內控手冊收集資料目錄
⑴ 內控手冊的更新有什麼部門負責
一般是之前的內控項目小組進行更新:
更新分兩中情況:
1、年度更新
2、組織架構、新業務更新
⑵ 公司內控手冊分類標准怎麼確定會更好
以流程進行分類,可參考台灣上市公司公開發行公司建立內部控制制度實施要點分類:
1.銷售及收款
2.采購及付款
3.薪工
4.固定資產
5.....
⑶ 企業的內控手冊都一樣么,一個企業 內控手冊可以在哪裡找到
每個企業的內控制度框架是一樣,但是內容會根據自己的情況制定不同的制度。
設計內控制度要對企業非常了解才行。
⑷ 什麼是內控手冊
1、 編制《內部控制手冊》的背景
為規范江蘇亨通光電股份有限公司(以下簡稱「股份公司」)的管理,貫徹《中華人民共和國公司法》、《中華人民共和國證券法》、《中華人民共和國會計法》以及其他有關法律、法規,滿足國內外資本市場對上市公司的監管要求,股份公司特製訂《內部控制手冊》,作為建立、執行、評價及驗證內部控制的依據。
完整的內部控制體系和完善的內部控制制度,是約束、規范企業管理行為的准則,是減少風險的重大措施。實施內部控制可以及時發現和糾正各種錯弊及不法行為,有利於保證資產安全、完整,保證經營成果與財務狀況真實、可靠。其必要性表現為:
一是建立現代企業管理制度,完善法人治理結構,實現經營機制的轉換,加強企業管理,提高企業經營業績,改善企業財務狀況。
二是貫徹我國有關法律法規,遵循財政部、證監會、審計署、銀監會、保監會等五部委《企業內部控制基本規范》、《企業內部控制配套指引》,以及美國《薩班斯-奧克斯法案》等國內外資本市場監管需求,提高會計信息質量。
三是積極參與競爭、努力降低風險。隨著市場競爭日趨激烈和信息技術高度發展,以及全球經濟一體化的進程加速,股份公司所面臨的風險也逐漸加大。建立健全有效的內部控制制度,是防範風險、提高經營效率和效果的重要措施。
四是建立統一規范的內部控制制度,使股份公司各項規章制度成為系統性、可操作性和包容性很強的內部管理制度,更為有效的體現股份公司管理理念。
2、 《內部控制手冊》遵循的基本原則
一是合規性原則。合規性是指企業內部控制制度必須符合國家的法律、法規和政策;符合股份公司上市地證券監管機構有關上市公司的法律、法規和要求。
二是全面性和系統性原則。《內部控制手冊》涉及股份公司經營活動的各個方面,其內部監督和控制貫穿於經營管理活動的全過程並涉及全體員工。股份公司的每一個員工既是內部控制的主體,又是內部控制的客體;既要對其負責的作業實施控制,又要受其他人員或制度的監督和制約。《內部控制手冊》使股份公司內部各部門、各崗位形成較為系統的既互相制約又具有縱橫交錯關系的統一整體,確保各部門和各崗位均能按特定的目標相互協調的發揮作用,最終實現股份公司內部控制的總體目標。
三是內部牽制及不相容原則。內部牽制是指部門與部門、員工與員工以及各崗位之間所建立的互相驗證、互相制約的關系,屬於企業內部控制制度一個重要組成部分。其主要特徵是將有關責任進行分配,使單獨的一個人或一個部門對任何一項或多項經濟業務活動沒有完全的處理權,必須經過不相容的其他部門或人員的驗證、核對和制約。
四是權責明確、獎懲結合原則。根據各部門和崗位的職能與性質,明確各部門及人員應承擔的責任並賦予相應的許可權,根據操作規則和處理程序,確定追究、查處責任的措施與獎懲辦法等,使權有所屬,利有所享,避免發生越權或互相推諉的現象。
五是成本效益原則。在內部控制活動中貫穿成本效益原則,就是要力爭以最少的控制或最低管理成本獲取最大的經濟利益。要實行有選擇的控制:要努力降低控製成本,盡量精簡機構和人員,改進控制方法和手段,提高效率。
六是可操作性原則。《內部控制手冊》必須符合股份公司實際,無論在業務流程式控制制點的設置,還是授權項目許可權的確定,都要考慮實際管理工作中是否可行,保證其可操作性。
七是包容性原則。《內部控制手冊》是依據股份公司現行各項管理制度,為控制風險而編制的一系列流程式控制制體系,內容涵蓋投資、生產、經營、財務、監督檢查等方方面面。《內部控制手冊》力求避免與其他制度相矛盾,盡可能包容現有的各項制度,對確實有沖突的其他各項管理制度,應及時修改、完善,並以《內部控制手冊》規定為准。
八是信息反饋原則。確定與控制工作有關的人員在信息傳遞中的任務與責任,規定信息的傳遞程序、收集方法和時間要求等事項,建立嚴密的紀錄、報告等信息反饋系統。
3、 《內部控制手冊》的適用范圍
《內部控制手冊》適用於股份公司及其下屬公司(下屬公司是指股份公司投資(控股)和託管公司)。股份公司投資(控股)和託管公司應當參照股份公司《內部控制手冊》,結合自身特點,按照「業務必須覆蓋股份公司《內部控制手冊》中對應的所有規定內容,許可權比照股份公司」的原則,制定內控手冊,履行本公司審批程序後,報股份公司內控部備案。
4、 內部控制定義
內部控制是為了適應國內外證券機構監管要求,提高風險管理能力和經營管理要求,由股份公司董事會、管理層及其全體員工實施的,為經營活動的效率與效果、財務報告的可靠性、相關法律法規的遵循性等目標的實現而提供合理保證的過程。內部控制主要由內部環境、風險評估、控制活動、信息溝通及監督檢查等五個要素構成:
內部環境是影響、制約內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置和權職分配、企業文化、人力資源、內部審計機制、反舞弊機制等。
風險評估是及時識別、科學分析和評估影響股份公司目標實現的各種不確定因素並制定應對策略的過程。風險評估主要包括風險識別、風險衡量、風險應對和風險報告。控制活動是指根據風險評估結果、結合風險應對策略,採用恰當的控制措施以確保內部控制目標得以實現的政策和程序,是實施內部控制的具體方式,控制措施的選擇應當結合企業具體業務和事項的特點與要求,主要包括權責分離控制、授權與審批控制、預算控制、財產保護控制、分析與報告控制、績效考核控制、信息技術控制等。
信息溝通是指及時、准確、完整地收集與股份公司經營管理相關的各種信息,並使這些信息以適當的方式在有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。信息與溝通主要包括信息的收集機制以及內部與外部有關方面的溝通機制等。
監督檢查是對內部控制的有效性進行檢查評價,形成書面報告並作出相應處理的過程,是實施內部控制的重要保證。
2010年五部委頒布《企業內部控制規范配套指引》,分18項應用指引,1項評價指引,1項審計指引,是對《企業內部控制基本規范》的進一步細化指導。
5、 內部控制組織機構
按照《企業內部控制基本規范》和《企業內部控制配套指引》的要求,為確保公司內部控制規范體系建設工作順利開展,公司內部各項內控制度得到貫徹執行,以實現股東利益最大化經營宗旨,促進公司的全面可持續發展,公司成立了內部控制規范實施工作領導小組和工作小組,以及內部控制規范評價組,組織公司對內控機制建設的工作部署,落實公司制定的內控機制基本制度和工作標准,按內控要求對公司內控體系的布局進行整體規劃,監督內控機制工作的整體進程,確保內控機制健康運行。
內控領導小組由公司董事長擔任負責人,工作組職責:組織公司對內控機制建設的工作部署,落實公司制定的內控機制的基本制度和工作標准,按內控要求對公司內控體系的布局進行整體規劃,監督內控機制工作的整體進程,確保內控機制有效運行等。
內控建設工作組由股份公司總經理牽頭,小組職責:落實公司內控領導小組要求,按職責分工開展相關工作,落實公司制定的各項內控制度,負責日常工作的風險防控等。協調召開內控建設工作會議,負責協調督辦各子公司及各部門開展內控工作等。
內控評價工作組由股份公司監事及審計部門組成,小組職責:落實公司內控工作領導小組要求,按職責分工開展內控評價相關工作,督促落實公司制定的各項內控制度,負責日常工作的風險防控檢查等。
內部控制工作各組按照公司內部控制工作要求,按職責分工開展相關工作,落實公司制定的各項內控制度,負責日常工作的風險防控等。內控部及審計部作為內控規范的牽頭部門,聯合公司各職能部門、各子公司協同開展組織內控建設和自我評價。內控部作為股份公司內部控制工作日常管理機構,具體負責組織內部控制執行情況監督檢查,內部控制評價,《內部控制手冊》更新及培訓等工作。
6、 《內部控制手冊》使用指南
本《手冊》包括五部分,即《江蘇亨通光電股份有限公司內部控制手冊編制使用說明》、《內部控制手冊》、《授權指引》、《不相容職務分離》、《風險評估》。
《江蘇亨通光電股份有限公司內部控制手冊編制使用說明》即本文內容,對《內部控制手冊》編制背景、遵循原則、適用范圍、內部控制定義、內部控制組織機構、使用指南、貫徹實施的責任和要求、編寫與管理、發放、使用要求、生效、維護、更新作出闡述;
《內部控制手冊》,描述了內部控制體系組織結構與職責,較為全面地闡述了內部控制體系的建設目標,以五部委《企業內部控制應用指引》18個子項,從控制環境、風險評估、控制活動、信息與溝通和內部監督等五個方面對內控關注要點及相應措施進行了較為全面、系統的闡述。
《授權指引》,描述了公司管理、決策、一切控制活動授權審批的范圍、層次、程序、責任,對內控關注要點的審批許可權進行了闡述;
《不相容職務分離》,描述了公司內部機構、崗位的設置及其職責許可權的合理劃分,確保不同崗位形成各司其職、各負其責、相互制約的工作機制,並匯編了公司所有不相容職務。
《風險評估》,描述了公司風險控制目標和風險評估的基本概念以及風險的分類,風險管理制度從確定風險評估目標、風險評估機制、建立並完善風險管理體系三個方面對內控關注要點及相應措施進行了闡述,並匯編了公司一切活動的風險內容及評估。
7、 《內部控制手冊》貫徹實施的責任和要求
《手冊》建立了一套科學、系統的內部控制體系建設方法和標准,是公司建設並實施內部控制體系的綱領性文件。為保證內部控制體系「設計有效、執行有力」,各部門、各公司要認真組織實施,嚴格遵照執行。要充分認識內部控制體系建設工作的長期性和艱巨性,把建立和有效運行內部控制體系作為重要工作,建立長效機制,指定管理部門或管理崗位,履行內部控制職能,切實做到實施有力。
為推動《手冊》的貫徹執行,提高《手冊》的使用效果,股份公司及各子公司每年至少舉辦一次《手冊》使用培訓,要有計劃地做好培訓,將內控工作要求傳達到每個員工、每個崗位,確保執行到位。
各公司要按照五部委《企業內部控制基本規范》、《企業內部控制配套指引》及《股份公司內部控制手冊》編制規范的要求,修訂、完善和細化本公司的手冊。
各公司內控負責人要對本公司內部控制體系運行情況進行檢查和督促,內控部將定期組織考核並進行通報。
8、 《內部控制手冊》編寫與管理
《手冊》由內控部組織編寫,內控委員會審定,股份公司行文發布。內控部對《手冊》進行規范管理,以保證其有效、完整、統一和適用。
9、 《內部控制手冊》發放
《手冊》須按發放范圍統一發放。發放范圍由內控部提出,經管理層批准執行。一般包括公司高管、股份公司相關職能部門等。
《手冊》包括紙質版和電子版兩種,電子版的配發范圍為股份公司高管;紙質版的配發范圍為公司各職能部門及特殊使用者。
10、 《內部控制手冊》使用要求
本《手冊》是公司重要文件,屬公司機密。各單位應按相關要求正確使用,未經允許,不得復印,不得對外泄露。在使用過程中遇到疑難問題,及時向內控部咨詢。
11、 《內部控制手冊》生效、維護、更新
《手冊》的維護是一項長期性、經常性的重要工作,需要各部門及公司高度重視,積極參與,大力配合。各公司應指定內控管理人負責本單位《手冊》的日常管理和維護。對《手冊》日常使用過程中發現的問題,應認真記錄並及時反饋給內控部。內控部應及時掌握《手冊》的執行情況,並採取有效措施確保內部控制管理體系的有效運行。
《手冊》的修訂由內控部負責。每年內控部將根據國內和上市地新出台的相關法律法規的要求、內外部審計對公司內部控制的評價、公司內控管理中出現的新問題以及反饋的意見及建議等,對《手冊》進行修訂,更新後的《內部控制手冊》經董事長審批後正式生效,並由內控部下發到各部門和各公司,更新後的電子版本將存檔於股份公司網路中心,並按照資料異地備份要求,存檔於七都網路部。
⑸ 企業的內控手冊都一樣么
奇的內控手冊不是都一樣的,並且不同的企業差別很大。如果是想找。一個企業的內控,手持拿來做了參考,那最好是找本企業的同行業企業這樣的企業和自己的企業相比,內控手冊,差別不大但是即使是同行業的,內控手冊,也必須是結合白棋的實際進行改動,因為不同的企業他的管理文化,是不一樣的,不可能,同意,行業的企業內控手冊,完全一樣,這是不可能的因為其的管理文化,內控制度,等等。都是不相同的。所以其實內控手冊不光是不一樣,也不能夠拿來就用。
⑹ 2007大眾速騰內控手冊
2007大眾速騰內控手冊
建議去當地經銷商那索要 還可以上網查詢一下
⑺ 求上海建工內部控制手冊啊
雖不是上海建工內控手冊,但有借鑒意義
MOTOROLA內部控制標准
1.0一般控制要求
2.0收人周期
3.0采購周期
4.0工資周期
5.0製造周期
6.0融資周期
8.0計算機系統控制
一、序言
自1979年,摩托羅拉就已正式闡明一項公司完善經營和財務控制制度的政策。內部控制標準的產生,以文件的形式證明哈托羅拉始終不渝地遵守適用的法律和規定,實行可靠的經營和財務報告制度,以及保證本公司業務活動和記錄的完整。「摩托羅拉內部控制制度」及與之相關的外部環境的概述如下。
此版標準的頒布,旨在保證控制標准符合自上一版以來由於不斷變化的全球商業環境,新制定的法律規定以及計算機技術和應用的進步使之成為必需的控制要求。此版亦加強了手冊向使用者傳達內部控制標准和准則的有效性。對風險和標准信息進行了修正,以保證在全公司內得以適當地解釋和應用。對上一版未包括的業務活動增設了標准。對1989版的重大更改的概要見附錄C。
二、目標
正如總裁和財務總監在引言中所述,良好的內部控制是實現我們的主要創意和目標之根本。例如,要達到和超過六個西格瑪質量和不斷地縮短循環作業周期,不僅在我們的工廠,而且在維修中心,銷售中心,行政管理部門以及整個組織,都需要良好的程序管理。運用本文件所述的控制標准可以有助於消除瓶頸,冗餘和不必要的步驟。內部可以防止資源損失,其中包括固定資產,庫存,專有資訊及現金。內部控制可以有助於確保遵守適用的法律和內部規定。按照內部控制准則定期進行審計,可以確保一個控制過程始終是受到控制的。
此文件的目標旨在確保全公司具備基本的和一致的內部控制。摩托羅拉內部控制標准第三版是全公司各職能部門眾多摩托羅拉同事不懈努力的成果。其中的控制標准,是以達到我們內部控制制度的基本目標的方式撰寫的。這一制度認識到,必需符合我們的客戶、股東的期望,遵循我們的法律規定,例如1977年國外反腐敗法案(見附錄B)和證券交易委員會條例。遵循這些控制是義不容辭的。摩托羅拉董事會審計委員會,公司審計部,以及我們各事業總部,集團和分部的財務部門將監察我們對這些標準的遵守。
三、范圍
這些標准適用於摩托羅拉在全世界各地的事業總部,集團,分部,單位,子公司及各職能部門;適用於所有業務,無論是設備或部件製造廠家,維修中心,抑或,如適當的話,合資企業經營,均為適用。此標准一般性地反映控制目標,並不試圖描述各組織所需的專門控制技術。這些內部控制標准旨在就有關資源保護、經營和財務信息的可靠性以及遵守法律和規定等事項,提供合理的、而非絕對的保證。合理保證的概念認為,控制的成本不應超出可產生的效益。這一概念還認識到,忠誠不渝,良好的業務判斷以及一種良好的控制文化是必不可少的。
就管理人員選擇控製程序和技術而言,實施控制的程度是一個合理業務判斷問題。如果其中任何控制標准都不切實際或不可行,如在小規模或偏遠地區的業務經營或合資企業經營,管理人員必須從下列備擇方案中作出選擇:
•通過加強監察和審計改善現行管理;
•制定替代或補償性控制措施;和/或
•接受薄弱控制所固有的風險。
四.過程
此文件中的控制標准,正如內部控制盤所表明,不應被視為「孤立的」。內部控制標准,工作程序准則,財務和人力資源政策以及摩托羅拉行為准則均應被視為建立、維護和改進摩托羅拉內部控制制度過程的組成部分。
內部控制的過程,如下文所述,必須以我們的六個西格瑪質量和縮短循環作業周期的創意為推動力,發布反映我們授權於員工和不斷進取的宗旨。所有各級組織必須全力支持。過程本身應包括經營分析,制定控製程序和技術,交流及監測。經營分析要求對風險作出評估和確定適當的控制目標。還必須對經營環境(例如自動化水平,就地授權和資源)予以考慮並進行成本一效益分析,以確保控製成本不超過其效益。
根據經營分析,可以選擇專門的控制技術或程序。這些技術或程序可以包括批准,授權,調整帳目,職責分工,審查以及文件記錄。在整個過程中,必須通過培訓,意識和反饋的形式達到廣泛的交流。內部控制一俟就緒,應受到監測和評價。這一點可以通行自行審計,內部審計及外部審計在一定程度上的結合來完成。得到的反饋可以用來進一步改進內部控制制度。
五、責任
所有摩托羅拉員工都有責任遵循內部控制標准。每一事業總部,集團,分部單位,子公司以及設施的總經理、財務經理或財務總監都要「身先士卒」,為遵守內部控制創造合適的環境。他們必須保證本手冊所提出的控制准則在其組織內得以確立,適當地形成文件和貫徹執行。這些標準的執行情況,將由公司審計部的定期審查以及,如果可能的話,以自行審計來監督,並將納入各事業總部和集團呈交公司財務管理部門的報告書。
六、舞弊
舞弊是有意的盜竊、挪用、侵吞摩托羅拉公司的財產。摩托羅拉公司的財產包括,但不限於;現金、產品、原料、設備、用具、廢品、殘品、維修服務、軟體和知識財產。公司員工,客戶,供應商等其他人員均可能有舞弊行為。調查表明,因舞弊給公司造成的損失已佔年收入的0.05%到2%,其中大多數事件或舉報的舞弊行為是業務關聯單位所為。舞弊行為已發展到被認為是一種可乘之機或可以接受的合理行為。
在登記和報告公司帳目中也會發生舞弊。財務報告全國監察委員會對報告舞弊有如下定義:
財務報告舞弊屬於有意或疏忽行為,無論是否有意或者疏忽:結果都是產生有重大誤導的財務報表。財務報告舞弊涉及許多因素,以許多形式表現出來,可以是蓄意、嚴重地歪曲公司記錄,例如盤存標簽,或者是虛假的業務事項,例如虛假的銷售和訂單數字,可以是濫用會計原則。公司任何一級的員工,上至最高級管理人員,到中層管理人員,下至最低層員工均有可能牽涉到舞弊事件中。」
對舞弊的威攝和預防
摩托羅拉的每一位經理都有職責創造一個控制體制和環境,它能夠防止員工、供應商、客戶等其他人員所處的地位不同時具備舞弊的方法和機會。摩托羅拉的管理當局已經建立了一種結構,通過推行內部控制,將其作為良好的商業行為,防止公司存在舞弊的機會。這一結構包括:摩托羅拉行為准則,內部控制標準的培訓、工作程序准則,財務准則,電子資訊安全標准和公司的其它標准和政策。
舞弊的檢查和報告
摩托羅拉每一位員工都有職責協助預防舞弊的發生。如果員工發現可能發生舞弊的情形,應向其管理部門報告。如果員工懷疑已經發生舞弊行為,必須向當地財務總監和保安經理報告。所有實際發生的舞弊行為,必須向總公司保安部部長報告。
對於懷疑的舞弊行為,員工不應試圖進行個人調查。調查工作將由保安部、法律部和審計部進行
舞弊報告熱線電話
如果員工懷疑有舞弊行為,應使用美國電話800-5-ETHICS報告。
七、修訂
根據需要,將對內部控制標准加以修訂。修改建議通過摩托羅拉內部控制委員會提出。所有有關標準的修訂,均將由公司總監辦公室審查和認可。
八、控制標準的例外
在極少數情況下,從成本的觀點出發,或對規模較小的機構和偏遠場所,內部控制標準的某些部分可能不切實際,在這類情況下,該組織應請求准許遵循不同的控製程序。
要求採用替代控製程序,應按照各事業總部/集團的政策予以審查和批准。
⑻ 如何將《內控手冊》要求融入到企業的管理流程當中
首先行業不同,方式方法也不同,以一個行業為例
XY股份有限公司為符合上市公司內控法規要求,提高企業經營管理水平和風險防範能力,促進企業可持續發展,根據財政部、證監會等五部委印發的企業內部控制基本規范及配套指引的要求,聘請外部咨詢公司,2011年3月起著手進行內控體系建設工作。根據《企業內部控制基本規范》及其配套指引要求,結合國外公司經驗,企業內部控制體系建設通常分為4個階段,內部控制梳理、內部控制整改固化、內部控制自我評價和內部控制審計,其中前3個階段是內控建設核心工作,需由企業主導完成,內控審計由審計師在企業配合下實施。
為做實做好內控規范體系建設工作,公司於2011年3月正式成立內控工作領導小組,由公司董事長牽頭,高層領導主管、總部各部門負責人及各分子公司總經理作為組員,負責組織領導公司內部控制規范化建設工作。2011年3月中旬召開內控實施項目啟動會,對公司內控建設工作進行了部署和動員,並制定公司內控實施計劃及工作方案。
一、建立內控建設組織架構,明確相關人員職責。
內部控制建設作為一項長期系統性地工程,並非一蹴而就,公司決定建立一種長效領導機制持續運作。公司內控體系建設組織架構圖如下,並明確董事長為內部控制實施工作的第一責任人;公司總經理、副總經理為內控實施的具體負責人。
(一)內控領導小組職責
經第六屆第十次董事會審議通過,公司成立風險管理委員會,成員包括董事長、審核委員會主席、總經理、分管主要業務的公司高管及專業人士,作為內控工作領導小組。
風險管理委員會對董事會負責,主要履行以下職責:
(1)負責營造良好的內部控制建設環境;
(2)負責制定公司內部控制戰略規劃,提出總體建設方案;
(3)負責審議重大決策、重大風險、重大事件和重要業務流程的判斷標准或判斷機制,以及重大決策的風險評估報告;
(4)部署內部控制建設、執行及監督活動等;
(5)審議《內控手冊》的編制、修改及更新;
(6)提交《內部控制評價報告》;
(7)協調公司內部控制建設的重大事項;
(8)考核內部控制建設的相關人員,保持公司整體利益和方向的一致性。
(二)內控項目小組職責
1、公司在風險管理委員會下設立風險管理委員會辦公室作為內控項目組,主要履行下列職責:
(1)全面貫徹執行風險管理委員會關於內部控制建設的精神和方針;
(2)制定公司內部控制建設階段性的目標及實施方案,提交風險管理委員會審核;
(3)負責內部控制建設的有效實施和運行,落實內部控制建設的具體責任;
(4)研究提出《內部控制評價報告》;
(5)負責公司《內控手冊》的編制、修改及更新;
(6)審核在內部控制建設過程中存在的問題,督促各部門進行整改。
2、公司在風險管理委員會辦公室細分為4大系統,即風控系統、戰略與證券系統、財務系統和運營系統,明確各系統的具體職責。
3、風險管理委員會辦公室成員主要來自於財務管理部、戰略與證券管理部、風險管理部、管理創新部、營銷中心、質量與客服部、供應鏈中心、法律事務部、研發中心、製造中心及戰略人力資源部,配備33名專職人員。各業務單位、職能部門及子公司(事業部)在風險管理委員會辦公室的指導下共同參與、實施內控建設工作。
4、審核委員會作為公司內部控制體系有效性的監督機構,監督內部控制的有效實施和內部控制自我評價情況,審核及監督外部審計機構是否獨立客觀及審計程序是否有效,審核公司的財務信息及其披露,協調內部控制審計及其他相關事宜。
(三)責任部門及工作預算
與內控工作小組相對應,公司確認了內部控制建設的責任部門,即風險管理部、戰略與證券管理部、財務管理部、管理創新部、營銷中心、供應鏈中心、質量與客服部、法律事務部、製造中心、研發中心、戰略人力資源部。本次內控項目工作制定了相關預算,包括內控咨詢、內控審計及人力成本費用、培訓費用等。為保證內控建設工作的專業化、系統化和合理化,公司聘請詢公司作為外部咨詢機構為公司提供專業支持,協助公司梳理、構建及完善內部控制總體架構,幫助公司識別內部控制存在的薄弱環節和主要風險,有針對性的設計控制的重點流程和內容並協助公司開展內部控制自我評價工作。 風控系統人員將全程參與風險識別及評估、編制風險清單及控制矩陣、內控缺陷整改、開展內控評價等工作,為公司培養內部控制建設及評價人才。
二、內控體系建設工作具體推進
內部控制建設工作,公司將分為五個階段,時間從2011年4月1日至2012年1月31日,總體安排如下:
(一)確定內控實施范圍(2011年4月10日前完成)
根據證監局文件精神,結合公司實際,本次內控實施范圍為股份公司、一家上海子公司及一家廣州子公司。
按照《企業內部控制基本規范》及其配套指引要求,結合公司業務性質,公司將重點關注發展戰略、組織架構、人力資源等公司層面3大流程,以及信息系統、財務報告、信息披露、關聯交易、全面預算、資金活動、采購業務、銷售業務、資產管理等業務層面9大流程。
各流程責任人如下(××代表責任人姓名):
流程第一責任人 具體負責人 內控協調人 中介機構責任
發展戰略 × × ×
組織架構 × × × ×
……
註:上述責任人適用於內控建設中的每個階段。
(二)風險識別及評估(2011年5月31日前完成)
1、流程梳理:公司通過訪談、審閱文檔或問卷調查等方式梳理流程,明確上述12大流程的相應子流程,完善組織架構和審批授權指引,根據統一的模板編制業務流程圖。在流程梳理過程中,及時發現並記錄有遺漏、雜亂、不符合相關法律、不相容職務未分離或許可權設置不合理等內控缺失的工作流程,採取相應的措施規范操作流程,避免內部舞弊等重大風險出現,提高工作效率。
2、風險識別:結合《企業內部控制基本規范》及相關配套指引所列示的風險、公司客戶審核要求、內審報告、提案改善、質量事故等初始資料,從風險發生的可能性和影響程度,對子流程中涉及到的每個控制點進行綜合分析,識別固有風險,評價風險等級,形成風險清單。
3、文檔記錄:根據風險等級,識別流程中的關鍵控制活動,並在流程圖中進行編號;編制流程描述、風險控制矩陣等內控文檔對控制活動和控制點進行記錄。
4、查找內控缺陷:將公司現有制度和控制措施流與風險清單進行比對,通過穿行測試、控制測試等手段,獲取關於內控設計和運行有效性的證據,查找內控缺陷,形成《風險資料庫》和《內控風險診斷和評價報告》。對發現的重大缺陷及時報告董事會及管理層,管理層對發現的內部控制缺陷應及時制定內控缺陷整改方案。
(三)確定內控缺陷整改方案(2011年6月30日前完成)
1、編制《內部控制管理建議書》:公司對發現的內控缺陷進行分類分析,確定內控缺陷的重要性程度,區分設計缺陷和運行缺陷,形成《內部控制管理建議書》。
2、制定內控缺陷整改方案:公司根據《內部控制管理建議書》和具體的控制缺陷,提出整改時間及責任部門、人員,形成內控缺陷整改方案。
3、提交審議:內控缺陷整改方案應當經過風險管理委員會審議通過。
(四)內控缺陷整改(2011年9月30日前完成)
1、落實整改、提交報告:責任部門將按照內控缺陷整改方案對發現的缺陷進行逐一整改,完善公司各項內部控制管理制度和控制措施,提交《內控缺陷整改報告》;內控項目組連同中介機構對缺陷整改情況進行運行有效性測試,形成《內控運行測試報告》。
2、編制《內部控制手冊》:內控項目組根據風險清單和各項內控文檔等資料,編制《內部控制手冊》,並對手冊內容進行實施輔導和推進執行。
3、編制《內控自我評估工作指引》:內控項目組編制《內控自我評估工作指引》,為下一步內控自我評價工作的開展奠定基礎。
4、提交審議:《內控缺陷整改報告》、《內控運行測試報告》、《內部控制手冊》及《內控自我評估工作指引》應報風險管理委員會審議。
(五)內控持續推進和內控自我評價
公司在內控體系成果完成後,將予以持續推進,並根據轄區證監局要求,公司將於每季度結束後的10個工作日內,向證監局報送內控進展情況說明,並在定期報告中予以披露。每季度進展情況說明至少包括該季度內控建設工作的開展情況、與工作方案中計劃進度的對照情況、差異原因以及擬採取的解決措施等。
通過以上工作,公司初步建立健全了內部控制體系,有效提高了內控管理水平。
三、企業內控體系的「落地」和持續推進
XY公司在完成內控體系初步建設完成後具體推行過程中,一些部門和員工或因對新的內控制度理解不夠,或因由於長期工作習慣難以改變,或因內控制度變革觸及自身利益而不願遵循,使得內控制度在一段時期內一直都不能落到實處。如何真正將內控體系有效執行下去,並保持內控體系的持續完善和提高,是管理層迫切需要解決的難題。
為了切實將內控制度體系真正「落地」,XY公司通過全方位內控培訓、加強內控檢查與監督、完善考核及激勵機制以及藉助第三方專業機構的持續輔導等措施,有力地保證了內控建設的持續維護,公司的內控建設取得了卓有成效的進展。
具體來說,採取的主要措施有:
(一)完善內控工作組織架構,成立內控部,強化審計部,建立推進內控工作的組織機構和運行機制。
通過對國際大企業內控建設的現狀和過程的全面考察,XY公司發現要實行有效的內部控制,必須建立相配套的組織架構。為此,公司由管理高層成立了內控工作領導小組,各子公司管理層對應的成立內控管理小組;在部門設置上,XY公司新成立了內控部,各下屬子公司根據其規模大小設立內控部或內控負責崗,負責內控建設工作;在內控監督上,轉變了原有的審計部的職責,增加了內控評價和檢查的功能,並由公司董事會的審計委員會直接領導,在規模較大的子公司同時設立內部審計專員,負責子公司的內控自查。
(二)注重內控環境建設,進行全方位內控培訓。
XY公司通過一系列的培訓和輔導,提高各層級管理人員和基礎員工對內控理念的認識,營造有利的內控工作開展的文化環境。首先,公司抓好以普及內控基本知識、營造內控實施環境的宣傳工作。公司內控部組織編制了《內控宣傳冊》,在股份公司各職能部門和下屬公司主要管理幹部范圍內發放學習。手冊通過生動的案例和形象的語言幫助各級管理人員統一對內控的理解和認識,減少內控推進的思想阻力。
其次,公司根據內控規范實施的進度,圍繞內部控制的各個方面,開展了包括基礎理念、管理制度、風險評估、內控評價、內控考核在內的各類集中的專題培訓,對內控制度的編制和實施起了極大的推進作用。
(三)建立內控推進的溝通機制,保證內控建設持續性和問題解決的及時性。
自內控制度建設正式推進以來,為了保證推進的執行力,公司開展了全方位的信息溝通機制,實現了信息的實時傳遞,和通暢的上傳下達。
首先,XY公司建立了周例會制度。內控領導小組每周組織內控工作例會,由公司董事或審計委員會主任主持,參與者包括內控領導小組成員、內控部、審計部、財務部、各子公司的內控負責人等。總部各職能部門及各子公司必須在會上以書面形式上報「內控工作一周報告」,匯報內控的進展情況、存在的問題、解決的方案、遇到的困難以及需要股份給予協助的事項,並由內控領導小組組長對相關的具體問題提出意見和工作指導,會後股份公司內控部負責對每家子公司進行回復,保證所有的問題都能得到及時有效的解決。所有會議記錄和相關文件在會後抄送股份公司的總經理和董事會,並抄送相關子公司的管理層,保證管理高層對內控進展的時刻了解。
其次,公司建立了內控體系的月度工作總結。每月末各個子公司的內控負責人就內控開展情況進行工作總結,由內控部在股份公司管理層、子公司管理層以及相關內控負責人之間進行通報,督促各子公司的內控執行力。
第三,建立了重大項目的單獨匯報機制。各子公司的內控負責人對於子公司內控建設中發現的重大問題要求及時向內控領導小組和股份內控部進行匯報,以實時處理可能的重大風險。此外,股份公司的內控部長、審計部長、財務總監的聯系方式向子公司的所有內控負責人和內控專員公開,作為信息直接傳遞的一個重要渠道,幫助股份公司及時了解下屬子公司內控風險。
(四)完善內控評價檢查機制,建立了多層次的內控檢查體系。
為了保證內控制度的落地和真正有效的執行,公司從各子公司到股份公司的內控部和審計部,再到外部獨立的第三方中介,建立了全方位的內控評價和檢查體系。股份公司內控部對各業務循環定期開展內控檢查,通過發放內控調查清單以及內控專員的現場檢查,發現子公司在內控建設中的不足,並及時下發風險聯系函、風險關注函和風險警示函,以幫助子公司及時進行內控整改和完善。其中聯系函主要是對子公司聯系函件的回復為主;關注函主要是對子公司發生的業務表示關注,一般要求對方在一定時間內給出書面說明;警示函是在關注函的基礎上對於重大風險或執行不到位的情況給予警告。
股份公司審計部對各子公司每年開展兩次的內控評價。為了實現評價的量化和標准化,審計部編制了內控評價底稿通過檢查,對子公司形成內控建設的量化評價,並針對檢查中發現的問題出具改進建議,並要求各子公司在規定的時間內予以整改,總部內控部對子公司整改措施和整改質量進行全程的監督,整改完成後,審計部及時予以復查,確保審計中發現的問題能及時整改。
(五)將內控建設納入績效考核,通過獎懲機制實現內控的有效性。
首先,為有效發揮各下屬子公司的管理者在內控推進中的作用和積極性,自200×年開始,股份公司將審計部對各子公司的內控評價結果納入其管理班子的績效考核的指標中,明確了管理班子對於內部控制建設的責任和關鍵任務。通過這種績效考核,激勵管理層切實關注和推動內控的執行工作,從而為內控工作的推進建立良好環境。
其次,對於股份公司向各子公司委派的重要人員也直接與內控建設掛鉤。公司出台了《委派內控人員績效考核管理辦法》,對各個子公司的內控負責人實施全面的內控建設考核,明確了委派的內控人員的績效考核指標、考核方式和獎懲機制,進一步促進了委派內控人員的工作落實力度;其次,對於股份委派的財務負責人,也在其年度考核的總分中(100分制)納入了相當比重的的內控建設的相關內容,從財務職能加強了對子公司的內控推進。
(六)充分發揮專業中介機構力量
XY公司在開始建立內控體系即聘請的專業咨詢公司提供咨詢服務,在整個體系建立過程中,充分發揮咨詢公司專業力量,並聘請專業顧問對公司人員進行培訓,提高公司人員內控理念和技能。在內控體系初步建立之後,仍繼續與咨詢公司保持合作,藉助咨詢公司在專業及獨立性方面優勢,共同推進公司內控持續建設工作,在內控持續建設工作中,專業咨詢公司提供了大量了專業意見和培訓輔導服務,幫助公司完善各項成果,使得公司的內控持續建設取得了令人矚目的成效。
四、企業內控體系建設過程的經驗和啟示
在公司董事會、各層級管理人員和基礎員工不懈努力下,公司內部控制體系的建設取得了一系列的良好效果,全公司各級員工的風險管理意識顯著提高,對風險的理解和重視切入到各個業務和管理環;強化了各項經營活動的規范化操作,實現了重大經營活動的集體化決策機制,有效防範了決策風險;提高了公司的財務管理水平,保證了從產業公司到股份公司的各層級財務數據的真實公允以及資金、資產的安全;加強了公司對新經營環境下管理風險的關注;完善了公司的風險預警機制,提高了各職能部門對業務發生之後的潛在風險的持續監控、分析和應對。公司在內控體系建設和推進過程中,主要的經驗和啟示有:
1、公司董事會和最高管理層的重視和親自參與
在XY公司董事會,無論是大股東委派董事、非執行董事還是獨立董事,都非常重視和關心內部控制體系的建設工作。作為公司的大股東,集團對股份公司的內控建設給予了極大的理解和支持,有力的推動了產業公司的內控建設的進程。董事會的定期會議都將內部控制進展情況作為重要議題溝通,對於內部控制推進中出現的任何問題,董事會層面時刻給予相應和支持。
在公司管理層方面,成立了內控領導小組,投入了大量的人力和財力,帶領企業員工共同進行內部控制建設,為內部控制的推進提供了良好的內部環境,同時也激發員工的積極性和主動性,推動企業內部控制朝更順利、更完善的方向發展。
2、對內部控制理念以及其與公司其他管理體系關系的認識統一
XY公司在內控推進的第一階段大力推行高頻率、大幅度的培訓,幫助各級管理者以及基層員工了解內部控制的主要原理和價值,減少內控實施中的思想阻力。其次,公司統一了內控體系與其他管理體系的認識,內部控制和風險管理不是一套孤立的新的體系和制度,而是一種基於「目標-風險-控制-監督」框架的管理思路,這種管理思路可以融入到企業的所有其他的管理體系和管理制度中去,是對企業原有的管理制度的整合和提升。
3、制定了清晰明確的內部控制戰略規劃
公司根據自身實際情況,在訂並提出了內部控制的五年兩步走的規劃,並將其納入到公司的5年戰略規劃中。第一階段(3年),通過自上而下的剛性要求,構建全面的統一化的集團內部控制架構,並通過理念灌輸形成內控推進的文化范圍;第二階段(2年),通過自下而上的,自覺的內控體系的完善,形成各個產業公司的特色化內部控制。這一從強制到自覺,從理念普及到制度完善再到內控手冊的表格化提升的建設步驟,使得公司從管理高層到基層員工的各級人員都明確內部控制不同時期的不同任務及不同發展狀態,穩步推進,逐步加深,為內部控制的發展道路勾畫了清晰路徑。
4、因企制宜的實施方案
XY公司意識到對於集團化企業,內部控制不能是一刀切的,公司要實行內部控制,需要根據自身的業務類型、公司規模、公司所處階段來選擇適宜的內部控制方法。
首先公司在吸收了五部委內部控制基本規范和配套指引的相關精髓的基礎上,結合企業經營實踐,基於先主後次的重要性原則以及成本收益原則,提出了以若干業務循環作為公司內控建設的主要循環范圍。
其次,考慮公司的人員能力和素質,在內控成果上也沒有一步到位冊,而是以制度建設為基礎,通過制度規范,到流程優化再到風險提煉,逐步實現內部控制的層層遞進。
第三,在內控推進上,公司充分考慮下屬各產業公司的業務特點,確定適合各公司的內部控制方式和側重點。
5、循序漸進的實施步驟
(1)自上而下的理念推進向自下而上的流程推進的遞進。
在內控實施的第一階段,公司強調自上而下的理念推進。公司通過內部培訓、各種工作會議達成內控理念的統一,並向各子公司傳達,之後各子公司則進行自下而上的內控流程推進,即各產業公司根據自身的內部流程,進行制度的完善,並經由公司內控部審核後實施。
(2)由總部出台框架性的制度到各個子公司制訂針對性的業務流程的遞進。
公司內控部結合外部力量制定框架性的制度,明確各業務循環的關鍵控制點和操作要求,各產業公司根據自身業務情況,在滿足框架制度要求的前提下制定適合企業自身的管理制度,以求更貼近產業公司的經營管理實踐。
(3)普遍性、通用性的風險點向專業性、針對性的風險點的遞進。
公司首先根據對產業公司實際情況的調研,繪制公司的全面風險資料庫,梳理出具有普遍性的通用性主要風險點,之後,各產業公司在實際操作中不斷發現專業性、針對不同企業業務特色的獨特風險,以實現內部控制的完善。
(4)抓重點公司,抓主要循環和風險、抓典型事件。
公司的內部控制遵循重要性原則,關注重點公司級重要循環與風險,並關注典型事件,以期通過重點帶動全面,推動內部控制的發展。
6、藉助外部專業中介機構推動內控建設
外部專業機構相對具有更豐富的內控專業力量和實施經驗,並且具有客觀性和獨立性,XY公司在整個體系建立過程中,充分發揮咨詢公司專業力量,但也沒有完全依賴中介機構甩手不管,而是充分參與和配合,在內控建設過程中,實現知識傳遞和內控人才培養,取得了較好的實施效果。
--------------轉自新浪微博《馬軍生-內部控制博客》