《业务流程图及风险控制管理文档要素解读》由会员分享,可在线阅读,更多相关《业务流程图及风险控制管理文档要素解读(39页珍藏版)》请在金锄头文库上搜索。
1、1,业务流程图及风险控制管理文档 要素解读,二一三年三月六日,2,主要内容,一、内部控制简介 二、流程管理的内容和作用 三、业务流程图要素解读 四、风险控制文档要素解读,一、内部控制简介,什么是内部控制?,传统上对内控的认识:管理手册、规章制度 内部控制现代内控理论:系统化的框架,一、内部控制简介,与传统管理观念的区别,信息流动:单向-双向乃至多向职责分工:模糊-清晰企业运营:行政指令式活动-自发主动式活动档案管理:混乱-规整管理目标:单一的股东利益最大化-经营有效性,财务报告的可靠性,法律和法规的遵从性风险应对:专门部门强制进行-在日常经营活动中自主进行,一、内部控制简介,内部控制体系评价是
2、按照规定的程序、方法和标准,对已经建立和实施的内部控制体系,从设计有效性和执行有效性两个方面对财务报告内部控制有效性进行测试、评估和报告的过程。从概念中我们可以得出,内部控制评价是一个过程,是一个对内部控制设计有效性和执行有效性进行测试、评估和报告的过程。,内部控制体系评价的概念,一、内部控制简介,内部控制评价的概念包含了以下两方面的内容: 1. 内部控制体系评价的目标开展内部控制体系评价的基本目标是确定内部控制的有效性。公司开展内部控制体系评价的基本目标是:确认内部控制方面是否存在控制缺陷,判断内部控制体系是否有效。各单位内控评价的目标是通过查找内部控制设计和执行有效性方面的不足,一方面作好
3、落实整改工作,为确保内控体系有效性提供合理保证;另一方面对发现的内控体系中与相应规范、标准、要求之间存在的偏差(即例外事项)进行分析,为缺陷认定工作奠定基础。通过各单位评价,为各单位发表内控有效性声明提供依据。,一、内部控制简介,2. 内部控制评价的内容内部控制评价包括内控测试、缺陷评估和评价报告等。1)内部控制测试是按照规定的程序、方法和标准,针对控制目标,对公司内部控制体系设计有效性和执行有效性进行检查,旨在发现内部控制体系在设计层面和执行层面是否存在偏差。2)缺陷评估是以规定的程序、方法和标准,对内部控制测试发现的例外事项进行综合分析,进而评估内部控制是否存在缺陷以及导致财务报告错报的影
4、响程度和发生可能性的过程。3)评价报告是在测试和缺陷评估结果的基础上,根据公司对外披露和内部控制管理的不同需要,对财务报告内部控制有效性进行综合或者单独评价及报告的过程。,8,主要内容,一、内部控制简介 二、流程管理的内容和作用 三、业务流程图要素解读 四、风险控制文档要素解读,9,流程管理是内控体系建设的重要内容,是适应内外部环境变化,实施有效控制的重要手段,可以提高效率、防控风险、降低成本,是规范运作、实现科学发展的必然选择,是集团公司建设综合性国际能源公司的基础保障。以流程建设和运行为主线,把制度建设和执行、信息化建设和应用有机结合起来,可以梳理和构建公司的管理体系,有利于团队精神的培育
5、,是推动公司科学发展的有效方式。我们要通过推广流程化管理,优化、调动公司的整体资源,进一步增强全体员工的团队意识,发挥公司的整体优势,真正实现公司建设国内一流的跨国运输物流企业的发展目标。,二、流程管理的内容和作用,10,建立完善:符合业务实际、满足风险控制要求、涵盖经营管理全部工作的业务流程。建立健全:支持有成有效、高效运行的保障机制,全面提升流流程执行力和执行效率。,流程管理内容和目标,核心:流程建设,关键:有效执行,概念,是一套达成企业各种业务环节整合的全面管理模式。,涵盖:人员、设备、应用系统等优化组合实现:跨应用、跨部门、跨合作伙伴和客户的企业运作。,二、流程管理的内容和作用,11,
6、流程概念,风险点,流程名称,控制要求,流程要素,必备步骤,负责人,组织机构,是业务发起到结束,在公司内部横向或纵向“流转”的一系列相互关联的、端到端的管理与操作活动,主要反映的是工作程序、管理权限和管控要求等,体现价值的创造、实现与保障的过程。简单地说:是能够产生某种结果(产品/服务)一系列行为程序或完成任务必不可少的过程。,二、流程管理的内容和作用,12,Standardization & Structure 业务规范化,Efficiency & Effectiveness 提升执行效率与效果,规范、有效、优化,流程管理的优势和影响因素,提高效率和效益 改善工作质量 固化业务流程 实现自动化
7、,管理优势,实现团队合作 优化流程 向知识型企业转变,13,主要内容,一、内部控制简介 二、流程管理的内容和作用 三、业务流程图要素解读 四、风险控制文档要素解读,14,14,业务流程图的细节,三、业务流程图要素解读,15,三、业务流程图要素解读,EPC(列展示)用于描述业务流程图。流程图由功能、事件、组织单元、岗位、组、纸质文档、电子文档、应用系统、风险、控制等对象及其之间的连线关系组成;其中,功能(即流程步骤)与事件是流程的主线。,16,开始,步骤,结束,执行的部门及岗位,规范性文件及规章制度,控制,风险,流转的文件及记录表单,16,在解读流程图时,首先应该明确该流程的起点和终点,主要了解
8、什么岗位在什么情况下(依据各种规章制度)做了什么并形成哪些文档或表格,并确定每一个步骤所对应的实施证据等,这是流程图形成的基本要素,只有掌握了这一点,才能够更好的读懂流程图所表达的意思。,三、业务流程图要素解读,17,A 职能带职能带是流程图中的区域划分,表示不同组织在该流程中执行的功能。,A,B,B 职能部门职能部门表示职能带中各步骤的执行所有岗位所属部门。,D,E,F,C,C 执行岗位执行岗位表示执行流程中各功能步骤的岗位人员。,D 功能步骤流程图的功能步骤。,E 风险标识流程图中的风险标识。,三、业务流程图要素解读,F 控制标识流程图中的控制措施标识。,18,G,G 流程接口引用其他流程
9、作为此流程的前驱/中间/后继流程。,H,H 事件/判断流程运行中所发生的状态改变。,I 实施证据功能步骤执行输入/输出的表单。,J 应用系统执行功能使用的应用系统。,I,J,K 连线连接两个对象,通过箭头指向建立功能步骤执行指向。,K,三、业务流程图要素解读,19,A SAP功能流程中使用ERP系统执行的功能步骤。,B SAP系统文档ERP系统使用的文档。,ERP蓝图建模规范较业务流程规范区别在于多了两个应用对象:,三、业务流程图要素解读,20,业务流程的图形化描述方式:由每个功能步骤构成流程执行顺序,且每步骤具有清晰的主谓宾关系。,三、业务流程图要素解读,21,21,三、业务流程图要素解读,
10、22,22,三、业务流程图要素解读,23,23,注:流程步骤与文档之间有两种关系,如下图一种是流程步骤输出文档,连线方向由流程步骤指向文档,此类文档是指由该流程步骤完成或者在完成步骤过程中产生的文档;另一种是文档作为流程步骤的输入,连线由文档指向步骤,此类文档是指在执行该流程步骤之前或者过程中会用到此文档。,三、业务流程图要素解读,24,24,三、业务流程图要素解读,25,25,三、业务流程图要素解读,26,26,三、业务流程图要素解读,27,执行业务流程时,需关注以下内容,这些内容同样是内控测试关注的要点: 本单位/部门的实际业务是否存在,若存在,是否与流程所描述的内容相符。 实际执行流程步
11、骤是否与流程规范一致,是否完整,有无缺失。 执行流程步骤的部门、岗位是否与流程规范一致。 针对流程中已经标注的风险,结合实际业务的需要,确保已经设计的控制措施被严格、无遗漏的执行。 实际业务中使用的表单是否与流程规范相符,表单上留下的签认痕迹是否与流程中要求的岗位一致。 实际业务中,体现流程管理痕迹的表单,是否符合相应制度的要求。,27,三、业务流程图要素解读,28,主要内容,一、内部控制简介 二、流程管理的内容和作用 三、业务流程图要素解读 四、风险控制文档要素解读,29,为配合描述业务流程,详细描述流程中涉及的不同主题风险,并结合工作实际、科学合理的规避风险,从不同出发点设计风险的控制措施
12、。执行控制措施时需关注以下内容,这些内容同样是内控测试关注的要点: 控制措施是否被有效执行 实际执行的控制措施的方法、类型、频率是否符合流程规范 执行控制措施后,形成的证据表单是否与风险控制管理文档的要求一致,尤其是部门及岗位要求、时间要求、金额及数量要求等。,四、风险控制文档要素解读,30,样表,注:仅当“控制方法”列为“自动”时,“系统控制措施” 、“应用系统控制所属模块”、“控制方式”这三列才有内容。,30,四、风险控制文档要素解读,31,文档表头:表头包含单位名称、编制部门、编制人、当前流程名称、最后更新时间、 业务流程名称对应当前末级流程的前两级流程名称。 控制点编号、关键控制点编号
13、:末级流程编码+”-”+风险编码+”-”+控制点编码。 风险类别:分战略、经营、报告、法律这四大主题,区分风险类别。 风险描述:对风险的内容进行详细描述,与风险数据库对应。 控制类型:一般分为3种,预防性、发现性、补救性。 控制方法:根据实际业务,分为人工控制、自动控制。 控制频率:说明该控制多久控制一次,共有六种,分别为随时/日/周/月度/季度/年度 控制实施证据:最能说明或证明执行过某项控制的书面证据。(可以是统一实施证据, 也 可以是会议纪录或是电话记录等) 控制文件的文号及名称:能够支持对应的控制措施的制度名称。,31,四、风险控制文档要素解读,32,关键控制编号:末级流程编码+”-”
14、+风险编码+”-”+关键控制点编码;关键控制点编码与集团公司保持一致。,SP10.01.01-01-K1,32,四、风险控制文档要素解读,33,系统相关控制措施:紧扣风险,详细描述实际采用的控制措施。 控制措施的描述基本满足满足四要素,“谁”、 “做了什么事”、 “怎么做”、“留下了什么证据” 系统相关控制措施:目前仅包含FMIS、AMIS系统控制措施、模块信息、控制方式。今后需增加ERP系统控制措施、模块信息及控制方式。,33,四、风险控制文档要素解读,34,业务流程图与风险控制文档的关联:通过风险标识与控制标识将业务流程图与全面风险控制文档关联起来。在流程图中分别采用如下图形表示:风险标识
15、 控制标识,34,四、风险控制文档要素解读,35,风险标识 1) 描述内容:流程中涉及的风险。风险标识是风险在流程图中的符号化展示。 2) 风险标识与各类风险控制文档中风险的关系 :财务报告类风险: 非系统类风险:F+报告风险序号,如“F3”, 代表1个非系统类的报告风险:风险3 系统类风险:F+报告风险序号+X,如“F2X”, 代表1个系统类的报告风险:系统风险2以“MP01.03.02 薪酬”为例,“MP01.03.02-01 与工资相关的信息不完整、不准确”对应的风险在流程图中标识为“F1”法律类风险: L+法律风险序号,如 “MP01.03.02 薪酬”中“L5.7.2”代表1个法律风
16、险:风险5.7.2,对应法律风险防控手册中“L05.07.02 未按月足额支付劳动报酬”经营类风险: B+经营风险序号,如“SP03.03.02 公司中长期规划编制”中“B1”代表1个经营风险:风险1,对应投资业务风险控制文档(BRCD)中的“SP03.03.02-B01 中长期发展规划不适应公司内外环境的变化”,35,四、风险控制文档要素解读,36,36,控制标识 1) 描述内容:流程中涉及的控制。 2) 控制标识的解读 : 财务报告类控制: 非关键控制点的控制编号:F#.#M。F表示财务报告风险的控制,第一个#表示对应的风险编号,第二个#表示此为该风险的第#个控制;字母M表示手工控制。如F7.3M。 关键控制点控制编号:FK# 应用系统关键控制点编号:FKA# 法律类控制:形式为L.f/k/b/fk/fb/kb#.#.# L+“.”+“f(防范性)/k(控制性)/b(补救性)/fk(防范性+控制性)/fb(防范性+补救性)/kb(控制性+补救性)”+法律风险序号。例如:L.f1.1.1 经营类控制: 与财务报告类控制的命名规则相同,只需要将“F”改成“B”。例如: B#.#M、BK#。,
