内控体系搭建有用DOC.docx
《内控体系搭建有用DOC.docx》由会员分享,可在线阅读,更多相关《内控体系搭建有用DOC.docx(17页珍藏版)》请在冰点文库上搜索。
内控体系搭建有用DOC
内控体系搭建
01内控知识入门
02流程梳理与内控评价
03内控体系搭建
04VISIO软件使用
第一章内控知识入门
.内控的由来
.内控的作用
1.1内控的由来
我国内控的起源
我国的内控起源很早,就是岗位牵制,集中在财务领域,真正形成系统的规范,则是在08年金融危机发生之后。
五部委根据我国实际情况结合国外的实践,推出了我国的内控体系。
08年6月,发布《内部控制基本规范》;
10年4月,发布《企业内部控制配套指引》。
“为什么企业一出事就是内控失效”
很多在媒体上被曝光的企业,比如绿大财务作假、银广夏事件、三鹿奶粉事件,人们的第一反应就是这个企业的内控失效。
内控失效的现象比如:
个人独断专行、过于依赖人工控制忽视系统控制、虚假的财务报告等等
在企业管理和经营活动过程中,时时刻刻伴随着企业的就是潜在风险。
企业的内部控制不是为了控制而控制,也不是为了美国证监会或者中国证监会而控制,而是为了帮助企业防范不同阶段的风险才进行控制。
1.2内控的作用
风险的基本概念
风险是一种威胁,这一威胁将对公司完成经营目标和执行经营战略产生不利影响。
简单的说,就是可能影响控制目标实现的因素。
1、战略风险
2、财务风险
3、市场风险
4、运营风险
5、法律风险
内控中的风险举例:
.××制度不完整,可能导致XX实际操作缺乏制度性指引
.缺乏适当的审批,可能产生不合理的XX行为,造成公司利益损失
.××缺乏适当的权责分离,存在舞弊风险。
.未与供应商签订包含法律责任条款的协议
.采购发票、入库单、验收单三单不匹配
风险是为了帮助使用者更清晰、直观地了解可能存在的风险,其根本还是这些风险点可能会导致控制目标无法有效实现。
对于企业来说,内控的作用可归纳为以下几点:
1)提高会计信息的准确性;
2)保证生产和经营活动顺利进行;
3)保护企业资产的安全完整;
4)保证企业制定的方针合法合规:
定义:
董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构)、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。
内控体系包含内部环境、风险评估、控制活动、信息传递与沟通、监督五要素
对员工个人而言,内部控制就是其日常工作内容。
当然根据成本效益原则,只有关键业务流程才是内部控制所关注的。
我《内部控制应用指引》共分18个主题,基本涵盖企业资金、实物流、人物流与信息流。
内部环境类指引:
公司战略、组织架构、企业文化、社会责任、人力资源;
控制活动类指引:
资金活动、采购活动、资产管理、销售活动、研究与开发、工程项目、担保业务、业务外包、财务报告;
控制手段类指引:
全面预算、合同管理、内部信息传递、信息系统。
内部环境类指引:
公司战略、组织架构、企业文化、社会责任、人力资源;
控制活动类指引:
资金活动、采购活动、资产管理、销售活动、研究与开发、工程项目、担保业务、业务外包、财务报告;
控制手段类指引:
全面预算、合同管理、内部信息传递、信息系统。
流程会涉及经办人、审核人、审批人,这样就会牵涉到公司各管理层级,决策层、管理层以及事务操作层均会涉及。
内部控制的控制手段很多:
1、不相容职责相分离:
2、授权审批控制
3、预算控制
4、绩效考核控制
5、会计系统控制
6、财产保护控制
。
。
。
。
。
。
五部委出的内控指引,适用的对象仅仅是一般的生产制造型企业,不同的行业、不同类型的公司还是需要根据企业实际情况做分析以及调整,增加或者删除相关的模块。
服务性行业可以删除研究开发模块;生产制造型企业可以增加生产模块,将外包服务划入生产模块的委外加工管理;部分大型集团比如采购钢铁或者原煤的,可以增加套期保值模块。
内控体系完整不完整,就看内控体系是否体现了公司整个价值链。
在企业的不同的发展阶段,内控的需求是不一样的,内控有成本。
只有符合企业实际情况才是好的内控。
制度、流程、内控手册的联系与区别
制度:
什么是公司允许的,什么是禁止的,就是个原则性的文件,适用于部门负责人,是从职能管理需求进行制定的。
流程:
作业是怎么进行的,每个人该干什么内容,适用于作业人。
一个完整的制度:
包含管理层管理的需求,还适用于作业人员作业。
流程化的制度就是内控手册的一部分。
对于已经有ISO体系的公司,如何将ISO体系与内部控制体系进行整合,而不是ISO体系一套,内控体系一套,这是企业在内控体系建设所需考虑的问题。
内控体系与ISO质量体系的差异可归纳为以下几点:
1)ISO质量体系缺少财务模块,内控体系缺少生产模块;
2)两个体系都是关注价值的产生,内部控制关注的是对流程过程中的风险控制,ISO关注的是质量控制;
企业的作业流程只有一套,如果是多套体系并存,且存在打架的情况,企业的管理就会乱套。
只要设计一套一体化管理体系,将ISO以及内控涉及到的内容进行合并管理,该体现流程就体现流程,之后按照风险或者ISO的要求输出即可。
第二章流程梳理与内控评价
.进行流程梳理与内控评价的理由
.流程梳理
.内控评价
2.1先进行流程梳理与内控评价的理由
为什么先做流程梳理和内控评价
只有在相关部门对内控评价所提出的设计以及运行缺陷进行整改后方可进行内控体系的搭建,或者说整改方案得到相关部门的认可,不然搭建出来的内控体系就无法落地与执行。
流程梳理是为了后期的内控手册编写。
内控评价是为了保证内控手册是根据有效的活动进行设计。
不谈风险是因为业务层面的人员更喜欢讲流程和程序,管理层或者决策层喜欢谈风险。
2.2流程梳理
多个连续的动作或者作业步骤就叫流程。
2.2.1流程的梳理
一级流程:
企业的价值链,描述企业创造价值的过程,由企业的业务模块构成;
二级流程:
每个业务模块的运营内容,也即三级流程的逻辑关系;
三级流程:
跨部门、岗位间的工作流程,由工作事项组成;
四级流程:
部门内、岗位间的工作流程,仍由工作事项组成,但局限于部门内;
五级流程:
岗位内的工作流程,即某岗位某工作的标准作业程序(SOP);
六级流程:
某个具体工作步骤所涉及的工作内容细节,例如一张表单的表头设置等。
2.2.1流程的梳理
一个内控体系的所涉及到流程可以分三级流程:
一级流程:
根据管理职能进行划分。
二级流程:
在一级流程的基础上,根据业务管理线条划分。
三级流程:
根据二级流程,划分到具体的业务单位或者关键控制点。
可以根据企业现有的制度,进行阅读后划分,形成流程清单。
2.2.2流程记录7要素
1)何时什么时候来执行这项控制,发生的频率如何?
2)谁谁来执行这项控制,所属部门、职位是什么?
3)控制目标执行这项活动所规避的风险及控制目标?
4)控制活动实施什么控制活动?
5)如何做如何实施这项活动?
人工/自动
6)跟进措施发现例外情况、差异,如何跟进处理?
7)证据该项控制实施后会留下什么证据,例如:
签字证据、留下书面文档、单据、报告、会在系统中留下什么痕迹等?
2.2.2记录控制活动的动词
在对控制活动进行表述时,重要的是清楚地界定每个职责上的权限,应该选择合适的动词来描述权限范围:
1、制定方案计划、文件:
草拟、拟定、编制、审核、审定、转呈、提交、下达、备案、存档等
2、信息、资料:
调查、收集、整理、分析、研究、总结、提供、汇报、反馈、转达、通知、发布等
3、直接行动:
组织、执行、指导、控制、监管、采用、参加、阐明、解释、提供、协助等
4、上级行为:
批准、确认、指导、规划、监督等
5、管理行为:
达到、评估、协调、鉴定、保持、监督等
6、下级行为:
检查、核对、收集、获得、提交、办理等
2.2.3流程记录
在对流程进行记录时,需要2个人:
1、流程记录执行人
2、穿行测试资料收集人
通过访谈进行流程的梳理与记录往往造成疏漏或者资料名称与实际不符,所以需要访谈与穿行测试两种方式并行。
2.3内控评价
2.3.1什么是“内控评价”,其目标是什么?
通过系统、规范的方法对公司内部控制制度的健全性、合理性以及内部控制的有效性进行独立的监督与评价,合理保障实现公司经营目标。
其目标有两条:
1、发现内控设计问题,推动手册优化
2、发现内控执行问题,推动落实整改。
2.3.2制度有效性评价
将企业所有涉及关键业务流程的制度全部收集,之后按照关键业务流程进行7要素的分析。
通常评价会考虑到完整性、合理性,得到下面结论:
缺少关键业务流程、缺少7要素中的任何一个要素,或者7要素设计不合理,设计合不合理需要控制措施。
审计方法就是访谈加穿行测试,访谈适用于第一次评价。
2.3.3运行有效性评价类型关键字抽样原则测试步骤
①类型
确认流程中的控制类型:
授权控制
岗位职责分离控制
会计系统控制
预算控制等
②关键字
控制活动:
控制活动的载体:
控制点的执行人:
控制点发生的频率:
③抽样原则
根据控制频率来选择样本,,选择的就是7要素中的控制痕迹,证据的多少。
④测试步骤
根据步骤三的样本,结合步骤后梳理出的控制要点确认控制点是否被有效执行。
第三章如何进行内控体系搭建
.自建内控体系的流程
.内控手册的模型及撰写
.内控评价手册的模型及撰写
3.1自建内控体系的流程
内控不是单纯的为了合规而建一套制度体系,部分企业的内控体系就是将公司的制度整合一下或者借用弗布克丛书来形成自己的内控体系。
3.1.1对内控体系的感性认识
对一般企业而言,内部控制措施散落在各规章制度,缺乏必要的归纳整理和归口管理。
构建内控体系就是围绕企业的运营战略目标,针对现有的业务流程,梳理内部控制举措,建立“统一语言,统一框架、统一管理”的制度群,形成有人设计、有人执行、有人监督的循环管理体系。
内控体系的具体表现形式,有什么载体、如何落地实施,在内控指引的各个条款里,没有做具体规定。
为了便于实施与管理,往往采用“手册+矩阵”这种方法。
3.1.2内控建设历程
内控建设阶段
内控初步建设期
内控体系稳定期
内控拓展期
主要工作内容
·设立内控建设组织架构
·举办培训
·界定内控建设的范围
·记录现有内控
·与内控要求进行对标
·改进现有问题
发布内控手册
·内控体系运行
·内控体系运行检查
·管理层测试与自我评估
·内控审计
·内控体系运行与维护
·建立内部控制评价体系
·内控体系运行检查
·探索非财务报告内部控制体系建设
·向全面风险管理拓展
在不同的企业,可能涉及到的工作内容会有调整,但是大体上都是类似的
3.1自建内控体系流程
3.1.2收集内控体系建设所需资料
内控体系建设所需的资料一共有四份:
1、进行设计有效性评价收集的企业制度
2、在有效性评价时梳理的流程清单
3、访谈时的流程记录表
4、穿行测试所收集与流程相关的整套表单
只有在上述资料都完整的情况下,才能够编制出符合企业实际情况且能落地执行的内控体系。
3.1.3内控体系所涉及到的文档
内控体系涉及到的文档就是两个:
1、内控手册:
就是流程文档,告诉你作业流程如何进行,风险和关键控制点是什么。
2、内控评价手册:
就是风险控制矩阵,或者风险列表,用于内控体系的评价与维护。
有的公司在做内控手册时,为了便于对各业务流程所涉及到的权限的查阅,会单独编制公司权限指引表。
3.2内控手册
内控手册、内控制度、管理制度的关系
内控手册就是按照18个指引的要求,根据企业的管理制度以及实际作业流程编制的资料。
内控制度是咨询公司忽悠企业的一个资料,把企业的制度都整合一下,根本没必要做。
管理制度就是企业所有的制度。
对一般企业而言,内部控制措施散落在各规章制度,缺乏必要的归纳整理和归口管理。
内控手册整体布局与安排
控制环境
基本上就是公司现有的管理制度的汇总。
但是有一块是人力资源管理的,在控制环境中写的是人力资源政策,但又有具体的业务流程,所以对于这一块不仅需要在控制环境中做说明,还需要在控制活动中说明。
控制活动
基本上就是按照大家常见的流程管控之类来进行,也就是大家在网上看到的内控手册。
控制工具
在控制活动中会涉及到与之相关的流程,在对控制工具进行撰写时会更具体。
举个合同审批流程的案例
单个模块撰写所涉及到的内容
在每个模块前有对流程的总的介绍,一般就是根据2级流程绘制的简单流程示意图:
以采购管理为例来进行说明:
单个模块撰写所涉及到的内容
一、业务流程范围
对业务流程所涉及的业务活动范围和所涉及的部门范围的定义
二、所涉及的应用系统和重要电子表格
本流程所涉及到的信息技术应用系统、以及在业务流程中涉及到的重要电子表格。
三、目标
业务流程所要达到的目的。
四、风险
业务流程中存在的可能影响最终结果的因素。
五、相关会计科目
记录业务活动所涉及到的会计科目
六、流程描述和关键控制点
对业务流程进行完整的记录,其中包括流程运作的步骤和程序,以及与之相关的内部控制,并在此基础上写关键控制点
内控流程文档模板
XX公司
一级流程名称
二级流程名称
三级流程名称
流程编号
XX流程
流程责任部门
流程责任岗位
1.流程控制目标
本流程阐述了相关程序(或步骤),旨在确保。
2.流程适用范围
描述本流程适用的集团、公司、部门或管理条线等。
3.流程相关制度
【制度名称】《XX公司XX管理办法》(编号:
XX〔20XX〕XX号)(本流程对应制度名称及编号)
【制度简述】对XX、XX及XX进行了规范和说明。
(该制度中有关本流程的相关规定简述)
【制度名称】《XX公司XX管理办法》(编号:
XX〔20XX〕XX号)(本流程对应制度名称及编号)
【制度简述】对XX、XX及XX进行了规范和说明。
(该制度中有关本流程的相关规定简述)
4.流程图
(将用visio软件绘制的流程图贴在此处。
注意:
图片的文字环绕方式设置为“浮于文字上方”)
5.流程描述
【S01】
【S02】【C01】
……
(用规范化的语言对流程中的各步骤进行描述,并标记出控制点。
)
6.流程风险点及对应控制点:
【PR01】(对流程中的风险点进行描述)
风险分类:
按可能结果划分:
□机会风险□纯粹风险
按五大类风险划分:
□战略风险□财务风险□市场风险□运营风险□法律风险
风险发生可能性:
□极低□较低□中等□较高□极高
风险发生影响程度:
□轻微□较低□中等□重大□灾难性
风险等级:
□安全风险□中等风险□重大风险
造成影响描述:
(对该风险造成的影响进行描述,列示出可能造成的各种不利影响。
)
对应风险控制点:
【S02】【C01】:
【S03】【C02】:
(注意,一个风险点可能对应一个控制点,也可能对应多个控制点。
)
控制类型:
□事前控制□事中控制□事后控制
控制等级:
□一般控制点□关键控制点
【PR02】(对流程中的风险点进行描述)
风险分类:
按可能结果划分:
□机会风险□纯粹风险
按五大类风险划分:
□战略风险□财务风险□市场风险□运营风险□法律风险
风险发生可能性:
□极低□较低□中等□较高□极高
风险发生影响程度:
□轻微□较低□中等□重大□灾难性
风险等级:
□安全风险□中等风险□重大风险
造成影响描述:
(对该风险造成的影响进行描述,列示出可能造成的各种不利影响)
对应风险控制点:
【C03】【S05】:
【C04】【S06】:
(注意,一个风险点可能对应一个控制点,也可能对应多个控制点。
)
控制类型:
□事前控制□事中控制□事后控制
控制等级:
□一般控制点□关键控制点
……
7.流程缺陷及建议:
【PG01】
【建议】
【PG02】
【建议】
……
(若本流程中的某个风险点没有对应的控制点或控制措施达不到控制效果,则存在流程控制缺陷。
若本流程在匹配性、依赖性、震荡性、控制性、一致性、竞争性六要素方面存在缺陷,则本流程自身存在缺陷,可能需要进行流程优化或流程重组。
在此描述本流程中存在的缺陷并提出改进建议。
)
8.检查资料:
《XX公司XX管理办法》
《XX文件》
《XX会议纪要》
……
3.2权限指引表
权限指引表一般就是告诉你:
在流程中每个人的职责、权限以及对应的证据。
3.3内控评价手册
内控评价手册就是风险控制矩阵,我们现在看到的内控评价手册,是借鉴了了塞班斯法案合规工作中使用的文件。
为控制记录、修补、测试和维护工作提供记录支持。
风险控制矩阵(RiskandControlMatrix)
就是将流程中所涉及的风险和对应的内部控制进行汇总,以发现控制缺陷的一种矩阵表格。
控制列表一般包含流程目标、风险、控制点描述、控制发生频率、控制类型、控制负责人以及测试结果等内容
控制点编号
流程目标
风险
控制点描述
控制发生频率
控制类型
控制负责人
测试结果
[注1]
[注2]
[注3]
[注4]
[注5]
[注6]
[注7]
[注1]
控制点所对应的流程目标
[注2]
流程层面影响流程目标实现的风险
[注3]
对财务以及经营相关的内部控制点的描述
[注4]
控制发生的频率,包含每年/每月/每周/每天/频繁发生/按需不定期发生
[注5]
控制的类型,人工控制/自动控制;以及具体的分类,比如授权批准、关键绩效考核、会计系统控制、预算控制等等
[注6]
流程负责的相关人员,包含在该流程中涉及到的人员。
[注7]
内控评价得到的结论,含设计以及运行等两方面。
风险控制矩阵编制流程
第四章VISIO软件使用
软件界面介绍
组织架构图绘制
流程图绘制
4.1软件界面介绍
VISIO软件绘制流程常用模具
4.2组织架构图的绘制
4.3流程图的绘制
流程图就是按照之前的7要素进行绘制而成的,所以在流程梳理阶段对流程记录的完整性将对流程图绘制其关键作用。
流程描述举例:
一份费用报销流程图。
自行绘制一份固定资产报废的作业流程图。
升级会员 