评估公司内控管理模式
❶ 怎么通过风险评估来进行内部控制
对于这一定义,可从以下三个角度进行理解。
(一)内部控制评价的主体是董事会或类似权力机构
内部控制评价的主体是董事会或类似的权力机构,是指董事会或类似的权力机构是内部控制设计和运行的责任主体。董事会可指定审计委员会来承担对内部控制评价的组织、领导、监督职责,并通过授权内部审计部门或
独立的内部控制评价机构执行内部控制评价的具体工作,但董事会仍对内部控制评价承担最终的责任,对内部控制评价报告的真实性负责。对内部控制的设计和运行
的有效性进行自我评价并对外披露是管理层解除受托责任的一种方式,董事会可以聘请会计师事务所对其内部控制的有效性进行审计,但其承担的责任不能因此减轻
或消除。
(二)内部控制评价的对象是内部控制的有效性
内部控制评价的对象是内部控制的有效性,所谓内部控制的有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度。
从控制过程角度,内部控制的有效性可分为内部控制设计的有效性和内部控制
运行的有效性。内部控制设计的有效性是指为实现控制目标所必需的内部控制程序都存在并且设计恰当,能够为控制目标的实现提供合理保证;内部控制运行的有效
性是指在内部控制设计有效地前提下,内部控制能够按照设计的内部控制程序正确地执行,从而为控制目标的实现提供合理保证。内部控制运行的有效性离不开设计
的有效性,如果内部控制在设计上存在漏洞,即使这些内部控制制度能够得到一贯的执行,那么也不能认为其运行有效的。
从控制目标的角度来看,内部控制的有效性可分为合规目标内部控制的有效性、资产目标内部控制的有效性、报告目标内部控制的有效性、经营目标内部控制的有效性、战略目标内
部控制的有效性。其中,合规目标内部控制的有效性是指相关的内部控制能够合理保证企业遵循国家相关法律法规,不进行违法活动或违规交易;资产目标内部控制
的有效性是指相关的内部控制能够合理保证资产的安全与完整,防止资产流失;报告目标内部控制的有效性是指相关的内部控制能够防止、发现并纠正财务报告的重
大错报;经营目标内部控制的有效性是指相关的内部控制能够合理保证经营活动的效率和效果及时为董事会和经理层所了解或控制;战略目标内部控制的有效性是指相关的内部控制能够合理保证董事会和经理层及时了解战略定位的合理性、实现程度,并适时进行战略调整。
评价内部控制设计的有效性,可以考虑以下三个方面,一是内部控制的设计是否做到以内部控制的基本原理为前提,以《企业内部控制基本规范》及其配套指引为依据;二是内部控制的设计是否覆盖了所有关键的业务与环节,对董事会、监事会、经理层和员工具有普遍的约束力;三是内部控制的设计是否与企业自身的经营特点、业务模式以及风险管理要求相匹配。评价内部控制运行的有效性,也可以从三个方面进行考察,一是相关控制在评价期内是如何运行的;二是相关控制是否得到了持续一致的运行;三是实施控制的人员是否具备必要的权限和能力。
需要说明的是,由于受内部控制固有局限(如评价人员的职业判断、成本效益原则)的影响,内部控制评价只能为内部控制目标的实现提供合理保证,而不能提供绝对保证。
(三)内部控制评价是一个过程
内部控制评价是一个过程,是指内部控制评价要遵照一定的流程来进行。内部控制评价工作不是一蹴而就的,它是一个涵盖计划、实施、编报等多个阶段、包含多个步骤的动态过程。
❷ 企业内部控制评估包括哪些
企业内部控制
定义:企业内部控制是以专业管理制度为基础,以防范风险、有回效监管为目的,通过全方位建立答过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。
企业内部控制主要包括下列要素:
(一)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
(二)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
(三)控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。
(四)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。
(五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
❸ 内部控制评估和测试的方法主要包括哪些具体解释。
内部控制与内部审计之间存在着一种相互依赖、相互促进的内在联系。内部控制本质上是组织为了达到一定目标所采取的=系列行动和过程,主要目的包括:信息的可靠性和完整性:政策、计划、程序、法规的遵循性;资产的安全性:资源使用的经济性和有效性;为经营和计划所确定的目的和目标完成情况。而内部审计的主要目的是评价组织控制,它既对内部控制的健全和有效进行评价,以确保揭露组织潜在的风险和运行的经济达到组织的目标。其本身又是内部控制的重要组成部分。一个经济实体所提供的会计信息和其他经济信息的真实、完整与否,与该实体是否存在具有规范的内部控制制度有效执行,有着相当程度的因果关系。内部控制的存在与否,对内部审计方式的选择有着至关重要的意义。由于内部控制是为了推进经济实体的有效运营,而内部审计则在于协助管理层调查、评估内部控制制度,适时提供改进建议,以求内部控制制度得以持续实施。在通常情况下,内部控制系统由经济实体经营管理部门指定并在实施执行中评价和改进,通过内部审计部门评价内部控制系统的健全性和有效性。由于内部审计是在有限的时间与合理的成本条件下进行的。同时,审计主体对审计结论负有相应的责任。因此,审计工作必须讲究效率与结果,保证内部控制的合理性和运行的有效性。 适当的组织目标和合理的评价标准是管理和内部审计工作走向规范的标志。没有合理的评价标准,就等于没有实质意义的管理,缺少有效的内部控制,内部审计工作展开也就无法真正发挥其作用,以风险评估为基础的风险导向审计属于开放式的模型。审计人员当开始一项审计项目时,必须首先评估组织面临的经营、管理、财务,风险,考虑组织目标是否适当和是否有相应的控制,这不仅体现在具体项目及与部门的相互沟通方面,而且还反映在宏观上审计目标的不断演变。由此可见,内部审计人员根据风险评估的思路开展对内部控制的评价,以组织目标为起点和核心,能够更加有效地发挥建设性作用,完成由监督控制到风险基础,为组织做好服务。 现代企业内部审计工作主要涵盖以下内容: 1、财务收支审计。主要是评价和监督企业是否做到资产完整、财务信息真实及经济活动收支的合规性、合理性及合法性,对会计记录和报表分析提供资料真实性和公允性证明; 2、经济责任审计。是评价企业内部机构、人员在一定时期内从事的经济活动,以确定其经营业绩、明确经济责任,这里包括领导干部任期经济责任审计和年度经济责任审计。 3、经济效益审计。审计重点是在保证社会效益的前提下 以实现经济效益的程序和途径为内容,对企业的经营效果、投资效果、资金使用效果做出判断和评价,其中基建工程预决算审计应为重中之重。 4、内部控制制度评审。主要是对企业内部控制系统的完整性、适用性及有效性进行评价。 5、开展明晰产权的审计。审计明晰其产权归属,避免造成国有资产、集体资产流失或其他有损企业利益的行为。 6、其他审计。结合企业自身行业特点,开展对经营、管理等方面的审计工作,以增强医院后备能量。 内部控制是企业有效组织经营,进行管理及各项经济业务有序开展的必要保证。内部审计通过对内部控制进行测试,可以评价企业内部控制制度的健全性、遵循性和有效性,能针对内部控制中的薄弱环节及时提出相应改进建议,促使企业以合理的成本促进有效控制,达到改善企业内部经营状况的目的。内部审计在当前企业转机建制过程中,应抓住时机,认真总结经验,研究和探讨审计工作的新方法、新思路,拓宽视野,尽快消除旧的思维方式和工作模式,跳出常规的财务收支审计局限,向经济效益审计、经济责任审计、管理审计领域进一步延伸。参考资料:
❹ 内部控制系统应如何评估企业的价值
企业应当按照内部控制评价办法规定的程序,有序开展内部控制评价工作,内部控制评价的具体组织实施工作可以授权给内部审计部门或专门机构负责。企业开展在评价工作,一般程序为:
(一) 设置内部控制评价部门
企业通常授权内部审计部门或者其他专门机构作为内部开展评价部门,负责内部控制评价的具体组织实施工作。内部控制评价部门必须具备一定的设置条件:
1. 能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;
2. 具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;
3. 与企业其他职能机构就监督与评价内部控制系统保持沟通协调,在工作中相互配合、相互制约,在效率上满足企业对内部控制系统进行监督与评价所提出的有关要求;
4. 能够得到企业董事会和经理层的支持,有足够的权威性来保证内部控制评价工作的顺利开展。
(二) 制定评价工作方案
内部控制评价部门应当根据企业实际情况和管理要求,分析企业经营管理过程中的高风险和重要业务事项,制定科学合理的评价工作方案,经董事会批准后实施。评价工作方案既应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。评价工作方案既可以全面评价为主,也可以根据需要采用重点评价的方式,一般而言,内部控制建立与实施初期,实施全面综合评价有利于推动内部控制工作的深入有效开展;内部控制系统趋于成熟后,企业可以在全面评价的基础上,更多的采用重点评价或专项评价,以提高内部控制评价的效率和效果。
(三) 组织评价工作组
评价工作组在内部控制评价部门的领导下,具体承担内部控制检查评价任务。控制评价部门根据经批准的评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员,组成评价工作组,具体实施内部控制评价工作。评价工作组成员应当吸收企业内部相关机构熟悉情况的业务骨干参加。实施评价工作前,评价人员需要接受相关培训,培训内容一般包括内部控制专业知识及相关规章制度、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准、评价人员权利义务、纪律要求及评价中需重点关注的问题等。
(四) 实施现场测试
评价工作组根据单位平均工资方案确定的内部控制评价范围,入驻被评价单位,实施现场测试。现场测试的一般步骤为:
1..了解被评价单位基本情况。评价工作组与被评价单位进行充分沟通,了解其经营业务范围、评价期间生产经营计划和预算完成情况组织机构设置及职责分工、领导层成员构成及分工、财务管理及会计核算体制、内部控制工作概况、最近一次内部控制评价或审计发现问题的整改情况等。
2.确定检查评价范围和重点。评价工作组根据掌握的情况确定评价范围、检查重点和抽样数量,并结合评价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行实时调整。
3.开展现场检查测试。评价工作组根据评价人员分工、综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试,按照要求填写公正底稿、记录相关测试就跟,并对发现的内部控制缺陷进行初步认定。评价人员应遵循客观、公正、工平的原则,如实反映检查测试中发现的问题,并及时与被评价单位进行沟通。
4.编制现场评价报告。评价工作组汇总评价人员的工作底稿,形成现场评价报告。评价工作底稿应进行交叉复核签字,并有评价工作组负责人审核后签字确认。
5.提交现场评价结论。评价工作组将评价结果及现场评价报告向被评价单位进行通报,有被评价单位相关责任人签字确认后,提交企业内部控制评价部门。
(五)汇总评价结果
内部控制评价部门汇总各评价工作组的评价结果,对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总,对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级。对于认定的内部控制缺陷,内部控制就部门应当提出整改建议,要求责任单位及时整改,并跟踪其整改落实情况;已经造成损失或负面影响的,企业应当追究相关人员的责任。
(六)编报评价报告
内部控制评价部门已汇总的评价结果和认定的内部控制缺陷为基础,综合内部控制跟踪整体情况,客观、公正、完整的编报内部控制评价报告,并报送企业经理层、董事会和监事会,有董事会最终审定后对外披露或以其他形式加以合理利用。
二.内部控制的评价方法
企业在控制内部控制检查评价工作工作过程中,应当根据评价内容和被评价单位具体情况,综合运用个别访谈调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,广泛收集被评价单位内部控制设计和运行是否有效的证据。评价方法的选择应当有利于保证证据的充分性和适当性。证据的充分性是指获取的证据能够为形成内部控制评价结论提高合理保证;证据的适当性是指获取的资金与相关控制的设计与运行有关,并能可靠地反映控制的时间状况。
(一)个别访谈法
个别访谈法是指企业根据检查评价需要,对被检查单位员工进行单独访谈,以获取有关信息。该方法主要用于了解企业及其所属单位内部控制的基本情况。评价人员在访谈前应根据内部控制评价目标和要求形成访谈提纲,如有必要可先提供被访谈人员进行准备,被访谈人员主要是单位领导、相关机构负责人或一般岗位员工。评价人员在访谈工作结束后应撰写访谈纪要,如实记录访谈的内容。
(二)调查问卷法
调查问卷法是指企业设置问卷调查表,分别对不同层次的员工进行问卷调查,根据调查的结果对相关项目作出评价。该方法常见于内部环境评价。调查问卷一般包括填列项目、控制描述和支持性文档等内容。其中。填列项目基于企业实际情况,明确被评价单位或对象需要填列的内部控制评价内容;控制描述是指被评价单位或对象对评价内容‘考虑是否存在相关的控制,并如实填写相关控制的设计与运行情况;支持性文档要求被评价单位或对象列示相关控制所涉及的支持性文档,如对领导层是否重视内控工作进行评价,需要列示有关会议纪要、审阅记录等文档;对企业文化进行评价,需要列示文化手册、员工行为守则等文档。
(三)专题讨论法
专题讨论法通常用于控制活动评价,是指通过召集与业务流程相关的管理人员就业务流程的环节会某类具体问题进行讨论及评价的一种方法。专题讨论法即是一种常见的控制评价方法,也是须报告称去也行整改方案的重要途径。对于同时涉及财务、业务、信息技术等方面的控制缺陷,往往需要有内部控制专职机构组织召开专题讨论会议,综合内部各机构、各方面的意见,研究确定缺陷整改方案。
(四)穿行测试法
穿行测试法是指在内部控制系统中任意选取一笔交易作为样本,追踪该交易最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程,以此来了解整个业务流程状况,识别出其中的关键控制环节,评估相关控制设计与运行的有效性。
(五)实地查验法
实地查验法是指企业对财产进行盘点清查,以及对存货实物资产的出入库环节进行现场查验,主要用于对资产安全性目标的思想情况所作的评价。实地查验法通常应与抽样法结合运用。企业对财产进行实地查验,需要制定统一的测试工作表,并从特定的样本库中抽取若干测试样本,与企业激励、财务单证等进行核对验证,以此判断与资产安全目标相关的各项控制的有效性。进行实地查验首先要有计划,明确目的,一般情况下,实地查验要和纳税评估结合起来进行的,在实地查验过程中要尽量去的企业生产经营的第一手资料,资料要详实、准确。
(六)抽样法
抽样法是指企业针对具体的业务流程,按照业务发生的频率及固有的风险的高低,从确定的样本库中抽取一定比例的夜样本,对业务样本的控制水平进行判断,进而崔整改业务流程的内部控制有效性作出评价。抽样法是控制车速的常用方法,分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本;其他抽样是指人工任意选取或按某一特定的标准从样本库中先后去一定数量的样本。应用抽样法时应注意样本库必须包含符合测试要求的所有样本,测试人员首先应对样本库德完整性进行检查评价。
❺ 怎样做企业内部控制体系建设
企业内部控制体系建设应从以下五方面进行建设:
一、战略制定
作为内控管理的第一站,内控战略规划的重要地位在于其对以后实施内控系统建设的所有方面的影响。合理的战略规划可以使企业的内控管理效率大幅度提高,确保企业的治理水平迅速达到所有者和管理层的预期目标。
二、机构设置
内控机构设置的主要工作包括:确定机构名称、层级、汇报对象、专业人员的具体名称、工作岗位设置、工作内容确定、人员选拔和素质要求、工作的具体原则等。以下将主要讨论组织机构的设置、内控工作的具体内容和岗位确定。
三、系统培训
任何企业在推行某个新的管理方法前,最大的问题就是如何快速、有效地转变人们已经习惯了的各种传统工作方法和思路。由于采用现代企业内控管理的具体操作方法将直接影响到企业现有的权力结构,这就意味着会遇到巨大的阻力。
为此,企业内控管理人员必须要对所有相关利益者进行系统的内控培训,在系统运行之前,把阻力减到最小。培训的内容主要有:编制培训资料、确定培训计划以及实施培训。
四、作业实施
严格地说,自从企业策划内控战略开始,就可以看作是进入了内控作业的实施阶段,这里指的是具体实施内控作业阶段。内控作业的内容主要包括:
1、制定企业内控管理程序,或者运营管理程序
2、评估检查企业的授权管理系统
3、潜在利益冲突调查
4、编制年度内控审计指导,实施内控审计
5、组织风险评估
6、内控问题调查(ICRQ)
7、舞弊案件调查
8、评价考核内控工作
9、参加公司董事会会议,对下属企业总经理、财务总监在执行内控政策和遵循授权管理方面的情况提出奖惩建议
10、组织保险业务
11、培训企业高级管理人员
12、内控工作报告
五、检查评估
根据内控五要素的解释,检查和评估是内控框架体系的一部分。这里的检查评估除了日常对企业各个业务操作的检查评估外,也包括对正在实施的内控系统的检查评估。内控部和外部审计师(也包括将来社会上成立的独立的内控体系评估机构)将构成检查评估的主体。
(5)评估公司内控管理模式扩展阅读
企业内部控制体系建设的对象是财务总监及其他相关的高级管理人员、负责内部控制和内部审计部门的经理、主管和其他管理人员以及财务与其他职能部门的经理和管理人员
❻ 内部控制评价方式有哪些
内部控制评价方式,是指内部控制评价工作的基本形式,是解决内部控制评价工作到底如何进行的问题。关于内部控制评价工作到底如何进行,从内部控制评价本身以及目前的发展情况来看,主要存在详细全面评价和风险导向评价两种方式。 ◎详细全面评价。详细全面评价,就是以内部控制框架或标准为参照物,根据内部控制框架的构成要素是否存在,评价内部控制的设计有效性;然后,测试内部控制的运行有效性;最后,综合设计和运行的评价对内部控制的有效性做出总体评价,评估内部控制目标实现的风险,判断是否存在实质性漏洞,确定内部控制是否有效。显然,详细全面评价是一种传统的内部控制评价方式,企业最初进行内部控制建设或日常的评价中应用较多,主要是采用“内部控制调查问卷”和符合性测试,对企业已经存在的内部控制进行评价,评价报告中的建议也是“审核数豆子的人是否将豆子数得一粒不差”。这种方式的特点是从控制到风险,即从内部控制到相关目标实现的风险,比较适合用于内部控制的建立和保持,而对评价内部控制的有效性并不十分恰当,存在着成本高、效率低、结论不可靠性等不足。根据内部控制框架或标准评价内部控制本身并没有错,但是,内部控制的框架或标准本身是一个通用的框架,更多地关注内部控制的“What and Why”,尽管这些框架或标准提供了评价有效性的标准,但不够细致,不足以说明如何完成内部控制有效性的评价。 ◎风险导向评价。风险导向评价,就是以风险为导向,首先,要评估相关目标实现的风险;其次,识别和确定组织充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性;第三,识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;最后,对控制缺陷进行评估,判定是否构成实质性漏洞,确定内部控制是否有效。这种方式是从风险到控制,即从内部控制相关目标实现的风险到内部控制,充分体现了“自上而下,风险基础”的理念。“自上而下”方法由评估组织整体层级的控制开始,然后到具体作业层级控制的测试,主要体现在:从财务报表整体开始,然后到账户、披露;从公司层面的控制开始,然后到活动层面的控制。“风险基础”主要体现在:以评估控制目标实现的风险为起点;关注重要的财务报告和披露风险与问题;仅评价充分应对风险的控制;证据的获取和场所的选择根据风险评估的结果;评价结论(内部控制是否有效)也是风险基础的,判断有效与否是根据内部控制是否相当可能没有防止或发现财务报表中的重要错报。风险导向评价方式可以充分考虑企业特定的情况,避免与内部控制框架的简单核对,具有更好的成本效益性和更广泛的适用性及灵活性;关注最重要的风险,提高了评价的成本效益和效率。不过这种方式与详细全面评价根据一个确定的框架来评价相比需要更高程度的专业判断。 风险导向评价是一种现代的内部控制评价方式,要求评价人员改变传统的评价模式,把评价的起点放在关注企业发展战略和识别企业业务流程的风险上,分析风险,并提出控制风险的建议和方法。特别需要指出,评价内部控制并非为了控制本身,而应针对企业经营过程中可能面临的风险。在风险导向评价方式下,评价人员更为关心的是下列问题:与控制相关的目标是什么?这种控制要解决的问题是什么?这种控制是否对被审计单位的经营活动有益?是否存在重复控制?什么样的风险水平是可以接受的?控制的效果是否影响管理当局决策?风险为导向评价方式下,评价人员大多采用内部控制自评(CSA)、内部控制矩阵法、利用网络信息开展动态评估。 从目前的现状以及未来国际发展趋势来看,内部控制评价基本上都趋向于采用风险导向评价方式。美国证券交易委员会和公共公司会计监督委员会2007年分别发布的管理层报告内部控制的指南(SEC,2007)和内部控制审计准则(PCAOB,2007)都采用了这一方式,英国、日本、加拿大等国的上市公司的内部控制年度评价也采用了风险导向评价方式。日本内部控制评价与审计准则:采用一种自上而下的重视风险的方法,即着眼于与财务报告相关重要虚假记载相联系的风险,对业务流程相关的内部控制进行评价,具体策略:运用自上而下的风险方法;内部控制缺陷的分类,将内部控制的缺陷区分为“重要缺陷”和“缺陷”两类;不采用直接业务报告的做法;内部控制审计与财务报表审计一并实施;内部控制审计报告与财务报表审计报告一并编制等。在我国拟在建立以风险防范和增加价值为评价导向、以五大要素(控制环境、风险评估、控制活动、信息与沟通、内部监督)为核心评价内容、以控制标准和评价标准为评估标尺的内控自我评价体系。内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。
❼ 企业内部控制建设中风险评估的程序是什么
1.制定企业内控管理程序,或者运营管理程序 。
2.评估检查企业的授权管理系统专 。属
3.潜在利益冲突调查 。
4.编制年度内控审计指导,实施内控审计 。
5.组织风险评估 。
6.内控问题调查(ICRQ)。
7.舞弊渎职等行为调查 。
8.评价考核内控工作 。
9.参加公司董事会会议,对下属企业总经理、财务总监在执行内控政策和遵循授权管理方面的情况提出奖惩建议 。
10.组织保险业务 。
11.培训企业高级管理人员 。
12.内控工作报告 。
过程中要注意的几点:
1.与企业战略目标保持严格一致 。
2.明确实现目标的具体标志 。
3.基于企业实际需要的准确定位 。
4.明确内控工作理念 。
5 .内控战略目标确定过程必须经过所有者或绝大多数核心管理层的批准和确认。
❽ 内部控制方法与风险评估
一、地勘单位风险评估流程
(一)定期评估机制的建立
地勘单位在风险评估过程中要考虑外部环境和内部条件的变化,建立经济活动风险定期评估机制,对经济活动存在的风险进行全面、系统和客观评估。经济活动风险评估至少每年进行一次;外部环境、经济活动或管理要求等发生重大变化的,应及时对经济活动风险进行重估。
(二)成立组织机构
该机构主要明确以下几个问题:其一,谁牵头建设内部控制制度体系?其二,谁参与内部控制制度体系的建设;其三,谁监督内部控制制度的执行、落实?
地勘单位开展经济活动风险评估应当成立风险评估工作小组,单位领导担任组长。经济活动风险评估结果应当形成书面报告并及时提交单位领导班子,作为完善内部控制的依据。地勘单位内部控制制度建设组织与方法流程,如图22-1所示。
图22-1 地勘单位内部控制组织与方法流程图
二、地勘单位内部控制方法
(一)不相容岗位相互分离
不相容岗位是指那些如果由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误和弊端行为的岗位。事业单位不相容岗位分离的核心是“内部牵制”,它要求每项经济业务都要经过两个或两个以上的部门或人员的处理,使得个人或部门的工作必须与其他人或部门的工作相一致或相联系,并受其监督和制约。
例如,仓库保管员负责原材料的收、发、存和管理工作,并负责登记原材料的数量,而相关的账务处理则应由会计人员负责。假设:A—采购申请;B—采购审批;C—采购验收;D—费用支付申请;E—费用支付审批;F—应付账款的审批;G—应付账款的入账。不相容岗位如表22-1所示。
表22-1 不相容岗位情况表
注:×表示不相容职责;○表示相容职责。
合理设置内部控制关键岗位,明确划分职责权限,实施相应的分离措施,形成相互制约、相互监督的工作机制。
(二)内部授权审批控制
地勘单位内部授权批准控制是由单位权力机构或上级管理者明确规定有关业务经办人员的职责范围和业务处理权限与责任,使所有的业务经办人员在办理每项经济业务时都能事先得到适当的授权,并在授权范围内办理有关经济业务,承担相应的经济责任和法律责任。地勘单位的内部授权审批控制要求明确各岗位办理业务和事项的权限范围、审批程序和相关责任,建立重大事项集体决策和会签制度。地勘单位的相关工作人员应当在授权范围内行使职权、办理业务。
内部授权批准控制要求地勘单位规定各级管理人员的职责范围和业务处理权限。各级管理人员在其职责范围和业务处理权限以内,不需请示便可处理业务,这样可以尽快地进行业务处理,避免发生推诿的现象。同时,授权控制也要求明确各级管理人员所承担的责任,使他们对自己的业务处理行为负责,以加强工作的责任心。
地勘单位内部授权控制可以分为一般授权和特殊授权。一般授权是授予单位有关人员处理正常范围内的经济业务的权限:特殊授权是授予单位有关人员处理超出一般授权范围的特殊业务的权限。
(三)归口管理
归口管理是指按单位赋予的权利和承担的责任、各司其责,按特定的管理渠道实施管理。地勘单位归口管理的目的是为了防止重复管理、多头管理,即要求该管的一定要按责任划分管好,不要缺位;不该管的不要乱干预;超出责任权限范围的,不要越位管理。地勘单位应根据本单位实际情况,按照权责对等的原则,采取成立联合工作小组并确定牵头部门或牵头人员等方式,对有关经济活动实行统一管理。
(四)预算控制
预算控制是指通过编制预算并以此为基础,执行和控制地勘单位经营活动并在活动过程中比较预算和实际的差距及原因,然后对差异进行处理。预算控制通常根据预算规定的收入与支出标准,来检查和监督各部门活动,以保证组织经营目标的实现,并使费用支出受到严格有效约束的过程。地勘单位应该强化对经济活动的预算约束,使预算控制贯穿于单位经济活动的全过程。
(五)财产保护控制
地勘单位应该建立资产日常管理制度和定期清查机制,采取资产记录、实物保管、定期盘点、账实核对等措施,确保资产安全完整。
(1)资产记录。地勘单位应妥善保管涉及资产的各种文件资料,避免记录受损、被盗、被毁。对重要的文件资料,应当留有备份,以便在遭受意外损失或毁坏时重新恢复,这在计算机处理条件下尤为重要;
(2)定期盘点和账实核对控制。地勘单位应定期对实物资产进行盘点,并将结果与会计记录进行比较。盘点结果与会计记录如不一致,可能说明资产管出现错误、浪费、损失或其他不正常现象,应当分析原因、查明责任、完善管理制度;
(3)实物保管控制。财产保护控制要求地勘单位严格限制未经授权的人员对资产的直接接触,只有经过授权批准的人员才能接触该资产。一般况下,地勘单位对货币资金、有价证券、存货等变现能力强的资产,必须限制无关人员的直接接触。
(六)会计控制
建立健全本单位财会管理制度,加强会计机构建设,提高会计人员业务水平,强化会计人员岗位责任制,规范会计基础工作,加强会计档案管理,明确会计凭证、会计账簿和财务会计报告处理程序。
(七)单据控制
要求单位根据国家有关规定和单位的经济活动业务流程,在内部管理制度中明确界定各项经济活动所涉及的表单和票据,要求相关工作人员按照规定填制、审核、归档、保管单据。
(八)信息内部公开
信息内部公开是指地勘单位向单位内部公开或开放自己所拥有的信息,使其他个人或部门可以基于任何正当的理由、采用尽可能简便的方法获得上述信息。地勘单位应建立健全经济活动相关信息内部公开制度,根据国家有关规定和单位的实际情况,确定信息内部公开的内容、范围、方式和程序。
地勘单位信息内部公开制度在一定程度上能够抑制单位内部腐败的发生,进而实现事业单位内部控制与管理的有效性。
三、地勘单位层面及业务层面风险评估关注重点
(一)单位层面风险评估重点内容
事业单位进行单位层面的风险评估时,应当重点关注内容见表22-2。
表22-2 单位层面风险评估关注点
续表
(二)业务层面风险评估关注重点
地勘单位进行经济活动业务层面的风险评估时,应当重点关注对预算控制与管理、收支控制与管理、政府采购控制与管理、资产控制与管理、建设项目控制与管理、合同控制与管理等情况实施的评估。
具体见表22-3。
表22-3 业务层面风险评估关注点
❾ 企业如何开展内部控制评价工作
不同企业执行企业内部控制规范工作,因受企业规模大小、参与人员和机构的认知水平不同等客观因素影响而显得不尽相同,执行内容和标准也千差万别,如何提高企业执行企业内部控制规范的水平,达到并实现国家颁布实施相关规范的初衷,成为摆在企业内控管理工作人员面前的重要课题。笔者在参与企业内部控制工作过程中,曾对企业内部控制工作进行了深入的思考和不断地反思,并归纳和总结出一些经验教训,在此结合日常的工作情况,谈一点自己的看法。
一、企业内部控制工作的最终目的是提高企业的效益。
企业生存、发展和获利是企业存在的永恒目标,企业的一切经营管理活动都要围绕此目标而实施,与此目标相违背的经营管理活动都是无效和无意义的。因此,企业的内部控制工作也要与此目标所相适应,主要体现在:
首先,企业的内部控制工作一定要与企业的发展阶段和企情相适应。生产力水平决定生产关系,生产关系反作用于生产力。企业在生存、发展和获利的进程中,所处的环境又各不相同,有的企业处于新生期,有的处于快速成长期(或扩展期)、成熟期,还有的处于转型期(或收缩期)、逐步衰退期。不同企业处于不同的发展阶段,由此决定了其各自内部控制工作内容的不尽相同。无论是理论上还是实践上,处于成熟期企业的内部控制体系都是无法适应新生期和成长期企业的内部控制工作要求的,反之亦然。就好比是让小孩和少年穿成人衣裳或让成人穿小孩和少年衣裳一样。不适宜的内部控制控制要么就是形同虚设或铺张浪费,要么就是束缚和限制企业的发展,最终降低企业的收益水平,因此,企业的内部控制工作要懂得量体裁衣。企业的内部控制工作的开展一定要深思熟虑,精心设计,不应完全借鉴和照搬其他企业的做法,而是要依据本企业的客观实际,吸收和借鉴与本企业发展模式和发展阶段相适应的企业做法,制定出适应本企业发展模式的内部控制管理体系。
其次,企业在实施企业内部控制工作时,要有效运用成本效益和重要性原则。由于企业内部控制工作的最终目的是提高企业的效益,因此,企业内部控制工作的实施必须要考虑投入产出效益。如果企业内部控制的投入大于产出,则说明其投入是不适宜的。但需要注意的是,企业内部控制工作立足成本效益原则,要注意从企业发展的整体和存在的全阶段、全过程来统筹考虑,不能仅就若干项具体内部控制工作的投入来进行单项衡量,如果单凭现阶段衡量和评估的话,相信绝大部分内部控制工作的投入都将会是无效的。此外,成本效益原则还要求企业内部控制工作不能面面俱到,而是要突出重点,要在资源有限的条件下,发挥出内部控制工作最大的风险防范性。有时,最主要业务流程或领域的普通风险防范点的内控意义要远大于普通业务流程或领域重点风险防范点的内控意义,对企业生存和发展一次性致命缺陷的风险性要大于不断发生小隐患的风险性,重要责任人所造成的损害要大于一般责任人。因此,一个企业内部的内部控制工作要有的放矢,突出重点,各有侧重,而不能平行并举,按照企业统一的模式实施,或者把企业内部控制管理重点放在普通责任人身上。
第三,企业内部控制工作的基石是企业存在授权。很显然,如果一个人做自己决定的事是不需要实施控制的,这个人一定会按照自己设定的目标而采取各种手段去实现之。企业之所以存在内部控制,就是因为企业为实现企业决策者的目标而进行了内部分工和授权,而由于各类制约因素的存在,会导致由于被分工和授权者的目标及行动或其理解的目标及行动与企业决策的真实目标不尽相同,企业内部控制就是针对这种不一致而采取的控制性和规范性措施。企业内部分工和授权范围越大,企业内部控制体系的规模就越庞大,手段就越丰富和健全。大型、多层次、多元化、跨区域的集团企业的内部控制工作一定要比单一生产或劳务企业或生产车间的内部控制体系更为复杂,以企业信息化为例,其信息化管理程度也会更深。很明显,中小企业是用不上为大型集团企业设计的、必须超大型计算机和数据库支撑的集团信息化管理系统的,单一版信息化软件很可能更适合。
首先,企业内部控制工作应具有保障和激励双重属性。企业内部控制工作要保证企业资金、资产的安全完整,企业经营效益的真实可靠,企业经营业务循环的顺畅有效,对风险的预防和控制就显得尤为重要。因此,其必然要具备很强保障性功能,为此,企业内部控制工作要特别关注内部牵制和制约、惩罚功能的实现,以防范相关资产的损失。但是企业的发展、人员的尽责仅靠内部牵制、制约、惩罚是无法长期持续的,对人的管理最终还得落实在激励制度的确立上。因此,企业内部控制工作中必须要包含很多激励性措施,而很多企业在设计内部控制制度体系时,往往着重于如何牵制和制约上,忽略了激励性措施的存在。
其次,企业内部控制工作的开展应该保持原则性与灵活性并存。很多企业在开展企业内部控制工作时,特别强调原则性和规范性,规定的内部控制程序和步骤非常繁杂,在任何环境下都要必须履行,就象已经确定的计算机程序一样,分毫不差,并认为只有这样才能适应企业内部控制工作的要求,并最终导致企业很多盈利机会的丧失。其实企业内部控制工作更应强调灵活性,企业内部控制工作应强调在特定条件下的特别授权管理,对特别业务的内控流程设计要体现出一定的弹性,以突出内部控制的适应性和灵活性。
❿ 内控与合规评估报告
建立一个长效的内控体系,并不是你想象中那么简单的,需要有一个过程,可能还得请一家咨询公司帮助你做内控合规,也可能要购买些专业的内控管理工具来辅助你建立内控体系。
但是不管采用什么方式,最重要的是建立长效内控合规机制,不要头痛医头脚痛医脚,有兴趣可以找我一起深入探讨下建设内控合规制度的心得呵呵。