内控制度建设和风险管理情况
1. 如何有效执行风险管理和内部控制等相关制度
风险管理:
一、对企业风险的认识
企业风险是指某一对企业目标的实现可能造成负面影响的事项发生的可能性,企业在制定和实现自己目标的过程中,会碰到各种各样的风险,所以需要进行风险管理。企业风险管理就是通过分析公司的内外风险,制定系统的管理策略来处理这些风险,从而提高公司的盈利能力和实现企业的目标。风险管理的基本程序是风险识别、风险评估和风险控制。企业风险管理框架要素包括:内部环境、目标制定、风险识别、风险评估、风险应对、控制活动、信息和沟通、监控。
二、明确受托责任、完善公司治理,从公司组织结构上控制企业经营风险
公司治理实质的涵义就是基于一种受托责任的法律合同关系,并以此来规范各利益相关者的权利和义务,并让他们充分发挥各自的功能。基于受托责任下的完善的公司治理结构-即公司股东会、公司董事会、公司经理层以及对受托责任履行行为实施监督的公司监事会的权利和责任的法律确认和有效执行。有效的公司治理是防范企业经营风险,增加公司价值的组织保障。
从表面上看,安然、世通公司的倒闭是因财务舞弊引起的。但在实质上,这两个公司都是由于在公司治理上存在严重缺陷,才导致公司在财务上造假行为成为可能,公司倒闭的根源在于公司治理。美国的公司治理科学性被世界上许多国家所推崇,也是我国主要借鉴的。在美国公司治理中董事会设置最典型的特点是独立董事制度,担任大公司独立董事的很多都是知名学者、教授,独立董事在公司董事会人员中站多数,他们的作用主要是站在公正的立场,代表中小股东利益。但据调查,安然、世通公司的独立董事是公司的独立董事没有在公司董事会中发挥应该起到的作用,导致公司治理失败,内部控制制度没有很好执行,造成公司经营风险。
我国在借鉴美国公司治理的独立董事制度同时,也借鉴了德国公司治理的监事会制度。监事会在德国的公司治理中发挥着很关键的作用,但在我国,公司的监事会却没有真正发挥作用。
因此,控制企业经营风险,不但要有完整的公司治理架构,更主要的是要有基于受托责任下的公司治理各责任主体的法律责任的有效履行。
三、建立有效的内部控制制度
所谓内部控制,是为实现经营效率和效果,财务报告的可信性及相关法律的遵循等组织目标而提供合理保证的过程。其实施者为公司董事会、经理层和其他员工。内控制度是企业为有效实现其目标而设计的内部制度安排,它是为整个企业而设计的系统,企业不应该有任何人能脱离该系统的控制而自由运作。
现在人们越来越发现,公司的风险来自于内控制度的缺失或形同虚设。公司内部控制制度的根本就是授权和监督。公司所有人的权限都是在这个组织中被授予的,并要得到有效监督。
内部控制:
第一是建立直属于董事会和董事长领导的运营监控管理机构,将会计监督和管理监督职能整合在一个部门,不但要对违规行为进行监督和管理,还有对出现问题进行改进,二次进行监督、跟进,不断的提高管理水平和管理意识。
1、根据集团发展需要,运营监控管理中心设审计部、招标部、生产监察部、改进部。运营监控管理中心直接归董事长领导并对董事长、董事会报告工作,具体负责董事长及董事会要求和规定的各项审计、监察工作。运营监控中心总监的任用和解聘由董事长提议,董事会批准,其它人员由运营监控中心总监提出,董事长批准,其工作考核和奖惩由董事长、董事会决定。
2、运营监控中心人员办理审计、监察事项,必须严格遵守审计、监察职业规范,忠于董事长、董事会,做到独立、客观、公正、保密,不得滥用职权,徇私舞弊,玩忽职守。
3、当遇到较大审计监察任务时,可临时组织所属公司的财务、人事行政、生产、销售等部门的人员共同进行审计监察,各单位应该积极配合,不得推诿。必要时可聘请外部特邀专业人员进行专题或专案审计监察。
第二是制定运营监控管理中心明确的工作职责,确保企业内部监督的全面性,促进管控制度完善、细化,点、线控制全面,有效执行;提升企业现场管理;推动各部门的工作实施、改进。根据企业经营目标和审计计划,开展各类财务审计工作及专项审计工作,确保企业健康运营。实现对企业采购的所有物资进行招标、比价,确保在当时采购条件下的性价比最优,高质、高效。
一、对出资者所属公司的财务收支及其经济活动进行定期审计。特别是对公司财产、资金管理使用和安全完整程度进行重点审计。
二、对出资者所属公司的预算或计划执行情况进行定期审计。特别对预算追加和预算外资金的使用情况进行重点审计监督。要进行事前、事中和事后的全面审计、监察。
1、事前对资产和财务状况进行全面审计,划清预算责任
2、事中对预算执行情况进行每月的跟踪审计,发现问题及时解决,防止偏离预算或便于不适合时机预算的调整
3、事后即预算期结束后进行全面审计,评价预算执行情况,总结经验,据以考核,兑现奖惩。
第九条、对集团负责人和各中心总监、总裁助理、各子公司负责人年度和任期经济责任进行审计。对各单位的经营管理责任和财务会计责任的履行情况进行审计和评价。特别是对董事会决议、公司经营方针、目标、战略的落实执行情况作为重点审计内容。
(一)对经营管理责任履行情况的审计监察主要评价经营成果的有效性。审查负责人是否是按董事会的要求、经批准的经营规划进行经营管理的审计,审查有无决策失误和错失经营时机,有无短期行为,破坏公司资源,评价经营管理政策和工作措施是否高效可行等。
(二)对资产的安全和完整进行审计。审查固定资产、无形资产、存货、应收账款等公司资产是否存在风险和不安全,是否完整,有无积压和呆死坏帐,有无损坏和贬值,是否真实。
(三)对财务会计责任履行情况的审计监察
1、财务责任就是理财责任,就是评价财务状况是否优良,财务资产是否增值,使用是否充分有效,是否盘活现有资产,有无浪费,有无财务和税收风险。
2、审计责任主要是评价内部控制是否健全完善、资产管理是否安全,会计防范是否有效,会计数据是否真实,会计工作和前台业务是否脱节,会计工作是否支持业务等。
(四)对人事事项进行审计。审查工作效率,人力成本、人均效率,审查员工队伍建设情况,是否提高凝聚力向心力、协作精神,是否建立共同愿景,有无在人事方面以权谋私的情况,有无任人唯亲,有无打击报复,嫉贤妒能等情况。
(五)对采购进行审计。审计采购的质量是否符号要求、价格是否合理、资金结算是否符合预算要求、交期是否及时,审查采购作业流程是否高效,有无按流程操作,有无徇私舞弊行为。
(六)廉政建设审计。对违反公司廉政建设的行为进行审计如请客送礼、接受贿赂等。
三、对公司的项目投资情况进行审计。
四、监督、检查和评价各单位内部控制和管理制度的建立健全、严密程度和执行情况以及内部风险管理:
1、检查各子公司、各中心各岗位的责权划分是否明确,岗位责任是否建立并且有效;
2、所有原始凭证是否进行统一的连续编号,并顺序使用,领用空白凭证是否有严格的登记注销手续;
3、检查所有的实物资产包括固定资产、低值易耗品、包装物、办公用品、库存商品是否实行责任管理,并制定了相应的控制制度,执行情况如何;
4、检查所有业务是否都实行了程序化、规范化、制度化,各流程中的关键(资金)点是否实行了重点控制,控制是否有效,程序是否经济、高效;
5、检查主要岗位人员的变动是否建立并实行了恰当的交接制度,手续是否完备;
6、检查各子公司是否建立并实行了有效的成本费用控制制度和资金使用制度;
7、检查各子公司采购、商品入库、出库、领用、销售、成本费用、资金收支、对外投资、资产处理的内部财务控制制度的建立和执行情况;
8、其它内部控制事项。
五、对违反出资者、公司规章制度、财经政策纪律,侵占公司资财、损害公司利益、严重铺张浪费和职务消费行为进行专项审计。
六、对各子公司有关的经营方案、预算草案、资金使用方案、重要的经济合同、重要文件、制度的合法合理性,有效正确性进行审计评价。
七、对管理者的工作作风和廉政建设进行监督、监察
1、监督、监察抵触执行公司的各项规章制度和纪律,或将规章制度打折扣执行的行为;
2、监督、监察弄虚作假,有事不及时汇报,欺上瞒下者,对工作扯皮推诿、相互拆台或搬弄是非的行为;
3、监督、监察未经审议,擅自决定公司的重大生产经营决策的行为;
4、监督、监察压制人才,嫌才妒能,阻碍或限制他人才能发挥的行为;
5、监督、监察收受与业务有关单位或个人的钱物(含提成、回扣、报销及代为支付费用)的行为,特殊情况下接受的礼品不上交公司的行为;
6、监督、监察以任何名义宴请公司领导、有关部门领导、公司员工及利害关系人的相互宴请的行为;
7、监督、监察未经许可工作时间饮酒、延误工作的行为;
8、监督、监察利用公款参与高消费的娱乐活动,报销应由个人支付的各项费用,虚报冒领费用或款项的行为;
9、监督、监察利用出差机会协亲属旅游或接受业务单位安排旅游活动的行为;
10、监督、监察对人封官许愿,拉帮结伙,搞小团体,助长歪风邪气的行为;
11、监督、监察对检举或有异议的员工或同事打击报复的行为。
八、总裁、副总裁、总裁助理、各中心总监、各子公司总经理等高层领导的离任、交接审计
九、对人力资源使用效率和效果进行监督、监察。
1、对人力资源(资本)管理的内部控制监督、监察。监督、监察人力资源(资本)的招收、管理、培训、使用、激励等一整套规章制度有与无,完善与否,执行严格程度,效用的大小等。评价其内控制度的适当性;审查评价其是否与时俱进,即在相对稳定的原则下,能否随着环境和条件的变化而调整本组织的人力资源管理控制政策;
2、对人力资源(资本)的开发利用程度监督、监察。监督、监察人力资源(资本)的开发利用是否使其个体不断保值增值,并要使其价值得到充分发挥。更重要的是由个体人力资源(资本)协调聚合的群体价值。通过对招聘、培训、使用、增值、文化、协调聚合等的监督、监察,使人力资源(资本)的开发既能适用于当前的现实需要,又能考虑超前的,顾及到未来的发展后劲。促使其能建立起一个制度化、科学化的动态运行机制。特别是对人力资本的增值培训的投资问题,要有妥当的计划安排。即人力资本培训的投资要有强制的措施,还应按销售收入或税后利润的一定比例进行人力资本投资培训,或按其岗位定期或不定期培训,使人力资本的增值有制度安排;
3、企业人力资本产权监督、监察。监督、监察劳动者权益在企业契约的规定是否受到尊重;人力资本的所有权分配关系的落实程度;人力资本定价与激励方式的适当性及其效果。通过对企业人力资本产权的监督、监察,使企业在不与法规相冲突的前提下,建立起不侵犯人力资本所有者权益,能够充分有效地调动不同层级的人力资本载体者的积极创造性,既能使个体人力资本价值增值,又能有效地提高企业核心竞争力的恰当机制的制度;
4、员工队伍建设监督、监察,是否提高凝聚力向心力、协作精神,是否建立共同愿景,有无在人事方面以权谋私的情况,有无任人唯亲,有无打击报复,嫉贤妒能等情况
十、对各子公司产、供、销各个环节经济活动的效益、效率、经济、合理、合规和合法性进行监管。
(一)对采购事项进行监管,采购部门的责任就是在适当的时间、适当的地点为公司采购性价比最优的原材物料,降低成本、降低付款率,控制采购费用;
1、监管采购计划的审批是否符合程序,采购计划数量是否符合库存和生产使用要求;
2、监管采购合同订立、审批程序是否合理,是否有越权审批;
3、监管采购流程是否符合内部控制程序,是否满足“高质、高效”的要求;
4、监管采购的决定权和操作权是否分离;
5、监管采购数量、质量、性价比、交货期是否能够满足生产使用要求;
6、监管采购付款计划、付款金额、付款比例是否符合财务规定,是否按合同执行;
7、监管采购人员采购、招标过程中是否有舞弊行为,是否有暗箱操作行为,是否有故意刁难客户行为;
(二)对生产事项进行监督、检查
1、监督、检查下达的生产计划规格、型号、数量是否符合销售合同要求,手续是否完备;
2、监督、检查生产质量的控制是否有质量跟踪记录,是否符合企业检验标准;
3、监督、检查生产控制材料领用、发放的各种单证是否齐全,记录是否真实、完整;
4、监督、检查生产产量和工时记录是否真实、合理、准确;
5、监督、检查生产消耗是否符合定额标准;
6、监督、检查生产工资费用、工资分配、材料分配、制造费用是否真实、合理、符合预算管理控制;
7、设备完好率的监督、检查,有无操作规范,执行的状况如何,有无拼设备的短期行为;
8、现场管理的监督、检查,审查有无可行合理的现场管理规范,是否实行了6S管理等;
(三)对营销事项进行监督、检查
1、监督、检查销售管理部门应收及预付帐款内部控制是否合理有效,是否能够降低企业风险;
2、监督、检查销售发票、合同、销售订单所列的商品名称、规格、数量、价格是否一致,是否符合公司价格规定;
3、监督、检查对业务员报价是否按照公司销售政策执行,有无越权审批折让和价格的违规行为;
4、监督、检查销售合同、赊销的审批是否手续完备,是否有越权审批现象;
5、监督、检查发货清单与销售发票是否一致,物流配送是否满足客户需求;
6、监督、检查销售发票是否连续使用,有无缺号、作废是否正确;
7、监督、检查销售人员是否有截流公司销售货款的情况,是否在销售过程中有接触现金的情况;
8、应收帐款坏帐损失是否按照公司规定对相关责任人进行处罚;
9、市场现金操作是否按财务有关规定执行;
十一、对质量系统的监督、检查;
十二、对董事长安排的专项工作进行专项监督、检查
第三是对运营监控管理中心的充分授权,没有充分的授权,运营监控监督力度、执行力将大打折扣,各种改进措施的落实将会成为一句空话、大话,董事会能否对内控部门充分授权是内控部门开展各项监督、改进的保障。
具体应该赋予内控部分哪些职责呢?我认为内控部门应该具备以下权利。
一、有权要求各级财务部门按时上报财务报告、预算执行情况报告、财务决算报告、资产处置报告以及相关的财务制度。
二、有权参加各子公司、各中心的有关会议并召开与审计、监察事项有关的会议。
三、有权参与研究制定有关的规章制度和政策。
四、有权调阅各中心、各子公司经营管理和财务活动的有关书面、电子资料、文件以及现场勘查实物。
五、对于审计监察事项有关的问题有权向有关单位和个人进行调查,并取得证明材料,有关单位和个人必须予以配合。
六、对正在进行的严重违反出资者和公司规章、利益和严重浪费损失的行为,有权做出临时制止决定。
七、对拖延、推诿、阻挠、拒绝和破坏审计监察工作的,报经董事长同意后,有权采取封存账册和冻结资产的临时措施,并追究责任人和有关领导的责任。
八、有权提出纠正、处理违规行为的意见以及改进经营管理、提高经济效益的建议。
九、对违反董事会、公司规章制度和浪费损失、侵害公司利益的单位和人员,报经董事长同意后,有权进行通报批评和提出追究责任的建议。
十、董事长审查批准签发的审计报告,各有关单位和个人必须执行。
第四是建立科学、公正、公开的监控管理工作程序,使保障监控工作公正实施的前提,是对内控部门开展工作的标杆,是推动企业内部管理不断改进的基石。
一、编制年度、季度、月度监控管理工作计划,报董事长审批后执行。临时项目由董事长授权副董事长批准和实施。
二、审计监察前的准备工作。根据批准的监控管理计划和临时安排确定审计监察对象,制定审计监察方案,指定审计监察项目负责人和参加审计监察的人员名单,审计监察方案经董事长批准后,由审计监察负责人签发审计监察通知书,通知被审单位。被审单位应该准备和提供相关审计监察资料。
三、在审计监察过程中,审计监察人员必须编制审计监察工作底稿,作好审计监察记录和日志,收集审计监察证据,重要证据应有相关人员的签字确认。
四、审计监察终结阶段,应根据审计监察工作底稿对审计监察事项和结果提出审计监察报告。
五、审计监察报告报董事长审定。一般常规报告由副董事长签发审计监察决定并附审计监察报告副本发被审单位和有关部门执行。重要审计监察报告的决定有董事长签发。
六、审计监察决定下达后,运营监控管理中心应督促被审单位和有关部门执行。
七、被审单位应按照审计监察结论和决定,针对问题及时做出处理,处理结果应报告稽核部。如对审计监察结论和决定有异议,可在收到审计监察结论和决定十五日内向副董事长、董事长提出复议。在复议期间,原审计监察结论和决定照常执行。
2. 如何建立内控及风险管理体系
企业内控建设实务
--------------------------------------------------------------------------------
企业内控建设应当以经营的效率与效果为主导目标,以财务报告可靠、资产安全与经营合规为三个保障目标,在此基础上,建设实务将围绕内控组织的设置与内控建设的五要素展开。
(1)内部控制组织
组织是体系运行的基本保障。通常的内控组织包括董事会与经营层两个层面,强调内部控制的建设与实施是董事会的责任,并且下设审计(风险)管理专门委员会加强管理。此外,内控组织的设置特别强调经理层是企业内控建设的具体实施者与责任人,各经营管理部门按照职能归口进行内部控制的建设与实施。其中,是否设置专职的内控部门是企业界关注的焦点,通常的设置方式包括三种:
方式一:单独设置内控部门。优点是有利于提高内控建设的初期推动效率,缺点是内控部门与经营管理部门割裂,未能很好地体现内部控制责任与经营管理责任的融合。此方式在金融类企业普遍应用,对于实体经济体,通常不设置专职的内控部门。
方式二:由内部审计部门牵头负责内控工作。优点是待体系初建完成且运行平稳后,内部审计作为内控的监督部门,可以立足于公司整体牵头协调各部门定期进行内部控制的自我评价,并且持续完善内控体系的建设。缺点是国内企业内审部门往往人才匮乏,在内控建设的初期独立当此重任可能力不从心。
方式三:在内部控制建设集中期设立内部控制建设办公室,该办公室从各主要部门抽调人员专职从事内控体系建设工作,待体系正式运行时,办公室解散,人员归位到各经营管理部门,且牵头职能也归位至内审部门。此方式的优点是可以集中各部门力量完成内部控制的体系化建设,待体系平稳运行后,相关人员回到经营管理部门的骨干岗位上,有利于促进各经营部门对内部控制体系的理解,有利于内控与经营管理的融合。实践表明,对于管理基础弱的实体经济企业,采取方式三的内控推行效果较佳。
当然,组织的设置没有一定之规,企业应当依据自身的特点设置内部控组织,明确相关的管理责任。
(2)内部环境的诊断与完善
内部环境是企业内部控制建设与运行的载体,企业在建设内部控制机制时,首先要诊断与完善内部环境。一方面,内部环境的完善可以为控制活动的设计与运行奠定基础,另一方面,内部环境的诊断可以加强控制活动与内部环境的匹配性,有利于控制活动的顺畅运行。
通常,内部环境的诊断与完善包括六个方面的内容:治理结构、机构设置、权责分配、内部审计、人力资源政策、企业文化。其中,机构设置、权责分配与内部审计的定位三个方面必须先行完善,后续的控制活动设计与运行才会顺畅。治理结构、人力资源政策与企业文化三个方面,可以伴随控制活动的运行同步完善。
(3)动态的风险评估
风险评估是内部控制体系化建设的重要表现,是后续内控措施设计的重要依据。根据成本效益原则,企业应当针对评估的重要风险强化内部控制措施,有效降低风险。对于次要风险,企业应当简化控制活动与流程设计,承担相关的风险,体现经营的效率与效果为主导目标的内控建设理念。
风险评估包括风险辨识与风险评估两个阶段。在风险辨识阶段,企业应当围绕内部控制目标识别影响目标实现的不确定性因素,辨别企业风险并进行分类,形成企业的风险管理库。通常,企业的风险可以划分为战略风险、市场风险、运营风险、财务风险与法律风险五类,并在此基础上进一步细分。在风险评估阶段,企业应当运用二维风险评估坐标图,从破坏性与发生频率两个维度评估风险,并将风险点界定为重大风险、中风险与低风险。企业应当依据行业特点与目标设置等确定风险评估的标准,评估标准应当注意定量与定性标准相结合。
在实务中我们强调,处于不同行业的企业,或是同一行业的不同企业,或是同一企业处于不同的发展阶段,其风险评估结果各不相同。为此,企业应当至少每年评估一次风险,及时发现新环境、新业务带来的新风险,动态地调整风险评估结果,进而动态地调整控制活动规范,让原本静止的内控制度动起来,始终踏上企业发展的节奏。
(4)控制活动的设计
控制活动是内控体系实施的核心要素,企业在规范控制活动的过程中,应当形成内部控制政策与程序手册(下简称内控手册)。
企业在设计控制活动时,应当树立与经营管理活动相融合的设计理念,首先界定企业的控制活动循环,然后将内部控制措施嵌入控制活动中,完善经营管理活动的制度流程设计,形成企业的内控手册。内控手册分模块设计,每一模块一般包括五个方面的内容:
第一,管理目标。围绕内部控制的目标,企业在设计内控手册时,首先应当明确控制活动的管理目标。例如采购付款循环,其管理目标应当包括保障物资供应、提高采购效率、降低资金占用、控制采购成本、保证核算准确等。
第二,管理机构及职责。该部分将控制活动涉及的组织及职责清晰界定,以确保后续流程运行的顺畅性。
第三,授权审批矩阵。该部分应当明确控制活动涉及的所有权限在董事会、经理层与各职能部门间的划分,并且明确各级审批责任。
第四,控制活动要求。该部分一般以制度文本的形式书写,明确控制活动各控制环节的内控要求,作为相关经营管理流程设计的基础。
第五,比照上述几部分,各经营管理部门应当重新梳理与完善业务流程,针对关键风险点强化控制措施,确保组织职责、授权审批、内控要求落实到经营流程中,保证管理目标的实现。
在内控手册的设计过程中,特别强调与企业现有的经营管理活动相融合的设计理念,切忌脱离原有制度流程设计孤立的内控手册,以避免实务中业务部门仍参照原有流程、内控手册则束之高搁的现象。
(5)信息与沟通贯穿始终
信息与沟通是指在内控建设中,保证在恰当的时机让恰当的岗位获取适当的信息。信息与沟通的设计应当贯穿于内部环境、风险评估与控制活动的始终,例如风险评估报告的报告程序,控制活动中的控制文档设计,都体现了信息与沟通要素的建立与健全。
(6)内部监督手段。
内部监督置于五要素之末,是内控管理闭环的体现。为此,内部监督也可以视为五要素之首,是内部环境、风险评估、控制活动、信息与沟通要素持续完善的基础。内部监督手段包括风险预警、内部评价与绩效考核,三者缺一不可。
风险预警是较新的管理工具,通过预警指标的报告与跟踪,可以突破企业传统的内部审计在时间与空间上的限制,运用现代企业高效的信息集合手段,帮助管理层从浩如烟海的数据中提炼关键信息,捕捉企业易于忽略或是下级管理者企图隐瞒的临界数据,及时发现并采取措施防范风险。风险预警系统的设计包括选择指标项、设定临界值、跟踪分析报告与修正临界数据四项工作。企业应当结合自身的行业特点与管理重点设定风险预警指标,并且逐步积累临界值。
内部控制的自我评价是基本规范的要求,也是管理审计的重要组成部分。内部评价手段完善的关键是建立评价标准与评价流程,明确内控缺陷的认定标准,规范评价报告。
此外,绩效考核强调将内部控制建设与运行的有效性纳入企业的绩效考核, 以促进内控体系的实施。
3. 企业内部控制与风险管理的问题与误区
内部控制和风险管理建设中的误区或问题
我国参照利用美国 COSO 的内部控制和风险管理框架并结合具体国情,制定了一系列内部控制和风险管理制度及规范,为企业内部控制和风险管理提供了行动指南,但在理论认识和实际操作中,还有
不少问题值得我们思考。
2.1把内部控制和风险管理体系建设简单地理解为立章建制
实际上,内部控制和风险管理并不仅仅是一种规章制度,如文件法规、技术规范和应用模型等,也不是额外单独的控制活动,如信息交流、评审监督和风险评估等,所以不能把内部控制和风险管理看作一种静态的东西,而应把它们内置于企业的日常管理活动之中,形成一种常规的管理和运行机制。可以说,内部控制和风险管理既是一种制度安排、也是一种管理过程,更是一种自律行为。
2.2认为内部控制和风险管理是相互独立的
虽然内部控制和风险管理的内涵有很多重合之处,如要素很多相同、方法很多相似,但内部控制和风险管理的具体运用需要根据企业自身的特点、发展阶段、行业特性、技术条件、外部环境等要求来执行。比如,某企业生产医疗设备或药品,因为涉及到人的生命健康问题,而且政府管制非常严格,风险管理的迫切性相对较强,此时企业以风险管理来主导内部控制比较合适;如果某企业是为了使自己的财务报告及信息披露合法,此时企业当然以内部控制为主导、同时兼顾风险管理更为合理。
2.3过分夸大了内部控制和风险管理的作用
不管是内部控制还是风险管理,它们都是企业的管理活动,无论它们的方法多么先进、系统多么完善,都只能为企业向目标迈进提供相对合理而非绝对的保证。尤其当企业的品性、信仰、能力、责任等出现缺失时,决不能把企业的成功寄望于内部控制和风险管理上。
2.4理论与实际脱节
风险管理理念是从西方国家引进的,与我国传统的理论观点和制度建设存在很多差异或差距,使得企业管理人员很难把这些概念和框架融入到日常的管理活动之中,语言和行为之间很难建立直接的联系,只有理论说教,缺少实际行动。
2.5制度执行不力
制度的关键在于执行,没有执行或执行力度不够,再先进的制度也不起作用。影响内部控制和风险管理执行力度的因素很多,其中,企业组织结构不合理、执行人员素质偏低、企业文化落后、资源配置不当是主要因素;制度本身的局限性及制度与制度之间的不协调性也给内部控制和风险管理的执行带来困难。内部控制针对的是“事”而不是“人”,是一种“非人格”的控制机制,其控制对象不限于受控方,施控方也是内部控制的控制对象。内部控制需要全员参与、平行参与和平等参与,这与我国传统的等级制、科层制是大不相同的。
4. 如何建立风险与内控管理体系
仅供参考
一、基础概念篇
在这里,你将熟悉,内控体系具体是什么,建立内控体系需要解决的误区以及流程体系建立的作业流程。
1、内控体系建设涵盖哪些东西,主要内容是什么?
国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系,所以他的具体内容与外资企业的sox404体系差不多。一般整个内控体系涵盖的内容含如下几个内控手册,风险数据库,内控评价手册。
内控手册为每个作业流程的描述,内容含流程描述、流程图、授权说明、岗位职责分离说明。
风险数据库可能导致风险的现象描述的汇总。风险指导致公司资产不安全,作业不合规合法,运营效率效益低下,财务报表数据不真实等。
内控评价手册具体含三部分,第一部分检查制度设计合理或者文档的齐全性,第二部分检查控制过程,第三部分检查会计帐务处理控制。
2、内控体系与ISO质量体系有什么区别和联系?
目的不同:内控体系是以会计报告为主要目的,而ISO质量体系是以产品质量为主。
控制活动不同:在现阶段18个指引来看,内控体系缺少对生产过程控制;而ISO质量体系则以产品质量为主,涵盖产供销价值链,但是缺少会计系统控制。
涉及部门不同:在ISO体系内不存在财务部门,以研发、生产、采购、销售部门为主;内控体系几乎涵盖公司各部门,因为有句话说得好,只要是企业在运作的,其最后的运作成果就是财务数值。
3、内控体系的控制活动的业务流程如何划分,如何做到将各业务流程进行涵盖?
最简单的第一步就是拿到组织架构图,之后看到是否是以事业部为编制的,则是事业部的名称作为一级流程,事业部下属的部门分为二级流程,如果下属的部门涵盖多个职能则划分为三级流程。如销售事业部,则销售循环作为一级流程,下属的商务部负责订单处理的则作为订单处理作为二级流程。如商务部有两个功能除了订单处理还涉及到销售货品的备货计划制定。则订单处理作为二级流程,订单处理和备货计划制定作为三级流程。
4、 单个作业流程具体怎么描述,怎么将业务流程所涵盖的信息进行归纳处理?
作业流程就是描述一个为达到特定的价值目标而由不同的人分别共同完成的一系列活动。一个完整的作业流程应该包含6项内容,具体如下:
流程控制人:参与到作业流程中的人,具体描述的时候应注意该控制人所涉及的部门及岗位具体名称。
控制频率:作业的时间间隔控制。
控制活动:流程是如何作业的。
控制痕迹:作业完成后形成的书面痕迹
控制方式:系统控制还是人工控制。
异常控制:授权体系外的作业流程是如何控制的。
举例如下:描述超市客服处对会员积点兑换控制流程,之前描述了一个出纳盘点流程,大家都熟悉,这次描述复杂点的。
流程控制人:售后服务部的客服专员,客服主官
控制频率: 客户不定期来兑换会员积分。
控制活动: 客服专员根据会员要求兑换相应的赠品,同时在xxx系统内扣除积分,并在XX赠品台帐内要求客户签字。
控制痕迹: 形成扣完积分的积分表和留有客户签字的赠品台帐。
控制方式: 兑换的系统积分由XX系统内扣除。
异常控制: 积分不够,如客户要求加钱补足积分,则客户专员需得到客服主管的口头授权,在收取钱款后并在赠品台帐做书面说明。
总的一句话:客户不定期对积分进行兑换,提出兑换的物品,售后服务部的客服专员在XXX系统内扣除积分,同时手工登记赠品台帐,在客户签字的情况下,将赠品进行赠送。如积分不够,如客户要求加钱补足积分,则客户专员需得到客服主管的口头授权,在收取钱款后并在赠品台帐做书面说明。当天营业结束前,客服主管需要对赠品台帐和积分兑换系统进行核对。
5、内控体系建立的流程是怎么样的?
大致的作业流程是这样的:
(1)
组织架构:先建立内控小组,为了使内控体系得到有效落实和贯彻,所以内控小组的组长最好是总经理或者董事长。主要的作业人员最好是公司的内审部门或者新建的内控部或者风险管理部,如果没有此类部门则最好选一名懂财务的,如财务主管,另外加一名懂业务的作为内控小组的主要作业成员,最好另外辅助2-3名人员。
(2)
业务运作:总经理或者董事长开内控项目启动会,同时主要成员讲述内控系统的作业和具体要求。会议结束后,内控小组给各部门提交部门的制度,内控小组完成制度的对标和梳理工作。各职能部门限期内提交流程。内控小组根据内控指引对现有的作业流程的描述进行评价,同时开展小组会议对各职能部门未设置的流程及有缺欠的流程进行优化重组。内控小组根据谈论完毕的各流程进行内控手册的编制和流程图的绘制,最后形成内控手册。由总经理授权下发。
(3)
内控小组等类似部门不定期进行内控评价,并根据各职能部门的变化对内控手册进行优化等。
6、如果业务部比较忙,无法绘制作业流程,那访谈怎么做?
首先编制访谈计划,需要提供给部门接收访谈的人员一个访谈提纲。
访谈一般安排2个人,1人访谈,1人记录。记录人不要求将每句话记下来,只要将讨论的主题,以及讨论的结果记录下来即可。
访谈的时候,先讲明不是来指责部门的作业流程的缺失,而是主要是完善和建立内控体系。访谈的问题主要围绕作业流程进行,而不是扯淡的问,风险在哪里,自己说。
7、流程图怎么绘制,采用什么软件?
一般选择微软的visio绘图软件或者smart draw 绘图软件,这两者的区别是visio看上去比较正规,而smart draw 比较好看。
8、作业现场是否需要绘制流程图?
最好绘制流程图,因为在描述整个流程的时候,如果不绘制流程图,可能看不到什么遗漏。最好访谈完毕,直接将流程图绘制,之后与业务部门进行核对。
9、如何完成制度对表的工作?
制度对表的工作一般可以在进场后的或者访谈结束后,当场完成对制度的评价。制度的评价主要的风险点为:流程描述不清楚或者缺失,岗位职责人或者控制部门不明确,岗位职责未分离,异常流程未描述,控制痕迹或者流程的表单未明确,控制频率未明确,未体现控制方式。(即未描述存在手工或者系统控制。)
10、如何完成风险点的汇总
现场的风险点的汇总,不是访谈人说什么风险就是风险点。而是根据访谈人提供的风险点提示,内控人员通过系统或者会计凭证等书面资料核实完毕之后再归纳汇总至风险点。而且在完成风险点之后最好与被访谈人员再次作风险点确认。
11、如何完成风险点的报告?
风险报告主要是对现有的流程的分析,所以可以按照事业部,之后将事业部涉及的流程综述,之后对各流程进行评价。而不是一堆风险点的堆砌。看上去100-200张ppt但是看得头晕。而且汇报结束老板对你不爽。
12、内控检查与内审的区别和联系在哪里?
内控检查的主要目的是建立和明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。所以内控主要是流程稽核,主要的作业模式就是控制点有没有建立。
内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段,核实业务事项是否真实合理。
简单的说,就是。内控是检查你吃饭的顺序,如先吃菜再吃饭或者先吃饭再吃菜。内审就是检查吃法好不好,对于胖人吃大量的肥肉,可以建议减少摄入量。
二、体系建立篇
在这里,你将熟悉每个控制活动所涉及的每个流程应该做的内控要点以及关键控制点的描述。由于涉及的内容较多,我这里简单的作一个销售模块的内控体系建立,其他模块的建立可在模仿的情况下,分别建立。
1、销售模式的确认
一般销售的模式分如下几种,正常销售、国际贸易、团购,涉及到酒类或者其他制造业会涉及到品牌销售模式。
这里解释一下品牌销售模式,即允许被授权商生产与自己相同的产品,贴自己的商标和品牌,收取品牌或者商标费的一种作业模式。
2、正常销售的流程划分
由于正常销售可划分为单次销售或者通过订货会或者其他模式先签订框架合同这种销售模式进行作业。其实这提到的可以将其作为一场流程进行控制。
一级流程:为销售流程。
二级流程:可以划分为销售定价、信用管理、合同签订、订单处理、备货处理、发货签收、收款入账处理、开票管理、应收款管理等。
三级流程:
其中销售定价流程可以划分为年度销售定价流程、中期价格变更或者临时价格变更流程。其中如果是系统控制,则需要明确哪个部门的什么岗位在系统中进行价格的录入和变更,最后由谁来审核。
信用管理流程可以划分为客户准入评价流程,不定期评价流程及信用变更流程。由于这一块基本上很少有客户在进行作业或者处理,所以在调研流程的时候,可能客户不会提供该流程,所以在编制内控手册的时候,需要做好与客户的随时沟通。
合同签订流程可以划分为合同起草、审核、盖章和保管作业流程。
订单处理流程可以划分为正常订单处理流程,订单取消流程和逾期未处理订单流程等。
备货处理流程可以划分为下发货通知单、物品调配流程和物品调配不足流程。
发货签收流程可以划分为发货单制定流程、物流选择流程、出库审核流程和客户收货签收流程。
收款入账流程。
发票开具流程含客户提交增值税资质流程和开票流程。
应收款流程含应收款催收流程、逾期坏账准备计提流程、坏账冲销流程。
如果调研或者访谈的时候将上述流程调研清楚,同时在内控手册中描述清楚,那么销售模块基本上就完成了
5. 怎样做企业内部控制体系建设
企业内部控制体系建设应从以下五方面进行建设:
一、战略制定
作为内控管理的第一站,内控战略规划的重要地位在于其对以后实施内控系统建设的所有方面的影响。合理的战略规划可以使企业的内控管理效率大幅度提高,确保企业的治理水平迅速达到所有者和管理层的预期目标。
二、机构设置
内控机构设置的主要工作包括:确定机构名称、层级、汇报对象、专业人员的具体名称、工作岗位设置、工作内容确定、人员选拔和素质要求、工作的具体原则等。以下将主要讨论组织机构的设置、内控工作的具体内容和岗位确定。
三、系统培训
任何企业在推行某个新的管理方法前,最大的问题就是如何快速、有效地转变人们已经习惯了的各种传统工作方法和思路。由于采用现代企业内控管理的具体操作方法将直接影响到企业现有的权力结构,这就意味着会遇到巨大的阻力。
为此,企业内控管理人员必须要对所有相关利益者进行系统的内控培训,在系统运行之前,把阻力减到最小。培训的内容主要有:编制培训资料、确定培训计划以及实施培训。
四、作业实施
严格地说,自从企业策划内控战略开始,就可以看作是进入了内控作业的实施阶段,这里指的是具体实施内控作业阶段。内控作业的内容主要包括:
1、制定企业内控管理程序,或者运营管理程序
2、评估检查企业的授权管理系统
3、潜在利益冲突调查
4、编制年度内控审计指导,实施内控审计
5、组织风险评估
6、内控问题调查(ICRQ)
7、舞弊案件调查
8、评价考核内控工作
9、参加公司董事会会议,对下属企业总经理、财务总监在执行内控政策和遵循授权管理方面的情况提出奖惩建议
10、组织保险业务
11、培训企业高级管理人员
12、内控工作报告
五、检查评估
根据内控五要素的解释,检查和评估是内控框架体系的一部分。这里的检查评估除了日常对企业各个业务操作的检查评估外,也包括对正在实施的内控系统的检查评估。内控部和外部审计师(也包括将来社会上成立的独立的内控体系评估机构)将构成检查评估的主体。
(5)内控制度建设和风险管理情况扩展阅读
企业内部控制体系建设的对象是财务总监及其他相关的高级管理人员、负责内部控制和内部审计部门的经理、主管和其他管理人员以及财务与其他职能部门的经理和管理人员