内控体系设计

1. 如何建立内部控制体系

一、基础概念篇
在这里，你将熟悉，内控体系具体是什么，建立内控体系需要解决的误区以及流程体系建立的作业流程。

1、
内控体系建设涵盖哪些东西，主要内容是什么？
国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系，所以他的具体内容与外资企业的sox404体系差不多。一般整个内控体系涵盖的内容含如下几个内控手册，风险数据库，内控评价手册。
内控手册为每个作业流程的描述，内容含流程描述、流程图、授权说明、岗位职责分离说明。
风险数据库可能导致风险的现象描述的汇总。风险指导致公司资产不安全，作业不合规合法，运营效率效益低下，财务报表数据不真实等。
内控评价手册具体含三部分，第一部分检查制度设计合理或者文档的齐全性，第二部分检查控制过程，第三部分检查会计帐务处理控制。

2、
内控体系与ISO质量体系有什么区别和联系？
目的不同：内控体系是以会计报告为主要目的，而ISO质量体系是以产品质量为主。
控制活动不同：在现阶段18个指引来看，内控体系缺少对生产过程控制；而ISO质量体系则以产品质量为主，涵盖产供销价值链，但是缺少会计系统控制。
涉及部门不同：在ISO体系内不存在财务部门，以研发、生产、采购、销售部门为主；内控体系几乎涵盖公司各部门，因为有句话说得好，只要是企业在运作的，其最后的运作成果就是财务数值。

3、内控体系的控制活动的业务流程如何划分，如何做到将各业务流程进行涵盖？

最简单的第一步就是拿到组织架构图，之后看到是否是以事业部为编制的，则是事业部的名称作为一级流程，事业部下属的部门分为二级流程，如果下属的部门涵盖多个职能则划分为三级流程。如销售事业部，则销售循环作为一级流程，下属的商务部负责订单处理的则作为订单处理作为二级流程。如商务部有两个功能除了订单处理还涉及到销售货品的备货计划制定。则订单处理作为二级流程，订单处理和备货计划制定作为三级流程。

4、 单个作业流程具体怎么描述，怎么将业务流程所涵盖的信息进行归纳处理？
作业流程就是描述一个为达到特定的价值目标而由不同的人分别共同完成的一系列活动。一个完整的作业流程应该包含6项内容，具体如下：
流程控制人：参与到作业流程中的人，具体描述的时候应注意该控制人所涉及的部门及岗位具体名称。
控制频率：作业的时间间隔控制。
控制活动：流程是如何作业的。
控制痕迹：作业完成后形成的书面痕迹
控制方式：系统控制还是人工控制。
异常控制：授权体系外的作业流程是如何控制的。
举例如下：描述超市客服处对会员积点兑换控制流程，之前描述了一个出纳盘点流程，大家都熟悉，这次描述复杂点的。
流程控制人：售后服务部的客服专员，客服主官
控制频率： 客户不定期来兑换会员积分。
控制活动： 客服专员根据会员要求兑换相应的赠品，同时在xxx系统内扣除积分，并在XX赠品台帐内要求客户签字。
控制痕迹： 形成扣完积分的积分表和留有客户签字的赠品台帐。
控制方式： 兑换的系统积分由XX系统内扣除。
异常控制： 积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。
总的一句话：客户不定期对积分进行兑换，提出兑换的物品，售后服务部的客服专员在XXX系统内扣除积分，同时手工登记赠品台帐，在客户签字的情况下，将赠品进行赠送。如积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。当天营业结束前，客服主管需要对赠品台帐和积分兑换系统进行核对。

5、内控体系建立的流程是怎么样的？
大致的作业流程是这样的：
（1）
组织架构：先建立内控小组，为了使内控体系得到有效落实和贯彻，所以内控小组的组长最好是总经理或者董事长。主要的作业人员最好是公司的内审部门或者新建的内控部或者风险管理部，如果没有此类部门则最好选一名懂财务的，如财务主管，另外加一名懂业务的作为内控小组的主要作业成员，最好另外辅助2-3名人员。
（2）
业务运作：总经理或者董事长开内控项目启动会，同时主要成员讲述内控系统的作业和具体要求。会议结束后，内控小组给各部门提交部门的制度，内控小组完成制度的对标和梳理工作。各职能部门限期内提交流程。内控小组根据内控指引对现有的作业流程的描述进行评价，同时开展小组会议对各职能部门未设置的流程及有缺欠的流程进行优化重组。内控小组根据谈论完毕的各流程进行内控手册的编制和流程图的绘制，最后形成内控手册。由总经理授权下发。
（3）
内控小组等类似部门不定期进行内控评价，并根据各职能部门的变化对内控手册进行优化等。

6、如果业务部比较忙，无法绘制作业流程，那访谈怎么做？
首先编制访谈计划，需要提供给部门接收访谈的人员一个访谈提纲。
访谈一般安排2个人，1人访谈，1人记录。记录人不要求将每句话记下来，只要将讨论的主题，以及讨论的结果记录下来即可。
访谈的时候，先讲明不是来指责部门的作业流程的缺失，而是主要是完善和建立内控体系。访谈的问题主要围绕作业流程进行，而不是扯淡的问，风险在哪里，自己说。

7、流程图怎么绘制，采用什么软件？
一般选择微软的visio绘图软件或者smart draw 绘图软件，这两者的区别是visio看上去比较正规，而smart draw 比较好看。

8、作业现场是否需要绘制流程图？
最好绘制流程图，因为在描述整个流程的时候，如果不绘制流程图，可能看不到什么遗漏。最好访谈完毕，直接将流程图绘制，之后与业务部门进行核对。

9、如何完成制度对表的工作？
制度对表的工作一般可以在进场后的或者访谈结束后，当场完成对制度的评价。制度的评价主要的风险点为：流程描述不清楚或者缺失，岗位职责人或者控制部门不明确，岗位职责未分离，异常流程未描述，控制痕迹或者流程的表单未明确，控制频率未明确，未体现控制方式。（即未描述存在手工或者系统控制。）

10、如何完成风险点的汇总
现场的风险点的汇总，不是访谈人说什么风险就是风险点。而是根据访谈人提供的风险点提示，内控人员通过系统或者会计凭证等书面资料核实完毕之后再归纳汇总至风险点。而且在完成风险点之后最好与被访谈人员再次作风险点确认。

11、如何完成风险点的报告？
风险报告主要是对现有的流程的分析，所以可以按照事业部，之后将事业部涉及的流程综述，之后对各流程进行评价。而不是一堆风险点的堆砌。看上去100-200张ppt但是看得头晕。而且汇报结束老板对你不爽。

12、内控检查与内审的区别和联系在哪里？
内控检查的主要目的是建立和明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。所以内控主要是流程稽核，主要的作业模式就是控制点有没有建立。
内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段，核实业务事项是否真实合理。
简单的说，就是。内控是检查你吃饭的顺序，如先吃菜再吃饭或者先吃饭再吃菜。内审就是检查吃法好不好，对于胖人吃大量的肥肉，可以建议减少摄入量。

二、体系建立篇
在这里，你将熟悉每个控制活动所涉及的每个流程应该做的内控要点以及关键控制点的描述。由于涉及的内容较多，我这里简单的作一个销售模块的内控体系建立，其他模块的建立可在模仿的情况下，分别建立。

1、销售模式的确认
一般销售的模式分如下几种，正常销售、国际贸易、团购，涉及到酒类或者其他制造业会涉及到品牌销售模式。
这里解释一下品牌销售模式，即允许被授权商生产与自己相同的产品，贴自己的商标和品牌，收取品牌或者商标费的一种作业模式。

2、正常销售的流程划分
由于正常销售可划分为单次销售或者通过订货会或者其他模式先签订框架合同这种销售模式进行作业。其实这提到的可以将其作为一场流程进行控制。
一级流程：为销售流程。
二级流程：可以划分为销售定价、信用管理、合同签订、订单处理、备货处理、发货签收、收款入账处理、开票管理、应收款管理等。
三级流程：
其中销售定价流程可以划分为年度销售定价流程、中期价格变更或者临时价格变更流程。其中如果是系统控制，则需要明确哪个部门的什么岗位在系统中进行价格的录入和变更，最后由谁来审核。
信用管理流程可以划分为客户准入评价流程，不定期评价流程及信用变更流程。由于这一块基本上很少有客户在进行作业或者处理，所以在调研流程的时候，可能客户不会提供该流程，所以在编制内控手册的时候，需要做好与客户的随时沟通。
合同签订流程可以划分为合同起草、审核、盖章和保管作业流程。
订单处理流程可以划分为正常订单处理流程，订单取消流程和逾期未处理订单流程等。
备货处理流程可以划分为下发货通知单、物品调配流程和物品调配不足流程。
发货签收流程可以划分为发货单制定流程、物流选择流程、出库审核流程和客户收货签收流程。
收款入账流程。
发票开具流程含客户提交增值税资质流程和开票流程。
应收款流程含应收款催收流程、逾期坏账准备计提流程、坏账冲销流程。

如果调研或者访谈的时候将上述流程调研清楚，同时在内控手册中描述清楚，那么销售模块基本上就完成了

2. 怎样做企业内部控制体系建设

企业内部控制体系建设应从以下五方面进行建设：

一、战略制定

作为内控管理的第一站，内控战略规划的重要地位在于其对以后实施内控系统建设的所有方面的影响。合理的战略规划可以使企业的内控管理效率大幅度提高，确保企业的治理水平迅速达到所有者和管理层的预期目标。

二、机构设置

内控机构设置的主要工作包括：确定机构名称、层级、汇报对象、专业人员的具体名称、工作岗位设置、工作内容确定、人员选拔和素质要求、工作的具体原则等。以下将主要讨论组织机构的设置、内控工作的具体内容和岗位确定。

三、系统培训

任何企业在推行某个新的管理方法前，最大的问题就是如何快速、有效地转变人们已经习惯了的各种传统工作方法和思路。由于采用现代企业内控管理的具体操作方法将直接影响到企业现有的权力结构，这就意味着会遇到巨大的阻力。

为此，企业内控管理人员必须要对所有相关利益者进行系统的内控培训，在系统运行之前，把阻力减到最小。培训的内容主要有：编制培训资料、确定培训计划以及实施培训。

四、作业实施

严格地说，自从企业策划内控战略开始，就可以看作是进入了内控作业的实施阶段，这里指的是具体实施内控作业阶段。内控作业的内容主要包括：

1、制定企业内控管理程序，或者运营管理程序

2、评估检查企业的授权管理系统

3、潜在利益冲突调查

4、编制年度内控审计指导，实施内控审计

5、组织风险评估

6、内控问题调查（ICRQ）

7、舞弊案件调查

8、评价考核内控工作

9、参加公司董事会会议，对下属企业总经理、财务总监在执行内控政策和遵循授权管理方面的情况提出奖惩建议

10、组织保险业务

11、培训企业高级管理人员

12、内控工作报告

五、检查评估

根据内控五要素的解释，检查和评估是内控框架体系的一部分。这里的检查评估除了日常对企业各个业务操作的检查评估外，也包括对正在实施的内控系统的检查评估。内控部和外部审计师（也包括将来社会上成立的独立的内控体系评估机构）将构成检查评估的主体。

(2)内控体系设计扩展阅读

企业内部控制体系建设的对象是财务总监及其他相关的高级管理人员、负责内部控制和内部审计部门的经理、主管和其他管理人员以及财务与其他职能部门的经理和管理人员

3. 内控体系到底怎么建

呵呵，这方面华彩咨询集团比较权威，他们有400多家大型企业集团的案例背景，回他们的网站不能复制，我答使用源代码过来的，加点分给偶吧！～哇嘎嘎！～！～
华彩内控体系的构筑逻辑是<br />
第一层次:基于管控体系,构筑母公司层面内控体系(主要是母公司战略定位和母公司自身运作,以及母公司出资人职能履行三个部分)<br />
第二层次:子公司管控内控体系(母公司对子公司的治理,以及子公司战略与运作等子公司的十四个管控子体系)<br />
第三层次,母公司对子公司内控体系的管理,监督与优化体系<
在构筑各个层次内控体系时,华彩会使用五步法的内控体系基本逻辑做为方法论,但按照这五个步骤来做,就既不具备操作性,又过于为内控而内控,根本没有照顾到集团运作的独有问题,而且没能从各个职能部门和功能的立场上来做内控体系,导致各个部门的参与深度和对内控思想的理解程度不够.<br />
华彩认为内控体系的建立必须强化母公司控制力,驱除子公司内部人控制和信息不对称,母公司必须通过内控体系的建立为母公司的董事,监事,以及其他派出管理者打造一个监督制度监督子公司运作的平台.

4. 内部控制制度设计怎么写

关于内部控制制度设计与完善

企业内部控制制度是企业管理制度办法的集合，是管理控制措施的综合体现，是管理者实现控制目标的重要手段。因此，设计一个基础好、结构佳、适用强、易操作的内部控制制度体系，需要做大量工作，而随着客观情况和管理控制手段的不断变化，对管理控制内容也需要不断加以补充、修订和完善。因而在对内部控制制度设计与完善的过程中，应务必注意以下问题。
1.体例设计应能满足修改完善的需要

内部控制制度体例是内部控制制度的基础和骨架，如果考虑不周、设计不好，会有可能因某种变动或修改而对整个制度体例伤筋动骨，以致耗费大量人力物力去解决。非特殊情况和特殊需要，内部控制制度的体例是不需要做重大调整的。因此，对体例设计就应充分考虑它今后能适应不断修改完善的需要。比如，根据管理需要增补或删除一些业务流程、控制步骤或控制点，调整某些控制方法，完善某种控制手段等等。仅以内部控制制度条目的编号排序为例，体例设计中运用诸如1.1、1.2、2.1、2.2……等排序方法，就可较好地解决对业务流程、控制步骤和控制点随时进行增补、修改或删除的需要。另外，在文字描述方面，凡属普遍适用的内容，如基本原则、要求，一般规定、方法，尽可能在制度大纲中描述，而不宜在业务流程中描述。对可能或必然会发生变化的方法及运作要求等，可以在文体大纲中采用指向的方法加以明确，如“参见某某方法”、“执行某某规定”、“另行制定”等。对内部控制制度体例设计作上述考虑，无外乎是确保制度整体结构在一定时期的基本稳定，以适应不断修订和完善的情况。

2.流程设计应与企业控制目标相适应

针对控制目标，业务流程可以有多种设计思路和方法，如：按会计科目设计，按经济业务类型设计，按经营单位或管理部门设计等。按会计科目设计，是以会计科目为基础，根据经济业务事项对会计行为等进行控制；按经济业务类型设计，是以经济事项为基础，结合管理部门和管理行为对经济事项进行控制；按经营单位或管理部门设计，是以管理控制主体为基础，结合经济事项和管理行为对单位或管理部门进行控制。无论按照哪一种思路和方法设计业务流程，都有其无法回避的缺陷，都有交叉或重复的内容，需要设计者根据企业实际情况，结合控制目标，进行比对权衡。在上述三种模式下，可以单一模式进行设计，也可以两种以上相结合的模式进行设计。这里需要说明的是，无论采用哪种模式，都应对交叉或重复的内容作适当调整，否则会在检查评价过程出现重复计分或重复扣分的情况，这样也会影响评价结果的客观性。

这里有两点还需提及，一是在进行流程设计前应对企业现有经济业务进行科学合理地分类、整合与提炼，避免因经济事项不同但控制过程和控制手段完全相同的业务重复设计流程，进而使业务流程显现出分类不清、杂乱无章的情况。二是在内部控制制度建立之初，由于经验和认知程度所限，以及经济业务未定型（如改革调整和业务变化）等原因影响，致使出现有些业务流程暂时还难以着手设计，或是虽然能够设计但难免有纰漏的情况，这正是对内部控制制度进行增补和完善而应努力去做和不断去做的工作。

3.控制步骤与控制点设计应关注重点

从严格意义上讲，每个业务流程就是一个业务链，这个业务链可能是自成一体的闭环，也可能与其他流程连接后形成闭环。在这条业务链上，按照管理行为属性可以分割成若干段即流程步骤，每个步骤又可以分割成若干执行点即控制点。若将控制步骤与控制点在一个流程中进行细分，可以分出很多，好比一个人从甲地步行到乙地，每一步都可以设为控制点并分出若干步骤一样，若不加分析地按照自然状况去设计，业务流程将会很冗长，点位过多则会使控制点分值普遍偏低或过小，重点不突出，同时给检查评价带来许多不必要的麻烦。因此，按照重要性原则，建议忽略那些既无关紧要、又无特殊要求的一般作业点，强化那些管理要求的重点、关键点和“拐点”，并将这些点进一步划分出关键控制点和一般控制点。同样按照重要性原则，在控制点分值设计上，赋予关键控制点以较高的分值，以突出和强化重点，进而引导执行者和管理者提高对控制重点的关注程度。这样做的目的，不仅可以使流程设计重点突出，也可以使业务流程设计和检查评价工作相对简化，提高检查评价工作的效率。

4.控制点设计应与控制点检查相结合

内部控制制度所规定的内容不是一成不变的，它将随着管理环境、管理条件和管理手段的变化而变化。内部控制制度对控制点的规定，有可能被实际控制中更加严格合理的要求打破，因此需要对制度规定的控制点进行修订或完善；相反，制度对控制点的规定是先进合理的，则实际控制方法必须遵循制度规定。制度规定的调整变化是绝对的，不变是相对的，这是制度规定与实际操作的辩证关系。从严格意义上讲，检查点设计应与制度规定的控制点一致，若制度设计本身尚暂时存在一定缺陷，对控制点的检查设计就不能拘泥于现行制度规定，而应根据管理实际进行设计，进而以此为基础对制度规定进行修订或完善，以使两者进一步相互一致。控制点设计与控制点检查是相互作用的关系，因此在控制点设计时注意结合控制点的检查。

控制点设计中一个很重要的方面，就是管理控制要件。从管理学的角度讲，有管理控制手段，就应有相适应的管理控制要件，管理控制要件是实现一定管理控制手段的有效载体，是充分必要条件。检查评价实际是根据经济业务事项针对管理控制要件及其关联情况进行检查评价，管理控制要件是内部控制制度设计以及检查评价的关键之所在。管理控制要件一般包括：经济业务事项的原始凭单，会计记录，工作台账，工作记录，执行文件，制度规定，会议纪要，处理依据，相关批件，合同协议，以及其他控制、约束与限定手段。

5.岗位不相容设计与控制权限的设定

岗位（职务）不相容与控制权限要求，是内部控制制度的精髓。内部控制就是强调对一项经济业务，不能由一个人或一个部门包办，必须要有牵制、制约和相互监督，以确保一项经济业务严格按照确定的流程全程贯通，实现管理者管理控制的目标。岗位（职务）不相容与控制权限设计，必须满足控制目标的需要，同时兼顾工作效率问题。在这两者中，满足管理控制要求是第一位的，万不可只因考虑工作效率，而削弱相互牵制和监督的作用。企业在岗位（职务）不相容设计中，可能会因为人员不足或定编所限难以设定，这里需要说明的是，对不相容岗位（职务）设计可以有几种方法，如：可以在同一层级的不同部门间设计，也可以在不同层级的不同部门间设计等，目的就是要做到不相容，做到相互牵制和相互监督。

对控制权限的设计，应遵循重要性原则并区分应承担的责任，在明确控制权限时，对于必须经由集体研究讨论的重大经济业务事项，必须经过集体研究讨论一致后才可审批；按照所承担的责任，对于必须由法定代表人或某一层级负责人审批或审定且不允许授权的事项，必须由法人代表或该层级负责人审批或审定；对于某些允许授权审批的重要事项，可以实行授权审批形式，但制度中必须明确不能因为被授权人的不同而将授权人的责任转移

5. 怎么构建内控体系

答：一般的内控体系的构筑逻辑是 1、 内部环境----构筑一个适合于内控的环境,从治理,战略,组织设计,商业模式等多个方面来使得公司在一个高的平台和起点上运行 2、 风险评估----找出各种类似问题,对每个问题可能出现的形式,存在的风险进行深入剖析. 3、 控制措施----针对问题进行控制措施的设置,包括支撑控制措施的组织保障,理念培训技术手段 4、 信息与沟通----从不断进行信息沟通,通过各种手段进行内控运行和评价来消除问题和知晓体系的现状 5、 监督检察----对内控体系的执行情况进行不断的监督检查,以及不断促进内控体系的优化 第一层次：基于管控体系,构筑母公司层面内控体系(主要是母公司战略定位和母公司自身运作,以及母公司出资人职能履行三个部分) 第二层次：子公司管控内控体系(母公司对子公司的治理,以及子公司战略与运作等子公司的十四个管控子体系) 第三层次：母公司对子公司内控体系的管理,监督与优化体系 在构筑各个层次内控体系时,华彩会使用五步法的内控体系基本逻辑做为方法论,但按照这五个步骤来做,就既不具备操作性,又过于为内控而内控,根本没有照顾到集团运作的独有问题,而且没能从各个职能部门和功能的立场上来做内控体系,导致各个部门的参与深度和对内控思想的理解程度不够. 华彩认为内控体系的建立必须强化母公司控制力,驱除子公司内部人控制和信息不对称,母公司必须通过内控体系的建立为母公司的董事,监事,以及其他派出管理者打造一个监督制度监督子公司运作的平台. 华彩内控体系是基于集团管控的,考虑到集团总部自身的内控并不是重点,而是各子公司的内控体系才是重点,但子公司有任期考核和经济指标做为硬约束,不会主动的去建设内控体系.因为内控在一定程度上降低了效率,所以不是子公司高层的战略性意图.顶多是母公司意志的反应. 所以,在很大程度上,内控应该是在母公司干预和引导下,母子公司一起进行的一个管理系统的再造工程.而且母公司始终行使外部监督检察推进者这一角色.

6. 内控体系的内控体系建设原则

一个企业在生存、发展的过程中，必定会面临各种各样的风险，如决策管理风险、政策法规风险、制度缺陷风险、流动性风险、市场风险、信用风险和操作风险等。在风险面前，企业并不是无能为力的，可以通过建立内控体系来防范和化解风险。内部控制体系的建设一直是国内外一些管理先驱公司的重点内容，对于集团全方位强化基础管理和提升管理水平都有积极的意义。如何从传统的复核、牵制等控制手段到以财务会计活动为中心的会计控制，再经内控整体框架理念而至目前的企业全面风险管理，都是现今集团企业最为关注的问题。
2002年美国因为安然事件出台了《萨班斯-奥克斯利法案》，而中国亦有五部委最新发布的《企业内部控制基本规范》及其配套指引，显然企业只有建立了行之有效的内部控制体系，才能获得稳定且持续的发展。在介绍企业全面风险管理体系框架和构建方法的基础上，列举大量生动案例，了解集团风险及内控管理体系的思想、流程、方法、工具和实施技能，识别潜在的风险，并针对潜在的风险研究对策。
全面风险管理体系与全面风险管控体系 风险管理体系和风险管控体系
全面风险管理体系的五大模块是一个经营循环
全面风险管理的五大步骤
宝钢集团风险管理实践 战略目标
运营目标
经营的效率、经营的效果
报告目标
财务的报告、非财务的报告
合法性目标
符合法律、符合法规、符合上级企业的规定
其他目标 外部因素包括经济、商业、自然环境、政治、社会和技术因素等
内部因素包括企业的基础设施、人员、生产过程和技术等事项。
事项识别
潜在的事项
企业事项识别的方法

7. 内部控制体系包括哪些内容

制定内控体包括的内容：职责分离、授权批准、相互制约、监督检查，企业建立与实施内控体系应当遵循的五项原则：全面性原则；重要性原则；制衡性原则；适应性原则；成本效益原则。

(7)内控体系设计扩展阅读：

企业的内控体系应当贯穿于企业经营活动的决策、执行和监督的各个阶段、各个层级，涵盖了营管企业每一项经理活动的过程始终，体现了内部控制的全面、全员、全过程控制的特性。

内部控制体系是为合理保证单位经营活动的效益性、财务报告的可靠性和法律法规的遵循性，而自行检查、制约和调整内部业务活动的自律系统。

参考资料：网络-内控体系

8. 如何贯彻内控体系建设

一、基础概念篇
在这里，你将熟悉，内控体系具体是什么，建立内控体系需要解决的误区以及流程体系建立的作业流程。
1、
内控体系建设涵盖哪些东西，主要内容是什么？
国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系，所以他的具体内容与外资企业的sox404体系差不多。一般整个内控体系涵盖的内容含如下几个内控手册，风险数据库，内控评价手册。
内控手册为每个作业流程的描述，内容含流程描述、流程图、授权说明、岗位职责分离说明。
风险数据库可能导致风险的现象描述的汇总。风险指导致公司资产不安全，作业不合规合法，运营效率效益低下，财务报表数据不真实等。
内控评价手册具体含三部分，第一部分检查制度设计合理或者文档的齐全性，第二部分检查控制过程，第三部分检查会计帐务处理控制。
2、
内控体系与ISO质量体系有什么区别和联系？
目的不同：内控体系是以会计报告为主要目的，而ISO质量体系是以产品质量为主。
控制活动不同：在现阶段18个指引来看，内控体系缺少对生产过程控制；而ISO质量体系则以产品质量为主，涵盖产供销价值链，但是缺少会计系统控制。
涉及部门不同：在ISO体系内不存在财务部门，以研发、生产、采购、销售部门为主；内控体系几乎涵盖公司各部门，因为有句话说得好，只要是企业在运作的，其最后的运作成果就是财务数值。
3、内控体系的控制活动的业务流程如何划分，如何做到将各业务流程进行涵盖？
最简单的第一步就是拿到组织架构图，之后看到是否是以事业部为编制的，则是事业部的名称作为一级流程，事业部下属的部门分为二级流程，如果下属的部门涵盖多个职能则划分为三级流程。如销售事业部，则销售循环作为一级流程，下属的商务部负责订单处理的则作为订单处理作为二级流程。如商务部有两个功能除了订单处理还涉及到销售货品的备货计划制定。则订单处理作为二级流程，订单处理和备货计划制定作为三级流程。
4、 单个作业流程具体怎么描述，怎么将业务流程所涵盖的信息进行归纳处理？
作业流程就是描述一个为达到特定的价值目标而由不同的人分别共同完成的一系列活动。一个完整的作业流程应该包含6项内容，具体如下：
流程控制人：参与到作业流程中的人，具体描述的时候应注意该控制人所涉及的部门及岗位具体名称。
控制频率：作业的时间间隔控制。
控制活动：流程是如何作业的。
控制痕迹：作业完成后形成的书面痕迹
控制方式：系统控制还是人工控制。
异常控制：授权体系外的作业流程是如何控制的。
举例如下：描述超市客服处对会员积点兑换控制流程，之前描述了一个出纳盘点流程，大家都熟悉，这次描述复杂点的。
流程控制人：售后服务部的客服专员，客服主官
控制频率： 客户不定期来兑换会员积分。
控制活动： 客服专员根据会员要求兑换相应的赠品，同时在xxx系统内扣除积分，并在XX赠品台帐内要求客户签字。
控制痕迹： 形成扣完积分的积分表和留有客户签字的赠品台帐。
控制方式： 兑换的系统积分由XX系统内扣除。
异常控制： 积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。
总的一句话：客户不定期对积分进行兑换，提出兑换的物品，售后服务部的客服专员在XXX系统内扣除积分，同时手工登记赠品台帐，在客户签字的情况下，将赠品进行赠送。如积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。当天营业结束前，客服主管需要对赠品台帐和积分兑换系统进行核对。
5、内控体系建立的流程是怎么样的？
大致的作业流程是这样的：
（1）
组织架构：先建立内控小组，为了使内控体系得到有效落实和贯彻，所以内控小组的组长最好是总经理或者董事长。主要的作业人员最好是公司的内审部门或者新建的内控部或者风险管理部，如果没有此类部门则最好选一名懂财务的，如财务主管，另外加一名懂业务的作为内控小组的主要作业成员，最好另外辅助2-3名人员。
（2）
业务运作：总经理或者董事长开内控项目启动会，同时主要成员讲述内控系统的作业和具体要求。会议结束后，内控小组给各部门提交部门的制度，内控小组完成制度的对标和梳理工作。各职能部门限期内提交流程。内控小组根据内控指引对现有的作业流程的描述进行评价，同时开展小组会议对各职能部门未设置的流程及有缺欠的流程进行优化重组。内控小组根据谈论完毕的各流程进行内控手册的编制和流程图的绘制，最后形成内控手册。由总经理授权下发。
（3）
内控小组等类似部门不定期进行内控评价，并根据各职能部门的变化对内控手册进行优化等。
6、如果业务部比较忙，无法绘制作业流程，那访谈怎么做？
首先编制访谈计划，需要提供给部门接收访谈的人员一个访谈提纲。
访谈一般安排2个人，1人访谈，1人记录。记录人不要求将每句话记下来，只要将讨论的主题，以及讨论的结果记录下来即可。
访谈的时候，先讲明不是来指责部门的作业流程的缺失，而是主要是完善和建立内控体系。访谈的问题主要围绕作业流程进行，而不是扯淡的问，风险在哪里，自己说。
7、流程图怎么绘制，采用什么软件？
一般选择微软的visio绘图软件或者smart draw 绘图软件，这两者的区别是visio看上去比较正规，而smart draw 比较好看。
8、作业现场是否需要绘制流程图？
最好绘制流程图，因为在描述整个流程的时候，如果不绘制流程图，可能看不到什么遗漏。最好访谈完毕，直接将流程图绘制，之后与业务部门进行核对。
9、如何完成制度对表的工作？
制度对表的工作一般可以在进场后的或者访谈结束后，当场完成对制度的评价。制度的评价主要的风险点为：流程描述不清楚或者缺失，岗位职责人或者控制部门不明确，岗位职责未分离，异常流程未描述，控制痕迹或者流程的表单未明确，控制频率未明确，未体现控制方式。（即未描述存在手工或者系统控制。）
10、如何完成风险点的汇总
现场的风险点的汇总，不是访谈人说什么风险就是风险点。而是根据访谈人提供的风险点提示，内控人员通过系统或者会计凭证等书面资料核实完毕之后再归纳汇总至风险点。而且在完成风险点之后最好与被访谈人员再次作风险点确认。
11、如何完成风险点的报告？
风险报告主要是对现有的流程的分析，所以可以按照事业部，之后将事业部涉及的流程综述，之后对各流程进行评价。而不是一堆风险点的堆砌。看上去100-200张ppt但是看得头晕。而且汇报结束老板对你不爽。
12、内控检查与内审的区别和联系在哪里？
内控检查的主要目的是建立和明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。所以内控主要是流程稽核，主要的作业模式就是控制点有没有建立。
内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段，核实业务事项是否真实合理。
简单的说，就是。内控是检查你吃饭的顺序，如先吃菜再吃饭或者先吃饭再吃菜。内审就是检查吃法好不好，对于胖人吃大量的肥肉，可以建议减少摄入量。
二、体系建立篇
在这里，你将熟悉每个控制活动所涉及的每个流程应该做的内控要点以及关键控制点的描述。由于涉及的内容较多，我这里简单的作一个销售模块的内控体系建立，其他模块的建立可在模仿的情况下，分别建立。
1、销售模式的确认
一般销售的模式分如下几种，正常销售、国际贸易、团购，涉及到酒类或者其他制造业会涉及到品牌销售模式。
这里解释一下品牌销售模式，即允许被授权商生产与自己相同的产品，贴自己的商标和品牌，收取品牌或者商标费的一种作业模式。
2、正常销售的流程划分
由于正常销售可划分为单次销售或者通过订货会或者其他模式先签订框架合同这种销售模式进行作业。其实这提到的可以将其作为一场流程进行控制。
一级流程：为销售流程。
二级流程：可以划分为销售定价、信用管理、合同签订、订单处理、备货处理、发货签收、收款入账处理、开票管理、应收款管理等。
三级流程：
其中销售定价流程可以划分为年度销售定价流程、中期价格变更或者临时价格变更流程。其中如果是系统控制，则需要明确哪个部门的什么岗位在系统中进行价格的录入和变更，最后由谁来审核。
信用管理流程可以划分为客户准入评价流程，不定期评价流程及信用变更流程。由于这一块基本上很少有客户在进行作业或者处理，所以在调研流程的时候，可能客户不会提供该流程，所以在编制内控手册的时候，需要做好与客户的随时沟通。
合同签订流程可以划分为合同起草、审核、盖章和保管作业流程。
订单处理流程可以划分为正常订单处理流程，订单取消流程和逾期未处理订单流程等。
备货处理流程可以划分为下发货通知单、物品调配流程和物品调配不足流程。
发货签收流程可以划分为发货单制定流程、物流选择流程、出库审核流程和客户收货签收流程。
收款入账流程。
发票开具流程含客户提交增值税资质流程和开票流程。
应收款流程含应收款催收流程、逾期坏账准备计提流程、坏账冲销流程。
如果调研或者访谈的时候将上述流程调研清楚，同时在内控手册中描述清楚，那么销售模块基本上就完成了

9. 如何构筑内控体系

所谓内控，即内部控制。
制度是围绕着子公司的经营和管理的效率性的一些动作。而内控是从保护出资人利益出发进行的若干制度性设计，它对子公司的效率是有一定的损害的.一个立体的内控体系有集团预算管理制度、集团财务管理制度、集团流程管理制度、集团人力资源管理制度、集团内一部审计制度、企业管理制度，所有的内控制度其实是经营制度之上的保险拴，事实上内控是母公司永不下班的董事监事，派出人员，是为我们母公司获得信息来服务的。
上市公司的内控人员都知道奥克斯利-萨班斯法案。