第一篇:内控体系,管理规定
炼建公司企业标准
Q/SY DS G 21 QGB 007-201
2内部控制体系管理规定
(第1页,共5页)
1范围
本标准规定了公司内部控制体系的管理内容及要求。
本标准适用于公司各专业管理部门。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
独山子石化公司《内部控制体系管理规定》
独山子石化公司《内部控制体系风险评估和控制管理程序》
3职责
3.1公司内控项目建设委员会由公司领导和部门负责人组成,是公司内部控制和风险管理工作的决策机构,其职责是:
a)审定内部控制体系框架及实施计划。
b)审定内部控制体系建立、测试和评估方案,对内部控制体系建设工作进行安排。c)协调解决内部控制体系建设工作中的重大问题。
d)审查批准对各部门进行内部控制体系建设的考核方案。
e)审定需要提交石化公司解决的重大事项。
f)督导、督促公司内部控制体系的建立、完善和运行。
3.2企管法规部作为公司内部控制体系日常管理部门和内控项目建设委员会的办事机构,其职责是:
a)负责制定公司内部控制和风险管理体系建设规划并组织实施。
b)负责根据石化公司风险管理相关标准和方法,组织建立完善公司风险管理相关制度和工作程序,建立公司风险数据库并进行维护更新。
c)负责根据石化公司控制环境建设相关标准、方法和相关工作程序,组织公司业务流程控制设计与维护,建立完善风险控制文档。
d)按照石化公司发布的《内部控制体系风险评估和控制管理程序》,每年定期组织实施公司内控体系自我测试,编制公司自我测试评价报告。
e)负责根据石化公司内部控制缺陷认定规范,组织进行缺陷认定、制定整改计划并跟踪检查,组织内部控制体系的综合评估。
f)负责组织公司管理层测试、验收评价测试,编制公司《内部控制有效性自我评价报告》。
g)负责监督公司各部门内控手册的建立和执行,组织内部控制体系的综合评估。h)负责与石化公司企管法规处内控的对口衔接工作。
i)负责公司内部控制体系的培训和宣贯工作。
j)负责内部控制体系的运行、完善和维护更新工作。
3.3公司审计监察部行使监督职能,负责对体系运行状况实施测试、监督,其职责是:
a)配合石化公司管理层测试、验收评价测试;
b)建立和完善反舞弊工作机制,负责开展舞弊审计。
c)行使监督职能,负责对体系运行状况及测试进行监督;负责建立和完善反舞弊工作机制。
3.4公司办公室负责在用及新建信息系统的管理和信息系统总体控制(GCC)的执行工作,并负责在用系统升级、变更的报批或审批。负责组织电子表格文件服务器的管理和存放权限设置管理。负责内控体系业务流程管理系统的技术支持。
3.5公司各部门负责本专业信息系统应用系统(AC)的应用控制管理。负责专业电子表格控制措施的执行与管理。
3.6 公司各部门按照内部控制和风险管理体系的各项要求,具体负责本部门内控体系建设、运行、维护等工作的具体实施,配合企管法规部开展公司自我测试工作。
4管理内容与要求
4.1体系建设、运行和维护
4.1.1实施方案
企管法规部根据石化公司下发的内部控制体系框架及体系管理文件,结合公司实际,制订公司内部控制体系建设实施方案,建立和完善公司内部控制体系管理文件,经公司领导审查,报公司内控项目建设委员会审批通过后发布实施。
4.1.2控制环境
公司相关部门依据公司实际和本部门职责,从职业道德、员工胜任能力、管理理念和经
营风格、组织结构、权力和责任的分配、人力资源政策与措施以及反舞弊等方面,结合控制环境的具体要求,建立和完善相关制度,检查督促相关制度的落实,为公司内部控制体系提供组织保证和制度约束,营造良好的内部环境。
4.1.3风险评估和控制活动
4.1.3.1企管法规部根据风险数据库及公司风险控制情况,结合自身实际,组织讨论并确定公司风险数据库,报公司领导审查,并经公司内控项目建设委员会审议通过后发布实施。
4.1.3.2企管法规部根据业务流程目录和描述规范、风险控制文档模版和编制规范以及关键控制管理文件,结合公司实际,确定公司业务流程目录,组织开展业务流程描述、建立风险控制文档和关键控制管理文件,报公司领导审查后实施。
4.1.3.3公司办公室明确内控体系业务流程管理系统的信息系统管理员,对业务流程管理系统的有效运行进行技术支持,协助企管法规部做好公司业务流程的管理工作。
4.1.3.4财务部按照石化公司财务分析管理规定,开展财务分析,财务状况和资金运营情况。
4.1.4信息与沟通
4.1.4.1企管法规部根据内部控制体系年度工作计划,安排编制公司年度内部控制体系年度工作计划,按照计划定期组织实施,定期向公司内控项目建设委员会汇报体系运行情况。
4.1.4.2公司各部门应规定信息交流和沟通的渠道和方法,以确保相关信息及时得到识别、收集、处理、交流和反馈,在满足信息安全性、保密性要求的同时,满足相关岗位、监管机构和外界对相关信息的需求,保证信息交流渠道的畅通。
4.1.4.3公司办公室结合公司实际,组织开展公司信息系统总体控制和应用系统控制文档的编制工作。
4.1.4.4信息系统应用控制中财务信息系统的升级由财务部报石化公司财务部审批;信息系统应用控制第二等级系统的升级或变更,由公司办公室报时候公司信息中心审批后,方可组织实施。
4.1.4.5对于所有纳入信息系统总体控制的系统,特别是财务及相关联的信息系统,要严格实行权限管理的相关控制要求。
a)用户账号以及权限的新增、变更和撤销,必须经过有效的审批,完整填写各项表单和实施证据。
b)在系统中实际分配的权限,必须与审批的权限一致,不得在设置时随意增减。c)临时权限应严格管理,按规定的范围和使用时间,经批准后进行分配使用,到期及时收回,并注意收回过程中履行相关的申请和审批程序。
d)对特殊功能权限,不应超期授予任何人员,在实际工作需要时,要按照规定程序,由系统超级用户临时授权,使用后按申请时间及时收回。
e)公司系统管理员每三个月对权限进行定期检查。要对系统中用户访问权限按照《不
相容通用角色清单》和《关键权限与通用角色对照表》的标准进行严格检查,重点关注对照表中的用户与系统中实际存在的用户是否一致,并保留定期检查的实施证据。
4.1.4.6除参加石化公司统一组织的内部控制体系培训外,企管法规部根据石化公司内部控制体系培训纲要,结合公司实际,制定培训计划,开展针对不同岗位、人员的培训。
4.2体系监督、评价与改进
4.2.1日常监督
4.2.1.1为保证内部控制体系运行的持续有效性,针对体系日常运行情况,企管法规部负责不定期组织开展内部控制实施的检查工作。
4.2.1.2公司各部门负责对本部门的内部控制体系管理工作进行自我检查。
4.2.2自我测试
4.2.2.1企管法规部依据《内部控制体系风险评估和控制管理程序》,编制公司自我测试实施方案,每年定期对公司内部控制执行情况进行一次自我测试,建立并保留完整、规范的测试记录文档。
4.2.2.2企管法规部组织公司各相关部门成立自我测试小组,对相关业务部门及所属各单位进行测试,分析例外事项、确认缺陷并向被测试单位出具测试意见,编制公司自我测试评价报告。
4.2.2.3企管法规部收集汇总日常工作中及自我评价测试报告发现的例外事项,确认控制缺陷,汇总分析,出具内控整改方案。相关业务部门根据测试意见和整改方案实施整改。
4.2.3管理层测试和外部审计
公司各部门配合石化公司组织的管理层测试和外部审计。根据出具的测试报告和审计意见,企管法规部组织制定整改方案、进行整改,并将整改结果在公司范围内通报。
4.2.4缺陷报告、认定和改进
4.2.4.1对公司内部控制体系在日常执行、从外部各方(包括客户、供应商等)提供信息中发现的例外事项,由企管法规部负责收集、记录、统计、汇报。企管法规部将例外事项信息报告给公司相关部门或主管领导(至少向公司副总会计师报告)。
4.2.4.2在日常控制执行中发现的零星问题,虽然不属于例外事项范围,但对于内部控制体系运行产生了一定影响,对问题的整改有助于提高公司内部控制体系运行质量,各部门和单位应该向企管法规部传递。
4.2.4.3由公司企管法规部、公司办公室、审计监察部和财务部相关人员组成公司缺陷认定小组,对日常控制例外事项和自我测试发现的结果,依据缺陷认定规范,初步认定出一般缺陷、重要缺陷和实质性漏洞,并向公司内控建设委员会及时汇报。
4.2.4.4对于一般缺陷,由企管法规部组织相关单位制定措施整改,并编制缺陷整改情况报告,报石化公司企管法规处备案;对于重大缺陷和实质性漏洞,由公司相关部门组织跟进测试和再评估,并组织整改发现的问题。
4.2.4.5根据自我测试情况,结合本单位内部控制体系运行情况,编制《内部控制有效性自我评价报告》,内容包括:自我测试发现、缺陷改进、体系运行状况以及评估结论,并由公司总经理和总会计师签署声明。
4.3考核与评价
4.3.1企管法规部结合自我测试报告、管理层测试报告、外部审计结果、缺陷评估结果和日常工作考核情况,对公司各部门、各单位内控体系运行情况进行评价,报公司内控项目建设委员会审核确认。
4.3.2内部控制体系评价结果是公司管理层对公司各部门进行业绩考核、实施奖惩的重要依据和参考。公司各部门应开展对本部门人员内部控制执行情况的日常监督考核,并作为业绩考核的一部分,结合考核结果,实施奖惩。
5相关记录及保存期限
《内部控制有效性自我评价报告》(书面记录,保存三年)
6检查与考核
企管法规部对本标准执行情况进行检查和考核,具体执行企管法规部专业考核实施细则。
第二篇:内控体系学习心得
内控体系学习心得
1、内部控制十一哥完整的系统,一个好的运作体系对于企业运作的风险降低有很大的帮助。调查结果表明,企业内部偷窃行为中,主管员工占了很大一部分。
2、内部控制基本准则、规范,作为一个会计人,我们应该好好要学习一下。在企业管理中,风险管理,风险偏好以及其企业战略管理、内部控制都很有关系。
3、一个企业越大,系统越大,就越混乱,越需要一个好的框架体系来管理。内部控制需要会计人员财务工作者有好的专业能力,在我们今后的工作中,对我们的工作能力要求越来越高。
4、coso法案中,现在也加入了战略管理。难怪cpa考试也加了一门
5、sox法案。想要发展到一个层次,就应该要有所了解。中国正在与国际接轨。
6、内部控制也有自身的局限性,要了解内部控制的目标,那就是为了企业的管理战略。要站在一个更加高的角度来看待内部控制和管理
7、内部控制的成本效益原则,以有限的成本产生尽可能产生大的效益。以内部审计来衡量内部控制的效果。企业内部控制的环境。风险评估.以内部审计来衡量内部控制的结果,企业内部控制的环境。风险评估
8、企业管理中的分权结构,做了该公司的管理咨询则不能做该公司的审计,否则无法保证审计的独立性,也不保证内部控制的有效实施。设计委员会应当设立在董事会之下、内部审计是一个独立的部门。
9、人力资源政策,轮岗交班,进行强制性的监督,也是内部控制的一种方式。法律顾问以及内部环境的治理。
10、进行控制之前应该进行风险评估、考察财务报表的可靠性。
11、信息的整合沟通,包括内部的还外部的。同时要关注信息安全程度
12、内部监督包括专项监督和持续性的监督csa内部控制的自我评价
13、内部控制也要考虑到员工的心里因素。不仅要有人情味,同时也要有效率。注重员工思想道德的建设
14、公司舞弊公司管理层---虚假财务报告中层干部-----虚报费用收受回扣一般员工-----贪污偷窃
15、舞弊的形成:压力动机机会 内控体系学习心得(2):
5月8日,我代表我公司参加了江苏省财政厅主办的《江苏省企业内部控制体系建设与实施学习报告会》。报告会主讲人是财政部会计司刘玉廷司长,我记得xx年版新企业会计准则正是在刘司长的主导下编写并颁布普及的,几年来对我国会计事业的发展起到了重大作用,标志着我国会计制度体系已正式与国际化接轨。在会计制度体系基本完善之后,财政部会计司又把企业内部控制体系建设提高到一个非常重要的高度,经过近5年的摸索与调研,今年4月份财政部又联合证监会等五家部委共同发布了《企业内部控制应用指引》,并要求率先在国有大型企业和上市公司应用起来。由此可见,政府对企业内部控制体系建设已经给予了前所未有的重视。
近年来,企业内部控制失控造成重大损失的事件频频发生,引起了国际社会和国内政府管理层的高度关注。从xx年安然公司、xx年世通公司丑闻,到德隆系资金链断裂、中航油违规期权交易、伊利高管挪用巨额公款,xx年农业银行分行管理员偷盗挪用5100万巨款、xx年中海运韩国分公司高管截留4000万运费收入等等重大违规事件,让人们不得不正视企业内部的各种经营操作风险。可以说,由于对内部控制缺乏足够的重视,目前我国企业在内部控制管理方面是比较薄弱的,其中蕴含了巨大的风险,随时都可能危及企业的生命。正是在这一背景下,xx年财政部等16个部委联合发布了《企业内部控制基本规范》,今年4月份又由财政部等5部委联合发布了《企业内部控制应用指引》,用非常通俗易懂易操作的语言,引导企业建立起必要的内部控制制度。《企业内部控制应用指引》全文一共有18个主题,涵盖了企业管理的方方面面。通过阅读《指引》,发现其运用的语言非常浅显易懂,但是蕴涵的内部控制思想却非常深刻。学习报告会简要介绍了《指引》出台的背景、内容和意义,我通过参加报告会,对其中几点很有感触的部分,也产生了一些自己的体会:
一、内部控制建设是一个循序渐进的过程
企业内部控制建设的第一个阶段是监督管理阶段。在这个阶段,企业还没有系统的内控制度体系,还停留在以人管人、以人监督人的阶段。这个时候企业发生了经营、资金、市场等风险状况时,往往采取的是救火的方式去解决问题,即哪里着火了就去救哪里,缺乏系统的、全面的制度体系建设。这一阶段强调的是对关键风险的监督,即对已经发生的或可以预见将要发生的风险点进行监督管理。我公司目前应该也是处于对关键风险进行监督管理的阶段,通过近半年来各部门对流程制度的编制和整理,我公司也基本搭建起了初步的流程制度体系框架,对其中的一些风险点也有了一些认识和防范。但是总体而言,仍然处于看火救火,缺乏系统管理的层次上。
企业内部控制建设的第二个阶段是融入管理阶段。在这个阶段,强调的是对运营过程的管理,即所谓对关键过程的控制,将内部控制的思想体现在运营过程管理活动中,实现日常化、体系化的风险管理。它与上一阶段不同的是,不再强调着火这个结果,而是强调通过各岗位人员规范化操作避免火灾的发生,因此更强调经营过程的合规性。目前我公司正在推行的生产部门二次革新、内部审计活动,也是往这个方向发展的一个体现。而通过阅读《企业内部控制应用指引》也可以发现,其中的内容也是引导企业建立有效内控制度,也是强调的对企业运营过程的规范。它其实也在告诉我们,如果做一件事情它的每个步骤和重要环节都是合乎规范的,那么这件事情的结果至少不会出太大的偏差;如果其中一些步骤是不合规的,那事情的结果就有可能蕴藏巨大的未知风险。比如最近我公司发生的某销售人员挪用房租的事件,仔细分析事件的整个过程,会发现其中经过的很多环节都是因为贪图一时方便或其他人为原因而没有按规范流程操作,因此埋下了重大的隐患,不得不引起我们的重视和反省。因为风险的始作俑者的一个重要行为特征是,他总是千方百计地找出种种理由阻扰正常流程按规范操作,总是在不断强调特殊原因从而绕过流程制约,最终达到自己的目的。
企业内部控制的第三个阶段是提升管理阶段。在这个阶段,企业已经达到一定规模,并且内部控制体系已经有了相当的基础,这时企业就可以以战略为核心、以集团管控为手段、以实现稳健运营为目标,进行全面综合的风险管理。这个阶段的重要特点是,内部控制要充分体现企业集团战略,将内部控制以战略为核心贯彻到集团的各个事业部、体系或子公司中,并且建立风险预测、评估和应对过程管理系统等更高级管理手段,对企业所有运营过程进行信息整合和分析。
二、关于采购业务内部控制 《企业内部控制应用指引》第7号主题是采购业务,无疑是每个企业都非常关心的内控环节。《指引》中指出了采购业务可能面临的三个风险:
1、采购计划安排不合理,市场变化趋势预测不准确,造成库短缺或积压,可能导致企业生产停滞或资源浪费。
2、供应商选择不当,采购方式不合理,招投标或定价机制不科学,授权审批不规范,可能导致采购物资质次价高,出现舞弊或遭受欺诈。
3、采购验收不规范,付款审核不严,可能导致采购物资、资金损失或信用受损。
从我公司目前的情况看,以上三个风险都在不同程度上存在。虽然从去年以来,采购部和财务部都做了很多努力,改善了流程和管理,已经取得了一定的成绩,但是由于人手、经验等方面的欠缺,还不能说我们在采购计划及预测、供应商选择和付款验收上完全没有问题和风险。
比如在供应商选择上,《指引》建议企业采购业务应当集中,避免多头采购或分散采购,以提高采购效率,降低采购成本。这就与我们通常所认为的尽可能多询价、多考察供应商的思想有所不同。询价也不是越多越好,供应商也不是越多越好,集中几家供应商来做,可能是更好的经验。
另外,在采购操作上,《指引》建议对办理采购业务的人员应定期进行岗位轮换;重要的采购业务应组织专家进行论证;除小额零星采购外,不得安排同一机构办理采购业务全过程;建立采购物资定价机制,对大宗采购要根据市场行情设立最高限价等。这些方面,可能都是我们需要借鉴和思考的方面。
三、关于销售业务的内部控制
《企业内部控制应用指引》第9号主题是销售业务。关于销售业务的内部控制,令我较有感触的有以下几个方面:
1、对客户信用的管理。《指引》建议企业应健全客户信用档案,关注重要客户资信及经营变动情况,防范信用风险。
2、对于销售合同,应当进行各有关部门会审会签,而不仅仅是销售部门自审自批。尤其是对于重要的销售合同,签订时应征询财务、法律专家的意见。重大的销售业务谈判,应适当吸收财会和法律专业人员参加,并形成完整的书面记录。
3、对于应收账款催收,催收记录(包括往来函电)应妥善保存;财会部门要负责办理资金结算并监督款项的回收。
对于以上几方面,可能咋看上去在很多企业都不会真正实行起来,理由可能是麻烦、不切实际、影响办事效率。但是刘司长介绍说,经过他们多年调研几千家企业的结果,对于销售环节内部控制较为严格的企业,恰恰是经营绩效和效率都很高的企业;而省略内部控制流程的企业,又往往是绩效不大好、内部管理问题严重的企业。因此他认为,内部控制制度并不是像人们以为的那样是一种束缚,而是一种推动力量。内控完善的企业,说明企业的管理水平高,管理效率高,企业经营绩效就高,这是符合逻辑的。而省略内控环节的企业,看上去似乎效率高,实际上掩盖了企业内部的管理混乱、内部沟通成本高,其结果必然是经营一定有风险,而且这些风险往往企业自己还不知道,自我感觉还很好。这不得不让我们重新深思内部控制、管理和企业经营绩效之间的逻辑关系。
四、关于研发活动的内部控制
《企业内部控制应用指引》第10号主题是研究与开发。其中有很多条,引起我注意的是以下几方面:
1、企业可以组织独立于申请及立项审批之外的专业机构和人员进行评估论证,出具评估意见。
2、企业应当建立严格的核心研究人员管理制度,明确界定核心研究人员范围和名册清单,签署符合国家有关法律法规要求的保密协议。企业与核心研究人员签订劳动合同时,应当特别约定研究成果归属、离职条件、离职移交程序、离职后保密义务、离职后竞业限制年限及违约责任等内容。
3、企业应当建立研究成果保护制度,加强对专利权、非专利技术、商业秘密及研发过程中形成的各类涉密图纸、程序、资料的管理,严格按照制度规定借阅和使用。禁止无关人员接触研究成果。
4、企业应当建立研发活动评估制度,加强对立项与研究、开发与保护等过程的全面评估,认真总结研发管理经验,分析存在的薄弱环节,完善相关制度和办法,不断改进和提升研发活动的管理水平。
以上方面引起我注意的一个重要原因是,我公司可能在研发资料保密和核心研发人员控制上还需继续完善。比如目前的研发人员邮箱、聊天工具均未实行外网隔离,存在信息安全的风险;核心研发人员如未按国家规定签署保密协定,可能也隐藏了一定的风险。因此个人认为,我公司应在这些方面按照《指引》要求持续完善起来。
五、关于预算活动的内部控制
《企业内部控制应用指引》第15号主题是全面预算。应该说,我公司的预算活动做得是很不理想的,主要原因可能还是对预算的认识不足,预算缺乏刚性、执行不力、考核不严。很多人都认为,预算一定会对企业经营活动产生束缚,会影响工作效率,实际上这种观点是一种误解。刘司长也介绍到,经过他走访的几千家大中小型企业,凡是预算活动做得较好的,通常都是经营管理水平较高,经营绩效也很好的企业;凡是没有预算管控或预算很弱的企业,往往都是经营费用特别高、浪费严重、利润很低的企业。这几乎已经成为一条定律。因此,那种认为预算会束缚企业经营的观点,可能还是对预算认识不到位造成的错觉,甚至反映的是一种管理上的惰性。大量实践证明,只要企业认认真真下目标,运用预算实行严格的管理和考核,就一定会对企业经营起很好的推动作用。
从我公司的实践来看,目前我们的预算约束是很弱的,因此造成今年以来费用仍然很高、浪费仍然很严重、利润和资金仍然很紧张。由此可见,忽略预算并不会带来企业的超常规发展,带来的往往是浪费和管理混乱。同理,为什么我公司的订货额很好呢?就是因为我们在订货额上实行了严格的目标责任制,也就是严格的预算目标管理,并且有严格的考核激励措施与之配套。如果对于订货额我们通过这样的手段能做得很好,那么其他方面我相信也一样可以通过这种手段做得很好。
第三篇:内控体系学习心得
1、内部控制十一哥完整的系统,一个好的运作体系对于企业运作的风险降低有很大的帮助。调查结果表明,企业内部偷窃行为中,主管员工占了很大一部分。
2、内部控制基本准则、规范,作为一个会计人,我们应该好好要学习一下。在企业管理中,风险管理,风险偏好以及其企业战略管理、内部控制都很有关系。
3、一个企业越大,系统越大,就越混乱,越需要一个好的框架体系来管理。内部控制需要会计人员财务工作者有好的专业能力,在我们今后的工作中,对我们的工作能力要求越来越高。
4、coso法案中,现在也加入了战略管理。难怪cpa考试也加了一门
5、sox法案。想要发展到一个层次,就应该要有所了解。中国正在与国际接轨。
6、内部控制也有自身的局限性,要了解内部控制的目标,那就是为了企业的管理战略。要站在一个更加高的角度来看待内部控制和管理
7、内部控制的成本效益原则,以有限的成本产生尽可能产生大的效益。以内部审计来衡量内部控制的效果。企业内部控制的环境。风险评估.以内部审计来衡量内部控制的结果,企业内部控制的环境。风险评估
8、企业管理中的分权结构,做了该公司的管理咨询则不能做该公司的审计,否则无法保证审计的独立性,也不保证内部控制的有效实施。设计委员会应当设立在董事会之下、内部审计是一个独立的部门。
9、人力资源政策,轮岗交班,进行强制性的监督,也是内部控制的一种方式。法律顾问以及内部环境的治理。
10、进行控制之前应该进行风险评估、考察财务报表的可靠性。
11、信息的整合沟通,包括内部的还外部的。同时要关注信息安全程度
12、内部监督包括专项监督和持续性的监督csa内部控制的自我评价
13、内部控制也要考虑到员工的心里因素。不仅要有人情味,同时也要有效率。注重员工思想道德的建设
14、公司舞弊
公司管理层---虚假财务报告
中层干部-----虚报费用收受回扣
一般员工-----贪污偷窃
15、舞弊的形成:压力动机机会
内控体系学习心得(2):
5月8日,我代表我公司参加了江苏省财政厅主办的《江苏省企业内部控制体系建设与实施学习报告会》。报告会主讲人是财政部会计司刘玉廷司长,我记得XX年版新企业会计准则正是在刘司长的主导下编写并颁布普及的,几年来对我国会计事业的发展起到了重大作用,标志着我国会计制度体系已正式与国际化接轨。在会计制度体系基本完善之后,财政部会计司又把企业内部控制体系建设提高到一个非常重要的高度,经过近5年的摸索与调研,今年4月份财政部又联合证监会等五家部委共同发布了《企业内部控制应用指引》,并要求率先在国有大型企业和上市公司应用起来。由此可见,政府对企业内部控制体系建设已经给予了前所未有的重视。
近年来,企业内部控制失控造成重大损失的事件频频发生,引起了国际社会和国内政府管理层的高度关注。从XX年安然公司、XX年世通公司丑闻,到德隆系资金链断裂、中航油违规期权交易、伊利高管挪用巨额公款,XX年农业银行分行管理员偷盗挪用5100万巨款、XX年中海运韩国分公司高管截留4000万运费收入等等重大违规事件,让人们不得不正视企业内部的各种经营操作风险。可以说,由于对内部控制缺乏足够的重视,目前我国企业在内部控制管理方面是比较薄弱的,其中蕴含了巨大的风险,随时都可能危及企业的生命。正是在这一背景下,XX年财政部等16个部委联合发布了《企业内部控制基本规范》,今年4月份又由财政部等5部委联合发布了《企业内部控制应用指引》,用非常通俗易懂易操作的语言,引导企业建立起必要的内部控制制度。
1、采购计划安排不合理,市场变化趋势预测不准确,造成库短缺或积压,可能导致企业生产停滞或资源浪费。
2、供应商选择不当,采购方式不合理,招投标或定价机制不科学,授权审批不规范,可能导致采购物资质次价高,出现舞弊或遭受欺诈。
3、采购验收不规范,付款审核不严,可能导致采购物资、资金损失或信用受损。
从我公司目前的情况看,以上三个风险都在不同程度上存在。虽然从去年以来,采购部和财务部都做了很多努力,改善了流程和管理,已经取得了一定的成绩,但是由于人手、经验等方面的欠缺,还不能说我们在采购计划及预测、供应商选择和付款验收上完全没有问题和风险。
比如在供应商选择上,《指引》建议企业采购业务应当集中,避免多头采购或分散采购,以提高采购效率,降低采购成本。这就与我们通常所认为的尽可能多询价、多考察供应商的思想有所不同。询价也不是越多越好,供应商也不是越多越好,集中几家供应商来做,可能是更好的经验。
另外,在采购操作上,《指引》建议对办理采购业务的人员应定期进行岗位轮换;重要的采购业务应组织专家进行论证;除小额零星采购外,不得安排同一机构办理采购业务全过程;建立采购物资定价机制,对大宗采购要根据市场行情设立最高限价等。这些方面,可能都是我们需要借鉴和思考的方面。
三、关于销售业务的内部控制
《企业内部控制应用指引》第9号主题是销售业务。关于销售业务的内部控制,令我较有感触的有以下几个方面:
1、对客户信用的管理。《指引》建议企业应健全客户信用档案,关注重要客户资信及经营变动情况,防范信用风险。
2、对于销售合同,应当进行各有关部门会审会签,而不仅仅是销售部门自审自批。尤其是对于重要的销售合同,签订时应征询财务、法律专家的意见。重大的销售业务谈判,应适当吸收财会和法律专业人员参加,并形成完整的书面记录。
3、对于应收账款催收,催收记录(包括往来函电)应妥善保存;财会部门要负责办理资金结算并监督款项的回收。
对于以上几方面,可能咋看上去在很多企业都不会真正实行起来,理由可能是“麻烦”、“不切实际”、“影响办事效率”。但是刘司长介绍说,经过他们多年调研几千家企业的结果,对于销售环节内部控制较为严格的企业,恰恰是经营绩效和效率都很高的企业;而省略内部控制流程的企业,又往往是绩效不大好、内部管理问题严重的企业。因此他认为,内部控制制度并不是像人们以为的那样是一种束缚,而是一种推动力量。内控完善的企业,说明企业的管理水平高,管理效率高,企业经营绩效就高,这是符合逻辑的。而省略内控环节的企业,看上去似乎效率“高”,实际上掩盖了企业内部的管理混乱、内部沟通成本高,其结果必然是经营一定有风险,而且这些风险往往企业自己还不知道,自我感觉还很好。这不得不让我们重新深思内部控制、管理和企业经营绩效之间的逻辑关系。
四、关于研发活动的内部控制
《企业内部控制应用指引》第10号主题是研究与开发。其中有很多条,引起我注意的是以下几方面:
1、企业可以组织独立于申请及立项审批之外的专业机构和人员进行评估论证,出具评估意见。
第四篇:内控制度体系
根据自查出来的岗位职责、部门业务流程等各项管理制度不够健全等问题,紧紧围绕以“内部环境、风险评估、控制活动、信息与沟通、内部监督”六要素和“不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制”等七项控制措施为重点,逐步建立和完善包括组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递和信息系统等内容的内部控制体系,并根据有关法律法规及其配套办法,制定本企业的内部控制制度并组织实施。通过实施内部控制工作,完善和规范如下管理工作:
(1)运用信息技术加强内部控制。建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。
(2)建立内部控制实施的激励约束机制。将各责任部门、车间和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。
(3)编制常规授权的权限指引制度。规范特别授权的范围、权限、程序和责任,严格控制特别授权。企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。
(4)规范会计工作。会计系统控制要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。(5)建立财产安全保护机制。建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。严格限制未经授权的人员接触和处置财产。
(6)建立预算控制机制。实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
(7)建立运营分析机制。建立运营情况分析制度,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
(8)建立完善绩效考评机制。建立和实施绩效考评制度,科学设置考核指标体系,对企业内部部门、车间和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
(9)建立风险预控和应急机制制度。根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
(10)建立内部审计与监督机制,形成合理适用的审计与监督制度。在内部控制实施过程中,要明确和完善内部审计部门和其他内部部门在内部监督中的职责权限,规范内部监督的程序、方法和要求,对内部控制规范管理工作实施监督。
第五篇:IT内控体系内部审核与管理评审程序规定(试行)
IT内控体系内部审核与管理评审程序规定
(试行)1.目的和范围
为加强公司IT系统的内部控制与管理,有效监控IT相关的管理制度、办法、规定、标准、技术规范等的执行情况,实现IT内部控制的合规性,保证IT内控管理体系的适宜性和持续有效,营造稳定、健康、有序的IT管理环境,特制定本规定。
本规定适用于公司范围内与IT相关的内部审核与管理评审,主要针对公司层面IT系统有关的业务与管理。2.相关部门
IT部、与IT业务相关的各部门。3.职责与权限
3.1 IT部负责组织根据本规定对IT相关规章制度及其执行情况及IT项目的建设情况进行监督、监控、审核与评价。
3.2 IT部领导负责组织管理评审,并主持管理评审会议。
3.3 其他管理人员,包括相关部门IT系统负责人参加管理评审,并按职责范围提供内控体系运行情况的信息和资料,形成书面材料向管理评审会议汇报。3.4 内审组长负责具体组织实施内审工作。3.5 内审员负责协助内审组长完成内审工作。3.6 受审核部门负责协助并积极配合内审工作。4.管理内容与流程 4.1 IT内部审核
4.1.1 审核计划编制
4.1.1.1 每年第一季度,IT部组织人员完成《IT内部审核计划》的编制,并提交IT部领导批准。
4.1.1.2 “IT内部审核计划”要保证全年完成涉及IT体系中的全部要素和全部活动以及所有场所与部门。“IT内部审核计划”的内容应包括: 1)审核的要素; 2)受审核的部门; 3)审核的时间安排;
4)编制、审核、批准人签字等。
4.1.1.3 在下列情况下,可追加审核或增加审核频次:
1)IT系统有关的领导层、组织结构、人员、产品与服务等发生重大变化时; 2)IT系统发生了严重的质量问题或因质量问题引起顾客重大投诉时。4.1.2 审核的策划和准备
4.1.2.1 指定内审组长并组成内审组
1)每次审核前由IT部领导指定内审组长和内审员,组成内审组; 2)内审组成员在业务水平和管理经验等资格方面应符合内审要求,应经过相应的培训,熟悉IT内控体系文件,办事公道,并得到被审核部门的认可;
3)只要人力资源允许,内审组成员应与被审核的部门无直接责任,独立于被审核工作。4.1.2.2 制订《IT内部审核实施计划》
内审组长负责制订审核实施计划,内容包括:审核目的、范围、依据;审核的日程安排;内审小组的组成和分工;受审核部门相关的过程、活动及对应的管理制度条款和体系要求;其他需明确的事项和要求等。
内审组应提前三个工作日将计划发放到有关部门,以便确认计划安排。4.1.2.3 内审员应根据任务分工编写《IT内审检查表》。4.1.3 审核实施 4.1.3.1 首次会议
首次会议由内审组长主持,受审核部门负责人和审核组成员参加。
会议内容包括:明确审核的目的与范围、依据、要求和方法,介绍审核计划,解决计划中不明确的细节,建立联系渠道,落实具体安排,确定末次会议时间等;首次会议要签到。4.1.3.2 现场审核
内审员按审核计划和检查表实施审核。
通过交谈、询问、文件查阅、现场检查(即问、听、看、查)等方法收集客观证据并记录,应使用正确的工作方法和审核技巧。4.1.3.3 确定不合格项
内审组评审检查结果,确定不合格项。按不合格性质分为:体系性不合格、实施性不合格、效果性不合格;按严重程度分为:轻微不合格和严重不合格。
4.1.3.4 开具《IT内审不合格报告》及《IT内审不合格报告执行情况一览表》
确定不合格项后,内审员填写不合格报告单。不合格报告单的内容包括:审核员、审核时间、受审核部门及负责人、不合格事实描述、不合格类型、不符合条款等。不合格事实描述要具体,并经受审核方确认。4.1.3.5 末次会议
由内审组长主持,受审核部门负责人和审核组成员参加。
会议内容包括:重申审核目的、范围和依据,说明审核过程,宣读不合格报告,评价审核结果、提出纠正措施要求等;末次会议要签到。4.1.4 编写审核报告
内审组长负责编写《IT内审报告》,经IT部领导批准后发放到有关部门。审核报告的内容应包括:
1)审核目的、范围和依据;
2)审核计划完成情况及不合格项的汇总分析; 3)体系运行结果的评价; 4)审核结论;
5)审核报告的分发范围等。4.1.5 纠正的实施与跟踪验证
责任部门应根据不合格项报告,认真分析产生问题的原因,并针对原因制定和实施纠正措施。内审组负责纠正措施的跟踪与验证,必要时进行现场确认。4.1.6 内审结果汇总分析
内审组长负责将IT内审结果归纳总结并予以分析,形成体系运行报告,作为管理评审的输入。报告内容包括:审核计划完成情况,不合格项汇总分析、纠正措施的跟踪验证情况及对体系评价、薄弱环节分析和体系改进建议等。4.2 IT管理评审 4.2.1 管理评审计划
IT部领导负责主持IT管理评审并组织编制管理评审计划,内容包括:评审目的、评审内容、被评审部门及参加人员、管理评审的时间和评审计划的发放范围等。管理评审每年至少进行一次,一般安排在内部审核后进行。
当连续出现IT方面重大事故或顾客投诉时以及公司领导层认为需要时,可增加管理评审的频次。
4.2.2 管理评审参加的人员 1)IT部领导;
2)各相关部门负责人及二级公司分管IT业务的领导; 3)内审员;
4)必要时可请公司分管领导参加。4.2.3 管理评审的输入 1)内部审核的结果;
2)IT目标的执行情况及总体有效性; 3)改进的建议;
4)有关部门反馈的信息; 5)连续出现的重大事故报告;
6)纠正和预防措施的实施情况及效果; 7)可能影响IT体系的变动;
8)IT相关各部门的工作业绩和服务的质量现状; 9)上次IT管理评审的改进措施等。4.2.4 评审准备
IT部应提前三个工作日通知所有参加管理评审的人员。各相关部门准备与本部门有关的评审资料。4.2.5 管理评审的实施
管理评审会议由IT部领导主持。
以会议形式对评审输入中的各项内容进行评审。
分析IT体系的适宜性、充分性和有效性,做出是否需要改进和完善的决议。
4.2.6 管理评审的输出
IT内控体系及其过程有效性的改进信息。4.2.7 编写《IT管理评审报告》
IT部安排人员负责编写“IT管理评审报告”,经IT部领导批准后,发送各有关部门,相关记录做好保存。
“IT管理评审报告”的内容至少应包括: 1)评审的目的; 2)评审内容;
3)评审日期及参加人员; 4)评审活动的评价与结论;
5)采取相关的纠正和预防措施的要求; 6)评审报告的发放范围等。4.2.8 纠正和预防措施
各责任部门按IT管理评审提出的改进要求进行改进,IT部负责对其执行情况及效果进行跟踪检查和验证。5.附则
5.1 本规定自2011年05月01日起试行。5.2 本规定由IT部负责解释。
点击咨询 