风险管理内部控制体系建设项目实施方案

附件： A公司

内部控制体系建设项目实施方案

A公司（以下简称“A公司”或“贵公司”），委托B公司（北京）咨询有限公司（以下简称“B公司”或“我们”），协助执行内部控制体系建设项目。实施方案如下：

一、项目目标

通过本项目的实施，我们将协助贵公司梳理内部管理流程，完善财务和营运系统的内部控制，并理顺财务系统和营运系统的对接，建立符合证券监管要求和公司需求的内部控制体系。

我们将在项目实施过程中注重达成下述目标：

1、完成一套标准的内部流程梳理，内容涵盖公司及其子公司的业务范围；

2、审阅管理制度和流程文件，提出审阅意见；

3、梳理和测试公司现有内控体系的缺陷，编制《内控测评报告》，并推动整改；

4、修订公司相关岗位的内控职责和授权审批体系；

5、根据《企业内部控制基本规范》和《企业内部控制应用指引》，编制《内部控制手册》和《内部控制评价手册》；

6、完成内部控制体系建设和运用的宣贯培训；

二、实施步骤

根据贵公司的业务类型及内控管理情况，我们将按以下步骤实施本项目：

我们的工作内容包括：

(1)通过获取资料、管理层沟通等方式了解公司的总体架构、授

权体系、主要管理流程、业务流程、业务流程与财务流程的

衔接等方面的实际情况；

(2)与主要业务人员访谈，熟悉公司总部的主要管理流程，并判

断各个流程的重要控制点；

(3)执行穿行性测试和控制测试，掌握对各流程文件及管理制度

的实际执行情况，分析具体的内部控制执行状况；

(4)鉴别现有内部控制（包括IT系统）的缺陷，并提出改善意见；

(5)协助公司明确各流程中涉及的各部门的职责和分工，明确各

流程中关键岗位的职责和分工；

(6)对实现流程目标所需要的授权体系给出框架性建议；

(7)提出制度体系修改完善意见；

(8)补充和修订各项流程文件（含控制矩阵和流程图）和操作表

单（包括IT信息系统）；

(9)集结成册，编制管理总部的《内部控制手册》及《内部控制

评价手册》，作为指导公司总部开展内控工作的纲领性文件。

三、项目输出

第一步，B公司主要进行项目前期规划，识别公司固有风险、理解财务报表要素、业务流程风险等。我们会形成资料清单、调查问卷、工作计划等成果；

第二步，B公司对公司总部进行内控测试，识别现有内控系统的不足和缺陷，并提出改善建议，提交《内部控制测评报告》；

第三步，B公司交付的报告主要是公司的《内部控制手册》，其格式和内容，将根据公司的具体业务情况，结合行业标准，由贵公司和我们共同制定；同时，对公司现有的制度体系，提出审阅意见；

第四步，B公司交付的是公司的《内控控制评价手册》，作为各公司检查评价各项内控措施实际执行情况的依据；

第五步，B公司协助公司进行2011年内控自评和外部审计工作。

四、项目验收

由贵公司在项目后期组织对B公司上述交付的工作成果进行审核、验收。审核交付的工作成果是否符合财政部等五部委联合下发的《企业内部控制基本规范》、《企业内部控制应用指引》、上海证券交易所的《上市公司内部控制指引》的要求。主要参考的标准有：

1、《企业内部控制应用指引》：相关的控制目标、风险因素、控制措施等是否得到体现；

2、《企业内部控制评价指引》：相关的评价目标、评价原则、评价要求、评价结果及工作底稿等，是否得到体现；

3、是否符合企业现行的管理制度和生产经营实际情况。

五、项目培训和知识转移

贵公司须成立自身的内控团队。我们通过项目培训和知识转移，提升公司在财务报告、信息系统控制等方面的认识和操作水平。在项目执

行过程中与贵公司内控团队协同作业，为贵公司培养一支可独立运作的专业团队；起初以我们为执行主体的内控项目，逐步过渡到以贵公司内控团队独立完成，使内控管理工作具有可延续性。

（一）我们将在测评阶段、设计阶段和项目结束等时点，分别组织专题培训：

1、第一阶段的培训内容——基本概念和一般实务

《财务报告内部控制实务》

《IT系统内部控的理论、方法和实务》

2、第二阶段的培训内容——内控文档的设计、执行和评价

《内控文档的编写和流程图的绘制》

《企业内部控制自我评价程序和方法》

《IT应用系统控制案例分析》

（二）在项目执行过程中，我们将与贵公司内控团队协同作业。在内控测评底稿编写、流程图绘制、控制点和风险点的识别等方面，进行“传、帮、带”，以期在项目结束后，贵公司内控团队能独立完成年度自我评价和其它持续性内控建设工作。

六、具体工作范围

基于前期与贵公司管理层的沟通，并参照证监会等五部委《企业内部控制基本规范》的要求，此次内部控制体系建设项目涵盖公司及其子公司（包括公司全资子公司-俄罗斯森林采伐及木材加工项目和公司控股子公司-黑龙江岁宝热电有限公司）截至于2011年12月31日的内部控制系统。

具体的工作范围是我们基于对贵公司业务的理解而初步确定的，将根据与管理层进一步的沟通，适当调整。拟定的具体工作范围如下：

第一部分：公司层面控制（涵盖公司及其子公司）

1.1内部环境

1.1.1诚信与道德价值观

1.1.2董事会与审计委员会

1.1.3组织架构与权责划分

1.1.4管理理念与经营风格

1.1.5胜任能力

1.1.6人力资源政策

1.1.7企业文化

1.1.8社会责任

1.2风险评估

1.2.1目标设定

1.2.2风险识别

1.2.3风险应对措施的制定与执行

1.2.4风险监控与跟踪

1.3控制活动

1.3.1公司管理层及财务负责人对财务报告内部控制合规性的关注1.3.2控制活动选择与设计的原则

1.3.3公司管理制度和流程规范体系的建立

1.4信息与沟通

1.4.1内部沟通

1.4.2外部沟通

1.5监控

1.5.1反舞弊机制与举报制度的建立与运行

1.5.2持续监控

1.5.3持续改进

第二部分：业务流程控制

1.1 财务报告与披露

1.1.1财务制度、财务组织与财务人员

1.1.2会计核算

1.1.3财务报表编制

1.1.4合并财务报表编制

1.1.5预算管理

1.1.6信息披露

1.1.7关联交易

1.1.8集团财务分析

1.2资金管理

1.2.1 集团资金计划

1.2.2集团筹资管理

1.2.3集团内部资金的调配（若有）

1.2.4募集资金管理

1.2.5集团现金统筹管理

1.2.6集团资金分析（包括流动性分析与使用效率分析）

1.3 市场与销售管理

1.3.1 集团营销政策的制定

1.3.2 集团品牌管理体系的建设

1.3.3 集团销售价格体系的建立、实施与监控

1.3.4 客户管理

1.4 担保管理

1.4.1 担保事项的申请与审批；

1.4.2 担保合同管理；

1.4.3 重大担保事项披露管理；

1.4.4 与关联方担保管理；

1.5 对分、子公司的控制

1.5.1 子公司的治理结构

1.5.2 对分、子公司人员的委派

1.5.3 委派人员的薪酬制度和业绩考核

1.5.4 公司总部财务部对分、子公司的财务监督与控制1.5.5 对分、子公司的业务授权

1.5.6 分、子公司违规行为的认定和处理

1.6 投融资管理

1.6.1 投资项目的立项与审批

1.6.2 对外投资的执行

1.6.3 投资监控与评价

1.6.4 投资损益处理

1.6.5 投资项目变更

1.6.6 投资退出

1.6.7 融资方案的立项与审批

1.6.9 融资方案的执行

1.6.10 融资费用管理

1.6.11 融资到期偿还管理

1.7、技改和在建工程

1.7.1、立项与审批

1.7.2、工程招标

1.7.3、工程合同的签订

1.7.4、工程项目的管理

1.7.5、竣工决算、验收和在建工程转固1.7.6、工程付款

1.8、固定资产与无形资产

1.8.1、固定资产的采购计划

1.8.2、固定资产的购置

1.8.3、固定资产的验收

1.8.4、固定资产的日常管理

1.8.5、固定资产的租赁

1.8.6、固定资产的折旧

1.8.7、固定资产的清查和盘点

1.8.8、固定资产的报废与处置

1.8.9、无形资产的获取与记录

1.8.10、无形资产的摊销

1.8.11、固定资产和无形资产的减值测试1.8.12、无形资产的转让与出售

1.10 销售与应收账款

1.10.1 销售目标与销售计划

1.10.2 客户管理

1.10.3 销售价格管理

1.10.4 销售合同管理

1.10.5 应收账款管理

1.10.6 售后服务管理

1.11 采购与应付账款

1.11.1 市场调查与分析

1.11.2 采购需求与采购计划

1.11.3 采购方式管理

1.11.4 采购合同管理

1.11.5 供应商管理

1.11.6 预付款与应付款管理

1.12 产品研发和质量安全管理

1.1

2.1 公司质量安全体系管理

1.1

2.2 公司质量安全目标管理

1.1

2.3 公司质量安全小组管理

1.1

2.4 公司质量控制管理

1.1

2.5 检测器具管理

1.1

2.6 质量仲裁管理

1.13 存货与生产成本核算

1.13.1 原料出入库管理

1.13.2 产品出入库管理

1.13.3 异地库管理（若有）

1.13.4 存货盘点

1.13.5 呆滞物料与废旧物资管理

1.13.6 存货跌价准备与核销

1.13.7 生产成本核算

第三部分：IT控制

3.1 IT公司层面控制

3.1.1 信息系统战略规划、组织架构及安全；

3.1.2 信息化项目管理。

3.2 IT一般性控制

3.2.1程序变更管理；

3.2.2 用户账号和权限管理；

3.2.3 机房、IT设备与外购软件管理；

3.2.4 数据备份与恢复；

3.2.5 问题处理控制；

3.2.6 第三方服务管理；

3.2.7 网络安全管理；

3.2.8应用系统与硬件的匹配性；版本管理；

3.2.9 应用系统账户的统一管理；用户权限管理，可以放到应用层面控制中；

3.2.10 总部与分、子公司IT平台的协调；

3.2.11 各项应用系统模块的实施、维护与培训；系统实施，运行维护和用户培训。

3.3 IT应用控制

3.3.1 销售应收流程系统控制；

3.3.2 采购应付流程系统控制；

3.3.3 财务关账流程系统控制；

3.3.4 固定资产管理流程等。

七、时间表

八、项目成员名单

本项目计划投入人员合计约7-8人。B公司的主要人员将有：

我们将根据项目进展和现场需要及时增减项目执行人员。

九、贵公司需配合完成的工作

贵公司由主管领导牵头，成立内控项目领导小组和工作小组，主要管理人员和业务人员参加，与B公司项目人员充分配合，并按照项目工作计划：

1、提供公司有关内控的原始文档资料；

2、安排相关人员包括管理层人员访谈；

3、协助执行相关的测试活动；

4、参加我们组织的内控测评和设计的各项培训；

5、及时反馈管理层整改计划；及时进行制度修订工作；

6、及时反馈对我们提交的内部控制文档的意见；

7、与我们充分讨论并修改内控手册、风险管理手册和评价手册

初稿；

8、协同解决其他工作细节或没有预计的例外情形等。

A公司内控体系建设实施方案