建立健全内控体系的六步法
- 格式:docx
- 大小:17.25 KB
- 文档页数:3
内部控制的实施步骤有什么简介内部控制是企业管理的重要组成部分,它对于确保企业的正常运作、风险管理和资源利用具有重要意义。
本文将介绍内部控制的实施步骤,帮助读者了解如何建立和改进内部控制体系。
步骤一:风险评估首先,企业需要进行全面的风险评估。
这包括对企业内部和外部环境的分析,识别潜在的风险和威胁。
例如,企业可能面临的风险包括财务风险、操作风险和监管风险等。
通过风险评估,企业能够确定关键的风险领域,为后续的内部控制实施提供指导。
步骤二:设定控制目标在风险评估的基础上,企业需要设定明确的控制目标。
控制目标是企业为管理风险和实现业务目标而设立的目标。
例如,企业可能希望通过内部控制提高财务报告的准确性,防止欺诈行为的发生等。
设定控制目标能够明确内部控制的方向,使其成为企业管理的核心组成部分。
步骤三:制定政策和程序内部控制的实施需要制定相应的政策和程序。
政策和程序是内部控制的基本规范和行动指南。
例如,企业可以制定财务报告程序、资产管理程序和员工行为准则等。
制定政策和程序能够帮助企业明确内部控制的要求,确保其正确实施和执行。
步骤四:实施控制措施在制定了政策和程序之后,企业需要实施相应的控制措施。
控制措施可以分为预防性控制和检测性控制。
预防性控制是事前采取的控制措施,旨在防止风险的发生。
例如,企业可以制定采购审批制度、内部审计程序等。
检测性控制是事后检测和纠正的控制措施,旨在发现和纠正已发生的风险。
例如,企业可以进行财务复核、风险监控等。
通过实施控制措施,企业能够确保内部控制的有效性和效率。
步骤五:监督和评估内部控制的实施需要进行监督和评估。
监督是指不断监控和评价内部控制的执行情况。
例如,企业可以设立专门的内部控制部门或聘请外部审计机构进行监督。
评估是指定期对内部控制的效果和效率进行评估。
例如,企业可以定期进行内部控制自评和外部审计。
通过监督和评估,企业能够发现内部控制的不足和改进的空间,提高内部控制的水平和质量。
内部控制六大业务流程及管控内部控制是指组织为了实现业务目标,通过建立有效的管理控制措施,确保业务活动的高效、规范、安全和可靠进行的一种管理方法。
在企业管理中,内部控制是保障企业的正常运营、风险管理和财务报告准确可靠性的基础,对企业的发展具有重要作用。
下面我们将介绍内部控制的六大业务流程及其管控。
采购流程是企业为了完成生产经营活动,获取产品或服务所需要的物资、设备等,以满足企业经营活动的需求。
采购的合理性和准确性对企业来说至关重要。
在采购流程中,企业需要建立相应的采购审批制度,明确采购需求的发起、申请、审批和执行流程。
同时,要加强供应商的管理,建立供应商资质评价与抽查机制,确保供应商的信誉、质量和价格的合理性,减少经营风险。
生产流程是指企业将原材料加工转化为最终产品的一系列过程,是企业实现产品的规模化生产和质量控制的基础。
在生产流程中,企业需要确保生产计划的准确性、生产进度的可控性和生产质量的稳定性。
为此,企业应建立完善的生产计划制度,确保生产计划的准确性和可行性。
同时,加强生产过程的控制,确保生产设备的正常运转和工艺参数的合理设定。
此外,还需要加强产品质量的检验和测试,确保产品质量符合标准和要求。
销售流程是指企业将产品或服务提供给客户的一系列过程,是企业实现销售目标和市场营销的关键环节。
在销售流程中,企业需要确保销售活动的有效性、客户需求的满足和销售收入的实现。
为此,企业应建立健全的销售制度,明确销售目标和销售策略,确保销售人员的合规行为。
同时,要加强对客户的管理,建立客户资料和销售合同的档案,保证销售过程的规范和合规性。
此外,还需要加强对销售收入的管理,确保收入的准确计提和核算。
财务流程是指企业进行财务管理和财务决策的一系列过程,是企业在行使核算、预测、决策、监控和分析等职能的基础。
在财务流程中,企业需要确保财务信息的可靠性、财务报告的准确性和财务合规的实现。
为此,企业应建立健全的财务制度和会计制度,确保财务信息的真实、准确和及时。
内部控制体系建设的关键步骤是什么在当今复杂多变的商业环境中,企业要实现可持续发展和稳健运营,建立健全有效的内部控制体系至关重要。
内部控制体系就如同企业的“免疫系统”,能够帮助企业防范风险、规范管理、提高运营效率和保证财务报告的真实性。
那么,内部控制体系建设的关键步骤究竟有哪些呢?第一步:明确内部控制的目标和原则在着手建设内部控制体系之前,企业首先需要明确自身的控制目标。
这包括确保企业的合规经营、保护资产安全、提高财务报告的准确性和可靠性、提升经营效率和效果,以及促进企业战略目标的实现等。
同时,还应确立内部控制的基本原则,如全面性、重要性、制衡性、适应性和成本效益原则等。
第二步:进行风险评估风险评估是内部控制体系建设的重要基础。
企业需要对可能面临的内外部风险进行全面、系统的识别和分析。
内部风险可能包括人员素质、管理流程、信息技术等方面的问题;外部风险则可能来自市场变化、政策法规调整、竞争对手等。
在识别风险后,需要对其发生的可能性和影响程度进行评估。
通过定性和定量相结合的方法,将风险划分为不同的等级,为后续的风险应对策略制定提供依据。
对于高风险领域,应给予重点关注和优先控制。
第三步:制定内部控制策略根据风险评估的结果,企业应制定相应的内部控制策略。
这包括建立控制措施、优化业务流程、明确职责分工等。
控制措施可以包括审批授权、会计核算、预算管理、内部审计等多种手段。
例如,对于重大资金支出,需要经过严格的审批流程;在会计核算中,要确保数据的准确性和完整性。
优化业务流程旨在消除繁琐、低效的环节,提高工作效率和控制效果。
通过对业务流程的重新梳理和设计,使各个环节之间相互衔接、相互制约,形成一个有机的整体。
明确职责分工是为了避免职责不清导致的管理混乱和风险失控。
每个岗位都应有清晰的职责和权限,做到各司其职、相互监督。
第四步:建立内部控制制度在确定了内部控制策略后,需要将其转化为具体的内部控制制度。
制度应涵盖企业的各个方面,包括财务管理、人力资源管理、采购与销售、生产运营等。
如何建立完备、规范、有效的内部控制评价体系?内部控制评价是一种重要的控制手段,能够有效的帮助企业评估各项经营活动的风险和控制状态,确保企业在经营过程中健康、稳健、有序。
建立完备、规范、有效的内部控制评价体系是一个长久的过程,需要企业全面考虑,认真制定和实施内部控制评价体系,下面将详细介绍如何建立完备、规范、有效的内部控制评价体系。
一、明确内部控制评价的基本概念和制度要求内部控制评价是指企业对其内部控制有效性的评价、监督和改进,以确保其目标的实现,包括利润目标、财务报表信息的准确性、合规运营等。
建立和实施内部控制评价体系需要认真分析控制要素,确定评价的范围和目标,制定控制矩阵和改进计划,详细规定模拟、监督和反馈程序等,得到关注和支持,确保评价的有效运作。
二、建立内部控制评价的基本框架内部控制评价的基本框架分为三个层次,分别是评价组织结构、评价流程和评价标准。
评价组织结构包括评价委员会、评价部门、评价人员和计划管理;评价流程包括评价计划、评价程序、评价要素、评价报告和问题反馈等环节;评价标准包括评价关键点、评价标准、评价范围和评价方法等。
三、确定评价内容和项目评价内容和项目是内部控制评价的核心,主要包括控制目标、控制程序、风险评估、控制点、体制和绩效等方面。
要确定评价内容和项目需要进行全面分析、制定评价标准,设计评价流程,确定评价计划和监控程序。
建议划分为高、中、低风险控制点,并根据实际情况分级设置,依据不同风险分配评价资源,按照评价的重要性、紧迫性、可操作性等因素定期进行评价。
四、设立评价委员会评价委员会是内部控制评价的重要组成部分,其核心任务是指导和协调内部控制评价工作的实施。
评价委员会应以企业高层管理人员为主要成员,此外应有内部审计、财务、法务、风险管理专家等专业人员参加。
委员会负责制定评价计划和评价标准,监督和管理评价流程实施情况。
五、建立和完善评价流程评价流程是指评价体系工作的各个环节,包括所有的评价环节,如评价计划、评价程序、评价要素、评价报告和问题反馈、成果应用等各环节。
内部控制体系设计“六步曲”作者:贺文婷来源:《行政事业资产与财务》2016年第14期摘要:内部控制作为企业管理的一种手段,对于企业规范化管理有着深远的影响。
本文尝试按照计划、执行、检查、改进的工作程序,现状调研、确定范围、风险评估、绘制流程、编写手册、修订制度的方法流程,构建“PDCA循环”+“六步曲”的内部控制体系建设路径。
关键词:内部控制;过程;流程;风险企业内控委员会对关于构建内部控制目标体系的表述是:“建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体的内部控制制度体系,以及以监管部门为主导、各单位具体实施为基础、会计师事务所等中介机构咨询服务为支撑、政府监管和社会评价相结合的内部控制实施体系,推动公司、企业和其他非营利组织完善治理结构和内部约束机制,不断提高经营管理水平和可持续发展能力”。
构建内部控制体系的具体过程和步骤是以内部控制目标为导向,以内部控制的组织规划为前提和保证,以相关法律、法规和制度为基本依据和准绳,以业务流程控制为主线,以确定业务循环的关键控制点、制定业务的基本流程和相关制度为主要内容,随着业务流程调整,不断更新,持续改进的过程。
根据上述总体思路,本文将方法流程分为六步骤:现状调研、确定范围、风险评估、绘制流程、编写手册、修订制度。
一、现状调研现实中,由于行业差异、发展程度、企业规模等因素,每个企业所处的内外环境各不相同,企业的组织架构、业务内容和管理要求等也各有差异。
因此,在制定企业内控制度时,分别从单位层面、业务层面、管理制度三个方面分析企业内部控制现状,排查风险点,发现可能存在的风险及不足,提出内部控制措施,形成调研报告,为设计出既符合统一标准又体现企业特点的、具有较强操作性的内控制度奠定基础。
(1)单位层面内部控制环境调研。
企业内部控制环境,包括组织架构、人力资源、企业文化等。
内部控制环境是内部控制体系的基础,是有效实施内部控制的保障,直接影响着内部控制的贯彻执行、经营目标及整体战略目标的实现。
提升内部控制水平的六大策略如何提高内部控制的水平和效果一、制度建设1.建立健全内部控制制度。
包括制定和完善各项规章制度、流程和操作规范等,确保内部控制贯穿公司运营的全过程。
2.保持制度的科学性和可操作性。
制度应当简明扼要、易于理解,具有可操作性,以便于员工更好地理解和遵守。
3.持续优化制度体系。
根据外部环境变化和公司发展需求,对现有制度进行定期评估和修订,以保持制度的时效性和有效性。
二、风险评估1.建立风险评估机制。
明确风险评估的范围、内容、方法和程序,定期对公司的业务流程进行全面风险评估。
2.设立专门的风险管理机构。
负责分析、识别、评估和应对公司面临的各种风险,提供专业的风险应对策略。
3.建立风险预警机制。
通过对风险数据的监测和分析,及时发现并预测可能出现的风险,采取相应的措施进行防范和应对。
三、审计监督1.建立内部审计机构。
配备专业的审计人员,对公司各项业务活动进行定期审计和检查。
2.强化审计职能。
内部审计机构应独立、客观地反映公司各领域的风险状况,提出切实可行的审计意见。
3.对审计结果进行整改。
针对审计发现的问题,及时采取整改措施,并对责任人进行问责,确保审计效果的实现。
四、人员培训1.加强内部控制意识教育。
通过定期培训、宣传等形式,提高全体员工对内部控制的认识和重视程度。
2.开展业务技能培训。
针对公司各业务领域的特点,定期组织员工参加相关业务技能培训,提高员工的业务水平和操作规范意识。
3.加强职业道德教育。
强化员工职业道德和诚信意识的培养,树立良好的职业形象和行为规范。
五、信息沟通1.建立有效的信息沟通机制。
明确信息收集、传递、反馈等环节的责任部门和职责范围,确保信息的及时、准确传递。
2.加强内部信息沟通。
通过定期召开会议、发布内部刊物等方式,加强各部门之间的信息交流与沟通,提高整体协作效率。
3.与外部进行充分沟通。
及时关注行业动态和市场变化等信息,与供应商、客户等外部利益相关者保持良好沟通,以便及时调整经营策略和风险应对措施。
建立健全内控体系实施方案一、背景分析近年来,随着市场竞争的加剧,企业风险管理的需求日益凸显。
建立健全内控体系,有利于提高企业风险管理水平,保障企业资产安全,提升经营效益。
然而,目前我国许多企业在内控体系建设方面仍存在诸多问题,如内控意识薄弱、内控体系不完善、内控措施执行不到位等。
因此,有必要制定一套切实可行的内控体系实施方案。
二、目标定位1.提高企业内控意识,形成全员参与的内控氛围。
2.建立健全内控体系,确保企业各项业务活动合规、高效运行。
3.降低企业风险,保障企业资产安全。
4.提升企业核心竞争力,促进企业可持续发展。
三、实施方案1.组织架构(1)成立内控体系建设领导小组,由企业高层领导担任组长,相关部门负责人为成员,负责内控体系建设的总体规划和协调推进。
(2)设立内控管理部,作为内控体系建设的日常工作部门,负责内控体系的具体实施和监督。
2.制度建设(1)制定内控手册,明确内控体系的基本原则、目标和要求,为企业内控工作提供指导。
(2)建立健全内控制度,包括风险评估、控制措施、监督与检查等方面的具体规定。
(3)定期对内控制度进行评估和修订,确保其与企业实际情况相适应。
3.风险评估(1)开展全面风险评估,识别企业面临的各种风险,包括财务风险、市场风险、合规风险等。
(2)对识别出的风险进行分类和排序,确定风险等级,为企业制定针对性的内控措施提供依据。
4.控制措施(1)根据风险评估结果,制定相应的控制措施,包括预防性控制和纠正性控制。
(2)确保控制措施的有效性和可操作性,提高企业风险防范能力。
5.监督与检查(1)建立内控监督机制,对内控体系实施情况进行定期监督和检查。
(2)对内控体系执行不力的部门和个人进行问责,确保内控体系的有效运行。
6.培训与宣传(1)开展内控培训,提高全体员工对内控的认识和重视程度。
(2)加强内控宣传,形成全员参与的内控氛围。
7.持续改进(2)建立内控改进机制,确保内控体系与企业实际情况相适应。
内部控制六大业务流程及管控算执行不到位。
1.建立收入管理制度,规范收入的管理和使用;2.建立预算执行分析制度,及时分析预算执行情况;3.加强预算执行部门与财务部门、业务部门之间的沟通协调。
三)预算绩效管理流程关键环节风险点主要防控措施绩效指标不科学、不合理。
绩效评价不客观、不公正。
绩效结果不得到应用。
1.制定科学合理的绩效指标,确保绩效评价的客观公正性;2.建立绩效评价程序,确保评价过程公开透明;3.加强绩效结果应用,将绩效结果纳入预算编制和执行的重要依据。
内部控制六大业务流程之一是预算业务控制。
该流程包括预算编制、预算执行、预算决算管理和预算绩效管理等步骤。
在预算编制阶段,需要了解业务的管理结构和主要环节,梳理各业务环节的工作流程并查找风险点,设计相应的控制制度。
预算执行阶段需要审批预算执行申请、管理预算执行和进行预算执行分析。
预算绩效管理阶段需要确定绩效管理对象、制定绩效目标、监控执行情况、开展绩效自评或评价、撰写绩效报告或评价报告,并将评价结果应用于预算编制和执行的重要依据。
预算编制及批复的工作流程图包括部署预算编制、授权部署预算编制、提出部门预算计划、审查并提出本级预算收支计划、确定重点项目及限额、下达预算控制数、修改部门预算计划、编制本级预算草案、审定报送本级预算和批准本级预算等步骤。
在预算编制及批复阶段,可能存在提出的新增需求不真实、预算编制不科学、预算编制粗糙等风险点。
为防控这些风险,需要建立财政补助人员和资产基础信息数据库,加强需求审核;建立和完善项目评审制,对于建设工程、大型修缮、信息化项目等专业性较强的重大事项,需先进行项目评审;召开预算编制会议,全面把握预算编制政策,细化预算编制;建立预算编制、预算执行、资产管理、人事管理、预算绩效管理的沟通协调机制;加强预算合理性和合规性审核。
在预算执行阶段,可能存在业务部门申请支出事项没有预算指标、无预算指标或超预算指标的事项没有履行预算追加调整程序、预算执行不到位等风险点。
如何构建内部控制体系构建内部控制体系是企业管理的重要内容,对于提高企业的运营效率和风险管理能力至关重要。
下面将以以下几个方面介绍如何构建内部控制体系。
首先,明确内部控制的目标。
内部控制的目标是确保企业的资产安全、财务报告的准确性、业务活动的合法合规、以及有效的风险管理。
明确了内部控制的目标后,企业就可以从这个角度出发,制定合适的内部控制政策和流程。
其次,识别企业的风险。
企业在制定内部控制体系时,需要对可能面临的风险进行全面的识别和评估。
这包括财务风险、运营风险、合规风险等。
通过对风险的识别,企业可以针对性地制定相应的内部控制措施和政策,以降低风险带来的影响。
第三,制定内部控制政策和流程。
基于内部控制的目标和风险识别,企业需要制定相应的内部控制政策和流程,明确各个业务环节的责任和权限。
例如,制定财务管理政策,规定财务审批流程和控制措施,确保财务活动的合法合规和准确性;制定采购管理政策,规定采购流程和控制措施,预防采购风险和资源浪费等。
第四,加强内部控制监督和审计。
企业需要建立内部控制监督机制和内部审计机构,监督和审计内部控制的有效性和合规性。
监督和审计的方式可以包括内部抽查、外部审计、关键环节的独立审计等,确保内部控制的有效性和及时发现问题。
第五,加强内部控制培训和沟通。
企业需要加强对员工的内部控制培训,提高员工对内部控制的理解和接受程度。
同时,企业还需加强内部控制的沟通,建立有效的信息传递和反馈机制,及时了解和解决内部控制问题,促进内部控制的有效实施。
最后,建立持续改进机制。
内部控制体系需要不断进行改进和完善,随着企业发展和环境变化,可能会涌现出新的风险和问题。
因此,企业需要建立持续改进机制,通过定期评估和监控内部控制的有效性,及时发现并解决问题,以保持内部控制的适应能力和有效性。
总之,构建内部控制体系是企业管理的关键环节,可以提高企业的运营效率和风险管理能力。
企业可以从明确目标、识别风险、制定政策和流程、加强监督和审计、培训和沟通以及建立持续改进机制等方面入手,逐步构建健全的内部控制体系。
如何建立完善的内部控制制度1.明确内部控制的目标和意义内部控制是指企业在日常经营管理过程中,通过制定规章制度、建立组织机构、明确职责权限、加强内部监督和风险管理等手段,保障企业财产安全、规范经营行为、提高管理效率的一种管理方式。
建立完善的内部控制制度,可以帮助企业规范管理、提高效率、降低风险,具有以下几个方面的意义:(1)保障企业财产安全,防止财产损失和浪费;(2)规范企业经营行为,防范内部舞弊和不当行为;(3)提高企业管理效率,优化资源配置;(4)增强企业竞争力,提高企业信誉度。
2.建立内部控制制度的基本原则建立内部控制制度需要遵循以下几个基本原则:(1)全面性原则:内部控制制度应覆盖企业所有业务活动和管理环节;(2)风险导向原则:内部控制制度应以风险为导向,对可能出现的风险进行预防和控制;(3)科学性原则:内部控制制度应基于科学的管理理论和方法,确保制度的有效性和可行性;(4)合理性原则:内部控制制度应根据企业实际情况和经营特点,合理设置控制措施和流程;(5)适度原则:内部控制制度应适度灵活,避免制度过于僵化和繁琐。
3.建立内部控制制度的步骤和方法建立内部控制制度需要遵循以下几个步骤:(1)明确内部控制目标和意义,制定内部控制制度的基本原则和框架;(2)对企业的业务流程和管理环节进行全面调查和分析,确定可能存在的风险和问题;(3)制定内部控制制度的具体内容,包括制度的设置、流程、职责和权限等;(4)组织内部控制制度的实施和执行,确保制度的有效性和可行性;(5)定期评估内部控制制度的效果和实施情况,对制度进行优化和完善。
建立内部控制制度的方法包括:(1)制定规章制度,明确职责和权限;(2)建立组织机构,明确管理层级和职责分工;(3)加强内部监督和审计,发现和纠正问题;(4)加强风险管理和控制,预防和减少风险;(5)提高员工素质和管理水平,增强内部控制意识。
4.建立内部控制制度的注意事项建立内部控制制度需要注意以下几个事项:(1)制度的合理性和可行性,要根据企业实际情况和经营特点进行设计和制定;(2)制度的适度灵活,避免制度过于僵化和繁琐;(3)制度的实施和执行,需要有明确的责任人和执行人,确保制度的有效性和可行性;(4)制度的评估和优化,需要定期对制度进行评估和优化,确保制度的持续有效性;(5)加强员工培训和管理,提高员工的内部控制意识和素质。
建立健全内控体系的六步法
第一步:内控组织搭建与人员培训
首先,组织保障是建立健全内控的首要条件,根据《基本规范》的定义:内控是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,只有有了全员参与,内控方能行之有效,明确了各机构在内控决策、执行以及监督中的工作职责。
构建内控体系最大的挑战是如何与生产经营相结合,将控制无缝嵌入企业的生产、销售、管理等各环节的工作中,所以除了成立专/兼职部门负责组织内控的建立与持续改进外,搭建内控组织很重要的一环就是在各部门指定内控人员来负责本部门的内控建立与落实。
其次,内控建设要得到企业各层级员工的大力支持与配合,宣贯与培训是必不可少的,通过宣贯让各利益方了解内控的意义,通过培训让内控人员理解和掌握内控的理念和方法论,在企业内营造管控的氛围,为内控建设奠定基础。
第二步:确定内控建设的目标与范围
内控涵盖企业的方方面面,是长期持续改进的过程,并非是一蹴而就的,笔者建议,在初期主要围绕财务报告真实准确的目标来构建内控体系,再逐步进化为全面风险内控体系。
内控建设围绕公司层面、业务层面、信息系统层面三个层面展开,企业根据自身的战略规划、经营目标、基本业务类型、组织架构、职责分工来确定内控体系的建设范围。
公司层面建设以解读战略目标为起点,如某公司的战略目标之一是“为把公司建设成长健康、业绩优良、回报理想的上市公司而努力奋斗”,相应的经营目标是“公司组建为上市公司”,那么“公司治理”与“合规管理”就是公司层面重要事项。
业务层面建设范围采用定量与定性相结合的方法来判断。
定量方法从财务报告出发,确定重要性标准,如税前利润的5%或资产总额的1%(企业可以根据自身的情况调整),对超出此标准的会计科目再辅以定性判断。
如:是否存在较大的错误和舞弊的可能性,是否具有较强经营风险,管理层是否关注,往年审计是否有重大发现等。
将所确定的重要会计科目映射到相应的业务流程,如“收入”映射到“销售”,“成本”映射到“生产”与“采购”,“工程物资”与“在建工程”映射到“工程项目”,再对这些重要的流程进行梳理,确定内控建设的子流程/
事项。
信息系统层面建设包括系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制。
第三步:风险评估
确定了重要的流程/事项后,要充分考虑对其目标的实现可能造成不利影响的内外部因素,真正认识到这些风险,再根据风险评估的结果设计经营管理的关键控制活动,从而将风险降低到可控且可接受的范围内。
可以说风险评估师内控建设的依据。
具体实施可由内控专/兼职部门牵头,组织相关专业人员,采用“调查问卷”、“头脑风暴”等方法来识别风险,并从风险发生的“可能性”和“影响程度”两个维度来评价风险,对风险进行排序,企业对不同水平的风险采取不同的态度和措施,从而将主要精力放在可能产生重大风险的环节上,而不是关注企业管理中的所有细小环节。
第四步:设计关键控制活动
根据风险评估的结果设计关键控制活动是内控建设的核心环节,建议推进方式如下:
(1)针对第二步中确定的重要流程/事项,分析企业内控现状,确定现有控制点,描述现有的控制措施与方法,并相应归集有关的规章制度;
(2)根据业务流程/事项中存在的风险,参照五部委的监管要求与最佳实践,分析内控设计中的差异。
确认现有的控制环节与方法是否可以规避存在的各种风险,找出现有控制措施中的缺陷与遗漏,设计整改方案;
(3)落实到相关部门/责任岗位,固化到内部控制手册中;
(4)补充完善相关制度。
如某企业合同评审与审批流程中,现有的控制措施是企业财务部门和相关专业部门对其经济、技术条款进行评审,报领导审批执行,对法律风险的控制缺失,针对这种状况,建议在合同评审时由总经办合同管理岗对法律条款进行审核,出具专业意见后报领导审批。
以流程和风险控制矩阵形式固化在内控手册中,并相应修订《合同评审程序》及相关实施证据《合同评审表》。
需要注意的是,控制活动设计不仅包括业务层面的设计,也包括内部环境、信息与沟通、内部监督等公司层面以及信息系统总体控制的设计。
第五步:内控有效性测试
在建立内控体系后,需要对内部控制运行的有效性进行测试:
(1)企业在测试内控有效性时,可以采取多种方法:询问、观察、检查、重复执行或者是以上几种方法的组合。
根据风险的大小和某一内控程序消除风险的重要性,应该采取不同的测试方法,这样可以节约测试的成本以达到最佳效果。
(2)选择进行测试的时间。
为了确定截至财务年度日期间的内控运行的有效性,测试程序应该在充分早的时间进行。
并且随着新的变化,在接近年底时,还要进行更多更新的测试。
(3)确定测试的程度。
在确定内控测试的程度时,应该考虑内控对实现企业目标的重要性,需要考虑的因素包括以下几个方面:①企业计划在何种程度上依赖某一控制的有效性;
②控制(例如,内部环境或信息系统总体控制)在何种程度上支持其他控制的有效性。
通常,管理层应该更广泛地执行程序以评估这类控制的运行有效性;③控制的执行是人工操作的还是自动操作的。
如果存在人工的监督或参与,管理层的评估程序应该更加广泛;④人工控制执行的频率;⑤控制的复杂程度;⑥以下方面是否存在变化:可能负面影响控制设计或运行有效性的交易量或性质;控制设计;执行控制或业绩监控的关键人员。
企业在确定每个控制需要进行测试的项目数量时,需要运用判断。
总体上讲,要求至少应该执行和外部审计师通常进行的测试量一致的测试,以支持其控制有效性的结论。
(4)针对测试结果进行补救。
企业的内控经过测试之后,也许会是有效的,但有可能在某些方面还存在缺陷或没有考虑到的地方。
那么我们需要针对测试后的结果进行补救,对不完善的地方再进行改进。
这将是一个反复重复的过程,直到测试结果令人满意为止,可以为管理层对保证内控有效性发表声明作基础。
第六步:内控体系的维护与更新
内控体系建设是一个动态过程,并不是一劳永逸的。
在测试整改阶段完成之后,只能说针对当前的情况,所建立的内控体系是有效的。
但外部环境和企业自身的情况是不断变化的,业务流程与风险也是在不断更新的,这就需要随时关注内部控制体系建设,维护更新,以适应具体情况的变化。
管理层每年都需要出具自我评价报告,来证明企业内部控制运行的有效性。
所以,为保证建立的内控体系长期有效运行,需要根据外部环境和企业内部管理状况的不断变化,持续建设企业的内部控制体系,不断改进完善。
综上所述,企业通过以上六步的动态闭环,有助于把内控的理念和要求融入日常的工作,从而使各岗位高效运行,各部门密切配合,充分发挥整体的作用,以顺利实现企业的目标。