如何落实如何落实2010年内控与风险管理工作年内控与风险管理工作 - 全省内控队伍培训材料（一）全省内控队伍培训材料（一） MageaaMageaa于于20102010年年4 4月月1竞争竞争 创新创新 激情激情 诚信诚信四、我们做事要注意的方法与技巧四、我们做事要注意的方法与技巧 二、我们的任务是什么？二、我们的任务是什么？ 三、我们该怎么做？三、我们该怎么做？ 一、我们是谁？一、我们是谁？ 2竞争竞争 创新创新 激情激情 诚信诚信一、我们是谁？一、我们是谁？3竞争竞争 创新创新 激情激情 诚信诚信（一）、例子：司机与交警（一）、例子：司机与交警4竞争竞争 创新创新 激情激情 诚信诚信司机的司机的感觉：感觉：太保守太保守了！了！假如交通假如交通警示标识警示标识变化：变化：出了事出了事问题问题不大不大万一出了事万一出了事这里可没这里可没得治！得治！5竞争竞争 创新创新 激情激情 诚信诚信（一）、例子：司机与交警（一）、例子：司机与交警执法依据执法依据A作为交警，必须要有完善的交通规则，这是执法依据。执法权力执法权力B作为交警，必须能量定违规行为，并对违规进行处罚。交规宣贯交规宣贯C作为交警，必须组织交规培训和在道路上进行规则标识，并善用事故案例教育。善用工具善用工具D作为交警，必须充分利用车速检测仪器，红绿灯、拍照等工具。实时监督和控制道路交通及司机的行为。6竞争竞争 创新创新 激情激情 诚信诚信广东联通内控与风险管理委员会广东联通内控与风险管理委员会及委员会办公室控制及委员会办公室控制审审计计部部门门省公司省公司法律与法律与风险管风险管理部理部省公司省公司各专业各专业部门部门内控评审内控评审各分公司各分公司分公司内控与分公司内控与风险管理委员会风险管理委员会及委员会办公室及委员会办公室分公分公司各司各专业专业部门部门内控评审内控评审内控督导督导本专业内控内控督导（二）、公司现行内控与风险管理的组织体系（二）、公司现行内控与风险管理的组织体系7竞争竞争 创新创新 激情激情 诚信诚信（二）、公司现行内控与风险管理组织体系（二）、公司现行内控与风险管理组织体系第一道防线第一道防线A省市业务或专业部门，是所管业务风险的直接责任者直接责任者。第二道防线第二道防线B省市内控与风险管理委员会及办公室，是公司内控与风险管理工作的推动者和协调者推动者和协调者。第三道防线第三道防线C内部审计队伍，是公司内控与风险管理体系建设情况及工作效果进行客观、独立地监督和评价的检查者检查者。省市内控管理员省市内控管理员D省市内控管理员必须承上启下，联络左右承上启下，联络左右，直接对本单位内控与风险管理办公室汇报工作，同时协调本单位业务部门进行相关内控与风险管理工作的推进。8竞争竞争 创新创新 激情激情 诚信诚信（三）、省市内控队伍与省市业务队伍的关系（三）、省市内控队伍与省市业务队伍的关系省市内控与风险管理省市内控与风险管理队伍队伍A队伍包括省公司内控与风险管理委员会及办公室，各部门内控分管领导、内控管理员，分公司内控与风险管理委员会及办公室，分公司内控管理员。尽管兼职的居多，但队伍还是很壮大的。省市业务或专业部门省市业务或专业部门的专业队伍的专业队伍B省公司27个部门（包括新国信和广东华盛）、22个分公司（包括深圳物业）各专业或业务线条的岗位人员。业务结果与业务结果与内控结果内控结果C省市业务或专业部门的队伍对所管辖的业务结果负责，省市内控队伍对流程制度的健全和规范、风险点的有效控制负责。9竞争竞争 创新创新 激情激情 诚信诚信（四）、内控及风险管理工作与内控审计活动的关系（四）、内控及风险管理工作与内控审计活动的关系专题审计活动专题审计活动的开展的开展A审计活动的开展要求全省内控与风险管理管理队伍按照审计规定的方式方法，协调和组织本专题涉及本单位的专业部门完成规定审计动作。内控及风险管理工作内控及风险管理工作的开展的开展B内控与风险管理工作开展，同样需要全省内控与风险管理队伍，组织和协调本单位的专业部门根据审计结果、审计发现积极开展问题整改，内控制度流程的优化修改、固化宣贯、以及按规范落实执行等工作。10竞争竞争 创新创新 激情激情 诚信诚信二、我们的任务？二、我们的任务？11竞争竞争 创新创新 激情激情 诚信诚信（一）、以流程为导向的（一）、以流程为导向的ERPERP设计蓝图中对内控的考虑设计蓝图中对内控的考虑12竞争竞争 创新创新 激情激情 诚信诚信（二）、（二）、ERPERP设计蓝图中对企业业务流程和风险控制点的直观描述设计蓝图中对企业业务流程和风险控制点的直观描述13竞争竞争 创新创新 激情激情 诚信诚信（三）、每个风险控制点必对应措施及证据等风险控制矩阵信息（三）、每个风险控制点必对应措施及证据等风险控制矩阵信息14竞争竞争 创新创新 激情激情 诚信诚信（四）、企业业务流程可用简单直观的文档记录并表现（四）、企业业务流程可用简单直观的文档记录并表现15竞争竞争 创新创新 激情激情 诚信诚信（五）、企业业务流程可通过系统工具完成系统实现（五）、企业业务流程可通过系统工具完成系统实现16竞争竞争 创新创新 激情激情 诚信诚信（六）、为什么工作流程需要用系统工具来实现？（六）、为什么工作流程需要用系统工具来实现？企业流程以固化的企业流程以固化的系统工具来实现，减少系统工具来实现，减少了人为干预。了人为干预。因因此目标的实现就好像，将马路上的双黄线改变为绿化隔离带（或栏杆隔离）。画双黄线的时候，不自觉的司机依然会驾车穿越，而用绿化带或栏杆隔离后，想穿越的司机无论技术多高依然没法翻过去的。此改变是由“情不情愿”到“能不能够”的提升，从而实现制度规范非个人主观意愿能左右，这正是我们需要的。17竞争竞争 创新创新 激情激情 诚信诚信（七）、如何完善风险控制矩阵并将其直观描述并记录？（七）、如何完善风险控制矩阵并将其直观描述并记录？18竞争竞争 创新创新 激情激情 诚信诚信（八）、风险控制矩阵如何用系统来实现以防人为干预或跳过？（八）、风险控制矩阵如何用系统来实现以防人为干预或跳过？19竞争竞争 创新创新 激情激情 诚信诚信（九）、总结我们的任务（九）、总结我们的任务具体工作任务描述具体工作任务描述总（1 1）将每个风险控制点（）将每个风险控制点（R R）在企业业务流程中清晰标识出来；）在企业业务流程中清晰标识出来；（2 2）将每个风险控制点对应的风险控制矩阵记录，做到描述）将每个风险控制点对应的风险控制矩阵记录，做到描述简单和直观；简单和直观；（3 3）将风险控制矩阵的相关控制措施）将风险控制矩阵的相关控制措施(C)(C)、控制措施记录（、控制措施记录（D D）等用系统工具实现，防止人为干预或被人置之不理。等用系统工具实现，防止人为干预或被人置之不理。20竞争竞争 创新创新 激情激情 诚信诚信三、我们现在该怎么做？三、我们现在该怎么做？21竞争竞争 创新创新 激情激情 诚信诚信（一）、自上而下、由面到点的工作思路（一）、自上而下、由面到点的工作思路系统固化系统固化执行检查执行检查培训宣贯培训宣贯修改完善修改完善控制矩阵控制矩阵对照业务流程标识风险点汇总流程中所标识风险点逐一完善各风险对应的风险点类别、控制目标类型、控制措施、控制方法、控制记录等，形成完善的风险控制矩阵。集中培训现场辅导多方式的流程及控制矩阵发布对标企业对标企业业务流程业务流程将控制固化到系统工具中不能固定为系统控制的实施人为控制与监督以通报、扣分、责任追究等手段督促各单位严格执行。基本不可行！基本不可行！22竞争竞争 创新创新 激情激情 诚信诚信1.1 1.1 六大因素决定了自上而下、由面到点的工作策略行不通六大因素决定了自上而下、由面到点的工作策略行不通由上到下由上到下全面全面铺开铺开不不可行可行融合融合后的新联通还有相当后的新联通还有相当多制约发展的因素存在多制约发展的因素存在控制矩阵控制矩阵记录和描述记录和描述存在问题存在问题内控规范内控规范与业务流程与业务流程严重脱节严重脱节业务部门业务部门无暇在内控无暇在内控上投入精力上投入精力总部统一总部统一的的矩阵模板矩阵模板未再明确未再明确将控制固化将控制固化到系统工具到系统工具的方式方法的方式方法还没有还没有企业企业组织等组织等变化太快变化太快各业务和专业部门、各业务和专业部门、各分公司经营任务压力、各分公司经营任务压力、建设任务压力、维护建设任务压力、维护任务压力极大。任务压力极大。23竞争竞争 创新创新 激情激情 诚信诚信（二）、自下到上、由点到面的工作开展思路（二）、自下到上、由点到面的工作开展思路发现问题发现问题分析问题分析问题整改问题整改问题将发现的老问题罗列出来参与内控审计，用严谨的审计方法发现新问题原因分析原因归类各类原因涉及到的哪些流程和内控制度。业务问题整改内控制度缺陷问题整改内控缺陷内控缺陷修改补充修改补充内控制度缺陷内控制度设计不合理控制执行人未按要求执行控制执行人未获得必要的授权或技能未留下规定的记录文档。勉强可行！勉强可行！24竞争竞争 创新创新 激情激情 诚信诚信2.1 2.1 发现问题发现问题20092009年全年审计结果归纳出的四方面年全年审计结果归纳出的四方面2020个问题点值得关注！个问题点值得关注！25竞争竞争 创新创新 激情激情 诚信诚信2.12.1、发现问题、发现问题 2009年9月和2010年2月，公司内部审计部门针对信息系统内部控制专项审计结果表明：公司收入的“跑、冒、滴、漏”形势比较严峻。此次审计涉及到业务范围仅包括语音增值、固定电话、个人宽带、专租线共四项业务，该四项业务在公司全业务占比并不高，但实际的网业差异数据却是巨大的，其具体表现均是业务平台（系统）用户数据比CRM系统多，其中语音增值业务（包括移网和固网）156.97万条；个人宽带2.21万；无主话单386.76万条；专租线2120条。由于这些差异导致2009年全年收入损失约8000多万元。 最新针对信息系统内部审计结果值得关注！最新针对信息系统内部审计结果值得关注！26竞争竞争 创新创新 激情激情 诚信诚信 2010年3月31日至4月2日总部召开的审计工作会议部署的四大项专题内控审计为：（1）收入的业务经营全过程管控专题评审；（2）代理商及代理佣金管理专题评审；（3）付现成本全过程管控专题评审；（4）资金资产及资本性开支去管控专题评审。已启动的接入间宽带资源审计及此次会议部署的总部统一规定的四大已启动的接入间宽带资源审计及此次会议部署的总部统一规定的四大专题内控评审肯定会发现或者再次提出新旧问题点！专题内控评审肯定会发现或者再次提出新旧问题点！2.12.1、发现问题、发现问题27竞争竞争 创新创新 激情激情 诚信诚信2.12.1、发现问题（小结）、发现问题（小结）以领导关心关注的以领导关心关注的主要环节或问题点切入主要环节或问题点切入A不同的时期，面临不同的经营形势，公司领导会提出一些重要的工作内容或问题整改要求。在认真理解领会后快速部署实施。以审计发现的以审计发现的问题点切入问题点切入B过去和现在均在进行持续的内控评审，每次评审均会发现若干问题，根据审计发现和审计结果，组织实施整改。 以影响公司发展的以影响公司发展的问题点切入问题点切入C省市内控与风险管理队伍的位置和角色，决定了可以从全局的角度来观察和审视目前公司发展面临的问题，并主动提交报告和建议，在得到公司领导支持后，组织部署落实。 28竞争竞争 创新创新 激情激情 诚信诚信2.22.2、分析问题、分析问题问题原因？问题原因？A（具体问题具体分析）。原因归类原因归类B（具体问题具体分析）。 各类原因涉及到的各类原因涉及到的业务流程和内控制度业务流程和内控制度是哪些？是哪些？C（具体问题具体分析）。 29竞争竞争 创新创新 激情激情 诚信诚信2.32.3、整改问题、整改问题业务层面整改业务层面整改A（具体问题具体分析）。内控制度层面整改内控制度层面整改B（具体问题具体分析）。 30竞争竞争 创新创新 激情激情 诚信诚信2.42.4、内控缺陷修改和补充、内控缺陷修改和补充内控制度内控制度建立缺陷建立缺陷A又分为：内控制度缺失和内控制度设计不合理两种。内控制度内控制度执行缺陷执行缺陷B又分为：控制执行人未按要求执行；控制执行人未获得必要的授权或技能；未留下规定的文档记录三种情况。 31竞争竞争 创新创新 激情激情 诚信诚信（三）举例说明：以宽带业务三方资料核对为例（三）举例说明：以宽带业务三方资料核对为例发现问题发现问题A2009年7月审计报告（广东联通【2009】903号文），明确指出了该问题的表现形式和内容。分析问题分析问题B审计报告同时也进行了原因分析和整改要求。包括宽带业务开通、关闭操作流程不规范，系统间资料核对机制不健全等。整改问题整改问题C客服部牵头在业务层面开展了宽带业务的三方资料核对工作，采取月清月结，实际业务结果从差异2万多降到了2700多户。但，宽带业务三方资料核对的流程制度还没完全明确，若没有将现在可行的业务操作行为固化为业务流程和内控制度，则极易因人而变。32竞争竞争 创新创新 激情激情 诚信诚信（三）举例说明：以宽带业务三方资料核对为例（三）举例说明：以宽带业务三方资料核对为例内控缺陷的内控缺陷的修改与补充修改与补充D我们内控办就“宽带的三方资料核对”问题查询了企发部牵头完成的工作流程，也查询了内控办以前做好的内控规范，无论是工作流程还是风险控制矩阵均没有对此工作的相关流程和内控措施进行描述。所以关于宽带业务流程和内控制度是不够完整的，且可操作性也不强。因此，在这个工作的流程制度层面的任务就是：（1）增加三方资料核对业务流程；（2）增加三方资料核对的风险控制矩阵。33竞争竞争 创新创新 激情激情 诚信诚信3.13.1、例子第一步：增加宽带的三方资料核对的工作流程、例子第一步：增加宽带的三方资料核对的工作流程资料提取资料提取,每月每月5日前日前数据核对分析数据核对分析, ,每月每月1010日日系统间数据差异率通报系统间数据差异率通报阶段阶段S S从营帐系统从营帐系统中提取原始中提取原始用户资料用户资料信息化部信息化部*岗岗从从IPIP网管系网管系统中提取原统中提取原始用户资料始用户资料运维部运维部*网网管岗管岗S S网管表与营网管表与营帐表进行两帐表进行两表资料核对表资料核对客服部客服部*岗岗网管表与营网管表与营帐表进行两帐表进行两表资料核对表资料核对地市分公司地市分公司*岗岗系统间数据系统间数据差异率地市差异率地市排名及通报排名及通报客服部客服部*岗岗enend d34竞争竞争 创新创新 激情激情 诚信诚信3.23.2、例子第二步：在宽带的三方资料核对的工作流程中标识风险点、例子第二步：在宽带的三方资料核对的工作流程中标识风险点资料提取资料提取,每月每月5日前日前数据核对分析数据核对分析, ,每月每月1010日日系统间数据差异率通报系统间数据差异率通报阶段阶段S S从营帐系统从营帐系统中提取原始中提取原始用户资料用户资料信息化部信息化部*岗岗从从IPIP网管系网管系统中提取原统中提取原始用户资料始用户资料运维部运维部*网网管岗管岗S S网管表与营网管表与营帐表进行两帐表进行两表资料核对表资料核对客服部客服部*岗岗网管表与营网管表与营帐表进行两帐表进行两表资料核对表资料核对地市分公司地市分公司*岗岗系统间数据系统间数据差异率地市差异率地市排名及通报排名及通报客服部客服部*岗岗enend dR1R1R2R235竞争竞争 创新创新 激情激情 诚信诚信3.33.3、例子第三步：根据工作流程标识的风险点对应补充风险控制矩阵、例子第三步：根据工作流程标识的风险点对应补充风险控制矩阵资料提取资料提取,每月每月5日前日前数据核对分析数据核对分析, ,每月每月1010日日系统间数据差异率通报系统间数据差异率通报阶段阶段S S从营帐系统从营帐系统中提取原始中提取原始用户资料用户资料信息化部信息化部*岗岗从从IPIP网管系网管系统中提取原统中提取原始用户资料始用户资料运维部运维部*网网管岗管岗S S网管表与营网管表与营帐表进行两帐表进行两表资料核对表资料核对客服部客服部*岗岗网管表与营网管表与营帐表进行两帐表进行两表资料核对表资料核对地市分公司地市分公司*岗岗系统间数据系统间数据差异率地市差异率地市排名及通报排名及通报客服部客服部*岗岗enend dR1R1R2R2流程编号：流程编号：GDLT_07GDLT_07。01.0301.03流程名称：宽带三方资料核对流程流程名称：宽带三方资料核对流程风险点编号：风险点编号： GDLT_07GDLT_07。01.03_R201.03_R2风险类别：财务报表失真（收入损失）风险类别：财务报表失真（收入损失）风险描述：系统数据提取错误风险描述：系统数据提取错误控制目标类型：经营效果与效率控制目标类型：经营效果与效率控制目标：保证准确率控制目标：保证准确率控制措施：控制措施：GDLT_07.01.03_C2GDLT_07.01.03_C2控制方法：手工控制方法：手工( (系统？）系统？）控制证据编号：控制证据编号：GDLT_07.01.03_D2GDLT_07.01.03_D2控制措施文控制措施文档档控制证据文控制证据文档档36竞争竞争 创新创新 激情激情 诚信诚信（四）、总结：逐项梳理，一个一个修补内控缺陷（四）、总结：逐项梳理，一个一个修补内控缺陷现行内控规范存在的现行内控规范存在的四大共性缺陷四大共性缺陷A（1）与工作流程脱节的缺陷；（2）风险控制矩阵极其复杂的缺陷；(搞科学研究，当把简单的问题复杂化，搞管理，当把复杂的问题简单化！）（3）控制方法全为手工控制的缺陷；（4）内控规范宣贯的缺陷，当与工作流程一并宣贯，比如在OA公布的工作流程里，应该在风险点标识处设置热链接，各岗位人员查询时可直接跳转到风险控制矩阵，风险控制矩阵中的对应控制措施、控制证据也当设置为热链接，实现具体措施和证据内容跳转。每做一个项目，均应该完成以上四步工作。每做一个项目，均应该完成以上四步工作。如此才能将已发现问题标本兼治，同时逐步如此才能将已发现问题标本兼治，同时逐步健全内控制度规范！健全内控制度规范！37竞争竞争 创新创新 激情激情 诚信诚信（四）、（四）、总结：逐项梳理，一个一个修补内控缺陷总结：逐项梳理，一个一个修补内控缺陷不求全面开花不求全面开花但求局部结果但求局部结果B以上所罗列的问题点，在各业务部门、各分公司肯定都不同程度地存在，很多问题是老问题，是屡查屡犯，清了又乱，其中只要任何一项若得到了重视，做到了问题分析到位、措施整改到位、制度规范到位，肯定早实现了标本兼治。由点到面由点到面由局部到整体由局部到整体C冰冻三尺非一日之寒，要彻底除冰，还得一块一块来，若干问题、若干项目，当愚公移山，做到完成一项，成效一项，固化一项。比如建立单个业务的成功模式，选择试点地市深入开展工作，建立单个地市的成功样板，并以地市的成功样板和单一业务的成功模式为基础，将工作快速推进至全省、全业务领域。38竞争竞争 创新创新 激情激情 诚信诚信四、我们做事的方法和技巧四、我们做事的方法和技巧39竞争竞争 创新创新 激情激情 诚信诚信借力借力拉虎皮做大旗拉虎皮做大旗A高度决定影响力，内控与风险管理工作没有领导的支持，基本很难推行，推行某项工作，你必须要让老板觉得“有利可图”，就如刚启动的“接入间宽带资源审计”工作一样，你得跟你的老板说此项目的顺利实施，可带来（1）提升发展放号的效率与效果；（2）提升固网接入网维护抢修的准确及时；（3）减少重复投资减少工程量；（4）缩小三方资料差异，避免收入损失。40竞争竞争 创新创新 激情激情 诚信诚信用权用权通报、考核监督权通报、考核监督权B根据内控管理办法、风险管理办法内控办对相关业务或专业部门有监督权、通报考核权。必要时可发整改通知书，黄牌、红牌警告，并扣KPI绩效分。41竞争竞争 创新创新 激情激情 诚信诚信42竞争竞争 创新创新 激情激情 诚信诚信融入融入目标一致、协同作业目标一致、协同作业C内控与风险管理工作以财务真实性、经营管理的效果和效率为目的，其目标与各单位完成经营目标、网络建设目标、网络运维目标是一致的。无论是专题项目的发现问题、整改问题、修改内控规范，还是均需系统性的内控规范修订，均需要相关业务部门去执行落实，相关业务部门的认可程度、支持力度直接决定了内控与风险管理的推行的效率和效果。43竞争竞争 创新创新 激情激情 诚信诚信专业专业专业决定了你的话语权专业决定了你的话语权决定了能不能让人信服决定了能不能让人信服D内控与风险管理是一门新的管理学科，其专业领域与企业其他业务和专业部门不同，我们这支队伍当认真学习广东联通风险管理办法、广东联通内控管理办法、广东内控与风险管理工作指引，不断提升内控与风险管理的专业知识水平。44竞争竞争 创新创新 激情激情 诚信诚信 工作有两件事很重要，一是选对行业，二是选对老板（或者说岗位）。蓝海战略一书除了给人讲什么是红海、什么是蓝海外，还告诉了我们一个道理，那就是“现在好的东西，将来不一定好，现在不好的东西，将来不一定不好”。我本科是学自动化的，90年代初本科毕业时面临三个选择：一是去中石化武汉公司，二是去四川省电力局，三是读邮电院校研究生。当时的考虑很不成熟或者说幼稚，我当时想石油工作环境多脏啊，电老虎多危险啊，当时通信行业效益又好，个人觉得很时尚，于是我选择了第三个。近10多年（再过两年就满20年）过去了，还真印证了“现在好的东西，将来不一定好，现在不好的东西，将来不一定不好”的道理。 45竞争竞争 创新创新 激情激情 诚信诚信