内控体系流程建设.docx

1、内控体系流程建设业务流程及制度基础框架示例流程编号一级流程二级流程三级流程流程类型流程主责部门相关制度或文件STM战略管理STM.01公司战略管理STM.01.01公司总发展战略制定流程已建立战略规划部XX公司战略管理办法STM.01.02公司职能（业务）子战略制定流程已建立战略规划部XX公司战略管理办法STM.01.03子公司战略制定流程已建立战略规划部XX公司战略管理办法STM.01.04公司发展战略的实施与评价流程已建立战略规划部XX公司战略管理办法FIM财务管理FIM.01资金管理现金收款及盘点管理流程已建立财务部XX公司货币资金管理暂行办法FIM.01.01固定资产付款管理流程已建立

2、财务部XX公司经费管理办法FIM.01.02非经费类付款管理流程已建立资本运营部无FIM.01.03现金借款管理流程已建立财务部无FIM.01.04经费管理流程已建立财务部XX公司经费管理办法FIM.01.05年度资金计划编制流程待建立资本运营部XX公司货币资金管理暂行办法FIM.01.06资金使用效果分析和评价流程待建立资本运营部XX公司货币资金管理暂行办法FIM.01.07银行账户管理流程已建立资本运营部XX公司货币资金管理暂行办法FIM.02资产管理FIM.02.01固定资产折旧及盘点流程已建立财务部XX公司固定资产管理办法FIM.03产权管理FIM.03.01产权登记管理流程已建立财务

3、部无FIM.03.02产权交易管理流程已建立财务部无FIM.03.03资产评估流程已建立财务部无FIM.04财务分析FIM.04.01财务报表分析流程已建立财务部XX公司财务结账和报告制度FIM.04.02重点项目财务监管流程已建立财务部XX公司财务结账和报告制度FIM.04.03财务预警管理流程待建立财务部无附：流程编码对照表序号一级流程英文全称缩写1公司治理Corporate GovernanceCOG2管理结构Management StructureMAS3战略管理Strategic ManagementSTM4生产经营计划Production and Business Programs

4、PBP5运营监控Business ControlBUC6公司报告Corporate ReportCOR7法律事务Legal AffairsLEA8安全质量环保Safety ，Quality and Environmental protectionSQE9人力资源管理Human Resources ManagementHRM10财务管理Financial ManagementFIM11资本运营Capital ManagementCAM12国内业务管理Domestic Business ManagementDBM13国际业务管理Foreign Business ManagementFBM14采购管

5、理Purchasing ManagementPUM15合同管理Contract ManagementCOM16综合管理Integrated ManagementITM17信息管理Information ManagementIFM流程编号说明：一级流程用3位英文缩写标识，二级流程用英文缩写和2位顺序码标识，三级流程在二级流程编号的基础上用.X表示,X表示三级流程的顺位。如一级流程为“战略管理”，其下面的第一个流程为“公司战略管理”，其下的第一个三级流程为“公司发展战略规划制定”，则编码为：STM01.01风险管理数据库模板风险编号风险描述风险类别发生可能性评分（1-5）影响程度评分（1-5）风险

6、等级（重大/中等/安全）对应控制点编号战略风险财务风险市场风险运营风险法律风险PR01C01PR02C02流程层面控制数据库一级流程编号一级流程名称二级流程编号二级流程名称三级流程编号三级流程名称主责部门名称流程责任人对应风险控制点描述控制类型（事前/事中/事后）控制方式（人工/系统）审计证据责任部门责任岗位责任人编号类型控制措施描述PR01C01一般控制点C02关键控制点C03二 visio流程图绘制1visio简介Microsoft Office Visio 2007是当今最优秀的绘图软件之一，它将强大的功能和易用性完美结合，可广泛应用于电子、机械、通信、建筑、软件设计和企业管理等众多领域

7、。本书所指内部控制体系中的流程图，主要依靠visio绘制。2用visio绘制流程图的步骤（1）部门负责人及职员访谈通过对部门负责人及职员的访谈，详细了解每个三级流程的具体操作步骤、每个步骤的操作方法及注意事项等，访谈中特别要关注和识别流程中的控制点（参考下述控制点识别方法），例如某审核步骤、审批步骤、某个会议，要在访谈中充分了解这些控制点的审核关注内容、审批关注内容或会议讨论内容及关注点等。（2）收集该流程输入和输出的一套文档（即审计证据）通过分析一个流程中输入和输出的一套文档，可以辅助绘制流程图。（3）绘制流程图流程图上方：写上该流程的名称流程图左方：用visio中的方框绘制两个并排的竖式方

8、框，左边的方框中写主责部门，如人力资源部、财务部或生产部等；右边的方框中写该部门的岗位名称，如部长、经理或职员等；若为总经理、分管领导或董事长等高层管理者，则不分主责部门和岗位名称，都写总经理、分管领导或董事长。（参见下述示例）流程图下方：按流程顺序排列出该流程中产生的各种输入或输出文档，即审计证据。其中数字代表流程步骤，文字为该文档的简称。Visio常见流程图符号的含义如表3所示。表3 Visio流程图符号对照表符号操作名称简介说明选择选择状态。准备流程开始的准备工作。进程流程中具体步骤。框中数字为步骤编号，文字为步骤名称。虚线组合框流程中同时进行的步骤。连线流程节点间的连接。判定条件判断。

9、框中编写判定条件。表示对上一步骤进行判定，根据判定结果，下一步骤将分为两条支线。子流程表示流程与流程之间的关联关系；流程中出现子流程，理解为流程的输入或输出。文档流程输入、输出等相关的文件。文字在连线上加入说明文字。结束符表示流程结束。控制点提示表示该步骤为控制点，框中数字为控制点编号。缺陷提示若存在流程控制点缺陷，在关键控制点旁加上缺陷提示语。（4）控制点标示。控制点指的是流程中的控制点。在流程图中，用三角形放在流程步骤的右上方并标上数字，表示该步骤是控制点。流程中的控制点识别方法：假设去掉这个流程步骤，若该流程仍能完整的进行下去，则该步骤为控制点；若该流程到此卡住无法再进行下去，则该步骤不

10、是控制点，仅为一般步骤。例如某个流程中存在几个审核、审批步骤，去掉某一个或某几个审核、审批步骤，该流程都能继续进行下去，但会存在风险隐患，因此，这类审核、审批步骤就是控制点。3流程描述流程描述方法：用规范化的语言对流程中的各步骤进行描述，步骤（Step）大写字母“S”表示；标记出流程中的控制点（Control）步骤，用大写英文字母“C”表示。例如，步骤1为一般流程步骤，标记为【S01】，步骤04为第1个控制点步骤，标记为【S04】【C01】；步骤05为第2个控制点步骤，标记为【S05】【C02】。流程中的控制点识别方法：假设去掉这个流程步骤，若该流程仍能完整的进行下去，则该步骤为控制点；若该流

11、程到此卡住无法再进行下去，则该步骤不是控制点，仅为一般步骤。例如，某个流程中存在几个审核、审批步骤，去掉某一个或某几个审核、审批步骤，该流程都能继续进行下去，但会存在风险隐患，因此，这类审核、审批步骤就是控制点。8. 流程风险点及对应控制点包括风险点描述、风险分类、风险等级、造成影响描述和对应控制点。（1）风险点描述流程中的风险点识别方法：以流程目标为出发点，从流程步骤走向进行风险思考，结合控制点识别出风险点。对流程中的风险点识别，需要有一定的风险管理基础知识、足够敏锐的风险意识和一定的做流程文档经验。P是“Process”（流程）的简写，R是risk（风险）的简写，PR01表示本流程中的第一

12、个风险点，PR02表示本流程中的第二个风险点，以此类推。C是“Control”（控制）的简写，C01表示本流程中的第一个控制点，C02表示本流程中的第二个控制点，以此类推。在本过程中需要特别注意以下几点：很多流程中的最后一个步骤往往是资料归档、文案归档之类，这也是控制点，属于事后控制，在流程文档编制过程中容易被遗漏。风险点与控制点不是一一对应的，一个风险点可能只对应一个控制点，也可能对应多个控制点。在绘制流程图和编制流程文档的过程中，应先识别风险点，后识别控制点，这是为了能够不遗漏的识别出流程中的控制缺陷。若某一风险点没有任何控制点与之对应，即该风险点没有得到控制，因此该流程中存在控制缺陷，需

13、要对流程进行优化甚至重组，确保每个风险点都有相应的控制点与之对应；或者改进控制点的控制措施，确保每个控制点都能有效的控制对应的风险点。流程控制缺陷往往不是流程本身，而是员工们的执行不到位或执行不力。（2）风险分类按照风险发生后的可能结果，分为机会风险（可能有好的结果，也可能有坏的结果）和纯粹风险（只可能造成坏的结果），在此结合实际情况对该风险打“”。按照五大类风险可划分为战略风险、财务风险、市场风险、运营风险、法律风险。在此结合实际情况对该风险打“”。这里要注意的是：一个风险点它可能是单一的某一类风险，也可能是两类以上风险。例如某个风险点它既是战略风险，也是运营风险。可参见下述表10及表10的

14、流程文档示例。（3）风险等级风险等级的划分依靠两个维度来判定，即风险发生可能性和风险发生影响程度。风险发生可能性分为极低、较低、中等、较高、极高五个等级；风险发生影响程度分为轻微、较低、中等、重大、灾难性五个等级。关于风险发生可能性，要根据集团所在行业及自身经营情况来判定，可参照“表5风险发生可能性评分标准”。关于风险发生造成影响，要根据该风险内容，结合集团所在行业及自身经营情况来判定，可参照“表6风险影响程度评分标准”。注意：对不同种类风险的风险发生可能性及影响程度的判定因素，应结合企业实际情况制定不同的标准。让流程中相关部门人员对以上两个维度进行打“”评分并取平均值，然后根据图4判定风险等

15、级。若评定结果落在红色区域，则为重大风险 。若评定结果落在黄色区域，则为中等风险。若评定结果落在绿色区域，则为安全风险。图4 风险等级划分示意图 表5 风险发生可能性评分标准（示例）评分12345标准极低低中等高极高定性标准一般情况下不会发生极少情况下才发生某些情况下发生较多情况下发生经常发生定量标准 （举例）今后10年内发生的可能性少于1次今后5-10年可能发生1次今后2-5年内可能发生1次今后1年内可能发生1次今后1年内至少发生1次表6 风险影响程度评分标准（示例）评分12345标准极轻微的轻微的中等的重大的灾难性的举例财务损失轻微较低中等重大极大企业日常运行影响不受影响轻度影响（造成轻微

16、人身伤害情况立刻收到控制）中度影响（造成一定人身伤害，需要医疗救援，情况需要外部支持才能得到控制）严重影响（企业失去一些业务能力，造成严重人身伤害，情况失控但无致命影响）重大影响（重大业务失误，造成重大人身伤亡，情况失控，给企业造成致命影响）（4）造成影响描述。对该风险发生后造成的影响进行描述，注意要突出造成的不利影响。（5）对应控制点。列出本流程中对应该风险点的控制点，并通过打“”区分该控制点是事前控制、事中控制还是事后控制。对该控制点的流程步骤进行描述，注意要突出对该风险控制措施的描述。9流程缺陷及建议若本流程中的某个风险点没有对应的控制点或控制措施达不到控制效果，则存在流程控制缺陷。P是“Process”（流程）的简写，G是“Gap”（缺陷）的简写，PG01表示本流程中的第一个控制缺陷，PG02表示本流程中的第二个控制缺陷，以此类推。本编号规则中，P同时表示本缺陷为业务流程层面缺陷。10检查资料即与本流程对应的相关制度以及流程执行过程中产生的各种文件、表单、会议纪要等用于事后检查的资料（即流程图中的审计证据）。