企业内部控制体系建设

企业内部控制

体系建设企业内控体系建设基本概念企业内控体系建设各阶段工作介绍我们的服务具体案例介绍目录企业内控体系建设的要求内控体系建设与内控自我评价、内控审计的关系集团企业进行内控体系建设的范围企业内部控制体系建设的意义企业内控体系建设基本概念企业内控体系建设的要求企业应当结合所在行业要求和自身特点，按照《企业内部控制基本规范》的要求，参照《企业内部控制配套指引》（财会[2010]11号）的规定开展内部控制实施工作。开展内部控制体系建设工作结合行业管理要求，从自身经营管理的实际出发，识别和评估相关风险，加强对关键和重点业务的控制，保持信息沟通的顺畅，对实施效果做好监督评价，努力构建一套符合实际、业务规范、控制合理、管理有效的内部控制体系。企业内部控制基本规范企业内部控制配套指引基本原则和总体要求，具有强制性，必须遵照执行对基本规范相关规定的进一步补充和说明，具有指导性和示范性，结合行业和企业自身特点参照执行企业内控体系建设基本概念内控体系建设与内控自我评价、内控审计的关系内部控制评价指引内部控制审计指引内部控制应用指引内部控制体系建设内部评价外部评价内部控制基本规范企业内控体系建设基本概念集团企业进行内控体系建设的范围集团性企业在确认内部控制评价范围时，应当在对集团总部及下属不同业务类型、不同规模的企业进行全面、客观评价的基础上，关注重要业务单位、重大事项和高风险业务。——企业内部控制规范体系实施中相关问题解释第2号（财会[2012]18号）企业进行内控体系建设的范围应不小于内控自我评价的范围。重要业务单位一般以资产、收入、利润等作为判定标准，包括集团总部、资产占合并资产总额比例较高的分公司和子公司，营业收入占合并营业收入比例较高的分公司和子公司以及利润占合并利润比例较高的分公司和子公司等重大事项高风险业务一般是指重大投资决策项目，兼并重组、资产调整、产权转让项目，期权、期货等金融衍生业务，融资、担保项目，重大的生产经营安排，重要设备和技术引进，采购大宗物资和购买服务，重大工程建设项目，年度预算内大额度资金调动和使用，以及其他大额度资金运作事项等一般是指经过风险评估后确定为较高或高风险的业务，也包括特殊行业及特殊业务，法律法规有特殊管制或监管要求的业务等企业内控体系建设基本概念企业内部控制体系建设的意义良好的内部控制建设，可以提高股东和投资者的信心，有助于公司获得资金和市场，为战略目标的实现提供和理保证；与先进管理水平接轨，攻克企业发展瓶颈，提高企业竞争力；整理过往未能改正的管理问题，加强经营管理水平，为经济复苏后的新一轮高速发展做好准备；寻找潜在的成本削减机会；舞弊持续进行斗争；通过宣传内控活动和风险及企业目标的关系，提高执行层面的主观积极性；通过内部独立监督机制切实检验从而提高各级人员的执行力；培养各级员工风险和控制意识，并形成良性的企业文化；企业内控体系建设基本概念企业内控体系建设各阶段工作介绍成立专属部门内控梳理对标内控整改固化成立专属部门负责内控建立健全，有效实施，和评价董事会对内控有效性进行监督检查内部审计机构监督内控的有效实施和内控自我评价情况审计委员会经理层专门或适当机构负责组织协调内控的建立实施及日常工作监事会对董事会建立与实施的内部控制进行监督组织领导内控的日常运行监督检查中发现的内控重大缺陷，有权向董事会/审计委员会/监事会报告企业内控体系建设各阶段工作介绍从内部控制五要素出发梳理企业内控，关注重要业务事项和高风险领域：确定梳理范围实施风险评估梳理现有制度辨识内控环节对标管理规范内控环境风险评估控制活动信息与沟通内部监督组织架构发展战略人力资源政策社会责任企业文化目标设定风险识别风险分析风险应对资金活动采购业务销售业务资产管理研究与开发…信息收集/处理/传递信息沟通与反馈反舞弊机制日常监督专项监督企业内控体系建设各阶段工作介绍内控梳理对标控制活动按控制的时间先后可分为（如下图）：事前控制——预算模块事中控制——业务循环模块事后控制——财务报告模块控制活动不局限于18项指引，可根据企业实际情况酌情增加，下图中绿色框为指引范围之外的控制活动。确定梳理范围实施风险评估梳理现有制度辨识内控环节对标管理规范授权制度预算控制制度财务报告制度采购业务销售业务工程项目投资管理筹资管理资金活动存货管理固定资产无形资产研发管理担保业务业务外包合同管理信息系统人力资源税务管理关联交易……企业内控体系建设各阶段工作介绍内控梳理对标确定梳理范围实施风险评估梳理现有制度辨识内控环节对标管理规范风险识别与评估的要求：应重点关注并首先满足18个内控应用指引中所列示的风险；关注行业和企业特有的风险；可运用适当的风险识别工具，逐步细化风险点；充分运用风险管理工具，强化风险管理，提升经营水平，并为内控体系建设和内控评价奠定良好基础。如果识别出来的风险（尤其是内控应用指引中列示的风险）缺少相应的控制活动，属于内控缺失，应认定为设计缺陷。企业内控体系建设各阶段工作介绍内控梳理对标确定梳理范围实施风险评估梳理现有制度辨识内控环节对标管理规范利用风险库识别与管理风险战略风险：投资风险、政策风险、并购重组风险、组织结构风险、企业文化风险、社会责任风险等；市场风险：价格风险、竞争风险、汇利率风险、客户风险、品牌与声誉风险、市场营销风险等；财务风险：资金管理风险、预算管理风险、会计与报告风险、税务管理风险、关联交易风险等；法律风险：合同管理风险、合规风险、知识产权风险等；运营风险：人力资源风险、产品风险、研究与开发风险、存货风险、采购风险、生产管理风险、销售风险、供应链管理风险、资产管理风险等；企业内控体系建设各阶段工作介绍内控梳理对标确定梳理范围实施风险评估梳理现有制度辨识内控环节对标管理规范整理企业现有的制度按制度性质与目标分公司治理制度：解决公司治理结构，即主要针对股东会、董事会、监事会和经理之间的法人治理结构的制度化安排；公司管理制度：基于公司治理框架下的关于经营管理活动的正式规则。例如：劳动人事制度、财会制度、销售管理制度等；按制定制度的层级分公司层面的制度

各职能部门制定规章企业内控体系建设各阶段工作介绍内控梳理对标确定梳理范围实施风险评估梳理现有制度辨识内控环节对标管理规范企业可以：分流程建立内部控制矩阵；记录关键控制活动的控制类型、发生频率、是否利用信息系统等详细信息等；记录关键控制活动的责任部门或责任人员；记录与关键控制活动相关的公司制度；将关键控制活动与风险、五部委指引要求相对应；企业内控体系建设各阶段工作介绍内控梳理对标制定缺陷认定标准识别内控缺陷设计整改方案完善内控制度整改运行缺陷内部控制缺陷按照影响程度分为：重大缺陷重要缺陷一般缺陷分类标准：定性标准与政策法规挂钩与公司声誉挂钩与经营效率挂钩与公司战略挂钩定量标准与营业收入挂钩与资产总额挂钩与具体金额挂钩与审计重要性水平挂钩与税前利润挂钩与伤亡人数挂钩企业内控体系建设各阶段工作介绍内控整改固化制定缺陷认定标准识别内控缺陷设计整改方案完善内控制度整改运行缺陷企业应对缺陷进行分类，不同类型的缺陷采取不同应对策略：对于设计缺陷，应从企业内部的管理制度入手查找原因，需要更新、调整、废止的制度要及时进行处理，并同时改进内部控制体系的设计，弥补设计缺陷的漏洞。对于运行缺陷，则应分析出现的原因，查清责任人，并有针对性地进行整改。对于重大缺陷，应当由董事会予以最终认定，企业要及时采取应对策略，切实将风险控制在可承受度之内。对于重要缺陷和一般缺陷，企业应当及时采取措施，避免发生损失。企业内控体系建设各阶段工作介绍内控整改固化制定缺陷认定标准识别内控缺陷设计整改方案完善内控制度整改运行缺陷控制分散与控制不足并存。公司的制度或内控体系的建立游离于日常管理，或管理部门之间的衔接不充分。规章制度数量庞大，但分散于各类文件中，缺乏整合。部分控制制度冗余、过时、或缺失。执行力、责任不明确或不具体。风险控制意识只停留在高管层面，业务人员缺乏意识或执行不到位。内控制度的检查、评价不足。由于内部审计不足，对内部控制的检查频率和深度不足，一定程度上影响了内部控制作用的效力。解决办法企业可能存在的问题针对公司各项风险点结合管理重点，固化控制目标和关键控制点，结合关键控制活动，建立健全管理规程，及时更新规章制度。使得内控融入公司日常管理，提升管理水平，实现其对公司管理的价值。将内控活动落实到具体执行负责人员，结合内控自查和内审部测评提升执行力内部立项、动员、培训，引入外部专家协助实施项目是注重共建团队，实现知识转移。培养企业内部管理骨干根据企业实际情况，制定恰当的内部审计计划，由内审部定期开张内部控制评价；企业内控体系建设各阶段工作介绍内控整改固化制定缺陷认定标准识别内控缺陷设计整改方案完善内控制度整改运行缺陷企业可以：建立内部控制缺陷认定汇总表记录内部控制缺陷成因、表现形式和影响程度以控制目标为核心，打破部门和流程局限，设计适合企业运营特点的整改方案明确整改责任部门与责任人明确整改完成期限追踪整改进度保留整改证据企业内控体系建设各阶段工作介绍内控整改固化制定缺陷认定标准识别内控缺陷设计整改方案完善内控制度整改运行缺陷内部控制手册、业务流程图与流程文件企业内控体系建设各阶段工作介绍内控整改固化我们的服务我们能做什么我们的服务安排各阶段工作描述项目我们的服务工作成果体现内控建设培训√内控建设培训ppt成立专属部门内控梳理对标确定梳理范围√建立不同的控制矩阵实施风险评估√控制矩阵中“风险描述”列梳理现有制度√单独汇总，控制矩阵中“相关制度”列辨识内控环节√控制矩阵中“控制描述”及详细说明对标管控要求√控制矩阵中“五部委指引”列内控整改固化制定缺陷认定标准√识别内控缺陷√控制矩阵中“穿行测试”列，有效性测试底稿，控制矩阵中“发现问题描述和影响”列，缺陷汇总表设计整改方案√控制矩阵中“整改建议”，缺陷汇总表更新内控制度可以做整改运行缺陷测试整改情况√缺陷整改表我们能做什么？我们的服务第一步：前期工作

内控建设培训确定梳理范围梳理风险点梳理制度第二步：现场工作识别关键控制点穿行测试有效性测试汇总缺陷提出整改建议第三步：整改回访了解整改情况获取更新后的制度及整改样本整改测试整改情况汇报我们的服务我们的服务安排内控建设培训可分为两个层面：公司高级管理人员专项培训中层、基础员工内部控制实务与操作培训内控建设培训确定梳理范围梳理风险点梳理制度我们的服务第一步：前期工作在确定企业梳理范围的基础上选取相应的流程模板。根据企业的实际情况对模板进行修改，重新划分子流程。内控建设培训确定梳理范围梳理风险点梳理制度我们的服务第一步：前期工作我们通过调查问卷、访谈等方式加上我们对行业的了解梳理企业的风险点；收集并阅读企业现存的制度。内控建设培训确定梳理范围梳理风险点梳理制度我们的服务第一步：前期工作梳理企业风险后，填写控制矩阵，对主流程下的子流程面临的风险进行适当描述，并将其与五部委指引要求相匹配。公司名称：****有限公司子公司或分支机构：流程名称：存户管理流程索引号：子流程风险编号风险描述风险评级五部委指引要求6.2存货的取得与验收CA-6-R-201安全库存制定不合理或调整不及时，可能会缺货或积压的风险。中应用指引资产管理第十一条：企业应当根据各种存货采购间隔期和当前库存，综合考虑企业生产经营计划、市场供求等因素，充分利用信息系统，合理确定存货采购日期和数量，确保存货处于最佳库存状态。内控建设培训确定梳理范围梳理风险点梳理制度首先，关注18项指引的风险；其次，根据我们的经验适当加入行业、企业特有的风险；我们的服务第一步：前期工作控制说明控制详细说明信息系统控制编号控制描述相关制度/规章控制责任部门/责任人控制频率预防型控制/发现型控制手工控制/系统控制/手工依赖系统支持本控制的信息系统6.2存货的取得CA-6-CA-201公司每月根据销售计划制定生产计划、采购计划，使物料和成产品保持在合理的库存；同时ERP系统具备安全库存报警功能。《存货管理制度》采供部每月预防型控制手工依赖系统ERP供应链识别关键控制点穿行测试有效性测试汇总缺陷提出整改建议采用查阅制度、调查问卷、访谈、实地查验等方法识别企业的关键控制活动，并分析是否存在设计上的缺陷。找出满足控制目标的关键控制活动，对控制活动进行描述，并对控制活动进行编号。对控制频率进行描述：实时、按需不定期发生、每周、每月等。我们的服务第二步：现场工作控制活动编写的原则：4W+1HWHO：哪个岗位执行控制活动WHEN：该控制活动发生的时间或频率WHERE：该控制活动发生的地点WHAT：根据什么进行控制－如制度、单据、报告、电子邮件、系统数据等HOW：控制活动的具体内容是如何？如何操作？预防型控制与发现型控制的区别预防型控制：目的在于预防控制偏差，属于事前控制。例如：投资项目的审批发现型控制：目的在于发现控制运行中可能存在的偏差，属于事后控制。例如：对库存现金进行盘点识别关键控制点穿行测试有效性测试汇总缺陷提出整改建议我们的服务第二步：现场工作识别关键控制点穿行测试有效性测试汇总缺陷提出整改建议穿行测试与有效性测试有何不同？项目穿行测试有效性测试含义每一类交易循环中选择一笔业务进行测试，对其业务流程的内部控制执行检查测试控制活动运行的有效性。目的设计有效的控制活动是否在实际中得到执行测试设计有效并得到执行的控制活动是否在各个不同的时点一贯得到执行方法检查文件、比较分析、重新执行、实地查看检查文件、分析比较、重新执行、实地查看样本量只需抽取一个样本以确定所描述的控制活动的真实性需要根据发生频率确定样本量缺陷类型设计缺陷执行缺陷注：穿行测试结果有效是进行有效性测试的前提我们的服务第二步：现场工作识别关键控制点穿行测试有效性测试汇总缺陷提出整改建议穿行测试与有效性测试举例：项目穿行测试有效性测试控制活动（采购流程）公司10000元以上采购订单需要采购经理、总经理审批，10000元以下采购只需采购经理审批。公司采购业务都需要签订采购合同。公司生产性原料只能向进入合格供应商名单中的供应商进行采购。公司10000元以上的采购订单需要采购经理、总经理审批，10000以下采购只需采购经理审批。测试方法选取某一笔10000元以上的采购订单以及相应的合同，获取公司合格供应商名录，验证相应的控制活动是否得到执行。今年发生采购250笔，按取样规则选取30笔，检查其是否按规定的审批权限进行审批。我们的服务第二步：现场工作识别关键控制点穿行测试有效性测试汇总缺陷提出整改建议控制矩阵填写：控制说明穿行测试设计有效性执行有效性测试底稿编号执行有效性控制编号控制描述相关制度/规章控制责任部门/责任人测试样本文档编号6.2存货的取得CA-6-CA-201公司每月根据销售计划制定生产计划、采购计划，使物料和成产品保持在合理的库存；同时ERP系统具备安全库存报警功能。《存货管理制度》采供部CA-6-WT-201《2013年6月采购计划》有效CA-6-T2有效穿行测试需要保留一份纸质/电子版文档，对其进行编号、归档根据测试结果填写“有效”、“无效”我们的服务第二步：现场工作识别关键控制点穿行测试有效性测试汇总缺陷提出整改建议有效性测试样本量取样规则：控制类型控制执行频率样本量手工控制每日多次30手工控制每日30手工控制每周15手工控制每月2手工控制每季1手工控制每年1信息系统控制—1控制类型年发生次数折合频率样本量手工控制>200每日多次30手工控制50-200每日30手工控制15-50每周15手工控制<15每月2频率确定的控制活动频率不确定的控制活动我们的服务第二步：现场工作有效性测试工作底稿：“有效性测试底稿”主要包括：测试的关键控制活动测试样本量的选择测试程序测试记录抽样测试记录测试结果等第二步：现场工作我们的服务识别关键控制点穿行测试有效性测试汇总缺陷提出整改建议如何判定内控设计/执行是否有效？如何整改？某一管控要求缺少相关控制（制度和实际操作都缺失）设计了相关控制，但是控制不合理，不能达到目的制定了相关制度，制度合理，但是实际中未得到执行实际控制有效，但是缺少相关制度或制度已过时制度设计合理并得到执行，测试中发现例外情况重新设计相关控制，制定相应的制度并执行分析原因，重新设计控制，或按照制度加强执行补充/更新相关制度，使控制以书面形式固定下来加强控制运行设计缺陷执行缺陷控制有效控制设计合理制定了相应制度增加相关控制，制定相应的制度并执行控制得到执行我们的服务第二步：现场工作识别关键控制点穿行测试有效性测试汇总缺陷提出整改建议控制矩阵填写：控制说明设计有效性审阅发现及改进建议控制编号控制描述索引号发现问题描述和影响整改建议7.3

现金管理CA-7-CA-205出纳每星期对现金盘点两次，月末由独立于出纳的人员对现金盘点进行监盘。无效CA-7-DF-05现金盘点未编制《现金盘点报告》，现金盘点流程不规范，存在现金被挪用而不能及时发现的风险。

月末现金盘点编制《盘点报告》，注明库存现金面值数量、面值，现金账面余额，并由盘点人和监盘人签字确认。盘点报告归档保管。根据发现的问题对缺陷进行描述，并根据公司实际情况提出整改建议。我们的服务第二步：现场工作识别关键控制点穿行测试有效性测试汇总缺陷提出整改建议规则举例CA-X业务流程CA-6存货管理CA-X-R-子流程&序号风险编号CA-6-R-301存货的保管子流程第一个风险点CA-X-CA-子流程&序号控制活动编号CA-6-CA-301存货的保管子流程第一个控制活动CA-X-WT-子流程&序号穿行测试文档编号CA-6-WT-301存货的保管子流程第一个穿行测试文档CA-X-DF-序号缺陷编号CA-6-DF-01存货管理流程中第一个缺陷控制矩阵编号规则：CA-6存货管理6.1存货和生产管理制度6.4存货的领用与发出6.2存货的取得与验收6.5生产成本的核算6.3存货的保管6.6存货的盘点以及跌价准备的计提我们的服务第二步：现场工作通过座谈会、查阅企业整改报告等方式了解企业的整改时间计划、采取的整改措施、当前的整改进度。内控缺陷整改计划表内控缺陷整改方案内控缺陷整改情况了解整改情况整改测试了解整改情况获取更新后的制度及整改样本整改测试整改情况汇报我们的服务第三步：整改回访获取更新后的制度及整改样本，判断：更新后的制度是否符合管控要求，内容是否完善，是否经过审定形成正式文件；企业采取的整改措施能否达到管控要求，涉及多部门的是否理清各部门的职责分工；企业采取整改措施是否传递到各部门，并在操作层面得到实际执行；了解整改情况整改测试了解整改情况获取更新后的制度及整改样本整改测试整改情况汇报我们的服务第三步：整改回访了解整改情况整改测试了解整改情况获取更新后的制度及整改样本整改测试整改情况汇报整改测试分两种情况进行，同时满足以下条件的进行整改测试，测试方法同有效性测试一致：通过整改测试的缺陷才可以认定整改完成。我们的服务第三步：整改回访控制设计合理制定了相应的制度控制得到执行有足够的样本企业采取整改措施有足够的样本设计缺陷执行缺陷了解整改情况整改测试了解整改情况获取更新后的制度及整改样本整改测试整改情况汇报在缺陷整改表中汇总企业内控整改情况，与企业进行沟通，或向集团公司进行汇报。流程控制描述问题汇总公司整改计划措施是否整改实际整改情况销售流程公司销售员对新客户进行背景调查。对国内客户，核实客户的各项资料，包括银行、税务信息、经营范围等；对国外客户比对互联网资料及其自我陈述。对新客户第一笔交易采用款到发货的形式。新客户资料未形成调查报告等资料，并交由职能部门进行审批，由此可能导致由于销售员的主客观原因导致销售给不合格客户。1、制订《新客户开发交易管理制度》，明确新客户背景调查项目（包括新客户所在区域、经营范围、银行、税务信息等）；2、规定新客户第一笔交易须款到发货，对国内客户须提供营业执照、法定代表人身份证、税务登记等相关资料；对国外客户比对互联网资料及自我陈述，经核对后，填写《新开发客户审批表》交部门经理、总经理审批，以控制销售风险。Y公司已整改，经测试，公司新客户由销售员填写《新开发客户审批表》经部门经理和总经理审批，并附营业执照、银行账户、法人身份证等证件，并将新客户审批纳入绩效考核。描述公司计划采取的整改措施描述公司实际整改情况，包括已经采取的措施、整改的进度等判断是否整改完成(Y)，或是部分整改、未整改(N)我们的服务第三步：整改回访具体案例介绍具体案例介绍客户上海**集团股份有限公司案例主题内控体系建设客户介绍**集团是上交所的主板上市公司，集团内有三十多家子公司，经营范围涉及长毛绒、服装、医药、金融等板块。客户分析根据财办会[2012]30号文件《关于2012年主板上市公司分类分批实施企业内部控制规范体