內控體系建設方法
A. 如何建立內部控制體系
一、基礎概念篇
在這里,你將熟悉,內控體系具體是什麼,建立內控體系需要解決的誤區以及流程體系建立的作業流程。
1、
內控體系建設涵蓋哪些東西,主要內容是什麼?
國家要求上市企業建立的內控體系是保證財務報告真實性而要求建立的體系,所以他的具體內容與外資企業的sox404體系差不多。一般整個內控體系涵蓋的內容含如下幾個內控手冊,風險資料庫,內控評價手冊。
內控手冊為每個作業流程的描述,內容含流程描述、流程圖、授權說明、崗位職責分離說明。
風險資料庫可能導致風險的現象描述的匯總。風險指導致公司資產不安全,作業不合規合法,運營效率效益低下,財務報表數據不真實等。
內控評價手冊具體含三部分,第一部分檢查制度設計合理或者文檔的齊全性,第二部分檢查控制過程,第三部分檢查會計帳務處理控制。
2、
內控體系與ISO質量體系有什麼區別和聯系?
目的不同:內控體系是以會計報告為主要目的,而ISO質量體系是以產品質量為主。
控制活動不同:在現階段18個指引來看,內控體系缺少對生產過程式控制制;而ISO質量體系則以產品質量為主,涵蓋產供銷價值鏈,但是缺少會計系統控制。
涉及部門不同:在ISO體系內不存在財務部門,以研發、生產、采購、銷售部門為主;內控體系幾乎涵蓋公司各部門,因為有句話說得好,只要是企業在運作的,其最後的運作成果就是財務數值。
3、內控體系的控制活動的業務流程如何劃分,如何做到將各業務流程進行涵蓋?
最簡單的第一步就是拿到組織架構圖,之後看到是否是以事業部為編制的,則是事業部的名稱作為一級流程,事業部下屬的部門分為二級流程,如果下屬的部門涵蓋多個職能則劃分為三級流程。如銷售事業部,則銷售循環作為一級流程,下屬的商務部負責訂單處理的則作為訂單處理作為二級流程。如商務部有兩個功能除了訂單處理還涉及到銷售貨品的備貨計劃制定。則訂單處理作為二級流程,訂單處理和備貨計劃制定作為三級流程。
4、 單個作業流程具體怎麼描述,怎麼將業務流程所涵蓋的信息進行歸納處理?
作業流程就是描述一個為達到特定的價值目標而由不同的人分別共同完成的一系列活動。一個完整的作業流程應該包含6項內容,具體如下:
流程式控制制人:參與到作業流程中的人,具體描述的時候應注意該控制人所涉及的部門及崗位具體名稱。
控制頻率:作業的時間間隔控制。
控制活動:流程是如何作業的。
控制痕跡:作業完成後形成的書面痕跡
控制方式:系統控制還是人工控制。
異常控制:授權體系外的作業流程是如何控制的。
舉例如下:描述超市客服處對會員積點兌換控制流程,之前描述了一個出納盤點流程,大家都熟悉,這次描述復雜點的。
流程式控制制人:售後服務部的客服專員,客服主官
控制頻率: 客戶不定期來兌換會員積分。
控制活動: 客服專員根據會員要求兌換相應的贈品,同時在xxx系統內扣除積分,並在XX贈品台帳內要求客戶簽字。
控制痕跡: 形成扣完積分的積分表和留有客戶簽字的贈品台帳。
控制方式: 兌換的系統積分由XX系統內扣除。
異常控制: 積分不夠,如客戶要求加錢補足積分,則客戶專員需得到客服主管的口頭授權,在收取錢款後並在贈品台帳做書面說明。
總的一句話:客戶不定期對積分進行兌換,提出兌換的物品,售後服務部的客服專員在XXX系統內扣除積分,同時手工登記贈品台帳,在客戶簽字的情況下,將贈品進行贈送。如積分不夠,如客戶要求加錢補足積分,則客戶專員需得到客服主管的口頭授權,在收取錢款後並在贈品台帳做書面說明。當天營業結束前,客服主管需要對贈品台帳和積分兌換系統進行核對。
5、內控體系建立的流程是怎麼樣的?
大致的作業流程是這樣的:
(1)
組織架構:先建立內控小組,為了使內控體系得到有效落實和貫徹,所以內控小組的組長最好是總經理或者董事長。主要的作業人員最好是公司的內審部門或者新建的內控部或者風險管理部,如果沒有此類部門則最好選一名懂財務的,如財務主管,另外加一名懂業務的作為內控小組的主要作業成員,最好另外輔助2-3名人員。
(2)
業務運作:總經理或者董事長開內控項目啟動會,同時主要成員講述內控系統的作業和具體要求。會議結束後,內控小組給各部門提交部門的制度,內控小組完成制度的對標和梳理工作。各職能部門限期內提交流程。內控小組根據內控指引對現有的作業流程的描述進行評價,同時開展小組會議對各職能部門未設置的流程及有缺欠的流程進行優化重組。內控小組根據談論完畢的各流程進行內控手冊的編制和流程圖的繪制,最後形成內控手冊。由總經理授權下發。
(3)
內控小組等類似部門不定期進行內控評價,並根據各職能部門的變化對內控手冊進行優化等。
6、如果業務部比較忙,無法繪製作業流程,那訪談怎麼做?
首先編制訪談計劃,需要提供給部門接收訪談的人員一個訪談提綱。
訪談一般安排2個人,1人訪談,1人記錄。記錄人不要求將每句話記下來,只要將討論的主題,以及討論的結果記錄下來即可。
訪談的時候,先講明不是來指責部門的作業流程的缺失,而是主要是完善和建立內控體系。訪談的問題主要圍繞作業流程進行,而不是扯淡的問,風險在哪裡,自己說。
7、流程圖怎麼繪制,採用什麼軟體?
一般選擇微軟的visio繪圖軟體或者smart draw 繪圖軟體,這兩者的區別是visio看上去比較正規,而smart draw 比較好看。
8、作業現場是否需要繪制流程圖?
最好繪制流程圖,因為在描述整個流程的時候,如果不繪制流程圖,可能看不到什麼遺漏。最好訪談完畢,直接將流程圖繪制,之後與業務部門進行核對。
9、如何完成制度對表的工作?
制度對表的工作一般可以在進場後的或者訪談結束後,當場完成對制度的評價。制度的評價主要的風險點為:流程描述不清楚或者缺失,崗位職責人或者控制部門不明確,崗位職責未分離,異常流程未描述,控制痕跡或者流程的表單未明確,控制頻率未明確,未體現控制方式。(即未描述存在手工或者系統控制。)
10、如何完成風險點的匯總
現場的風險點的匯總,不是訪談人說什麼風險就是風險點。而是根據訪談人提供的風險點提示,內控人員通過系統或者會計憑證等書面資料核實完畢之後再歸納匯總至風險點。而且在完成風險點之後最好與被訪談人員再次作風險點確認。
11、如何完成風險點的報告?
風險報告主要是對現有的流程的分析,所以可以按照事業部,之後將事業部涉及的流程綜述,之後對各流程進行評價。而不是一堆風險點的堆砌。看上去100-200張ppt但是看得頭暈。而且匯報結束老闆對你不爽。
12、內控檢查與內審的區別和聯系在哪裡?
內控檢查的主要目的是建立和明確完整的作業流程、流程中的崗位職責、授權審批、保留書面控制痕跡。所以內控主要是流程稽核,主要的作業模式就是控制點有沒有建立。
內審的主要目的是保證業務事項的真實合理和提高運營的效率效益。所以內審的作業模式可以通過分析復核、重復計算、訪談等多種手段,核實業務事項是否真實合理。
簡單的說,就是。內控是檢查你吃飯的順序,如先吃菜再吃飯或者先吃飯再吃菜。內審就是檢查吃法好不好,對於胖人吃大量的肥肉,可以建議減少攝入量。
二、體系建立篇
在這里,你將熟悉每個控制活動所涉及的每個流程應該做的內控要點以及關鍵控制點的描述。由於涉及的內容較多,我這里簡單的作一個銷售模塊的內控體系建立,其他模塊的建立可在模仿的情況下,分別建立。
1、銷售模式的確認
一般銷售的模式分如下幾種,正常銷售、國際貿易、團購,涉及到酒類或者其他製造業會涉及到品牌銷售模式。
這里解釋一下品牌銷售模式,即允許被授權商生產與自己相同的產品,貼自己的商標和品牌,收取品牌或者商標費的一種作業模式。
2、正常銷售的流程劃分
由於正常銷售可劃分為單次銷售或者通過訂貨會或者其他模式先簽訂框架合同這種銷售模式進行作業。其實這提到的可以將其作為一場流程進行控制。
一級流程:為銷售流程。
二級流程:可以劃分為銷售定價、信用管理、合同簽訂、訂單處理、備貨處理、發貨簽收、收款入賬處理、開票管理、應收款管理等。
三級流程:
其中銷售定價流程可以劃分為年度銷售定價流程、中期價格變更或者臨時價格變更流程。其中如果是系統控制,則需要明確哪個部門的什麼崗位在系統中進行價格的錄入和變更,最後由誰來審核。
信用管理流程可以劃分為客戶准入評價流程,不定期評價流程及信用變更流程。由於這一塊基本上很少有客戶在進行作業或者處理,所以在調研流程的時候,可能客戶不會提供該流程,所以在編制內控手冊的時候,需要做好與客戶的隨時溝通。
合同簽訂流程可以劃分為合同起草、審核、蓋章和保管作業流程。
訂單處理流程可以劃分為正常訂單處理流程,訂單取消流程和逾期未處理訂單流程等。
備貨處理流程可以劃分為下發貨通知單、物品調配流程和物品調配不足流程。
發貨簽收流程可以劃分為發貨單制定流程、物流選擇流程、出庫審核流程和客戶收貨簽收流程。
收款入賬流程。
發票開具流程含客戶提交增值稅資質流程和開票流程。
應收款流程含應收款催收流程、逾期壞賬准備計提流程、壞賬沖銷流程。
如果調研或者訪談的時候將上述流程調研清楚,同時在內控手冊中描述清楚,那麼銷售模塊基本上就完成了
B. 行政事業單位內部控制建設方法有哪幾種
行政事業單位內部控制建設方法有9種,分別是:
1、不相容崗位相互分離;
2、 內部授權審批控制;
3、歸口管理;
4、預算控制;
5、財產保護控制;
6、會計控制;
7、單據控制;
8、信息內部公開。
C. 如何貫徹內控體系建設
一、基礎概念篇
在這里,你將熟悉,內控體系具體是什麼,建立內控體系需要解決的誤區以及流程體系建立的作業流程。
1、
內控體系建設涵蓋哪些東西,主要內容是什麼?
國家要求上市企業建立的內控體系是保證財務報告真實性而要求建立的體系,所以他的具體內容與外資企業的sox404體系差不多。一般整個內控體系涵蓋的內容含如下幾個內控手冊,風險資料庫,內控評價手冊。
內控手冊為每個作業流程的描述,內容含流程描述、流程圖、授權說明、崗位職責分離說明。
風險資料庫可能導致風險的現象描述的匯總。風險指導致公司資產不安全,作業不合規合法,運營效率效益低下,財務報表數據不真實等。
內控評價手冊具體含三部分,第一部分檢查制度設計合理或者文檔的齊全性,第二部分檢查控制過程,第三部分檢查會計帳務處理控制。
2、
內控體系與ISO質量體系有什麼區別和聯系?
目的不同:內控體系是以會計報告為主要目的,而ISO質量體系是以產品質量為主。
控制活動不同:在現階段18個指引來看,內控體系缺少對生產過程式控制制;而ISO質量體系則以產品質量為主,涵蓋產供銷價值鏈,但是缺少會計系統控制。
涉及部門不同:在ISO體系內不存在財務部門,以研發、生產、采購、銷售部門為主;內控體系幾乎涵蓋公司各部門,因為有句話說得好,只要是企業在運作的,其最後的運作成果就是財務數值。
3、內控體系的控制活動的業務流程如何劃分,如何做到將各業務流程進行涵蓋?
最簡單的第一步就是拿到組織架構圖,之後看到是否是以事業部為編制的,則是事業部的名稱作為一級流程,事業部下屬的部門分為二級流程,如果下屬的部門涵蓋多個職能則劃分為三級流程。如銷售事業部,則銷售循環作為一級流程,下屬的商務部負責訂單處理的則作為訂單處理作為二級流程。如商務部有兩個功能除了訂單處理還涉及到銷售貨品的備貨計劃制定。則訂單處理作為二級流程,訂單處理和備貨計劃制定作為三級流程。
4、 單個作業流程具體怎麼描述,怎麼將業務流程所涵蓋的信息進行歸納處理?
作業流程就是描述一個為達到特定的價值目標而由不同的人分別共同完成的一系列活動。一個完整的作業流程應該包含6項內容,具體如下:
流程式控制制人:參與到作業流程中的人,具體描述的時候應注意該控制人所涉及的部門及崗位具體名稱。
控制頻率:作業的時間間隔控制。
控制活動:流程是如何作業的。
控制痕跡:作業完成後形成的書面痕跡
控制方式:系統控制還是人工控制。
異常控制:授權體系外的作業流程是如何控制的。
舉例如下:描述超市客服處對會員積點兌換控制流程,之前描述了一個出納盤點流程,大家都熟悉,這次描述復雜點的。
流程式控制制人:售後服務部的客服專員,客服主官
控制頻率: 客戶不定期來兌換會員積分。
控制活動: 客服專員根據會員要求兌換相應的贈品,同時在xxx系統內扣除積分,並在XX贈品台帳內要求客戶簽字。
控制痕跡: 形成扣完積分的積分表和留有客戶簽字的贈品台帳。
控制方式: 兌換的系統積分由XX系統內扣除。
異常控制: 積分不夠,如客戶要求加錢補足積分,則客戶專員需得到客服主管的口頭授權,在收取錢款後並在贈品台帳做書面說明。
總的一句話:客戶不定期對積分進行兌換,提出兌換的物品,售後服務部的客服專員在XXX系統內扣除積分,同時手工登記贈品台帳,在客戶簽字的情況下,將贈品進行贈送。如積分不夠,如客戶要求加錢補足積分,則客戶專員需得到客服主管的口頭授權,在收取錢款後並在贈品台帳做書面說明。當天營業結束前,客服主管需要對贈品台帳和積分兌換系統進行核對。
5、內控體系建立的流程是怎麼樣的?
大致的作業流程是這樣的:
(1)
組織架構:先建立內控小組,為了使內控體系得到有效落實和貫徹,所以內控小組的組長最好是總經理或者董事長。主要的作業人員最好是公司的內審部門或者新建的內控部或者風險管理部,如果沒有此類部門則最好選一名懂財務的,如財務主管,另外加一名懂業務的作為內控小組的主要作業成員,最好另外輔助2-3名人員。
(2)
業務運作:總經理或者董事長開內控項目啟動會,同時主要成員講述內控系統的作業和具體要求。會議結束後,內控小組給各部門提交部門的制度,內控小組完成制度的對標和梳理工作。各職能部門限期內提交流程。內控小組根據內控指引對現有的作業流程的描述進行評價,同時開展小組會議對各職能部門未設置的流程及有缺欠的流程進行優化重組。內控小組根據談論完畢的各流程進行內控手冊的編制和流程圖的繪制,最後形成內控手冊。由總經理授權下發。
(3)
內控小組等類似部門不定期進行內控評價,並根據各職能部門的變化對內控手冊進行優化等。
6、如果業務部比較忙,無法繪製作業流程,那訪談怎麼做?
首先編制訪談計劃,需要提供給部門接收訪談的人員一個訪談提綱。
訪談一般安排2個人,1人訪談,1人記錄。記錄人不要求將每句話記下來,只要將討論的主題,以及討論的結果記錄下來即可。
訪談的時候,先講明不是來指責部門的作業流程的缺失,而是主要是完善和建立內控體系。訪談的問題主要圍繞作業流程進行,而不是扯淡的問,風險在哪裡,自己說。
7、流程圖怎麼繪制,採用什麼軟體?
一般選擇微軟的visio繪圖軟體或者smart draw 繪圖軟體,這兩者的區別是visio看上去比較正規,而smart draw 比較好看。
8、作業現場是否需要繪制流程圖?
最好繪制流程圖,因為在描述整個流程的時候,如果不繪制流程圖,可能看不到什麼遺漏。最好訪談完畢,直接將流程圖繪制,之後與業務部門進行核對。
9、如何完成制度對表的工作?
制度對表的工作一般可以在進場後的或者訪談結束後,當場完成對制度的評價。制度的評價主要的風險點為:流程描述不清楚或者缺失,崗位職責人或者控制部門不明確,崗位職責未分離,異常流程未描述,控制痕跡或者流程的表單未明確,控制頻率未明確,未體現控制方式。(即未描述存在手工或者系統控制。)
10、如何完成風險點的匯總
現場的風險點的匯總,不是訪談人說什麼風險就是風險點。而是根據訪談人提供的風險點提示,內控人員通過系統或者會計憑證等書面資料核實完畢之後再歸納匯總至風險點。而且在完成風險點之後最好與被訪談人員再次作風險點確認。
11、如何完成風險點的報告?
風險報告主要是對現有的流程的分析,所以可以按照事業部,之後將事業部涉及的流程綜述,之後對各流程進行評價。而不是一堆風險點的堆砌。看上去100-200張ppt但是看得頭暈。而且匯報結束老闆對你不爽。
12、內控檢查與內審的區別和聯系在哪裡?
內控檢查的主要目的是建立和明確完整的作業流程、流程中的崗位職責、授權審批、保留書面控制痕跡。所以內控主要是流程稽核,主要的作業模式就是控制點有沒有建立。
內審的主要目的是保證業務事項的真實合理和提高運營的效率效益。所以內審的作業模式可以通過分析復核、重復計算、訪談等多種手段,核實業務事項是否真實合理。
簡單的說,就是。內控是檢查你吃飯的順序,如先吃菜再吃飯或者先吃飯再吃菜。內審就是檢查吃法好不好,對於胖人吃大量的肥肉,可以建議減少攝入量。
二、體系建立篇
在這里,你將熟悉每個控制活動所涉及的每個流程應該做的內控要點以及關鍵控制點的描述。由於涉及的內容較多,我這里簡單的作一個銷售模塊的內控體系建立,其他模塊的建立可在模仿的情況下,分別建立。
1、銷售模式的確認
一般銷售的模式分如下幾種,正常銷售、國際貿易、團購,涉及到酒類或者其他製造業會涉及到品牌銷售模式。
這里解釋一下品牌銷售模式,即允許被授權商生產與自己相同的產品,貼自己的商標和品牌,收取品牌或者商標費的一種作業模式。
2、正常銷售的流程劃分
由於正常銷售可劃分為單次銷售或者通過訂貨會或者其他模式先簽訂框架合同這種銷售模式進行作業。其實這提到的可以將其作為一場流程進行控制。
一級流程:為銷售流程。
二級流程:可以劃分為銷售定價、信用管理、合同簽訂、訂單處理、備貨處理、發貨簽收、收款入賬處理、開票管理、應收款管理等。
三級流程:
其中銷售定價流程可以劃分為年度銷售定價流程、中期價格變更或者臨時價格變更流程。其中如果是系統控制,則需要明確哪個部門的什麼崗位在系統中進行價格的錄入和變更,最後由誰來審核。
信用管理流程可以劃分為客戶准入評價流程,不定期評價流程及信用變更流程。由於這一塊基本上很少有客戶在進行作業或者處理,所以在調研流程的時候,可能客戶不會提供該流程,所以在編制內控手冊的時候,需要做好與客戶的隨時溝通。
合同簽訂流程可以劃分為合同起草、審核、蓋章和保管作業流程。
訂單處理流程可以劃分為正常訂單處理流程,訂單取消流程和逾期未處理訂單流程等。
備貨處理流程可以劃分為下發貨通知單、物品調配流程和物品調配不足流程。
發貨簽收流程可以劃分為發貨單制定流程、物流選擇流程、出庫審核流程和客戶收貨簽收流程。
收款入賬流程。
發票開具流程含客戶提交增值稅資質流程和開票流程。
應收款流程含應收款催收流程、逾期壞賬准備計提流程、壞賬沖銷流程。
如果調研或者訪談的時候將上述流程調研清楚,同時在內控手冊中描述清楚,那麼銷售模塊基本上就完成了
D. 怎麼構建內控體系
答:一般的內控體系的構築邏輯是 1、 內部環境----構築一個適合於內控的環境,從治理,戰略,組織設計,商業模式等多個方面來使得公司在一個高的平台和起點上運行 2、 風險評估----找出各種類似問題,對每個問題可能出現的形式,存在的風險進行深入剖析. 3、 控制措施----針對問題進行控制措施的設置,包括支撐控制措施的組織保障,理念培訓技術手段 4、 信息與溝通----從不斷進行信息溝通,通過各種手段進行內控運行和評價來消除問題和知曉體系的現狀 5、 監督檢察----對內控體系的執行情況進行不斷的監督檢查,以及不斷促進內控體系的優化 第一層次:基於管控體系,構築母公司層面內控體系(主要是母公司戰略定位和母公司自身運作,以及母公司出資人職能履行三個部分) 第二層次:子公司管控內控體系(母公司對子公司的治理,以及子公司戰略與運作等子公司的十四個管控子體系) 第三層次:母公司對子公司內控體系的管理,監督與優化體系 在構築各個層次內控體系時,華彩會使用五步法的內控體系基本邏輯做為方法論,但按照這五個步驟來做,就既不具備操作性,又過於為內控而內控,根本沒有照顧到集團運作的獨有問題,而且沒能從各個職能部門和功能的立場上來做內控體系,導致各個部門的參與深度和對內控思想的理解程度不夠. 華彩認為內控體系的建立必須強化母公司控制力,驅除子公司內部人控制和信息不對稱,母公司必須通過內控體系的建立為母公司的董事,監事,以及其他派出管理者打造一個監督制度監督子公司運作的平台. 華彩內控體系是基於集團管控的,考慮到集團總部自身的內控並不是重點,而是各子公司的內控體系才是重點,但子公司有任期考核和經濟指標做為硬約束,不會主動的去建設內控體系.因為內控在一定程度上降低了效率,所以不是子公司高層的戰略性意圖.頂多是母公司意志的反應. 所以,在很大程度上,內控應該是在母公司干預和引導下,母子公司一起進行的一個管理系統的再造工程.而且母公司始終行使外部監督檢察推進者這一角色.
E. 內控體系的內控體系建設原則
一個企業在生存、發展的過程中,必定會面臨各種各樣的風險,如決策管理風險、政策法規風險、制度缺陷風險、流動性風險、市場風險、信用風險和操作風險等。在風險面前,企業並不是無能為力的,可以通過建立內控體系來防範和化解風險。內部控制體系的建設一直是國內外一些管理先驅公司的重點內容,對於集團全方位強化基礎管理和提升管理水平都有積極的意義。如何從傳統的復核、牽制等控制手段到以財務會計活動為中心的會計控制,再經內控整體框架理念而至目前的企業全面風險管理,都是現今集團企業最為關注的問題。
2002年美國因為安然事件出台了《薩班斯-奧克斯利法案》,而中國亦有五部委最新發布的《企業內部控制基本規范》及其配套指引,顯然企業只有建立了行之有效的內部控制體系,才能獲得穩定且持續的發展。在介紹企業全面風險管理體系框架和構建方法的基礎上,列舉大量生動案例,了解集團風險及內控管理體系的思想、流程、方法、工具和實施技能,識別潛在的風險,並針對潛在的風險研究對策。
全面風險管理體系與全面風險管控體系 風險管理體系和風險管控體系
全面風險管理體系的五大模塊是一個經營循環
全面風險管理的五大步驟
寶鋼集團風險管理實踐 戰略目標
運營目標
經營的效率、經營的效果
報告目標
財務的報告、非財務的報告
合法性目標
符合法律、符合法規、符合上級企業的規定
其他目標 外部因素包括經濟、商業、自然環境、政治、社會和技術因素等
內部因素包括企業的基礎設施、人員、生產過程和技術等事項。
事項識別
潛在的事項
企業事項識別的方法
F. 內控體系建設的五個環節
作為內控管理的第一站,內控戰略規劃的重要地位在於其對以後實施內控系統建設的所有方面的影響。合理的戰略規劃可以使企業的內控管理效率大幅度提高,確保企業的治理水平迅速達到所有者和管理層的預期目標。
制定企業內控戰略規劃具體應該注意掌握以下幾個方面:
1.與企業戰略目標保持嚴格一致
企業戰略目標是制定企業所有具體業務目標的基礎,內控戰略目標也必須符合企業總體戰略目標確定的方向。當前,關於企業的戰略目標、原景、核心價值觀等的主流觀點基本上都是圍繞著如何發展成為一個有社會責任感的企業來確定的。
內控戰略目標通常可以按照企業希望達到的發展水平來確定。假如某企業的戰略目標是在一定的期限內成為本行業的領導者並希望基業常青,那麼其內控體系的戰略目標就必須為符合這一要求提供有力的支撐;既不能高於這個目標,也不能低於這個目標。惟此,才能被企業內所有利益相關者和運營管理的所有參與者所接受。
此外,內控戰略目標可以根據企業的發展狀況分階段確定。例如在某個階段達到行業先進水平;某階段達到國內同行業先進水平;某階段達到國際先進水平等。
2.明確實現目標的具體標志
事先確定內控戰略實現的具體標志,既可以為企業制訂年度內控工作計劃或績效考核目標提供具體的依據,也可以為日後評價本企業內控戰略目標的實現狀況提供評價依據。
例如:某企業的內控戰略目標是達到本省同行業先進水平。那麼,企業就必須對本省的同行業內控管理的基本情況有所了解。然後確定自己的評價標准或實現標志。評價標准可以具體設置為:企業內控管理程序建設情況;內控組織系統建設情況;內控審計手段的先進和有效程度;舞弊案件的損失指標;企業的風險指標;全體員工對內控管理的理解情況等等。
3.基於企業實際需要的准確定位
所謂「准確」定位的標准就是目標必須與本企業的實際情況相符合,並清晰明了。例如一家小型企業集團的內控戰略目標沒必要定的太高;實現標志可以比較簡單;業務范圍可以適當縮小。這樣,就可以以較低的成本投入達到預定的控制目標。
4.明確內控工作理念
這是開展企業內控工作的基本准則,否則不但內控體系起不到應有的積極作用,反而會成為企業發展的掣肘之物。例如建立「寓監督於服務」之中的工作理念,就可以避免單純的監督審計容易引起抵觸的缺陷;按照內控五要素,建立全面預防風險的原則,就可以為開展內控工作提供具體的評價依據。
5.認同
內控戰略目標確定過程必須經過所有者或最高管理層的批准和確認。能夠在獲得高層批准前,先徵求下屬分、子公司管理層的意見並取得一致意見也是非常必要的。這些舉措可以為日後推行內控管理減少阻力。 內控機構設置的主要工作包括:確定機構名稱、層級、匯報對象、專業人員的具體名稱、工作崗位設置、工作內容確定、人員選拔和素質要求、工作的具體原則等。以下將主要討論組織機構的設置、內控工作的具體內容和崗位確定。
1.組織機構設置
目前中國規模較大的國有或上市公司,通常都會在監督決策層設置監事或獨立董事、董事會下的審計委員會;在運營管理層則設置內部審計部或監察部等職能部門。應該說已經建立了內控組織機構。但關鍵是這些機構存在許多缺陷,這些問題構成了當前公司治理的主要障礙之一。具體表現如下:
*具體執行機構缺失
比如,企業中通常沒有具體的執行機構為監事或獨立董事的實現監督職能提供「硬體」條件;這使得監事或獨立董事的職務常常「淪為」一種對外形象功能,在人員安排上以安排退休前的資深領導為主。審計委員會通常也處於相同的情況,其獲得信息的來源主要是董事長和總經理等高層管理者,無法真正履行其監督職能。
*內部審計部通常在工作范圍以及報告對象上處境尷尬
一般企業的審計范圍僅限於財務審計;其工作報告對象通常只是其監督對象的財務總監或總經理。筆者認為,比較理想的內控管理組織機構,應當在一定獨立性的條件下,能夠具體介入企業日常運營管理工作。這一點應當和外部審計有所區別。一些像BP這樣的國際化大公司在其業務組織機構中就使用了內控部代替內部審計部。表面看,只是名稱不同,但實際上卻有著非常大的區別。主要表現在:
A.獨立性程度不同
內部審計部通常按照審計規則要求,為保持完全的獨立性不得介入企業的日常經營活動。而內控部則可以較深入地介入企業的日常經營活動,了解更多的情況並提供管理咨詢服務,從而達到「寓監督於服務之中」的效果。
B.審計檢查范圍不同
雖然當前的內部審計部在審計范圍上也在力求突破傳統的財務審計,向運營管理審計方面發展,但畢竟受到從業人員資格和工作背景的限制,無法真正實現其對運營管理的有效監督檢查。而內控部由於在雇傭人員方面沒有局限性(非財務和審計資格的人員也可以參加內控審計檢查工作),因此,可以做到對企業的全面運營管理實行更有效的監督檢查。
C.報告對象不同
內部審計部通常只是向企業的CEO報告工作,向CEO負責。因此,許多涉及CEO本人利益的問題通常無法得到徹底解決,甚至根本無法解決。而內控部則可以在向企業CEO報告工作的同時,還能直接向審計委員會、甚至監事或獨立董事報告工作。這在一定程度上保證了審計報告的真實可靠性。 任何企業在推行某個新的管理方法前,最大的問題就是如何快速、有效地轉變人們已經習慣了的各種傳統工作方法和思路。由於採用現代企業內控管理的具體操作方法將直接影響到企業現有的權力結構,這就意味著會遇到巨大的阻力。為此,企業內控管理人員必須要對所有相關利益者進行系統的內控培訓,在系統運行之前,把阻力減到最小。培訓的內容主要有:編制培訓資料、確定培訓計劃以及實施培訓。
1.編制培訓資料
*通過各種渠道收集內控管理資料和各種案例。內控案例應當以本企業已經發生的事件為主,適當選用社會案例;
*根據本企業實際情況,篩選資料;
*使用各種演示手段,組織編排演示文本,電子版本和紙質版本;
*培訓資料應盡量使用各種案例解釋各種概念。
2.確定培訓計劃
*確定培訓對象
內控培訓對象應該包括企業董(監)事、CEO、CFO等全體高層管理人員和普通管理人員。普通管理人員中應當包括庫房保管、司磅人員、質量檢驗人員、保衛幹事等敏感崗位的操作人員。
*培訓方法
脫產專門培訓和現場在崗培訓,單獨溝通交流培訓以及工作交流培訓等多種形式。
*確定培訓的目標和具體實施的時間以及考核評價培訓效果。內控培訓應該和企業的其他培訓計劃相結合。
3.實施培訓
對於董(監)事、CEO或CFO、公司總經理等高級管理人員,通常採用單獨交流的方式介紹內控管理的要點;
對於專業內控管理人員則需要進行全面的脫產專門培訓並結合其他在崗和工作交流培訓;
對於其他普通管理人員則以短期脫產集中培訓結合現場其他在崗培訓。
在整個受訓的人群中,對高級管理人員的培訓是整個培訓的重點。鑒於財務總監在內控體系中的重要性,企業在考慮選聘財務總監時,應當盡可能選擇具有內控工作背景的財務人員。國際上的一些著名企業如GE公司,其選拔的財務總監通常是來自從事過內部控制(內部審計)工作的人員。具有從事內控(內部審計)工作背景的人員將成為未來財務總監的重要來源。
有關內控培訓方面的工作,如果企業限於自身培訓力量和其他考慮,通常可以委託其他專業管理公司的專家來協助進行。這種培訓通常限於集中的脫產培訓。但日常培訓主要還得依靠企業內部力量完成。 嚴格地說,自從企業策劃內控戰略開始,就可以看作是進入了內控作業的實施階段,這里指的是具體實施內控作業階段。內控作業的內容主要包括:
1.制定企業內控管理程序,或者運營管理程序
內控的實質就是法制化、程序化管理。內控管理程序與傳統的企業管理程序的最大區別是以系統的方法設計業務流程並且事前就充分考慮規避各種潛在的管理風險。因此,內控部門在組織各職能部門編制內控管理程序時應當首先對所有的業務流程中存在的各種潛在的風險進行評估並且在程序設計中予以規避。這里包括組織牽制、授權系統確定、政策規定等等。制定企業內控管理程序應當充分考慮與企業現有的質量管理體系的兼容問題。
2.評估檢查企業的授權管理系統
任何一家企業無論是否有內控管理,一定存在一套授權管理系統。但問題是這些存在的授權管理系統是否科學、清晰合理,是否存在越權和越級的潛在風險。這就需要內控專業人員對系統進行評估並提出修改調整意見。內控人員需要與公司的CEO、CFO以及人力資源部和各業務部門共同合作,對現有的崗位職責進行調整。崗位職責在內控管理中屬於一般授權管理。建立臨時特別授權管理制度。
3.潛在利益沖突調查
為保證內控管理的組織牽制原則得到有效的實施,當前的主流非家族經營管理的企業通常需要在處理日常業務中避免產生雇員與企業發生利益沖突的情況。為此,企業內控管理人員應當根據企業實際情況設計一套利益沖突調查文件並提出規避潛在利益沖突發生的具體措施。然後組織下屬企業開展全面的利益沖突調查,最後根據調查結果提出處理意見,包括替代控制措施。
4.編制年度內控審計指導,實施內控審計
無論是內部審計還是內控審計,都應當在審計前制定審計指導。編制審計指導應當依據一般內部審計准則要求結合本企業實際情況和需要編制。具體的審計項目應當按照內控五要素(內控框架)進行分類。這里需要再次強調,內控審計和傳統的內部審計在審計范圍上不同,包括了財務之外的其他運營管理工作,如職工安全與環境保護,質量管理和生產現場管理,6S管理,6西格瑪管理、精益生產等內容,因此,在設計內控審計指導時應當和相關業務部門進行充分的合作,保證審計項目和審計資源配置的合理性。為便於對各下屬企業的內控管理進行客觀橫向比較,內控審計指導可以同時附帶建立評分系統。這樣,內控審計人員在審計檢查過程中可以提出客觀科學的評價結果。
在完成對所有下屬公司的年度審計後,內控管理人員就可以對各企業的實際情況進行量化分析比較,為分析企業的管理風險提供客觀依據。內控審計指導應當根據企業管理風險變化情況,定期進行調整更新。實施年度內控審計,通常可以要求下屬企業內控人員參加,通過交叉審計對下屬企業內控人員進行業務培訓。
5.組織風險評估
控制管理風險是內控的根本目的。因此,企業內控部應當定期對各下屬企業的管理風險進行評估。管理風險評估應當事先進行全面的規劃。包括確定風險評估的對象(各種業務程序和處理環節),風險種類的確定,風險等級的評定,評估人員的組成,評估表格的設計,評估結果分析等。風險評估是開展內控工作的基礎,也是制訂內控管理程序的重要依據。各個企業由於所處行業不同,地域不同,競爭程度不同,產品種類不同,其管理風險也有很大的不同。突出重點,抓住高風險項目,是平衡企業控制風險和投入成本的重要手段。
6.內控問題調查(ICRQ)
為保證企業內控管理得到有效執行,各企業的下屬機構除了要接受總部的內控審計和外部審計外,還應當定期或不定期舉行自我檢查。自我檢查的主體是各分、子公司總經理和各業務部門負責人。分、子公司的內控管理人員牽頭組織實施。總部內控部通常應當根據上年度審計發現的問題,結合最新企業風險變化情況等,編制企業年度內控問題調查提綱發給各分、子公司供其參考。分、子公司內控人員可以根據本企業實際情況和需要,對自查內容進行補充。企業內控問題調查表,應當根據企業管理風險變化情況和以前年度審計發現的普遍弱點進行調整。
7.舞弊案件調查
舞弊問題對企業造成的損失是造成企業效益下降甚至導致企業破產的重要原因。因此,預防舞弊風險當然也就成為企業內控管理的主要內容。舞弊問題產生的後果,通常可以用貨幣數量來反映。舞弊損失數量是企業內控管理工作績效考核的重要指標。內控人員應當定期或不定期對企業發生的舞弊案件進行調查並分析匯總舞弊發生的原因,為管理者採取預防措施提供依據。對於國內企業,特別是國有企業來說,舞弊案件通常由監察部或紀檢委負責調查。但是,對於沒有這些機構的外資企業或上市公司來說,就需要由內控部和內控人員介入調查。內控部每年應當對企業發生的舞弊情況進行匯總分析並為管理層提出相應的預防措施。
8.評價考核內控工作
評價考核企業內控人員的工作包括兩部分。首先是內控人員績效完成情況。根據每年與內控人員簽定的績效協議,對其工作進行考核評價;其次,對內控管理完成好的企業內控人員進行表彰。為保證內控人員工作的相對獨立性和權威性,內控部將對下屬分、子機構的內控人員招聘和解僱提出意見。
9.參加公司董事會會議,對下屬企業總經理、財務總監在執行內控政策和遵循授權管理方面的情況提出獎懲建議 。
參加公司的重要決策會議,對重大項目實施提出管理風險控制方案。例如內控先行的概念。眾所周知,萬丈高樓平地起,無數失敗的案例表明,造成一個好項目日後失敗的眾多原因中,沒有預先建立嚴格的內控體系並按照程序規定操作是其中最重要的原因。
10.組織保險業務
購買企業保險,除了能夠彌補各種突發事件給企業造成的損失外,同時也具有預防管理風險的作用。要做好企業內控工作,除了利用內部資源外,保險業務也可以成為促進企業內控管理的有效工具。如何選擇購買保險項目,如何事先准備預防保險事故發生以及如何准備保險索賠資料等,都和企業內控管理有重要的關系。
11.培訓企業高級管理人員
內控工作的一個重要內容就是培訓企業高級管理人員,特別是財務總監。實踐表明,有財務背景的專業人員在得到內控審計培訓後,通常可以很好地勝任企業財務總監的工作。從事過一定時期的內控審計工作後,通常就有機會得到作為一名合格財務總監所需要具備的許多條件。比如良好的職業道德、敏銳的風險意識、出色的溝通技巧、較多的處理疑難問題的經驗等等。
12.內控工作報告
企業內控部工作報告對象將包括董(監)事、CEO和總經理等人。內控工作報告有定期和非定期兩種。定期報告主要是定期分析企業總體內控狀況,當前存在的高風險問題,各種審計結果,以及針對薄弱問題提出的改進意見和建議。好的內控人員可以成為企業董事長、CEO的安全事務助理。
由於打破了內部審計師的工作范圍,可以列入實施內控作業的項目還可以增加。這里特別要提出的是「內控服務」的觀念。我們通常所說的「寓監督於服務之中」就是為了體現這一觀念。它從本質上改變了傳統的內部審計觀念。從實踐經驗來看,如果要想使企業的內控管理體系真正發揮作用,就必須拋棄單純監督審計的觀念,代之以監督審計與服務並重。內控服務的內容主要應當以提供管理咨詢意見和建議為主。 根據內控五要素的解釋,檢查和評估是內控框架體系的一部分。這里的檢查評估除了日常對企業各個業務操作的檢查評估外,也包括對正在實施的內控系統的檢查評估。內控部和外部審計師(也包括將來社會上成立的獨立的內控體系評估機構)將構成檢查評估的主體。進入本站的主要工作內容有:
1.內部自我檢查評估
由集團內控部負責,對企業已經實施的各項內控工作進行全面的檢查和評估。從戰略規劃和年度內控工作計劃開始,到組織機構設置和運營情況,再到培訓工作和實施內控作業,進行全方位的檢查評估,然後提出改進措施。 2.外部審計師的評估
根據《公司法》規定,所有企業都應當通過外部審計機構的年度審計。外部審計師在實施審計時,為規避其審計風險,通常要對被審計對象的內控體系進行檢查評估。因此,獲得外部審計師的評價意見和建議,將從另外的角度為企業改進內控管理體系提供重要的依據。
3.企業為獲得更為專業的內控評價意見,也可以邀請具有一定資格的其他獨立第三方對企業進行檢查評估。