进,其检查、检验报告应及时报送公司风险管理职能部门。 4.7.3 风险管理内控评估监督
公司风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验,要根据本手册对风险管理策略进行评估,对跨部门和业务单位的风险管理解决方案进行评价,提出调整或改进建议,出具评价和建议报告,及时报送公司总经理或其委托分管风险管理工作的高级管理人员。
5 控制活动
5.1 实施控制活动的基本要求 5.1.1 控制活动的分类
内部控制的组合方式或者分类形式,按照控制目标为标志,划分为会计控制和管理控制。 5.1.1.1 会计控制部分,包括为保证与财务记录的完整性、客观性以及保证达到授权、会计核算和资产保护的目的而制定的控制标准。
会计控制的重要性:
(1)公司管理控制系统是一个完整的系统,包括公司运作的各个方面,因此,这个系统包括多种类型的控制,但各主要要素之间的关系十分密切。一方面,会计控制依赖于系统内许多其他部分的运作。另一方面,许多营运控制也依赖于确保财务信息准确的会计控制。
(2)许多控制行为都是围绕财务管理而建立的,或者最终与财务管理相关联,所以会计控制在内部控制系统中扮演着十分重要的角色,对公司的经济资源进行控制。
5.1.1.2 管理控制是公司管理层为实现其经营目标,保证国家法律和公司各项政策、程序的贯彻实施,保护公司财产的完整以及财务和其他各种经济信息的准确、及时、可靠,保证安全生产,通过建立及不断优化组织机构,合理分责和授权,在必要的制度、程序和内外部审计的监督下,使各功能单位相互协调、相互制约,有效运作的一种手段。 5.1.2 控制目标
控制目标既是管理经济活动的基本要求,又是实施内部控制的最终目的,也是评价内部控制的最高标准。在实际工作中,管理人员和审计人员总是根据控制目标建立和评价内部控制系统。因此,设计内部控制,首先应该根据经济活动的内容特点和管理要求提炼内部控制目标,然后据以选择具有相应功能的内部控制要素,组成该控制系统。 5.1.3 实施有效的控制活动
控制活动是公司为实现其经营目标而执行过程的一部分。通常包括两个要素:确定应该做什么的一个政策和影响该政策的一系列程序。
每个主体都有其自己的一套目标和执行目标的方法,因此,其子目标、结构和相关的控制活动也会不同。即使两个公司有同样的目标和结构,由于每个公司的管理人员都不同,不同的管理人员在影响内部控制时使用不同的个人判断,他们的控制活动也很可能不同。而且,控制活动还会受公司所处的环境和行业、公司的复杂性、公司的历史和文化的影响。 实施有效控制活动应至少做好以下工作:
(1)职责分派:一项经济业务的发生,其授权、批准、执行、记录等从头到尾由一个部门或一个人办理时,其发生错误或非法行为的概率趋于增大,因此两项及以上的功能必须分派。
(2)适当授权:授权分类有一般授权和特殊授权两种;授权结构包含范围、权限、程序、责任4项内容;授权主要类别有资金审批授权、合同签订授权、业务处理授权、价格制订授权、资产与信息接触授权。特别指出授权与批准的区别:授权是对一般交易或特殊交易的政策性制度决策;批准是对公司授权制度的具体执行。
(3)接触控制:要对实物与信息的接触控制,一般具体地指实物资产、会计文件、人事文件、经营战略规划、技术及商务机密、计算机设备、程序和数据等。
(4)文档记录:重要过程要被记录,形成文档(纸质和电子),具体表现形式应根据业务内容不同而不同,可以是会议纪要、会计账簿等。形成文档需要进行控制描述,也就是将实施的控制活动以文字形式体现出来。一个较完整的控制描述应当包括以下五个要点:谁做(岗位)?做什么?怎样做?何时做?留下什么证据(记录、表单、报告等)?
(5)经营活动分析评价:要建立经营管理活动分析评价制度,定期开展经济活动分析和管理活动分析,分析评价运行的效率和效果、财务报表的可靠性、法律法规的遵循性。
(6)预算管理和绩效评价:根据战略规划,制定中长期发展计划,实施全面预算管理。在控制活动中,公司及所属各单位要全面突出强化预算管理体系,实行责任成本核算与分析。应事先核定各单位及各部门的成本构成和业绩目标,并给出预算指标,定期根据成本内容进行成本的计算和绩效分析与考核,这对完成绩效考核、降低管理成本,提高管理效率有重要的作用。
(7)独立稽核:要实施有效的审计、监督,确保数据真实可行,能有效支持生产经营的管理和决策。重点强调与财务报表和附注的真实性和准确性有关的控制;防止舞弊、欺诈行为的控制;资产安全的控制。
(8)确定重要或关键控制点:找出重点工作,并对关键控制点进行定期评价,提高经营效率和效果。
5.2 建立预算管理和经营活动分析评价制度
在控制活动中,公司以及各单位要突出强化全面预算管理体系,实行责任成本核算与分析,开展经营活动分析。在公司层面的控制中,实施全面预算管理和经营活动分析是最重要的一种控制,所以要建立全面预算管理和经营活动分析评价制度,形成闭环控制。经济活动分析侧重于行业、战略、燃料、产出、投入、利润、基建投资、财务情况分析,即阶段性经营成果和影响成果的因素分析。重点对财务报表中影响利润指标的价格因素、销量因素、成本因素及其他费用的变化进行分析,同时对财务报表的真实性进行核实等。 5.3 期末财务报告流程
考虑到其对于财务报告工作和财务报表的重要性,期末财务报告流程始终是一个重要的业务流程。因此,在对于财务报告的内部控制进行整体评估时,针对期末财务报告流程的控制设计和运行有效性进行评估是一个重要的步骤。 5.3.1 期末财务报告流程的内容
期末财务报告流程主要包括以下几个方面的内容:
(1)用于保证交易总额数据及时准确输入总账系统的程序; (2)用于初始化、授权、记录和处理总账系统中的分录的流程;
(3)其他用于记录对年度和季度会计报表进行的经常性和非经常性调整的程序,例如:合并调整,报告的合并以及分类等;
(4)用于编制期末财务报表前的关账流程;
(5)编制年度和季度会计报表和相关信息披露的程序。 5.3.2 期末财务报告流程的评估范围
期末财务报告流程的评估范围主要包括:
(1)公司出具年度和季度会计报表时所涉及的自动和人工数据输入、执行的程序以及输出程序;
(2)信息技术在期末财务报告流程的每个部分的有效利用程度; (3)管理层的参与人员; (4)涉及的经营单位的数量;
(5)调整账目类型;
(6)包括管理层、董事会以及审核委员会的相关各方所实施的针对期末报告流程的监督的性质和程度;
(7)针对报表合并流程的控制;
(8)监督会计政策的选择和确定以及监督确保其实施的一致性的方法; (9)报表合并流程中手工编制的表格和手工整理编辑的数据的使用情况。 5.3.3 会计政策选取、处理及报告
会计政策的选择和使用,以及确保会计政策在整个公司系统传达和执行的及时性、准确性和一致性,是期末报告流程的一个重要控制活动。公司应完善会计政策选取、有关会计处理和报告事项的管理制度,包括会计政策的制定、审批、传达、实施和监督的过程和相应的控制。
以下控制活动与选择和使用恰当的会计政策有密切关系,需要管理层在期末报告流程中予以重视:
(1)通过以下方式监督标准制定机构的活动和工作:通讯简报、数据库和网站;参与行业和专业委员会及会议;
(2)执行程序来确保新的会计政策能及时的应用并在整个公司范围内得到有效传达; (3)确保有针对高风险账户和交易的相关政策; (4)制定和记录会计政策;
(5)选用具备恰当经验和技能的人员; (6)为负责政策实施的人员提供相关培训; (7)关键的会计政策需要董事会的批准。 5.4 建立控制活动体系
在整个内部控制活动过程中,应建设并完善以下各项制度和标准: (1)风险控制分析文档编制标准和模板; (2)关键控制确认标准及审定程序; (3)关键控制程序文件;
(4)涵盖上述标准的控制活动管理制度。
随着公司经营活动外部环境和内部管理的变化,风险评估的结果也会不断更新,当然控制活动就要随之发生变化。这就需要由相关部门针对新增或变动的风险进行判断:是否有新增的控制活动,已有的控制活动是否有变化,这些控制活动中哪些是关键控制。然后将这些新增或变化后的控制活动记录在风险控制文档中,并将识别出的关键控制加入风险控制文档,再体现在公司的制度文件中。这样,不断地更新和完善风险控制文档和关键控制文档就可以逐步建立起科学的控制活动制度体系。
6 信息与沟通
6.1 信息
这里所说的信息是指来源于公司外部及内部,与公司经营相关的财务及非财务的 信息。包括从外部获取的行业、经济、监管信息以及内部产生的经营管理、财务等方面的信息。内部控制重点关注财务和内控相关信息。信息必须及时、准确地传递给需要的人,以帮助其行使各自的控制和其他职能。 6.1.1 内控关注要点
6.1.1.1 获取信息并向管理层报告 主要关注下列活动:
(1)完善获取相关外部信息的机制,如有关市场状况、竞争对手的动态、立法或监管的发展以及经济变化。
(2)对于实现公司目标的重要内部信息得到确认并定期汇报。 (3)各级管理人员得到了他们履行职责所需要的信息。 6.1.1.2 及时向适当的人员汇报足够的信息 主要关注下列活动:
(1)各级管理人员能够及时得到分析信息以便判断需要采取什么措施。 (2)向不同级别的管理人员汇报不同程度的信息。
(3)对信息进行适当的汇总,可以满足进一步详查的需要,而不仅仅是数据的堆砌。 (4)及时获取和传递信息,以利于有效监控有关事件和活动(内部的和外部的)并对经济、行业因素和控制问题进行迅速反应。 6.1.1.3 建立信息系统的战略规划 主要关注下列活动:
(1)各部门各单位负责识别不断产生的信息需求。
(2)信息的需求和优先次序由具有充分责任的高级管理层来决定。 (3)建立长远信息技术计划,并与战略决策相联系。 6.1.1.4 管理层对信息系统的支持态度
为建立或改进信息系统提供了足够的、必要的资源(管理人员、分析员、具备必要能力的编程人员)。
6.1.2 控制目标
完善能够识别、获得、处理和报告各种信息的体系。相关的信息包括从外部获取的行业、经济、监管信息,以及内部生产、经营、管理信息。 6.1.3 控制措施
6.1.3.1 完善信息系统总体控制体系
信息系统的总体控制是公司内部控制的一个重要组成部分。完善的总体控制能够确保由应用系统支持的自动控制和流程是可以依赖的,由应用系统生成的数据和报告是可靠的。 6.1.3.2 归集描述并执行公司有关制度
公司内部控制关注的相关信息涵盖的范围以及管理规范内容包括:信息的种类、获取的渠道、信息的加工处理、信息需求的确定、相关部门的职责等。 (1)内部信息:
1)内部信息范围:财务政策信息(财务、会计、价格、资产、资金、关联交易等方面)、经营类信息、规章制度类信息、标准化信息、其他重要综合信息。
2)内部信息主要来源:公司各部门调研报告;财务管理报告;信息员搜集、反映;群众来信来访;内部刊物、资料;公司局域网;各种会议决议、记录、纪要等。 (2)外部信息:
1)外部信息的范围:国家法律法规,外部监管部门的要求,行业信息,客户和供应商的信息,其他信息。
2)外部信息的来源:外部监管方和上级的公文;公司采购、销售部门收集的市场和价格信息;从互联网、报刊杂志、广播、电视等多种渠道获取的信息;驻外办事处提供的信息、外部来信来访;去外地出差、开会、交流获得的资料、信息等。 6.2 沟通
沟通是指信息在公司内部各层次、各部门,在公司与客户、供应商、监管者和股东等外部环境之间的流动。有效的沟通必须广泛的进行,自上而下、自下而上地贯穿整个组织。所有人员都要从高级管理层获得明确的信息,必须认真对待控制责任。必须了解各自在内部控
制体系中担任的角色,以及个人行为与他人工作的相互关系。必须有自下而上传递重要信息的渠道和方法。同时,也要与客户、供应商、监管者和股东等外部人员建立有效的沟通。 6.2.1 内控关注要点
6.2.1.1 向员工传达其职责和控制责任的有效性 主要关注下列活动:
(1)沟通方式(正式和非正式的培训、会议和工作中的监督)应能实现沟通的目的。
(2)员工应清楚他们的行为要达到的目标,以及他们的工作对于实现这些目标有什么作用。
(3)员工应清楚自己的职责与他人的职责如何相互影响。 6.2.1.2 公司内部是否充分交流 主要关注下列活动:
(1)营销部门应向工程、生产和营销人员反映客户需求。
(2)财务部门应定期将应收账款余额反馈给上级领导和营销部门。 (3)生产和营销部门(人员)应能了解竞争对手的信息。 6.2.1.3 沟通渠道应开放有效 主要关注下列活动:
(1)应存在与所有有关方面的反馈机制(例如,客户满意度调查表、供应商管理评审报告)。 (2)建议、投诉和收到的其他情况应建立记录并得到有效处理。 (3)必要的信息应向上级汇报并采取相应的跟进措施。 6.2.1.4 外部相关方了解公司道德标准的程度 主要关注下列活动:
(1)与外部的重要信息交流应由与该信息重要性程度相称的管理层人员进行(如:高级管理人员定期向外部书面解释公司的道德标准)。
(2)供应商、客户和其他方面应清楚公司在与其往来的活动中的标准和期望。 (3)在与外部的日常交往中应强调这些标准。 (4)其他公司员工的不当行为应向适当人员汇报。
6.2.1.5 管理层收到外部信息后应采取及时和适当的应对措施 主要关注下列活动:
(1)人员应善于接受他人就产品、服务或其他方面反映的问题,并且对此进行调查并采取适当的行动。
(2)在账单中出现的错误应得到了及时的纠正,并且就产生错误的根源进行了调查和纠正。
(3)应有适当的人员(独立于进行原始交易的人)处理收到的投诉。 (4)应采取适当的行为,并与原始信息提供者进行跟踪沟通。 (5)高级管理层应清楚投诉的性质以及数量。 6.2.2 控制目标
将信息提供给相关人员,以便于其履行职责,使沟通贯穿于信息处理的整个过程,有效的沟通不仅在整个公司内进行,也包括与外部进行的沟通。 6.2.3 控制措施
执行公司有关制度,对公司主要信息沟通渠道以及管理规范进行全面描述,内容包括:沟通的种类、沟通的渠道、相关部门的职责等。 6.2.3.1 内部沟通
内部沟通是指公司内部上下级之间、横向部门之间的沟通,责任部门有:
(1)人力资源部门:负责制定部门、岗位职责并宣贯,使员工清楚地知道本岗位履行内