内控固化
❶ 如何对内控制度健全性进行检查
现在评估内控的方法不外乎访谈或问卷吧。
另一种比较先进的方法是CSA研讨会,不过这需要上面有强力的领导支持,而且组织内公开沟通的氛围要好。
至于着手点,因为是评估健全性,那重点就是目前的内控做的够不够,是否将风险有效控制在管理层接受的范围内。因此,先给该领域管理层做一次访谈,了解一下他们的关注点,以及当前对这些风险点所设置的控制。有时该领域管理层可能没办法从战略上考虑全局风险,所以也可以访谈一下他的上一层级。
这种内控评估只能一个领域一个领域来做,一个成功后把评估流程固化下来,以后就轻松了。
❷ 事业单位内部控制实施方案怎么写
【2016年事业单位内部控制工作方案】
为了贯彻落实依法治国基本方略,加强内部权力制约,有效防控廉政风险和行政风险,根据上级财政工作会议有关要求,现就进一步加强我局内部控制制度体系建设制定如下工作方案。
一、总体要求
按照党的十八届四中全会通过的《中共中央关于全面推进依法治国若干重大问题的决定》中关于“加强对政府内部权力的制约,是强化对行政权力制约的重点。对财政资金分配使用、国有资产监管、政府投资、政府采购、公共资源转让、公共工程建设等权力集中的部门和岗位实行分事行权、分岗设权、分级授权、定期轮岗,强化内部流程控制,防止权力滥用”的要求,以及省市财政部门的工作部署,加快推进财政内控工作,建立健全高效有序的内部控制运行体系。
二、工作目标
通过查找、梳理、评估财政业务及管理中的各类风险,制定、完善并有效实施一系列制度、流程、程序和方法,对财政工作风险进行事前防范、事中控制、事后监督和纠正,提高内部管理水平,达到以下目标:
(一)严肃行政纪律,提高工作质量和效率,有效履行财政职能,贯彻落实好党中央、国务院、上级财政部门和区委、区政府的决策部署。
(二)各项政策与规章制度符合国家法律法规规定并得到有效贯彻执行,各项财政业务活动合法合规。
(三)严格遵守廉洁从政规定,防范舞弊和预防腐败,提高财政资金的安全性、规范性、有效性。
(四)预决算报告和相关报告、工作记录和其他管理信息真实完整。
三、 工作内容
各股室(中心)要按照以下的内容,扎实推进内控制度建设。
(一)稳步推进内部控制体系建设。一是制定指导各股室(中心)建立和实施内部控制的基本制度。二是根据基本制度以及职责范围,结合局廉政风险防控制度制定法规及政策风险、预算编制及执行风险、机关运转及管理风险(含公共关系、信息管理、岗位利益冲突)等风险内部控制办法。三是各股室(中心)根据基本制度和风险内部控制办法,在查找本单位风险并定级、完善工作流程、界定各环节各岗位责任的基础上制定内部控制操作规程。四是制订内部控制专项检查办法和内部控制考核评价指标体系,推动完善人事管理、资产财务管理、内部审计等内部控制制度,进一步健全财政内部控制制度体系。
(二)切实推动内部控制制度有效执行。一是结合财政管理一体化信息系统和办公自动化系统建设,将基本制度和相应办法提出的内控理念、控制活动和控制措施固化在相关信息系统中,通过授权控制和流程控制防范业务风险,实现内部控制的程序化、常态化。二是组织人员参加省市组织的内控专题培训,增强内部控制制度建设人员队伍素质,切实推动财政系统内控机制落实。三是组织各股室(中心)开展内控日常检查,汇总分析各股室(中心)内部控制中的新情况。四是组织内控有效性专项检查和考核评价,督促各股室(中心)切实贯彻落实内部控制制度。
(三)指导和推动全区财政系统的内控体系建设。在完善局内部控制制度的同时,指导和推动全区财政系统的内控体系建设工作。
四、工作步骤
(一)动员部署阶段(2016年4月1日-4月30日)
加强组织领导,建立健全工作机制。深入做好宣传、发动、培训和组织部署工作。
(二)制度建设阶段(2016年5月1日-8月31日)
按照分事行权、分岗设权、分级授权,强化流程控制、依法合规运行的要求,结合财政工作实际,制定内部控制制度体系并组织论证评审后发布实施。
(三)落实实施阶段(2016年9月1日-10月31日)
将内控理念、控制活动和控制措施固化在相关信息系统;组织开展内控日常检查,切实推动内控机制落实。
(四)完善总结阶段(2016年11月1日-12月31日)
指导和推动全区财政系统的内控体系建设,总结提升我区内部控制制度建设工作经验和取得的成效,在有效执行基础上,进一步完善内部控制制度并在全区财政系统推广财政内控理念和具体制度办法。
五、组织领导
成立局内部控制委员会(以下简称内控委),负责确立局内部控制政策,审定重大风险和重要业务流程的管理制度,部署内部控制的重大事项和管理措施,指导和督促各乡镇(街道)、局各股室(中心)建立和完善内部控制制度、程序和管理措施。内控委主任由局长担任,副主任由相关局领导担任,委员由办公室、监察室、监督检查股(会计股)、预算股、国库股、综合股、行政政法股、科教文股、社保股、农业股(综改股)、企业股(国资股、外经股)、经建股、农综办、政府采购办(采购中心)、融资服务中心(债务管理股)、国库支付中心(会计核算中心)等股室负责人组成。内控委定期或不定期召开会议,研究内部控制工作情况,审议风险事件定级和责任追究建议,提出加强和改进的措施。
内控委下设办公室,承担内控委日常工作。内控办设在监督检查股,由内控委成员股室(中心)有关人员组成,主任由分管监督检查股的局领导兼任,内控办成员由各股室(中心)指派专人负责。内控办负责牵头拟订内部控制基本制度,审核相关风险内部控制办法,审核各股室(中心)内部控制操作规程,对内部控制制度有效性进行检查、考核和评价并向内控委报告,对风险事件进行调查并提出处理意见,对内部控制中存在的问题进行研究并制订解决方案。
各乡镇(街道)参照同步开展,要按照要求和时间节点,结合实际细化工作方案,成立领导机构,强化工作部署落实,明确责任分工,切实推进财政系统内部控制制度建设。
六、职责分工
基本制度及风险内部控制办法的拟订和组织实施,由各有关股室(中心)分别牵头负责。局监督检查股牵头内控办工作,负责制定内部控制基本制度;预算股、国库股分别牵头负责制定预算编制及预算执行风险内部控制办法,其中预算股牵头负责制定预算编制风险部分,预算股、国库股按照职责分工牵头负责制定预算执行风险部分;办公室牵头负责制定法规及政策风险内部控制办法、机关运转及管理风险内部控制办法和内部控制问责制度。在拟订和组织实施专项风险管理办法中,各牵头单位之间应建立有效的沟通协调机制。
各股室(中心)负责本股室(中心)职责范围内的内控管理工作。一是根据基本制度和相关风险内部控制办法,制订本股室(中心)内部控制操作规程,做好内控工作;二是各股室(中心)主要负责人对本股室(中心)职责范围内的内控管理负总责,组织股室(中心)职责范围内的内部控制制度和业务流程建设,三是各股室(中心)指定专人负责与内控办的工作联络,配合内控办的有关工作安排。
七、工作要求
(一)加强组织领导。各股室(中心)负责人是本股室(中心)内控工作第一责任人,要将建立和实施内部控制作为当前和今后一个时期的重要工作来抓,精心筹划,周密安排,确保内控工作有序、有力、有效推进。
(二)认真抓好落实。各股室(中心)要认真查找股室(中心)风险并进行评估定级,通过界定各环节岗位职责,完善工作流程,制定完整的内部控制操作规程,并切实抓好落实。
(三)强化责任担当。要坚持“一岗双责”、“一案双查”,各股室(中心)负责人要牢固树立内控理念,积极引导干部职工将内控意识贯穿于日常工作中,由“要我内控”变为“我要内控”,在股室(中心)内部营造良好的内控氛围。
(四)加大检查力度。内控办要对各股室(中心)内部控制工作组织开展定期检查和不定期检查,及时发现内控薄弱环节、查找原因、堵塞漏洞。定期检查一年一次,检查的主要内容包括各股室(中心)内控制度建设、执行、风险事件应对及处理等情况。不定期检查的内容由内控办根据内控管理需要确定。检查情况向内控委报告。
(五)完善问责机制。将内控结果运用于干部选拔、任用、奖惩,以及单位和个人年度考核、评先等工作。对于违反内控制度规定,出现风险事故的责任单位和干部职工必须严格执纪追责。
❸ 企业内控怎么做合理
同时做,内控是完整的系统,缺一不可。
如果同时做有困难,就先做流程\规章,最后编制手册。
❹ 如何建立规模企业内控制度
现结合本人曾作过的大型国企、民企及上市公司咨询案例,谈一点体会和看法。 目前企业内控方面存在的主要问题: 一、目前对企业内部控制体系的认识上存在三种倾向 (一)集团企业在战略发生重大调整的时候,容易片面强调管控模式、组织结构变革的重要性 , 忽视了控制体系和方式的跟进和强化; (二)习惯于满足传统的、或曾经是行之有效的经营管理方式,而面对新经济形式挑战,准备不足,难以接受大的、根本性改变; (三)内控管理是企业财务部门的事,而事实是,在没有其他职能部门密切配合的情况下,财务部门无法建立,并组织实施企业完整的内部控制体系。 二、公司法人治理结构不完善,董事会职能没有充分发挥,有其名无其实。 董事长兼总经理,董事会成员兼任经营班子成员或部门负责人现象严重,造成董事会与经营班子之间权责不清,相互无制衡。有的董事长大权独揽“一竿子插到底”,集控制、执行和监督权于一身,几乎无所不管,其结果导致: ( 1 )企业经营决策、重要人事安排随意性大,制度朝令夕改 ; ( 2 )授权管理不清晰,裁判员与运动员混淆,企业中、高层管理人员无所适从; ( 3 )企业办事程序 经常 由一个人操纵,部门之间的正常协调、配合被打乱,必然带来部门间职责不明确; 三、内控制度方面存在问题 第一,文字描叙的较多,清晰的流程图和配套表单较少,缺乏完善的流程保障。一套完整的制度应包括文字性制度文件;工作流程图和流程说明;相关凭证、表单等三部分内容。工作流程图作为制度体系的重要组成部分,可以直观、清晰地了解业务程序、涉及部门和人员、以及相关责任和配套制度。在流程图的绘制过程中,能及时发现内部控制中的风险点和不足,从而达到改进和控制的目的。 第二,“救火式”的较多,缺乏系统性和完整性。企业运营过程中某个环节出现了问题,就相应地出台一个制度来规范:如今天发现应收账款多了,就制订一个“财务叫停制度”;明天发现库房管理有问题,就出一个“发货监管规定”等等;无论在内容和形式上,都缺乏统一性、系统性和完整性,对可能发生的风险考虑不足。 第三,政出多门,相互矛盾。比如非生产性固定资产管理,没有严格施行统一归口的原则,总裁办公室、信息管理部、运营管理部、投资项目部都有管理权,而申报、审批流程、使用控制及日常管理又都不一样,存在重叠或矛盾现象,导致管理上失控。 第四,制度执行不利,是目前企业存在较普遍的现象。其原因大致有三:一是制度本身脱离实际情况,随着企业形式的变化,制度没有适时跟进、修改和完善,从而使制度失去可操作性;二是缺乏保证制度执行的机制,内控制度执行情况没有严格地监督、检查,以及奖罚措施,使制 度丧失了严肃性;三是企业核心领导人,特别是民营企业领导人,带头违反和破坏制度,或这种现象又得不到有效制约,使制度最终流于形式。 第五,风险控制与效率关系处理不当。企业实施严格的内部控制无疑是需要成本的,并且在一定程度上会影响到运行效率。一个是企业存亡问题,另一个是企业发展速度问题,两者都得兼顾。在管理咨询中也常常会遇到这样的情形,对企业原有流程、利益格局打破和调整的同时,也会带来部分效率的牺牲,如果处理不好,管理者在执行过程中就经常处于一种矛盾心态,使得真正好的管理理念无法以制度形式固化下来。 四、没有统一的信息管理系统,信息失真。在信息资源管理上,一方面没有统一归口,比如销售收入的指标从营销、财务、统计等口径报出的都不一样;另一方面过分依赖业务员,使企业的资源掌握在个人手中,极易造成企业对业务失去控制。例如我们接触的一家企业便是如此,一些业务员可以以手中掌握的客户资源作为筹码,要挟企业满足个人不正当要求,有的甚至还与客户串通一气,谋取私利等等。 五、审计监督机制和职能不健全。目前很多企业都设立了审计部门,但是很多又隶属于财务部负责人 , 在内部控制的形式上就缺乏应有的独立性;另外 , 在内审的职能上 , 很多企业还在重复审核会计账目等外部会计事务所的工作 , 没有真正发挥评价、监督内部风险控制体系的职能和作用。 内控制度解决的思路和方案 一、集团财务战略。 是集团在一定时间内,根据宏观经济发展状况,对财务活动的发展目标、方向和道路,从总体上做出客观而科学的概括和描述,它是企业战略管理的一个不可或缺的组成部份。主要有扩张型、稳键型、防御型三种类型。 二、集团财务管控模式。 针对多元化、跨地区经营等现代集团化企业特点, 财务管理体制模式按职能强度分为财务管控、战略管控和经营管控;按管理权限的集中度分为集权型、分权型和相融型三种。 建立适合企业自身特点的财务管理体制,处理好集权与分权的关系,做到既能有效地集中财力,保证集团发展战略需要;又能充分调动二级机构的积极性,提高运营效率,以达到资本增值和股东回报最大化的目的。 三、组织规划控制。 内部控制机制是指公司的内部组织结构及其相互之间的运营关系,是保障内部控制有效性的组织保证。这些部门和岗位的设置必须权责分明、相互牵制,并通过切实可行的相互制衡措施来消除内部控制中的盲点,以达到防范风险控制的目的。一般包括两个层面: 第一是法人的治理结构问题,以组织机构的完善和功能分工界定董事会、监事会、总裁(总经理)的设置及责、权、利关系,同时通过设立战略与发展委员会、预算委员会、审计委员会、薪酬与提名委员会等,提高和完善内部控制机制。 第二是职能部门设置要根据具体经营特点和规模来定。比如一家企业每月的集中采购就高达几亿元,且采购价格波动频繁、幅度也较大。这项业务,企业原来由董事长直接管理的,我们建议设立价格管理部或价格管理委员会,系统、科学地监督与控制。 四、人力资本控制。其中,控制环境包括最高管理层的完整性、道德观念、能力、管理哲学、经
❺ 浅谈如何部署应用内部控制体系
一、构建内控管理组织领导机构
成立全面风险管理委员会和全面风险管理办公室两层级风险及内控管理组织机构。全面风险管理委员会由公司领导层组成,对风险管理和内控体系建设与运行的重大事项予以决策;全面风险管理办公室作为公司全面管理委员会日常办事机构,主要负责公司风险和内控体系建设与运行日常管理工作组织、协调和推进。
二、全员开展内控体系宣贯培训
为在全体员工中树立内控管理意识,营造内控文化氛围,促进内控体系的落地执行。在课程设置方面包含了内控基本概念、内控流程及管理制度等内容,重点讲解内控流程文档和内控管理制度的内容及要求,同时针对不同对象在工作过程中所执行的业务流程讲解内容有所侧重。通过宣贯培训,其目的在于促使公司全体员工了解内控管理的要求,为在公司全面贯彻执行内控流程及管理规范打下良好的基础。
三、加快推进内控体系落地执行及应用
在内控建设成果宣贯培训之后,按照公司内控管理职责分工,公司全面风险管理办公室牵头负责内控体系建设成果落地执行的组织、协调,各相关专业部门全面推动落实已形成的内控流程文档,逐步建成公司关键业务全覆盖的内控体系。在此期间的主要工作包括:
1、是公司根据《内控流程规范》,建立健全内控流程执行责任机制和评价改进机制,规范内控流程实施与应用,确保内控流程标准有效执行。
2、是各相关部门应指定专人负责本专业内控流程日常管理工作,并将内控流程环节管控责任分解落实到具体岗位。
3、是各相关部门结合内控流程的执行和监督,进一步修订完善各项经营管理制度,形成与内控流程运行紧密结合、衔接顺畅的“一本”制度。
4、是全面风险管理办公室作为内控流程贯彻执行的牵头部门,在内控流程试运行期间应高频度地组织各相关专业部门对内控流程执行和管理制度完善情况进行督查,及时发现执行过程不符合内控流程要求的行为并予以纠正与通报,以进一步推动各级员工业务操作的规范性、标准化。
四、全面开展内控自评价并进一步完善内控建设成果
公司内控流程试运行取得一定成效后,可全面开展内控自评价,并依据内控自评价结果,进一步修改完善内控流程文档。在此期间主要工作包括:
1、是全面风险管理办公室根据前期形成的内控评价执行测试程序,编制内控自评价测试工作底稿,下发各相关部门。
2、是各相关部门依据测试工作底稿,抽取内控流程中规定的文档及表单作为样本资料,以检测各级人员对内控流程执行的状况,测试完成后,各相关部门应出具测试结论,明确流程设计缺陷或执行缺陷,并上 报全面风险管理办公室。
3、是全面风险管理办公室汇总各部门内控自评价测试结论,属于流程设计缺陷的情况,及时组织相关部门对内控流程文档进行修改完善;属于流程执行缺陷的情况,应要求相关部门按公司《内控评价规范》要求及时制定缺陷整改计划和措施,对不符合内控流程要求的业务操作行为以及相关文档或表单进行整改,全面风险管理办公室协调相关部门组织联合工作组对出现流程缺陷的部门整改情况进行督促检查并予以通报,以此推进公司内控流程的持续完善和进一步落地应用。
五、稳步推进信息系统植入固化内控流程
公司内控流程引入信息系统,与系统建设保持同步,在相关信息系统开始进行建设时,即将内控流程的要求纳入系统的设计开发过程中。
此期间主要工作包括:
1、是全面风险管理办公室牵头组织相关部门,对内控流程植入相应信息系统进行分析和研究,统筹规划、统一部署,确保内控流程在业务系统内以及各业务系统之间衔接顺畅、信息传递客观、真实、透明。
2、是在信息系统设计过程中,各相关部门应根据公司统筹安排,向设计单位提出信息系统的角度定义、信息流程节点以及输入/输出表单要满足公司内控流程及风险管控的要求。
3、是信息系统设计完成后,各相关部门要按内控流程的要求对系统进行高频度的全面测试,以进一步检测信息系统功能是否按内控流程的要求规范了各环节人员的业务操作行为,从而真正实现内控流程的固化和业务操作的标准化。
六、深入开展常态化的风险评估与内控评价
强化风险与内控日常管理工作,全面风险管理办公室统一组织,各部门全面参与,深入开展风险评估与内控评价工作,促进风险评估与内控评价工作机制常态化运行。
1、是开展风险评估,强化重大风险管理。组织各部门开展风险评估,编制重大风险管理方案;依据评估结果,组织编制公司年度全面风险管理报告,经公司全面风险管理委员会审议。
2、是开展常态化的内控评价,持续改进和完善公司内控体系。根据公司内控评价规范,编制下发公司内控评价工作方案,明确被评价单位、业务范围和缺陷认定标准;组织各相关部门开展内控自评价,联合本部相关部门督促检查各单位内控自评价结果;汇总分析内控评价情况,识别与确认内控缺陷,组织编制公司内控评价报告;针对评价发现的内控缺陷,组织相关单位落实整改,涉及内控流程文档需要局部修改的情况,组织相关部门进行持续改进。
七、加强内控总结宣传与培训
推进具有内控意识的企业文化建设,多方式、分层次开展内控宣传与培训,普及内控知识,宣贯公司内控建设理念,增强公司员工落实与执行内控规范的自觉性和积极性。
1、是做好内控总结宣传。编写公司内部控制建设情况总结材料,组织各部门总结提炼内部控制建设经验。
2、是进一步组织开展内控培训。开展内控流程植入信息系统上线应用、风险评估、内控评价等专题培训;有效利用公司培训资源,力争将内控培训纳入公司统一培训课程安排。
❻ 浅议如何实现企业内部控制信息化
(1)控制方式上,人工和计算机程序相结合,信息技术是手段,企业信息系统是平台。把因人为的因素而出现差错的几率降到最低,有利于提高信息沟通的效率和效果。这种特征最终好处就是能够降低内部控制的成本, 提高内部控制的效益。
(2)内部控制流程信息化 《企业内部控制基本规范》为各大企业提供标本,企业根据其要求进行评估,包括内部控 制的制度、流程、关键控制点和控制措施等方面。将它们固化在信息化系统中的,使得内部控 制的规范制度设计和运行更加有效
(3)企业内部的管理必须科学、规范和健全 规范的制度流程是内部控制的基础,只有规范和健全企业内部管理,才能固化企业的内部 控制制度、流程和措施于信息系统中。这样,员工在开展业务时能按规范的制度和流程进行, 能有效地管控经营过程中遇到的风险。
(6)内控固化扩展阅读:
财政部等五部委联合出台的《企业内部控制基本规范》对企业内部控制与信息系统的结合提出了要求:“企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素”。
《企业内部控制应用指引第18号一一信息系统》又进一步明确了促进企业有效实施内部控制,提高企业现代化管理水平,减少人为因素的主旨和各项具体内容。可见,利用信息技术手段实施内部控制,减少人为因素造成的错弊,提高内部控制的执行力和效率,是内部控制信息化的目标。
参考资料:网络-企业内部控制规范
❼ 固化内部控制的有效途径
内部控制复有效性包含两个层制面,一是内部控制设计的有效性,二是内部控制的执行有效性。所谓内部控制设计的有效性是指内部控制的设计覆盖了所有组织应关注的重要风险,且设计的风险应对措施适当。通俗的说就是应该有的制度都有,且这些制度符合内控规范要求,从设计角度而言,能够达到控制风险的作用。所谓内部控制执行的有效性是指内部控制能够按照设计要求严格(有效)执行。在我国,问题往往出在执行层面,有制度不执行或乱执行。只有有效执行才能发挥制度功能,有效控制风险,才能发现制度本身可能存在的设计缺陷,从而改进制度。
❽ 如何将《内控手册》要求融入到企业的管理流程当中
首先行业不同,方式方法也不同,以一个行业为例
XY股份有限公司为符合上市公司内控法规要求,提高企业经营管理水平和风险防范能力,促进企业可持续发展,根据财政部、证监会等五部委印发的企业内部控制基本规范及配套指引的要求,聘请外部咨询公司,2011年3月起着手进行内控体系建设工作。根据《企业内部控制基本规范》及其配套指引要求,结合国外公司经验,企业内部控制体系建设通常分为4个阶段,内部控制梳理、内部控制整改固化、内部控制自我评价和内部控制审计,其中前3个阶段是内控建设核心工作,需由企业主导完成,内控审计由审计师在企业配合下实施。
为做实做好内控规范体系建设工作,公司于2011年3月正式成立内控工作领导小组,由公司董事长牵头,高层领导主管、总部各部门负责人及各分子公司总经理作为组员,负责组织领导公司内部控制规范化建设工作。2011年3月中旬召开内控实施项目启动会,对公司内控建设工作进行了部署和动员,并制定公司内控实施计划及工作方案。
一、建立内控建设组织架构,明确相关人员职责。
内部控制建设作为一项长期系统性地工程,并非一蹴而就,公司决定建立一种长效领导机制持续运作。公司内控体系建设组织架构图如下,并明确董事长为内部控制实施工作的第一责任人;公司总经理、副总经理为内控实施的具体负责人。
(一)内控领导小组职责
经第六届第十次董事会审议通过,公司成立风险管理委员会,成员包括董事长、审核委员会主席、总经理、分管主要业务的公司高管及专业人士,作为内控工作领导小组。
风险管理委员会对董事会负责,主要履行以下职责:
(1)负责营造良好的内部控制建设环境;
(2)负责制定公司内部控制战略规划,提出总体建设方案;
(3)负责审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;
(4)部署内部控制建设、执行及监督活动等;
(5)审议《内控手册》的编制、修改及更新;
(6)提交《内部控制评价报告》;
(7)协调公司内部控制建设的重大事项;
(8)考核内部控制建设的相关人员,保持公司整体利益和方向的一致性。
(二)内控项目小组职责
1、公司在风险管理委员会下设立风险管理委员会办公室作为内控项目组,主要履行下列职责:
(1)全面贯彻执行风险管理委员会关于内部控制建设的精神和方针;
(2)制定公司内部控制建设阶段性的目标及实施方案,提交风险管理委员会审核;
(3)负责内部控制建设的有效实施和运行,落实内部控制建设的具体责任;
(4)研究提出《内部控制评价报告》;
(5)负责公司《内控手册》的编制、修改及更新;
(6)审核在内部控制建设过程中存在的问题,督促各部门进行整改。
2、公司在风险管理委员会办公室细分为4大系统,即风控系统、战略与证券系统、财务系统和运营系统,明确各系统的具体职责。
3、风险管理委员会办公室成员主要来自于财务管理部、战略与证券管理部、风险管理部、管理创新部、营销中心、质量与客服部、供应链中心、法律事务部、研发中心、制造中心及战略人力资源部,配备33名专职人员。各业务单位、职能部门及子公司(事业部)在风险管理委员会办公室的指导下共同参与、实施内控建设工作。
4、审核委员会作为公司内部控制体系有效性的监督机构,监督内部控制的有效实施和内部控制自我评价情况,审核及监督外部审计机构是否独立客观及审计程序是否有效,审核公司的财务信息及其披露,协调内部控制审计及其他相关事宜。
(三)责任部门及工作预算
与内控工作小组相对应,公司确认了内部控制建设的责任部门,即风险管理部、战略与证券管理部、财务管理部、管理创新部、营销中心、供应链中心、质量与客服部、法律事务部、制造中心、研发中心、战略人力资源部。本次内控项目工作制定了相关预算,包括内控咨询、内控审计及人力成本费用、培训费用等。为保证内控建设工作的专业化、系统化和合理化,公司聘请询公司作为外部咨询机构为公司提供专业支持,协助公司梳理、构建及完善内部控制总体架构,帮助公司识别内部控制存在的薄弱环节和主要风险,有针对性的设计控制的重点流程和内容并协助公司开展内部控制自我评价工作。 风控系统人员将全程参与风险识别及评估、编制风险清单及控制矩阵、内控缺陷整改、开展内控评价等工作,为公司培养内部控制建设及评价人才。
二、内控体系建设工作具体推进
内部控制建设工作,公司将分为五个阶段,时间从2011年4月1日至2012年1月31日,总体安排如下:
(一)确定内控实施范围(2011年4月10日前完成)
根据证监局文件精神,结合公司实际,本次内控实施范围为股份公司、一家上海子公司及一家广州子公司。
按照《企业内部控制基本规范》及其配套指引要求,结合公司业务性质,公司将重点关注发展战略、组织架构、人力资源等公司层面3大流程,以及信息系统、财务报告、信息披露、关联交易、全面预算、资金活动、采购业务、销售业务、资产管理等业务层面9大流程。
各流程责任人如下(××代表责任人姓名):
流程第一责任人 具体负责人 内控协调人 中介机构责任
发展战略 × × ×
组织架构 × × × ×
……
注:上述责任人适用于内控建设中的每个阶段。
(二)风险识别及评估(2011年5月31日前完成)
1、流程梳理:公司通过访谈、审阅文档或问卷调查等方式梳理流程,明确上述12大流程的相应子流程,完善组织架构和审批授权指引,根据统一的模板编制业务流程图。在流程梳理过程中,及时发现并记录有遗漏、杂乱、不符合相关法律、不相容职务未分离或权限设置不合理等内控缺失的工作流程,采取相应的措施规范操作流程,避免内部舞弊等重大风险出现,提高工作效率。
2、风险识别:结合《企业内部控制基本规范》及相关配套指引所列示的风险、公司客户审核要求、内审报告、提案改善、质量事故等初始资料,从风险发生的可能性和影响程度,对子流程中涉及到的每个控制点进行综合分析,识别固有风险,评价风险等级,形成风险清单。
3、文档记录:根据风险等级,识别流程中的关键控制活动,并在流程图中进行编号;编制流程描述、风险控制矩阵等内控文档对控制活动和控制点进行记录。
4、查找内控缺陷:将公司现有制度和控制措施流与风险清单进行比对,通过穿行测试、控制测试等手段,获取关于内控设计和运行有效性的证据,查找内控缺陷,形成《风险数据库》和《内控风险诊断和评价报告》。对发现的重大缺陷及时报告董事会及管理层,管理层对发现的内部控制缺陷应及时制定内控缺陷整改方案。
(三)确定内控缺陷整改方案(2011年6月30日前完成)
1、编制《内部控制管理建议书》:公司对发现的内控缺陷进行分类分析,确定内控缺陷的重要性程度,区分设计缺陷和运行缺陷,形成《内部控制管理建议书》。
2、制定内控缺陷整改方案:公司根据《内部控制管理建议书》和具体的控制缺陷,提出整改时间及责任部门、人员,形成内控缺陷整改方案。
3、提交审议:内控缺陷整改方案应当经过风险管理委员会审议通过。
(四)内控缺陷整改(2011年9月30日前完成)
1、落实整改、提交报告:责任部门将按照内控缺陷整改方案对发现的缺陷进行逐一整改,完善公司各项内部控制管理制度和控制措施,提交《内控缺陷整改报告》;内控项目组连同中介机构对缺陷整改情况进行运行有效性测试,形成《内控运行测试报告》。
2、编制《内部控制手册》:内控项目组根据风险清单和各项内控文档等资料,编制《内部控制手册》,并对手册内容进行实施辅导和推进执行。
3、编制《内控自我评估工作指引》:内控项目组编制《内控自我评估工作指引》,为下一步内控自我评价工作的开展奠定基础。
4、提交审议:《内控缺陷整改报告》、《内控运行测试报告》、《内部控制手册》及《内控自我评估工作指引》应报风险管理委员会审议。
(五)内控持续推进和内控自我评价
公司在内控体系成果完成后,将予以持续推进,并根据辖区证监局要求,公司将于每季度结束后的10个工作日内,向证监局报送内控进展情况说明,并在定期报告中予以披露。每季度进展情况说明至少包括该季度内控建设工作的开展情况、与工作方案中计划进度的对照情况、差异原因以及拟采取的解决措施等。
通过以上工作,公司初步建立健全了内部控制体系,有效提高了内控管理水平。
三、企业内控体系的“落地”和持续推进
XY公司在完成内控体系初步建设完成后具体推行过程中,一些部门和员工或因对新的内控制度理解不够,或因由于长期工作习惯难以改变,或因内控制度变革触及自身利益而不愿遵循,使得内控制度在一段时期内一直都不能落到实处。如何真正将内控体系有效执行下去,并保持内控体系的持续完善和提高,是管理层迫切需要解决的难题。
为了切实将内控制度体系真正“落地”,XY公司通过全方位内控培训、加强内控检查与监督、完善考核及激励机制以及借助第三方专业机构的持续辅导等措施,有力地保证了内控建设的持续维护,公司的内控建设取得了卓有成效的进展。
具体来说,采取的主要措施有:
(一)完善内控工作组织架构,成立内控部,强化审计部,建立推进内控工作的组织机构和运行机制。
通过对国际大企业内控建设的现状和过程的全面考察,XY公司发现要实行有效的内部控制,必须建立相配套的组织架构。为此,公司由管理高层成立了内控工作领导小组,各子公司管理层对应的成立内控管理小组;在部门设置上,XY公司新成立了内控部,各下属子公司根据其规模大小设立内控部或内控负责岗,负责内控建设工作;在内控监督上,转变了原有的审计部的职责,增加了内控评价和检查的功能,并由公司董事会的审计委员会直接领导,在规模较大的子公司同时设立内部审计专员,负责子公司的内控自查。
(二)注重内控环境建设,进行全方位内控培训。
XY公司通过一系列的培训和辅导,提高各层级管理人员和基础员工对内控理念的认识,营造有利的内控工作开展的文化环境。首先,公司抓好以普及内控基本知识、营造内控实施环境的宣传工作。公司内控部组织编制了《内控宣传册》,在股份公司各职能部门和下属公司主要管理干部范围内发放学习。手册通过生动的案例和形象的语言帮助各级管理人员统一对内控的理解和认识,减少内控推进的思想阻力。
其次,公司根据内控规范实施的进度,围绕内部控制的各个方面,开展了包括基础理念、管理制度、风险评估、内控评价、内控考核在内的各类集中的专题培训,对内控制度的编制和实施起了极大的推进作用。
(三)建立内控推进的沟通机制,保证内控建设持续性和问题解决的及时性。
自内控制度建设正式推进以来,为了保证推进的执行力,公司开展了全方位的信息沟通机制,实现了信息的实时传递,和通畅的上传下达。
首先,XY公司建立了周例会制度。内控领导小组每周组织内控工作例会,由公司董事或审计委员会主任主持,参与者包括内控领导小组成员、内控部、审计部、财务部、各子公司的内控负责人等。总部各职能部门及各子公司必须在会上以书面形式上报“内控工作一周报告”,汇报内控的进展情况、存在的问题、解决的方案、遇到的困难以及需要股份给予协助的事项,并由内控领导小组组长对相关的具体问题提出意见和工作指导,会后股份公司内控部负责对每家子公司进行回复,保证所有的问题都能得到及时有效的解决。所有会议记录和相关文件在会后抄送股份公司的总经理和董事会,并抄送相关子公司的管理层,保证管理高层对内控进展的时刻了解。
其次,公司建立了内控体系的月度工作总结。每月末各个子公司的内控负责人就内控开展情况进行工作总结,由内控部在股份公司管理层、子公司管理层以及相关内控负责人之间进行通报,督促各子公司的内控执行力。
第三,建立了重大项目的单独汇报机制。各子公司的内控负责人对于子公司内控建设中发现的重大问题要求及时向内控领导小组和股份内控部进行汇报,以实时处理可能的重大风险。此外,股份公司的内控部长、审计部长、财务总监的联系方式向子公司的所有内控负责人和内控专员公开,作为信息直接传递的一个重要渠道,帮助股份公司及时了解下属子公司内控风险。
(四)完善内控评价检查机制,建立了多层次的内控检查体系。
为了保证内控制度的落地和真正有效的执行,公司从各子公司到股份公司的内控部和审计部,再到外部独立的第三方中介,建立了全方位的内控评价和检查体系。股份公司内控部对各业务循环定期开展内控检查,通过发放内控调查清单以及内控专员的现场检查,发现子公司在内控建设中的不足,并及时下发风险联系函、风险关注函和风险警示函,以帮助子公司及时进行内控整改和完善。其中联系函主要是对子公司联系函件的回复为主;关注函主要是对子公司发生的业务表示关注,一般要求对方在一定时间内给出书面说明;警示函是在关注函的基础上对于重大风险或执行不到位的情况给予警告。
股份公司审计部对各子公司每年开展两次的内控评价。为了实现评价的量化和标准化,审计部编制了内控评价底稿通过检查,对子公司形成内控建设的量化评价,并针对检查中发现的问题出具改进建议,并要求各子公司在规定的时间内予以整改,总部内控部对子公司整改措施和整改质量进行全程的监督,整改完成后,审计部及时予以复查,确保审计中发现的问题能及时整改。
(五)将内控建设纳入绩效考核,通过奖惩机制实现内控的有效性。
首先,为有效发挥各下属子公司的管理者在内控推进中的作用和积极性,自200×年开始,股份公司将审计部对各子公司的内控评价结果纳入其管理班子的绩效考核的指标中,明确了管理班子对于内部控制建设的责任和关键任务。通过这种绩效考核,激励管理层切实关注和推动内控的执行工作,从而为内控工作的推进建立良好环境。
其次,对于股份公司向各子公司委派的重要人员也直接与内控建设挂钩。公司出台了《委派内控人员绩效考核管理办法》,对各个子公司的内控负责人实施全面的内控建设考核,明确了委派的内控人员的绩效考核指标、考核方式和奖惩机制,进一步促进了委派内控人员的工作落实力度;其次,对于股份委派的财务负责人,也在其年度考核的总分中(100分制)纳入了相当比重的的内控建设的相关内容,从财务职能加强了对子公司的内控推进。
(六)充分发挥专业中介机构力量
XY公司在开始建立内控体系即聘请的专业咨询公司提供咨询服务,在整个体系建立过程中,充分发挥咨询公司专业力量,并聘请专业顾问对公司人员进行培训,提高公司人员内控理念和技能。在内控体系初步建立之后,仍继续与咨询公司保持合作,借助咨询公司在专业及独立性方面优势,共同推进公司内控持续建设工作,在内控持续建设工作中,专业咨询公司提供了大量了专业意见和培训辅导服务,帮助公司完善各项成果,使得公司的内控持续建设取得了令人瞩目的成效。
四、企业内控体系建设过程的经验和启示
在公司董事会、各层级管理人员和基础员工不懈努力下,公司内部控制体系的建设取得了一系列的良好效果,全公司各级员工的风险管理意识显著提高,对风险的理解和重视切入到各个业务和管理环;强化了各项经营活动的规范化操作,实现了重大经营活动的集体化决策机制,有效防范了决策风险;提高了公司的财务管理水平,保证了从产业公司到股份公司的各层级财务数据的真实公允以及资金、资产的安全;加强了公司对新经营环境下管理风险的关注;完善了公司的风险预警机制,提高了各职能部门对业务发生之后的潜在风险的持续监控、分析和应对。公司在内控体系建设和推进过程中,主要的经验和启示有:
1、公司董事会和最高管理层的重视和亲自参与
在XY公司董事会,无论是大股东委派董事、非执行董事还是独立董事,都非常重视和关心内部控制体系的建设工作。作为公司的大股东,集团对股份公司的内控建设给予了极大的理解和支持,有力的推动了产业公司的内控建设的进程。董事会的定期会议都将内部控制进展情况作为重要议题沟通,对于内部控制推进中出现的任何问题,董事会层面时刻给予相应和支持。
在公司管理层方面,成立了内控领导小组,投入了大量的人力和财力,带领企业员工共同进行内部控制建设,为内部控制的推进提供了良好的内部环境,同时也激发员工的积极性和主动性,推动企业内部控制朝更顺利、更完善的方向发展。
2、对内部控制理念以及其与公司其他管理体系关系的认识统一
XY公司在内控推进的第一阶段大力推行高频率、大幅度的培训,帮助各级管理者以及基层员工了解内部控制的主要原理和价值,减少内控实施中的思想阻力。其次,公司统一了内控体系与其他管理体系的认识,内部控制和风险管理不是一套孤立的新的体系和制度,而是一种基于“目标-风险-控制-监督”框架的管理思路,这种管理思路可以融入到企业的所有其他的管理体系和管理制度中去,是对企业原有的管理制度的整合和提升。
3、制定了清晰明确的内部控制战略规划
公司根据自身实际情况,在订并提出了内部控制的五年两步走的规划,并将其纳入到公司的5年战略规划中。第一阶段(3年),通过自上而下的刚性要求,构建全面的统一化的集团内部控制架构,并通过理念灌输形成内控推进的文化范围;第二阶段(2年),通过自下而上的,自觉的内控体系的完善,形成各个产业公司的特色化内部控制。这一从强制到自觉,从理念普及到制度完善再到内控手册的表格化提升的建设步骤,使得公司从管理高层到基层员工的各级人员都明确内部控制不同时期的不同任务及不同发展状态,稳步推进,逐步加深,为内部控制的发展道路勾画了清晰路径。
4、因企制宜的实施方案
XY公司意识到对于集团化企业,内部控制不能是一刀切的,公司要实行内部控制,需要根据自身的业务类型、公司规模、公司所处阶段来选择适宜的内部控制方法。
首先公司在吸收了五部委内部控制基本规范和配套指引的相关精髓的基础上,结合企业经营实践,基于先主后次的重要性原则以及成本收益原则,提出了以若干业务循环作为公司内控建设的主要循环范围。
其次,考虑公司的人员能力和素质,在内控成果上也没有一步到位册,而是以制度建设为基础,通过制度规范,到流程优化再到风险提炼,逐步实现内部控制的层层递进。
第三,在内控推进上,公司充分考虑下属各产业公司的业务特点,确定适合各公司的内部控制方式和侧重点。
5、循序渐进的实施步骤
(1)自上而下的理念推进向自下而上的流程推进的递进。
在内控实施的第一阶段,公司强调自上而下的理念推进。公司通过内部培训、各种工作会议达成内控理念的统一,并向各子公司传达,之后各子公司则进行自下而上的内控流程推进,即各产业公司根据自身的内部流程,进行制度的完善,并经由公司内控部审核后实施。
(2)由总部出台框架性的制度到各个子公司制订针对性的业务流程的递进。
公司内控部结合外部力量制定框架性的制度,明确各业务循环的关键控制点和操作要求,各产业公司根据自身业务情况,在满足框架制度要求的前提下制定适合企业自身的管理制度,以求更贴近产业公司的经营管理实践。
(3)普遍性、通用性的风险点向专业性、针对性的风险点的递进。
公司首先根据对产业公司实际情况的调研,绘制公司的全面风险数据库,梳理出具有普遍性的通用性主要风险点,之后,各产业公司在实际操作中不断发现专业性、针对不同企业业务特色的独特风险,以实现内部控制的完善。
(4)抓重点公司,抓主要循环和风险、抓典型事件。
公司的内部控制遵循重要性原则,关注重点公司级重要循环与风险,并关注典型事件,以期通过重点带动全面,推动内部控制的发展。
6、借助外部专业中介机构推动内控建设
外部专业机构相对具有更丰富的内控专业力量和实施经验,并且具有客观性和独立性,XY公司在整个体系建立过程中,充分发挥咨询公司专业力量,但也没有完全依赖中介机构甩手不管,而是充分参与和配合,在内控建设过程中,实现知识传递和内控人才培养,取得了较好的实施效果。
--------------转自新浪微博《马军生-内部控制博客》