內控管理工作主要做法
㈠ 淺談如何進一步做好內控管理工作
正今年是股份制銀行掛牌的第一年,作為銀行的內控部門,應該如何在內控管理的深度、專廣度上屬下功夫,真正發揮內控的全方位的檢查監督作用,筆者根據工作實踐,談點粗淺看法。一、提高認識、大力營造「內控文化」的濃厚氛圍首先提高全行員工內部控制管理意識,從抓管理者入手,就業務發展與內控管理進行學習、討論;通過學習、討論、培訓等多種形式,統一思想,統一認識,傳播理念,大力營造「內控文化」的濃厚氛圍。帶動員工轉變觀念,從現代商業銀行風險管理、規范管理和與國際慣例接軌的需要出發來進一步提高對內控管理工作的認識,從業務的長期發展,業務的整體開拓,業務的全局利益出發來認識內控管理與業務開拓的相互依存辯證統一關系;教育員...
㈡ 如何做好全面風險管理和內部控制工作
轉載以下資料供參考
內部控制的一般方法通常包括職責分工控制、授權控制、審核批准控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。
1、職責分工控制,要求根據企業目標和職能任務,按照科學、精簡、高效的原則,合理設置職能部門和工作崗位,明確各部門、各崗位的職責許可權,形成各司其職、各負其責、便於考核、相互制約的工作機制。
企業在確定職責分工過程中,應當充分考慮不相容職務相互分離的制衡要求。不相容職務通常包括:授權批准、業務經辦、會計記錄、財產保管、稽核檢查等。
2、授權控制,要求企業根據職責分工,明確各部門、各崗位辦理經濟業務與事項的許可權范圍、審批程序和相應責任等內容。企業內部各級管理人員必須在授權范圍內行使職權和承擔責任,業務經辦人員必須在授權范圍內辦理業務。
3、審核批准控制,要求企業各部門、各崗位按照規定的授權和程序,對相關經濟業務和事項的真實性、合規性、合理性以及有關資料的完整性進行復核與審查,通過簽署意見並簽字或者蓋章,作出批准、不予批准或者其他處理的決定。
4、預算控制,要求企業加強預算編制、執行、分析、考核等各環節的管理,明確預算項目,建立預算標准,規范預算的編制、審定、下達和執行程序,及時分析和控制預算差異,採取改進措施,確保預算的執行。
5、財產保護控制,要求企業限制未經授權的人員對財產的直接接觸和處置,採取財產記錄、實物保管、定期盤點、賬實核對、財產保險等措施,確保財產的安全完整。
6、會計系統控制,要求企業根據《中華人民共和國會計法》、《企業會計准則》和國家統一的會計制度,制定適合本企業的會計制度,明確會計憑證、會計賬簿和財務會計報告以及相關信息披露的處理程序,規范會計政策的選用標准和審批程序,建立、完善會計檔案保管和會計工作交接辦法,實行會計人員崗位責任制,充分發揮會計的監督職能,確保企業財務會計報告真實、准確、完整。
7、內部報告控制,要求企業建立和完善內部報告制度,明確相關信息的收集、分析、報告和處理程序,及時提供業務活動中的重要信息,全面反映經濟活動情況,增強內部管理的時效性和針對性。
內部報告方式通常包括:例行報告、實時報告、專題報告、綜合報告等。
8、經濟活動分析控制,要求企業綜合運用生產、購銷、投資、財務等方面的信息,利用因素分析、對比分析、趨勢分析等方法,定期對企業經營管理活動進行分析,發現存在的問題,查找原因,並提出改進意見和應對措施。
9、績效考評控制,要求企業科學設置業績考核指標體系,對照預算指標、盈利水平、投資回報率、安全生產目標等業績指標,對各部門和員工當期業績進行考核和評價,兌現獎懲,強化對各部門和員工的激勵與約束。
10、信息技術控制,要求企業結合實際情況和計算機信息技術應用程度,建立與本企業經營管理業務相適應的信息化控制流程,提高業務處理效率,減少和消除人為操縱因素,同時加強對計算機信息系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網路安全等方面的控制,保證信息系統安全、有效運行。
11、與財務報告相關的內部控制,內部控制被定義為一個流程,該流程由公司的首席執行官和財務總監或類似人員設計並監督其運行,並由公司董事會、管理層和其他相關人員實行;從而對財務報告的可靠性以及對外披露的財務報告的編制是否符合公認會計准則提供合理保證。這一流程包括如下政策和程序:
·公司的相關記錄在合理的程度上正確和公允的反映了公司對交易的記錄和對資產的處置。
·公司對相關交易的記錄能夠為公司按照公認會計准則准備財務報告提供合理的保證,以及公司的收入和支出都經過了公司管理層和董事的授權批准。
·能夠防止和及時發現對財務報告產生重大影響的非法行為,這種行為包括對公司資產不合法的佔有、利用和處置。
㈢ 內控管理有哪些工作
內控管理是企業為保證經營管理活動正常有序、合法的運行,採取對財務、人、資產、工作流程實行有效監管的系列活動。
企業內控要求保證企業資產、財務信息的准確性、真實性、有效性、及時性;保證對企業員工、工作流程、物流的有效的管控;建立對企業經營活動的有效的監督機制。
(3)內控管理工作主要做法擴展閱讀:
企業內部控制規范體系在我國的啟用尚處在起步階段,根據多年為各類企業提供風險管理和內部控制服務的實踐總結,從實際操作角度出發,詳細了解COSO內控框架精髓。
並配以國內外典型案例,來說明內控體系構建的具體步驟,結合企業自身現狀尋求解決內控系統問題的方法,真正讓內控體系從企業內部開始,從上至下全面的把企業武裝起來。
㈣ 淺談如何加強企業內部控制工作
不同企業執行企業內部控制規范工作,因受企業規模大小、參與人員和機構的認知水平不同等客觀因素影響而顯得不盡相同,執行內容和標准也千差萬別,如何提高企業執行企業內部控制規范的水平,達到並實現國家頒布實施相關規范的初衷,成為擺在企業內控管理工作人員面前的重要課題。筆者在參與企業內部控制工作過程中,曾對企業內部控制工作進行了深入的思考和不斷地反思,並歸納和總結出一些經驗教訓,在此結合日常的工作情況,談一點自己的看法。 一、企業內部控制工作的最終目的是提高企業的效益。 企業生存、發展和獲利是企業存在的永恆目標,企業的一切經營管理活動都要圍繞此目標而實施,與此目標相違背的經營管理活動都是無效和無意義的。因此,企業的內部控制工作也要與此目標所相適應,主要體現在: 首先,企業的內部控制工作一定要與企業的發展階段和企情相適應。生產力水平決定生產關系,生產關系反作用於生產力。企業在生存、發展和獲利的進程中,所處的環境又各不相同,有的企業處於新生期,有的處於快速成長期(或擴展期)、成熟期,還有的處於轉型期(或收縮期)、逐步衰退期。不同企業處於不同的發展階段,由此決定了其各自內部控制工作內容的不盡相同。無論是理論上還是實踐上,處於成熟期企業的內部控制體系都是無法適應新生期和成長期企業的內部控制工作要求的,反之亦然。就好比是讓小孩和少年穿成人衣裳或讓成人穿小孩和少年衣裳一樣。不適宜的內部控制控制要麼就是形同虛設或鋪張浪費,要麼就是束縛和限制企業的發展,最終降低企業的收益水平,因此,企業的內部控制工作要懂得量體裁衣。企業的內部控制工作的開展一定要深思熟慮,精心設計,不應完全借鑒和照搬其他企業的做法,而是要依據本企業的客觀實際,吸收和借鑒與本企業發展模式和發展階段相適應的企業做法,制定出適應本企業發展模式的內部控制管理體系。 其次,企業在實施企業內部控制工作時,要有效運用成本效益和重要性原則。由於企業內部控制工作的最終目的是提高企業的效益,因此,企業內部控制工作的實施必須要考慮投入產出效益。如果企業內部控制的投入大於產出,則說明其投入是不適宜的。但需要注意的是,企業內部控制工作立足成本效益原則,要注意從企業發展的整體和存在的全階段、全過程來統籌考慮,不能僅就若干項具體內部控制工作的投入來進行單項衡量,如果單憑現階段衡量和評估的話,相信絕大部分內部控制工作的投入都將會是無效的。此外,成本效益原則還要求企業內部控制工作不能面面俱到,而是要突出重點,要在資源有限的條件下,發揮出內部控制工作最大的風險防範性。有時,最主要業務流程或領域的普通風險防範點的內控意義要遠大於普通業務流程或領域重點風險防範點的內控意義,對企業生存和發展一次性致命缺陷的風險性要大於不斷發生小隱患的風險性,重要責任人所造成的損害要大於一般責任人。因此,一個企業內部的內部控制工作要有的放矢,突出重點,各有側重,而不能平行並舉,按照企業統一的模式實施,或者把企業內部控制管理重點放在普通責任人身上。 第三,企業內部控制工作的基石是企業存在授權。很顯然,如果一個人做自己決定的事是不需要實施控制的,這個人一定會按照自己設定的目標而採取各種手段去實現之。企業之所以存在內部控制,就是因為企業為實現企業決策者的目標而進行了內部分工和授權,而由於各類制約因素的存在,會導致由於被分工和授權者的目標及行動或其理解的目標及行動與企業決策的真實目標不盡相同,企業內部控制就是針對這種不一致而採取的控制性和規范性措施。企業內部分工和授權范圍越大,企業內部控制體系的規模就越龐大,手段就越豐富和健全。大型、多層次、多元化、跨區域的集團企業的內部控制工作一定要比單一生產或勞務企業或生產車間的內部控制體系更為復雜,以企業信息化為例,其信息化管理程度也會更深。很明顯,中小企業是用不上為大型集團企業設計的、必須超大型計算機和資料庫支撐的集團信息化管理系統的,單一版信息化軟體很可能更適合。 首先,企業內部控制工作應具有保障和激勵雙重屬性。企業內部控制工作要保證企業資金、資產的安全完整,企業經營效益的真實可靠,企業經營業務循環的順暢有效,對風險的預防和控制就顯得尤為重要。因此,其必然要具備很強保障性功能,為此,企業內部控制工作要特別關注內部牽制和制約、懲罰功能的實現,以防範相關資產的損失。但是企業的發展、人員的盡責僅靠內部牽制、制約、懲罰是無法長期持續的,對人的管理最終還得落實在激勵制度的確立上。因此,企業內部控制工作中必須要包含很多激勵性措施,而很多企業在設計內部控制制度體系時,往往著重於如何牽制和制約上,忽略了激勵性措施的存在。 其次,企業內部控制工作的開展應該保持原則性與靈活性並存。很多企業在開展企業內部控制工作時,特別強調原則性和規范性,規定的內部控製程序和步驟非常繁雜,在任何環境下都要必須履行,就象已經確定的計算機程序一樣,分毫不差,並認為只有這樣才能適應企業內部控制工作的要求,並最終導致企業很多盈利機會的喪失。其實企業內部控制工作更應強調靈活性,企業內部控制工作應強調在特定條件下的特別授權管理,對特別業務的內控流程設計要體現出一定的彈性,以突出內部控制的適應性和靈活性。
㈤ 內部控制都有哪些一般方法
內部控制,是指由企業董事會(或者由企業章程規定的經理、廠長辦公會等類似的決策、治理機構,以下簡稱董事會)、管理層和全體員工共同實施的、旨在合理保證實現企業基本目標的一系列控制活動。內部控制的一般方法通常包括職責分工控制、授權控制、審核批准控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。
1、職責分工控制,要求根據企業目標和職能任務,按照科學、精簡、高效的原則,合理設置職能部門和工作崗位,明確各部門、各崗位的職責許可權,形成各司其職、各負其責、便於考核、相互制約的工作機制。
企業在確定職責分工過程中,應當充分考慮不相容職務相互分離的制衡要求。不相容職務通常包括:授權批准、業務經辦、會計記錄、財產保管、稽核檢查等。
2、授權控制,要求企業根據職責分工,明確各部門、各崗位辦理經濟業務與事項的許可權范圍、審批程序和相應責任等內容。企業內部各級管理人員必須在授權范圍內行使職權和承擔責任,業務經辦人員必須在授權范圍內辦理業務。
3、審核批准控制,要求企業各部門、各崗位按照規定的授權和程序,對相關經濟業務和事項的真實性、合規性、合理性以及有關資料的完整性進行復核與審查,通過簽署意見並簽字或者蓋章,作出批准、不予批准或者其他處理的決定。
4、預算控制,要求企業加強預算編制、執行、分析、考核等各環節的管理,明確預算項目,建立預算標准,規范預算的編制、審定、下達和執行程序,及時分析和控制預算差異,採取改進措施,確保預算的執行。
5、財產保護控制,要求企業限制未經授權的人員對財產的直接接觸和處置,採取財產記錄、實物保管、定期盤點、賬實核對、財產保險等措施,確保財產的安全完整。
6、會計系統控制,要求企業根據《中華人民共和國會計法》、《企業會計准則》和國家統一的會計制度,制定適合本企業的會計制度,明確會計憑證、會計賬簿和財務會計報告以及相關信息披露的處理程序,規范會計政策的選用標准和審批程序,建立、完善會計檔案保管和會計工作交接辦法,實行會計人員崗位責任制,充分發揮會計的監督職能,確保企業財務會計報告真實、准確、完整。
7、內部報告控制,要求企業建立和完善內部報告制度,明確相關信息的收集、分析、報告和處理程序,及時提供業務活動中的重要信息,全面反映經濟活動情況,增強內部管理的時效性和針對性。
內部報告方式通常包括:例行報告、實時報告、專題報告、綜合報告等。
8、經濟活動分析控制,要求企業綜合運用生產、購銷、投資、財務等方面的信息,利用因素分析、對比分析、趨勢分析等方法,定期對企業經營管理活動進行分析,發現存在的問題,查找原因,並提出改進意見和應對措施。
9、績效考評控制,要求企業科學設置業績考核指標體系,對照預算指標、盈利水平、投資回報率、安全生產目標等業績指標,對各部門和員工當期業績進行考核和評價,兌現獎懲,強化對各部門和員工的激勵與約束。
10、信息技術控制,要求企業結合實際情況和計算機信息技術應用程度,建立與本企業經營管理業務相適應的信息化控制流程,提高業務處理效率,減少和消除人為操縱因素,同時加強對計算機信息系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網路安全等方面的控制,保證信息系統安全、有效運行。
11、與財務報告相關的內部控制,內部控制被定義為一個流程,該流程由公司的首席執行官和財務總監或類似人員設計並監督其運行,並由公司董事會、管理層和其他相關人員實行;從而對財務報告的可靠性以及對外披露的財務報告的編制是否符合公認會計准則提供合理保證。這一流程包括如下政策和程序:
公司的相關記錄在合理的程度上正確和公允的反映了公司對交易的記錄和對資產的處置。
公司對相關交易的記錄能夠為公司按照公認會計准則准備財務報告提供合理的保證,以及公司的收入和支出都經過了公司管理層和董事的授權批准。
能夠防止和及時發現對財務報告產生重大影響的非法行為,這種行為包括對公司資產不合法的佔有、利用和處置。
㈥ 如何加強內控管理
轉載以下資料供參考
如何加強企業內部控制 加強內部控制,企業需要結合自身特點,優化控制環境,明確控制目標,改善控制技術,並在管理實踐中不斷完善內部控制系統,提高內部控制的效果。 (一)優化控制環境 企業的內部控制不能脫離現實情況,它受控制環境的影響,企業管理層對內部控制的重視程度,直接影響內部控制管理的有效實施。因此,優化控制環境,首要的是企業的管理者重視起來,現代社會是法治社會,現代企業也要成為「法治企業」。 (二)明確控制目標 明確控制目標,前提是科學地制定目標。依據企業戰略目標制訂公司年度計劃,並將其細分至相關部門,確定企業的銷售、成本、工資、費用、利潤、資金等計劃,各部門再據以制定更詳細的目標。而更重要的,是必須在計劃的執行過程中強化控制目標的剛性。企業的生產經營總是處於動態之中,實際的運行會與計劃有所偏差。 (三)改善控制方法 控制措施有效、到位,以國家法律、法規及財經紀律為准繩,對企業的經濟活動和其他管理活動進行組織、調節和制約,以利於對違法亂紀行為進行揭露和糾正。考核和評價內部控制的有效性,明確衡量質量和業績的標准,內部控制標准,可以在業務預算、工作計劃中予以規定;每項經營業務的標准,都應書面成文;具體的內部控制標准可以單獨制定,也可以把他們並入各項經營業務的標准中去。 企業內部控制的具體實施 (一)組織結構控制 內部控制制度的建設及有效運行,有賴於企業內部良好的法人治理結構。董事會維護出資人權益,對股東大會負責,對公司的發展目標和重大經營活動做出決策;監事會對董事會、公司的財務工作及經營者執行法律和公司章程情況進行監督;還應設立滿足企業監控需要的職能機構如審計部,對董事會負責並在業務上受監事會指導。 (二)授權批准控制 授權批準是指單位在處理經濟業務時,必須以授權批准來進行控制。在公司,一般由股東會授權給董事會,然後再由董事會授權給企業的總經理和有關管理人員。企業每一層的管理人員既是上級管理人員的授權客體,又是對下級管理人員授權的主體。要建立必要的檢查制度,以保證經授權後所處理的經濟業務的工作質量。實踐證明,權利應受到制約,失去制約的權利極易導致腐敗。 (三)會計(續致信網上一頁內容)系統控制 會計系統控制是企業內部控制的核心,企業應依據會計法和國家統一的會計控制規范,制定適合本企業的會計制度,明確會計憑證、會計賬簿和會計報表的處理程序,建立和完善會計檔案保管和會計交接辦法,實行會計人員崗位責任制。重點把好兩個關口:一是,加強對原始憑證的審核監督;二是,加強對財務收支的審核監督。對財務收支監督的內容包括:資金來源、資金管理渠道、資金支出管理范圍和支出標准項目等,監督的重點是合法性問題。 (四)資產保護控制 對實物的采購、保管、銷售等各個環節進行限制接近、定期盤點、記錄保護、賬實核對、財產保險等控制。在實際工作中,現金、銀行存款、其他貨幣資金、有價證券和存貨等變現能力較強的資產必須限制無關人員直接接觸,貨幣資金的收支管理只能限於特定人員管理,支票等票據的簽發,必須是單位指定的負責人,存貨的實物保護可以有專職的倉庫保管員控制,以防止資產流失。 (五)收支預算控制 預算管理是將企業的目標及其資源的配置方式以預算方式加以量化,預算管理由預算編制、預算執行、預算控制、預算考評等環節構成,內容可以涵蓋單位經營活動的全過程,包括融資、采購、生產、銷售、投資、管理等諸多方面,也可以就某些方面實行預算控制。在董事會下設預算委員會或由直接對董事會負責的內部審計部門進行預算的制訂、協調、監控、評價、考核等工作;預算的執行層由各預算單位組織實施,並輔之以對等的權、責、利,預算內資金實行責任人限額審批,限額以上的資金實行集體審批,嚴格控制無預算的資金支出。企業在實行預算管理時要注意:1、所編制預算必須體現單位的經營管理目標,並明確責任;2、預算在執行中,應當允許經過授權批准對預算進行調整,以使預算更加切合實際;3、應當及時或定期反饋預算的執行情況。 (六)風險控制 企業針對每個控制點建立有效的風險管理系統,通過風險預警、風險識別、風險評估、風險分析、風險報告等措施,對財務風險和經營風險進行全面的防範與控制。主要包括:1、籌資風險控制。企業的財務結構、籌資結構、籌資金額及期限、籌資成本、償還計劃等都要事先評估、事中監督、事後考核,關鍵是要保證有一個合理的資金結構,維持適當的負債水平。2、投資風險控制。無論是債權股權投資還是長短期投資,企業都要進行可行性研究並根據項目和金額大小確定審批許可權,預計可能出現的負面影響及對策。3、信用風險控制。主要指應收賬款引起損失的可能性。企業應制定客戶信用評估體系,確定信用授權標准,規定信用審批程序,進行信用實時跟蹤。4、合同風險控制。建立合同起草、審批、簽訂、履行監督和違約措施的控製程序,防止因發生法律糾紛而導致的企業訴訟。 (七)職工素質控制 企業內部控制制度落實好壞與否,取決於執行者,職工素質控制是執行企業內部控制制度的保證。招聘是重要環節,單位的人事部門和用人部門應共同對應聘人員的素質、水平、能力等有關情況進行全面的測試、調查,以確保受聘人員能夠適應工作的要求。同時應注重人力資源的合理配置,打破平均主義的分配製度,推行優勝劣汰的用人機制,充分調動勞動者的積極性,使企業充滿生機和活力。
㈦ 如何開展單位內部控制工作
企業內控建設實務
企業內控建設應當以經營的效率與效果為主導目標,以財務報告可靠、資產安全與經營合規為三個保障目標,在此基礎上,建設實務將圍繞內控組織的設置與內控建設的五要素展開。
(1)內部控制組織
組織是體系運行的基本保障。通常的內控組織包括董事會與經營層兩個層面,強調內部控制的建設與實施是董事會的責任,並且下設審計(風險)管理專門委員會加強管理。此外,內控組織的設置特別強調經理層是企業內控建設的具體實施者與責任人,各經營管理部門按照職能歸口進行內部控制的建設與實施。其中,是否設置專職的內控部門是企業界關注的焦點,通常的設置方式包括三種:
方式一:單獨設置內控部門。優點是有利於提高內控建設的初期推動效率,缺點是內控部門與經營管理部門割裂,未能很好地體現內部控制責任與經營管理責任的融合。此方式在金融類企業普遍應用,對於實體經濟體,通常不設置專職的內控部門。
方式二:由內部審計部門牽頭負責內控工作。優點是待體系初建完成且運行平穩後,內部審計作為內控的監督部門,可以立足於公司整體牽頭協調各部門定期進行內部控制的自我評價,並且持續完善內控體系的建設。缺點是國內企業內審部門往往人才匱乏,在內控建設的初期獨立當此重任可能力不從心。
方式三:在內部控制建設集中期設立內部控制建設辦公室,該辦公室從各主要部門抽調人員專職從事內控體系建設工作,待體系正式運行時,辦公室解散,人員歸位到各經營管理部門,且牽頭職能也歸位至內審部門。此方式的優點是可以集中各部門力量完成內部控制的體系化建設,待體系平穩運行後,相關人員回到經營管理部門的骨幹崗位上,有利於促進各經營部門對內部控制體系的理解,有利於內控與經營管理的融合。實踐表明,對於管理基礎弱的實體經濟企業,採取方式三的內控推行效果較佳。
當然,組織的設置沒有一定之規,企業應當依據自身的特點設置內部控組織,明確相關的管理責任。
(2)內部環境的診斷與完善
內部環境是企業內部控制建設與運行的載體,企業在建設內部控制機制時,首先要診斷與完善內部環境。一方面,內部環境的完善可以為控制活動的設計與運行奠定基礎,另一方面,內部環境的診斷可以加強控制活動與內部環境的匹配性,有利於控制活動的順暢運行。
通常,內部環境的診斷與完善包括六個方面的內容:治理結構、機構設置、權責分配、內部審計、人力資源政策、企業文化。其中,機構設置、權責分配與內部審計的定位三個方面必須先行完善,後續的控制活動設計與運行才會順暢。治理結構、人力資源政策與企業文化三個方面,可以伴隨控制活動的運行同步完善。
(3)動態的風險評估
風險評估是內部控制體系化建設的重要表現,是後續內控措施設計的重要依據。根據成本效益原則,企業應當針對評估的重要風險強化內部控制措施,有效降低風險。對於次要風險,企業應當簡化控制活動與流程設計,承擔相關的風險,體現經營的效率與效果為主導目標的內控建設理念。
風險評估包括風險辨識與風險評估兩個階段。在風險辨識階段,企業應當圍繞內部控制目標識別影響目標實現的不確定性因素,辨別企業風險並進行分類,形成企業的風險管理庫。通常,企業的風險可以劃分為戰略風險、市場風險、運營風險、財務風險與法律風險五類,並在此基礎上進一步細分。在風險評估階段,企業應當運用二維風險評估坐標圖,從破壞性與發生頻率兩個維度評估風險,並將風險點界定為重大風險、中風險與低風險。企業應當依據行業特點與目標設置等確定風險評估的標准,評估標准應當注意定量與定性標准相結合。
在實務中我們強調,處於不同行業的企業,或是同一行業的不同企業,或是同一企業處於不同的發展階段,其風險評估結果各不相同。為此,企業應當至少每年評估一次風險,及時發現新環境、新業務帶來的新風險,動態地調整風險評估結果,進而動態地調整控制活動規范,讓原本靜止的內控制度動起來,始終踏上企業發展的節奏。
(4)控制活動的設計
控制活動是內控體系實施的核心要素,企業在規范控制活動的過程中,應當形成內部控制政策與程序手冊(下簡稱內控手冊)。
企業在設計控制活動時,應當樹立與經營管理活動相融合的設計理念,首先界定企業的控制活動循環,然後將內部控制措施嵌入控制活動中,完善經營管理活動的制度流程設計,形成企業的內控手冊。內控手冊分模塊設計,每一模塊一般包括五個方面的內容:
第一,管理目標。圍繞內部控制的目標,企業在設計內控手冊時,首先應當明確控制活動的管理目標。例如采購付款循環,其管理目標應當包括保障物資供應、提高采購效率、降低資金佔用、控制采購成本、保證核算準確等。
第二,管理機構及職責。該部分將控制活動涉及的組織及職責清晰界定,以確保後續流程運行的順暢性。
第三,授權審批矩陣。該部分應當明確控制活動涉及的所有許可權在董事會、經理層與各職能部門間的劃分,並且明確各級審批責任。
第四,控制活動要求。該部分一般以制度文本的形式書寫,明確控制活動各控制環節的內控要求,作為相關經營管理流程設計的基礎。
第五,比照上述幾部分,各經營管理部門應當重新梳理與完善業務流程,針對關鍵風險點強化控制措施,確保組織職責、授權審批、內控要求落實到經營流程中,保證管理目標的實現。
在內控手冊的設計過程中,特別強調與企業現有的經營管理活動相融合的設計理念,切忌脫離原有制度流程設計孤立的內控手冊,以避免實務中業務部門仍參照原有流程、內控手冊則束之高擱的現象。
(5)信息與溝通貫穿始終
信息與溝通是指在內控建設中,保證在恰當的時機讓恰當的崗位獲取適當的信息。信息與溝通的設計應當貫穿於內部環境、風險評估與控制活動的始終,例如風險評估報告的報告程序,控制活動中的控制文檔設計,都體現了信息與溝通要素的建立與健全。
(6)內部監督手段。
內部監督置於五要素之末,是內控管理閉環的體現。為此,內部監督也可以視為五要素之首,是內部環境、風險評估、控制活動、信息與溝通要素持續完善的基礎。內部監督手段包括風險預警、內部評價與績效考核,三者缺一不可。
風險預警是較新的管理工具,通過預警指標的報告與跟蹤,可以突破企業傳統的內部審計在時間與空間上的限制,運用現代企業高效的信息集合手段,幫助管理層從浩如煙海的數據中提煉關鍵信息,捕捉企業易於忽略或是下級管理者企圖隱瞞的臨界數據,及時發現並採取措施防範風險。風險預警系統的設計包括選擇指標項、設定臨界值、跟蹤分析報告與修正臨界數據四項工作。企業應當結合自身的行業特點與管理重點設定風險預警指標,並且逐步積累臨界值。
內部控制的自我評價是基本規范的要求,也是管理審計的重要組成部分。內部評價手段完善的關鍵是建立評價標准與評價流程,明確內控缺陷的認定標准,規范評價報告。
此外,績效考核強調將內部控制建設與運行的有效性納入企業的績效考核, 以促進內控體系的實施。