博阳精讯

国内专业基于ARIS提供“卓越业务流程管理”解决方案的咨询公司。

流程管理资讯微信公众号

流程管理资讯网,BPM业界有影响力中立资讯平台。

博阳精讯业务流程管理微信公众号

国内专业基于ARIS提供“卓越业务流程管理”解决方案的咨询公司

内部控制建设中的关键点及其控制
来源: 中国会计报 作者: 佚名 2023-12-11 阅读数:2798

内控有哪些关键点、风险点,如何控制?作为证监会、国资委、广东省财政厅首批内控试点单位,我们乐于和同行分享初步体会。

内控规划方面,可能存在下述情况:未制定内控规划,或规划脱离实际;将符合规定为内控建设的终极目标,陷于机械化、表面化,不利于战略目标的实现;未制定年度实施计划,规划成为空中楼阁。为此,应充分考虑公司实际制定内控规划。

组织机构方面,可能存在以下实际情况:领导组组长不是公司一把手,不利于内控工作落实;领导组组长是一把手,但从不过问内控工作;工作组成员缺乏代表性,譬如没有生产单位的人员;工作组成员无暇顾及内控工作;工作组成员不了解内控规范。为此,应采取成立内控领导小组和工作小组、由一把手担任组长并督促内控工作等措施。

选聘咨询机构方面,可能存在几种情况:由内审或财务部门牵头做内控,不聘请咨询机构,可能因经验、人手不足而失败;通过招投标方式选聘的,只看标书,缺乏现场述标;建设内控过程中,放手让咨询机构做,缺乏与咨询机构的定期、充分沟通;内控建设结束,对咨询机构提交的成果验收不严格。为此,应邀请咨询机构现场述标,详细评标,并严格验收工作成果等。

内控环境建设方面,可能存在几种情况:认为内控环境比较虚,业务流程控制较实际有效;忽视内控文化、风险意识的培育,未把推行内控规范作为管理优化、文化提升的重要契机;认为战略规划是公司的秘密,不需提交股东大会审批;认为子公司不需要制定战略规划;关键岗位未定期轮岗;法律意识淡薄。为此,应相应加强措施,加强内控环境建设。

工作内容方面,可能存在一些具体情况:仅按18项内控应用指引设定工作内容,不涉及应用指引中未述及或较少述及的内容,譬如关联交易等;机械地与18项应用指引对标,忽视企业的实际;认为内控审计仅抽查几家大公司,不查小公司,存在侥幸心理;未识别主要流程和高风险区域,眉毛胡子一把抓;有的老厂认为,生产领域制度、规程较全,技术相对成熟稳定,风险较小,而资金、资产等财务领域风险较高。为此,内控实施应覆盖母子公司全体,应结合实际设定工作内容,识别主要流程和高风险领域等。

风险管理机制建设方面,可能存在下述情况:未形成风险管理机制,既无领导机构、归口部门,亦无风险分析团队、风险评估方法;生产管理领域风险识别、评估、控制工作比较到位,财务、经营风险管理较弱;风险评估缺乏相应的基础性数据;不清楚公司层面和业务层面的风险承受度,更无定量分析;未系统总结、提炼公司的风险类型和层次。为此,应明确归口部门,组建风险分析团队等。

内控宣贯方面,可能存在下述情况:宣贯次数和参加人数较少;培训教师侧重于理论;宣贯形式单一;宣贯工作虎头蛇尾,只是在项目启动时宣贯。为此,应对培训人员实行签到、考试、发放培训证书;多形式、不间断宣传内控;重视项目结束、移交成果后的宣贯等。

流程梳理方面,可能存在几种情况:没有流程图,以文字描述替代;仅将现行的工作流程画成流程图,未进行流程评估和优化;在落实流程或步骤责任人时,相互推诿,不愿承担责任;流程图滥用,事无巨细都画流程图;流程图中步骤曲折、复杂难懂;业务经办人员无法清晰地描述流程,甚至不同的人描述的流程不一致;流程图之间缺乏衔接和对应关系,无法形成闭环;流程图和制度不一致;流程图和管理信息系统(MIS)中的流程不一致。为此,绘制的流程图要清晰易懂;确保流程图之间具备衔接和对应等。

风险矩阵设计方面,可能存在几种情况:识别的风险过于理论化;过于依赖流程图识别风险;对重大错报或舞弊风险识别不足;未充分讨论风险,风险评估不当;关键控制点识别不当甚至是错误;控制措施与风险点缺乏对应关系;控制手段不当,过多地依赖手工控制和发现性控制;控制频率设计错误,未根据业务事项发生的频率和重要性设计控制频率;流程负责人不明确;控制文档不全面或不存在;会计科目不正确,甚至用的是旧会计准则科目;财务报表相关认定不准确。为此,应综合采用流程图法、财务状况法、事故树等多种风险识别方法;保持控制措施与风险点之间的对应关系等。

制度修编方面,可能存在几种情况:拿来主义,从别的公司照搬或直接下载;潜规则,故意不固化成制度,留下操作空间;制度不够标准化;引用文件已作废;制度和流程图缺乏对应关系;具体业务制度违反公司《章程》;制度之间打架;部门自己制定制度,未在公司层面统一发布;未设立企管部门,制度修编缺乏归口部门;未将风险点、控制措施嵌入制度,导致风险矩阵和制度两张皮;制度修编完毕,束之高阁。为此,应根据内控规范和相关法规修编制度,规避规范性风险;结合公司实际修编制度,杜绝简单的拿来主义和潜规则等。

撰写内控手册方面,可能存在下述情况:未撰写内控手册;照搬别的公司的内控手册;对咨询机构提交的内控手册不加复核或不认真复核,导致执行困难;手册与流程不一致,与制度脱节;控制目标、风险点、流程描述缺乏对应关系;手册内容不完整、未涵盖内控五要素;未包含内控评价。为此,应确保手册与流程、制度具备对应关系;确保控制目标、风险点、流程描述具备对应关系等。

内控评价机制建设,可能存在下述情况:未落实内控评价归口部门;缺乏内控评价制度、实施细则和评价指标;缺乏测试样本选取规则和内控缺陷认定方法;未将内控评价结果与业绩考核挂钩;在内控建设项目完成后,未评估目前的内控体系是否对外符合规范、对内符合管理需求。为此,应制定内控评价制度、实施细则和评价指标;将内控评价结果与业绩考核挂钩等。

  原 文 分 享
下一篇: 职能流程架构:从哪里来,到哪里去。(上)
Copyright Reserved 2005-© | 沪ICP备11014532号-2 | 沪公网安备 31011502016262号