内控体系搭建

《内控体系搭建》由会员分享，可在线阅读，更多相关《内控体系搭建（45页珍藏版）》请在装配图网上搜索。

1、1 LOGOLOGO 内控体系搭建 内控内审培训系列 2 LOGOLOGO * 目录 CONTENT 01 内控知识入门 02 流程梳理与内控评价 03 内控体系搭建 04 VISIO软件使用 3 LOGOLOGO Contents Page 目录页 过渡页 TRANSITION PAGE * 内控的由来 内控的作用 01 内控知识入门 内控知识入门 4 LOGOLOGO 1.1 内控的由来 第一章 知识入门 让美国颜面扫地，引发了对整个会计系统的质疑。2002年发 布SOX法案。该法案的第404条款不仅要求公司管理层定期评估公 司财务内控的有效性，并且要求外部审计师对管理层的评估结果和 公司

2、财务内控的有效性出具审计意见。 安然事件 美国内控 5 LOGOLOGO 1.1 内控的由来 第一章 知识入门 我国内控的起源 我国的内控起源很早，就是岗位牵制，集中在 财务领域，真正形成系统的规范，则是在08年金融 危机发生之后。 五部委根据我国实际情况结合国外的实践，推 出了我国的内控体系。 08年6月，发布内部控制基本规范； 10年4月，发布企业内部控制配套指引。 6 LOGOLOGO 1.2 内控的作用 第一章 知识入门 很多在媒体上被曝光的企业，比如绿大财务作假、 银广夏事件、三鹿奶粉事件，人们的第一反应就是这 个企业的内控失效。 内控失效的现象比如：个人独断专行、过于依赖 人工控制

3、忽视系统控制、虚假的财务报告等等 在企业管理和经营活动过程中，时时刻刻伴随着 企业的就是潜在风险。企业的内部控制不是为了控制 而控制，也不是为了美国证监会或者中国证监会而控 制，而是为了帮助企业防范不同阶段的风险才进行控 制。 “为什么企业一出事就是内控失效” 7 LOGOLOGO 1.2 内控的作用 第一章 知识入门 风险的基本概念 风险是一种威胁，这一威胁将对公司完成经营目标和执行经营战略产生 不利影响。简单的说，就是可能影响控制目标实现的因素。 1、战略风险 2、财务风险 3、市场风险 4、运营风险 5、法律风险 8 LOGOLOGO 1.2 内控的作用 第一章 知识入门 内控中的风险举

4、例： 风险是为了帮助使用者更清晰、直观地了解可能存在的风险，其根本还是这些风险点 可能会导致控制目标无法有效实现。 制度不完整，可能导致XX实际操作缺乏制度性指引 缺乏适当的审批，可能产生不合理的XX行为，造成公司利益损失 缺乏适当的权责分离，存在舞弊风险。 未与供应商签订包含法律责任条款的协议 采购发票、入库单、验收单三单不匹配。 9 LOGOLOGO 1.2 内控的作用 第一章 知识入门 对于企业来说，内控的作用可归纳为以下几点： 1）提高会计信息的准确性； 2）保证生产和经营活动顺利进行； 3）保护企业资产的安全完整； 4）保证企业制定的方针合法合规： 10 LOGOLOGO 1.3 内

5、控知识入门 第一章 知识入门 定义： 董事会（或者由企业章程规定的经理、厂长办公会等类似 的决策、治理机构）、管理层和全体员工共同实施的、旨在合 理保证实现企业基本目标的一系列控制活动。 内控体系包含内部环境、风险评估、控制活动、信息传递 与沟通、监督五要素 对员工个人而言，内部控制就是其日常工 作内容。当然根据成本效益原则，只有关键业 务流程才是内部控制所关注的。 11 LOGOLOGO 1.3 内控知识入门 第一章 知识入门 我内部控制应用指引共分18个主题，基本涵盖企业资金、实物流、人物流与信息流。 内部环境类指引：公司战略、组织架构、企业文化、社会责任、 人力资源； 控制活动类指引：资

6、金活动、采购活动、资产管理、销售活动、 研究与开发、工程项目、担保业务、业务外包、财务报告； 控制手段类指引：全面预算、合同管理、内部信息传递、信息 系统。 流程会涉及经办人、审核人、审批人，这样就会牵涉到公司各 管理层级，决策层、管理层以及事务操作层均会涉及。 12 LOGOLOGO 1.3 内控知识入门 第一章 知识入门 内部控制的控制手段很多： 1、不相容职责相分离： 2、授权审批控制 3、预算控制 4、绩效考核控制 5、会计系统控制 6、财产保护控制 。 13 LOGOLOGO 1.3 内控知识入门 第一章 知识入门 五部委出的内控指引，适用的对象仅仅是一 般的生产制造型企业，不同的行

7、业、不同类型的 公司还是需要根据企业实际情况做分析以及调整， 增加或者删除相关的模块。 内控体系完整不完整，就看内控体系是否体 现了公司整个价值链。 小伙子干内审一年没多少钱，买不起房子、车子，女朋 友也跑了。小伙子就从走街串巷被城管打劫的地摊、发展为 小店乃至连锁企业。 个体户、夫妻老婆店、连锁企业对于内控的需求都是不 同。 在企业的不同的发展阶段，内控的需求是不一样的，内 控有成本。只有符合企业实际情况才是好的内控。 【案例：包子铺的故事】 服务性行业可以删除研究开发模块；生产制 造型企业可以增加生产模块，将外包服务划入生 产模块的委外加工管理；部分大型集团比如采购 钢铁或者原煤的，可以增

8、加套期保值模块。 14 LOGOLOGO 1.3 内控知识入门 第一章 知识入门 制度：什么是公司允许的，什么是禁止的，就是个原则性的文件，适 用于部门负责人，是从职能管理需求进行制定的。 流程：作业是怎么进行的，每个人该干什么内容，适用于作业人。 一个完整的制度：包含管理层管理的需求，还适用于作业人员作业。 流程化的制度就是内控手册的一部分。 制度、流程、内控手册的联系与区别 15 LOGOLOGO 1.3 内控知识入门 第一章 知识入门 内控体系与ISO质量体系的差异可归纳为以下几点： 1）ISO质量体系缺少财务模块，内控体系缺少生产模块； 2）两个体系都是关注价值的产生，内部控制关注的是

9、对流程过 程中的风险控制，ISO关注的是质量控制； 企业的作业流程只有一套，如果是多套体系并存，且存在打架 的情况，企业的管理就会乱套。 只要设计一套一体化管理体系，将ISO以及内控涉及到的内容 进行合并管理，该体现流程就体现流程，之后按照风险或者ISO的要 求输出即可。 对于已经有ISO体系的公司，如何将ISO体系与内部控制体系进行整合，而不是ISO体系一套，内控体系一 套，这是企业在内控体系建设所需考虑的问题。 16 LOGOLOGO Contents Page 目录页 过渡页 TRANSITION PAGE * 进行流程梳理与内控评价的理由 流程梳理 02 流程梳理与内控评价 内控评价

10、17 LOGOLOGO 2.1 先进行流程梳理与内控评价的理由 第二章 梳理与评价 只有在相关部门对内控评价所提出的设计以 及运行缺陷进行整改后方可进行内控体系的搭建， 或者说整改方案得到相关部门的认可，不然搭建出 来的内控体系就无法落地与执行。 流程梳理是为了后期的内控手册编写。 内控评价是为了保证内控手册是根据有效的 活动进行设计。 不谈风险是因为业务层面的人员更喜欢讲流 程和程序，管理层或者决策层喜欢谈风险。 为什么先做流程梳理和内控评价 18 LOGOLOGO 2.2 流程梳理 第二章 梳理与评价 2.2.1 流程的梳理 一级流程：企业的价值链，描述企业创造价值的过程，由企业的业务模块

11、构成； 二级流程：每个业务模块的运营内容，也即三级流程的逻辑关系； 三级流程：跨部门、岗位间的工作流程，由工作事项组成； 四级流程：部门内、岗位间的工作流程，仍由工作事项组成，但局限于部门内； 五级流程：岗位内的工作流程，即某岗位某工作的标准作业程序（SOP）； 六级流程：某个具体工作步骤所涉及的工作内容细节，例如一张表单的表头设置等。 多个连续的动作或者作业步骤就叫流程。 19 LOGOLOGO 2.2 流程梳理 第二章 梳理与评价 一个内控体系的所涉及到流程可以分三级流程： 一级流程：根据管理职能进行划分。 二级流程：在一级流程的基础上，根据业务管理线条划分。 三级流程：根据二级流程，划分

12、到具体的业务单位或者关键 控制点。 可以根据企业现有的制度，进行阅读后划分，形成流程清单。 2.2.1 流程的梳理 20 LOGOLOGO 2.2 流程梳理 第二章 梳理与评价 2.2.2 流程记录7要素 1）何时什么时候来执行这项控制，发生的频率如何？ 2）谁 3）控制目标 4）控制活动 5）如何做 谁来执行这项控制，所属部门、职位是什么？ 执行这项活动所规避的风险及控制目标？ 实施什么控制活动？ 如何实施这项活动？人工/自动 6）跟进措施 7）证据 发现例外情况、差异，如何跟进处理？ 该项控制实施后会留下什么证据，例如：签字证据、留下书面文档、 单据、报告、会在系统中留下什么痕迹等？ 21

13、 LOGOLOGO 第二章 梳理与评价 2.2 流程梳理 2.2.2 记录控制活动的动词 在对控制活动进行表述时，重要的是清楚地界定每个职责上的权限，应该选择合适的动词来描述权限范围： 1、制定方案计划、文件：草拟、拟定、编制、审核、审定、转呈、提交、下达、备案、存档等 2、信息、资料：调查、收集、整理、分析、研究、总结、提供、汇报、反馈、转达、通知、发布等 3、直接行动：组织、执行、指导、控制、监管、采用、参加、阐明、解释、提供、协助等 4、上级行为：批准、确认、指导、规划、监督等 5、管理行为：达到、评估、协调、鉴定、保持、监督等 6、下级行为：检查、核对、收集、获得、提交、办理等 22

14、LOGOLOGO 2.2 流程梳理 第二章 梳理与评价 在对流程进行记录时，需要2个人： 1、流程记录执行人 2、穿行测试资料收集人 通过访谈进行流程的梳理与记录往往 造成疏漏或者资料名称与实际不符，所以 需要访谈与穿行测试两种方式并行。 2.2.3 流程记录 23 LOGOLOGO 2.3 内控评价 第二章 梳理与评价 通过系统、规范的方法对公司内部控制制度的健全 性、合理性以及内部控制的有效性进行独立的监督与评 价，合理保障实现公司经营目标。 其目标有两条： 1、发现内控设计问题，推动手册优化 2、发现内控执行问题，推动落实整改。 2.3.1 什么是“内控评价”，其目标是什么? 24 LO

15、GOLOGO 2.3 内控评价 第二章 梳理与评价 将企业所有涉及关键业务流程 的制度全部收集，之后按照关键业 务流程进行7要素的分析。通常评价 会考虑到完整性、合理性，得到下 面结论：缺少关键业务流程、缺少7 要素中的任何一个要素，或者7要素 设计不合理，设计合不合理需要控 制措施。 审计方法就是访谈加穿行测试， 访谈适用于第一次评价。 2.3.2 制度有效性评价 25 LOGOLOGO 2.3 内控评价 第二章 梳理与评价 类型 关键字抽样原则测试步骤 2.3.3 运行有效性评价 类型 确认流程中的控制类型： 授权控制 岗位职责分离控制 会计系统控制 预算控制等 关键字 控制活动： 控制活

16、动的载体： 控制点的执行人： 控制点发生的频率： 抽样原则 根据控制频率来选择样本，选择 的就是7要素中的控制痕迹，证据的 多少。 测试步骤 根据步骤三的样本，结合步骤后梳 理出的控制要点确认控制点是否被 有效执行。 26 LOGOLOGO Contents Page 目录页 过渡页 TRANSITION PAGE * 内控手册的模型及撰写 内控评价手册的模型及撰写 自建内控体系的流程 03 如何进行内控体系搭建 27 LOGOLOGO 3.1 自建内控体系的流程 第三章 体系搭建 对一般企业而言，内部控制措施散落在各规章制度， 缺乏必要的归纳整理和归口管理。 构建内控体系就是围绕企业的运营战

17、略目标，针对 现有的业务流程，梳理内部控制举措，建立“统一语言， 统一框架、统一管理”的制度群，形成有人设计、有人 执行、有人监督的循环管理体系。 3.1.1 对内控体系的感性认识 内控体系的具体表现形式，有什么载体、如何落地 实施，在内控指引的各个条款里，没有做具体规定。 为了便于实施与管理，往往采用“手册+矩阵”这 种方法。 内控不是单纯的为了合规而建一套制度体系，部分企业的内控体系就是将公司的制度整合一下或者借用弗布克 丛书来形成自己的内控体系。 28 LOGOLOGO 3.1 自建内控体系的流程 第三章 体系搭建 3.1.2内控建设历程 内控初步建设期内控体系稳定期内控拓展期 设立内控

18、建设组织架构 举办培训 界定内控建设的范围 记录现有内控 与内控要求进行对标 改进现有问题 发布内控手册 内控体系运行 内控体系运行检查 管理层测试与自我评估 内控审计 内控体系运行与维护 建立内部控制评价体系 内控体系运行检查 探索非财务报告内部控 制体系建设 向全面风险管理拓展 内控建 设阶段 主要工 作内容 在不同的企业，可能涉及到的工作内容会有调整，但是大体上都是类似的。 29 LOGOLOGO 3.1 自建内控体系流程 第三章 体系搭建 内控体系建设所需的资料一共有四份： 1、进行设计有效性评价收集的企业制度 2、在有效性评价时梳理的流程清单 3、访谈时的流程记录表 4、穿行测试所收

19、集与流程相关的整套表单 只有在上述资料都完整的情况下，才能够编制出符合企业实际情况且 能落地执行的内控体系。 3.1.2 收集内控体系建设所需资料 30 LOGOLOGO 3.1 自建内控体系流程 第三章 体系搭建 内控体系涉及到的文档就是两个： 1、内控手册：就是流程文档，告诉你作业流 程如何进行，风险和关键控制点是什么。 2、内控评价手册：就是风险控制矩阵，或者 风险列表，用于内控体系的评价与维护。 有的公司在做内控手册时，为了便于对各业务 流程所涉及到的权限的查阅，会单独编制公司权限 指引表。 3.1.3 内控体系所涉及到的文档 31 LOGOLOGO 3.2 内控手册 第三章 体系搭建

20、 内控手册就是按照18个指引的要求，根据企业 的管理制度以及实际作业流程编制的资料。 内控制度是咨询公司忽悠企业的一个资料，把 企业的制度都整合一下，根本没必要做。 管理制度就是企业所有的制度。 对一般企业而言，内部控制措施散落在各规章 制度，缺乏必要的归纳整理和归口管理。 内控手册、内控制度、管理制度的关系 32 LOGOLOGO 3.2 内控手册 第三章 体系搭建 内控手册整体布局与安排 控制环境 控制活动 控制工具 基本上就是公司现有的管理制度的汇总。但是有一块是人力资源管 理的，在控制环境中写的是人力资源政策，但又有具体的业务流程，所 以对于这一块不仅需要在控制环境中做说明，还需要在控

21、制活动中说明。 基本上就是按照大家常见的流程管控之类来进行，也就是大家在网 上看到的内控手册。 在控制活动中会涉及到与之相关的流程，在对控制工具进行撰写时 会更具体。举个合同审批流程的案例 33 LOGOLOGO 3.2 内控手册 第三章 体系搭建 单个模块撰写所涉及到的内容 在每个模块前有对流程的总的介绍，一般就是根据2级流程绘制的简单流程示意图： 以采购管理为例来进行说明： 34 LOGOLOGO 3.2 内控手册 第三章 体系搭建 单个模块撰写所涉及到的内容 一、业务流程范围对业务流程所涉及的业务活动范围和所涉及的部门范围的定义 二、所涉及的应用系统和 重要电子表格 本流程所涉及到的信息

22、技术应用系统、以及在业务流程中涉及到 的重要电子表格。 三、目标业务流程所要达到的目的。 四、风险业务流程中存在的可能影响最终结果的因素。 五、相关会计科目记录业务活动所涉及到的会计科目 六、流程描述和关键控制 点 对业务流程进行完整的记录，其中包括流程运作的步骤和程序， 以及与之相关的内部控制，并在此基础上写关键控制点 35 LOGOLOGO 第三章 体系搭建 权限指引表一般就是告诉你： 在流程中每个人的职责、权限以 及对应的证据。 3.2 权限指引表 权限指引表 36 LOGOLOGO 3.3 内控评价手册 第三章 体系搭建 内控评价手册就是风险控制矩阵，我们现在看到的内控评 价手册，是借

23、鉴了了塞班斯法案合规工作中使用的文件。为控 制记录、修补、测试和维护工作提供记录支持。 风险控制矩阵（Risk and Control Matrix） 就是将流程中所涉及的风险和对应的内部控制进行汇总， 以发现控制缺陷的一种矩阵表格。 控制列表一般包含流程目标、风险、控制点描述、控制发 生频率、控制类型、控制负责人以及测试结果等内容。 37 LOGOLOGO 3.2 内控评价手册 第三章 体系搭建 控制点编 号 流程目标风险控制点描 述 控制发生 频率 控制类型控制负责 人 测试结果 注1注2注3注4注5注6注7 注1控制点所对应的流程目标 注2流程层面影响流程目标实现的风险 注3对财务以及经

24、营相关的内部控制点的描述 注4控制发生的频率，包含每年/每月/每周/每天/频繁发生/按需不定期发生 注5控制的类型，人工控制/自动控制；以及具体的分类，比如授权批准、关键绩效考 核、会计系统控制、预算控制等等 注6流程负责的相关人员，包含在该流程中涉及到的人员。 注7内控评价得到的结论，含设计以及运行等两方面。 38 LOGOLOGO 3.2 内控评价手册 第三章 体系搭建 开始结束 确认流程 的风险点 寻找对应的 控制活动 判断控制类 型 评价控制设计， 提出缺陷及整改 意见 风险控制矩阵编制流程 第一步 第二步 第三步 第四步 39 LOGOLOGO Contents Page 目录页 过

25、渡页 TRANSITION PAGE * 软件界面介绍 组织架构图绘制 04 VISIO软件使用 流程图绘制 40 LOGOLOGO 4.1 软件界面介绍 第四章 软件使用 VISIO软件绘制流程常用模具 对控制活动实施的简要描述 描述控制活动所产生的结果 描述审核、审批以及分支步骤。 引用流程清单已经明确的具体业务流程。 描述流程的开始与结束。 描述审核、审批以及分支步骤。 增加活动控制人。 用于次级流程进行划分。 用于流程图分页。 41 LOGOLOGO 第四章 软件使用 4.2 组织架构图的绘制 组织架构图绘制 组织架构图举例： XX公司组织架构图。 42 LOGOLOGO 第四章 软件

26、使用 4.3 流程图的绘制 流程图的绘制 流程图就是按照之前的7要素进行绘制而成的， 所以在流程梳理阶段对流程记录的完整性将对流程 图绘制其关键作用。 流程描述举例： 一份费用报销流程图。 自行绘制一份固定资产报废的作业流程图。 43 LOGOLOGO 第四章 软件使用 4.3 流程图的绘制 流程图的绘制的误区 尽可能减少重复、繁琐步骤 流程存在盘点，是链接在下 方，否链接在右方。 连接线不能交叉出现 44 LOGOLOGO http:/ 课件制作：小职员2010 谢谢 http:/ 2611394.html 45 LOGOLOGO 可以在下列情况使用 不限次数的用于个人/公司、企业 修改并编辑其中素材内容 拷贝并使用其中内容 不可以在以下情况使用 用于任何形式的在线付费下载 收集整理我们免费资源后，刻录光碟销售 把我们的创作做为您个人作品 声明