本文从企业现有的业务流程为起点,通过业务流程梳理、优化并完善业务流程、编制流程文档、建立风险管理及内部控制数据库等阶段,达到建立健全控制活动类的内部控制体系,进而达到全面风险管理。
一、以业务流程为起点
探讨建立企业内部控制的缘由建立健全内部控制是企业内外部需要,各类企业都积极探索建立内部控制。不同规模、环境的企业,建立内部控制的方法各有不同,本文拟从企业现有的业务流程为起点,探讨如何建立控制活动类的内部控制。
业务流程是为达到特定的价值目标而由不同的人分别共同完成的一系列活动。业务流程是企业经营活动最普遍的工作流程,任何一个企业在运营,都有各种各样的业务流程,或是成文的标准文件,或是习惯的工作方式。
因此,本文以业务流程为起点,探讨建立企业内部控制,由于是以业务为出发点,因此,本文着重探讨如何建立控制活动类内部控制。
二、以业务流程为起点,建立企业内部控制
我们可以通过业务流程梳理、优化并完善业务流程、编制流程制度文档、建立风险管理及内部控制数据库等阶段来实现对内部控制的建立。具体分述如下:
(一)业务流程梳理
本文流程梳理的概念,强调作为一个阶段性活动,从企业整体业务流程明晰的目的出发,对当前流程进行充分显性化,而在显性化基础上发现问题并进行点优化的工作方式。
一般来说,企业的各种业务流程可以划分为三个层级。一级流程:可根据《配套指引》的控制活动类进行梳理,包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告共9 方面。二级流程:在一级流程的基础上,按照每个内部控制所包括的内容再次划分为若干方面,例如资金活动方面可划分为筹资活动、投资活动、资金营运三个方面。三级流程:在二级流程的基础上,进一步划分到具体的业务单元,例如筹资活动方面,可能涉及提出筹资方案、筹资方案论证等方面。
在业务流程梳理过程中,可以与相关职能部门负责人及职员访谈,也可以是查询现有制度文件,也可以是通过抽查相关业务资料进行穿行测试。
(二)优化并完善业务流程
通过对业务流程梳理,我们可以通过将现在业务流程与《配套指引》、优秀企业等进行对标检查, 再根据常见内部控制活动的原理,优化现有业务流程,完善控制缺陷。
(三)编制流程文档
根据优化完善的业务流程,绘制标准流程图,编制流程文档。
流程文档是内部控制体系中的基础文档,也是核心文档,流程文档可以包含以下内容:流程名称、流程责任部门与责任岗位、流程目标、流程适用范围、流程相关制度、流程图、流程描述、流程风险点及对应控制点。
1.业务流程风险点识别。流程中的风险点识别方法:以流程目标为出发点,从流程步骤走向进行风险思考,结合控制点识别出风险点。
2.风险分类。按照风险发生后的可能结果,可划分为机会风险( 可能有好的结果,也可能有坏的结果) 和纯粹风险( 只可能造成坏的结果) 。按照五大类风险可划分为战略风险、财务风险、市场风险、运营风险、法律风险。
3.风险等级。风险等级的划分依靠两个维度来判定,即风险发生可能性和风险发生影响程度。风险发生可能性分为极低、较低、中等、较高、极高五个等级;风险发生影响程度分为轻微、较低、中等、重大、灾难性五个等级。关于风险发生可能性和风险发生造成影响,要根据企业所在行业及自身经营情况来判定。
我们可通过对流程风险点的以上两个维度进行分析量化评分并取平均值,然后根据下图判定风险等级。
设计对应控制点。流程中的控制点设计方法:假设去掉这个流程步骤,若该流程仍能完整的进行下去,则该步骤为控制点;若该流程到此卡住无法再进行下去,则该步骤不是控制点,仅为一般步骤。例如某个流程中存在几个审核、审批步骤,去掉某一个或某几个审
核、审批步骤,该流程都能继续进行下去,但会存在风险隐患,因此,这类审核、审批步骤就是控制点。
列出业务流程中对应该风险点的控制点,并确定该控制点是事前控制、事中控制还是事后控制。
(四)建立流程控制数据库
1.流程层面风险管理数据库。流程层面风险管理数据库是后期建立全面风险管理信息系统的核心数据库之一,与公司层面风险管理数据库共同构成公司的全面风险管理数据库。业务流程层面风险管理数据库以表格的形式呈现,细分到各个流程,是从流程层面评估风险、控制风险并建立内部控制体系的基础,也是公司全面风险管理与内部控制体系的核心之一。
2.建立流程层面控制数据库。流程层面控制数据库也是后期建立风险管理信息系统的核心表单之一,它以表格的形式呈现,细分到各个流程, 并通过流程编号与流程层面风险管理数据库一一对应,是后期建立全面风险管理信息系统的基础。
三、总结
综上所述,通过业务流程梳理、优化并完善业务流程、编制流程文档、建立风险管理及内部控制数据库等阶段,达到建立健全控制活动类的内部控制,进而达到全面风险管理。
以前的内控体系建设工作,重点是确保财务报告内部控制的有效性,内控审计也重点围绕这一主题领域开展。随着内控体系建设工作的深入,内控工作不断从职责、内容、关注点等方面有了新的发展。内控审计也应随着内控工作的发展,与时俱进,不断拓展其内涵及外延。
一是开展法律风险防控体系管理。开展法律风险防控体系管理内控审计,就是重点审查法律风险防控机制的健全性、法律风险源识别的全面性、法律风险确定的规范性和法律风险防控措施的有效性,评估法律风险防控体系的设计有效性和执行有效性,促进整改和完善,不断提高公司法律风险防控能力。二是开展业务流程管理内控审计。开展业务流程管理内控审计,不仅要审计业务流程管理的设计、发布、监督等规范化程序,更应深入到具体业务流程,审查业务的实质性内容,针对企业管理的重点,热点、难点的业务流程,开展流程管理审计,并与管理审计和效益审计结合起来,促进业务流程的不断优化和改进。探索开展全面风险管理审计全面风险管理的内容主要包括内部环境、目标制定、事件识别、风险评估,风险反应、控制活动、信息与沟通、监督八个要素。基本业务流程是收集风险管理初始信息,进行风险评估,制定风险管理策略,提出和实施风险管理解决方案、风险管理的监督与改进等。
“现代内部审计之父”劳伦斯•索耶,称内控审计是内部审计师的“ 魔杖”。石油销售企业要使用好这根魔杖,充分发挥其作用,促进企业内控体系不断深入健康的发展,进而提升企业的核心竞争力。
四、结论与启示
中小微企业贷款难的主要原因就是财务不规范、缺乏抵押担保,所以无法获取银行的信任。而济宁银行金乡支行紧密结合县域中小企业经营状况,积极加强与资产管理公司的合作,在全国范围内率先推出大蒜质押专业监管信贷模式,有效拓展了农产品流通企业融资空间,同时也确保了信贷资产的安全,满足了客户融资需求和银行控制风险的双重需要,为农产品质两融资提供了可借鉴推广的方式。