c-sox风险控制数据库-公司层面控制标准化.xls
C-SOX问与答系列
C-SOX问与答系列(一)C-SOX VS COSO财政部《内控基本规范》与COSO-IC和COSO-ERM的关系?我国内部控制概念基本借鉴了COSO报告的理论研究成果,即:以1992年“COSO内部控制—整合框架”(COSO-IC)五要素为框架,适当体现了2004年“企业风险管理—整合框架”(COSO-ERM)中提出的八要素理念。
一、从目标上看,我国的内部控制概念提出了:1. 企业战略;2. 经营的效率和效果;3. 财务报告及管理信息的真实、可靠和完整;4. 资产的安全完整;5. 遵守国家法律法规和有关监管要求等五项基本目标。
二、同时结合我国企业管理实际,有一些创新:1、内容创新:并未照抄照搬COSO框架,而是根据我国的实际情况作了较大调整,在表达方式上符合我国法规特点、文化传统和语言习惯,比如:①.强调企业内外对内部控制的投入和监管力度;②.强调信息的外部沟通;③.强化《反舞弊机制》与《信息与沟通》相结合;④.在内部监督和公司治理结构方面更好地与国际接轨。
2、体系创新:除基本规范之外,还起草了《企业内部控制应用指引》,《企业内部控制评价指引》和《企业内部控制鉴证指引》,形成一个层次分明、内容完整、衔接有序、整体互动的有机统一体。
C-SOX问与答系列(二)C-SOX VS SOX财政部《内控基本规范》(C-SOX)与SOX在执行范围、执行深度、执行力度和执行成本等方面的异同?1.执行范围1)SOX法案仅是针对财务报告相关的内部控制(ICFR),即COSO报告里面的报告目标;2)财政部《内控基本规范》则涵盖了COSO内部控制框架和企业风险管理框架的目标,包括:企业战略;经营的效率和效果;财务报告及管理信息的真实、可靠和完整;资产的安全完整;遵守国家法律法规和有关监管要求。
2.执行深度1)从时间上来看,内部控制是西方在现代经济的基础上发展起来的,而我国的内部控制工作刚刚起步,基本是学习模仿西方的做法。
Introduction CSOX
德勤企业风险管理服务
1
风险导向内部控制概述
风险导向内部控制概述
1.1
风险导向内部控制的含义 国内外相关案例的启示 中国企业所处的环境和面临的挑战
1.2
1.3
2
©2009 德勤华永会计师事务所有限公司 版权所有
风险导向内部控制的含义 风险导向内部控制的含义 – 什么是风险 导向内部
事件分析
▪环球电讯的大规模投资完成后,全球电话和数 据服务需求下降,同时宽带产品价格大幅下跌 ,环球电讯公司最终陷入了财政困境,在海底 电缆的巨额投资没有带来相应汇报,而且整个 行业全球供应过剩,环球电讯难有回转的空间 ▪ 环球电讯的失败源于经营和管理两方面的因素 。由于公司对市场的预期与市场增长的实际状 况差距太大,投入的光纤传输容量严重过剩, 业务收入远不能达到其投资预期,难以偿还融 资债务,亏损面不断扩大。 ▪ 另一方面,环球电讯缺乏严格的内部控制机制 ,公司故意编制了虚假陈述的财务报表来隐藏 公司真实财务状况。公司之力结构和管理层舞 弊对外部审计师的独立性产生了不利影响,使 得公司财务状况在审计报告中也无法得到真实 反映,广大股票投资者无法了解公司财务报告 背后巨大的亏损和生存危机。
事件背景
彩电巨头长虹在国际市场上,遭遇美国合 作伙伴某家电进口公司长期拖欠巨额货 款而遭受巨大坏账损失。事实上,在双 方签订巨额赊销合同时,该合作伙伴已 经拖欠国内多家公司的巨额前款。
长虹事件
事件分析
▪如果长虹有合理的内部控制制度,这些情况或 许不会发生。
事件启示
长虹巨亏事件从对经营风险防范不力的角 度,暴露出我国企业内部控制体系的先 天不足:没有风险防范意识,更谈不上 以风险为导向进行内部控制,导致对重 大经营风险事项控制失效。
C-SOX 风险控制数据库-流程层面控制标准化
R11
存货的领用未准确、完整、及时 记录可能导致错误的库存和财务 信息。
高
6.5 生产成本的核算(包括生产运营)
T9
确保生产计划编制的 合理性和下达的及时 性,使生产满足销售 的需求。
R12
未制定或生产计划制定不合理或 下达不及时,可能会导致生产不 能满足销售需求。导致存货积压
中
T10
确保生产工艺和BOM的 制定或调整的合理 性,确保制定和调整 活动经过必要的审批 。
应用指引资产管理第七条: 企业应当重视存货验收工作,规范存货验收程序和方 法,对入库存货的数量、质量、技术规格等方面进行 查验,验收无误方可入库。 外购存货的验收,应当重点关注合同、发票等原始单 据与存货的数量、质量、规格等核对一致。涉及技术 含量较高的货物,必要时可委托具有检验资质的机构 或聘请外部专家协助验收。 自制存货的验收,应当重点关注产品质量。通过检验 合格的半成品,产成品才能办理入库手续,不合格品 应及时查明原因、落实责任、报告处理。 其他方式取得存货的验收,应当重点关注存货来源、 质量状况、实际价值是否符合有关合同或协定的约定 。 应用指引销售业务第十条: 企业仓储部门应当详细记录存货入库、出库及库存情 况,做到存货记录与实际库存相符,并定期与财会部 门、存货管理部门进行核对。
应用指引财务报告第六条: 企业应当建立存货管理岗位责任制,明确内部相关部 门和岗位的职责权限,切实做到不相容岗位互相分 离,制约和监督。 企业内部除存货管理、监督部门及仓储人员外,其他 部门和人员接触存货,应当经过相关部门特别授权。
应用指引资产管理第十一条: 企业应当根据各种存货采购间隔期和当前库存,综合 考虑企业生产经营计划、市场供求等因素,充分利用 信息系统,合理确定存货采购日期和数量,确保存货 处于最佳库存状态。
新版GSP风险控制表
1、企业主要负责人以及各专业管理人员资质符合 任职规定要求; 2、企业负责人应增强法制观念和社会责任感,支 持和保证质量负责人独立行使职责; 3、质量负责人应原则性强,责任感强,对发生的 质量问题能正确判断和解决; 4、质量管理部经理要工作责任心强,能坚持原则, 对药品经营各环节敢于管理, 能指导相关人员的工 作; 5、质量管理部加强经营环节监督检查; 6、质量管理人员认真履行职责。 7、质量方针目标要落实到部门及岗位;质量内审 时要审核目标完成情况、岗位职责履行情况; 8、企业负责人定期组织质量体系审核 9、加强培训教育,企业负责人应亲自参与;培训 一定要有实效; 10 、公司硬件及相关设备必须符合经营范围的要 求。
1、企业负责人 2、质量负责人 3、质量管理部 4、相关部门 5、各相关岗位
一
质 量 管 理 体 系 及 内 审
8. 运输条件及设备,仓储设 施 9 、质量体系内审,特别是质 量管理体系关键要素发生重 大变化时 10、质量体系外审
风险因素点 1.供货单位合法性审核; 2.首营企业审核; 3. 首营品种审核; 4 、供货单位销售人员资质审 核 5、药品质量档案 6、质量保证协议
5、 发现随货同行票与采购订单不符合, 或其他疑问时, 货起,就要进行情况跟踪
三
收 货 环 节
查 6、 移交验收员 7、 否决权行使
1、 与收货员交接工作 2、在规定区域内检查验收 3、待验区温湿度、设备符合规定 4、 验收程序及内容 5、 逐批验收 6、 抽样检查 7、 电子监管码的操作、查验 8、 冷链药品验收 9、 特药、进口药品验收 10、 销后退回验收 11、 验收记录 12、 检验报告书 13、 最小包装 14、 否决权行使 15、 漏验 16、 特殊药品执行货到即验 17、 验收结论 18、 假药劣药办理退货 19、 与保管员交接工作
CSOX指引解读汇总版(1)
加强代销业务款项的管理,及时与代销商结算款项。第五,收取的现金、银行本票、汇 票等应及时缴存银行并登记入账。防止由销售人员直接收取款项,如必须由销售人员收 取的,应由财会部门加强监控。 主要管控措施: 第一,结合竞争对手客户服务水平,建立和完善客户服务制度,包括客户服务内容、标 准、方式等。 第二,设专人或部门进行客户服务和跟踪。有条件的企业可以按产品线或地理区域建立 客户服务中心。加强售前、售中和售后技术服务,实行客户服务人员的薪酬与客户满意 度挂钩。 第三,建立产品质量管理制度,加强销售、生产、研发、质量检验等相关部门之间的沟 通协调。 第四,做好客户回访工作,定期或不定期开展客户满意度调查;建立客户投诉制度,记 录所有的客户投诉,并分析产生原因及解决措施。 第五,加强销售退回控制。销售退回需经具有相应权限的人员审批后方可执行;销售退 回的商品应当参照物资采购入库管理。 主要管控措施: 第一,企业应当加强对销售、发货、收款业务的会计系统控制,详细记录销售客户、销 售合同、销售通知、发运凭证、商业票据、款项收回等情况,确保会计记录、销售记录 与仓储记录核对一致。具体为:财会部门开具发票时,应当依据相关单据(计量单、出 库单、货款结算单、销售通知单等)并经相关岗位审核。销售发票应遵循有关发票管理 规定,严禁开具虚假发票。财会部门对销售报表等原始凭证审核销售价格、数量等,并 根据国家统一的会计准则制度确认销售收入,登记入账。财会部门与相关部门月末应核 对当月销售数量,保证各部门销售数量的一致性。 第二,建立应收账款清收核查制度,销售部门应定期与客户对账,并取得书面对账凭 证,财会部门负责办理资金结算并监督款项回收。 第三,及时收集应收账款相关凭证资料并妥善保管;及时要求客户提供担保;对未按时 还款的客户,采取申请支付令、申请诉前保全和起诉等方式及时清收欠款。对收回的非 货币性资产应经评估和恰当审批。 第四,企业对于可能成为坏账的应收账款,应当按照国家统一的会计准则规定计提坏账 准备,并按照权限范围和审批程序进行审批。对确定发生的各项坏账,应当查明原因, 明确责任,并在履行规定的审批程序后作出会计处理。企业核销的坏账应当进行备查登 记,做到账销案存。已核销的坏账又收回时应当及时入账,防止形成账外资金。
1实业公司_风险控制矩阵_公司层面(xls6页).xls
设置风险
责设置存在交叉或
管理空白可能对管
理效率产生影响。
机构设
置与岗
位职责
/岗位权责
分配不够合理、授
授权、
机构设
置与岗
位职责
制
发展战略和合作伙伴
管理
聚力不强,对企业
运营和目标实现造
成影响。
风险风险
与再造不够重视,
公司的凝聚力和员
工忠诚度产生影响。
风险
风险企业文
化
/文化未得
当,引发矛盾升
设
生影响。
生影响。
外部环境、政策、行
业、市
场和财
政风险
评估与
分析
作变动,可能对公
2、公司通过内部宣传媒体、各种文体活动、公司会议等各种形式和手段广泛宣传公司理念和企业文化相关内容。
、公司设立xx部,负责宣贯落实公司
康和谐发展。
企业应当重视履行社会责任,切实做到经济效益与社会效益、短期利益与长远利益、自身发展与社会发展相互协调,实现企
XX报告》提交公司决策层审阅,把握权衡好投资进入时间。
定和执行《XX业务规划》。
公司对于区域保护主义或合作变动,公司XX部
企业光荣册;(4)、“xx”商标图案;(5)、《xx公司职工文明手册》;(6)、《共建美好社区和谐家园》倡议书。
3、检查公司的企业文化是否融入生产经营全过程,并规范员工行为方式。
、访谈XX部相关人员,了解企业文化建设的具体情况。
2、查看获取相关制度和重要文档:(1)、《xx公司企业文化规章制度》。
COSO企业风险管理整合框架附录部分中文版
COSO企业风险管理整合框架附录部分中文版P109企业风险管理—整合框架和内部控制—整合框架之间的关系1992年,COSO(反虚假财务报告委员会的赞助组织委员会)发布了《内部控制—整合框架》,该框架建立了内部控制结构,并提供评价工具,从而使企业和其他主体可以评估其控制系统。
该框架定义了有效进行内部控制的五个相互关联的要素。
内部控制—整合框架将内部控制定义为一个过程,该控制过程受到企业董事会、管理层和全体职工的影响,旨在提供合理保证,以实现下列目标:经营的效率和效果财务报告的可靠性法律法规的遵循性本附录概述了内部控制框架和企业风险管理框架之间的关系。
对内部控制的拓展内部控制是企业风险管理的主要组成部分。
相比较而言,企业风险管理的内容则更为深入,它扩展和详述了内部控制的范畴,这使企业风险管理成为了更加全面关注风险的更加健全的概念。
由于企业主体和其他组织只关注自身的内部控制,从而使内部控制—整合框架仍然有重要的影响。
目标分类内部控制—整合框架细分了三种目标—运营目标,财务报告目标和合规性目标。
企业风险管理也细分了三种类似的目标类别—运作目标,报告目标和合规目标。
在内部控制框架中,报告类别被认为与公布的财务报表的可靠性相关。
在企业风险管理框架中,报表的范畴被明显的扩展,涉及了主体编制的所有在内部和外部使用的报表。
包括管理层内部使用的报告和那些对外发布的报告,以及给其他利益相关者的报告和监管申报材料等, 其范围也从财务报表拓展为不仅包含更加广泛的财务信息,而且还包含非财务信息。
P110企业风险管理—整合框架增加了一个高层次的目标,即战略目标。
战略目标来源于主体的规划,同时运营、报表和合规性的目标都要与之一致。
企业风险管理被应用于战略制定以及其他三类目标的实现。
企业风险管理框架还引入了风险偏好和风险承受能力的概念。
风险偏好是在主体实现目标或制定规划过程中所愿意承担的广义风险的数量,它为战略制定及相关目标的实现提供了参考。
SOX底稿至公司层面控制测试
ELC1-C17
ELC1-C41
1.5 组织架构
1.5.1
公司的组织结构与经营业务 的范围和性质是匹配的。公 司有能力为所经营的商业活 动提供必要的信息来有效管 理这些活动。
ELC1-C31
1.5.1
公司的组织结构与经营业务 的范围和性质是匹配的。公 司有能力为所经营的商业活 动提供必要的信息来有效管 理这些活动。
ELC1-C20
ELC1-C9
ELC1-C26
1.4 管理层理念及经营 1.4.1 风格
管理层不涉及进入到风险程 度非常高的商业冒险行为之 中,也不是以极端保守的态 度认可风险。 管理层对财务报告的可靠性 和资产实物的安全保障产生 担忧是正常的。 高级管理层和经营管理层经 常性会晤并讨论避免公司业 务实施偏离轨道。
ELC1-C32
ELC1-C39
ELC1-C39 ELC1-C39 ELC1-C34
1.7.2
1.7.3
公司对应聘员工的背景有足 够的调查,包括教育背景、 已往的工作经历,特别是该 候选人以前是否有过任何公 司无法接受的行为。 员工清楚地了解他们自身工 作的责任以及公司管理层对 他们的期望。
ELC1-C36
控制编号# ELC1-C1
1.1.1
公司编制的行为准则或其它 政策,列明可接受的商业惯 例、利益冲突情况和预期的 道德标准。这些政策在公司 内由管理层进行了传达及贯 彻,且有效的进行了实施。
ELC1-C2
1.1.1
1.1.1
公司编制的行为准则或其它 政策,列明可接受的商业惯 例、利益冲突情况和预期的 道德标准。这些政策在公司 内由管理层进行了传达及贯 彻,且有效的进行了实施。 公司编制的行为准则或其它 政策,列明可接受的商业惯 例、利益冲突情况和预期的 道德标准。这些政策在公司 内由管理层进行了传达及贯 彻,且有效的进行了实施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
程序、方法和要求
整、经营环境变化、业务发展状况、实际风险水平等多种因素合理确定,但是至少应当每三年进行一次(法律、行政法规和有关监管规则另有规定的除外)。
内部控制评价中应特别关注的内容:
1、企业内部控制评价应当以内部环境为基础,重点关注:①、治理结构是否形同虚设;②、发展战略是否可行;③、机构设置是否重叠;④、权责分配是否明晰;⑤、不相容岗位是否分离;⑥、人力资源政策和激励约束机制是否科学合理;⑦、企业文化是否促进员工勤勉尽责;⑧、社会责任是否有效履行等;
2、企业内部控制评价应当以生产经营活动为重点,至少关注:①、资金的筹集、投放和营运过程是否存在资金链断裂;②、资产运行中是否存在效能低下或资产流失;③、采购与销售环节是否存在舞弊行为;④、研发项目是否经过科学论证;⑤、工程项目是否存在商业贿赂等;
3、企业内部控制评价应当兼顾控制手段,至少关注:①、全面预算是否具有约束力;②、合同履行是否存在纠纷;③、信息系统是否与内部控制有机结合;④、内部报告是否及时传递和有效沟通等。
生的原因做出认真地分析和评估并有针对性地提出和实施改进方案,不断健全和完善企业内部控制。
1、结合其内部控制,对在监督检查中发现的违反内部控制规定的行为,及时通报情况和反馈信息,并严格追究相关责任人的责任,维护内部控制的严肃性和权威性;
2、结合内部控制监督检查工作,定期对内部控制的健全性、合理性与有效性进行自我评估,并形成书面评估报告。
评估报告应当全面反映企业一定时期内建立与实施内部控制的总体情况。
其中:内部。