程，對每一階段和環(huán)節(jié)，逐個進行調查分析，找出風險存在的原因。②風險專家調查列舉法。由風險管理人員對該企業(yè)、單位可能面臨的風險逐一列出，并根據(jù)不同的標準進行分類。專家所涉及的面應盡可能廣泛些，有一定的代表性。一般的分類標準為：直接或間接，財務或非財務，政治性或經(jīng)濟性等。③資產財務狀況分析法。即按照企業(yè)的資產負債表及損益表、財產目錄等的財務資料，風險管理人員經(jīng)過實際的調查研究，對企業(yè)財務狀況進行分析，發(fā)現(xiàn)其潛在風險。④分解分析法。指將一復雜的事物分解為多個比較簡單的事物，將大系統(tǒng)分解為具體的組成要素，從中分析可能存在的風險及潛在損失的威脅。失誤樹分析方法是以圖解表示的方法來調查損失發(fā)生前種種失誤事件的情況，或對各種引起事故的原因進行分解分析，具體判斷哪些失誤最可能導致?lián)p失風險發(fā)生。風險的識別還有其他方法，諸如環(huán)境分析、保險調查、事故分析等。企業(yè)在識別風險時，應該交互使用各種方法。三、如何建立與改進（一）如何建立企業(yè)風險與內部控制體系（二）改進企業(yè)內部控制,加強風險管理的對策（三）案例——內控及風險管理體系建設（一）如何建立企業(yè)風險與內部控制體系1．建立與實施風控的原則全面性原則。內部控制應當貫穿決策、執(zhí)行和監(jiān)督全過程，覆蓋企業(yè)及其所屬單位的各種業(yè)務和事項。重要性原則。內部控制應當在全面控制的基礎上，關注重要業(yè)務事項和高風險領域。制衡性原則。內部控制應當在治理結構、機構設置及權責分配、業(yè)務流程等方面形成相互制約、相互監(jiān)督，同時兼顧運營效率。適應性原則。內部控制應當與企業(yè)經(jīng)營規(guī)模、業(yè)務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化及時加以調整。成本效益原則。內部控制應當權衡實施成本與預期效益，以適當?shù)某杀緦崿F(xiàn)有效控制。合規(guī)性原則。遵照國家的法律、法規(guī)和政策，遵照財政部等五部委制定的《內部控制基本規(guī)范》及其配套指引，符合國務院國有資產監(jiān)督管理委員會制定的《風險管理指引》的原則要求。2．建立與實施風控的總體思路（1）梳理業(yè)務流程、搭建流程框架體系根據(jù)企業(yè)生產經(jīng)營的價值鏈，對企業(yè)的管理活動、生產活動分類逐級進行全面梳理，構建企業(yè)業(yè)務流程框架，繪制流程圖，撰寫流程描述，根據(jù)信息化的要求編制各業(yè)務活動的編碼。（2）開展規(guī)范對標、編制缺陷清單按照梳理的各項業(yè)務活動，清理現(xiàn)有管理制度中的控制措施，逐一核對《企業(yè)內部控制基本規(guī)范》及其配套指引、《企業(yè)全面風險管理指引》以及上級單位的相關管理要求，編制對標缺陷清單。（3）建立風險數(shù)據(jù)庫、繪制風險地圖結合缺陷清單，分析查找各項業(yè)務活動存在的主要風險，按照風險發(fā)生的可能性和影響程度對風險進行評估，編制風險數(shù)據(jù)庫。（4）將風險數(shù)據(jù)庫與流程清單進行匹配將流程清單與風險數(shù)據(jù)庫進行匹配，以便明確某個風險體現(xiàn)在哪個流程中，某個流程中有哪些風險。這個匹配首先在風險類別層面進行，為下一步全面識別具體風險點與流程中的控制點的匹配打下基礎。（5）制定或優(yōu)化業(yè)務流程圖結合風險和控制措施，制定或者優(yōu)化業(yè)務流程圖，降低或避免風險。（6）制定風險控制矩陣根據(jù)風險數(shù)據(jù)庫，基于業(yè)務流程圖確定業(yè)務活動的關鍵控制點，制定關鍵控制點的具體控制措施，建立風險控制矩陣（包括企業(yè)級、項目級、流程級）。（7）制定或修訂相關管理制度、編制權限指引表編制內部控制與風險管理相關管理制度，如內控管理辦法，內控評價管理辦法、內控監(jiān)督管理辦法，全面風險管理辦法等。基于業(yè)務流程圖編制業(yè)務活動權限指引表，明確各項業(yè)務參與者的工作分工和執(zhí)行權限，進一步明確內控與風險工作權責分配關系。（8）編制內部控制手冊制定公司內部控制手冊，包括內部環(huán)境手冊、風險評估手冊、控制活動手冊、信息與溝通手冊和內部監(jiān)督手冊，作為內部控制體系建設、運行、維護、評價的依據(jù)，確保全公司從思想和行為上對內部控制體系保持高度統(tǒng)一。（9）開展內部控制與風險管理監(jiān)督檢查與評價監(jiān)督檢查與評價包括內部環(huán)境、風險評估、控制活動、信息與溝通、內部監(jiān)督等五大方面。監(jiān)督檢查方式包括審計、監(jiān)察、內審（外審）、管理評審等方式。編制《內部控制自評價報告》，報告的主要內容：內部控制報告真實性的聲明，評價工作的總體情況，評價依據(jù)，評價的范圍，評價的程序和方法，內部控制缺陷及其認定，、整改情況，內部控制有效性的結論。編制《全面風險管理報告》，報告的主要內容：年度企業(yè)內部控制管理工作回顧，年度企業(yè)風險評估情況，年度內部控制管理工作安排，有關意見和建議。3．企業(yè)內部控制體系建設路徑及啟示AB股份有限公司（以下簡稱“AB公司”或“公司”）是一家在國內主板的A股上市公司，為符合上市公司內控法規(guī)要求，加強和規(guī)范企業(yè)內部控制，提高企業(yè)經(jīng)營管理水平和風險防范能力，促進企業(yè)可持續(xù)發(fā)展，根據(jù)財政部、證監(jiān)會等五部委印發(fā)的企業(yè)內部控制基本規(guī)范及配套指引的要求，公司聘請外部咨詢公司，于2011年3月起著手進行內部控制規(guī)范體系的建設工作。根據(jù)《內部控制企業(yè)內部控制基本規(guī)范》及其配套指引要求，結合國外公司經(jīng)驗，企業(yè)內部控制體系建設通常分為四個階段，內部控制梳理、內部控制整改固化、內部控制自我評價和內部控制審計，其中前三個階段是內控建設核心工作，需由企業(yè)主導完成，內控審計由審計師在企業(yè)配合下實施。為做實做好內控規(guī)范體系建設工作，公司于2011年3月正式成立內控工作領導小組，由公司董事長牽頭，高層領導主管、總部各部門負責人及各分子公司總經(jīng)理作為組員，負責組織領導公司內部控制規(guī)范化建設工作。2011年3月中旬召開內控實施項目啟動會，對公司內控建設工作進行了部署和動員，并制定公司內控實施計劃及工作方案。第一：建立內控建設組織架構，明確相關人員職責。內部控制建設作為一項長期系統(tǒng)性地工程，并非一蹴而就，公司決定建立一種長效領導機制持續(xù)運作。公司明確董事長為內部控制實施工作的第一責任人；公司總經(jīng)理、副總經(jīng)理為內控實施的具體負責人。通過四大系統(tǒng)的職責分工及北京事業(yè)部、上海公司、成都公司責任人的落實，形成了矩陣式的控制結構，可以有效確保內控控制的全面性和深入性。明確內控領導小組職責經(jīng)第六屆第十次董事會審議通過，公司成立風險管理委員會，成員包括董事長、審核委員會主席、總經(jīng)理、分管主要業(yè)務的公司高管及專業(yè)人士，作為內控工作領導小組。風險管理委員會對董事會負責，主要履行以下職責：①負責營造良好的內部控制建設環(huán)境；②負責制定公司內部控制戰(zhàn)略規(guī)劃，提出總體建設方案；③負責審議重大決策、重大風險、重大事件和重要業(yè)務流程的判斷標準或判斷機制，以及重大決策的風險評估報告；④部署內部控制建設、執(zhí)行及監(jiān)督活動等；⑤審議《內控手冊》的編制、修改及更新；⑥提交《內部控制評價報告》；⑦協(xié)調公司內部控制建設的重大事項；⑧考核內部控制建設的相關人員，保持公司整體利益和方向的一致性。明確內控項目小組職責公司在風險管理委員會下設立風險管理委員會辦公室作為內控項目組，主要履行下列職責：①全面貫徹執(zhí)行風險管理委員會關于內部控制建設的精神和方針；②制定公司內部控制建設階段性的目標及實施方案，提交風險管理委員會審核；③負責內部控制建設的有效實施和運行，落實內部控制建設的具體責任；④研究提出《內部控制評價報告》；⑤負責公司《內控手冊》的編制、修改及更新；⑥審核在內部控制建設過程中存在的問題，督促各部門進行整改。（1）公司在風險管理委員會辦公室細分為4大系統(tǒng)，即風控系統(tǒng)、戰(zhàn)略與證券系統(tǒng)、財務系統(tǒng)和運營系統(tǒng)，明確各系統(tǒng)的具體職責。（2）風險管理委員會辦公室成員主要來自于財務管理部、戰(zhàn)略與證券管理部、風險管理部、管理創(chuàng)新部、營銷中心、質量與客服部、供應鏈中心、法律事務部、研發(fā)中心、制造中心及戰(zhàn)略人力資源部，配備33名專職人員。各業(yè)務單位、職能部門及子公司（事業(yè)部）在風險管理委員會辦公室的指導下共同參與、實施內控建設工作。（3）審核委員會作為公司內部控制體系有效性的監(jiān)督機構，監(jiān)督內部控制的有效實施和內部控制自我評價情況，審核及監(jiān)督外部審計機構是否獨立客觀及審計程序是否有效，審核公司的財務信息及其披露，協(xié)調內部控制審計及其他相關事宜。責任部門及工作預算與內控工作小組相對應，公司確認了內部控制建設的責任部門，即風險管理部、戰(zhàn)略與證券管理部、財務管理部、管理創(chuàng)新部、營銷中心、供應鏈中心、質量與客服部、法律事務部、制造中心、研發(fā)中心、戰(zhàn)略人力資源部。本次內控項目工作制定了相關預算，包括內控咨詢、內控審計及人力成本費用、培訓費用等。為保證內控建設工作的專業(yè)化、系統(tǒng)化和合理化，公司聘請咨詢公司作為外部咨詢機構為公司提供專業(yè)支持，協(xié)助公司梳理、構建及完善內部控制總體架構，幫助公司識別內部控制存在的薄弱環(huán)節(jié)和主要風險，有針對性的設計控制的重點流程和內容并協(xié)助公司開展內部控制自我評價工作。風控系統(tǒng)人員將全程參與風險識別及評估、編制風險清單及控制矩陣、內控缺陷整改、開展內控評價等工作，為公司培養(yǎng)內部控制建設及評價人才。第二：內控體系建設工作具體推進內部控制建設工作，公司將分為五個階段，時間從2011年4月1日至2012年1月31日，總體安排如下：確定內控實施范圍（2011年4月10日前完成）根據(jù)證監(jiān)局文件精神，結合公司實際，本次內控實施范圍為股份公司、一家上海子公司以及一家廣州子公司。按照《企業(yè)內部控制基本規(guī)范》及其配套指引要求，結合公司業(yè)務性質，公司將重點關注發(fā)展戰(zhàn)略、組織架構、人力資源等公司層面3大流程，以及信息系統(tǒng)、財務報告、信息披露、關聯(lián)交易、全面預算、資金活動、采購業(yè)務、銷售業(yè)務、資產管理等業(yè)務層面9大流程。各流程責任人如下（×××代表責任人姓名）：注：上述責任人適用于內控建設中的每個階段風險識別及評估（2011年5月31日前完成）（1）流程梳理：公司通過訪談、審閱文檔或問卷調查等方式梳理流程，明確上述12大流程的相應子流程，完善組織架構和審批授權指引，根據(jù)統(tǒng)一的模板編制業(yè)務流程圖。在流程梳理過程中，及時發(fā)現(xiàn)并記錄有遺漏、雜亂、不符合相關法律、不相容職務未分離或權限設置不合理等內控缺失的工作流程，采取相應的措施規(guī)范操作流程，避免內部舞弊等重大風險出現(xiàn)，提高工作效率。（2）風險識別：結合《企業(yè)內部控制基本規(guī)范》及相關配套指引所列示的風險、公司客戶審核要求、內審報告、提案改善、質量事故等初始資料，從風險發(fā)生的可能性和影響程度，對子流程中涉及到的每個控制點進行綜合分析，識別固有風險，評價風險等級，形成風險清單。（3）文檔記錄：根據(jù)風險等級，識別流程中的關鍵控制活動，并在流程圖中進行編號；編制流程描述、風險控制矩陣等內控文檔對控制活動和控制點進行記錄。（4）查找內控缺陷：將公司現(xiàn)有制度和控制措施流與風險清單進行比對，通過穿行測試、控制測試等手段，獲取關于內控設計和運行有效性的證據(jù)，查找內控缺陷，形成《風險數(shù)據(jù)庫》和《內控風險診斷和評價報告》。對發(fā)現(xiàn)的重大缺陷及時報告董事會及管理層，管理層對發(fā)現(xiàn)的內部控制缺陷應及時制定內控缺陷整改方案。確定內控缺陷整改方案（2011年6月30日前完成）（1）編制《內部控制管理建議書》：公司對發(fā)現(xiàn)的內控缺陷進行分類分析，確定內控缺陷的重要性程度，區(qū)分設計缺陷和運行缺陷，形成《內部控制管理建議書》。（2）制定內控缺陷整改方案：公司根據(jù)《內部控制管理建議書》和具體的控制缺陷，提出整改時間及責任部門、人員，形成內控缺陷整改方案。（3）提交審議：內控缺陷整改方案應當經(jīng)過風險管理委員會審議通過。內控缺陷整改（2011年9月30日前完成）（1）落實整改、提交報告：責任部門將按照內控缺陷整改方案對發(fā)現(xiàn)的缺陷進行逐一整改，完善公司各項內部控制管理制度和控制措施，提交《內控缺陷整改報告》；內控項目組連同中介機構對缺陷整改情況進行運行有效性測試，形成《內控運行測試報告》。（2）編制《內部控制手冊》：內控項目組根據(jù)風險清單和各項內控文檔等資料，編制《內部控制手冊》，并對手冊內容進行實施輔導和推進執(zhí)行。（3）編制《內控自我評估工作指引》：內控項目組編制《內控自我評估工作指引》，為下一步內控自我評價工作的開展奠定基礎。（4）提交審議：《內控缺陷整改報告》《內控運行測試報告》《內部控制手冊》及《內控自我評估工作指引》應報風險管理委員會審議。內控持續(xù)推進和內控自我評價公司在內控體系成果完成后，將予以持續(xù)推進，并根據(jù)轄區(qū)證監(jiān)局要求，公司將于每季度結束后的10個工作日內，向證監(jiān)局報送內控進展情況說明，并在定期報告中予以披露。每季度進展情況說明至少包括該季度內控建設工作的開展情況、與工作方案中計劃進度的對照情況、差異原因以及擬采取的解決措施等。通過以上工作，公司初步建立健全了內部控制體系，有效提高了內控管理水平。第三：企業(yè)內控體系的“落地”和持續(xù)推進AB公司在完成內控體系初步建設完成后具體推行過程中，一些部門和員工或因對新的內控制度理解不夠，或因由于長期工作習慣難以改變，或因內控制度變革觸及自身利益而不愿遵循，使得內控制度在一段時期內一直都不能落到實處。如何真正將內控體系有效執(zhí)行下去，并保持內控體系的持續(xù)完善和提高，是管理層迫切需要解決的難題。為了切實將內控制度體系真正“落地”，AB公司通過全方位內控培訓、加強內控檢查與監(jiān)督、完善考核及激勵機制以及借助第三方專業(yè)機構的持續(xù)輔導等措施，有力地保證了內控建設的持續(xù)維護，公司的內控建設取得了卓有成效的進展。具體來說，采取的主要措施有：（1）完善內控工作組織架構，成立內控部，強化審計部，建立推進內控工作的組織機構和運行機制。通過對國際大企業(yè)內控建設的現(xiàn)狀和過程的全面考察，AB公司發(fā)現(xiàn)要實行有效的內部控制，必須建立相配套的組織架構。為此，公司由管理高層成立了內控工作領導小組，各子公司管理層對應的成立內控管理小組。在部門設置上，AB公司新成立了內控部，各下屬子公司根據(jù)其規(guī)模大小設立內控部或內控負責崗，負責內控建設工作；在內控監(jiān)督上：轉變了原有的審計部的職責，增加了內控評價和檢查的功能，并由公司董事會的審計委員會直接領導，在規(guī)模較大的子公司同時設立內部審計專員，負責子公司的內控自查。（2）注重內控環(huán)境建設，進行全方位內控培訓。AB公司通過一系列的培訓和輔導，提高各層級管理人員和基礎員工對內控理念的認識，營造有利的內控工作開展的文化環(huán)境。首先，公司抓好以普及內控基本知識、營造內控實施環(huán)境的宣傳工作。公司內控部組織編制了《內控宣傳冊》，在股份公司各職能部門和下屬公司主要管理干部范圍內發(fā)放學習。手冊通過生動的案例和形象的語言幫助各級管理人員統(tǒng)一對內控的理解和認識，減少內控推進的思想阻力。其次，公司根據(jù)內控規(guī)范實施的進度，圍繞內部控制的各個方面，開展了包括基礎理念、管理制度、風險評估、內控評價、內控考核在內的各類集中的專題培訓，對內控制度的編制和實施起了極大的推進作用。（3）建立內控推進的溝通機制，保證內控建設持續(xù)性和問題解決的及時性。自內控制度建設正式推進以來，為了保證推進的執(zhí)行力，公司開展了全方位的信息溝通機制，實現(xiàn)了信息的實時傳遞，和通暢的上傳下達。首先，AB公司建立了周例會制度。內控領導小組每周組織內控工作例會，由公司董事或審計委員會主任主持，參與者包括內控領導小組成員、內控部、審計部、財務部、各子公司的內控負責人等?？偛扛髀毮懿块T及各子公司必須在會上以書面形式上報“內控工作一周報告”，匯報內控的進展情況、及存在的問題、解決的方案、遇到的困難以及需要股份給予協(xié)助的事項，并由內控領導小組組長對相關的具體問題提出意見和工作指導，會后股份公司內控部負責對每家子公司進行回復，保證所有的問題都能得到及時有效的解決。所有會議記錄和相關文件在會后抄送股份公司的總經(jīng)理和董事會，并抄送相關子公司的管理層，保證管理高層對內控進展的時刻了解。其次，公司建立了內控體系的月度工作總結。每月末各個子公司的內控負責人就內控開展情況進行工作總結，由內控部在股份公司管理層、子公司管理層以及相關內控負責人之間進行通報，督促各子公司的內控執(zhí)行力。最后，建立了重大項目的單獨匯報機制。各子公司的內控負責人對于子公司內控建設中發(fā)現(xiàn)的重大問題要求及時向內控領導小組和股份內控部進行匯報，以實時處理可能的重大風險。此外，股份公司的內控部長、審計部長、財務總監(jiān)的聯(lián)系方式向子公司的所有內控負責人和內控專員公開，作為信息直接傳遞的一個重要渠道，幫助股份公司及時了解下屬子公司內控風險。（4）完善內控評價檢查機制，建立了多層次的內控檢查體系。為了保證內控制度的落地和真正有效的執(zhí)行，公司從各子公司到股份公司的內控部和審計部，再到外部獨立的第三方中介，建立了全方位的內控評價和檢查體系。股份公司內控部對各業(yè)務循環(huán)定期開展內控檢查，通過發(fā)放內控調查清單以及內控專員的現(xiàn)場檢查，發(fā)現(xiàn)子公司在內控建設中的不足，并及時下發(fā)風險聯(lián)系函、風險關注函和風險警示函，以幫助子公司及時進行內控整改和完善。其中聯(lián)系函主要是對子公司聯(lián)系函件的回復為主；關注函主要是對子公司發(fā)生的業(yè)務表示關注，一般要求對方在一定時間內給出書面說明；警示函是在關注函的基礎上對于重大風險或執(zhí)行不到位的情況給予警告。股份公司審計部對各子公司每年開展兩次的內控評價。為了實現(xiàn)評價的量化和標準化，審計部編制了內控評價底稿通過檢查，對子公司形成內控建設的量化評價，并針對檢查中發(fā)現(xiàn)的問題出具改進建議，并要求各子公司在規(guī)定的時間內予以整改，總部內控部對子公司整改措施和整改質量進行全程的監(jiān)督，整改完成后，審計部及時予以復查，確保審計中發(fā)現(xiàn)的問題能及時整改。（5）將內控建設納入績效考核，通過獎懲機制實現(xiàn)內控的有效性。首先，為有效發(fā)揮各下屬子公司的管理者在內控推進中的作用和積極性，自20××年開始，股份公司將審計部對各子公司的內控評價結果納入其管理班子的績效考核的指標中，明確了管理班子對于內部控制建設的責任和關鍵任務。通過這種績效考核，激勵管理層切實關注和推動內控的執(zhí)行工作，從而為內控工作的推進建立良好環(huán)境。其次，對于股份公司向各子公司委派的重要人員也直接與內控建設掛鉤。公司出臺了《委派內控人員績效考核管理辦法》，對各個子公司的內控負責人實施全面的內控建設考核，明確了委派的內控人員的績效考核指標、考核方式和獎懲機制，進一步促進了委派內控人員的工作落實力度；對于股份委派的財務負責人，也在其年度考核的總分中（100分制）納入了相當比重的的內控建設的相關內容，從財務職能加強了對子公司的內控推進。（6）充分發(fā)揮專業(yè)中介機構力量。AB公司在開始建立內控體系即聘請的專業(yè)咨詢公司提供咨詢服務，在整個體系建立過程中，充分發(fā)揮咨詢公司專業(yè)力量，并聘請專業(yè)顧問對公司人員進行培訓，提高公司人員內控理念和技能。在內控體系初步建立之后，仍繼續(xù)與咨詢公司保持合作，借助咨詢公司在專業(yè)及獨立性方面優(yōu)勢，共同推進公司內控持續(xù)建設工作，在內控持續(xù)建設工作中，專業(yè)咨詢公司提供了大量了專業(yè)意見和培訓輔導服務，幫助公司完善各項成果，使得公司的內控持續(xù)建設取得了令人矚目的成效。第四：企業(yè)內控體系建設過程的經(jīng)驗和啟示在公司董事會、各層級管理人員和基礎員工不懈努力下，公司內部控制體系的建設取得了一系列的良好效果，全公司各級員工的風險管理意識顯著提高，對風險的理解和重視切入到各個業(yè)務和管理環(huán)；強化了各項經(jīng)營活動的規(guī)范化操作，實現(xiàn)了重大經(jīng)營活動的集體化決策機制，有效防范了決策風險；提高了公司的財務管理水平，保證了從產業(yè)公司到股份公司的各層級財務數(shù)據(jù)的真實公允以及資金、資產的安全；加強了公司對新經(jīng)營環(huán)境下管理風險的關注；完善了公司的風險預警機制，提高了各職能部門對業(yè)務發(fā)生之后的潛在風險的持續(xù)監(jiān)控、分析和應對。（1）公司董事會和最高管理層的重視和親自參與。在AB公司董事會，無論是大股東委派董事、非執(zhí)行董事還是獨立董事，都非常重視和關心內部控制體系的建設工作。作為公司的大股東，集團對股份公司的內控建設給予了極大的理解和支持，有力的推動了產業(yè)公司的內控建設的進程。董事會的定期會議都將內部控制進展情況作為重要議題溝通，對于內部控制推進中出現(xiàn)的任何問題，董事會層面時刻給予相應和支持。在公司管理層方面，成立了內控領導小組，投入了大量的人力和財力，帶領企業(yè)員工共同進行內部控制建設，為內部控制的推進提供了良好的內部環(huán)境，同時也激發(fā)員工的積極性和主動性，推動企業(yè)內部控制朝更順利、更完善的方向發(fā)展。（2）對內部控制理念以及其與公司其他管理體系關系的認識統(tǒng)一。AB公司在內控推進的第一階段大力推行高頻率、大幅度的培訓，幫助各級管理者以及基層員工了解內部控制的主要原理和價值，減少內控實施中的思想阻力，統(tǒng)一了內控體系與其他管理體系的認識。內部控制和風險管理不是一套孤立的新的體系和制度，而是一種基于“目標——風險——控制——監(jiān)督”框架的管理思路，這種管理思路可以融入到企業(yè)的所有其他的管理體系和管理制度中去，是對企業(yè)原有的管理制度的整合和提升。（3）制定了清晰明確的內部控制戰(zhàn)略規(guī)劃。公司根據(jù)自身實際情況，在訂并提出了內部控制的五年兩步走的規(guī)劃，并將其納入到公司的5年戰(zhàn)略規(guī)劃中。第一階段（3年），通過自上而下的剛性要求，構建全面的統(tǒng)一化的集團內部控制架構，并通過理念灌輸形成內控推進的文化范圍；第二階段（2年），通過自下而上的，自覺的內控體系的完善，形成各個產業(yè)公司的特色化內部控制。這一從強制到自覺，從理念普及到制度完善再到內控手冊的表格化提升的建設步驟，使得公司從管理高層到基層員工的各級人員都明確內部控制不同時期的不同任務及不同發(fā)展狀態(tài)，穩(wěn)步推進，逐步加深，為內部控制的發(fā)展道路勾畫了清晰路徑。（4）因企制宜的實施方案。AB公司意識到對于集團化企業(yè)，內部控制不能是一刀切的，公司要實行內部控制，需要根據(jù)自身的業(yè)務類型、公司規(guī)模、公司所處階段來選擇適宜的內部控制方法。首先，公司在吸收了五部委內部控制基本規(guī)范和配套指引的相關精髓的基礎上，結合企業(yè)經(jīng)營實踐，基于先主后次的重要性原則以及成本收益原則，提出了以若干業(yè)務循環(huán)作為公司內控建設的主要循環(huán)范圍。其次，考慮公司的人員能力和素質，在內控成果上也沒有一步到位冊，而是以制度建設為基礎，通過制度規(guī)范，到流程優(yōu)化再到風險提煉，逐步實現(xiàn)內部控制的層層遞進。最后，在內控推進上，公司充分考慮下屬各產業(yè)公司的業(yè)務特點，確定適合各公司的內部控制方式和側重點。（5）循序漸進的實施步驟。第一步：自上而下的理念推進向自下而上的流程推進的遞進。在內控實施的第一階段，公司強調自上而下的理念推進。公司通過內部培訓、各種工作會議達成內控理念的統(tǒng)一，并向各子公司傳達，之后各子公司則進行自下而上的內控流程推進，即各產業(yè)公司根據(jù)自身的內部流程，進行制度的完善，并經(jīng)由公司內控部審核后實施。第二步：由總部出臺框架性的制度到各個子公司制訂針對性的業(yè)務流程的遞進。公司內控部結合外部力量制定框架性的制度，明確各業(yè)務循環(huán)的關鍵控制點和操作要求，各產業(yè)公司根據(jù)自身業(yè)務情況，在滿足框架制度要求的前提下制定適合企業(yè)自身的管理制度，以求更貼近產業(yè)公司的經(jīng)營管理實踐。第三步：普遍性、通用性的風險點向專業(yè)性、針對性的風險點的遞進。公司首先根據(jù)對產業(yè)公司實際情況的調研，繪制公司的全面風險數(shù)據(jù)庫，梳理出具有普遍性的通用性主要風險點，之后，各產業(yè)公司在實際操作中不斷發(fā)現(xiàn)專業(yè)性、針對不同企業(yè)業(yè)務特色的獨特風險，以實現(xiàn)內部控制的完善。第四步：抓重點公司，抓主要循環(huán)和風險、抓典型事件。公司的內部控制遵循重要性原則，關注重點公司級重要循環(huán)與風險，并關注典型事件，以期通過重點帶動全面，推動內部控制的發(fā)展。（6）借助外部專業(yè)中介機構推動內控建設。外部專業(yè)機構相對而言具有更豐富的內控專業(yè)力量和實施經(jīng)驗，并且具有客觀性和獨立性，AB公司在整個體系建立過程中，充分發(fā)揮咨詢公司專業(yè)力量，但也沒有完全依賴中介機構甩手不管，而是充分參與和配合，在內控建設過程中，實現(xiàn)知識傳遞和內控人才培養(yǎng)，取得了相對較好的實施效果。（二）改進企業(yè)內部控制,加強風險管理的對策1．完善公司治理結構企業(yè)內部控制要有序進行、風險管理要順利實施就必須不斷完善治理結構。公司治理體系的健全完善可以使公司各個部門之間職責劃分明確并形成相互制約，是有效開展內部控制和風險管理的前提。一方面，完善公司治理結構需要認識到獨立董事在公司中的重要性，肯定其在公司治理中的地位，使獨立董事在公司內部控制的監(jiān)督工作中發(fā)揮重要作用；另一方面，公司應依據(jù)在經(jīng)營中的需要設置專門委員會，可以從董事會成員中選拔一些專業(yè)人才成立委員會，充分利用其專業(yè)優(yōu)勢，有效解決企業(yè)經(jīng)營過程中的重要特殊事項，在對公司的風險進行識別、評估和控制過程中充分發(fā)揮作用。2．強化業(yè)務素質培訓，提升全員內部控制和風險意識隨著企業(yè)所處競爭環(huán)境日益復雜、經(jīng)營風險不斷加劇，現(xiàn)代企業(yè)制度逐漸建立和完善，企業(yè)現(xiàn)有人員的內部控制意識和風險意識也必須適應企業(yè)發(fā)展的需要。因此，企業(yè)需要不斷強化員工的風險意識和全員參與內部控制的意識。為此，企業(yè)應根據(jù)員工實際情況和所處管理層級，為其量身定制不同的培訓，從而促使企業(yè)員工重視企業(yè)的內部控制和風險管理工作并積極參與其中，以適應企業(yè)發(fā)展的需求。3．強化內部審計制度建設應充分發(fā)揮內部審計在企業(yè)內部控制和風險管理中的監(jiān)督評價作用，保障內部控制和風險管理工作制度設計的合理性、實施的有效性。強化公司的內部控制與風險管理監(jiān)督機制，即強化內部審計制度建設，這需要從三個方面著手：首先，提升內部審計在企業(yè)中的地位，重點強化公司內部審計工作的獨立性，確保內部控制與風險管理評價工作的權威性。其次，內部審計的監(jiān)督重點應從財務資產安全轉移至運營與風險管理，促進提高公司的風險管理和內部控制水平。最后，應深入開展對公司內部控制與風險管理工作的全過程監(jiān)督評價。事前介入、事中跟蹤、事后評價反饋，從而及時發(fā)現(xiàn)控制缺陷和管理漏洞，防范經(jīng)營風險，提升企業(yè)價值。（三）案例——內控及風險管理體系建設神華集團有限責任公司，在內控及風險管理體系建設與改進融合方面的實踐。1．內部控制與風險管理體系建設（1）內部控制體系建設自2006年開始，神華集團以中國神華為切入點，開展以風險管理為導向的內部控制體系建設工作:一是明確體系建設的目標，即培育風險管理理念，將國際先進的風險分析和識別方法引入企業(yè)日常的內控及風險管理，分析企業(yè)內外部的環(huán)境、機會和威脅，力求使風險的影響程度降到最低，實現(xiàn)不確定環(huán)境中的企業(yè)價值最大化。二是確定體系建設的基本原則，即滿足香港聯(lián)交所和上海證交所監(jiān)管的要求，兼顧《中央企業(yè)全面風險管理指引》的精神。以COSO《企業(yè)風險管理——整合框架》為指導，緊密結合公司實際情況和管理習慣，力求先進性與實用性的統(tǒng)一。在上述目標與基本原則的指導下，構建起由組織架構和制度架構兩個都分組成的內部控制體系。其運行機制，是一個由公司董事會、高管層和其他人員將內控管理制度和基本流程融人企業(yè)管理的過程。組織架構提供內控及風險管理的組織保障中國神華按照國家有關法律法規(guī)、股東會決議和公司章程設計內控及風險管理的組織架構。組織架構明確了董事會、監(jiān)事會、高管層、各部門、各分（子）公司在內控及風險管理中的角色和職責，從而為內控及風險管理的有效運行提供了組織保障。內控組織架構與公司治理組織架構一致，內控審計部直接向審計委員會匯報，在公司高管層的指導下，開展日常的內控工作。制度架構提供內控及風險管理的制度保障制度架構的核心是《內部控制手冊》和《自我評估手冊》?！秲炔靠刂剖謨浴纷鳛楸Ｕ蟽瓤丶帮L險管理體系得以構建并有效運行的基本制度，是開展內控及風險管理的綱領性文件?！蹲晕以u估手冊》規(guī)定了對具體業(yè)務流程主要風險點的管控要求和自評辦法，是對內控及風險管理進行持續(xù)監(jiān)控的重要工具。（2）全面風險管理體系建設自2010年開始，神華集團在總結以風險管理為導向的內部控制體系建設經(jīng)驗的基礎上，結合國務院國資委、財政部等監(jiān)管要求，并借鑒其他央企的風險管理制度，啟動全面風險管理體系建設工作。2011年編制完成《神華集團公司全面風險管理辦法》（以下簡稱《辦法》），并正式下發(fā)，標志著神華集團全面風險管理體系的初步構建。神華集團確立統(tǒng)一管理、分層負責的風險管理體制，明確了風險管理與本質安全管理、風險管理與內部控制的關系，規(guī)范了風險管理組織體系、風險分類和風險管理基本流程。2．內部控制與風險管理體系的持續(xù)改進（1）重大風險動態(tài)評估風險動態(tài)評估長效機制是對風險進行有效管控的前提和基礎。神華集團從2006年開始，每年都要進行一次較為全面的風險評估。近五年來，從風險評估的程序、方法、范圍到風險評估結果的利用方面積累了豐富的實踐經(jīng)驗，形成了比較科學的風險評估機制。自2010年開始，神華集團在全集團范圍內進行風險評估。2010年，神華集團采用風險自查、現(xiàn)場調研訪談和向集團公司領導匯報等方式進行風險評沽，工作覆蓋集團公司總部31個部門，17家非上市子分公司和15家上市子分公司。2011年，神華集團要求總部各部門、子（分）公司編制并提交本單位的年度風險管理報告。共33個總部部門、35家子（分）公司提交了報告，通過匯總分析，確定主要風險共52項，結合總部各部門及子（分）公司領導訪談，初步確定重大風險15項。在此基礎上，對集團公司黨組成員及管理層進行當面或書面訪談，經(jīng)董事會全面風險管理委員會審議后，最終確定2011年度面臨的10項重大風險。2012年，神華集團進一步要求各子（分）公司上報本單位重大風險專項報告。同時，重大風險的確定更有針對性，主要表現(xiàn)在：一是，保留了屬于固有風險或與戰(zhàn)略目標緊密相關的風險，同時突出公司以煤炭為基礎的產業(yè)特點；二是，選擇能夠使風險管控更具體，更有操作性的風險；三是，風險管控措施的確定更為具體。（2）明確“集約化管理，專業(yè)化運營，一體化協(xié)同”的管控模式集約化管理是指主要業(yè)務發(fā)展規(guī)劃、投資決策及管理。經(jīng)營決策、市場及營銷、產權管理、業(yè)務計劃及目標設定、生產規(guī)范、業(yè)務流程標準、績效考核等核心經(jīng)營管理職能集中至神華集團管理層，井將具體職能分解至神華集團各業(yè)務管理部門。各業(yè)務管理部門是神華集團最高決策層的參謀部，履行對下屬生產單位計劃執(zhí)行狀態(tài)的監(jiān)督和協(xié)調職能。專業(yè)化運營是指專業(yè)生產管理部負責各產業(yè)的專業(yè)化運營管理，二級各產業(yè)的生產單位承擔具體的生產執(zhí)行責任。一體化協(xié)同是指為全集團提供高質量、低成本的專業(yè)服務能力，如神東礦區(qū)設立統(tǒng)一的生產服務中心、開拓準備中心，建立救援基地和救護大隊等，降低了生產成本，提高了生產效率。（3）定期不定期缺陷整改自2006年開始，首先在中國神華總部層面開展年度內控自我評估工作，并在年報中進行披露。2007年，自評工作涵蓋中國神華總部及所有子(分)公司，并對重點測試單位的重點流程進行現(xiàn)場測試、審核、評價工作。2008年，根據(jù)中國神華管控重點和各業(yè)務板塊的具體特點，設計了總部、煤炭、電力、運輸四套自評底稿問卷，涉及900多個關鍵控制點。自2010年開始，神華集團在全集團范圍內開展年度內控檢查評價工作，工作范圍涵蓋集團公司總部所有部門和所有子（分）公閱，工作內容基本覆蓋了神華集團所有重要業(yè)務經(jīng)營活動流程。在集團公司總部層面，所有部門均應編報內控自我評價報告。董事會辦公室等19個部門應填報內控自我評價工作底稿，其中法律事務部等8個部門應配合完成重點流程的測試工作；子（分）公司層面，37家子（分）公司均應填報自我評價工作底稿，編報內控自我評價報告。2011年，神華集團確立了滿足監(jiān)管要求和結合公司實際，突出公司特色的內部控制評價原則。評價工作范圍覆蓋集團公司總部及子（分）公司的主要業(yè)務和事項，評價內容包括財政部等五部委18項應用指引的全部內容，并補充公司特有業(yè)務，基本涵蓋了公司生產經(jīng)營的生產主要方面。（4）開展煤炭行業(yè)風險預警指標與