1. 內控手冊與制度的區別
法律分析:對於「管理制度」這個概念,似乎並沒有權威的學術定義。從法律層面上看,我國公司法規定:公司董事會負責制定公司的基本管理制度;經理負責擬訂公司的基本管理制度以及制定公司的具體規章。但是,對於哪些屬於基本管理制度,哪些屬於具體規章,公司法本身也沒有給出明確的定義。
ISO質量管理體系將文件分為四級,即一級為質量手冊類,二級為制度類,三級為作業指引類(流程),四級為使用表格類。這種分類符合我們經常提到的「管理制度化、制度流程化、流程表單化」的邏輯。因此,從實務角度看,管理制度可以有廣義和狹義兩種理解,即廣義的管理制度是包括制度、流程和表單在內的管理規范的總和,而狹義的管理制度僅包括其中的制度文件。
關於內部控制我們有三個權威定義:
《內部控制——整合框架(2013)》:內部控制是一個由主體的董事會、管理層和其他員工實施的,旨在為實現運營、報告和合規目標提供合理保證的過程。
《企業內部控制基本規范》第三條本規范所稱內部控制,是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。
《行政事業單位內部控制規范(試行)》第三條:本規范所稱內部控制,是指單位為實現控制目標,通過制定製度、實施措施和執行程序,對經濟活動的風險進行防範和管控。
COSO強調內控是一個過程(Process),並且進一步將其解釋為「政策及流程手冊、系統和表單(policy and procere manuals, systems, and forms)」。基本規范在內部控制的概念上沿用了COSO的定義。而行政事業單位內控規范也說明內控是需要嵌入到制度、措施和程序中去的。
從上述內部控制定義中,我們也可以得出結論,內部控制是通過制度、流程和表單體現出來的。
法律依據:《中華人民共和國政府信息公開條例》 第七條 各級人民政府應當積極推進政府信息公開工作,逐步增加政府信息公開的內容。
第八條 各級人民政府應當加強政府信息資源的規范化、標准化、信息化管理,加強互聯網政府信息公開平台建設,推進政府信息公開平台與政務服務平台融合,提高政府信息公開在線辦理水平。
第九條 公民、法人和其他組織有權對行政機關的政府信息公開工作進行監督,並提出批評和建議。
2. 以下哪些屬於內部控制操作手冊編制的原則
1、 編制《內部控制手冊》背景 規范江蘇亨通光電股份限公司(簡稱股份公司)管理貫徹《華民共公司》、《華民共證券》、《華民共計》及其關律、規滿足內外資本市場市公司監管要求股份公司特製訂《內部控制手冊》作建立、執行、評價及驗證內部控制依據 完整內部控制體系完善內部控制制度約束、規范企業管理行准則減少風險重措施實施內部控制及發現糾各種錯弊及行利於保證資產安全、完整保證經營與財務狀況真實、靠其必要性表現: 建立現代企業管理制度完善治理結構實現經營機制轉換加強企業管理提高企業經營業績改善企業財務狀況 二貫徹我關律規遵循財政部、證監、審計署、銀監、保監等五部委《企業內部控制基本規范》、《企業內部控制配套指引》及美《薩班斯-奧克斯案》等內外資本市場監管需求提高計信息質量 三積極參與競爭、努力降低風險隨著市場競爭趨激烈信息技術高度發展及全球經濟體化進程加速股份公司所面臨風險逐漸加建立健全效內部控制制度防範風險、提高經營效率效重要措施 四建立統規范內部控制制度使股份公司各項規章制度系統性、操作性包容性強內部管理制度更效體現股份公司管理理念 2、 《內部控制手冊》遵循基本原則 合規性原則合規性指企業內部控制制度必須符合家律、規政策;符合股份公司市證券監管機構關市公司律、規要求 二全面性系統性原則《內部控制手冊》涉及股份公司經營各面其內部監督控制貫穿於經營管理全程並涉及全體員工股份公司每員工既內部控制主體內部控制客體;既要其負責作業實施控制要受其員或制度監督制約《內部控制手冊》使股份公司內部各部門、各崗位形較系統既互相制約具縱橫交錯關系統整體確保各部門各崗位均能按特定目標相互協調發揮作用終實現股份公司內部控制總體目標 三內部牽制及相容原則內部牽制指部門與部門、員工與員工及各崗位間所建立互相驗證、互相制約關系屬於企業內部控制制度重要組部其主要特徵關責任進行配使單獨或部門任何項或項經濟業務沒完全處理權必須經相容其部門或員驗證、核制約 四權責明確、獎懲結合原則根據各部門崗位職能與性質明確各部門及員應承擔責任並賦予相應許可權根據操作規則處理程序確定追究、查處責任措施與獎懲辦等使權所屬利所享避免發越權或互相推諉現象 五本效益原則內部控制貫穿本效益原則要力爭少控制或低管理本獲取經濟利益要實行選擇控制:要努力降低控制本盡量精簡機構員改進控制手段提高效率 六操作性原則《內部控制手冊》必須符合股份公司實際論業務流程式控制制點設置授權項目許可權確定都要考慮實際管理工作否行保證其操作性 七包容性原則《內部控制手冊》依據股份公司現行各項管理制度控制風險編制系列流程式控制制體系內容涵蓋投資、產、經營、財務、監督檢查等面面《內部控制手冊》力求避免與其制度相矛盾盡能包容現各項制度確實沖突其各項管理制度應及修改、完善並《內部控制手冊》規定準 八信息反饋原則確定與控制工作關員信息傳遞任務與責任規定信息傳遞程序、收集間要求等事項建立嚴密紀錄、報告等信息反饋系統 3、 《內部控制手冊》適用范圍 《內部控制手冊》適用於股份公司及其屬公司(屬公司指股份公司投資(控股)託管公司)股份公司投資(控股)託管公司應參照股份公司《內部控制手冊》結合自身特點按照業務必須覆蓋股份公司《內部控制手冊》應所規定內容許可權比照股份公司原則制定內控手冊履行本公司審批程序報股份公司內控部備案 4、 內部控制定義 內部控制適應內外證券機構監管要求提高風險管理能力經營管理要求由股份公司董事、管理層及其全體員工實施經營效率與效、財務報告靠性、相關律規遵循性等目標實現提供合理保證程內部控制主要由內部環境、風險評估、控制、信息溝通及監督檢查等五要素構: 內部環境影響、制約內部控制建立與執行各種內部素總稱實施內部控制基礎內部環境主要包括治理結構、組織機構設置權職配、企業文化、力資源、內部審計機制、反舞弊機制等 風險評估及識別、科析評估影響股份公司目標實現各種確定素並制定應策略程風險評估主要包括風險識別、風險衡量、風險應風險報告控制指根據風險評估結、結合風險應策略採用恰控制措施確保內部控制目標實現政策程序實施內部控制具體式控制措施選擇應結合企業具體業務事項特點與要求主要包括權責離控制、授權與審批控制、預算控制、財產保護控制、析與報告控制、績效考核控制、信息技術控制等 信息溝通指及、准確、完整收集與股份公司經營管理相關各種信息並使些信息適式關層級間進行及傳遞、效溝通確應用程實施內部控制重要條件信息與溝通主要包括信息收集機制及內部與外部關面溝通機制等 監督檢查內部控制效性進行檢查評價形書面報告並作相應處理程實施內部控制重要保證 2010五部委頒布《企業內部控制規范配套指引》18項應用指引1項評價指引1項審計指引《企業內部控制基本規范》進步細化指導 5、 內部控制組織機構 按照《企業內部控制基本規范》《企業內部控制配套指引》要求確保公司內部控制規范體系建設工作順利展公司內部各項內控制度貫徹執行實現股東利益化經營宗旨促進公司全面持續發展公司立內部控制規范實施工作領導組工作組及內部控制規范評價組組織公司內控機制建設工作部署落實公司制定內控機制基本制度工作標准按內控要求公司內控體系布局進行整體規劃監督內控機制工作整體進程確保內控機制健康運行 內控領導組由公司董事擔任負責工作組職責:組織公司內控機制建設工作部署落實公司制定內控機制基本制度工作標准按內控要求公司內控體系布局進行整體規劃監督內控機制工作整體進程確保內控機制效運行等 內控建設工作組由股份公司總經理牽組職責:落實公司內控領導組要求按職責工展相關工作落實公司制定各項內控制度負責工作風險防控等協調召內控建設工作議負責協調督辦各公司及各部門展內控工作等 內控評價工作組由股份公司監事及審計部門組組職責:落實公司內控工作領導組要求按職責工展內控評價相關工作督促落實公司制定各項內控制度負責工作風險防控檢查等 內部控制工作各組按照公司內部控制工作要求按職責工展相關工作落實公司制定各項內控制度負責工作風險防控等內控部及審計部作內控規范牽部門聯合公司各職能部門、各公司協同展組織內控建設自我評價內控部作股份公司內部控制工作管理機構具體負責組織內部控制執行情況監督檢查內部控制評價《內部控制手冊》更新及培訓等工作 6、 《內部控制手冊》使用指南 本《手冊》包括五部即《江蘇亨通光電股份限公司內部控制手冊編制使用說明》、《內部控制手冊》、《授權指引》、《相容職務離》、《風險評估》 《江蘇亨通光電股份限公司內部控制手冊編制使用說明》即本文內容《內部控制手冊》編制背景、遵循原則、適用范圍、內部控制定義、內部控制組織機構、使用指南、貫徹實施責任要求、編寫與管理、發放、使用要求、效、維護、更新作闡述; 《內部控制手冊》描述內部控制體系組織結構與職責較全面闡述內部控制體系建設目標五部委《企業內部控制應用指引》18項控制環境、風險評估、控制、信息與溝通內部監督等五面內控關注要點及相應措施進行較全面、系統闡述 《授權指引》描述公司管理、決策、切控制授權審批范圍、層、程序、責任內控關注要點審批許可權進行闡述; 《相容職務離》描述公司內部機構、崗位設置及其職責許可權合理劃確保同崗位形各司其職、各負其責、相互制約工作機制並匯編公司所相容職務 《風險評估》描述公司風險控制目標風險評估基本概念及風險類風險管理制度確定風險評估目標、風險評估機制、建立並完善風險管理體系三面內控關注要點及相應措施進行闡述並匯編公司切風險內容及評估 7、 《內部控制手冊》貫徹實施責任要求 《手冊》建立套科、系統內部控制體系建設標准公司建設並實施內部控制體系綱領性文件保證內部控制體系設計效、執行力各部門、各公司要認真組織實施嚴格遵照執行要充認識內部控制體系建設工作期性艱巨性建立效運行內部控制體系作重要工作建立效機制指定管理部門或管理崗位履行內部控制職能切實做實施力 推《手冊》貫徹執行提高《手冊》使用效股份公司及各公司每至少舉辦《手冊》使用培訓要計劃做培訓內控工作要求傳達每員工、每崗位確保執行位 各公司要按照五部委《企業內部控制基本規范》、《企業內部控制配套指引》及《股份公司內部控制手冊》編制規范要求修訂、完善細化本公司手冊 各公司內控負責要本公司內部控制體系運行情況進行檢查督促內控部定期組織考核並進行通報 8、 《內部控制手冊》編寫與管理 《手冊》由內控部組織編寫內控委員審定股份公司行文發布內控部《手冊》進行規范管理保證其效、完整、統適用 9、 《內部控制手冊》發放 《手冊》須按發放范圍統發放發放范圍由內控部提經管理層批准執行般包括公司高管、股份公司相關職能部門等 《手冊》包括紙質版電版兩種電版配發范圍股份公司高管;紙質版配發范圍公司各職能部門及特殊使用者 10、 《內部控制手冊》使用要求 本《手冊》公司重要文件屬公司機密各單位應按相關要求確使用未經允許復印外泄露使用程遇疑難問題及向內控部咨詢 11、 《內部控制手冊》效、維護、更新 《手冊》維護項期性、經性重要工作需要各部門及公司高度重視積極參與力配合各公司應指定內控管理負責本單位《手冊》管理維護《手冊》使用程發現問題應認真記錄並及反饋給內控部內控部應及掌握《手冊》執行情況並採取效措施確保內部控制管理體系效運行 《手冊》修訂由內控部負責每內控部根據內市新台相關律規要求、內外部審計公司內部控制評價、公司內控管理現新問題及反饋意見及建議等《手冊》進行修訂更新《內部控制手冊》經董事審批式效並由內控部發各部門各公司更新電版本存檔於股份公司中國絡並按照資料異備份要求存檔於七都中國絡
3. 內控手冊與制度的區別
法律分析:對於「管理制度」這個概念,似乎並沒有權威的學術定義。從法律層面上看,我國公司法規定:公司董事會負責制定公司的基本管理制度;經理負責擬訂公司的基本管理制度以及制定公司的具體規章。但是,對於哪些屬於基本管理制度,哪些屬於具體規章,公司法本身也沒有給出明確的定義。
ISO質量管理體系將文件分為四級,即一級為質量手冊類,二級為制度類,三級為作業指引類(流程),四級為使用表格類。這種分類符合我們經常提到的「管理制度化、制度流程化、流程表單化」的邏輯。因此,從實務角度看,管理制度可以有廣義和狹義兩種理解,即廣義的管理制度是包括制度、流程和表單在內的管理規范的總和,而狹義的管理制度僅包括其中的制度文件。
關於內部控制我們有三個權威定義:
《內部控制——整合框架(2013)》:內部控制是一個由主體的董事會、管理層和其他員工實施的,旨在為實現運營、報告和合規目標提供合理保證的過程。
《企業內部控制基本規范》第三條本規范所稱內部控制,是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。
《行政事業單位內部控制規范(試行)》第三條:本規范所稱內部控制,是指單位為實現控制目標,通過制定製度、實施措施和執行程序,對經濟活動的風險進行防範和管控。
COSO強調內控是一個過程(Process),並且進一步將其解釋為「政策及流程手冊、系統和表單(policy and procere manuals, systems, and forms)」。基本規范在內部控制的概念上沿用了COSO的定義。而行政事業單位內控規范也說明內控是需要嵌入到制度、措施和程序中去的。
從上述內部控制定義中,我們也可以得出結論,內部控制是通過制度、流程和表單體現出來的。
法律依據:《中華人民共和國政府信息公開條例》 第七條 各級人民政府應當積極推進政府信息公開工作,逐步增加政府信息公開的內容。
第八條 各級人民政府應當加強政府信息資源的規范化、標准化、信息化管理,加強互聯網政府信息公開平台建設,推進政府信息公開平台與政務服務平台融合,提高政府信息公開在線辦理水平。
第九條 公民、法人和其他組織有權對行政機關的政府信息公開工作進行監督,並提出批評和建議。
4. 內控合規檢查4個主要程序
1、確定檢查重點並派出檢查組:內控領導小組依據工作重點,確定內部控制檢查的重點單位或部門、業務流程或控制點;下屬單位自查;公司各職能部門的自查及對口檢查;內控領導小組綜合檢查。
2、檢查組現場調查內部控制:檢查組審閱各種文件,詢問被檢查單位或部門的員工,了解員工對相關業務流程內部控制制度的熟悉和掌握情況。
3、檢查組現場對內部控制進行符合性測試:檢查人員採用審閱證據、穿行測試和實地觀察等方法,對照《內部控制手冊》規定的業務流程步驟、控制點和監督檢查方法,抽取一定的經濟業務對被檢查單位或部門的內部控制進行測試,檢查內部控制是否執行以及執行的程度。
4、檢查組總體評價內部控制:檢查組以測試記錄為依據,按照內部控制評價方法,從不相容職務是否在實質上做到相互分離、是否在授權批准范圍內履行職責以及是否一貫有效的執行等方面,對所檢查的控制點和流程進行評價,將評價結論記錄於工作底稿,檢查組組長對檢查、評價結果負責。
5、檢查組提交檢查與綜合評價報告:下屬單位形成綜合評價報告;公司各職能部門形成綜合評價報告;內控領導小組形成年度綜合評價報告。
6、實施獎懲並受理復議申請:由下屬單位組織檢查的,由下屬單位依據內部獎懲辦法,對所屬有關單位或部門及相關人員實施獎懲;根據各職能部門對口檢查提出的獎懲意見以及內控領導小組綜合檢查提出的獎懲意見對有關部門及相關人員實施獎懲。
7、對內部控制手冊的補充和修改意見:各級檢查組對在檢查過程中如發現內部控制制度的內容與公司經營運作需要不相符,應及時提出修改意見,逐級報公司內控領導小組、股份公司審批修訂。
(4)內部控制手冊系統訪問中通過擴展閱讀:
按照聯社文件規定、相關崗位操作流程和有關制度辦法,認真梳理我社工作崗位中「應知、應會、應做、應遵」制度、知識、技能以及職業操守。
對櫃面業務操作流程及各個環節進行了風險隱患排查,使我們每個櫃員、客戶經理嚴格按照各項業務操作流程規定辦理業務,提高工作質量,防控操作風險,消除了風險隱患。
5. 內部控制匯編與內部控制手冊的區別
內控手冊包括內部制度,但不限於制度。
二者的區別就是:內控手冊包括內部制度,但不限於制度,還包括管理決策、崗位劃分和風險防範、作風建設等多個方面。制定匯編比內控手冊更細,包括所以制度體系。
內控手冊是從內部控制的角度按通行的內控框架記錄企業關鍵內部控制活動的一種體系文件,將體系書面化。制度匯編是整理公司各項管理制度、規章制度、規章制度。對體系進行完善和梳理,明確體系的相關性、效用、審核體系的保障措施,並對ISO體系文件進行補充。使公司管理制度化、規范化。確保系統合理、科學、簡潔、清晰,具有較強的可操作性。使管理有效。
6. 結合某行業分析內部控制的五要素~
在信息技術(以下簡稱IT)廣泛應用的當今社會,信息傳播、處理和反饋的速度大大加快,導致企業間競爭日益加劇,而且隨著信息產業成為社會主導產業,產品生命周期不斷縮短,技術含量不斷提高,對企業經營管理能力和決策水平提出了更高的要求,當然也給企業傳統的內部控制帶來了新的問題。對此,文章主要探討了信息技術的發展對傳統內部控制要素的影響。
關鍵詞: IT環境;內部控制;影響
內部控制要素包括控制環境、風險評估、控制活動、信息與溝通和監控。IT環境對作為內部控制系統主要組成部分的五個要素必將產生重大影響。
一、控制環境
內部控制環境主要由企業組織內部其他子系統中對內部控制效果有重大影響的因素構成,其根本目標在於保障內部控制系統的有效性。一般企業內部控制環境要素的變化主要受到組織結構、管理者和員工的特質三個方面因素的影響,以及這三個方面與外部環境的協調。分析其根源,主要包括經濟形態的發展與商務模式變革、管理模式的特徵演變以及組織、群體和個人的特質。由於經濟形態和商務模式的變革直接受制於信息作用的方式和范圍,並且管理系統的特徵和信息組織的方式息息相關,組織、群體和個人的特質也與其處理信息的能力緊密相連,因此,當信息在組織內部的作用和功能發生根本改變時,控制環境的內容也會隨之進行調整。
在網路環境下,由於企業內部控制具有「自我控制、行為優化導向」的屬性,這時的企業就要塑造相應的控制環境:其一,組織結構,主要應在形態、要素構成、運作方式及其內部關繫上進行調整;其二,與企業外部環境的關聯性,主要應通過加強組織內的適應以及組織與外部商務系統的融合性來強化;其三,業務單元的學習能力,應加強在組織內部創建共同遠景並組織成員系統思考的能力;其四,價值觀,主要應通過強化員工主動承擔責任、行使相應權力的文化來實現價值導向的重構;其五,人力資源特質,組織成員不僅應具備高度參與的精神,而且更應成為第一線的知識型專家。基於網路的企業內部控制環境在諸多要素綜合作用的基礎上,應實現一套全新的基於人性假設Y理論的積極文化導向,使內部控制向自主性、主動性的方向發展。
二、風險評估
每個單位均應評估來自內部和外部的不同風險。風險評估系指辨認並分析影響目標達成的各種不確定因素。在信息時代,雖然企業的整體目標沒有改變,但是經濟、產業及管理的外部環境與內部因素都發生了變化,自然改變了傳統的風險控制內容和方法。例如強大的、復雜的計算機系統增加了企業潛在的風險,因為人們的主觀判斷被忽略,數據處理過於集中,存儲的數據可以被不留痕跡地改寫或刪除,數據的存放形式增加了數據再現的難度,數據處理過程無法觀測等等。這些新的風險點構成了內部控制的新內容。新的技術帶來了新的風險:
(一)數字化信息丟失或毀壞的風險加大
原始憑證數字化,使得會計信息易於被篡改或偽造而不留任何痕跡,弱化了紙質原始憑證所具有的較強控制功能。另外,磁性介質容易損壞,一旦受損則很難修復,這也使數字化的信息丟失或毀壞的風險加大。
(二)數據處理的程序化,可使同一差錯反復發生
網路環境下的內部控制,很大程度上取決於系統中運行的應用程序的質量,一旦這些程序中存在漏洞或惡意的「後門」,便會嚴重危害系統安全。在找到這些漏洞之前,系統將多次重復同一錯誤。
(三)數據的集中存放使數據的安全性有所下降
在網路環境下,數據集中存放於磁性介質中,可以被經過授權的多個操作人員共同訪問,且數據的修改是不留痕跡的。這就加大了系統的風險系數,導致數據的安全性下降。
由於企業內外部環境的變化及企業中個人理性的有效性,使得企業戰略目標的實現總是存在著不確定性,因而內部控制必須適應風險變化的特點和要求不斷進行調整。風險評估是企業內部控制過程中的關鍵環節,是企業內部控制的主要特徵。
依靠信息技術的發展實現實時信息傳輸的企業,不僅使其各職能部門之間的界限變得模糊,而且使企業與外部環境之間的界限也變得更加模糊。客戶對企業產品和服務定製化要求更高,企業之間的競爭更加劇烈,這些都使得企業依賴於廣大員工的知識和創新能力;信息在企業內部的高度共享和實時傳輸,既極大地降低了企業內部不同層級、不同部門和個人之間的信息不對稱程度,又減少了企業內部控制過程中因此而出現的「道德危機」和「逆向選擇」的風險。這樣,企業的內部控制風險主要不是差錯與舞弊風險,而是知識員工科學行使其決策權的風險。這時,對企業風險進行評估就是一個動態的過程,企業內部控制的改進也是一個持續動態的過程。
因此,對網路環境下企業風險進行評估,就要充分了解外部環境的變化、企業知識獲取與保護能力,以及員工的素質及企業的激勵機制的影響。
三、控制活動
在傳統型企業,控制活動是管理者的主要職責內容,這就決定了傳統型企業的控制活動具有外部性和強制性的特徵,甚至成為一種權力的象徵。對企業員工而言,他們只是監督和控制的對象,而非監督和控制的主體。另外,企業根據專業分工的需要將企業人為地劃分為不同的職能部門和作業環節。由於各職能部門、環節之間缺乏信息溝通,使企業內部不同部門、環節的目標不相同,衡量績效的標准也不一致,因此,整個企業內部控制的標准必然表現出多元化的特徵。控制活動的外部性和強制性,以及控制標準的多元化,決定了傳統型企業內部控制活動的低效率。
在基於網路的企業中,由於計量技術的改進和信息傳遞成本的降低,信息在整個企業中不僅實現了跨部門、跨邊界的實時傳遞,而且實現了信息流與實物流和價值流的一致性,使得實時的信息成為衡量整個企業內部控制活動的主要標准;對企業員工而言,他們不再是被控制的對象,而是成為自我控制的主體。控制標準的一元化以及以企業所有員工的自我控制為特徵的基於網路的企業的控制活動,與傳統型企業的控制活動相比,已經發生了根本性的變化,它極大地提高了企業內部控制的效力。基於網路的企業的內部控制機制也適應了自我主導型控制活動的特別要求,並進一步促進了企業的自我主導型內部控制活動的順利展開。
信息技術的廣泛應用,對控制手段產生了影響:首先,廣泛地使用信息技術為支持決策和改善業務與信息過程提供了戰略機會,也加強了內部控制的預防、檢查與糾正的功能。控制的重點由對人的控制為主轉變為對人、機共同控制為主,控製程序與計算機處理相適應,企業可以依賴更少的人員、利用更少的資源,達到更高的內部控制目標。從而在新環境下形成新的控制理念。好的內部控制不應僅依賴過多的審核人員或復雜的控製程序,而應該依賴信息時代的控制哲學和恰當適用的信息技術。其次,應該看到,隨著計算機使用范圍的擴大,利用計算機進行的貪污、舞弊、詐騙等犯罪活動有所增加。如儲存在計算機磁性媒介上的數據容易被篡改;資料庫技術的提高使數據高度集中,未經授權的人員有可能通過計算機和網路瀏覽全部數據文件,復制、偽造、銷毀企業重要的數據,使得計算機犯罪具有很大的隱蔽性和危害性。因此,也增加了經濟與管理信息技術環境下內部控制的難度。
四、咨詢與溝通
傳統模式下,企業會計信息系統的採集是在業務發生之後進行的,因而用於決策的會計信息具有滯後性。這種非即時的會計信息將會影響到決策的科學性和正確性。誠如戴克曼、杜克斯和戴維斯所說:「必須在會計信息失去影響決策的作用前,將它提交給決策者。這是財務信息和影響力源源不及新的財務信息。信息不及時就降低了他的相關性。」而在網路化管理模式下,會計系統和業務系統進行了有機的結合,實現了嵌入式的會計模式,而會計核算也是按照業務類型進行細分的。這樣,在信息技術的支持下,會計系統和業務系統實現了融合,也使得信息成為了企業管理的中心。
與現代信息相結合的信息系統具有開放化、實時化、電子化的特點。它的應用為企業獲取信息,進行內部溝通發揮了積極作用。任何企業在其經營與控制的過程中,都必須按照一定的方式和時間規定,辨識並取得來自企業內部及外部的信息,並在組織內部進行溝通,使員工清楚地獲取有關其控制責任的信息,履行其責任。在信息化時代,ERP系統的廣泛運用使得企業可以藉助於區域網實現其會計和業務的一體化處理,會計核算從事後的靜態核算轉變為事中的動態核算;基於ERP系統的信息流通渠道使得內部員工、管理者以及顧客、供應商等外部團體的及時溝通成為可能。有利於內部溝通與外部溝通的進行,便於組織內的員工清楚了解內部控制制度的規定,各自的責任;管理者隨時掌握內部控制制度的執行與生效情況。
五、監督
在網路環境下,企業中的任何價值活動的信息都通過無縫的網路連接實現了實時和同步傳輸。無縫的網路連接取代了傳統企業高成本的信息溝通渠道,使信息與溝通已不再成為內部控制中難以解決的問題,它實現了企業的物流、價值流和信息流的高度統一,企業利用實時的信息流就能對所有的物流和價值流進行實時監督和控制。通過實時的監督與控制,不僅能同步反映和糾正企業在物流、價值流中存在的問題,而且通過企業全員參與的以自我主導為特徵的控制活動對現有的內部控制系統進行動態調整。因此,對內部控制制度進行監督的過程,已經內化為實時的控制活動中的一項內容,或者說與實時的控制活動完全融合為一個基本要素。
從以上分析可以看出,信息技術的應用使得內部控制框架的內部構成產生了新的變化,給提高企業內部控制效率、增強內部控制效果,帶來了新的機會,也產生了系統安全性等潛在的風險。信息系統下的內部控制制度與傳統的內部控制制度相比較;是范圍擴大、控製程序靈活多樣的綜合性控制;是控制的重點為職能部門和計算數據處理部門並重的全面控制;是人工控制和計算機自動控制相結合的多方位控制。
傳統的內部控制與網路環境下的內部控制之間的區別:
(一)控制范圍
傳統的內部控制,是手工系統下的組織控制、職責分離等;網路環境下的內部控制,除了傳統的內部控制內容之外還要增加網路系統安全的控制、系統許可權的控制、系統開發與維護的控制、修改程序的控制等,控制技術更加復雜。
(二)控制模式
傳統的內部控制,企業的內部控制是一堆一堆的文件和手冊,對於企業內部控制的執行情況也只能是定期地去進行檢查評估,以事後監督檢查為主;網路環境下的內部控制,企業的內部控制系統與經營和業務活動系統融合在一起,通過實時在線數據的傳輸和處理實現信息的充分集成和信息反饋,事前和事中控制模式,實現了動態和實時控制。
(三)控制主體
傳統的內部控制,是以管理者作為主要的控制主體;網路環境下的內部控制,是企業全體員工成為自我控制的主體。
(四)控制手段
傳統的內部控制,單一制度控制手段;結構控制方法為核心;網路環境下的內部控制,計算機程序和制度共同控制,且內部控制制度以計算機程序為載體實現控制。
(五)控制重點
傳統的內部控制是對人的控制;網路環境下的內部控制是對人和機的共同控制。
7. 內控管理指引 保監會
1、編制《內部控制手冊》的背景
為規范江蘇亨通光電股份有限公司(以下簡稱「股份公司」)的管理,貫徹《中華人民共和國公司法》、《中華人民共和國證券法》、《中華人民共和國會計法》以及其他有關法律、法規,滿足國內外資本市場對上市公司的監管要求,股份公司特製訂《內部控制手冊》,作為建立、執行、評價及驗證內部控制的依據。
完整的內部控制體系和完善的內部控制制度,是約束、規范企業管理行為的准則,是減少風險的重大措施。實施內部控制可以及時發現和糾正各種錯弊及不法行為,有利於保證資產安全、完整,保證經營成果與財務狀況真實、可靠。其必要性表現為:
一是建立現代企業管理制度,完善法人治理結構,實現經營機制的轉換,加強企業管理,提高企業經營業績,改善企業財務狀況。
二是貫徹我國有關法律法規,遵循財政部、證監會、審計署、銀監會、保監會等五部委《企業內部控制基本規范》、《企業內部控制配套指引》,以及美國《薩班斯-奧克斯法案》等國內外資本市場監管需求,提高會計信息質量。
三是積極參與競爭、努力降低風險。隨著市場競爭日趨激烈和信息技術高度發展,以及全球經濟一體化的進程加速,股份公司所面臨的風險也逐漸加大。建立健全有效的內部控制制度,是防範風險、提高經營效率和效果的重要措施。
四是建立統一規范的內部控制制度,使股份公司各項規章制度成為系統性、可操作性和包容性很強的內部管理制度,更為有效的體現股份公司管理理念。
2、《內部控制手冊》遵循的基本原則
一是合規性原則。合規性是指企業內部控制制度必須符合國家的法律、法規和政策;符合股份公司上市地證券監管機構有關上市公司的法律、法規和要求。
二是全面性和系統性原則。《內部控制手冊》涉及股份公司經營活動的各個方面,其內部監督和控制貫穿於經營管理活動的全過程並涉及全體員工。股份公司的每一個員工既是內部控制的主體,又是內部控制的客體;既要對其負責的作業實施控制,又要受其他人員或制度的監督和制約。《內部控制手冊》使股份公司內部各部門、各崗位形成較為系統的既互相制約又具有縱橫交錯關系的統一整體,確保各部門和各崗位均能按特定的目標相互協調的發揮作用,最終實現股份公司內部控制的總體目標。
三是內部牽制及不相容原則。內部牽制是指部門與部門、員工與員工以及各崗位之間所建立的互相驗證、互相制約的關系,屬於企業內部控制制度一個重要組成部分。其主要特徵是將有關責任進行分配,使單獨的一個人或一個部門對任何一項或多項經濟業務活動沒有完全的處理權,必須經過不相容的其他部門或人員的驗證、核對和制約。
四是權責明確、獎懲結合原則。根據各部門和崗位的職能與性質,明確各部門及人員應承擔的責任並賦予相應的許可權,根據操作規則和處理程序,確定追究、查處責任的措施與獎懲辦法等,使權有所屬,利有所享,避免發生越權或互相推諉的現象。
五是成本效益原則。在內部控制活動中貫穿成本效益原則,就是要力爭以最少的控制或最低管理成本獲取最大的經濟利益。要實行有選擇的控制:要努力降低控製成本,盡量精簡機構和人員,改進控制方法和手段,提高效率。
六是可操作性原則。《內部控制手冊》必須符合股份公司實際,無論在業務流程式控制制點的設置,還是授權項目許可權的確定,都要考慮實際管理工作中是否可行,保證其可操作性。
七是包容性原則。《內部控制手冊》是依據股份公司現行各項管理制度,為控制風險而編制的一系列流程式控制制體系,內容涵蓋投資、生產、經營、財務、監督檢查等方方面面。《內部控制手冊》力求避免與其他制度相矛盾,盡可能包容現有的各項制度,對確實有沖突的其他各項管理制度,應及時修改、完善,並以《內部控制手冊》規定為准。
八是信息反饋原則。確定與控制工作有關的人員在信息傳遞中的任務與責任,規定信息的傳遞程序、收集方法和時間要求等事項,建立嚴密的紀錄、報告等信息反饋系統。
3、《內部控制手冊》的適用范圍
《內部控制手冊》適用於股份公司及其下屬公司(下屬公司是指股份公司投資(控股)和託管公司)。股份公司投資(控股)和託管公司應當參照股份公司《內部控制手冊》,結合自身特點,按照「業務必須覆蓋股份公司《內部控制手冊》中對應的所有規定內容,許可權比照股份公司」的原則,制定內控手冊,履行本公司審批程序後,報股份公司內控部備案。
4、內部控制定義
內部控制是為了適應國內外證券機構監管要求,提高風險管理能力和經營管理要求,由股份公司董事會、管理層及其全體員工實施的,為經營活動的效率與效果、財務報告的可靠性、相關法律法規的遵循性等目標的實現而提供合理保證的過程。內部控制主要由內部環境、風險評估、控制活動、信息溝通及監督檢查等五個要素構成:
內部環境是影響、制約內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置和權職分配、企業文化、人力資源、內部審計機制、反舞弊機制等。
風險評估是及時識別、科學分析和評估影響股份公司目標實現的各種不確定因素並制定應對策略的過程。風險評估主要包括風險識別、風險衡量、風險應對和風險報告。控制活動是指根據風險評估結果、結合風險應對策略,採用恰當的控制措施以確保內部控制目標得以實現的政策和程序,是實施內部控制的具體方式,控制措施的選擇應當結合企業具體業務和事項的特點與要求,主要包括權責分離控制、授權與審批控制、預算控制、財產保護控制、分析與報告控制、績效考核控制、信息技術控制等。
信息溝通是指及時、准確、完整地收集與股份公司經營管理相關的各種信息,並使這些信息以適當的方式在有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。信息與溝通主要包括信息的收集機制以及內部與外部有關方面的溝通機制等。
監督檢查是對內部控制的有效性進行檢查評價,形成書面報告並作出相應處理的過程,是實施內部控制的重要保證。
2010年五部委頒布《企業內部控制規范配套指引》,分18項應用指引,1項評價指引,1項審計指引,是對《企業內部控制基本規范》的進一步細化指導。
5、內部控制組織機構
按照《企業內部控制基本規范》和《企業內部控制配套指引》的要求,為確保公司內部控制規范體系建設工作順利開展,公司內部各項內控制度得到貫徹執行,以實現股東利益最大化經營宗旨,促進公司的全面可持續發展,公司成立了內部控制規范實施工作領導小組和工作小組,以及內部控制規范評價組,組織公司對內控機制建設的工作部署,落實公司制定的內控機制基本制度和工作標准,按內控要求對公司內控體系的布局進行整體規劃,監督內控機制工作的整體進程,確保內控機制健康運行。
內控領導小組由公司董事長擔任負責人,工作組職責:組織公司對內控機制建設的工作部署,落實公司制定的內控機制的基本制度和工作標准,按內控要求對公司內控體系的布局進行整體規劃,監督內控機制工作的整體進程,確保內控機制有效運行等。
內控建設工作組由股份公司總經理牽頭,小組職責:落實公司內控領導小組要求,按職責分工開展相關工作,落實公司制定的各項內控制度,負責日常工作的風險防控等。協調召開內控建設工作會議,負責協調督辦各子公司及各部門開展內控工作等。
內控評價工作組由股份公司監事及審計部門組成,小組職責:落實公司內控工作領導小組要求,按職責分工開展內控評價相關工作,督促落實公司制定的各項內控制度,負責日常工作的風險防控檢查等。
內部控制工作各組按照公司內部控制工作要求,按職責分工開展相關工作,落實公司制定的各項內控制度,負責日常工作的風險防控等。內控部及審計部作為內控規范的牽頭部門,聯合公司各職能部門、各子公司協同開展組織內控建設和自我評價。內控部作為股份公司內部控制工作日常管理機構,具體負責組織內部控制執行情況監督檢查,內部控制評價,《內部控制手冊》更新及培訓等工作。
6、《內部控制手冊》使用指南
本《手冊》包括五部分,即《江蘇亨通光電股份有限公司內部控制手冊編制使用說明》、《內部控制手冊》、《授權指引》、《不相容職務分離》、《風險評估》。
《江蘇亨通光電股份有限公司內部控制手冊編制使用說明》即本文內容,對《內部控制手冊》編制背景、遵循原則、適用范圍、內部控制定義、內部控制組織機構、使用指南、貫徹實施的責任和要求、編寫與管理、發放、使用要求、生效、維護、更新作出闡述;
《內部控制手冊》,描述了內部控制體系組織結構與職責,較為全面地闡述了內部控制體系的建設目標,以五部委《企業內部控制應用指引》18個子項,從控制環境、風險評估、控制活動、信息與溝通和內部監督等五個方面對內控關注要點及相應措施進行了較為全面、系統的闡述。
《授權指引》,描述了公司管理、決策、一切控制活動授權審批的范圍、層次、程序、責任,對內控關注要點的審批許可權進行了闡述;
《不相容職務分離》,描述了公司內部機構、崗位的設置及其職責許可權的合理劃分,確保不同崗位形成各司其職、各負其責、相互制約的工作機制,並匯編了公司所有不相容職務。
《風險評估》,描述了公司風險控制目標和風險評估的基本概念以及風險的分類,風險管理制度從確定風險評估目標、風險評估機制、建立並完善風險管理體系三個方面對內控關注要點及相應措施進行了闡述,並匯編了公司一切活動的風險內容及評估。
7、《內部控制手冊》貫徹實施的責任和要求
《手冊》建立了一套科學、系統的內部控制體系建設方法和標准,是公司建設並實施內部控制體系的綱領性文件。為保證內部控制體系「設計有效、執行有力」,各部門、各公司要認真組織實施,嚴格遵照執行。要充分認識內部控制體系建設工作的長期性和艱巨性,把建立和有效運行內部控制體系作為重要工作,建立長效機制,指定管理部門或管理崗位,履行內部控制職能,切實做到實施有力。
為推動《手冊》的貫徹執行,提高《手冊》的使用效果,股份公司及各子公司每年至少舉辦一次《手冊》使用培訓,要有計劃地做好培訓,將內控工作要求傳達到每個員工、每個崗位,確保執行到位。
各公司要按照五部委《企業內部控制基本規范》、《企業內部控制配套指引》及《股份公司內部控制手冊》編制規范的要求,修訂、完善和細化本公司的手冊。
各公司內控負責人要對本公司內部控制體系運行情況進行檢查和督促,內控部將定期組織考核並進行通報。
8、《內部控制手冊》編寫與管理
《手冊》由內控部組織編寫,內控委員會審定,股份公司行文發布。內控部對《手冊》進行規范管理,以保證其有效、完整、統一和適用。
9、《內部控制手冊》發放
《手冊》須按發放范圍統一發放。發放范圍由內控部提出,經管理層批准執行。一般包括公司高管、股份公司相關職能部門等。
《手冊》包括紙質版和電子版兩種,電子版的配發范圍為股份公司高管;紙質版的配發范圍為公司各職能部門及特殊使用者。
10、《內部控制手冊》使用要求
本《手冊》是公司重要文件,屬公司機密。各單位應按相關要求正確使用,未經允許,不得復印,不得對外泄露。在使用過程中遇到疑難問題,及時向內控部咨詢。
11、《內部控制手冊》生效、維護、更新
《手冊》的維護是一項長期性、經常性的重要工作,需要各部門及公司高度重視,積極參與,大力配合。各公司應指定內控管理人負責本單位《手冊》的日常管理和維護。對《手冊》日常使用過程中發現的問題,應認真記錄並及時反饋給內控部。內控部應及時掌握《手冊》的執行情況,並採取有效措施確保內部控制管理體系的有效運行。
《手冊》的修訂由內控部負責。每年內控部將根據國內和上市地新出台的相關法律法規的要求、內外部審計對公司內部控制的評價、公司內控管理中出現的新問題以及反饋的意見及建議等,對《手冊》進行修訂,更新後的《內部控制手冊》經董事長審批後正式生效,並由內控部下發到各部門和各公司,更新後的電子版本將存檔於股份公司網路中心,並按照資料異地備份要求,存檔於七都網路部。
擴展閱讀:【保險】怎麼買,哪個好,手把手教你避開保險的這些"坑"