流程自我评估.docx
《流程自我评估.docx》由会员分享,可在线阅读,更多相关《流程自我评估.docx(135页珍藏版)》请在冰豆网上搜索。
流程自我评估
青岛海尔股份有限公司
内部控制手册附录3
--管理层自我评估指引
(1)(Beta)
版本控制表:
文档名称:
青岛海尔股份有限公司管理层CSA指引
作者:
青岛海尔股份有限公司内控部
所有者:
青岛海尔股份有限公司
审阅者:
股份公司总经理、财务负责人
授权自:
首次发布部门:
最后更新部门:
文档修改记录:
版本号
更改日期
作者/修订者
描述
Beta
2008年3月
海尔内控项目组
修订《指引》职责部分
Beta
2008年3月
海尔内控项目组
修订《指引》具体操作指引部分
Beta
2008年4月
海尔内控项目组
修订《指引》附件内容
Beta
2008年5月
海尔内控项目组
修订《指引》附件内容
Beta
2008年8月
海尔内控项目组
修订《指引》附件内容
Beta
2008年8月
海尔内控项目组
根据反馈,修订《指引》
前言
青岛海尔股份有限公司(以下简称“股份公司”)高度重视风险管理和内部控制建设工作。
为了保证公司战略、运营、财务报告及法律遵循目标的实现,股份公司管理层组织建立实施了风险管理及内部控制体系。
该体系以流程说明和风险控制文档的形式将风险与业务流程、控制活动以及各岗位执行人进行了匹配,为股份公司实现从最小业务单元(各岗位)执行风险管控奠定了基础。
同时,股份公司管理层深刻认识到,风险管控不是某一部门的独有职责,该工作涉及到公司各业务单元及每一个员工,保证内控体系完善且正常运转,需要业务部门、内控部门及财务部门的共同努力。
每一个岗位的员工都别赋予了风险管控的职责,通过大家对制定、流程的遵循,在日常工作中切实避免公司潜在损失,提供工作的效率和效果。
为了唤起全体员工对内控工作的主人翁精神,协助大家理解自身岗位在内控中的具体职责和工作,股份公司根据流程及控制描述文档制定了一系列管理层自我评估——CSA(controlselfassessment)工具,该工具不仅是各岗位员工日常工作的参考也是公司进行统一的内控有效性评估的操作工具。
《管理层自我评估指引》将全球最佳实践经验和股份公司实际相结合,对内部控制自我评估的方法、评估步骤、主要评估工具和填写要求予以阐述,是公司管理层、各部门管理层及所有岗位人员进行内控自评的操作指南;同时,本《指引》也为内控人员对CSA进行质量提供了工作指引和相关工具。
本手册由股份公司XXX审批颁布。
第一章管理层自我评估(CSA)基本框架
一.总体介绍
CSA(ControlSelfAssessment),即管理层(内部控制)自我评估,是国际通用的对公司风险管理及内部控制体系设计和执行有效性进行检查的工具。
全面系统化的CSA机制是由员工根据确定的流程和职责,运用统一的方法对业务风险和内部控制进行持续评估的活动,该过程融合了从高级管理层至各岗位员工的工作成果,反应了集体的观点和智慧。
根据COSO内部控制框架,股份公司订立了自己的内部控制体系,包括:
内部环境、风险评估、控制活动、信息和沟通以及内部监督五方面内容(具体内容,请参见《青岛海尔内部控制手册》)。
完善的内控体系不仅包括对制度、流程的建立和更新,更需要将内控要求在员工中有效传达,需要就控制执行情况进行时时监控。
股份公司内部监督采用两种方式:
管理层自我评估(CSA)、内控部独立测试。
内控部独立测试相比,管理层执行内部控制自我检查评估更有利于风险管理及内部控制知识和要求在全公司范围内传达,其检查评估范围往往更加广泛,项目成本相对较低。
总之,实施CSA程序,不仅是员工对自身内控工作的检查,更是将内控工作与企业文化融合的有效途径,其主要目标包括:
▪不断完善内部控制体系,加强风险管控,提升股东价值
▪实现实时地内部监督,发现问题及时纠偏
▪明确员工的内部控制责任,增强各层级员工对内部控制的认知和责任感
▪将内部控制理念融入企业文化
二.
CSA的实施前提
内部控制体系的建立是开展管理层自我评估的前提。
股份公司内部控制体系建设维护的主要工作包括:
▪明确高级管理层的内部控制体系管理职责;
▪确定股份国内公司内部控制体系框架及标准;
▪根据公司目标识别、评估风险,制定风险应对措施;
▪将风险与业务流程匹配,确认风险集中的业务流程为内部控制改进的重点;
▪识别业务流程中关键控制活动、执行岗位,将风险与控制匹配,明确控制负责人(Controlowner)和流程负责人(Processowner);
▪根据现有差异制定行动计划,将改进后的控制措施以制度及流程文档的形式向全体员工公布;
▪对所有制度、流程说明文档及风险控制文档统一管理,每年由业务部门、内控部门共同审阅,保证文档与实际一致;
▪建立在全公司范围内共享的信息平台,确保员工能时时了解内控制度和要求。
股份公司已编制有制定《内部控制手册》,制定了明确、统一的内部控制要求,为每项控制活动指定负责人(该负责人可能为多个)并将内控标准向全体员工有效传达。
三.管理层自我评估(CSA)的主要内容
CSA问卷主要涵盖两方面内容:
▪流程中的关键控制活动
▪股份公司制度、规定的要求
系统化的CSA程序主要包括:
▪为每个主要组成部分或流程建立问卷,内容涵盖关键的公司层面和业务流程层面的控制活动和公司规定。
▪为每个组成部分或流程指定责任人,确保控制按要求执行。
该责任人通常是部门领导。
▪在每个组成部分或流程中,为每个独立控制指定责任人,该责任人通常负有对控制的监管责任。
▪要求所有控制责任人评估所负责控制的有效性和合规性。
▪控制责任人作出的评估需要经过直接领导和流程责任人的审阅(如直接领导即为流程负责人,则仅需1次审阅),从而在控制流程层面做出对控制的整体评估。
▪相应层级的内控人员对公司自我评估结果进行质量验证,审阅自我评估的文档并执行测试,以验证自评结果的准确性和内控体系运行的有效性。
▪各部门针对识别出的控制缺陷制定行动方案,定期追踪该方案的进展状况确保其顺利完成。
▪各部门将整改结果上报公司管理层,重新评估该领域风险管控情况,确保问题解决。
▪公司总经理或主管内控工作的副总经理依据以上自评结果和问题整改评估结果对各部门的内控工作进行评估。
四.CSA的类型
股份公司CSA依据使用者和评估内容不同,分为公司层面CSA和流程层面CSA;流程层面CSA又分为流程负责人评估(流程CSA)和控制负责人评估(岗位CSA)。
▪公司层面CSA主要包括涵盖以下内容:
❑公司治理:
董事会、监事会、独立董事、审计委员会、管理层
❑内控部的职能和工作程序
❑人力资源部政策及程序
❑企业文化
❑反舞弊机制以
❑信息系统总体控制
▪流程层面CSA涵盖了公司的主要业务流程,包括:
营销管理、销售与收款、采购及付款、研发、生产与存货管理、工程及固定资产、成本及费用、资金管理、投资管理、税务管理、期末关账、财务报告及信息披露。
❑流程负责人评估的主要目标是从全流程整体把握控制情况,即利用COSO框架,从部门内部环境,如人员、职责、权限等,风险评估,如绩效分析追踪,信息系统和沟通渠道、内部监督等方面综合评估本流程/本部门内部控制的有效性。
❑控制负责人自我评估则是针对每一具体控制活动,每一岗位的评估。
岗位自评能有力推动员工清晰了解自身的内部控制职责,增强内控意识,保证将目标、风险控制落实到最小业务单元人,实现精细化内部控制建设监督。
分层级的控制标准和CSA:
为指导股份公司范围内不同业务单元、不同规模公司的内部控制建设工作,股份管理层颁布了内部控制通用标准和内部控制具体标准。
▪通用标准是股份公司全体员工(各循环相关人员)及股份公司共享服务部门必须遵循的通用要求,不涉及具体岗位和操作步骤,是指导性原则。
▪具体是精细化的内部控制操作规范,对控制的具体内容、操作方式、执行人、发生频率、文档证据等清晰定义适用范围。
CSA问卷与通用标准和具体标准的对应关系如下:
通用标准
具体标准
公司层面控制评估指引
流程层面自我评估–流程负责人评估问卷
公司层面控制评估指引
流程层面自我评估–流程负责人评估问卷
流程层面自我评估–岗位CSA
由内控部制定年度CSA计划,保证每年在全公司范围内至少应组织一次CSA,范围涵盖公司层面控制和流程层面控制。
由股份公司管理层授权内控部内控体系建设推进组牵头组织,各子公司、业务部门均需参与。
内控部内控体系建设推进组汇总各公司的评估结果,形成股份公司内控体系自我评估的整体结论。
股份公司总经理及财务负责人可委托内控部内控体系建设监督组进行CSA质量审核,现场督导各公司自我评估工作开展。
子公司、职能部门负责人是内控建设自评的第一责任人,应对自评发现的控制缺陷制定整改方案并监督执行。
各部门根据需要,也可以利用CSA工具组织本部门内控自评。
部门的内控自评计划、自评工作记录、评估结果和整改方案均需报公司内控部审阅备案。
内控部指导部门自行组织的自我评估,对重大缺陷上报相关领导,追踪问题解决情况并在年度总体评估时予以考虑。
五.各部门CSA职责
公司总经理或主管内控的副总经理的职责
▪为实现控制自评目标提供持续、积极、全力的支持。
▪成为控制自评有效实施的责任人和主要推动者,通过以下方式参与控制自评:
❑风险评估
❑就内部控制框架及标准要求进行评估并批准实施
❑对控制自评予以审阅
❑监控整改行动方案的执行
▪确保所有的流程责任人和控制责任人理解流程和控制措施,至少需熟知自身岗位承担的内控工作和必要性。
▪确保所有流程责任人和控制责任人了解CSA程序,各阶段内容和完成控制自评的必要性。
▪保证具备分发控制自评问卷至控制责任人和收集问卷反馈的流程。
流程责任人(部门负责人)的职责
▪确保本部门所有控制责任人理解流程和控制措施,至少需熟知自身岗位承担的内控工作和必要性。
▪本部门控制遵循股份公司要求,保证设计和执行有效。
▪同股份公司内控部保持联系,就工作进展和问题及时咨询沟通。
▪建立本部门完成CSA的详细行动计划和时间表。
▪与计划和时间表对比,监控CSA自评的进展状况。
▪监督和确保控制责任人完成控制自评问卷。
▪进行质量审阅,只接受满足质量标准和更佳业务指引的控制自评。
▪完成流程CSA,总体评价流程部门的内控情况。
▪与控制责任人针对识别出的控制缺陷讨论并确定行动方案。
控制责任人的职责
▪了解本岗位的控制责任和具体要求。
▪了解CSA的必要性和工作程序。
▪评估所负责控制的有效性和合规性,保证自我评估客观公正。
▪与流程责任人针对识别出的控制缺陷讨论并确定行动方案。
▪实施行动方案。
股份公司内控部职责
▪协助管理层进行年度风险评估,根据评估结果制定年度内控工作计划。
▪协助管理层制定年度CSA时间表,在项目过程中监督进展情况。
▪协助管理层制定并更新流程控制描述文档,CSA问卷等。
▪协助制定并更新CSA检查清单(CSAchecklist)。
▪接受管理层委托,就各部门控制自评结果进行独立的质量审核,就各部门自评工作的有效性进行评价并书面报告管理层,监督整改方案的实施。
▪对获得“需加强的”或更低评分等级的流程,协助相应流程责任人完成行动方案。
▪定期向各流程负责人了解行动方案状态,在日常管理会议中进行通报。
六.CSA的质量控制
为了保证自我测评结果的准确性,股份公司建立了CSA质量审核程序。
▪流程负责人或(部门领导)进行审核,或者指派控制自评人的直属领导进行审核,根据流程或(部门领导)确定的测试范围、方法和样本量对自评结果进行检查,填写审核记录。
▪相应层级的内控人员对CSA进行审核,确认业务部门CSA评估结果的有效性。
内控部进行CSA质量审核的方法与通常的内控测试一致(具体工作程序见《青岛海尔股份有限公司内部控制制度》。
内控部审阅结果需形成报告,向公司高级管理层汇报。
第二章CSA工作指引
根据年度计划,各公司/部门开展CSA的具体工作程序包括:
▪启动阶段:
管理层审阅并下发CSA指引及问卷,流程/部门负责人确认本流程/部门岗位和主要业务流程是否与CSA指引及问卷中的内容一致。
各部门制定具体CSA计划。
▪实施阶段:
相应人员自评并填写问卷,交给直属领导、流程/部门负责人、相应层级的内控人员测试审阅,并且管理层针对CSA发现问题制定整改行动方案
▪结果汇总和报告阶段:
CSA结果汇总并上报管理层及审计委员会
▪后续跟踪阶段:
对整改行动方案的监督及汇报
股份公司管理层自我评估(CSA)循环如下图所示:
青岛海尔内部控制评价体系
一.启动阶段
公司管理层在内控部门协助下定期(每季度)对流程文档、CSA问卷进行评估,根据业务流程的变化予以更新。
在公司负责人审阅批准更新后的流程文档和CSA问卷后,由各级管理层以书面或电子的形式下发给下属各单位,实施控制的自我评估。
在具体实施CSA之前,股份公司内控部应编制“流程负责人清单”(见附件五),确保为所有流程都指定了负责人。
▪流程/部门负责人应确认本流程/部门内的岗位和主要业务流程是否与管理层下发的流程文档和CSA问卷一致。
如果不一致,应及时向公司管理层汇报,要求更新。
流程文档和CSA问卷更新后,交内控部统一存档。
▪各流程/部门负责人应编制本流程/部门的CSA实施计划(见附件六),确定各相关人员应负责的公司层面控制和流程层面控制评估的范围和计划完成的时间。
二.实施阶段
1.实施控制的自我评价
各流程负责人对本流程控制执行及CSA评估效果全面负责,根据CSA实施计划(见附件六)监督相关人员完成自我评估。
控制负责人依计划填写岗位CSA问卷,流程负责人填写流程CSA问卷。
就CSA实施过程中遇到的问题,应咨询内控部人员。
1)公司层面CSA评分等级说明
公司层面CSA评价等级分为三等:
“是”、“否”、“不适用”。
在进行自我评估时,评估人首先应在“现状”一栏填列本公司/部门本年/(季/日)的具体执行情况或措施,包括发生次数等。
在进行公司层面控制自我评估时,应将实际执行的控制与自评内容进行对比。
如果分公司/部门未能设计相应的控制确保达到自评内容中的要求,则为控制设计不适当;如果分公司/部门设计了相应的控制并指定了实施该控制的负责人,但日常工作中并未严格按照控制描述实施控制,则为控制实施不当。
根据设计和实施两个维度的评价,通过以下矩阵得出某控制要求的得分。
如果控制设计不适当,得分为5分;如果控制设计适当但是缺乏有效的实施,得分为4分;如果控制设计适当且执行有效,得分为1分。
具体得分标准如下:
设计是否适当
实施是否适当
是
否
是
1
5
否
4
5
注:
如设计是否适当和实施是否适当任意一栏填写为不适用,则该控制点不计入评分汇总和平均分计算。
同时,对于不适用本部门的控制措施,自评人需要注明不适用的原因(见附件四),及时通知内控部,判断原因是否合理、可接受。
2)流程层面CSA评分等级说明
管理层下发CSA问卷时,需要对评分标准及含义进行说明。
为了协助自评人理解评价标准,可根据业务规模等确定重要性水平,如定义1百万为需关注的金额,则对1百万以下的交易的控制未充分执行,对管理层来说是可接受的。
同样,重要性水平也包括对关注的业务或事项的说明,如管理层认为资产安全性比较关注,则可以要求对此类控制必须严格执行,一切不遵循均是“需加强的”。
对流程层面的每个控制点实施自我评价应遵循以下步骤:
具体评分标准解释和举例如下表所示:
分数
评分等级
含义
1.
好的
“我总是检查并留有签字”
▪总是实施控制并留有证据。
▪例如,对于报销的审批活动,“好的”意味着我对所有样本的报销表格均进行了检查并留有签字。
2.
可接受的
“我总是检查,但部分单据未签字”
▪总是实施控制,虽然未能按规定保留控制实施证据,但是保留了替代性的证据。
▪例如,对于报销的审批活动,“可接受的”意味着虽然我未在部分报销表格签字,但我保存着当时审批的其他证据(如审批邮件等)。
3.
需加强的
“我并非总是对每张单据检查,但我月末进行汇总查看且留有签字”
▪未能有效执行关键控制,但实施了同一控制目标下的其他控制作为补偿性控制,能部分地达到该控制目标。
该补偿性控制有效实施。
▪例如,对于报销的审批活动,“需加强的”意味着有超过2个以上的单据样本未签字,且我也没有保留当时审批的其他证据(假定该控制为每日发生)。
但是我每月审阅当月所有的报销记录并签字,每个月都对当月的报销记录汇总表进行了审阅和签字确认,评估总体合理性。
4.
较弱的
“我并非总是对每张单据检查,但我月末进行汇总查看,只是部分月份没有签字”
▪管理层未能有效执行关键控制,但实施了同一控制目标下的其他控制作为补偿性控制,能部分地达到该控制目标。
补偿性控制已实施,但是未能按规定保留实施证据,而只能提供替代性证据。
▪例如,对于报销的审批活动,“需加强的”意味着有超过2个以上的单据样本未签字,且我也没有保留当时审批的其他证据(假定该控制为每日发生),或采取其他措施降低风险。
5.
不存在的
“我没有实施控制活动”
同时,对于不适用本部门的控制措施,自评人需要注明不适用的原因(见附件四),如流程变更、系统变化等;流程/部门负责人审阅该原因是否真实合理,签字确认。
对由于职责或流程变更造成CSA不适用的情况,需及时上报内控部和公司领导,对流程和CSA进行更新。
2.
流程负责人审阅
控制负责人完成CSA问卷后,流程负责人需执行适当的审阅程序,包括:
将流程岗位CSA结果与岗位CSA汇总结果比对;执行检查程序;对CSA结果进行验证,确保
-控制负责人自评结果公正、客观
-(本人)能够评估流程总体控制情况
该审阅可以由流程负责人(部门负责人)执行,也可以由部门负责人委派控制责任人的直接领导执行。
但审阅的范围、方法及结果需要由流程负责人确认签字。
审阅程序如下:
1确定需要审阅的控制活动
审阅人应关注高风险领域(业务流程),以及对达成流程或运营目标起关键作用的控制,这些控制通常用于保证流程或运营按照预期计划执行。
同时对历史上出现问题较多的控制也应适当选择。
关键控制的例子:
-重大交易、重要业务或项目的授权审批
-向高管层定期报告
-适当的职责分离
-资产的安全的保护
2确定审阅的测试方法
有三种方法用于测试实际执行的控制是否符合流程文档描述或制度规定。
-抽样检查:
这种方法要求控制执行留有书面证据,如审批记录、管理层报告、会议记录等。
-观察:
这种方法要求审阅者亲身体验控制的整个过程。
-访谈:
审阅者访谈控制责任人以更好地理解流程或控制。
使用何种方法进行审阅取决于流程责任人的判断,理由应在审核记录上写明。
3确定测试样本量
测试的样本规模和交易数量取决于审阅者的评估,以下是一些考虑因素:
-交易量
-影响金额
-流程复杂度
-以前的测试结果
-流程变更的频率
4进行测试
审阅者在测试过程中不应带有任何偏见,应当随机选择接受访谈的员工及所在部门,测试样本应该涵盖整个自我评估期间而非局限于某些特别时间。
5审阅记录
审阅人应当记录其执行的所有测试的结果(请参见附件七)。
这不仅能帮助他对所负责流程进行整体评估,还能作为计划未来审阅的基础。
测试结
果文档记录应当予以保存作为质量审阅的证据。
在审阅之后,流程负责人需要针对CSA中发现的问题制定整改行动方案(请参见附件八)。
3.内控人员审阅
相应层级的内控人员对CSA进行审核,确认业务部门CSA评估结果的有效性。
内控部进行CSA质量审核的方法与通常的内控测试一致(具体工作程序见“内控部制度”),在测试范围(抽查的控制数量)和样本量选择上可以根据风险等级确定。
内控部审阅结果需形成报告(参见附件九),向公司高级管理层汇报。
4.注意事项
在CSA完成之前,各参与人员都应参照CSA人员工作完成情况检查清单(附件十),确保应该实施的工作都已完成。
流程/部门负责人应填写承诺表(请参见附件十一),书面确认已经审阅了本流程/部门CSA调查问卷,确认其评估结果真实反映了本流程/部门的现有流程和控制情况;并且书面确认已经已就本部门内控工作进行检查,对发现的内控差异真实上报和制定行动计划。
CSA过程需形成规范的书面记录,各部门自查记录、领导审核记录及行动方案等均由股份公司管理层指定的部门统一归档管理。
三.
结果汇总和报告阶段
1.汇总CSA结果
由于部门内可由多人执行同一控制,各部门下涉及多个控制,因此需要对CSA结果进行汇总。
通常使用简单算术平均分作为汇总分值,由流程/部门负责人负责对本流程/部门的所有控制得分进行汇总。
举例如下:
对控制C1,有6位采购经理进行评价,其中5位已经评价了控制的有效性和合规性,1人确认该控制不适用。
自评人均对评估表签字确认。
平均分汇总过程如下:
评分级别
好的
(1)
可接受的
(2)
需加强的
(3)
较弱的
(4)
不存在
(5)
不适用
(*)
控制C1
是否所有采购人员均仅通过SAP系统下达采购订单,不存系统外订单
控制得到各种评分等级的次数(评价的人数)
2
1
1
0
1
1
该部门控制C1的加权分数
0
1
-
控制C1的得分
(*)不适用的控制不进行评分汇总和平均分计算。
因此,得出控制得分为,相当于“可接受的”。
对股份公司下属多家事业部的评估结果,以及由不同部门执行同样控制的评估结果均可采用此方法计算,形成总体评估结果。
如某项控制评估后确定“不适用”,则该控制不应进行评分汇总和平均分计算。
出于谨慎性考虑,股份公司日常也可以采用更为严格的评分方法,即汇总得分取最小值,如某控制点有三个问题,其中一个自评为“需加强的”,则控制总体自评结果为3分。
同样,如果三名员工同时进行自评,一人评价为“需加强的”,则控制总体评价为3分。
2.复核CSA工作完成情况清单
管理层应检查各参与CSA人员的工作完成情况检查清单(附件十),确保应执行的工作都已经完成了。
3.汇报CSA成果
最后,管理层应将评估结果及时汇报给董事会或审计委员会。
并且将CSA评估文档提交给内控部,由内控部开始实施内控独立测评(参见《内控手册》)。
四.后续跟踪阶段
各流程/部门负责人应监控对CSA发现问题的整改措施实施情况。
通常而言:
▪若控制的评级为“可接受的”,则无需针对整改措施进行特别的测试,只需在下一次的CSA中关注整改措施的实施情况即可;
▪若控制的评级为“需加强的”,各流程/部门负责人应监控在6个月内完成整改,并对整改后的控制进行管理层自我评估。
▪若控制的评级为“较弱的”或“不存在的”,各流程/部门负责人应监控在3个月内完成整改,并对整改后的控制进行管理层自我评估。
相应层级的内控部应协助流程/部门负责人监控整改方案的实施,定期向各流程负责人了解行动方案状态,在日常管理会议中进行通报。
以上整改措施的实施结果都应及时汇报给董事会或审计委员会。
附件
附件序号
文档名称
适用岗位
附件一
术语解释
所有人员
附件二
公司层面控制及流程评估指引和问卷
所有人员
附件三
岗位CSA指引
所有人员
附件四
不适用控制点说明模板
所有人员
附件五
流程负责人清单模板
升级会员 