内控体系搭建

《内控体系搭建》由会员分享，可在线阅读，更多相关《内控体系搭建（18页珍藏版）》请在装配图网上搜索。

1、内控体系搭建01 内控知识入门02 流程梳理与内控评价03 内控体系搭建04 VISIO 软件使用第一章 内控知识入门.内控的由来.内控的作用1.1 内控的由来我国内控的起源 我国的内控起源很早，就是岗位牵制，集中在财务领域，真正形成系 统的规范，则是在08 年金融危机发生之后。五部委根据我国实际情况结合国外的实践，推出了我国的内控体系。 08 年6 月，发布内部控制基本规范；10 年4 月，发布企业内部控制配套指引。“为什么企业一出事就是内控失效” 很多在媒体上被曝光的企业，比如绿大财务作假、银广夏事件、三鹿 奶粉事件，人们的第一反应就是这个企业的内控失效。 内控失效的现象比如：个人独断专行

2、、过于依赖人工控制忽视系统控 制、虚假的财务报告等等 在企业管理和经营活动过程中，时时刻刻伴随着企业的就是潜在风 险。企业的内部控制不是为了控制而控制，也不是为了美国证监会或 者中国证监会而控制，而是为了帮助企业防范不同阶段的风险才进行 控制。1.2 内控的作用风险的基本概念风险是一种威胁，这一威胁将对公司完成经营目标和执行经营战略产 生不利影响。简单的说，就是可能影响控制目标实现的因素。1、战略风险2、财务风险3、市场风险4、运营风险5、法律风险 内控中的风险举例：.XX制度不完整，可能导致XX实际操作缺乏制度性指引.缺乏适当的审批，可能产生不合理的XX行为，造成公司利益损失 .XX缺乏适当

3、的权责分离，存在舞弊风险。. 未与供应商签订包含法律责任条款的协议. 采购发票、入库单、验收单三单不匹配风险是为了帮助使用者更清晰、直观地了解可能存在的风险，其根本 还是这些风险点可能会导致控制目标无法有效实现。对于企业来说，内控的作用可归纳为以下几点：1）提高会计信息的准确性；2）保证生产和经营活动顺利进行；3）保护企业资产的安全完整；4）保证企业制定的方针合法合规：定义：董事会（或者由企业章程规定的经理、厂长办公会等类似的决策、治 理机构）、管理层和全体员工共同实施的、旨在合理保证实现企业基 本目标的一系列控制活动。内控体系包含内部环境、风险评估、控制活动、信息传递与沟通、监 督五要素 对

4、员工个人而言，内部控制就是其日常工作内容。当然根据成本效益 原则，只有关键业务流程才是内部控制所关注的。我内部控制应用指引共分18 个主题，基本涵盖企业资金、实物 流、人物流与信息流。内部环境类指引：公司战略、组织架构、企业文化、社会责任、人力 资源；控制活动类指引：资金活动、采购活动、资产管理、销售活动、研究 与开发、工程项目、担保业务、业务外包、财务报告；控制手段类指引：全面预算、合同管理、内部信息传递、信息系统。 内部环境类指引：公司战略、组织架构、企业文化、社会责任、人力 资源；控制活动类指引：资金活动、采购活动、资产管理、销售活动、研究 与开发、工程项目、担保业务、业务外包、财务报告

5、；控制手段类指引：全面预算、合同管理、内部信息传递、信息系统。流程会涉及经办人、审核人、审批人，这样就会牵涉到公司各管理层级，决策层、管理层以及事务操作层均会涉及。内部控制的控制手段很多：1、不相容职责相分离：2、授权审批控制3、预算控制4、绩效考核控制5、会计系统控制6、财产保护控制。五部委出的内控指引，适用的对象仅仅是一般的生产制造型企业，不 同的行业、不同类型的公司还是需要根据企业实际情况做分析以及调 整，增加或者删除相关的模块。服务性行业可以删除研究开发模块；生产制造型企业可以增加生产模 块，将外包服务划入生产模块的委外加工管理；部分大型集团比如采 购钢铁或者原煤的，可以增加套期保值模

6、块。内控体系完整不完整，就看内控体系是否体现了公司整个价值链。 在企业的不同的发展阶段，内控的需求是不一样的，内控有成本。只 有符合企业实际情况才是好的内控。制度、流程、内控手册的联系与区别 制度：什么是公司允许的，什么是禁止的，就是个原则性的文件，适 用于部门负责人，是从职能管理需求进行制定的。流程：作业是怎么进行的，每个人该干什么内容，适用于作业人。 一个完整的制度：包含管理层管理的需求，还适用于作业人员作业。 流程化的制度就是内控手册的一部分。对于已经有 ISO 体系的公司，如何将 ISO 体系与内部控制体系进行整 合，而不是ISO体系一套，内控体系一套，这是企业在内控体系建设 所需考虑

7、的问题。内控体系与ISO质量体系的差异可归纳为以下几点：1) ISO质量体系缺少财务模块，内控体系缺少生产模块；2) 两个体系都是关注价值的产生，内部控制关注的是对流程过程中的风险控制，ISO关注的是质量控制；企业的作业流程只有一套，如果是多套体系并存，且存在打架的情况， 企业的管理就会乱套。只要设计一套一体化管理体系，将ISO以及内控涉及到的内容进行合 并管理，该体现流程就体现流程，之后按照风险或者ISO的要求输出 即可。第二章 流程梳理与内控评价.进行流程梳理与内控评价的理由.流程梳理.内控评价2.1 先进行流程梳理与内控评价的理由为什么先做流程梳理和内控评价只有在相关部门对内控评价所提出

8、的设计以及运行缺陷进行整改后方可进行内控体系的搭建，或者说整改方案得到相关部门的认可，不 然搭建出来的内控体系就无法落地与执行。流程梳理是为了后期的内控手册编写。 内控评价是为了保证内控手册是根据有效的活动进行设计。 不谈风险是因为业务层面的人员更喜欢讲流程和程序，管理层或者决 策层喜欢谈风险。2.2 流程梳理多个连续的动作或者作业步骤就叫流程。2.2.1 流程的梳理 一级流程：企业的价值链，描述企业创造价值的过程，由企业的业务 模块构成； 二级流程：每个业务模块的运营内容，也即三级流程的逻辑关系； 三级流程：跨部门、岗位间的工作流程，由工作事项组成； 四级流程：部门内、岗位间的工作流程，仍由

9、工作事项组成，但局限 于部门内；五级流程：岗位内的工作流程，即某岗位某工作的标准作业程序 （SOP）；六级流程：某个具体工作步骤所涉及的工作内容细节，例如一张表 单的表头设置等。2.2.1 流程的梳理 一个内控体系的所涉及到流程可以分三级流程： 一级流程：根据管理职能进行划分。二级流程：在一级流程的基础上，根据业务管理线条划分。 三级流程：根据二级流程，划分到具体的业务单位或者关键控制点。 可以根据企业现有的制度，进行阅读后划分，形成流程清单。2.2.2 流程记录 7 要素1）何时 什么时候来执行这项控制，发生的频率如何？2）谁谁来执行这项控制，所属部门、职位是什么？3）控制目标 执行这项活动

10、所规避的风险及控制目标？4）控制活动 实施什么控制活动？5）如何做 如何实施这项活动？人工/自动6 ）跟进措施 发现例外情况、差异，如何跟进处理？7）证据 该项控制实施后会留下什么证据，例如：签字证据、留下 书面文档、单据、报告、会在系统中留下什么痕迹等？2.2.2 记录控制活动的动词 在对控制活动进行表述时，重要的是清楚地界定每个职责上的权限， 应该选择合适的动词来描述权限范围：1、制定方案计划、文件：草拟、拟定、编制、审核、审定、转呈、 提交、下达、备案、存档等2、信息、资料：调查、收集、整理、分析、研究、总结、提供、汇 报、反馈、转达、通知、发布等3、直接行动：组织、执行、指导、控制、监

11、管、采用、参加、阐明 解释、提供、协助等4、上级行为：批准、确认、指导、规划、监督等5、管理行为：达到、评估、协调、鉴定、保持、监督等6、下级行为：检查、核对、收集、获得、提交、办理等2.2.3 流程记录在对流程进行记录时，需要2 个人：1、流程记录执行人2、穿行测试资料收集人 通过访谈进行流程的梳理与记录往往造成疏漏或者资料名称与实际 不符，所以需要访谈与穿行测试两种方式并行。2.3 内控评价2.3.1 什么是“内控评价”，其目标是什么? 通过系统、规范的方法对公司内部控制制度的健全性、合理性以及内 部控制的有效性进行独立的监督与评价，合理保障实现公司经营目 标。其目标有两条：1、发现内控设

12、计问题，推动手册优化2、发现内控执行问题，推动落实整改。2.3.2 制度有效性评价 将企业所有涉及关键业务流程的制度全部收集，之后按照关键业务流 程进行 7 要素的分析。通常评价会考虑到完整性、合理性，得到下面 结论：缺少关键业务流程、缺少 7要素中的任何一个要素，或者7 要 素设计不合理，设计合不合理需要控制措施。审计方法就是访谈加穿行测试，访谈适用于第一次评价。2.3.3 运行有效性评价 类型 关键字 抽样原则 测试步骤 类型 确认流程中的控制类型： 授权控制岗位职责分离控制会计系统控制预算控制等 关键字控制活动：控制活动的载体：控制点的执行人：控制点发生的频率： 抽样原则根据控制频率来选

13、择样本，选择的就是 7 要素中的控制痕迹，证据 的多少。 测试步骤 根据步骤三的样本，结合步骤后梳理出的控制要点确认控制点是否被 有效执行。第三章 如何进行内控体系搭建.自建内控体系的流程. 内控手册的模型及撰写.内控评价手册的模型及撰写3.1 自建内控体系的流程 内控不是单纯的为了合规而建一套制度体系，部分企业的内控体系就 是将公司的制度整合一下或者借用弗布克丛书来形成自己的内控体 系。3.1.1 对内控体系的感性认识 对一般企业而言，内部控制措施散落在各规章制度，缺乏必要的归纳 整理和归口管理。构建内控体系就是围绕企业的运营战略目标，针对现有的业务流程， 梳理内部控制举措，建立“统一语言，

14、统一框架、统一管理”的制度 群，形成有人设计、有人执行、有人监督的循环管理体系。内控体系的具体表现形式，有什么载体、如何落地实施，在内控指引 的各个条款里，没有做具体规定。为了便于实施与管理，往往采用“手册+矩阵”这种方法。3.1.2 内控建设历程内控建设阶段内控初步建设期内控体系稳定期内控拓展期主要工作内容设立内控建设组织架构举办培训界定内控建设的范围记录现有内控与内控要求进行对标改进现有问题发布内控手册内控体系运行内控体系运行检查管理层测试与自我评估内控审计内控体系运行与维护 建立内部控制评价体 系内控体系运行检查探索非财务报告内部 控制体系建设向全面风险管理拓展在不同的企业，可能涉及到的

15、工作内容会有调整，但是大体上都是类似的3.1 自建内控体系流程3.1.2 收集内控体系建设所需资料内控体系建设所需的资料一共有四份：1、进行设计有效性评价收集的企业制度2、在有效性评价时梳理的流程清单3、访谈时的流程记录表4、穿行测试所收集与流程相关的整套表单 只有在上述资料都完整的情况下，才能够编制出符合企业实际情况且 能落地执行的内控体系。3.1.3 内控体系所涉及到的文档 内控体系涉及到的文档就是两个： 1、内控手册：就是流程文档，告诉你作业流程如何进行，风险和关2、内控评价手册：就是风险控制矩阵，或者风险列表，用于内控体 系的评价与维护。有的公司在做内控手册时，为了便于对各业务流程所涉

16、及到的权限的 查阅，会单独编制公司权限指引表。3.2 内控手册内控手册、内控制度、管理制度的关系内控手册就是按照 18个指引的要求，根据企业的管理制度以及实际 作业流程编制的资料。内控制度是咨询公司忽悠企业的一个资料，把企业的制度都整合一 下，根本没必要做。管理制度就是企业所有的制度。对一般企业而言，内部控制措施散落在各规章制度，缺乏必要的 归纳整理和归口管理。内控手册整体布局与安排控制环境基本上就是公司现有的管理制度的汇总。但是有一块是人力资源管理的， 在控制环境中写的是人力资源政策，但又有具体的业务流程，所以对于这 一块不仅需要在控制环境中做说明，还需要在控制活动中说明。控制活动基本上就是

17、按照大家常见的流程管控之类来进行，也就是大家在网上看到 的内控手册。控制工具在控制活动中会涉及到与之相关的流程，在对控制工具进行撰写时会更具 体。举个合同审批流程的案例单个模块撰写所涉及到的内容在每个模块前有对流程的总的介绍，一般就是根据 2 级流程绘制的简单流程示意图：以采购管理为例来进行说明单个模块撰写所涉及到的内容一、业务流程范围对业务流程所涉及的业务活动范围和所涉及的部门范围的定义二、所涉及的应用系 统和重要电子表格本流程所涉及到的信息技术应用系统、以及在业务流程中涉及到 的重要电子表格。三、目标业务流程所要达到的目的。四、风险业务流程中存在的可能影响最终结果的因素。五、相关会计科目记

18、录业务活动所涉及到的会计科目六、流程描述和关键 控制点对业务流程进行完整的记录，其中包括流程运作的步骤和程序， 以及与之相关的内部控制，并在此基础上写关键控制点内控流程文档模板XX公司一级流程名称二级流程名称三级流程名称流程编号XX流程流程责任部门流程责任岗位1流程控制目标本流程阐述了 相关程序（或步骤）旨在确保2流程适用范I描述本流程适用的集团、公司、部门或管理条线等。3.流程相关制度【制度名称】XX公司XX管理办法（编号：XX C20XX XX号）（本流程对应制度名称及编号）【制度简述】对XX、XX及XX进行了规范和说明。（该制度中有关本流程的相关规 定简述）【制度名称】XX公司XX管理办

19、法（编号：XX 20XX XX号）（本流程对应制度名称及编号）【制度简述】对XX、XX及XX进行了规范和说明。（该制度中有关本流程的相关规定简述）4. 流程I（将用Visio软件绘制的流程图贴在此处。注意：图片的文字环绕方式设置为“浮于 文字上方）5. 流程描述【S01】【S02】【C01】（用规范化的语言对流程中的各步骤进行描述，并标记出控制点。）6.流程风险点及对应控制点：【PR01】（对流程中的风险点进行描述）风险分类：按可能结果划分：机会风险纯粹风险按五大类风险划分： 风险发生可能性：战略风险财务风险市场风险运营风险法律风险极低较低中等较高极高风险发生影响程度： 风险等级：轻微较低中等

20、重大灾难性安全风险中等风险重大风险造成影响描述：（对该风险造成的影响进行描述，列示出可能造成的各种不利影响。） 对应风险控制点：【S02】 【C01】：【S03】【C02】:（注意，一个风险点可能对应一个控制点，也可能对应多个控制点。） 控制类型：事前控制事中控制事后控制 控制等级：一般控制点关键控制点【PR02】（对流程中的风险点进行描述） 风险分类：按可能结果划分：机会风险纯粹风险按五大类风险划分: 风险发生可能性：战略风险财务风险市场风险运营风险法律风险极低较低中等较高极高风险发生影响程度: 风险等级：轻微较低中等重大灾难性安全风险中等风险重大风险造成影响描述：（对该风险造成的影响进行描

21、述，列示出可能造成的各种不利影响） 对应风险控制点：【C03】【S05】:【C04】 【S06】:（注意，一个风险点可能对应一个控制点，也可能对应多个控制点。） 控制类型：事前控制事中控制事后控制控制等级：一般控制点关键控制点7.流程缺陷及建议：【PG01】 【建议】 【PG02】 【建议】（若本流程中的某个风险点没有对应的控制点或控制措施达不到控制效果，则存在流 程控制缺陷。若本流程在匹配性、依赖性、震荡性、控制性、一致性、竞争性六要素方面存在缺陷， 则本流程自身存在缺陷，可能需要进行流程优化或流程重组。在此描述本流程中存在的缺 陷并提出改进建议。）资料XX公司XX管理办法XX文件XX会议纪

22、要3.2 权限指引表权限指引表一般就是告诉你：在流程中每个人的职责、权限以及对应 的证据。3.3 内控评价手册 内控评价手册就是风险控制矩阵，我们现在看到的内控评价手册，是 借鉴了了塞班斯法案合规工作中使用的文件。为控制记录、修补、测 试和维护工作提供记录支持。风险控制矩阵(Risk and Control Matrix)就是将流程中所涉及的风险和对应的内部控制进行汇总，以发现控制 缺陷的一种矩阵表格。控制列表一般包含流程目标、风险、控制点描述、控制发生频率、控制类型、控制负责人以及测试结果等内容控制点流程目标风险 号注1注1注2注3注4注5注6注7控制点描制发控制类型 控制负测试结果 述注3

23、人 注6频率 注4控制点所对应的流程目标流程层面影响流程目标实现的风险对财务以及经营相关的内部控制点的描述控制发生的频率，包含每年/每月海周海天濒繁发生/按需不定期发生控制的类型，人工控制/自动控制；以及具体的分类，比如授权批准、关 键绩效考核、会计系统控制、预算控制等等流程负责的相关人员，包含在该流程中涉及到的人员。内控评价得到的结论，含设计以及运行等两方面。注2注5注7风险控制矩阵编制流程确认流程寻找对应的 判断控制类的风险点:V呻* *控制活动 型I 第二步评价控制设计，上提出缺陷及整改 1结束第四章 VISIO 软件使用软件界面介绍组织架构图绘制流程图绘制4.1 软件界面介绍VISIO 软件绘制流程常用模具4.2 组织架构图的绘制4.3 流程图的绘制流程图就是按照之前的7 要素进行绘制而成的，所以在流程梳理阶段对流程记录的完整性将对流程图绘制其关键作用。流程描述举例：一份费用报销流程图。自行绘制一份固定资产报废的作业流程图。