一、内部控制概述
内部控制概念:内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现以下控制目标的过程:
◆合理保证企业经营管理合法合规
◆资产安全
◆财务报告及相关信息真实完整
◆提高经营效率和效果
◆促进企业实现发展战略
内部控制框架体系
◆内部环境。内部环境是实施内部控制的基础,主要包括治理结构、机构设置及权责分配、人力资源政策、企业文化等。
◆风险评估。风险评估是公司及时识别、系统分内部控制框架体系
◆内部环境。内部环境是实施内部控制的基础,主要包括治理结构、机构设置及权责分配、人力资源政策、企业文化等。
◆风险评估。风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
◆控制活动。控制活动是公司根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。
◆信息与沟通。信息与沟通是及时、准确地收集、传递与内部控制相关的信息,确保信息在公司内部、公司与外部之间进行有效沟通。
◆内部监督。内部监督是对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
二、内部控制建设方法
指导思想
本次内控体系建设总体目标是:建立“战略导向、重点突出、统筹兼顾、持续提升”的内控体系,力争成为省国资委系统内控体系建设的标杆企业。
建设方法
风险目标设定、风险识别、风险分析、风险应对策略的选择,最终形成《风险数据库》;
谁(岗位)负责执行控制、控制的具体内容、控制实施留下的证据;
收集和分析现有制度,进而结合流程描述和实际业务操作完善制度设计,最后汇总并规范化发布;
梳理形成业务流程目录,并在其框架指导下,实施流程再造,编制业务流程图;以流程为纽带,以制度为平台,以控制为手段,以风险为导向
三、内部控制建设步骤
◆调研和诊断
召开项目启动会,发布宣传手册,明确内控建设内容;
通过访谈、检查资料等方式,梳理业务流程、存在的风险及制度建设情况;
◆内控体系框架设计
建立内控体系框架,从控制环境、风险评估、控制活动、信息与沟通和监督五个方面细化内控框架,同时与贵公司各相关部门确定业务流程目录;
◆试点阶段
协助事务所完成风险评估(以访谈、查阅文件为主);
编制业务流程图,确定审批权限及关键控制点;
编制风险的应对措施,形成风险控制矩阵;
◆推广阶段
各单位自行组织开展风险评估工作,汇总完成后形成完整的风险数据库;
向集团内控工作小组提供业务流程图及风险应对措施;
◆中期验收反馈及修订
成立中期检查小组对内控手册进行质量验收,确保手册涉及的风险点充分反映企业的业务特征、风险控制点能起到有效规避非系统风险的作用;
◆运行评价与测试
为了检验内部控制体系设计的有效性和执行有效性,在公司发布《内部控制手册》后至少三个月后,公司需组织开展内部控制运行自我评价工作;
◆完善修订发布正式版本
公司内控主管部门需要将公司层面测试结果下发给各下属单位,便于所属各单位开展工作。在设计层面修订与执行层面整改结束后,下发正式的内控手册。
四、内部控制建设要求
1.对于风险评估的要求
根据《中央企业全面风险管理指引》第十九条风险评估应由企业组织有关职能部门和业务单位实施,也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。结合风险评估的基本步骤,需要各公司、各单位按照中介机构的要求进行风险评估工作,具体内容如下:
◆风险识别与风险分析:如果风险不同其参与评估的人员就会不同,因此对于某些公司层面的重大风险点,高级管理层通常作为风险所有人参与;对于流程层面、部门层面的风险点,通常部门经理为风险所有人,而公司高管和部分关键岗位人员可能作为风险专家参与。具体来讲主要是通过协助中介机构开展调查问卷、访谈、查阅文件等模式评估这些风险的发生概率、影响程度。
◆风险评价:风险评价是根据风险识别和分析阶段已经确定的风险的基础上,根据风险评估标准(通常为风险发生的影响和风险发生的可能性),对风险的重要性程度进行衡量,并进行风险排序的过程。在具体实施过程中,主要是协助中介机构填写风险评价问卷,达到评价风险发生可能性及影响程度。
◆确定风险管理基本策略:主要为风险评估的结果编制风险应对措施。
2.对风险控制措施编制的要求
各公司、各单位需要根据评估的风险,结合企业现有的规章制度、岗位规范等制定风险控制措施,在此基础上优化流程,完善制度。
3. 对于业务流程描述的要求
各公司、各单位需熟练运用VISIO画图工具对业务流程进行绘制,并通过不断沟通优化业务流程描述。
4.对于完善缺陷、流程优化的要求
对于企业目前流程中存在的问题进行完善,优化流程。
5.对于制度完善的要求
通过编制有效的风险应对措施,同时修改完善现有制度,对企业的管理进行提升。
6.