內控戰略評估流程圖
A. 內控管理的風險評估
發現千里之堤的蟻穴
應對變化
評估
案例:諾基亞與西門子之爭
B. 內部控制評價程序一般包括哪些內容內部控制評價報告應當披露哪些內容
內部控制評價流程
內部控制評價流程,就是內部控制評價工作從開始到結束的基本過程。國際上權威的觀點認為評價一個內部控制體系本身就是一個過程,在這個過程中應有一套規程以及其一些內在的基本要素。內部控制評價流程到底包括哪些基本要素,在理論界和實務界認識是不同的,做法也是不一樣的,也因評價主體和內容的不同而不同。管理層自我評估和審計機構評價流程會略有不同。基於財務報告內部控制評價和基於全面內部控制評價的流程也不可能完全一樣。我國《企業內部控制評價指引》要求企業應當按照內部控制評價辦法規定的程序,有序開展內部控制評價。內部控制評價程序一般包括:制定評價工作方案、組成評價工作組、實施現場測試、認定控制缺陷、匯總評價結果、編報評價報告等環節。這是我國企業內部控制評價工作的法定程序,是必須要執行的最基本的程序。中天恆3C框架把內部控制評價流程分為評價准備、評價實施、評價報告三個階段,每個階段又可細分若干內容。
企業應當根據內部控制評價結果和整改情況,編制內部控制評價報告。內部控制評價報告至少應當包括下列內容:
(1)組織實施內部控制評價的總體情況;
(2)內部控制責任主體的聲明;
(3)內部控制評價的范圍和內容;
(4)內部控制評價的標准和依據;
(5)內部控制評價的程序和方法;
(6)內部控制重大缺陷及其認定情況;
(7)內部控制重大缺陷的整改措施及責任追究情況;
(8)內部控制有效性的結論;
存在一個或多個內部控制重大缺陷的,應當作出內部控制無效的結論。
《深圳證券交易所上市公司內部控制指引》自我評價報告至少應包括以下內容:
(1)對照本指引及有關規定,說明公司內部控制制度是否建立健全和有效運行,是否存在缺陷;
(2)說明本指引重點關注的控制活動的自查和評估情況;
(3)說明內部控制缺陷和異常事項的改進措施(如適用);
(4)說明上一年度的內部控制缺陷及異常事項的改善進展情況(如適用)
《上海證券交易所上市公司內部控制指引》公司內部控制自我評估報告至少應包括如下內容:
(1)內控制度是否建立健全;
(2)內控制度是否有效實施;
(3)內部控制檢查監督工作的情況;
(4)內控制度及其實施過程中出現的重大風險及其處理情況;
(5)對本年度內部控制檢查監督工作計劃完成情況的評價;
(6)完善內控制度的有關措施;
(7)下一年度內部控制有關工作計劃
C. 如何進行戰略分析並畫出戰略分析的流程圖
戰略分析工具是企業戰略咨詢及管理咨詢實務中經常使用的一些分析方法。 (一)SWOT分析法內:SWOT是一種容分析方法,用來確定企業本身的競爭優勢(strength),競爭劣勢(weakness),機會(opportunity)和威脅(threat),從而將公司的戰略與公司內部資源、外部環境有機結合。因此,清楚的確定公司的資源優勢和缺陷,了解公司所面臨的機會和挑戰,對於制定公司未來的發展戰略有著至關重要的意義。 (二)內部因素評價法:又稱做為內部因素評價矩陣(IFE矩陣) (三)外部要素評價法:又稱做外部因素評價矩陣(EFE矩陣) (四)競爭態勢評價法:又稱做競爭態勢矩陣(CPM矩陣) (五)波士頓矩陣法:波士頓矩陣又稱市場增長率-相對市場份額矩陣、波士頓咨詢集團法、四象限分析法、產品系列結構管理法(BCG)等。
D. 內部控制方法與風險評估
一、地勘單位風險評估流程
(一)定期評估機制的建立
地勘單位在風險評估過程中要考慮外部環境和內部條件的變化,建立經濟活動風險定期評估機制,對經濟活動存在的風險進行全面、系統和客觀評估。經濟活動風險評估至少每年進行一次;外部環境、經濟活動或管理要求等發生重大變化的,應及時對經濟活動風險進行重估。
(二)成立組織機構
該機構主要明確以下幾個問題:其一,誰牽頭建設內部控制制度體系?其二,誰參與內部控制制度體系的建設;其三,誰監督內部控制制度的執行、落實?
地勘單位開展經濟活動風險評估應當成立風險評估工作小組,單位領導擔任組長。經濟活動風險評估結果應當形成書面報告並及時提交單位領導班子,作為完善內部控制的依據。地勘單位內部控制制度建設組織與方法流程,如圖22-1所示。
圖22-1 地勘單位內部控制組織與方法流程圖
二、地勘單位內部控制方法
(一)不相容崗位相互分離
不相容崗位是指那些如果由一個人擔任,既可能發生錯誤和舞弊行為,又可能掩蓋其錯誤和弊端行為的崗位。事業單位不相容崗位分離的核心是「內部牽制」,它要求每項經濟業務都要經過兩個或兩個以上的部門或人員的處理,使得個人或部門的工作必須與其他人或部門的工作相一致或相聯系,並受其監督和制約。
例如,倉庫保管員負責原材料的收、發、存和管理工作,並負責登記原材料的數量,而相關的賬務處理則應由會計人員負責。假設:A—采購申請;B—采購審批;C—采購驗收;D—費用支付申請;E—費用支付審批;F—應付賬款的審批;G—應付賬款的入賬。不相容崗位如表22-1所示。
表22-1 不相容崗位情況表
註:×表示不相容職責;○表示相容職責。
合理設置內部控制關鍵崗位,明確劃分職責許可權,實施相應的分離措施,形成相互制約、相互監督的工作機制。
(二)內部授權審批控制
地勘單位內部授權批准控制是由單位權力機構或上級管理者明確規定有關業務經辦人員的職責范圍和業務處理許可權與責任,使所有的業務經辦人員在辦理每項經濟業務時都能事先得到適當的授權,並在授權范圍內辦理有關經濟業務,承擔相應的經濟責任和法律責任。地勘單位的內部授權審批控制要求明確各崗位辦理業務和事項的許可權范圍、審批程序和相關責任,建立重大事項集體決策和會簽制度。地勘單位的相關工作人員應當在授權范圍內行使職權、辦理業務。
內部授權批准控制要求地勘單位規定各級管理人員的職責范圍和業務處理許可權。各級管理人員在其職責范圍和業務處理許可權以內,不需請示便可處理業務,這樣可以盡快地進行業務處理,避免發生推諉的現象。同時,授權控制也要求明確各級管理人員所承擔的責任,使他們對自己的業務處理行為負責,以加強工作的責任心。
地勘單位內部授權控制可以分為一般授權和特殊授權。一般授權是授予單位有關人員處理正常范圍內的經濟業務的許可權:特殊授權是授予單位有關人員處理超出一般授權范圍的特殊業務的許可權。
(三)歸口管理
歸口管理是指按單位賦予的權利和承擔的責任、各司其責,按特定的管理渠道實施管理。地勘單位歸口管理的目的是為了防止重復管理、多頭管理,即要求該管的一定要按責任劃分管好,不要缺位;不該管的不要亂干預;超出責任許可權范圍的,不要越位管理。地勘單位應根據本單位實際情況,按照權責對等的原則,採取成立聯合工作小組並確定牽頭部門或牽頭人員等方式,對有關經濟活動實行統一管理。
(四)預算控制
預算控制是指通過編制預算並以此為基礎,執行和控制地勘單位經營活動並在活動過程中比較預算和實際的差距及原因,然後對差異進行處理。預算控制通常根據預算規定的收入與支出標准,來檢查和監督各部門活動,以保證組織經營目標的實現,並使費用支出受到嚴格有效約束的過程。地勘單位應該強化對經濟活動的預算約束,使預算控制貫穿於單位經濟活動的全過程。
(五)財產保護控制
地勘單位應該建立資產日常管理制度和定期清查機制,採取資產記錄、實物保管、定期盤點、賬實核對等措施,確保資產安全完整。
(1)資產記錄。地勘單位應妥善保管涉及資產的各種文件資料,避免記錄受損、被盜、被毀。對重要的文件資料,應當留有備份,以便在遭受意外損失或毀壞時重新恢復,這在計算機處理條件下尤為重要;
(2)定期盤點和賬實核對控制。地勘單位應定期對實物資產進行盤點,並將結果與會計記錄進行比較。盤點結果與會計記錄如不一致,可能說明資產管出現錯誤、浪費、損失或其他不正常現象,應當分析原因、查明責任、完善管理制度;
(3)實物保管控制。財產保護控制要求地勘單位嚴格限制未經授權的人員對資產的直接接觸,只有經過授權批準的人員才能接觸該資產。一般況下,地勘單位對貨幣資金、有價證券、存貨等變現能力強的資產,必須限制無關人員的直接接觸。
(六)會計控制
建立健全本單位財會管理制度,加強會計機構建設,提高會計人員業務水平,強化會計人員崗位責任制,規范會計基礎工作,加強會計檔案管理,明確會計憑證、會計賬簿和財務會計報告處理程序。
(七)單據控制
要求單位根據國家有關規定和單位的經濟活動業務流程,在內部管理制度中明確界定各項經濟活動所涉及的表單和票據,要求相關工作人員按照規定填制、審核、歸檔、保管單據。
(八)信息內部公開
信息內部公開是指地勘單位向單位內部公開或開放自己所擁有的信息,使其他個人或部門可以基於任何正當的理由、採用盡可能簡便的方法獲得上述信息。地勘單位應建立健全經濟活動相關信息內部公開制度,根據國家有關規定和單位的實際情況,確定信息內部公開的內容、范圍、方式和程序。
地勘單位信息內部公開制度在一定程度上能夠抑制單位內部腐敗的發生,進而實現事業單位內部控制與管理的有效性。
三、地勘單位層面及業務層面風險評估關注重點
(一)單位層面風險評估重點內容
事業單位進行單位層面的風險評估時,應當重點關注內容見表22-2。
表22-2 單位層面風險評估關注點
續表
(二)業務層面風險評估關注重點
地勘單位進行經濟活動業務層面的風險評估時,應當重點關注對預算控制與管理、收支控制與管理、政府采購控制與管理、資產控制與管理、建設項目控制與管理、合同控制與管理等情況實施的評估。
具體見表22-3。
表22-3 業務層面風險評估關注點
E. 如何將《內控手冊》要求融入到企業的管理流程當中
首先行業不同,方式方法也不同,以一個行業為例
XY股份有限公司為符合上市公司內控法規要求,提高企業經營管理水平和風險防範能力,促進企業可持續發展,根據財政部、證監會等五部委印發的企業內部控制基本規范及配套指引的要求,聘請外部咨詢公司,2011年3月起著手進行內控體系建設工作。根據《企業內部控制基本規范》及其配套指引要求,結合國外公司經驗,企業內部控制體系建設通常分為4個階段,內部控制梳理、內部控制整改固化、內部控制自我評價和內部控制審計,其中前3個階段是內控建設核心工作,需由企業主導完成,內控審計由審計師在企業配合下實施。
為做實做好內控規范體系建設工作,公司於2011年3月正式成立內控工作領導小組,由公司董事長牽頭,高層領導主管、總部各部門負責人及各分子公司總經理作為組員,負責組織領導公司內部控制規范化建設工作。2011年3月中旬召開內控實施項目啟動會,對公司內控建設工作進行了部署和動員,並制定公司內控實施計劃及工作方案。
一、建立內控建設組織架構,明確相關人員職責。
內部控制建設作為一項長期系統性地工程,並非一蹴而就,公司決定建立一種長效領導機制持續運作。公司內控體系建設組織架構圖如下,並明確董事長為內部控制實施工作的第一責任人;公司總經理、副總經理為內控實施的具體負責人。
(一)內控領導小組職責
經第六屆第十次董事會審議通過,公司成立風險管理委員會,成員包括董事長、審核委員會主席、總經理、分管主要業務的公司高管及專業人士,作為內控工作領導小組。
風險管理委員會對董事會負責,主要履行以下職責:
(1)負責營造良好的內部控制建設環境;
(2)負責制定公司內部控制戰略規劃,提出總體建設方案;
(3)負責審議重大決策、重大風險、重大事件和重要業務流程的判斷標准或判斷機制,以及重大決策的風險評估報告;
(4)部署內部控制建設、執行及監督活動等;
(5)審議《內控手冊》的編制、修改及更新;
(6)提交《內部控制評價報告》;
(7)協調公司內部控制建設的重大事項;
(8)考核內部控制建設的相關人員,保持公司整體利益和方向的一致性。
(二)內控項目小組職責
1、公司在風險管理委員會下設立風險管理委員會辦公室作為內控項目組,主要履行下列職責:
(1)全面貫徹執行風險管理委員會關於內部控制建設的精神和方針;
(2)制定公司內部控制建設階段性的目標及實施方案,提交風險管理委員會審核;
(3)負責內部控制建設的有效實施和運行,落實內部控制建設的具體責任;
(4)研究提出《內部控制評價報告》;
(5)負責公司《內控手冊》的編制、修改及更新;
(6)審核在內部控制建設過程中存在的問題,督促各部門進行整改。
2、公司在風險管理委員會辦公室細分為4大系統,即風控系統、戰略與證券系統、財務系統和運營系統,明確各系統的具體職責。
3、風險管理委員會辦公室成員主要來自於財務管理部、戰略與證券管理部、風險管理部、管理創新部、營銷中心、質量與客服部、供應鏈中心、法律事務部、研發中心、製造中心及戰略人力資源部,配備33名專職人員。各業務單位、職能部門及子公司(事業部)在風險管理委員會辦公室的指導下共同參與、實施內控建設工作。
4、審核委員會作為公司內部控制體系有效性的監督機構,監督內部控制的有效實施和內部控制自我評價情況,審核及監督外部審計機構是否獨立客觀及審計程序是否有效,審核公司的財務信息及其披露,協調內部控制審計及其他相關事宜。
(三)責任部門及工作預算
與內控工作小組相對應,公司確認了內部控制建設的責任部門,即風險管理部、戰略與證券管理部、財務管理部、管理創新部、營銷中心、供應鏈中心、質量與客服部、法律事務部、製造中心、研發中心、戰略人力資源部。本次內控項目工作制定了相關預算,包括內控咨詢、內控審計及人力成本費用、培訓費用等。為保證內控建設工作的專業化、系統化和合理化,公司聘請詢公司作為外部咨詢機構為公司提供專業支持,協助公司梳理、構建及完善內部控制總體架構,幫助公司識別內部控制存在的薄弱環節和主要風險,有針對性的設計控制的重點流程和內容並協助公司開展內部控制自我評價工作。 風控系統人員將全程參與風險識別及評估、編制風險清單及控制矩陣、內控缺陷整改、開展內控評價等工作,為公司培養內部控制建設及評價人才。
二、內控體系建設工作具體推進
內部控制建設工作,公司將分為五個階段,時間從2011年4月1日至2012年1月31日,總體安排如下:
(一)確定內控實施范圍(2011年4月10日前完成)
根據證監局文件精神,結合公司實際,本次內控實施范圍為股份公司、一家上海子公司及一家廣州子公司。
按照《企業內部控制基本規范》及其配套指引要求,結合公司業務性質,公司將重點關注發展戰略、組織架構、人力資源等公司層面3大流程,以及信息系統、財務報告、信息披露、關聯交易、全面預算、資金活動、采購業務、銷售業務、資產管理等業務層面9大流程。
各流程責任人如下(××代表責任人姓名):
流程第一責任人 具體負責人 內控協調人 中介機構責任
發展戰略 × × ×
組織架構 × × × ×
……
註:上述責任人適用於內控建設中的每個階段。
(二)風險識別及評估(2011年5月31日前完成)
1、流程梳理:公司通過訪談、審閱文檔或問卷調查等方式梳理流程,明確上述12大流程的相應子流程,完善組織架構和審批授權指引,根據統一的模板編制業務流程圖。在流程梳理過程中,及時發現並記錄有遺漏、雜亂、不符合相關法律、不相容職務未分離或許可權設置不合理等內控缺失的工作流程,採取相應的措施規范操作流程,避免內部舞弊等重大風險出現,提高工作效率。
2、風險識別:結合《企業內部控制基本規范》及相關配套指引所列示的風險、公司客戶審核要求、內審報告、提案改善、質量事故等初始資料,從風險發生的可能性和影響程度,對子流程中涉及到的每個控制點進行綜合分析,識別固有風險,評價風險等級,形成風險清單。
3、文檔記錄:根據風險等級,識別流程中的關鍵控制活動,並在流程圖中進行編號;編制流程描述、風險控制矩陣等內控文檔對控制活動和控制點進行記錄。
4、查找內控缺陷:將公司現有制度和控制措施流與風險清單進行比對,通過穿行測試、控制測試等手段,獲取關於內控設計和運行有效性的證據,查找內控缺陷,形成《風險資料庫》和《內控風險診斷和評價報告》。對發現的重大缺陷及時報告董事會及管理層,管理層對發現的內部控制缺陷應及時制定內控缺陷整改方案。
(三)確定內控缺陷整改方案(2011年6月30日前完成)
1、編制《內部控制管理建議書》:公司對發現的內控缺陷進行分類分析,確定內控缺陷的重要性程度,區分設計缺陷和運行缺陷,形成《內部控制管理建議書》。
2、制定內控缺陷整改方案:公司根據《內部控制管理建議書》和具體的控制缺陷,提出整改時間及責任部門、人員,形成內控缺陷整改方案。
3、提交審議:內控缺陷整改方案應當經過風險管理委員會審議通過。
(四)內控缺陷整改(2011年9月30日前完成)
1、落實整改、提交報告:責任部門將按照內控缺陷整改方案對發現的缺陷進行逐一整改,完善公司各項內部控制管理制度和控制措施,提交《內控缺陷整改報告》;內控項目組連同中介機構對缺陷整改情況進行運行有效性測試,形成《內控運行測試報告》。
2、編制《內部控制手冊》:內控項目組根據風險清單和各項內控文檔等資料,編制《內部控制手冊》,並對手冊內容進行實施輔導和推進執行。
3、編制《內控自我評估工作指引》:內控項目組編制《內控自我評估工作指引》,為下一步內控自我評價工作的開展奠定基礎。
4、提交審議:《內控缺陷整改報告》、《內控運行測試報告》、《內部控制手冊》及《內控自我評估工作指引》應報風險管理委員會審議。
(五)內控持續推進和內控自我評價
公司在內控體系成果完成後,將予以持續推進,並根據轄區證監局要求,公司將於每季度結束後的10個工作日內,向證監局報送內控進展情況說明,並在定期報告中予以披露。每季度進展情況說明至少包括該季度內控建設工作的開展情況、與工作方案中計劃進度的對照情況、差異原因以及擬採取的解決措施等。
通過以上工作,公司初步建立健全了內部控制體系,有效提高了內控管理水平。
三、企業內控體系的「落地」和持續推進
XY公司在完成內控體系初步建設完成後具體推行過程中,一些部門和員工或因對新的內控制度理解不夠,或因由於長期工作習慣難以改變,或因內控制度變革觸及自身利益而不願遵循,使得內控制度在一段時期內一直都不能落到實處。如何真正將內控體系有效執行下去,並保持內控體系的持續完善和提高,是管理層迫切需要解決的難題。
為了切實將內控制度體系真正「落地」,XY公司通過全方位內控培訓、加強內控檢查與監督、完善考核及激勵機制以及藉助第三方專業機構的持續輔導等措施,有力地保證了內控建設的持續維護,公司的內控建設取得了卓有成效的進展。
具體來說,採取的主要措施有:
(一)完善內控工作組織架構,成立內控部,強化審計部,建立推進內控工作的組織機構和運行機制。
通過對國際大企業內控建設的現狀和過程的全面考察,XY公司發現要實行有效的內部控制,必須建立相配套的組織架構。為此,公司由管理高層成立了內控工作領導小組,各子公司管理層對應的成立內控管理小組;在部門設置上,XY公司新成立了內控部,各下屬子公司根據其規模大小設立內控部或內控負責崗,負責內控建設工作;在內控監督上,轉變了原有的審計部的職責,增加了內控評價和檢查的功能,並由公司董事會的審計委員會直接領導,在規模較大的子公司同時設立內部審計專員,負責子公司的內控自查。
(二)注重內控環境建設,進行全方位內控培訓。
XY公司通過一系列的培訓和輔導,提高各層級管理人員和基礎員工對內控理念的認識,營造有利的內控工作開展的文化環境。首先,公司抓好以普及內控基本知識、營造內控實施環境的宣傳工作。公司內控部組織編制了《內控宣傳冊》,在股份公司各職能部門和下屬公司主要管理幹部范圍內發放學習。手冊通過生動的案例和形象的語言幫助各級管理人員統一對內控的理解和認識,減少內控推進的思想阻力。
其次,公司根據內控規范實施的進度,圍繞內部控制的各個方面,開展了包括基礎理念、管理制度、風險評估、內控評價、內控考核在內的各類集中的專題培訓,對內控制度的編制和實施起了極大的推進作用。
(三)建立內控推進的溝通機制,保證內控建設持續性和問題解決的及時性。
自內控制度建設正式推進以來,為了保證推進的執行力,公司開展了全方位的信息溝通機制,實現了信息的實時傳遞,和通暢的上傳下達。
首先,XY公司建立了周例會制度。內控領導小組每周組織內控工作例會,由公司董事或審計委員會主任主持,參與者包括內控領導小組成員、內控部、審計部、財務部、各子公司的內控負責人等。總部各職能部門及各子公司必須在會上以書面形式上報「內控工作一周報告」,匯報內控的進展情況、存在的問題、解決的方案、遇到的困難以及需要股份給予協助的事項,並由內控領導小組組長對相關的具體問題提出意見和工作指導,會後股份公司內控部負責對每家子公司進行回復,保證所有的問題都能得到及時有效的解決。所有會議記錄和相關文件在會後抄送股份公司的總經理和董事會,並抄送相關子公司的管理層,保證管理高層對內控進展的時刻了解。
其次,公司建立了內控體系的月度工作總結。每月末各個子公司的內控負責人就內控開展情況進行工作總結,由內控部在股份公司管理層、子公司管理層以及相關內控負責人之間進行通報,督促各子公司的內控執行力。
第三,建立了重大項目的單獨匯報機制。各子公司的內控負責人對於子公司內控建設中發現的重大問題要求及時向內控領導小組和股份內控部進行匯報,以實時處理可能的重大風險。此外,股份公司的內控部長、審計部長、財務總監的聯系方式向子公司的所有內控負責人和內控專員公開,作為信息直接傳遞的一個重要渠道,幫助股份公司及時了解下屬子公司內控風險。
(四)完善內控評價檢查機制,建立了多層次的內控檢查體系。
為了保證內控制度的落地和真正有效的執行,公司從各子公司到股份公司的內控部和審計部,再到外部獨立的第三方中介,建立了全方位的內控評價和檢查體系。股份公司內控部對各業務循環定期開展內控檢查,通過發放內控調查清單以及內控專員的現場檢查,發現子公司在內控建設中的不足,並及時下發風險聯系函、風險關注函和風險警示函,以幫助子公司及時進行內控整改和完善。其中聯系函主要是對子公司聯系函件的回復為主;關注函主要是對子公司發生的業務表示關注,一般要求對方在一定時間內給出書面說明;警示函是在關注函的基礎上對於重大風險或執行不到位的情況給予警告。
股份公司審計部對各子公司每年開展兩次的內控評價。為了實現評價的量化和標准化,審計部編制了內控評價底稿通過檢查,對子公司形成內控建設的量化評價,並針對檢查中發現的問題出具改進建議,並要求各子公司在規定的時間內予以整改,總部內控部對子公司整改措施和整改質量進行全程的監督,整改完成後,審計部及時予以復查,確保審計中發現的問題能及時整改。
(五)將內控建設納入績效考核,通過獎懲機制實現內控的有效性。
首先,為有效發揮各下屬子公司的管理者在內控推進中的作用和積極性,自200×年開始,股份公司將審計部對各子公司的內控評價結果納入其管理班子的績效考核的指標中,明確了管理班子對於內部控制建設的責任和關鍵任務。通過這種績效考核,激勵管理層切實關注和推動內控的執行工作,從而為內控工作的推進建立良好環境。
其次,對於股份公司向各子公司委派的重要人員也直接與內控建設掛鉤。公司出台了《委派內控人員績效考核管理辦法》,對各個子公司的內控負責人實施全面的內控建設考核,明確了委派的內控人員的績效考核指標、考核方式和獎懲機制,進一步促進了委派內控人員的工作落實力度;其次,對於股份委派的財務負責人,也在其年度考核的總分中(100分制)納入了相當比重的的內控建設的相關內容,從財務職能加強了對子公司的內控推進。
(六)充分發揮專業中介機構力量
XY公司在開始建立內控體系即聘請的專業咨詢公司提供咨詢服務,在整個體系建立過程中,充分發揮咨詢公司專業力量,並聘請專業顧問對公司人員進行培訓,提高公司人員內控理念和技能。在內控體系初步建立之後,仍繼續與咨詢公司保持合作,藉助咨詢公司在專業及獨立性方面優勢,共同推進公司內控持續建設工作,在內控持續建設工作中,專業咨詢公司提供了大量了專業意見和培訓輔導服務,幫助公司完善各項成果,使得公司的內控持續建設取得了令人矚目的成效。
四、企業內控體系建設過程的經驗和啟示
在公司董事會、各層級管理人員和基礎員工不懈努力下,公司內部控制體系的建設取得了一系列的良好效果,全公司各級員工的風險管理意識顯著提高,對風險的理解和重視切入到各個業務和管理環;強化了各項經營活動的規范化操作,實現了重大經營活動的集體化決策機制,有效防範了決策風險;提高了公司的財務管理水平,保證了從產業公司到股份公司的各層級財務數據的真實公允以及資金、資產的安全;加強了公司對新經營環境下管理風險的關注;完善了公司的風險預警機制,提高了各職能部門對業務發生之後的潛在風險的持續監控、分析和應對。公司在內控體系建設和推進過程中,主要的經驗和啟示有:
1、公司董事會和最高管理層的重視和親自參與
在XY公司董事會,無論是大股東委派董事、非執行董事還是獨立董事,都非常重視和關心內部控制體系的建設工作。作為公司的大股東,集團對股份公司的內控建設給予了極大的理解和支持,有力的推動了產業公司的內控建設的進程。董事會的定期會議都將內部控制進展情況作為重要議題溝通,對於內部控制推進中出現的任何問題,董事會層面時刻給予相應和支持。
在公司管理層方面,成立了內控領導小組,投入了大量的人力和財力,帶領企業員工共同進行內部控制建設,為內部控制的推進提供了良好的內部環境,同時也激發員工的積極性和主動性,推動企業內部控制朝更順利、更完善的方向發展。
2、對內部控制理念以及其與公司其他管理體系關系的認識統一
XY公司在內控推進的第一階段大力推行高頻率、大幅度的培訓,幫助各級管理者以及基層員工了解內部控制的主要原理和價值,減少內控實施中的思想阻力。其次,公司統一了內控體系與其他管理體系的認識,內部控制和風險管理不是一套孤立的新的體系和制度,而是一種基於「目標-風險-控制-監督」框架的管理思路,這種管理思路可以融入到企業的所有其他的管理體系和管理制度中去,是對企業原有的管理制度的整合和提升。
3、制定了清晰明確的內部控制戰略規劃
公司根據自身實際情況,在訂並提出了內部控制的五年兩步走的規劃,並將其納入到公司的5年戰略規劃中。第一階段(3年),通過自上而下的剛性要求,構建全面的統一化的集團內部控制架構,並通過理念灌輸形成內控推進的文化范圍;第二階段(2年),通過自下而上的,自覺的內控體系的完善,形成各個產業公司的特色化內部控制。這一從強制到自覺,從理念普及到制度完善再到內控手冊的表格化提升的建設步驟,使得公司從管理高層到基層員工的各級人員都明確內部控制不同時期的不同任務及不同發展狀態,穩步推進,逐步加深,為內部控制的發展道路勾畫了清晰路徑。
4、因企制宜的實施方案
XY公司意識到對於集團化企業,內部控制不能是一刀切的,公司要實行內部控制,需要根據自身的業務類型、公司規模、公司所處階段來選擇適宜的內部控制方法。
首先公司在吸收了五部委內部控制基本規范和配套指引的相關精髓的基礎上,結合企業經營實踐,基於先主後次的重要性原則以及成本收益原則,提出了以若干業務循環作為公司內控建設的主要循環范圍。
其次,考慮公司的人員能力和素質,在內控成果上也沒有一步到位冊,而是以制度建設為基礎,通過制度規范,到流程優化再到風險提煉,逐步實現內部控制的層層遞進。
第三,在內控推進上,公司充分考慮下屬各產業公司的業務特點,確定適合各公司的內部控制方式和側重點。
5、循序漸進的實施步驟
(1)自上而下的理念推進向自下而上的流程推進的遞進。
在內控實施的第一階段,公司強調自上而下的理念推進。公司通過內部培訓、各種工作會議達成內控理念的統一,並向各子公司傳達,之後各子公司則進行自下而上的內控流程推進,即各產業公司根據自身的內部流程,進行制度的完善,並經由公司內控部審核後實施。
(2)由總部出台框架性的制度到各個子公司制訂針對性的業務流程的遞進。
公司內控部結合外部力量制定框架性的制度,明確各業務循環的關鍵控制點和操作要求,各產業公司根據自身業務情況,在滿足框架制度要求的前提下制定適合企業自身的管理制度,以求更貼近產業公司的經營管理實踐。
(3)普遍性、通用性的風險點向專業性、針對性的風險點的遞進。
公司首先根據對產業公司實際情況的調研,繪制公司的全面風險資料庫,梳理出具有普遍性的通用性主要風險點,之後,各產業公司在實際操作中不斷發現專業性、針對不同企業業務特色的獨特風險,以實現內部控制的完善。
(4)抓重點公司,抓主要循環和風險、抓典型事件。
公司的內部控制遵循重要性原則,關注重點公司級重要循環與風險,並關注典型事件,以期通過重點帶動全面,推動內部控制的發展。
6、藉助外部專業中介機構推動內控建設
外部專業機構相對具有更豐富的內控專業力量和實施經驗,並且具有客觀性和獨立性,XY公司在整個體系建立過程中,充分發揮咨詢公司專業力量,但也沒有完全依賴中介機構甩手不管,而是充分參與和配合,在內控建設過程中,實現知識傳遞和內控人才培養,取得了較好的實施效果。
--------------轉自新浪微博《馬軍生-內部控制博客》
F. 怎麼通過風險評估來進行內部控制
對於這一定義,可從以下三個角度進行理解。
(一)內部控制評價的主體是董事會或類似權力機構
內部控制評價的主體是董事會或類似的權力機構,是指董事會或類似的權力機構是內部控制設計和運行的責任主體。董事會可指定審計委員會來承擔對內部控制評價的組織、領導、監督職責,並通過授權內部審計部門或
獨立的內部控制評價機構執行內部控制評價的具體工作,但董事會仍對內部控制評價承擔最終的責任,對內部控制評價報告的真實性負責。對內部控制的設計和運行
的有效性進行自我評價並對外披露是管理層解除受託責任的一種方式,董事會可以聘請會計師事務所對其內部控制的有效性進行審計,但其承擔的責任不能因此減輕
或消除。
(二)內部控制評價的對象是內部控制的有效性
內部控制評價的對象是內部控制的有效性,所謂內部控制的有效性,是指企業建立與實施內部控制對實現控制目標提供合理保證的程度。
從控制過程角度,內部控制的有效性可分為內部控制設計的有效性和內部控制
運行的有效性。內部控制設計的有效性是指為實現控制目標所必需的內部控製程序都存在並且設計恰當,能夠為控制目標的實現提供合理保證;內部控制運行的有效
性是指在內部控制設計有效地前提下,內部控制能夠按照設計的內部控製程序正確地執行,從而為控制目標的實現提供合理保證。內部控制運行的有效性離不開設計
的有效性,如果內部控制在設計上存在漏洞,即使這些內部控制制度能夠得到一貫的執行,那麼也不能認為其運行有效的。
從控制目標的角度來看,內部控制的有效性可分為合規目標內部控制的有效性、資產目標內部控制的有效性、報告目標內部控制的有效性、經營目標內部控制的有效性、戰略目標內
部控制的有效性。其中,合規目標內部控制的有效性是指相關的內部控制能夠合理保證企業遵循國家相關法律法規,不進行違法活動或違規交易;資產目標內部控制
的有效性是指相關的內部控制能夠合理保證資產的安全與完整,防止資產流失;報告目標內部控制的有效性是指相關的內部控制能夠防止、發現並糾正財務報告的重
大錯報;經營目標內部控制的有效性是指相關的內部控制能夠合理保證經營活動的效率和效果及時為董事會和經理層所了解或控制;戰略目標內部控制的有效性是指相關的內部控制能夠合理保證董事會和經理層及時了解戰略定位的合理性、實現程度,並適時進行戰略調整。
評價內部控制設計的有效性,可以考慮以下三個方面,一是內部控制的設計是否做到以內部控制的基本原理為前提,以《企業內部控制基本規范》及其配套指引為依據;二是內部控制的設計是否覆蓋了所有關鍵的業務與環節,對董事會、監事會、經理層和員工具有普遍的約束力;三是內部控制的設計是否與企業自身的經營特點、業務模式以及風險管理要求相匹配。評價內部控制運行的有效性,也可以從三個方面進行考察,一是相關控制在評價期內是如何運行的;二是相關控制是否得到了持續一致的運行;三是實施控制的人員是否具備必要的許可權和能力。
需要說明的是,由於受內部控制固有局限(如評價人員的職業判斷、成本效益原則)的影響,內部控制評價只能為內部控制目標的實現提供合理保證,而不能提供絕對保證。
(三)內部控制評價是一個過程
內部控制評價是一個過程,是指內部控制評價要遵照一定的流程來進行。內部控制評價工作不是一蹴而就的,它是一個涵蓋計劃、實施、編報等多個階段、包含多個步驟的動態過程。
G. 內部控制的評審包括哪些步驟
內部控制制度審計的一般步驟如下:
(一)了解並描述內部控制制度
評審內部控制制度,首先應了解內部控制制度。一般來說,任何一個單位,無論規模大小和生產經營特點如何,其內部總是有一定的內控制度,存在的差異主要表現為其內部控制制度的健全性、有效性在程度上的不同。
了解內部控制制度主要應作好以下兩項工作:
1.搜集資料和進行初步調查。搜集資料指收集有關內部控制制度的文件、管理制度、規章制度、圖表、規程等書面的或尚未成文的規定。如,各項經濟責任制度、崗位責任制度、勞動人事制度、計劃管理制度、財務管理制度、進貨管理制度、物價計量管理制度等等。通過搜集資料,就可以初步了解一個單位是否建立了必要的內部控制,其崗位設置與職責分工是否符合內部控制的原則等。
通過搜集資料,如果發現內部控制制度中還有不清楚或界限模糊的地方,就應向有關部門和有關人員調查。搜集資料與初步調查可以分開進行,也可以結合進行。
2.描述內部控制制度。通過搜集資料和初步調查,對一個單位的內部控制制度狀況就有了一個大概了解。為了進一步評審的需要,應當用一定的方法將其如實地記錄下來,在內部控制制度審計中就叫描述內部控制制度。描述內部控制制度的方法有文字說明法、調查表法和流程圖法。本章第三節將進一步說明。
(二)實地測試內部控制制度
通過搜集資料和了解描述,我們對一個單位的內部控制系統的基本情況就已初步掌握。但內部控制系統是否有效,僅靠書面資料或初步的調查是難於作出判斷的。審計實踐經驗證明:再好的內部控制制度,哪怕寫在紙上,貼在牆上,如果有關工作人員有章不循或者陽奉陰違,都將直接影響內部控制系統的控制效果。因此,內部控制系統必須進行實地測試。
實地測試內部控制制度一般有兩種方法:
1.抽查有關資料進行實地測試。這種方法是針對所要審查的某一內部控制系統,抽取一部分資料進行審查,看其對經濟業務的處理是否符合內部控制系統的原則。例如,對材料購入系統進行審查,就要抽查收貨單、付款憑證和供應方的銷貨發票,通過對這些資料進行審查,檢查材料購入業務是否由不同的部門分別完成,憑證設置是否健全,是否按規定程序傳遞等。
抽查資料的具體方法,主要選用判斷抽樣法或統計屬性抽樣法。
2.實地觀察。實地觀察就是深入現場,根據前述經濟業務的傳遞程序,到各個環節進行實地觀察、驗證。例如,前舉材料采購業務,就應分別到業務(或采購俠應)部門。倉儲部門、財會部仃進行觀察。對關鍵環節則尤其注意觀察和驗證,如倉儲部門的驗收環節,就應檢查它在驗收數量時,是否經過計量,檢斤或驗尺,以保證數量真實;而在驗收質量時,又是否經過對物理性能或化學成分等的檢驗,以保證質量正確。
經過上述兩種方法的實地測試,就可以對內部控制系統的有效性作出判斷。
(三)評價內部控制制度
評價內部控制制度,就是針對被審單位內部控制系統的健全性和有效性進行綜合評價,並提出評價意見。
評價內部控制系統應具備兩個條件。一是被審單位內部控制系統的基本情況,二是內部控制系統評價的標准。根據被審單位內部系統的基本情況,對照內部控制系統評價的標准,才能對被審單位內部控制是否健全、有效、提出評價意見。
通過上述「了解內部控制制度」和「實地測試內部控制制度」,對被審單位內部控制制度的基本情況已經掌握。
對內部控制制度的評價標准還需補充說明如下:
內部控制制度的評價標准過去是根據審計人員的經驗判斷。近年,提出了」控制模型」,或稱為「理想的內部控制模式」,用來作為判斷其控制是否健全的標准。
「控制模型」是有關部門或審計人員,根據大量的實際工作經驗和內部控制系統的原則設計出來的行之有效的控制模式。控制模型依照不同的生產經營類型和不同的業務系統分別制定,其形式一般都用調查表,流程圖或用文字說明表示,上面註明有業務程序、控制環節,並著重標注了「控制點」和「關鍵控制點」;因此,按照控制模型建立內部控制系統,並嚴格遵照執行,就能保證資產的安全完整和提高經營效率,用控制模型對照被審單位的實際內部控制系統,也能判斷其是否健全、有效。
設計控制模型,一是要堅持前述合理分工與權力制衡的原則,即堅持不相容職務相互分離控制。這一控制的核心內容是合理設置會計及相關工作崗位,明確職責許可權,形成相互制衡機制。不相容職務主要包括:授權批准、業務經辦、會計記錄、財產保管、稽核檢査等職務。另一是抓住業務過程中的關鍵控制環節,即通常說的「控制點」和「關鍵控制點」。
下面以材料采購業務的內部控制制度為例,簡要說明其方法。
根據前述內部控制制度的原則和程序控制的要求,材料采購業務可以劃分為申請、計劃、合同、驗收、入庫、記錄與核對這樣6個步驟,這6個步驟應由采購供應、倉儲運輸、財會等部門分工完成。采購業務的完成應有6個控制點;
①申請。申請材料采購應有明確的目的,即為了生產、經營或其他必需的需要而采購。未經申請並給予批准和授權,就會出現不根據生產、經營需要而任意采購,甚至會出現為了「回扣」而任意采購殘次廢品的現象;
②計劃。缺乏計劃平衡,就會使材料的需要、庫存與采購脫節,出現或者積壓、或者短缺的現象;
③合同。沒有合同規定經濟責任,就會使材料購入的數量、質量、價格、時期缺乏保證;
④驗收。缺乏驗收環節,會使材料到貨的數量與質量都會出現混亂;
⑤入庫。不辦入庫手續,將使材料到貨後發生丟失、損壞;
⑥記錄與核對。如果沒有財會部門正確及時地記錄與核對,材料的安全完整就失去最終的制約,會計資料的可靠性也失去保證。
以上控制點如果齊全,材料采購就可以保持良好秩序,如果缺少一個,就可能發生混亂。而其中的「驗收」又是最關鍵的一環,沒有它,材料采購就可能產生全面混亂,因而驗收是材料采購控制系統中的關鍵控制點。
歸納上述意見,所謂評價內部控制制度,實質上是用控制模型對照被審單位內部控制制度進行檢查、判斷的活動。而所謂評價其健全性,實質上就是評價被審單位內控制度是否符合控制模型要求,應有的控制點是否齊全。所謂評價其有效性,也就是通過測試,看這些控制點是否都發揮了控製作用。對關鍵控制點,尤其是評價的重點。
(四)報告內部控制制度
評價內部控制制度後,就已形成對內部控制制度的審計意見,這是審計報告的主要內容。此外,還有兩個方面的內容:
1.關於改進管理的建議。例如,評價內部控制制度時,發現應有的控制點不健全、或有章不循,造成一些差錯、弊端,就應針對這些問題向被審單位提出改進管理的建議。
2.關於進一步審計的范圍、重點和方法的意見。目前,我國對內部控制制度審計還未引起足夠重視。在實際審計工作中,一般是將其作為正式實施審計前的一個審計步驟。通過評審內部控制制度,即可確定審計的范圍、重點和方法。如果這些意見與原審計工作方案有矛盾的,應擴大審計范圍,並報審計負責人批准。
H. 如何進行戰略評估
三星有一個「項目評估指南」。不管是新建項目還是現有項目擴建,都要依據這個「指南」逐項進行推敲。這個「指南」包括20 個大項目和90 個小項目。它不僅考慮了一個項目要投入多少,利潤多少,還對項目的目的、環境、實施方法、組織、成果等諸多事項做了具體的規定。項目評估要考慮的第一個問題,是項目的內容是否符合三星經營原則、經營方針,在提高產品質量、降低成本方面對國民經濟的貢獻程度,在市場規模、技術水平方面對本企業是否合適等等。其次是與項目內容有關的環境分析。必須全面分析過去10 年到今後10 年國內外需求的變化,包括景氣變化、投資動向、替代商品動向,以及國內外各競爭企業與本企業的優勢與劣勢比較,市場特點與市場結構,該項目核心技術的開發程度以及引進的可能性等技術因素。第三,環境分析之後,制定各部門具體計劃。這里包括投資所需要的資金規模,如何籌集資金,引進什麼檔次的設備,項目所處的地理位置,水、電供應情況,港口以及與主要城市的距離等內容。在原料供應方面,分析是否有穩定的原料供應商、工人的穩定性如何。還要分析廢水處理、環境污染等問題,以及市場佔有率、銷售戰略、出口對象國的進口政策、產業政策, 尤其要重點分析凌項目上馬是否已經具備相應的技術人才、經營管理人才。新建項目上馬時,還要考慮與現有項目的關系。如在生產、技術、銷售、人力等方面與現有項目是否可以銜接得上。此外,還考慮政府是否批准等問題。如果與其他企業搞合作生產或接管其他企業,還要調查該企業的經營狀況。第四,對以上內容評估完成之後,接著就要計算利潤問題。然後確定此項目的可行程度。