企业内控应用手册之内部审计与监督-风险控制矩阵.xls
《企业内控应用手册之内部审计与监督-风险控制矩阵.xls》由会员分享,可在线阅读,更多相关《企业内控应用手册之内部审计与监督-风险控制矩阵.xls(18页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、风风险险控控制制矩矩阵阵编编制制说说明明一一、编编制制风风险险控控制制矩矩阵阵的的目目的的编制风险控制矩阵旨在梳理企业内部控制相关的业务流程的控制目标及控制活动,为企业提出内控管理改善建议,使公司能够采取针对性的改进措施,从而达成管理风险和健全公司内部控制体系的最终目标。二二、风风险险控控制制矩矩阵阵的的使使用用对对象象风险控制矩阵的使用对象是各关键业务流程/子流程的直接负责人员(包括部门经理、流程/子流程具体执行人员等)。风险控制矩阵详细描述内部控制的控制目标、与控制目标相对应的风险及标准控制活动,进而对比现有业务活动与标准控制活动之间的差异,识别出公司的内控缺陷,并提出相应的改善建议。具体
2、填列请参见下述第三部分。三三、风风险险控控制制矩矩阵阵主主表表关关键键字字段段定定义义D D列列:控控制制目目标标控制目标是指内部控制总体目标在各个业务流程中的具体反映。因此本列的控制目标是以每一个业务流程下的子流程为范围(具体化)。F F列列:风风险险点点风险点用于说明未达成控制目标可能导致的风险。此列内容应与风险清单所载的保持一致。H H列列:标标准准控控制制活活动动即根据已有的公司规章制度或相关内部控制指引中所规范的业务流程,描述实际工作中应遵循的标准的控制活动。标准控制活动的描述要全面详细、语言精炼,一般要求在控制活动中明确出“谁执行、执行什么活动、如何执行”等信息。如果一个控制目标存
3、在多个控制活动,用户可自行在风险控制矩阵中添加行用于放置新的控制活动。标准的控制活动应是由国家法律法规、公司制度等明文规定的、必须遵循的活动,主要包括但不限于:1.授权审批控制2.异常报告、文档编辑记录控制3.数据传递、数据转换控制4.业绩考核指标5.独立复核控制6.核对控制7.职责分离控制8.系统接触控制9.系统设置、会计科目的系统设置I I列列:现现有有控控制制活活动动此列填写公司当前业务流程的实际操作情况,同样需要明确指出“谁执行、执行什么活动、如何执行”等信息。J J列列:重重要要性性程程度度判断该控制活动是否为关键控制活动。对会计科目、披露事项和业务流程尤为重要的控制活动,选关键控制
4、;若否,则请选一般控制。K K列列:制制度度公司目前已制定的、涉及该控制活动的相关制度及规定。L L列列:文文档档公司目前在该控制活动中涉及的相关文档。M M列列:责责任任部部门门及及岗岗位位实施该控制活动的部门及岗位。N N列列:控控制制形形式式如果该控制活动是由公司信息系统控制,控制形式选择“自动控制”,否则请选择“手工控制”。K K列列:执执行行频频率率指所对应的控制活动的执行频率,该部分将用于测试阶段样本量的计算。执行频率分为“每日多次”、“每日”、“每周”、“每月”、“每季”、“每年”、“业务发生时”。S S列列:合合规规对对比比内内容容对应企业内部控制基本规范及相关配套指引的相关条
5、款内容。U U列列:内内控控缺缺陷陷通过将现有控制活动与内控指引、标准控制活动参照进行对比后(即有可能与标准控制活动一致或存在偏差),如果目前存在偏差且此偏差可能导致公司内部控制不到位,则此偏差属于内部控制缺陷,公司需要对其进行加以整改。此处填列的为缺陷的概括说明。V V列列:缺缺陷陷描描述述对缺陷的具体情况加以详述。W W列列:整整改改建建议议针对内控缺陷提出的整改建议,供公司参考。X X列列:缺缺陷陷等等级级根据内控缺陷的评价标准对识别出的内控缺陷评为“重大“、”重要“或”一般“。流流程程简简称称说说明明流流程程名名称称流流程程简简称称组织架构OSOS发展战略STST人力资源HRHR社会责
6、任SRSR企业文化CCCC全面预算BUBU信息传递ICIC关联交易RPTRPT信息系统ITIT内部审计AUAU筹资管理FINFIN资金运营管理TRTR投资管理IMIM固定资产管理FAFA无形资产管理IAIA采购业务PUPU担保业务GRGR财务报告FRFR合同管理CONCON业务外包BPOBPO税务管理TXTX项目开发管理DMDM工程项目管理PMPM成本管理EMEM品牌及营销管理BMBM物业管理FMFM编编号号规规则则说说明明规规则则名名称称编编号号规规则则控制目标编号规则流程简称+CO+顺序号举例:资金运营管理流程第一个控制目标:TR-CO-01风险点编号规则流程简称+R+顺序号举例:资金运营
7、管理流程第一个风险点:TR-R-01控制活动编号规则流程简称+CA+顺序号举例:资金运营管理流程第一个控制活动:TR-CA-01控制运行有效性测试底稿编号规则流程简称+T+顺序号举例:资金运营管理流程第一个测试底稿:TR-T-01控制缺陷编号规则流程简称+CD+顺序号举例:资金运营管理流程第一个控制缺陷:TR-CD-01增值建议编号规则流程简称+VA+顺序号举例:资金运营管理流程第一个增值建议:TR-VA-01编制风险控制矩阵旨在梳理企业内部控制相关的业务流程的控制目标及控制活动,为企业提出内控管理改善建议,使公司能够采取针对性的改进措施,从而达成管理风险和健全公司内部控制体系的最终目标。风险
8、控制矩阵的使用对象是各关键业务流程/子流程的直接负责人员(包括部门经理、流程/子流程具体执行人员等)。风险控制矩阵详细描述内部控制的控制目标、与控制目标相对应的风险及标准控制活动,进而对比现有业务活动与标准控制活动之间的差异,识别出公司的内控缺陷,并提出相应的改善建议。具体填列请参见下述第三部分。H H列列:标标准准控控制制活活动动即根据已有的公司规章制度或相关内部控制指引中所规范的业务流程,描述实际工作中应遵循的标准的控制活动。标准控制活动的描述要全面详细、语言精炼,一般要求在控制活动中明确出“谁执行、执行什么活动、如何执行”等信息。如果一个控制目标存在多个控制活动,用户可自行在风险控制矩阵
9、中添加行用于放置新的控制活动。标准的控制活动应是由国家法律法规、公司制度等明文规定的、必须遵循的活动,主要包括但不限于:1.授权审批控制2.异常报告、文档编辑记录控制3.数据传递、数据转换控制4.业绩考核指标5.独立复核控制6.核对控制7.职责分离控制8.系统接触控制9.系统设置、会计科目的系统设置I I列列:现现有有控控制制活活动动此列填写公司当前业务流程的实际操作情况,同样需要明确指出“谁执行、执行什么活动、如何执行”等信息。J J列列:重重要要性性程程度度判断该控制活动是否为关键控制活动。对会计科目、披露事项和业务流程尤为重要的控制活动,选关键控制;若否,则请选一般控制。N N列列:控控
10、制制形形式式如果该控制活动是由公司信息系统控制,控制形式选择“自动控制”,否则请选择“手工控制”。K K列列:执执行行频频率率指所对应的控制活动的执行频率,该部分将用于测试阶段样本量的计算。执行频率分为“每日多次”、“每日”、“每周”、“每月”、“每季”、“每年”、“业务发生时”。U U列列:内内控控缺缺陷陷通过将现有控制活动与内控指引、标准控制活动参照进行对比后(即有可能与标准控制活动一致或存在偏差),如果目前存在偏差且此偏差可能导致公司内部控制不到位,则此偏差属于内部控制缺陷,公司需要对其进行加以整改。此处填列的为缺陷的概括说明。风风险险控控制制矩矩阵阵公公司司名名称称:机机关关本本部部流
11、流程程名名称称:内内部部审审计计与与监监督督子子流流程程名名称称控控制制目目标标及及对对应应风风险险 控控制制活活动动控控制制目目标标编编号号控控制制目目标标风风险险点点编编号号风风险险点点控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动重重要要性性程程度度内内审审计计划划AU-CO-01审计部门组织设置合理、人员配备充分,保证审计职能充分发挥。AU-R-01公司未建立或完善内部审计职能,导致公司无法对经营运行及内部控制有效性情况进行客观评价,无法增加公司价值和运营效果。AU-CA-01公司设置合理的审计部门组织架构,保证审计部门独立性,配备足够的审计人员,在集团范围内
12、有效开展审计工作。审审计计部部门门组组织织架架构构及及人人员员配配置置公司设审计管理中心,负责整个集团的内部审计工作,在公司董事会审计与风险委员会的指导下独立开展工作,并向其提交内部审计工作报告。公司下属子公司保利华南实业有限公司、保利(重庆)投资实业有限公司设置了审计管理部门,并配备了专职审计人员开展审计工作;其他没有单独设置审计管理部门的子公司,会配备兼职审计人员,负责完成相应的审计工作。一般AU-CO-02公司的风险得到有效识别及评估,建立风险导向的内审体系。AU-R-02公司缺少对于风险评估的标准或者该风险评估的标注不合理,公司的风险偏好过于谨慎或者过于激进从而导致公司未将部分高风险领
13、域纳入企业监控的范围之内或者公司花费大量不必要的资源在风险较低的领域的风险。AU-CA-02企业建立风险评估体系,并制定相关风险管理的制度及操作手册。风风险险管管理理体体系系和和制制度度的的建建立立公司目前尚未制定相关风险管理制度及操作手册,没有形成完善的风险管理体系。一般AU-CA-03风险管理部门持续关注业务运营中面临的风险,开展风险评估,对风险列表和应对措施进行持续更新和完善。风风险险管管理理部部门门的的设设置置公司目前尚未组建专门的风险管理部门或在现有组织架构下落实风险管理职责。一般AU-CO-03内部审计年度工作范围及计划恰当且经过管理层授权;AU-R-03审计计划不合理,造成审计资
14、源的浪费或者未能针对特定风险领域开展专项内部审计,从而导致企业违反法律法规(如会计、税法等)的风险。AU-CA-04审计部门通过风险评估体系,综合考虑公司的内外部环境及战略目标变化,编制年度内部审计计划。审计计划经过公司适当管理层审批后实施。实施过程中出现调整的,审计部门应提出申请,并经适当管理层审批。年年度度内内审审计计划划的的编编制制与与审审批批审计管理中心根据审计与风险委员会的要求,结合公司各部门/子公司的具体情况编制年度审计工作计划,经中心总经理、公司总经理审核,董事会审计与风险委员会审议通过后实施。年度审计工作计划需要调整时,需经审计与风险委员会审批通过。关键第7页,共18页制制度度
15、文文档档责责任任部部门门及及岗岗位位控控制制形形式式执执行行频频率率xx地产(集团)股份有限公司内部审计管理暂行规定无无手工控制业务发生时无无无手工控制业务发生时无无无手工控制业务发生时xx地产(集团)股份有限公司内部审计管理暂行规定年度审计工作计划审计管理中心手工控制每年 控控制制活活动动 控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动AU-CA-01公司设置合理的审计部门组织架构,保证审计部门独立性,配备足够的审计人员,在集团范围内有效开展审计工作。审审计计部部门门组组织织架架构构及及人人员员配配置置公司设审计管理中心,负责整个集团的内部审计工作,
16、在公司董事会审计与风险委员会的指导下独立开展工作,并向其提交内部审计工作报告。公司下属子公司保利华南实业有限公司、保利(重庆)投资实业有限公司设置了审计管理部门,并配备了专职审计人员开展审计工作;其他没有单独设置审计管理部门的子公司,会配备兼职审计人员,负责完成相应的审计工作。AU-CA-02企业建立风险评估体系,并制定相关风险管理的制度及操作手册。风风险险管管理理体体系系和和制制度度的的建建立立公司目前尚未制定相关风险管理制度及操作手册,没有形成完善的风险管理体系。AU-CA-03风险管理部门持续关注业务运营中面临的风险,开展风险评估,对风险列表和应对措施进行持续更新和完善。风风险险管管理理
17、部部门门的的设设置置公司目前尚未组建专门的风险管理部门或在现有组织架构下落实风险管理职责。AU-CA-04审计部门通过风险评估体系,综合考虑公司的内外部环境及战略目标变化,编制年度内部审计计划。审计计划经过公司适当管理层审批后实施。实施过程中出现调整的,审计部门应提出申请,并经适当管理层审批。年年度度内内审审计计划划的的编编制制与与审审批批审计管理中心根据审计与风险委员会的要求,结合公司各部门/子公司的具体情况编制年度审计工作计划,经中心总经理、公司总经理审核,董事会审计与风险委员会审议通过后实施。年度审计工作计划需要调整时,需经审计与风险委员会审批通过。第8页,共18页控控制制运运行行有有效
18、效性性测测试试合合规规对对比比(企企业业内内部部控控制制规规范范及及配配套套指指引引)测测试试底底稿稿编编号号测测试试结结论论条条款款规规定定内内容容无无企业内部控制基本规范第十三条、第十四条、第四十四条企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。企业应当通过编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权
19、责分配,正确行使职权。企业应当根据本规范及其配套办法,制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。无无企业内部控制基本规范第二十条、第二十四条、第二十六条企业应当根据设定的控制目标,全面
20、系统持续地收集相关信息,结合实际情况,及时进行风险评估。企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。风险规避是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。风险分担是企业准备借
21、助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。风险承受是企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。无无企业内部控制基本规范第二十条、第二十一条、第二十二条、第二十三条、第二十四条、第二十五条、第二十六条、第二十七条企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。企业识别内部风险,应当关
22、注下列因素:(一)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。(二)组织机构、经营方式、资产管理、业务流程等管理因素。(三)研究开发、技术投入、信息技术运用等自主创新因素。(四)财务状况、经营成果、现金流量等财务因素。(五)营运安全、员工健康、环境保护等安全环保因素。(六)其他有关内部风险因素。企业识别外部风险,应当关注下列因素:(一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。(二)法律法规、监管要求等法律因素。(三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。(四)技术进步、工艺改进等科学技术因素。(五)自然灾害、环境状况
23、等自然环境因素。(六)其他有关外部风险因素。企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。风险规避是企业对超出风险
24、承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。风险分担是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。风险承受是企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制
25、、财产保护控制、预算控制、运营分析控制和绩效考评控制等。AU-T-010企业内部控制基本规范第十五条企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动AU-CA-01公司设置合理的审计部门组织架构,保证审计部门独立性,配备足够的审计人员,在集团范围内有效开展审计
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 内控 应用 手册 内部 审计 监督 风险 控制 矩阵
限制150内