企业内部控制流程梳理与风险识别.docx

企业内部控制流程梳理与风险识别主讲：赵玉梅目 录一、认识内控流程二、认识风险识别三、如何建立与改进一、认识内控流程（一）案例典型内控事件（二）内部控制的概念（三）内控问题及产生原因（一）案例典型内控事件：安然公司(Enron Corporation)：原是世界上最大的综合性天然气和电力公司之一，在北美地区是头号天然气和电力批发销售商。辉煌业绩：世界最大的能源公司，500强排名第7，曾被称为“美国最有创新精神的公司”。严重问题：（1）2001年末，安然宣布第三季度亏损6.4亿美元。美国证监会进行调查，发现该公司1997以来虚报利润5.8亿美元。（2）2001年末安然申请破产保护。在之前10个月内，公司因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利。（3）2006，安然主席及CEO被美国法院认定有罪，前创始人受多项指控，其中4项银行欺诈罪将导致最高120年监禁的判决；前CEO受19项指控最终判24年监禁；CFO也被判刑10年。（4）半年多时间，股市市值缩水2.5万亿美元；安然公司破产直接导致美国金融机构损失200亿美元。深层原因：（1）会计舞弊：通过财务作假和滥用会计方法，隐瞒亏损，掩盖债务和巨大的交易风险（1997以来虚报利润5.8亿美元），误导投资人以牟取私利。（2）业务集中：业务集中在“能源衍生品交易”，公司出现任何信用风险后，带来一连串灾难性后果，造成现金流困难。（3）恶性扩张：追求“管理创新”，自封“世界领先公司”，业务不断扩张，从天然气、电力业务，到风力、水力、投资、木材、广告、互联网宽带业务等，无所不包。风险事件的反思：（1）安然、世通、施乐、安达信等公司欺诈，会计造假丑闻使投资大众遭受巨大的损失。（2）中航油（新加坡）违规操作被判刑并罚款，巴林银行由于私自交易被1英镑价格交易。（3）在2000年至2002年期间，由于在美国发生的涉及巨型公司财务丑闻，导致资本市场损失了7万亿美金的市值。（4）诚信危机震撼着美国及国际社会，美国企业的假账丑闻一时间成为全球舆论的焦点。强化内部控制是有效防范风险的重要手段：（1）知名企业失败案例与内部控制缺陷密切相关；（2）内部控制能够做到事前防范，及时发现苗头并予以补救。（二）内部控制的概念内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果、促进企业实现发展战略。1内部控制是融入在企业经营管理活动之中的一系列行为，不是一个额外的附加体系。内部控制是经营管理活动的一部分；内部控制的对象是经营管理过程的主体和活动；内部控制要融入经营管理的每个环节；内部控制要从被动到主动；内部控制要从附加到融入。2内部控制强调“全员参与”全体员工都担负内部控制实施的责任；管理者要带头垂范，要“入局”；内部控制与企业内“人人”“事事”都有关。3内部控制责任体系董事会：对内部控制的建立健全和有效实施负最终责任；审计委员会：负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等；监事会：对董事会建立与实施内部控制进行监督；管理层：负责组织领导企业内部控制的日常运行；企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作；内审部门：结合内部审计监督，对内部控制的有效性进行监督检查。（三）内控问题及产生原因二、认识风险识别（一）企业风险识别的概念（二）企业内部控制与风险管理的联系与区别（三）风险识别方法（一）企业风险识别的概念风险识别：指识别所有可能对组织产生负面影响的损失风险，即找出影响预期目标实现的主要风险。企业风险识别是指对企业面临的尚未发生的潜在的各种风险进行系统的归类分析，从而加以认识与辨别的过程。识别过程包括两个阶段：首先是风险的辨识，要找出各种风险及其存在之处，然后对其进行分析，主要分析引起风险的各种原因和可能的结果。1风险识别的原则系统性、连续性和全面性。2风险识别的内容（1）环境风险指由于外部环境意外变化打乱了企业预定的生产经营计划，而产生的经济风险。引起环境风险的因素有：国家宏观经济政策变化，使企业受到意外的风险损失；企业的生产经营活动与外部环境的要求相违背而受到的制裁风险；社会文化、道德风俗习惯的改变使企业的生产经营活动受阻而导致企业经营困难。（2）市场风险指市场结构发生意外变化，使企业无法按既定策略完成经营目标而带来的经济风险。导致市场风险的因素主要有：企业对市场需求预测失误，不能准确地把握消费者偏好的变化；竞争格局出现新的变化，如新竞争者进入，所引发的企业风险；市场供求关系发生变化。（3）技术风险这是指企业在技术创新的过程中，由于遇到技术、商业或者市场等因素的意外变化而导致的创新失败风险。其原因主要有：技术工艺发生根本性的改进；出现了新的替代技术或产品；技术无法有效地商业化。（4）生产风险指企业生产无法按预定成本完成生产计划而产生的风险。引起这类风险的主要因素有：生产过程发生意外中断；生产计划失误，造成生产过程紊乱。（5）财务风险由于企业收支状况发生意外变动给企业财务造成困难而引发的企业风险。（6）人事风险凡是涉及企业人事管理方面的风险就称为人事风险。3风险识别应关注的因素风险承受度：是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。（1）内部风险单位识别内部风险，应当关注下列因素：高级管理人员的职业操守、员工专业胜任能力等人力资源因素；组织机构、业务活动方式、资产管理、业务流程等管理因素；研究开发、技术投入、信息技术运用等自主创新因素；财务状况、经营成果、现金流量等财务因素；营运安全、员工健康、环境保护等安全环保因素；其他有关内部风险因素。（2）外部风险企业识别外部风险，应当关注下列因素：经济形势、财政管理体制、融资环境、市场竞争、资源供给等经济因素；法律法规、监管要求等法律因素；安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；技术进步、工艺改进等科学技术因素；自然灾害、环境状况等自然环境因素；其他有关外部风险因素。（二）企业内部控制与风险管理的联系与区别1企业内部控制与风险管理的内涵内部控制一般是指企业为合理保证实现经营管理目标，确保财务财产的安全完整，保证企业运营战略和有关规章制度的有序进行，确保企业高效率的运行而在公司里实行的调节、管制、计划和评估的方式及其技术措施的总称。除此之外，内部控制还是在特定的环境下，公司要提升其自身运营效率并充分获取利用所有资本，实现企业的管理目标而在公司内实行的一系列约束和调整的策略、流程和措施。风险管理是指公司在经营管理中对于一些风险源实施辨别、确认、评估与监管，在适当的时候也可以实施一些有效的方法对其进行监控与预防，从而给公司带来更大的安全保障的程序。随着国际经济形势日益复杂，企业面临着更加严峻的生存压力，“全面风险管理”的概念获得广泛认可。2企业内部控制与风险管理的联系内部控制和风险管理理论并不是相互独立的两类理论，二者在实施主体、组成要素以及实施目标等方面都密切相关。第一，内部控制与风险管理实施目标虽不尽相同，但二者在本质上都是通过一系列措施和手段，达到增加企业价值、使企业利润最大化的目的；第二，内部控制与风险管理实施主体与实施客体基本相同，都是由企业董事会、管理层以及其他人员共同实施，其实施客体都是企业员工、资产以及企业在经营管理过程中形成的关系。值得注意的是，内部控制与风险管理并不仅针对企业董事会和管理层，二者需要企业全体人员的共同参与，企业高管与员工的区别在于其在内部控制和风险管理实施过程中的管理责任不尽相同；第三，内部控制与风险管理都是一个动态的过程，都需要在实施过程中进行反馈与调节，使得企业内部控制和风险管理能够在一定限度内对环境变化作出相应调控；第四，内部控制是全面风险管理的重要组成部分，内部控制与风险管理组成要素在一些方面是相互重合的，风险管理对目标设定、事件识别和风险对策方面作出了更为细致的规范和要求；第五，全面风险管理以健全的内部控制为基础，公司对风险实施管理就必须要有科学、先进的管理措施，倘若没有完善的内部控制制度，那么企业风险监管也将无法顺利实施。3企业内部控制与风险管理的区别首先，内部控制与风险管理职能定位不一致。企业施行内部控制制度的目的是维护自身财产的安全与完整，从而确保会计信息质量及其他管理信息的真实、可靠和及时。风险管理的目的是以最低的成本应对企业风险，从而使企业避免损失，实现利润最大化。全面风险管理在制定合理的内部控制，保证企业经营合法合规和财务财产安全的同时，还需要对企业在战略制定和业务模式选择等方面提供合理保证。其次，企业内部控制与风险管理活动范围不尽相同。内部控制只是企业公司治理的一项职能，而企业的风险管理则在治理程序中的每个部分都存在，公司进行内部监督控制的方式除了表现在对事中和事后的控制，最主要的是公司于事先规划方针的过程中就全面了解到危机的严重性。最后，内部控制与风险管理对风险的对策不同。企业在经营过程中，需要对所面对的风险采取必要的措施和手段，如采取避免风险、控制风险、分散与中和风险、承担风险、转移风险等方法，对企业风险进行管理，使运营战略与风险回报相协调，从而达到降低企业经营风险、增加企业价值的目的。（三）风险识别方法曾发生过这样一个生产事故：技术部门借用其他产品的图纸，并在此基础上进行了一些修改，但这个修改并没有通知到位。生产部门看到图纸后以为是其他产品工艺，并按此执行了生产工艺，结果直到生产完成后才发现工艺做错，所做的所有产品报废。企业的事故发生后，企业当然会非常紧急的排查、解决、整改，但是对于企业而言，更重要的不是等待事故的到来，而是防患于未然，这也是为何企业内控中非常强调风险评估的原因。内控管理常常都是风险导向，因此,对于企业来说，企业内控的基础工作应该是风险识别。在企业内控的五大要素中，风险评估分别包括风险识别、风险分析以及风险应对这三个过程，而风险识别则是风险评估的第一步。对于业务风险和管理风险而言，最方便的风险识别载体就是流程，因为固化过的流程有明确的步骤和责任主体，便于按节点的进行风险识别。因此企业做内控建设的时候，很强调企业是否具有健全完整的流程体系，通过流程作为载体，可以更快捷有效的进行企业内控的工作。利用流程来进行风险识别的步骤主要有三步：筛选、模拟以及归类。对于一个有着完整流程体系的企业来说，首先要从其固化流程的风险筛选开始做起。这种筛选往往采用的是经验法，即由相关部门对其所熟悉的流程中可能产生风险的节点进行汇总上报。在筛选的过程中，需要关注几点：针对流程的每一个步骤，考量其是否为重要风险节点，尤其是资料交付、产品转序等涉及人、财、物的重要活动；重点关注过去曾经发生过的事故节点；在前期流程梳理或是优化过程中，重点改动的活动节点。以上面发生的事故为例，其风险节点应该在图纸借用流程中技术部信息记录这个节点，对于需要记录的信息是否有确切的记录方式得以保存，以及图纸下发流程中技术部通知相关部门这个节点上，是否将应有的信息传递给相关部门。在获得初步的风险节点清单以后，需要由内控主体部门开始进行风险的模拟，通过模拟活动来甄别风险节点的可能危害程度以及产生危害的几率。这种模拟活动需要让流程从正常、异常和紧急状态这三种活动状态出发，分别模拟这三种活动的情况发生后对流程过程和结果可能带来的影响，对于其危害结果要同时考虑其对过去、现在和未来三种时态，并同时评估产生这些危害的几率。在评估危害几率的过程中，可以考虑采用专家评估法或是问卷调查，通过估计危害可能发生的频率、是否有检查活动、是否已经受到控制、是否有规范性的制度以及员工能力这几个角度来评估危害可能发生的几率。在获得风险节点危害程度以及发生几率数据以后，则对风险节点进行排序分类，通过计算风险预期危害数值，按照一定的划分标准，对前期风险节点清单中的节点进行划分，一般以重大、一般以及较轻三种类型区别（根据企业实际情况决定）。通过内控部门以及相关领导的最终评审后，获得最终的风险管控表清单。显然对于前面所描述的那个案例来说，记录与沟通是一个比较重要的风险管控点。如果企业能够在前期就对这类风险点加以识别，并通过后期的其他风险评估过程，设计并执行应有的控制活动，则可以为企业大大降低运营风险，从而起到节约成本，增强企业生存能力的作用。风险识别方法：现在使用的风险识别方法，可以分为宏观领域中的决策分析（可行性分析、投入产出分析等）和微观领域的具体分析（资产负债分析、损失清单分析等）。主要方法有：生产流程分析法，又称流程图法。生产流程又叫工艺流程或加工流程，是指在生产工艺中，从原料投入到成品产出，通过一定的设备按顺序连续地进行加工的过程。该种方法强调根据不同的流程，对每一阶段和环节，逐个进行调查分析，找出风险存在的原因。风险专家调查列举法。由风险管理人员对该企业、单位可能面临的风险逐一列出，并根据不同的标准进行分类。专家所涉及的面应尽可能广泛些，有一定的代表性。一般的分类标准为：直接或间接，财务或非财务，政治性或经济性等。资产财务状况分析法。即按照企业的资产负债表及损益表、财产目录等的财务资料，风险管理人员经过实际的调查研究，对企业财务状况进行分析，发现其潜在风险。分解分析法。指将一复杂的事物分解为多个比较简单的事物，将大系统分解为具体的组成要素，从中分析可能存在的风险及潜在损失的威胁。失误树分析方法是以图解表示的方法来调查损失发生前种种失误事件的情况，或对各种引起事故的原因进行分解分析，具体判断哪些失误最可能导致损失风险发生。风险的识别还有其他方法，诸如环境分析、保险调查、事故分析等。企业在识别风险时，应该交互使用各种方法。三、如何建立与改进（一）如何建立企业风险与内部控制体系（二）改进企业内部控制,加强风险管理的对策（三）案例内控及风险管理体系建设（一）如何建立企业风险与内部控制体系1建立与实施风控的原则全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。合规性原则。遵照国家的法律、法规和政策，遵照财政部等五部委制定的内部控制基本规范及其配套指引，符合国务院国有资产监督管理委员会制定的风险管理指引的原则要求。2建立与实施风控的总体思路（1）梳理业务流程、搭建流程框架体系根据企业生产经营的价值链，对企业的管理活动、生产活动分类逐级进行全面梳理，构建企业业务流程框架，绘制流程图，撰写流程描述，根据信息化的要求编制各业务活动的编码。（2）开展规范对标、编制缺陷清单按照梳理的各项业务活动，清理现有管理制度中的控制措施，逐一核对企业内部控制基本规范及其配套指引、企业全面风险管理指引以及上级单位的相关管理要求，编制对标缺陷清单。（3）建立风险数据库、绘制风险地图结合缺陷清单，分析查找各项业务活动存在的主要风险，按照风险发生的可能性和影响程度对风险进行评估，编制风险数据库。（4）将风险数据库与流程清单进行匹配将流程清单与风险数据库进行匹配，以便明确某个风险体现在哪个流程中，某个流程中有哪些风险。这个匹配首先在风险类别层面进行，为下一步全面识别具体风险点与流程中的控制点的匹配打下基础。（5）制定或优化业务流程图结合风险和控制措施，制定或者优化业务流程图，降低或避免风险。（6）制定风险控制矩阵根据风险数据库，基于业务流程图确定业务活动的关键控制点，制定关键控制点的具体控制措施，建立风险控制矩阵（包括企业级、项目级、流程级）。（7）制定或修订相关管理制度、编制权限指引表编制内部控制与风险管理相关管理制度，如内控管理办法，内控评价管理办法、内控监督管理办法，全面风险管理办法等。基于业务流程图编制业务活动权限指引表，明确各项业务参与者的工作分工和执行权限，进一步明确内控与风险工作权责分配关系。（8）编制内部控制手册制定公司内部控制手册，包括内部环境手册、风险评估手册、控制活动手册、信息与沟通手册和内部监督手册，作为内部控制体系建设、运行、维护、评价的依据，确保全公司从思想和行为上对内部控制体系保持高度统一。（9）开展内部控制与风险管理监督检查与评价监督检查与评价包括内部环境、风险评估、控制活动、信息与沟通、内部监督等五大方面。监督检查方式包括审计、监察、内审（外审）、管理评审等方式。编制内部控制自评价报告，报告的主要内容：内部控制报告真实性的声明，评价工作的总体情况，评价依据，评价的范围，评价的程序和方法，内部控制缺陷及其认定，、整改情况，内部控制有效性的结论。编制全面风险管理报告，报告的主要内容：年度企业内部控制管理工作回顾，年度企业风险评估情况，年度内部控制管理工作安排，有关意见和建议。3企业内部控制体系建设路径及启示AB股份有限公司（以下简称“AB公司”或“公司”）是一家在国内主板的A股上市公司，为符合上市公司内控法规要求，加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，根据财政部、证监会等五部委印发的企业内部控制基本规范及配套指引的要求，公司聘请外部咨询公司，于2011年3月起着手进行内部控制规范体系的建设工作。根据内部控制企业内部控制基本规范及其配套指引要求，结合国外公司经验，企业内部控制体系建设通常分为四个阶段，内部控制梳理、内部控制整改固化、内部控制自我评价和内部控制审计，其中前三个阶段是内控建设核心工作，需由企业主导完成，内控审计由审计师在企业配合下实施。为做实做好内控规范体系建设工作，公司于2011年3月正式成立内控工作领导小组，由公司董事长牵头，高层领导主管、总部各部门负责人及各分子公司总经理作为组员，负责组织领导公司内部控制规范化建设工作。2011年3月中旬召开内控实施项目启动会，对公司内控建设工作进行了部署和动员，并制定公司内控实施计划及工作方案。第一：建立内控建设组织架构，明确相关人员职责。内部控制建设作为一项长期系统性地工程，并非一蹴而就，公司决定建立一种长效领导机制持续运作。公司明确董事长为内部控制实施工作的第一责任人；公司总经理、副总经理为内控实施的具体负责人。通过四大系统的职责分工及北京事业部、上海公司、成都公司责任人的落实，形成了矩阵式的控制结构，可以有效确保内控控制的全面性和深入性。明确内控领导小组职责经第六届第十次董事会审议通过，公司成立风险管理委员会，成员包括董事长、审核委员会主席、总经理、分管主要业务的公司高管及专业人士，作为内控工作领导小组。风险管理委员会对董事会负责，主要履行以下职责：负责营造良好的内部控制建设环境；负责制定公司内部控制战略规划，提出总体建设方案；负责审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；部署内部控制建设、执行及监督活动等；审议内控手册的编制、修改及更新；提交内部控制评价报告；协调公司内部控制建设的重大事项；考核内部控制建设的相关人员，保持公司整体利益和方向的一致性。明确内控项目小组职责公司在风险管理委员会下设立风险管理委员会办公室作为内控项目组，主要履行下列职责：全面贯彻执行风险管理委员会关于内部控制建设的精神和方针；制定公司内部控制建设阶段性的目标及实施方案，提交风险管理委员会审核；负责内部控制建设的有效实施和运行，落实内部控制建设的具体责任；研究提出内部控制评价报告；负责公司内控手册的编制、修改及更新；审核在内部控制建设过程中存在的问题，督促各部门进行整改。（1）公司在风险管理委员会办公室细分为4大系统，即风控系统、战略与证券系统、财务系统和运营系统，明确各系统的具体职责。（2）风险管理委员会办公室成员主要来自于财务管理部、战略与证券管理部、风险管理部、管理创新部、营销中心、质量与客服部、供应链中心、法律事务部、研发中心、制造中心及战略人力资源部，配备33名专职人员。各业务单位、职能部门及子公司（事业部）在风险管理委员会办公室的指导下共同参与、实施内控建设工作。（3）审核委员会作为公司内部控制体系有效性的监督机构，监督内部控制的有效实施和内部控制自我评价情况，审核及监督外部审计机构是否独立客观及审计程序是否有效，审核公司的财务信息及其披露，协调内部控制审计及其他相关事宜。责任部门及工作预算与内控工作小组相对应，公司确认了内部控制建设的责任部门，即风险管理部、战略与证券管理部、财务管理部、管理创新部、营销中心、供应链中心、质量与客服部、法律事务部、制造中心、研发中心、战略人力资源部。本次内控项目工作制定了相关预算，包括内控咨询、内控审计及人力成本费用、培训费用等。为保证内控建设工作的专业化、系统化和合理化，公司聘请咨询公司作为外部咨询机构为公司提供专业支持，协助公司梳理、构建及完善内部控制总体架构，帮助公司识别内部控制存在的薄弱环节和主要风险，有针对性的设计控制的重点流程和内容并协助公司开展内部控制自我评价工作。风控系统人员将全程参与风险识别及评估、编制风险清单及控制矩阵、内控缺陷整改、开展内控评价等工作，为公司培养内部控制建设及评价人才。第二：内控体系建设工作具体推进内部控制建设工作，公司将分为五个阶段，时间从2011年4月1日至2012年1月31日，总体安排如下：确定内控实施范围（2011年4月10日前完成）根据证监局文件精神，结合公司实际，本次内控实施范围为股份公司、一家上海子公司以及一家广州子公司。按照企业内部控制基本规范及其配套指引要求，结合公司业务性质，公司将重点关注发展战略、组织架构、人力资源等公司层面3大流程，以及信息系统、财务报告、信息披露、关联交易、全面预算、资金活动、采购业务、销售业务、资产管理等业务层面9大流程。各流程责任人如下（×××代表责任人姓名）：注：上述责任人适用于内控建设中的每个阶段风险识别及评估（2011年5月31日前完成）（1）流程梳理：公司通过访谈、审阅文档或问卷调查等方式梳理流程，明确上述12大流程的相应子流程，完善组织架构和审批授权指引，根据统一的模板编制业务流程图。在流程梳理过程中，及时发现并记录有遗漏、杂乱、不符合相关法律、不相容职务未分离或权限设置不合理等内控缺失的工作流程，采取相应的措施规范操作流程，避免内部舞弊等重大风险出现，提高工作效率。（2）风险识别：结合企业内部控制基本规范及相关配套指引所列示的风险、公司客户审核要求、内审报告、提案改善、质量事故等初始资料，从风险发生的可能性和影响程度，对子流程中涉及到的每个控制点进行综合分析，识别固有风险，评价风险等级，形成风险清单。（3）文档记录：根据风险等级，识别流程中的关键控制活动，并在流程图中进行编号；编制流程描述、风险控制矩阵等内控文档对控制活动和控制点进行记录。（4）查找内控缺陷：将公司现有制度和控制措施流与风险清单进行比对，通过穿行测试、控制测试等手段，获取关于内控设计和运行有效性的证据，查找内控缺陷，形成风险数据库和内控风险诊断和评价报告。对发现的重大缺陷及时报告董事会及管理层，管理层对发现的内部控制缺陷应及时制定内控缺陷整改方案。确定内控缺陷整改方案（2011年6月30日前完成）（1）编制内部控制管理建议书：公司对发现的内控缺陷进行分类分析，确定内控缺陷的重要性程度，区分设计缺陷和运行缺陷，形成内部控制管理建议书。（2）制定内控缺陷整改方案：公司根据内部控制管理建议书和具体的控制缺陷，提出整改时间及责任部门、人员，形成内控缺陷整改方案。（3）提交审议：内控缺陷整改方案应当经过风险管理委员会审议通过。内控缺陷整改（2011年9月30日前完成）（1）落实整改、提交报告：责任部门将按照内控缺陷整改方案对发现的缺陷进行逐一整改，完善公司各项内部控制管理制度和控制措施，提交内控缺陷整改报告；内控项目组连同中介机构对缺陷整改情况进行运行有效性测试，形成内控运行测试报告。（2）编制内部控制手册：内控项目组根据风险清单和各项内控文档等资料，编制内部控制手册，并对手册内容进行实施辅导和推进执行。（3）编制内控自我评估工作指引：内控项目组编制内控自我评估工作指引，为下一步内控自我评价工作的开展奠定基础。（4）提交审议：内控缺陷整改报告内控运行测试报告内部控制手册及内控自我评估工作指引应报风险管理委员会审议。内控持续推进和内控自我评价公司在内控体系成果完成后，将予以持续推进，并根据辖区证监局要求，公司将于每季度结束后的10个工作日内，向证监局报送内控进展情况说明，并在定期报告中予以披露。每季度进展情况说明至少包括该季度内控建设工作的开展情况、与工作方案中计划进度的对照情况、差异原因以及拟采取的解决措施等。通过以上工作，公司初步建立健全了内部控制体系，有效提高了内控管理水平。第三：企业内控体系的“落地”和持续推进AB公司在完成内控体系初步建设完成后具体推行过程中，一些部门和员工或因对新的内控制度理解不够，或因由于长期工作习惯难以改变，或因内控制度变革触及自身利益而不愿遵循，使得内控制度在一段时期内一直都不能落到实处。如何真正将内控体系有效执行下去，并保持内控体系的持续完善和提高，是管理层迫切需要解决的难题。为了切实将内控制度体系真正“落地”，AB公司通过全方位内控培训、加强内控检查与监督、完善考核及激励机制以及借助第三方专业机构的持续辅导等措施，有力地保证了内控建设的持续维护，公司的内控建设取得了卓有成效的进展。具体来说，采取的主要措施有：（1）完善内控工作组织架构，成立内控部，强化审计部，建立推进内控工作的组织机构和运行机制。通过对国际大企业内控建设的现状和过程的全面考察，AB公司发现要实行有效的内部控制，必须建立相配套的组织架构。为此，公司由管理高层成立了内控工作领导小组，各子公司管理层对应的成立内控管理小组。在部门设置上，AB公司新成立了内控部，各下属子公司根据其规模大小设立内控部或内控负责岗，负责内控建设工作；在内控监督上：转变了原有的审计部的职责，增加了内控评价和检查的功能，并由公司董事会的审计委员会直接领导，在规模较大的子公司同时设立内部审计专员，负责子公司的内控自查。（2）注重内控环境建设，进行全方位内控培训。AB公司通过一系列的培训和辅导，提高各层级管理人员和基础员工对内控理念的认识，营造有利的内控工作开展的文化环境。首先，公司抓好以普及内控基本知识、营造内控实施环境的宣传工作。公司内控部组织编制了内控宣传册，在股份公司各职能部门和下属公司主要管理干部范围内发放学习。手册通过生动的案例和形象的语言帮助各级管理人员统一对内控的理解和认识，减少内控推进的思想阻力。其次，公司根据内控规范实施的进度，围绕内部控制的各个方面，开展了包括基础理念、管理制度、风险评估、内控评价、内控考核在内的各类集中的专题培训，对内控制度的编制和实施起了极大的推进作用。（3）建立内控推进的沟通机制，保证内控建设持续性和问题解决的及时性。自内控制度建设正式推进以来，为了保证推进的执行力，公司开展了全方位的信息沟通机制，实现了信息的实时传递，和通畅的上传下达。首先，AB公司建立了周例会制度。内控领导小组每周组织内控工作例会，由公司董事或审计委员会主任主持，参与者包括内控领导小组成员、内控部、审计部、财务部、各子公司的内控负责人等。总部各职能部门及各子公司必须在会上以书面形式上报“内控工作一周报告”，汇报内控的进展情况、及存在的问题、解决的方案、遇到的困难以及需要股份给予协助的事项，并由内控领导小组组长对相关的具体问题提出意见和工作指导，会后股份公司内控部负责对每家子公司进行回复，保证所有的问题都能得到及时有效的解决。所有会议记录和相关文件在会后抄送股份公司的总经理和董事会，并抄送相关子公司的管理层，保证管理高层对内控进展的时刻了解。其次，公司建立了内控体系的月度工作总结。每月末各个子公司的内控负责人就内控开展情况进行工作总结，由内控部在股份公司管理层、子公司管理层以及相关内控负责人之间进行通报，督促各子公司的内控执行力。最后，建立了重大项目的单独汇报机制。各子公司的内控负责人对于子公司内控建设中发现的重大问题要求及时向内控领导小组和股份内控部进行汇报，以实时处理可能的重大风险。此外，股份公司的内控部长、审计部长、财务总监的联系方式向子公司的所有内控负责人和内控专员公开，作为信息直接传递的一个重要渠道，帮助股份公司及时了解下属子公司内控风险。（4）完善内控评价检查机制，建立了多层次的内控检查体系。为了保证内控制度的落地和真正有效的执行，公司从各子公司到股份公司的内控部和审计部，再到外部独立的第三方中介，建立了全方位的内控评价和检查体系。股份公司内控部对各业务循环定期开展内控检查，通过发放内控调查清单以及内控专员的现场检查，发现子公司在内控建设中的不足，并及时下发风险联系函、风险关注函和风险警示函，以帮助子公司及时进行内控整改和完善。其中联系函主要是对子公司联系函件的回复为主；关注函主要是对子公司发生的业务表示关注，一般要求对方在一定时间内给出书面说明；警示函是在关注函的基础上对于重大风险或执行不到位的情况给予警告。股份公司审计部对各子公司每年开展两次的内控评价。为了实现评价的量化和标准化，审计部编制了内控评价底稿通过检查，对子公司形成内控建设的量化评价，并针对检查中发现的问题出具改进建议，并要求各子公司在规定的时间内予以整改，总部内控部对子公司整改措施和整改质量进行全程的监督，整改完成后，审计部及时予以复查，确保审计中发现的问题能及时整改。（5）将内控建设纳入绩效考核，通过奖惩机制实现内控的有效性。首先，为有效发挥各下属子公司的管理者在内控推进中的作用和积极性，自20××年开始，股份公司将审计部对各子公司的内控评价结果纳入其管理班子的绩效考核的指标中，明确了管理班子对于内部控制建设的责任和关键任务。通过这种绩效考核，激励管理层切实关注和推动内控的执行工作，从而为内控工作的推进建立良好环境。其次，对于股份公司向各子公司委派的重要人员也直接与内控建设挂钩。公司出台了委派内控人员绩效考核管理办法，对各个子公司的内控负责人实施全面的内控建设考核，明确了委派的内控人员的绩效考核指标、考核方式和奖惩机制，进一步促进了委派内控人员的工作落实力度；对于股份委派的财务负责人，也在其年度考核的总分中（100分制）纳入了相当比重的的内控建设的相关内容，从财务职能加强了对子公司的内控推进。（6）充分发挥专业中介机构力量。AB公司在开始建立内控体系即聘请的专业咨询公司提供咨询服务，在整个体系建立过程中，充分发挥咨询公司专业力量，并聘请专业顾问对公司人员进行培训，提高公司人员内控理念和技能。在内控体系初步建立之后，仍继续与咨询公司保持合作，借助咨询公司在专业及独立性方面优势，共同推进公司内控持续建设工作，在内控持续建设工作中，专业咨询公司提供了大量了专业意见和培训辅导服务，帮助公司完善各项成果，使得公司的内控持续建设取得了令人瞩目的成效。第四：企业内控体系建设过程的经验和启示在公司董事会、各层级管理人员和基础员工不懈努力下，公司内部控制体系的建设取得了一系列的良好效果，全公司各级员工的风险管理意识显著提高，对风险的理解和重视切入到各个业务和管理环；强化了各项经营活动的规范化操作，实现了重大经营活动的集体化决策机制，有效防范了决策风险；提高了公司的财务管理水平，保证了从产业公司到股份公司的各层级财务数据的真实公允以及资金、资产的安全；加强了公司对新经营环境下管理风险的关注；完善了公司的风险预警机制，提高了各职能部门对业务发生之后的潜在风险的持续监控、分析和应对。（1）公司董事会和最高管理层的重视和亲自参与。在AB公司董事会，无论是大股东委派董事、非执行董事还是独立董事，都非常重视和关心内部控制体系的建设工作。作为公司的大股东，集团对股份公司的内控建设给予了极大的理解和支持，有力的推动了产业公司的内控建设的进程。董事会的定期会议都将内部控制进展情况作为重要议题沟通，对于内部控制推进中出现的任何问题，董事会层面时刻给予相应和支持。在公司管理层方面，成立了内控领导小组，投入了大量的人力和财力，带领企业员工共同进行内部控制建设，为内部控制的推进提供了良好的内部环境，同时也激发员工的积极性和主动性，推动企业内部控制朝更顺利、更完善的方向发展。（2）对内部控制理念以及其与公司其他管理体系关系的认识统一。AB公司在内控推进的第一阶段大力推行高频率、大幅度的培训，帮助各级管理者以及基层员工了解内部控制的主要原理和价值，减少内控实施中的思想阻力，统一了内控体系与其他管理体系的认识。内部控制和风险管理不是一套孤立的新的体系和制度，而是一种基于“目标风险控制监督”框架的管理思路，这种管理思路可以融入到企业的所有其他的管理体系和管理制度中去，是对企业原有的管理制度的整合和提升。（3）制定了清晰明确的内部控制战略规划。公司根据自身实际情况，在订并提出了内部控制的五年两步走的规划，并将其纳入到公司的5年战略规划中。第一阶段（3年），通过自上而下的刚性要求，构建全面的统一化的集团内部控制架构，并通过理念灌输形成内控推进的文化范围；第二阶段（2年），通过自下而上的，自觉的内控体系的完善，形成各个产业公司的特色化内部控制。这一从强制到自觉，从理念普及到制度完善再到内控手册的表格化提升的建设步骤，使得公司从管理高层到基层员工的各级人员都明确内部控制不同时期的不同任务及不同发展状态，稳步推进，逐步加深，为内部控制的发展道路勾画了清晰路径。（4）因企制宜的实施方案。AB公司意识到对于集团化企业，内部控制不能是一刀切的，公司要实行内部控制，需要根据自身的业务类型、公司规模、公司所处阶段来选择适宜的内部控制方法。首先，公司在吸收了五部委内部控制基本规范和配套指引的相关精髓的基础上，结合企业经营实践，基于先主后次的重要性原则以及成本收益原则，提出了以若干业务循环作为公司内控建设的主要循环范围。其次，考虑公司的人员能力和素质，在内控成果上也没有一步到位册，而是以制度建设为基础，通过制度规范，到流程优化再到风险提炼，逐步实现内部控制的层层递进。