公司全面内控体系建设
A. 全面风险管理与内部控制要做哪些工作
内部控制与企业全面风险管理的区别和联系
区别在于:
1. 两者目标不同。风险管理的目标相较于内部控制增加了一个战略目标,战略目标的制定是企业治理层面需要参与解决的问题,这表明风险管理属于治理层次,而内部控制属于企业管理层次;此外,风险管理把财务目标扩展为报告目标,不仅包括了财务报告目标,还包括了非财务类报告,弥补了内控目标体系重财务信息轻其他信息的缺陷;
2. 两者组成要素不同。相比起内控的五大要素,风险管理增加了“目标设定、事件识别和风险应对”三个因素,丰富了风险管理内容,体现了风险组合观;
3. 两者的范畴不一致。内控仅仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标,而全面风险管理则贯穿于管理过程的各个方面,尤其是在事前制定目标时就充分考虑了风险的存在;
4. 两者的活动不一致。内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,而风险管理包含了风险管理目标和战略的设定、风险评估方法的选择等一系列活动;
5. 两者对风险的定义不同。全面风险管理框架将风险明确定义为“对企业财务目标产生的负面影响事件发生的可能性”,将正面影响视作机会,将风险和机会区分开来,而内部控制框架中,尚未区分风险和机会;
6. 两者对风险对策不一致,全面风险框架引入风险偏好和风险容忍度。在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有提出的。
它们之间的联系有:
1. 内控或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。从理论上说,企业的内部控制是企业制度的组成部分,风险管理则是在新的技术与市场条件下对内控的自然扩展,在内控的基础上增加了一个目标即战略目标和三个要素:目标设定、事件识别、风险应对;
2. 内控是企业风险管理的必要环节,在全面风险管理中扮演关键角色,内控应被管理者看作是范围更广的风险管理的必要组成部分,对于企业所面临的运营风险,内控是必要的。
内部控制是由主体的董事会、管理层和其他员工实施的,旨在为经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规等目标的实现提供合理保证的过程。
全面风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能影响主体的潜在事项、管理风险,以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。
内部控制与风险管理关系十分密切,内部控制和企业全面风险管理既有横向交叉又有纵向融合,风险管理是企业为了适应时代的变化,以内部控制为架构演变成另一种以达到某种目标的过程和方法。二者在要素、目标、含义等方面有很多联系和相同的地方,既是独立又有关联的体系,是针对企业所不同的需求而演变成的两种过程与目标。
B. 企业内部控制制度建立的方法有哪些
加强内部控制是贯彻《会计法》及提高企业管理水平、增强企业竞争力的客观要求。研究和运用内部控制的各种方法是建立和完善内部控制制度的一项极其重要的内容。
一、组织规划控制
组织规划是对企业组织机构设置、职务分工的合理性和有效性所进行的控制。企业组织机构有两个层面:一是法人的治理结构问题,涉及董事会、监事会、经理的设置及相关关系,二是管理部门设置及其关系,对财务管理来说,就是如何确定财务管理的广度和深度,由此产生集权管理和分级管理的组织模式。职务分工主要解决不相容职务分离。所谓不相容职务分离是指那些由一个人担任,即可能发生错误和弊端又可掩盖其错误和弊端的职务。企业内部主要不相容职务有:授权批准职务、业务经办职务、财产保管职务、会计记录职务和审核监督职务。这五种职务之间应实行如下分离:(1)授权批准职务与执行业务职务相分离。(2)业务经办职务与审核监督职务分离。(3)业务经办职务与会计记录职务分离。(4)财产保管职务与会计记录职务分离。(5)业务经办职务与财产保管职务相分离。
要建立健全组织规划控制,目前必须解决两个问题: (1)设立管理控制机构。例如,目前有些上市公司中依据自身经营特点设立了审计委员会、价格委员会、报酬委员会等就是完善内部控制机制的有益尝试。机构设置因单位的经营特点和经营规模而异,很难找到一个通用模式。比如设立价格委员会的企业大都是规模很大、采用集中采购方式且采购价格变动较大的企业,这些企业设立价格委员会能够有效加强采购环节的价格监督与控制。再比如,对于规模大、技术含量很高、高知人员云集、按劳取酬的企业,通过设立报酬委员会进行管理层持股及股票期权问题研究,能够提高报酬计划按劳取酬科学性、加强报酬计划执行中的透明度和监控力度。(2)推行职务不兼容制度,杜绝高层管理人员交叉任职。交叉任职主要体现在董事长和总经理为一人,董事会和总经理班子人员重叠。在上市公司中,这一问题虽有了较大的改变,但从公司制企业的总体上看,仍普遍存在。这种交叉任职的后果是董事会与总经理班子之间权责不清、制衡力度锐减。关键人大权独揽,一人具有几乎无所不管的控制权,且常常集控制权、执行权和监督权于一身,并有较大的任意性。交叉任职违背了内部控制的基本原则,必然带来权责含糊,易于造成办事程序由一个人操纵的现象出现。事实上,资金调拨、资产处置、对外投资等方面出现的问题重要原因之一在于交叉任职,董事会缺乏独立性。因此,建立内部控制框架首先要在组织机构设置和人员配备方面做到董事长和总经理分设、董事会和总经理班子分设,避免人员重叠。
二、授权批准控制
授权批准是指企业在处理经济业务时,必须经过授权批准以便进行控制,授权批准按其形式可分为一般授权和特殊授权。所谓一般授权是指对办理常规业务时权力、条件和责任的规定,一般授权时效性较长;而特殊授权是对办理例外业务时权力、条件和责任的规定,一般其时效性较短。不论采用哪一种授权批准方式,企业必须建立授权批准体系,其中包括:(1)授权批准的范围,通常企业的所有经营活动都应纳入其范围。(2)授权批准的层次,应根据经济活动的重要性和金额大小确定不同的授权批准层次,从而保证各管理层有权亦有责。(3)授权批准的责任,应当明确被授权者在履行权力时应对哪些方面负责,应避免责任不清,一旦出现问题又难咎其责的情况发生。(4)授权批准的程序,应规定每一类经济业务审批程序,以便按程序办理审
批,以避免越级审批、违规审批的情况发生。单位内部的各级管理层必须在授权范围内行使相应职权,经办人员也必须在授权范围内办理经济业务。
三、会计系统控制
会计系统控制要求单位必须依据会计法和国家统一的会计制度等法规,制定适合本单位的会计制度、会计凭证、会计账簿和财务会计报告的处理程序,实行会计人员岗位责任制,建立严密的会计控制系统。会计系统控制主要包括:(1)建立健全内部会计管理规范和监督制度,且要充分体现权责明确、相互制约以及及时进行内部审计的要求。(2)统一会计政策,尽管国家制定了统一的会计制度,但其中某些会计政策是可选的。因此,从企业内部管理要求出发,必须统一执行所确定的会计政策,以便统一核算汇总分析和考核,企业会计政策可以专门文件的方式予以颁布。(3)统一会计科目,在实行国家统一一级会计科目的基础上,企业应根据经营管理需要,统一设定明细科目,特别是集团性公司更有必要统一下级公司的会计明细科目,以便统一口径,统一核算。(4)明确会计凭证、会计账簿和财务会计报告的处理程序与方法,遵循会计制度规定的各条核算原则,使会计真正实现为国家宏观经济调控和管理提供信息、为企业内部经营管理提供信息、为企业外部各有关方面了解其财务状况和经营成果提供信息的目标。
四、全面预算控制
全面预算是企业财务管理的重要组成部分,它是为达到企业既定目标编制的经营、资本、财务等年度收支总体计划,从某种意义上讲,全面预算也是对企业经济业务规划的授权批准。全面预算控制应抓好以下环节:(1)预算体系的建立,包括预算项目、标准和程序。(2)预算的编制和审定。(3)预算指标的下达及相关责任人或部门的落实。(4)预算执行的授权。(5)预算执行过程的监控。 (6)预算差异的分析与调整。(7)预算业绩的考核。全面预算是集体性工作,需要企业内各部门人员的相关合作。为此,有条件的企业应设立预算委员会,组织领导企业的全面预算工作,确保预算的执行。
五、财产保全控制
财产保全控制包括:(1)限制直接接触,限制直接接触主要指严格限制无关人员对实物资产的直接接触,只有经过授权批准的人员才能够接触资产。限制直接接触的对象包括限制接触现金、其他易变现资产与存货。(2)定期盘点,建立资产定期盘点制度,并保证盘点时资产的安全性。通常可采用先盘点实物,再核对账册来防止盘盈资产流失的可能性,对盘点中出现的差异应进行调查,对盘亏资产应分析原因、查明责任、完善相关制度。(3)记录保护,应对企业各种文件资料(尤其是资产、财务、会计等资料)妥善保管,避免记录受损、被盗、被毁的可能。对某些重要资料应留有后备记录,以便在遭受意外损失或毁坏时重新恢复,这在当前计算机处理条件下尤为重要。(4)财产保险,通过对资产投保(如火灾险、盗窃险、责任险或一切险)增加实物受损补偿机会,从而保护实物的安全。 (5)财产记录监控,对企业要建立资产个体档案,资产增减变动应及时全面予以记录。加强财产所有权证的管理,改革现有低值易耗品等核销模式,减少备查簿的形式,使其价值纳入财务报表体系内,从而保证账实的一致性。
六、人力资源控制
对于作为经济运行的微观基础的企业而言,人力资源要素的数量和质量状况,人力资源所具有的忠诚、向心力和创造力,是企业兴旺发达的活力和强大推动力所在。因此,如何充分调动企业人力资源的积极性、主动性、创造性,发挥人力资源的潜能,已成为企业管理的中心任务。人力资源控制应包括:(1)建立严格的招聘程序,保证应聘人员符合招聘要求。(2)制定员工工作规范,用以引导考核员工行为。(3)定期对员工进行培训,帮助其提高业务素质,更好地完成规定的任务。(4)加强和考核奖惩力度,应定期对职工业绩进行考核,奖惩分明。(5)对重要岗位员工(如销售、采购、出纳)应建立职业信用保险机制,如签订信用承诺书,保荐人推荐或办理商业信用保险。(6)工作岗位轮换,可以定期或不定期进行工作岗位轮换,通过轮换及时发现存在的错弊情况。同时也可以挖掘职工的潜在能力。(7)提高工资与福利待遇,加强员工之间的沟通,增强凝聚力。
七、风险防范控制
企业在市场经济环境中,不可避免会遇到各种风险。风险控制要求单位树立风险意识,针对各个风险控制点,建立有效的风险管理系统,通过风险预警、风险识别、风险评估、风险报告等措施,对财务风险和经营风险进行全面防范和控制。企业风险评估主要内容有:(1)筹资风险评估,如企业财务结构的确定、筹资结构的安排、筹资币种金额及期限的制定、筹资成本的估算和筹资的偿还计划等都应事先评估、事中监督、事后考核。(2)投资风险评估,企业对各种债权投资和股权投资都要作可行性研究并根据项目和金额大小确定审批权限,对投资过程中可能出现的负面因素应制定应对预案。(3)信用风险评估,企业应制定客户信用评估指标体系,确定信用授予标准,规定客户信用审批程序,进行信用实施中的实时跟踪。信用活动规模大的企业,可建立独立信用部门,管理信用活动、控制信用风险。(4)合同风险评估,企业就建立合同起草、审批、签订、履行监督和违约时采取应对措施的控制科学试验,必要时可聘请律师参与。风险防范控制是企业一项基础性和经常性的工作,企业必要时可设置风险评估部门或岗位,专门负责有关风险的识别、规避和控制。
八、内部报告控制
为满足企业内部管理的时效性和针对性,企业应当建立内部管理报告体系,全面反映经济活动,及时提供业务活动中的重要信息。内部报告体系的建立应体现:反映部门经管责任,符合例外管理的要求,报告形式和内容简明易懂,并要统筹规划,避免重复。内部报告要根据管理层次设计报告频率和内容详简。通常,高层管理者报告时间间隔时间长,内容从重、从简;反之,报告时间间隔短,内容从全、从详。常用的内部报告有:(1)资金分析报告,包括资金日报、借还款进度表、贷款担保抵押表、银行账户及印鉴管理表等。(2)经营分析报告。(3)费用分析报告。(4)资产分析报告。(5)投资分析报告。(6)财务分析报告等。
九、管理信息系统控制
管理信息系统控制包括两方面的内容,一方面是要加强对电子信息系统本身的控制。随着电子信息技术的发展,企业利用计算机从事经营管理方式手段越来越普遍,除了会计电算化和电子商务的发展外,企业的生产经营与购销储运都离不开计算机。为此必须加强对电子信息系统的控制,包括:系统组织和管理控制、系统开发和维护控制、文件资料控制、系统设备、数据、程序、网络安全的控制以及日常应用的控制。另一方面,要运用电子信息技术手段建立控制系统,减少和消除内部人为控制的影响,确保内部控制的有效实施。
十、内部审计控制
内部审计控制是内部控制的一种特殊形式,它是一个企业内部经济活动和管理制度是否合规、合理和有效的独立评价机构,在某种意义上讲是对其他内部控制的再控制。内部审计内容十分广泛,按其目的可分为财务审计、经营审计和管理审计。内部审计在企业应保持相对独立性,应独立于其他经营管理部门,最好受董事会或下属的审计委员会领导。
总之,不管采用何种内部控制方法,不管如何建立公司治理结构,都应确立董事会在内部控制系统中的核心地位。从我国《公司法》规定的董事会、股东大会、总经理之间的权责划分看,董事会在公司管理中居于核心地位。董事会应该对公司内部控制的建立、完善和有效运行负责。原因在于:(1)对于董事会而言,建立内部控制系统是为了通过不丧失控制的授权来保证公司有效运行、完成公司的目标,(2)内部控制是董事会抑制管理人员在获取短期盈利机会中的机会主义倾向,保证法律、公司政策及董事会决议切实贯彻实施的手段;(3)内部控制以及涉及内部控制的信息流动构成解决信息不对称、保证会计信息真实可行的重要手段,而确保信息质量是董事会不可推卸的责任。
C. 全面风险管理的实践
中国在这方面的研究开始于上世纪80年代。一些学者将风险管理和安全系统工程理论引入中国,在少数企业试用中感觉比较满意。但中国大部分企业缺乏对风险管理的认识,也没有建立专门的风险管理机构和制度建设。
我国系统的内控制度建设是在有了《会计法》之后。1999年修订的《会计法》第一次以法律的形式对建立健全内部控制提出原则要求,财政部随即连续制定发布了《内部会计控制规范———基本规范》等7项内部会计控制规范。但从更宽泛的管理意义上来说,真正把内部控制和风险管理形成法规,是受到美国2002年安然事件、世通公司财务欺诈案及随后美国的萨班斯法案的影响。2006年经当时国务院副总理黄菊的批准,这一问题提上议事日程,成立了企业内部控制标准委员会,正式开始这项工作。当年6月6日,国资委发布了《中央企业全面风险管理指引》,这是我国第一个全面风险管理的指导性文件,意味着中国走上了风险管理的中心舞台。2008年6月28日,财政部、证监会、审计署、银监会、保监会五部门联合发布了《企业内部控制基本规范》,《规范》自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。《规范》的发布,标志着我国企业内部控制规范体系建设取得重大突破,有业内人士和媒体甚至称之为中国版的“萨班斯法案”。2010年4月26日,财政部、证监会、审计署、银监会、保监会等五部委刚刚联合并发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。为确保企业内控规范体系平稳顺利实施,财政部等五部门制定了实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。
《企业内部控制基本规范》及配套指引,在实践中的应用范围,可以分为三类企业:一类是上市公司,这是必须要进行的。其次是国有企业。按国资委出台的风险管理指引要求,下属的企业都要全面贯彻风险管理。风险管理和内部控制是相通的。风险管理是战略层面,最后要落脚到内部控制。对这部分企业来讲,内控建设也是必须开展的。第三类就是民营企业。这一类公司没有相关主管部门,在《基本规范》的实施上,有较大的自由度,但是作为一个真正有商业头脑、有战略眼光的企业家应该要做这个工作,毕竟从长远来看,这个花费是值得的。
D. 如何构建电网企业全面风险管理及内部控制体系
电网企业全面风险管理框架
(一)第一个维度是电网发展目标体系
1.战略目标:电网发展高层次目标,与电网企业战略发展相关联并支撑电网企业目标实现。
2.经营报告:高效率地利用电网企业所占有的各种资源。
3.报告目标:电网企业风险管理报告的准确性、及时性、可靠性。
4.合规目标:符合电网企业相关业务所在国家的法律与法规。
(二)第二个维度是电网企业管理要素
1.内部环境:电网企业内部员工确立风险理念,并确定各类风险管理的风险容量,电力企业的核心都是内外部人员以及经营所处的环境,内部环境的认知为员工确立了怎么样看待风险和风险的基础。
2.目标设定:确立电网企业管理目标,发现影响管理目标实现的潜在事项。确保风险管理中采取恰当的风险管理程序进行目标设定,并确保目标的选定支持电网企业发展需求并适应其风险容纳程度。
3.事项识别:对可能产生影响的各种潜在事项必须进行识别,包括风险事项和机会事项,以及可能二者兼而有之的事项。事项的识别应追溯到电网企业战略目标制定的过程。
4.风险评估:对识别出的电网企业风险进行分析,以便确认电网企业风险管理的准确依据,风险评估过程应注意风险可能与被影响的目标有关,评估要考虑到风险的可能性和实际影响。
5.风险应对:制定电网企业风险应对措施,包括风险降低、转移、承担或分担。一系列控制措施的选择要使风险与电网企业自身的风险承受能力相适应。
6.控制活动:电网企业进行合理的风险控制过程,以确保有效实施所制定的风险控制措施。
7.信息与沟通:电网企业的各个层级部门都需要借助可靠的信息渠道来识别、评估以及应对潜在风险或已经发送的风险事项。
8.监控:整个电网企业风险管理处于内审部门的监控之下,必要时外部专家还会进行完善和补充,监控方式应能够动态地反映风险管理状况,并使之根据内外部环境条件的要求而变化。监控通过持续的电网企业的经营管理活动,对企业风险管理的单独评价或者两者的结合来完成。
(三)第三个维度是主体单元,包括集团、企业、业务部门、分支机构四个层面
电网企业全面风险管理三道防线的构建
电网企业全面风险管理的框架是由一个基础、三道防线来构架的。这个基础指的是电网公司治理结构三道防线分别是公司各级业务部门、风险管理与内部控制委员会及办公室三道防线为公司各级审计部门。
第一道防线为公司各级业务部门,电网企业日常业务经常面临各种不同特征的风险,电网业务部门是电网企业的第一道防线,因此必须把电网企业全面风险管理手段融入到相应的工作和流程中,才能建立好防范风险的第一道防线。这也是内控流程层面上的重要问题。
第二道防线是风险管理与内部控制委员会及办公室。在电网监管部门的要求下,电网企业开始建立风险管理委员会。第二道防线在电网业务部门之上建立一个更高层次的风险管理功能部门——风险管理与内部控制委员会,主要是要确保企业风险管理方法在业务部门得到落实,并持续性监控相关工作的进展。其主要职责是对各类电网业务单位所存在的不同风险进行有效的组合性管理,披露相关风险信息,协助各业务单位完成符合全面风险管理要求的管理工作。
第三道防线是公司各级审计部门。第三道防线是内控制度得以有效执行的最重要部门,在配备足够的具有专业知识技能的人员基础上,使其具有相对的独立性和权威性。现代电网企业建立风险管理系统是持续发展之道,而不是一种可有可无的选择。随着电网企业外部环境的风云变换,其所存在的风险也随之复杂变化,这更加迫切要求电网企业应该在内部控制的发生可能性和影响程度的基础上进行风险的组合排序,把对电网企业内外部风险的考虑融入到电网企业的内部控制决策流程中。
E. 浅谈如何部署应用内部控制体系
一、构建内控管理组织领导机构
成立全面风险管理委员会和全面风险管理办公室两层级风险及内控管理组织机构。全面风险管理委员会由公司领导层组成,对风险管理和内控体系建设与运行的重大事项予以决策;全面风险管理办公室作为公司全面管理委员会日常办事机构,主要负责公司风险和内控体系建设与运行日常管理工作组织、协调和推进。
二、全员开展内控体系宣贯培训
为在全体员工中树立内控管理意识,营造内控文化氛围,促进内控体系的落地执行。在课程设置方面包含了内控基本概念、内控流程及管理制度等内容,重点讲解内控流程文档和内控管理制度的内容及要求,同时针对不同对象在工作过程中所执行的业务流程讲解内容有所侧重。通过宣贯培训,其目的在于促使公司全体员工了解内控管理的要求,为在公司全面贯彻执行内控流程及管理规范打下良好的基础。
三、加快推进内控体系落地执行及应用
在内控建设成果宣贯培训之后,按照公司内控管理职责分工,公司全面风险管理办公室牵头负责内控体系建设成果落地执行的组织、协调,各相关专业部门全面推动落实已形成的内控流程文档,逐步建成公司关键业务全覆盖的内控体系。在此期间的主要工作包括:
1、是公司根据《内控流程规范》,建立健全内控流程执行责任机制和评价改进机制,规范内控流程实施与应用,确保内控流程标准有效执行。
2、是各相关部门应指定专人负责本专业内控流程日常管理工作,并将内控流程环节管控责任分解落实到具体岗位。
3、是各相关部门结合内控流程的执行和监督,进一步修订完善各项经营管理制度,形成与内控流程运行紧密结合、衔接顺畅的“一本”制度。
4、是全面风险管理办公室作为内控流程贯彻执行的牵头部门,在内控流程试运行期间应高频度地组织各相关专业部门对内控流程执行和管理制度完善情况进行督查,及时发现执行过程不符合内控流程要求的行为并予以纠正与通报,以进一步推动各级员工业务操作的规范性、标准化。
四、全面开展内控自评价并进一步完善内控建设成果
公司内控流程试运行取得一定成效后,可全面开展内控自评价,并依据内控自评价结果,进一步修改完善内控流程文档。在此期间主要工作包括:
1、是全面风险管理办公室根据前期形成的内控评价执行测试程序,编制内控自评价测试工作底稿,下发各相关部门。
2、是各相关部门依据测试工作底稿,抽取内控流程中规定的文档及表单作为样本资料,以检测各级人员对内控流程执行的状况,测试完成后,各相关部门应出具测试结论,明确流程设计缺陷或执行缺陷,并上 报全面风险管理办公室。
3、是全面风险管理办公室汇总各部门内控自评价测试结论,属于流程设计缺陷的情况,及时组织相关部门对内控流程文档进行修改完善;属于流程执行缺陷的情况,应要求相关部门按公司《内控评价规范》要求及时制定缺陷整改计划和措施,对不符合内控流程要求的业务操作行为以及相关文档或表单进行整改,全面风险管理办公室协调相关部门组织联合工作组对出现流程缺陷的部门整改情况进行督促检查并予以通报,以此推进公司内控流程的持续完善和进一步落地应用。
五、稳步推进信息系统植入固化内控流程
公司内控流程引入信息系统,与系统建设保持同步,在相关信息系统开始进行建设时,即将内控流程的要求纳入系统的设计开发过程中。
此期间主要工作包括:
1、是全面风险管理办公室牵头组织相关部门,对内控流程植入相应信息系统进行分析和研究,统筹规划、统一部署,确保内控流程在业务系统内以及各业务系统之间衔接顺畅、信息传递客观、真实、透明。
2、是在信息系统设计过程中,各相关部门应根据公司统筹安排,向设计单位提出信息系统的角度定义、信息流程节点以及输入/输出表单要满足公司内控流程及风险管控的要求。
3、是信息系统设计完成后,各相关部门要按内控流程的要求对系统进行高频度的全面测试,以进一步检测信息系统功能是否按内控流程的要求规范了各环节人员的业务操作行为,从而真正实现内控流程的固化和业务操作的标准化。
六、深入开展常态化的风险评估与内控评价
强化风险与内控日常管理工作,全面风险管理办公室统一组织,各部门全面参与,深入开展风险评估与内控评价工作,促进风险评估与内控评价工作机制常态化运行。
1、是开展风险评估,强化重大风险管理。组织各部门开展风险评估,编制重大风险管理方案;依据评估结果,组织编制公司年度全面风险管理报告,经公司全面风险管理委员会审议。
2、是开展常态化的内控评价,持续改进和完善公司内控体系。根据公司内控评价规范,编制下发公司内控评价工作方案,明确被评价单位、业务范围和缺陷认定标准;组织各相关部门开展内控自评价,联合本部相关部门督促检查各单位内控自评价结果;汇总分析内控评价情况,识别与确认内控缺陷,组织编制公司内控评价报告;针对评价发现的内控缺陷,组织相关单位落实整改,涉及内控流程文档需要局部修改的情况,组织相关部门进行持续改进。
七、加强内控总结宣传与培训
推进具有内控意识的企业文化建设,多方式、分层次开展内控宣传与培训,普及内控知识,宣贯公司内控建设理念,增强公司员工落实与执行内控规范的自觉性和积极性。
1、是做好内控总结宣传。编写公司内部控制建设情况总结材料,组织各部门总结提炼内部控制建设经验。
2、是进一步组织开展内控培训。开展内控流程植入信息系统上线应用、风险评估、内控评价等专题培训;有效利用公司培训资源,力争将内控培训纳入公司统一培训课程安排。
F. 内部控制包括哪些内容
1、明确规定处理各种经济业务的职责分工和程序方法
企业要健全和强化内部组织机构,是企业经济活动进行计划、指挥和控制的组织基础,其核心问题是合理的职责分工。在一般情况下,处理每项经济业务的全过程,或者在全过程的某几个重要环节都规定要由两个部门或两个以上部门、两名或两名以上工作人员分工负责,起到相互控制的作用。
2、明确资产记录与保管的分工
规定管钱、管物、管帐人员的相互制约关系,旨在保护资产的安全完整。另外,现金收付的复核制,物资收发的复秤制、复点制等,也都是防错防弊的内部控制制度。
3、明确规定保证会计凭证和会计记录的完整性和正确性要求
对各种自制原始凭证,在格式、份数、编号、传递程序、各联的用途、有关领导和经办人签章、明细数同合计数及大小写数字一致等方面作出规定。
对各种账簿记录,要求帐证的一致或保持一定统驭关系的规定;还有会计核算中规定的双线核对、余额明细核对、各种报表相关数字核对,以及由此而规定的内部稽核制度等。
4、明确规定建立财产清查盘点制度
为了保证财产物资的安全和完整,除规定物资保管员对每项物资进行收付后,要实行永续盘存办法核对库存帐实外,还要规定财产物资的局部清查和全面清查制度,以保证帐卡物相符或及时处理发生的差错。
5、明确规定计算机财务管理系统操作权限和控制方法
(1)计算机代替手工填制记账凭证是比较容易的,比手工制作的凭证更规范、效率更高。
(2)电算化可以提高会计工作效率和会计工作的水平。
(3)对会计电算化进行内部控制,主要是对存取权限进行控制。
G. 《中央企业全面风险管理指引》中给出的内控措施有哪些
第三十四条企业制定内控措施,一般至少包括以下内容:
(一)建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权做出风险性决定;
(二)建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等;
(三)建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任;
(四)建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度;
(五)建立内控审计检查制度。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等;
(六)建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩;
(七)建立重大风险预警制度。对重大风险进行持续不断的监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施;
(八)建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设,形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善企业重大法律纠纷案件的备案管理制度;
(九)建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约;明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任;将该岗位作为内部审计的重点等。
第三十五条企业应当按照各有关部门和业务单位的职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。
H. 企业应急管理体系建立过程应遵循哪些原则a.科学性.全面性
《内部控抄制基本规范》的通知袭
第四条 建立与实施内部控制,应当遵循下列原则:
(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖及其所属单位的各种业务和事项。
(二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。
(三)制衡性原则。内部控制应当在治理结构、设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(四)适应性原则。内部控制应当与经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
I. 全面风险管理的内部控制
(1)全面风险管理涵盖了内部控制。COSO框架中明确地指出全面风险管理体系框架包括内控,将之作为一个子系统。
(2)内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。同时,维持充分的内控系统也是国内外许多法律法规的合规要求。因此,满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。内部控制与全面风险管理的差异为(1)两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标,而全面风险管理则贯穿于管理过程的各个方面,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
(2)两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
(3)两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是现行的内部控制框架所不能做到的。
从国际国内发展趋势来看,随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。