财务系统加强内部控制的策略

完善内部控制的策略10财务系统加强内部控制的策略 背景希望集团财务直接告诉我们具体如何去做。你们集团财务又没具体说该如何处理此类事项，我们只能按照我们对会计准则的理解，并结合我们一贯的做法来处理这些事项，因此你不能认为我们的做法不妥。你们集团财务搞的这个内控检查，只能说是调查；你们的内控检查不是合法的，只有集团审计部，或者你们在获得集团总裁和分子公司总经理授权的情况下，你们才能检查分子公司的账本；账本不是随便可以检查的，你的检查报告我可以签字，也可以不签字。你们发的那些税务信息最好经过结合我们实际情况的具体加工整理后再发，效果会好一些，否则我们都没有时间去看，即使我们有时间去看，但可能我们的理解会跟集团财务的理解不一样。集团财务最好有一套具体的标准给到我们去执行互查。我们财务科之前做了一些制度，但是递交审批的时候被退了，回复是由集团统一编制。我们希望集团财务给出一套具体的财务管理标准。有些事项不是我们不去处理，而是我们提交相关部门之后，不了了之。你们集团来我们这里检查，可以；我们去集团检查，希望也可以，我们希望有机会去集团公司或者标兵公司进行内控检查，我们认为它们的存在问题并不见得比我们的少。你们集团财务搞的这个内控检查，把目标定为在审计之前把问题消除掉，太浮躁了，你们应该跟审计监察部的人联合起来检查，共同解决问题。对于审计报告发现的问题，靠内控检查事先清除掉是不现实的，你们是搞第二个审计部，你们集团财务领导应该跟老板好好沟通，告诉老板不是所有问题都是财务人员工作不力造成的。你的检查报告只写财务的问题就可以了，其它的问题你不要写了。 解决办法1内控检查概况而言，如果以检查为手段，可以建立五张不同层面的筛查网，具体包括自查、互查、集团财务内控检查、外部审计和集团审计监察部内部审计。从目前的情况看，集团审计监察部的内部审计和集团财务的内控检查相对略好一些，外部审计之所以效果不怎么样，主要与其审计目标有关系仍然是侧重财务报表的传统审计。个人建议，聘请知名会计师事务所开展一次全集团范围的内部控制审计，审计目标要求侧重于识别控制缺陷和风险事项，以及控制缺陷的具体解决方案设计。 解决办法2风险监测和内控政策针对某一时期、某一类型的特定问题，即某些情况下，该做出何种选择或者参照何种原则，这就是内控政策。相对于规章制度，政策指引更为灵活和更易操作，并且编制难度相对较小。内控政策表需要不断的更新补充，预计五十条基本可以消除掉大部分风险。但是，手工监测面临的障碍不少，过于依赖集团会计政策、管理政策的具体化。 解决办法3内控手册和内控体系评价标准从目前大多数上市公司的实践来看，建立内控手册和实施内控体系评价是主流做法。内控手册和内控体系评价标准，通常是每年更新发布一次。很少有公司是自己完成的，通常都是找咨询公司来共同完成，耗时12年。 最好的办法持续坚持上述3个办法和国家五部委联合颁发的企业内部控制应用指引和企业内部控制评价指引的提出的内控建设方法是一致的，前面两个办法已经在执行，但尚需加速完善，第三个办法是最重要的，最有效的，但也是最难的。完善内部控制体系的关键，就是持续坚持。真正简单实用的办法，不在于有多少高明的策略或规划，重要的是锁定一两个策略或规划持续坚持做下去，做到极致。浮躁、急功近利、半途而废等瞎折腾，对于内部控制体系的建设没有什么用处。总之，最好的办法就是锁定既有方法持续坚持下去。首先坚持执行内控检查计划，把检查项目和检查方法标准化，提高速度和质量；其次启动风险监测办法并制定内控政策；最后是找咨询公司协助建立内控手册和内控体系评价标准。 2010年第四季度工作计划目前已经编制了15条内控政策，编写流程11个（已发布7个，基本完成4个），完成EKP流程模板5个（其中一个准备审批完成）。受阻于对全部情况的了解，整体进度不佳。内控类工作任务（尤其是内控检查和风险监测）和打猎捕鱼的性质相当，每一次任务的对象和结果都是不确定的，或者满载而归，或者两手空空。减少失败的最好办法，就是不断积累经验。拟在9月份补充5条内控政策，协助税务组把5个月前就已经完成二稿的4个流程文件完成审批发布；10月份，完成风险监测的初次实践并总结经验，拟制定适合所有财务机构的简化版内部控制基本要求；11月份，补充内控政策和修改一些不适宜的流程，拟对前期差错更正和递延所得税会计分别编制作业规程；12月份，完成第四季度风险监测任务，并制定下年工作计划。 内部控制整体框架最大的管理风险来源于两个方面，一是每个岗位是否充分履行职责，二是每个岗位是否按照程序做事。解决这两个问题的办法，就是编制岗位手册。以上如能全面执行到位，并不断的更新完善，基本就可以算走上正轨了。不过内控手册和内控评价体系必须寻找事务所一起来完成，这样可以加快速度。内控专员岗位工作手册职责描述负责财务部内部控制，向预算内控与政策经理汇报：（1）参与制订与完善各项内控政策、会计操作手册和会计核算流程制度；（2）为业务部门和财务部提供内部控制应用指引，提供内部控制方面的培训；（3）绘制流程图，分析设计缺陷与查找运行缺陷，识别关键控制点，建立业务流程目录；（4）分析业务风险，建立业务风险控制文档（RCD），并实施风险监控；（5）执行内部控制检查，评估内部控制状况，报告缺陷，建议改进并追踪；（6）参与内控体系建设，指导、协助财务人员落实风险控制措施；（7）负责与内外部审计人员的沟通与协调，跟进审计问题事项的整改；（8）维护内控知识平台，及时更新和补充内部控制类知识；（9）发起或参与其他相关事项。主要事务工作流程 内控检查工作流程依照年度工作计划执行内控检查，是内控专员的一项重要事务。内控检查的目标是识别控制缺陷和筛检风险事项，主要有两种检查方式，分别为有限人力下的内控检查和充足人力下的内控检查。7.1 有限人力下的内控检查，须将符合性测试和实质性测试简化合并，其工作程序如下表：序号步骤步骤说明1现场总的情况调查控制环境评价、岗位-业务-主要问题、制度建设情况审查2分析存在的主要疑点从调查及数据分析中寻找疑点，锁定检查对象3按疑点去查阅凭证、报表、现场等找到充分完整的证据，记录下来4分析复核证据从证据中判断真相，剖析原因，评估风险5列出不符合项清单分类逐项填列，依据重要性原则排序6与被查单位讨论不符合项内容获得确认并初步达成解决措施、责任人、计划时间7编写检查报告按照最新要求编写报告8递交被查单位审核签字获得签字意见，填制整改承诺书9召开总结会议通报内控检查结果，落实整改意见备注：以上检查工作程序在实际检查中可能会有调整（修改、删减补充等），视情况而定。7.2 充足人力下的内控检查，参照WI-K-17-4内部控制检查作业规程的内控稽查部分。 风险监测工作流程关于风险监测办法，具体参照WI-K-17-8 XX集团财务系统风险监测制度来执行。风险监测流程图，如下：所谓风险监测，实际上就是从一大堆业务事项中筛检出风险事项，然后风险分析，最终逐项解决。风险监测的第一步，是风险识别，即以事项为基本单位来确定风险事项。主要筛检工具有两个，其一是资产财务状况分析法，其二是符合性测试指标。可参照下列方法，快速高效筛选出风险事项： 表内风险事项列报：主要从资产的安全完整风险和效率风险视角出发，运用资产财务状况分析法，分析科目余额。例如通过应收账款账龄分析，可以估计出坏账风险；通过资金余额和现金净流量综合分析，可以估计资金的安全性风险（短缺）和效率性风险（溢库）；通过存货结构分析、存量分析、占资产总额比重分析等多维度评价，可以估计存货占用资金风险；等等。 非常规业务事项列报。例如生产型分子公司本无自主销售，但是本期发生泡花碱外卖事项；一直是自产磺酸，本期却发生一笔外购；发生一笔赞助。等等。这些非常规业务通常由于没有既定的模式处理，容易发生问题，存在风险。 重大事项列报。例如某原料价格暴涨，本期实际产量低于保本产量，被税务局追收滞纳金，法律诉讼，事故（工伤、质量、环境等），灾害（雨淋、火灾等），返工返修，某个采购员或仓管员自离，大修工程，等等。 或有事项列报。包括未决诉讼或未决仲裁、债务担保、产品质量保证、环境污染整治、重组义务（例如关闭某工厂涉及的支出项目，带来预计负债）等。 异常问题列报。定期调查：岗位业务本期工作中发生的异常问题，逐个岗位收集异常问题，对于不能立即解决的须上报。 会计政策或会计估计的变更、调整和选择等方面的列报。例如，折旧期限变更，工程质保金的科目选择，坏账计提比例调整或者坏账确认标准修订，等等。 特殊账务处理列报。例如所得税调整，利润分配，盘盈盘亏调整，进项税额调整，坏账计提，资产报废，等等。 其他可能会给企业带来经济损失或负面影响的事项。 确定CCP和建立RCD的工作流程会计核算与财务管理的各大业务循环，基本具体包括：筹资与投资、建设项目、采购与付款、生产与费用、税费计缴、销售和收款、货币资金、财务分析与报告。可按照下图的工作流程，通过流程分析方法来确定关键控制点CCP及其解决方案（RCD风险控制文档/风险控制矩阵表），如下：而流程分析的原理，首先是基于PDCA理论任何一个业务流程都是一个大PDCA循环，大环套小环；任何一个业务进程都可以拆分为一个PDCA循环，其中C就是检查、控制、纠偏等动作行为；其次是基于ABC分类法对风险进行分类评级，对于可以量化的风险采用定量法计算预期风险值来确定其风险级别，对于难以量化的风险采用定性法评估风险级别。流程分析法的具体操作，大致由七个步骤组成，如下：第一步 按照业务循环编制流程文件 第二步 分解流程节点，拆分混合节点为作业活动和控制活动，编制流程节点清单该清单只有作业点和控制点两类。分解的原理是：每一个业务进程都是一个PDCA循环，这意味着每一个节点其实都是由P、D、C和A组成，D就是作业活动，C就是控制活动。因此，只要往下一层分解，每个节点都可分解出至少一个D和一个C。 在进行流程分析的时候，一定要深刻理解PDCA原理。从整体看，任何一个流程都是一个大PDCA循环；从局部看，任何一个作业活动进程都是一个小PDCA循环。PDCA的含义也应该有所扩大，P为预期输出结果，不仅仅是计划，还可以是期望、策划或者目标，甚至是一种企图；而D，仍然是实践、实施、行动、执行等具体作业行为，直接指向输出结果；而C，是指复核、检查、抽样、测试、审核等控制性质的行为活动；最后的A，act是多义词（n.幕, 法案, 法令, 动作, 举动, 节目, (戏剧的)幕 vi.行动, 产生.的效果, 担当, 表演, 假装, 表现, 见效），在这里显然就是具备总结改善性质的处理活动，具体有反馈、备案、评价、评估、批准、总结、标准化、决定、审批、纠偏、纠正、修正、改进、处理、处置等，它是对总结检查的结果进行处理，成功的经验加以肯定，并予以标准化，或制定作业指导书，便于以后工作时遵循；对于失败的教训也要总结，以免重现。对于没有解决的问题，应提给下一个PDCA循环中去解决。对于小PDCA循环，P/D/C/A并非都显化，通常是有的显化和有的隐化的混合状况，或者是只有D显化，从大PDCA循环流程层面看，表现的结果就是好像只有D或者这个D代表了整个小PDCA循环。分解的目的就是切换状态（显示/隐藏），当需要设置控制点的时候，就让C显化即可；当确定控制多余、无意义的时候，就让C隐化即可。例如：预期输出结果作业活动检查控制评价考核；期望行动检查结论；计划执行检查反馈；执行检查决定下一个活动；业务流PDCA，执行记录检查反馈。第三步 分析每个作业活动D，理论上每个D都可能产生差异（即该作业活动的实际输出结果和预期输出结果的偏差），因为会发生差异，所以要考虑是否需要实施控制C，C的功能主要是消除差异或者把差异消减到一个可以接受的范围内。通过评估差异所带来的损失值，以及评估差异发生的概率值（发生可能性），两值相乘就是预期风险值。这里总结一下，给企业利益带来威胁的差异就是风险，如果差异是有利的，这里不认定为风险。第四步 1 如果预期风险值属于A类，那么就要考虑在该项作业活动的紧后设置关键控制点，如果已经设置，则需要分析该控制活动是否有效及是否适度。 2 如果预期风险值是B类评级，则考虑设置一般控制点。 3 如果预期风险值是C类评级，通常就不用设置控制点。 第五步 分析下一个节点 第六步 当所有节点都分析完后，全面梳理所有的控制点，分类并排序，最终确定关键控制点和一般控制点的设置位置和设置数量，建议对简单的流程只设置一个关键控制点，中等复杂的流程最多设置两个关键控制点，而对于很复杂的流程也最多设置三个关键控制点。总之，无论关键控制点还是一般控制点的设置，要综合考虑成本和资源的限制，根据实际情况而定。 第七步 给出每个控制点的具体解决方案，关键控制点解决方案必须是针对A类风险的消除或控制在可接受的范围内。 以上各步骤，图示如下：内控经理岗位工作手册岗位说明汇报关系关键业绩指标参考量化指标内部控制设计1、 每年审核一次2、 无重大缺陷内部控制政策表每季度更新一次内部控制差距分析报告每半年编制一次内控培训每季度一次内部控制评价体系每季度排名一次职责描述负责集团整体的预算与内控工作，向核算与控制副总监汇报：（1）研究内部控制设计，并付诸实践；（2）研究内部控制政策，并贯彻实施；（3）研究内部控制体系评价标准，并指导具体应用；（4）分析内部控制现状，寻找与内部控制基本规范不相符的地方，并实施更正；（5）执行内部控制差距分析，编制内部控制差距分析报告；（6）制定内部控制目标，拟定具体计划，实施培训，并指导执行；（7）审核集团财务系统内控风险分析报告，监控集团财务系统内控风险；（8）领导集团财务内控组，对内控专员提供业务指导；（9）牵头或参与其他财务事项。主要事务工作流程 关于内控政策研究的工作流程内控与政策经理须针对财务组织存在的问题，提出解决问题的原则、立场和处理方法，以政策指引形式发布实施，这就是内控政策研究事务，可参考以下五个步骤完成： 第一步：确认要解决的问题；第二步：提出对应的问题解决方案；第三步：让相关部门一起参与，讨论实施解决方案后可能带来的新问题，并一起设法切掉新问题；第四步：让相关部门一起参与，讨论要执行解决方案可能存在的瑕疵，并一起设法清除瑕