风险管理内部控制体系建设项目实施方案

附件：附件： A A公司公司 内部控制体系建设项目实施方案内部控制体系建设项目实施方案 A公司（以下简称“A公司”或“贵公司”），委托B公司（北京）咨询有 限公司（以下简称“B公司”或“我们”），协助执行内部控制体系建设项目。 实施方案如下： 一、一、项目目标 项目目标 通过本项目的实施， 我们将协助贵公司梳理内部管理流程， 完善财务和营 运系统的内部控制， 并理顺财务系统和营运系统的对接， 建立符合证券监管要 求和公司需求的内部控制体系。 我们将在项目实施过程中注重达成下述目标： 1、完成一套标准的内部流程梳理， 内容涵盖公司及其子公司的业务范围； 2、审阅管理制度和流程文件，提出审阅意见； 3、梳理和测试公司现有内控体系的缺陷，编制《内控测评报告》，并推 动整改； 4、修订公司相关岗位的内控职责和授权审批体系； 5、根据《企业内部控制基本规范》和《企业内部控制应用指引》，编制 《内部控制手册》和《内部控制评价手册》； 6、完成内部控制体系建设和运用的宣贯培训； 二、实施步骤二、实施步骤 根据贵公司的业务类型及内控管理情况，我们将按以下步骤实施本项目： 工作内容 前期规划及项目启动 现状分析和内控测试 内控体系设计 自我评价体系设计 培训宣贯和实施 预计时间 1 周 6 周 8 周 3 周 3 周 阶段成果 详细工作计划 内控测评报告 内部控制手册 内部控制评价手册 根据内控实施进度按公司管理层级 进行的培训 我们的工作内容包括：我们的工作内容包括： (1)通过获取资料、 管理层沟通等方式了解公司的总体架构、 授权体系、 主要管理流程、 业务流程、 业务流程与财务流程的衔接等方面的实 际情况； (2) (3) (4) (5) (6) (7) (8) (9) 与主要业务人员访谈， 熟悉公司总部的主要管理流程， 并判断各个 流程的重要控制点； 执行穿行性测试和控制测试， 掌握对各流程文件及管理制度的实际 执行情况，分析具体的内部控制执行状况； 鉴别现有内部控制（包括IT系统）的缺陷，并提出改善意见； 协助公司明确各流程中涉及的各部门的职责和分工， 明确各流程中 关键岗位的职责和分工； 对实现流程目标所需要的授权体系给出框架性建议； 提出制度体系修改完善意见； 补充和修订各项流程文件（含控制矩阵和流程图）和操作表单（包 括IT信息系统）； 集结成册，编制管理总部的《内部控制手册》及《内部控制评价手 册》，作为指导公司总部开展内控工作的纲领性文件。 三、项目输出三、项目输出 第一步，第一步，B 公司主要进行项目前期规划，识别公司固有风险、理解财务报 表要素、 业务流程风险等。 我们会形成资料清单、 调查问卷、 工作计划等成果； 第二步第二步，B 公司对公司总部进行内控测试，识别现有内控系统的不足和缺 陷，并提出改善建议，提交《内部控制测评报告》； 第三步，第三步，B 公司交付的报告主要是公司的《内部控制手册》，其格式和内 容，将根据公司的具体业务情况，结合行业标准，由贵公司和我们共同制定； 同时，对公司现有的制度体系，提出审阅意见； 第四步，第四步，B 公司交付的是公司的《内控控制评价手册》，作为各公司检查 评价各项内控措施实际执行情况的依据； 第五步，第五步，B 公司协助公司进行 2011 年内控自评和外部审计工作。 四、项目验收四、项目验收 由贵公司在项目后期组织对 B 公司上述交付的工作成果进行审核、验收。 审核交付的工作成果是否符合财政部等五部委联合下发的 《企业内部控制基本 规范》、 《企业内部控制应用指引》、上海证券交易所的《上市公司内部控制 指引》的要求。主要参考的标准有： 1、《企业内部控制应用指引》：相关的控制目标、风险因素、控制措施 等是否得到体现； 2、《企业内部控制评价指引》：相关的评价目标、评价原则、评价要求、 评价结果及工作底稿等，是否得到体现； 3、是否符合企业现行的管理制度和生产经营实际情况。 五、项目培训和知识转移五、项目培训和知识转移 贵公司须成立自身的内控团队。 我们通过项目培训和知识转移， 提升公司 在财务报告、 信息系统控制等方面的认识和操作水平。 在项目执行过程中与贵 公司内控团队协同作业， 为贵公司培养一支可独立运作的专业团队； 起初以我 们为执行主体的内控项目， 逐步过渡到以贵公司内控团队独立完成， 使内控管 理工作具有可延续性。 （一）我们将在测评阶段、设计阶段和项目结束等时点，分别组织专题培 训： 1、第一阶段的培训内容——基本概念和一般实务 《财务报告内部控制实务》 《IT 系统内部控的理论、方法和实务》 2、第二阶段的培训内容 ——内控文档的设计、执行和评价 《内控文档的编写和流程图的绘制》 《企业内部控制自我评价程序和方法》 《IT 应用系统控制案例分析》 （二）在项目执行过程中，我们将与贵公司内控团队协同作业。在内控测 评底稿编写、 流程图绘制、 控制点和风险点的识别等方面， 进行 “传、 帮、 带” ， 以期在项目结束后， 贵公司内控团队能独立完成年度自我评价和其它持续性内 控建设工作。 六、具体工作范围六、具体工作范围 基于前期与贵公司管理层的沟通， 并参照证监会等五部委 《企业内部控制 基本规范》的要求，此次内部控制体系建设项目涵盖公司及其子公司（包括公 司全资子公司-俄罗斯森林采伐及木材加工项目和公司控股子公司 -黑龙江岁 宝热电有限公司）截至于 2011 年 12 月 31 日的内部控制系统。 具体的工作范围是我们基于对贵公司业务的理解而初步确定的， 将根据与 管理层进一步的沟通，适当调整。拟定的具体工作范围如下： 第一部分：公司层面控制（涵盖公司及其子公司）第一部分：公司层面控制（涵盖公司及其子公司） 1.11.1 内部环境内部环境 1.1.1诚信与道德价值观 1.1.2董事会与审计委员会 1.1.3组织架构与权责划分 1.1.4管理理念与经营风格 1.1.5胜任能力 1.1.6人力资源政策 1.1.7企业文化 1.1.8社会责任 1.21.2 风险评估风险评估 1.2.1目标设定 1.2.2风险识别 1.2.3风险应对措施的制定与执行 1.2.4风险监控与跟踪 1.31.3 控制活动控制活动 1.3.1公司管理层及财务负责人对财务报告内部控制合规性的关注 1.3.2控制活动选择与设计的原则 1.3.3公司管理制度和流程规范体系的建立 1.41.4 信息与沟通信息与沟通 1.4.1内部沟通 1.4.2外部沟通 1.51.5 监控监控 1.5.1反舞弊机制与举报制度的建立与运行 1.5.2持续监控 1.5.3持续改进 第二部分：业务流程控制第二部分：业务流程控制 1.11.1财务报告与披露财务报告与披露 1.1.1 财务制度、财务组织与财务人员 1.1.2 会计核算 1.1.3 财务报表编制 1.1.4 合并财务报表编制 1.1.5 预算管理 1.1.6 信息披露 1.1.7 关联交易 1.1.8 集团财务分析 1.21.2资金管理资金管理 1.2.1 集团资金计划 1.2.2集团筹资管理 1.2.3集团内部资金的调配（若有） 1.2.4募集资金管理 1.2.5集团现金统筹管理 1.2.6集团资金分析（包括流动性分析与使