内控体系搭建有用Word文件下载.docx
《内控体系搭建有用Word文件下载.docx》由会员分享,可在线阅读,更多相关《内控体系搭建有用Word文件下载.docx(14页珍藏版)》请在冰豆网上搜索。
风险的基本概念
风险是一种威胁,这一威胁将对公司完成经营目标和执行经营战略产生不利影响。
简单的说,就是可能影响控制目标实现的因素。
1、战略风险
2、财务风险
3、市场风险
4、运营风险
5、法律风险
内控中的风险举例:
.×
×
制度不完整,可能导致XX实际操作缺乏制度性指引
.缺乏适当的审批,可能产生不合理的XX行为,造成公司利益损失
缺乏适当的权责分离,存在舞弊风险。
.未与供应商签订包含法律责任条款的协议
.采购发票、入库单、验收单三单不匹配
风险是为了帮助使用者更清晰、直观地了解可能存在的风险,其根本还是这些风险点可能会导致控制目标无法有效实现。
对于企业来说,内控的作用可归纳为以下几点:
1)提高会计信息的准确性;
2)保证生产和经营活动顺利进行;
3)保护企业资产的安全完整;
4)保证企业制定的方针合法合规:
定义:
董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构)、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。
内控体系包含内部环境、风险评估、控制活动、信息传递与沟通、监督五要素
对员工个人而言,内部控制就是其日常工作内容。
当然根据成本效益原则,只有关键业务流程才是内部控制所关注的。
我《内部控制应用指引》共分18个主题,基本涵盖企业资金、实物流、人物流与信息流。
内部环境类指引:
公司战略、组织架构、企业文化、社会责任、人力资源;
控制活动类指引:
资金活动、采购活动、资产管理、销售活动、研究与开发、工程项目、担保业务、业务外包、财务报告;
控制手段类指引:
全面预算、合同管理、内部信息传递、信息系统。
流程会涉及经办人、审核人、审批人,这样就会牵涉到公司各管理层级,决策层、管理层以及事务操作层均会涉及。
内部控制的控制手段很多:
1、不相容职责相分离:
2、授权审批控制
3、预算控制
4、绩效考核控制
5、会计系统控制
6、财产保护控制
。
。
五部委出的内控指引,适用的对象仅仅是一般的生产制造型企业,不同的行业、不同类型的公司还是需要根据企业实际情况做分析以及调整,增加或者删除相关的模块。
服务性行业可以删除研究开发模块;
生产制造型企业可以增加生产模块,将外包服务划入生产模块的委外加工管理;
部分大型集团比如采购钢铁或者原煤的,可以增加套期保值模块。
内控体系完整不完整,就看内控体系是否体现了公司整个价值链。
在企业的不同的发展阶段,内控的需求是不一样的,内控有成本。
只有符合企业实际情况才是好的内控。
制度、流程、内控手册的联系与区别
制度:
什么是公司允许的,什么是禁止的,就是个原则性的文件,适用于部门负责人,是从职能管理需求进行制定的。
流程:
作业是怎么进行的,每个人该干什么内容,适用于作业人。
一个完整的制度:
包含管理层管理的需求,还适用于作业人员作业。
流程化的制度就是内控手册的一部分。
对于已经有ISO体系的公司,如何将ISO体系与内部控制体系进行整合,而不是ISO体系一套,内控体系一套,这是企业在内控体系建设所需考虑的问题。
内控体系与ISO质量体系的差异可归纳为以下几点:
1)ISO质量体系缺少财务模块,内控体系缺少生产模块;
2)两个体系都是关注价值的产生,内部控制关注的是对流程过程中的风险控制,ISO关注的是质量控制;
企业的作业流程只有一套,如果是多套体系并存,且存在打架的情况,企业的管理就会乱套。
只要设计一套一体化管理体系,将ISO以及内控涉及到的内容进行合并管理,该体现流程就体现流程,之后按照风险或者ISO的要求输出即可。
第二章流程梳理与内控评价
.进行流程梳理与内控评价的理由
.流程梳理
.内控评价
2.1先进行流程梳理与内控评价的理由
为什么先做流程梳理和内控评价
只有在相关部门对内控评价所提出的设计以及运行缺陷进行整改后方可进行内控体系的搭建,或者说整改方案得到相关部门的认可,不然搭建出来的内控体系就无法落地与执行。
流程梳理是为了后期的内控手册编写。
内控评价是为了保证内控手册是根据有效的活动进行设计。
不谈风险是因为业务层面的人员更喜欢讲流程和程序,管理层或者决策层喜欢谈风险。
2.2流程梳理
多个连续的动作或者作业步骤就叫流程。
2.2.1流程的梳理
一级流程:
企业的价值链,描述企业创造价值的过程,由企业的业务模块构成;
二级流程:
每个业务模块的运营内容,也即三级流程的逻辑关系;
三级流程:
跨部门、岗位间的工作流程,由工作事项组成;
四级流程:
部门内、岗位间的工作流程,仍由工作事项组成,但局限于部门内;
五级流程:
岗位内的工作流程,即某岗位某工作的标准作业程序(SOP);
六级流程:
某个具体工作步骤所涉及的工作内容细节,例如一张表单的表头设置等。
一个内控体系的所涉及到流程可以分三级流程:
根据管理职能进行划分。
在一级流程的基础上,根据业务管理线条划分。
根据二级流程,划分到具体的业务单位或者关键控制点。
可以根据企业现有的制度,进行阅读后划分,形成流程清单。
2.2.2流程记录7要素
1)何时什么时候来执行这项控制,发生的频率如何?
2)谁谁来执行这项控制,所属部门、职位是什么?
3)控制目标执行这项活动所规避的风险及控制目标?
4)控制活动实施什么控制活动?
5)如何做如何实施这项活动?
人工/自动
6)跟进措施发现例外情况、差异,如何跟进处理?
7)证据该项控制实施后会留下什么证据,例如:
签字证据、留下书面文档、单据、报告、会在系统中留下什么痕迹等?
2.2.2记录控制活动的动词
在对控制活动进行表述时,重要的是清楚地界定每个职责上的权限,应该选择合适的动词来描述权限范围:
1、制定方案计划、文件:
草拟、拟定、编制、审核、审定、转呈、提交、下达、备案、存档等
2、信息、资料:
调查、收集、整理、分析、研究、总结、提供、汇报、反馈、转达、通知、发布等
3、直接行动:
组织、执行、指导、控制、监管、采用、参加、阐明、解释、提供、协助等
4、上级行为:
批准、确认、指导、规划、监督等
5、管理行为:
达到、评估、协调、鉴定、保持、监督等
6、下级行为:
检查、核对、收集、获得、提交、办理等
2.2.3流程记录
在对流程进行记录时,需要2个人:
1、流程记录执行人
2、穿行测试资料收集人
通过访谈进行流程的梳理与记录往往造成疏漏或者资料名称与实际不符,所以需要访谈与穿行测试两种方式并行。
2.3内控评价
2.3.1什么是“内控评价”,其目标是什么?
通过系统、规范的方法对公司内部控制制度的健全性、合理性以及内部控制的有效性进行独立的监督与评价,合理保障实现公司经营目标。
其目标有两条:
1、发现内控设计问题,推动手册优化
2、发现内控执行问题,推动落实整改。
2.3.2制度有效性评价
将企业所有涉及关键业务流程的制度全部收集,之后按照关键业务流程进行7要素的分析。
通常评价会考虑到完整性、合理性,得到下面结论:
缺少关键业务流程、缺少7要素中的任何一个要素,或者7要素设计不合理,设计合不合理需要控制措施。
审计方法就是访谈加穿行测试,访谈适用于第一次评价。
2.3.3运行有效性评价类型关键字抽样原则测试步骤
①类型
确认流程中的控制类型:
授权控制
岗位职责分离控制
会计系统控制
预算控制等
②关键字
控制活动:
控制活动的载体:
控制点的执行人:
控制点发生的频率:
③抽样原则
根据控制频率来选择样本,,选择的就是7要素中的控制痕迹,证据的多少。
④测试步骤
根据步骤三的样本,结合步骤后梳理出的控制要点确认控制点是否被有效执行。
第三章如何进行内控体系搭建
.自建内控体系的流程
.内控手册的模型及撰写
.内控评价手册的模型及撰写
3.1自建内控体系的流程
内控不是单纯的为了合规而建一套制度体系,部分企业的内控体系就是将公司的制度整合一下或者借用弗布克丛书来形成自己的内控体系。
3.1.1对内控体系的感性认识
对一般企业而言,内部控制措施散落在各规章制度,缺乏必要的归纳整理和归口管理。
构建内控体系就是围绕企业的运营战略目标,针对现有的业务流程,梳理内部控制举措,建立“统一语言,统一框架、统一管理”的制度群,形成有人设计、有人执行、有人监督的循环管理体系。
内控体系的具体表现形式,有什么载体、如何落地实施,在内控指引的各个条款里,没有做具体规定。
为了便于实施与管理,往往采用“手册+矩阵”这种方法。
3.1.2内控建设历程
内控建设阶段
内控初步建设期
内控体系稳定期
内控拓展期
主要工作内容
·
设立内控建设组织架构
举办培训
界定内控建设的范围
记录现有内控
与内控要求进行对标
改进现有问题
发布内控手册
内控体系运行
内控体系运行检查
管理层测试与自我评估
内控审计
内控体系运行与维护
建立内部控制评价体系
探索非财务报告内部控制体系建设
向全面风险管理拓展
在不同的企业,可能涉及到的工作内容会有调整,但是大体上都是类似的
3.1自建内控体系流程
3.1.2收集内控体系建设所需资料
内控体系建设所需的资料一共有四份:
1、进行设计有效性评价收集的企业制度
2、在有效性评价时梳理的流程清单
3、访谈时的流程记录表
4、穿行测试所收集与流程相关的整套表单
只有在上述资料都完整的情况下,才能够编制出符合企业实际情况且能落地执行的内控体系。
3.1.3内控体系所涉及到的文档
内控体系涉及到的文档就是两个:
1、内控手册:
就是流程文档,告诉你作业流程如何进行,风险和关键控制点是什么。
2、内控评价手册:
就是风险控制矩阵,或者风险列表,用于内控体系的评价与维护。
有的公司在做内控手册时,为了便于对各业务流程所涉及到的权限的查阅,会单独编制公司权限指引表。
3.2内控手册
内控手册、内控制度、管理制度的关系
内控手册就是按照18个指引的要求,根据企业的管理制度以及实际作业流程编制的资料。
内控制度是咨询公司忽悠企业的一个资料,把企业的制度都整合一下,根本没必要做。
管理制度就是企业所有的制度。
对一般企业而言,内部控制措施散落在各规章制