全面风险管理与内控体系建设--内控体系建设操作手册(华彩咨询集团)

全面风险管理与内控体系建设 ——内控体系建设操作手册 中国最强集团战略咨询服务 中国最强集团管控咨询服务 中国最强人力资源管控咨询服务 中国最强集团风险与内控咨询服务 目 录 2一 业务流程及 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 框架梳理 21 概述 32 业务流程及制度框架梳理方法 3二 visio流程图绘制 31．流程图的概念 32．流程图的作用 33．visio简介 34．用visio绘制流程图的步骤 3三 流程文档编制 31．流程名称 32．流程责任部门与责任岗位 33．流程目标 34．流程适用范围 35．流程相关制度 36．流程图 37．流程描述 38. 流程风险点及对应控制点 39．流程缺陷及建议 310．检查资料 3四 流程层面风险管理数据库建立 3五 流程层面控制数据库建立 3六 流程缺陷数据库建立 3七 内控制度缺陷数据库建立 31．现有制度与流程框架对标 32．现有制度与优秀企业制度对标 33．与国内风险管理与内部控制标准对标 34．企业运营过程中的不顺畅 35．内部审计 一 业务流程及制度框架梳理 1 概述 1．业务流程的概念 业务流程是为达到特定的价值目标而由不同的人分别共同完成的一系列活动。活动之间不仅有严格的先后顺序限定，而且活动的内容、方式、责任等也都必须有明确的安排和界定，以使不同活动在不同岗位角色之间进行转手交接成为可能。 2．流程的特点 把一些基本要素串联起来：流程的输入资源、流程中的若干活动、流程中的相互作用（例如串行还是并行。哪个活动先做，哪个活动后座，即流程的结构）、输出结果、顾客、最终流程创造的价值。称其为“流程的6要素”。 不论用什么样的语言来表达，一个完整的流程基本包括这几个要素。 流程不是解决为什么而做、为什么这样做而不那样做的问题，而是解决怎么做的问题。 分析流程的6要素，我们可以发现流程具有以下特点： 目标性：有明确的输出（目标或任务）。这个目的可以是一次满意的客户服务，也可以使是一次及时的产品送达，等等。 内在性：包含于任何事物或行中。所有事物与行为，我们都可以用这样的句式来描述，“输入的是什么资源，输出了什么结果，中间的一些列活动是怎样的，流程为谁创造了怎样的价值”。 整体性：至少有两个活动组成。流程，顾名思义，有一个“流转”的意思隐含在里面。至少有两个活动，才能建立结构或者关系，才能进行流转。 动态性：从一个活动到另一个活动。流程不是一个静态的概念，它按照一定的时序关系徐徐展开。 层次性：组成流程的活动本身也可以是一个流程。流程是一个嵌套的概念，流程中的若干活动也可以看做是“子流程”，可以继续分解若干活动。 结构性：流程的结构可以有多种表现形式，如串联、并联、反馈等。这些表现形式的不同，往往给流程的输出效果带来很大的影响。 3．流程梳理的概念 很多读者熟知但是会混淆的三个概念：BPI流程优化、BPR流程重组和流程梳理。 BPR（业务流程重组）则是对企业流程大规模和彻底的变革，甚至有可能是推倒重来。由于BPR过于剧烈，阵痛太强，已经逐步被理性的企业抛弃。 BPI（业务流程优化），更多的强调局部、渐进性性的针对现有流程进行小规模的改善，而不是彻底性的否定或颠覆，这种工作方法更适合于企业自我开展的内部流程优化工作。 而这里所说流程梳理的概念，更适用于作为一个阶段性活动。流程梳理是从企业整体业务流程明晰的目的出发，对当前流程进行充分显性化的工作方式。流程梳理是建立企业内部控制体系的基础和前提。 2 业务流程及制度框架梳理方法 一般来说，企业的各种业务流程可以划分为三个层级。 一级流程：一般以管理职能划分，例如人力资源管理、财务管理、生产管理、法律事务管理、综合管理及公司治理等。 二级流程：在一级流程的基础上，按照业务管理条线划分，例如人力资源管理可以划分为人力资源规划管理、人事管理、绩效管理、薪酬福利管理及员工培训管理等，而财务管理可以划分为预算管理、财务 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 管理、税务管理及资金管理等。 三级流程：在二级流程的基础上，进一步划分到具体的业务单元，例如人力资源规划管理可以划分为：机构调整及部门职能的制定流程、年度人力资源 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 制定流程及员工岗位职责制定流程，人事管理可以划分为招聘计划制定流程、校园招聘管理流程、社会招聘管理流程、员工入职管理流程、离职管理流程、劳动 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 管理及人事档案管理等。 要注意的是，一级流程和二级流程是很容易进一步划分的，三级流程是不能进一步划分的，要细分到每个操作步骤。 业务流程梳理的具体方法为： 1．部门负责人访谈。访谈的主要内容为本部门负责的具体工作内容及主要职责。通过部门负责人访谈划分出该部门主责的一级流程和二级流程。 2．部门职员访谈。访谈的内容为该职员负责的具体工作内容、主要职责及可参照的企业现有制度。通过部门基层职员的访谈，将二级流程进一步细分成三级流程。 3．部门负责人及职员确认并修订。将已划分出的三级业务流程交给部门负责人和基层职员进行确认，并完成最终修订。 4．为已梳理出的流程进行编号。编号规则为： 流程编号公式：一级流程英文单词简写+二级流程编号+三级流程编号。 例如：一级流程为财务管理模块，取英文简写FM；若为人力资源管理模块，取英文简写HRM；若为法律事务模块，取英文简写LEA。二级流程和三级流程按以上公式规则编号。 5．确定流程类型。流程类型分为已建立流程和待建立流程。 6．确定主责部门。主责部门指本流程主要的执行部门，可以是一个，也可以是多个。 7．相关制度对标。根据集团现有的全套制度，与本流程进行对标，找出对本流程具有规范或指导性作用的制度。若某个流程没有可对标制度，则做上标记（即为内控制度缺失）。 业务流程与制度框架模板如表1所示，示例如表2所示。 表1 业务流程与制度框架模板 流程编号 一级流程 二级流程 三级流程 流程类型 流程主责部门 相关制度或文件 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 表2 业务流程及制度基础框架示例 流程编号 一级流程 二级流程 三级流程 流程类型 流程主责部门 相关制度或文件 STM 战略管理 STM .01 公司战略管理 STM .01.01 公司总发展战略制定流程 已建立 战略规划部 《XX公司战略管理办法》 STM .01.02 公司职能（业务）子战略制定流程 已建立 战略规划部 《XX公司战略管理办法》 STM .01.03 子公司战略制定流程 已建立 战略规划部 《XX公司战略管理办法》 STM .01.04 公司发展战略的实施与评价流程 已建立 战略规划部 《XX公司战略管理办法》 FIM 财务管理 FIM .01 资金管理 现金收款及盘点管理流程 已建立 财务部 《XX公司货币资金管理暂行办法》 FIM .01.01 固定资产付款管理流程 已建立 财务部 《XX公司经费管理办法》 FIM .01.02 非经费类付款管理流程 已建立 资本运营部 无 FIM .01.03 现金借款管理流程 已建立 财务部 无 FIM .01.04 经费管理流程 已建立 财务部 《XX公司经费管理办法》 FIM .01.05 年度资金计划编制流程 待建立 资本运营部 《XX公司货币资金管理暂行办法》 FIM .01.06 资金使用效果分析和评价流程 待建立 资本运营部 《XX公司货币资金管理暂行办法》 FIM .01.07 银行账户管理流程 已建立 资本运营部 《XX公司货币资金管理暂行办法》 FIM .02 资产管理 FIM .02.01 固定资产折旧及盘点流程 已建立 财务部 《XX公司固定资产管理办法》 FIM .03 产权管理 FIM .03.01 产权登记管理流程 已建立 财务部 无 FIM .03.02 产权交易管理流程 已建立 财务部 无 FIM .03.03 资产评估流程 已建立 财务部 无 FIM .04 财务分析 FIM .04.01 财务报表分析流程 已建立 财务部 《XX公司财务结账和报告制度》 FIM .04.02 重点项目财务监管流程 已建立 财务部 《XX公司财务结账和报告制度》 FIM .04.03 财务预警管理流程 待建立 财务部 无 …… 附：流程编码对照表 序号 一级流程 英文全称 缩写 1 公司治理 Corporate Governance COG 2 管理结构 Management Structure MAS 3 战略管理 Strategic Management STM 4 生产经营计划 Production and Business Programs PBP 5 运营监控 Business Control BUC 6 公司报告 Corporate Report COR 7 法律事务 Legal Affairs LEA 8 安全质量环保 Safety ，Quality and Environmental protection SQE 9 人力资源管理 Human Resources Management HRM 10 财务管理 Financial Management FIM 11 资本运营 Capital Management CAM 12 国内业务管理 Domestic Business Management DBM 13 国际业务管理 Foreign Business Management FBM 14 采购管理 Purchasing Management PUM 15 合同管理 Contract Management COM 16 综合管理 Integrated Management ITM 17 信息管理 Information Management IFM 流程编号说明：一级流程用3位英文缩写标识，二级流程用英文缩写和2位顺序码标识，三级流程在二级流程编号的基础上用".X"表示,X表示三级流程的顺位。如一级流程为“战略管理”，其下面的第一个流程为“公司战略管理”，其下的第一个三级流程为“公司发展战略规划制定”，则编码为：STM01.01 二 visio流程图绘制 1．流程图的概念 流程图是以可视的方式，运用特定符号展示某一运营/流程的过程的一种符号，其意义在于帮助人们认识重要交易是如何生成、记录，获得授权并被处理和汇报的。流程图对业务流程中可能出现的环节及所存在的控制环节进行描述，有助于识别步骤和控制，有助于与其他流程图相联系来解释相关的控制活动，有助于发现收集和处理数据，有助于分离可能出现问题的区域，有助于向不熟悉的人解释流程，便于指导工作的开展以及业务操作的规范化。 2．流程图的作用 1) 明确每个流程步骤的执行部门及岗位。 2) 明确每个具体步骤的操作内容。 3) 明确每个步骤的输入和输出文档。 4) 明确流程中的控制点。 3．visio简介 Microsoft Office Visio 2007是当今最优秀的绘图软件之一，它将强大的功能和易用性完美结合，可广泛应用于电子、机械、通信、建筑、软件设计和企业管理等众多领域。本书所指内部控制体系中的流程图，主要依靠visio绘制。 4．用visio绘制流程图的步骤 （1）部门负责人及职员访谈 通过对部门负责人及职员的访谈，详细了解每个三级流程的具体操作步骤、每个步骤的操作方法及注意事项等，访谈中特别要关注和识别流程中的控制点（参考下述控制点识别方法），例如某审核步骤、审批步骤、某个会议，要在访谈中充分了解这些控制点的审核关注内容、审批关注内容或会议讨论内容及关注点等。 （2）收集该流程输入和输出的一套文档（即审计证据） 通过分析一个流程中输入和输出的一套文档，可以辅助绘制流程图。 （3）绘制流程图 流程图上方：写上该流程的名称 流程图左方：用visio中的方框绘制两个并排的竖式方框，左边的方框中写主责部门，如人力资源部、财务部或生产部等；右边的方框中写该部门的岗位名称，如部长、经理或职员等；若为总经理、分管领导或董事长等高层管理者，则不分主责部门和岗位名称，都写总经理、分管领导或董事长。（参见下述示例） 流程图下方：按流程顺序排列出该流程中产生的各种输入或输出文档，即审计证据。其中数字代表流程步骤，文字为该文档的简称。 Visio常见流程图符号的含义如表3所示。 表3 Visio流程图符号对照表 符号 操作名称 简介说明 选择 选择状态。 准备 流程开始的准备工作。 进程 流程中具体步骤。框中数字为步骤编号，文字为步骤名称。 虚线组合框 流程中同时进行的步骤。 连线 流程节点间的连接。 判定 条件判断。框中编写判定条件。表示对上一步骤进行判定，根据判定结果，下一步骤将分为两条支线。 子流程 表示流程与流程之间的关联关系；流程中出现子流程，理解为流程的输入或输出。 文档 流程输入、输出等相关的文件。 文字 在连线上加入说明文字。 结束符 表示流程结束。 控制点提示 表示该步骤为控制点，框中数字为控制点编号。 缺陷提示 若存在流程控制点缺陷，在关键控制点旁加上缺陷提示语。 （4）控制点标示。控制点指的是流程中的控制点。 在流程图中，用三角形放在流程步骤的右上方并标上数字，表示该步骤是控制点。 流程中的控制点识别方法：假设去掉这个流程步骤，若该流程仍能完整的进行下去，则该步骤为控制点；若该流程到此卡住无法再进行下去，则该步骤不是控制点，仅为一般步骤。例如某个流程中存在几个审核、审批步骤，去掉某一个或某几个审核、审批步骤，该流程都能继续进行下去，但会存在风险隐患，因此，这类审核、审批步骤就是控制点。 三 流程文档编制 流程文档是内部控制体系中的基础文档，也是核心文档，其模板和示例请参见表8、表9和表10。流程文档包含以下内容： 1．流程名称 即该流程的全称。 2．流程责任部门与责任岗位 即该流程的主责部门及该流程的主责岗位，这里可由客户填写。 3．流程目标 指本流程应达到的经营、管理或风险控制目标，用一两句话进行概括性描述。（参考下面表9、表10的示例。） 4．流程适用范围 指本流程适用的集团、公司、部门或管理条线等。 5．流程相关制度 指本流程对应的集团或子分公司已制定的能够对本流程起到规范或指导性作用的内控制度。除了要列示制度名称和编号外，还应对该制度对于本流程的指导性内容进行简述。 6．流程图 即为用visio绘制的该流程的流程图。按实际客户要求可以绘制成横式或竖式流程图，但流程图的结构不变。 7．流程描述 流程描述方法：用规范化的语言对流程中的各步骤进行描述，步骤（Step）大写字母“S”表示；标记出流程中的控制点（Control）步骤，用大写英文字母“C”表示。 例如，步骤1为一般流程步骤，标记为【S01】，步骤04为第1个控制点步骤，标记为【S04】【C01】；步骤05为第2个控制点步骤，标记为【S05】【C02】。 流程中的控制点识别方法：假设去掉这个流程步骤，若该流程仍能完整的进行下去，则该步骤为控制点；若该流程到此卡住无法再进行下去，则该步骤不是控制点，仅为一般步骤。 例如，某个流程中存在几个审核、审批步骤，去掉某一个或某几个审核、审批步骤，该流程都能继续进行下去，但会存在风险隐患，因此，这类审核、审批步骤就是控制点。 8. 流程风险点及对应控制点 包括风险点描述、风险分类、风险等级、造成影响描述和对应控制点。 （1）风险点描述 流程中的风险点识别方法：以流程目标为出发点，从流程步骤走向进行风险思考，结合控制点识别出风险点。对流程中的风险点识别，需要有一定的风险管理基础知识、足够敏锐的风险意识和一定的做流程文档经验。 P是“Process”（流程）的简写，R是risk（风险）的简写，PR01表示本流程中的第一个风险点，PR02表示本流程中的第二个风险点，以此类推。 C是“Control”（控制）的简写，C01表示本流程中的第一个控制点，C02表示本流程中的第二个控制点，以此类推。 在本过程中需要特别注意以下几点： 很多流程中的最后一个步骤往往是资料归档、文案归档之类，这也是控制点，属于事后控制，在流程文档编制过程中容易被遗漏。 风险点与控制点不是一一对应的，一个风险点可能只对应一个控制点，也可能对应多个控制点。 在绘制流程图和编制流程文档的过程中，应先识别风险点，后识别控制点，这是为了能够不遗漏的识别出流程中的控制缺陷。若某一风险点没有任何控制点与之对应，即该风险点没有得到控制，因此该流程中存在控制缺陷，需要对流程进行优化甚至重组，确保每个风险点都有相应的控制点与之对应；或者改进控制点的控制措施，确保每个控制点都能有效的控制对应的风险点。 流程控制缺陷往往不是流程本身，而是员工们的执行不到位或执行不力。 （2）风险分类 按照风险发生后的可能结果，分为机会风险（可能有好的结果，也可能有坏的结果）和纯粹风险（只可能造成坏的结果），在此结合实际情况对该风险打“√”。 按照五大类风险可划分为战略风险、财务风险、市场风险、运营风险、法律风险。在此结合实际情况对该风险打“√”。这里要注意的是：一个风险点它可能是单一的某一类风险，也可能是两类以上风险。例如某个风险点它既是战略风险，也是运营风险。可参见下述表10及表10的流程文档示例。 （3）风险等级 风险等级的划分依靠两个维度来判定，即风险发生可能性和风险发生影响程度。风险发生可能性分为极低、较低、中等、较高、极高五个等级；风险发生影响程度分为轻微、较低、中等、重大、灾难性五个等级。 关于风险发生可能性，要根据集团所在行业及自身经营情况来判定，可参照“表5风险发生可能性评分标准”。 关于风险发生造成影响，要根据该风险内容，结合集团所在行业及自身经营情况来判定，可参照“表6风险影响程度评分标准”。 注意：对不同种类风险的风险发生可能性及影响程度的判定因素，应结合企业实际情况制定不同的标准。 让流程中相关部门人员对以上两个维度进行打“√”评分并取平均值，然后根据图4判定风险等级。 若评定结果落在红色区域，则为重大风险 。 若评定结果落在黄色区域，则为中等风险。 若评定结果落在绿色区域，则为安全风险。 图4 风险等级划分示意图 表5 风险发生可能性评分标准（示例） 评分 1 2 3 4 5 标准 极低 低 中等 高 极高 定性标准 一般情况下不会发生 极少情况下才发生 某些情况下发生 较多情况下发生 经常发生 定量标准 （举例） 今后10年内发生的可能性少于1次 今后5-10年可能发生1次 今后2-5年内可能发生1次 今后1年内可能发生1次 今后1年内至少发生1次 表6 风险影响程度评分标准（示例） 评分 1 2 3 4 5 标准 极轻微的 轻微的 中等的 重大的 灾难性的 举例 财务损失 轻微 较低 中等 重大 极大 企业日常运行影响 不受影响 轻度影响（造成轻微人身伤害情况立刻收到控制） 中度影响（造成一定人身伤害，需要医疗救援，情况需要外部支持才能得到控制） 严重影响（企业失去一些业务能力，造成严重人身伤害，情况失控但无致命影响） 重大影响（重大业务失误，造成重大人身伤亡，情况失控，给企业造成致命影响） （4）造成影响描述。对该风险发生后造成的影响进行描述，注意要突出造成的不利影响。 （5）对应控制点。列出本流程中对应该风险点的控制点，并通过打“√”区分该控制点是事前控制、事中控制还是事后控制。 对该控制点的流程步骤进行描述，注意要突出对该风险控制措施的描述。 9．流程缺陷及建议 若本流程中的某个风险点没有对应的控制点或控制措施达不到控制效果，则存在流程控制缺陷。 若本流程在匹配性、依赖性、震荡性、控制性、一致性、竞争性六要素方面存在缺陷，则本流程自身存在缺陷，可能需要进行流程优化或流程重组。（参照下述流程诊断六要素模型。）在此描述本流程中存在的缺陷并提出改进建议。 P是“Process”（流程）的简写，G是“Gap”（缺陷）的简写，PG01表示本流程中的第一个控制缺陷，PG02表示本流程中的第二个控制缺陷，以此类推。本编号规则中，P同时表示本缺陷为业务流程层面缺陷。 流程诊断参照如下模型： 图7 流程诊断六要素模型 10．检查资料 即与本流程对应的相关制度以及流程执行过程中产生的各种文件、表单、会议纪要等用于事后检查的资料（即流程图中的审计证据）。 流程文档模板如表8所示。 在此例举2个流程的流程文档，如表9和表10所示。 表8 流程文档模板 XX公司 一级流程名称 二级流程名称 三级流程名称 流程编号 XX流程 流程责任部门 流程责任岗位 1. 流程控制目标 本流程阐述了 相关程序（或步骤），旨在确保 。 2. 流程适用范围 描述本流程适用的集团、公司、部门或管理条线等。 3. 流程相关制度 【制度名称】《XX公司XX管理办法》（编号：XX〔20XX〕XX号）（本流程对应制度名称及编号） 【制度简述】对XX、XX及XX进行了规范和说明。（该制度中有关本流程的相关规定简述） 【制度名称】《XX公司XX管理办法》（编号：XX〔20XX〕XX号）（本流程对应制度名称及编号） 【制度简述】对XX、XX及XX进行了规范和说明。（该制度中有关本流程的相关规定简述） 4. 流程图 （将用visio软件绘制的流程图贴在此处。注意：图片的文字环绕方式设置为“浮于文字上方”） 5. 流程描述 【S01】 【S02】【C01】 …… （用规范化的语言对流程中的各步骤进行描述，并标记出控制点。） 6. 流程风险点及对应控制点： 【PR01】(对流程中的风险点进行描述) 风险分类： 按可能结果划分： □机会风险 □纯粹风险 按五大类风险划分： □战略风险 □财务风险 □市场风险 □运营风险 □法律风险 风险发生可能性： □极低 □较低 □中等 □较高 □极高 风险发生影响程度： □轻微 □较低 □中等 □重大 □灾难性 风险等级： □安全风险 □中等风险 □重大风险 造成影响描述： （对该风险造成的影响进行描述，列示出可能造成的各种不利影响。） 对应风险控制点： 【S02】【C01】： 【S03】【C02】： （注意，一个风险点可能对应一个控制点，也可能对应多个控制点。） 控制类型：□事前控制 □事中控制 □事后控制 控制等级： □一般控制点 □关键控制点 【PR02】(对流程中的风险点进行描述) 风险分类： 按可能结果划分： □机会风险 □纯粹风险 按五大类风险划分：□战略风险 □财务风险 □市场风险 □运营风险 □法律风险 风险发生可能性： □极低 □较低 □中等 □较高 □极高 风险发生影响程度： □轻微 □较低 □中等 □重大 □灾难性 风险等级： □安全风险 □中等风险 □重大风险 造成影响描述： （对该风险造成的影响进行描述，列示出可能造成的各种不利影响） 对应风险控制点： 【C03】【S05】： 【C04】【S06】： （注意，一个风险点可能对应一个控制点，也可能对应多个控制点。） 控制类型：□事前控制 □事中控制 □事后控制 控制等级： □一般控制点 □关键控制点 …… 7. 流程缺陷及建议： 【PG01】 【建议】 【PG02】 【建议】 …… （若本流程中的某个风险点没有对应的控制点或控制措施达不到控制效果，则存在流程控制缺陷。 若本流程在匹配性、依赖性、震荡性、控制性、一致性、竞争性六要素方面存在缺陷，则本流程自身存在缺陷，可能需要进行流程优化或流程重组。在此描述本流程中存在的缺陷并提出改进建议。） 8. 检查资料: 《XX公司XX管理办法》 《XX文件》 《XX会议纪要》 …… 表9 XX公司投资决策管理流程（示例1） XX集团公司 一级流程名称 二级流程名称 三级流程名称 流程编号 投资管理 项目投资 投资决策管理流程 CAM.01.02 【示例1】投资决策管理流程 流程责任部门 资本运营部 流程责任岗位 资本运营部部长 1. 流程目标 为适应股份公司发展需要，加强投资管理工作，规范股份公司投资活动，提高投资项目决策的科学性和民主性，有效防范投资风险。 2. 流程适用范围 XX集团总部、各分子公司及直属项目公司的投资决策管理。 3. 流程相关制度 【制度名称】《XX股份有限公司投资管理暂行办法》（编号：XX股份资【200X】XX号） 【制度简述】对项目评审范围、原则、条件、评审内容、报送材料、评审组织等进行了规范，在一定程度上为投资决策管理提供了指引。 【制度名称】《XX股份有限公司项目投资评审管理暂行办法》（编号：XX股份资【200X】XX号） 【制度简述】对XX、XX及XX进行了规范。 4. 流程图 5. 流程描述 【S01】上报可研报告等项目资料 需提请股份公司评审的项目投资包括： 1.股份公司总部项目投资主责部门负责并经批准立项的投资项目； 2.股份公司各级具有投资权限的子公司如下投资：境内投资（包括固定资产投资、设备购置、转让或收购股权、合资、委托理财、BT、BOT等合同），合同额或交易涉及的资产总额达到人民币5亿元以上或合同履行或交易预计产生的利润达到人民币1亿元以上；海外业务涉及金额达到3000万美元以上。 当出现上述两类投资时，投资单位或部门编制电子版和纸质版的《关于XX项目可行性研究报告》、《XX单位关于XX项目决议》和《关于XX项目的请示》，经单位负责人同意后上报给股份公司资本运营部评审。 【S02】【C01】组织投资项目评审评审 资本运营部投资管理处处长在开展审慎调查的基础上，通过单独评估、组织股份公司相关部门专项评估或提交项目专家委员会评估以及委托外部专业机构评估等多种方式评审《关于XX项目可行性研究报告》，评审主要从经济可行性、技术可行性和资源保障、财务和资金、商务模式及合同条款、风险控制等至少八个方面开展，并出具《关于XX项目的评审报告》，经分管副部长同意后提交给资本运营部部长审核。资本运营部部长审核后，向股份公司分管该项目领导汇报。 《关于XX项目的评审报告》包含评审的内容、评审结论及相关建议。 【S03】【C02】审核 股份公司分管领导听取资本运营部部长关于该项目的报告，审核《关于XX项目的评审报告》及相关资料，主要关注评审报告的客观性、全面性、合理性，审核无误后，同意提交给总裁办公会审议，否则归入资本运营部投资项目资料库，转至步骤08，流程结束。 【S04】【C03】总裁办公会审议 总裁办公会审议《关于XX项目的评审报告》，主要关注投资项目预期对公司现状及发展战略的影响，并分别做出如三种决议，形成《总裁办公会议纪要》： 1.项目可行，但需继续跟踪、补充调研，转至步骤01； 2.项目不可行，终止执行，转至步骤08，流程结束； 3.项目可行，并就下一步工作做出安排，如投标文件编制（招标项目）、合同起草等，并制作《董事会议案》上报董事会。 【S05】【C04】召开董事会决议 股份公司董事会审批《董事会议案》，对总裁办公会和资本运营部等提交的报告做进一步评估和审议，重点关注投资项目的可行性及风险是否在公司可以承受的范围内，评估审议结果形成董事会决议，即《董事会会议纪要》。 【S06】批复决议结果 资本运营部投资管理处职员据董事会决议编制《关于XX单位XX项目的批复》文件，下发给投资单位或部门执行。 【S07】投资项目实施 投资单位或部门按照股份公司的决策结果组织实施投资项目，并定期向股份公司投资管理处上报投资执行情况报表。具体转入“CAM.01.04投资实施监督流程”。 【S08】【C05】评审资料归档 资本运营部投资管理处职员收集、整理《关于XX项目可行性研究报告》、《XX单位关于XX项目决议》和《关于XX项目的请示》等投资决策过程中的相关资料并及时归档。 流程结束。 6. 流程风险点及对应控制点： 【PR01】可研报告未经过充分论证、评价，可能导致因可研报告不实导致投资决策失误。 风险分类： 按可能结果划分： √机会风险 □纯粹风险 按五大类风险划分： √战略风险 □财务风险 □市场风险 √运营风险 □法律风险 风险发生可能性： □极低 □较低 □中等 √较高 □极高 风险发生影响程度： □轻微 □较低 □中等 √重大 □灾难性 风险等级： □安全风险 □中等风险 √重大风险 造成影响描述： 可研报告是投资决策正确性性的关键，若投资决策出现失误，可能直接导致投资失败，造成重大经济损失，严重的甚至会造成公司破产，给公司带来不良的声誉，影响未来的投资信心，对员工的工作热情也造成较大打击。 对应控制点： 【S02】【C01】组织投资项目评审评审 控制类型： □事前控制 √事中控制 □事后控制 控制等级： □一般控制点 √关键控制点 【S03】【C02】审核 控制类型： □事前控制 √事中控制 □事后控制 控制等级： □一般控制点 √关键控制点 【PR02】重大投资项目未经过集体决策，或决策过程未形成完整的书面记录。 风险分类： 按可能结果划分： √机会风险 □纯粹风险 按五大类风险划分： √战略风险 □财务风险 □市场风险 √运营风险 □法律风险 风险发生可能性： □极低 □较低 √中等 □较高 □极高 风险发生影响程度： □轻微 □较低 □中等 √重大 □灾难性 风险等级： □安全风险 □中等风险 √重大风险 造成影响描述： 重大投资项目未经过集体决策，可能导致决策失误，导致重大投资失败，带来重大经济损失；决策过程中未形成完整的书面记录，不利于公司文案管理，在进行审计时无法提供审计证据，或在未来项目投资决策中无法提供参考依据。 对应控制点： 【S04】【C03】总裁办公会审议 控制类型： □事前控制 √事中控制 □事后控制 控制等级： □一般控制点 √关键控制点 【S05】【C04】召开董事会决议 控制类型： □事前控制 √事中控制 □事后控制 控制等级： □一般控制点 √关键控制点 【PR03】投资决策过程资料没有得到妥善保管，不利于后续资料查询。 风险分类： 按可能结果划分： □机会风险 √纯粹风险 按五大类风险划分： □战略风险 □财务风险 □市场风险 √运营风险 □法律风险 风险发生可能性： □极低 √较低 □中等 □较高 □极高 风险发生影响程度： □轻微 √较低 □中等 □重大 □灾难性 风险等级： □安全风险 √中等风险 □重大风险 造成影响描述： 导致日后在需要参考相关资料时不可查，不利于公司内部管理；在审计时无法提供审计证据，引起不必要的纠纷。 对应控制点： 【S08】【C05】评审资料归档 控制类型： □事前控制 √事中控制 □事后控制 控制等级： √一般控制点 □关键控制点 7. 流程控制缺陷及改进建议： 【PG01】经访谈，我们了解到投资决策工作存在多头管理的情况。实际工作中，市场营销部、 工程 路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理 管理部、工业设备部等部门均有投资项目评审及评审组织权，有些项目从可研报告编制、评审到决策上会全部由一个部门负责，资本运营部没有参与的情况也时有发生，一方面投资决策流程和标准不统一，投资管理制度的执行难以落到实处；另一方面投资可研报告的编制、评审、决策职责未实现分离，容易导致投资项目决策有失公允，不利于投资项目的管控。 【建议】严格按照《投资管理暂行办法》（编号：XX股份资［200X］XX号）执行投资决策流程，明确界定各部门在投资决策流程中的职责、权限，以防止投资决策支持工作多头管理的情况再次发生。 8. 检查资料： 《XX股份有限公司投资管理暂行办法》（编号：XX股份资【200X】XX号） 《XX股份有限公司项目投资评审管理暂行办法》（编号：XX股份资【200X】XX号） 《关于XX项目可行性研究报告》 《XX单位关于XX项目决议》 《关于XX项目的请示》 《关于XX项目的评审报告》 《总裁办公会议纪要》 《董事会议案》 《董事会会议纪要》 《关于XX单位XX项目的批复》 表10 XX公司校园招聘管理流程（示例2） XX集团公司 一级流程名称 二级流程名称 三级流程名称 流程编号 人力资源管理 人事管理 校园招聘管理流程 HRM.02.02 【示例2】校园招聘管理流程 流程责任部门 人力资源部 流程责任岗位 人力资源部部长 1．流程目标 本流程主要阐述XX集团校园招聘管理的相关程序，旨在规范集团毕业生招聘、录用及管理相关流程，使其符合集团现状及人才储备发展战略，并确保招聘过程公开、公正、公平。 2．流程适用范围 XX集团/公司 3．流程相关制度 【制度名称】《XX集团员工管理办法》（编号：XX人资〔20XX〕XX号） 【制度简述】对集团员工选拔条件和招聘任用程序进行了规范。 【制度名称】《XX集团员工招聘录用实施办法》（编号：XX人资〔20XX〕XX号） 【制度简述】对集团员工招聘程序进行了规范。 4. 流程图 5. 流程描述： 【S01】下发毕业生引进通知 集团公司已成立员工招聘录用工作领导小组（以下称“领导小组”），领导小组下设办公室，办公室设在人力资源部，具体负责员工招聘录用日常工作并按规定程序组织实施。 每年第四季度，人力资源部职员给机关各单位以及子分公司下发《关于申报XX年高校毕业生需求计划的通知》，明确对需引进毕业生的一些要求、需求申请表格式以及需求计划上报日期等。 【S02】上报需求计划 机关各部门、各子分公司根据自身业务发展状况、岗位需求和人才储备需要确定本单位高校毕业生需求，然后按照通知要求给集团公司人力资源部上报《XX单位高校毕业生需求计划》。 【S03】【C01】审核汇总 人力资源部职员审核汇总机关各部门和子分公司上报的高校毕业生需求，主要关注点为需求计划是否真实合理，计划招聘的岗位是否符合申请部门的岗位编制和业务拓展需要。并制作《年度毕业生引进计划表》，列明需引进毕业生的部门、岗位和所需引进人员的专业、学历、数量、性别等信息。 【S04】【C02】审核 人力资源部部长审核《年度毕业生引进计划表》并签字确认，主要关注点为需求计划是否真实合理，计划招聘的岗位是否符合申请部门的岗位编制和业务拓展需要，引进人员需求是否与公司目前员工知识、年龄、性别结构相符合等等。 【S05】【C03】审批 分管领导审批《年度毕业生引进计划表》，并签字确认。主要关注点为各部门、子分公司计划招聘的岗位是否符合申请部门的岗位编制和业务拓展需要，引进人员需求是否与公司目前人力资源结构相符合，是否有利于公司人才储备并符合公司长远发展规划等等。然后将其返回人力资源部。 【S06】下发招聘工作通知 人力资源部职员给机关各单位以及子分公司下发《关于做好XX年毕业生招聘及相关工作的通知》，阐明公司招聘职位、招聘数量、应聘人员学历专业性别以及招聘工作的总体安排、实施人员、具体实施时间等等，并要求各需求单位上报工作人员名单。 【S07】上报工作人员名单 各需求单位在规定时间之内向人力资源部上报本单位《参加毕业生集中招聘报名表》。 【S08】发布招聘通告 人力资源部职员制定《招聘通告》，阐明招聘岗位、岗位相应的专业技能、应聘资格、招聘人数以及岗位相关要求等等，然后通过报纸、网站等渠道发布招聘通告。 【S09】组织校园宣讲 人力资源部职员在规定的时间内到相关大学举行校园招聘会进行集中招聘。 【S10】【C04】收取并筛选简历 应聘人员填写《应聘人员登记表》，提供简历和及其他相关证明材料。人力资源部职员收取简历并对简历进行筛选，主要关注点为：应聘者是否符合岗位要求、是否具有相应的岗位胜任能力。然后将通过筛选的简历汇总整理。 【S11】【C05】面试 人力资源部职员组织面试，将参与面试的人员简历和名单分发给各位面试官，面试官由人力资源部业务员、需求部门负责人、相关的分管领导组成。面试官对通过简历筛选的应聘者进行面试，主要考察应聘者的形象气质、反应能力、语言表达能力、专业知识等等，然后对面试者进行打分。 【S12】信息汇总 人力资源部职员把面试答辩成绩从高到底排列，然后确定通过面试人选名单。再把所有通过面试人员的信息进行汇总，制作《应聘人员信息汇总表》，将其简历整理附在汇总表后。 【S13】【C06】审批 各需求单位负责人审批《应聘人员信息汇总表》，综合考虑该人员各方面情况，是否符合岗位要求、是否利于部门人员机构的平衡等等，挑选合适人员，并签字确认。 【S14】组织会议讨论 人力资源部部长组织总经理办公会并准备会议资料。上会资料包括确定被录取人员的简历、《任免人选上会表》（列明该人员的基本信息以及核定的相应工资档别）等。 【S15】【C07】审批 总经理办公会上对被录取人员进行讨论并审批《任免人选上会表》，主要关注点为该人员是否适合集团公司和拟任职务、核定的工资档别是否合适。 【S16】【C08】审批 分管领导审批《任免人选上会表》，主要关注点为该人员是否适合集团公司和拟任职务、核定的工资档别是否合适。 【S17】发录取通知 人力资源部职员向最终录取人选发放《录取通知书》，列明入职时间、入职人员需注意事项和应携带资料等事项。 【S18】【C09】归档 人力资源部业务经理将校园招聘流程中的相关资料文档进行归档保存。 转至“员工入职管理流程”。 6. 流程风险点及对应控制点： 【R01】各需求单位提出的《年度毕业生引进计划表》未经适当的审批；集团总部未对子集团的招聘计划形成专项管控。 风险分类： 按可能结果划分： √机会风险 □纯粹风险 按五大类风险划分： √战略风险 □财务风险 □市场风险 √运营风险 □法律风险 风险发生可能性： □极低 √较低 □中等 □较高 □极高 风险发生影响程度： □轻微 □较低 √中等 □重大 □灾难性 风险等级： □安全风险 √中等风险 □重大风险 造成影响描述： 导致毕业生引进申请不合理或不符合本单位业务发展状况，例如不恰当增员；也可能导致引进的毕业生不符合集团对新进人才的学历、年龄和知识结构要求，使得集团整体人才战略无法得到实施，难以满足集团长远发展需求和人才储备需要。 对应控制点： 【S03】【C01】审核汇总 控制类型： □事前控制 √事中控制 □事后控制 控制等级： √一般控制点 □关键控制点 【S04】【C02】审核 控制类型： □事前控制 √事中控制 □事后控制 控制等级： □一般控制点 √关键控制点 【S05】【C03】审批 控制类型： □事前控制 √事中控制 □事后控制 控制等级： □一般控制点 √关键控制点 【R02】应聘人员的简历没有经过适当的筛选。 风险分类： 按可能结果划分： √机会风险 □纯粹风险 按五大类风险划分： □战略风险 □财务风险 □市场风险 √运营风险 □法律风险 风险发生可能性： √极低 □较低 □中等 □较高 □极高 风险发生影响程度： □轻微 √较低 □中等 □重大 □灾难性 风险等级： √安全风险 □中等风险 □重大风险 造成影响描述： 导致合适的人才没有得到面试机会，集团招不到理想的人员；或者是不具有岗位胜任能力的人参与面试，耗费招聘人员的时间精力和集团资金。 对应控制点： 【S10】【C04】收取并筛选简历 控制类型： □事前控制 √事中控制 □事后控制 控制等级： √一般控制点 □关键控制点 【R03】面试官的结构不合理，或面试官有包庇、舞弊行为。 风险分类： 按可能结果划分： □机会风险 √纯粹风险 按五大类风险划分： □战略风险 □财务风险 □市场风险 √运营风险 √法律风险 风险发生可能性： □极低 √较低 □中等 □较高 □极高 风险发生影响程度： □轻微 □较低 □中等 √重大 □灾难性 风险等级： □安全风险 √中等风险 □重大风险 造成影响描述： 导致无法对应聘者的实际能力作出正确判断，集团难以选拨到合适的岗位人选，或者是挑选的人才不符合企业和岗位的要求。 对应控制点： 【S11】【C05】面试 控制类型： □事前控制 √事中控制 □事后控制 控制等级： □一般控制点 √关键控制点 【R04】没有对拟录用人员进行合理适当审批；集团集团未对子集团录用人员拥有最终决策权。 风险分类： 按可能结果划分： √机会风险 □纯粹风险 按五大类风险划分： √战略风险 □财务风险 □市场风险 √运营风险 □法律风险 风险发生可能性： □极低 √较低 □中等 □较高 □极高 风险发生影响程度： □轻微 □较低 □中等 √重大 □灾难性 风险等级： □安全风险 √中等风险 □重大风险 造成影响描述：简历筛选、面试过程中有可能会出现的不规范行为就难以被发现，所招聘进来的人员不具备岗位胜任能力或不满足集团人才结构、人才储备的需求，有可能会影响集团的发展战略和日常经营。 对应控制点： 【S13】【C06】审批 控制类型： □事前控制 √事中控制 □事后控制 控制等级： □一般控制点 √关键控制点 【S15】【C07】审批 控制类型： □事前控制 √事中控制 □事后控制 控制等级： □一般控制点 √关键控制点 【S16】【C08】审批 控制类型： □事前控制 √事中控制 □事后控制 控制等级： □一般控制点 √关键控制点 【R05】校园招聘管理流程中相关的资料文档没有及时完整妥善地归档保存。 风险分类： 按可能结果划分： □机会风险 √纯粹风险 按五大类风险划分： □战略风险 □财务风险 □市场风险 √运营风险 □法律风险 风险发生可能性： √极低 □较低 □中等 □较高 □极高 风险发生影响程度： □轻微 □较低 √中等 □重大 □灾难性 风险等级： √安全风险 □中等风险 □重大风险 造成影响描述：导致日后在需要参考相关资料时不可查，不利于集团内部管理；在审计时无法提供审计证据，引起不必要的纠纷。 对应控制点： 【S18】【C09】归档 控制类型： □事前控制 √事中控制 □事后控制 控制等级： √一般控制点 □关键控制点 7. 流程控制薄弱点及优化建议： 无 8. 检查资料 《XX集团员工管理办法》（编号：XX人资〔20XX〕XX号） 《XX集团员工招聘录用实施办法》（编号：XX人资〔20XX〕XX号） 《关于申报XX年高校毕业生需求计划的通知》 《XX单位高校毕业生需求计划》 《年度毕业生引进计划表》 《关于做好XX年毕业生招聘及相关工作的通知》 《参加毕业生集中招聘报名表》 《招聘通告》 《应聘人员登记表》 《应聘人员信息汇总表》 《任免人选上会表》 《录取通知书》 四 流程层面风险管理数据库建立 流程层面风险管理数据库是后期建立全面风险管理信息系统的核心数据库之一，与公司层面风险管理数据库共同构成公司的全面风险管理数据库。业务流程层面风险管理数据库以表格的形式呈现，细分到各个流程，是从流程层面评估风险、控制风险并建立内部控制体系的基础，也是集团全面风险管理与内控体系的核心之一。 业务流程层面风险管理数据库的模板如表11所示。 表11 流程层面风险管理数据库模板 一级流程编号 　 　 　 　 　 一级流程名称 　 　 二级流程编号 二级流程名称 　 三级流程编号 三级流程名称 　 主责部门名称 　 流程责任人 　 　 　 　 　 　 　 　 　 　 风险编号 风险描述 风险类别 发生可能性评分 （1-5） 影响程度评分 （1-5） 风险等级（重大/中等/安全） 对应控制点编号 战略风险 财务风险 市场风险 运营风险 法律风险 PR01 　 　 　 　 　 　 　 　 　 C01　 PR02 　 　 　 　 　 　 　 C02　 …… 　 　 　 　 　 　 　 　 　 　 在表格上方，根据之前工作梳理出的业务流程与制度框架，填写一级流程、二级流程及三级流程的名称、编号以及主责部门和流程责任人。 在表格下方，根据流程文档的内容分别填写该流程中的风险编号、对应的风险描述、风险类别、发生可能性评分、影响程度评分、风险等级及对应控制点编号。 五 流程层面控制数据库建立 流程层面控制数据库也是后期建立风险管理信息系统的核心表单之一，它以表格的形式呈现，细分到各个流程，并通过流程编号与流程层面风险管理数据库一一对应，是后期建立全面风险管理信息系统的基础。 业务流程层面控制数据库的模板如表12所示。 表12 流程层面控制数据库 一级流程编号 一级流程名称 　 　 　 　 　 　 二级流程编号 二级流程名称 　 三级流程编号 三级流程名称 　 主责部门名称 　 流程责任人 　 　 　 　 　 　 　 　 对应风险 控制点描述 控制类型 （事前/事中/事后） 控制方式（人工/系统） 审计证据 责任部门 责任岗位 责任人 编号 类型 控制措施描述 PR01　 C01 一般控制点 　 　 　 　 　 　 　 　 C02 关键控制点 　 　 　 　 　 　 　 　 C03 　 　 　 　 　 　 　 　 　 ……