内控体系建设手册.docx

《内控体系建设手册.docx》由会员分享，可在线阅读，更多相关《内控体系建设手册.docx（41页珍藏版）》请在三一办公上搜索。

1、全面风险管理与内控体系建设内控体系建设操作手册目 录一、内控简介31、为什么谈内控32、什么是内控53、为什么要做内部控制体系建设64、内控体系形成的文档7二、流程体系框架梳理71、基本概念72、流程体系框架梳理方法8三、公司层面风险识别131、公司层面风险评估的目的132、公司层面重大风险的识别与评估13四、业务流程体系的梳理231、绘制流程图232、流程描述编制303、风险控制矩阵文档的编制334、风险数据库的编制365、控制文档的编制396、缺陷跟踪报告的编制40五、内控建设项目最终形成的报告411、内部控制手册412、管理建议书433、业务流程体系文件444、全面风险管理报告445、编

2、制权限指引表44一、内控简介1、为什么谈内控2010年丰田事件从2010年1月份开始，因油门踏板等问题，丰田汽车先后宣布从美国、加拿大、欧洲和中国召回汽车共计近445万辆汽车，加上2009年从美国市场召回的凯美瑞、普瑞斯等车型共计近420万辆，丰田公司的问题车辆在850万辆以上，超过其2009年全球698万辆汽车的销量水平。据测算，每辆被召回的汽车维修费用约25美元（约157元人民币）至30美元（约188元人民币），不包括人工成本。按照召回800万辆计算，丰田此次维修费用损失高达2亿美元（约12.5亿元人民币）至2.4亿美元（约15亿元人民币）。丰田汽车一直是全球汽车企业的标杆和制造业精细管理

3、的楷模。本次龙头企业出现如此大规模的召回事件，具有一定的行业代表性，即丰田召回事件是汽车行业现有经营模式弊端的集中体现，综合多方分析，丰田汽车发生大规模召回事件的原因主要有以下几个方面：（1）、发展战略出现偏差，过分注重扩大规模。在过去的10年间，丰田海外生产基地和产量持续大规模增加，使质量监管体系力所不及。（2）、利用规模优势压价采购零部件，造成产品质量难以保障。（3）、盛名至上企业“顾客至上”的理念有所松动，不干实事求是的面对产品缺陷和质量问题。过分强调削减成本，部件设计开发和实证试验阶段必要的程序也在简化等。（4）、零部件采购体系单一。与美国公司“同时选择2-3家供应商，使之互相竞争”不

4、同，丰田建立了与供应商密切合作的关系，并持有核心零部件供应商的部分股份。我公司实例：（一）合同风险类（1）合同主体问题集团公司某销售部门签订了一份产品销售合同，合同约定我公司为卖方，对方为买方，付款方为第三方，但合同只有我公司与对方签字与盖章，付款方没有签字和盖章，而公司却一直向第三方催款，造成该款多年未能收回。这是一份典型的为第三方设定义务的合同，合同要对第三方生效，必须取得第三方的同意与确认，即第三方必须在合同上签字和盖章，才能对第三方即付款方产生效力。出现这种情况的原因是我们的合同签订人员对合同法不了解，同时没有履行合同的审批程序，造成合同在实际履行中无法落实付款单位。（2）合同执行问题

5、合同签订后的执行十分重要，一份好的合同如果执行不当同样会给公司造成不好的后果，比如在集团公司总部包括子分公司都出现这样的合同执行情况，合同明明约定先款后货，但我们在实际执行中对方尚未付款，我们却已经将货发了，造成后期货款催收的困难，使一份本来结公司很有利的合同瞬间变为一份后果不好的合同，究其原因很显然是我们在合同执行中没有严格按照合同的规定去履行，同时缺乏有效的监管。（3）人力资源类 2008年劳动合同法的颁布对公司人力资源的管理带来很大的影响，集团公司总部现在所有的原劳务工全部交由劳务派遣公司管理，这在一定程度上避免和减小了人力资源风险，但集团公司下属的一些子分公司现在仍对劳务工没有进行很好

6、的管理，没有签订合同也没有采取劳务派遣的方式，这样的法律后果是非常严重的。近两年来集团公司及其下属子分公司均不同程度的发生类似纠纷，处理不好将引起全面反应，这将提醒我们要加强人力资源的管理，按照法律规定和企业实际制订切实可行的人力资源政策。2、什么是内控2006年，国务院国资委出台中央国有企业全面风险管理指引，2008年，财政部、证监会等五部委出台企业内部控制基本规范，2010年，五部委出台基本规范配套指引， 年财政部耗时6个月，完成企业内部控制审计-政策解读与操作指引，2009年，中国中铁股份有限公司下发关于全面开展内控体系建设相关工作的通知，2012年证监会下发关于做好2012上市公司建立

7、健全内部控制规范体系监管工作的通知，这些文件，是我们宝桥集团开展内部控制体系建设的纲领性文件。从这些文件中，我们从四个方面提炼一下内部控制的基本概念：（1）是什么：内部控制体系是保障企业目标实现的管理过程。（2）谁来做：公司的董事会、经营层和全体员工。（3）为什么做：保障企业战略、经营、财报、合规和资产安全目标实现。（4）怎么做：持续的过程。这里，我们要特别强调的一点是内部控制体系在企业内部不是新生的，不是独立于我们日常生产经营活动新增加的一项管理活动。企业在未进行体系建设之前，已经存在大量的内部控制的活动、机制和方法。而内部控制体系建设的目的是把这些已经存在的内控活动、机制和方法用系统化、标

8、准化和规范化的手段进行梳理、识别和评价，最终目的是保证公司的内部控制能够实现体系化、规范化和标准化。3、为什么要做内部控制体系建设内控体系建设可以说是势在必行、刻不容缓。企业建设内部控制体系建设，存在外在压力和内在动力，其中：外在压力是指上述国资委、证件会等政策文件的要求。特别是五部委出台配套指引的通知，对上市公司提出了明确的时间表。我们宝桥集团隶属于中国中铁股份有限公司，是属于境内外上市企业，根据通知要求，我们必须于2011年1月1日开始实施有效的内部控制体系，尤其是国资发评价【2012】68号文关于加快构建中央企业内部控制体系有关事项的通知，要求将内部控制建设与执行效果纳入到绩效考核体系当

9、中，这些是国家层面的强制要求。每年会计师事务所要对内部控制体系设计与运行的有效性发表审计意见，出具审计报告，并且公开披露。内部动力是指随着宝桥集团的发展规模不断壮大，业务范围不断拓展，外部市场环境不断变化，内部管理需要能够具备风险防控的意识和体系化管理的手段，来不断地化解来至内外部发展的风险，并且能够明确组织、授权、流程、制度等基本管理工具，并且讲话这些工具的运用与执行，以提高我们的管理效率，理清我们的管理链条，加强我们应对风险的反应能力，并增强我们应对风险事件的处理能力。4、内控体系基础理论知识我们通常所讲的内部控制是指基于全面风险管理的内部控制，它涉及两个方面：全面风险管理和内部控制。企业

10、全面风险管理强调通过量化分析支撑下的决策分析，在决策层面上管控战略方向选择、重大业务决策等方面的风险。相形之下，COSO风险管理框架以内控为中心，强调通过制度、流程和财务等手段，在业务层面上管控运营、操作过程中的风险。它可以在企业整体层面制定风险战略，构建内控体系，完善风险管理制度，优化流程和组织职能，为企业构建风险管理的长效机制，从根本上提升风险管理的效率和效果，最终帮助企业实现风险管理的各项目标，包括：（1）公司层面重大风险识别与评估 公司层面重大风险数据库 公司层面重大风险分布图（2）梳理内部控制流程体系，规范和改进内部控制流程体系各业务模块的流程体系文件，具体包括： 业务流程体系框架

11、各业务流程的流程图 各业务流程的流程描述 各业务流程的风险控制矩阵 各业务流程的风险数据库 各业务流程的控制文档 各业务模块的管理建议报告（3）项目总结报告工作 管理建议报告（包含各业务模块的管理建议） 内部控制管理手册（包含体系框架分册、内部环境分册、风险评估分册、控制活动分册、信息与沟通分册、内部监督分册）二、流程体系框架梳理1、基本概念流程体系框架提供了一种流程设计的思路，通过分类分级，形成企业级的流程分类分级清单，将企业内的流程进行结构化的整理和归纳，建立全局视图。企业流程框架体系的初步搭建，是整个流程管理工作的开始，也是非常重要的一环，在完成打基础、建框架的过程中，实现流程管理理念的

12、导入和流程文化的建设，为后续开展流程梳理及优化等工作提供了很好的基础。2、流程体系框架梳理方法 流程体系框架在项目建设初期可根据公司章程、现有的部门职责、部门业务及规章制度建立健全等方面的问题，对高层管理人员、部门负责人及相关岗位责任人员进行了访谈，摸清公司大致的业务类别和运作方式，在此基础上通过与部门负责人、部门分管领导反复沟通中初步制作一份体系框架，待业务流程访谈中逐步完善流程体系框架。一般来说，企业的各种业务流程可以划分为三个层级。一级流程：一般根据企业的经营范围、企业持续经营所必需的所有重要活动及管理职能划分，例如人力资源管理、财务管理、生产管理、法律事务管理、综合管理及公司治理等。二

13、级流程：在一级流程的基础上，按照业务的类型进行划分，例如人力资源管理可以划分为人力资源配置管理、发展与培训管理、薪酬与福利管理及绩效评价与考核管理等。三级流程：在二级流程的基础上，进一步划分到具体的业务单元，例如人力资源配置管理可以划分为：专业技术人才招聘流程、入职与签订劳务合同流程、见习管理流程、劳务派遣用工管理流程、员工内部调动流程、离职离岗流程等。要注意的是，一级流程和二级流程是很容易划分的，三级流程需要细分到每个操作单元。流程体系框架疏理的具体方法为：（1）部门负责人访谈。了解的主要内容为本部门负责的具体工作内容及主要职责。通过部门负责人访谈划分出该部门主责的一级流程和二级流程。（2）

14、部门职员访谈。了解的内容为该职员负责的具体工作内容、主要职责及可参照的企业现有制度，通过部门基层职员的访谈，将二级流程进一步细分成三级流程。（3）部门负责人及职员确认并修订。将已划分出的三级业务流程交给部门负责人和基层职员进行确认，并完成最终修订。（4）为已梳理出的流程进行编号。编号规则为：流程编号公式：一级流程英文单词简写+二级流程编号+三级流程编号。例如：一级流程为财务管理模块，取英文简写FM；若为人力资源管理模块，取英文简写HRM；若为法律事务模块，取英文简写LEA。二级流程和三级流程按以上公式规则编号。业务流程框架清单模板如表所示。流程编号一级流程二级流程三级流程责任部门相关制度或文件

15、COG公司治理COG.01治理结构COG.01.01董事会议事企业规划部COG.01.02监事会议事企业规划部COG.01.03专业委员会议事企业规划部COG.01.04总经理办公会议事公司办公室COG.01.05董事会决议的执行与督办企业规划部COG.02子公司治理管控COG.O2.O1子公司章程制定与修订企业规划部COG.O2.O2外派董事、监事聘任企业规划部COG.O2.O3子分公司领导选拔与任用人力资源部附：流程编码对照表序号流程名称(如适用)英文全称编码备注1公司治理Corporate GovernanceCOG集团治理以及集团参与子公司治理管控2管理结构Management Str

16、uctureMAS授权、组织机构、制度体系、内控体系、企业文化3战略管理Strategic ManagementSTM战略目标及规划体系4经营计划管理Operation Planning and BudgetOPB经营计划、全面预算5资本运营Capital ManagementCAM金融投资、权益投资、固定资产投资等6科技管理Management of TechnologyMOT研发及科技项目7采购管理Purchase ManagementPUM物资、设备采购8生产管理Production ManagementPRM排产、材料、成本、定额9市场营销Marketing and Sales Man

17、agementMSM市场、销售10仓储物流Warehousing and Logistics ManagementWLM仓库、运输、产成品11安全质量环保Safety, Quality and Environmental protectionSQE安全、质量、环保12长期资产管理Long-term Assets ManagementLAM固定资产、无形资产等计划、验收、使用、维修、计量、处置13财务管理Financial ManagementFIM资金、核算、财报、税务、融资、分析14人力资源管理Human Resources ManagementHRM劳动关系、发展、培训、薪酬15综合管理I

18、ntegrated ManagementITM档案、公文、车辆、会议16信息管理Information ManagementIFM信息化项目、系统、运维17法律事务Legal AffairsLEA诉讼、合同、非诉法律事务18运营监控Business ControlBUC统计、内审、监察流程编号说明：一级流程用3位英文缩写标识，二级流程用英文缩写和2位顺序码标识，三级流程在二级流程编号的基础上用.X表示,X表示三级流程的顺位。如一级流程为“战略管理”，其下面的第一个流程为“公司战略管理”，其下的第一个三级流程为“公司发展战略规划制定”，则编码为：STM01.01三、公司层面风险识别1、公司层面风

19、险评估的目的 满足监管部门和上级单位报送全面风险管理报告的要求。 通过风险识别和风险评估明确企业当前面临的重大风险 使企业管理层对当前企业面临的重大风险有统一认识 实现风险评估结果的深化分析，对管理决策提供更充分支持。2、公司层面重大风险的识别与评估风险识别是指查找公司各项经营管理活动中存在的影响目标实现的风险和机遇的过程。动态识别影响公司战略目标及相关目标实现的内部和外部的各种不确定性因素。（1）整体操作流程（2）风险识别程序1）了解企业行业及管理需求 例如：公司的核心业务是什么；标杆企业是谁；行业地位怎么样；所处行业的发展情况；所处行业企业为什么能成功；企业曾经出现过什么问题；什么因素制约

20、企业发展；管理层的经营理念；法律法规有什么要求等。2）收集初始信息围绕公司战略目标和相关目标及风险管理要求，对可能影响集团公司战略、市场、财务、运营和法律等各方面业务活动运营的信息进行了收集，包括收集历史数据和未来信息，关注宏观经济与经营环境、竞争对手、新技术与新产品、海外经营、公司重组、业务整合、会计政策、信息系统、资本运作等方面已经发生和将要发生的变化情况。例如： 序号内容1董事会或总经理办公会的有关会议决议2近几年年公司经营管理年度工作计划3公司最新的组织机构图及部门职责分配4上年年度工作报告，主要领导讲话5近几年各部门工作总结6公司各部门现行的规章制度，手册汇编等7公司近三年来发生的重

21、大风险损失事件3）设计调查问卷问卷调查的重要信息主要来自于法律法规规定、行业风险、上级单位风险、企业特点等，调查问卷已根据中铁宝桥具体情况，并结合迪博企业风险管理技术有限公司相关行业数据库设计完成。问卷中包含各项风险共64个，涉及战略风险、财务风险、市场风险、运营风险、法律风险五大类，可直接进行使用。4）发放问卷调查发放范围：内控项目组应尽量涵盖向公司高层管理人员、中层负责人及业务主干发放公司层面风险评估调查问卷，要求参加答卷人就各风险之发生可能性及影响程度进行打分，并得出相应之风险等级，在此基础上进行调查问卷的评分工作。问卷调查通过两轮多次的循环验证，最终使公司中高层对风险的理解和认识趋于一

22、致。问卷评分标准：风险发生的可能性评分标准评分12345标准极低低中等高极高一般情况下不会发生极少情况下才发生某些情况下发生较多情况下发生常常会发生举例（注）今后10年内发生的可能少于1次今后510年内可能发生1次今后25年内可能发生1次今后1年内可能发生1次今后1年内至少发生1次注：举例中的对可能性判定标准的描述仅供您参考，可以根据自己对风险发生可能性的判定标准对问卷中风险发生的可能性进行判断。风险影响重大性评分标准评分12345标准极轻微的轻微的中等的重大的灾难性的举例（注）财务损失较低轻微中等重大极大企业日常运行不受影响轻度影响(造成轻微的人身伤害，情况立刻受到控制)中度影响(造成一定人

23、身伤害，需要医疗救援，情况需要外部支持才能得到控制)严重影响(企业失去一些业务能力，造成严重人身伤害，情况失控，但无致命影响)重大影响(重大业务失误，造成重大人身伤亡，情况失控，给企业致命影响)企业声誉负面消息在企业内部流传，企业声誉没有受损负面消息在当地局部流传，对企业声誉造成轻微损害负面消息在某区域流传，对企业声誉造成中等损害负面消息在全国各地流传，对企业声誉造成重大损害负面消息流传世界各地，政府或监管机构进行调查，引起公众关注，对企业声誉造成无法弥补的损害注：举例中对影响重大性判定因素及标准的列举仅供您参考，可以根据自己对风险影响重大性的考虑因素和判定标准对问卷中风险发生影响的重大性进行

24、判断。风险调查问卷，将识别完成的风险按照发生可能性与影响程度，要求被调查者进行打分。一般数据库可以使用2-3年。5）统计回收结果，进行风险评估程序统计回收的调查问卷的打分情况，通过两种方式进行定性和定量验证：1、德尔菲调研2、集中度测试，获取公司层面排位前十名的风险信息。 运用统计学频率分析以及正态分布检测，判断风险评估统计结论是否合理有效，如果风险调查统计结果不符合统计学正态分布形态，则将第一轮统计结果与不符项发送给选定调查对象，进行第二轮或第三轮评估打分，直至结果合理。通过评估验证循环，将最终达成一致的风险评估结果作为排序依据，按分值从高往低排序选出管理层最关注的风险，并疏理出公司层面重大

25、风险数据库及对应之风险地图。公司层面风险地图模板：6）风险应对策略根据国家五部委发布的企业内部控制基本规范及国资委中央企业全面风险管理指引，在公司层面风险评估的基础上，对识别出来的公司重大风险，能够充分考虑到风险的因素，并且围绕着战略目标，分析内外部各项风险因素，制定重大风险应对策略和解决方案，最终形成全面风险管理报告。风险应对策略主要有以下几种基本类型：风险降低：是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险降低具体包括风险对冲，风险控制，风险分散等方法，不同的实际情况适用不同的风险降低方法。常用的一种形式是风险分散，即通过分散的

26、形式来降低风险，比如在多种股票而非单一股票上投资。公司还可以采用其他许多方法降低风险敞口，包括市场研究、地区及产品的多样化、筛选和监控客户、外包、给产品定价时分配风险酬金、存货或股权计入生产量中，以及推行已制定的程序，以将经营风险降至最低。风险规避：是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。采用风险规避的目的是，预期出现不利后果时，一并化解风险。 比如公司可以认为某个投资项目的风险发生的可能性很大而又不能承受也不能采取措施降低，公司则可以选择退出投资项目，从而规避风险。风险分担：是企业准备借助他人力量，采取业务分包，购买保险等方式和适当的控制措

27、施，将风险控制在风险承受度之内的策略。采用风险分担的目的是，将风险分担给另一家公司或机构。合同及财务协议是分担风险的主要方式。分担风险并不会降低其可能的严重程度，只是从一方移除后分担给另外一方。分担风险时，管理层应考虑各方的目标、转移的能力、存在风险的情景以及成本效益。风险承受：是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。公司采取风险承受的策略，或者是因为这是比较经济的策略，或者是因为没有其他备选方法(比如降低、规避或分担)。采用风险承受时，管理层需考虑所有的方案，即如果没有其他备选方案，管理层需确定已对所有可能的规避、降低或分担方法进行分析

28、来决定承受风险。在考虑做出风险应对的过程中，管理层需要评估各种风险控制措施的成本，及风险发生可能性和影响程度降低所带来的收益，选择一种风险应对策略。（注：对于识别出来的公司层面的重大风险要进行分解，将公司层面重大风险与业务流程进行对接。为确保公司层面重大风险的管理能够落到实处，公司应根据各重大风险涉及的相关业务内容和控制目标，将公司层面重大风险进行层层分解，识别导致重大风险的众多风险事项，并将其与业务流程进行对接，评估与重大风险对接的流程的全流程控制措施是否存在和有效，保证风险管理工作真正落地）。四、业务流程体系的梳理业务流程梳理的整体操作流程：在业务流程梳理过程中，共形成6个表单：流程图、流

29、程描述、风险控制矩阵、风险数据库、控制文档，下面逐一介绍6个表单的编制：1、绘制流程图（1）流程图的概念流程图是以可视的方式，运用特定符号展示某一流程的一种形式，其意义在于帮助人们认识重要交易是如何生成、记录，获得授权并被处理和报告的。缺点是，无法展现“何时做”“如何做”等细节。（2）流程图的核心要素 明确每个流程步骤的执行部门及岗位。 明确每个具体步骤的操作内容。 明确每个步骤的输入和输出文档。 明确流程的控制点。（3）、绘制流程图的步骤1）部门负责人及职员访谈通过对部门负责人及职员的访谈，详细了解每个三级流程的具体操作步骤、每个步骤的操作方法及注意事项等，访谈中特别要关注和识别流程中的控制

30、点，例如某审核步骤、审批步骤，要在访谈中充分了解这些控制点的审核关注内容、审批关注内容等。2）收集该流程输入和输出的穿行测试资料及相关制度通过分析了解该流程中输入和输出的穿行测试资料及制度，可以辅助绘制流程图。（穿行测试：跟单作业，选择两个样本，检查其在流程起点到终点期间，是否满足设计的流程的所有要求，形成控制文档或控制痕迹）3）用PB建模软件绘制流程图PB常见流程图符号的含义如表3所示。表3 PB软件流程图符号对照表符号操作名称简介说明选择选择状态。开始流程开始的准备工作。进程流程中具体步骤。框中数字为步骤编号，文字为步骤名称。虚线组合框流程中同时进行的步骤。连线流程节点间的连接。判定条件判

31、断。框中编写判定条件。表示对上一步骤进行判定，根据判定结果，下一步骤将分为两条支线。子流程表示流程与流程之间的关联关系；流程中出现子流程，理解为流程的输入或输出。文档流程输入、输出等相关的文件。文字在连线上加入说明文字。结束符表示流程结束。控制点表示该步骤为控制点，框中数字为控制点编号。流程图例：（4）流程图绘制的要求（5）、绘制流程图的注意事项1）流程中的控制点识别方法：假设去掉这个流程步骤，若该流程仍能完整的进行下去，则该步骤为控制点；若该流程到此卡住无法再进行下去，则该步骤不是控制点，仅为一般步骤。例如某个流程中存在几个审核、审批步骤，去掉某一个或某几个审核、审批步骤，该流程都能继续进行

32、下去，但会存在风险隐患，因此，这类审核、审批步骤就是控制点。2)很多流程中的最后一个步骤往往是资料归档、文案归档之类，这也是控制点，属于事后控制，在流程文档编制过程中容易被遗漏。2、 流程描述编制流程描述是对流程图的一个补充，其明确阐述了业务流程的各个操作环节和控制点，能够对流程设计的有效性进行整体评估，能够进行测试以验证流程执行的有效性。流程描述主要包括流程目标，适用范围、相关政策和制度、责任岗位/人员、流程步骤以及描述、控制点等点、线、面、体的结构，详细说明了业务流程的各个步骤、控制点、输入输出文档等，并明确各个岗位的职责范围，以确保业务操作的规范。它提供了详细明确的操作信息、流程关注点，

33、并规定了不同节点的操作标准和规范。流程图和流程描述反应了公司目前的经营管理现状，帮助公司建立业务规范手册，并帮助员工熟悉业务，有利于管理知识和管理经验的积累沉淀。流程描述模板：（1）流程描述基本要求 对步骤、控制、文档、控制缺陷编号 步骤明确到具体部门岗位及对应的文档 要有流程的转入、转出、流程结束等（2）流程描述方法用规范化的语言对流程中的各步骤进行描述：1）谁；2）什么时候；3）什么事4）怎样；5）频率。（3）、流程描述文档的填列流程描述文档包括编号、流程步骤、责任岗位、适用政策与制度、流程步骤描述、输出文档。1） 编号、流程步骤、责任岗位，从流程图中直接获取。2） 适用的政策与制度：仅填

34、编号，并且对应流程各步骤点对点标识。3） 流程步骤描述：n 如有制度，则对制度进行描述，“什么时间什么部门印发了什么制度（文件编号），该制度规定了什么，制度经xx审核，xx审批执行”n 如有判断，则对判断进行描述，“如果。，则转至本流程步骤SXX，否则转至步骤SXX”，注意转回的承接性，如“转自本流程步骤SXX”,“转自XXXX流程”。n 如有控制，引述流程图控制编号并对控制进行描述，如“XX审核。主要关注。审核同意后签字确认”。 4）输出文档 只要本步骤新输出或在原文档基础上输出地文档都要在相应步骤中列示，但编号使用首次输出的步骤编号。（4）三级业务流程编号规则 三级业务流程文档编码对照表序

35、号三级流程编号英文全称缩写1步骤StepS2控制目标TargetT3风险riskR4控制措施ControlC5缺陷gapG6现行制度Active regulationAR7输出文档Export fileEF例如：步骤（Step）大写字母“S”表示；标记出流程中的控制点（Control）步骤，用大写英文字母“C”表示。步骤1为一般流程步骤，标记为【S01】，步骤04为第1个控制点步骤，标记为【S04】【C01】；步骤05为第2个控制点步骤，标记为【S05】【C02】。（5）流程描述注意事项 流程描述需要详细说明业务流程的步骤 使用简练的陈述句进行描述 流程描述中避免使用感情色彩副词，可能性副词等

36、，比如“非常”“可能”“应该”等文字。 保持流程描述前后的一致性及连贯性。3、 风险控制矩阵文档的编制风险控制矩阵（RCM）是在确定流程控制目标的基础上将流程中涉及到的风险和对应的控制措施进行汇总，从中发现控制缺陷并提出改进建议的一种矩阵表格。风险控制矩阵以三级业务流程为基础，通过表格形式完整体现控制目标、风险、控制措施、发现描述以及建议。它不仅仅是一张表单，更是一个工具，一种方法，一套机制，更为业务操作人员以及管理人员发现流程层面的缺陷、评价控制的有效性提供了清晰明了的思路。相关人员可以通过风险控制矩阵中涵盖的三级业务流程对应的主要目标、风险和控制措施，同时根据访谈纪要、公司规章制度、穿行测

37、试、行业标准等判断流程的设计有效性和执行有效性，提出发现并给予相关的改进建议。风险控制矩阵用于明确每个流程的具体控制目标，并确认、记录每个流程及每个步骤中存在的风险和已建立的控制。公司应通过风险控制矩阵进行差异分析，查找现有控制的差距和不足，然后补充和完善现有控制措施，以达到防范风险的目的；同时，为进一步补充、修订制度提供依据。目标编号控制目标风险编号风险描述控制措施编 号控制措施缺陷编号缺陷描述建议（1）、风险控制矩阵的填列风险控制矩阵包括目标编号、控制目标、风险编号、风险描述、控制措施编号、控制措施、缺陷编号、缺陷描述、建议。1）目标编号：T是target（目标）的简写， T01表示本流程

38、中的第一个控制目标，T02表示本流程中的第二个控制目标，以此类推。2）控制目标：控制目标的细分要结构合理；制度的建立与完善可以作为一个流程的首个控制目标；控制目标与风险描述的关系。3）风险编号：R是risk（风险）的简写， R01表示本流程中的第一个风险点， R02表示本流程中的第二个风险点，以此类推。4）风险描述: 风险描述中所提及的风险，是指流程中影响目标的潜在因素或不确定性，要与控制目标相关联，考虑全面，重点突出。流程中的风险识别方法：以流程控制目标为出发点，从流程步骤走向进行风险思考，结合控制点识别出风险点。对流程中的风险点识别，需要有一定的风险管理基础知识、足够敏锐的风险意识，然后将

39、识别的风险描述出来。5）控制措施编号：C是“Control”（控制）的简写，C01表示本流程中的第一个控制点，C02表示本流程中的第二个控制点，以此类推。在本过程中需要特别注意以下几点：1）风险点与控制点不是一一对应的，一个风险点可能只对应一个控制点，也可能对应多个控制点。2）编制风险控制矩阵文档的过程中，应先识别风险点，后识别控制点，这是为了能够不遗漏的识别出流程中的控制缺陷。6）控制措施：对应风险，引自流程描述。控制措施为公司现在已经制定的一系列控制活动，是保证管理层的指令得到实施的政策和程序，主要包括授权审批、验证调节、业绩复核、资产保全、职责分工、签字确认、盖章、台账更新和文档保存等。

40、7）缺陷编号：G是Gap（缺陷）的简写，G01表示本流程中的第一个缺陷， G02表示本流程中的第二个缺陷，以此类推。8）缺陷描述：流程缺陷指的是在流程中存在的控制缺失、控制不足或控制过多、控制无效、控制不合理、控制错误等现象，以及流程自身存在的问题，包括流程步骤不合理、权责界定不清、流程与战略不匹配、不一致等缺陷，需要进行流程优化甚至流程重组。若某一风险点没有任何控制点与之对应，即该风险点没有得到控制，因此该流程中存在控制缺陷，需要对流程进行优化甚至重组，确保每个风险点都有相应的控制点与之对应；或者改进控制点的控制措施，确保每个控制点都能有效的控制对应的风险点。对该风险发生后造成的影响进行描述

41、，注意要突出造成的不利影响。9）建议：对于识别出来的控制缺陷，要有针对性的提出改进建议，对于不能即时整改的，应尽可能注意优化时点。4、 风险数据库的编制风险数据库是在风险控制矩阵完成的基础上，集合相应业务流程中的主要风险，进行风险类别对应，同时从风险发生的可能性和影响程度两个维度，进行风险评估，确立风险等级（发生可能性X影响程度），并结合客户风险偏好程度，判别业务流程的重大风险以及对应的关键控制点。业务流程层面风险管理数据库的模板如表所示：风险编号风险描述风险类别发生可能性（1-5）影响程度（1-5）风险等级对应控制编号战略风险经营风险报告风险合规风险资产安全风险R01C01R02C02（1）

42、、风险数据库的填列风险数据库包括风险编号、风险描述、风险类别、风险等级、和对应控制编号。1）风险编号：引用风险控制矩阵中对应的风险编号。2）风险描述：引用风险控制矩阵中所识别出的风险。3）风险类别：按照五大类风险可划分为战略风险、经营风险、报告风险、合规风险、资产安全风险。这里要注意的是：一个风险点它可能是单一的某一类风险，也可能是两类以上风险。4）风险等级：风险等级的划分依靠两个维度来判定，即风险发生可能性和风险发生影响程度打分的乘积。风险发生可能性分为极低、较低、中等、较高、极高五个等级；风险发生影响程度分为轻微、较低、中等、重大、灾难性五个等级。关于风险发生可能性，要根据集团所在行业及自

43、身经营情况来判定，可参照“表1风险发生可能性评分标准”。关于风险发生造成影响，要根据该风险内容，结合集团所在行业及自身经营情况来判定，可参照“表2风险影响程度评分标准”。注意：对不同种类风险的风险发生可能性及影响程度的判定因素，应结合企业实际情况制定不同的标准。让流程中相关部门人员对以上两个维度进行打分并取平均值，然后根据图4判定风险等级。若评定结果落在红色区域，则为重大风险 。若评定结果落在黄色区域，则为中等风险。若评定结果落在绿色区域，则为安全风险。图4 风险等级划分示意图 表1 风险发生可能性评分标准（示例）评分12345标准极低低中等高极高定性标准一般情况下不会发生极少情况下才发生某些

44、情况下发生较多情况下发生经常发生定量标准 （举例）今后10年内发生的可能性少于1次今后5-10年可能发生1次今后2-5年内可能发生1次今后1年内可能发生1次今后1年内至少发生1次表2 风险影响程度评分标准（示例）评分12345标准极轻微的轻微的中等的重大的灾难性的举例财务损失轻微较低中等重大极大企业日常运行影响不受影响轻度影响（造成轻微人身伤害情况立刻收到控制）中度影响（造成一定人身伤害，需要医疗救援，情况需要外部支持才能得到控制）严重影响（企业失去一些业务能力，造成严重人身伤害，情况失控但无致命影响）重大影响（重大业务失误，造成重大人身伤亡，情况失控，给企业造成致命影响）5）对应控制编号。引自风险控制矩阵的“控制措施编号”。5、控制文档的编制控制文档根据风险控制矩阵和风险数据库内容识别流程活动中的一般流程步骤、一般控制和关键控制，并明确其控制类型、控制方式、控制频率，并对应到活动实施证据和责任部门、责任岗位，为内部控制评价提供合理依据。业务流程层面控制数据库的模板如表所示：步骤