风险和内控
❶ 如何建立风险与内控管理体系
仅供参考
一、基础概念篇
在这里,你将熟悉,内控体系具体是什么,建立内控体系需要解决的误区以及流程体系建立的作业流程。
1、内控体系建设涵盖哪些东西,主要内容是什么?
国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系,所以他的具体内容与外资企业的sox404体系差不多。一般整个内控体系涵盖的内容含如下几个内控手册,风险数据库,内控评价手册。
内控手册为每个作业流程的描述,内容含流程描述、流程图、授权说明、岗位职责分离说明。
风险数据库可能导致风险的现象描述的汇总。风险指导致公司资产不安全,作业不合规合法,运营效率效益低下,财务报表数据不真实等。
内控评价手册具体含三部分,第一部分检查制度设计合理或者文档的齐全性,第二部分检查控制过程,第三部分检查会计帐务处理控制。
2、内控体系与ISO质量体系有什么区别和联系?
目的不同:内控体系是以会计报告为主要目的,而ISO质量体系是以产品质量为主。
控制活动不同:在现阶段18个指引来看,内控体系缺少对生产过程控制;而ISO质量体系则以产品质量为主,涵盖产供销价值链,但是缺少会计系统控制。
涉及部门不同:在ISO体系内不存在财务部门,以研发、生产、采购、销售部门为主;内控体系几乎涵盖公司各部门,因为有句话说得好,只要是企业在运作的,其最后的运作成果就是财务数值。
3、内控体系的控制活动的业务流程如何划分,如何做到将各业务流程进行涵盖?
最简单的第一步就是拿到组织架构图,之后看到是否是以事业部为编制的,则是事业部的名称作为一级流程,事业部下属的部门分为二级流程,如果下属的部门涵盖多个职能则划分为三级流程。如销售事业部,则销售循环作为一级流程,下属的商务部负责订单处理的则作为订单处理作为二级流程。如商务部有两个功能除了订单处理还涉及到销售货品的备货计划制定。则订单处理作为二级流程,订单处理和备货计划制定作为三级流程。
4、 单个作业流程具体怎么描述,怎么将业务流程所涵盖的信息进行归纳处理?
作业流程就是描述一个为达到特定的价值目标而由不同的人分别共同完成的一系列活动。一个完整的作业流程应该包含6项内容,具体如下:
流程控制人:参与到作业流程中的人,具体描述的时候应注意该控制人所涉及的部门及岗位具体名称。
控制频率:作业的时间间隔控制。
控制活动:流程是如何作业的。
控制痕迹:作业完成后形成的书面痕迹
控制方式:系统控制还是人工控制。
异常控制:授权体系外的作业流程是如何控制的。
举例如下:描述超市客服处对会员积点兑换控制流程,之前描述了一个出纳盘点流程,大家都熟悉,这次描述复杂点的。
流程控制人:售后服务部的客服专员,客服主官
控制频率: 客户不定期来兑换会员积分。
控制活动: 客服专员根据会员要求兑换相应的赠品,同时在xxx系统内扣除积分,并在XX赠品台帐内要求客户签字。
控制痕迹: 形成扣完积分的积分表和留有客户签字的赠品台帐。
控制方式: 兑换的系统积分由XX系统内扣除。
异常控制: 积分不够,如客户要求加钱补足积分,则客户专员需得到客服主管的口头授权,在收取钱款后并在赠品台帐做书面说明。
总的一句话:客户不定期对积分进行兑换,提出兑换的物品,售后服务部的客服专员在XXX系统内扣除积分,同时手工登记赠品台帐,在客户签字的情况下,将赠品进行赠送。如积分不够,如客户要求加钱补足积分,则客户专员需得到客服主管的口头授权,在收取钱款后并在赠品台帐做书面说明。当天营业结束前,客服主管需要对赠品台帐和积分兑换系统进行核对。
5、内控体系建立的流程是怎么样的?
大致的作业流程是这样的:
(1)
组织架构:先建立内控小组,为了使内控体系得到有效落实和贯彻,所以内控小组的组长最好是总经理或者董事长。主要的作业人员最好是公司的内审部门或者新建的内控部或者风险管理部,如果没有此类部门则最好选一名懂财务的,如财务主管,另外加一名懂业务的作为内控小组的主要作业成员,最好另外辅助2-3名人员。
(2)
业务运作:总经理或者董事长开内控项目启动会,同时主要成员讲述内控系统的作业和具体要求。会议结束后,内控小组给各部门提交部门的制度,内控小组完成制度的对标和梳理工作。各职能部门限期内提交流程。内控小组根据内控指引对现有的作业流程的描述进行评价,同时开展小组会议对各职能部门未设置的流程及有缺欠的流程进行优化重组。内控小组根据谈论完毕的各流程进行内控手册的编制和流程图的绘制,最后形成内控手册。由总经理授权下发。
(3)
内控小组等类似部门不定期进行内控评价,并根据各职能部门的变化对内控手册进行优化等。
6、如果业务部比较忙,无法绘制作业流程,那访谈怎么做?
首先编制访谈计划,需要提供给部门接收访谈的人员一个访谈提纲。
访谈一般安排2个人,1人访谈,1人记录。记录人不要求将每句话记下来,只要将讨论的主题,以及讨论的结果记录下来即可。
访谈的时候,先讲明不是来指责部门的作业流程的缺失,而是主要是完善和建立内控体系。访谈的问题主要围绕作业流程进行,而不是扯淡的问,风险在哪里,自己说。
7、流程图怎么绘制,采用什么软件?
一般选择微软的visio绘图软件或者smart draw 绘图软件,这两者的区别是visio看上去比较正规,而smart draw 比较好看。
8、作业现场是否需要绘制流程图?
最好绘制流程图,因为在描述整个流程的时候,如果不绘制流程图,可能看不到什么遗漏。最好访谈完毕,直接将流程图绘制,之后与业务部门进行核对。
9、如何完成制度对表的工作?
制度对表的工作一般可以在进场后的或者访谈结束后,当场完成对制度的评价。制度的评价主要的风险点为:流程描述不清楚或者缺失,岗位职责人或者控制部门不明确,岗位职责未分离,异常流程未描述,控制痕迹或者流程的表单未明确,控制频率未明确,未体现控制方式。(即未描述存在手工或者系统控制。)
10、如何完成风险点的汇总
现场的风险点的汇总,不是访谈人说什么风险就是风险点。而是根据访谈人提供的风险点提示,内控人员通过系统或者会计凭证等书面资料核实完毕之后再归纳汇总至风险点。而且在完成风险点之后最好与被访谈人员再次作风险点确认。
11、如何完成风险点的报告?
风险报告主要是对现有的流程的分析,所以可以按照事业部,之后将事业部涉及的流程综述,之后对各流程进行评价。而不是一堆风险点的堆砌。看上去100-200张ppt但是看得头晕。而且汇报结束老板对你不爽。
12、内控检查与内审的区别和联系在哪里?
内控检查的主要目的是建立和明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。所以内控主要是流程稽核,主要的作业模式就是控制点有没有建立。
内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段,核实业务事项是否真实合理。
简单的说,就是。内控是检查你吃饭的顺序,如先吃菜再吃饭或者先吃饭再吃菜。内审就是检查吃法好不好,对于胖人吃大量的肥肉,可以建议减少摄入量。
二、体系建立篇
在这里,你将熟悉每个控制活动所涉及的每个流程应该做的内控要点以及关键控制点的描述。由于涉及的内容较多,我这里简单的作一个销售模块的内控体系建立,其他模块的建立可在模仿的情况下,分别建立。
1、销售模式的确认
一般销售的模式分如下几种,正常销售、国际贸易、团购,涉及到酒类或者其他制造业会涉及到品牌销售模式。
这里解释一下品牌销售模式,即允许被授权商生产与自己相同的产品,贴自己的商标和品牌,收取品牌或者商标费的一种作业模式。
2、正常销售的流程划分
由于正常销售可划分为单次销售或者通过订货会或者其他模式先签订框架合同这种销售模式进行作业。其实这提到的可以将其作为一场流程进行控制。
一级流程:为销售流程。
二级流程:可以划分为销售定价、信用管理、合同签订、订单处理、备货处理、发货签收、收款入账处理、开票管理、应收款管理等。
三级流程:
其中销售定价流程可以划分为年度销售定价流程、中期价格变更或者临时价格变更流程。其中如果是系统控制,则需要明确哪个部门的什么岗位在系统中进行价格的录入和变更,最后由谁来审核。
信用管理流程可以划分为客户准入评价流程,不定期评价流程及信用变更流程。由于这一块基本上很少有客户在进行作业或者处理,所以在调研流程的时候,可能客户不会提供该流程,所以在编制内控手册的时候,需要做好与客户的随时沟通。
合同签订流程可以划分为合同起草、审核、盖章和保管作业流程。
订单处理流程可以划分为正常订单处理流程,订单取消流程和逾期未处理订单流程等。
备货处理流程可以划分为下发货通知单、物品调配流程和物品调配不足流程。
发货签收流程可以划分为发货单制定流程、物流选择流程、出库审核流程和客户收货签收流程。
收款入账流程。
发票开具流程含客户提交增值税资质流程和开票流程。
应收款流程含应收款催收流程、逾期坏账准备计提流程、坏账冲销流程。
如果调研或者访谈的时候将上述流程调研清楚,同时在内控手册中描述清楚,那么销售模块基本上就完成了
❷ 风险管理与内部控制有什么区别
目前这方面的理论不是很清晰。有人说,内部控制包含风险管理,可以看很流行的内部控制模型COSO五要素中有一要素是风险管理。也有人说,风险管理包括内部控制,可以参考全面风险管理模型ERM模型中的要素包括内部控制;也有人说,风险管理就是内部控制,或者换句话说,内部控制不是无源之水,是为了进行某些风险的管理,我们才设计了某些控制,不是纯粹的为了控制而控制。所以理论上怎么解释都有支持的依据,重点还是实务,现在说到内部控制鲜有不谈风险管理的。
❸ 请问内控与风控区别
内控包括风控,内控包括内部环境、风险评估、控制活动、信息活动与沟通、内部监督。内控更全面更系统。而风控指控制企业财务损失风险。
❹ 审计,内控,风险管理,三者是什么关系
内部审计、内部控制和风险管理三者之间相互依存,相互作用,形成一个有机的整体,贯穿于企业经营管理的始终,共同服务于企业经营、战略日标的实现。风险管理为内部控制和内部审计提供了基础和前提,也为内部审计和内部控制指明了努力的方向,内部控制为风险管理提供了控制乎段,也为内部审计提供了审计对象;内部审计不仅直接以风险管理和内部控制作为检查和评价的对象,而且通过审查、评价帮助风险管理和内部控制的完善和优化。
风险是指未来的不确定性对企业实现其经营目标的影响,如何有效的辨识、分析、评价,并适时采取有效措施防范和控制这些风险,便构成了风险管理的内容。这里企业面临的风险包括内部风险和外部风险两类。
内部控制是指由董事会、监事会、经理层和全体员工实施的旨在实现控制目标的过程,主要是指对企业内部风险的控制。
内部审计是一项独立、客观的咨询活动,用于改善企业的运作并增加其价值。通过引入一种系统的、有条理的方法去评价和改善风险管理、控制和公司治理流程的有效性,内部审计可以帮助一个机构实现其目标
有这样一个例子,可以较为形象的说明风险管理、内控、内部审计三者之间的关系,某人开车从A地到B地去,那么他的目标就是在保证安全的前提下尽快到达目的地。
在这里,把汽车作为一个主体,那么在由A到B的过程中,存在各种不确定因素影响这一目标实现,即存在各种风险,既包括来自车辆自身的内部风险,对于汽车自身而言的风险无处不在,如车身质量、油电系统、动力系统、制动系统等都会影响由A到B目标的实现。也包括汽车之外的风险,如天气、道路状况、其他车辆等。概况起来说,存在内部风险和外部风险。因此,为了顺利到达,必须采取相关措施,来保证这一目标的实现。
首先,从车辆本身角度来说,强化车身结构,保证车辆整体性,限制最高车速,进行事前控制。
需要加装刹车、ABS等制动保障系统,胎压监测、防爆胎系统等进行事中管控;加装安全气囊等进行事后控制。
制定、掌握正确的驾驶方法、流程,通过各种法律、法规加强对驾驶人员的监管和奖惩。
以上基于车辆的控制,被视为内部控制。
其次,除了汽车自身的存在的各种风险,天气、道路状况、其他车辆等外部风险也可能影响到出行目标的实现,对此,可以通过提前观看天气预报、收听道路信息等,进行提前掌握相关信息,并采取相应防范和应对措施也就是对外部风险的管控。
从以上可以看出,既包括内部控制,也有外部风险管理,这些构成了风险管理。
内部审计就是识别、分析存在的各种分析因素,检查、评佑,内部控制、风险管控的有效性,定期检查风险情况、管控措施的有效性及剩余风险等,以此来改进、完善风险管控水平和能力,以便目标更好的实现。
对于企业而言,正因此存在各种风险影响经营目标的实现,因此需要加强内部控制,从内部管理的角度来规范各项流程、制度等,提高内部管理的水平和能力,规避、降低各种存在的风险,提升企业的绩效。因此风险的存在是内部控制产生、发展的主要因素。但是,内部控制并不等同于风险管理,企业面临的风险包括内部风险和外部风险,内部控制只能控制一部分内部风险,对于政策变化风险、经济环境风险等外部风险,内部控制很难达到一个好的控制效果,需要进行风险的辨识、分析、评价,采取风险管控措施来规避、降低这些风险。也就是说,内部控制是风险管理的一个重要手段和组成部分,风险管理是比内部控制更广泛、更全面的管理理念。
从企业管理的角度看,内部审计与内部控制之间是紧密联系,二者共同为企业绩效目标的实现提供了有效保障。一方面,内部审计是内部控制的重要组成部分,通过对内部控制的检查、评价,不断提升内部控制的效率和效果,完善企业的内部控制体系,进而提升企业的管理水平;另一方面,内部控制是内部审计的直接对象,良好的企业内部控制,可以为内部审计提供良好的审计环境,提高内部审计的质量。
企业在生产经营过程中,风险管理和内部审计也是相互联系,密不可分的。面对各种内外部风险,企业通过有效的风险管理,辨识、分析、评价存在的各种风险,并采取措施,规避、降低风险,将风险控制的可承受的范围之内,保证企业经营目标的实现。而内部审计,则独立的对风险管理的过程进行审查,通过对风险管理有效性和剩余风险的检查、评价,不断改进、完善风险管理,提升风险管理的效率和效果,保证企业经营目标的实现。因此,内部审计是风险管理系统的重要组成部分,同时又具有独立地位,是对风险管理的监控。
❺ 内控风险和风险管理有何区别
《企业内部控制基本规范》及其配套指引,充分吸收了全面风险管理的理念和方法,强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险,促进企业实现发展战略,风险管理的目标也是促进企业实现发展战略,二者都要求将风险控制在可承受范围之内。因此,内部控制与风险管理二者不是对立的,而是协调统一的整体。
❻ 内部控制与风险管理的关系是什么
风险管来理是个大概念,而内源部控制相对风险管理来说就更加具体和有针对性了。
怎么理解呢?我举一个例子
首先了解一下固有风险和剩余风险的概念。前者是当你设定好一个目标后还未开展任何风控活动就面临的所有潜在风险。剩余风险就是当你设定好目标后,认识了潜在风险,那么通过一些列的控制活动来降低、规避、转嫁这些潜在风险后还有未能被控制的潜在风险。
其中这个一些列的控制活动中对自身(企业内部)进行控制的称为内部控制。因为外部风险是不可控的,只能预测。
在ISO31000的框架中,Internal Control 就是 Risk Management中的第四个关键点。
我想你这么理解可以方便一些。
❼ 内部控制和风险管理的区别与联系是什么
区别:(1)两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
(2)两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
(3)两者对风险的定义不一致。在COSO委员会的全面风险管理框架中,把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),将风险与机会区分开来;而在,COSO委员会的内部控制框架中,没有区分风险和机会。
(4)两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程。这些内容都是内部控制框架中没有的,也是其所不能做到的。
联系:1)全面风险管理涵盖了内部控制。COSO2003年7月公布了全面风险管理框架的征求意见稿中明确地指出全面风险管理体系框架包括内控作为一个子系统。从时间先后和内容上来看,全面风险管理是对内部控制的拓展和延伸。
(2)内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。
从国际国内发展趋势来看,随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
内部控制
国外较为经典的是 ASB 对内部控制的定义。1972 年,美国审计准则委员会(ASB)所做的《审计准则公告》,该公告循着《证券交易法》的路线进行研究和讨论,对内部控制提出了如下定义:"内部控制是在一定的环境下,单位为了提高经营效率、充分有效地获得和使用各种资源,达到既定管理目标,而在单位内部实施的各种制约和调节的组织、计划、程序和方法。
❽ 内部控制和风险管理的区别与联系
现代理论界对内部控制的定义各不相同,但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制的定义。该组织认为:企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。
依据COSO委员会 2003年7月完成的《全面风险管理框架》定义:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。
联系:1)全面风险管理涵盖了内部控制。COSO2003年7月公布了全面风险管理框架的征求意见稿中明确地指出全面风险管理体系框架包括内控作为一个子系统。从时间先后和内容上来看,全面风险管理是对内部控制的拓展和延伸。
(2)内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。
从国际国内发展趋势来看,随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
区别:(1)两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
(2)两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
(3)两者对风险的定义不一致。在COSO委员会的全面风险管理框架中,把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),将风险与机会区分开来;而在,COSO委员会的内部控制框架中,没有区分风险和机会。
(4)两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程。这些内容都是内部控制框架中没有的,也是其所不能做到的。