404內控

㈠ 美國國會頒布的發班斯法案中的404條款要求公司在年報中披露內部控制評價報告，這一制度只適用於在美上

第404節 管理層對內部控制的評價
(a) 內部控制方面的要求——SEC應當相應的規定，要求按《1934年證券交易法》第13節(a)或15節(d)編制的年度報告中包括內部控制報告，包括：
(1) 強調公司管理層建立和維護內部控制系統及相應控製程序充分有效的責任；
(2) 發行人管理層最近財政年度末對內部控制體系及控製程序有效性的評價；
(b) 內部控制評價報告——――
對於本節(a)中要求的管理層對內部控制的評價，擔任公司年報審計的會計公司應當對其進行測試和評價，並出具評價報告。上述評價和報告應當遵循委員會發布或認可的准則。上述評價過程不應當作為一項單獨的業務。

㈡ SOX404具體內容是什麼

◆404條款的要求：薩班斯法案404條款要求，管理層在其年度文件中提供關於與財務報告有關的內部控制的年度評估報告。管理層的年度報告要求包括以下內容：

●管理層有責任為企業建立和維護恰當的與財務報告有關的內部控制。

●識別管理層所採用的內部控制框架以便按要求評估公司與財務報告有關的內部控制的有效性。

●對從一上個會計年度末以來與財務報告有關的內部控制的有效性予以評估，其內容也包括有關與財務報告有關的內部控制是否有效的公開聲明。

●年度審計報告中，注冊會計師事務所發表的財務審計報告，包括管理層對與財務報告有關的內部控制有效性評估的證明報告。

●管理層關於公司針對財務報告內部控制有效性評估的書面結論，應包含在其對財務報告內部控制的報告和其對審計師的信函中。這一書面結論可採取多種形式，但是管理層對公司面向財務報告的內部控制的有效性必須發表直接意見。

●如果與財務報告有關的內部控制中有一個或多個重要缺陷，管理層將不能對財務報告的內部控制有效性作出評估結論，而且，管理層應該披露自最近一個會計年度末以來財務報告內部控制方面的所有重要缺陷。

公司在對財務報告作出確認時需要藉助於企業的IT系統。為了識別管理層對財務報告所作的相關認定，審計師應考慮每個重要賬戶潛在錯報、漏報產生的原因。在決定一個認定是否與某一重要賬戶余額或其披露相關時，審計師應該評價IT系統的性質、復雜程度以及企業IT的使用狀況。因此，所有企業構建IT內部控制至少都應具備以下三層通用要素：企業管理層、業務流程和共享服務。

㈢ 請問關於內部控制、COSO、風險管理怎麼樣做，哪裡有資料

COSO是全國虛假財務報告委員會下屬的發起人委員會（The Committee of Sponsoring Organizations of The National Commission of Fraulent Financial Reporting）的英文縮寫。根據《薩班斯法案》第404節條款以及美國證券交易委員會（SEC）的相應實施標准，要求公眾公司的管理層評估和報告公司最近年度的財務報告的內部控制的有效性。2004年3月9日，PCAOB發布了其第2號審計標准：「與財務報表審計相關的針對財務報告的內部控制的審計」，並於6月18日經SEC批准。SEC對該標準的認同等於從另外一個側面承認了1992年COSO公布的《內部控制—綜合框架》（也稱「COSO內部控制框架」）。這也表明COSO框架已正式成為美國上市公司內部控制框架的參照性標准。

因此可以說，在美國為管理層的評估目標提供的適宜框架就是COSO框架。當然其他國家也公布了一些適宜的框架，如加拿大的COCO框架等。標准還指出，盡管不同的框架可能沒有精確地含有與COSO一樣的組成要素，但他們所含有的組成部分涵蓋了COSO的所有常規主題。因此，如果管理層運用了區別於COSO的適宜框架時，審計師應以合理的方式運用2號審計標准中的概念和方針。

COSO內部控制框架能確認出內部控制的三大主要目標，即運營的效率和效果，財務報告的可靠性，以及遵守適用的法律和規章。此外，標准將控制環境、風險評估、控制活動、信息和溝通、監控作為框架的五大組成要素，服務於上述三大目標。

雖然不能把COSO內部控制框架看作是符合SEC要求的唯一適宜框架，但是相對於以往各行其是的內部控制評估標准來說，PCAOB的工作對於規范化的內部控制設計、實施、監督、評估與不斷改進是有重大進步意義的，它使許多美國公司的各層管理者能在一個統一的框架內有效履行其內部控制的職責，並為會計師行業對內部控制的評估提供了一個基礎。該標准將力促公司建立有效的內部控制監督體系，這為有效的公司治理奠定了良好的基礎。

㈣ 企業內部控制規范與IT內部控制有什麼關系

以下解答摘自谷安天下咨詢顧問發表的相關文章：
企業內部控制基本規范包含的五要素框架：
（一）內部環境。內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱，是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。
（二）風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素並採取應對策略的過程，是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。
（三）控制措施。控制措施是根據風險評估結果、結合風險應對策略所採取的確保企業內部控制目標得以實現的方法和手段，是實施內部控制的具體方式。控制措施結合企業具體業務和事項的特點與要求制定，主要包括職責分工控制、授權控制、審核批准控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。
（四）信息與溝通。信息與溝通是及時、准確、完整地收集與企業經營管理相關的各種信息，並使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程，是實施內部控制的重要條件。
（五）監督檢查。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估，形成書面報告並做出相應處理的過程，是實施內部控制的重要保證。
相應的，IT內部控制框架也應對於企業內部控制的五要素框架：
（一）IT內部控制環境。內部環境在企業IT領域的體現是IT的內部控制環境，同樣IT內部控制環境是實施IT內部控制的基礎。主要包括IT治理架構、IT組織與職責，IT決策機制，IT合規與IT審計等。
（二）IT風險評估。企業信息化帶來的IT風險已經成為企業風險管理的主要方面。風險評估主要包括目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰略與IT規劃，IT風險識別與分析應對包括對信息資產的風險、IT流程的風險以及應用系統的風險識別分析與應對。
（三）IT控制措施。針對風險評估的結果，在IT方面需要實施具體的IT控制措施，包括IT技術類控制措施，如防火牆、防病毒、入侵檢測、身份管理、許可權管理等，以及IT管理類控制措施，包括各類IT管控制度與流程，如開發管理、項目管理、變更管理、安全管理、運營管理、職責分離，授權審批等。
（四）信息與溝通。在IT領域也需要明確具體的IT管理制度和溝通機制，建立服務台與事件管理程序，及時傳達企業內部層級之間和與企業外部相關的信息。
（五）監督檢查。需要建立IT內部控制體系的審核機制，評價IT控制的有效性。通過IT技術手段如日誌、監控系統、綜合分析平台等，和管理手段如內部IT審核、管理評審、專項檢查等措施，不斷改進企業的IT內部控制。
綜合分析IT內部控制的組件，谷安天下將IT的控制分為三個層面：
（一）公司層控制。在公司層面建立IT治理架構，完善IT組織與職責，制定IT決策機制，實行IT人員績效考核，加強IT合規與IT審計。
（二）流程與應用層控制。分析企業業務流程與活動，在企業業務流程、應用系統層面與通用IT流程層面建立控制，重點關注與財務報表相關的各種業務與應用系統的技術控制與流程式控制制。
（三）資源層控制。針對企業業務運作所依賴的各類信息資產和IT資源，分析具體每個資源點的風險，建立風險控制措施。

㈤ 如何建立風險與內控管理體系

僅供參考
一、基礎概念篇
在這里，你將熟悉，內控體系具體是什麼，建立內控體系需要解決的誤區以及流程體系建立的作業流程。

1、內控體系建設涵蓋哪些東西，主要內容是什麼？
國家要求上市企業建立的內控體系是保證財務報告真實性而要求建立的體系，所以他的具體內容與外資企業的sox404體系差不多。一般整個內控體系涵蓋的內容含如下幾個內控手冊，風險資料庫，內控評價手冊。
內控手冊為每個作業流程的描述，內容含流程描述、流程圖、授權說明、崗位職責分離說明。
風險資料庫可能導致風險的現象描述的匯總。風險指導致公司資產不安全，作業不合規合法，運營效率效益低下，財務報表數據不真實等。
內控評價手冊具體含三部分，第一部分檢查制度設計合理或者文檔的齊全性，第二部分檢查控制過程，第三部分檢查會計帳務處理控制。

2、內控體系與ISO質量體系有什麼區別和聯系？
目的不同：內控體系是以會計報告為主要目的，而ISO質量體系是以產品質量為主。
控制活動不同：在現階段18個指引來看，內控體系缺少對生產過程式控制制；而ISO質量體系則以產品質量為主，涵蓋產供銷價值鏈，但是缺少會計系統控制。
涉及部門不同：在ISO體系內不存在財務部門，以研發、生產、采購、銷售部門為主；內控體系幾乎涵蓋公司各部門，因為有句話說得好，只要是企業在運作的，其最後的運作成果就是財務數值。

3、內控體系的控制活動的業務流程如何劃分，如何做到將各業務流程進行涵蓋？

最簡單的第一步就是拿到組織架構圖，之後看到是否是以事業部為編制的，則是事業部的名稱作為一級流程，事業部下屬的部門分為二級流程，如果下屬的部門涵蓋多個職能則劃分為三級流程。如銷售事業部，則銷售循環作為一級流程，下屬的商務部負責訂單處理的則作為訂單處理作為二級流程。如商務部有兩個功能除了訂單處理還涉及到銷售貨品的備貨計劃制定。則訂單處理作為二級流程，訂單處理和備貨計劃制定作為三級流程。

4、 單個作業流程具體怎麼描述，怎麼將業務流程所涵蓋的信息進行歸納處理？
作業流程就是描述一個為達到特定的價值目標而由不同的人分別共同完成的一系列活動。一個完整的作業流程應該包含6項內容，具體如下：
流程式控制制人：參與到作業流程中的人，具體描述的時候應注意該控制人所涉及的部門及崗位具體名稱。
控制頻率：作業的時間間隔控制。
控制活動：流程是如何作業的。
控制痕跡：作業完成後形成的書面痕跡
控制方式：系統控制還是人工控制。
異常控制：授權體系外的作業流程是如何控制的。
舉例如下：描述超市客服處對會員積點兌換控制流程，之前描述了一個出納盤點流程，大家都熟悉，這次描述復雜點的。
流程式控制制人：售後服務部的客服專員，客服主官
控制頻率： 客戶不定期來兌換會員積分。
控制活動： 客服專員根據會員要求兌換相應的贈品，同時在xxx系統內扣除積分，並在XX贈品台帳內要求客戶簽字。
控制痕跡： 形成扣完積分的積分表和留有客戶簽字的贈品台帳。
控制方式： 兌換的系統積分由XX系統內扣除。
異常控制： 積分不夠，如客戶要求加錢補足積分，則客戶專員需得到客服主管的口頭授權，在收取錢款後並在贈品台帳做書面說明。
總的一句話：客戶不定期對積分進行兌換，提出兌換的物品，售後服務部的客服專員在XXX系統內扣除積分，同時手工登記贈品台帳，在客戶簽字的情況下，將贈品進行贈送。如積分不夠，如客戶要求加錢補足積分，則客戶專員需得到客服主管的口頭授權，在收取錢款後並在贈品台帳做書面說明。當天營業結束前，客服主管需要對贈品台帳和積分兌換系統進行核對。

5、內控體系建立的流程是怎麼樣的？
大致的作業流程是這樣的：
（1）
組織架構：先建立內控小組，為了使內控體系得到有效落實和貫徹，所以內控小組的組長最好是總經理或者董事長。主要的作業人員最好是公司的內審部門或者新建的內控部或者風險管理部，如果沒有此類部門則最好選一名懂財務的，如財務主管，另外加一名懂業務的作為內控小組的主要作業成員，最好另外輔助2-3名人員。
（2）
業務運作：總經理或者董事長開內控項目啟動會，同時主要成員講述內控系統的作業和具體要求。會議結束後，內控小組給各部門提交部門的制度，內控小組完成制度的對標和梳理工作。各職能部門限期內提交流程。內控小組根據內控指引對現有的作業流程的描述進行評價，同時開展小組會議對各職能部門未設置的流程及有缺欠的流程進行優化重組。內控小組根據談論完畢的各流程進行內控手冊的編制和流程圖的繪制，最後形成內控手冊。由總經理授權下發。
（3）
內控小組等類似部門不定期進行內控評價，並根據各職能部門的變化對內控手冊進行優化等。

6、如果業務部比較忙，無法繪製作業流程，那訪談怎麼做？
首先編制訪談計劃，需要提供給部門接收訪談的人員一個訪談提綱。
訪談一般安排2個人，1人訪談，1人記錄。記錄人不要求將每句話記下來，只要將討論的主題，以及討論的結果記錄下來即可。
訪談的時候，先講明不是來指責部門的作業流程的缺失，而是主要是完善和建立內控體系。訪談的問題主要圍繞作業流程進行，而不是扯淡的問，風險在哪裡，自己說。

7、流程圖怎麼繪制，採用什麼軟體？
一般選擇微軟的visio繪圖軟體或者smart draw 繪圖軟體，這兩者的區別是visio看上去比較正規，而smart draw 比較好看。

8、作業現場是否需要繪制流程圖？
最好繪制流程圖，因為在描述整個流程的時候，如果不繪制流程圖，可能看不到什麼遺漏。最好訪談完畢，直接將流程圖繪制，之後與業務部門進行核對。

9、如何完成制度對表的工作？
制度對表的工作一般可以在進場後的或者訪談結束後，當場完成對制度的評價。制度的評價主要的風險點為：流程描述不清楚或者缺失，崗位職責人或者控制部門不明確，崗位職責未分離，異常流程未描述，控制痕跡或者流程的表單未明確，控制頻率未明確，未體現控制方式。（即未描述存在手工或者系統控制。）

10、如何完成風險點的匯總
現場的風險點的匯總，不是訪談人說什麼風險就是風險點。而是根據訪談人提供的風險點提示，內控人員通過系統或者會計憑證等書面資料核實完畢之後再歸納匯總至風險點。而且在完成風險點之後最好與被訪談人員再次作風險點確認。

11、如何完成風險點的報告？
風險報告主要是對現有的流程的分析，所以可以按照事業部，之後將事業部涉及的流程綜述，之後對各流程進行評價。而不是一堆風險點的堆砌。看上去100-200張ppt但是看得頭暈。而且匯報結束老闆對你不爽。

12、內控檢查與內審的區別和聯系在哪裡？
內控檢查的主要目的是建立和明確完整的作業流程、流程中的崗位職責、授權審批、保留書面控制痕跡。所以內控主要是流程稽核，主要的作業模式就是控制點有沒有建立。
內審的主要目的是保證業務事項的真實合理和提高運營的效率效益。所以內審的作業模式可以通過分析復核、重復計算、訪談等多種手段，核實業務事項是否真實合理。
簡單的說，就是。內控是檢查你吃飯的順序，如先吃菜再吃飯或者先吃飯再吃菜。內審就是檢查吃法好不好，對於胖人吃大量的肥肉，可以建議減少攝入量。

二、體系建立篇
在這里，你將熟悉每個控制活動所涉及的每個流程應該做的內控要點以及關鍵控制點的描述。由於涉及的內容較多，我這里簡單的作一個銷售模塊的內控體系建立，其他模塊的建立可在模仿的情況下，分別建立。

1、銷售模式的確認
一般銷售的模式分如下幾種，正常銷售、國際貿易、團購，涉及到酒類或者其他製造業會涉及到品牌銷售模式。
這里解釋一下品牌銷售模式，即允許被授權商生產與自己相同的產品，貼自己的商標和品牌，收取品牌或者商標費的一種作業模式。

2、正常銷售的流程劃分
由於正常銷售可劃分為單次銷售或者通過訂貨會或者其他模式先簽訂框架合同這種銷售模式進行作業。其實這提到的可以將其作為一場流程進行控制。
一級流程：為銷售流程。
二級流程：可以劃分為銷售定價、信用管理、合同簽訂、訂單處理、備貨處理、發貨簽收、收款入賬處理、開票管理、應收款管理等。
三級流程：
其中銷售定價流程可以劃分為年度銷售定價流程、中期價格變更或者臨時價格變更流程。其中如果是系統控制，則需要明確哪個部門的什麼崗位在系統中進行價格的錄入和變更，最後由誰來審核。
信用管理流程可以劃分為客戶准入評價流程，不定期評價流程及信用變更流程。由於這一塊基本上很少有客戶在進行作業或者處理，所以在調研流程的時候，可能客戶不會提供該流程，所以在編制內控手冊的時候，需要做好與客戶的隨時溝通。
合同簽訂流程可以劃分為合同起草、審核、蓋章和保管作業流程。
訂單處理流程可以劃分為正常訂單處理流程，訂單取消流程和逾期未處理訂單流程等。
備貨處理流程可以劃分為下發貨通知單、物品調配流程和物品調配不足流程。
發貨簽收流程可以劃分為發貨單制定流程、物流選擇流程、出庫審核流程和客戶收貨簽收流程。
收款入賬流程。
發票開具流程含客戶提交增值稅資質流程和開票流程。
應收款流程含應收款催收流程、逾期壞賬准備計提流程、壞賬沖銷流程。

如果調研或者訪談的時候將上述流程調研清楚，同時在內控手冊中描述清楚，那麼銷售模塊基本上就完成了

㈥ IPO第一年就必須要做sox404合規審計嗎

不要吧

㈦ 如何貫徹內控體系建設

一、基礎概念篇
在這里，你將熟悉，內控體系具體是什麼，建立內控體系需要解決的誤區以及流程體系建立的作業流程。
1、
內控體系建設涵蓋哪些東西，主要內容是什麼？
國家要求上市企業建立的內控體系是保證財務報告真實性而要求建立的體系，所以他的具體內容與外資企業的sox404體系差不多。一般整個內控體系涵蓋的內容含如下幾個內控手冊，風險資料庫，內控評價手冊。
內控手冊為每個作業流程的描述，內容含流程描述、流程圖、授權說明、崗位職責分離說明。
風險資料庫可能導致風險的現象描述的匯總。風險指導致公司資產不安全，作業不合規合法，運營效率效益低下，財務報表數據不真實等。
內控評價手冊具體含三部分，第一部分檢查制度設計合理或者文檔的齊全性，第二部分檢查控制過程，第三部分檢查會計帳務處理控制。
2、
內控體系與ISO質量體系有什麼區別和聯系？
目的不同：內控體系是以會計報告為主要目的，而ISO質量體系是以產品質量為主。
控制活動不同：在現階段18個指引來看，內控體系缺少對生產過程式控制制；而ISO質量體系則以產品質量為主，涵蓋產供銷價值鏈，但是缺少會計系統控制。
涉及部門不同：在ISO體系內不存在財務部門，以研發、生產、采購、銷售部門為主；內控體系幾乎涵蓋公司各部門，因為有句話說得好，只要是企業在運作的，其最後的運作成果就是財務數值。
3、內控體系的控制活動的業務流程如何劃分，如何做到將各業務流程進行涵蓋？
最簡單的第一步就是拿到組織架構圖，之後看到是否是以事業部為編制的，則是事業部的名稱作為一級流程，事業部下屬的部門分為二級流程，如果下屬的部門涵蓋多個職能則劃分為三級流程。如銷售事業部，則銷售循環作為一級流程，下屬的商務部負責訂單處理的則作為訂單處理作為二級流程。如商務部有兩個功能除了訂單處理還涉及到銷售貨品的備貨計劃制定。則訂單處理作為二級流程，訂單處理和備貨計劃制定作為三級流程。
4、 單個作業流程具體怎麼描述，怎麼將業務流程所涵蓋的信息進行歸納處理？
作業流程就是描述一個為達到特定的價值目標而由不同的人分別共同完成的一系列活動。一個完整的作業流程應該包含6項內容，具體如下：
流程式控制制人：參與到作業流程中的人，具體描述的時候應注意該控制人所涉及的部門及崗位具體名稱。
控制頻率：作業的時間間隔控制。
控制活動：流程是如何作業的。
控制痕跡：作業完成後形成的書面痕跡
控制方式：系統控制還是人工控制。
異常控制：授權體系外的作業流程是如何控制的。
舉例如下：描述超市客服處對會員積點兌換控制流程，之前描述了一個出納盤點流程，大家都熟悉，這次描述復雜點的。
流程式控制制人：售後服務部的客服專員，客服主官
控制頻率： 客戶不定期來兌換會員積分。
控制活動： 客服專員根據會員要求兌換相應的贈品，同時在xxx系統內扣除積分，並在XX贈品台帳內要求客戶簽字。
控制痕跡： 形成扣完積分的積分表和留有客戶簽字的贈品台帳。
控制方式： 兌換的系統積分由XX系統內扣除。
異常控制： 積分不夠，如客戶要求加錢補足積分，則客戶專員需得到客服主管的口頭授權，在收取錢款後並在贈品台帳做書面說明。
總的一句話：客戶不定期對積分進行兌換，提出兌換的物品，售後服務部的客服專員在XXX系統內扣除積分，同時手工登記贈品台帳，在客戶簽字的情況下，將贈品進行贈送。如積分不夠，如客戶要求加錢補足積分，則客戶專員需得到客服主管的口頭授權，在收取錢款後並在贈品台帳做書面說明。當天營業結束前，客服主管需要對贈品台帳和積分兌換系統進行核對。
5、內控體系建立的流程是怎麼樣的？
大致的作業流程是這樣的：
（1）
組織架構：先建立內控小組，為了使內控體系得到有效落實和貫徹，所以內控小組的組長最好是總經理或者董事長。主要的作業人員最好是公司的內審部門或者新建的內控部或者風險管理部，如果沒有此類部門則最好選一名懂財務的，如財務主管，另外加一名懂業務的作為內控小組的主要作業成員，最好另外輔助2-3名人員。
（2）
業務運作：總經理或者董事長開內控項目啟動會，同時主要成員講述內控系統的作業和具體要求。會議結束後，內控小組給各部門提交部門的制度，內控小組完成制度的對標和梳理工作。各職能部門限期內提交流程。內控小組根據內控指引對現有的作業流程的描述進行評價，同時開展小組會議對各職能部門未設置的流程及有缺欠的流程進行優化重組。內控小組根據談論完畢的各流程進行內控手冊的編制和流程圖的繪制，最後形成內控手冊。由總經理授權下發。
（3）
內控小組等類似部門不定期進行內控評價，並根據各職能部門的變化對內控手冊進行優化等。
6、如果業務部比較忙，無法繪製作業流程，那訪談怎麼做？
首先編制訪談計劃，需要提供給部門接收訪談的人員一個訪談提綱。
訪談一般安排2個人，1人訪談，1人記錄。記錄人不要求將每句話記下來，只要將討論的主題，以及討論的結果記錄下來即可。
訪談的時候，先講明不是來指責部門的作業流程的缺失，而是主要是完善和建立內控體系。訪談的問題主要圍繞作業流程進行，而不是扯淡的問，風險在哪裡，自己說。
7、流程圖怎麼繪制，採用什麼軟體？
一般選擇微軟的visio繪圖軟體或者smart draw 繪圖軟體，這兩者的區別是visio看上去比較正規，而smart draw 比較好看。
8、作業現場是否需要繪制流程圖？
最好繪制流程圖，因為在描述整個流程的時候，如果不繪制流程圖，可能看不到什麼遺漏。最好訪談完畢，直接將流程圖繪制，之後與業務部門進行核對。
9、如何完成制度對表的工作？
制度對表的工作一般可以在進場後的或者訪談結束後，當場完成對制度的評價。制度的評價主要的風險點為：流程描述不清楚或者缺失，崗位職責人或者控制部門不明確，崗位職責未分離，異常流程未描述，控制痕跡或者流程的表單未明確，控制頻率未明確，未體現控制方式。（即未描述存在手工或者系統控制。）
10、如何完成風險點的匯總
現場的風險點的匯總，不是訪談人說什麼風險就是風險點。而是根據訪談人提供的風險點提示，內控人員通過系統或者會計憑證等書面資料核實完畢之後再歸納匯總至風險點。而且在完成風險點之後最好與被訪談人員再次作風險點確認。
11、如何完成風險點的報告？
風險報告主要是對現有的流程的分析，所以可以按照事業部，之後將事業部涉及的流程綜述，之後對各流程進行評價。而不是一堆風險點的堆砌。看上去100-200張ppt但是看得頭暈。而且匯報結束老闆對你不爽。
12、內控檢查與內審的區別和聯系在哪裡？
內控檢查的主要目的是建立和明確完整的作業流程、流程中的崗位職責、授權審批、保留書面控制痕跡。所以內控主要是流程稽核，主要的作業模式就是控制點有沒有建立。
內審的主要目的是保證業務事項的真實合理和提高運營的效率效益。所以內審的作業模式可以通過分析復核、重復計算、訪談等多種手段，核實業務事項是否真實合理。
簡單的說，就是。內控是檢查你吃飯的順序，如先吃菜再吃飯或者先吃飯再吃菜。內審就是檢查吃法好不好，對於胖人吃大量的肥肉，可以建議減少攝入量。
二、體系建立篇
在這里，你將熟悉每個控制活動所涉及的每個流程應該做的內控要點以及關鍵控制點的描述。由於涉及的內容較多，我這里簡單的作一個銷售模塊的內控體系建立，其他模塊的建立可在模仿的情況下，分別建立。
1、銷售模式的確認
一般銷售的模式分如下幾種，正常銷售、國際貿易、團購，涉及到酒類或者其他製造業會涉及到品牌銷售模式。
這里解釋一下品牌銷售模式，即允許被授權商生產與自己相同的產品，貼自己的商標和品牌，收取品牌或者商標費的一種作業模式。
2、正常銷售的流程劃分
由於正常銷售可劃分為單次銷售或者通過訂貨會或者其他模式先簽訂框架合同這種銷售模式進行作業。其實這提到的可以將其作為一場流程進行控制。
一級流程：為銷售流程。
二級流程：可以劃分為銷售定價、信用管理、合同簽訂、訂單處理、備貨處理、發貨簽收、收款入賬處理、開票管理、應收款管理等。
三級流程：
其中銷售定價流程可以劃分為年度銷售定價流程、中期價格變更或者臨時價格變更流程。其中如果是系統控制，則需要明確哪個部門的什麼崗位在系統中進行價格的錄入和變更，最後由誰來審核。
信用管理流程可以劃分為客戶准入評價流程，不定期評價流程及信用變更流程。由於這一塊基本上很少有客戶在進行作業或者處理，所以在調研流程的時候，可能客戶不會提供該流程，所以在編制內控手冊的時候，需要做好與客戶的隨時溝通。
合同簽訂流程可以劃分為合同起草、審核、蓋章和保管作業流程。
訂單處理流程可以劃分為正常訂單處理流程，訂單取消流程和逾期未處理訂單流程等。
備貨處理流程可以劃分為下發貨通知單、物品調配流程和物品調配不足流程。
發貨簽收流程可以劃分為發貨單制定流程、物流選擇流程、出庫審核流程和客戶收貨簽收流程。
收款入賬流程。
發票開具流程含客戶提交增值稅資質流程和開票流程。
應收款流程含應收款催收流程、逾期壞賬准備計提流程、壞賬沖銷流程。
如果調研或者訪談的時候將上述流程調研清楚，同時在內控手冊中描述清楚，那麼銷售模塊基本上就完成了

㈧ 如何建立內部控制體系

一、基礎概念篇
在這里，你將熟悉，內控體系具體是什麼，建立內控體系需要解決的誤區以及流程體系建立的作業流程。

1、
內控體系建設涵蓋哪些東西，主要內容是什麼？
國家要求上市企業建立的內控體系是保證財務報告真實性而要求建立的體系，所以他的具體內容與外資企業的sox404體系差不多。一般整個內控體系涵蓋的內容含如下幾個內控手冊，風險資料庫，內控評價手冊。
內控手冊為每個作業流程的描述，內容含流程描述、流程圖、授權說明、崗位職責分離說明。
風險資料庫可能導致風險的現象描述的匯總。風險指導致公司資產不安全，作業不合規合法，運營效率效益低下，財務報表數據不真實等。
內控評價手冊具體含三部分，第一部分檢查制度設計合理或者文檔的齊全性，第二部分檢查控制過程，第三部分檢查會計帳務處理控制。

2、
內控體系與ISO質量體系有什麼區別和聯系？
目的不同：內控體系是以會計報告為主要目的，而ISO質量體系是以產品質量為主。
控制活動不同：在現階段18個指引來看，內控體系缺少對生產過程式控制制；而ISO質量體系則以產品質量為主，涵蓋產供銷價值鏈，但是缺少會計系統控制。
涉及部門不同：在ISO體系內不存在財務部門，以研發、生產、采購、銷售部門為主；內控體系幾乎涵蓋公司各部門，因為有句話說得好，只要是企業在運作的，其最後的運作成果就是財務數值。

3、內控體系的控制活動的業務流程如何劃分，如何做到將各業務流程進行涵蓋？

最簡單的第一步就是拿到組織架構圖，之後看到是否是以事業部為編制的，則是事業部的名稱作為一級流程，事業部下屬的部門分為二級流程，如果下屬的部門涵蓋多個職能則劃分為三級流程。如銷售事業部，則銷售循環作為一級流程，下屬的商務部負責訂單處理的則作為訂單處理作為二級流程。如商務部有兩個功能除了訂單處理還涉及到銷售貨品的備貨計劃制定。則訂單處理作為二級流程，訂單處理和備貨計劃制定作為三級流程。

4、 單個作業流程具體怎麼描述，怎麼將業務流程所涵蓋的信息進行歸納處理？
作業流程就是描述一個為達到特定的價值目標而由不同的人分別共同完成的一系列活動。一個完整的作業流程應該包含6項內容，具體如下：
流程式控制制人：參與到作業流程中的人，具體描述的時候應注意該控制人所涉及的部門及崗位具體名稱。
控制頻率：作業的時間間隔控制。
控制活動：流程是如何作業的。
控制痕跡：作業完成後形成的書面痕跡
控制方式：系統控制還是人工控制。
異常控制：授權體系外的作業流程是如何控制的。
舉例如下：描述超市客服處對會員積點兌換控制流程，之前描述了一個出納盤點流程，大家都熟悉，這次描述復雜點的。
流程式控制制人：售後服務部的客服專員，客服主官
控制頻率： 客戶不定期來兌換會員積分。
控制活動： 客服專員根據會員要求兌換相應的贈品，同時在xxx系統內扣除積分，並在XX贈品台帳內要求客戶簽字。
控制痕跡： 形成扣完積分的積分表和留有客戶簽字的贈品台帳。
控制方式： 兌換的系統積分由XX系統內扣除。
異常控制： 積分不夠，如客戶要求加錢補足積分，則客戶專員需得到客服主管的口頭授權，在收取錢款後並在贈品台帳做書面說明。
總的一句話：客戶不定期對積分進行兌換，提出兌換的物品，售後服務部的客服專員在XXX系統內扣除積分，同時手工登記贈品台帳，在客戶簽字的情況下，將贈品進行贈送。如積分不夠，如客戶要求加錢補足積分，則客戶專員需得到客服主管的口頭授權，在收取錢款後並在贈品台帳做書面說明。當天營業結束前，客服主管需要對贈品台帳和積分兌換系統進行核對。

5、內控體系建立的流程是怎麼樣的？
大致的作業流程是這樣的：
（1）
組織架構：先建立內控小組，為了使內控體系得到有效落實和貫徹，所以內控小組的組長最好是總經理或者董事長。主要的作業人員最好是公司的內審部門或者新建的內控部或者風險管理部，如果沒有此類部門則最好選一名懂財務的，如財務主管，另外加一名懂業務的作為內控小組的主要作業成員，最好另外輔助2-3名人員。
（2）
業務運作：總經理或者董事長開內控項目啟動會，同時主要成員講述內控系統的作業和具體要求。會議結束後，內控小組給各部門提交部門的制度，內控小組完成制度的對標和梳理工作。各職能部門限期內提交流程。內控小組根據內控指引對現有的作業流程的描述進行評價，同時開展小組會議對各職能部門未設置的流程及有缺欠的流程進行優化重組。內控小組根據談論完畢的各流程進行內控手冊的編制和流程圖的繪制，最後形成內控手冊。由總經理授權下發。
（3）
內控小組等類似部門不定期進行內控評價，並根據各職能部門的變化對內控手冊進行優化等。

6、如果業務部比較忙，無法繪製作業流程，那訪談怎麼做？
首先編制訪談計劃，需要提供給部門接收訪談的人員一個訪談提綱。
訪談一般安排2個人，1人訪談，1人記錄。記錄人不要求將每句話記下來，只要將討論的主題，以及討論的結果記錄下來即可。
訪談的時候，先講明不是來指責部門的作業流程的缺失，而是主要是完善和建立內控體系。訪談的問題主要圍繞作業流程進行，而不是扯淡的問，風險在哪裡，自己說。

7、流程圖怎麼繪制，採用什麼軟體？
一般選擇微軟的visio繪圖軟體或者smart draw 繪圖軟體，這兩者的區別是visio看上去比較正規，而smart draw 比較好看。

8、作業現場是否需要繪制流程圖？
最好繪制流程圖，因為在描述整個流程的時候，如果不繪制流程圖，可能看不到什麼遺漏。最好訪談完畢，直接將流程圖繪制，之後與業務部門進行核對。

9、如何完成制度對表的工作？
制度對表的工作一般可以在進場後的或者訪談結束後，當場完成對制度的評價。制度的評價主要的風險點為：流程描述不清楚或者缺失，崗位職責人或者控制部門不明確，崗位職責未分離，異常流程未描述，控制痕跡或者流程的表單未明確，控制頻率未明確，未體現控制方式。（即未描述存在手工或者系統控制。）

10、如何完成風險點的匯總
現場的風險點的匯總，不是訪談人說什麼風險就是風險點。而是根據訪談人提供的風險點提示，內控人員通過系統或者會計憑證等書面資料核實完畢之後再歸納匯總至風險點。而且在完成風險點之後最好與被訪談人員再次作風險點確認。

11、如何完成風險點的報告？
風險報告主要是對現有的流程的分析，所以可以按照事業部，之後將事業部涉及的流程綜述，之後對各流程進行評價。而不是一堆風險點的堆砌。看上去100-200張ppt但是看得頭暈。而且匯報結束老闆對你不爽。

12、內控檢查與內審的區別和聯系在哪裡？
內控檢查的主要目的是建立和明確完整的作業流程、流程中的崗位職責、授權審批、保留書面控制痕跡。所以內控主要是流程稽核，主要的作業模式就是控制點有沒有建立。
內審的主要目的是保證業務事項的真實合理和提高運營的效率效益。所以內審的作業模式可以通過分析復核、重復計算、訪談等多種手段，核實業務事項是否真實合理。
簡單的說，就是。內控是檢查你吃飯的順序，如先吃菜再吃飯或者先吃飯再吃菜。內審就是檢查吃法好不好，對於胖人吃大量的肥肉，可以建議減少攝入量。

二、體系建立篇
在這里，你將熟悉每個控制活動所涉及的每個流程應該做的內控要點以及關鍵控制點的描述。由於涉及的內容較多，我這里簡單的作一個銷售模塊的內控體系建立，其他模塊的建立可在模仿的情況下，分別建立。

1、銷售模式的確認
一般銷售的模式分如下幾種，正常銷售、國際貿易、團購，涉及到酒類或者其他製造業會涉及到品牌銷售模式。
這里解釋一下品牌銷售模式，即允許被授權商生產與自己相同的產品，貼自己的商標和品牌，收取品牌或者商標費的一種作業模式。

2、正常銷售的流程劃分
由於正常銷售可劃分為單次銷售或者通過訂貨會或者其他模式先簽訂框架合同這種銷售模式進行作業。其實這提到的可以將其作為一場流程進行控制。
一級流程：為銷售流程。
二級流程：可以劃分為銷售定價、信用管理、合同簽訂、訂單處理、備貨處理、發貨簽收、收款入賬處理、開票管理、應收款管理等。
三級流程：
其中銷售定價流程可以劃分為年度銷售定價流程、中期價格變更或者臨時價格變更流程。其中如果是系統控制，則需要明確哪個部門的什麼崗位在系統中進行價格的錄入和變更，最後由誰來審核。
信用管理流程可以劃分為客戶准入評價流程，不定期評價流程及信用變更流程。由於這一塊基本上很少有客戶在進行作業或者處理，所以在調研流程的時候，可能客戶不會提供該流程，所以在編制內控手冊的時候，需要做好與客戶的隨時溝通。
合同簽訂流程可以劃分為合同起草、審核、蓋章和保管作業流程。
訂單處理流程可以劃分為正常訂單處理流程，訂單取消流程和逾期未處理訂單流程等。
備貨處理流程可以劃分為下發貨通知單、物品調配流程和物品調配不足流程。
發貨簽收流程可以劃分為發貨單制定流程、物流選擇流程、出庫審核流程和客戶收貨簽收流程。
收款入賬流程。
發票開具流程含客戶提交增值稅資質流程和開票流程。
應收款流程含應收款催收流程、逾期壞賬准備計提流程、壞賬沖銷流程。

如果調研或者訪談的時候將上述流程調研清楚，同時在內控手冊中描述清楚，那麼銷售模塊基本上就完成了

㈨ 中國內控檢查是干什麼用

1合規性。滿足404條款或中國《企業內控基本規范》
2、企業內控管理要求。減少舞弊機率。

㈩ 中海油的SOX 404項目成果是什麼

http://www.oilchina.com/xxzx/xl.jsp?bsm=042EEC8D8.000050AB.237C&db=zlyj

中海油積極應對美出台SOX404法案
據國資委網站消息，美國針對上市公司的SOX404法案出台後，中國海洋石油有限公司全面展開SOX404法案的實施工作，各部門、各分公司積極參與，取得了階段性的成果。目前公司總部、四家分公司及印尼SES子公司已完成了內控流程文檔化及符合性測試工作。下一步將是各單位對測試過程中發現的內控和管理問題進行及時和有效的改進。
美國安然和世通財務丑聞案發生後，2002年，美國國會通過了一系列法案，其中包括薩班斯-奧克斯利法案，該法案，特別是其中的404章節，對在美國上市的所有企業都具有重大的影響。SOX404法案要求在美國上市的公司必須建立一套有效的內部控制制度，並在年報中對內部控制有效性進行評價，評價結果還需要經過審計師的審計。
作為一家在美國上市的公司，中海油有限公司對此法案十分重視。在法案出台後，公司立即組織專門人員著手研究應對措施。2003年，中海油有限公司成立專門工作小組進行實施SOX404法案的工作，並聘請了安永會計師事務所作為公司的實施顧問。
中海油有限公司管理層對實施SOX404法案工作十分重視，在公司董事會上定期報告SOX404的實施工作進展。為了強調實施SOX404的重要性，去年4月19日，公司董事長兼首席執行官傅成玉專門寫了一封公開信給公司全體員工，並在信中明確指出該項工作不僅僅是實施小組或財務部門的任務，更需要公司方方面面、各個部門乃至全體員工的參與和關注。公司管理層同時強調實施SOX404的意義不僅限於遵循海外資本市場監管機構的法律要求，更重要的它是進一步加強公司內部控制，提升風險管理的良好契機。
根據中海油有限公司計劃，實施過程大致分為三個階段工作：分析評價中海油有限公司的內部控制狀況；按SOX404法案要求對公司內控流程文檔進行整理、優化，並完成內控符合性測試工作；對公司內控的執行有效性進行測試，進而對公司整體內控有效性進行評價，形成公司內部控制報告。
據了解，為增強各部門、各分公司對SOX404法案的了解和認識，推動學習當今內部控制及風險管理領域的先進理念和知識，中海油有限公司SOX404工作小組充分利用在總部及各分公司現場實施SOX404及公司召開財務系統工作會議等機會，積極組織了十幾次的SOX404及內部控制的相關培訓，面向總部和分公司各級管理層及執行層，培訓人數達600多人次，收到了良好的效果。
雖然今年3月份美國證券交易委員會再度推遲了在美國上市的外國公司SOX404生效的時間，中海油有限公司仍將實施目標定為2005年12月31日前達到SOX404的要求，並希望投入更多的時間和精力以達到促進管理的目標。完善和改進內部控制(包括實施SOX404)不是臨時性或一次性的，其將是一項始終存在公司日常工作中需要持續改進的工作。