企业内部控制建设中的关键点及其控制作者:高绍维当前,企业要在世界资本体系中健康有序运行,首先要保障和完善自身的内部控制建设。本文通过回顾近年来国内外企业的发展轨迹发现,建立有效完整的内部控制体系不仅有助于企业提高风险防控能力、保证企业有序运行,而且可以促进全球资本市场的健康发展,规范市场经济。 一、强化企业内部控制的意义 强化企业内部控制、不断健全企业内部控制体系、提高企业风险防范控制水平,不管对企业自身还是整个经济社会的顺利有序运行都具有较为重要的意义。 首先,对企业而言,强化内部控制可以帮助管理层理顺经营理念,树立正确的风险防控意识,及时发现和规避潜在风险,实现企业持续健康经营。企业身处经济全球化浪潮中,全球范围内的不确定因素和风险都对企业的生产经营产生较大甚至致命影响,企业管理层只有不断强化内部控制、提高风险防范和控制能力、改善企业内部管理,才能有效应对越来越多的风险,提升发展空间、把握发展机遇、实现自身的发展战略目标。 其次,作为市场经济的主要组成部分,企业要不断适应现代企业管理需要,深化管理改革。只有建立健全以风险方法和控制为导向的内部控制,才能有效深化企业改革发展,进一步适应市场经济要求。企业唯有通过强化风险管控、内部控制,才能真正完善内部治理结构,预防和抵御风险,促进市场资源的合理配置,强化企业的市场主体地位,实现市场经济的健康有效运行,从而推动市场体系的健康发展。 最后,企业强化内部控制可以有效保证企业遵守国家的相关法律法规,进而减少管理舞弊,提高会计信息质量,增强投资者对企业的信心并进一步激发市场活力。从这个角度讲,提高风险防范和控制意识,强化内部控制对于保障投资者和公众的合法权益也具有重要意义。 二、企业内部控制建设的关键点 企业作为市场经济主体,面对日益融合的世界经济、日益激烈的竞争和瞬息万变的外部条件,面临的风险是多种多样的,这使得企业处于高风险之中。在日常的生产经营过程中,企业常常需要面对各种各样的风险,如战略风险、决策风险、经营风险、财务风险等。这些企业内外风险都给企业的管理和生产经营增加了压力,带来了不确定性,处理不好会对企业产生不利影响。企业要制定内部控制就要本着防范预防风险的目的去 *** 作。如何把握企业内部控制中的关键点和风险点并采取针对性措施加以应对,成为内部控制是否有效的主要因素。 总的而言,企业内部控制建设中面临的关键点主要有以下几个方面。 1在内部控制的规划上,应当着重考虑如下情况:企业管理层有没有制订内部控制的相关规划,以及制订的规划是否符合本单位实际情况;是否仅仅将符合法律规定作为建立企业内部控制的目标、只做表面文章、敷衍了事、不发挥实际效用、没有促进战略目标实现的积极意义;是否制订了内部控制年度计划并将计划落实到实践中。这是内部控制在规划方面的关键点和风险点。 2在内部控制的组织部门和机构方面,要考虑的风险点有:内部控制负责人与公司的主要领导是否为一人,这直接关系到企业内部控制能否有效落实;内控部门人员是否对内部控制法规和制度足够了解和熟悉;相关人员是否对内控工作积极热心、切实负责;内控部门成员是否具有足够代表性。针对此方面,企业应合理设置内控部门,匹配内控人员,由主要领导督促执行。 3在内部控制环境建设上,要考虑以下关键点和风险点:单位是否足够重视内部控制作用,是否有意培养管理人员风险意识;是否将内部控制的建立健全作为深化企业管理改革、促进企业发展的重要契机;管理层是否具有强烈的遵纪守法意识;能否实现关键岗位的定期轮流;企业的相关子公司是否也制订内部控制战略规划。这些都是内部控制在环境建设方面的关键点。 4在企业风险防范机制完善上,要注意以下关键点:企业是否建立健全风险管控体系;是否具备相应的风险预警机制、风险分析方法和风险评估人员;是否制定了相应的风险应对措施。一般来讲企业在生产方面具备相对成熟的风险识别和防范应对程序,但在经营和财务领域,则需进一步强化风险管控:企业是否制定了清晰的分先承受度;是否建有风险数据库,以备企业分析比较;是否对之前的风险进行了比对、总结、分析,从而设定相应的风险类型及等级等。 5在内部控制的评价方面,关键点有如下方面:是否有专门部门对企业的内部控制定期进行评估,评价其是否真实有效;企业是否建立了内部控制评价制度,有没有制定专门的评价指标和相关细则;企业有没有将考核与内部控制的评价结果相关联;有没有内控评价指标选取规范并针对相应缺陷进行改进。 6在风险矩阵规划上,要注意以下方面:要识别的风险是否具体;在风险的识别上是否过多地依赖于管控流程图,缺乏灵活变通;能否有效识别企业的舞弊现象和重大错报风险;是否合理评估企业内外风险,对潜在风险进行全面预警;能否合理设置风险控制关键点;控制措施是否多样性,能否与风险一一对应、具有针对性;在控制频率的制定上,能否依据企业经营规律的相关事项重要程度合理设置控制频率;风险管控负责人是否明确,责任是否到位;能否准确认定会计报表;能否采用多重风险识别手段实现风险与管控的有效对应。 三、企业内部控制关键点的控制措施 1在内部控制规划上,企业管理层应当依据本单位的实际情况,专门制订相关规划并切实落实于行动,避免其浮于表面,不发挥实际效用。同时,还要设置专门的内部控制部门和人员,提高内控人员对内控法规的熟悉程度,内控人员应切实负责,负责人要经常监督内部控制各项制度的落实。 2针对内部控制各个关键点,完善制度。针对各个关键点,要建立起一套相对明晰、稳定、完善的控制程序,以确保内部控制机制顺畅运行。对于日常经营活动,要明确授权审批的范围、权限、程序等相关内容,部门负责人必须在授权范围内行使相应职权;对于重大投资、担保、关联交易等重大经营活动,要按照《公司章程》的相关规定,由董事会审议决定,超越董事会权限的,报股东大会批准。设置独立的会计部门,明确会计部门人员的分工和岗位职责,保证财务工作的顺利进行。要按照《会计法》、《企业会计准则》等相关规定,结合自身实际情况建立独立的财务管理制度、会计核算体系,以保证会计核算的真实性和完整性。 3严格审批流程,重大事项重点监督。所有募集资金的支出均要严格履行内部审批手续,按照募集资金使用计划的用途及项目使用,募集资金使用情况等要由内部审计部门进行日常监督,每季度对募集资金的使用情况要进行检查。企业管理层在制订年度目标时应当充分考虑企业当前及未来所要面临的种种不确定风险,对于潜在困难及时发现识别并通过分析总结采取各种技术手段进行风险防范和控制,力争将风险最小化,尽量减少其对企业生产经营的影响程度。 4强化企业治理结构管理。在治理结构层面,要委派董事、高级管理人员到各子公司进行监督和管理,加强对控股子公司、参股子公司的管理控制。各子公司要建立健全三会制度,明确职责和权限,定期召开会议;要按照经营策略和风险管理的要求,各子公司也要建立起相应的内部控制管理体系,公司各职能部门对子公司的业务和管理进行指导与监督。审计部门要定期对各子公司的财务状况、内控执行情况进行监督检查。 总之,加强企业内部控制、提高企业应对风险能力对企业的生存发展具有重要意义。在内部控制的建立健全中,有内部控制规划建设、风险防范体系建设、内部控制环境建设及风险矩阵规划等多方面的关键点和风险点。企业要将这些关键点作为内部控制建设的首要任务并在实际生产经营中将其作为内部控制的核心要素来对待。只要企业将内部控制建设贯穿于企业生产经营的决策、执行、监督等整个过程中,控制好关键点和风险点,就能及时识别、评估并防范企业面临的内外风险,保障企业的健康有序发展。
¥
59
百度文库VIP限时优惠现在开通,立享6亿+VIP内容
立即获取
企业内部控制建设中的关键点及其控制
企业内部控制建设中的关键点及其控制
作者:高绍维
当前,企业要在世界资本体系中健康有序运行,首先要保障和完善自身的内部控制建设。本文通过回顾近年来国内外企业的发展轨迹发现,建立有效完整的内部控制体系不仅有助于企业提高风险防控能力、保证企业有序运行,而且可以促进全球资本市场的健康发展,规范市场经济。 一、强化企业内部控制的意义 强化企业内部控制、不断健全企业内部控制体系、提高企业风险防范控制水平,不管对企业自身还是整个经济社会的顺利有序运行都具有较为重要的意义。 首先,对企业而言,强化内部控制可以帮助管理层理顺经营理念,树立正确的风险防控意识,及时发现和规避潜在风险,实现企业持续健康经营。企业身处经济全球化浪潮中,全球范围内的不确定因素和风险都对企业的生产经营产生较大甚至致命影响,企业管理层只有不断强化内部控制、提高风险防范和控制能力、改善企业内部管理,才能有效应对越来越多的风险,提升发展空间、把握发展机遇、实现自身的发展战略目标。 其次,作为市场经济的主要组成部分,企业要不断适应现代企业管理需要,深化管理改革。只有建立健全以风险方法和控制为导向的内部控制,才能有效深化企业改革发展,进一步适应市场经济要求。企业唯有通过强化风险管控、内部控制,才能真正完善内部治理结构,预防和抵御风险,促进市场资源的合理配置,强化企业的市场主体地位,实现市场经济的健康有效运行,从而推动市场体系的健康发展。 最后,企业强化内部控制可以有效保证企业遵守国家的相关法律法规,进而减少管理舞弊,提高会计信息质量,增强投资者对企业的信心并进一步激发市场活力。从这个角度讲,提高风险防范和控制意识,强化内部控制对于保障投资者和公众的合法权益也具有重要意义。 二、企业内部控制建设的关键点 企业作为市场经济主体,面对日益融合的世界经济、日益激烈的竞争和瞬息万变的外部条件,面临的风险是多种多样的,这使得企业处于高风险之中。在日常的生产经营过程中,企业常常需要面对各种各样的风险,如战略风险、决策风险、经营风险、财务风险等。这些企业内外风险都给企业的管理和生产经营增加了压力,带来了不确定性,处理不好会对企业产生不利影响。企业要制定内部控制就要本着防范预防风险的目的去 *** 作。如何把握企业内部控制中的关键点和风险点并采取针对性措施加以应对,成为内部控制是否有效的主要因素。 总的而言,企业内部控制建设中面临的关键点主要有以下几个方面。 1在内部控制的规划上,应当着重考虑如下情况:企业管理层有没有制订内部控制的相关规划,以及制订的规划是否符合本单位实际情况;是否仅仅将符合法律规定作为建立企业内部控制的目标、只做表面文章、敷衍了事、不发挥实际效用、没有促进战略目标实现的积极意义;是否制订了内部控制年度计划并将计划落实到实践中。这是内部控制在规划方面的关键点和风险点。 2在内部控制的组织部门和机构方面,要考虑的风险点有:内部控制负责人与公司的主要领导是否为一人,这直接关系到企业内部控制能否有效落实;内控部门人员是否对内部控制法规和制度足够了解和熟悉;相关人员是否对内控工作积极热心、切实负责;内控部门成员是否具有足够代表性。针对此方面,企业应合理设置内控部门,匹配内控人员,由主要领导督促执行。 3在内部控制环境建设上,要考虑以下关键点和风险点:单位是否足够重视内部控制作用,是否有意培养管理人员风险意识;是否将内部控制的建立健全作为深化企业管理改革、促进企业发展的重要契机;管理层是否具有强烈的遵纪守法意识;能否实现关键岗位的定期轮流;企业的相关子公司是否也制订内部控制战略规划。这些都是内部控制在环境建设方面的关键点。 4在企业风险防范机制完善上,要注意以下关键点:企业是否建立健全风险管控体系;是否具备相应的风险预警机制、风险分析方法和风险评估人员;是否制定了相应的风险应对措施。一般来讲企业在生产方面具备相对成熟的风险识别和防范应对程序,但在经营和财务领域,则需进一步强化风险管控:企业是否制定了清晰的分先承受度;是否建有风险数据库,以备企业分析比较;是否对之前的风险进行了比对、总结、分析,从而设定相应的风险类型及等级等。 5在内部控制的评价方面,关键点有如下方面:是否有专门部门对企业的内部控制定期进行评估,评价其是否真实有效;企业是否建立了内部控制评价制度,有没有制定专门的评价指标和相关细则;企业有没有将考核与内部控制的评价结果相关联;有没有内控评价指标选取规范并针对相应缺陷进行改进。 6在风险矩阵规划上,要注意以下方面:要识别的风险是否具体;在风险的识别上是否过多地依赖于管控流程图,缺乏灵活变通;能否有效识别企业的舞弊现象和重大错报风险;是否合理评估企业内外风险,对潜在风险进行全面预警;能否合理设置风险控制关键点;控制措施是否多样性,能否与风险一一对应、具有针对性;在控制频率的制定上,能否依据企业经营规律的相关事项重要程度合理设置控制频率;风险管控负责人是否明确,责任是否到位;能否准确认定会计报表;能否采用多重风险识别手段实现风险与管控的有效对应。 三、企业内部控制关键点的控制措施 1在内部控制规划上,企业管理层应当依据本单位的实际情况,专门制订相关规划并切实落实于行动,避免其浮于表面,不发挥实际效用。同时,还要设置专门的内部控制部门和人员,提高内控人员对内控法规的熟悉程度,内控人员应切实负责,负责人要经常监督内部控制各项制度的落实。 2针对内部控制各个关键点,完善制度。针对各个关键点,要建立起一套相对明晰、稳定、完善的控制程序,以确保内部控制机制顺畅运行。对于日常经营活动,要明确授权审批的范围、权限、程序等相关内容,部门负责人必须在授权范围内行使相应职权;对于重大投资、担保、关联交易等重大经营活动,要按照《公司章程》的相关规定,由董事会审议决定,超越董事会权限的,报股东大会批准。设置独立的会计部门,明确会计部门人员的分工和岗位职责,保证财务工作的顺利进行。要按照《会计法》、《企业会计准则》等相关规定,结合自身实际情况建立独立的财务管理制度、会计核算体系,以保证会计核算的真实性和完整性。 3严格审批流程,重大事项重点监督。所有募集资金的支出均要严格履行内部审批手续,按照募集资金使用计划的用途及项目使用,募集资金使用情况等要由内部审计部门进行日常监督,每季度对募集资金的使用情况要进行检查。企业管理层在制订年度目标时应当充分考虑企业当前及未来所要面临的种种不确定风险,对于潜在困难及时发现识别并通过分析总结采取各种技术手段进行风险防范和控制,力争将风险最小化,尽量减少其对企业生产经营的影响程度。 4强化企业治理结构管理。在治理结构层面,要委派董事、高级管理人员到各子公司进行监督和管理,加强对控股子公司、参股子公司的管理控制。各子公司要建立健全三会制度,明确职责和权限,定期召开会议;要按照经营策略和风险管理的要求,各子公司也要建立起相应的内部控制管理体系,公司各职能部门对子公司的业务和管理进行指导与监督。审计部门要定期对各子公司的财务状况、内控执行情况进行监督检查。 总之,加强企业内部控制、提高企业应对风险能力对企业的生存发展具有重要意义。在内部控制的建立健全中,有内部控制规划建设、风险防范体系建设、内部控制环境建设及风险矩阵规划等多方面的关键点和风险点。企业要将这些关键点作为内部控制建设的首要任务并在实际生产经营中将其作为内部控制的核心要素来对待。只要企业将内部控制建设贯穿于企业生产经营的决策、执行、监督等整个过程中,控制好关键点和风险点,就能及时识别、评估并防范企业面临的内外风险,保障企业的健康有序发展
首先行业不同,方式方法也不同,以一个行业为例
XY股份有限公司为符合上市公司内控法规要求,提高企业经营管理水平和风险防范能力,促进企业可持续发展,根据财政部、证监会等五部委印发的企业内部控制基本规范及配套指引的要求,聘请外部咨询公司,2011年3月起着手进行内控体系建设工作。根据《企业内部控制基本规范》及其配套指引要求,结合国外公司经验,企业内部控制体系建设通常分为4个阶段,内部控制梳理、内部控制整改固化、内部控制自我评价和内部控制审计,其中前3个阶段是内控建设核心工作,需由企业主导完成,内控审计由审计师在企业配合下实施。
为做实做好内控规范体系建设工作,公司于2011年3月正式成立内控工作领导小组,由公司董事长牵头,高层领导主管、总部各部门负责人及各分子公司总经理作为组员,负责组织领导公司内部控制规范化建设工作。2011年3月中旬召开内控实施项目启动会,对公司内控建设工作进行了部署和动员,并制定公司内控实施计划及工作方案。
一、建立内控建设组织架构,明确相关人员职责。
内部控制建设作为一项长期系统性地工程,并非一蹴而就,公司决定建立一种长效领导机制持续运作。公司内控体系建设组织架构图如下,并明确董事长为内部控制实施工作的第一责任人;公司总经理、副总经理为内控实施的具体负责人。
(一)内控领导小组职责
经第六届第十次董事会审议通过,公司成立风险管理委员会,成员包括董事长、审核委员会主席、总经理、分管主要业务的公司高管及专业人士,作为内控工作领导小组。
风险管理委员会对董事会负责,主要履行以下职责:
(1)负责营造良好的内部控制建设环境;
(2)负责制定公司内部控制战略规划,提出总体建设方案;
(3)负责审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;
(4)部署内部控制建设、执行及监督活动等;
(5)审议《内控手册》的编制、修改及更新;
(6)提交《内部控制评价报告》;
(7)协调公司内部控制建设的重大事项;
(8)考核内部控制建设的相关人员,保持公司整体利益和方向的一致性。
(二)内控项目小组职责
1、公司在风险管理委员会下设立风险管理委员会办公室作为内控项目组,主要履行下列职责:
(1)全面贯彻执行风险管理委员会关于内部控制建设的精神和方针;
(2)制定公司内部控制建设阶段性的目标及实施方案,提交风险管理委员会审核;
(3)负责内部控制建设的有效实施和运行,落实内部控制建设的具体责任;
(4)研究提出《内部控制评价报告》;
(5)负责公司《内控手册》的编制、修改及更新;
(6)审核在内部控制建设过程中存在的问题,督促各部门进行整改。
2、公司在风险管理委员会办公室细分为4大系统,即风控系统、战略与证券系统、财务系统和运营系统,明确各系统的具体职责。
3、风险管理委员会办公室成员主要来自于财务管理部、战略与证券管理部、风险管理部、管理创新部、营销中心、质量与客服部、供应链中心、法律事务部、研发中心、制造中心及战略人力资源部,配备33名专职人员。各业务单位、职能部门及子公司(事业部)在风险管理委员会办公室的指导下共同参与、实施内控建设工作。
4、审核委员会作为公司内部控制体系有效性的监督机构,监督内部控制的有效实施和内部控制自我评价情况,审核及监督外部审计机构是否独立客观及审计程序是否有效,审核公司的财务信息及其披露,协调内部控制审计及其他相关事宜。
(三)责任部门及工作预算
与内控工作小组相对应,公司确认了内部控制建设的责任部门,即风险管理部、战略与证券管理部、财务管理部、管理创新部、营销中心、供应链中心、质量与客服部、法律事务部、制造中心、研发中心、战略人力资源部。本次内控项目工作制定了相关预算,包括内控咨询、内控审计及人力成本费用、培训费用等。为保证内控建设工作的专业化、系统化和合理化,公司聘请询公司作为外部咨询机构为公司提供专业支持,协助公司梳理、构建及完善内部控制总体架构,帮助公司识别内部控制存在的薄弱环节和主要风险,有针对性的设计控制的重点流程和内容并协助公司开展内部控制自我评价工作。 风控系统人员将全程参与风险识别及评估、编制风险清单及控制矩阵、内控缺陷整改、开展内控评价等工作,为公司培养内部控制建设及评价人才。
二、内控体系建设工作具体推进
内部控制建设工作,公司将分为五个阶段,时间从2011年4月1日至2012年1月31日,总体安排如下:
(一)确定内控实施范围(2011年4月10日前完成)
根据证监局文件精神,结合公司实际,本次内控实施范围为股份公司、一家上海子公司及一家广州子公司。
按照《企业内部控制基本规范》及其配套指引要求,结合公司业务性质,公司将重点关注发展战略、组织架构、人力资源等公司层面3大流程,以及信息系统、财务报告、信息披露、关联交易、全面预算、资金活动、采购业务、销售业务、资产管理等业务层面9大流程。
各流程责任人如下(××代表责任人姓名):
流程第一责任人 具体负责人 内控协调人 中介机构责任
发展战略 × × ×
组织架构 × × × ×
注:上述责任人适用于内控建设中的每个阶段。
(二)风险识别及评估(2011年5月31日前完成)
1、流程梳理:公司通过访谈、审阅文档或问卷调查等方式梳理流程,明确上述12大流程的相应子流程,完善组织架构和审批授权指引,根据统一的模板编制业务流程图。在流程梳理过程中,及时发现并记录有遗漏、杂乱、不符合相关法律、不相容职务未分离或权限设置不合理等内控缺失的工作流程,采取相应的措施规范 *** 作流程,避免内部舞弊等重大风险出现,提高工作效率。
2、风险识别:结合《企业内部控制基本规范》及相关配套指引所列示的风险、公司客户审核要求、内审报告、提案改善、质量事故等初始资料,从风险发生的可能性和影响程度,对子流程中涉及到的每个控制点进行综合分析,识别固有风险,评价风险等级,形成风险清单。
3、文档记录:根据风险等级,识别流程中的关键控制活动,并在流程图中进行编号;编制流程描述、风险控制矩阵等内控文档对控制活动和控制点进行记录。
4、查找内控缺陷:将公司现有制度和控制措施流与风险清单进行比对,通过穿行测试、控制测试等手段,获取关于内控设计和运行有效性的证据,查找内控缺陷,形成《风险数据库》和《内控风险诊断和评价报告》。对发现的重大缺陷及时报告董事会及管理层,管理层对发现的内部控制缺陷应及时制定内控缺陷整改方案。
(三)确定内控缺陷整改方案(2011年6月30日前完成)
1、编制《内部控制管理建议书》:公司对发现的内控缺陷进行分类分析,确定内控缺陷的重要性程度,区分设计缺陷和运行缺陷,形成《内部控制管理建议书》。
2、制定内控缺陷整改方案:公司根据《内部控制管理建议书》和具体的控制缺陷,提出整改时间及责任部门、人员,形成内控缺陷整改方案。
3、提交审议:内控缺陷整改方案应当经过风险管理委员会审议通过。
(四)内控缺陷整改(2011年9月30日前完成)
1、落实整改、提交报告:责任部门将按照内控缺陷整改方案对发现的缺陷进行逐一整改,完善公司各项内部控制管理制度和控制措施,提交《内控缺陷整改报告》;内控项目组连同中介机构对缺陷整改情况进行运行有效性测试,形成《内控运行测试报告》。
2、编制《内部控制手册》:内控项目组根据风险清单和各项内控文档等资料,编制《内部控制手册》,并对手册内容进行实施辅导和推进执行。
3、编制《内控自我评估工作指引》:内控项目组编制《内控自我评估工作指引》,为下一步内控自我评价工作的开展奠定基础。
4、提交审议:《内控缺陷整改报告》、《内控运行测试报告》、《内部控制手册》及《内控自我评估工作指引》应报风险管理委员会审议。
(五)内控持续推进和内控自我评价
公司在内控体系成果完成后,将予以持续推进,并根据辖区证监局要求,公司将于每季度结束后的10个工作日内,向证监局报送内控进展情况说明,并在定期报告中予以披露。每季度进展情况说明至少包括该季度内控建设工作的开展情况、与工作方案中计划进度的对照情况、差异原因以及拟采取的解决措施等。
通过以上工作,公司初步建立健全了内部控制体系,有效提高了内控管理水平。
三、企业内控体系的“落地”和持续推进
XY公司在完成内控体系初步建设完成后具体推行过程中,一些部门和员工或因对新的内控制度理解不够,或因由于长期工作习惯难以改变,或因内控制度变革触及自身利益而不愿遵循,使得内控制度在一段时期内一直都不能落到实处。如何真正将内控体系有效执行下去,并保持内控体系的持续完善和提高,是管理层迫切需要解决的难题。
为了切实将内控制度体系真正“落地”,XY公司通过全方位内控培训、加强内控检查与监督、完善考核及激励机制以及借助第三方专业机构的持续辅导等措施,有力地保证了内控建设的持续维护,公司的内控建设取得了卓有成效的进展。
具体来说,采取的主要措施有:
(一)完善内控工作组织架构,成立内控部,强化审计部,建立推进内控工作的组织机构和运行机制。
通过对国际大企业内控建设的现状和过程的全面考察,XY公司发现要实行有效的内部控制,必须建立相配套的组织架构。为此,公司由管理高层成立了内控工作领导小组,各子公司管理层对应的成立内控管理小组;在部门设置上,XY公司新成立了内控部,各下属子公司根据其规模大小设立内控部或内控负责岗,负责内控建设工作;在内控监督上,转变了原有的审计部的职责,增加了内控评价和检查的功能,并由公司董事会的审计委员会直接领导,在规模较大的子公司同时设立内部审计专员,负责子公司的内控自查。
(二)注重内控环境建设,进行全方位内控培训。
XY公司通过一系列的培训和辅导,提高各层级管理人员和基础员工对内控理念的认识,营造有利的内控工作开展的文化环境。首先,公司抓好以普及内控基本知识、营造内控实施环境的宣传工作。公司内控部组织编制了《内控宣传册》,在股份公司各职能部门和下属公司主要管理干部范围内发放学习。手册通过生动的案例和形象的语言帮助各级管理人员统一对内控的理解和认识,减少内控推进的思想阻力。
其次,公司根据内控规范实施的进度,围绕内部控制的各个方面,开展了包括基础理念、管理制度、风险评估、内控评价、内控考核在内的各类集中的专题培训,对内控制度的编制和实施起了极大的推进作用。
(三)建立内控推进的沟通机制,保证内控建设持续性和问题解决的及时性。
自内控制度建设正式推进以来,为了保证推进的执行力,公司开展了全方位的信息沟通机制,实现了信息的实时传递,和通畅的上传下达。
首先,XY公司建立了周例会制度。内控领导小组每周组织内控工作例会,由公司董事或审计委员会主任主持,参与者包括内控领导小组成员、内控部、审计部、财务部、各子公司的内控负责人等。总部各职能部门及各子公司必须在会上以书面形式上报“内控工作一周报告”,汇报内控的进展情况、存在的问题、解决的方案、遇到的困难以及需要股份给予协助的事项,并由内控领导小组组长对相关的具体问题提出意见和工作指导,会后股份公司内控部负责对每家子公司进行回复,保证所有的问题都能得到及时有效的解决。所有会议记录和相关文件在会后抄送股份公司的总经理和董事会,并抄送相关子公司的管理层,保证管理高层对内控进展的时刻了解。
其次,公司建立了内控体系的月度工作总结。每月末各个子公司的内控负责人就内控开展情况进行工作总结,由内控部在股份公司管理层、子公司管理层以及相关内控负责人之间进行通报,督促各子公司的内控执行力。
第三,建立了重大项目的单独汇报机制。各子公司的内控负责人对于子公司内控建设中发现的重大问题要求及时向内控领导小组和股份内控部进行汇报,以实时处理可能的重大风险。此外,股份公司的内控部长、审计部长、财务总监的****向子公司的所有内控负责人和内控专员公开,作为信息直接传递的一个重要渠道,帮助股份公司及时了解下属子公司内控风险。
(四)完善内控评价检查机制,建立了多层次的内控检查体系。
为了保证内控制度的落地和真正有效的执行,公司从各子公司到股份公司的内控部和审计部,再到外部独立的第三方中介,建立了全方位的内控评价和检查体系。股份公司内控部对各业务循环定期开展内控检查,通过发放内控调查清单以及内控专员的现场检查,发现子公司在内控建设中的不足,并及时下发风险联系函、风险关注函和风险警示函,以帮助子公司及时进行内控整改和完善。其中联系函主要是对子公司联系函件的回复为主;关注函主要是对子公司发生的业务表示关注,一般要求对方在一定时间内给出书面说明;警示函是在关注函的基础上对于重大风险或执行不到位的情况给予警告。
股份公司审计部对各子公司每年开展两次的内控评价。为了实现评价的量化和标准化,审计部编制了内控评价底稿通过检查,对子公司形成内控建设的量化评价,并针对检查中发现的问题出具改进建议,并要求各子公司在规定的时间内予以整改,总部内控部对子公司整改措施和整改质量进行全程的监督,整改完成后,审计部及时予以复查,确保审计中发现的问题能及时整改。
(五)将内控建设纳入绩效考核,通过奖惩机制实现内控的有效性。
首先,为有效发挥各下属子公司的管理者在内控推进中的作用和积极性,自200×年开始,股份公司将审计部对各子公司的内控评价结果纳入其管理班子的绩效考核的指标中,明确了管理班子对于内部控制建设的责任和关键任务。通过这种绩效考核,激励管理层切实关注和推动内控的执行工作,从而为内控工作的推进建立良好环境。
其次,对于股份公司向各子公司委派的重要人员也直接与内控建设挂钩。公司出台了《委派内控人员绩效考核管理办法》,对各个子公司的内控负责人实施全面的内控建设考核,明确了委派的内控人员的绩效考核指标、考核方式和奖惩机制,进一步促进了委派内控人员的工作落实力度;其次,对于股份委派的财务负责人,也在其年度考核的总分中(100分制)纳入了相当比重的的内控建设的相关内容,从财务职能加强了对子公司的内控推进。
(六)充分发挥专业中介机构力量
XY公司在开始建立内控体系即聘请的专业咨询公司提供咨询服务,在整个体系建立过程中,充分发挥咨询公司专业力量,并聘请专业顾问对公司人员进行培训,提高公司人员内控理念和技能。在内控体系初步建立之后,仍继续与咨询公司保持合作,借助咨询公司在专业及独立性方面优势,共同推进公司内控持续建设工作,在内控持续建设工作中,专业咨询公司提供了大量了专业意见和培训辅导服务,帮助公司完善各项成果,使得公司的内控持续建设取得了令人瞩目的成效。
四、企业内控体系建设过程的经验和启示
在公司董事会、各层级管理人员和基础员工不懈努力下,公司内部控制体系的建设取得了一系列的良好效果,全公司各级员工的风险管理意识显著提高,对风险的理解和重视切入到各个业务和管理环;强化了各项经营活动的规范化 *** 作,实现了重大经营活动的集体化决策机制,有效防范了决策风险;提高了公司的财务管理水平,保证了从产业公司到股份公司的各层级财务数据的真实公允以及资金、资产的安全;加强了公司对新经营环境下管理风险的关注;完善了公司的风险预警机制,提高了各职能部门对业务发生之后的潜在风险的持续监控、分析和应对。公司在内控体系建设和推进过程中,主要的经验和启示有:
1、公司董事会和最高管理层的重视和亲自参与
在XY公司董事会,无论是大股东委派董事、非执行董事还是独立董事,都非常重视和关心内部控制体系的建设工作。作为公司的大股东,集团对股份公司的内控建设给予了极大的理解和支持,有力的推动了产业公司的内控建设的进程。董事会的定期会议都将内部控制进展情况作为重要议题沟通,对于内部控制推进中出现的任何问题,董事会层面时刻给予相应和支持。
在公司管理层方面,成立了内控领导小组,投入了大量的人力和财力,带领企业员工共同进行内部控制建设,为内部控制的推进提供了良好的内部环境,同时也激发员工的积极性和主动性,推动企业内部控制朝更顺利、更完善的方向发展。
2、对内部控制理念以及其与公司其他管理体系关系的认识统一
XY公司在内控推进的第一阶段大力推行高频率、大幅度的培训,帮助各级管理者以及基层员工了解内部控制的主要原理和价值,减少内控实施中的思想阻力。其次,公司统一了内控体系与其他管理体系的认识,内部控制和风险管理不是一套孤立的新的体系和制度,而是一种基于“目标-风险-控制-监督”框架的管理思路,这种管理思路可以融入到企业的所有其他的管理体系和管理制度中去,是对企业原有的管理制度的整合和提升。
3、制定了清晰明确的内部控制战略规划
公司根据自身实际情况,在订并提出了内部控制的五年两步走的规划,并将其纳入到公司的5年战略规划中。第一阶段(3年),通过自上而下的刚性要求,构建全面的统一化的集团内部控制架构,并通过理念灌输形成内控推进的文化范围;第二阶段(2年),通过自下而上的,自觉的内控体系的完善,形成各个产业公司的特色化内部控制。这一从强制到自觉,从理念普及到制度完善再到内控手册的表格化提升的建设步骤,使得公司从管理高层到基层员工的各级人员都明确内部控制不同时期的不同任务及不同发展状态,稳步推进,逐步加深,为内部控制的发展道路勾画了清晰路径。
4、因企制宜的实施方案
XY公司意识到对于集团化企业,内部控制不能是一刀切的,公司要实行内部控制,需要根据自身的业务类型、公司规模、公司所处阶段来选择适宜的内部控制方法。
首先公司在吸收了五部委内部控制基本规范和配套指引的相关精髓的基础上,结合企业经营实践,基于先主后次的重要性原则以及成本收益原则,提出了以若干业务循环作为公司内控建设的主要循环范围。
其次,考虑公司的人员能力和素质,在内控成果上也没有一步到位册,而是以制度建设为基础,通过制度规范,到流程优化再到风险提炼,逐步实现内部控制的层层递进。
第三,在内控推进上,公司充分考虑下属各产业公司的业务特点,确定适合各公司的内部控制方式和侧重点。
5、循序渐进的实施步骤
(1)自上而下的理念推进向自下而上的流程推进的递进。
在内控实施的第一阶段,公司强调自上而下的理念推进。公司通过内部培训、各种工作会议达成内控理念的统一,并向各子公司传达,之后各子公司则进行自下而上的内控流程推进,即各产业公司根据自身的内部流程,进行制度的完善,并经由公司内控部审核后实施。
(2)由总部出台框架性的制度到各个子公司制订针对性的业务流程的递进。
公司内控部结合外部力量制定框架性的制度,明确各业务循环的关键控制点和 *** 作要求,各产业公司根据自身业务情况,在满足框架制度要求的前提下制定适合企业自身的管理制度,以求更贴近产业公司的经营管理实践。
(3)普遍性、通用性的风险点向专业性、针对性的风险点的递进。
公司首先根据对产业公司实际情况的调研,绘制公司的全面风险数据库,梳理出具有普遍性的通用性主要风险点,之后,各产业公司在实际 *** 作中不断发现专业性、针对不同企业业务特色的独特风险,以实现内部控制的完善。
(4)抓重点公司,抓主要循环和风险、抓典型事件。
公司的内部控制遵循重要性原则,关注重点公司级重要循环与风险,并关注典型事件,以期通过重点带动全面,推动内部控制的发展。
6、借助外部专业中介机构推动内控建设
外部专业机构相对具有更丰富的内控专业力量和实施经验,并且具有客观性和独立性,XY公司在整个体系建立过程中,充分发挥咨询公司专业力量,但也没有完全依赖中介机构甩手不管,而是充分参与和配合,在内控建设过程中,实现知识传递和内控人才培养,取得了较好的实施效果。
--------------转自新浪微博《马军生-内部控制博客》。
1、检查用户名和密码是否正确。
2、检查网络状态是否正常,检查服务器是否可以正常访问。
3、检查用户的使用权限是否正确。
4、检查数据库是否可以正常连接,检查数据库是否正常启动。
5、检查系统安全设置是否正确,如用户登录验证码是否正确等。
集团内控是集团为控制经营风险、实现经营目标而制定的一套体系。集团内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。集团内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。
插入PPT的“内部控制体系”该页
华彩将从COSO的控制环境、风险评估、控制活动、信息与沟通、监督等五个要素出发,制定了集团个性化的风险数据库,梳理内部主要业务流程,对关键业务流程进行风险分析,找出风险点和控制缺口,补充、修订相应制度,重点关注与对外披露财务信息密切相关的流程、关键控制和重要业务单位,实现对集团风险的有效控制,以满足外部审计和对外披露的基本要求。
那么到底何为华彩咨询的集团内控呢?
第一,内控是区别于外控的。
第二,内控是一个比现有的管理体系更大、更全面、更新的管理体系。
第三,内控有五个目标。即:合法合规;资产安全;财务报告和信息真实可靠;效率与效果;达成发展战略。
第四,把现有管理体系分为五个板块来改造。1,内控基础,2,风险评估,3,控制措施;4,信息与沟通;5,持续监控与内控优化。
第五,内控是个持续的过程,不是某次改革的产物,所以内控是个永无止境的过程。
第六,关于内控体系 *** 作:华彩为集团提供内控环境的思想和方法论,制定风险管理和控制措施,指导集团进行日后的信息与沟通、持续监督与优化。
集团内控体系的建立要符合以下原则:
☆集团内控体系构建原则一:合法性原则。就是指集团必须以国家的法律法规为准绳,在国家的规章制度范围内,制定本集团切实可行的内控制度。
☆集团内控体系构建原则二:整体性原则。就是指集团的内控体系必须充分涉及到集团及各子公司的各个方面的控制,它既要符合集团的长期规划,又要注重企业的短期目标,应把握全局,注重集团的整体实施效果。
☆集团内控体系构建原则三:针对性原则。是指集团内控体系的建立要根据集团的实际情况,针对集团内部控制工作中的薄弱环节,针对集团容易出现错误的细节,制定集团切实有效的内控体系,将各个环节和细节加以有效控制,以提高集团管控水平。
☆集团内控体系构建原则四:一贯性原则。就是指集团的内控体系必须具有连续性和一致性,不能朝令夕改,随时变动,否则就无法贯彻执行。我们在制定集团财务内控制度时,要高度重视这一点,要力求制度尽可能连续,保证集团管控的严肃性。
☆集团内控体系构建原则五:适应性原则。集团内部控制体系既要适应外部环境变化,又要适应集团管控体系的变化。
☆集团内控体系构建原则六:经济性原则。是指集团内控体系的建立要考虑成本效益原则,就是说在运用过程中,从经济角度看必须是合理的。一项制度的制定是为控制集团的某些环节、关键点,并最终落实到提高集团管控水平及增加效益上,若违背了这个观点,变得得不偿失。
☆集团内控体系构建原则七:适用性原则。是指集团内控体系应便于各部门、各职工实际运用,也就是说集团内部控制的 *** 作性要强,要切实可行。这是制定内控体系的一个关键点。
☆集团内控体系构建原则八:发展性原则。制定集团内控制度要充分考虑宏观政策和企业的发展,密切洞察竞争者的动向,制定出具有发展性或未来着眼点的规章制度。
华彩管理咨询在服务过程中根据企业实际和相应准则制定内部控制制度手册,详细规定公司的组织机构岗位、内部控制方法、内部控制基础工作、授权体系,并对集团战略规划、运营各环节的内部控制、资金内部控制、全面预算、内部审计、投资内部控制、子公司(企业)内部控制等方面从内部概述、组织架构及岗位职责、授权体系与管理制度等方面对各条线的内部控制进行详细规定。
华彩咨询将通过以下六大步骤提供个性化、针对性的、具有动态优化能力的集团内控体系搭建:
第一,项目启动、风险内控体系现状调研诊断;
第二,风险识别与确认;
第三,风险分析与应对策略设计;
第四,风险管理与内控体系建设与优化;
第五,全面风险管理和内控机制设计;
第六,公司治理与内控体系的建设与推模。
报告如下:
风险评估活动组织情况:
(1)工作机制:
本次风险评估活动,是在单位内部控制工作领导小组的领导下,由财务科具体组织实施的。为完成工作,经单位领导同意,财务科从办公室、人事科、监察室抽调相关工作人员组成内部控制风险评估小组,专门从事此次风险评估活动。
(2)风险评估范围:
本次风险评估所涉及的业务范围分为:单位层面风险和业务活动层面风险。单位层面风险主要包括以下三个方面:
组织架构风险:单位内部机构设置不合理、部门职责不清晰、内部控制管理机制不健全等情况导致的风险;
经济决策风险:单位经济活动决策机制不科学,决策程序不合理或未执行导致的风险;
人力资源风险:单位岗位职责不明确、关键岗位胜任能力不足等。
风险评估(Risk Assessment) 是指,在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
内部控制缺陷指数是从迪博数据库获得的。内部控制库是由迪博大数据研究中心独立研究创设,国内首个专业、权威的内部控制信息数据库。基于企业内部控制五要素视角,即内部环境、风险评估、控制活动、信息与沟通、内部监督等,设计构建了内部控制评价信息库、内部控制审计信息库、内部控制评价缺陷库、内部控制审计缺陷库、内部控制缺陷认定标准库、内部控制信息披露指数库、内部控制指数库、内部控制缺陷数量库、纳入强制实施范围的上市公司9个子数据库,客观真实反映了中国上市公司内部控制水平。
企业风险管控体系建设,要注意事项有:
缺乏完善的内部控制规范体系。在内部控制规范体系设计上存在各自为政、就事论事的倾向不能从较高层次审视内部控制问题,许多规范内容侧重原则性,可 *** 作性相对较差。
内部控制目标定位不明确。大部分国有企业内部控制目标定位于保证业务活动的有效运行、保证会计资料的真实、合法与资产的安全和完整等方面处于内部控制目标的最低层次,在经营效率效果、增加相关者利益价值方面关注很少。
内部控制范围过于狭窄。内部控制五大要素是控制环境、风险评估控制活动、信息与沟通、监督。与之相比我国内部控制内容集中于会计领域内容范围过于狭容。
内部控制制度可 *** 作性不强,我国内部会计规范要求企业的内部会计控制应当涵盖涉及会计工作的各项内容及相关岗位应当针对业务处理过程中的关键控制点将内部控制落实到决策、执行、监督及反馈环节。
信息技术通常在下列方面提高被审计单位内部控制的效率和效果:(1)在处理大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算;(2)提高信息的及时性、可获得性及准确性;(3)有助于对信息的深入分析;(4)加强对被审计单位政策和程序执行情况的监督;(5)降低控制被规避的风险;(6)通过对 *** 作系统、应用程序系统和数据库系统实施安全控制,提高不相容职务分离的有效性。
但是,信息技术也可能对内部控制产生特定风险。本准则第五十九条指出,注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险:(1)系统或程序未能正确处理数据,或处理了不正确的数据,或两种情况同时并存;(2)在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易;(3)信息技术人员可能获得超越其履行职责以外的数据访问权限,破坏了系统应有的职责分工;(4)未经授权改变主文档的数据;(5)未经授权改变系统或程序;(6)未能对系统或程序作出必要的修改;(7)不恰当的人为干预;(8)数据丢失的风险或不能访问所需要的数据。
以上就是关于企业内部控制的要素即是内部控制建设的关键要点对吗全部的内容,包括:企业内部控制的要素即是内部控制建设的关键要点对吗、如何将《内控手册》要求融入到企业的管理流程当中、数据内控登不进怎么回事儿等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)