《内控体系搭建.doc》由会员分享,可在线阅读,更多相关《内控体系搭建.doc(17页珍藏版)》请在金锄头文库上搜索。
1、内控体系搭建01 内控知识入门02 流程梳理与内控评价03 内控体系搭建04 VISIO软件使用第一章 内控知识入门.内控的由来.内控的作用1.1内控的由来我国内控的起源我国的内控起源很早,就是岗位牵制,集中在财务领域,真正形成系统的规范,则是在08年金融危机发生之后。五部委根据我国实际情况结合国外的实践,推出了我国的内控体系。08年6月,发布内部控制基本规范;10年4月,发布企业内部控制配套指引。“为什么企业一出事就是内控失效”很多在媒体上被曝光的企业,比如绿大财务作假、银广夏事件、三鹿奶粉事件,人们的第一反应就是这个企业的内控失效。内控失效的现象比如:个人独断专行、过于依赖人工控制忽视系统
2、控制、虚假的财务报告等等在企业管理和经营活动过程中,时时刻刻伴随着企业的就是潜在风险。企业的内部控制不是为了控制而控制,也不是为了美国证监会或者中国证监会而控制,而是为了帮助企业防范不同阶段的风险才进行控制。1.2 内控的作用风险的基本概念风险是一种威胁,这一威胁将对公司完成经营目标和执行经营战略产生不利影响。简单的说,就是可能影响控制目标实现的因素。1、战略风险2、财务风险3、市场风险4、运营风险5、法律风险内控中的风险举例:.制度不完整,可能导致XX实际操作缺乏制度性指引.缺乏适当的审批,可能产生不合理的XX行为,造成公司利益损失.缺乏适当的权责分离,存在舞弊风险。.未与供应商签订包含法律
3、责任条款的协议.采购发票、入库单、验收单三单不匹配风险是为了帮助使用者更清晰、直观地了解可能存在的风险,其根本还是这些风险点可能会导致控制目标无法有效实现。对于企业来说,内控的作用可归纳为以下几点:1)提高会计信息的准确性;2)保证生产和经营活动顺利进行;3)保护企业资产的安全完整;4)保证企业制定的方针合法合规:定义:董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构)、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。内控体系包含内部环境、风险评估、控制活动、信息传递与沟通、监督五要素对员工个人而言,内部控制就是其日常工作内容。当然根据成本效益原则,
4、只有关键业务流程才是内部控制所关注的。我内部控制应用指引共分18个主题,基本涵盖企业资金、实物流、人物流与信息流。内部环境类指引:公司战略、组织架构、企业文化、社会责任、人力资源;控制活动类指引:资金活动、采购活动、资产管理、销售活动、研究与开发、工程项目、担保业务、业务外包、财务报告;控制手段类指引:全面预算、合同管理、内部信息传递、信息系统。内部环境类指引:公司战略、组织架构、企业文化、社会责任、人力资源;控制活动类指引:资金活动、采购活动、资产管理、销售活动、研究与开发、工程项目、担保业务、业务外包、财务报告;控制手段类指引:全面预算、合同管理、内部信息传递、信息系统。流程会涉及经办人、
5、审核人、审批人,这样就会牵涉到公司各管理层级,决策层、管理层以及事务操作层均会涉及。内部控制的控制手段很多:1、不相容职责相分离:2、授权审批控制3、预算控制4、绩效考核控制5、会计系统控制6、财产保护控制 。五部委出的内控指引,适用的对象仅仅是一般的生产制造型企业,不同的行业、不同类型的公司还是需要根据企业实际情况做分析以及调整,增加或者删除相关的模块。服务性行业可以删除研究开发模块;生产制造型企业可以增加生产模块,将外包服务划入生产模块的委外加工管理;部分大型集团比如采购钢铁或者原煤的,可以增加套期保值模块。内控体系完整不完整,就看内控体系是否体现了公司整个价值链。在企业的不同的发展阶段,
6、内控的需求是不一样的,内控有成本。只有符合企业实际情况才是好的内控。制度、流程、内控手册的联系与区别制度:什么是公司允许的,什么是禁止的,就是个原则性的文件,适用于部门负责人,是从职能管理需求进行制定的。流程:作业是怎么进行的,每个人该干什么内容,适用于作业人。一个完整的制度:包含管理层管理的需求,还适用于作业人员作业。流程化的制度就是内控手册的一部分。对于已经有ISO体系的公司,如何将ISO体系与内部控制体系进行整合,而不是ISO体系一套,内控体系一套,这是企业在内控体系建设所需考虑的问题。内控体系与ISO质量体系的差异可归纳为以下几点:1)ISO质量体系缺少财务模块,内控体系缺少生产模块;
7、2)两个体系都是关注价值的产生,内部控制关注的是对流程过程中的风险控制,ISO关注的是质量控制;企业的作业流程只有一套,如果是多套体系并存,且存在打架的情况,企业的管理就会乱套。只要设计一套一体化管理体系,将ISO以及内控涉及到的内容进行合并管理,该体现流程就体现流程,之后按照风险或者ISO的要求输出即可。第二章 流程梳理与内控评价.进行流程梳理与内控评价的理由.流程梳理.内控评价2.1 先进行流程梳理与内控评价的理由为什么先做流程梳理和内控评价只有在相关部门对内控评价所提出的设计以及运行缺陷进行整改后方可进行内控体系的搭建,或者说整改方案得到相关部门的认可,不然搭建出来的内控体系就无法落地与
8、执行。流程梳理是为了后期的内控手册编写。内控评价是为了保证内控手册是根据有效的活动进行设计。不谈风险是因为业务层面的人员更喜欢讲流程和程序,管理层或者决策层喜欢谈风险。2.2 流程梳理多个连续的动作或者作业步骤就叫流程。2.2.1 流程的梳理一级流程:企业的价值链,描述企业创造价值的过程,由企业的业务模块构成;二级流程:每个业务模块的运营内容,也即三级流程的逻辑关系;三级流程:跨部门、岗位间的工作流程,由工作事项组成;四级流程:部门内、岗位间的工作流程,仍由工作事项组成,但局限于部门内; 五级流程:岗位内的工作流程,即某岗位某工作的标准作业程序(SOP); 六级流程:某个具体工作步骤所涉及的工
9、作内容细节,例如一张表单的表头设置等。2.2.1 流程的梳理一个内控体系的所涉及到流程可以分三级流程:一级流程:根据管理职能进行划分。二级流程:在一级流程的基础上,根据业务管理线条划分。三级流程:根据二级流程,划分到具体的业务单位或者关键控制点。可以根据企业现有的制度,进行阅读后划分,形成流程清单。2.2.2 流程记录7要素1)何时 什么时候来执行这项控制,发生的频率如何?2)谁 谁来执行这项控制,所属部门、职位是什么?3)控制目标 执行这项活动所规避的风险及控制目标?4)控制活动 实施什么控制活动?5)如何做 如何实施这项活动?人工/自动 6)跟进措施 发现例外情况、差异,如何跟进处理?7)
10、证据 该项控制实施后会留下什么证据,例如:签字证据、留下书面文档、单据、报告、会在系统中留下什么痕迹等?2.2.2 记录控制活动的动词在对控制活动进行表述时,重要的是清楚地界定每个职责上的权限,应该选择合适的动词来描述权限范围:1、制定方案计划、文件:草拟、拟定、编制、审核、审定、转呈、提交、下达、备案、存档等2、信息、资料:调查、收集、整理、分析、研究、总结、提供、汇报、反馈、转达、通知、发布等3、直接行动:组织、执行、指导、控制、监管、采用、参加、阐明、解释、提供、协助等4、上级行为:批准、确认、指导、规划、监督等5、管理行为:达到、评估、协调、鉴定、保持、监督等6、下级行为:检查、核对、
11、收集、获得、提交、办理等2.2.3 流程记录在对流程进行记录时,需要2个人:1、流程记录执行人2、穿行测试资料收集人通过访谈进行流程的梳理与记录往往造成疏漏或者资料名称与实际不符,所以需要访谈与穿行测试两种方式并行。2.3 内控评价2.3.1 什么是“内控评价”,其目标是什么?通过系统、规范的方法对公司内部控制制度的健全性、合理性以及内部控制的有效性进行独立的监督与评价,合理保障实现公司经营目标。其目标有两条:1、发现内控设计问题,推动手册优化2、发现内控执行问题,推动落实整改。2.3.2 制度有效性评价将企业所有涉及关键业务流程的制度全部收集,之后按照关键业务流程进行7要素的分析。通常评价会
12、考虑到完整性、合理性,得到下面结论:缺少关键业务流程、缺少7要素中的任何一个要素,或者7要素设计不合理,设计合不合理需要控制措施。审计方法就是访谈加穿行测试,访谈适用于第一次评价。2.3.3 运行有效性评价 类型 关键字 抽样原则 测试步骤 类型确认流程中的控制类型:授权控制岗位职责分离控制会计系统控制预算控制等 关键字控制活动:控制活动的载体:控制点的执行人:控制点发生的频率: 抽样原则根据控制频率来选择样本,选择的就是7要素中的控制痕迹,证据的多少。 测试步骤根据步骤三的样本,结合步骤后梳理出的控制要点确认控制点是否被有效执行。第三章 如何进行内控体系搭建.自建内控体系的流程. 内控手册的
13、模型及撰写.内控评价手册的模型及撰写 3.1 自建内控体系的流程内控不是单纯的为了合规而建一套制度体系,部分企业的内控体系就是将公司的制度整合一下或者借用弗布克丛书来形成自己的内控体系。3.1.1 对内控体系的感性认识对一般企业而言,内部控制措施散落在各规章制度,缺乏必要的归纳整理和归口管理。构建内控体系就是围绕企业的运营战略目标,针对现有的业务流程,梳理内部控制举措,建立“统一语言,统一框架、统一管理”的制度群,形成有人设计、有人执行、有人监督的循环管理体系。内控体系的具体表现形式,有什么载体、如何落地实施,在内控指引的各个条款里,没有做具体规定。为了便于实施与管理,往往采用“手册+矩阵”这
14、种方法。3.1.2内控建设历程内控建设阶段内控初步建设期 内控体系稳定期内控拓展期主要工作内容设立内控建设组织架构举办培训界定内控建设的范围记录现有内控与内控要求进行对标改进现有问题发布内控手册内控体系运行内控体系运行检查管理层测试与自我评估内控审计内控体系运行与维护建立内部控制评价体系内控体系运行检查探索非财务报告内部控制体系建设向全面风险管理拓展 在不同的企业,可能涉及到的工作内容会有调整,但是大体上都是类似的3.1 自建内控体系流程 3.1.2 收集内控体系建设所需资料内控体系建设所需的资料一共有四份:1、进行设计有效性评价收集的企业制度2、在有效性评价时梳理的流程清单3、访谈时的流程记
15、录表4、穿行测试所收集与流程相关的整套表单只有在上述资料都完整的情况下,才能够编制出符合企业实际情况且能落地执行的内控体系。3.1.3 内控体系所涉及到的文档内控体系涉及到的文档就是两个:1、内控手册:就是流程文档,告诉你作业流程如何进行,风险和关键控制点是什么。2、内控评价手册:就是风险控制矩阵,或者风险列表,用于内控体系的评价与维护。有的公司在做内控手册时,为了便于对各业务流程所涉及到的权限的查阅,会单独编制公司权限指引表。3.2 内控手册内控手册、内控制度、管理制度的关系内控手册就是按照18个指引的要求,根据企业的管理制度以及实际作业流程编制的资料。内控制度是咨询公司忽悠企业的一个资料,把企业的制度都整合一下,根本没必要做。管理制度就是企业所有的制度。对一般企业而
