内控建设系统性
❶ 如何建设高效的IT内控体系
企业内控建设实务
企业内控建设应当以经营的效率与效果为主导目标,以财务报告可靠、资产安全与经营合规为三个保障目标,在此基础上,建设实务将围绕内控组织的设置与内控建设的五要素展开。
(1)内部控制组织
组织是体系运行的基本保障。通常的内控组织包括董事会与经营层两个层面,强调内部控制的建设与实施是董事会的责任,并且下设审计(风险)管理专门委员会加强管理。此外,内控组织的设置特别强调经理层是企业内控建设的具体实施者与责任人,各经营管理部门按照职能归口进行内部控制的建设与实施。其中,是否设置专职的内控部门是企业界关注的焦点,通常的设置方式包括三种:
方式一:单独设置内控部门。优点是有利于提高内控建设的初期推动效率,缺点是内控部门与经营管理部门割裂,未能很好地体现内部控制责任与经营管理责任的融合。此方式在金融类企业普遍应用,对于实体经济体,通常不设置专职的内控部门。
方式二:由内部审计部门牵头负责内控工作。优点是待体系初建完成且运行平稳后,内部审计作为内控的监督部门,可以立足于公司整体牵头协调各部门定期进行内部控制的自我评价,并且持续完善内控体系的建设。缺点是国内企业内审部门往往人才匮乏,在内控建设的初期独立当此重任可能力不从心。
方式三:在内部控制建设集中期设立内部控制建设办公室,该办公室从各主要部门抽调人员专职从事内控体系建设工作,待体系正式运行时,办公室解散,人员归位到各经营管理部门,且牵头职能也归位至内审部门。此方式的优点是可以集中各部门力量完成内部控制的体系化建设,待体系平稳运行后,相关人员回到经营管理部门的骨干岗位上,有利于促进各经营部门对内部控制体系的理解,有利于内控与经营管理的融合。实践表明,对于管理基础弱的实体经济企业,采取方式三的内控推行效果较佳。
当然,组织的设置没有一定之规,企业应当依据自身的特点设置内部控组织,明确相关的管理责任。
(2)内部环境的诊断与完善
内部环境是企业内部控制建设与运行的载体,企业在建设内部控制机制时,首先要诊断与完善内部环境。一方面,内部环境的完善可以为控制活动的设计与运行奠定基础,另一方面,内部环境的诊断可以加强控制活动与内部环境的匹配性,有利于控制活动的顺畅运行。
通常,内部环境的诊断与完善包括六个方面的内容:治理结构、机构设置、权责分配、内部审计、人力资源政策、企业文化。其中,机构设置、权责分配与内部审计的定位三个方面必须先行完善,后续的控制活动设计与运行才会顺畅。治理结构、人力资源政策与企业文化三个方面,可以伴随控制活动的运行同步完善。
(3)动态的风险评估
风险评估是内部控制体系化建设的重要表现,是后续内控措施设计的重要依据。根据成本效益原则,企业应当针对评估的重要风险强化内部控制措施,有效降低风险。对于次要风险,企业应当简化控制活动与流程设计,承担相关的风险,体现经营的效率与效果为主导目标的内控建设理念。
风险评估包括风险辨识与风险评估两个阶段。在风险辨识阶段,企业应当围绕内部控制目标识别影响目标实现的不确定性因素,辨别企业风险并进行分类,形成企业的风险管理库。通常,企业的风险可以划分为战略风险、市场风险、运营风险、财务风险与法律风险五类,并在此基础上进一步细分。在风险评估阶段,企业应当运用二维风险评估坐标图,从破坏性与发生频率两个维度评估风险,并将风险点界定为重大风险、中风险与低风险。企业应当依据行业特点与目标设置等确定风险评估的标准,评估标准应当注意定量与定性标准相结合。
在实务中我们强调,处于不同行业的企业,或是同一行业的不同企业,或是同一企业处于不同的发展阶段,其风险评估结果各不相同。为此,企业应当至少每年评估一次风险,及时发现新环境、新业务带来的新风险,动态地调整风险评估结果,进而动态地调整控制活动规范,让原本静止的内控制度动起来,始终踏上企业发展的节奏。
(4)控制活动的设计
控制活动是内控体系实施的核心要素,企业在规范控制活动的过程中,应当形成内部控制政策与程序手册(下简称内控手册)。
企业在设计控制活动时,应当树立与经营管理活动相融合的设计理念,首先界定企业的控制活动循环,然后将内部控制措施嵌入控制活动中,完善经营管理活动的制度流程设计,形成企业的内控手册。内控手册分模块设计,每一模块一般包括五个方面的内容:
第一,管理目标。围绕内部控制的目标,企业在设计内控手册时,首先应当明确控制活动的管理目标。例如采购付款循环,其管理目标应当包括保障物资供应、提高采购效率、降低资金占用、控制采购成本、保证核算准确等。
第二,管理机构及职责。该部分将控制活动涉及的组织及职责清晰界定,以确保后续流程运行的顺畅性。
第三,授权审批矩阵。该部分应当明确控制活动涉及的所有权限在董事会、经理层与各职能部门间的划分,并且明确各级审批责任。
第四,控制活动要求。该部分一般以制度文本的形式书写,明确控制活动各控制环节的内控要求,作为相关经营管理流程设计的基础。
第五,比照上述几部分,各经营管理部门应当重新梳理与完善业务流程,针对关键风险点强化控制措施,确保组织职责、授权审批、内控要求落实到经营流程中,保证管理目标的实现。
在内控手册的设计过程中,特别强调与企业现有的经营管理活动相融合的设计理念,切忌脱离原有制度流程设计孤立的内控手册,以避免实务中业务部门仍参照原有流程、内控手册则束之高搁的现象。
(5)信息与沟通贯穿始终
信息与沟通是指在内控建设中,保证在恰当的时机让恰当的岗位获取适当的信息。信息与沟通的设计应当贯穿于内部环境、风险评估与控制活动的始终,例如风险评估报告的报告程序,控制活动中的控制文档设计,都体现了信息与沟通要素的建立与健全。
(6)内部监督手段。
内部监督置于五要素之末,是内控管理闭环的体现。为此,内部监督也可以视为五要素之首,是内部环境、风险评估、控制活动、信息与沟通要素持续完善的基础。内部监督手段包括风险预警、内部评价与绩效考核,三者缺一不可。
风险预警是较新的管理工具,通过预警指标的报告与跟踪,可以突破企业传统的内部审计在时间与空间上的限制,运用现代企业高效的信息集合手段,帮助管理层从浩如烟海的数据中提炼关键信息,捕捉企业易于忽略或是下级管理者企图隐瞒的临界数据,及时发现并采取措施防范风险。风险预警系统的设计包括选择指标项、设定临界值、跟踪分析报告与修正临界数据四项工作。企业应当结合自身的行业特点与管理重点设定风险预警指标,并且逐步积累临界值。
内部控制的自我评价是基本规范的要求,也是管理审计的重要组成部分。内部评价手段完善的关键是建立评价标准与评价流程,明确内控缺陷的认定标准,规范评价报告。
此外,绩效考核强调将内部控制建设与运行的有效性纳入企业的绩效考核, 以促进内控体系的实施。
❷ 怎么构建内控体系
答:一般的内控体系的构筑逻辑是 1、 内部环境----构筑一个适合于内控的环境,从治理,战略,组织设计,商业模式等多个方面来使得公司在一个高的平台和起点上运行 2、 风险评估----找出各种类似问题,对每个问题可能出现的形式,存在的风险进行深入剖析. 3、 控制措施----针对问题进行控制措施的设置,包括支撑控制措施的组织保障,理念培训技术手段 4、 信息与沟通----从不断进行信息沟通,通过各种手段进行内控运行和评价来消除问题和知晓体系的现状 5、 监督检察----对内控体系的执行情况进行不断的监督检查,以及不断促进内控体系的优化 第一层次:基于管控体系,构筑母公司层面内控体系(主要是母公司战略定位和母公司自身运作,以及母公司出资人职能履行三个部分) 第二层次:子公司管控内控体系(母公司对子公司的治理,以及子公司战略与运作等子公司的十四个管控子体系) 第三层次:母公司对子公司内控体系的管理,监督与优化体系 在构筑各个层次内控体系时,华彩会使用五步法的内控体系基本逻辑做为方法论,但按照这五个步骤来做,就既不具备操作性,又过于为内控而内控,根本没有照顾到集团运作的独有问题,而且没能从各个职能部门和功能的立场上来做内控体系,导致各个部门的参与深度和对内控思想的理解程度不够. 华彩认为内控体系的建立必须强化母公司控制力,驱除子公司内部人控制和信息不对称,母公司必须通过内控体系的建立为母公司的董事,监事,以及其他派出管理者打造一个监督制度监督子公司运作的平台. 华彩内控体系是基于集团管控的,考虑到集团总部自身的内控并不是重点,而是各子公司的内控体系才是重点,但子公司有任期考核和经济指标做为硬约束,不会主动的去建设内控体系.因为内控在一定程度上降低了效率,所以不是子公司高层的战略性意图.顶多是母公司意志的反应. 所以,在很大程度上,内控应该是在母公司干预和引导下,母子公司一起进行的一个管理系统的再造工程.而且母公司始终行使外部监督检察推进者这一角色.
❸ 浅谈如何加强内控制度建设
(一)内控体系建设注重持续提升完善
(二)内控理念要融入企业文化
(三)完善用人制度,提高业务素质
(四)强化内控监督职能
❹ 外汇局系统如何加强内控机制建设
建立健全科学有效的内控制度体系是外汇局系统强化自我约束、防范风险的重要保障,是外管部门稳健有效运行的保证,是依法行政的要求,是维护外管部门形象的要求,是防止外管人员触犯法律的要求。因此,外汇局系统必须加强内控制度建设,以确保外管人员依法、公正、廉洁、有效地履行工作职责,维护外汇秩序的稳定,促进经济发展。 一、外汇局系统内控制度建设中存在的问题 近几年,外汇局系统内控制度建设取得了一定的成绩,但在实际执行中也存在着漏洞和风险。外管系统内控机制建设只有进一步强化和完善,才能不断适应外汇管理工作的需要。目前,外汇局系统内控制度建设存在的主要问题表现在以下几个方面: (一)内控机制建设方面存在着思想认识误区。一是观念模糊。内部控制包含两层含义:一层是内控机制,是相互制约、相互制衡的组织结构;一层是内控制度,是规范约束业务行为的准则。而在传统的管理模式下,从业人员缺乏内控意识,认为有了规章制度就达到了内控的要求,从本质上没有认识到规章制度仅是内部控制的基础和依据,是一种相对静态的概念,而内部控制是一种各项业务运作过程中环环相扣、相互制约的风险动态控制机制。由于认识上的偏差,使内控制度未能得到健全和有效的落实,形成重制度制定,轻制度落实的现象。二是忽视内控机制在业务发展和创新的过程中的不断修订和完善。内控建设是系统内部的一种自律行为,内控机制始终是以动态的形式存在的,是通过人的实际活动和业务行为实现的,它的作用是通过对人的监督和制约,达到制衡的目的。现实中,在业务发展和创新过程中,往往考虑内部控制的同步完善,忽视了内部控制在决策、执行和监督整个过程中的作用。三是忽视人的作用。内部控制是一种机制、一个过程,是由人来实现的,内部控制中出现的各类问题,归根到底,都来源于人员的问题。只有通过对人的监督和制约,才能达到监督和制约事的目的。 (二)没有系统、全面的内控制度。现有的内控制度是各个分支局按照总局的要求,结合实际情况自行制定的内控制度,外汇局系统内缺乏一个自上而下、具有总体指导意义的科学、系统、全面、标准的内控制度,致使各分局内部管理制度不完善、操作程序不规范,内控制度存在着一定的漏洞,隐藏着一定的风险。表现在有的业务未制定授权制度,或授权不清,责任模糊;有的制定的管理权限不符合有关文件的要求;个别岗位责任制不完整;个别业务制度存在着滞后现象,未能随着业务发展而及时进行修订和完善。 (三)内控环境一定程度上制约着内控制度的执行。一是现有的管理模式,决定了上级部门对下级部门的考核在一定程度上重速度轻质量、重形式轻内容、重结果轻过程,导致内控制度未能覆盖所有的风险点,有的业务、岗位的内控制度存在盲点。二是风险控制分散,安全性较差。外汇管理业务专业性强,政策变化快,管理的内容和对象繁杂,还有较多的审核、审批职能,致使外汇管理部门人员数量与工作任务难以匹配,难以满足责任分离、相互制约、相互监督的要求, 不相容岗位分离的内控要求与人员不足的矛盾越来越突出,存在着一定的风险。突出表现在业务工作上存在一人多岗,部分业务存在“一手清”现象,业务印章及重要空白凭证管理不规范,审批业务时在政策法规的把握上存在误差等违规现象。 (四)对外汇管理重要性认识不足,是制约内控制度执行不到位的关键因素。一是部分外汇管理干部对内控制度建设的重要性认识不够,认为外汇管理部门不同于银行的重要业务管理部门,不存在风险防范问题。实际上,外汇管理部门监管着国家对外经济交往中的一切外汇资金的流出和流入,工作人员如在业务操作中稍有失误而形成风险,就可能给国家造成损失。如工作人员对进出口核销相关的单据审查不严,或未认真执行反洗钱的有关规定,就可能为犯罪分子逃套汇和洗钱提供可乘之机,造成国家外汇资金的损失。二是授权批准程序不规范。没有建立合理规范的授权分责制度和完善的审批手续,各种授权缺乏书面形式的确认,超越授权等现象存在。主要表现是:少数人思想认识不到位,碍于情面,造成调离、休假人员交接手续不全;部分人员工作责任心不强,工作中畏难情绪较重,使部分工作未能严格按照有关规定办理等。 (五)人员数量和质量在一定程度上影响了内控制度的执行。一是现行的内控制度要求业务分工互不兼容、业务操作互相制约,要求岗位设置明细化单一化。因各种原因,现有外汇管理部门存在着人员配备不到位的现象。一旦出现人员必须离岗,往往造成违规兼职代岗,甚至出现替代人员不能完全胜任所兼岗位的工作,由此而存在违规操作及可能发生的安全责任隐患。二是人员业务素质难以适应外汇管理工作的需要。少数人员对日常业务学习重视不够,又缺乏专业知识培训,导致业务知识面不宽,对有关规定理解不深刻,执行中容易产生误差。 (六)缺乏有效的监督手段。一方面由于外汇管理业务多集中在总分局一级,分局外汇管理部门对支局的外汇管理工作布置多,检查少;另一方面,外汇局系统尚未建立起一支专门从事外汇管理内部审计的队伍,外汇分支局内控制度检查工作难以做到制度化、程序化、经常化、专业化,检查监督力度不够,风险隐患难以及时发现。 二、完善外汇局系统内控制度建设的几点建议 (一)切实加强对内控制度建设的组织领导,努力推进内控制度建设向纵深发展。内控制度建设是一个系统工程,因此各级外汇部门要从讲大局、保安全的高度出发,对内控制度建设常抓不懈。一是要树立“内控优先”的思想,做到认识上定向,中心上定位,操作上定规,把抓内部控制机制的落实同抓运行机制、激励机制的落实放到同等重要的位置。人民银行分支行要加强对外汇分支局内控制度建设的组织领导,一把手亲自抓外管系统的内控制度建设,同时将内控制度建设列为分支局局长、外汇管理部门负责人、员工任期主要目标进行严格考核,保证内控制度建设各项工作落到实处。二是建议总局统一组织人员,研究当前外汇管理业务工作的各个风险环节,形成一套系统、规范、统一和便于操作的内部控制制度和操作规程文本,使分支局在完整统一的框架内,加强内部管理。 (二)坚持以人为本的原则,全面提高外汇局系统干部职工的素质。内控制度能否得到有效运作、执行,很大程度上取决于员工的政治业务素质的高低,取决于员工对制度的理解和执行。因此,必须加强对职工的政治思想、职业道德的教育,加强业务技能的培训工作。建议上级部门针对不同岗位的特点,结合外汇政策的调整,制定相应的培训教材,并随着业务发展、政策的变化而不断地调整,有计划、连续地对不同岗位的业务管理人员和操作人员进行培训。 (三)建章立制。实践证明,工作中存在的困难和问题,其原因是内部制度不健全,操作规程不统一,不规范。因此建章立制既是内部管理制度化、科学化、规范化的前提,也是内部管理能否落实的保证。外汇局系统应本着“权责明确、平衡制约、相互监督、优质高效”的原则,制定岗位责任制、内控制度、操作规程和业务审批权限;同时根据业务的发展和政策的变化,不断地对外汇管理规章制度和操作规程进行修订、完善。在内控制度的制定上:一是岗位职责应明确岗位目标、职责、职权、从事该岗位应具备的基本条件及各岗位之间应有的相互监督约束机制。权责的明确,能有效防止工作的重复、遗漏或推诿,提高办事效率,岗位间的相互制约能在一定程度上起到防范风险的作用;二是内部管理制度是内控制度的核心,应覆盖工作的各个方面,以制度约束人,以制度管理人,以制度制约人;三是针对目前内控制度中存在的对一般员工规定内容多、对管理层规定内容少、对业务操作规定内容多、对考核责任规定内容少的情况,进一步明确各级组织、各级领导、各个部门和工作岗位的职责和权限,使每一个岗位、每一项业务和环节,都有明确的制度约束,都有规范的制约关系,都有定期不定期的检查,都有具体的责任领导和责任人,形成一套分工合理、权责分明、运作有序的内控制度;四是在授权批准的控制上,要建立合理的授权分责制度,要按照业务工作程序授权,完善各种审批手续。各种授权都要以书面形式确认,以预防和控制风险的发生;五是建立科学有效的风险预警机制,建立覆盖各个业务领域的数据仓库和管理信息系统,对管理制度、审批程序、授权分责、职务分离、操作规程、岗位责任等情况实行适时监控和同步监测,及时规避或控制风险。 (四)加强监督机制,确保内控制度落实到实处。内控制度能否在外汇管理工作的实践中得到贯彻执行,关键在于人的操作,在于有一个有效的监督机制,否则,制度再好,没有有去执行或执行不严格,那制度就是一个花瓶式的摆设,不能发挥真正的作用。为此必须建立监督机制,确保内控制度有效执行。一是加强外汇局系统内审队伍建设,加大对分支局各项业务制度、操作规程执行情况的审计力度;二是发挥人民银行各分支行内审部门的作用,强化对外管部门内控制度执行情况实行定期或不定期的监督检查,突出检查的针对性和实效性,查细、查深、查透,及时发现外汇管理工作中存在的问题、管理中的漏洞、隐藏的风险,及时采取措施,减少差错、事故、案件的发生,提高风险防范能力和水平;三是建立有效的干部管理、监督和约束机制。要建立和完善干部诫勉制度和述廉制度,通过强化组织监督、规范群众监督、引导舆论监督、发挥社会监督,逐步建立起具有行业特点的干部监督管理机制。 (五)加强干部队伍建设。人是内部管理中最关键的因素,因为任何内控制度都需要由人来执行,拥有品质良好、训练有素的人员甚至可以在一定程度上弥补内部控制某些方面的不足,所以要加强外汇局系统内控制度建设,就必须全面提高从业人员的综合素质和能力,提高思想水平和道德修养。一是在人员配备上,尤其是重要岗位的人员配置不仅要配足,更要重视人员配置的质量,要按照“政治过硬、业务优良、作风清正、纪律严明”的标准配备。在人员岗位的设置上应体现“岗位选人”的原则,避免一手清、一专多能的岗位设置,依据岗位选定工作人员。二是加强人员、岗位的交流,实行重要岗位定期轮岗和离任审计制度,以规避和防范风险的发生。
❺ 怎样做企业内部控制体系建设
企业内部控制体系建设应从以下五方面进行建设:
一、战略制定
作为内控管理的第一站,内控战略规划的重要地位在于其对以后实施内控系统建设的所有方面的影响。合理的战略规划可以使企业的内控管理效率大幅度提高,确保企业的治理水平迅速达到所有者和管理层的预期目标。
二、机构设置
内控机构设置的主要工作包括:确定机构名称、层级、汇报对象、专业人员的具体名称、工作岗位设置、工作内容确定、人员选拔和素质要求、工作的具体原则等。以下将主要讨论组织机构的设置、内控工作的具体内容和岗位确定。
三、系统培训
任何企业在推行某个新的管理方法前,最大的问题就是如何快速、有效地转变人们已经习惯了的各种传统工作方法和思路。由于采用现代企业内控管理的具体操作方法将直接影响到企业现有的权力结构,这就意味着会遇到巨大的阻力。
为此,企业内控管理人员必须要对所有相关利益者进行系统的内控培训,在系统运行之前,把阻力减到最小。培训的内容主要有:编制培训资料、确定培训计划以及实施培训。
四、作业实施
严格地说,自从企业策划内控战略开始,就可以看作是进入了内控作业的实施阶段,这里指的是具体实施内控作业阶段。内控作业的内容主要包括:
1、制定企业内控管理程序,或者运营管理程序
2、评估检查企业的授权管理系统
3、潜在利益冲突调查
4、编制年度内控审计指导,实施内控审计
5、组织风险评估
6、内控问题调查(ICRQ)
7、舞弊案件调查
8、评价考核内控工作
9、参加公司董事会会议,对下属企业总经理、财务总监在执行内控政策和遵循授权管理方面的情况提出奖惩建议
10、组织保险业务
11、培训企业高级管理人员
12、内控工作报告
五、检查评估
根据内控五要素的解释,检查和评估是内控框架体系的一部分。这里的检查评估除了日常对企业各个业务操作的检查评估外,也包括对正在实施的内控系统的检查评估。内控部和外部审计师(也包括将来社会上成立的独立的内控体系评估机构)将构成检查评估的主体。
(5)内控建设系统性扩展阅读
企业内部控制体系建设的对象是财务总监及其他相关的高级管理人员、负责内部控制和内部审计部门的经理、主管和其他管理人员以及财务与其他职能部门的经理和管理人员
❻ 内控体系建设的五个环节
作为内控管理的第一站,内控战略规划的重要地位在于其对以后实施内控系统建设的所有方面的影响。合理的战略规划可以使企业的内控管理效率大幅度提高,确保企业的治理水平迅速达到所有者和管理层的预期目标。
制定企业内控战略规划具体应该注意掌握以下几个方面:
1.与企业战略目标保持严格一致
企业战略目标是制定企业所有具体业务目标的基础,内控战略目标也必须符合企业总体战略目标确定的方向。当前,关于企业的战略目标、原景、核心价值观等的主流观点基本上都是围绕着如何发展成为一个有社会责任感的企业来确定的。
内控战略目标通常可以按照企业希望达到的发展水平来确定。假如某企业的战略目标是在一定的期限内成为本行业的领导者并希望基业常青,那么其内控体系的战略目标就必须为符合这一要求提供有力的支撑;既不能高于这个目标,也不能低于这个目标。惟此,才能被企业内所有利益相关者和运营管理的所有参与者所接受。
此外,内控战略目标可以根据企业的发展状况分阶段确定。例如在某个阶段达到行业先进水平;某阶段达到国内同行业先进水平;某阶段达到国际先进水平等。
2.明确实现目标的具体标志
事先确定内控战略实现的具体标志,既可以为企业制订年度内控工作计划或绩效考核目标提供具体的依据,也可以为日后评价本企业内控战略目标的实现状况提供评价依据。
例如:某企业的内控战略目标是达到本省同行业先进水平。那么,企业就必须对本省的同行业内控管理的基本情况有所了解。然后确定自己的评价标准或实现标志。评价标准可以具体设置为:企业内控管理程序建设情况;内控组织系统建设情况;内控审计手段的先进和有效程度;舞弊案件的损失指标;企业的风险指标;全体员工对内控管理的理解情况等等。
3.基于企业实际需要的准确定位
所谓“准确”定位的标准就是目标必须与本企业的实际情况相符合,并清晰明了。例如一家小型企业集团的内控战略目标没必要定的太高;实现标志可以比较简单;业务范围可以适当缩小。这样,就可以以较低的成本投入达到预定的控制目标。
4.明确内控工作理念
这是开展企业内控工作的基本准则,否则不但内控体系起不到应有的积极作用,反而会成为企业发展的掣肘之物。例如建立“寓监督于服务”之中的工作理念,就可以避免单纯的监督审计容易引起抵触的缺陷;按照内控五要素,建立全面预防风险的原则,就可以为开展内控工作提供具体的评价依据。
5.认同
内控战略目标确定过程必须经过所有者或最高管理层的批准和确认。能够在获得高层批准前,先征求下属分、子公司管理层的意见并取得一致意见也是非常必要的。这些举措可以为日后推行内控管理减少阻力。 内控机构设置的主要工作包括:确定机构名称、层级、汇报对象、专业人员的具体名称、工作岗位设置、工作内容确定、人员选拔和素质要求、工作的具体原则等。以下将主要讨论组织机构的设置、内控工作的具体内容和岗位确定。
1.组织机构设置
目前中国规模较大的国有或上市公司,通常都会在监督决策层设置监事或独立董事、董事会下的审计委员会;在运营管理层则设置内部审计部或监察部等职能部门。应该说已经建立了内控组织机构。但关键是这些机构存在许多缺陷,这些问题构成了当前公司治理的主要障碍之一。具体表现如下:
*具体执行机构缺失
比如,企业中通常没有具体的执行机构为监事或独立董事的实现监督职能提供“硬件”条件;这使得监事或独立董事的职务常常“沦为”一种对外形象功能,在人员安排上以安排退休前的资深领导为主。审计委员会通常也处于相同的情况,其获得信息的来源主要是董事长和总经理等高层管理者,无法真正履行其监督职能。
*内部审计部通常在工作范围以及报告对象上处境尴尬
一般企业的审计范围仅限于财务审计;其工作报告对象通常只是其监督对象的财务总监或总经理。笔者认为,比较理想的内控管理组织机构,应当在一定独立性的条件下,能够具体介入企业日常运营管理工作。这一点应当和外部审计有所区别。一些像BP这样的国际化大公司在其业务组织机构中就使用了内控部代替内部审计部。表面看,只是名称不同,但实际上却有着非常大的区别。主要表现在:
A.独立性程度不同
内部审计部通常按照审计规则要求,为保持完全的独立性不得介入企业的日常经营活动。而内控部则可以较深入地介入企业的日常经营活动,了解更多的情况并提供管理咨询服务,从而达到“寓监督于服务之中”的效果。
B.审计检查范围不同
虽然当前的内部审计部在审计范围上也在力求突破传统的财务审计,向运营管理审计方面发展,但毕竟受到从业人员资格和工作背景的限制,无法真正实现其对运营管理的有效监督检查。而内控部由于在雇佣人员方面没有局限性(非财务和审计资格的人员也可以参加内控审计检查工作),因此,可以做到对企业的全面运营管理实行更有效的监督检查。
C.报告对象不同
内部审计部通常只是向企业的CEO报告工作,向CEO负责。因此,许多涉及CEO本人利益的问题通常无法得到彻底解决,甚至根本无法解决。而内控部则可以在向企业CEO报告工作的同时,还能直接向审计委员会、甚至监事或独立董事报告工作。这在一定程度上保证了审计报告的真实可靠性。 任何企业在推行某个新的管理方法前,最大的问题就是如何快速、有效地转变人们已经习惯了的各种传统工作方法和思路。由于采用现代企业内控管理的具体操作方法将直接影响到企业现有的权力结构,这就意味着会遇到巨大的阻力。为此,企业内控管理人员必须要对所有相关利益者进行系统的内控培训,在系统运行之前,把阻力减到最小。培训的内容主要有:编制培训资料、确定培训计划以及实施培训。
1.编制培训资料
*通过各种渠道收集内控管理资料和各种案例。内控案例应当以本企业已经发生的事件为主,适当选用社会案例;
*根据本企业实际情况,筛选资料;
*使用各种演示手段,组织编排演示文本,电子版本和纸质版本;
*培训资料应尽量使用各种案例解释各种概念。
2.确定培训计划
*确定培训对象
内控培训对象应该包括企业董(监)事、CEO、CFO等全体高层管理人员和普通管理人员。普通管理人员中应当包括库房保管、司磅人员、质量检验人员、保卫干事等敏感岗位的操作人员。
*培训方法
脱产专门培训和现场在岗培训,单独沟通交流培训以及工作交流培训等多种形式。
*确定培训的目标和具体实施的时间以及考核评价培训效果。内控培训应该和企业的其他培训计划相结合。
3.实施培训
对于董(监)事、CEO或CFO、公司总经理等高级管理人员,通常采用单独交流的方式介绍内控管理的要点;
对于专业内控管理人员则需要进行全面的脱产专门培训并结合其他在岗和工作交流培训;
对于其他普通管理人员则以短期脱产集中培训结合现场其他在岗培训。
在整个受训的人群中,对高级管理人员的培训是整个培训的重点。鉴于财务总监在内控体系中的重要性,企业在考虑选聘财务总监时,应当尽可能选择具有内控工作背景的财务人员。国际上的一些著名企业如GE公司,其选拔的财务总监通常是来自从事过内部控制(内部审计)工作的人员。具有从事内控(内部审计)工作背景的人员将成为未来财务总监的重要来源。
有关内控培训方面的工作,如果企业限于自身培训力量和其他考虑,通常可以委托其他专业管理公司的专家来协助进行。这种培训通常限于集中的脱产培训。但日常培训主要还得依靠企业内部力量完成。 严格地说,自从企业策划内控战略开始,就可以看作是进入了内控作业的实施阶段,这里指的是具体实施内控作业阶段。内控作业的内容主要包括:
1.制定企业内控管理程序,或者运营管理程序
内控的实质就是法制化、程序化管理。内控管理程序与传统的企业管理程序的最大区别是以系统的方法设计业务流程并且事前就充分考虑规避各种潜在的管理风险。因此,内控部门在组织各职能部门编制内控管理程序时应当首先对所有的业务流程中存在的各种潜在的风险进行评估并且在程序设计中予以规避。这里包括组织牵制、授权系统确定、政策规定等等。制定企业内控管理程序应当充分考虑与企业现有的质量管理体系的兼容问题。
2.评估检查企业的授权管理系统
任何一家企业无论是否有内控管理,一定存在一套授权管理系统。但问题是这些存在的授权管理系统是否科学、清晰合理,是否存在越权和越级的潜在风险。这就需要内控专业人员对系统进行评估并提出修改调整意见。内控人员需要与公司的CEO、CFO以及人力资源部和各业务部门共同合作,对现有的岗位职责进行调整。岗位职责在内控管理中属于一般授权管理。建立临时特别授权管理制度。
3.潜在利益冲突调查
为保证内控管理的组织牵制原则得到有效的实施,当前的主流非家族经营管理的企业通常需要在处理日常业务中避免产生雇员与企业发生利益冲突的情况。为此,企业内控管理人员应当根据企业实际情况设计一套利益冲突调查文件并提出规避潜在利益冲突发生的具体措施。然后组织下属企业开展全面的利益冲突调查,最后根据调查结果提出处理意见,包括替代控制措施。
4.编制年度内控审计指导,实施内控审计
无论是内部审计还是内控审计,都应当在审计前制定审计指导。编制审计指导应当依据一般内部审计准则要求结合本企业实际情况和需要编制。具体的审计项目应当按照内控五要素(内控框架)进行分类。这里需要再次强调,内控审计和传统的内部审计在审计范围上不同,包括了财务之外的其他运营管理工作,如职工安全与环境保护,质量管理和生产现场管理,6S管理,6西格玛管理、精益生产等内容,因此,在设计内控审计指导时应当和相关业务部门进行充分的合作,保证审计项目和审计资源配置的合理性。为便于对各下属企业的内控管理进行客观横向比较,内控审计指导可以同时附带建立评分系统。这样,内控审计人员在审计检查过程中可以提出客观科学的评价结果。
在完成对所有下属公司的年度审计后,内控管理人员就可以对各企业的实际情况进行量化分析比较,为分析企业的管理风险提供客观依据。内控审计指导应当根据企业管理风险变化情况,定期进行调整更新。实施年度内控审计,通常可以要求下属企业内控人员参加,通过交叉审计对下属企业内控人员进行业务培训。
5.组织风险评估
控制管理风险是内控的根本目的。因此,企业内控部应当定期对各下属企业的管理风险进行评估。管理风险评估应当事先进行全面的规划。包括确定风险评估的对象(各种业务程序和处理环节),风险种类的确定,风险等级的评定,评估人员的组成,评估表格的设计,评估结果分析等。风险评估是开展内控工作的基础,也是制订内控管理程序的重要依据。各个企业由于所处行业不同,地域不同,竞争程度不同,产品种类不同,其管理风险也有很大的不同。突出重点,抓住高风险项目,是平衡企业控制风险和投入成本的重要手段。
6.内控问题调查(ICRQ)
为保证企业内控管理得到有效执行,各企业的下属机构除了要接受总部的内控审计和外部审计外,还应当定期或不定期举行自我检查。自我检查的主体是各分、子公司总经理和各业务部门负责人。分、子公司的内控管理人员牵头组织实施。总部内控部通常应当根据上年度审计发现的问题,结合最新企业风险变化情况等,编制企业年度内控问题调查提纲发给各分、子公司供其参考。分、子公司内控人员可以根据本企业实际情况和需要,对自查内容进行补充。企业内控问题调查表,应当根据企业管理风险变化情况和以前年度审计发现的普遍弱点进行调整。
7.舞弊案件调查
舞弊问题对企业造成的损失是造成企业效益下降甚至导致企业破产的重要原因。因此,预防舞弊风险当然也就成为企业内控管理的主要内容。舞弊问题产生的后果,通常可以用货币数量来反映。舞弊损失数量是企业内控管理工作绩效考核的重要指标。内控人员应当定期或不定期对企业发生的舞弊案件进行调查并分析汇总舞弊发生的原因,为管理者采取预防措施提供依据。对于国内企业,特别是国有企业来说,舞弊案件通常由监察部或纪检委负责调查。但是,对于没有这些机构的外资企业或上市公司来说,就需要由内控部和内控人员介入调查。内控部每年应当对企业发生的舞弊情况进行汇总分析并为管理层提出相应的预防措施。
8.评价考核内控工作
评价考核企业内控人员的工作包括两部分。首先是内控人员绩效完成情况。根据每年与内控人员签定的绩效协议,对其工作进行考核评价;其次,对内控管理完成好的企业内控人员进行表彰。为保证内控人员工作的相对独立性和权威性,内控部将对下属分、子机构的内控人员招聘和解雇提出意见。
9.参加公司董事会会议,对下属企业总经理、财务总监在执行内控政策和遵循授权管理方面的情况提出奖惩建议 。
参加公司的重要决策会议,对重大项目实施提出管理风险控制方案。例如内控先行的概念。众所周知,万丈高楼平地起,无数失败的案例表明,造成一个好项目日后失败的众多原因中,没有预先建立严格的内控体系并按照程序规定操作是其中最重要的原因。
10.组织保险业务
购买企业保险,除了能够弥补各种突发事件给企业造成的损失外,同时也具有预防管理风险的作用。要做好企业内控工作,除了利用内部资源外,保险业务也可以成为促进企业内控管理的有效工具。如何选择购买保险项目,如何事先准备预防保险事故发生以及如何准备保险索赔资料等,都和企业内控管理有重要的关系。
11.培训企业高级管理人员
内控工作的一个重要内容就是培训企业高级管理人员,特别是财务总监。实践表明,有财务背景的专业人员在得到内控审计培训后,通常可以很好地胜任企业财务总监的工作。从事过一定时期的内控审计工作后,通常就有机会得到作为一名合格财务总监所需要具备的许多条件。比如良好的职业道德、敏锐的风险意识、出色的沟通技巧、较多的处理疑难问题的经验等等。
12.内控工作报告
企业内控部工作报告对象将包括董(监)事、CEO和总经理等人。内控工作报告有定期和非定期两种。定期报告主要是定期分析企业总体内控状况,当前存在的高风险问题,各种审计结果,以及针对薄弱问题提出的改进意见和建议。好的内控人员可以成为企业董事长、CEO的安全事务助理。
由于打破了内部审计师的工作范围,可以列入实施内控作业的项目还可以增加。这里特别要提出的是“内控服务”的观念。我们通常所说的“寓监督于服务之中”就是为了体现这一观念。它从本质上改变了传统的内部审计观念。从实践经验来看,如果要想使企业的内控管理体系真正发挥作用,就必须抛弃单纯监督审计的观念,代之以监督审计与服务并重。内控服务的内容主要应当以提供管理咨询意见和建议为主。 根据内控五要素的解释,检查和评估是内控框架体系的一部分。这里的检查评估除了日常对企业各个业务操作的检查评估外,也包括对正在实施的内控系统的检查评估。内控部和外部审计师(也包括将来社会上成立的独立的内控体系评估机构)将构成检查评估的主体。进入本站的主要工作内容有:
1.内部自我检查评估
由集团内控部负责,对企业已经实施的各项内控工作进行全面的检查和评估。从战略规划和年度内控工作计划开始,到组织机构设置和运营情况,再到培训工作和实施内控作业,进行全方位的检查评估,然后提出改进措施。 2.外部审计师的评估
根据《公司法》规定,所有企业都应当通过外部审计机构的年度审计。外部审计师在实施审计时,为规避其审计风险,通常要对被审计对象的内控体系进行检查评估。因此,获得外部审计师的评价意见和建议,将从另外的角度为企业改进内控管理体系提供重要的依据。
3.企业为获得更为专业的内控评价意见,也可以邀请具有一定资格的其他独立第三方对企业进行检查评估。
❼ 如何建立内部控制管理信息系统功能
管理信息系统是为了适应现代化管理的需要,在管理科学、系统科学、信息科学和计算机科学等学科的基础上形成的一门科学,它研究管理系统中信息处理和决策的整个过程,并探讨计算机的实现方法。它是一个由人、计算机、通信设备等硬件和软件组成的,能进行管理信息的收集、加工、存储、传输、维护和使用的系统。管理信息系统可促使企业向信息化方向发展,使企业处于一个信息灵敏、管理科学、决策准确的良性循环之中,为企业带来更高的经济效益。所以,管理信息系统是企业现代化的重要标志,是企业发展的一条必由之路。
信息系统在管理各项事务中有着普遍的应用,促进了企业管理工作的提升。管理信息系统是为管理服务的,
它的开发和建立使企业摆脱落后的管理方式,实现管理现代化的有效途径。管理信息系统将管理工作统一化、规范化、现代化,极大地提高了管理的效率,使现代化管理形成统一、高效的系统。过去传统的管理方式是以人为主体的人工操作,虽然管理人员投入了大量的时间、精力,然而个人的能力是有限的,所以管理工作难免会出现局限性,或带有个人的主观性和片面性。而管理信息系统使用系统思想建立起来的,以计算机为信息处理手段,以现代化通信设备为基本传输工具,能力管理决策者提供信息服务的人机系统,这无疑是将管理与现代化接轨,以科技提高管理质量的重大举措。管理信息系统将大量复杂的信息处理交给计算机,使人和计算机充分发挥各自的特长,组织一个和谐、有效的系统,为现代化管理带来便捷。
在现代化管理中,计算机管理信息系统已经成为企业管理不可缺少的帮手,它的广泛应用已经成为管理现代化的重要标志。在企业管理现代化中,组织、方法、控制的现代化离不开管理手段的现代化。随着科学技术的发展,尤其是信息技术和通讯技术的发展,使计算机和网络逐渐应用于现代管理之中。面对越来越多的信息资源和越来越复杂的企业内外部环境,企业有必要建立高效、实用的管理信息系统,为企业管理决策和控制提供保障,这是实现管理现代化的必然趋势。
管理信息系统在管理现代化中起着举足重轻的作用。它不仅是实现管理现代化的有效途径,同时,也促进了企业管理走向现代化的进程。
信息的作用:增强国家经济的可持续性快速发展,增强国家的综合实力;
有利于迎接加入wto后的挑战,适应国际化竞争信息化是决定成败的关键因素,有利于抓住新世纪的良好发展机遇。我们正处在知识经济迅速崛起,全球信息化迅速发展的时代。对信息的采集、共享、利用和传播,不仅成为决定企业竞争力的关键因素,也成为决定国家生产力水平和经济增长的关键因素。
信息是可持续发展的基础,也是决策者进行成功规划的基础,能提高,经营管理信息的准确性和及时性,有助于,决策的进一步科学化。
能促使业务办事程序和管理程序更加合理,从而有助于增强快速反应能力。
能进一步促进资源的合理组合及利用,使其在现有资源条件下达到最佳利用效果,从而大大提高生产经营效率和管理效率。
提供一个的强大、快捷的信息交流平台,有助于我们紧紧跟踪一些先进经验和成果,从而有助组织的发展.