內控運營風險管理
『壹』 如何建立風險與內控管理體系
僅供參考
一、基礎概念篇
在這里,你將熟悉,內控體系具體是什麼,建立內控體系需要解決的誤區以及流程體系建立的作業流程。
1、內控體系建設涵蓋哪些東西,主要內容是什麼?
國家要求上市企業建立的內控體系是保證財務報告真實性而要求建立的體系,所以他的具體內容與外資企業的sox404體系差不多。一般整個內控體系涵蓋的內容含如下幾個內控手冊,風險資料庫,內控評價手冊。
內控手冊為每個作業流程的描述,內容含流程描述、流程圖、授權說明、崗位職責分離說明。
風險資料庫可能導致風險的現象描述的匯總。風險指導致公司資產不安全,作業不合規合法,運營效率效益低下,財務報表數據不真實等。
內控評價手冊具體含三部分,第一部分檢查制度設計合理或者文檔的齊全性,第二部分檢查控制過程,第三部分檢查會計帳務處理控制。
2、內控體系與ISO質量體系有什麼區別和聯系?
目的不同:內控體系是以會計報告為主要目的,而ISO質量體系是以產品質量為主。
控制活動不同:在現階段18個指引來看,內控體系缺少對生產過程式控制制;而ISO質量體系則以產品質量為主,涵蓋產供銷價值鏈,但是缺少會計系統控制。
涉及部門不同:在ISO體系內不存在財務部門,以研發、生產、采購、銷售部門為主;內控體系幾乎涵蓋公司各部門,因為有句話說得好,只要是企業在運作的,其最後的運作成果就是財務數值。
3、內控體系的控制活動的業務流程如何劃分,如何做到將各業務流程進行涵蓋?
最簡單的第一步就是拿到組織架構圖,之後看到是否是以事業部為編制的,則是事業部的名稱作為一級流程,事業部下屬的部門分為二級流程,如果下屬的部門涵蓋多個職能則劃分為三級流程。如銷售事業部,則銷售循環作為一級流程,下屬的商務部負責訂單處理的則作為訂單處理作為二級流程。如商務部有兩個功能除了訂單處理還涉及到銷售貨品的備貨計劃制定。則訂單處理作為二級流程,訂單處理和備貨計劃制定作為三級流程。
4、 單個作業流程具體怎麼描述,怎麼將業務流程所涵蓋的信息進行歸納處理?
作業流程就是描述一個為達到特定的價值目標而由不同的人分別共同完成的一系列活動。一個完整的作業流程應該包含6項內容,具體如下:
流程式控制制人:參與到作業流程中的人,具體描述的時候應注意該控制人所涉及的部門及崗位具體名稱。
控制頻率:作業的時間間隔控制。
控制活動:流程是如何作業的。
控制痕跡:作業完成後形成的書面痕跡
控制方式:系統控制還是人工控制。
異常控制:授權體系外的作業流程是如何控制的。
舉例如下:描述超市客服處對會員積點兌換控制流程,之前描述了一個出納盤點流程,大家都熟悉,這次描述復雜點的。
流程式控制制人:售後服務部的客服專員,客服主官
控制頻率: 客戶不定期來兌換會員積分。
控制活動: 客服專員根據會員要求兌換相應的贈品,同時在xxx系統內扣除積分,並在XX贈品台帳內要求客戶簽字。
控制痕跡: 形成扣完積分的積分表和留有客戶簽字的贈品台帳。
控制方式: 兌換的系統積分由XX系統內扣除。
異常控制: 積分不夠,如客戶要求加錢補足積分,則客戶專員需得到客服主管的口頭授權,在收取錢款後並在贈品台帳做書面說明。
總的一句話:客戶不定期對積分進行兌換,提出兌換的物品,售後服務部的客服專員在XXX系統內扣除積分,同時手工登記贈品台帳,在客戶簽字的情況下,將贈品進行贈送。如積分不夠,如客戶要求加錢補足積分,則客戶專員需得到客服主管的口頭授權,在收取錢款後並在贈品台帳做書面說明。當天營業結束前,客服主管需要對贈品台帳和積分兌換系統進行核對。
5、內控體系建立的流程是怎麼樣的?
大致的作業流程是這樣的:
(1)
組織架構:先建立內控小組,為了使內控體系得到有效落實和貫徹,所以內控小組的組長最好是總經理或者董事長。主要的作業人員最好是公司的內審部門或者新建的內控部或者風險管理部,如果沒有此類部門則最好選一名懂財務的,如財務主管,另外加一名懂業務的作為內控小組的主要作業成員,最好另外輔助2-3名人員。
(2)
業務運作:總經理或者董事長開內控項目啟動會,同時主要成員講述內控系統的作業和具體要求。會議結束後,內控小組給各部門提交部門的制度,內控小組完成制度的對標和梳理工作。各職能部門限期內提交流程。內控小組根據內控指引對現有的作業流程的描述進行評價,同時開展小組會議對各職能部門未設置的流程及有缺欠的流程進行優化重組。內控小組根據談論完畢的各流程進行內控手冊的編制和流程圖的繪制,最後形成內控手冊。由總經理授權下發。
(3)
內控小組等類似部門不定期進行內控評價,並根據各職能部門的變化對內控手冊進行優化等。
6、如果業務部比較忙,無法繪製作業流程,那訪談怎麼做?
首先編制訪談計劃,需要提供給部門接收訪談的人員一個訪談提綱。
訪談一般安排2個人,1人訪談,1人記錄。記錄人不要求將每句話記下來,只要將討論的主題,以及討論的結果記錄下來即可。
訪談的時候,先講明不是來指責部門的作業流程的缺失,而是主要是完善和建立內控體系。訪談的問題主要圍繞作業流程進行,而不是扯淡的問,風險在哪裡,自己說。
7、流程圖怎麼繪制,採用什麼軟體?
一般選擇微軟的visio繪圖軟體或者smart draw 繪圖軟體,這兩者的區別是visio看上去比較正規,而smart draw 比較好看。
8、作業現場是否需要繪制流程圖?
最好繪制流程圖,因為在描述整個流程的時候,如果不繪制流程圖,可能看不到什麼遺漏。最好訪談完畢,直接將流程圖繪制,之後與業務部門進行核對。
9、如何完成制度對表的工作?
制度對表的工作一般可以在進場後的或者訪談結束後,當場完成對制度的評價。制度的評價主要的風險點為:流程描述不清楚或者缺失,崗位職責人或者控制部門不明確,崗位職責未分離,異常流程未描述,控制痕跡或者流程的表單未明確,控制頻率未明確,未體現控制方式。(即未描述存在手工或者系統控制。)
10、如何完成風險點的匯總
現場的風險點的匯總,不是訪談人說什麼風險就是風險點。而是根據訪談人提供的風險點提示,內控人員通過系統或者會計憑證等書面資料核實完畢之後再歸納匯總至風險點。而且在完成風險點之後最好與被訪談人員再次作風險點確認。
11、如何完成風險點的報告?
風險報告主要是對現有的流程的分析,所以可以按照事業部,之後將事業部涉及的流程綜述,之後對各流程進行評價。而不是一堆風險點的堆砌。看上去100-200張ppt但是看得頭暈。而且匯報結束老闆對你不爽。
12、內控檢查與內審的區別和聯系在哪裡?
內控檢查的主要目的是建立和明確完整的作業流程、流程中的崗位職責、授權審批、保留書面控制痕跡。所以內控主要是流程稽核,主要的作業模式就是控制點有沒有建立。
內審的主要目的是保證業務事項的真實合理和提高運營的效率效益。所以內審的作業模式可以通過分析復核、重復計算、訪談等多種手段,核實業務事項是否真實合理。
簡單的說,就是。內控是檢查你吃飯的順序,如先吃菜再吃飯或者先吃飯再吃菜。內審就是檢查吃法好不好,對於胖人吃大量的肥肉,可以建議減少攝入量。
二、體系建立篇
在這里,你將熟悉每個控制活動所涉及的每個流程應該做的內控要點以及關鍵控制點的描述。由於涉及的內容較多,我這里簡單的作一個銷售模塊的內控體系建立,其他模塊的建立可在模仿的情況下,分別建立。
1、銷售模式的確認
一般銷售的模式分如下幾種,正常銷售、國際貿易、團購,涉及到酒類或者其他製造業會涉及到品牌銷售模式。
這里解釋一下品牌銷售模式,即允許被授權商生產與自己相同的產品,貼自己的商標和品牌,收取品牌或者商標費的一種作業模式。
2、正常銷售的流程劃分
由於正常銷售可劃分為單次銷售或者通過訂貨會或者其他模式先簽訂框架合同這種銷售模式進行作業。其實這提到的可以將其作為一場流程進行控制。
一級流程:為銷售流程。
二級流程:可以劃分為銷售定價、信用管理、合同簽訂、訂單處理、備貨處理、發貨簽收、收款入賬處理、開票管理、應收款管理等。
三級流程:
其中銷售定價流程可以劃分為年度銷售定價流程、中期價格變更或者臨時價格變更流程。其中如果是系統控制,則需要明確哪個部門的什麼崗位在系統中進行價格的錄入和變更,最後由誰來審核。
信用管理流程可以劃分為客戶准入評價流程,不定期評價流程及信用變更流程。由於這一塊基本上很少有客戶在進行作業或者處理,所以在調研流程的時候,可能客戶不會提供該流程,所以在編制內控手冊的時候,需要做好與客戶的隨時溝通。
合同簽訂流程可以劃分為合同起草、審核、蓋章和保管作業流程。
訂單處理流程可以劃分為正常訂單處理流程,訂單取消流程和逾期未處理訂單流程等。
備貨處理流程可以劃分為下發貨通知單、物品調配流程和物品調配不足流程。
發貨簽收流程可以劃分為發貨單制定流程、物流選擇流程、出庫審核流程和客戶收貨簽收流程。
收款入賬流程。
發票開具流程含客戶提交增值稅資質流程和開票流程。
應收款流程含應收款催收流程、逾期壞賬准備計提流程、壞賬沖銷流程。
如果調研或者訪談的時候將上述流程調研清楚,同時在內控手冊中描述清楚,那麼銷售模塊基本上就完成了
『貳』 全面風險管理的內部控制
(1)全面風險管理涵蓋了內部控制。COSO框架中明確地指出全面風險管理體系框架包括內控,將之作為一個子系統。
(2)內部控制是全面風險管理的必要環節。內部控制的動力來自企業對風險的認識和管理,對於企業所面臨的大部分運營風險,或者說對於在企業的所有業務流程之中的風險,內控系統是必要的、高效的和有效的風險管理方法。同時,維持充分的內控系統也是國內外許多法律法規的合規要求。因此,滿足內部控制系統的要求也是企業風險管理體系建立應該達到的基本狀態。內部控制與全面風險管理的差異為(1)兩者的范疇不一致。內部控制僅是管理的一項職能,主要是通過事後和過程的控制來實現其自身的目標,而全面風險管理則貫穿於管理過程的各個方面,更重要的是在事前制訂目標時就充分考慮了風險的存在。而且,在兩者所要達到的目標上,全面風險管理多於內部控制。
(2)兩者的活動不一致。全面風險管理的一系列具體活動並不都是內部控制要做的。全面風險管理包含了風險管理目標和戰略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程序等活動。而內部控制所負責的是風險管理過程中間及其以後的重要活動,如對風險的評估和由此實施的控制活動、信息與交流活動和監督評審與缺陷的糾正等工作。兩者最明顯的差異在於內部控制不負責企業經營目標的具體設立,而只是對目標的制定過程進行評價,特別是對目標和戰略計劃制定當中的風險進行評估。
(3)兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法,因此,該框架在風險度量的基礎上,有利於企業的發展戰略與風險偏好相一致,增長、風險與回報相聯系,進行經濟資本分配及利用風險信息支持業務前台決策流程等,從而幫助董事會和高級管理層實現全面風險管理的四項目標。這些內容都是現行的內部控制框架所不能做到的。
從國際國內發展趨勢來看,隨著內部控制或風險管理的不斷完善和變得更加全面,它們之間必然相互交叉、融合,直至統一。
『叄』 內控風險和風險管理有何區別
《企業內部控制基本規范》及其配套指引,充分吸收了全面風險管理的理念和方法,強調了內部控制與風險管理的統一。內部控制的目標就是防範和控制風險,促進企業實現發展戰略,風險管理的目標也是促進企業實現發展戰略,二者都要求將風險控制在可承受范圍之內。因此,內部控制與風險管理二者不是對立的,而是協調統一的整體。
『肆』 如何做好企業內部控制和風險管理
從價格上來講,海爾用較高的價格,TCL用較低的價格,格蘭仕也採用較低的價格戰略。這就是企業內部控制應對風險的多樣性。財務風險的化解,可以通過報表合並,通過母公司報表的蛛絲馬跡,就可以判斷出資金運營的效率。
要增強企業運營的效果,增加財務運營的成效,就要進行財務的各種風險處理和風險的化解,通過集中資金的方式,不僅減少資金運營的風險和財務的各種風險,包括投資、資金運用、支付等這些風險,同時也可以極大地加強資金的流動性,進行餘缺的調劑,減少財務費用。
【案例】
神華集團財務集中模式是造就這個煤炭公司走向世界,成為世界一流煤炭企業的有效保障。神華集團通過四個統一、兩個集中和一個優化實現財務集中。四個統一是指統一核算業務,統一稅費管理,統一預算管理,統一財務制度。十幾個礦井的大小不一樣,地質條件不一樣,成立運行的時間、生產力的狀況、結構也不一致。這種情況下企業對財務進行統一的過程中遇到了極大的困難。但恰恰是突破這種困難之後,才使集團的財務呈現高效率的狀態。企業通過資金集中和人員集中兩大集中方式,極大地減少了各個分屬礦井的資金使用風險,使企業既滿足了生產的需要,同時也減少了資金運用的風險,實現了企業社會化的責任。
企業的另一個優化就是信息優化,不斷加強信息建設的投入,使信息化的財務管理融合到企業的現代化管理當中,加強信息化系統的建設。神華煤炭的財務集中模式極大地順應了企業的現代化管理的要求。企業煤炭的產量直線上升,成本和庫存則保持在平穩的下降狀態。這就是財務控制的效果。
點評:和全國同行業的大型企業集團進行比較可以看出,神華煤炭在財務的管理中進行財務創新,採用財務集中模式進行財務活動的控制,在資本運用中呈現很好的效果。
企業內部控制必須要分析風險,認識風險,但目的不是為了風險而風險,而是要採取風險對策解決風險。但是風險的對策再好,如果沒有落實到實際的工作中,在各個業務的層次中沒有體現出來,也是沒有任何效果的。所以企業需要在內部實施風險對策,展開控制的活動。
管理層的控制活動
控制的活動就是能夠有效地實現風險反應的措施和方法。對控制活動的分析可以從兩個方面來展開,一個是縱向,一個是橫向。縱向是把控制活動分為決策層、管理層、執行層和操作層四個層次;橫向是指各個部門人、財、物之間的銜接。企業的內部控制活動就是在縱向和橫向交錯作用的過程中展開。下面就從高層管理人員對企業的績效分析、部門管理、對信息處理的控制、實物的控制、績效指標的比較和分工等幾方面來分析內部控制的內容。
管理層記錄經營活動(如:市場的擴展、生產過程改良、成本的控制)的結果,然後再與預算、預測、前期及競爭者的績效相比較,以衡量目標達成的程度和監督計劃(如:新產品開發、合資經營、融資行為)的執行情況。
高層管理人員在內部控制當中的功能要抓住兩個方面的關鍵點。第一個是指標,就是對他的工作進行定義和劃分;第二個是績效,就是對他的運行效果進行考核。作為高層管理人員,應該在思想上接戰略,下接業務的運行,不需要操心太多具體的業務操作。
?指標
從傳統的思維模式來講,一位領導如果能夠深入基層和人民群眾打成一片,同吃、同住、同勞動,這就算是一位好領導。但是現代企業管理要改變這種觀念,領導人一次兩次和人民群眾做做秀就可以了,平時需要花大量的精力去思考更大的問題。例如各個部門怎樣分派工作,每個部門應該管什麼,怎樣去管?哪些工作歸A部門,哪些歸B部門,哪些歸C部門。資源怎樣從C部門調到A部門,從A部門又調到D部門。通過部門之間的調整,科學地設計指標,對部門績效進行考核,極大地促進企業的經營效率。至於每一道工序,每一個廠角,每一個安全,每一個角落應該是什麼樣子可以讓下面的人負責。
企業對績效的考核方法需要有整體指標,還要有KPI,也就是關鍵績效指標。企業要獲得投資者的認可,就必須有一個大的發展空間和良好的回報。企業在發展的每個階段都有不同的重點,因此在整體目標裡面,劃分出的關鍵績效指標也會在不同階段有不同的側重點。企業要對能夠給企業帶來重大影響的關鍵部門和關鍵的業務過程進行把握和了解。進行總體
的分析,查找到底是技術的問題,還是生產的問題;是人員的問題,還是支持系統的問題;是財務的問題,還是市場的問題,或者是顧客滿意度的問題。
因此,要對關鍵指標進行分解,讓每個人明確自身肩負的工作因素指標。作為領導,是否能夠對目標企業進行兼並收購,如果收購的話企業需要做哪些准備工作,對將來的發展會產生怎樣的影響,領導者要站在全局的高度,高瞻遠矚地思考這些問題。
?績效
企業要了解敵人,也要了解自己。企業自身的經營狀況以及進行外延擴大再生產之後,是否能夠保證安全性,造血功能有沒有提升。如果企業資產在不斷的擴大,資產負債率卻在不斷地降低,說明企業的經營效率在提高。企業的績效就是從整體經營狀況中體現出來。
而很多的企業在發展的時候,受到發展上的限制瓶頸,從規模上進行減少,外延上降低,這是可以理解的。但是企業的產量越來越低,資產負債率越來越高,資產負債率越來越高的後果可能就是企業費用增加到收入的1/4,雪上加霜的還有居高不下的應收賬款。這樣等到下一個業務循環開始的時候,面臨的就是更高的成本費用和資金來源。惡性循環的結果就是企業瀕臨破產,最後不得不清算倒閉。這就是不懂經營、不懂財務的領導掌管企業的悲慘結局。所以企業幹得越多,虧得越多,關鍵就是領導沒有從財務和企業的經營效率入手,對企業的全局進行控制把握。
企業運行的時候,不光是財務效益的問題,不僅是整個資產運營的狀況,同時還是安全性和承載能力的問題,更多的還是長遠發展能力的問題。所以企業在進行內部控制的時候,作為企業的領導人和財務主管,應該從全局著手,從更高層次著眼,遵循科學的指標體系,對生產經營和各部門的職責來展開控制活動。
部門管理的控制活動
負責某一部門的經理人員復核自己所負責部門的業績報告,檢查本部門各業務活動的情況,以便辨認趨勢。
部門管理是內部控制活動的第二項內容。部門管理說的是在企業管理裡面,部門處於執行階段和層次,這個層次應該起到的效果叫令行禁止,提高效率。戰略一旦確定之後,決定戰略能否實現的因素就是執行。能不能夠執行就靠各個部門怎樣去完成本部門的工作。例如公司每年都會編制預算,年底進行結算的時候就要考察有沒有實現當初的預定目標。這個實現的過程就需要各部門去完成。
財務部門的控制管理
企業的風險追根到底出現在執行層上面,部門負責直接管理的工作,對它的工作業績要進行報告,對生產效率進行分析。財務部作為一個業務部門,在企業控制的部門管理中應該取得價值領航的作用。財務部告訴業務部門某項工作該不該干,如果乾的話能夠取到怎樣的效果,是虧損還是盈利。
對於應收賬款的催收、統計和分析,財務部和銷售部門共同進行回收款項的時候,財務部門應該及時通知銷售部門的主管人員,通知法律事務部和信用管理部,對相關數據進行調整分解,重新確立企業的信用額度和賬期。
在成本核算當中,財務部應該科學地進行計量分析,用作業成本法的方式對每個產品進行分析,而不只是進行整體概括的描述。因為通過傳統方式對材料進行總體的分析是不夠的,需要讓決策者知道哪一個產品是賺錢的,哪一個產品是不賺錢的。
作為財務部長,一方面要承接上級企業財務功能,另一方面要把承接的功能分解到每一個會計身上,對每個主管會計進行培訓,來進行掌握,協助他們掌握相應的工作要點。讓其能夠在生產經營管理過程中得到成本數據和專業信息,作為財務管理的基礎。財務部長起到的作用就是引領主管會計做好他所從事的具體業務,而不需要過分干預具體工作內容。
一個企業永恆的主題,就是競爭,就是面對風險的時候,怎樣根據企業的核心競爭力和風險偏好,在風險中轉危為安。企業進行風險管理的時候,可以把這種管理作為一個區點陣圖,按照時間的序列和業務發展的過程做一個總體規劃。然後把總的規劃分解到每一個時段、每一個單位和每一個體系。一個項目的完成需要很多部門的協調溝通,如果有一個部門拖延了
時期,跟它的工作內容銜接的另一個部門的工作也會受到影響,從而拖延整個項目的實現進度。
就像完成一次大的戰役一樣,每個兵種,每個兵團,每個連隊和每個小分隊,都應該在指定的時間到達指定的高地,這樣才能把握戰局,如果其中有隊伍沒有搶占高地,很有可能輸掉整個戰局。
操作層的控制活動
這個層面涉及到具體落實工作內容的關鍵環節。中國人有這樣的一個觀念,就是不管是做生產經營管理也好,或者是生產過程也好,很多時候都是以一種隨意的心態去做事情。
中國有幾千年的農業文明作為基礎,農業文明的特徵是個體性,隨意性,季節性,靠天吃飯。這樣的傳統思想會影響到企業管理工作,一個領導實行一種方案,一個領導有一種想法,一個領導採取一種戰略,每個部門要根據不同老總的偏好調整心態,改變工作方式和工作作風,這種隨意的工作方式以個人為導向,而不是以工作為導向,這是一種誤區。
【案例】
有一個中國人和一個印度人到美國學習五星級飯店的管理,最後出現了非常有趣的現象,剛開始美國人特別喜歡中國人,因為中國人非常聰明,教了三天就把一個月的東西全學會了,而三天以來印度人怎麼都學不會。但是到第五天就發生了變化,印度人慢慢學會了一點,而中國人就開始忘了一點,到了一個月之後,印度人全部學會了所教的知識,中國雖然學會了,但根據自己的愛好做了改動,最後的結果是,印度人一旦學會之後,一輩子都不會改變,准確地執行了五星級賓館的標准體系。而中國人學會完了之後回到中國來,加上自己的想像和一種認識,對原有的標准進行了的改造,最後搞得不倫不類,所以中國沒有真正的五星級酒店。
點評:這個笑話講的道理就是中國人太聰明有自己的想法固然是好事,但是如果自作聰明就會聰明反被聰明誤,把正確的事情弄得一塌糊塗。企業管理當中也存在這個問題,每個人的思想不同,上級的命令傳到下面的時候執行起來就變了味道。中央的一號文件下發到地方的時候就已經發生了很大的變化,總是落不到實處。所以,在內部控制的過程當中,要克服這種農業文明給人的思想影響的弱點。
工業文明的最大特點就是集約化和規模化。機械生產依靠的就是規模取勝,工業化的前提是有統一的標准,這樣才能保證生產統一規格、統一質量的產品。中國人適合做古董,不適合做產品,就是這個道理。因為古董每一個都是不一樣的,而且越是不一樣,價格越高。但是做現代工業產品管理現代企業就不能這樣。在企業內部控制裡面,需要運用工業文明的思想方式,對每一個人的管理和資源使用、政策制定進行規范化,科學化。這樣才能讓顧客滿意,讓社會安全,讓產品安全,讓市場有效。
【案例】
中餐與麥當勞、肯德基
做餃子和做麥當勞、肯德基哪一個更容易?中國人會說做餃子容易,可是外國人學做餃子怎麼都學不會。一個外國人千里迢迢到中國來學做餡餅,怎麼都搞不明白,最後實在不行,就把所有的料放在餅的上面一烤,就成了今天的比薩。
中餐非常好吃,但是中國菜不好做,因為差異性很大,口味很豐富,所以沒有任何一家中餐企業能把中國飲食做成國際性的大企業,最重要的原因就是中餐沒有固定的標准。這給我們帶來了另外一個深層次的思考,就是在企業管理過程當中,如果沒有標准,沒有規范,工作程序無法復制,工作就沒有效率和效果,就不能滿足現代工業社會最基本的規模化要求。企業需要依靠產品的穩定性達到規模效益。
為什麼麥當勞、肯德基到中國來能迅猛的發展?就是因為它的產品非常規范,有統一的成本和業務流程標准,包括它的原料、生產工藝、服務也都採取標准化模式,很容易進行復制,所以連鎖店開遍全國,遍地開花。
點評:中餐之所以沒能夠像麥當勞、肯德基那樣在全球范圍內迅速發展開來的重要原因就是缺乏食物的標准,沒能夠從具體業務的操作層面上對工作過程進行控制,所以中餐現在還是局限於個體店面,無法迅速復制。
在企業內部控制裡面要講求標准,把工業化的思想變成具體的業務流程和操作規程。業務流程的意思就是業務的各個環節怎樣進行職能劃分和業務分工。它按層次可以分為一級流程、二級流程、三級流程等,依次數下去。一級流程就是大的幾個方面,每一個方法,每一
個業務,每一項業務的幾個步驟就是二級流程;每一個步驟的幾個業務點就是三級流程,每一個業務的點的幾個方式和方法,就是四級流程,每一個四級流程的幾個業務,幾個計量方式,或者是統計方式,就是五級流程。每個流程和其他的流程之間的轉化和銜接,就是流程介面。
這屬於企業內控制裡面的一個流程體系,做內部控制就是把流程規范化和標准化。企業要在美國上市必須要有非常規范的企業內部控制的流程和規程。例如采購之後,采購的物資怎樣轉化成資產,采購之前的業務流程是怎樣規定的,采購之後該做哪些處理,所有的這些過程都要包含在一個規范的流程體系裡面。這些工作完成之後,要跟財務部的工作進行銜接,也就是轉資的過程。轉資的過程當中,財務處長和財務處資產科的科長具體需要做哪些工作,在這個流程體系裡面都要有很規范的規定和描述。
企業存在哪些風險,這些風險會造成哪些危害,如何針對這些不確定性的危害採取措施?由這些問題出發進行分析研究從而形成內部控制制度,以管理文檔的形式體現出來。在這個管理文檔裡面,對各個層次、各個部門、各個業務的過程都要有非常形象的描述,這種描述就叫做內部控制的風險管理流程。
對風險進行科學的認識之後,形成一種形象的流轉截圖,這就是內部控制的風險的流程,對各個部門,各個層次,各項業務點進行總結分析,形成一個科學有效的業務管理模式,對業務環節的操作要求,把不可控的或者是定性的業務點,轉化成一個定量、可執行、可分解的業務動作,加以規范和實施。
第十講 內部控制活動(下)
信息處理的控制
第一類是一般控制(general control),它幫助管理層確保系統能持續、適當的運轉;(一般控制包括:對資料中心運作的控制;對系統軟體的控制;存取安全的控制;對應用系統的發展及維護的控制。)
第二類是應用控制(application control),它包括應用軟體中的電算化步驟及相關的人工程序。(應用控制包括:輸入控制;輸出控制)
在內部控制裡面,橫向的連接就靠信息,財務部和業務部門,業務部門和管理部門,管理部門和設計部門之間都要靠信息銜接。設計一種產品需要根據市場的反饋,根據財務的預測,根據售後部門的反饋意見而形成的。所以信息要科學地進行收集和傳導。
財務控制也是這樣,收入的確認,資產狀況的確認和采購、銷售、庫存的這些信息,要及時准確地進行銜接,對采購的主體、數量做詳細的記錄。信息的生成和轉化也非常重要,如果業務部門采購了一百,填寫信息的時候寫成一萬,在信息生成的環節就出現了問題,這也是財務部門非常撓頭的一件事情。
【案例】
一個煤炭企業的老總,要開除一個礦長,因為企業的成本控制非常嚴格,結果今年全年的成本指標被這個礦長突破了,礦井中采礦的機器裡面有一個大型設備,需要用美國非常高級的潤滑油,采購潤滑油的賬目上寫了個100沒有後面的單位,不知道是公斤還是噸,後來填了個噸,下面的人很奇怪也沒敢反對,因為是礦長要求采購的,於是一直到上面批准簽字,其他部門也沒看、這種潤滑油很貴,結果到貨後發現幾十年都用不完。
這就是信息生成之後,沒有對信息本身進行處理和風險的防範,從理論上來講有職責去管理它,但事實上很難做到毫無紕漏。後來雖然這個礦長承認了錯誤,還是下崗了。我們可以看到,對一個小小的信息的處理,最後會變成一個企業總體的戰略失誤。在企業里,無論是采購,還是生產銷售,所有的業務環節,最後無不打上財務的烙印,被會計信息所反映,折射整個生產經營管理的過程。所以內部控制要從會計入手。
薩班斯—奧克斯利法案也是從會計信息入手加強企業的內部控制管理,因為對會計信息的管理融合了所有資源,體現的是橫向聯系和控制的過程。
『伍』 全面風險管理與內部控制要做哪些工作
內部控制與企業全面風險管理的區別和聯系
區別在於:
1. 兩者目標不同。風險管理的目標相較於內部控制增加了一個戰略目標,戰略目標的制定是企業治理層面需要參與解決的問題,這表明風險管理屬於治理層次,而內部控制屬於企業管理層次;此外,風險管理把財務目標擴展為報告目標,不僅包括了財務報告目標,還包括了非財務類報告,彌補了內控目標體系重財務信息輕其他信息的缺陷;
2. 兩者組成要素不同。相比起內控的五大要素,風險管理增加了「目標設定、事件識別和風險應對」三個因素,豐富了風險管理內容,體現了風險組合觀;
3. 兩者的范疇不一致。內控僅僅是管理的一項職能,主要是通過事後和過程的控制來實現其自身的目標,而全面風險管理則貫穿於管理過程的各個方面,尤其是在事前制定目標時就充分考慮了風險的存在;
4. 兩者的活動不一致。內部控制不負責企業經營目標的具體設立,而只是對目標的制定過程進行評價,而風險管理包含了風險管理目標和戰略的設定、風險評估方法的選擇等一系列活動;
5. 兩者對風險的定義不同。全面風險管理框架將風險明確定義為「對企業財務目標產生的負面影響事件發生的可能性」,將正面影響視作機會,將風險和機會區分開來,而內部控制框架中,尚未區分風險和機會;
6. 兩者對風險對策不一致,全面風險框架引入風險偏好和風險容忍度。在風險度量的基礎上,有利於企業的發展戰略與風險偏好相一致,增長、風險與回報相聯系,進行經濟資本分配及利用風險信息支持業務前台決策流程等,從而幫助董事會和高級管理層實現全面風險管理的4項目標。這些內容都是內部控制框架中沒有提出的。
它們之間的聯系有:
1. 內控或風險管理的根本作用都是維護投資者利益、保全企業資產,並創造新的價值。從理論上說,企業的內部控制是企業制度的組成部分,風險管理則是在新的技術與市場條件下對內控的自然擴展,在內控的基礎上增加了一個目標即戰略目標和三個要素:目標設定、事件識別、風險應對;
2. 內控是企業風險管理的必要環節,在全面風險管理中扮演關鍵角色,內控應被管理者看作是范圍更廣的風險管理的必要組成部分,對於企業所面臨的運營風險,內控是必要的。
內部控制是由主體的董事會、管理層和其他員工實施的,旨在為經營的效率和有效性、財務報告的可靠性、遵循適用的法律法規等目標的實現提供合理保證的過程。
全面風險管理是一個過程,它由一個主體的董事會、管理層和其他人員實施,應用於戰略制定並貫穿於企業之中,旨在識別可能影響主體的潛在事項、管理風險,以使其在該主體的風險容量之內,並為主體目標的實現提供合理保證。
內部控制與風險管理關系十分密切,內部控制和企業全面風險管理既有橫向交叉又有縱向融合,風險管理是企業為了適應時代的變化,以內部控制為架構演變成另一種以達到某種目標的過程和方法。二者在要素、目標、含義等方面有很多聯系和相同的地方,既是獨立又有關聯的體系,是針對企業所不同的需求而演變成的兩種過程與目標。
『陸』 如何有效執行風險管理和內部控制等相關制度
風險管理:
一、對企業風險的認識
企業風險是指某一對企業目標的實現可能造成負面影響的事項發生的可能性,企業在制定和實現自己目標的過程中,會碰到各種各樣的風險,所以需要進行風險管理。企業風險管理就是通過分析公司的內外風險,制定系統的管理策略來處理這些風險,從而提高公司的盈利能力和實現企業的目標。風險管理的基本程序是風險識別、風險評估和風險控制。企業風險管理框架要素包括:內部環境、目標制定、風險識別、風險評估、風險應對、控制活動、信息和溝通、監控。
二、明確受託責任、完善公司治理,從公司組織結構上控制企業經營風險
公司治理實質的涵義就是基於一種受託責任的法律合同關系,並以此來規范各利益相關者的權利和義務,並讓他們充分發揮各自的功能。基於受託責任下的完善的公司治理結構-即公司股東會、公司董事會、公司經理層以及對受託責任履行行為實施監督的公司監事會的權利和責任的法律確認和有效執行。有效的公司治理是防範企業經營風險,增加公司價值的組織保障。
從表面上看,安然、世通公司的倒閉是因財務舞弊引起的。但在實質上,這兩個公司都是由於在公司治理上存在嚴重缺陷,才導致公司在財務上造假行為成為可能,公司倒閉的根源在於公司治理。美國的公司治理科學性被世界上許多國家所推崇,也是我國主要借鑒的。在美國公司治理中董事會設置最典型的特點是獨立董事制度,擔任大公司獨立董事的很多都是知名學者、教授,獨立董事在公司董事會人員中站多數,他們的作用主要是站在公正的立場,代表中小股東利益。但據調查,安然、世通公司的獨立董事是公司的獨立董事沒有在公司董事會中發揮應該起到的作用,導致公司治理失敗,內部控制制度沒有很好執行,造成公司經營風險。
我國在借鑒美國公司治理的獨立董事制度同時,也借鑒了德國公司治理的監事會制度。監事會在德國的公司治理中發揮著很關鍵的作用,但在我國,公司的監事會卻沒有真正發揮作用。
因此,控制企業經營風險,不但要有完整的公司治理架構,更主要的是要有基於受託責任下的公司治理各責任主體的法律責任的有效履行。
三、建立有效的內部控制制度
所謂內部控制,是為實現經營效率和效果,財務報告的可信性及相關法律的遵循等組織目標而提供合理保證的過程。其實施者為公司董事會、經理層和其他員工。內控制度是企業為有效實現其目標而設計的內部制度安排,它是為整個企業而設計的系統,企業不應該有任何人能脫離該系統的控制而自由運作。
現在人們越來越發現,公司的風險來自於內控制度的缺失或形同虛設。公司內部控制制度的根本就是授權和監督。公司所有人的許可權都是在這個組織中被授予的,並要得到有效監督。
內部控制:
第一是建立直屬於董事會和董事長領導的運營監控管理機構,將會計監督和管理監督職能整合在一個部門,不但要對違規行為進行監督和管理,還有對出現問題進行改進,二次進行監督、跟進,不斷的提高管理水平和管理意識。
1、根據集團發展需要,運營監控管理中心設審計部、招標部、生產監察部、改進部。運營監控管理中心直接歸董事長領導並對董事長、董事會報告工作,具體負責董事長及董事會要求和規定的各項審計、監察工作。運營監控中心總監的任用和解聘由董事長提議,董事會批准,其它人員由運營監控中心總監提出,董事長批准,其工作考核和獎懲由董事長、董事會決定。
2、運營監控中心人員辦理審計、監察事項,必須嚴格遵守審計、監察職業規范,忠於董事長、董事會,做到獨立、客觀、公正、保密,不得濫用職權,徇私舞弊,玩忽職守。
3、當遇到較大審計監察任務時,可臨時組織所屬公司的財務、人事行政、生產、銷售等部門的人員共同進行審計監察,各單位應該積極配合,不得推諉。必要時可聘請外部特邀專業人員進行專題或專案審計監察。
第二是制定運營監控管理中心明確的工作職責,確保企業內部監督的全面性,促進管控制度完善、細化,點、線控制全面,有效執行;提升企業現場管理;推動各部門的工作實施、改進。根據企業經營目標和審計計劃,開展各類財務審計工作及專項審計工作,確保企業健康運營。實現對企業采購的所有物資進行招標、比價,確保在當時采購條件下的性價比最優,高質、高效。
一、對出資者所屬公司的財務收支及其經濟活動進行定期審計。特別是對公司財產、資金管理使用和安全完整程度進行重點審計。
二、對出資者所屬公司的預算或計劃執行情況進行定期審計。特別對預算追加和預算外資金的使用情況進行重點審計監督。要進行事前、事中和事後的全面審計、監察。
1、事前對資產和財務狀況進行全面審計,劃清預算責任
2、事中對預算執行情況進行每月的跟蹤審計,發現問題及時解決,防止偏離預算或便於不適合時機預算的調整
3、事後即預算期結束後進行全面審計,評價預算執行情況,總結經驗,據以考核,兌現獎懲。
第九條、對集團負責人和各中心總監、總裁助理、各子公司負責人年度和任期經濟責任進行審計。對各單位的經營管理責任和財務會計責任的履行情況進行審計和評價。特別是對董事會決議、公司經營方針、目標、戰略的落實執行情況作為重點審計內容。
(一)對經營管理責任履行情況的審計監察主要評價經營成果的有效性。審查負責人是否是按董事會的要求、經批準的經營規劃進行經營管理的審計,審查有無決策失誤和錯失經營時機,有無短期行為,破壞公司資源,評價經營管理政策和工作措施是否高效可行等。
(二)對資產的安全和完整進行審計。審查固定資產、無形資產、存貨、應收賬款等公司資產是否存在風險和不安全,是否完整,有無積壓和呆死壞帳,有無損壞和貶值,是否真實。
(三)對財務會計責任履行情況的審計監察
1、財務責任就是理財責任,就是評價財務狀況是否優良,財務資產是否增值,使用是否充分有效,是否盤活現有資產,有無浪費,有無財務和稅收風險。
2、審計責任主要是評價內部控制是否健全完善、資產管理是否安全,會計防範是否有效,會計數據是否真實,會計工作和前台業務是否脫節,會計工作是否支持業務等。
(四)對人事事項進行審計。審查工作效率,人力成本、人均效率,審查員工隊伍建設情況,是否提高凝聚力向心力、協作精神,是否建立共同願景,有無在人事方面以權謀私的情況,有無任人唯親,有無打擊報復,嫉賢妒能等情況。
(五)對采購進行審計。審計采購的質量是否符號要求、價格是否合理、資金結算是否符合預算要求、交期是否及時,審查采購作業流程是否高效,有無按流程操作,有無徇私舞弊行為。
(六)廉政建設審計。對違反公司廉政建設的行為進行審計如請客送禮、接受賄賂等。
三、對公司的項目投資情況進行審計。
四、監督、檢查和評價各單位內部控制和管理制度的建立健全、嚴密程度和執行情況以及內部風險管理:
1、檢查各子公司、各中心各崗位的責權劃分是否明確,崗位責任是否建立並且有效;
2、所有原始憑證是否進行統一的連續編號,並順序使用,領用空白憑證是否有嚴格的登記注銷手續;
3、檢查所有的實物資產包括固定資產、低值易耗品、包裝物、辦公用品、庫存商品是否實行責任管理,並制定了相應的控制制度,執行情況如何;
4、檢查所有業務是否都實行了程序化、規范化、制度化,各流程中的關鍵(資金)點是否實行了重點控制,控制是否有效,程序是否經濟、高效;
5、檢查主要崗位人員的變動是否建立並實行了恰當的交接制度,手續是否完備;
6、檢查各子公司是否建立並實行了有效的成本費用控制制度和資金使用制度;
7、檢查各子公司采購、商品入庫、出庫、領用、銷售、成本費用、資金收支、對外投資、資產處理的內部財務控制制度的建立和執行情況;
8、其它內部控制事項。
五、對違反出資者、公司規章制度、財經政策紀律,侵佔公司資財、損害公司利益、嚴重鋪張浪費和職務消費行為進行專項審計。
六、對各子公司有關的經營方案、預算草案、資金使用方案、重要的經濟合同、重要文件、制度的合法合理性,有效正確性進行審計評價。
七、對管理者的工作作風和廉政建設進行監督、監察
1、監督、監察抵觸執行公司的各項規章制度和紀律,或將規章制度打折扣執行的行為;
2、監督、監察弄虛作假,有事不及時匯報,欺上瞞下者,對工作扯皮推諉、相互拆台或搬弄是非的行為;
3、監督、監察未經審議,擅自決定公司的重大生產經營決策的行為;
4、監督、監察壓制人才,嫌才妒能,阻礙或限制他人才能發揮的行為;
5、監督、監察收受與業務有關單位或個人的錢物(含提成、回扣、報銷及代為支付費用)的行為,特殊情況下接受的禮品不上交公司的行為;
6、監督、監察以任何名義宴請公司領導、有關部門領導、公司員工及利害關系人的相互宴請的行為;
7、監督、監察未經許可工作時間飲酒、延誤工作的行為;
8、監督、監察利用公款參與高消費的娛樂活動,報銷應由個人支付的各項費用,虛報冒領費用或款項的行為;
9、監督、監察利用出差機會協親屬旅遊或接受業務單位安排旅遊活動的行為;
10、監督、監察對人封官許願,拉幫結伙,搞小團體,助長歪風邪氣的行為;
11、監督、監察對檢舉或有異議的員工或同事打擊報復的行為。
八、總裁、副總裁、總裁助理、各中心總監、各子公司總經理等高層領導的離任、交接審計
九、對人力資源使用效率和效果進行監督、監察。
1、對人力資源(資本)管理的內部控制監督、監察。監督、監察人力資源(資本)的招收、管理、培訓、使用、激勵等一整套規章制度有與無,完善與否,執行嚴格程度,效用的大小等。評價其內控制度的適當性;審查評價其是否與時俱進,即在相對穩定的原則下,能否隨著環境和條件的變化而調整本組織的人力資源管理控制政策;
2、對人力資源(資本)的開發利用程度監督、監察。監督、監察人力資源(資本)的開發利用是否使其個體不斷保值增值,並要使其價值得到充分發揮。更重要的是由個體人力資源(資本)協調聚合的群體價值。通過對招聘、培訓、使用、增值、文化、協調聚合等的監督、監察,使人力資源(資本)的開發既能適用於當前的現實需要,又能考慮超前的,顧及到未來的發展後勁。促使其能建立起一個制度化、科學化的動態運行機制。特別是對人力資本的增值培訓的投資問題,要有妥當的計劃安排。即人力資本培訓的投資要有強制的措施,還應按銷售收入或稅後利潤的一定比例進行人力資本投資培訓,或按其崗位定期或不定期培訓,使人力資本的增值有制度安排;
3、企業人力資本產權監督、監察。監督、監察勞動者權益在企業契約的規定是否受到尊重;人力資本的所有權分配關系的落實程度;人力資本定價與激勵方式的適當性及其效果。通過對企業人力資本產權的監督、監察,使企業在不與法規相沖突的前提下,建立起不侵犯人力資本所有者權益,能夠充分有效地調動不同層級的人力資本載體者的積極創造性,既能使個體人力資本價值增值,又能有效地提高企業核心競爭力的恰當機制的制度;
4、員工隊伍建設監督、監察,是否提高凝聚力向心力、協作精神,是否建立共同願景,有無在人事方面以權謀私的情況,有無任人唯親,有無打擊報復,嫉賢妒能等情況
十、對各子公司產、供、銷各個環節經濟活動的效益、效率、經濟、合理、合規和合法性進行監管。
(一)對采購事項進行監管,采購部門的責任就是在適當的時間、適當的地點為公司采購性價比最優的原材物料,降低成本、降低付款率,控制采購費用;
1、監管采購計劃的審批是否符合程序,采購計劃數量是否符合庫存和生產使用要求;
2、監管采購合同訂立、審批程序是否合理,是否有越權審批;
3、監管采購流程是否符合內部控製程序,是否滿足「高質、高效」的要求;
4、監管采購的決定權和操作權是否分離;
5、監管采購數量、質量、性價比、交貨期是否能夠滿足生產使用要求;
6、監管采購付款計劃、付款金額、付款比例是否符合財務規定,是否按合同執行;
7、監管采購人員采購、招標過程中是否有舞弊行為,是否有暗箱操作行為,是否有故意刁難客戶行為;
(二)對生產事項進行監督、檢查
1、監督、檢查下達的生產計劃規格、型號、數量是否符合銷售合同要求,手續是否完備;
2、監督、檢查生產質量的控制是否有質量跟蹤記錄,是否符合企業檢驗標准;
3、監督、檢查生產控制材料領用、發放的各種單證是否齊全,記錄是否真實、完整;
4、監督、檢查生產產量和工時記錄是否真實、合理、准確;
5、監督、檢查生產消耗是否符合定額標准;
6、監督、檢查生產工資費用、工資分配、材料分配、製造費用是否真實、合理、符合預算管理控制;
7、設備完好率的監督、檢查,有無操作規范,執行的狀況如何,有無拼設備的短期行為;
8、現場管理的監督、檢查,審查有無可行合理的現場管理規范,是否實行了6S管理等;
(三)對營銷事項進行監督、檢查
1、監督、檢查銷售管理部門應收及預付帳款內部控制是否合理有效,是否能夠降低企業風險;
2、監督、檢查銷售發票、合同、銷售訂單所列的商品名稱、規格、數量、價格是否一致,是否符合公司價格規定;
3、監督、檢查對業務員報價是否按照公司銷售政策執行,有無越權審批折讓和價格的違規行為;
4、監督、檢查銷售合同、賒銷的審批是否手續完備,是否有越權審批現象;
5、監督、檢查發貨清單與銷售發票是否一致,物流配送是否滿足客戶需求;
6、監督、檢查銷售發票是否連續使用,有無缺號、作廢是否正確;
7、監督、檢查銷售人員是否有截流公司銷售貨款的情況,是否在銷售過程中有接觸現金的情況;
8、應收帳款壞帳損失是否按照公司規定對相關責任人進行處罰;
9、市場現金操作是否按財務有關規定執行;
十一、對質量系統的監督、檢查;
十二、對董事長安排的專項工作進行專項監督、檢查
第三是對運營監控管理中心的充分授權,沒有充分的授權,運營監控監督力度、執行力將大打折扣,各種改進措施的落實將會成為一句空話、大話,董事會能否對內控部門充分授權是內控部門開展各項監督、改進的保障。
具體應該賦予內控部分哪些職責呢?我認為內控部門應該具備以下權利。
一、有權要求各級財務部門按時上報財務報告、預算執行情況報告、財務決算報告、資產處置報告以及相關的財務制度。
二、有權參加各子公司、各中心的有關會議並召開與審計、監察事項有關的會議。
三、有權參與研究制定有關的規章制度和政策。
四、有權調閱各中心、各子公司經營管理和財務活動的有關書面、電子資料、文件以及現場勘查實物。
五、對於審計監察事項有關的問題有權向有關單位和個人進行調查,並取得證明材料,有關單位和個人必須予以配合。
六、對正在進行的嚴重違反出資者和公司規章、利益和嚴重浪費損失的行為,有權做出臨時制止決定。
七、對拖延、推諉、阻撓、拒絕和破壞審計監察工作的,報經董事長同意後,有權採取封存賬冊和凍結資產的臨時措施,並追究責任人和有關領導的責任。
八、有權提出糾正、處理違規行為的意見以及改進經營管理、提高經濟效益的建議。
九、對違反董事會、公司規章制度和浪費損失、侵害公司利益的單位和人員,報經董事長同意後,有權進行通報批評和提出追究責任的建議。
十、董事長審查批准簽發的審計報告,各有關單位和個人必須執行。
第四是建立科學、公正、公開的監控管理工作程序,使保障監控工作公正實施的前提,是對內控部門開展工作的標桿,是推動企業內部管理不斷改進的基石。
一、編制年度、季度、月度監控管理工作計劃,報董事長審批後執行。臨時項目由董事長授權副董事長批准和實施。
二、審計監察前的准備工作。根據批準的監控管理計劃和臨時安排確定審計監察對象,制定審計監察方案,指定審計監察項目負責人和參加審計監察的人員名單,審計監察方案經董事長批准後,由審計監察負責人簽發審計監察通知書,通知被審單位。被審單位應該准備和提供相關審計監察資料。
三、在審計監察過程中,審計監察人員必須編制審計監察工作底稿,作好審計監察記錄和日誌,收集審計監察證據,重要證據應有相關人員的簽字確認。
四、審計監察終結階段,應根據審計監察工作底稿對審計監察事項和結果提出審計監察報告。
五、審計監察報告報董事長審定。一般常規報告由副董事長簽發審計監察決定並附審計監察報告副本發被審單位和有關部門執行。重要審計監察報告的決定有董事長簽發。
六、審計監察決定下達後,運營監控管理中心應督促被審單位和有關部門執行。
七、被審單位應按照審計監察結論和決定,針對問題及時做出處理,處理結果應報告稽核部。如對審計監察結論和決定有異議,可在收到審計監察結論和決定十五日內向副董事長、董事長提出復議。在復議期間,原審計監察結論和決定照常執行。
『柒』 企業內部控制與風險管理的管理要點
構建風險管理下的內部控制體系的要點
3.1營造良好的內部控制環境
內部控制環境是內部控制實施的根本環境,是推動企業發展的動力,也是其他風險管理因素實施的基礎,其對企業內部控制的構建與實施具有重大的影響,可以說企業的控制環境直接決定了其內部控制與風險管理的效率和效果。
(1)深化對內部控制的理解,樹立風險管理理念。深化對內部控制的理解,首先應突破對傳統的內部控制的理解,應認識內部控制不僅局限於會計層面,內部控制包含更高層次的戰略目標,在電力設計企業向多元化經營、總承包和海外項目轉型發展的過程中,就要從戰略高度進行風險管理和內部控制。再者,無論是企業的管理層,還是企業的員工都應具有風險管理意識,並把風險管理意識貫穿於企業的生產經營過程中,包括業務管理、職能管理、質量與安全管理等各方面。風險管理理念的培養可以通過企業領導層的表率作用、相關的培訓及相關的規章制度來實現。
(2)建立公司治理結構並充分發揮各機構職責。企業各層級各部門之間應分工明確,並相互監督、相互牽制。公司可以通過公司章程的規定及完善相關的激勵約束機制來保障公司機構職責的實現。非常重要的一點是,電力設計企業的最高管理機構,要對內部控制的建立和實施負責。企業應下設內控控制與風險管理的建設、監督管理機構,各機構分別負責各方面的工作,並相互監督、相互制約。
5.1完善法人治理結構,為全面風險管理的內控體系建設創造一個良好的內部控制環境。建立一個健全的內部控制體系,實際上就是完善法人治理結構的體現,大多數電力設計企業設立了內部審計機構,但多數內部審計機構隸屬於財務總監或總經理領導,因此將電力設計企業的內部審計機構升級為公司董事會審計委員的組成部分或工作部門,這樣將進一步明確內部審計機構在電力設計企業內部控制方面的主體地位。
(3)培養員工的職業道德和勝任能力。企業員工是企業生產經營活動的執行者,員工良好的職業道德可以保證企業經營活動的順利進行,可以避免舞弊事件的發生。員工的知識和技能必須與所在崗位所需能力相匹配,這是經營活動和內部控制活動得以有效運行的基本保障。為此,企業應以誠信等職業道德作為員工的行為准則,建立獎懲機制,加強員工的再教育,對關鍵崗位實行定期輪崗制。
3.2設定企業戰略目標
企業應根據企業的使命或願景來設定企業的戰略目標,戰略目標是企業的最高目標,其他目標為戰略目標服務。企業根據戰略目標再層層分解,並由各部門來落實。戰略目標的制定應考慮企業的風險容量,企業實現戰略目標所面臨的風險應在企業風險容量之內。
3.3完善風險管理體系
企業應建立風險導向型內部控制體系,只有把風險管理落實到企業的各個環節,才能控制風險。完善企業風險管理體系,應關注一下幾點:
第一,建立風險預警機制。企業應通過目標分析、過程分析等方法來識別影響企業目標實現的內部及外部的潛在事項,分清潛在事項是機會還是風險,明確風險預警標准。風險預警機制的建立對企業及時抓住發展機會,及時評估、處理風險具有重大意義。
第二,建立風險評估體系。企業應對已識別的風險進行進一步的分析與評估,分析潛在風險是固有風險還是剩餘風險,分析風險發生的可能性及其影響,並關注重大風險。評估現有的內部控制對風險的適用性,是否需要追加程序等。在評估風險時應注意運用風險組合觀。
第三,建立風險反應機制。風險應對是控制風險的關鍵步驟,在風險評估後,企業應針對風險發生的可能性、影響的不同程度,採取不同的應對措施,其中應特別關注重大風險。風險應對措施包括迴避、降低、承擔和分擔風險。同時,在風險應對中要考慮成本與效率的問題。
3.4建立良好的控制活動
企業應建立良好的控制活動以確保管理層應對風險的各種措施得以有效執行,控制活動貫穿於企業各個部門,各個層面及其活動。控制活動應該包括:對員工績效的分析與考核,部門的自我復核,對信息處理的控制(包括一般控制和應用控制),實物資產的控制,責任劃分與不相容職位相分離控制。
3.5充分的信息與溝通
在經營過程中,企業應建立信息的傳遞和溝通以確保員工了解內部控制,明確自己的職責。同時通過對外部市場信息、政策信息、顧客信息、競爭對手信息的了解和掌握,通過與各方的溝通,有利於企業及時處理風險、抓住機會,實現更好的發展。企業可以通過員工手冊及建立信息收集與處理系統來實現。
3.6建立內部控制監督與評價機制
對內部控制的監督與評價是確保內部控制制度得到有效執行的重要手段,同時有利於企業管理層及時了解內部控制存在的問題,可以為內部控制的改進提供建議,有利於內部控制體系的不斷完善,進而幫助企業控制各種風險。內部控制監督與評價機制的建立主要包括內部和外部兩個方面:
第一,企業應建立獨立、權威的內部審計機構。內部審計機構的設置應與其他職能部門分離開來。內部審計機構應具有執行審計決定和審計結論的權利,可以建立具有較強獨立性與權威性的董事會領導型或監事會領導型的內部審計機構。內部審計不應只局限於財務報表審計,應對企業資格內部控制系統進行全面的監督和評價,包括對企業財務信息、經營活動、控制活動進行審計及評價。同時應提高內部審計人員的職業道德和業務素質,及形成不同職務之間相互檢查、監督的機制。
第二,提高外部監督與評價。由於內部審計主要對企業領導負責,所以內部審計具有固有局限性,可能會導致一些控制缺陷在權力干預下被掩蓋,不利於企業內部控制的改善。所以通常需要獨立的第三方參與企業的監督與評價,以實現監督的職能。首先,應完善內部控制信息披露制度,使企業接受政府、社會的廣泛監督。再者,可以藉助第三方審計力量,最常見的就是定期聘請注冊會計師對企業內部控制設計及執行情況進行審計及評價,並出具評審報告。這也有利於監督企業內部控制的構建與實施,也有利於及時發現企業內部控制中存在的問題。
(2)風險評估
中石化根據企業的發展目標,由各部門收集全面的信息來確定企業的風險容量,並根據企業可能面臨的內部風險和外部風險建立以內部控制為基礎的風險評估和控制體系,對企業目標的實現有重大影響的關鍵環節進行全面的風險評估。針對各部門面臨的風險和責任制定內部控制流程。中石化根據內部審計結果及在管理過程中發現的問題,不斷對《內控手冊》進行修訂,各分(子)公司也不斷修訂實施細則。動態的風險評估與應對為企業實現目標提供保障。
(3)控制活動
中石化的控制措施有:不相容職務分離控制、授權審批控制(以授權指引為核心)、會計系統控制(建立了統一的財務管理信息系統)、資金支付控制、財產保護控制、信息技術控制(採用先進的ERP管理信息系統控制)、計劃控制、預算控制(全面預算控制)、合同管理控制、運營分析控制和科學的績效考核控制等。並將手工控制與自動控制相結合,將預防性控制與事中發現控制結合,建立了重大風險預警機制和突發事件應急處理機制。通過業務控制矩陣明確每個控制點的業務目標、風險、責任單位、不相容崗位、記錄文檔等,為內部控制責任的落實提供指導。對風險的描述就體現了全面風險管理的內部控制的要求。
中石化的《內控手冊》保障了內部控制活動的進行,《內控手冊》包含了采購、資產、信息管理、內部審計等18大類,59個業務流程,包含了企業經營管理活動的各個方面。
(4)信息與溝通
中石化採用先進的ERP管理信息系統,會計核算系統、資金集中管理系統、全面預算管理系統和各項業務管理等各成體系的信息系統,並實行財務信息系統集中管理。該系統讓各業務部門人員的業務操作都統一在ERP系統上進行,企業錄入業務數據後,生產、銷售各環節即按相應的業務流程生成相關信息,並傳送到公司總部資料庫進行監控和分析。中石化制定了相關的管理辦法和業務流程,從一般控制、應用控制等方面對信息系統進行規范和控制。企業不斷完善信息搜集機制,完善信息溝通平台,《內控手冊》也有相應的規定來保障企業部門之間、部門與各分或子公司之間及管理層與外界之間的溝通順暢。中石油按照相關法規的規定定期對外披露信息,對外信息披露由董事會和總裁辦公室審核。
(5)內部監督
中石化設立了審計委員會負責對財務報告和內部控制的審查,由審計部定期獨立審查分公司和子公司。企業建立了兩極內部控制日常監督機制,兩極評價指的是總部綜合檢查和分公司、子公司自查測試。總部綜合檢查主要是內控領導小組負責的年度綜合檢查和審計部對不少於25家分(子)公司進行獨立檢查,及對總部進行檢查。分公司、子公司自查測試工作主要是企業通過部門流程測試和有審計參與的綜合檢查評價進行自查測試,及總部部門自查和抽查評價。除日常監督外,中石化還建立了針對內部控制一些重大方面的監督檢查。
此外,中石化制定了《中石化監督制度匯編》,完善了企業的反舞弊制度。通過制定內控控制執行情況指標對內部控制進行考核。每年定期對內部控制的設計及執行情況進行評價,出具內部控制自我評價報告,並向外披露,接受外界的廣泛監督,並聘請外部注冊會計師對財務報告內部控制進行審計。
4.4中石化內部控制的評價
中石化制定《內控檢查評價與考核辦法》及指引來指導企業內部控制的評價。並根據《內控手冊》,檢查內部控制設計是否健全;據《內控手冊》所適用的內容及范圍,檢查內部控制執行的符合性和有效性。中石化主要以內部控制缺陷認定和量化評分的方式對內部控制進行自我評價。從內部控制要素、業務流程綜合檢查、單位自查情況等方面對內部控制進行評價,並制定了規范的內部控制自我評價流程圖來規范評價,保障評價的公正性。
4.5中石化內部控制實施以來取得的效果
中石化自2005年實施內部控制以來,不僅提高了企業的管理水平,企業的盈利能力也隨之增強,具體來說:中石化制度化管理體制不斷完善,逐步形成了以內部控制為保障,具有中國石化特色的制度化管理體系。不僅提高了企業的抗風險能力,保障企業目標的實現,也為國內其他企業內部控制的建立樹立了榜樣。中石化管理水平不斷提高。中石油實行統一的物資釆購管理,規范企業物資采購,為企業節約了材料成本。建立了產品原料等消耗標准,使企業生產經營管理日益精細化。通過建立IT風險控制系統,使企業風險能力日益增強。內部控制及其審計,提高了審計效率和效果,使企業管理水平不斷提高。內部控制的實施加快了企業規章制度的建立,明確了各企業機構、部門及各崗位的職責和權力,對業務操作流程的規范也提高了企業管理效率和管理水平。中石化內部控制的實施滿足了外部監管的要求。中石化作為在境內外三地上市的公司,其內部控制的實施與披露滿足了各上市地的要求,內部控制自實施以來也得到了不斷的完善和改進。內部控制的實施使中石化內部環境不斷優化,內部控制的實施保障了公司的體制改革,使公司治理結構不斷完善,使企業文化得到了統一和貫徹實施,《員工守則》的制定規范了員工的行為,也使風險管理和誠信經營的理念深入人心。
『捌』 如何開展內部控制和風險管理工作
1.
要創造良好的 控制環境,注重建立具有風險意識的 企業文化。
2.
要有強烈的 風險意識和 內控責任。風險管理的起點是 風險識別,是進行有效風險管理的基礎和關鍵。
3.
要充分利用內控規范並使其得到不斷地優化。