项目实施手册-内部控制咨询.总结

项目实施手册-内部控制咨询目录前言第一部分 项目整体概况1 项目背景2 项目成员配置3 项目实施行程安排第二部分 项目接洽1 项目建议书2 项目报价3 客户洽谈第三部分 项目实施1 前期准备2 项目启动3 控制环境记录4 流程记录及运营有效性评价5 进度质量控制6 项目汇报第四部分 体系编制1 体系编制流程2 权限表的编制3 内控流程手册的编制4 内控矩阵手册的编制5、体系的培训与落地第五部分 后续维护1 维护注意事项第六部分 常见问题解答1、什么是内部控制2、前言 随着内控咨询业务在公司内的开展，不同层级的项目实施人员的加入，为了使内控咨询项目的顺利实施，内控项目小组结合前几次的内控咨询实施的经验编写了此文档。旨在为各内控项目小组的工作开展提供具有较高的可操作性的指引，以体现公司的专业化的水平。第一部分 项目整体概况1、 项目背景 08年6月，财政部、证监会、审计署、银监会和保监会联合发布企业内部控制基本规范(简称内控规范)，自2009年7月1日起在上市公司范围内试行，同时鼓励非上市的大中型企业执行。10年4月26日，五部委召开“企业内部控制配套指引发布会”，并发布了企业内部控制配套指引。为确保企业内控规范体系平稳顺利实施，财政部等五部门制定了实施时间表：自2011年1月1日起首先在境内外同时上市的公司实施，自2012年1月1日起扩大到上交所、深交所主板上市的公司实施；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大型企业提前执行。12年的发布的企业内部控制规范体系实施中相关问题解释第2号有对实施内控体系过程中发现的一些问题做了一些补充说明。对于审计业务来讲只是增加了内部控制审计这一块业务，但是对于咨询业务增加的服务内容很多：体系建立前后的内控评估、内控体系搭建实施辅导、提供内控培训、培养企业的内控人员等等多个收费项目。 2、 项目成员配置整个内控咨询项目的人员需要根据客户的实际情况进行配置。如果只是为母体公司或者单体的公司做内控咨询，那么只需安排一个项目组即可，项目组内需安排5-6名成员，其中2名为技术以及项目总监性质的人员，剩余4名为实际作业人员，为项目经理、项目顾问、项目助理。如果项目人员配置不足将导致项目质量的低下。整个项目组成员的各自的工作分配如下：项目总监（合伙人）：1名，主要是起露脸的作用，配合项目的竞标的达成、不参与实际咨询工作。技术顾问:1名，可以由不同的项目经理兼任，负责提供技术支持以及对项目成果进行复核，不参与现场咨询工作。 项目经理：1名，需要具备内控咨询2年以上的咨询经验，最好具备ERP、财务以及运营的相关实务经验。负责整个项目的进度与质量的控制、访谈底稿和问卷调查表的设计、启动会的内控培训、资料的评价、内控评估报告的汇报、内控体系文档审核。 项目顾问：2-3名，需要具备财务、审计等专业背景。负责参与访谈、访谈的记录、资料的收集与评价、参与体系文档撰写。项目助理：1名，大学生实习生。负责资料的复印、访谈的记录、参与体系文档撰写。被咨询公司需要安排2-3名成员，作为配合人员，具体负责访谈人员的安排、资料的跟催等工作。最好这两名成员为内控部、内审部的负责人，便于对客户方的资料索取。如果是集团型的公司，下面有众多分子公司，也可以按照上面的组队方式进行配置，形成2-4个咨询小组分别进行作业。目前，国家对于帮助企业搭建内控体系的咨询公司的人员无特殊资质的要求，也未形成相应的资格考试。但是参与人员具备CPA、CIA、CISA、CTA等专业资格证书，能确保客户对咨询公司专业度的认可。市面上盛行的注册企业风险师CERM证书、高级企业风险管理师等等，都是属于野鸡证书。3、 项目实施行程安排 下面是关于整个项目实施的行程安排，具体时间可以按照实际情况做调整。项目时间内容参与人员1、项目准备（1周）1.1制度的阅读接到项目启动后10天左右进行管理制度的对标、流程的初步梳理。咨询团队1.2访谈提纲编制控制环境与控制公司的访谈提纲类似，不需要单独编制。业务流程部分需要根据客户的制度进行调整。咨询团队1.3内控问卷的发放内控调查问卷都是统一的，但需要客户确认是否适用。咨询团队2、项目实施（1.5个月）2.1 项目启动培训1天由项目经理负责启动会的内控培训，时间在2小时左右。合伙人、咨询团队2.2 流程记录及运营有效性评价1个月单个模块安排访谈2人，部门负责人与业务经办人，时间半天，资料检查与流程梳理半天。访谈时2人一组，一人记录、一人访谈。2.3 流程记录与改进建议确认阶段1周项目经理负责整个报告的汇报工作。咨询团队、合伙人3、文档撰写（2个月）3.1 权限表编制1-3天从2.2的流程梳理进行整合。咨询团队3.2 内控流程表编制1个月完成3.1，每个项目成员分别按照模板编制。咨询团队3.2 内控矩阵表编制1个月完成3.1步骤后，每个项目成员分别按照模板编制。咨询团队4、持续的跟进与评价（3个月）4.1 缺陷整改进度追踪3个月对2.3发现的问题进行追踪项目经理4.2 内控状况评估一周按照内控测评底稿进行评估咨询团队5、后续维护（2周）5.1 文档的修正1周了解客户修正的需求咨询团队5.2 文档的修订1周对内控体系文档的修订咨询团队备注：1、具体单个业务的流程的梳理与风险分析，一般掌控在2-3天左右，其中包含访谈、资料的检查。2、现场调研所形成的每一个底稿都是与最终结果相互对照的，请勿遗漏其中任何一个环节。第二部分 项目接洽1、 项目建议书 在得到客户的咨询电话或者招标信息后，项目经理需要的步骤如下： 1、确认客户的需求信息，为合规的内控体系的搭建还是内控体系评估，进一步了解客户所在的行业相关信息。 2、是否已经有类似企业的内控咨询案例。如有，则获取该资料；如无，收集与该企业以及行业相关的资料，包含从客户的网站以及相关行业网站，或者要求客户提供基本情况的说明。 3、根据1、2获取的客户信息，编制项目建议书。如果客户属于是招投标性质的，则提供word版本的项目建议书；如果客户是一般的象征性询价，则提供ppt版本的项目建议书。 Word版本的项目建议书基本上包含如下几大模块： （1）对客户项目需求的理解：客户需要做的是哪一块的咨询，国家对此的要求，与之相关的行业的信息以及行业会涉及的风险。 （2）我们对此的通常做法：基本上按照第一部分的第二节进行介绍。 （3）我们的项目成果：内控体系文档的截屏或者样稿。 （4）可能的项目成员：列示与该行业相关的咨询人员。 （5）项目预期收费：项目的报价细节部分见本部分的第二节。 （6）公司介绍：含公司的基本情况以及与该公司相关的成功的咨询案例。 PPT版本的项目建议书基本上是对word版本的概述。2、 项目报价目前咨询公司的项目报价有两种方式：按照专家的出场费或者按照项目成果。（1）按照专家出场费核算：专家出场的天数*每天的咨询费+资料成果费用+利润+税金（2）按照项目成果：内控评估及调研（30%）+内控体系成果（60%）+项目保证金或者尾款（10%）除非客户特别需要，一般提供给客户的是第二种方式的报价。在第二种报价中按照客户的预算、体系的内容、作业的方式的不同，有三种不同的报价：（1）价格最便宜的报价：提供客户资料模板底稿，客户进行自我撰写与修订，我方只负责体系搭建的培训。这种报价适合于满足合规需求的客户，预算不多的民营企业。（2）价格中等的报价：到客户现场进行调研，出具内控现状评估报告，提供客户资料模板底稿，客户进行自我撰写与修订，我方负责审核。这种报价适合于满足合规需求的民营企业。（3）价格最贵的报价：到客户现场进行调研，出具内控现状评估报告，由我方负责整个体系的搭建。这种报价适合于满足合规需求的客户，又有管理需求的民营企业，满足合规需求的国有企业、事业单位。 在项目建议中的报价，需要参考客户的预算。如果客户没预算的则参考去年的年报，年收入在3个亿以下的，按照第1、2种方案进行报价，年收入在3个亿以上的则按照第3种方案进行报价。在上述的报价中，另外需要考虑的是客户是否提供食宿、差旅的费用。一般食宿、差旅的费用占整个项目的报价的5-10%左右。3、 客户洽谈在与客户进行第一次洽谈时，需要至少3名项目成员参与。这三个成员的职责分别为：1、 成员A：负责PPT样式的项目建议书的展示与讲解。2、 成员B:负责沟通过程的技术或者疑惑的解答。3、成员C：负责充场面，成员C可以由1-2名咨询顾问组成。 第三部分 项目实施1、 前期准备 在签订咨询合同后，项目进场前，需要做下面的一些作业以保证现场调研的合理进行。 （1）向客户的内控小组发放内部控制调查问卷，了解管理层对内部控制以及风险管理的态度以及方式，来初步了解客户存在风险。 （2）向客户提交制度表单清单，收集客户的管理资料或者制度。 （3）根据客户提供的资料或者制度，结合内部控制的指引的要求，进行制度有效性的评价。如果项目比较紧急，这一块内容也可以在客户现场完成。 设计有效性评价： 完整性：整个模块的缺失、关键控制流程缺失、单个控制环节中的6要素缺失（6要素5W+1H）。 合理性：流程设计不合理，比如未体现岗位职责分离或者授权；表单设计不合理等。流程编号一级流程二级流程内控指引要求实际情况01销售收款流程01-01销售计划01-02销售价格01-03客户档案01-04信用管理01-05销售订单与合同01-06备发货管理01-07售后服务01-08应收款管理 （4）初步梳理内部控制流程清单： 比如对销售收款流程进行的初步梳理：流程编号一级流程二级流程参考资料01销售收款流程内控指引第9号01-01销售计划01-02销售价格01-03客户档案01-04信用管理01-05销售订单与合同01-06备发货管理01-07售后服务01-08应收款管理 （5）与客户项目小组协商各流程访谈的时间以及人员的安排。 访谈时间安排表：流程编号一级流程访谈时间参与访谈人员01销售收款流程XX日9点-11点销售总监-XXXXX日11点-12点XX日13点-15点XX日15点-16点02采购付款流程XX日9点-11点XX日11点-12点XX日13点-15点XX日15点-16点 （6）与客户确认评价标准： 由于不同的客户对重要性的认识不同，所以在项目开始前如何来定义一般、重要以及非常严重是非常有必要的： 内容定量定性一般重要非常重要2、 项目启动 在进场后，开启项目启动会。项目启动会需要咨询公司的本次项目负责人对与会人员进行内部控制、风险管理的基础培训。 客户方在项目启动会上需要安排公司高管以及会参与现场调研访谈的部门负责人，便于现场调研时进行沟通。启动会结束后，项目经理向客户的内控小组提交访谈提纲，由其负责联系各部门，确认具体访谈时间。3、控制环境的记录由于企业性质的不同，内控指引只是针对生产制造型企业。所以比如社会责任模块，就不适用于服务性行业。控制环境分公司战略、人力资源政策。人力资源政策虽然是控制环境的，但是又有实际流程。所以在控制环境进行表述，但是在业务流程中也可以作为单独的流程模块进行记录。在对控制环境的访谈主要设计到公司的主要负责人。访谈的时候可以从公司的创建史，去年的销售业绩的达成来引入对公司控制环境的访谈。4、流程记录及运营有效性评价 现场作业不是对风险的识别、风险等级、风险的应对的管理。风险只有在对流程进行完整记录后，事后可以补的东西。现场的调研的目的主要是对现有的流程进行记录与整理。 现场调研主要做的是按照模块来进行，主要分两块：访谈以及资料的检查。在访谈开始前，需要提前一天提交访谈提纲给被访谈的人员，便于人员的准备。 访谈进行时： 我方人员需要2人，一人访谈一人进行记录。 被访谈的部门人员基本上需要安排2人，部门负责人以及实际作业人。这两个人的访谈侧重点都是不一样的。 部门负责人的访谈重点： 确认流程风险、部门的组织架构、在该组织架构中每个成员的各自的工作职责、关键控制流程的划分。 实际作业人的访谈重点： 在访谈过程中，记录人员需要根据实际情况进行流程的记录，主要是根据7要素进行记录。 何时什么时候来执行这项控制，例如业务发生前还是发生后？以及发生这项控制的频率？谁谁来执行这项控制？其所属的部门以及岗位？控制目标执行该控制点规避风险或者控制目标？控制活动实施什么控制？如何做如何实施该项控制？人工/自动？跟进措施差异如何处理？证据该项控制实施后会留下的系统或者书面的记录或者表单。 在访谈结束后，访谈记录人员需要根据访谈的结果来及时编制流程： 简易的记录可以通过：XXXXXXXXXXXX这种形式详细的记录可以再访谈记录后通过visio软件来编制流程图来确认。流程的记录需要做到双确认，第一步是业务经办人员对此的确认，第二步是部门负责人对流程的确认。 访谈记录表样式：用于部门主管的：被访谈人员岗位职责访谈时间访谈及记录人1、部门组织架构2、各成员的岗位职责3、业务流程由哪几个流程组成4、部门管理或者存在的风险用于业务经办人员的：被访谈人员岗位职责访谈时间访谈及记录人1、销售计划：流程概述：XXXXXXXXXXXX流程表单：2、销售价格流程概述：XXXXXXXXXXXX流程表单：3、客户档案流程概述：XXXXXXXXXXXX流程表单： 结束访谈后，访谈人员根据访谈的客户的访谈的情况进行编制所需资料的清单，同时安排穿行测试。内控测评的穿行测试与财报审计的穿行测试不同，这里的穿行测试是要求客户在现场将作业流程演示一遍。访谈成员需要对按照流程收集、汇总、整理穿行测试的资料目的是：访谈时，被访谈人员不能清楚表述流程，通过资料的检查来明确或者完善访谈的记录。资料检查：用于评估企业的内控现状。具体的测评的方法和步骤见内控测评底稿。 在资料的抽样的选择上，一般以少量抽取为主，一般以1-5份为主。因为不是内控审计，所以样本量以少量为主。对穿行测试发现的问题，需要进行现场拍照或者在收集的资料上用铅笔进行标志和索引号，便于缺陷的汇总与应对。 5、 进度质量控制项目小组，需要每周最后一日通报项目进度。进度包含访谈的模块的进度，以及现有管理状况的内控评估问题列表。项目经理负责汇总内控实施进度。内控问题列表：流程编号一级流程二级流程内控指引要求实际情况违反那个控制措施01销售收款流程01-01销售计划01-02销售价格01-03客户档案01-04信用管理01-05销售订单与合同01-06备发货管理01-07售后服务01-08应收款管理6、 项目汇报在结束访谈之后，项目小组需要对3.1中的制度设计有效性评价以及3.3部分中的运营有效性的评价部分所获得内控评估问题列表进行整合，编制XXX公司缺陷和改进建议汇总。XXX公司缺陷和改进建议汇总一般在结束单个公司的现场调研后的一周内提供。XXX公司缺陷和改进建议汇总分三块内容：（1）工作回顾：调研了哪些公司、部门、访谈多少次、抽查几份资料、（2）内控评价：按照模块分别来阐述制度有效性评价、运营有效性评价得到的问题。在对单个问题进行表述时包含三条内容：列明违反内控指引的条款、内控现状说明、改善建议。部分严重乃至非常严重的内控问题，需要在问题表述的后面附上相应的证据，即3.1、3.3步骤中获取的资料。（3）后续的工作安排。在编制完成后，项目经理需要将此汇总提交至客户的内控小组确认所列内容是否恰当。在沟通完成，视情况，安排到客户这边进行缺陷的展示，同时也是对工作告一段落的说明。在XXX公司缺陷和改进建议汇总内，项目经理需要对问题的重要程度确认优先整改的先后顺序，编制整改。 在内控测评报告中体现的缺陷，需要被咨询的管理层对此进行反馈，内控体系的文档只有在合理的反馈后方可进行。不然搭建的内控体系将无法落地。第四部分 体系编制1、 体系编制流程 内控体系的编制分四个步骤： （1）流程的梳理：在获取客户资料时进行了流程的初次梳理后，在客户现场根据访谈的情况进行调整，在内控测评报告汇报后进行重新修订，形成最终的版本。（2）安排项目成员各自编制的模块：最好的方式是谁参与了访谈与记录，由谁来进行该模块的编制。因为不参与访谈的人员，很难编制。（3）编制内控流程手册：根据访谈的访谈记录，相关的管理制度以及收集的表单来编制内控流程手册。（4）编制内控矩阵手册：根据内控流程手册编制内控矩阵手册。2、 权限表的编制 一般企业也有权限表，但是内部控制的权限表就比较全面： 流程编号经济业务事项相关单据分类下属公司集团业务部门分管副总财务部总经理职能部门法务部财务部总裁注1注2注3注4 注1：根据公司的流程命名规则设定的流程编号。 注2：主要是二级流程的说明，比如货币资金管理中现金管理，二级流程可以为现金提取、长短款审批。 注3：该流程涉及到的表单，可以是纸质的，也可以是电子版本的。 注4：根据金额大小或者重要性进行的划分。 在整个流程中的签批流程会涉及到：审核、审议、审批、会签、备案等，根据不同的审批人所使用的范围是不一样的。审核：审查核定，一般是流程中间过程中的检查，一般是单人的。审议：一般是流程中间过程中的检查，一般是集体会议的形式。审批：审查批准，一般是流程最后一人。会签：在流程过程中，不分权利大小的签字。备案：流程结束后，需要告知的部门以及人员。 3、 内控流程手册编制 内控流程手册就是用统一的语言将管理制度进行汇总编撰。 内控手册的框架分两大部分： 控制环境：按照5要素来撰写，可以划分控制环境、风险评估、控制活动、信息与沟通、监察。每个公司的内控流程手册在控制环境这一块大体内容都是一致的。 控制活动：市面上看到的内控手册基本上是按照ISO的体系文档进行撰写。在控制活动这一块，除了财务和信息系统的控制活动是类似的，可以参考借鉴，其余的业务流程都是需要根据客户的情况进行定制。内控活动部分的内控流程手册框架基本上如下：1、 概述（1）管理政策 按照内控指引的要求以及企业的管理制度进行的概况说明。（2）岗位职责对部门负责人访谈时得到的部门组织架构以及访谈时获得的各人员的工作职责。如果在访谈时未访谈清楚。可以在人力资源部获得各部门的部门职责以及各成员的岗位职责说明书进一步来补充访谈时的不足。（3）流程概述对部门负责人访谈时得到的流程概况。流程概述主要由几个关键控制点组成。比如资金活动，就可以划分为三个关键控制点：投资、筹资、资金运作。2、 业务流程（1）流程图 对业务经办人员进行内控访谈，结束后编制的流程图。（2）流程说明 对业务经办人员进行内控访谈时的流程描述。 3、附件 主要是前期收集的制度以及在现场调研收集的表单的名称，以及对应的空白表单。4、内控矩阵手册的编制内控矩阵手册其实就是excel版本的内控流程手册，主要是用于内部控制的自我评价。内控矩阵手册的样式：控制点编号流程目标风险控制点描述发生频率控制类型管控部门管控证据注1注2注3