内控体系建设方法
A. 如何建立内部控制体系
一、基础概念篇
在这里,你将熟悉,内控体系具体是什么,建立内控体系需要解决的误区以及流程体系建立的作业流程。
1、
内控体系建设涵盖哪些东西,主要内容是什么?
国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系,所以他的具体内容与外资企业的sox404体系差不多。一般整个内控体系涵盖的内容含如下几个内控手册,风险数据库,内控评价手册。
内控手册为每个作业流程的描述,内容含流程描述、流程图、授权说明、岗位职责分离说明。
风险数据库可能导致风险的现象描述的汇总。风险指导致公司资产不安全,作业不合规合法,运营效率效益低下,财务报表数据不真实等。
内控评价手册具体含三部分,第一部分检查制度设计合理或者文档的齐全性,第二部分检查控制过程,第三部分检查会计帐务处理控制。
2、
内控体系与ISO质量体系有什么区别和联系?
目的不同:内控体系是以会计报告为主要目的,而ISO质量体系是以产品质量为主。
控制活动不同:在现阶段18个指引来看,内控体系缺少对生产过程控制;而ISO质量体系则以产品质量为主,涵盖产供销价值链,但是缺少会计系统控制。
涉及部门不同:在ISO体系内不存在财务部门,以研发、生产、采购、销售部门为主;内控体系几乎涵盖公司各部门,因为有句话说得好,只要是企业在运作的,其最后的运作成果就是财务数值。
3、内控体系的控制活动的业务流程如何划分,如何做到将各业务流程进行涵盖?
最简单的第一步就是拿到组织架构图,之后看到是否是以事业部为编制的,则是事业部的名称作为一级流程,事业部下属的部门分为二级流程,如果下属的部门涵盖多个职能则划分为三级流程。如销售事业部,则销售循环作为一级流程,下属的商务部负责订单处理的则作为订单处理作为二级流程。如商务部有两个功能除了订单处理还涉及到销售货品的备货计划制定。则订单处理作为二级流程,订单处理和备货计划制定作为三级流程。
4、 单个作业流程具体怎么描述,怎么将业务流程所涵盖的信息进行归纳处理?
作业流程就是描述一个为达到特定的价值目标而由不同的人分别共同完成的一系列活动。一个完整的作业流程应该包含6项内容,具体如下:
流程控制人:参与到作业流程中的人,具体描述的时候应注意该控制人所涉及的部门及岗位具体名称。
控制频率:作业的时间间隔控制。
控制活动:流程是如何作业的。
控制痕迹:作业完成后形成的书面痕迹
控制方式:系统控制还是人工控制。
异常控制:授权体系外的作业流程是如何控制的。
举例如下:描述超市客服处对会员积点兑换控制流程,之前描述了一个出纳盘点流程,大家都熟悉,这次描述复杂点的。
流程控制人:售后服务部的客服专员,客服主官
控制频率: 客户不定期来兑换会员积分。
控制活动: 客服专员根据会员要求兑换相应的赠品,同时在xxx系统内扣除积分,并在XX赠品台帐内要求客户签字。
控制痕迹: 形成扣完积分的积分表和留有客户签字的赠品台帐。
控制方式: 兑换的系统积分由XX系统内扣除。
异常控制: 积分不够,如客户要求加钱补足积分,则客户专员需得到客服主管的口头授权,在收取钱款后并在赠品台帐做书面说明。
总的一句话:客户不定期对积分进行兑换,提出兑换的物品,售后服务部的客服专员在XXX系统内扣除积分,同时手工登记赠品台帐,在客户签字的情况下,将赠品进行赠送。如积分不够,如客户要求加钱补足积分,则客户专员需得到客服主管的口头授权,在收取钱款后并在赠品台帐做书面说明。当天营业结束前,客服主管需要对赠品台帐和积分兑换系统进行核对。
5、内控体系建立的流程是怎么样的?
大致的作业流程是这样的:
(1)
组织架构:先建立内控小组,为了使内控体系得到有效落实和贯彻,所以内控小组的组长最好是总经理或者董事长。主要的作业人员最好是公司的内审部门或者新建的内控部或者风险管理部,如果没有此类部门则最好选一名懂财务的,如财务主管,另外加一名懂业务的作为内控小组的主要作业成员,最好另外辅助2-3名人员。
(2)
业务运作:总经理或者董事长开内控项目启动会,同时主要成员讲述内控系统的作业和具体要求。会议结束后,内控小组给各部门提交部门的制度,内控小组完成制度的对标和梳理工作。各职能部门限期内提交流程。内控小组根据内控指引对现有的作业流程的描述进行评价,同时开展小组会议对各职能部门未设置的流程及有缺欠的流程进行优化重组。内控小组根据谈论完毕的各流程进行内控手册的编制和流程图的绘制,最后形成内控手册。由总经理授权下发。
(3)
内控小组等类似部门不定期进行内控评价,并根据各职能部门的变化对内控手册进行优化等。
6、如果业务部比较忙,无法绘制作业流程,那访谈怎么做?
首先编制访谈计划,需要提供给部门接收访谈的人员一个访谈提纲。
访谈一般安排2个人,1人访谈,1人记录。记录人不要求将每句话记下来,只要将讨论的主题,以及讨论的结果记录下来即可。
访谈的时候,先讲明不是来指责部门的作业流程的缺失,而是主要是完善和建立内控体系。访谈的问题主要围绕作业流程进行,而不是扯淡的问,风险在哪里,自己说。
7、流程图怎么绘制,采用什么软件?
一般选择微软的visio绘图软件或者smart draw 绘图软件,这两者的区别是visio看上去比较正规,而smart draw 比较好看。
8、作业现场是否需要绘制流程图?
最好绘制流程图,因为在描述整个流程的时候,如果不绘制流程图,可能看不到什么遗漏。最好访谈完毕,直接将流程图绘制,之后与业务部门进行核对。
9、如何完成制度对表的工作?
制度对表的工作一般可以在进场后的或者访谈结束后,当场完成对制度的评价。制度的评价主要的风险点为:流程描述不清楚或者缺失,岗位职责人或者控制部门不明确,岗位职责未分离,异常流程未描述,控制痕迹或者流程的表单未明确,控制频率未明确,未体现控制方式。(即未描述存在手工或者系统控制。)
10、如何完成风险点的汇总
现场的风险点的汇总,不是访谈人说什么风险就是风险点。而是根据访谈人提供的风险点提示,内控人员通过系统或者会计凭证等书面资料核实完毕之后再归纳汇总至风险点。而且在完成风险点之后最好与被访谈人员再次作风险点确认。
11、如何完成风险点的报告?
风险报告主要是对现有的流程的分析,所以可以按照事业部,之后将事业部涉及的流程综述,之后对各流程进行评价。而不是一堆风险点的堆砌。看上去100-200张ppt但是看得头晕。而且汇报结束老板对你不爽。
12、内控检查与内审的区别和联系在哪里?
内控检查的主要目的是建立和明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。所以内控主要是流程稽核,主要的作业模式就是控制点有没有建立。
内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段,核实业务事项是否真实合理。
简单的说,就是。内控是检查你吃饭的顺序,如先吃菜再吃饭或者先吃饭再吃菜。内审就是检查吃法好不好,对于胖人吃大量的肥肉,可以建议减少摄入量。
二、体系建立篇
在这里,你将熟悉每个控制活动所涉及的每个流程应该做的内控要点以及关键控制点的描述。由于涉及的内容较多,我这里简单的作一个销售模块的内控体系建立,其他模块的建立可在模仿的情况下,分别建立。
1、销售模式的确认
一般销售的模式分如下几种,正常销售、国际贸易、团购,涉及到酒类或者其他制造业会涉及到品牌销售模式。
这里解释一下品牌销售模式,即允许被授权商生产与自己相同的产品,贴自己的商标和品牌,收取品牌或者商标费的一种作业模式。
2、正常销售的流程划分
由于正常销售可划分为单次销售或者通过订货会或者其他模式先签订框架合同这种销售模式进行作业。其实这提到的可以将其作为一场流程进行控制。
一级流程:为销售流程。
二级流程:可以划分为销售定价、信用管理、合同签订、订单处理、备货处理、发货签收、收款入账处理、开票管理、应收款管理等。
三级流程:
其中销售定价流程可以划分为年度销售定价流程、中期价格变更或者临时价格变更流程。其中如果是系统控制,则需要明确哪个部门的什么岗位在系统中进行价格的录入和变更,最后由谁来审核。
信用管理流程可以划分为客户准入评价流程,不定期评价流程及信用变更流程。由于这一块基本上很少有客户在进行作业或者处理,所以在调研流程的时候,可能客户不会提供该流程,所以在编制内控手册的时候,需要做好与客户的随时沟通。
合同签订流程可以划分为合同起草、审核、盖章和保管作业流程。
订单处理流程可以划分为正常订单处理流程,订单取消流程和逾期未处理订单流程等。
备货处理流程可以划分为下发货通知单、物品调配流程和物品调配不足流程。
发货签收流程可以划分为发货单制定流程、物流选择流程、出库审核流程和客户收货签收流程。
收款入账流程。
发票开具流程含客户提交增值税资质流程和开票流程。
应收款流程含应收款催收流程、逾期坏账准备计提流程、坏账冲销流程。
如果调研或者访谈的时候将上述流程调研清楚,同时在内控手册中描述清楚,那么销售模块基本上就完成了
B. 行政事业单位内部控制建设方法有哪几种
行政事业单位内部控制建设方法有9种,分别是:
1、不相容岗位相互分离;
2、 内部授权审批控制;
3、归口管理;
4、预算控制;
5、财产保护控制;
6、会计控制;
7、单据控制;
8、信息内部公开。
C. 如何贯彻内控体系建设
一、基础概念篇
在这里,你将熟悉,内控体系具体是什么,建立内控体系需要解决的误区以及流程体系建立的作业流程。
1、
内控体系建设涵盖哪些东西,主要内容是什么?
国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系,所以他的具体内容与外资企业的sox404体系差不多。一般整个内控体系涵盖的内容含如下几个内控手册,风险数据库,内控评价手册。
内控手册为每个作业流程的描述,内容含流程描述、流程图、授权说明、岗位职责分离说明。
风险数据库可能导致风险的现象描述的汇总。风险指导致公司资产不安全,作业不合规合法,运营效率效益低下,财务报表数据不真实等。
内控评价手册具体含三部分,第一部分检查制度设计合理或者文档的齐全性,第二部分检查控制过程,第三部分检查会计帐务处理控制。
2、
内控体系与ISO质量体系有什么区别和联系?
目的不同:内控体系是以会计报告为主要目的,而ISO质量体系是以产品质量为主。
控制活动不同:在现阶段18个指引来看,内控体系缺少对生产过程控制;而ISO质量体系则以产品质量为主,涵盖产供销价值链,但是缺少会计系统控制。
涉及部门不同:在ISO体系内不存在财务部门,以研发、生产、采购、销售部门为主;内控体系几乎涵盖公司各部门,因为有句话说得好,只要是企业在运作的,其最后的运作成果就是财务数值。
3、内控体系的控制活动的业务流程如何划分,如何做到将各业务流程进行涵盖?
最简单的第一步就是拿到组织架构图,之后看到是否是以事业部为编制的,则是事业部的名称作为一级流程,事业部下属的部门分为二级流程,如果下属的部门涵盖多个职能则划分为三级流程。如销售事业部,则销售循环作为一级流程,下属的商务部负责订单处理的则作为订单处理作为二级流程。如商务部有两个功能除了订单处理还涉及到销售货品的备货计划制定。则订单处理作为二级流程,订单处理和备货计划制定作为三级流程。
4、 单个作业流程具体怎么描述,怎么将业务流程所涵盖的信息进行归纳处理?
作业流程就是描述一个为达到特定的价值目标而由不同的人分别共同完成的一系列活动。一个完整的作业流程应该包含6项内容,具体如下:
流程控制人:参与到作业流程中的人,具体描述的时候应注意该控制人所涉及的部门及岗位具体名称。
控制频率:作业的时间间隔控制。
控制活动:流程是如何作业的。
控制痕迹:作业完成后形成的书面痕迹
控制方式:系统控制还是人工控制。
异常控制:授权体系外的作业流程是如何控制的。
举例如下:描述超市客服处对会员积点兑换控制流程,之前描述了一个出纳盘点流程,大家都熟悉,这次描述复杂点的。
流程控制人:售后服务部的客服专员,客服主官
控制频率: 客户不定期来兑换会员积分。
控制活动: 客服专员根据会员要求兑换相应的赠品,同时在xxx系统内扣除积分,并在XX赠品台帐内要求客户签字。
控制痕迹: 形成扣完积分的积分表和留有客户签字的赠品台帐。
控制方式: 兑换的系统积分由XX系统内扣除。
异常控制: 积分不够,如客户要求加钱补足积分,则客户专员需得到客服主管的口头授权,在收取钱款后并在赠品台帐做书面说明。
总的一句话:客户不定期对积分进行兑换,提出兑换的物品,售后服务部的客服专员在XXX系统内扣除积分,同时手工登记赠品台帐,在客户签字的情况下,将赠品进行赠送。如积分不够,如客户要求加钱补足积分,则客户专员需得到客服主管的口头授权,在收取钱款后并在赠品台帐做书面说明。当天营业结束前,客服主管需要对赠品台帐和积分兑换系统进行核对。
5、内控体系建立的流程是怎么样的?
大致的作业流程是这样的:
(1)
组织架构:先建立内控小组,为了使内控体系得到有效落实和贯彻,所以内控小组的组长最好是总经理或者董事长。主要的作业人员最好是公司的内审部门或者新建的内控部或者风险管理部,如果没有此类部门则最好选一名懂财务的,如财务主管,另外加一名懂业务的作为内控小组的主要作业成员,最好另外辅助2-3名人员。
(2)
业务运作:总经理或者董事长开内控项目启动会,同时主要成员讲述内控系统的作业和具体要求。会议结束后,内控小组给各部门提交部门的制度,内控小组完成制度的对标和梳理工作。各职能部门限期内提交流程。内控小组根据内控指引对现有的作业流程的描述进行评价,同时开展小组会议对各职能部门未设置的流程及有缺欠的流程进行优化重组。内控小组根据谈论完毕的各流程进行内控手册的编制和流程图的绘制,最后形成内控手册。由总经理授权下发。
(3)
内控小组等类似部门不定期进行内控评价,并根据各职能部门的变化对内控手册进行优化等。
6、如果业务部比较忙,无法绘制作业流程,那访谈怎么做?
首先编制访谈计划,需要提供给部门接收访谈的人员一个访谈提纲。
访谈一般安排2个人,1人访谈,1人记录。记录人不要求将每句话记下来,只要将讨论的主题,以及讨论的结果记录下来即可。
访谈的时候,先讲明不是来指责部门的作业流程的缺失,而是主要是完善和建立内控体系。访谈的问题主要围绕作业流程进行,而不是扯淡的问,风险在哪里,自己说。
7、流程图怎么绘制,采用什么软件?
一般选择微软的visio绘图软件或者smart draw 绘图软件,这两者的区别是visio看上去比较正规,而smart draw 比较好看。
8、作业现场是否需要绘制流程图?
最好绘制流程图,因为在描述整个流程的时候,如果不绘制流程图,可能看不到什么遗漏。最好访谈完毕,直接将流程图绘制,之后与业务部门进行核对。
9、如何完成制度对表的工作?
制度对表的工作一般可以在进场后的或者访谈结束后,当场完成对制度的评价。制度的评价主要的风险点为:流程描述不清楚或者缺失,岗位职责人或者控制部门不明确,岗位职责未分离,异常流程未描述,控制痕迹或者流程的表单未明确,控制频率未明确,未体现控制方式。(即未描述存在手工或者系统控制。)
10、如何完成风险点的汇总
现场的风险点的汇总,不是访谈人说什么风险就是风险点。而是根据访谈人提供的风险点提示,内控人员通过系统或者会计凭证等书面资料核实完毕之后再归纳汇总至风险点。而且在完成风险点之后最好与被访谈人员再次作风险点确认。
11、如何完成风险点的报告?
风险报告主要是对现有的流程的分析,所以可以按照事业部,之后将事业部涉及的流程综述,之后对各流程进行评价。而不是一堆风险点的堆砌。看上去100-200张ppt但是看得头晕。而且汇报结束老板对你不爽。
12、内控检查与内审的区别和联系在哪里?
内控检查的主要目的是建立和明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。所以内控主要是流程稽核,主要的作业模式就是控制点有没有建立。
内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段,核实业务事项是否真实合理。
简单的说,就是。内控是检查你吃饭的顺序,如先吃菜再吃饭或者先吃饭再吃菜。内审就是检查吃法好不好,对于胖人吃大量的肥肉,可以建议减少摄入量。
二、体系建立篇
在这里,你将熟悉每个控制活动所涉及的每个流程应该做的内控要点以及关键控制点的描述。由于涉及的内容较多,我这里简单的作一个销售模块的内控体系建立,其他模块的建立可在模仿的情况下,分别建立。
1、销售模式的确认
一般销售的模式分如下几种,正常销售、国际贸易、团购,涉及到酒类或者其他制造业会涉及到品牌销售模式。
这里解释一下品牌销售模式,即允许被授权商生产与自己相同的产品,贴自己的商标和品牌,收取品牌或者商标费的一种作业模式。
2、正常销售的流程划分
由于正常销售可划分为单次销售或者通过订货会或者其他模式先签订框架合同这种销售模式进行作业。其实这提到的可以将其作为一场流程进行控制。
一级流程:为销售流程。
二级流程:可以划分为销售定价、信用管理、合同签订、订单处理、备货处理、发货签收、收款入账处理、开票管理、应收款管理等。
三级流程:
其中销售定价流程可以划分为年度销售定价流程、中期价格变更或者临时价格变更流程。其中如果是系统控制,则需要明确哪个部门的什么岗位在系统中进行价格的录入和变更,最后由谁来审核。
信用管理流程可以划分为客户准入评价流程,不定期评价流程及信用变更流程。由于这一块基本上很少有客户在进行作业或者处理,所以在调研流程的时候,可能客户不会提供该流程,所以在编制内控手册的时候,需要做好与客户的随时沟通。
合同签订流程可以划分为合同起草、审核、盖章和保管作业流程。
订单处理流程可以划分为正常订单处理流程,订单取消流程和逾期未处理订单流程等。
备货处理流程可以划分为下发货通知单、物品调配流程和物品调配不足流程。
发货签收流程可以划分为发货单制定流程、物流选择流程、出库审核流程和客户收货签收流程。
收款入账流程。
发票开具流程含客户提交增值税资质流程和开票流程。
应收款流程含应收款催收流程、逾期坏账准备计提流程、坏账冲销流程。
如果调研或者访谈的时候将上述流程调研清楚,同时在内控手册中描述清楚,那么销售模块基本上就完成了
D. 怎么构建内控体系
答:一般的内控体系的构筑逻辑是 1、 内部环境----构筑一个适合于内控的环境,从治理,战略,组织设计,商业模式等多个方面来使得公司在一个高的平台和起点上运行 2、 风险评估----找出各种类似问题,对每个问题可能出现的形式,存在的风险进行深入剖析. 3、 控制措施----针对问题进行控制措施的设置,包括支撑控制措施的组织保障,理念培训技术手段 4、 信息与沟通----从不断进行信息沟通,通过各种手段进行内控运行和评价来消除问题和知晓体系的现状 5、 监督检察----对内控体系的执行情况进行不断的监督检查,以及不断促进内控体系的优化 第一层次:基于管控体系,构筑母公司层面内控体系(主要是母公司战略定位和母公司自身运作,以及母公司出资人职能履行三个部分) 第二层次:子公司管控内控体系(母公司对子公司的治理,以及子公司战略与运作等子公司的十四个管控子体系) 第三层次:母公司对子公司内控体系的管理,监督与优化体系 在构筑各个层次内控体系时,华彩会使用五步法的内控体系基本逻辑做为方法论,但按照这五个步骤来做,就既不具备操作性,又过于为内控而内控,根本没有照顾到集团运作的独有问题,而且没能从各个职能部门和功能的立场上来做内控体系,导致各个部门的参与深度和对内控思想的理解程度不够. 华彩认为内控体系的建立必须强化母公司控制力,驱除子公司内部人控制和信息不对称,母公司必须通过内控体系的建立为母公司的董事,监事,以及其他派出管理者打造一个监督制度监督子公司运作的平台. 华彩内控体系是基于集团管控的,考虑到集团总部自身的内控并不是重点,而是各子公司的内控体系才是重点,但子公司有任期考核和经济指标做为硬约束,不会主动的去建设内控体系.因为内控在一定程度上降低了效率,所以不是子公司高层的战略性意图.顶多是母公司意志的反应. 所以,在很大程度上,内控应该是在母公司干预和引导下,母子公司一起进行的一个管理系统的再造工程.而且母公司始终行使外部监督检察推进者这一角色.
E. 内控体系的内控体系建设原则
一个企业在生存、发展的过程中,必定会面临各种各样的风险,如决策管理风险、政策法规风险、制度缺陷风险、流动性风险、市场风险、信用风险和操作风险等。在风险面前,企业并不是无能为力的,可以通过建立内控体系来防范和化解风险。内部控制体系的建设一直是国内外一些管理先驱公司的重点内容,对于集团全方位强化基础管理和提升管理水平都有积极的意义。如何从传统的复核、牵制等控制手段到以财务会计活动为中心的会计控制,再经内控整体框架理念而至目前的企业全面风险管理,都是现今集团企业最为关注的问题。
2002年美国因为安然事件出台了《萨班斯-奥克斯利法案》,而中国亦有五部委最新发布的《企业内部控制基本规范》及其配套指引,显然企业只有建立了行之有效的内部控制体系,才能获得稳定且持续的发展。在介绍企业全面风险管理体系框架和构建方法的基础上,列举大量生动案例,了解集团风险及内控管理体系的思想、流程、方法、工具和实施技能,识别潜在的风险,并针对潜在的风险研究对策。
全面风险管理体系与全面风险管控体系 风险管理体系和风险管控体系
全面风险管理体系的五大模块是一个经营循环
全面风险管理的五大步骤
宝钢集团风险管理实践 战略目标
运营目标
经营的效率、经营的效果
报告目标
财务的报告、非财务的报告
合法性目标
符合法律、符合法规、符合上级企业的规定
其他目标 外部因素包括经济、商业、自然环境、政治、社会和技术因素等
内部因素包括企业的基础设施、人员、生产过程和技术等事项。
事项识别
潜在的事项
企业事项识别的方法
F. 内控体系建设的五个环节
作为内控管理的第一站,内控战略规划的重要地位在于其对以后实施内控系统建设的所有方面的影响。合理的战略规划可以使企业的内控管理效率大幅度提高,确保企业的治理水平迅速达到所有者和管理层的预期目标。
制定企业内控战略规划具体应该注意掌握以下几个方面:
1.与企业战略目标保持严格一致
企业战略目标是制定企业所有具体业务目标的基础,内控战略目标也必须符合企业总体战略目标确定的方向。当前,关于企业的战略目标、原景、核心价值观等的主流观点基本上都是围绕着如何发展成为一个有社会责任感的企业来确定的。
内控战略目标通常可以按照企业希望达到的发展水平来确定。假如某企业的战略目标是在一定的期限内成为本行业的领导者并希望基业常青,那么其内控体系的战略目标就必须为符合这一要求提供有力的支撑;既不能高于这个目标,也不能低于这个目标。惟此,才能被企业内所有利益相关者和运营管理的所有参与者所接受。
此外,内控战略目标可以根据企业的发展状况分阶段确定。例如在某个阶段达到行业先进水平;某阶段达到国内同行业先进水平;某阶段达到国际先进水平等。
2.明确实现目标的具体标志
事先确定内控战略实现的具体标志,既可以为企业制订年度内控工作计划或绩效考核目标提供具体的依据,也可以为日后评价本企业内控战略目标的实现状况提供评价依据。
例如:某企业的内控战略目标是达到本省同行业先进水平。那么,企业就必须对本省的同行业内控管理的基本情况有所了解。然后确定自己的评价标准或实现标志。评价标准可以具体设置为:企业内控管理程序建设情况;内控组织系统建设情况;内控审计手段的先进和有效程度;舞弊案件的损失指标;企业的风险指标;全体员工对内控管理的理解情况等等。
3.基于企业实际需要的准确定位
所谓“准确”定位的标准就是目标必须与本企业的实际情况相符合,并清晰明了。例如一家小型企业集团的内控战略目标没必要定的太高;实现标志可以比较简单;业务范围可以适当缩小。这样,就可以以较低的成本投入达到预定的控制目标。
4.明确内控工作理念
这是开展企业内控工作的基本准则,否则不但内控体系起不到应有的积极作用,反而会成为企业发展的掣肘之物。例如建立“寓监督于服务”之中的工作理念,就可以避免单纯的监督审计容易引起抵触的缺陷;按照内控五要素,建立全面预防风险的原则,就可以为开展内控工作提供具体的评价依据。
5.认同
内控战略目标确定过程必须经过所有者或最高管理层的批准和确认。能够在获得高层批准前,先征求下属分、子公司管理层的意见并取得一致意见也是非常必要的。这些举措可以为日后推行内控管理减少阻力。 内控机构设置的主要工作包括:确定机构名称、层级、汇报对象、专业人员的具体名称、工作岗位设置、工作内容确定、人员选拔和素质要求、工作的具体原则等。以下将主要讨论组织机构的设置、内控工作的具体内容和岗位确定。
1.组织机构设置
目前中国规模较大的国有或上市公司,通常都会在监督决策层设置监事或独立董事、董事会下的审计委员会;在运营管理层则设置内部审计部或监察部等职能部门。应该说已经建立了内控组织机构。但关键是这些机构存在许多缺陷,这些问题构成了当前公司治理的主要障碍之一。具体表现如下:
*具体执行机构缺失
比如,企业中通常没有具体的执行机构为监事或独立董事的实现监督职能提供“硬件”条件;这使得监事或独立董事的职务常常“沦为”一种对外形象功能,在人员安排上以安排退休前的资深领导为主。审计委员会通常也处于相同的情况,其获得信息的来源主要是董事长和总经理等高层管理者,无法真正履行其监督职能。
*内部审计部通常在工作范围以及报告对象上处境尴尬
一般企业的审计范围仅限于财务审计;其工作报告对象通常只是其监督对象的财务总监或总经理。笔者认为,比较理想的内控管理组织机构,应当在一定独立性的条件下,能够具体介入企业日常运营管理工作。这一点应当和外部审计有所区别。一些像BP这样的国际化大公司在其业务组织机构中就使用了内控部代替内部审计部。表面看,只是名称不同,但实际上却有着非常大的区别。主要表现在:
A.独立性程度不同
内部审计部通常按照审计规则要求,为保持完全的独立性不得介入企业的日常经营活动。而内控部则可以较深入地介入企业的日常经营活动,了解更多的情况并提供管理咨询服务,从而达到“寓监督于服务之中”的效果。
B.审计检查范围不同
虽然当前的内部审计部在审计范围上也在力求突破传统的财务审计,向运营管理审计方面发展,但毕竟受到从业人员资格和工作背景的限制,无法真正实现其对运营管理的有效监督检查。而内控部由于在雇佣人员方面没有局限性(非财务和审计资格的人员也可以参加内控审计检查工作),因此,可以做到对企业的全面运营管理实行更有效的监督检查。
C.报告对象不同
内部审计部通常只是向企业的CEO报告工作,向CEO负责。因此,许多涉及CEO本人利益的问题通常无法得到彻底解决,甚至根本无法解决。而内控部则可以在向企业CEO报告工作的同时,还能直接向审计委员会、甚至监事或独立董事报告工作。这在一定程度上保证了审计报告的真实可靠性。 任何企业在推行某个新的管理方法前,最大的问题就是如何快速、有效地转变人们已经习惯了的各种传统工作方法和思路。由于采用现代企业内控管理的具体操作方法将直接影响到企业现有的权力结构,这就意味着会遇到巨大的阻力。为此,企业内控管理人员必须要对所有相关利益者进行系统的内控培训,在系统运行之前,把阻力减到最小。培训的内容主要有:编制培训资料、确定培训计划以及实施培训。
1.编制培训资料
*通过各种渠道收集内控管理资料和各种案例。内控案例应当以本企业已经发生的事件为主,适当选用社会案例;
*根据本企业实际情况,筛选资料;
*使用各种演示手段,组织编排演示文本,电子版本和纸质版本;
*培训资料应尽量使用各种案例解释各种概念。
2.确定培训计划
*确定培训对象
内控培训对象应该包括企业董(监)事、CEO、CFO等全体高层管理人员和普通管理人员。普通管理人员中应当包括库房保管、司磅人员、质量检验人员、保卫干事等敏感岗位的操作人员。
*培训方法
脱产专门培训和现场在岗培训,单独沟通交流培训以及工作交流培训等多种形式。
*确定培训的目标和具体实施的时间以及考核评价培训效果。内控培训应该和企业的其他培训计划相结合。
3.实施培训
对于董(监)事、CEO或CFO、公司总经理等高级管理人员,通常采用单独交流的方式介绍内控管理的要点;
对于专业内控管理人员则需要进行全面的脱产专门培训并结合其他在岗和工作交流培训;
对于其他普通管理人员则以短期脱产集中培训结合现场其他在岗培训。
在整个受训的人群中,对高级管理人员的培训是整个培训的重点。鉴于财务总监在内控体系中的重要性,企业在考虑选聘财务总监时,应当尽可能选择具有内控工作背景的财务人员。国际上的一些著名企业如GE公司,其选拔的财务总监通常是来自从事过内部控制(内部审计)工作的人员。具有从事内控(内部审计)工作背景的人员将成为未来财务总监的重要来源。
有关内控培训方面的工作,如果企业限于自身培训力量和其他考虑,通常可以委托其他专业管理公司的专家来协助进行。这种培训通常限于集中的脱产培训。但日常培训主要还得依靠企业内部力量完成。 严格地说,自从企业策划内控战略开始,就可以看作是进入了内控作业的实施阶段,这里指的是具体实施内控作业阶段。内控作业的内容主要包括:
1.制定企业内控管理程序,或者运营管理程序
内控的实质就是法制化、程序化管理。内控管理程序与传统的企业管理程序的最大区别是以系统的方法设计业务流程并且事前就充分考虑规避各种潜在的管理风险。因此,内控部门在组织各职能部门编制内控管理程序时应当首先对所有的业务流程中存在的各种潜在的风险进行评估并且在程序设计中予以规避。这里包括组织牵制、授权系统确定、政策规定等等。制定企业内控管理程序应当充分考虑与企业现有的质量管理体系的兼容问题。
2.评估检查企业的授权管理系统
任何一家企业无论是否有内控管理,一定存在一套授权管理系统。但问题是这些存在的授权管理系统是否科学、清晰合理,是否存在越权和越级的潜在风险。这就需要内控专业人员对系统进行评估并提出修改调整意见。内控人员需要与公司的CEO、CFO以及人力资源部和各业务部门共同合作,对现有的岗位职责进行调整。岗位职责在内控管理中属于一般授权管理。建立临时特别授权管理制度。
3.潜在利益冲突调查
为保证内控管理的组织牵制原则得到有效的实施,当前的主流非家族经营管理的企业通常需要在处理日常业务中避免产生雇员与企业发生利益冲突的情况。为此,企业内控管理人员应当根据企业实际情况设计一套利益冲突调查文件并提出规避潜在利益冲突发生的具体措施。然后组织下属企业开展全面的利益冲突调查,最后根据调查结果提出处理意见,包括替代控制措施。
4.编制年度内控审计指导,实施内控审计
无论是内部审计还是内控审计,都应当在审计前制定审计指导。编制审计指导应当依据一般内部审计准则要求结合本企业实际情况和需要编制。具体的审计项目应当按照内控五要素(内控框架)进行分类。这里需要再次强调,内控审计和传统的内部审计在审计范围上不同,包括了财务之外的其他运营管理工作,如职工安全与环境保护,质量管理和生产现场管理,6S管理,6西格玛管理、精益生产等内容,因此,在设计内控审计指导时应当和相关业务部门进行充分的合作,保证审计项目和审计资源配置的合理性。为便于对各下属企业的内控管理进行客观横向比较,内控审计指导可以同时附带建立评分系统。这样,内控审计人员在审计检查过程中可以提出客观科学的评价结果。
在完成对所有下属公司的年度审计后,内控管理人员就可以对各企业的实际情况进行量化分析比较,为分析企业的管理风险提供客观依据。内控审计指导应当根据企业管理风险变化情况,定期进行调整更新。实施年度内控审计,通常可以要求下属企业内控人员参加,通过交叉审计对下属企业内控人员进行业务培训。
5.组织风险评估
控制管理风险是内控的根本目的。因此,企业内控部应当定期对各下属企业的管理风险进行评估。管理风险评估应当事先进行全面的规划。包括确定风险评估的对象(各种业务程序和处理环节),风险种类的确定,风险等级的评定,评估人员的组成,评估表格的设计,评估结果分析等。风险评估是开展内控工作的基础,也是制订内控管理程序的重要依据。各个企业由于所处行业不同,地域不同,竞争程度不同,产品种类不同,其管理风险也有很大的不同。突出重点,抓住高风险项目,是平衡企业控制风险和投入成本的重要手段。
6.内控问题调查(ICRQ)
为保证企业内控管理得到有效执行,各企业的下属机构除了要接受总部的内控审计和外部审计外,还应当定期或不定期举行自我检查。自我检查的主体是各分、子公司总经理和各业务部门负责人。分、子公司的内控管理人员牵头组织实施。总部内控部通常应当根据上年度审计发现的问题,结合最新企业风险变化情况等,编制企业年度内控问题调查提纲发给各分、子公司供其参考。分、子公司内控人员可以根据本企业实际情况和需要,对自查内容进行补充。企业内控问题调查表,应当根据企业管理风险变化情况和以前年度审计发现的普遍弱点进行调整。
7.舞弊案件调查
舞弊问题对企业造成的损失是造成企业效益下降甚至导致企业破产的重要原因。因此,预防舞弊风险当然也就成为企业内控管理的主要内容。舞弊问题产生的后果,通常可以用货币数量来反映。舞弊损失数量是企业内控管理工作绩效考核的重要指标。内控人员应当定期或不定期对企业发生的舞弊案件进行调查并分析汇总舞弊发生的原因,为管理者采取预防措施提供依据。对于国内企业,特别是国有企业来说,舞弊案件通常由监察部或纪检委负责调查。但是,对于没有这些机构的外资企业或上市公司来说,就需要由内控部和内控人员介入调查。内控部每年应当对企业发生的舞弊情况进行汇总分析并为管理层提出相应的预防措施。
8.评价考核内控工作
评价考核企业内控人员的工作包括两部分。首先是内控人员绩效完成情况。根据每年与内控人员签定的绩效协议,对其工作进行考核评价;其次,对内控管理完成好的企业内控人员进行表彰。为保证内控人员工作的相对独立性和权威性,内控部将对下属分、子机构的内控人员招聘和解雇提出意见。
9.参加公司董事会会议,对下属企业总经理、财务总监在执行内控政策和遵循授权管理方面的情况提出奖惩建议 。
参加公司的重要决策会议,对重大项目实施提出管理风险控制方案。例如内控先行的概念。众所周知,万丈高楼平地起,无数失败的案例表明,造成一个好项目日后失败的众多原因中,没有预先建立严格的内控体系并按照程序规定操作是其中最重要的原因。
10.组织保险业务
购买企业保险,除了能够弥补各种突发事件给企业造成的损失外,同时也具有预防管理风险的作用。要做好企业内控工作,除了利用内部资源外,保险业务也可以成为促进企业内控管理的有效工具。如何选择购买保险项目,如何事先准备预防保险事故发生以及如何准备保险索赔资料等,都和企业内控管理有重要的关系。
11.培训企业高级管理人员
内控工作的一个重要内容就是培训企业高级管理人员,特别是财务总监。实践表明,有财务背景的专业人员在得到内控审计培训后,通常可以很好地胜任企业财务总监的工作。从事过一定时期的内控审计工作后,通常就有机会得到作为一名合格财务总监所需要具备的许多条件。比如良好的职业道德、敏锐的风险意识、出色的沟通技巧、较多的处理疑难问题的经验等等。
12.内控工作报告
企业内控部工作报告对象将包括董(监)事、CEO和总经理等人。内控工作报告有定期和非定期两种。定期报告主要是定期分析企业总体内控状况,当前存在的高风险问题,各种审计结果,以及针对薄弱问题提出的改进意见和建议。好的内控人员可以成为企业董事长、CEO的安全事务助理。
由于打破了内部审计师的工作范围,可以列入实施内控作业的项目还可以增加。这里特别要提出的是“内控服务”的观念。我们通常所说的“寓监督于服务之中”就是为了体现这一观念。它从本质上改变了传统的内部审计观念。从实践经验来看,如果要想使企业的内控管理体系真正发挥作用,就必须抛弃单纯监督审计的观念,代之以监督审计与服务并重。内控服务的内容主要应当以提供管理咨询意见和建议为主。 根据内控五要素的解释,检查和评估是内控框架体系的一部分。这里的检查评估除了日常对企业各个业务操作的检查评估外,也包括对正在实施的内控系统的检查评估。内控部和外部审计师(也包括将来社会上成立的独立的内控体系评估机构)将构成检查评估的主体。进入本站的主要工作内容有:
1.内部自我检查评估
由集团内控部负责,对企业已经实施的各项内控工作进行全面的检查和评估。从战略规划和年度内控工作计划开始,到组织机构设置和运营情况,再到培训工作和实施内控作业,进行全方位的检查评估,然后提出改进措施。 2.外部审计师的评估
根据《公司法》规定,所有企业都应当通过外部审计机构的年度审计。外部审计师在实施审计时,为规避其审计风险,通常要对被审计对象的内控体系进行检查评估。因此,获得外部审计师的评价意见和建议,将从另外的角度为企业改进内控管理体系提供重要的依据。
3.企业为获得更为专业的内控评价意见,也可以邀请具有一定资格的其他独立第三方对企业进行检查评估。