404内控

㈠ 美国国会颁布的发班斯法案中的404条款要求公司在年报中披露内部控制评价报告，这一制度只适用于在美上

第404节 管理层对内部控制的评价
(a) 内部控制方面的要求——SEC应当相应的规定，要求按《1934年证券交易法》第13节(a)或15节(d)编制的年度报告中包括内部控制报告，包括：
(1) 强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任；
(2) 发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价；
(b) 内部控制评价报告——――
对于本节(a)中要求的管理层对内部控制的评价，担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。

㈡ SOX404具体内容是什么

◆404条款的要求：萨班斯法案404条款要求，管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容：

●管理层有责任为企业建立和维护恰当的与财务报告有关的内部控制。

●识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。

●对从一上个会计年度末以来与财务报告有关的内部控制的有效性予以评估，其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。

●年度审计报告中，注册会计师事务所发表的财务审计报告，包括管理层对与财务报告有关的内部控制有效性评估的证明报告。

●管理层关于公司针对财务报告内部控制有效性评估的书面结论，应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式，但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见。

●如果与财务报告有关的内部控制中有一个或多个重要缺陷，管理层将不能对财务报告的内部控制有效性作出评估结论，而且，管理层应该披露自最近一个会计年度末以来财务报告内部控制方面的所有重要缺陷。

公司在对财务报告作出确认时需要借助于企业的IT系统。为了识别管理层对财务报告所作的相关认定，审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时，审计师应该评价IT系统的性质、复杂程度以及企业IT的使用状况。因此，所有企业构建IT内部控制至少都应具备以下三层通用要素：企业管理层、业务流程和共享服务。

㈢ 请问关于内部控制、COSO、风险管理怎么样做，哪里有资料

COSO是全国虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of The National Commission of Fraulent Financial Reporting）的英文缩写。根据《萨班斯法案》第404节条款以及美国证券交易委员会（SEC）的相应实施标准，要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。2004年3月9日，PCAOB发布了其第2号审计标准：“与财务报表审计相关的针对财务报告的内部控制的审计”，并于6月18日经SEC批准。SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的《内部控制—综合框架》（也称“COSO内部控制框架”）。这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。

因此可以说，在美国为管理层的评估目标提供的适宜框架就是COSO框架。当然其他国家也公布了一些适宜的框架，如加拿大的COCO框架等。标准还指出，尽管不同的框架可能没有精确地含有与COSO一样的组成要素，但他们所含有的组成部分涵盖了COSO的所有常规主题。因此，如果管理层运用了区别于COSO的适宜框架时，审计师应以合理的方式运用2号审计标准中的概念和方针。

COSO内部控制框架能确认出内部控制的三大主要目标，即运营的效率和效果，财务报告的可靠性，以及遵守适用的法律和规章。此外，标准将控制环境、风险评估、控制活动、信息和沟通、监控作为框架的五大组成要素，服务于上述三大目标。

虽然不能把COSO内部控制框架看作是符合SEC要求的唯一适宜框架，但是相对于以往各行其是的内部控制评估标准来说，PCAOB的工作对于规范化的内部控制设计、实施、监督、评估与不断改进是有重大进步意义的，它使许多美国公司的各层管理者能在一个统一的框架内有效履行其内部控制的职责，并为会计师行业对内部控制的评估提供了一个基础。该标准将力促公司建立有效的内部控制监督体系，这为有效的公司治理奠定了良好的基础。

㈣ 企业内部控制规范与IT内部控制有什么关系

以下解答摘自谷安天下咨询顾问发表的相关文章：
企业内部控制基本规范包含的五要素框架：
（一）内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
（二）风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
（三）控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
（四）信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。
（五）监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并做出相应处理的过程，是实施内部控制的重要保证。
相应的，IT内部控制框架也应对于企业内部控制的五要素框架：
（一）IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境，同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责，IT决策机制，IT合规与IT审计等。
（二）IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划，IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。
（三）IT控制措施。针对风险评估的结果，在IT方面需要实施具体的IT控制措施，包括IT技术类控制措施，如防火墙、防病毒、入侵检测、身份管理、权限管理等，以及IT管理类控制措施，包括各类IT管控制度与流程，如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离，授权审批等。
（四）信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制，建立服务台与事件管理程序，及时传达企业内部层级之间和与企业外部相关的信息。
（五）监督检查。需要建立IT内部控制体系的审核机制，评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等，和管理手段如内部IT审核、管理评审、专项检查等措施，不断改进企业的IT内部控制。
综合分析IT内部控制的组件，谷安天下将IT的控制分为三个层面：
（一）公司层控制。在公司层面建立IT治理架构，完善IT组织与职责，制定IT决策机制，实行IT人员绩效考核，加强IT合规与IT审计。
（二）流程与应用层控制。分析企业业务流程与活动，在企业业务流程、应用系统层面与通用IT流程层面建立控制，重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。
（三）资源层控制。针对企业业务运作所依赖的各类信息资产和IT资源，分析具体每个资源点的风险，建立风险控制措施。

㈤ 如何建立风险与内控管理体系

仅供参考
一、基础概念篇
在这里，你将熟悉，内控体系具体是什么，建立内控体系需要解决的误区以及流程体系建立的作业流程。

1、内控体系建设涵盖哪些东西，主要内容是什么？
国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系，所以他的具体内容与外资企业的sox404体系差不多。一般整个内控体系涵盖的内容含如下几个内控手册，风险数据库，内控评价手册。
内控手册为每个作业流程的描述，内容含流程描述、流程图、授权说明、岗位职责分离说明。
风险数据库可能导致风险的现象描述的汇总。风险指导致公司资产不安全，作业不合规合法，运营效率效益低下，财务报表数据不真实等。
内控评价手册具体含三部分，第一部分检查制度设计合理或者文档的齐全性，第二部分检查控制过程，第三部分检查会计帐务处理控制。

2、内控体系与ISO质量体系有什么区别和联系？
目的不同：内控体系是以会计报告为主要目的，而ISO质量体系是以产品质量为主。
控制活动不同：在现阶段18个指引来看，内控体系缺少对生产过程控制；而ISO质量体系则以产品质量为主，涵盖产供销价值链，但是缺少会计系统控制。
涉及部门不同：在ISO体系内不存在财务部门，以研发、生产、采购、销售部门为主；内控体系几乎涵盖公司各部门，因为有句话说得好，只要是企业在运作的，其最后的运作成果就是财务数值。

3、内控体系的控制活动的业务流程如何划分，如何做到将各业务流程进行涵盖？

最简单的第一步就是拿到组织架构图，之后看到是否是以事业部为编制的，则是事业部的名称作为一级流程，事业部下属的部门分为二级流程，如果下属的部门涵盖多个职能则划分为三级流程。如销售事业部，则销售循环作为一级流程，下属的商务部负责订单处理的则作为订单处理作为二级流程。如商务部有两个功能除了订单处理还涉及到销售货品的备货计划制定。则订单处理作为二级流程，订单处理和备货计划制定作为三级流程。

4、 单个作业流程具体怎么描述，怎么将业务流程所涵盖的信息进行归纳处理？
作业流程就是描述一个为达到特定的价值目标而由不同的人分别共同完成的一系列活动。一个完整的作业流程应该包含6项内容，具体如下：
流程控制人：参与到作业流程中的人，具体描述的时候应注意该控制人所涉及的部门及岗位具体名称。
控制频率：作业的时间间隔控制。
控制活动：流程是如何作业的。
控制痕迹：作业完成后形成的书面痕迹
控制方式：系统控制还是人工控制。
异常控制：授权体系外的作业流程是如何控制的。
举例如下：描述超市客服处对会员积点兑换控制流程，之前描述了一个出纳盘点流程，大家都熟悉，这次描述复杂点的。
流程控制人：售后服务部的客服专员，客服主官
控制频率： 客户不定期来兑换会员积分。
控制活动： 客服专员根据会员要求兑换相应的赠品，同时在xxx系统内扣除积分，并在XX赠品台帐内要求客户签字。
控制痕迹： 形成扣完积分的积分表和留有客户签字的赠品台帐。
控制方式： 兑换的系统积分由XX系统内扣除。
异常控制： 积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。
总的一句话：客户不定期对积分进行兑换，提出兑换的物品，售后服务部的客服专员在XXX系统内扣除积分，同时手工登记赠品台帐，在客户签字的情况下，将赠品进行赠送。如积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。当天营业结束前，客服主管需要对赠品台帐和积分兑换系统进行核对。

5、内控体系建立的流程是怎么样的？
大致的作业流程是这样的：
（1）
组织架构：先建立内控小组，为了使内控体系得到有效落实和贯彻，所以内控小组的组长最好是总经理或者董事长。主要的作业人员最好是公司的内审部门或者新建的内控部或者风险管理部，如果没有此类部门则最好选一名懂财务的，如财务主管，另外加一名懂业务的作为内控小组的主要作业成员，最好另外辅助2-3名人员。
（2）
业务运作：总经理或者董事长开内控项目启动会，同时主要成员讲述内控系统的作业和具体要求。会议结束后，内控小组给各部门提交部门的制度，内控小组完成制度的对标和梳理工作。各职能部门限期内提交流程。内控小组根据内控指引对现有的作业流程的描述进行评价，同时开展小组会议对各职能部门未设置的流程及有缺欠的流程进行优化重组。内控小组根据谈论完毕的各流程进行内控手册的编制和流程图的绘制，最后形成内控手册。由总经理授权下发。
（3）
内控小组等类似部门不定期进行内控评价，并根据各职能部门的变化对内控手册进行优化等。

6、如果业务部比较忙，无法绘制作业流程，那访谈怎么做？
首先编制访谈计划，需要提供给部门接收访谈的人员一个访谈提纲。
访谈一般安排2个人，1人访谈，1人记录。记录人不要求将每句话记下来，只要将讨论的主题，以及讨论的结果记录下来即可。
访谈的时候，先讲明不是来指责部门的作业流程的缺失，而是主要是完善和建立内控体系。访谈的问题主要围绕作业流程进行，而不是扯淡的问，风险在哪里，自己说。

7、流程图怎么绘制，采用什么软件？
一般选择微软的visio绘图软件或者smart draw 绘图软件，这两者的区别是visio看上去比较正规，而smart draw 比较好看。

8、作业现场是否需要绘制流程图？
最好绘制流程图，因为在描述整个流程的时候，如果不绘制流程图，可能看不到什么遗漏。最好访谈完毕，直接将流程图绘制，之后与业务部门进行核对。

9、如何完成制度对表的工作？
制度对表的工作一般可以在进场后的或者访谈结束后，当场完成对制度的评价。制度的评价主要的风险点为：流程描述不清楚或者缺失，岗位职责人或者控制部门不明确，岗位职责未分离，异常流程未描述，控制痕迹或者流程的表单未明确，控制频率未明确，未体现控制方式。（即未描述存在手工或者系统控制。）

10、如何完成风险点的汇总
现场的风险点的汇总，不是访谈人说什么风险就是风险点。而是根据访谈人提供的风险点提示，内控人员通过系统或者会计凭证等书面资料核实完毕之后再归纳汇总至风险点。而且在完成风险点之后最好与被访谈人员再次作风险点确认。

11、如何完成风险点的报告？
风险报告主要是对现有的流程的分析，所以可以按照事业部，之后将事业部涉及的流程综述，之后对各流程进行评价。而不是一堆风险点的堆砌。看上去100-200张ppt但是看得头晕。而且汇报结束老板对你不爽。

12、内控检查与内审的区别和联系在哪里？
内控检查的主要目的是建立和明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。所以内控主要是流程稽核，主要的作业模式就是控制点有没有建立。
内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段，核实业务事项是否真实合理。
简单的说，就是。内控是检查你吃饭的顺序，如先吃菜再吃饭或者先吃饭再吃菜。内审就是检查吃法好不好，对于胖人吃大量的肥肉，可以建议减少摄入量。

二、体系建立篇
在这里，你将熟悉每个控制活动所涉及的每个流程应该做的内控要点以及关键控制点的描述。由于涉及的内容较多，我这里简单的作一个销售模块的内控体系建立，其他模块的建立可在模仿的情况下，分别建立。

1、销售模式的确认
一般销售的模式分如下几种，正常销售、国际贸易、团购，涉及到酒类或者其他制造业会涉及到品牌销售模式。
这里解释一下品牌销售模式，即允许被授权商生产与自己相同的产品，贴自己的商标和品牌，收取品牌或者商标费的一种作业模式。

2、正常销售的流程划分
由于正常销售可划分为单次销售或者通过订货会或者其他模式先签订框架合同这种销售模式进行作业。其实这提到的可以将其作为一场流程进行控制。
一级流程：为销售流程。
二级流程：可以划分为销售定价、信用管理、合同签订、订单处理、备货处理、发货签收、收款入账处理、开票管理、应收款管理等。
三级流程：
其中销售定价流程可以划分为年度销售定价流程、中期价格变更或者临时价格变更流程。其中如果是系统控制，则需要明确哪个部门的什么岗位在系统中进行价格的录入和变更，最后由谁来审核。
信用管理流程可以划分为客户准入评价流程，不定期评价流程及信用变更流程。由于这一块基本上很少有客户在进行作业或者处理，所以在调研流程的时候，可能客户不会提供该流程，所以在编制内控手册的时候，需要做好与客户的随时沟通。
合同签订流程可以划分为合同起草、审核、盖章和保管作业流程。
订单处理流程可以划分为正常订单处理流程，订单取消流程和逾期未处理订单流程等。
备货处理流程可以划分为下发货通知单、物品调配流程和物品调配不足流程。
发货签收流程可以划分为发货单制定流程、物流选择流程、出库审核流程和客户收货签收流程。
收款入账流程。
发票开具流程含客户提交增值税资质流程和开票流程。
应收款流程含应收款催收流程、逾期坏账准备计提流程、坏账冲销流程。

如果调研或者访谈的时候将上述流程调研清楚，同时在内控手册中描述清楚，那么销售模块基本上就完成了

㈥ IPO第一年就必须要做sox404合规审计吗

不要吧

㈦ 如何贯彻内控体系建设

一、基础概念篇
在这里，你将熟悉，内控体系具体是什么，建立内控体系需要解决的误区以及流程体系建立的作业流程。
1、
内控体系建设涵盖哪些东西，主要内容是什么？
国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系，所以他的具体内容与外资企业的sox404体系差不多。一般整个内控体系涵盖的内容含如下几个内控手册，风险数据库，内控评价手册。
内控手册为每个作业流程的描述，内容含流程描述、流程图、授权说明、岗位职责分离说明。
风险数据库可能导致风险的现象描述的汇总。风险指导致公司资产不安全，作业不合规合法，运营效率效益低下，财务报表数据不真实等。
内控评价手册具体含三部分，第一部分检查制度设计合理或者文档的齐全性，第二部分检查控制过程，第三部分检查会计帐务处理控制。
2、
内控体系与ISO质量体系有什么区别和联系？
目的不同：内控体系是以会计报告为主要目的，而ISO质量体系是以产品质量为主。
控制活动不同：在现阶段18个指引来看，内控体系缺少对生产过程控制；而ISO质量体系则以产品质量为主，涵盖产供销价值链，但是缺少会计系统控制。
涉及部门不同：在ISO体系内不存在财务部门，以研发、生产、采购、销售部门为主；内控体系几乎涵盖公司各部门，因为有句话说得好，只要是企业在运作的，其最后的运作成果就是财务数值。
3、内控体系的控制活动的业务流程如何划分，如何做到将各业务流程进行涵盖？
最简单的第一步就是拿到组织架构图，之后看到是否是以事业部为编制的，则是事业部的名称作为一级流程，事业部下属的部门分为二级流程，如果下属的部门涵盖多个职能则划分为三级流程。如销售事业部，则销售循环作为一级流程，下属的商务部负责订单处理的则作为订单处理作为二级流程。如商务部有两个功能除了订单处理还涉及到销售货品的备货计划制定。则订单处理作为二级流程，订单处理和备货计划制定作为三级流程。
4、 单个作业流程具体怎么描述，怎么将业务流程所涵盖的信息进行归纳处理？
作业流程就是描述一个为达到特定的价值目标而由不同的人分别共同完成的一系列活动。一个完整的作业流程应该包含6项内容，具体如下：
流程控制人：参与到作业流程中的人，具体描述的时候应注意该控制人所涉及的部门及岗位具体名称。
控制频率：作业的时间间隔控制。
控制活动：流程是如何作业的。
控制痕迹：作业完成后形成的书面痕迹
控制方式：系统控制还是人工控制。
异常控制：授权体系外的作业流程是如何控制的。
举例如下：描述超市客服处对会员积点兑换控制流程，之前描述了一个出纳盘点流程，大家都熟悉，这次描述复杂点的。
流程控制人：售后服务部的客服专员，客服主官
控制频率： 客户不定期来兑换会员积分。
控制活动： 客服专员根据会员要求兑换相应的赠品，同时在xxx系统内扣除积分，并在XX赠品台帐内要求客户签字。
控制痕迹： 形成扣完积分的积分表和留有客户签字的赠品台帐。
控制方式： 兑换的系统积分由XX系统内扣除。
异常控制： 积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。
总的一句话：客户不定期对积分进行兑换，提出兑换的物品，售后服务部的客服专员在XXX系统内扣除积分，同时手工登记赠品台帐，在客户签字的情况下，将赠品进行赠送。如积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。当天营业结束前，客服主管需要对赠品台帐和积分兑换系统进行核对。
5、内控体系建立的流程是怎么样的？
大致的作业流程是这样的：
（1）
组织架构：先建立内控小组，为了使内控体系得到有效落实和贯彻，所以内控小组的组长最好是总经理或者董事长。主要的作业人员最好是公司的内审部门或者新建的内控部或者风险管理部，如果没有此类部门则最好选一名懂财务的，如财务主管，另外加一名懂业务的作为内控小组的主要作业成员，最好另外辅助2-3名人员。
（2）
业务运作：总经理或者董事长开内控项目启动会，同时主要成员讲述内控系统的作业和具体要求。会议结束后，内控小组给各部门提交部门的制度，内控小组完成制度的对标和梳理工作。各职能部门限期内提交流程。内控小组根据内控指引对现有的作业流程的描述进行评价，同时开展小组会议对各职能部门未设置的流程及有缺欠的流程进行优化重组。内控小组根据谈论完毕的各流程进行内控手册的编制和流程图的绘制，最后形成内控手册。由总经理授权下发。
（3）
内控小组等类似部门不定期进行内控评价，并根据各职能部门的变化对内控手册进行优化等。
6、如果业务部比较忙，无法绘制作业流程，那访谈怎么做？
首先编制访谈计划，需要提供给部门接收访谈的人员一个访谈提纲。
访谈一般安排2个人，1人访谈，1人记录。记录人不要求将每句话记下来，只要将讨论的主题，以及讨论的结果记录下来即可。
访谈的时候，先讲明不是来指责部门的作业流程的缺失，而是主要是完善和建立内控体系。访谈的问题主要围绕作业流程进行，而不是扯淡的问，风险在哪里，自己说。
7、流程图怎么绘制，采用什么软件？
一般选择微软的visio绘图软件或者smart draw 绘图软件，这两者的区别是visio看上去比较正规，而smart draw 比较好看。
8、作业现场是否需要绘制流程图？
最好绘制流程图，因为在描述整个流程的时候，如果不绘制流程图，可能看不到什么遗漏。最好访谈完毕，直接将流程图绘制，之后与业务部门进行核对。
9、如何完成制度对表的工作？
制度对表的工作一般可以在进场后的或者访谈结束后，当场完成对制度的评价。制度的评价主要的风险点为：流程描述不清楚或者缺失，岗位职责人或者控制部门不明确，岗位职责未分离，异常流程未描述，控制痕迹或者流程的表单未明确，控制频率未明确，未体现控制方式。（即未描述存在手工或者系统控制。）
10、如何完成风险点的汇总
现场的风险点的汇总，不是访谈人说什么风险就是风险点。而是根据访谈人提供的风险点提示，内控人员通过系统或者会计凭证等书面资料核实完毕之后再归纳汇总至风险点。而且在完成风险点之后最好与被访谈人员再次作风险点确认。
11、如何完成风险点的报告？
风险报告主要是对现有的流程的分析，所以可以按照事业部，之后将事业部涉及的流程综述，之后对各流程进行评价。而不是一堆风险点的堆砌。看上去100-200张ppt但是看得头晕。而且汇报结束老板对你不爽。
12、内控检查与内审的区别和联系在哪里？
内控检查的主要目的是建立和明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。所以内控主要是流程稽核，主要的作业模式就是控制点有没有建立。
内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段，核实业务事项是否真实合理。
简单的说，就是。内控是检查你吃饭的顺序，如先吃菜再吃饭或者先吃饭再吃菜。内审就是检查吃法好不好，对于胖人吃大量的肥肉，可以建议减少摄入量。
二、体系建立篇
在这里，你将熟悉每个控制活动所涉及的每个流程应该做的内控要点以及关键控制点的描述。由于涉及的内容较多，我这里简单的作一个销售模块的内控体系建立，其他模块的建立可在模仿的情况下，分别建立。
1、销售模式的确认
一般销售的模式分如下几种，正常销售、国际贸易、团购，涉及到酒类或者其他制造业会涉及到品牌销售模式。
这里解释一下品牌销售模式，即允许被授权商生产与自己相同的产品，贴自己的商标和品牌，收取品牌或者商标费的一种作业模式。
2、正常销售的流程划分
由于正常销售可划分为单次销售或者通过订货会或者其他模式先签订框架合同这种销售模式进行作业。其实这提到的可以将其作为一场流程进行控制。
一级流程：为销售流程。
二级流程：可以划分为销售定价、信用管理、合同签订、订单处理、备货处理、发货签收、收款入账处理、开票管理、应收款管理等。
三级流程：
其中销售定价流程可以划分为年度销售定价流程、中期价格变更或者临时价格变更流程。其中如果是系统控制，则需要明确哪个部门的什么岗位在系统中进行价格的录入和变更，最后由谁来审核。
信用管理流程可以划分为客户准入评价流程，不定期评价流程及信用变更流程。由于这一块基本上很少有客户在进行作业或者处理，所以在调研流程的时候，可能客户不会提供该流程，所以在编制内控手册的时候，需要做好与客户的随时沟通。
合同签订流程可以划分为合同起草、审核、盖章和保管作业流程。
订单处理流程可以划分为正常订单处理流程，订单取消流程和逾期未处理订单流程等。
备货处理流程可以划分为下发货通知单、物品调配流程和物品调配不足流程。
发货签收流程可以划分为发货单制定流程、物流选择流程、出库审核流程和客户收货签收流程。
收款入账流程。
发票开具流程含客户提交增值税资质流程和开票流程。
应收款流程含应收款催收流程、逾期坏账准备计提流程、坏账冲销流程。
如果调研或者访谈的时候将上述流程调研清楚，同时在内控手册中描述清楚，那么销售模块基本上就完成了

㈧ 如何建立内部控制体系

一、基础概念篇
在这里，你将熟悉，内控体系具体是什么，建立内控体系需要解决的误区以及流程体系建立的作业流程。

1、
内控体系建设涵盖哪些东西，主要内容是什么？
国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系，所以他的具体内容与外资企业的sox404体系差不多。一般整个内控体系涵盖的内容含如下几个内控手册，风险数据库，内控评价手册。
内控手册为每个作业流程的描述，内容含流程描述、流程图、授权说明、岗位职责分离说明。
风险数据库可能导致风险的现象描述的汇总。风险指导致公司资产不安全，作业不合规合法，运营效率效益低下，财务报表数据不真实等。
内控评价手册具体含三部分，第一部分检查制度设计合理或者文档的齐全性，第二部分检查控制过程，第三部分检查会计帐务处理控制。

2、
内控体系与ISO质量体系有什么区别和联系？
目的不同：内控体系是以会计报告为主要目的，而ISO质量体系是以产品质量为主。
控制活动不同：在现阶段18个指引来看，内控体系缺少对生产过程控制；而ISO质量体系则以产品质量为主，涵盖产供销价值链，但是缺少会计系统控制。
涉及部门不同：在ISO体系内不存在财务部门，以研发、生产、采购、销售部门为主；内控体系几乎涵盖公司各部门，因为有句话说得好，只要是企业在运作的，其最后的运作成果就是财务数值。

3、内控体系的控制活动的业务流程如何划分，如何做到将各业务流程进行涵盖？

最简单的第一步就是拿到组织架构图，之后看到是否是以事业部为编制的，则是事业部的名称作为一级流程，事业部下属的部门分为二级流程，如果下属的部门涵盖多个职能则划分为三级流程。如销售事业部，则销售循环作为一级流程，下属的商务部负责订单处理的则作为订单处理作为二级流程。如商务部有两个功能除了订单处理还涉及到销售货品的备货计划制定。则订单处理作为二级流程，订单处理和备货计划制定作为三级流程。

4、 单个作业流程具体怎么描述，怎么将业务流程所涵盖的信息进行归纳处理？
作业流程就是描述一个为达到特定的价值目标而由不同的人分别共同完成的一系列活动。一个完整的作业流程应该包含6项内容，具体如下：
流程控制人：参与到作业流程中的人，具体描述的时候应注意该控制人所涉及的部门及岗位具体名称。
控制频率：作业的时间间隔控制。
控制活动：流程是如何作业的。
控制痕迹：作业完成后形成的书面痕迹
控制方式：系统控制还是人工控制。
异常控制：授权体系外的作业流程是如何控制的。
举例如下：描述超市客服处对会员积点兑换控制流程，之前描述了一个出纳盘点流程，大家都熟悉，这次描述复杂点的。
流程控制人：售后服务部的客服专员，客服主官
控制频率： 客户不定期来兑换会员积分。
控制活动： 客服专员根据会员要求兑换相应的赠品，同时在xxx系统内扣除积分，并在XX赠品台帐内要求客户签字。
控制痕迹： 形成扣完积分的积分表和留有客户签字的赠品台帐。
控制方式： 兑换的系统积分由XX系统内扣除。
异常控制： 积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。
总的一句话：客户不定期对积分进行兑换，提出兑换的物品，售后服务部的客服专员在XXX系统内扣除积分，同时手工登记赠品台帐，在客户签字的情况下，将赠品进行赠送。如积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。当天营业结束前，客服主管需要对赠品台帐和积分兑换系统进行核对。

5、内控体系建立的流程是怎么样的？
大致的作业流程是这样的：
（1）
组织架构：先建立内控小组，为了使内控体系得到有效落实和贯彻，所以内控小组的组长最好是总经理或者董事长。主要的作业人员最好是公司的内审部门或者新建的内控部或者风险管理部，如果没有此类部门则最好选一名懂财务的，如财务主管，另外加一名懂业务的作为内控小组的主要作业成员，最好另外辅助2-3名人员。
（2）
业务运作：总经理或者董事长开内控项目启动会，同时主要成员讲述内控系统的作业和具体要求。会议结束后，内控小组给各部门提交部门的制度，内控小组完成制度的对标和梳理工作。各职能部门限期内提交流程。内控小组根据内控指引对现有的作业流程的描述进行评价，同时开展小组会议对各职能部门未设置的流程及有缺欠的流程进行优化重组。内控小组根据谈论完毕的各流程进行内控手册的编制和流程图的绘制，最后形成内控手册。由总经理授权下发。
（3）
内控小组等类似部门不定期进行内控评价，并根据各职能部门的变化对内控手册进行优化等。

6、如果业务部比较忙，无法绘制作业流程，那访谈怎么做？
首先编制访谈计划，需要提供给部门接收访谈的人员一个访谈提纲。
访谈一般安排2个人，1人访谈，1人记录。记录人不要求将每句话记下来，只要将讨论的主题，以及讨论的结果记录下来即可。
访谈的时候，先讲明不是来指责部门的作业流程的缺失，而是主要是完善和建立内控体系。访谈的问题主要围绕作业流程进行，而不是扯淡的问，风险在哪里，自己说。

7、流程图怎么绘制，采用什么软件？
一般选择微软的visio绘图软件或者smart draw 绘图软件，这两者的区别是visio看上去比较正规，而smart draw 比较好看。

8、作业现场是否需要绘制流程图？
最好绘制流程图，因为在描述整个流程的时候，如果不绘制流程图，可能看不到什么遗漏。最好访谈完毕，直接将流程图绘制，之后与业务部门进行核对。

9、如何完成制度对表的工作？
制度对表的工作一般可以在进场后的或者访谈结束后，当场完成对制度的评价。制度的评价主要的风险点为：流程描述不清楚或者缺失，岗位职责人或者控制部门不明确，岗位职责未分离，异常流程未描述，控制痕迹或者流程的表单未明确，控制频率未明确，未体现控制方式。（即未描述存在手工或者系统控制。）

10、如何完成风险点的汇总
现场的风险点的汇总，不是访谈人说什么风险就是风险点。而是根据访谈人提供的风险点提示，内控人员通过系统或者会计凭证等书面资料核实完毕之后再归纳汇总至风险点。而且在完成风险点之后最好与被访谈人员再次作风险点确认。

11、如何完成风险点的报告？
风险报告主要是对现有的流程的分析，所以可以按照事业部，之后将事业部涉及的流程综述，之后对各流程进行评价。而不是一堆风险点的堆砌。看上去100-200张ppt但是看得头晕。而且汇报结束老板对你不爽。

12、内控检查与内审的区别和联系在哪里？
内控检查的主要目的是建立和明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。所以内控主要是流程稽核，主要的作业模式就是控制点有没有建立。
内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段，核实业务事项是否真实合理。
简单的说，就是。内控是检查你吃饭的顺序，如先吃菜再吃饭或者先吃饭再吃菜。内审就是检查吃法好不好，对于胖人吃大量的肥肉，可以建议减少摄入量。

二、体系建立篇
在这里，你将熟悉每个控制活动所涉及的每个流程应该做的内控要点以及关键控制点的描述。由于涉及的内容较多，我这里简单的作一个销售模块的内控体系建立，其他模块的建立可在模仿的情况下，分别建立。

1、销售模式的确认
一般销售的模式分如下几种，正常销售、国际贸易、团购，涉及到酒类或者其他制造业会涉及到品牌销售模式。
这里解释一下品牌销售模式，即允许被授权商生产与自己相同的产品，贴自己的商标和品牌，收取品牌或者商标费的一种作业模式。

2、正常销售的流程划分
由于正常销售可划分为单次销售或者通过订货会或者其他模式先签订框架合同这种销售模式进行作业。其实这提到的可以将其作为一场流程进行控制。
一级流程：为销售流程。
二级流程：可以划分为销售定价、信用管理、合同签订、订单处理、备货处理、发货签收、收款入账处理、开票管理、应收款管理等。
三级流程：
其中销售定价流程可以划分为年度销售定价流程、中期价格变更或者临时价格变更流程。其中如果是系统控制，则需要明确哪个部门的什么岗位在系统中进行价格的录入和变更，最后由谁来审核。
信用管理流程可以划分为客户准入评价流程，不定期评价流程及信用变更流程。由于这一块基本上很少有客户在进行作业或者处理，所以在调研流程的时候，可能客户不会提供该流程，所以在编制内控手册的时候，需要做好与客户的随时沟通。
合同签订流程可以划分为合同起草、审核、盖章和保管作业流程。
订单处理流程可以划分为正常订单处理流程，订单取消流程和逾期未处理订单流程等。
备货处理流程可以划分为下发货通知单、物品调配流程和物品调配不足流程。
发货签收流程可以划分为发货单制定流程、物流选择流程、出库审核流程和客户收货签收流程。
收款入账流程。
发票开具流程含客户提交增值税资质流程和开票流程。
应收款流程含应收款催收流程、逾期坏账准备计提流程、坏账冲销流程。

如果调研或者访谈的时候将上述流程调研清楚，同时在内控手册中描述清楚，那么销售模块基本上就完成了

㈨ 中国内控检查是干什么用

1合规性。满足404条款或中国《企业内控基本规范》
2、企业内控管理要求。减少舞弊机率。

㈩ 中海油的SOX 404项目成果是什么

http://www.oilchina.com/xxzx/xl.jsp?bsm=042EEC8D8.000050AB.237C&db=zlyj

中海油积极应对美出台SOX404法案
据国资委网站消息，美国针对上市公司的SOX404法案出台后，中国海洋石油有限公司全面展开SOX404法案的实施工作，各部门、各分公司积极参与，取得了阶段性的成果。目前公司总部、四家分公司及印尼SES子公司已完成了内控流程文档化及符合性测试工作。下一步将是各单位对测试过程中发现的内控和管理问题进行及时和有效的改进。
美国安然和世通财务丑闻案发生后，2002年，美国国会通过了一系列法案，其中包括萨班斯-奥克斯利法案，该法案，特别是其中的404章节，对在美国上市的所有企业都具有重大的影响。SOX404法案要求在美国上市的公司必须建立一套有效的内部控制制度，并在年报中对内部控制有效性进行评价，评价结果还需要经过审计师的审计。
作为一家在美国上市的公司，中海油有限公司对此法案十分重视。在法案出台后，公司立即组织专门人员着手研究应对措施。2003年，中海油有限公司成立专门工作小组进行实施SOX404法案的工作，并聘请了安永会计师事务所作为公司的实施顾问。
中海油有限公司管理层对实施SOX404法案工作十分重视，在公司董事会上定期报告SOX404的实施工作进展。为了强调实施SOX404的重要性，去年4月19日，公司董事长兼首席执行官傅成玉专门写了一封公开信给公司全体员工，并在信中明确指出该项工作不仅仅是实施小组或财务部门的任务，更需要公司方方面面、各个部门乃至全体员工的参与和关注。公司管理层同时强调实施SOX404的意义不仅限于遵循海外资本市场监管机构的法律要求，更重要的它是进一步加强公司内部控制，提升风险管理的良好契机。
根据中海油有限公司计划，实施过程大致分为三个阶段工作：分析评价中海油有限公司的内部控制状况；按SOX404法案要求对公司内控流程文档进行整理、优化，并完成内控符合性测试工作；对公司内控的执行有效性进行测试，进而对公司整体内控有效性进行评价，形成公司内部控制报告。
据了解，为增强各部门、各分公司对SOX404法案的了解和认识，推动学习当今内部控制及风险管理领域的先进理念和知识，中海油有限公司SOX404工作小组充分利用在总部及各分公司现场实施SOX404及公司召开财务系统工作会议等机会，积极组织了十几次的SOX404及内部控制的相关培训，面向总部和分公司各级管理层及执行层，培训人数达600多人次，收到了良好的效果。
虽然今年3月份美国证券交易委员会再度推迟了在美国上市的外国公司SOX404生效的时间，中海油有限公司仍将实施目标定为2005年12月31日前达到SOX404的要求，并希望投入更多的时间和精力以达到促进管理的目标。完善和改进内部控制(包括实施SOX404)不是临时性或一次性的，其将是一项始终存在公司日常工作中需要持续改进的工作。