企業內控及風險管理流程圖
A. 內控機制的內部控制與風險防範
內控收益 掌握先進的內部控制、風險管理、職業舞弊及內部審計等理論 掌握快速診斷企業內部控制缺陷的方法,評價內部控制的效果並進行改進 提升管理層對內部控制自我評估的能力,建立有效的內部控制環境 明確如何結合企業自身特點、建立適合企業自身情況的內部控制系統 通過企業運作中的典型實例幫助學員明確主要業務活動中的控制要點、控制標准和控制方法 內控要點
對內部控制相關理論的全面介紹控制環境內部控制的實質——風險管理內部控制活動內部審計簡介內控的建立和執行
B. 如何建立風險與內控管理體系
僅供參考
一、基礎概念篇
在這里,你將熟悉,內控體系具體是什麼,建立內控體系需要解決的誤區以及流程體系建立的作業流程。
1、內控體系建設涵蓋哪些東西,主要內容是什麼?
國家要求上市企業建立的內控體系是保證財務報告真實性而要求建立的體系,所以他的具體內容與外資企業的sox404體系差不多。一般整個內控體系涵蓋的內容含如下幾個內控手冊,風險資料庫,內控評價手冊。
內控手冊為每個作業流程的描述,內容含流程描述、流程圖、授權說明、崗位職責分離說明。
風險資料庫可能導致風險的現象描述的匯總。風險指導致公司資產不安全,作業不合規合法,運營效率效益低下,財務報表數據不真實等。
內控評價手冊具體含三部分,第一部分檢查制度設計合理或者文檔的齊全性,第二部分檢查控制過程,第三部分檢查會計帳務處理控制。
2、內控體系與ISO質量體系有什麼區別和聯系?
目的不同:內控體系是以會計報告為主要目的,而ISO質量體系是以產品質量為主。
控制活動不同:在現階段18個指引來看,內控體系缺少對生產過程式控制制;而ISO質量體系則以產品質量為主,涵蓋產供銷價值鏈,但是缺少會計系統控制。
涉及部門不同:在ISO體系內不存在財務部門,以研發、生產、采購、銷售部門為主;內控體系幾乎涵蓋公司各部門,因為有句話說得好,只要是企業在運作的,其最後的運作成果就是財務數值。
3、內控體系的控制活動的業務流程如何劃分,如何做到將各業務流程進行涵蓋?
最簡單的第一步就是拿到組織架構圖,之後看到是否是以事業部為編制的,則是事業部的名稱作為一級流程,事業部下屬的部門分為二級流程,如果下屬的部門涵蓋多個職能則劃分為三級流程。如銷售事業部,則銷售循環作為一級流程,下屬的商務部負責訂單處理的則作為訂單處理作為二級流程。如商務部有兩個功能除了訂單處理還涉及到銷售貨品的備貨計劃制定。則訂單處理作為二級流程,訂單處理和備貨計劃制定作為三級流程。
4、 單個作業流程具體怎麼描述,怎麼將業務流程所涵蓋的信息進行歸納處理?
作業流程就是描述一個為達到特定的價值目標而由不同的人分別共同完成的一系列活動。一個完整的作業流程應該包含6項內容,具體如下:
流程式控制制人:參與到作業流程中的人,具體描述的時候應注意該控制人所涉及的部門及崗位具體名稱。
控制頻率:作業的時間間隔控制。
控制活動:流程是如何作業的。
控制痕跡:作業完成後形成的書面痕跡
控制方式:系統控制還是人工控制。
異常控制:授權體系外的作業流程是如何控制的。
舉例如下:描述超市客服處對會員積點兌換控制流程,之前描述了一個出納盤點流程,大家都熟悉,這次描述復雜點的。
流程式控制制人:售後服務部的客服專員,客服主官
控制頻率: 客戶不定期來兌換會員積分。
控制活動: 客服專員根據會員要求兌換相應的贈品,同時在xxx系統內扣除積分,並在XX贈品台帳內要求客戶簽字。
控制痕跡: 形成扣完積分的積分表和留有客戶簽字的贈品台帳。
控制方式: 兌換的系統積分由XX系統內扣除。
異常控制: 積分不夠,如客戶要求加錢補足積分,則客戶專員需得到客服主管的口頭授權,在收取錢款後並在贈品台帳做書面說明。
總的一句話:客戶不定期對積分進行兌換,提出兌換的物品,售後服務部的客服專員在XXX系統內扣除積分,同時手工登記贈品台帳,在客戶簽字的情況下,將贈品進行贈送。如積分不夠,如客戶要求加錢補足積分,則客戶專員需得到客服主管的口頭授權,在收取錢款後並在贈品台帳做書面說明。當天營業結束前,客服主管需要對贈品台帳和積分兌換系統進行核對。
5、內控體系建立的流程是怎麼樣的?
大致的作業流程是這樣的:
(1)
組織架構:先建立內控小組,為了使內控體系得到有效落實和貫徹,所以內控小組的組長最好是總經理或者董事長。主要的作業人員最好是公司的內審部門或者新建的內控部或者風險管理部,如果沒有此類部門則最好選一名懂財務的,如財務主管,另外加一名懂業務的作為內控小組的主要作業成員,最好另外輔助2-3名人員。
(2)
業務運作:總經理或者董事長開內控項目啟動會,同時主要成員講述內控系統的作業和具體要求。會議結束後,內控小組給各部門提交部門的制度,內控小組完成制度的對標和梳理工作。各職能部門限期內提交流程。內控小組根據內控指引對現有的作業流程的描述進行評價,同時開展小組會議對各職能部門未設置的流程及有缺欠的流程進行優化重組。內控小組根據談論完畢的各流程進行內控手冊的編制和流程圖的繪制,最後形成內控手冊。由總經理授權下發。
(3)
內控小組等類似部門不定期進行內控評價,並根據各職能部門的變化對內控手冊進行優化等。
6、如果業務部比較忙,無法繪製作業流程,那訪談怎麼做?
首先編制訪談計劃,需要提供給部門接收訪談的人員一個訪談提綱。
訪談一般安排2個人,1人訪談,1人記錄。記錄人不要求將每句話記下來,只要將討論的主題,以及討論的結果記錄下來即可。
訪談的時候,先講明不是來指責部門的作業流程的缺失,而是主要是完善和建立內控體系。訪談的問題主要圍繞作業流程進行,而不是扯淡的問,風險在哪裡,自己說。
7、流程圖怎麼繪制,採用什麼軟體?
一般選擇微軟的visio繪圖軟體或者smart draw 繪圖軟體,這兩者的區別是visio看上去比較正規,而smart draw 比較好看。
8、作業現場是否需要繪制流程圖?
最好繪制流程圖,因為在描述整個流程的時候,如果不繪制流程圖,可能看不到什麼遺漏。最好訪談完畢,直接將流程圖繪制,之後與業務部門進行核對。
9、如何完成制度對表的工作?
制度對表的工作一般可以在進場後的或者訪談結束後,當場完成對制度的評價。制度的評價主要的風險點為:流程描述不清楚或者缺失,崗位職責人或者控制部門不明確,崗位職責未分離,異常流程未描述,控制痕跡或者流程的表單未明確,控制頻率未明確,未體現控制方式。(即未描述存在手工或者系統控制。)
10、如何完成風險點的匯總
現場的風險點的匯總,不是訪談人說什麼風險就是風險點。而是根據訪談人提供的風險點提示,內控人員通過系統或者會計憑證等書面資料核實完畢之後再歸納匯總至風險點。而且在完成風險點之後最好與被訪談人員再次作風險點確認。
11、如何完成風險點的報告?
風險報告主要是對現有的流程的分析,所以可以按照事業部,之後將事業部涉及的流程綜述,之後對各流程進行評價。而不是一堆風險點的堆砌。看上去100-200張ppt但是看得頭暈。而且匯報結束老闆對你不爽。
12、內控檢查與內審的區別和聯系在哪裡?
內控檢查的主要目的是建立和明確完整的作業流程、流程中的崗位職責、授權審批、保留書面控制痕跡。所以內控主要是流程稽核,主要的作業模式就是控制點有沒有建立。
內審的主要目的是保證業務事項的真實合理和提高運營的效率效益。所以內審的作業模式可以通過分析復核、重復計算、訪談等多種手段,核實業務事項是否真實合理。
簡單的說,就是。內控是檢查你吃飯的順序,如先吃菜再吃飯或者先吃飯再吃菜。內審就是檢查吃法好不好,對於胖人吃大量的肥肉,可以建議減少攝入量。
二、體系建立篇
在這里,你將熟悉每個控制活動所涉及的每個流程應該做的內控要點以及關鍵控制點的描述。由於涉及的內容較多,我這里簡單的作一個銷售模塊的內控體系建立,其他模塊的建立可在模仿的情況下,分別建立。
1、銷售模式的確認
一般銷售的模式分如下幾種,正常銷售、國際貿易、團購,涉及到酒類或者其他製造業會涉及到品牌銷售模式。
這里解釋一下品牌銷售模式,即允許被授權商生產與自己相同的產品,貼自己的商標和品牌,收取品牌或者商標費的一種作業模式。
2、正常銷售的流程劃分
由於正常銷售可劃分為單次銷售或者通過訂貨會或者其他模式先簽訂框架合同這種銷售模式進行作業。其實這提到的可以將其作為一場流程進行控制。
一級流程:為銷售流程。
二級流程:可以劃分為銷售定價、信用管理、合同簽訂、訂單處理、備貨處理、發貨簽收、收款入賬處理、開票管理、應收款管理等。
三級流程:
其中銷售定價流程可以劃分為年度銷售定價流程、中期價格變更或者臨時價格變更流程。其中如果是系統控制,則需要明確哪個部門的什麼崗位在系統中進行價格的錄入和變更,最後由誰來審核。
信用管理流程可以劃分為客戶准入評價流程,不定期評價流程及信用變更流程。由於這一塊基本上很少有客戶在進行作業或者處理,所以在調研流程的時候,可能客戶不會提供該流程,所以在編制內控手冊的時候,需要做好與客戶的隨時溝通。
合同簽訂流程可以劃分為合同起草、審核、蓋章和保管作業流程。
訂單處理流程可以劃分為正常訂單處理流程,訂單取消流程和逾期未處理訂單流程等。
備貨處理流程可以劃分為下發貨通知單、物品調配流程和物品調配不足流程。
發貨簽收流程可以劃分為發貨單制定流程、物流選擇流程、出庫審核流程和客戶收貨簽收流程。
收款入賬流程。
發票開具流程含客戶提交增值稅資質流程和開票流程。
應收款流程含應收款催收流程、逾期壞賬准備計提流程、壞賬沖銷流程。
如果調研或者訪談的時候將上述流程調研清楚,同時在內控手冊中描述清楚,那麼銷售模塊基本上就完成了
C. 如何有效執行風險管理和內部控制等相關制度
風險管理:
一、對企業風險的認識
企業風險是指某一對企業目標的實現可能造成負面影響的事項發生的可能性,企業在制定和實現自己目標的過程中,會碰到各種各樣的風險,所以需要進行風險管理。企業風險管理就是通過分析公司的內外風險,制定系統的管理策略來處理這些風險,從而提高公司的盈利能力和實現企業的目標。風險管理的基本程序是風險識別、風險評估和風險控制。企業風險管理框架要素包括:內部環境、目標制定、風險識別、風險評估、風險應對、控制活動、信息和溝通、監控。
二、明確受託責任、完善公司治理,從公司組織結構上控制企業經營風險
公司治理實質的涵義就是基於一種受託責任的法律合同關系,並以此來規范各利益相關者的權利和義務,並讓他們充分發揮各自的功能。基於受託責任下的完善的公司治理結構-即公司股東會、公司董事會、公司經理層以及對受託責任履行行為實施監督的公司監事會的權利和責任的法律確認和有效執行。有效的公司治理是防範企業經營風險,增加公司價值的組織保障。
從表面上看,安然、世通公司的倒閉是因財務舞弊引起的。但在實質上,這兩個公司都是由於在公司治理上存在嚴重缺陷,才導致公司在財務上造假行為成為可能,公司倒閉的根源在於公司治理。美國的公司治理科學性被世界上許多國家所推崇,也是我國主要借鑒的。在美國公司治理中董事會設置最典型的特點是獨立董事制度,擔任大公司獨立董事的很多都是知名學者、教授,獨立董事在公司董事會人員中站多數,他們的作用主要是站在公正的立場,代表中小股東利益。但據調查,安然、世通公司的獨立董事是公司的獨立董事沒有在公司董事會中發揮應該起到的作用,導致公司治理失敗,內部控制制度沒有很好執行,造成公司經營風險。
我國在借鑒美國公司治理的獨立董事制度同時,也借鑒了德國公司治理的監事會制度。監事會在德國的公司治理中發揮著很關鍵的作用,但在我國,公司的監事會卻沒有真正發揮作用。
因此,控制企業經營風險,不但要有完整的公司治理架構,更主要的是要有基於受託責任下的公司治理各責任主體的法律責任的有效履行。
三、建立有效的內部控制制度
所謂內部控制,是為實現經營效率和效果,財務報告的可信性及相關法律的遵循等組織目標而提供合理保證的過程。其實施者為公司董事會、經理層和其他員工。內控制度是企業為有效實現其目標而設計的內部制度安排,它是為整個企業而設計的系統,企業不應該有任何人能脫離該系統的控制而自由運作。
現在人們越來越發現,公司的風險來自於內控制度的缺失或形同虛設。公司內部控制制度的根本就是授權和監督。公司所有人的許可權都是在這個組織中被授予的,並要得到有效監督。
內部控制:
第一是建立直屬於董事會和董事長領導的運營監控管理機構,將會計監督和管理監督職能整合在一個部門,不但要對違規行為進行監督和管理,還有對出現問題進行改進,二次進行監督、跟進,不斷的提高管理水平和管理意識。
1、根據集團發展需要,運營監控管理中心設審計部、招標部、生產監察部、改進部。運營監控管理中心直接歸董事長領導並對董事長、董事會報告工作,具體負責董事長及董事會要求和規定的各項審計、監察工作。運營監控中心總監的任用和解聘由董事長提議,董事會批准,其它人員由運營監控中心總監提出,董事長批准,其工作考核和獎懲由董事長、董事會決定。
2、運營監控中心人員辦理審計、監察事項,必須嚴格遵守審計、監察職業規范,忠於董事長、董事會,做到獨立、客觀、公正、保密,不得濫用職權,徇私舞弊,玩忽職守。
3、當遇到較大審計監察任務時,可臨時組織所屬公司的財務、人事行政、生產、銷售等部門的人員共同進行審計監察,各單位應該積極配合,不得推諉。必要時可聘請外部特邀專業人員進行專題或專案審計監察。
第二是制定運營監控管理中心明確的工作職責,確保企業內部監督的全面性,促進管控制度完善、細化,點、線控制全面,有效執行;提升企業現場管理;推動各部門的工作實施、改進。根據企業經營目標和審計計劃,開展各類財務審計工作及專項審計工作,確保企業健康運營。實現對企業采購的所有物資進行招標、比價,確保在當時采購條件下的性價比最優,高質、高效。
一、對出資者所屬公司的財務收支及其經濟活動進行定期審計。特別是對公司財產、資金管理使用和安全完整程度進行重點審計。
二、對出資者所屬公司的預算或計劃執行情況進行定期審計。特別對預算追加和預算外資金的使用情況進行重點審計監督。要進行事前、事中和事後的全面審計、監察。
1、事前對資產和財務狀況進行全面審計,劃清預算責任
2、事中對預算執行情況進行每月的跟蹤審計,發現問題及時解決,防止偏離預算或便於不適合時機預算的調整
3、事後即預算期結束後進行全面審計,評價預算執行情況,總結經驗,據以考核,兌現獎懲。
第九條、對集團負責人和各中心總監、總裁助理、各子公司負責人年度和任期經濟責任進行審計。對各單位的經營管理責任和財務會計責任的履行情況進行審計和評價。特別是對董事會決議、公司經營方針、目標、戰略的落實執行情況作為重點審計內容。
(一)對經營管理責任履行情況的審計監察主要評價經營成果的有效性。審查負責人是否是按董事會的要求、經批準的經營規劃進行經營管理的審計,審查有無決策失誤和錯失經營時機,有無短期行為,破壞公司資源,評價經營管理政策和工作措施是否高效可行等。
(二)對資產的安全和完整進行審計。審查固定資產、無形資產、存貨、應收賬款等公司資產是否存在風險和不安全,是否完整,有無積壓和呆死壞帳,有無損壞和貶值,是否真實。
(三)對財務會計責任履行情況的審計監察
1、財務責任就是理財責任,就是評價財務狀況是否優良,財務資產是否增值,使用是否充分有效,是否盤活現有資產,有無浪費,有無財務和稅收風險。
2、審計責任主要是評價內部控制是否健全完善、資產管理是否安全,會計防範是否有效,會計數據是否真實,會計工作和前台業務是否脫節,會計工作是否支持業務等。
(四)對人事事項進行審計。審查工作效率,人力成本、人均效率,審查員工隊伍建設情況,是否提高凝聚力向心力、協作精神,是否建立共同願景,有無在人事方面以權謀私的情況,有無任人唯親,有無打擊報復,嫉賢妒能等情況。
(五)對采購進行審計。審計采購的質量是否符號要求、價格是否合理、資金結算是否符合預算要求、交期是否及時,審查采購作業流程是否高效,有無按流程操作,有無徇私舞弊行為。
(六)廉政建設審計。對違反公司廉政建設的行為進行審計如請客送禮、接受賄賂等。
三、對公司的項目投資情況進行審計。
四、監督、檢查和評價各單位內部控制和管理制度的建立健全、嚴密程度和執行情況以及內部風險管理:
1、檢查各子公司、各中心各崗位的責權劃分是否明確,崗位責任是否建立並且有效;
2、所有原始憑證是否進行統一的連續編號,並順序使用,領用空白憑證是否有嚴格的登記注銷手續;
3、檢查所有的實物資產包括固定資產、低值易耗品、包裝物、辦公用品、庫存商品是否實行責任管理,並制定了相應的控制制度,執行情況如何;
4、檢查所有業務是否都實行了程序化、規范化、制度化,各流程中的關鍵(資金)點是否實行了重點控制,控制是否有效,程序是否經濟、高效;
5、檢查主要崗位人員的變動是否建立並實行了恰當的交接制度,手續是否完備;
6、檢查各子公司是否建立並實行了有效的成本費用控制制度和資金使用制度;
7、檢查各子公司采購、商品入庫、出庫、領用、銷售、成本費用、資金收支、對外投資、資產處理的內部財務控制制度的建立和執行情況;
8、其它內部控制事項。
五、對違反出資者、公司規章制度、財經政策紀律,侵佔公司資財、損害公司利益、嚴重鋪張浪費和職務消費行為進行專項審計。
六、對各子公司有關的經營方案、預算草案、資金使用方案、重要的經濟合同、重要文件、制度的合法合理性,有效正確性進行審計評價。
七、對管理者的工作作風和廉政建設進行監督、監察
1、監督、監察抵觸執行公司的各項規章制度和紀律,或將規章制度打折扣執行的行為;
2、監督、監察弄虛作假,有事不及時匯報,欺上瞞下者,對工作扯皮推諉、相互拆台或搬弄是非的行為;
3、監督、監察未經審議,擅自決定公司的重大生產經營決策的行為;
4、監督、監察壓制人才,嫌才妒能,阻礙或限制他人才能發揮的行為;
5、監督、監察收受與業務有關單位或個人的錢物(含提成、回扣、報銷及代為支付費用)的行為,特殊情況下接受的禮品不上交公司的行為;
6、監督、監察以任何名義宴請公司領導、有關部門領導、公司員工及利害關系人的相互宴請的行為;
7、監督、監察未經許可工作時間飲酒、延誤工作的行為;
8、監督、監察利用公款參與高消費的娛樂活動,報銷應由個人支付的各項費用,虛報冒領費用或款項的行為;
9、監督、監察利用出差機會協親屬旅遊或接受業務單位安排旅遊活動的行為;
10、監督、監察對人封官許願,拉幫結伙,搞小團體,助長歪風邪氣的行為;
11、監督、監察對檢舉或有異議的員工或同事打擊報復的行為。
八、總裁、副總裁、總裁助理、各中心總監、各子公司總經理等高層領導的離任、交接審計
九、對人力資源使用效率和效果進行監督、監察。
1、對人力資源(資本)管理的內部控制監督、監察。監督、監察人力資源(資本)的招收、管理、培訓、使用、激勵等一整套規章制度有與無,完善與否,執行嚴格程度,效用的大小等。評價其內控制度的適當性;審查評價其是否與時俱進,即在相對穩定的原則下,能否隨著環境和條件的變化而調整本組織的人力資源管理控制政策;
2、對人力資源(資本)的開發利用程度監督、監察。監督、監察人力資源(資本)的開發利用是否使其個體不斷保值增值,並要使其價值得到充分發揮。更重要的是由個體人力資源(資本)協調聚合的群體價值。通過對招聘、培訓、使用、增值、文化、協調聚合等的監督、監察,使人力資源(資本)的開發既能適用於當前的現實需要,又能考慮超前的,顧及到未來的發展後勁。促使其能建立起一個制度化、科學化的動態運行機制。特別是對人力資本的增值培訓的投資問題,要有妥當的計劃安排。即人力資本培訓的投資要有強制的措施,還應按銷售收入或稅後利潤的一定比例進行人力資本投資培訓,或按其崗位定期或不定期培訓,使人力資本的增值有制度安排;
3、企業人力資本產權監督、監察。監督、監察勞動者權益在企業契約的規定是否受到尊重;人力資本的所有權分配關系的落實程度;人力資本定價與激勵方式的適當性及其效果。通過對企業人力資本產權的監督、監察,使企業在不與法規相沖突的前提下,建立起不侵犯人力資本所有者權益,能夠充分有效地調動不同層級的人力資本載體者的積極創造性,既能使個體人力資本價值增值,又能有效地提高企業核心競爭力的恰當機制的制度;
4、員工隊伍建設監督、監察,是否提高凝聚力向心力、協作精神,是否建立共同願景,有無在人事方面以權謀私的情況,有無任人唯親,有無打擊報復,嫉賢妒能等情況
十、對各子公司產、供、銷各個環節經濟活動的效益、效率、經濟、合理、合規和合法性進行監管。
(一)對采購事項進行監管,采購部門的責任就是在適當的時間、適當的地點為公司采購性價比最優的原材物料,降低成本、降低付款率,控制采購費用;
1、監管采購計劃的審批是否符合程序,采購計劃數量是否符合庫存和生產使用要求;
2、監管采購合同訂立、審批程序是否合理,是否有越權審批;
3、監管采購流程是否符合內部控製程序,是否滿足「高質、高效」的要求;
4、監管采購的決定權和操作權是否分離;
5、監管采購數量、質量、性價比、交貨期是否能夠滿足生產使用要求;
6、監管采購付款計劃、付款金額、付款比例是否符合財務規定,是否按合同執行;
7、監管采購人員采購、招標過程中是否有舞弊行為,是否有暗箱操作行為,是否有故意刁難客戶行為;
(二)對生產事項進行監督、檢查
1、監督、檢查下達的生產計劃規格、型號、數量是否符合銷售合同要求,手續是否完備;
2、監督、檢查生產質量的控制是否有質量跟蹤記錄,是否符合企業檢驗標准;
3、監督、檢查生產控制材料領用、發放的各種單證是否齊全,記錄是否真實、完整;
4、監督、檢查生產產量和工時記錄是否真實、合理、准確;
5、監督、檢查生產消耗是否符合定額標准;
6、監督、檢查生產工資費用、工資分配、材料分配、製造費用是否真實、合理、符合預算管理控制;
7、設備完好率的監督、檢查,有無操作規范,執行的狀況如何,有無拼設備的短期行為;
8、現場管理的監督、檢查,審查有無可行合理的現場管理規范,是否實行了6S管理等;
(三)對營銷事項進行監督、檢查
1、監督、檢查銷售管理部門應收及預付帳款內部控制是否合理有效,是否能夠降低企業風險;
2、監督、檢查銷售發票、合同、銷售訂單所列的商品名稱、規格、數量、價格是否一致,是否符合公司價格規定;
3、監督、檢查對業務員報價是否按照公司銷售政策執行,有無越權審批折讓和價格的違規行為;
4、監督、檢查銷售合同、賒銷的審批是否手續完備,是否有越權審批現象;
5、監督、檢查發貨清單與銷售發票是否一致,物流配送是否滿足客戶需求;
6、監督、檢查銷售發票是否連續使用,有無缺號、作廢是否正確;
7、監督、檢查銷售人員是否有截流公司銷售貨款的情況,是否在銷售過程中有接觸現金的情況;
8、應收帳款壞帳損失是否按照公司規定對相關責任人進行處罰;
9、市場現金操作是否按財務有關規定執行;
十一、對質量系統的監督、檢查;
十二、對董事長安排的專項工作進行專項監督、檢查
第三是對運營監控管理中心的充分授權,沒有充分的授權,運營監控監督力度、執行力將大打折扣,各種改進措施的落實將會成為一句空話、大話,董事會能否對內控部門充分授權是內控部門開展各項監督、改進的保障。
具體應該賦予內控部分哪些職責呢?我認為內控部門應該具備以下權利。
一、有權要求各級財務部門按時上報財務報告、預算執行情況報告、財務決算報告、資產處置報告以及相關的財務制度。
二、有權參加各子公司、各中心的有關會議並召開與審計、監察事項有關的會議。
三、有權參與研究制定有關的規章制度和政策。
四、有權調閱各中心、各子公司經營管理和財務活動的有關書面、電子資料、文件以及現場勘查實物。
五、對於審計監察事項有關的問題有權向有關單位和個人進行調查,並取得證明材料,有關單位和個人必須予以配合。
六、對正在進行的嚴重違反出資者和公司規章、利益和嚴重浪費損失的行為,有權做出臨時制止決定。
七、對拖延、推諉、阻撓、拒絕和破壞審計監察工作的,報經董事長同意後,有權採取封存賬冊和凍結資產的臨時措施,並追究責任人和有關領導的責任。
八、有權提出糾正、處理違規行為的意見以及改進經營管理、提高經濟效益的建議。
九、對違反董事會、公司規章制度和浪費損失、侵害公司利益的單位和人員,報經董事長同意後,有權進行通報批評和提出追究責任的建議。
十、董事長審查批准簽發的審計報告,各有關單位和個人必須執行。
第四是建立科學、公正、公開的監控管理工作程序,使保障監控工作公正實施的前提,是對內控部門開展工作的標桿,是推動企業內部管理不斷改進的基石。
一、編制年度、季度、月度監控管理工作計劃,報董事長審批後執行。臨時項目由董事長授權副董事長批准和實施。
二、審計監察前的准備工作。根據批準的監控管理計劃和臨時安排確定審計監察對象,制定審計監察方案,指定審計監察項目負責人和參加審計監察的人員名單,審計監察方案經董事長批准後,由審計監察負責人簽發審計監察通知書,通知被審單位。被審單位應該准備和提供相關審計監察資料。
三、在審計監察過程中,審計監察人員必須編制審計監察工作底稿,作好審計監察記錄和日誌,收集審計監察證據,重要證據應有相關人員的簽字確認。
四、審計監察終結階段,應根據審計監察工作底稿對審計監察事項和結果提出審計監察報告。
五、審計監察報告報董事長審定。一般常規報告由副董事長簽發審計監察決定並附審計監察報告副本發被審單位和有關部門執行。重要審計監察報告的決定有董事長簽發。
六、審計監察決定下達後,運營監控管理中心應督促被審單位和有關部門執行。
七、被審單位應按照審計監察結論和決定,針對問題及時做出處理,處理結果應報告稽核部。如對審計監察結論和決定有異議,可在收到審計監察結論和決定十五日內向副董事長、董事長提出復議。在復議期間,原審計監察結論和決定照常執行。
D. 內控風險和風險管理有何區別
《企業內部控制基本規范》及其配套指引,充分吸收了全面風險管理的理念和方法,強調了內部控制與風險管理的統一。內部控制的目標就是防範和控制風險,促進企業實現發展戰略,風險管理的目標也是促進企業實現發展戰略,二者都要求將風險控制在可承受范圍之內。因此,內部控制與風險管理二者不是對立的,而是協調統一的整體。
E. 如何進行有效的內部控制與企業風險管理
內部控制是企業基於自身實際狀況,按照一定的標准文件(如《企業內部控制基本規范》要求,制定的旨在實現企業資產安全,保證財務信息資料的可靠性、真實性和完整性,提高企業經營管理效率,推動企業各項政策的制定和實施,促進企業實現發展戰略的方法和措施。其主要包括有會計控制和管理控制。風險評估是企業內部控制實施的重要一環,是指企業在一定的事實數據基礎上,針對自身經營活動中可能出現的風險危害進行及時的識別和判斷,並基於此制定合理、客觀、科學、有效的風險應對策略。
企業如何開展內部控制與風險評估?
(一)風險管理機制的建立
1.明確風險管理目標
風險管理機制的建立其目的在於風險管理目標的實現,風險管理機制的開展都是圍繞風險管理目標進行的;企業應當根據自身實際需求和條件,確定風險管理工作的目標和重點。比如針對公司近幾年的運營效益的數據進行分析和掌控,又或者組織一定的人員在公司范圍內開展風險識別、風險分析和風險評估等工作。
2.加強風險評估管理
企業在確定自身的風險管理目標後,應當以此為基礎作為自身風險管理的行動原則,加強自身的風險管理措施:督促和指導企業定期評估風險發生的可能性及影響程度,評價現有控制措施的執行情況及效果。同時企業應當根據外部條件和內部條件(如市場環境、國家政策法規、自身人員的增減)及時採取措施,保障風險管理的可行性和適用性;將風險管理與企業日常工作有效結合,對工作中所發現的問題和薄弱環節採取有效必要的措施,確保將風險控制在可接受的范圍內。
3.完善風險預警管理體系
企業經營活動中存在的風險具有突發性、偶然性和不預定性,即便企業已有相關的量化預警方案,也不一定及時預防監控,因此企業應當在原有的基礎上,進一步完善自身的風險識別手段,通過調查、分析、評審等一定的方法,探索建立更加規范、完善的風險預警體系。如:定期開展數據調查和事件跟蹤等;
(二)持續有效地開展內控評審
作為審計程序的一個重要環節,內控評審是推動企業建立內控長效機制的重要手段,有助於企業管理層了解企業經營及內部控制管理情況,有助於降低審計風險,減少問題的發生,保證審計質量。
1.實現內部控制的日常化
內部控制的日常化有助於企業自身經營決策、經營過程、資金資產管理等的難點和問題的及時發現、解決與防範,有助於提升審計工作的效率和效果,全面提高審計工作水平;
2.定期組織內控評審工作
審計部門基於企業自身的風險管理的目標和相關要求,按照內部控制評審的要求,建議每年組織兩次全面內控評審。重點檢查對象為內控制度維護及執行情況和效果,實現內控評審的規范化和日常化管理,推動企業落實內控管理責任和控制要求,自主維護制度並切實執行。
F. 企業為什麼需要內部控制與風險管理
親,您知道嗎,企業需要內部控制與風險管理有四點原因:
一、企業的內部控制是保證企業正常經營的基礎,內部控制的好壞直接關繫到一個企業的經營成敗。
為了提高企業效益,加強管理,減少工作失誤,合理的調配各種有一資源,需要我們建立現代科學合理的企業內部控制制度,企業內部控制制度的建立完善與否是現代企業管理水平的標志之一。
二、是為了防範風險與樹立投資者信心。
實施企業內部控制評價符合國際慣例,有助於揭示企業內控重大缺陷,維護投資者利益和資本市場秩序。投資者對投資行為的選擇,不僅僅基於財務數據和相關信息,還要基於對公司內部控制系統設計與運行質量的分析,以判斷企業的抗風險能力。
企業的風險來自於兩大類:一是來自於違背外部強制性規定,包括合規性、財務報告及相關信息的真實可靠、資產的安全;二是來自於內部管理系統的適應性,包括戰略定位與實施手段、管理的效率與經營的效果。第一類風險的發生將使企業承擔違規成本,導致企業價值下降,第二類風險的發生將直接影響企業獲取現金流的能力,增加投資回報的不確定性。企業建立內部控制系統就是為了防範上述風險。
三、推行內部控制是企業加強交流溝通,促進信息對稱的根本途徑。
可強化單位內外對內部控制制度的理解,促進各相關單位或部門之間信息的對稱和透明,加強部門之間在授權、不相容職務相分離、獨立業務審核、資產和記錄的接近限制等具體控制環節的協作和配合,按照成本效益原則優化內部控制結構,並根據各部門溝通反饋的因管理環境或業務性質的改變情況,適時調整、完善內部控制系統,從而保證內部控制的健全有效。
四、推行內部控制是企業改善內部控制,加強內部監督制約的有效手段。
內部控制的有效執行,僅靠各部門和相關人員的自主執行是不夠的,常常會因為相關部門和相關人員的串通作弊或不作為而失效,因此還需要建立健全監督機制,對內部控制運行質量不斷進行評估,即對內部控制設計、運行及修整活動進行評價。通過審查和評價內部控制的健全性和有效性,評價相關部門和人員執行內部控制制度的情況,監督其充分、有效地執行內部控制制度。
G. 如何將《內控手冊》要求融入到企業的管理流程當中
首先行業不同,方式方法也不同,以一個行業為例
XY股份有限公司為符合上市公司內控法規要求,提高企業經營管理水平和風險防範能力,促進企業可持續發展,根據財政部、證監會等五部委印發的企業內部控制基本規范及配套指引的要求,聘請外部咨詢公司,2011年3月起著手進行內控體系建設工作。根據《企業內部控制基本規范》及其配套指引要求,結合國外公司經驗,企業內部控制體系建設通常分為4個階段,內部控制梳理、內部控制整改固化、內部控制自我評價和內部控制審計,其中前3個階段是內控建設核心工作,需由企業主導完成,內控審計由審計師在企業配合下實施。
為做實做好內控規范體系建設工作,公司於2011年3月正式成立內控工作領導小組,由公司董事長牽頭,高層領導主管、總部各部門負責人及各分子公司總經理作為組員,負責組織領導公司內部控制規范化建設工作。2011年3月中旬召開內控實施項目啟動會,對公司內控建設工作進行了部署和動員,並制定公司內控實施計劃及工作方案。
一、建立內控建設組織架構,明確相關人員職責。
內部控制建設作為一項長期系統性地工程,並非一蹴而就,公司決定建立一種長效領導機制持續運作。公司內控體系建設組織架構圖如下,並明確董事長為內部控制實施工作的第一責任人;公司總經理、副總經理為內控實施的具體負責人。
(一)內控領導小組職責
經第六屆第十次董事會審議通過,公司成立風險管理委員會,成員包括董事長、審核委員會主席、總經理、分管主要業務的公司高管及專業人士,作為內控工作領導小組。
風險管理委員會對董事會負責,主要履行以下職責:
(1)負責營造良好的內部控制建設環境;
(2)負責制定公司內部控制戰略規劃,提出總體建設方案;
(3)負責審議重大決策、重大風險、重大事件和重要業務流程的判斷標准或判斷機制,以及重大決策的風險評估報告;
(4)部署內部控制建設、執行及監督活動等;
(5)審議《內控手冊》的編制、修改及更新;
(6)提交《內部控制評價報告》;
(7)協調公司內部控制建設的重大事項;
(8)考核內部控制建設的相關人員,保持公司整體利益和方向的一致性。
(二)內控項目小組職責
1、公司在風險管理委員會下設立風險管理委員會辦公室作為內控項目組,主要履行下列職責:
(1)全面貫徹執行風險管理委員會關於內部控制建設的精神和方針;
(2)制定公司內部控制建設階段性的目標及實施方案,提交風險管理委員會審核;
(3)負責內部控制建設的有效實施和運行,落實內部控制建設的具體責任;
(4)研究提出《內部控制評價報告》;
(5)負責公司《內控手冊》的編制、修改及更新;
(6)審核在內部控制建設過程中存在的問題,督促各部門進行整改。
2、公司在風險管理委員會辦公室細分為4大系統,即風控系統、戰略與證券系統、財務系統和運營系統,明確各系統的具體職責。
3、風險管理委員會辦公室成員主要來自於財務管理部、戰略與證券管理部、風險管理部、管理創新部、營銷中心、質量與客服部、供應鏈中心、法律事務部、研發中心、製造中心及戰略人力資源部,配備33名專職人員。各業務單位、職能部門及子公司(事業部)在風險管理委員會辦公室的指導下共同參與、實施內控建設工作。
4、審核委員會作為公司內部控制體系有效性的監督機構,監督內部控制的有效實施和內部控制自我評價情況,審核及監督外部審計機構是否獨立客觀及審計程序是否有效,審核公司的財務信息及其披露,協調內部控制審計及其他相關事宜。
(三)責任部門及工作預算
與內控工作小組相對應,公司確認了內部控制建設的責任部門,即風險管理部、戰略與證券管理部、財務管理部、管理創新部、營銷中心、供應鏈中心、質量與客服部、法律事務部、製造中心、研發中心、戰略人力資源部。本次內控項目工作制定了相關預算,包括內控咨詢、內控審計及人力成本費用、培訓費用等。為保證內控建設工作的專業化、系統化和合理化,公司聘請詢公司作為外部咨詢機構為公司提供專業支持,協助公司梳理、構建及完善內部控制總體架構,幫助公司識別內部控制存在的薄弱環節和主要風險,有針對性的設計控制的重點流程和內容並協助公司開展內部控制自我評價工作。 風控系統人員將全程參與風險識別及評估、編制風險清單及控制矩陣、內控缺陷整改、開展內控評價等工作,為公司培養內部控制建設及評價人才。
二、內控體系建設工作具體推進
內部控制建設工作,公司將分為五個階段,時間從2011年4月1日至2012年1月31日,總體安排如下:
(一)確定內控實施范圍(2011年4月10日前完成)
根據證監局文件精神,結合公司實際,本次內控實施范圍為股份公司、一家上海子公司及一家廣州子公司。
按照《企業內部控制基本規范》及其配套指引要求,結合公司業務性質,公司將重點關注發展戰略、組織架構、人力資源等公司層面3大流程,以及信息系統、財務報告、信息披露、關聯交易、全面預算、資金活動、采購業務、銷售業務、資產管理等業務層面9大流程。
各流程責任人如下(××代表責任人姓名):
流程第一責任人 具體負責人 內控協調人 中介機構責任
發展戰略 × × ×
組織架構 × × × ×
……
註:上述責任人適用於內控建設中的每個階段。
(二)風險識別及評估(2011年5月31日前完成)
1、流程梳理:公司通過訪談、審閱文檔或問卷調查等方式梳理流程,明確上述12大流程的相應子流程,完善組織架構和審批授權指引,根據統一的模板編制業務流程圖。在流程梳理過程中,及時發現並記錄有遺漏、雜亂、不符合相關法律、不相容職務未分離或許可權設置不合理等內控缺失的工作流程,採取相應的措施規范操作流程,避免內部舞弊等重大風險出現,提高工作效率。
2、風險識別:結合《企業內部控制基本規范》及相關配套指引所列示的風險、公司客戶審核要求、內審報告、提案改善、質量事故等初始資料,從風險發生的可能性和影響程度,對子流程中涉及到的每個控制點進行綜合分析,識別固有風險,評價風險等級,形成風險清單。
3、文檔記錄:根據風險等級,識別流程中的關鍵控制活動,並在流程圖中進行編號;編制流程描述、風險控制矩陣等內控文檔對控制活動和控制點進行記錄。
4、查找內控缺陷:將公司現有制度和控制措施流與風險清單進行比對,通過穿行測試、控制測試等手段,獲取關於內控設計和運行有效性的證據,查找內控缺陷,形成《風險資料庫》和《內控風險診斷和評價報告》。對發現的重大缺陷及時報告董事會及管理層,管理層對發現的內部控制缺陷應及時制定內控缺陷整改方案。
(三)確定內控缺陷整改方案(2011年6月30日前完成)
1、編制《內部控制管理建議書》:公司對發現的內控缺陷進行分類分析,確定內控缺陷的重要性程度,區分設計缺陷和運行缺陷,形成《內部控制管理建議書》。
2、制定內控缺陷整改方案:公司根據《內部控制管理建議書》和具體的控制缺陷,提出整改時間及責任部門、人員,形成內控缺陷整改方案。
3、提交審議:內控缺陷整改方案應當經過風險管理委員會審議通過。
(四)內控缺陷整改(2011年9月30日前完成)
1、落實整改、提交報告:責任部門將按照內控缺陷整改方案對發現的缺陷進行逐一整改,完善公司各項內部控制管理制度和控制措施,提交《內控缺陷整改報告》;內控項目組連同中介機構對缺陷整改情況進行運行有效性測試,形成《內控運行測試報告》。
2、編制《內部控制手冊》:內控項目組根據風險清單和各項內控文檔等資料,編制《內部控制手冊》,並對手冊內容進行實施輔導和推進執行。
3、編制《內控自我評估工作指引》:內控項目組編制《內控自我評估工作指引》,為下一步內控自我評價工作的開展奠定基礎。
4、提交審議:《內控缺陷整改報告》、《內控運行測試報告》、《內部控制手冊》及《內控自我評估工作指引》應報風險管理委員會審議。
(五)內控持續推進和內控自我評價
公司在內控體系成果完成後,將予以持續推進,並根據轄區證監局要求,公司將於每季度結束後的10個工作日內,向證監局報送內控進展情況說明,並在定期報告中予以披露。每季度進展情況說明至少包括該季度內控建設工作的開展情況、與工作方案中計劃進度的對照情況、差異原因以及擬採取的解決措施等。
通過以上工作,公司初步建立健全了內部控制體系,有效提高了內控管理水平。
三、企業內控體系的「落地」和持續推進
XY公司在完成內控體系初步建設完成後具體推行過程中,一些部門和員工或因對新的內控制度理解不夠,或因由於長期工作習慣難以改變,或因內控制度變革觸及自身利益而不願遵循,使得內控制度在一段時期內一直都不能落到實處。如何真正將內控體系有效執行下去,並保持內控體系的持續完善和提高,是管理層迫切需要解決的難題。
為了切實將內控制度體系真正「落地」,XY公司通過全方位內控培訓、加強內控檢查與監督、完善考核及激勵機制以及藉助第三方專業機構的持續輔導等措施,有力地保證了內控建設的持續維護,公司的內控建設取得了卓有成效的進展。
具體來說,採取的主要措施有:
(一)完善內控工作組織架構,成立內控部,強化審計部,建立推進內控工作的組織機構和運行機制。
通過對國際大企業內控建設的現狀和過程的全面考察,XY公司發現要實行有效的內部控制,必須建立相配套的組織架構。為此,公司由管理高層成立了內控工作領導小組,各子公司管理層對應的成立內控管理小組;在部門設置上,XY公司新成立了內控部,各下屬子公司根據其規模大小設立內控部或內控負責崗,負責內控建設工作;在內控監督上,轉變了原有的審計部的職責,增加了內控評價和檢查的功能,並由公司董事會的審計委員會直接領導,在規模較大的子公司同時設立內部審計專員,負責子公司的內控自查。
(二)注重內控環境建設,進行全方位內控培訓。
XY公司通過一系列的培訓和輔導,提高各層級管理人員和基礎員工對內控理念的認識,營造有利的內控工作開展的文化環境。首先,公司抓好以普及內控基本知識、營造內控實施環境的宣傳工作。公司內控部組織編制了《內控宣傳冊》,在股份公司各職能部門和下屬公司主要管理幹部范圍內發放學習。手冊通過生動的案例和形象的語言幫助各級管理人員統一對內控的理解和認識,減少內控推進的思想阻力。
其次,公司根據內控規范實施的進度,圍繞內部控制的各個方面,開展了包括基礎理念、管理制度、風險評估、內控評價、內控考核在內的各類集中的專題培訓,對內控制度的編制和實施起了極大的推進作用。
(三)建立內控推進的溝通機制,保證內控建設持續性和問題解決的及時性。
自內控制度建設正式推進以來,為了保證推進的執行力,公司開展了全方位的信息溝通機制,實現了信息的實時傳遞,和通暢的上傳下達。
首先,XY公司建立了周例會制度。內控領導小組每周組織內控工作例會,由公司董事或審計委員會主任主持,參與者包括內控領導小組成員、內控部、審計部、財務部、各子公司的內控負責人等。總部各職能部門及各子公司必須在會上以書面形式上報「內控工作一周報告」,匯報內控的進展情況、存在的問題、解決的方案、遇到的困難以及需要股份給予協助的事項,並由內控領導小組組長對相關的具體問題提出意見和工作指導,會後股份公司內控部負責對每家子公司進行回復,保證所有的問題都能得到及時有效的解決。所有會議記錄和相關文件在會後抄送股份公司的總經理和董事會,並抄送相關子公司的管理層,保證管理高層對內控進展的時刻了解。
其次,公司建立了內控體系的月度工作總結。每月末各個子公司的內控負責人就內控開展情況進行工作總結,由內控部在股份公司管理層、子公司管理層以及相關內控負責人之間進行通報,督促各子公司的內控執行力。
第三,建立了重大項目的單獨匯報機制。各子公司的內控負責人對於子公司內控建設中發現的重大問題要求及時向內控領導小組和股份內控部進行匯報,以實時處理可能的重大風險。此外,股份公司的內控部長、審計部長、財務總監的聯系方式向子公司的所有內控負責人和內控專員公開,作為信息直接傳遞的一個重要渠道,幫助股份公司及時了解下屬子公司內控風險。
(四)完善內控評價檢查機制,建立了多層次的內控檢查體系。
為了保證內控制度的落地和真正有效的執行,公司從各子公司到股份公司的內控部和審計部,再到外部獨立的第三方中介,建立了全方位的內控評價和檢查體系。股份公司內控部對各業務循環定期開展內控檢查,通過發放內控調查清單以及內控專員的現場檢查,發現子公司在內控建設中的不足,並及時下發風險聯系函、風險關注函和風險警示函,以幫助子公司及時進行內控整改和完善。其中聯系函主要是對子公司聯系函件的回復為主;關注函主要是對子公司發生的業務表示關注,一般要求對方在一定時間內給出書面說明;警示函是在關注函的基礎上對於重大風險或執行不到位的情況給予警告。
股份公司審計部對各子公司每年開展兩次的內控評價。為了實現評價的量化和標准化,審計部編制了內控評價底稿通過檢查,對子公司形成內控建設的量化評價,並針對檢查中發現的問題出具改進建議,並要求各子公司在規定的時間內予以整改,總部內控部對子公司整改措施和整改質量進行全程的監督,整改完成後,審計部及時予以復查,確保審計中發現的問題能及時整改。
(五)將內控建設納入績效考核,通過獎懲機制實現內控的有效性。
首先,為有效發揮各下屬子公司的管理者在內控推進中的作用和積極性,自200×年開始,股份公司將審計部對各子公司的內控評價結果納入其管理班子的績效考核的指標中,明確了管理班子對於內部控制建設的責任和關鍵任務。通過這種績效考核,激勵管理層切實關注和推動內控的執行工作,從而為內控工作的推進建立良好環境。
其次,對於股份公司向各子公司委派的重要人員也直接與內控建設掛鉤。公司出台了《委派內控人員績效考核管理辦法》,對各個子公司的內控負責人實施全面的內控建設考核,明確了委派的內控人員的績效考核指標、考核方式和獎懲機制,進一步促進了委派內控人員的工作落實力度;其次,對於股份委派的財務負責人,也在其年度考核的總分中(100分制)納入了相當比重的的內控建設的相關內容,從財務職能加強了對子公司的內控推進。
(六)充分發揮專業中介機構力量
XY公司在開始建立內控體系即聘請的專業咨詢公司提供咨詢服務,在整個體系建立過程中,充分發揮咨詢公司專業力量,並聘請專業顧問對公司人員進行培訓,提高公司人員內控理念和技能。在內控體系初步建立之後,仍繼續與咨詢公司保持合作,藉助咨詢公司在專業及獨立性方面優勢,共同推進公司內控持續建設工作,在內控持續建設工作中,專業咨詢公司提供了大量了專業意見和培訓輔導服務,幫助公司完善各項成果,使得公司的內控持續建設取得了令人矚目的成效。
四、企業內控體系建設過程的經驗和啟示
在公司董事會、各層級管理人員和基礎員工不懈努力下,公司內部控制體系的建設取得了一系列的良好效果,全公司各級員工的風險管理意識顯著提高,對風險的理解和重視切入到各個業務和管理環;強化了各項經營活動的規范化操作,實現了重大經營活動的集體化決策機制,有效防範了決策風險;提高了公司的財務管理水平,保證了從產業公司到股份公司的各層級財務數據的真實公允以及資金、資產的安全;加強了公司對新經營環境下管理風險的關注;完善了公司的風險預警機制,提高了各職能部門對業務發生之後的潛在風險的持續監控、分析和應對。公司在內控體系建設和推進過程中,主要的經驗和啟示有:
1、公司董事會和最高管理層的重視和親自參與
在XY公司董事會,無論是大股東委派董事、非執行董事還是獨立董事,都非常重視和關心內部控制體系的建設工作。作為公司的大股東,集團對股份公司的內控建設給予了極大的理解和支持,有力的推動了產業公司的內控建設的進程。董事會的定期會議都將內部控制進展情況作為重要議題溝通,對於內部控制推進中出現的任何問題,董事會層面時刻給予相應和支持。
在公司管理層方面,成立了內控領導小組,投入了大量的人力和財力,帶領企業員工共同進行內部控制建設,為內部控制的推進提供了良好的內部環境,同時也激發員工的積極性和主動性,推動企業內部控制朝更順利、更完善的方向發展。
2、對內部控制理念以及其與公司其他管理體系關系的認識統一
XY公司在內控推進的第一階段大力推行高頻率、大幅度的培訓,幫助各級管理者以及基層員工了解內部控制的主要原理和價值,減少內控實施中的思想阻力。其次,公司統一了內控體系與其他管理體系的認識,內部控制和風險管理不是一套孤立的新的體系和制度,而是一種基於「目標-風險-控制-監督」框架的管理思路,這種管理思路可以融入到企業的所有其他的管理體系和管理制度中去,是對企業原有的管理制度的整合和提升。
3、制定了清晰明確的內部控制戰略規劃
公司根據自身實際情況,在訂並提出了內部控制的五年兩步走的規劃,並將其納入到公司的5年戰略規劃中。第一階段(3年),通過自上而下的剛性要求,構建全面的統一化的集團內部控制架構,並通過理念灌輸形成內控推進的文化范圍;第二階段(2年),通過自下而上的,自覺的內控體系的完善,形成各個產業公司的特色化內部控制。這一從強制到自覺,從理念普及到制度完善再到內控手冊的表格化提升的建設步驟,使得公司從管理高層到基層員工的各級人員都明確內部控制不同時期的不同任務及不同發展狀態,穩步推進,逐步加深,為內部控制的發展道路勾畫了清晰路徑。
4、因企制宜的實施方案
XY公司意識到對於集團化企業,內部控制不能是一刀切的,公司要實行內部控制,需要根據自身的業務類型、公司規模、公司所處階段來選擇適宜的內部控制方法。
首先公司在吸收了五部委內部控制基本規范和配套指引的相關精髓的基礎上,結合企業經營實踐,基於先主後次的重要性原則以及成本收益原則,提出了以若干業務循環作為公司內控建設的主要循環范圍。
其次,考慮公司的人員能力和素質,在內控成果上也沒有一步到位冊,而是以制度建設為基礎,通過制度規范,到流程優化再到風險提煉,逐步實現內部控制的層層遞進。
第三,在內控推進上,公司充分考慮下屬各產業公司的業務特點,確定適合各公司的內部控制方式和側重點。
5、循序漸進的實施步驟
(1)自上而下的理念推進向自下而上的流程推進的遞進。
在內控實施的第一階段,公司強調自上而下的理念推進。公司通過內部培訓、各種工作會議達成內控理念的統一,並向各子公司傳達,之後各子公司則進行自下而上的內控流程推進,即各產業公司根據自身的內部流程,進行制度的完善,並經由公司內控部審核後實施。
(2)由總部出台框架性的制度到各個子公司制訂針對性的業務流程的遞進。
公司內控部結合外部力量制定框架性的制度,明確各業務循環的關鍵控制點和操作要求,各產業公司根據自身業務情況,在滿足框架制度要求的前提下制定適合企業自身的管理制度,以求更貼近產業公司的經營管理實踐。
(3)普遍性、通用性的風險點向專業性、針對性的風險點的遞進。
公司首先根據對產業公司實際情況的調研,繪制公司的全面風險資料庫,梳理出具有普遍性的通用性主要風險點,之後,各產業公司在實際操作中不斷發現專業性、針對不同企業業務特色的獨特風險,以實現內部控制的完善。
(4)抓重點公司,抓主要循環和風險、抓典型事件。
公司的內部控制遵循重要性原則,關注重點公司級重要循環與風險,並關注典型事件,以期通過重點帶動全面,推動內部控制的發展。
6、藉助外部專業中介機構推動內控建設
外部專業機構相對具有更豐富的內控專業力量和實施經驗,並且具有客觀性和獨立性,XY公司在整個體系建立過程中,充分發揮咨詢公司專業力量,但也沒有完全依賴中介機構甩手不管,而是充分參與和配合,在內控建設過程中,實現知識傳遞和內控人才培養,取得了較好的實施效果。
--------------轉自新浪微博《馬軍生-內部控制博客》
H. 誰有企業內控風險管理清單
由於各個公司現實狀況不一樣,所以風險管理清單也就不一樣,但清單內的風險可以歸類,如從商務的角度看,公司面對的風險可分為:人力資源風險、資產風險、合規風險、法律風險、信息風險、流程與控制風險、質量風險、環境風險以及安全健康風險等。若想編制公司風險清單,你可以從以上內容入手,這樣思路會清晰一些。
I. 如何做好企業內部控制和風險管理
一、強化內部控制和操作風險管理理念,建立良好的風險控制企業文化氛圍
在強化對內控和操作風險理念的宣傳與培訓工作的同時,項目小組對原有績效考核和薪酬體系進行了重新設計,將包括操作風險管理在內的全面風險管理內容融入其中,使得內部控制和風險管理不僅是對員工日常工作的要求,並且成為衡量部門績效的成本因素,直接影響部門的經營效益考核結果,進而形成管理者和員工風險管理的激勵機制。通過事前培訓,事中監督和事後考核,已經將銀行內部控制和風險管理理念深入貫徹到每名員工,相信通過一段時間的實施將形成良好的內部控制和風險管理企業文化氛圍。
二、進一步完善風險控制的組織結構和崗責體系
完善的組織架構是保證內部控制和風險管理的組織保障,而科學的崗位職責設計能夠確保每名員工在內控和風險管理工作中權、責、利上的明確分工,進而通過合理的績效考核和激勵機制設計保證分工的有力執行。項目小組結合內控和風險管理的科學理念和最佳實踐對自身的組織架構進行了改造,對崗位職責進行了重新設計。
三、建立科學的內部控制、風險管理制度與流程體系
科學有效的管理制度和流程體系是確保內部控制和風險管理質量的基本保證。錦州市商業銀行通過完善各部門與業務的內部控制制度以及優化風險控制流程來降低和防範操作風險,將系統、標準的管理方法運用到各類業務的操作風險管理當中,全面梳理各項業務流程,建立有利於全面風險管理的內部控制體系。