内控手册收集资料目录
⑴ 内控手册的更新有什么部门负责
一般是之前的内控项目小组进行更新:
更新分两中情况:
1、年度更新
2、组织架构、新业务更新
⑵ 公司内控手册分类标准怎么确定会更好
以流程进行分类,可参考台湾上市公司公开发行公司建立内部控制制度实施要点分类:
1.销售及收款
2.采购及付款
3.薪工
4.固定资产
5.....
⑶ 企业的内控手册都一样么,一个企业 内控手册可以在哪里找到
每个企业的内控制度框架是一样,但是内容会根据自己的情况制定不同的制度。
设计内控制度要对企业非常了解才行。
⑷ 什么是内控手册
1、 编制《内部控制手册》的背景
为规范江苏亨通光电股份有限公司(以下简称“股份公司”)的管理,贯彻《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》以及其他有关法律、法规,满足国内外资本市场对上市公司的监管要求,股份公司特制订《内部控制手册》,作为建立、执行、评价及验证内部控制的依据。
完整的内部控制体系和完善的内部控制制度,是约束、规范企业管理行为的准则,是减少风险的重大措施。实施内部控制可以及时发现和纠正各种错弊及不法行为,有利于保证资产安全、完整,保证经营成果与财务状况真实、可靠。其必要性表现为:
一是建立现代企业管理制度,完善法人治理结构,实现经营机制的转换,加强企业管理,提高企业经营业绩,改善企业财务状况。
二是贯彻我国有关法律法规,遵循财政部、证监会、审计署、银监会、保监会等五部委《企业内部控制基本规范》、《企业内部控制配套指引》,以及美国《萨班斯-奥克斯法案》等国内外资本市场监管需求,提高会计信息质量。
三是积极参与竞争、努力降低风险。随着市场竞争日趋激烈和信息技术高度发展,以及全球经济一体化的进程加速,股份公司所面临的风险也逐渐加大。建立健全有效的内部控制制度,是防范风险、提高经营效率和效果的重要措施。
四是建立统一规范的内部控制制度,使股份公司各项规章制度成为系统性、可操作性和包容性很强的内部管理制度,更为有效的体现股份公司管理理念。
2、 《内部控制手册》遵循的基本原则
一是合规性原则。合规性是指企业内部控制制度必须符合国家的法律、法规和政策;符合股份公司上市地证券监管机构有关上市公司的法律、法规和要求。
二是全面性和系统性原则。《内部控制手册》涉及股份公司经营活动的各个方面,其内部监督和控制贯穿于经营管理活动的全过程并涉及全体员工。股份公司的每一个员工既是内部控制的主体,又是内部控制的客体;既要对其负责的作业实施控制,又要受其他人员或制度的监督和制约。《内部控制手册》使股份公司内部各部门、各岗位形成较为系统的既互相制约又具有纵横交错关系的统一整体,确保各部门和各岗位均能按特定的目标相互协调的发挥作用,最终实现股份公司内部控制的总体目标。
三是内部牵制及不相容原则。内部牵制是指部门与部门、员工与员工以及各岗位之间所建立的互相验证、互相制约的关系,属于企业内部控制制度一个重要组成部分。其主要特征是将有关责任进行分配,使单独的一个人或一个部门对任何一项或多项经济业务活动没有完全的处理权,必须经过不相容的其他部门或人员的验证、核对和制约。
四是权责明确、奖惩结合原则。根据各部门和岗位的职能与性质,明确各部门及人员应承担的责任并赋予相应的权限,根据操作规则和处理程序,确定追究、查处责任的措施与奖惩办法等,使权有所属,利有所享,避免发生越权或互相推诿的现象。
五是成本效益原则。在内部控制活动中贯穿成本效益原则,就是要力争以最少的控制或最低管理成本获取最大的经济利益。要实行有选择的控制:要努力降低控制成本,尽量精简机构和人员,改进控制方法和手段,提高效率。
六是可操作性原则。《内部控制手册》必须符合股份公司实际,无论在业务流程控制点的设置,还是授权项目权限的确定,都要考虑实际管理工作中是否可行,保证其可操作性。
七是包容性原则。《内部控制手册》是依据股份公司现行各项管理制度,为控制风险而编制的一系列流程控制体系,内容涵盖投资、生产、经营、财务、监督检查等方方面面。《内部控制手册》力求避免与其他制度相矛盾,尽可能包容现有的各项制度,对确实有冲突的其他各项管理制度,应及时修改、完善,并以《内部控制手册》规定为准。
八是信息反馈原则。确定与控制工作有关的人员在信息传递中的任务与责任,规定信息的传递程序、收集方法和时间要求等事项,建立严密的纪录、报告等信息反馈系统。
3、 《内部控制手册》的适用范围
《内部控制手册》适用于股份公司及其下属公司(下属公司是指股份公司投资(控股)和托管公司)。股份公司投资(控股)和托管公司应当参照股份公司《内部控制手册》,结合自身特点,按照“业务必须覆盖股份公司《内部控制手册》中对应的所有规定内容,权限比照股份公司”的原则,制定内控手册,履行本公司审批程序后,报股份公司内控部备案。
4、 内部控制定义
内部控制是为了适应国内外证券机构监管要求,提高风险管理能力和经营管理要求,由股份公司董事会、管理层及其全体员工实施的,为经营活动的效率与效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。内部控制主要由内部环境、风险评估、控制活动、信息沟通及监督检查等五个要素构成:
内部环境是影响、制约内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置和权职分配、企业文化、人力资源、内部审计机制、反舞弊机制等。
风险评估是及时识别、科学分析和评估影响股份公司目标实现的各种不确定因素并制定应对策略的过程。风险评估主要包括风险识别、风险衡量、风险应对和风险报告。控制活动是指根据风险评估结果、结合风险应对策略,采用恰当的控制措施以确保内部控制目标得以实现的政策和程序,是实施内部控制的具体方式,控制措施的选择应当结合企业具体业务和事项的特点与要求,主要包括权责分离控制、授权与审批控制、预算控制、财产保护控制、分析与报告控制、绩效考核控制、信息技术控制等。
信息沟通是指及时、准确、完整地收集与股份公司经营管理相关的各种信息,并使这些信息以适当的方式在有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制以及内部与外部有关方面的沟通机制等。
监督检查是对内部控制的有效性进行检查评价,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。
2010年五部委颁布《企业内部控制规范配套指引》,分18项应用指引,1项评价指引,1项审计指引,是对《企业内部控制基本规范》的进一步细化指导。
5、 内部控制组织机构
按照《企业内部控制基本规范》和《企业内部控制配套指引》的要求,为确保公司内部控制规范体系建设工作顺利开展,公司内部各项内控制度得到贯彻执行,以实现股东利益最大化经营宗旨,促进公司的全面可持续发展,公司成立了内部控制规范实施工作领导小组和工作小组,以及内部控制规范评价组,组织公司对内控机制建设的工作部署,落实公司制定的内控机制基本制度和工作标准,按内控要求对公司内控体系的布局进行整体规划,监督内控机制工作的整体进程,确保内控机制健康运行。
内控领导小组由公司董事长担任负责人,工作组职责:组织公司对内控机制建设的工作部署,落实公司制定的内控机制的基本制度和工作标准,按内控要求对公司内控体系的布局进行整体规划,监督内控机制工作的整体进程,确保内控机制有效运行等。
内控建设工作组由股份公司总经理牵头,小组职责:落实公司内控领导小组要求,按职责分工开展相关工作,落实公司制定的各项内控制度,负责日常工作的风险防控等。协调召开内控建设工作会议,负责协调督办各子公司及各部门开展内控工作等。
内控评价工作组由股份公司监事及审计部门组成,小组职责:落实公司内控工作领导小组要求,按职责分工开展内控评价相关工作,督促落实公司制定的各项内控制度,负责日常工作的风险防控检查等。
内部控制工作各组按照公司内部控制工作要求,按职责分工开展相关工作,落实公司制定的各项内控制度,负责日常工作的风险防控等。内控部及审计部作为内控规范的牵头部门,联合公司各职能部门、各子公司协同开展组织内控建设和自我评价。内控部作为股份公司内部控制工作日常管理机构,具体负责组织内部控制执行情况监督检查,内部控制评价,《内部控制手册》更新及培训等工作。
6、 《内部控制手册》使用指南
本《手册》包括五部分,即《江苏亨通光电股份有限公司内部控制手册编制使用说明》、《内部控制手册》、《授权指引》、《不相容职务分离》、《风险评估》。
《江苏亨通光电股份有限公司内部控制手册编制使用说明》即本文内容,对《内部控制手册》编制背景、遵循原则、适用范围、内部控制定义、内部控制组织机构、使用指南、贯彻实施的责任和要求、编写与管理、发放、使用要求、生效、维护、更新作出阐述;
《内部控制手册》,描述了内部控制体系组织结构与职责,较为全面地阐述了内部控制体系的建设目标,以五部委《企业内部控制应用指引》18个子项,从控制环境、风险评估、控制活动、信息与沟通和内部监督等五个方面对内控关注要点及相应措施进行了较为全面、系统的阐述。
《授权指引》,描述了公司管理、决策、一切控制活动授权审批的范围、层次、程序、责任,对内控关注要点的审批权限进行了阐述;
《不相容职务分离》,描述了公司内部机构、岗位的设置及其职责权限的合理划分,确保不同岗位形成各司其职、各负其责、相互制约的工作机制,并汇编了公司所有不相容职务。
《风险评估》,描述了公司风险控制目标和风险评估的基本概念以及风险的分类,风险管理制度从确定风险评估目标、风险评估机制、建立并完善风险管理体系三个方面对内控关注要点及相应措施进行了阐述,并汇编了公司一切活动的风险内容及评估。
7、 《内部控制手册》贯彻实施的责任和要求
《手册》建立了一套科学、系统的内部控制体系建设方法和标准,是公司建设并实施内部控制体系的纲领性文件。为保证内部控制体系“设计有效、执行有力”,各部门、各公司要认真组织实施,严格遵照执行。要充分认识内部控制体系建设工作的长期性和艰巨性,把建立和有效运行内部控制体系作为重要工作,建立长效机制,指定管理部门或管理岗位,履行内部控制职能,切实做到实施有力。
为推动《手册》的贯彻执行,提高《手册》的使用效果,股份公司及各子公司每年至少举办一次《手册》使用培训,要有计划地做好培训,将内控工作要求传达到每个员工、每个岗位,确保执行到位。
各公司要按照五部委《企业内部控制基本规范》、《企业内部控制配套指引》及《股份公司内部控制手册》编制规范的要求,修订、完善和细化本公司的手册。
各公司内控负责人要对本公司内部控制体系运行情况进行检查和督促,内控部将定期组织考核并进行通报。
8、 《内部控制手册》编写与管理
《手册》由内控部组织编写,内控委员会审定,股份公司行文发布。内控部对《手册》进行规范管理,以保证其有效、完整、统一和适用。
9、 《内部控制手册》发放
《手册》须按发放范围统一发放。发放范围由内控部提出,经管理层批准执行。一般包括公司高管、股份公司相关职能部门等。
《手册》包括纸质版和电子版两种,电子版的配发范围为股份公司高管;纸质版的配发范围为公司各职能部门及特殊使用者。
10、 《内部控制手册》使用要求
本《手册》是公司重要文件,属公司机密。各单位应按相关要求正确使用,未经允许,不得复印,不得对外泄露。在使用过程中遇到疑难问题,及时向内控部咨询。
11、 《内部控制手册》生效、维护、更新
《手册》的维护是一项长期性、经常性的重要工作,需要各部门及公司高度重视,积极参与,大力配合。各公司应指定内控管理人负责本单位《手册》的日常管理和维护。对《手册》日常使用过程中发现的问题,应认真记录并及时反馈给内控部。内控部应及时掌握《手册》的执行情况,并采取有效措施确保内部控制管理体系的有效运行。
《手册》的修订由内控部负责。每年内控部将根据国内和上市地新出台的相关法律法规的要求、内外部审计对公司内部控制的评价、公司内控管理中出现的新问题以及反馈的意见及建议等,对《手册》进行修订,更新后的《内部控制手册》经董事长审批后正式生效,并由内控部下发到各部门和各公司,更新后的电子版本将存档于股份公司网络中心,并按照资料异地备份要求,存档于七都网络部。
⑸ 企业的内控手册都一样么
奇的内控手册不是都一样的,并且不同的企业差别很大。如果是想找。一个企业的内控,手持拿来做了参考,那最好是找本企业的同行业企业这样的企业和自己的企业相比,内控手册,差别不大但是即使是同行业的,内控手册,也必须是结合白棋的实际进行改动,因为不同的企业他的管理文化,是不一样的,不可能,同意,行业的企业内控手册,完全一样,这是不可能的因为其的管理文化,内控制度,等等。都是不相同的。所以其实内控手册不光是不一样,也不能够拿来就用。
⑹ 2007大众速腾内控手册
2007大众速腾内控手册
建议去当地经销商那索要 还可以上网查询一下
⑺ 求上海建工内部控制手册啊
虽不是上海建工内控手册,但有借鉴意义
MOTOROLA内部控制标准
1.0一般控制要求
2.0收人周期
3.0采购周期
4.0工资周期
5.0制造周期
6.0融资周期
8.0计算机系统控制
一、序言
自1979年,摩托罗拉就已正式阐明一项公司完善经营和财务控制制度的政策。内部控制标准的产生,以文件的形式证明哈托罗拉始终不渝地遵守适用的法律和规定,实行可靠的经营和财务报告制度,以及保证本公司业务活动和记录的完整。“摩托罗拉内部控制制度”及与之相关的外部环境的概述如下。
此版标准的颁布,旨在保证控制标准符合自上一版以来由于不断变化的全球商业环境,新制定的法律规定以及计算机技术和应用的进步使之成为必需的控制要求。此版亦加强了手册向使用者传达内部控制标准和准则的有效性。对风险和标准信息进行了修正,以保证在全公司内得以适当地解释和应用。对上一版未包括的业务活动增设了标准。对1989版的重大更改的概要见附录C。
二、目标
正如总裁和财务总监在引言中所述,良好的内部控制是实现我们的主要创意和目标之根本。例如,要达到和超过六个西格玛质量和不断地缩短循环作业周期,不仅在我们的工厂,而且在维修中心,销售中心,行政管理部门以及整个组织,都需要良好的程序管理。运用本文件所述的控制标准可以有助于消除瓶颈,冗余和不必要的步骤。内部可以防止资源损失,其中包括固定资产,库存,专有资讯及现金。内部控制可以有助于确保遵守适用的法律和内部规定。按照内部控制准则定期进行审计,可以确保一个控制过程始终是受到控制的。
此文件的目标旨在确保全公司具备基本的和一致的内部控制。摩托罗拉内部控制标准第三版是全公司各职能部门众多摩托罗拉同事不懈努力的成果。其中的控制标准,是以达到我们内部控制制度的基本目标的方式撰写的。这一制度认识到,必需符合我们的客户、股东的期望,遵循我们的法律规定,例如1977年国外反腐败法案(见附录B)和证券交易委员会条例。遵循这些控制是义不容辞的。摩托罗拉董事会审计委员会,公司审计部,以及我们各事业总部,集团和分部的财务部门将监察我们对这些标准的遵守。
三、范围
这些标准适用于摩托罗拉在全世界各地的事业总部,集团,分部,单位,子公司及各职能部门;适用于所有业务,无论是设备或部件制造厂家,维修中心,抑或,如适当的话,合资企业经营,均为适用。此标准一般性地反映控制目标,并不试图描述各组织所需的专门控制技术。这些内部控制标准旨在就有关资源保护、经营和财务信息的可靠性以及遵守法律和规定等事项,提供合理的、而非绝对的保证。合理保证的概念认为,控制的成本不应超出可产生的效益。这一概念还认识到,忠诚不渝,良好的业务判断以及一种良好的控制文化是必不可少的。
就管理人员选择控制程序和技术而言,实施控制的程度是一个合理业务判断问题。如果其中任何控制标准都不切实际或不可行,如在小规模或偏远地区的业务经营或合资企业经营,管理人员必须从下列备择方案中作出选择:
•通过加强监察和审计改善现行管理;
•制定替代或补偿性控制措施;和/或
•接受薄弱控制所固有的风险。
四.过程
此文件中的控制标准,正如内部控制盘所表明,不应被视为“孤立的”。内部控制标准,工作程序准则,财务和人力资源政策以及摩托罗拉行为准则均应被视为建立、维护和改进摩托罗拉内部控制制度过程的组成部分。
内部控制的过程,如下文所述,必须以我们的六个西格玛质量和缩短循环作业周期的创意为推动力,发布反映我们授权于员工和不断进取的宗旨。所有各级组织必须全力支持。过程本身应包括经营分析,制定控制程序和技术,交流及监测。经营分析要求对风险作出评估和确定适当的控制目标。还必须对经营环境(例如自动化水平,就地授权和资源)予以考虑并进行成本一效益分析,以确保控制成本不超过其效益。
根据经营分析,可以选择专门的控制技术或程序。这些技术或程序可以包括批准,授权,调整帐目,职责分工,审查以及文件记录。在整个过程中,必须通过培训,意识和反馈的形式达到广泛的交流。内部控制一俟就绪,应受到监测和评价。这一点可以通行自行审计,内部审计及外部审计在一定程度上的结合来完成。得到的反馈可以用来进一步改进内部控制制度。
五、责任
所有摩托罗拉员工都有责任遵循内部控制标准。每一事业总部,集团,分部单位,子公司以及设施的总经理、财务经理或财务总监都要“身先士卒”,为遵守内部控制创造合适的环境。他们必须保证本手册所提出的控制准则在其组织内得以确立,适当地形成文件和贯彻执行。这些标准的执行情况,将由公司审计部的定期审查以及,如果可能的话,以自行审计来监督,并将纳入各事业总部和集团呈交公司财务管理部门的报告书。
六、舞弊
舞弊是有意的盗窃、挪用、侵吞摩托罗拉公司的财产。摩托罗拉公司的财产包括,但不限于;现金、产品、原料、设备、用具、废品、残品、维修服务、软件和知识财产。公司员工,客户,供应商等其他人员均可能有舞弊行为。调查表明,因舞弊给公司造成的损失已占年收入的0.05%到2%,其中大多数事件或举报的舞弊行为是业务关联单位所为。舞弊行为已发展到被认为是一种可乘之机或可以接受的合理行为。
在登记和报告公司帐目中也会发生舞弊。财务报告全国监察委员会对报告舞弊有如下定义:
财务报告舞弊属于有意或疏忽行为,无论是否有意或者疏忽:结果都是产生有重大误导的财务报表。财务报告舞弊涉及许多因素,以许多形式表现出来,可以是蓄意、严重地歪曲公司记录,例如盘存标签,或者是虚假的业务事项,例如虚假的销售和订单数字,可以是滥用会计原则。公司任何一级的员工,上至最高级管理人员,到中层管理人员,下至最低层员工均有可能牵涉到舞弊事件中。”
对舞弊的威摄和预防
摩托罗拉的每一位经理都有职责创造一个控制体制和环境,它能够防止员工、供应商、客户等其他人员所处的地位不同时具备舞弊的方法和机会。摩托罗拉的管理当局已经建立了一种结构,通过推行内部控制,将其作为良好的商业行为,防止公司存在舞弊的机会。这一结构包括:摩托罗拉行为准则,内部控制标准的培训、工作程序准则,财务准则,电子资讯安全标准和公司的其它标准和政策。
舞弊的检查和报告
摩托罗拉每一位员工都有职责协助预防舞弊的发生。如果员工发现可能发生舞弊的情形,应向其管理部门报告。如果员工怀疑已经发生舞弊行为,必须向当地财务总监和保安经理报告。所有实际发生的舞弊行为,必须向总公司保安部部长报告。
对于怀疑的舞弊行为,员工不应试图进行个人调查。调查工作将由保安部、法律部和审计部进行
舞弊报告热线电话
如果员工怀疑有舞弊行为,应使用美国电话800-5-ETHICS报告。
七、修订
根据需要,将对内部控制标准加以修订。修改建议通过摩托罗拉内部控制委员会提出。所有有关标准的修订,均将由公司总监办公室审查和认可。
八、控制标准的例外
在极少数情况下,从成本的观点出发,或对规模较小的机构和偏远场所,内部控制标准的某些部分可能不切实际,在这类情况下,该组织应请求准许遵循不同的控制程序。
要求采用替代控制程序,应按照各事业总部/集团的政策予以审查和批准。
⑻ 如何将《内控手册》要求融入到企业的管理流程当中
首先行业不同,方式方法也不同,以一个行业为例
XY股份有限公司为符合上市公司内控法规要求,提高企业经营管理水平和风险防范能力,促进企业可持续发展,根据财政部、证监会等五部委印发的企业内部控制基本规范及配套指引的要求,聘请外部咨询公司,2011年3月起着手进行内控体系建设工作。根据《企业内部控制基本规范》及其配套指引要求,结合国外公司经验,企业内部控制体系建设通常分为4个阶段,内部控制梳理、内部控制整改固化、内部控制自我评价和内部控制审计,其中前3个阶段是内控建设核心工作,需由企业主导完成,内控审计由审计师在企业配合下实施。
为做实做好内控规范体系建设工作,公司于2011年3月正式成立内控工作领导小组,由公司董事长牵头,高层领导主管、总部各部门负责人及各分子公司总经理作为组员,负责组织领导公司内部控制规范化建设工作。2011年3月中旬召开内控实施项目启动会,对公司内控建设工作进行了部署和动员,并制定公司内控实施计划及工作方案。
一、建立内控建设组织架构,明确相关人员职责。
内部控制建设作为一项长期系统性地工程,并非一蹴而就,公司决定建立一种长效领导机制持续运作。公司内控体系建设组织架构图如下,并明确董事长为内部控制实施工作的第一责任人;公司总经理、副总经理为内控实施的具体负责人。
(一)内控领导小组职责
经第六届第十次董事会审议通过,公司成立风险管理委员会,成员包括董事长、审核委员会主席、总经理、分管主要业务的公司高管及专业人士,作为内控工作领导小组。
风险管理委员会对董事会负责,主要履行以下职责:
(1)负责营造良好的内部控制建设环境;
(2)负责制定公司内部控制战略规划,提出总体建设方案;
(3)负责审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;
(4)部署内部控制建设、执行及监督活动等;
(5)审议《内控手册》的编制、修改及更新;
(6)提交《内部控制评价报告》;
(7)协调公司内部控制建设的重大事项;
(8)考核内部控制建设的相关人员,保持公司整体利益和方向的一致性。
(二)内控项目小组职责
1、公司在风险管理委员会下设立风险管理委员会办公室作为内控项目组,主要履行下列职责:
(1)全面贯彻执行风险管理委员会关于内部控制建设的精神和方针;
(2)制定公司内部控制建设阶段性的目标及实施方案,提交风险管理委员会审核;
(3)负责内部控制建设的有效实施和运行,落实内部控制建设的具体责任;
(4)研究提出《内部控制评价报告》;
(5)负责公司《内控手册》的编制、修改及更新;
(6)审核在内部控制建设过程中存在的问题,督促各部门进行整改。
2、公司在风险管理委员会办公室细分为4大系统,即风控系统、战略与证券系统、财务系统和运营系统,明确各系统的具体职责。
3、风险管理委员会办公室成员主要来自于财务管理部、战略与证券管理部、风险管理部、管理创新部、营销中心、质量与客服部、供应链中心、法律事务部、研发中心、制造中心及战略人力资源部,配备33名专职人员。各业务单位、职能部门及子公司(事业部)在风险管理委员会办公室的指导下共同参与、实施内控建设工作。
4、审核委员会作为公司内部控制体系有效性的监督机构,监督内部控制的有效实施和内部控制自我评价情况,审核及监督外部审计机构是否独立客观及审计程序是否有效,审核公司的财务信息及其披露,协调内部控制审计及其他相关事宜。
(三)责任部门及工作预算
与内控工作小组相对应,公司确认了内部控制建设的责任部门,即风险管理部、战略与证券管理部、财务管理部、管理创新部、营销中心、供应链中心、质量与客服部、法律事务部、制造中心、研发中心、战略人力资源部。本次内控项目工作制定了相关预算,包括内控咨询、内控审计及人力成本费用、培训费用等。为保证内控建设工作的专业化、系统化和合理化,公司聘请询公司作为外部咨询机构为公司提供专业支持,协助公司梳理、构建及完善内部控制总体架构,帮助公司识别内部控制存在的薄弱环节和主要风险,有针对性的设计控制的重点流程和内容并协助公司开展内部控制自我评价工作。 风控系统人员将全程参与风险识别及评估、编制风险清单及控制矩阵、内控缺陷整改、开展内控评价等工作,为公司培养内部控制建设及评价人才。
二、内控体系建设工作具体推进
内部控制建设工作,公司将分为五个阶段,时间从2011年4月1日至2012年1月31日,总体安排如下:
(一)确定内控实施范围(2011年4月10日前完成)
根据证监局文件精神,结合公司实际,本次内控实施范围为股份公司、一家上海子公司及一家广州子公司。
按照《企业内部控制基本规范》及其配套指引要求,结合公司业务性质,公司将重点关注发展战略、组织架构、人力资源等公司层面3大流程,以及信息系统、财务报告、信息披露、关联交易、全面预算、资金活动、采购业务、销售业务、资产管理等业务层面9大流程。
各流程责任人如下(××代表责任人姓名):
流程第一责任人 具体负责人 内控协调人 中介机构责任
发展战略 × × ×
组织架构 × × × ×
……
注:上述责任人适用于内控建设中的每个阶段。
(二)风险识别及评估(2011年5月31日前完成)
1、流程梳理:公司通过访谈、审阅文档或问卷调查等方式梳理流程,明确上述12大流程的相应子流程,完善组织架构和审批授权指引,根据统一的模板编制业务流程图。在流程梳理过程中,及时发现并记录有遗漏、杂乱、不符合相关法律、不相容职务未分离或权限设置不合理等内控缺失的工作流程,采取相应的措施规范操作流程,避免内部舞弊等重大风险出现,提高工作效率。
2、风险识别:结合《企业内部控制基本规范》及相关配套指引所列示的风险、公司客户审核要求、内审报告、提案改善、质量事故等初始资料,从风险发生的可能性和影响程度,对子流程中涉及到的每个控制点进行综合分析,识别固有风险,评价风险等级,形成风险清单。
3、文档记录:根据风险等级,识别流程中的关键控制活动,并在流程图中进行编号;编制流程描述、风险控制矩阵等内控文档对控制活动和控制点进行记录。
4、查找内控缺陷:将公司现有制度和控制措施流与风险清单进行比对,通过穿行测试、控制测试等手段,获取关于内控设计和运行有效性的证据,查找内控缺陷,形成《风险数据库》和《内控风险诊断和评价报告》。对发现的重大缺陷及时报告董事会及管理层,管理层对发现的内部控制缺陷应及时制定内控缺陷整改方案。
(三)确定内控缺陷整改方案(2011年6月30日前完成)
1、编制《内部控制管理建议书》:公司对发现的内控缺陷进行分类分析,确定内控缺陷的重要性程度,区分设计缺陷和运行缺陷,形成《内部控制管理建议书》。
2、制定内控缺陷整改方案:公司根据《内部控制管理建议书》和具体的控制缺陷,提出整改时间及责任部门、人员,形成内控缺陷整改方案。
3、提交审议:内控缺陷整改方案应当经过风险管理委员会审议通过。
(四)内控缺陷整改(2011年9月30日前完成)
1、落实整改、提交报告:责任部门将按照内控缺陷整改方案对发现的缺陷进行逐一整改,完善公司各项内部控制管理制度和控制措施,提交《内控缺陷整改报告》;内控项目组连同中介机构对缺陷整改情况进行运行有效性测试,形成《内控运行测试报告》。
2、编制《内部控制手册》:内控项目组根据风险清单和各项内控文档等资料,编制《内部控制手册》,并对手册内容进行实施辅导和推进执行。
3、编制《内控自我评估工作指引》:内控项目组编制《内控自我评估工作指引》,为下一步内控自我评价工作的开展奠定基础。
4、提交审议:《内控缺陷整改报告》、《内控运行测试报告》、《内部控制手册》及《内控自我评估工作指引》应报风险管理委员会审议。
(五)内控持续推进和内控自我评价
公司在内控体系成果完成后,将予以持续推进,并根据辖区证监局要求,公司将于每季度结束后的10个工作日内,向证监局报送内控进展情况说明,并在定期报告中予以披露。每季度进展情况说明至少包括该季度内控建设工作的开展情况、与工作方案中计划进度的对照情况、差异原因以及拟采取的解决措施等。
通过以上工作,公司初步建立健全了内部控制体系,有效提高了内控管理水平。
三、企业内控体系的“落地”和持续推进
XY公司在完成内控体系初步建设完成后具体推行过程中,一些部门和员工或因对新的内控制度理解不够,或因由于长期工作习惯难以改变,或因内控制度变革触及自身利益而不愿遵循,使得内控制度在一段时期内一直都不能落到实处。如何真正将内控体系有效执行下去,并保持内控体系的持续完善和提高,是管理层迫切需要解决的难题。
为了切实将内控制度体系真正“落地”,XY公司通过全方位内控培训、加强内控检查与监督、完善考核及激励机制以及借助第三方专业机构的持续辅导等措施,有力地保证了内控建设的持续维护,公司的内控建设取得了卓有成效的进展。
具体来说,采取的主要措施有:
(一)完善内控工作组织架构,成立内控部,强化审计部,建立推进内控工作的组织机构和运行机制。
通过对国际大企业内控建设的现状和过程的全面考察,XY公司发现要实行有效的内部控制,必须建立相配套的组织架构。为此,公司由管理高层成立了内控工作领导小组,各子公司管理层对应的成立内控管理小组;在部门设置上,XY公司新成立了内控部,各下属子公司根据其规模大小设立内控部或内控负责岗,负责内控建设工作;在内控监督上,转变了原有的审计部的职责,增加了内控评价和检查的功能,并由公司董事会的审计委员会直接领导,在规模较大的子公司同时设立内部审计专员,负责子公司的内控自查。
(二)注重内控环境建设,进行全方位内控培训。
XY公司通过一系列的培训和辅导,提高各层级管理人员和基础员工对内控理念的认识,营造有利的内控工作开展的文化环境。首先,公司抓好以普及内控基本知识、营造内控实施环境的宣传工作。公司内控部组织编制了《内控宣传册》,在股份公司各职能部门和下属公司主要管理干部范围内发放学习。手册通过生动的案例和形象的语言帮助各级管理人员统一对内控的理解和认识,减少内控推进的思想阻力。
其次,公司根据内控规范实施的进度,围绕内部控制的各个方面,开展了包括基础理念、管理制度、风险评估、内控评价、内控考核在内的各类集中的专题培训,对内控制度的编制和实施起了极大的推进作用。
(三)建立内控推进的沟通机制,保证内控建设持续性和问题解决的及时性。
自内控制度建设正式推进以来,为了保证推进的执行力,公司开展了全方位的信息沟通机制,实现了信息的实时传递,和通畅的上传下达。
首先,XY公司建立了周例会制度。内控领导小组每周组织内控工作例会,由公司董事或审计委员会主任主持,参与者包括内控领导小组成员、内控部、审计部、财务部、各子公司的内控负责人等。总部各职能部门及各子公司必须在会上以书面形式上报“内控工作一周报告”,汇报内控的进展情况、存在的问题、解决的方案、遇到的困难以及需要股份给予协助的事项,并由内控领导小组组长对相关的具体问题提出意见和工作指导,会后股份公司内控部负责对每家子公司进行回复,保证所有的问题都能得到及时有效的解决。所有会议记录和相关文件在会后抄送股份公司的总经理和董事会,并抄送相关子公司的管理层,保证管理高层对内控进展的时刻了解。
其次,公司建立了内控体系的月度工作总结。每月末各个子公司的内控负责人就内控开展情况进行工作总结,由内控部在股份公司管理层、子公司管理层以及相关内控负责人之间进行通报,督促各子公司的内控执行力。
第三,建立了重大项目的单独汇报机制。各子公司的内控负责人对于子公司内控建设中发现的重大问题要求及时向内控领导小组和股份内控部进行汇报,以实时处理可能的重大风险。此外,股份公司的内控部长、审计部长、财务总监的联系方式向子公司的所有内控负责人和内控专员公开,作为信息直接传递的一个重要渠道,帮助股份公司及时了解下属子公司内控风险。
(四)完善内控评价检查机制,建立了多层次的内控检查体系。
为了保证内控制度的落地和真正有效的执行,公司从各子公司到股份公司的内控部和审计部,再到外部独立的第三方中介,建立了全方位的内控评价和检查体系。股份公司内控部对各业务循环定期开展内控检查,通过发放内控调查清单以及内控专员的现场检查,发现子公司在内控建设中的不足,并及时下发风险联系函、风险关注函和风险警示函,以帮助子公司及时进行内控整改和完善。其中联系函主要是对子公司联系函件的回复为主;关注函主要是对子公司发生的业务表示关注,一般要求对方在一定时间内给出书面说明;警示函是在关注函的基础上对于重大风险或执行不到位的情况给予警告。
股份公司审计部对各子公司每年开展两次的内控评价。为了实现评价的量化和标准化,审计部编制了内控评价底稿通过检查,对子公司形成内控建设的量化评价,并针对检查中发现的问题出具改进建议,并要求各子公司在规定的时间内予以整改,总部内控部对子公司整改措施和整改质量进行全程的监督,整改完成后,审计部及时予以复查,确保审计中发现的问题能及时整改。
(五)将内控建设纳入绩效考核,通过奖惩机制实现内控的有效性。
首先,为有效发挥各下属子公司的管理者在内控推进中的作用和积极性,自200×年开始,股份公司将审计部对各子公司的内控评价结果纳入其管理班子的绩效考核的指标中,明确了管理班子对于内部控制建设的责任和关键任务。通过这种绩效考核,激励管理层切实关注和推动内控的执行工作,从而为内控工作的推进建立良好环境。
其次,对于股份公司向各子公司委派的重要人员也直接与内控建设挂钩。公司出台了《委派内控人员绩效考核管理办法》,对各个子公司的内控负责人实施全面的内控建设考核,明确了委派的内控人员的绩效考核指标、考核方式和奖惩机制,进一步促进了委派内控人员的工作落实力度;其次,对于股份委派的财务负责人,也在其年度考核的总分中(100分制)纳入了相当比重的的内控建设的相关内容,从财务职能加强了对子公司的内控推进。
(六)充分发挥专业中介机构力量
XY公司在开始建立内控体系即聘请的专业咨询公司提供咨询服务,在整个体系建立过程中,充分发挥咨询公司专业力量,并聘请专业顾问对公司人员进行培训,提高公司人员内控理念和技能。在内控体系初步建立之后,仍继续与咨询公司保持合作,借助咨询公司在专业及独立性方面优势,共同推进公司内控持续建设工作,在内控持续建设工作中,专业咨询公司提供了大量了专业意见和培训辅导服务,帮助公司完善各项成果,使得公司的内控持续建设取得了令人瞩目的成效。
四、企业内控体系建设过程的经验和启示
在公司董事会、各层级管理人员和基础员工不懈努力下,公司内部控制体系的建设取得了一系列的良好效果,全公司各级员工的风险管理意识显著提高,对风险的理解和重视切入到各个业务和管理环;强化了各项经营活动的规范化操作,实现了重大经营活动的集体化决策机制,有效防范了决策风险;提高了公司的财务管理水平,保证了从产业公司到股份公司的各层级财务数据的真实公允以及资金、资产的安全;加强了公司对新经营环境下管理风险的关注;完善了公司的风险预警机制,提高了各职能部门对业务发生之后的潜在风险的持续监控、分析和应对。公司在内控体系建设和推进过程中,主要的经验和启示有:
1、公司董事会和最高管理层的重视和亲自参与
在XY公司董事会,无论是大股东委派董事、非执行董事还是独立董事,都非常重视和关心内部控制体系的建设工作。作为公司的大股东,集团对股份公司的内控建设给予了极大的理解和支持,有力的推动了产业公司的内控建设的进程。董事会的定期会议都将内部控制进展情况作为重要议题沟通,对于内部控制推进中出现的任何问题,董事会层面时刻给予相应和支持。
在公司管理层方面,成立了内控领导小组,投入了大量的人力和财力,带领企业员工共同进行内部控制建设,为内部控制的推进提供了良好的内部环境,同时也激发员工的积极性和主动性,推动企业内部控制朝更顺利、更完善的方向发展。
2、对内部控制理念以及其与公司其他管理体系关系的认识统一
XY公司在内控推进的第一阶段大力推行高频率、大幅度的培训,帮助各级管理者以及基层员工了解内部控制的主要原理和价值,减少内控实施中的思想阻力。其次,公司统一了内控体系与其他管理体系的认识,内部控制和风险管理不是一套孤立的新的体系和制度,而是一种基于“目标-风险-控制-监督”框架的管理思路,这种管理思路可以融入到企业的所有其他的管理体系和管理制度中去,是对企业原有的管理制度的整合和提升。
3、制定了清晰明确的内部控制战略规划
公司根据自身实际情况,在订并提出了内部控制的五年两步走的规划,并将其纳入到公司的5年战略规划中。第一阶段(3年),通过自上而下的刚性要求,构建全面的统一化的集团内部控制架构,并通过理念灌输形成内控推进的文化范围;第二阶段(2年),通过自下而上的,自觉的内控体系的完善,形成各个产业公司的特色化内部控制。这一从强制到自觉,从理念普及到制度完善再到内控手册的表格化提升的建设步骤,使得公司从管理高层到基层员工的各级人员都明确内部控制不同时期的不同任务及不同发展状态,稳步推进,逐步加深,为内部控制的发展道路勾画了清晰路径。
4、因企制宜的实施方案
XY公司意识到对于集团化企业,内部控制不能是一刀切的,公司要实行内部控制,需要根据自身的业务类型、公司规模、公司所处阶段来选择适宜的内部控制方法。
首先公司在吸收了五部委内部控制基本规范和配套指引的相关精髓的基础上,结合企业经营实践,基于先主后次的重要性原则以及成本收益原则,提出了以若干业务循环作为公司内控建设的主要循环范围。
其次,考虑公司的人员能力和素质,在内控成果上也没有一步到位册,而是以制度建设为基础,通过制度规范,到流程优化再到风险提炼,逐步实现内部控制的层层递进。
第三,在内控推进上,公司充分考虑下属各产业公司的业务特点,确定适合各公司的内部控制方式和侧重点。
5、循序渐进的实施步骤
(1)自上而下的理念推进向自下而上的流程推进的递进。
在内控实施的第一阶段,公司强调自上而下的理念推进。公司通过内部培训、各种工作会议达成内控理念的统一,并向各子公司传达,之后各子公司则进行自下而上的内控流程推进,即各产业公司根据自身的内部流程,进行制度的完善,并经由公司内控部审核后实施。
(2)由总部出台框架性的制度到各个子公司制订针对性的业务流程的递进。
公司内控部结合外部力量制定框架性的制度,明确各业务循环的关键控制点和操作要求,各产业公司根据自身业务情况,在满足框架制度要求的前提下制定适合企业自身的管理制度,以求更贴近产业公司的经营管理实践。
(3)普遍性、通用性的风险点向专业性、针对性的风险点的递进。
公司首先根据对产业公司实际情况的调研,绘制公司的全面风险数据库,梳理出具有普遍性的通用性主要风险点,之后,各产业公司在实际操作中不断发现专业性、针对不同企业业务特色的独特风险,以实现内部控制的完善。
(4)抓重点公司,抓主要循环和风险、抓典型事件。
公司的内部控制遵循重要性原则,关注重点公司级重要循环与风险,并关注典型事件,以期通过重点带动全面,推动内部控制的发展。
6、借助外部专业中介机构推动内控建设
外部专业机构相对具有更丰富的内控专业力量和实施经验,并且具有客观性和独立性,XY公司在整个体系建立过程中,充分发挥咨询公司专业力量,但也没有完全依赖中介机构甩手不管,而是充分参与和配合,在内控建设过程中,实现知识传递和内控人才培养,取得了较好的实施效果。
--------------转自新浪微博《马军生-内部控制博客》