企业内部控制流程梳理与风险识别.doc

企业部控制流程梳理与风险识别主讲：玉梅目 录一、认识控流程二、认识风险识别三、如何建立与改进一、认识控流程（一）案例典型控事件（二）部控制的概念（三）控问题与产生原因（一）案例典型控事件：安然公司(Enron Corporation)：原是世界上最大的综合性天然气和电力公司之一，在北美地区是头号天然气和电力批发销售商。辉煌业绩：世界最大的能源公司，500强排名第7，曾被称为“美国最有创新精神的公司”。严重问题：（1）2001年末，安然宣布第三季度亏损6.4亿美元。美国证监会进行调查，发现该公司1997以来虚报利润5.8亿美元。（2）2001年末安然申请破产保护。在之前10个月，公司因股票价格超越预期目标而向董事与高级管理人员发放3.2亿美元的红利。（3）2006，安然主席与CEO被美国法院认定有罪，前创始人受多项指控，其中4项银行欺诈罪将导致最高120年监禁的判决；前CEO受19项指控最终判24年监禁；CFO也被判刑10年。（4）半年多时间，股市市值缩水2.5万亿美元；安然公司破产直接导致美国金融机构损失200亿美元。深层原因：（1）会计舞弊：通过财务作假和滥用会计方法，隐瞒亏损，掩盖债务和巨大的交易风险（1997以来虚报利润5.8亿美元），误导投资人以牟取私利。（2）业务集中：业务集中在“能源衍生品交易”，公司出现任何信用风险后，带来一连串灾难性后果，造成现金流困难。（3）恶性扩：追求“管理创新”，自封“世界领先公司”，业务不断扩，从天然气、电力业务，到风力、水力、投资、木材、广告、互联网宽带业务等，无所不包。风险事件的反思：（1）安然、世通、施乐、安达信等公司欺诈，会计造假丑闻使投资大众遭受巨大的损失。（2）中航油（新加坡）违规操作被判刑并罚款，巴林银行由于私自交易被1英镑价格交易。（3）在2000年至2002年期间，由于在美国发生的涉与巨型公司财务丑闻，导致资本市场损失了7万亿美金的市值。（4）诚信危机震撼着美国与国际社会，美国企业的假账丑闻一时间成为全球舆论的焦点。强化部控制是有效防风险的重要手段：（1）知名企业失败案例与部控制缺陷密切相关；（2）部控制能够做到事前防，与时发现苗头并予以补救。（二）部控制的概念部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告与相关信息真实完整，提高经营效率和效果、促进企业实现发展战略。1部控制是融入在企业经营管理活动之中的一系列行为，不是一个额外的附加体系。部控制是经营管理活动的一部分；部控制的对象是经营管理过程的主体和活动；部控制要融入经营管理的每个环节；部控制要从被动到主动；部控制要从附加到融入。2部控制强调“全员参与”全体员工都担负部控制实施的责任；管理者要带头垂，要“入局”；部控制与企业“人人”“事事”都有关。3部控制责任体系董事会：对部控制的建立健全和有效实施负最终责任；审计委员会：负责审查企业部控制，监督部控制的有效实施和部控制自我评价情况，协调部控制审计与其他相关事宜等；监事会：对董事会建立与实施部控制进行监督；管理层：负责组织领导企业部控制的日常运行；企业应当成立专门机构或者指定适当的机构具体负责组织协调部控制的建立实施与日常工作；审部门：结合部审计监督，对部控制的有效性进行监督检查。（三）控问题与产生原因二、认识风险识别（一）企业风险识别的概念（二）企业部控制与风险管理的联系与区别（三）风险识别方法（一）企业风险识别的概念风险识别：指识别所有可能对组织产生负面影响的损失风险，即找出影响预期目标实现的主要风险。企业风险识别是指对企业面临的尚未发生的潜在的各种风险进行系统的归类分析，从而加以认识与辨别的过程。识别过程包括两个阶段：首先是风险的辨识，要找出各种风险与其存在之处，然后对其进行分析，主要分析引起风险的各种原因和可能的结果。1风险识别的原则系统性、连续性和全面性。2风险识别的容（1）环境风险指由于外部环境意外变化打乱了企业预定的生产经营计划，而产生的经济风险。引起环境风险的因素有：国家宏观经济政策变化，使企业受到意外的风险损失；企业的生产经营活动与外部环境的要求相违背而受到的制裁风险；社会文化、道德风俗习惯的改变使企业的生产经营活动受阻而导致企业经营困难。（2）市场风险指市场结构发生意外变化，使企业无法按既定策略完成经营目标而带来的经济风险。导致市场风险的因素主要有：企业对市场需求预测失误，不能准确地把握消费者偏好的变化；竞争格局出现新的变化，如新竞争者进入，所引发的企业风险；市场供求关系发生变化。（3）技术风险这是指企业在技术创新的过程中，由于遇到技术、商业或者市场等因素的意外变化而导致的创新失败风险。其原因主要有：技术工艺发生根本性的改进；出现了新的替代技术或产品；技术无法有效地商业化。（4）生产风险指企业生产无法按预定成本完成生产计划而产生的风险。引起这类风险的主要因素有：生产过程发生意外中断；生产计划失误，造成生产过程紊乱。（5）财务风险由于企业收支状况发生意外变动给企业财务造成困难而引发的企业风险。（6）人事风险凡是涉与企业人事管理方面的风险就称为人事风险。3风险识别应关注的因素风险承受度：是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。（1）部风险单位识别部风险，应当关注下列因素：高级管理人员的职业操守、员工专业胜任能力等人力资源因素；组织机构、业务活动方式、资产管理、业务流程等管理因素；研究开发、技术投入、信息技术运用等自主创新因素；财务状况、经营成果、现金流量等财务因素；营运安全、员工健康、环境保护等安全环保因素；其他有关部风险因素。（2）外部风险企业识别外部风险，应当关注下列因素：经济形势、财政管理体制、融资环境、市场竞争、资源供给等经济因素；法律法规、监管要求等法律因素；安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；技术进步、工艺改进等科学技术因素；自然灾害、环境状况等自然环境因素；其他有关外部风险因素。（二）企业部控制与风险管理的联系与区别1企业部控制与风险管理的涵部控制一般是指企业为合理保证实现经营管理目标，确保财务财产的安全完整，保证企业运营战略和有关规章制度的有序进行，确保企业高效率的运行而在公司里实行的调节、管制、计划和评估的方式与其技术措施的总称。除此之外，部控制还是在特定的环境下，公司要提升其自身运营效率并充分获取利用所有资本，实现企业的管理目标而在公司实行的一系列约束和调整的策略、流程和措施。风险管理是指公司在经营管理中对于一些风险源实施辨别、确认、评估与监管，在适当的时候也可以实施一些有效的方法对其进行监控与预防，从而给公司带来更大的安全保障的程序。随着国际经济形势日益复杂，企业面临着更加严峻的生存压力，“全面风险管理”的概念获得广泛认可。2企业部控制与风险管理的联系部控制和风险管理理论并不是相互独立的两类理论，二者在实施主体、组成要素以与实施目标等方面都密切相关。第一，部控制与风险管理实施目标虽不尽一样，但二者在本质上都是通过一系列措施和手段，达到增加企业价值、使企业利润最大化的目的；第二，部控制与风险管理实施主体与实施客体基本一样，都是由企业董事会、管理层以与其他人员共同实施，其实施客体都是企业员工、资产以与企业在经营管理过程中形成的关系。值得注意的是，部控制与风险管理并不仅针对企业董事会和管理层，二者需要企业全体人员的共同参与，企业高管与员工的区别在于其在部控制和风险管理实施过程中的管理责任不尽一样；第三，部控制与风险管理都是一个动态的过程，都需要在实施过程中进行反馈与调节，使得企业部控制和风险管理能够在一定限度对环境变化作出相应调控；第四，部控制是全面风险管理的重要组成部分，部控制与风险管理组成要素在一些方面是相互重合的，风险管理对目标设定、事件识别和风险对策方面作出了更为细致的规和要求；第五，全面风险管理以健全的部控制为基础，公司对风险实施管理就必须要有科学、先进的管理措施，倘若没有完善的部控制制度，那么企业风险监管也将无法顺利实施。3企业部控制与风险管理的区别首先，部控制与风险管理职能定位不一致。企业施行部控制制度的目的是维护自身财产的安全与完整，从而确保会计信息质量与其他管理信息的真实、可靠和与时。风险管理的目的是以最低的成本应对企业风险，从而使企业避免损失，实现利润最大化。全面风险管理在制定合理的部控制，保证企业经营合法合规和财务财产安全的同时，还需要对企业在战略制定和业务模式选择等方面提供合理保证。其次，企业部控制与风险管理活动围不尽一样。部控制只是企业公司治理的一项职能，而企业的风险管理则在治理程序中的每个部分都存在，公司进行部监督控制的方式除了表现在对事中和事后的控制，最主要的是公司于事先规划方针的过程中就全面了解到危机的严重性。最后，部控制与风险管理对风险的对策不同。企业在经营过程中，需要对所面对的风险采取必要的措施和手段，如采取避免风险、控制风险、分散与中和风险、承担风险、转移风险等方法，对企业风险进行管理，使运营战略与风险回报相协调，从而达到降低企业经营风险、增加企业价值的目的。（三）风险识别方法曾发生过这样一个生产事故：技术部门借用其他产品的图纸，并在此基础上进行了一些修改，但这个修改并没有通知到位。生产部门看到图纸后以为是其他产品工艺，并按此执行了生产工艺，结果直到生产完成后才发现工艺做错，所做的所有产品报废。企业的事故发生后，企业当然会非常紧急的排查、解决、整改，但是对于企业而言，更重要的不是等待事故的到来，而是防患于未然，这也是为何企业控中非常强调风险评估的原因。控管理常常都是风险导向，因此,对于企业来说，企业控的基础工作应该是风险识别。在企业控的五大要素中，风险评估分别包括风险识别、风险分析以与风险应对这三个过程，而风险识别则是风险评估的第一步。对于业务风险和管理风险而言，最方便的风险识别载体就是流程，因为固化过的流程有明确的步骤和责任主体，便于按节点的进行风险识别。因此企业做控建设的时候，很强调企业是否具有健全完整的流程体系，通过流程作为载体，可以更快捷有效的进行企业控的工作。利用流程来进行风险识别的步骤主要有三步：筛选、模拟以与归类。对于一个有着完整流程体系的企业来说，首先要从其固化流程的风险筛选开始做起。这种筛选往往采用的是经验法，即由相关部门对其所熟悉的流程中可能产生风险的节点进行汇总上报。在筛选的过程中，需要关注几点：针对流程的每一个步骤，考量其是否为重要风险节点，尤其是资料交付、产品转序等涉与人、财、物的重要活动；重点关注过去曾经发生过的事故节点；在前期流程梳理或是优化过程中，重点改动的活动节点。以上面发生的事故为例，其风险节点应该在图纸借用流程术部信息记录这个节点，对于需要记录的信息是否有确切的记录方式得以保存，以与图纸下发流程术部通知相关部门这个节点上，是否将应有的信息传递给相关部门。在获得初步的风险节点清单以后，需要由控主体部门开始进行风险的模拟，通过模拟活动来甄别风险节点的可能危害程度以与产生危害的几率。这种模拟活动需要让流程从正常、异常和紧急状态这三种活动状态出发，分别模拟这三种活动的情况发生后对流程过程和结果可能带来的影响，对于其危害结果要同时考虑其对过去、现在和未来三种时态，并同时评估产生这些危害的几率。在评估危害几率的过程中，可以考虑采用专家评估法或是问卷调查，通过估计危害可能发生的频率、是否有检查活动、是否已经受到控制、是否有规性的制度以与员工能力这几个角度来评估危害可能发生的几率。在获得风险节点危害程度以与发生几率数据以后，则对风险节点进行排序分类，通过计算风险预期危害数值，按照一定的划分标准，对前期风险节点清单中的节点进行划分，一般以重大、一般以与较轻三种类型区别（根据企业实际情况决定）。通过控部门以与相关领导的最终评审后，获得最终的风险管控表清单。显然对于前面所描述的那个案例来说，记录与沟通是一个比较重要的风险管控点。如果企业能够在前期就对这类风险点加以识别，并通过后期的其他风险评估过程，设计并执行应有的控制活动，则可以为企业大大降低运营风险，从而起到节约成本，增强企业生存能力的作用。风险识别方法：现在使用的风险识别方法，可以分为宏观领域中的决策分析（可行性分析、投入产出分析等）和微观领域的具体分析（资产负债分析、损失清单分析等）。主要方法有：生产流程分析法，又称流程图法。生产流程又叫工艺流程或加工流程，是指在生产工艺中，从原料投入到成品产出，通过一定的设备按顺序连续地进行加工的过程。该种方法强调根据不同的流程，对每一阶段和环节，逐个进行调查分析，找出风险存在的原因。风险专家调查列举法。由风险管理人员对该企业、单位可能面临的风险逐一列出，并根据不同的标准进行分类。专家所涉与的面应尽可能广泛些，有一定的代表性。一般的分类标准为：直接或间接，财务或非财务，政治性或经济性等。资产财务状况分析法。即按照企业的资产负债表与损益表、财产目录等的财务资料，风险管理人员经过实际的调查研究，对企业财务状况进行分析，发现其潜在风险。分解分析法。指将一复杂的事物分解为多个比较简单的事物，将大系统分解为具体的组成要素，从中分析可能存在的风险与潜在损失的威胁。失误树分析方法是以图解表示的方法来调查损失发生前种种失误事件的情况，或对各种引起事故的原因进行分解分析，具体判断哪些失误最可能导致损失风险发生。风险的识别还有其他方法，诸如环境分析、保险调查、事故分析等。企业在识别风险时，应该交互使用各种方法。三、如何建立与改进（一）如何建立企业风险与部控制体系（二）改进企业部控制,加强风险管理的对策（三）案例控与风险管理体系建设（一）如何建立企业风险与部控制体系1建立与实施风控的原则全面性原则。部控制应当贯穿决策、执行和监督全过程，覆盖企业与其所属单位的各种业务和事项。重要性原则。部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。制衡性原则。部控制应当在治理结构、机构设置与权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。适应性原则。部控制应当与企业经营规模、业务围、竞争状况和风险水平等相适应，并随着情况的变化与时加以调整。成本效益原则。部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。合规性原则。遵照国家的法律、法规和政策，遵照财政部等五部委制定的部控制基本规与其配套指引，符合国务院国有资产监督管理委员会制定的风险管理指引的原则要求。2建立与实施风控的总体思路（1）梳理业务流程、搭建流程框架体系根据企业生产经营的价值链，对企业的管理活动、生产活动分类逐级进行全面梳理，构建企业业务流程框架，绘制流程图，撰写流程描述，根据信息化的要求编制各业务活动的编码。（2）开展规对标、编制缺陷清单按照梳理的各项业务活动，清理现有管理制度中的控制措施，逐一核对企业部控制基本规与其配套指引、企业全面风险管理指引以与上级单位的相关管理要求，编制对标缺陷清单。（3）建立风险数据库、绘制风险地图结合缺陷清单，分析查找各项业务活动存在的主要风险，按照风险发生的可能性和影响程度对风险进行评估，编制风险数据库。（4）将风险数据库与流程清单进行匹配将流程清单与风险数据库进行匹配，以便明确某个风险体现在哪个流程中，某个流程中有哪些风险。这个匹配首先在风险类别层面进行，为下一步全面识别具体风险点与流程中的控制点的匹配打下基础。（5）制定或优化业务流程图结合风险和控制措施，制定或者优化业务流程图，降低或避免风险。（6）制定风险控制矩阵根据风险数据库，基于业务流程图确定业务活动的关键控制点，制定关键控制点的具体控制措施，建立风险控制矩阵（包括企业级、项目级、流程级）。（7）制定或修订相关管理制度、编制权限指引表编制部控制与风险管理相关管理制度，如控管理办法，控评价管理办法、控监督管理办法，全面风险管理办法等。基于业务流程图编制业务活动权限指引表，明确各项业务参与者的工作分工和执行权限，进一步明确控与风险工作权责分配关系。（8）编制部控制手册制定公司部控制手册，包括部环境手册、风险评估手册、控制活动手册、信息与沟通手册和部监督手册，作为部控制体系建设、运行、维护、评价的依据，确保全公司从思想和行为上对部控制体系保持高度统一。（9）开展部控制与风险管理监督检查与评价监督检查与评价包括部环境、风险评估、控制活动、信息与沟通、部监督等五大方面。监督检查方式包括审计、监察、审（外审）、管理评审等方式。编制部控制自评价报告，报告的主要容：部控制报告真实性的声明，评价工作的总体情况，评价依据，评价的围，评价的程序和方法，部控制缺陷与其认定，、整改情况，部控制有效性的结论。编制全面风险管理报告，报告的主要容：年度企业部控制管理工作回顾，年度企业风险评估情况，年度部控制管理工作安排，有关意见和建议。3企业部控制体系建设路径与启示AB股份（以下简称“AB公司”或“公司”）是一家在国主板的A股上市公司，为符合上市公司控法规要求，加强和规企业部控制，提高企业经营管理水平和风险防能力，促进企业可持续发展，根据财政部、证监会等五部委印发的企业部控制基本规与配套指引的要求，公司聘请外部咨询公司，于2011年3月起着手进行部控制规体系的建设工作。根据部控制企业部控制基本规与其配套指引要求，结合国外公司经验，企业部控制体系建设通常分为四个阶段，部控制梳理、部控制整改固化、部控制自我评价和部控制审计，其中前三个阶段是控建设核心工作，需由企业主导完成，控审计由审计师在企业配合下实施。为做实做好控规体系建设工作，公司于2011年3月正式成立控工作领导小组，由公司董事长牵头，高层领导主管、总部各部门负责人与各分子公司总经理作为组员，负责组织领导公司部控制规化建设工作。2011年3月中旬召开控实施项目启动会，对公司控建设工作进行了部署和动员，并制定公司控实施计划与工作方案。第一：建立控建设组织架构，明确相关人员职责。部控制建设作为一项长期系统性地工程，并非一蹴而就，公司决定建立一种长效领导机制持续运作。公司明确董事长为部控制实施工作的第一责任人；公司总经理、副总经理为控实施的具体负责人。通过四大系统的职责分工与事业部、公司、公司责任人的落实，形成了矩阵式的控制结构，可以有效确保控控制的全面性和深入性。明确控领导小组职责经第六届第十次董事会审议通过，公司成立风险管理委员会，成员包括董事长、审核委员会主席、总经理、分管主要业务的公司高管与专业人士，作为控工作领导小组。风险管理委员会对董事会负责，主要履行以下职责：负责营造良好的部控制建设环境；负责制定公司部控制战略规划，提出总体建设方案；负责审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以与重大决策的风险评估报告；部署部控制建设、执行与监督活动等；审议控手册的编制、修改与更新；提交部控制评价报告；协调公司部控制建设的重大事项；考核部控制建设的相关人员，保持公司整体利益和方向的一致性。明确控项目小组职责公司在风险管理委员会下设立风险管理委员会办公室作为控项目组，主要履行下列职责：全面贯彻执行风险管理委员会关于部控制建设的精神和方针；制定公司部控制建设阶段性的目标与实施方案，提交风险管理委员会审核；负责部控制建设的有效实施和运行，落实部控制建设的具体责任；研究提出部控制评价报告；负责公司控手册的编制、修改与更新；审核在部控制建设过程中存在的问题，督促各部门进行整改。（1）公司在风险管理委员会办公室细分为4大系统，即风控系统、战略与证券系统、财务系统和运营系统，明确各系统的具体职责。（2）风险管理委员会办公室成员主要来自于财务管理部、战略与证券管理部、风险管理部、管理创新部、营销中心、质量与客服部、供应链中心、法律事务部、研发中心、制造中心与战略人力资源部，配备33名专职人员。各业务单位、职能部门与子公司（事业部）在风险管理委员会办公室的指导下共同参与、实施控建设工作。（3）审核委员会作为公司部控制体系有效性的监督机构，监督部控制的有效实施和部控制自我评价情况，审核与监督外部审计机构是否独立客观与审计程序是否有效，审核公司的财务信息与其披露，协调部控制审计与其他相关事宜。责任部门与工作预算与控工作小组相对应，公司确认了部控制建设的责任部门，即风险管理部、战略与证券管理部、财务管理部、管理创新部、营销中心、供应链中心、质量与客服部、法律事务部、制造中心、研发中心、战略人力资源部。本次控项目工作制定了相关预算，包括控咨询、控审计与人力成本费用、培训费用等。为保证控建设工作的专业化、系统化和合理化，公司聘请咨询公司作为外部咨询机构为公司提供专业支持，协助公司梳理、构建与完善部控制总体架构，帮助公司识别部控制存在的薄弱环节和主要风险，有针对性的设计控制的重点流程和容并协助公司开展部控制自我评价工作。风控系统人员将全程参与风险识别与评估、编制风险清单与控制矩阵、控缺陷整改、开展控评价等工作，为公司培养部控制建设与评价人才。第二：控体系建设工作具体推进部控制建设工作，公司将分为五个阶段，时间从2011年4月1日至2012年1月31日，总体安排如下：确定控实施围（2011年4月10日前完成）根据证监局文件精神，结合公司实际，本次控实施围为股份公司、一家子公司以与一家子公司。按照企业部控制基本规与其配套指引要求，结合公司业务性质，公司将重点关注发展战略、组织架构、人力资源等公司层面3大流程，以与信息系统、财务报告、信息披露、关联交易、全面预算、资金活动、采购业务、销售业务、资产管理等业务层面9大流程。各流程责任人如下（×××代表责任人）：注：上述责任人适用于控建设中的每个阶段风险识别与评估（2011年5月31日前完成）（1）流程梳理：公司通过访谈、审阅文档或问卷调查等方式梳理流程，明确上述12大流程的相应子流程，完善组织架构和审批授权指引，根据统一的模板编制业务流程图。在流程梳理过程中，与时发现并记录有遗漏、杂乱、不符合相关法律、不相容职务未分离或权限设置不合理等控缺失的工作流程，采取相应的措施规操作流程，避免部舞弊等重大风险出现，提高工作效率。（2）风险识别：结合企业部控制基本规与相关配套指引所列示的风险、公司客户审核要求、审报告、提案改善、质量事故等初始资料，从风险发生的可能性和影响程度，对子流程中涉与到的每个控制点进行综合分析，识别固有风险，评价风险等级，形成风险清单。（3）文档记录：根据风险等级，识别流程中的关键控制活动，并在流程图中进行编号；编制流程描述、风险控制矩阵等控文档对控制活动和控制点进行记录。（4）查找控缺陷：将公司现有制度和控制措施流与风险清单进行比对，通过穿行测试、控制测试等手段，获取关于控设计和运行有效性的证据，查找控缺陷，形成风险数据库和控风险诊断和评价报告。对发现的重大缺陷与时报告董事会与管理层，管理层对发现的部控制缺陷应与时制定控缺陷整改方案。确定控缺陷整改方案（2011年6月30日前完成）（1）编制部控制管理建议书：公司对发现的控缺陷进行分类分析，确定控缺陷的重要性程度，区分设计缺陷和运行缺陷，形成部控制管理建议书。（2）制定控缺陷整改方案：公司根据部控制管理建议书和具体的控制缺陷，提出整改时间与责任部门、人员，形成控缺陷整改方案。（3）提交审议：控缺陷整改方案应当经过风险管理委员会审议通过。控缺陷整改（2011年9月30日前完成）（1）落实整改、提交报告：责任部门将按照控缺陷整改方案对发现的缺陷进行逐一整改，完善公司各项部控制管理制度和控制措施，提交控缺陷整改报告；控项目组连同中介机构对缺陷整改情况进行运行有效性测试，形成控运行测试报告。（2）编制部控制手册：控项目组根据风险清单和各项控文档等资料，编制部控制手册，并对手册容进行实施辅导和推进执行。（3）编制控自我评估工作指引：控项目组编制控自我评估工作指引，为下一步控自我评价工作的开展奠定基础。（4）提交审议：控缺陷整改报告控运行测试报告部控制手册与控自我评估工作指引应报风险管理委员会审议。控持续推进和控自我评价公司在控体系成果完成后，将予以持续推进，并根据辖区证监局要求，公司将于每季度结束后的10个工作日，向证监局报送控进展情况说明，并在定期报告中予以披露。每季度进展情况说明至少包括该季度控建设工作的开展情况、与工作方案中计划进度的对照情况、差异原因以与拟采取的解决措施等。通过以上工作，公司初步建立健全了部控制体系，有效提高了控管理水平。第三：企业控体系的“落地”和持续推进AB公司在完成控体系初步建设完成后具体推行过程中，一些部门和员工或因对新的控制度理解不够，或因由于长期工作习惯难以改变，或因控制度变革触与自身利益而不愿遵循，使得控制度在一段时期一直都不能落到实处。如何真正将控体系有效执行下去，并保持控体系的持续完善和提高，是管理层迫切需要解决的难题。为了切实将控制度体系真正“落地”，AB公司通过全方位控培训、加强控检查与监督、完善考核与激励机制以与借助第三方专业机构的持续辅导等措施，有力地保证了控建设的持续维护，公司的控建设取得了卓有成效的进展。具体来说，采取的主要措施有：（1）完善控工作组织架构，成立控部，强化审计部，建立推进控工作的组织机构和运行机制。通过对国际大企业控建设的现状和过程的全面考察，AB公司发现要实行有效的部控制，必须建立相配套的组织架构。为此，公司由管理高层成立了控工作领导小组，各子公司管理层对应的成立控管理小组。在部门设置上，AB公司新成立了控部，各下属子公司根据其规模大小设立控部或控负责岗，负责控建设工作；在控监督上：转变了原有的审计部的职责，增加了控评价和检查的功能，并由公司董事会的审计委员会直接领导，在规模较大的子公司同时设立部审计专员，负责子公司的控自查。（2）注重控环境建设，进行全方位控培训。AB公司通过一系列的培训和辅导，提高各层级管理人员和基础员工对控理念的认识，营造有利的控工作开展的文化环境。首先，公司抓好以普与控基本知识、营造控实施环境的宣传工作。公司控部组织编制了控宣传册，在股份公司各职能部门和下属公司主要管理干部围发放学习。手册通过生动的案例和形象的语言帮助各级管理人员统一对控的理解和认识，减少控推进的思想阻力。其次，公司根据控规实施的进度，围绕部控制的各个方面，开展了包括基础理念、管理制度、风险评估、控评价、控考核在的各类集中的专题培训，对控制度的编制和实施起了极大的推进作用。（3）建立控推进的沟通机制，保证控建设持续性和问题解决的与时性。自控制度建设正式推进以来，为了保证推进的执行力，公司开展了全方位的信息沟通机制，实现了信息的实时传递，和通畅的上传下达。首先，AB公司建立了周例会制度。控领导小组每周组织控工作例会，由公司董事或审计委员会主任主持，参与者包括控领导小组成员、控部、审计部、财务部、各子公司的控负责人等。总部各职能部门与各子公司必须在会上以书面形式上报“控工作一周报告”，汇报控的进展情况、与存在的问题、解决的方案、遇到的困难以与需要股份给予协助的事项，并由控领导小组组长对相关的具体问题提出意见和工作指导，会后股份公司控部负责对每家子公司进行回复，保证所有的问题都能得到与时有效的解决。所有会议记录和相关文件在会后抄送股份公司的总经理和董事会，并抄送相关子公司的管理层，保证管理高层对控进展的时刻了解。其次，公司建立了控体系的月度工作总结。每月末各个子公司的控负责人就控开展情况进行工作总结，由控部在股份公司管理层、子公司管理层以与相关控负责人之间进行通报，督促各子公司的控执行力。最后，建立了重大项目的单独汇报机制。各子公司的控负责人对于子公司控建设中发现的重大问题要求与时向控领导小组和股份控部进行汇报，以实时处理可能的重大风险。此外，股份公司的控部长、审计部长、财务总监的联系方式向子公司的所有控负责人和控专员公开，作为信息直接传递的一个重要渠道，帮助股份公司与时了解下属子公司控风险。（4）完善控评价检查机制，建立了多层次的控检查体系。为了保证控制度的落地和真正有效的执行，公司从各子公司到股份公司的控部和审计部，再到外部独立的第三方中介，建立了全方位的控评价和检查体系。股份公司控部对各业务循环定期开展控检查，通过发放控调查清单以与控专员的现场检查，发现子公司在控建设中的不足，并与时下发风险联系函、风险关注函和风险警示函，以帮助子公司与时进行控整改和完善。其中联系函主要是对子公司联系函件的回复为主；关注函主要是对子公司发生的业务表示关注，一般要求对方在一定时间给出书面说明；警示函是在关注函的基础上对于重大风险或执行不到位的情况给予警告。股份公司审计部对各子公司每年开展两次的控评价。为了实现评价的量化和标准化，审计部编制了控评价底稿通过检查，对子公司形成控建设的量化评价，并针对检查中发现的问题出具改进建议，并要求各子公司在规定的时间予以整改，总部控部对子公司整改措施和整改质量进行全程的监督，整改完成后，审计部与时予以复查，确保审计中发现的问题能与时整改。（5）将控建设纳入绩效考核，通过奖惩机制实现控的有效性。首先，为有效发挥各下属子公司的管理者在控推进中的作用和积极性，自20××年开始，股份公司将审计部对各子公司的控评价结果纳入其管理班子的绩效考核的指标中，明确了管理班子对于部控制建设的责任和关键任务。通过这种绩效考核，激励管理层切实关注和推动控的执行工作，从而为控工作的推进建立良好环境。其次，对于股份公司向各子公司委派的重要人员也直接与控建设挂钩。公司出台了委派控人员绩效考核管理办法，对各个子公司的控负责人实施全面的控建设考核，明确了委派的控人员的绩效考核指标、考核方式和奖惩机制，进一步促进了委派控人员的工作落实力度；对于股份委派的财务负责人，也在其年度考核的总分中（100分制）纳入了相当比重的的控建设的相关容，从财务职能加强了对子公司的控推进。（6）充分发挥专业中介机构力量。AB公司在开始建立控体系即聘请的专业咨询公司提供咨询服务，在整个体系建立过程中，充分发挥咨询公司专业力量，并聘请专业顾问对公司人员进行培训，提高公司人员控理念和技能。在控体系初步建立之后，仍继续与咨询公司保持合作，借助咨询公司在专业与独立性方面优势，共同推进公司控持续建设工作，在控持续建设工作中，专业咨询公司提供了大量了专业意见和培训辅导服务，帮助公司完善各项成果，使得公司的控持续建设取得了令人瞩目的成效。第四：企业控体系建设过程的经验和启示在公司董事会、各层级管理人员和基础员工不懈努力下，公司部控制体系的建设取得了一系列的良好效果，全公司各级员工的风险管理意识显著提高，对风险的理解和重视切入到各个业务和管理环；强化了各项经营活动的规化操作，实现了重大经营活动的集体化决策机制，有效防了决策风险；提高了公司的财务管理水平，保证了从产业公司到股份公司的各层级财务数据的真实公允以与资金、资产的安全；加强了公司对新经营环境下管理风险的关注；完善了公司的风险预警机制，提高了各职能部门对业务发生之后的潜在风险的持续监控、分析和应对。（1）公司董事会和最高管理层的重视和亲自参与。在AB公司董事会，无论是大股东委派董事、非执行董事还是独立董事，都非常重视和关心部控制体系的建设工作。作为公司的大股东，集团对股份公司的控建设给予了极大的理解和支持，有力的推动了产业公司的控建设的进程。董事会的定期会议都将部控制进展情况作为重要议题沟通，对于部控制推进中出现的任何问题，董事会层面时刻给予相应和支持。在公司管理层方面，成立了控领导小组，投入了大量的人力和财力，带领企业员工共同进行部控制建设，为部控制的推进提供了良好的部环境，同时也激发员工的积极性和主动性，推动企业部控制朝更顺利、更完善的方向发展。（2）对部控制理念以与其与公司其他管理体系关系的认识统一。AB公司在控推进的第一阶段大力推行高频率、大幅度的培训，帮助各级管理者以与基层员工了解部控制的主要原理和价值，减少控实施中的思想阻力，统一了控体系与其他管理体系的认识。部控制和风险管理不是一套孤立的新的体系和制度，而是一种基于“目标风险控制监督”框架的管理思路，这种管理思路可以融入到企业的所有其他的管理体系和管理制度中去，是对企业原有的管理制度的整合和提升。（3）制定了清晰明确的部控制战略规划。公司根据自身实际情况，在订并提出了部控制的五年两步走的规划，并将其纳入到公司的5年战略规划中。第一阶段（3年），通过自上而下的刚性要求，构建全面的统一化的集团部控制架构，并通过理念灌输形成控推进的文化围；第二阶段（2年），通过自下而上的，自觉的控体系的完善，形成各个产业公司的特色化部控制。这一从强制到自觉，从理念普与到制度完善再到控手册的表格化提升的建设步骤，使得公司从管理高层到基层员工的各级人员都明确部控制不同时期的不同任务与不同发展状态，稳步推进，逐步加深，为部控制的发展道路勾画了清晰路径。（4）因企制宜的实施方案。AB公司意识到对于集团化企业，部控制不能是一刀切的，公司要实行部控制，需要根据自身的业务类型、公司规模、公司所处阶段来选择适宜的部控制方法。首先，公司在吸收了五部委部控制基本规和配套指引的相关精髓的基础上，结合企业经营实践，基于先主后次的重要性原则以与成本收益原则，提出了以若干业务循环作为公司控建设的主要循环围。其次，考虑公司的人员能力和素质，在控成果上也没有一步到位册，而是以制度建设为基础，通过制度规，到流程优化再到风险提炼，逐步实现部控制的层层递进。最后，在控推进上，公司充分考虑下属各产业公司的业务特点，确定适合各公司的部控制方式和侧重点。（5）循序渐进的实施步骤。第一步：自上而下的理念推进向自下而上的流程推进的递进。在控实施的第一阶段，公司强调自上而下的理念推进。公司通过部培训、各种工作会议达成控理念的统一，并向各子公司传达，之后各子公司则进行自下而上的控流程推进，即各产业公司根据自身的部流程，进行制度的完善，并经由公司控部审核后实施。第二步：由总部出台框架性的制度到各个子公司制订针对性的业务流程的递进。公司控部结合外部力量制定框架性的制度，明确各业务循环的关键控制点和操作要求，各产业公司根据自身业务情况，在满足框架制度要求的前提下制定适合企业自身的管理制度，以求更贴近产业公司的经营管理实践。第三步：普遍性、通用性的风险点向专业性、针对性的风险点的递进。公司首先根据对产业公司实际