本帖最后由 hq2002 于 2015-6-3 12:50 编辑
大学时曾经开设过一门内部控制课程,具体内容已经差不多忘光了,但是仍然记得课本的大致框架里有对各个流程的内控分析,比如采购流程是怎么样的,哪里会有风险点,要怎么做;还有销售流程、材料验收入库流程、岗位设置等等,比较粗糙,感觉非常枯燥。现在通过特训营和23期思享会的学习,对内部控制又有了新的认识。 首先要问自己,什么是内部控制,内部控制是做什么的,内部控制有什么用,为什么要进行内部控制,需要怎么开展内部控制,先从哪里入手,具体要怎么做。 内部控制,重点是控制二字,控制什么,控制企业内部各业务流程可能会出现的风险,为什么控制,这里就要结合老师所说的五目标(合法合规、财报信息、经营效率和效果、发展战略、资产安全)和三目标(营运效果和效率、财务数据的可靠性、相关法令的遵循)了。 怎么展开内部控制?大牛老师谈到分阶段建设,把内控建设分成三个阶段,一个是合规建设,主要针对财报信息和合法合规;第二是管理提升,主要针对经营效率和效果以及资产安全;第三个是全面风险管理,这个就要涉及战略目标了。对于分阶段建设内部控制,这与导师说的“企业生命历程的不同阶段,内部控制的相关方面应当与之相适应而有所不同”相类似。所以首先要看清企业目前所处的阶段、环境,再结合企业的控制目标来开展内部控制设计,这应该就是导师说的由面到点了吧。 从哪里入手?coso的内控五要素是内部环境、风险评估、控制活动、信息与沟通和内部监督,信息与沟通应该是贯穿这几个要素始终的。在导师讲解的内控五要素中很形象的用金字塔来形容,控制环境处于金字塔最底层,所以内部控制应该首先从环境分析入手,整体考虑企业的情况、业务流程,找出风险点,设计出一个总体框架。这里可以结合大牛老师的合规建设6个步骤的前三步,确定重要会计科目和披露事项,确定业务流程(循环),确定相关会计报表认定,这个可以帮助对风险点的认定。 接下去就是风险评估了。企业内部控制规范中对风险评估有这么一句描述:企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。所以并不是只要有风险就必须去控制,要考虑风险的重要程度和企业对风险的承受度。导师的风险评估矩阵中把风险分成四个象限,两个坐标分别对应发生的概率和影响金额的大小,概率与业务的发生频次以及交易过程环节是否复杂有直接关系。对风险进行评估之后就可以确认相关的控制点,之后要做的工作不是马上设置相应的控制活动活动,而是先根据评估出的关键控制点进行分析,看这些点当中有没有派生的或者相互依存的关系,有时候解决了这个问题,其他问题也就迎刃而解了,我觉得这一点可以运用TOC法则中寻找瓶颈的方法。做完这些工作之后就可以设计相应的控制活动了。 通过这两次的学习,对内部控制有了一些总体思路,不足的地方还望大家指正。对于内部控制我觉得是知易行难,想的跟做的可能差距会很大,而且内部控制的推行也不是那么容易的事情。
| 
发表于 2015-6-3 12:44:09
收藏
发表于 2015-6-12 10:32:31
