A企业内部控制设计方案

内部控制湖南化工职业技术学院毕业设计题目：A企业内部控制设计方案设计方案成员：/学生姓名 指导教师 教 学 系 专 业 会 计 班 级 学 号 完成日期2 年 1月 10日 目 录前言2一、企业背景介绍3二、企业内部控制的目的和意义4（一）企业内部控制的目的4（二）企业内部控制的意义5三、设计企业内部控制的法律依据和理论基础6（一）企业内部控制基本规范7（二）企业内部控制配套指引12（三）理论基础16四、企业内部控制现状18(一)环境分析18(二)风险评估分析19(三) 内部控制分析20五、建立企业内部控制的体系设计22六、结语24参考文献26致谢26前言：企业内部控制,是企业的管理手段,也是公司的治理手段。有效的内部控制,可以促进企业实现其管理目标,提高其对外财务报告的质量,增强其规避风险的能力。然而,怎样建立和完善企业的内部控制体系,却是多数企业面临的难题。本方案目的就在于运用内部控制理论的知识,针对企业如何建立自己的内部控制体系做出系统性设计。本设计以A公司为例,以内部控制理论为指导,构建出适合于A公司生存与发展的内部控制体系。希望能借此解决企业内部控制理论如何落地的难题。在设计时 ,以A公司为例。运用全面风险管理为导向的内部控制理论对A公司的内部控制现状进行分析,通过对A公司的内控环境、风险评估、控制活动、信息与沟通及内部监督等五个方面的要素进行全面测评,综合分析得出该公司的主要的风险点。在构建A公司新的内部控制体系时,将业务流程再造理论的引入其中,从而打破了传统内部控制体系设计中以部门为导向,而将“过程”作为内部控制体系建设的着眼点和核心。方案结论认为,企业的内部控制是一个系统性工程,内部控制的要素与环节涉及到企业的管理的各个方面。内部控制的主体是企业员工,因此,只有全体员工共同参与,才能保证公司内部控制体系的有效执行,才能实现对企业风险的全方位管控。另外,通过研究发现,由于企业所在的行业不同,所涉及的业务性质不同,其所面临的风险及采用的控制流程也就不同。因此,企业在构建自己的内部控制体系时,更应该着眼于自身的业务特点,从而避免内部控制体系的失效。 一、企业背景介绍近年来,国内为资本市场上所发生的一系列的财务造假案件一次次地冲击着投资者们的投资神经。而我们发掘这些造假案件的背后,一个严俊的共性跃然纸上,那就是企业的内部控制出现了问题。随着2002年美国颁布萨班斯-奥克斯利法案和2004年美国COSO发布了企业风险管理一整合框架之后,我国政府也相继出台了一系列关于内部控制的制度。2008年,我国财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范,2010年又相继发布企业内部控制应用指引、企业内部控制评价指引以及企业内部控制审计指引作为实施基本规范的具体指南。2011年,在证监会、财政部等部门的大力推行下,200多家公司全方位实施了企业内部控制规范体系,成为资本市场各类主体建立内部控制的先导。随着资本市场的先行,越来越多的企业 始加入了建设内部控制体系的队伍中来。但是,由于我国关于内部控制体系建设的起步较晚,面对着日益激烈的竞争环境,如何建立和完善的内部控制体系依旧是目前国内企业所面临的重大难题。X公司是电信行业中一家典型的民营企业,主营业务为移动通讯业的充值业务。由于其业务性质的特殊性,该公司的主要盈利模式依赖于现金流的快速运转。而众所周知,现金流是所有控制项目中,风险性最高的一项。因此,针对这样一个企业,建立相应的内部控制体系就显得更为重要了。本设计方案的目的就在于运用内部控制理论的知识,针对X公司的业务特点,构建出适合于X公司生存与发展的内部控制体系。二、内部控制的目的和意义（一）内部控制目的：内部控制环境构成了一个企业的氛围，是影响会计信息质量的首要因素，许多上市公司会计信息失真，并不是没有建立内部控制系统，而是内部控制环境中存在的问题直接或间接地导致了内部控制系统的实效，影响到了会计信息质量，所以完善内部控制环境可以明显促进企业会计信息质量的提高。在现代企业制度下的信息技术行业也不例外，所有权和经营权的分离，资产提供者往往不能亲自参与对企业的管理，而是将企业交托给专门的经理人员经营管理。股东与企业管理人员之间形成了委托代理关系。由于股东不直接参与企业的生产经营，无法观察到管理者的具体行为，而管理者需要向股东报告受托责任的履行情况，这时就需要提供企业的财务报告等相关会计资料，股东根据提供的会计资料判断受托者是否尽心尽职,因此，管理者必须如实报告企业的财务状况和经营业绩，以保证会计信息的真实可靠，而健全的内部控制环境则有助于会计信息质量的提高。内部控制的基本目标是确保单位经营活动的效率性和数果性，资产的安全性 、经营信息和财务报告的可靠性。（二）内部控制意义1有助于管理层实现其经营方针和目标。2保护单位各项资产的安全和完整，防止资产流失。3保证业务经营信息和则务会计资抖的真实性、完整性。现代企业内部控制制度，其范围相当广泛，其作用已运不止防弊纠错，比较完善的内部控制制度可以发挥以下四个方面作用：（1）能够保护财产物资的安全完整。内部控制制度对财产物资的保管和使用采取各种控制手段，可以防止和减少财产物资被损坏，杜绝浪费，贪污、盗窃、挪用和不合理使用等问题的发生；（2）能够提高会计资料的正确性和可靠性。正确可靠的会计数据是企业经营管理者了解过去，控制目前，预测未来，作出决策的必要条件。而内部控制系统通过制定和执行业务处理程序，科学地进行职责分工，使会计资料在相互牵制的条件下产业，从而有效地防止错误和弊端的发生，保证会计资料的正确性和可靠性；（3）能够保证国家对企业的宏观控制。国家制走的一系到财政纪律及法规，都要求企业通过建立内部控制制度来落实，企业通过实施内部控制制度以进行自我约束，遵循国军的财政纪律和法规；（4）能够保证企业高效率经营。科学的内部控制制度，能够合理地对企业内部各个职能部门和人员进行分工控制、协调和考核，促使企业各部门及人员履行职责、明确目标，保证企业的生产经营活动有序、高效的进行。三、内部控制的法律依据2008年,我国财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范,2010年又相继发布企业内部控制应用指引、企业内部控制评价指引以及企业内部控制审计指引作为实施基本规范的具体指南。2011年,在证监会、财政部等部门的大力推行下,200多家公司全方位实施了企业内部控制规范体系,成为资本市场各类主体建立内部控制的先导。自2011年1月1日起在境内外同时上市的公司执行,2012年1月1日起在上交所和深交所主板上市的公司执行。财政部、证监会、审计署、银监会、保监会等五部委刚刚联合并发布的:（一）企业内部控制基本规范第一章 总 则第五条 企业建立与实施有效的内部控制，应当包括下列要素：(一)内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。(二)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。(三)控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。(四)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。(五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。第六条 企业应当根据有关法律法规、本规范及其配套办法，制定本企业的内部控制制度并组织实施。 第二章 内部环境第十一条企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。 第十二条 董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。 第十三条 企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。 第十五条 企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。 第三章 风险评估第二十条 企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。第二十一条 企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。第二十二条 企业识别内部风险，应当关注下列因素：(一)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。(二)组织机构、经营方式、资产管理、业务流程等管理因素。(三)研究开发、技术投入、信息技术运用等自主创新因素。(四)财务状况、经营成果、现金流量等财务因素。(五)营运安全、员工健康、环境保护等安全环保因素。(六)其他有关内部风险因素。第二十三条 企业识别外部风险，应当关注下列因素：(一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。(二)法律法规、监管要求等法律因素。(三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。(四)技术进步、工艺改进等科学技术因素。(五)自然灾害、环境状况等自然环境因素。(六)其他有关外部风险因素。第二十四条 企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。 第二十六条 企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。 第四章 控制活动第二十八条企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。第二十九条 不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。第三十条 授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。 第三十三条 预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。第三十四条 运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。第三十五条 绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。第三十六条 企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。第三十七条 企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。第五章 信息与沟通第三十八条 企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。第三十九条 企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。 第四十二条 企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。 第六章 内部监督第四十四条企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。第四十五条 企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。第五十条 本规范自2009年7月1日起实施。（二）企业内部控制配套指引1.企业内部控制应用指引企业内部控制应用指引第 1号组织架构第一章总则 第二章组织架构的设计第四条 企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。 董事会对股东（大）会负责，依法行使企业的经营决策权。可按照股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。 监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。 经理层对董事会负责，主持企业的生产经营管理工作。经理和其他高级管理人员的职责分工应当明确。 董事会、监事会和经理层的产生程序应当合法合规，其人员构成、知识结构、能力素质应当满足履行职责的要求。 第五条 企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。 重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。 第三章 组织架构的运行第九条 企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。 企业梳理治理结构，应当重点关注董事、监事、经理及其他高级管理人员的任职资格和履职情况，以及董事会、监事会和经理层的运行效果。治理结构存在问题的，应当采取有效措施加以改进。 企业梳理内部机构设置，应当重点关注内部机构设置的合理性和运行的高效性等。内部机构设置和运行中存在职能交叉、缺失或运行效率低下的，应当及时解决。 2.企业内部控制评价指引第一章总则第二章内部控制评价的内容第五条 企业应当根据企业内部控制基本规范、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。 第六条 企业组织开展内部环境评价，应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本企业的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。 第七条 企业组织开展风险评估机制评价，应当以企业内部控制基本规范有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合本企业的内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。 第八条 企业组织开展控制活动评价，应当以企业内部控制基本规范和各项应用指引中的控制措施为依据，结合本企业的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。 第三章内部控制评价的程序第十二条 企业应当按照内部控制评价办法规定的程序，有序开展内部控制评价工作。 内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。 企业可以授权内部审计部门或专门机构（以下简称内部控制评价部门）负责内部控制评价的具体组织实施工作。 第十三条 企业内部控制评价部门应当拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权机构审批后实施。3.企业内部控制审计指引第一章总则第二章计划审计工作第六条 注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。 第七条 在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响： （一）与企业相关的风险。 （二）相关法律法规和行业概况。 （三）企业组织结构、经营特点和资本结构等相关重要事项。 （四）企业内部控制最近发生变化的程度。 （五）与企业沟通过的内部控制缺陷。 （六）重要性、风险等与确定内部控制重大缺陷相关的因素。 （七）对内部控制有效性的初步判断。 （八）可获取的、与内部控制有效性相关的证据的类型和范围。 第八条 注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。 内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。 第三章实施审计工作第十条 注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。 第十一条 注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注： （一）与内部环境相关的控制。 （二）针对董事会、经理层凌驾于控制之上的风险而设计的控制。(三)企业内部控制理论基础1内部环境内部环境是企业实施内部控制的基础。对应到企业内部控制应用指引中,就是组织架构、发展战略、人力资源、社会责任、企业文化这五项。首先是组织架构,要想保证内控活动的顺利实施,必须有强有力的制度保证。如果一个企业的权力机构不参与内部的建设或者凌驾于内控制度之上,则该企业的内控体系将沦为空谈。第二是发展战略,当企业在制定战略时,首先需要就是分析企业的战略意图,包括愿景、战略目标和运营目标,而在制定相应的目标时,也需要充分评估风险。人力资源与企业文化则代表企业的人文环境。人力资源管理进行的是事务性工作,包括人员的招聘、解聘、培训、奖惩机制、股权激励等。而这一层次需要要做的是建立合理的用人机制和激励机制,为内部控制体系建立提供保证。企业文化则是将制度的约束上升为员工精神层面的自我约束的过程。2风险评估风险是未来的不确定性对企业实现其既定(经营)目标的影响。风险往往具有负面的效果,所有一般企业都非常关心它未来在什么时候可能发生,发生损失的程度会多大。风险一般具有双重属性:发生的频度和损失程度。这构成了风险分析的基础。风险评估是企业及时识别、系统分析在经营活动中与实现内部控制目标相关的风险,为合理制定风险应对策略大侠基础。风险评估分为风险辨识、风险分析、风险评价三部曲。风险辨识就是把单位或企业存在的风险找出来,当然包括了内部风险和外部风险。风险辨识也叫风险识别,标准定义为:风险识别是发现、认可并记录风险的过程。3.控制活动控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。控制活动通常分为目标设定、风险应对策略和措施三个方面。(一)目标设定企业在制定了企业的战略目标之后,会将战略目标分解为一个个小的单元的业务目标和绩效指标。风险控制的目标就是将一个个小的单元的业务目标控制的风险控制在可接受的范围之内,一个个小的风险得到了控制,也就意味着战略风险得到了控制。因此,企业在制定任何一个目标的时候,都应考虑其风险承受度。 (二)风险应对策略在企业内部控制规范第二十六条将风险应对策略分为4种:风险规避、风险降低、风险分担和风险承受。风险规避:企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。4信息与沟通企业运营离不 信息,有信息就离不 沟通。就风险管理而言,信息流动贯穿于企业的整个风险管理过程,而沟通则是信息的反馈途径。企业处于现今这样一个信息爆炸的时代,企业的各个层次都需要利用信息来确认、评估和应对风险。企业的大量信息涉及到各种目标。既有战略目标,也有运营目标。企业的信息来源有多种渠道,既有内部的、外部的,也有定量的和非定量的。将大量的数据转化为决策有用的信息,快速运用准确信息去沟通又会给企业带来极大的先机。因此,庞大的信息管理_对企业管理者而言,就形成了一个重大挑战。管理层积极促进建立有效的沟通渠道,保证信息能被及时传递。信息及时传递与有效的沟通还为反舞弊提供了重要的支持。建立有效的沟通渠道,例如信访通道,对于员工开放了反映问题的途径,规避运营环节中人员舞弊的风险。5内部监督内部监督是指企业建立相应的机制,对企业的内部控制体系的建立与实施情况进行的监督与检查,同时,对内部控制的有效性进行评估与评价,发现内部控制体系中的缺陷,监督内部控制的执行情况,并及时加以修正。企业进行内部监督的方式主要有:内部控制的自我评价和内部审计。内部监督的责任部门为企业的内审部,企业内部控制评价指引中对内控的评价方法有着明确的规范,内控评价既可以是经常性的工作,也可以是定期的阶段性工作。目前全世界的评价审计工作都被称为“以风险管理为导向的审计”,即以“结果为导向”的审计。评价的方法是以结果推到过程的方法论,通过结果的异常找出过程的缺陷。四、企业内部控制现状(一) 企业内部控制环境分析管理层的管理理念和管理风格,决定了企业选择其活动和风险的方式。它可能通过制度的制定、口头或书面的沟通以及管理层的实际决策而体现。公司应建立与管理层管理理念和风险。新一任的总经理在总结了设备终端业务开展始末的经验和教训之后,对新的业务开展建立了相对应的规划。但在企业的员工手册中,未见到鼓励员工形成与管理层相协调的风险文化。公司必然逃不开家族企业的弊病,那就是人际关系中的裙带关系。在这样一个企业中,如果你没有一定的背景,没有一定的关系,很难在这样的环境中生存。该公司在新任总经理上任初期,由于人际关系方面的原因,总经理的权利曾一度被架空。当然,既然来做总经理,总有其铁的手腕,当副总经理一职被剪掉之后该种状况得以缓解。也从那时起,总经理的权威开始建立。但是,在这样一个企业中,各个岗位间丝丝缕缕的关系,尤其是长期以来一直由某一个人来把控财务的情形下。一些制约性的机制的建立及不相容岗位人员的配备时,就显得尤为乏力了。例:管理层在无法及时准确得到资金存量信息的情况下,对该公司提出要求,按规范分设会计与出纳。恰恰是因为这样一种裙带关系,导致无法正常的开展财务工作。在公司政策方面,虽然集团制定了一些制度体系,例如员工管理办法、企业教育管理办法员工手册、子公司负责人薪酬管理办法、子公司负责人绩效考核办法等,这些确定了关于招聘、培训、职务晋升和薪酬调整等方面的基本程序。然而,在人力资源政策和事务方面,依旧有很大的缺失。(二)企业风险评估分析对企业的风险体系的评估,主要依赖与髙层进行访谈的方法进行,并在访谈的基础上得出如下的结论:(1)企业尚未建立公司的战略目标、规划及实施计划。因此,也就没有对应的管理与控制措施来保证企业的战略目标的实现。(2)企业尚未建立风险识别机制对内部与外部风险因素进行预期与识别,不能对识别的风险因素釆取适当的应对措施。(3) 企业在法律事务方面没有风险防范的意识,不能保证公司的经营是遵循法律和法规的要求开展。(4) 企业缺乏一套程序,不能保证准确的的会计准则和会计制度,从而导致无法避免会计报告方面的风险。因此,我们认为, 企业在风险评估方面的综合评价为有效性极低。无法帮助企业应对所面临的各项风险。(三)内部控制分析该公司的日常业务活动主要包括:资金活动、采购管理、资产管理、销售业务这四项。因此,我们仅针对资金活动方面展开分析。企业资金活动分析(一)资金活动流程分析公司的主营业务是手机充值业务,而公司的客户群除极少几个二级代理商之外,其余的客户群都是一个个类似于报刊亭这样一个个小的终端。目前一个月的资金流量约八千多万,一个月周转6次多,除有将近4千多万的营业收入由二级批发商做出贡献之外,其余均属于零售。平均到每天约220万的流量。因为这样的公司没有节假日,所以我们以30天作为平均天数。而每单的金额从100到几万元不等。般上一个单子代表一个终端,也有的终端处于繁华区,一天会要两单以上。平均每天的单据量在100张左右,也就意味着有平均每天都有100多个客户给公司打了款项。也许大家会说,很简单啊,每天有100多个客户打款,反正都打到公司,那就分别加以确认不就可以了吗?然而事实却恰恰相反。大家知道,多数银行是不允许我们个人账户给对公账户转钱的,特别是银行企业内控现状分析汇款的形式,即便有个别银行可以操作,但附加的一个后果就是除非拿到底单,否则无法确认该笔款项是谁打进来的。由于公司的不断发展,办公地点的不断搬迁, 户行与公司地点之间的距离已经相当远了,也就是说,如果去取回单,那么当天回来的可能性就极小了。更何况周末,由于对公业务无法办理,所以多数终端退而求其次以私对私的方式与公司进行账务往来。而私对私又是怎样一种方式呢?在目前的解决办法中,公司釆取以总经理的名义在不同的银行 设不同的账号的形式。一张个人卡对应一个终端用户。随着客户量的不断增多,目前先后两个总经理的名下所 设的个人卡已经达到了近万个。当然这些个人卡不是天天都有发生。然而恰恰是因为不一定天天都有发生,却酝醜了极大的风险。当然两任总经理也都被北京各大银行请作了黑名单的座上宾。了解了公司的基本业务模式后,我们来综合分析一下该公司控制活动中所蕴藏的风险。采购活动中由于受第三方的制约因素较多,所以舞弊的可能性不大。(一)资金活动风险分析前文提到了该公司由于裙带关系所致,在财务人员的配备上也缺乏不相容职务的牵制措施。以致形成长期将公司的财务信息均由一人把控的局面。这种局面为财务人员在资金方面的舞弊提供了便利的通道。前文提到,该公司的绝大部分客户均通过私对私的银行方式给公司打来款项。而存这些款项的银行卡均集中于现任财务人员的手里,包括总经理本人都无法确定自己名下到底有多少张卡。所有的卡为了资金的迅速流转,均开通了网银转账支付功能。绝大多数的客户均会在银行打钱之后即会给公司来电要求业务授权,财务也会相应的将钱转入对公账户。而另外一部分人则是先将这些款项预留到需要的时候再打电话来。而针对这样一批客户,如果不能当天转款,还有一些周末打款的人,都会滋生一部分利息,而在银行出纳的转款记录里仅仅有及少量的利息转入存在,那么大量的利息都到哪里去了?而当预计第二天用资金量如果足够的话,财务人员又犯懒的情况下,某个小的资金就懒得转了。而到了第二天、第三天又会有新的业务量发生。那这些个小额的账户,将不小心被遗忘在小小的角落。而这个账户里的资金呢,是真的被“遗忘” 了吗?这会不会成为某些人中饱私囊的另外一条途径呢?当然,没有监管,也没有审计,这些个问题也就都遗留在了那里。五、建立企业内部控制的体系设计1 企业内部控制体系构建面对企业目前内部控制形同虚设的情形,我们依据内部控制风险因素理论及内部控制基本规范及其应用对公司的内控进行重新设计。通过对企业的业务模式的分析,我们选择利用业务再造流程来解决公司的内部控制问题。2企业内部控制活动重新构建从上文对企业资金活动控制活动的分析中,我们了解到了企业在控制活动中需要亟待解决的一大主要风险:资金的体外循环。依据业务流程再造理论,具体流程设计如下:第一步,分析原有流程中的漏洞。资金活动。因公司资金均分散于总经理的私人账户中。而这些账户所有信息均集中于现任财务人员手中。该财务人员负责查询、转账等所有业务操作。第二步,设计新的业务流程改进方案,并进行评估。资金活动中,财务查询人员账务公司的私人账户所有信息,定期或不定期对所有的账户发生额及余额进行查询,并导出相关信息与财务转账人员的转账记录进行核对。如果账户中有未转账的金额,查明款项来源后通知转账人员转账。财务转账人员在收到转款通知联时,及时转款,并在转款记录表中进行登记。每日终了需与ERP系统中所记录信息进行核对。第三步,制定与新流程相适应的新的组织机构。企业业务流程的实施,是以相应组织结构、人力资源配置方式、业务规范、沟通渠道甚至企业文化等控制环境来执行的。而组织机构的重新设立是企业业务流程再造能否成功的必要保障。3企业内部控制环境重新构建企业在此次内部控制体系重构的过程中,对公司的企业文化与管理理念进行了彻底调整。具体如下:1.发展战略。企业在分析市场的基础上,重新制定公司的战略方向。针对公司的目前业务品种单一的现象,公司在新的战略制定时,充分考虑到这一特征。并且积极寻找新的业务途径应应对当市场转向时公司的发展方向。2.建立明确的经营目标。包括各级责任单位及责任人的业绩目标,在合理的基础上分解业绩目标,并与相关责任人进行沟通。3.考核指标和考核权重均与公司的发展战略、生产经营目标相一致。4.建立以风险为导向的企业文化。将风险意识植入全体员工的大脑。只有全体员工的共同参与,内部控制体系的运行才有保障。4公司的新的组织架构构建公司的组织结构随着公司战略的变化而变化。依据企业的战略目标重新设置公司的组织架构。包括以下方面:1.依据公司的业务模式,将原销售业务部分为销售业务部和数据管理部两个部门来对销售环节与业务授权系统分开管理。2.分设战略规划部和法律事务部来应对公司的外在风险。3.扁平化管理有利于信息的及时沟通。4.独立于企业之外的内审部门,针对公司的运营具有更公允的鉴证作用。六、结语本设计方案立足于以全面风险管理为导向的内部控制理论,参考内部控制基本规范及其应用指引,针对企业可能面临的风险因素展 讨论。文章梳理了内部控制的发展历程,论述了如何对企业的内部控制体系作出评价,如何搭建企业内部控制体系。以企业为实际案例,利用风险理论的指导,对企业的内部控制现状进行了分析。通过分析企业的内部控制环境和控制活动等内容,对企业的内部控制有效性做出了评述,得出了 企业运营过