内部控制
内部信息传递内部控制设计实务
添加日期:2013年08月26日
目前,对于内部信息传递内部控制设计的概念,业内还没有一个统一权威的定义。中天恒3C框架认为,内部信息传递内部控制设计是在遵循国家和企业内部信息传递相关法规制度的基础上,以国家监管部门制定的内部控制规范及其应用指引为依据,结合企业内部信息传递发展的实际情况,用系统控制的技术和方法,构建企业自身内部信息传递内部控制体系的一个动态过程。简单说,内部信息传递内部控制设计,是内部信息传递内部控制建设的首要环节,是构建内部信息传递内部控制体系的过程。
设计范围及基本流程
《企业内部控制应用指引第17号———内部信息传递》(以下简称《内部信息传递指引》)第二条规定:“本指引所称内部信息传递,是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。”
内部信息不仅包括了企业内部生产经营管理信息,还包括企业收集、分析、整理并以内部报告形式在企业内部相关管理层级传递的外部信息。内部信息传递包括企业内部纵向与横向的传递,即企业下级向上级报告生产经营信息、上级向下级传达经营决策信息以及企业内部各部门间相互传递信息。
内部信息传递内部控制设计是一个复杂的系统工程,基本流程包括设计准备、设计实施、试行及完善等。根据设计操作需要,在基本流程的基础上,还要有多层次具体的流程,每个具体流程中需明确工作内容、方法、步骤以及相应的表单等,要突出内部信息传递内部控制设计的特色。
企业应当根据本指引要求,通过设计内部控制手册,使全体员工了解内部信息传递的内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权,从而促进企业生产经营管理信息在内部各管理层级之间的有效传递和充分利用。
描述现状
描述现状,就是梳理内部信息传递方面的内部管理制度或相关文件,梳理内部信息传递现状业务流程,编制内部信息传递内部管理制度或相关文件情况表、编制内部信息传递业务流程目录、绘制内部信息传递业务流程图等内部信息传递内部控制设计的基础性工作。
1、梳理描述制度文件。梳理描述制度文件,应重点关注有无内部信息传递方面的相关制度以及是否完善和充分执行、有无具体可控的操作文件或表单等等。
2、梳理描述现状业务流程。企业内部信息传递的业务流程到底怎么样、包括哪些环节,因企业而异。当然,企业内部信息传递复杂多样,内部信息传递内部管理制度、业务流程千差万别,因此,本阶段设计在总体上必须体现指引要求,在具体业务流程设计上则要体现不同企业的自身特点,不能简单照抄照搬。
3、确定业务流程目录。在梳理内部信息传递管理制度和业务流程现状的基础上,根据内部控制设计的要求,编制内部信息传递业务流程目录,绘制内部信息传递业务流程图。
本阶段设计工作成果是形成《内部信息传递内部管理制度或相关文件情况表》、《内部信息传递流程目录》、《内部信息传递业务流程图表》等。
风险评估
内部信息传递风险评估的基本程序为:识别内部信息传递风险,并进行具体描述;分析内部信息传递风险,编制内部信息传递风险分析表;评价内部信息传递风险,编制内部信息传递风险评价表;确定内部信息传递风险应对策略;提出内部信息传递重大风险解决方案。在实践中,内部信息传递风险分析及其评价是合在一起进行的,内部信息传递重大风险解决方案的制定要看企业是否需要,也可在内部信息传递内部控制设计完成之后单独进行。
1、识别并描述风险。评估内部信息传递风险,首先,要把资金活动具体风险识别出来,然后整理出整体层面的风险。企业内部信息传递具体风险是多种多样的,也因企业而有所不同。
按照《内部信息传递指引》要求,在评估内部信息传递风险时,至少应当关注下列风险:内部报告系统缺失、功能不健全、内容不完整,可能影响生产经营有序运行;内部信息传递不通畅、不及时,可能导致决策失误或相关政策措施难以落实;内部信息传递中泄露商业秘密,可能削弱企业核心竞争力。
上述风险提示有三个方面:
(一)报告内容模糊、报告指标随意更改、报告级次不清晰或报告流程混乱、无报告对象、报告断档或中止、报告内容缺失、报告无记录或无轨迹,信息系统混乱等,所有这些问题势必对整个生产经营管理造成负面影响,给企业造成不可估量的损失。
(二)信息传递不及时,内部沟通迟滞薄弱,管理信息共享不充分,企业无法对内外部环境和经营状况的变化做出及时反应,部门间协作也难以很好开展,导致部门间信息沟通不畅、工作效率低下并造成资源浪费、管理层的经营决策偏离实际情况或相关政策措施难以落实等。
(三)信息传递不当,易造成企业重要经营信息或商业秘密外泄,削弱企业核心竞争力。
1、企业应根据指引中的风险提示,结合企业内部信息传递的实际情况,识别并具体描述内部信息传递可能存在的风险。内部信息传递具体风险描述因所识别出的风险的不同而不同,将具体内部信息传递风险与内部信息传递流程结合是个比较好的做法。
2、分析风险。内部信息传递风险分析的内容很多,一般应从成因和结果两个方面进行,并编制内部信息传递风险分析表。
3、评价风险。内部信息传递风险评价应从发生可能性和影响程度两个维度进行,根据评价结果进行风险排序和等级划分,并编制内部信息传递风险评价表。
4、选择风险应对策略。内部信息传递风险应对是根据风险评价的结果,针对不同等级风险选择不同风险应对策略的过程,策略一般有规避、降低、转移、接受等,要编制内部信息传递风险应对表。
5、编制风险数据库或绘制风险图谱。依据内部信息传递风险评估的结果,编制内部信息传递层面的风险数据库,或绘制风险图谱。内部信息传递层面数据库的基本要素包括业务流程、风险描述、风险分析、风险排序、应对策略、剩余风险等,也可以加上内部控制设计完成后的控制措施、控制部门或岗位等。风险图谱一般适用于公司层面的风险描述。
本阶段设计工作成果是形成《内部信息传递风险及其描述表》、《内部信息传递整体层面风险清单》、《内部信息传递风险分析表》、《内部信息传递风险评价表》、《内部信息传递风险应对策略表》、《内部信息传递风险解决方案》等。
信息传递内部控制设计流程
设计内部信息传递控制,就是在评估内部信息传递风险的基础上,对内部信息传递内部控制进行设计的过程,是内部信息传递内部控制设计的关键环节,基本程序包括:确定内部信息传递关键控制点;明确内部信息传递控制目标;提出内部信息传递控制措施;设计内部信息传递控制证据;完善内部信息传递相关制度;绘制内部信息传递控制流程图;编制内部信息传递控制矩阵。
1、设计关键控制点。企业在构建与实施内部信息传递内部控制过程中,要针对内部信息传递风险评估的结果,确定内部信息传递的一般控制点和关键控制点,并编制内部信息传递控制要点表。确定一般控制点和关键控制是件很困难的事,要根据企业实际情况确定,也因人们的专业判断而有所差异。《内部信息传递指引》重点对内部报告的形成、内部报告的使用等环节进行规范。
2、设计控制目标。内部信息传递控制目标就是要保证内部信息传递合法、安全、有效、可靠,从而有效控制内部信息传递中可能发生的各种风险。实际工作中,内部信息传递内部控制目标应根据识别出来的内部信息传递可能存在的具体风险来设计,不能固定化、模式化。
3、设计控制措施。企业在构建与实施内部信息传递内部控制过程中,要强化对内部信息传递控制点、尤其是关键控制点的风险控制,并采取相应的控制措施,嵌入到内部信息传递流程当中。
4、设计控制证据。为了内部信息传递内部控制能够有效实施,需要制定必要的表单,为内部信息传递过程留下控制证据。内部信息传递业务相关表单很多,包括内部报告指标体系、内部报告网络体系、内外部信息传递文档、反舞弊结果表、内部报告评估报告等。
5、优化控制制度。建立企业内部信息传递内部控制制度不是新建一套独立制度,而是将内部控制思想嵌入到现行内部信息传递制度中去。内部信息传递管理制度到底制定多少个,内容到底包括哪些,因企业而不同。从务实的角度考虑,不宜过多,可制定一个统一的内部信息传递管理控制制度,内容至少应明确内部报告的形成、内部报告的使用等环节的职责和审批权限。
6、绘制控制流程图。根据内部信息传递流程、风险点、控制点及其相关的控制措施,结合具体单位的实际情况,绘制内部信息传递内部控制流程图。特别要强调的是,应把内部信息传递内部控制流程和内部信息传递流程整合在一起,并在图上标示风险点和控制点。
7、编制控制矩阵。内部信息传递控制矩阵是对内部信息传递流程图中风险点、控制措施和控制证据等要素的详细说明与描述,是内部信息传递内部控制设计结果的集中体现,也是企业内部控制管理手册重要组成部分。实际上是上述工作的综合汇总。
本阶段设计工作成果是形成《内部信息传递控制控制要点及关键控制表》、《内部信息传递内部控制目标表》、《内部信息传递内部控制措施表》、《内部信息传递控制证据表》、《内部信息传递制度完善建议表》、《内部信息传递控制流程图》、《内部信息传递控制矩阵》等。