1、控制环境。一个公司的内控体系的状况,当然要首先看公司整个的大氛围,也就是人所营造的一种氛围,对待公司态度等。所以说这个控制环境是比较抽象的,需要我们和公司的管理层以及员工经过沟通了解来做出判断。控制环境具体的它包括组织人员的诚信和道德价值观、伦理价值和能力;企业纪律与架构,管理层哲学和经营模式企业文化的塑造,员工的控制意识;管理层分配权限和责任、组织、发展员工的方式,人力资源政策及实务;董事会提供的关注和方向,董事会与审计委员会等。
2、风险评估。风险评估的基础是围绕企业目标来进行的,首先要确定企业目标是是什么,确定之后开始分析和辨认为实现企业所定目标可能发生和面对的风险。企业要建立一套完整的风险评估体系,因为风险也是比较抽象化的,那就需要一套可衡量可实施的指标来反应风险指标,比如经营风险中利润下滑比例、负债的压力线等,要把风险评估具体化,要确切的数据来支撑。当然风险评估是面临不断变化的市场情况的,那么风险评估不断的进行修正和完善。
3、控制活动。企业管理层辨别出企业活动在可能出现的风险,就要针对这些风险发出必要的指令,控制活动就是确保管理层的指令得以执行的政策和程序。控制活动属于实际操作层面上的具体行为,也就是公司员工的行为总则,包括公司员工管理制度、财务管理制度、资产管理制度、人力资源管理制度等等。在这些实际的行为中药设号控制节点,具体的行动比如核准、授权、验证、调节、保障资产安全、职务分工。在实际工作中,每个岗位的只能不同,都有各自的权限,也有超越权限之后提请审核批准的上级管理,只有这些系统在各个重要节点上控制完善,那么控制活动才能降低风险,控制点没有得到执行或完全执行就要对该节点进行分析,是无效节点还是人为淡化。
4、信息与沟通。既包括内部信息的上下沟通,也包括外部信息如何供应商、客户、监管机构等有效的沟通。企业员工必须从最工管理层清楚的获得承担责任的信息,而且必须有向上级部门沟通重要信息的方法,也就是要做到上传下达无阻碍,达到管道沟通,信息在向下传递时不因人为理解的偏差出现失真,向上反馈控制活动信息时要有有效的途径,不能因为管理层级过多信息无法传达。
5、监控。内部控制体系要被监控,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告,严重的问题要报告到管理层高层和董事会。监控室持续性活动,要有适当的人如审计委员会进行监控。在实际工作中,企业内控部门是个比较尴尬的部门,因为它不直接创造价值,公司会减少对部门投入,在与实际业务活动有不协调的时候,管理层多数会支持直接创造价值的业务活动,如何提高内控审计的运作,中国企业还有更长的路要走。
每天学习一点点,分享一点点,让我们和娱乐争夺时间吧!喜欢请关注今日头条英俊说,大家一起来讨论一起来学习!
