内控基础体系建立及后续.docx
《内控基础体系建立及后续.docx》由会员分享,可在线阅读,更多相关《内控基础体系建立及后续.docx(8页珍藏版)》请在冰豆网上搜索。
内控基础体系建立及后续
一、基础概念篇
在这里,你将熟悉,内控体系具体是什么,建立内控体系需要解决的误区以及内控体系建立的作业流程。
1、内控体系建设涵盖哪些东西,主要内容是什么?
国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系,所以具体内容与外资企业的sox404体系差不多。
就是会计科目的真实合理性的检查。
具体来讲整个内控体系涵盖的内容含如下几个文件:
内控手册,风险数据库,内控评价手册。
内控手册为每个作业流程的描述,内容含流程描述、流程图、授权说明、岗位职责分离、运营分析等。
风险数据库是作业可能导致风险的现象描述的汇总。
所涉及的风险一般指导致公司资产不安全,作业内容不合规合法,运营效率效益低下,财务报表数据不真实等。
内控评价手册具体含三部分,第一部分检查制度设计合理或者文档的齐全性,第二部分检查控制过程,第三部分检查会计账务处理控制。
2、内控体系与ISO质量体系有什么区别和联系?
目的不同:
内控体系是以会计报告为主要目的,而ISO质量体系是以产品质量为主。
控制活动不同:
在现阶段五部委提供的18个指引来看,内控体系缺少对生产过程控制;而ISO质量体系则以产品质量为主,涵盖产供销价值链,但是缺少会计系统控制。
涉及部门不同:
在ISO体系内不存在财务部门,以研发、生产、采购、销售部门为主;内控体系几乎涵盖公司各部门,因为有句话说得好,只要是企业在运作的,其最后的运作成果就是财务数值。
要求不同:
内控体系是国家强制要求,而ISO只是产品运营体系的一个认证,非强制要求。
3、内控体系的控制活动的业务流程如何划分,如何做到将各业务流程进行涵盖?
最简单的第一步就是拿到组织架构图,之后看到是否是以事业部为编制的。
如果是以事业部形式的,则是事业部的名称作为一级流程,事业部下属的部门分为二级流程,如果下属的部门涵盖多个职能则划分为三级流程。
如销售事业部,则销售循环作为一级流程,下属的商务部负责订单处理的则作为订单处理作为二级流程。
如商务部有两个功能除了订单处理还涉及到销售货品的备货计划制定。
则订单处理作为二级流程,订单处理和备货计划制定作为三级流程。
4、单个作业流程具体怎么描述,怎么将业务流程所涵盖的信息进行归纳处理?
作业流程就是描述一个为达到特定的价值目标而由不同的人分别共同完成的一系列活动,简单地说就是为了什么结果做了什么动作。
一个完整的作业流程应该包含6项内容,具体如下:
流程控制人:
参与到作业流程中的人,具体描述的时候应注意该控制人所涉及的部门及岗位具体名称。
比如,销售部部门经理,资产管理部专员等,为具体的部门及岗位名称。
控制频率:
作业的时间间隔控制。
如:
每年一次,每天,随时等
控制活动:
流程是如何作业的。
如:
内控部的内控专员通过登录OA系统,并在OA系统内填制资产购置申请单,提交部门经理审核。
这就是一个单一的控制流程。
控制痕迹:
作业完成后形成的书面痕迹。
如:
审批的呈报、采购申请单等
控制方式:
系统控制还是人工控制。
如手工填写,通过OA系统申请或者通过ERP系统申请
异常控制:
授权体系外的作业流程是如何控制的。
为了方便你的理解:
我再做一个非常简单的例子供参考。
如,描述超市客服处对会员积分兑换控制流程。
流程控制人:
售后服务部的客服专员,客服主管
控制频率:
客户不定期来兑换会员积分。
随时控制
控制活动:
客服专员根据会员要求兑换相应的赠品,同时在会员系统内扣除积分,并在XX赠品台帐内要求客户签字。
控制痕迹:
形成扣完积分的积分表和留有客户签字的赠品台帐。
控制方式:
兑换的系统积分由XX系统内扣除。
异常控制:
异常控制可以按照与实际正常作业流程不一致可以刻画很多:
积分不够,如客户要求加钱补足积分,则客户专员需得到客服主管的口头授权,在收取钱款后并在赠品台帐做书面说明。
或者对于兑换积分大于XXX分的,则需客服主管的签字审批。
总的一句话:
客户不定期对积分进行兑换,提出兑换的物品,售后服务部的客服专员在XXX系统内扣除积分,同时手工登记赠品台帐,在客户签字的情况下,将赠品进行赠送。
如积分不够,如客户要求加钱补足积分,则客户专员需得到客服主管的口头授权,在收取钱款后并在赠品台帐做书面说明。
对于兑换积分大于XXX分的,则需客服主管的签字审批。
当天营业结束前,客服主管需要对赠品台帐和积分兑换系统进行核对。
5、内控体系建立的流程是怎么样的?
大致的作业流程是这样的:
(1)组织架构:
先建立内控小组,为了使内控体系得到有效落实和贯彻,所以内控小组的组长最好是总经理或者董事长。
主要的作业人员最好是公司的内审部门或者新建的内控部或者风险管理部,如果没有此类部门则最好选一名懂财务的,如财务主管,另外加一名懂业务的作为内控小组的主要作业成员,最好另外辅助2-3名人员。
(2)业务运作:
总经理或者董事长开内控项目启动会,同时主要成员讲述内控系统的作业和具体要求。
会议结束后,内控小组给各部门提交部门的制度,内控小组完成制度的对标和梳理工作。
各职能部门限期内提交流程。
内控小组根据内控指引对现有的作业流程的描述进行评价,同时开展小组会议对各职能部门未设置的流程及有缺欠的流程进行优化重组。
内控小组根据谈论完毕的各流程进行内控手册的编制和流程图的绘制,最后形成内控手册。
由总经理授权下发。
(3)内控小组等类似部门不定期进行内控评价,并根据各职能部门的变化对内控手册进行优化等。
6、如果业务部比较忙,无法绘制作业流程,那访谈怎么做?
首先编制访谈计划,需要提供给部门接收访谈的人员一个访谈提纲。
访谈一般安排2个人,1人访谈,1人记录。
记录人不要求将每句话记下来,只要将讨论的主题,以及讨论的结果记录下来即可。
访谈的时候,先讲明不是来指责部门的作业流程的缺失,而是主要是完善和建立内控体系。
访谈的问题主要围绕作业流程进行,而不是宽泛的问,风险在哪里,然后让部门自己说风险。
7、流程图怎么绘制,采用什么软件?
一般选择微软的visio绘图软件或者smartdraw绘图软件,这两者的区别是visio看上去比较正规,而smartdraw比较好看。
8、作业现场是否需要绘制流程图?
最好绘制流程图,因为在描述整个流程的时候,如果不绘制流程图,可能看不到什么遗漏。
最好访谈完毕,直接将流程图绘制,之后与业务部门进行核对。
9、如何完成制度对表的工作?
制度对表的工作一般可以在进场后的或者访谈结束后,当场完成对制度的评价。
制度的评价主要的风险点为:
流程描述不清楚或者缺失,岗位职责人或者控制部门不明确,岗位职责未分离,异常流程未描述,控制痕迹或者流程的表单未明确,控制频率未明确,未体现控制方式。
(即未描述存在手工或者系统控制。
)
10、如何完成风险点的汇总
现场的风险点的汇总,不是访谈人说什么风险就是风险点。
而是根据访谈人提供的风险点提示,内控人员通过系统或者会计凭证等书面资料核实完毕之后再归纳汇总至风险点。
而且在完成风险点之后最好与被访谈人员再次作风险点确认。
11、如何完成风险点的报告?
风险报告主要是对现有的流程的分析,所以可以按照事业部,之后将事业部涉及的流程综述,之后对各流程进行评价。
而不是一堆风险点的堆砌。
看上去100-200张的ppt,但是看得头晕,而且汇报结束老板对你不爽。
12、内控检查与内审的区别和联系在哪里?
内控检查的主要目的是建立和明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。
所以内控主要是流程稽核,主要的作业模式就是控制点有没有建立。
内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。
所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段,核实业务事项是否真实合理。
简单的说,就是内控是检查你吃饭的顺序,如先吃菜再吃饭或者先吃饭再吃菜。
内审就是检查吃法好不好,对于胖人吃大量的肥肉,可以建议减少摄入量。
二、体系建立篇
在这里,你将熟悉每个控制活动所涉及的每个流程应该做的内控要点以及关键控制点的描述。
由于涉及的内容较多,我这里简单的作一个销售模块的内控体系建立,其他模块的建立可在模仿的情况下,分别建立。
1、销售模式的确认
一般销售的模式分如下几种,正常销售、国际贸易、团购,涉及到酒类或者其他制造业会涉及到品牌销售模式。
这里解释一下品牌销售模式,即允许被授权商生产与自己相同的产品,贴自己的商标和品牌,收取品牌或者商标费的一种作业模式。
2、正常销售的流程划分
由于正常销售可划分为单次销售或者通过订货会或者其他模式先签订框架合同这种销售模式进行作业。
其实这提到的可以将其作为一场流程进行控制。
一级流程:
为销售流程。
二级流程:
可以划分为销售定价、信用管理、合同签订、订单处理、备货处理、发货签收、收款入账处理、开票管理、应收款管理等。
三级流程:
其中销售定价流程可以划分为年度销售定价流程、中期价格变更或者临时价格变更流程。
其中如果是系统控制,则需要明确哪个部门的什么岗位在系统中进行价格的录入和变更,最后由谁来审核。
信用管理流程可以划分为客户准入评价流程,不定期评价流程及信用政策调整流程。
由于这一块基本上很少有客户在进行作业或者处理,所以在调研流程的时候,可能客户不会提供该流程,所以在编制内控手册的时候,需要做好与客户的随时沟通。
合同签订流程可以划分为合同起草、审核、盖章和保管作业流程。
订单处理流程可以划分为正常订单处理流程,订单取消流程和逾期未处理订单流程等。
备货处理流程可以划分为下发货通知单、物品调配流程和物品调配不足流程。
发货签收流程可以划分为发货单制定流程、物流选择流程、出库审核流程和客户收货签收流程。
收款入账流程。
发票开具流程含客户提交增值税资质流程、开票流程、另外还涉及到由于修改订单而导致订单总额超过原订单的补开发票流程。
应收款流程含应收款催收流程、逾期坏账准备计提流程、坏账核销流程。
另外批发、零售行业及百货连锁会涉及到品牌授权如代理和直营的模式,这里就需要有客户现场测评以及客户代理新增流程,以及代理期转让和代理终止作业流程等。
如果调研或者访谈的时候将上述流程调研清楚,同时在内控手册中描述清楚,那么销售模块基本上就完成了。
三、后续评价篇
在这里,你将熟悉如何对现有的内控体系进行后续的评价,并出具相关的内控测评报告。
后续的内控评价分三个模块:
分别为制度有效性评价和运营的评价,运营评价分已有作业痕迹评价和系统作业评价。
作业痕迹评价主要评价在内控评价期间已经形成的作业表单和流程。
系统作业评价主要评价为现有系统作业评价,实际上类似于信息系统的白箱子测试,即通过新的数据的输入、处理和输出,了解现有系统运营作业情况。
1、制度有效性评价:
制度有效性的评价,一般的作业方式是通过阅读现有的流程作业制度和文字,通过对岗位职责分离、授权审批以及制度的完整性来评价。
这里简单举例如下,前面提过了销售流程,现在以固定资产管理流程来进行说明。
制度设计不完整:
在制度方面对有效性的评价包含如下内容:
固定资产界定、固定资产新增流程、固定资产入账流程、固定资产折旧流程、固定资产维修流程、固定资产调拨流程、固定资产报废流程、固定资产处置流程等等。
这几个流程是一般固定资产内控基本涵盖的作业流程,如果在对制度的阅读中发现存在内容不齐全,可以表述为固定资产制度设计不完整。
这里是固定资产具体的设计,一般涵盖:
未明确责任部门和责任人、流程使用的表单不明确、金额不确定、岗位职责未分离等等制度设计缺陷。
2、现有系统的有效性评价
现有系统的有效性评价,无外乎对于检查期间已经形成的表单或者作业流程进行评价。
一般如果是企业内部自行作业检查,即可通过提取表单即可。
一般可以通过对现有的内控制度或者内控手册的核对,来确认是否存在异常的情况。
有效性的评价分四种情况:
存在控制强点、存在控制弱点、存在控制缺失、不适用。
其中需要说明的是存在控制弱点,即部分作业表单有审核或者有记录,部分表单无审核无记录等。
检查的对象分控制环境和控制活动。
控制环境的评价所需资料:
可以通过获取如组织架构图来评价组织架构,通过获取如CIS或者类似资料来评价企业文化,公司战略的评价可以通过公司的高层会议或者董事会或者股东会的类似决策的资料来评价。
等等
控制活动的评价所需资料:
可以通过流程中所使用的各表单来确认。
3、系统运行有效性评价:
系统运行评价实际可以表述为穿行测试,但是这个穿行测试除了一般性的正常流程的检查,还应该涵盖在现有系统有效性评价中,可能未体现出来的特殊情况。
如你检查的是1-12月的表单和流程,但是均未体现有正常流程,通过这种补充检查就可以获知特殊作业流程是否可以得到有效控制。
升级会员 