企业内部控制体系建设的实践与探讨

［摘要］ 加强企业内部控制，是规范企业内部管理，防范企业经营风险，提高企业经营效果和效率的现代管理手段。本文根据《企业内部控制基本规范》和《企业内部控制应用指引》的要求，提出企业内部控制体系建设过程中风险评估、业务流程梳理、构建公司的内控体系、内控评价与改进等工作的思路和做法。

［关键词］ 内部控制体系建设；业务流程梳理；风险评估；评价与改进

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 19. 017

［中图分类号］ F239.45 ［文献标识码］ A ［文章编号］ 1673 - 0194（2012）19- 0026- 03

自２００８年以来，我国先后颁布了《企业内部控制基本规范》和《企业内部控制配套指引》。作为现代企业管理的重要组成部分，内部控制体系，不但是适应国家对上市公司的监管需要，同时也是提高公司治理水平的重要手段。企业内部控制的有效实施，将进一步加强企业的风险管理，提升企业的市场竞争力，促进企业规范管理上台阶。笔者所在公司作为上市公司下属的全资子公司，自２０１０年开始实施企业内部控制体系建设，本文主要探讨企业内部控制体系建设的内容及要点。

1 企业内部控制的内容

《企业内部控制基本规范》指出，有效的内部控制体系应包括内部环境、风险评估、控制活动、信息与沟通以及内部监督5个因素。

（１）内部环境。内部环境指构成企业内部控制的氛围，它支配企业全体员工的内控意识，影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。影响内部环境的因素包括组织架构、发展战略、人力资源政策、企业文化建设和社会责任等。内部环境是企业的核心，是推动企业发展的引擎，也是其他内部控制要素的基础。

（２）风险评估。风险评估指在既定的内控目标下分析、辨识和管理风险。企业必须建立可分析、辨识和管理相关风险的机制。风险评估重点关注目标、风险、控制行为、控制活动，并在环境变化后及时进行评估和更新。

（３）控制活动。控制活动指根据风险评估的结果采取相应控制措施的行为。控制活动是公司建立执行的政策和程序，通过不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等控制手段，将风险控制在可承受度之内。

（４）信息与沟通。信息与沟通是获取和交换信息的程序，以使企业能够正常运行，并得到适当的管理及控制。信息与沟通主要包括：信息的收集、处理与传递，信息的及时沟通，反舞弊机制和举报投诉制度。

（５）内部监督。内部监督是确保内部控制高效运行的重要保障，它主要包括持续的监督检查、制定内部监督制度、明确内部审计机构、制定内控缺陷评定标准、及时跟踪内控缺陷整改情况等。

2 企业内部控制体系建设的要点

2.1 准备阶段

2.1.1 建立内部控制建设机构

公司董事会应肩负起建立健全企业内部控制体系的责任，并组成专门的领导机构，加强对公司内部控制体系建设工作的指导。成立由董事长担任负责人，公司主要领导为成员的内部控制领导机构。同时，需组建内控体系建设工作团队，根据企业的规模和特点，成立专门机构或者指定部门具体负责组织协调内部控制的建立实施，负责内控体系建设具体组织推进工作，明确内控体系建设组织机构的工作职责，建立相应的工作机制。

2.1.2 组织内控培训和宣传

内控体系作为一种崭新的企业管理理论和方法，要在现有的企业管理体制下得以有效推行，专业培训和宣传是必不可少的。为此，公司在启动内控体系建设前，需要制订内控培训计划，组织公司自上而下全员参与的培训。首先，安排公司管理层和内控管理工作小组的人员参加风险管理和内部控制的基础学习，使管理层深刻体会内控对企业经营管理的意义，提高对内控管理思想的认识，同时，让内控管理工作人员掌握内控的理念和方法论，熟悉内控文档编制的方法和工具。此外，通过讲座、知识问答、内部刊物、宣传板报等多种形式开展内控宣传活动，宣贯内控的目的和内容，让全体员工了解内控的基本知识，为下一步顺利开展内控建设工作奠定基础。

2.2 建设阶段

2.2.1 制订内控体系建设工作计划

企业内控体系建设是一项系统工程，其内容覆盖企业的各项业务和管理活动，企业董事会、监事会、管理层、全体员工均参与其中，为此，必须通过统筹规划，制订一个详细的实施方案和工作计划，规划各阶段的具体任务，明确责任部门和负责人，确定完成时间表，才能有序开展内控体系建设工作。工作计划的主要内容包括：公司内部控制现状的评估，风险分析和评估，根据《企业内部控制基本规范》和《企业内部控制应用指引》搭建公司的内控体系，梳理和完善各项管理制度，编制各项业务和管理单元的管理流程，编制并出版公司内部控制手册等。体系建设工作由领导挂帅，内控管理部门负责具体组织，各部门协调配合共同完成。

2.2.2 整理企业内部价值链

企业是由一系列创造价值的活动和功能组成的，企业的产品设计、原材料供应、生产、储运、销售、售后服务等经营活动连接起来，构成企业主体活动的价值链，企业基础管理、技术开发、人力资源管理、采购等功能提供相应的辅助支持。企业内部控制应当以公司内部价值链为主线， 以业务流程为中心， 把握各个风险控制点。价值链的整理，首先需根据公司的经营目标、组织结构、业务特点，以价值运动轨迹为方向，将各项业务环节连接起来，作为公司经营活动的主干线，然后分解每一个环节的业务流程，作为公司经营活动的子项目支线，并根据实际情况进一步分解出下一级子项目支线，形成整个公司的内部价值链。价值链的整理过程，也就是对公司内部控制现状回顾的过程，通过价值链的优化，可以进一步完善管理流程，健全公司的管理机制和运行机制，为搭建完整的内部控制体系框架打下良好的基础。

2.2.3 梳理业务流程

价值链由各个业务流程构成，建立良好的业务流程是保证企业高效运转、实现有效控制的关键。在制定业务流程时，需考虑以下几点：

（１）确定业务流程的范围。业务流程是为实现某一业务目标按照规定的顺序完成的一系列活动。设计某一业务流程时，首先需明确该业务流程涉及的活动内容，确定流程的起点和终点，并按照业务流转的次序和承接关系，描述整个流程。

（２）注意业务流程之间的连接。每一个业务流程不是孤立存在的，业务流程之间有着广泛的联系，既有呈上启下的关系，也有辅助支持的关系，企业的内控体系建设应实现各个业务流程的有效连接。

（３）标准化业务流程文件。业务流程作为内控体系的重要环节，应以标准化的文件形式确定下来，作为规范员工职务行为的准则。业务流程文件的内容主要包括：制定文件的目的、适用的范围、控制活动（内容描述、责任岗位、输入及输出）、流程图、工作表格等。

2.2.4 风险评估

企业在努力实现经营目标的过程中，时刻面对各种来自内部和外部的风险，这些风险发生的可能性有高有低，影响程度有大有小，必须进行分析评估，找出重点关注和优先控制的风险，并在此基础上结合企业的实际情况，采取相应的风险应对措施，将风险降低到企业可承受的范围内。具体实施步骤包括：

（１）风险信息资料收集。采用“调查问卷”、“头脑风暴”等方式从公司各个层面收集风险信息资料。

（２）风险识别。将收集的风险信息进行整理和分类，列出风险清单，对各风险因素进行准确的定义描述。

（３）风险分析。制定风险评价标准和规范，根据定性描述的风险发生可能性和影响程度，以风险评价标准对风险清单中的各项风险进行投票打分，按得分由高至低排序，确定主要风险及其次序。

（４）风险控制措施。设置相应的控制措施对主要风险实施有效的控制，对现有的管理流程进行筛查，评估控制活动是否能足以覆盖风险，为下一步完善流程提供依据。

2.2.5 确定关键控制点

确定业务流程后，根据企业经营目标和该业务流程的内控目标，分析流程可能存在的风险，包括经营风险、财务风险和合规风险，针对这些风险，设计相应的控制措施予以应对。控制活动由多个控制点组成，其中可能有一两个对风险控制有重大影响的关键控制点。由于每一个控制点都会产生控制成本，占用控制时间，如果事无巨细盲目追求完美，对每一个环节都投入大量的管理精力，不但带来管理成本的提高、工作效率的低下，而且有违于内部控制提高经营效率和效果的目标。因此，在制定控制措施时，应遵循成本效益原则，以关键控制点为核心，实现合理高效的风险控制。

2.2.6 完善管理制度，制定内控手册

在建立内控制度时，应充分考虑行业特点和企业经营模式，注意与企业原有的管理制度、业务流程的衔接，切忌生搬硬套，或者为应付检查另外设计一套，然后束之高阁。经过风险评估和业务流程的梳理，检查现有的管理制度和流程是否能够有效地覆盖各个风险控制点，管理职能是否得到明确，然后，针对内部控制遗漏点、薄弱环节，进一步完善相关制度和流程，并汇编成册，形成内控手册系列文件。工作步骤为：

（１）完善管理架构，确定部门职责范围，明确职能部门在业务流程中的权责，贯彻不相容职务分离控制原则，落实授权审批制度。

（２）完善岗位职责、工作标准，以及与之相适应的绩效考评细则。

（３）编写内控手册，将企业经营活动的各项关键内控流程以标准化业务流程文件记录下来，归集整理形成完整、可以动态修订的内控手册。

2.3 评价和改进阶段

内部控制评价是确保内部控制有效运行、不断完善的重要手段。为确保内部控制的有效运行，每年需开展一次内部控制评价工作，针对特殊事项还需组织专项评价，通过对内控体系的评估，查找、分析内部控制缺陷，制定相应的整改措施，改进和完善企业内部控制体系。注意做好下列工作：

2.3.1 评价工作的组织

董事会授权审计部门负责组织和实施内部控制评价工作，具体由审计部门制订评价工作方案，下属公司及职能部门开展所在单位的内控自评工作，审计部门根据评价结果进行核查，出具评价结论。

2.3.2 评价内容和所依据的标准

围绕公司内部环境、风险评估、控制活动、信息与沟通等内部控制要素，按照国家《企业内部控制基本规范》及其应用和评价指引，对内部控制设计和执行情况进行评价。通过风险分析，重点对存在关键风险点的业务流程和日常管理的内部控制有效性进行评价。

2.3.3 评价工作的实施

（１）根据内控体系目录内容，对照内控五要素全面梳理内控体系的设计情况，检查内控体系文件是否涵盖公司业务和日常管理事务。

（２）抽查关键风险点相关的标准、制度、流程，分析检查结果，对内控体系文件设计的完整性和有效性进行评价，对实际执行过程是否存在缺陷进行认定。为保证评价结果的准确性，每一控制点抽取的样本数量应不少于3个。

（３） 内部控制缺陷的认定。内部控制缺陷包括设计缺陷和运行缺陷，按照影响程度划分为重大缺陷、重要缺陷和一般缺陷。

设计缺陷的认定：

重大缺陷，指关键控制点缺失或设计不合理，导致严重偏离控制目标。

重要缺陷，指关键控制点缺失或设计不合理，其严重程度和经济后果较重大缺陷低，但仍有可能导致偏离该流程的控制目标。

一般缺陷，指关键控制点的设计基本控制重大风险点，但在非重大风险点上存在3个以上控制缺失或设计不合理的情况。

运行缺陷的认定：

重大缺陷，指在对关键控制点的抽样中，出现部分样本与内部控制的设计不符的情况，造成的直接损失大于企业资产或年销售额的５％。

重要缺陷，指在对关键控制点的抽样中，出现部分样本与内部控制的设计不符的情况，造成的直接损失小于或等于企业资产或年销售额的５％。

一般缺陷，指所有关键控制点的运行均与内部控制的设计相符，但在非关键控制点上出现3个及以上样本不符的情况。

（４）编制规范的内控评估底稿，内容包括评价的体系文件、设计评价结果、运行评价结果、整改措施，附相关的证明文件。

2.3.4 缺陷的整改

针对评价发现的内部控制缺陷提出切实可行的整改措施，落实责任人和完成时间，在规定的整改截止时间后一个月内，审计部门对整改结果进行核查和确认。

3 结 语

笔者所在公司自２０１０年起正式启动公司内控体系的建设工作，公司成立了内控管理领导小组，组织了公司全体人员参与的内控管理培训。通过开展业务流程梳理、风险识别、评估，确定了公司的关键风险，识别了内部控制缺陷，制定了相应的风险控制措施。公司根据业务特点和内控需要，编制了包括财务管理、合同管理、招投标管理、项目管理等在内的一系列管理流程，并完成了内控手册的制定。内控体系运行半年后，公司组织了自我评价，针对存在的缺陷，进一步对体系进行完善。目前，公司内控体系包含了内部环境、风险评估、控制活动、信息与沟通、内部监督等5个基本要素，贯穿决策、执行和监督全过程，并覆盖了公司业务和日常管理环节。公司将继续加强对内部控制体系的评价和改进，切实做好检查监控，强化企业的风险管理，实现管理规范化运作，进一步提升企业的市场竞争力，促进公司的健康持续发展。

主要参考文献

［１］财政部，证监会，审计署，银监会，保监会． 企业内部控制基本规范［Ｓ］． ２００８．

［２］财政部，证监会，审计署，银监会，保监会． 企业内部控制配套指引［Ｓ］．２０１０．