张庆龙教授企业内部控制建设的路线图分析-(下)

企业内部控制建设的路线图分析张庆龙教授、博士、博士后国际注册管理咨询师、硕士生导师青联委员北京市审计局特聘专家中国审计学会教育分会理事北京市财政学会理事、中国商业会计学会理事中国内部审计协会质量监督委员会委员•E-mail：zhangql@mail.nai.edu.cn2找准切入点3国内上市企业实施内部控制的应对策略■理解企业内控基本规范及配套指引要求■评估企业现状及梳理企业流程■完善公司治理结构及规章制度■设定控制目标，开展自我评估■缺陷发现及整改■接受外部审计■持续改进、完善4•如何高效有序地建立内控体系，以最少的投入达到最好的效果？•如何使得内控体系融入公司日常管理，提升管理水平，实现其对公司管理的价值？•如何明确内部责任体系，提高执行力并支撑公司董事和管理层对外披露内控有效性？•如何在合规的基础上，发挥内控效能，最大程度防范风险？•已开展过系统内控建设工作的上市企业现在还需要做什么工作？•未上市企业需要开始建设内部控制体系么？企业在建设内部控制体系过程中关注什么？5内控评价制定内控评价办法开展内控评价跟踪缺陷整改编制内控评价报告内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件内控梳理对标流程梳理识别评估控制对标偏差改进内控审计进行模拟审计提供所需证据出具管理声明披露审计报告内部控制应用指引内部控制评价指引内部控制审计指引内部控制基本规范信息化建设管理层持续整改/内部监督持续开展建设内控体系的路线图本次培训重点分享内容6控制对标设计对标执行对标识别评估风险识别控制标准流程梳理职责界定内控范围明确流程确定子流程偏差改进识别偏差管理建议内部控制基本规范内控梳理对标内控梳理对标分析内部控制应用指引7一、流程梳理梳理梳理识别评估控制对标偏差改进8一、流程梳理明确的功能定位：为公司治理服务和为内部管理服务第一道防线：业务单位防线☆业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线。☆企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线第三道防线：内审单位防线☆涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题☆内审单位要发挥三大职能：财务监督、经营诊断与内部咨询顾问梳理梳理识别评估控制对标偏差改进第二道防线：风险管理单位防线☆在业务单位之上建立一个更高层次的风险管理功能，它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会☆风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作1、职责界定（续）9一、流程梳理梳理梳理识别评估控制对标偏差改进2、内控范围公司层面的内部环境，风险评估，信息与沟通，内部监督等内部控制基于风险的自上而下的方法确定重要性水平确定重要会计科目纳入内控范围的经营实体确定每个纳入围的经营实体所涉及的业务流程合并财务报表合并财务报表及子公司的财务报表子公司的财务报表基于各公司主要业务经营活动和主要报表项目通常运用职业判断合理选择某一重要科目的百分比，据以确定重要性水与财务审计的重要性水平保持一致分别从定性以及定量两个方面来确定纳入内控范围的重要会计科目基于风险评估根据子公司资产负债表和利润表，科目的余额或者披露的信息等来确定将识别的纳入内控范围的经营实体以及每个实体对应的重要会计科目与业务流程进行匹配10一、流程梳理梳理梳理识别评估控制对标偏差改进3、明确流程从内部控制五要素出发梳理企业内控，关注重要业务事项和高风险领域：11一、流程梳理梳理梳理识别评估控制对标偏差改进3、明确流程（续）公司层面控制流程层面控制IT信息系统操作系统/数据库/网络/应用系统…公司控制环境•总体控制环境•信息与沟通•风险评估•监控IT一般控制•信息安全•信息系统日常运作•数据库实施与维护•应用系统实施与维护•系统软件支持•网络支持•…流程层面控制•销售与收款流程•采购与支出流程•存货及成本管理流程•资金管理流程•固定资产管理流程•工程项目管理流程•税务管理流程•人力资源管理流程•财务关账及报告流程IT系统应用控制业务流程中内嵌的信息系统相关控制，以保证信息处理的完整性，准确性，有效性和访问控制。应用系统控制的例子包括：•授权审批•职责分离•系统编辑控制•系统计算对控制活动的记录将包括以下关注点（5W1H）-被控制的风险是什么(what)？-是如何控制的（how)？-为什么要实施控制(why)？-谁来实施控制(who)？-什么时候实施控制(when)？-控制活动是通过什么系统完成的(whatsystem)？12一、流程梳理梳理梳理识别评估控制对标偏差改进3、明确流程（续）13一、流程梳理梳理梳理识别评估控制对标偏差改进14风险识别与评估的依据：•应重点关注18个内部控制应用指引中所列示的风险•可运用适当的风险识别工具，逐步细化风险点和管理手段•充分运用风险管理工具，强化风险管理，提升经营水平，并为内控体系建设和内控评价奠定良好基础二、识别评估梳理梳理识别评估控制对标偏差改进1、风险识别15二、识别评估梳理梳理识别评估控制对标偏差改进1、风险识别（续）16二、识别评估梳理梳理识别评估控制对标偏差改进17以风险控制为核心的流程管理18二、识别评估梳理梳理识别评估控制对标偏差改进2、控制标准19二、识别评估梳理梳理识别评估控制对标偏差改进2、控制标准常用的内部控制活动职责分工控制授权控制预算控制财产保护控制员工素质控制内部报告控制经济活动分析控制绩效考评控制信息技术控制手工控制、自动控制、预防控制、过程控制、目标管理相结合不相容职务相分离：如经办与审核、财产保管与会计记录等分为一般授权与特殊授权，明确授权审批层次与审批程序企业完成目标的经营、资本、财务等年度收支总体计划限制接近、定期盘点、记录保护、财产保险、财产记录监控等严格招聘、定期培训、规范操作、岗位轮换等经营分析报告、资金报告、投资分析报告、质量分析报告等因素分析、对比分析、趋势分析等考评结果作为确定薪酬以及晋升、评优、降级、辞退等的依据输入控制、处理控制、输出控制，实时监控20同时负责现金的收取和应收账款的会计记录同时负责购货订单的审批和货物的收取同时负责付款的审批和购货订单签发与审核可能会通过注销应收账款和截留应收账款等调节账簿的方法来私自挪用现金可能以组织的名义为个人购入货物，在收取货物时利用职务之便将货物占为己有，同时不向会计部门递交原始凭证或者在原始凭证上反映虚假信息可能会伪造购货业务并支付货款，从而贪污现金不相容职务相互分离控制（示例）二、识别评估梳理梳理识别评估控制对标偏差改进2、控制标准（续）存在的风险工作职责21二、识别评估梳理梳理识别评估控制对标偏差改进2、控制标准（续）授权批准控制（示例）在开展任何业务之前都应进行适当授权授权以后，为了避免滥用权力，还要经常对业务流程进行审查按性质的不同分为综合授权和特别授权要对授权做好记录，并提供证明文件避免两个极端：“层层审批”和“一支笔”22三、控制对标1、设计对标梳理梳理识别评估控制对标偏差改进23三、控制对标1、设计对标（续）对照公司内部控制标准，持续完善和改进公司管理体系梳理梳理识别评估控制对标偏差改进24控制活动编写的原则：4W+1H•WHO:哪个岗位执行控制活动•WHEN:该控制活动发生的时间或频率•WHERE:该控制活动发生的地点•WHAT:根据什么进行控制－如制度、单据、报告、电子邮件、系统数据等•HOW:控制活动的具体内容是如何？如何操作？三、控制对标2、执行对标梳理梳理识别评估控制对标偏差改进25三、控制对标梳理梳理识别评估控制对标偏差改进26具体穿行测试方法三、控制对标梳理梳理识别评估控制对标偏差改进2、执行对标（续）27四、偏差改进1、识别偏差•识别需要建立、补充和完善的相关制度梳理梳理识别评估控制对标偏差改进28•通过控制对标，结合穿行测试，发现控制存在的偏差，并记录内部控制偏差•寻找相关的补偿性控制。如果仍然无法找到，即可认定该领域在内部控制上存在改进点•建立内部控制缺陷认定汇总表•记录内部控制缺陷成因、表现形式和影响程度四、偏差改进1、识别偏差（续）梳理梳理识别评估控制对标偏差改进29管理制度更新•版式、内容更新：⁻制度中规定的内容切合现行业务现状以及管控现状，实质内容不需更新，但是需要依据公司管理层的要求对行文或格式进行调整；⁻制度中规定的相关内容已经不适用于公司运作现状，需要对相关内容进行调整更新，调整更新的方式包括：重新编写部分内容，对某些制度中的相关内容按照实际情况，进行删减、合并或者替换等；•制度新增：⁻公司无此制度，建议新增的制度•名称更新：⁻根据管理制度覆盖面，内容和细致度等进行分层级划分，统一制度名称。如划分为准则或规则、制度、管理办法、细则或程序、及其他等。四、偏差改进梳理梳理识别评估控制对标偏差改进2、管理建议30内部控制改进管理建议•以控制目标为核心，打破部门和流程局限，设计适合企业运营特点的整改方案•明确整改责任部门与责任人•明确整改完成期限•追踪整改进度•保留整改证据四、偏差改进梳理梳理识别评估控制对标偏差改进2、管理建议（续）31内部控制手册、业务流程图与流程文件四、偏差改进梳理梳理识别评估控制对标偏差改进2、管理建议（续）32对深入开展内控对标分析的建议33321符合监管要求，与集团对接全面遵守国资委和财政部等五部委的法规规定符合集团公司统一规划与集团公司的制度和标准对接所属单位内部控制体系建设需满足的要求34效率优先、合理保障效果：–许多企业都有保守、回避风险、效率低下、权限模糊的弊端，表面看起来内部控制过度，但仍然有管理缺失和管理僵化情形；–建议无论是公司管控还是内部管理，都要简化、优化流程，清晰明确权责边界，用制度予以明确规定，提高效率；–清晰的权责边界包括董事会、监事会、经理层、党组织、职能部门、上下级单位。风险与机遇、效率与效果的统一风险与机遇：企业在注重防范和控制风险的同时也应把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。35内控体系实施的原则与重点36根据驱动因素、切入点，开展体系建设；结合企业当前的业务与管理成熟度由项目管理向职能管理转变；建立制度保障体系落地；开展评价与考核结合；要有足够的资源保障明确功能定位、组织定位；保障工作的独立性，客观性明确体系建设的驱动因素，找准工作开展的切入点；保障工作与企业所处发展阶段匹配正确定位、准确切入、结合实际、机制保障统一思想，提高认识，找准切入点明确定位体系推行驱动与切入点体系建设37按五部委要求结合最佳实践，对公司内控活动通过与风险、控制目标匹配的方法从现行的各类文件制度中进行识别出来后，将其文档化形成公司内控文档或手册；对于匹配中发现缺失的内控，应由相关部门整改建立相应内控或相关公司制度／政策；并记录到内控手册中形成对内控的长效机制，对内控手册内容根据业务变化定期进行更新公司有专门部门应对关键内控活动进行定期测试，确保其得到贯策执行提前进行模拟审计，以增强应对经验实施时由点到面，逐步推进内控融入与现有管理体系，提升执行力，不做表面工程总结建立内控模板制度梳理流程梳理风险点梳理形成内控模板设计制度梳理模板，开展制度梳理《企业内部控制基本规范》及配套指引中要求企业应建立的制度清单序号制度名称中集**公司制度对应情况整改措施1授权管理制度2内部控制制度3内部控制监督制度4内部控制评价程序5企业文化评估制度6内部审计制度7信息与沟通制度8举报投诉制度9举报人保护制度10战略管理制度11全面预算管理制度12投资管理制度13绩效考评制度14销售业务管理制度15采购业务管理制度16供应商评估和准入制度17存货管理制度18工程项目管制度《企业内部控制基本规范》及配套指引中要求企业应建立的制度清单序号制度名称中集**公司制度对应情况整改措施19财产日常管理及定期清查制定20资金管理制度21担保管理制度22薪酬管理制度23强制休假制度24定期换位轮岗制度25信息系统用户管理制度26系统数据定期备份制