企业内控及风险管理流程图
A. 内控机制的内部控制与风险防范
内控收益 掌握先进的内部控制、风险管理、职业舞弊及内部审计等理论 掌握快速诊断企业内部控制缺陷的方法,评价内部控制的效果并进行改进 提升管理层对内部控制自我评估的能力,建立有效的内部控制环境 明确如何结合企业自身特点、建立适合企业自身情况的内部控制系统 通过企业运作中的典型实例帮助学员明确主要业务活动中的控制要点、控制标准和控制方法 内控要点
对内部控制相关理论的全面介绍控制环境内部控制的实质——风险管理内部控制活动内部审计简介内控的建立和执行
B. 如何建立风险与内控管理体系
仅供参考
一、基础概念篇
在这里,你将熟悉,内控体系具体是什么,建立内控体系需要解决的误区以及流程体系建立的作业流程。
1、内控体系建设涵盖哪些东西,主要内容是什么?
国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系,所以他的具体内容与外资企业的sox404体系差不多。一般整个内控体系涵盖的内容含如下几个内控手册,风险数据库,内控评价手册。
内控手册为每个作业流程的描述,内容含流程描述、流程图、授权说明、岗位职责分离说明。
风险数据库可能导致风险的现象描述的汇总。风险指导致公司资产不安全,作业不合规合法,运营效率效益低下,财务报表数据不真实等。
内控评价手册具体含三部分,第一部分检查制度设计合理或者文档的齐全性,第二部分检查控制过程,第三部分检查会计帐务处理控制。
2、内控体系与ISO质量体系有什么区别和联系?
目的不同:内控体系是以会计报告为主要目的,而ISO质量体系是以产品质量为主。
控制活动不同:在现阶段18个指引来看,内控体系缺少对生产过程控制;而ISO质量体系则以产品质量为主,涵盖产供销价值链,但是缺少会计系统控制。
涉及部门不同:在ISO体系内不存在财务部门,以研发、生产、采购、销售部门为主;内控体系几乎涵盖公司各部门,因为有句话说得好,只要是企业在运作的,其最后的运作成果就是财务数值。
3、内控体系的控制活动的业务流程如何划分,如何做到将各业务流程进行涵盖?
最简单的第一步就是拿到组织架构图,之后看到是否是以事业部为编制的,则是事业部的名称作为一级流程,事业部下属的部门分为二级流程,如果下属的部门涵盖多个职能则划分为三级流程。如销售事业部,则销售循环作为一级流程,下属的商务部负责订单处理的则作为订单处理作为二级流程。如商务部有两个功能除了订单处理还涉及到销售货品的备货计划制定。则订单处理作为二级流程,订单处理和备货计划制定作为三级流程。
4、 单个作业流程具体怎么描述,怎么将业务流程所涵盖的信息进行归纳处理?
作业流程就是描述一个为达到特定的价值目标而由不同的人分别共同完成的一系列活动。一个完整的作业流程应该包含6项内容,具体如下:
流程控制人:参与到作业流程中的人,具体描述的时候应注意该控制人所涉及的部门及岗位具体名称。
控制频率:作业的时间间隔控制。
控制活动:流程是如何作业的。
控制痕迹:作业完成后形成的书面痕迹
控制方式:系统控制还是人工控制。
异常控制:授权体系外的作业流程是如何控制的。
举例如下:描述超市客服处对会员积点兑换控制流程,之前描述了一个出纳盘点流程,大家都熟悉,这次描述复杂点的。
流程控制人:售后服务部的客服专员,客服主官
控制频率: 客户不定期来兑换会员积分。
控制活动: 客服专员根据会员要求兑换相应的赠品,同时在xxx系统内扣除积分,并在XX赠品台帐内要求客户签字。
控制痕迹: 形成扣完积分的积分表和留有客户签字的赠品台帐。
控制方式: 兑换的系统积分由XX系统内扣除。
异常控制: 积分不够,如客户要求加钱补足积分,则客户专员需得到客服主管的口头授权,在收取钱款后并在赠品台帐做书面说明。
总的一句话:客户不定期对积分进行兑换,提出兑换的物品,售后服务部的客服专员在XXX系统内扣除积分,同时手工登记赠品台帐,在客户签字的情况下,将赠品进行赠送。如积分不够,如客户要求加钱补足积分,则客户专员需得到客服主管的口头授权,在收取钱款后并在赠品台帐做书面说明。当天营业结束前,客服主管需要对赠品台帐和积分兑换系统进行核对。
5、内控体系建立的流程是怎么样的?
大致的作业流程是这样的:
(1)
组织架构:先建立内控小组,为了使内控体系得到有效落实和贯彻,所以内控小组的组长最好是总经理或者董事长。主要的作业人员最好是公司的内审部门或者新建的内控部或者风险管理部,如果没有此类部门则最好选一名懂财务的,如财务主管,另外加一名懂业务的作为内控小组的主要作业成员,最好另外辅助2-3名人员。
(2)
业务运作:总经理或者董事长开内控项目启动会,同时主要成员讲述内控系统的作业和具体要求。会议结束后,内控小组给各部门提交部门的制度,内控小组完成制度的对标和梳理工作。各职能部门限期内提交流程。内控小组根据内控指引对现有的作业流程的描述进行评价,同时开展小组会议对各职能部门未设置的流程及有缺欠的流程进行优化重组。内控小组根据谈论完毕的各流程进行内控手册的编制和流程图的绘制,最后形成内控手册。由总经理授权下发。
(3)
内控小组等类似部门不定期进行内控评价,并根据各职能部门的变化对内控手册进行优化等。
6、如果业务部比较忙,无法绘制作业流程,那访谈怎么做?
首先编制访谈计划,需要提供给部门接收访谈的人员一个访谈提纲。
访谈一般安排2个人,1人访谈,1人记录。记录人不要求将每句话记下来,只要将讨论的主题,以及讨论的结果记录下来即可。
访谈的时候,先讲明不是来指责部门的作业流程的缺失,而是主要是完善和建立内控体系。访谈的问题主要围绕作业流程进行,而不是扯淡的问,风险在哪里,自己说。
7、流程图怎么绘制,采用什么软件?
一般选择微软的visio绘图软件或者smart draw 绘图软件,这两者的区别是visio看上去比较正规,而smart draw 比较好看。
8、作业现场是否需要绘制流程图?
最好绘制流程图,因为在描述整个流程的时候,如果不绘制流程图,可能看不到什么遗漏。最好访谈完毕,直接将流程图绘制,之后与业务部门进行核对。
9、如何完成制度对表的工作?
制度对表的工作一般可以在进场后的或者访谈结束后,当场完成对制度的评价。制度的评价主要的风险点为:流程描述不清楚或者缺失,岗位职责人或者控制部门不明确,岗位职责未分离,异常流程未描述,控制痕迹或者流程的表单未明确,控制频率未明确,未体现控制方式。(即未描述存在手工或者系统控制。)
10、如何完成风险点的汇总
现场的风险点的汇总,不是访谈人说什么风险就是风险点。而是根据访谈人提供的风险点提示,内控人员通过系统或者会计凭证等书面资料核实完毕之后再归纳汇总至风险点。而且在完成风险点之后最好与被访谈人员再次作风险点确认。
11、如何完成风险点的报告?
风险报告主要是对现有的流程的分析,所以可以按照事业部,之后将事业部涉及的流程综述,之后对各流程进行评价。而不是一堆风险点的堆砌。看上去100-200张ppt但是看得头晕。而且汇报结束老板对你不爽。
12、内控检查与内审的区别和联系在哪里?
内控检查的主要目的是建立和明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。所以内控主要是流程稽核,主要的作业模式就是控制点有没有建立。
内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段,核实业务事项是否真实合理。
简单的说,就是。内控是检查你吃饭的顺序,如先吃菜再吃饭或者先吃饭再吃菜。内审就是检查吃法好不好,对于胖人吃大量的肥肉,可以建议减少摄入量。
二、体系建立篇
在这里,你将熟悉每个控制活动所涉及的每个流程应该做的内控要点以及关键控制点的描述。由于涉及的内容较多,我这里简单的作一个销售模块的内控体系建立,其他模块的建立可在模仿的情况下,分别建立。
1、销售模式的确认
一般销售的模式分如下几种,正常销售、国际贸易、团购,涉及到酒类或者其他制造业会涉及到品牌销售模式。
这里解释一下品牌销售模式,即允许被授权商生产与自己相同的产品,贴自己的商标和品牌,收取品牌或者商标费的一种作业模式。
2、正常销售的流程划分
由于正常销售可划分为单次销售或者通过订货会或者其他模式先签订框架合同这种销售模式进行作业。其实这提到的可以将其作为一场流程进行控制。
一级流程:为销售流程。
二级流程:可以划分为销售定价、信用管理、合同签订、订单处理、备货处理、发货签收、收款入账处理、开票管理、应收款管理等。
三级流程:
其中销售定价流程可以划分为年度销售定价流程、中期价格变更或者临时价格变更流程。其中如果是系统控制,则需要明确哪个部门的什么岗位在系统中进行价格的录入和变更,最后由谁来审核。
信用管理流程可以划分为客户准入评价流程,不定期评价流程及信用变更流程。由于这一块基本上很少有客户在进行作业或者处理,所以在调研流程的时候,可能客户不会提供该流程,所以在编制内控手册的时候,需要做好与客户的随时沟通。
合同签订流程可以划分为合同起草、审核、盖章和保管作业流程。
订单处理流程可以划分为正常订单处理流程,订单取消流程和逾期未处理订单流程等。
备货处理流程可以划分为下发货通知单、物品调配流程和物品调配不足流程。
发货签收流程可以划分为发货单制定流程、物流选择流程、出库审核流程和客户收货签收流程。
收款入账流程。
发票开具流程含客户提交增值税资质流程和开票流程。
应收款流程含应收款催收流程、逾期坏账准备计提流程、坏账冲销流程。
如果调研或者访谈的时候将上述流程调研清楚,同时在内控手册中描述清楚,那么销售模块基本上就完成了
C. 如何有效执行风险管理和内部控制等相关制度
风险管理:
一、对企业风险的认识
企业风险是指某一对企业目标的实现可能造成负面影响的事项发生的可能性,企业在制定和实现自己目标的过程中,会碰到各种各样的风险,所以需要进行风险管理。企业风险管理就是通过分析公司的内外风险,制定系统的管理策略来处理这些风险,从而提高公司的盈利能力和实现企业的目标。风险管理的基本程序是风险识别、风险评估和风险控制。企业风险管理框架要素包括:内部环境、目标制定、风险识别、风险评估、风险应对、控制活动、信息和沟通、监控。
二、明确受托责任、完善公司治理,从公司组织结构上控制企业经营风险
公司治理实质的涵义就是基于一种受托责任的法律合同关系,并以此来规范各利益相关者的权利和义务,并让他们充分发挥各自的功能。基于受托责任下的完善的公司治理结构-即公司股东会、公司董事会、公司经理层以及对受托责任履行行为实施监督的公司监事会的权利和责任的法律确认和有效执行。有效的公司治理是防范企业经营风险,增加公司价值的组织保障。
从表面上看,安然、世通公司的倒闭是因财务舞弊引起的。但在实质上,这两个公司都是由于在公司治理上存在严重缺陷,才导致公司在财务上造假行为成为可能,公司倒闭的根源在于公司治理。美国的公司治理科学性被世界上许多国家所推崇,也是我国主要借鉴的。在美国公司治理中董事会设置最典型的特点是独立董事制度,担任大公司独立董事的很多都是知名学者、教授,独立董事在公司董事会人员中站多数,他们的作用主要是站在公正的立场,代表中小股东利益。但据调查,安然、世通公司的独立董事是公司的独立董事没有在公司董事会中发挥应该起到的作用,导致公司治理失败,内部控制制度没有很好执行,造成公司经营风险。
我国在借鉴美国公司治理的独立董事制度同时,也借鉴了德国公司治理的监事会制度。监事会在德国的公司治理中发挥着很关键的作用,但在我国,公司的监事会却没有真正发挥作用。
因此,控制企业经营风险,不但要有完整的公司治理架构,更主要的是要有基于受托责任下的公司治理各责任主体的法律责任的有效履行。
三、建立有效的内部控制制度
所谓内部控制,是为实现经营效率和效果,财务报告的可信性及相关法律的遵循等组织目标而提供合理保证的过程。其实施者为公司董事会、经理层和其他员工。内控制度是企业为有效实现其目标而设计的内部制度安排,它是为整个企业而设计的系统,企业不应该有任何人能脱离该系统的控制而自由运作。
现在人们越来越发现,公司的风险来自于内控制度的缺失或形同虚设。公司内部控制制度的根本就是授权和监督。公司所有人的权限都是在这个组织中被授予的,并要得到有效监督。
内部控制:
第一是建立直属于董事会和董事长领导的运营监控管理机构,将会计监督和管理监督职能整合在一个部门,不但要对违规行为进行监督和管理,还有对出现问题进行改进,二次进行监督、跟进,不断的提高管理水平和管理意识。
1、根据集团发展需要,运营监控管理中心设审计部、招标部、生产监察部、改进部。运营监控管理中心直接归董事长领导并对董事长、董事会报告工作,具体负责董事长及董事会要求和规定的各项审计、监察工作。运营监控中心总监的任用和解聘由董事长提议,董事会批准,其它人员由运营监控中心总监提出,董事长批准,其工作考核和奖惩由董事长、董事会决定。
2、运营监控中心人员办理审计、监察事项,必须严格遵守审计、监察职业规范,忠于董事长、董事会,做到独立、客观、公正、保密,不得滥用职权,徇私舞弊,玩忽职守。
3、当遇到较大审计监察任务时,可临时组织所属公司的财务、人事行政、生产、销售等部门的人员共同进行审计监察,各单位应该积极配合,不得推诿。必要时可聘请外部特邀专业人员进行专题或专案审计监察。
第二是制定运营监控管理中心明确的工作职责,确保企业内部监督的全面性,促进管控制度完善、细化,点、线控制全面,有效执行;提升企业现场管理;推动各部门的工作实施、改进。根据企业经营目标和审计计划,开展各类财务审计工作及专项审计工作,确保企业健康运营。实现对企业采购的所有物资进行招标、比价,确保在当时采购条件下的性价比最优,高质、高效。
一、对出资者所属公司的财务收支及其经济活动进行定期审计。特别是对公司财产、资金管理使用和安全完整程度进行重点审计。
二、对出资者所属公司的预算或计划执行情况进行定期审计。特别对预算追加和预算外资金的使用情况进行重点审计监督。要进行事前、事中和事后的全面审计、监察。
1、事前对资产和财务状况进行全面审计,划清预算责任
2、事中对预算执行情况进行每月的跟踪审计,发现问题及时解决,防止偏离预算或便于不适合时机预算的调整
3、事后即预算期结束后进行全面审计,评价预算执行情况,总结经验,据以考核,兑现奖惩。
第九条、对集团负责人和各中心总监、总裁助理、各子公司负责人年度和任期经济责任进行审计。对各单位的经营管理责任和财务会计责任的履行情况进行审计和评价。特别是对董事会决议、公司经营方针、目标、战略的落实执行情况作为重点审计内容。
(一)对经营管理责任履行情况的审计监察主要评价经营成果的有效性。审查负责人是否是按董事会的要求、经批准的经营规划进行经营管理的审计,审查有无决策失误和错失经营时机,有无短期行为,破坏公司资源,评价经营管理政策和工作措施是否高效可行等。
(二)对资产的安全和完整进行审计。审查固定资产、无形资产、存货、应收账款等公司资产是否存在风险和不安全,是否完整,有无积压和呆死坏帐,有无损坏和贬值,是否真实。
(三)对财务会计责任履行情况的审计监察
1、财务责任就是理财责任,就是评价财务状况是否优良,财务资产是否增值,使用是否充分有效,是否盘活现有资产,有无浪费,有无财务和税收风险。
2、审计责任主要是评价内部控制是否健全完善、资产管理是否安全,会计防范是否有效,会计数据是否真实,会计工作和前台业务是否脱节,会计工作是否支持业务等。
(四)对人事事项进行审计。审查工作效率,人力成本、人均效率,审查员工队伍建设情况,是否提高凝聚力向心力、协作精神,是否建立共同愿景,有无在人事方面以权谋私的情况,有无任人唯亲,有无打击报复,嫉贤妒能等情况。
(五)对采购进行审计。审计采购的质量是否符号要求、价格是否合理、资金结算是否符合预算要求、交期是否及时,审查采购作业流程是否高效,有无按流程操作,有无徇私舞弊行为。
(六)廉政建设审计。对违反公司廉政建设的行为进行审计如请客送礼、接受贿赂等。
三、对公司的项目投资情况进行审计。
四、监督、检查和评价各单位内部控制和管理制度的建立健全、严密程度和执行情况以及内部风险管理:
1、检查各子公司、各中心各岗位的责权划分是否明确,岗位责任是否建立并且有效;
2、所有原始凭证是否进行统一的连续编号,并顺序使用,领用空白凭证是否有严格的登记注销手续;
3、检查所有的实物资产包括固定资产、低值易耗品、包装物、办公用品、库存商品是否实行责任管理,并制定了相应的控制制度,执行情况如何;
4、检查所有业务是否都实行了程序化、规范化、制度化,各流程中的关键(资金)点是否实行了重点控制,控制是否有效,程序是否经济、高效;
5、检查主要岗位人员的变动是否建立并实行了恰当的交接制度,手续是否完备;
6、检查各子公司是否建立并实行了有效的成本费用控制制度和资金使用制度;
7、检查各子公司采购、商品入库、出库、领用、销售、成本费用、资金收支、对外投资、资产处理的内部财务控制制度的建立和执行情况;
8、其它内部控制事项。
五、对违反出资者、公司规章制度、财经政策纪律,侵占公司资财、损害公司利益、严重铺张浪费和职务消费行为进行专项审计。
六、对各子公司有关的经营方案、预算草案、资金使用方案、重要的经济合同、重要文件、制度的合法合理性,有效正确性进行审计评价。
七、对管理者的工作作风和廉政建设进行监督、监察
1、监督、监察抵触执行公司的各项规章制度和纪律,或将规章制度打折扣执行的行为;
2、监督、监察弄虚作假,有事不及时汇报,欺上瞒下者,对工作扯皮推诿、相互拆台或搬弄是非的行为;
3、监督、监察未经审议,擅自决定公司的重大生产经营决策的行为;
4、监督、监察压制人才,嫌才妒能,阻碍或限制他人才能发挥的行为;
5、监督、监察收受与业务有关单位或个人的钱物(含提成、回扣、报销及代为支付费用)的行为,特殊情况下接受的礼品不上交公司的行为;
6、监督、监察以任何名义宴请公司领导、有关部门领导、公司员工及利害关系人的相互宴请的行为;
7、监督、监察未经许可工作时间饮酒、延误工作的行为;
8、监督、监察利用公款参与高消费的娱乐活动,报销应由个人支付的各项费用,虚报冒领费用或款项的行为;
9、监督、监察利用出差机会协亲属旅游或接受业务单位安排旅游活动的行为;
10、监督、监察对人封官许愿,拉帮结伙,搞小团体,助长歪风邪气的行为;
11、监督、监察对检举或有异议的员工或同事打击报复的行为。
八、总裁、副总裁、总裁助理、各中心总监、各子公司总经理等高层领导的离任、交接审计
九、对人力资源使用效率和效果进行监督、监察。
1、对人力资源(资本)管理的内部控制监督、监察。监督、监察人力资源(资本)的招收、管理、培训、使用、激励等一整套规章制度有与无,完善与否,执行严格程度,效用的大小等。评价其内控制度的适当性;审查评价其是否与时俱进,即在相对稳定的原则下,能否随着环境和条件的变化而调整本组织的人力资源管理控制政策;
2、对人力资源(资本)的开发利用程度监督、监察。监督、监察人力资源(资本)的开发利用是否使其个体不断保值增值,并要使其价值得到充分发挥。更重要的是由个体人力资源(资本)协调聚合的群体价值。通过对招聘、培训、使用、增值、文化、协调聚合等的监督、监察,使人力资源(资本)的开发既能适用于当前的现实需要,又能考虑超前的,顾及到未来的发展后劲。促使其能建立起一个制度化、科学化的动态运行机制。特别是对人力资本的增值培训的投资问题,要有妥当的计划安排。即人力资本培训的投资要有强制的措施,还应按销售收入或税后利润的一定比例进行人力资本投资培训,或按其岗位定期或不定期培训,使人力资本的增值有制度安排;
3、企业人力资本产权监督、监察。监督、监察劳动者权益在企业契约的规定是否受到尊重;人力资本的所有权分配关系的落实程度;人力资本定价与激励方式的适当性及其效果。通过对企业人力资本产权的监督、监察,使企业在不与法规相冲突的前提下,建立起不侵犯人力资本所有者权益,能够充分有效地调动不同层级的人力资本载体者的积极创造性,既能使个体人力资本价值增值,又能有效地提高企业核心竞争力的恰当机制的制度;
4、员工队伍建设监督、监察,是否提高凝聚力向心力、协作精神,是否建立共同愿景,有无在人事方面以权谋私的情况,有无任人唯亲,有无打击报复,嫉贤妒能等情况
十、对各子公司产、供、销各个环节经济活动的效益、效率、经济、合理、合规和合法性进行监管。
(一)对采购事项进行监管,采购部门的责任就是在适当的时间、适当的地点为公司采购性价比最优的原材物料,降低成本、降低付款率,控制采购费用;
1、监管采购计划的审批是否符合程序,采购计划数量是否符合库存和生产使用要求;
2、监管采购合同订立、审批程序是否合理,是否有越权审批;
3、监管采购流程是否符合内部控制程序,是否满足“高质、高效”的要求;
4、监管采购的决定权和操作权是否分离;
5、监管采购数量、质量、性价比、交货期是否能够满足生产使用要求;
6、监管采购付款计划、付款金额、付款比例是否符合财务规定,是否按合同执行;
7、监管采购人员采购、招标过程中是否有舞弊行为,是否有暗箱操作行为,是否有故意刁难客户行为;
(二)对生产事项进行监督、检查
1、监督、检查下达的生产计划规格、型号、数量是否符合销售合同要求,手续是否完备;
2、监督、检查生产质量的控制是否有质量跟踪记录,是否符合企业检验标准;
3、监督、检查生产控制材料领用、发放的各种单证是否齐全,记录是否真实、完整;
4、监督、检查生产产量和工时记录是否真实、合理、准确;
5、监督、检查生产消耗是否符合定额标准;
6、监督、检查生产工资费用、工资分配、材料分配、制造费用是否真实、合理、符合预算管理控制;
7、设备完好率的监督、检查,有无操作规范,执行的状况如何,有无拼设备的短期行为;
8、现场管理的监督、检查,审查有无可行合理的现场管理规范,是否实行了6S管理等;
(三)对营销事项进行监督、检查
1、监督、检查销售管理部门应收及预付帐款内部控制是否合理有效,是否能够降低企业风险;
2、监督、检查销售发票、合同、销售订单所列的商品名称、规格、数量、价格是否一致,是否符合公司价格规定;
3、监督、检查对业务员报价是否按照公司销售政策执行,有无越权审批折让和价格的违规行为;
4、监督、检查销售合同、赊销的审批是否手续完备,是否有越权审批现象;
5、监督、检查发货清单与销售发票是否一致,物流配送是否满足客户需求;
6、监督、检查销售发票是否连续使用,有无缺号、作废是否正确;
7、监督、检查销售人员是否有截流公司销售货款的情况,是否在销售过程中有接触现金的情况;
8、应收帐款坏帐损失是否按照公司规定对相关责任人进行处罚;
9、市场现金操作是否按财务有关规定执行;
十一、对质量系统的监督、检查;
十二、对董事长安排的专项工作进行专项监督、检查
第三是对运营监控管理中心的充分授权,没有充分的授权,运营监控监督力度、执行力将大打折扣,各种改进措施的落实将会成为一句空话、大话,董事会能否对内控部门充分授权是内控部门开展各项监督、改进的保障。
具体应该赋予内控部分哪些职责呢?我认为内控部门应该具备以下权利。
一、有权要求各级财务部门按时上报财务报告、预算执行情况报告、财务决算报告、资产处置报告以及相关的财务制度。
二、有权参加各子公司、各中心的有关会议并召开与审计、监察事项有关的会议。
三、有权参与研究制定有关的规章制度和政策。
四、有权调阅各中心、各子公司经营管理和财务活动的有关书面、电子资料、文件以及现场勘查实物。
五、对于审计监察事项有关的问题有权向有关单位和个人进行调查,并取得证明材料,有关单位和个人必须予以配合。
六、对正在进行的严重违反出资者和公司规章、利益和严重浪费损失的行为,有权做出临时制止决定。
七、对拖延、推诿、阻挠、拒绝和破坏审计监察工作的,报经董事长同意后,有权采取封存账册和冻结资产的临时措施,并追究责任人和有关领导的责任。
八、有权提出纠正、处理违规行为的意见以及改进经营管理、提高经济效益的建议。
九、对违反董事会、公司规章制度和浪费损失、侵害公司利益的单位和人员,报经董事长同意后,有权进行通报批评和提出追究责任的建议。
十、董事长审查批准签发的审计报告,各有关单位和个人必须执行。
第四是建立科学、公正、公开的监控管理工作程序,使保障监控工作公正实施的前提,是对内控部门开展工作的标杆,是推动企业内部管理不断改进的基石。
一、编制年度、季度、月度监控管理工作计划,报董事长审批后执行。临时项目由董事长授权副董事长批准和实施。
二、审计监察前的准备工作。根据批准的监控管理计划和临时安排确定审计监察对象,制定审计监察方案,指定审计监察项目负责人和参加审计监察的人员名单,审计监察方案经董事长批准后,由审计监察负责人签发审计监察通知书,通知被审单位。被审单位应该准备和提供相关审计监察资料。
三、在审计监察过程中,审计监察人员必须编制审计监察工作底稿,作好审计监察记录和日志,收集审计监察证据,重要证据应有相关人员的签字确认。
四、审计监察终结阶段,应根据审计监察工作底稿对审计监察事项和结果提出审计监察报告。
五、审计监察报告报董事长审定。一般常规报告由副董事长签发审计监察决定并附审计监察报告副本发被审单位和有关部门执行。重要审计监察报告的决定有董事长签发。
六、审计监察决定下达后,运营监控管理中心应督促被审单位和有关部门执行。
七、被审单位应按照审计监察结论和决定,针对问题及时做出处理,处理结果应报告稽核部。如对审计监察结论和决定有异议,可在收到审计监察结论和决定十五日内向副董事长、董事长提出复议。在复议期间,原审计监察结论和决定照常执行。
D. 内控风险和风险管理有何区别
《企业内部控制基本规范》及其配套指引,充分吸收了全面风险管理的理念和方法,强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险,促进企业实现发展战略,风险管理的目标也是促进企业实现发展战略,二者都要求将风险控制在可承受范围之内。因此,内部控制与风险管理二者不是对立的,而是协调统一的整体。
E. 如何进行有效的内部控制与企业风险管理
内部控制是企业基于自身实际状况,按照一定的标准文件(如《企业内部控制基本规范》要求,制定的旨在实现企业资产安全,保证财务信息资料的可靠性、真实性和完整性,提高企业经营管理效率,推动企业各项政策的制定和实施,促进企业实现发展战略的方法和措施。其主要包括有会计控制和管理控制。风险评估是企业内部控制实施的重要一环,是指企业在一定的事实数据基础上,针对自身经营活动中可能出现的风险危害进行及时的识别和判断,并基于此制定合理、客观、科学、有效的风险应对策略。
企业如何开展内部控制与风险评估?
(一)风险管理机制的建立
1.明确风险管理目标
风险管理机制的建立其目的在于风险管理目标的实现,风险管理机制的开展都是围绕风险管理目标进行的;企业应当根据自身实际需求和条件,确定风险管理工作的目标和重点。比如针对公司近几年的运营效益的数据进行分析和掌控,又或者组织一定的人员在公司范围内开展风险识别、风险分析和风险评估等工作。
2.加强风险评估管理
企业在确定自身的风险管理目标后,应当以此为基础作为自身风险管理的行动原则,加强自身的风险管理措施:督促和指导企业定期评估风险发生的可能性及影响程度,评价现有控制措施的执行情况及效果。同时企业应当根据外部条件和内部条件(如市场环境、国家政策法规、自身人员的增减)及时采取措施,保障风险管理的可行性和适用性;将风险管理与企业日常工作有效结合,对工作中所发现的问题和薄弱环节采取有效必要的措施,确保将风险控制在可接受的范围内。
3.完善风险预警管理体系
企业经营活动中存在的风险具有突发性、偶然性和不预定性,即便企业已有相关的量化预警方案,也不一定及时预防监控,因此企业应当在原有的基础上,进一步完善自身的风险识别手段,通过调查、分析、评审等一定的方法,探索建立更加规范、完善的风险预警体系。如:定期开展数据调查和事件跟踪等;
(二)持续有效地开展内控评审
作为审计程序的一个重要环节,内控评审是推动企业建立内控长效机制的重要手段,有助于企业管理层了解企业经营及内部控制管理情况,有助于降低审计风险,减少问题的发生,保证审计质量。
1.实现内部控制的日常化
内部控制的日常化有助于企业自身经营决策、经营过程、资金资产管理等的难点和问题的及时发现、解决与防范,有助于提升审计工作的效率和效果,全面提高审计工作水平;
2.定期组织内控评审工作
审计部门基于企业自身的风险管理的目标和相关要求,按照内部控制评审的要求,建议每年组织两次全面内控评审。重点检查对象为内控制度维护及执行情况和效果,实现内控评审的规范化和日常化管理,推动企业落实内控管理责任和控制要求,自主维护制度并切实执行。
F. 企业为什么需要内部控制与风险管理
亲,您知道吗,企业需要内部控制与风险管理有四点原因:
一、企业的内部控制是保证企业正常经营的基础,内部控制的好坏直接关系到一个企业的经营成败。
为了提高企业效益,加强管理,减少工作失误,合理的调配各种有一资源,需要我们建立现代科学合理的企业内部控制制度,企业内部控制制度的建立完善与否是现代企业管理水平的标志之一。
二、是为了防范风险与树立投资者信心。
实施企业内部控制评价符合国际惯例,有助于揭示企业内控重大缺陷,维护投资者利益和资本市场秩序。投资者对投资行为的选择,不仅仅基于财务数据和相关信息,还要基于对公司内部控制系统设计与运行质量的分析,以判断企业的抗风险能力。
企业的风险来自于两大类:一是来自于违背外部强制性规定,包括合规性、财务报告及相关信息的真实可靠、资产的安全;二是来自于内部管理系统的适应性,包括战略定位与实施手段、管理的效率与经营的效果。第一类风险的发生将使企业承担违规成本,导致企业价值下降,第二类风险的发生将直接影响企业获取现金流的能力,增加投资回报的不确定性。企业建立内部控制系统就是为了防范上述风险。
三、推行内部控制是企业加强交流沟通,促进信息对称的根本途径。
可强化单位内外对内部控制制度的理解,促进各相关单位或部门之间信息的对称和透明,加强部门之间在授权、不相容职务相分离、独立业务审核、资产和记录的接近限制等具体控制环节的协作和配合,按照成本效益原则优化内部控制结构,并根据各部门沟通反馈的因管理环境或业务性质的改变情况,适时调整、完善内部控制系统,从而保证内部控制的健全有效。
四、推行内部控制是企业改善内部控制,加强内部监督制约的有效手段。
内部控制的有效执行,仅靠各部门和相关人员的自主执行是不够的,常常会因为相关部门和相关人员的串通作弊或不作为而失效,因此还需要建立健全监督机制,对内部控制运行质量不断进行评估,即对内部控制设计、运行及修整活动进行评价。通过审查和评价内部控制的健全性和有效性,评价相关部门和人员执行内部控制制度的情况,监督其充分、有效地执行内部控制制度。
G. 如何将《内控手册》要求融入到企业的管理流程当中
首先行业不同,方式方法也不同,以一个行业为例
XY股份有限公司为符合上市公司内控法规要求,提高企业经营管理水平和风险防范能力,促进企业可持续发展,根据财政部、证监会等五部委印发的企业内部控制基本规范及配套指引的要求,聘请外部咨询公司,2011年3月起着手进行内控体系建设工作。根据《企业内部控制基本规范》及其配套指引要求,结合国外公司经验,企业内部控制体系建设通常分为4个阶段,内部控制梳理、内部控制整改固化、内部控制自我评价和内部控制审计,其中前3个阶段是内控建设核心工作,需由企业主导完成,内控审计由审计师在企业配合下实施。
为做实做好内控规范体系建设工作,公司于2011年3月正式成立内控工作领导小组,由公司董事长牵头,高层领导主管、总部各部门负责人及各分子公司总经理作为组员,负责组织领导公司内部控制规范化建设工作。2011年3月中旬召开内控实施项目启动会,对公司内控建设工作进行了部署和动员,并制定公司内控实施计划及工作方案。
一、建立内控建设组织架构,明确相关人员职责。
内部控制建设作为一项长期系统性地工程,并非一蹴而就,公司决定建立一种长效领导机制持续运作。公司内控体系建设组织架构图如下,并明确董事长为内部控制实施工作的第一责任人;公司总经理、副总经理为内控实施的具体负责人。
(一)内控领导小组职责
经第六届第十次董事会审议通过,公司成立风险管理委员会,成员包括董事长、审核委员会主席、总经理、分管主要业务的公司高管及专业人士,作为内控工作领导小组。
风险管理委员会对董事会负责,主要履行以下职责:
(1)负责营造良好的内部控制建设环境;
(2)负责制定公司内部控制战略规划,提出总体建设方案;
(3)负责审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;
(4)部署内部控制建设、执行及监督活动等;
(5)审议《内控手册》的编制、修改及更新;
(6)提交《内部控制评价报告》;
(7)协调公司内部控制建设的重大事项;
(8)考核内部控制建设的相关人员,保持公司整体利益和方向的一致性。
(二)内控项目小组职责
1、公司在风险管理委员会下设立风险管理委员会办公室作为内控项目组,主要履行下列职责:
(1)全面贯彻执行风险管理委员会关于内部控制建设的精神和方针;
(2)制定公司内部控制建设阶段性的目标及实施方案,提交风险管理委员会审核;
(3)负责内部控制建设的有效实施和运行,落实内部控制建设的具体责任;
(4)研究提出《内部控制评价报告》;
(5)负责公司《内控手册》的编制、修改及更新;
(6)审核在内部控制建设过程中存在的问题,督促各部门进行整改。
2、公司在风险管理委员会办公室细分为4大系统,即风控系统、战略与证券系统、财务系统和运营系统,明确各系统的具体职责。
3、风险管理委员会办公室成员主要来自于财务管理部、战略与证券管理部、风险管理部、管理创新部、营销中心、质量与客服部、供应链中心、法律事务部、研发中心、制造中心及战略人力资源部,配备33名专职人员。各业务单位、职能部门及子公司(事业部)在风险管理委员会办公室的指导下共同参与、实施内控建设工作。
4、审核委员会作为公司内部控制体系有效性的监督机构,监督内部控制的有效实施和内部控制自我评价情况,审核及监督外部审计机构是否独立客观及审计程序是否有效,审核公司的财务信息及其披露,协调内部控制审计及其他相关事宜。
(三)责任部门及工作预算
与内控工作小组相对应,公司确认了内部控制建设的责任部门,即风险管理部、战略与证券管理部、财务管理部、管理创新部、营销中心、供应链中心、质量与客服部、法律事务部、制造中心、研发中心、战略人力资源部。本次内控项目工作制定了相关预算,包括内控咨询、内控审计及人力成本费用、培训费用等。为保证内控建设工作的专业化、系统化和合理化,公司聘请询公司作为外部咨询机构为公司提供专业支持,协助公司梳理、构建及完善内部控制总体架构,帮助公司识别内部控制存在的薄弱环节和主要风险,有针对性的设计控制的重点流程和内容并协助公司开展内部控制自我评价工作。 风控系统人员将全程参与风险识别及评估、编制风险清单及控制矩阵、内控缺陷整改、开展内控评价等工作,为公司培养内部控制建设及评价人才。
二、内控体系建设工作具体推进
内部控制建设工作,公司将分为五个阶段,时间从2011年4月1日至2012年1月31日,总体安排如下:
(一)确定内控实施范围(2011年4月10日前完成)
根据证监局文件精神,结合公司实际,本次内控实施范围为股份公司、一家上海子公司及一家广州子公司。
按照《企业内部控制基本规范》及其配套指引要求,结合公司业务性质,公司将重点关注发展战略、组织架构、人力资源等公司层面3大流程,以及信息系统、财务报告、信息披露、关联交易、全面预算、资金活动、采购业务、销售业务、资产管理等业务层面9大流程。
各流程责任人如下(××代表责任人姓名):
流程第一责任人 具体负责人 内控协调人 中介机构责任
发展战略 × × ×
组织架构 × × × ×
……
注:上述责任人适用于内控建设中的每个阶段。
(二)风险识别及评估(2011年5月31日前完成)
1、流程梳理:公司通过访谈、审阅文档或问卷调查等方式梳理流程,明确上述12大流程的相应子流程,完善组织架构和审批授权指引,根据统一的模板编制业务流程图。在流程梳理过程中,及时发现并记录有遗漏、杂乱、不符合相关法律、不相容职务未分离或权限设置不合理等内控缺失的工作流程,采取相应的措施规范操作流程,避免内部舞弊等重大风险出现,提高工作效率。
2、风险识别:结合《企业内部控制基本规范》及相关配套指引所列示的风险、公司客户审核要求、内审报告、提案改善、质量事故等初始资料,从风险发生的可能性和影响程度,对子流程中涉及到的每个控制点进行综合分析,识别固有风险,评价风险等级,形成风险清单。
3、文档记录:根据风险等级,识别流程中的关键控制活动,并在流程图中进行编号;编制流程描述、风险控制矩阵等内控文档对控制活动和控制点进行记录。
4、查找内控缺陷:将公司现有制度和控制措施流与风险清单进行比对,通过穿行测试、控制测试等手段,获取关于内控设计和运行有效性的证据,查找内控缺陷,形成《风险数据库》和《内控风险诊断和评价报告》。对发现的重大缺陷及时报告董事会及管理层,管理层对发现的内部控制缺陷应及时制定内控缺陷整改方案。
(三)确定内控缺陷整改方案(2011年6月30日前完成)
1、编制《内部控制管理建议书》:公司对发现的内控缺陷进行分类分析,确定内控缺陷的重要性程度,区分设计缺陷和运行缺陷,形成《内部控制管理建议书》。
2、制定内控缺陷整改方案:公司根据《内部控制管理建议书》和具体的控制缺陷,提出整改时间及责任部门、人员,形成内控缺陷整改方案。
3、提交审议:内控缺陷整改方案应当经过风险管理委员会审议通过。
(四)内控缺陷整改(2011年9月30日前完成)
1、落实整改、提交报告:责任部门将按照内控缺陷整改方案对发现的缺陷进行逐一整改,完善公司各项内部控制管理制度和控制措施,提交《内控缺陷整改报告》;内控项目组连同中介机构对缺陷整改情况进行运行有效性测试,形成《内控运行测试报告》。
2、编制《内部控制手册》:内控项目组根据风险清单和各项内控文档等资料,编制《内部控制手册》,并对手册内容进行实施辅导和推进执行。
3、编制《内控自我评估工作指引》:内控项目组编制《内控自我评估工作指引》,为下一步内控自我评价工作的开展奠定基础。
4、提交审议:《内控缺陷整改报告》、《内控运行测试报告》、《内部控制手册》及《内控自我评估工作指引》应报风险管理委员会审议。
(五)内控持续推进和内控自我评价
公司在内控体系成果完成后,将予以持续推进,并根据辖区证监局要求,公司将于每季度结束后的10个工作日内,向证监局报送内控进展情况说明,并在定期报告中予以披露。每季度进展情况说明至少包括该季度内控建设工作的开展情况、与工作方案中计划进度的对照情况、差异原因以及拟采取的解决措施等。
通过以上工作,公司初步建立健全了内部控制体系,有效提高了内控管理水平。
三、企业内控体系的“落地”和持续推进
XY公司在完成内控体系初步建设完成后具体推行过程中,一些部门和员工或因对新的内控制度理解不够,或因由于长期工作习惯难以改变,或因内控制度变革触及自身利益而不愿遵循,使得内控制度在一段时期内一直都不能落到实处。如何真正将内控体系有效执行下去,并保持内控体系的持续完善和提高,是管理层迫切需要解决的难题。
为了切实将内控制度体系真正“落地”,XY公司通过全方位内控培训、加强内控检查与监督、完善考核及激励机制以及借助第三方专业机构的持续辅导等措施,有力地保证了内控建设的持续维护,公司的内控建设取得了卓有成效的进展。
具体来说,采取的主要措施有:
(一)完善内控工作组织架构,成立内控部,强化审计部,建立推进内控工作的组织机构和运行机制。
通过对国际大企业内控建设的现状和过程的全面考察,XY公司发现要实行有效的内部控制,必须建立相配套的组织架构。为此,公司由管理高层成立了内控工作领导小组,各子公司管理层对应的成立内控管理小组;在部门设置上,XY公司新成立了内控部,各下属子公司根据其规模大小设立内控部或内控负责岗,负责内控建设工作;在内控监督上,转变了原有的审计部的职责,增加了内控评价和检查的功能,并由公司董事会的审计委员会直接领导,在规模较大的子公司同时设立内部审计专员,负责子公司的内控自查。
(二)注重内控环境建设,进行全方位内控培训。
XY公司通过一系列的培训和辅导,提高各层级管理人员和基础员工对内控理念的认识,营造有利的内控工作开展的文化环境。首先,公司抓好以普及内控基本知识、营造内控实施环境的宣传工作。公司内控部组织编制了《内控宣传册》,在股份公司各职能部门和下属公司主要管理干部范围内发放学习。手册通过生动的案例和形象的语言帮助各级管理人员统一对内控的理解和认识,减少内控推进的思想阻力。
其次,公司根据内控规范实施的进度,围绕内部控制的各个方面,开展了包括基础理念、管理制度、风险评估、内控评价、内控考核在内的各类集中的专题培训,对内控制度的编制和实施起了极大的推进作用。
(三)建立内控推进的沟通机制,保证内控建设持续性和问题解决的及时性。
自内控制度建设正式推进以来,为了保证推进的执行力,公司开展了全方位的信息沟通机制,实现了信息的实时传递,和通畅的上传下达。
首先,XY公司建立了周例会制度。内控领导小组每周组织内控工作例会,由公司董事或审计委员会主任主持,参与者包括内控领导小组成员、内控部、审计部、财务部、各子公司的内控负责人等。总部各职能部门及各子公司必须在会上以书面形式上报“内控工作一周报告”,汇报内控的进展情况、存在的问题、解决的方案、遇到的困难以及需要股份给予协助的事项,并由内控领导小组组长对相关的具体问题提出意见和工作指导,会后股份公司内控部负责对每家子公司进行回复,保证所有的问题都能得到及时有效的解决。所有会议记录和相关文件在会后抄送股份公司的总经理和董事会,并抄送相关子公司的管理层,保证管理高层对内控进展的时刻了解。
其次,公司建立了内控体系的月度工作总结。每月末各个子公司的内控负责人就内控开展情况进行工作总结,由内控部在股份公司管理层、子公司管理层以及相关内控负责人之间进行通报,督促各子公司的内控执行力。
第三,建立了重大项目的单独汇报机制。各子公司的内控负责人对于子公司内控建设中发现的重大问题要求及时向内控领导小组和股份内控部进行汇报,以实时处理可能的重大风险。此外,股份公司的内控部长、审计部长、财务总监的联系方式向子公司的所有内控负责人和内控专员公开,作为信息直接传递的一个重要渠道,帮助股份公司及时了解下属子公司内控风险。
(四)完善内控评价检查机制,建立了多层次的内控检查体系。
为了保证内控制度的落地和真正有效的执行,公司从各子公司到股份公司的内控部和审计部,再到外部独立的第三方中介,建立了全方位的内控评价和检查体系。股份公司内控部对各业务循环定期开展内控检查,通过发放内控调查清单以及内控专员的现场检查,发现子公司在内控建设中的不足,并及时下发风险联系函、风险关注函和风险警示函,以帮助子公司及时进行内控整改和完善。其中联系函主要是对子公司联系函件的回复为主;关注函主要是对子公司发生的业务表示关注,一般要求对方在一定时间内给出书面说明;警示函是在关注函的基础上对于重大风险或执行不到位的情况给予警告。
股份公司审计部对各子公司每年开展两次的内控评价。为了实现评价的量化和标准化,审计部编制了内控评价底稿通过检查,对子公司形成内控建设的量化评价,并针对检查中发现的问题出具改进建议,并要求各子公司在规定的时间内予以整改,总部内控部对子公司整改措施和整改质量进行全程的监督,整改完成后,审计部及时予以复查,确保审计中发现的问题能及时整改。
(五)将内控建设纳入绩效考核,通过奖惩机制实现内控的有效性。
首先,为有效发挥各下属子公司的管理者在内控推进中的作用和积极性,自200×年开始,股份公司将审计部对各子公司的内控评价结果纳入其管理班子的绩效考核的指标中,明确了管理班子对于内部控制建设的责任和关键任务。通过这种绩效考核,激励管理层切实关注和推动内控的执行工作,从而为内控工作的推进建立良好环境。
其次,对于股份公司向各子公司委派的重要人员也直接与内控建设挂钩。公司出台了《委派内控人员绩效考核管理办法》,对各个子公司的内控负责人实施全面的内控建设考核,明确了委派的内控人员的绩效考核指标、考核方式和奖惩机制,进一步促进了委派内控人员的工作落实力度;其次,对于股份委派的财务负责人,也在其年度考核的总分中(100分制)纳入了相当比重的的内控建设的相关内容,从财务职能加强了对子公司的内控推进。
(六)充分发挥专业中介机构力量
XY公司在开始建立内控体系即聘请的专业咨询公司提供咨询服务,在整个体系建立过程中,充分发挥咨询公司专业力量,并聘请专业顾问对公司人员进行培训,提高公司人员内控理念和技能。在内控体系初步建立之后,仍继续与咨询公司保持合作,借助咨询公司在专业及独立性方面优势,共同推进公司内控持续建设工作,在内控持续建设工作中,专业咨询公司提供了大量了专业意见和培训辅导服务,帮助公司完善各项成果,使得公司的内控持续建设取得了令人瞩目的成效。
四、企业内控体系建设过程的经验和启示
在公司董事会、各层级管理人员和基础员工不懈努力下,公司内部控制体系的建设取得了一系列的良好效果,全公司各级员工的风险管理意识显著提高,对风险的理解和重视切入到各个业务和管理环;强化了各项经营活动的规范化操作,实现了重大经营活动的集体化决策机制,有效防范了决策风险;提高了公司的财务管理水平,保证了从产业公司到股份公司的各层级财务数据的真实公允以及资金、资产的安全;加强了公司对新经营环境下管理风险的关注;完善了公司的风险预警机制,提高了各职能部门对业务发生之后的潜在风险的持续监控、分析和应对。公司在内控体系建设和推进过程中,主要的经验和启示有:
1、公司董事会和最高管理层的重视和亲自参与
在XY公司董事会,无论是大股东委派董事、非执行董事还是独立董事,都非常重视和关心内部控制体系的建设工作。作为公司的大股东,集团对股份公司的内控建设给予了极大的理解和支持,有力的推动了产业公司的内控建设的进程。董事会的定期会议都将内部控制进展情况作为重要议题沟通,对于内部控制推进中出现的任何问题,董事会层面时刻给予相应和支持。
在公司管理层方面,成立了内控领导小组,投入了大量的人力和财力,带领企业员工共同进行内部控制建设,为内部控制的推进提供了良好的内部环境,同时也激发员工的积极性和主动性,推动企业内部控制朝更顺利、更完善的方向发展。
2、对内部控制理念以及其与公司其他管理体系关系的认识统一
XY公司在内控推进的第一阶段大力推行高频率、大幅度的培训,帮助各级管理者以及基层员工了解内部控制的主要原理和价值,减少内控实施中的思想阻力。其次,公司统一了内控体系与其他管理体系的认识,内部控制和风险管理不是一套孤立的新的体系和制度,而是一种基于“目标-风险-控制-监督”框架的管理思路,这种管理思路可以融入到企业的所有其他的管理体系和管理制度中去,是对企业原有的管理制度的整合和提升。
3、制定了清晰明确的内部控制战略规划
公司根据自身实际情况,在订并提出了内部控制的五年两步走的规划,并将其纳入到公司的5年战略规划中。第一阶段(3年),通过自上而下的刚性要求,构建全面的统一化的集团内部控制架构,并通过理念灌输形成内控推进的文化范围;第二阶段(2年),通过自下而上的,自觉的内控体系的完善,形成各个产业公司的特色化内部控制。这一从强制到自觉,从理念普及到制度完善再到内控手册的表格化提升的建设步骤,使得公司从管理高层到基层员工的各级人员都明确内部控制不同时期的不同任务及不同发展状态,稳步推进,逐步加深,为内部控制的发展道路勾画了清晰路径。
4、因企制宜的实施方案
XY公司意识到对于集团化企业,内部控制不能是一刀切的,公司要实行内部控制,需要根据自身的业务类型、公司规模、公司所处阶段来选择适宜的内部控制方法。
首先公司在吸收了五部委内部控制基本规范和配套指引的相关精髓的基础上,结合企业经营实践,基于先主后次的重要性原则以及成本收益原则,提出了以若干业务循环作为公司内控建设的主要循环范围。
其次,考虑公司的人员能力和素质,在内控成果上也没有一步到位册,而是以制度建设为基础,通过制度规范,到流程优化再到风险提炼,逐步实现内部控制的层层递进。
第三,在内控推进上,公司充分考虑下属各产业公司的业务特点,确定适合各公司的内部控制方式和侧重点。
5、循序渐进的实施步骤
(1)自上而下的理念推进向自下而上的流程推进的递进。
在内控实施的第一阶段,公司强调自上而下的理念推进。公司通过内部培训、各种工作会议达成内控理念的统一,并向各子公司传达,之后各子公司则进行自下而上的内控流程推进,即各产业公司根据自身的内部流程,进行制度的完善,并经由公司内控部审核后实施。
(2)由总部出台框架性的制度到各个子公司制订针对性的业务流程的递进。
公司内控部结合外部力量制定框架性的制度,明确各业务循环的关键控制点和操作要求,各产业公司根据自身业务情况,在满足框架制度要求的前提下制定适合企业自身的管理制度,以求更贴近产业公司的经营管理实践。
(3)普遍性、通用性的风险点向专业性、针对性的风险点的递进。
公司首先根据对产业公司实际情况的调研,绘制公司的全面风险数据库,梳理出具有普遍性的通用性主要风险点,之后,各产业公司在实际操作中不断发现专业性、针对不同企业业务特色的独特风险,以实现内部控制的完善。
(4)抓重点公司,抓主要循环和风险、抓典型事件。
公司的内部控制遵循重要性原则,关注重点公司级重要循环与风险,并关注典型事件,以期通过重点带动全面,推动内部控制的发展。
6、借助外部专业中介机构推动内控建设
外部专业机构相对具有更丰富的内控专业力量和实施经验,并且具有客观性和独立性,XY公司在整个体系建立过程中,充分发挥咨询公司专业力量,但也没有完全依赖中介机构甩手不管,而是充分参与和配合,在内控建设过程中,实现知识传递和内控人才培养,取得了较好的实施效果。
--------------转自新浪微博《马军生-内部控制博客》
H. 谁有企业内控风险管理清单
由于各个公司现实状况不一样,所以风险管理清单也就不一样,但清单内的风险可以归类,如从商务的角度看,公司面对的风险可分为:人力资源风险、资产风险、合规风险、法律风险、信息风险、流程与控制风险、质量风险、环境风险以及安全健康风险等。若想编制公司风险清单,你可以从以上内容入手,这样思路会清晰一些。
I. 如何做好企业内部控制和风险管理
一、强化内部控制和操作风险管理理念,建立良好的风险控制企业文化氛围
在强化对内控和操作风险理念的宣传与培训工作的同时,项目小组对原有绩效考核和薪酬体系进行了重新设计,将包括操作风险管理在内的全面风险管理内容融入其中,使得内部控制和风险管理不仅是对员工日常工作的要求,并且成为衡量部门绩效的成本因素,直接影响部门的经营效益考核结果,进而形成管理者和员工风险管理的激励机制。通过事前培训,事中监督和事后考核,已经将银行内部控制和风险管理理念深入贯彻到每名员工,相信通过一段时间的实施将形成良好的内部控制和风险管理企业文化氛围。
二、进一步完善风险控制的组织结构和岗责体系
完善的组织架构是保证内部控制和风险管理的组织保障,而科学的岗位职责设计能够确保每名员工在内控和风险管理工作中权、责、利上的明确分工,进而通过合理的绩效考核和激励机制设计保证分工的有力执行。项目小组结合内控和风险管理的科学理念和最佳实践对自身的组织架构进行了改造,对岗位职责进行了重新设计。
三、建立科学的内部控制、风险管理制度与流程体系
科学有效的管理制度和流程体系是确保内部控制和风险管理质量的基本保证。锦州市商业银行通过完善各部门与业务的内部控制制度以及优化风险控制流程来降低和防范操作风险,将系统、标准的管理方法运用到各类业务的操作风险管理当中,全面梳理各项业务流程,建立有利于全面风险管理的内部控制体系。