一、內部控制概述
內部控制概念:內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現以下控制目標的過程:
◆合理保證企業經營管理合法合規
◆資產安全
◆財務報告及相關信息真實完整
◆提高經營效率和效果
◆促進企業實現發展戰略
內部控制框架體系
◆內部環境。內部環境是實施內部控制的基礎,主要包括治理結構、機構設置及權責分配、人力資源政策、企業文化等。
◆風險評估。風險評估是公司及時識別、系統分內部控制框架體系
◆內部環境。內部環境是實施內部控制的基礎,主要包括治理結構、機構設置及權責分配、人力資源政策、企業文化等。
◆風險評估。風險評估是公司及時識別、系統分析經營活動中與實現內部控制目標相關的風險,合理確定風險應對策略。
◆控制活動。控制活動是公司根據風險評估結果,采用相應的控制措施,將風險控制在可承受度之內。
◆信息與溝通。信息與溝通是及時、準確地收集、傳遞與內部控制相關的信息,確保信息在公司內部、公司與外部之間進行有效溝通。
◆內部監督。內部監督是對內部控制建立與實施情況進行監督檢查,評價內部控制的有效性,發現內部控制缺陷,應當及時加以改進。
二、內部控制建設方法
指導思想
本次內控體系建設總體目標是:建立“戰略導向、重點突出、統籌兼顧、持續提升”的內控體系,力爭成為省國資委系統內控體系建設的標桿企業。
建設方法
風險目標設定、風險識別、風險分析、風險應對策略的選擇,最終形成《風險數據庫》;
誰(崗位)負責執行控制、控制的具體內容、控制實施留下的證據;
收集和分析現有制度,進而結合流程描述和實際業務操作完善制度設計,最后匯總并規范化發布;
梳理形成業務流程目錄,并在其框架指導下,實施流程再造,編制業務流程圖;以流程為紐帶,以制度為平臺,以控制為手段,以風險為導向
三、內部控制建設步驟
◆調研和診斷
召開項目啟動會,發布宣傳手冊,明確內控建設內容;
通過訪談、檢查資料等方式,梳理業務流程、存在的風險及制度建設情況;
◆內控體系框架設計
建立內控體系框架,從控制環境、風險評估、控制活動、信息與溝通和監督五個方面細化內控框架,同時與貴公司各相關部門確定業務流程目錄;
◆試點階段
協助事務所完成風險評估(以訪談、查閱文件為主);
編制業務流程圖,確定審批權限及關鍵控制點;
編制風險的應對措施,形成風險控制矩陣;
◆推廣階段
各單位自行組織開展風險評估工作,匯總完成后形成完整的風險數據庫;
向集團內控工作小組提供業務流程圖及風險應對措施;
◆中期驗收反饋及修訂
成立中期檢查小組對內控手冊進行質量驗收,確保手冊涉及的風險點充分反映企業的業務特征、風險控制點能起到有效規避非系統風險的作用;
◆運行評價與測試
為了檢驗內部控制體系設計的有效性和執行有效性,在公司發布《內部控制手冊》后至少三個月后,公司需組織開展內部控制運行自我評價工作;
◆完善修訂發布正式版本
公司內控主管部門需要將公司層面測試結果下發給各下屬單位,便于所屬各單位開展工作。在設計層面修訂與執行層面整改結束后,下發正式的內控手冊。
四、內部控制建設要求
1.對于風險評估的要求
根據《中央企業全面風險管理指引》第十九條風險評估應由企業組織有關職能部門和業務單位實施,也可聘請有資質、信譽好、風險管理專業能力強的中介機構協助實施。結合風險評估的基本步驟,需要各公司、各單位按照中介機構的要求進行風險評估工作,具體內容如下:
◆風險識別與風險分析:如果風險不同其參與評估的人員就會不同,因此對于某些公司層面的重大風險點,高級管理層通常作為風險所有人參與;對于流程層面、部門層面的風險點,通常部門經理為風險所有人,而公司高管和部分關鍵崗位人員可能作為風險專家參與。具體來講主要是通過協助中介機構開展調查問卷、訪談、查閱文件等模式評估這些風險的發生概率、影響程度。
◆風險評價:風險評價是根據風險識別和分析階段已經確定的風險的基礎上,根據風險評估標準(通常為風險發生的影響和風險發生的可能性),對風險的重要性程度進行衡量,并進行風險排序的過程。在具體實施過程中,主要是協助中介機構填寫風險評價問卷,達到評價風險發生可能性及影響程度。
◆確定風險管理基本策略:主要為風險評估的結果編制風險應對措施。
2.對風險控制措施編制的要求
各公司、各單位需要根據評估的風險,結合企業現有的規章制度、崗位規范等制定風險控制措施,在此基礎上優化流程,完善制度。
3. 對于業務流程描述的要求
各公司、各單位需熟練運用VISIO畫圖工具對業務流程進行繪制,并通過不斷溝通優化業務流程描述。
4.對于完善缺陷、流程優化的要求
對于企業目前流程中存在的問題進行完善,優化流程。
5.對于制度完善的要求
通過編制有效的風險應對措施,同時修改完善現有制度,對企業的管理進行提升。
6.
