第一篇：企業(yè)內(nèi)控規(guī)范體系的建設與實施的漸進發(fā)展過程

企業(yè)內(nèi)控規(guī)范體系的建設與實施的漸進發(fā)展過程

企業(yè)內(nèi)控規(guī)范體系建設是適應經(jīng)濟社會不同發(fā)展進程而逐漸形成的，大體經(jīng)歷了內(nèi)部牽制、內(nèi)部會計控制和全面風險控制三個發(fā)展階段：

第一階段：內(nèi)部牽制（1978—1985年）

1978年9月12日，國務院頒布《會計人員職權條例》，明確要求“企業(yè)的生產(chǎn)、技改、基建等計劃和重要經(jīng)濟合同，應由總會計師會簽”；

1984年4月24日，財政部發(fā)布《會計人員工作規(guī)則》，要求各單位“建立會計人員崗位責任制，切實做到事事有人管，人人有專責，辦事有要求，工作有檢查；會計人員崗位責任制要同本單位的經(jīng)濟(經(jīng)營)責任制相聯(lián)系，以責定權，責權明確，嚴格考核，有獎有懲”；“出納人員不得兼管收入、費用、債權、債務賬簿的登記工作以及稽核工作和會計檔案保管工作”； 1985年1月21日，第六屆全國人民代表大會常務委員會第九次會議通過《中華人民共和國會計法》，重申了會計崗位責任制的要求。

第二階段：會計控制（1996—2004年）

20世紀90年代，經(jīng)濟社會加速轉型，建立現(xiàn)代企業(yè)制度和市場經(jīng)濟體制開始起步。

1996年6月17日，財政部發(fā)布(會計基礎工作規(guī)范》，要求各單位進一步建立健全包括但不限于內(nèi)部牽制割度的內(nèi)部會計管理制度。

1999年10月31日，第九屆全國人民代表大會常務委員會第十二次會議修訂通過《會計法》，在其第二十七條規(guī)定：“各單位應當建立、健全本單位內(nèi)部會計監(jiān)督制度。單位內(nèi)部會計監(jiān)督制度應當符合下列要求：(一)記賬人員與經(jīng)濟業(yè)務事項和會計事項的審批人員、經(jīng)辦人員、財物保管人員的職責權限應當明確，并相互分離、相互制約；（二)重大對外投資、資產(chǎn)處置、資金調(diào)度和其他重要經(jīng)濟業(yè)務事項的決策和執(zhí)行的相互監(jiān)督、相互制約程序應當明確；(三)財產(chǎn)清查的范圍、期限和組織程序應當明確；(四)對會計資料定期進行內(nèi)部審計的辦法和程序應當明確。”上述加強單位內(nèi)部會計監(jiān)督的法律要求，體現(xiàn)了內(nèi)部會計控制的本質(zhì)。這一時期，財政部依法啟動了內(nèi)部會計控制規(guī)范的研究制定工作。

2001年6月22日，財政部以財會[2001]41號文件正式發(fā)布《內(nèi)部會計控制規(guī)范——基本規(guī)范(試行)》和《內(nèi)部會計控制規(guī)范——貨幣資金(試行)》。

此后至2004年底，財政部連續(xù)發(fā)布采購與付款、銷售與收款、工程項目、對外投資和擔保等5項內(nèi)部會計控制規(guī)范，并印發(fā)了固定資產(chǎn)、存貨、籌資、預算、成本費用等5項征求意見稿。內(nèi)部會計控制規(guī)范作為會計法的配套規(guī)章，在社會上引起較大反響，成為各單位建立與實施內(nèi)部控制的重要依據(jù)。

第三階段：全面風險控制（2005—至今）

進入21世紀至今，完善社會主義市場經(jīng)濟體制、貫徹實施中央“走出去”戰(zhàn)略成為時代的主流。在汲取美國安然等一系列內(nèi)部控制失敗案例教訓、總結會計控制經(jīng)驗的基礎上，針對國內(nèi)國際兩個市場，需要更好地應對日益復雜的各種風險，推動會計控制向全面風險控制發(fā)展。

2004年底和2005年6月，國務院連續(xù)就強化企業(yè)內(nèi)部控制問題作出重要批示，明確要求“由財政部牽頭，聯(lián)合證監(jiān)會及國資委，積極研究制定一套完整公認的企業(yè)內(nèi)部控制指引”。2005年7月20日，溫家寶總理主持召開國務院常務會議，在聽取監(jiān)事會2004年對中央企業(yè)監(jiān)督檢查情況及2005年工作安排的匯報時強調(diào)，“要特別解決好資產(chǎn)質(zhì)量不高、管理方式粗放、內(nèi)控機制不完善等問題”。同年7月，財政部會計司，中國證監(jiān)會會計部、上市部和國資委企業(yè)改革局等召開聯(lián)席會議，研究貫徹落實國務院領導批示精神、加快推進企業(yè)內(nèi)部控制制度建設相關事宜。

2006年7月15日，財政部、證監(jiān)會、國資委、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)起成立我國

企業(yè)內(nèi)部控制標準委員會，來自監(jiān)管部門、大型企業(yè)、行業(yè)組織、中介機構、科研院所的領導和專家學者積極參與，為構建我國企業(yè)內(nèi)部控制規(guī)范體系提供了組織和機制保障。

經(jīng)過不懈努力，在各方面的積極配合和大力支持下，由財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會以財會[2008 ] 7號文件的形式聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，取得了內(nèi)控體系建設的重要階段性成果。

第二篇：企業(yè)內(nèi)控體系建設與企業(yè)HR管理改進

企業(yè)內(nèi)控體系建設與企業(yè)HR管理改進

用友ERP事業(yè)部 劉江鷹

美國金融危機的爆發(fā)，帶來了全球的新一輪經(jīng)濟衰退。究其原因，則是自由經(jīng)濟所導致的政府控制缺位，金融企業(yè)的創(chuàng)新出了位，正如華爾街的反思：將靈魂出賣給了魔鬼；從國內(nèi)看，三鹿集團的風風火火，卻一朝傾塌在三聚氰胺之下，企業(yè)董事長受到起訴；這一切，都能讓人感受到企業(yè)在經(jīng)營上的浮躁、利己和急功近利，嚴重忽視經(jīng)營風險，結果給社會給自己都帶來嚴重的后果。企業(yè)生產(chǎn)經(jīng)營的外部環(huán)境正在發(fā)生著巨大變化，外部的監(jiān)管正在加強，市場的游戲規(guī)則正導向在可持續(xù)發(fā)展上，政府宏觀管理的要求促使企業(yè)的內(nèi)控機制必須盡快完善和加強?！镀髽I(yè)內(nèi)部控制基本規(guī)范》（以下簡稱規(guī)范）的出臺為企業(yè)建立健全內(nèi)部控制機制提供了依據(jù)。作為針對上市公司的剛性規(guī)范要求，《規(guī)范》提出了建設框架，包括內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通和內(nèi)部監(jiān)督等五個方面的要素。按照要求，上市企業(yè)不僅需要建立這一內(nèi)控機制，還必須要定期對內(nèi)部控制的有效性進行自我審計評價，并向外部披露自我評價報告，也可聘請具備資格的第三方來對內(nèi)控有效性進行審計和報告。

雖然從表面上，《規(guī)范》約束的是企業(yè)的財務管理行為，而背后卻是反映著對企業(yè)的人力資源管理的要求，要求企業(yè)必須改進完善內(nèi)部人力資源管理體系，財務管理的指標反映著企業(yè)經(jīng)營的結果，而人力資源管理狀況則反映著達到這一結果的過程，是領先性管理指標，結果上的風險產(chǎn)生來自于過程。從企業(yè)內(nèi)控要求的人力資源管理改進上，筆者認為如下方面是需要重點關注的

? 經(jīng)營理念風險

人的風險是企業(yè)經(jīng)營的最大風險。管理基于文化，行動受控于理念，《規(guī)范》明確提出了企業(yè)需要加強企業(yè)文化建設的要求。社會責任感、誠實守信、風險意識等等成為要要求的企業(yè)文化的重要成分。企業(yè)是否有相關的使命、愿景和核心經(jīng)營理念和價值觀的闡述和承諾，以及有否相關的培訓溝通活動開展以及榜樣樹立的價值導向，是需要在內(nèi)部控制審計中需要關注的。

企業(yè)生存的理由是其功能性，也就是為社會提供符合使用期望和要求的產(chǎn)品，通過符合要求的產(chǎn)品的提供為自己帶來財務上收益，這是雙贏的結果，如果是在企業(yè)內(nèi)部的經(jīng)營風氣中只強調(diào)自己的利益，只強調(diào)獲取，而不講求付出，就會出現(xiàn)欺詐，導致企業(yè)經(jīng)營的短命，這是最大的風險所在。? 人員配置風險

《規(guī)范》中對企業(yè)的組織機構和崗位設置提出了明確的要求，組織保障是實現(xiàn)內(nèi)部風險控制的基礎。不僅是要求企業(yè)需要作到業(yè)務運作的職責清晰和明確，而且對于內(nèi)部審計的職責分配也提出了相應的規(guī)定。

《規(guī)范》第二十二條規(guī)定在內(nèi)部風險的識別上，明確了有關董事、監(jiān)事、經(jīng)理以及其他高級管理人員的職業(yè)操守方面的風險以及員工的專業(yè)勝任能力方面的風險，這要求企業(yè)必須加強任職資格管理控制，以及崗位工作能力控制。

《規(guī)范》提出了關鍵崗位的強制休假制度以及定期崗位輪換制度的執(zhí)行的要求，這表明在企業(yè)的人事任用上，需要明確關鍵崗位名錄的建立和維護，并需要有強制休假的記錄，同時，對于關鍵崗位人員需要定期進行崗位輪換的記錄。

在企業(yè)的保密性要求上，《規(guī)范》提出了掌握國家秘密和重要商業(yè)秘密的員工離崗需要有限制性規(guī)定，從而要求企業(yè)需要對涉密崗位進行識別，需要有脫密期概念，涉密崗位人員的離職需要有一個過程來證實企業(yè)對商業(yè)秘密保護上的風險控制措施。

? 法規(guī)執(zhí)行風險

《規(guī)范》在企業(yè)外部風險的識別上，明確提出了法規(guī)和監(jiān)管要求等法律風險的控制。在企業(yè)的人力資源管理領域，企業(yè)需要遵循一系列的勞動管理法規(guī)，例如08年實施的《勞動合同法》、《就業(yè)促進法》、《勞動爭議調(diào)解仲裁法》、《職工帶薪年假條例》、《勞動合同法實施條例》以及當前部分條款依然有效的《勞動法》的規(guī)定。

《勞動合同法》明確規(guī)定自用工自日起1個月內(nèi)需要簽訂書面的勞動合同，需要沒有作到將有兩倍工資處罰的風險；《勞動爭議調(diào)解仲裁法》要求在用工糾紛中企業(yè)承擔舉證責任，例如加班休假的記錄缺失將使企業(yè)存在承擔不利后果的風險；《就業(yè)促進法》要求企業(yè)不能有就業(yè)歧視，比如性別歧視、宗教歧視、民族歧視等等；原勞動和社會保障部的《禁止使用童工的規(guī)定》要求企業(yè)不得使用16周歲以下的童工等等。

政府的政策法規(guī)體現(xiàn)著游戲規(guī)則和宏觀管理的要求，不遵守游戲規(guī)則的后果是嚴重的，一個企業(yè)做到了財務上的贏利，如果其背后是違法行為作為支撐，是以犧牲員工權益為代價，那這企業(yè)的經(jīng)營風險就可想而知。

? 企業(yè)制度風險 在當前強調(diào)的企業(yè)文化建設中，其最高層次是企業(yè)的理念層，體現(xiàn)為自覺的潛意識成分，是經(jīng)過企業(yè)長期的修煉和積累而成的，在之下則是制度層，這是形成一般意識的關鍵，企業(yè)的各項人力資源管理政策措施，都是為這一目的而服務的，都是在告訴員工，什么樣的行為是被鼓勵的，什么樣的行為是被禁止的；在制度層之下是行為層，表現(xiàn)為行為技能。

企業(yè)的內(nèi)控機制需要實現(xiàn)的員工行為表現(xiàn)上對風險的控制，其背后的直接支撐是企業(yè)的HR管理制度，《規(guī)范》中明確提出對企業(yè)人力資源政策的要求范圍，比如員工的聘用、培訓、辭退和辭職；員工的薪酬、考核、晉升與獎懲。這些政策都是實現(xiàn)企業(yè)內(nèi)控有效性的必要條件。

這些條款要求企業(yè)需要建立和實施規(guī)范的人力資源管理流程，首先是要有明確的相關制度規(guī)定，然后是制度必須被有效地執(zhí)行，再次是制度的執(zhí)行需要做到實現(xiàn)預期的人員能力控制和價值導向的目標。流程規(guī)范的價值就在于控制流程的風險。

《規(guī)范》中尤其強調(diào)企業(yè)內(nèi)控制度本身必須要納入績效考評體系的問題，如對反舞弊機制的建立要求，對舉報投訴制度和舉報人保護制度的建立要求等等，也只有企業(yè)對于內(nèi)控的重要性認識達到是企業(yè)級的價值導向的層次，也才能真正作到控制的有效性。? 信息溝通風險

企業(yè)的風險控制的要點是決策，而決策受控于信息，從而信息的及時獲得以及信息的全面性就成為影響企業(yè)內(nèi)控有效性的關鍵因素之一。企業(yè)的內(nèi)控需要實現(xiàn)全員的參與才能實現(xiàn)有效，在這一點上《規(guī)范》明確要求企業(yè)需要做到使全體員工掌握內(nèi)部機構設置、崗位職責、業(yè)務流程等情況。組織人事信息和人事政策的知道是風險控制執(zhí)行的前提，企業(yè)的HR部門需要及時將人力資源政策的變動以及組織人事的相關變動情況及時在內(nèi)部進行溝通，全體員工均應有方便的手段和措施來及時獲取這些信息。從各個業(yè)務職能的協(xié)作上，有關人力資源政策的執(zhí)行情況，如考勤休假結果、績效考評結果等信息也需要在相關部門之間進行及時溝通，以避免在工作配合上帶來可能的風險，以及保證內(nèi)部人力資源政策執(zhí)行的公正性，形成良好的內(nèi)部氛圍和企業(yè)凝聚力。

? 過程執(zhí)行風險

《規(guī)范》對企業(yè)內(nèi)控機制的建立和執(zhí)行提出了大量可操作的要求，尤其是在信息記錄和信息的傳遞溝通上，從而在正常的企業(yè)經(jīng)營之外，將附加一個較大的執(zhí)行成本，增加了企業(yè)的管理負擔；不僅如此，由于執(zhí)行《規(guī)范》需要進行風險的識別、評估、分析、應對等等，面臨的大量數(shù)據(jù)信息的處理，如果只是依賴手工進行，將使得這一執(zhí)行過程本身面臨著巨大的風險，導致風險控制機制本身存在著有效性的風險。

要解決這一問題，就有賴于信息系統(tǒng)的輔助流程優(yōu)化來提供幫助與支持。比如人事組織信息的溝通、人力資源政策執(zhí)行結果的溝通，可以通過HR軟件的員工自助服務和經(jīng)理自助服務來予以實現(xiàn)；比如有關勞動合同簽訂相關的風險應對，可以通過HR系統(tǒng)中的自動預警提示來輔助進行控制；比如勞動爭議應對需要的大量記錄，可以通過電子化的工作流程來形成電子記錄、或是通過信息系統(tǒng)的自動調(diào)用數(shù)據(jù)信息的批打功能來輔助實現(xiàn)預防；比如績效考評的完整記錄和追蹤，可以通過信息化的HR績效考評流程來自動形成相關記錄；比如說對于反映人力資源管理狀況的諸多指標的監(jiān)督跟蹤例如離職率、有效用工率、員工出勤了率、平均工作負荷時間、平均招聘到崗時間等等，也可以通過HR信息系統(tǒng)的自動統(tǒng)計得到，通過指標的監(jiān)控來及時識別可能的人力資源管理風險，及時記錄和評估風險，并制定相應的風險控制和應對措施。

這一人力資源方面的風險還需要與企業(yè)的生產(chǎn)計劃緊密結合起來才能有效控制風險，從而要求風險控制必須是系統(tǒng)完整的，不能是孤立地看待問題。例如企業(yè)的生產(chǎn)擴張，在帶來生產(chǎn)規(guī)模的擴大的同時，還帶來了人力資源配置增加的變化，需要相應提前采取招聘措施，否則將因人力資源不足而影響生產(chǎn)經(jīng)營的正常開展；這一資源方面的風險控制，還需要企業(yè)必須隨時關注外部人力資源市場的供給狀況和供給水平，并需要根據(jù)相應情況及時調(diào)整人力資源政策，以有效化解可能的資源不足和資源浪費和資源損耗等各方面的經(jīng)營風險。這些決策都有賴于給予完整、系統(tǒng)、全面的信息化經(jīng)營管理平臺來輔助實現(xiàn)。

正是考慮了企業(yè)的執(zhí)行成本和內(nèi)控有效性的緣故，《規(guī)范》中也專門提出了與企業(yè)信息化有關的規(guī)定和要求，? 針對內(nèi)控信息系統(tǒng)的建設方面，《規(guī)范》 第七條提出，企業(yè)應當運用信息技術加強內(nèi)部控制，建立與經(jīng)營管理相適應的信息系統(tǒng)，促進內(nèi)部控制流程與信息系統(tǒng)的有機結合，實現(xiàn)對業(yè)務和事項的自動控制，減少或消除人為操縱因素。? 針對內(nèi)控信息的有效溝通方面，《規(guī)范》第三十八條中提出，企業(yè)應當建立信息與溝通制度，明確內(nèi)部控制相關信息的收集、處理和傳遞程序，確保信息及時溝通，促進內(nèi)部控制有效運行。? 針對信息系統(tǒng)本身的風險管理方面，《規(guī)范》第四十一條 企業(yè)應當利用信息技術促進信息的集成與共享，充分發(fā)揮信息技術在信息與溝通中的作用。企業(yè)應當加強對信息系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運行。

由此可見，企業(yè)建設符合《規(guī)范》要求的內(nèi)控機制，是需要在一個充分實現(xiàn)信息共享和集成的環(huán)境中才能實現(xiàn)有效性。而采用信息技術來實現(xiàn)的企業(yè)HR管理風險管理和控制是其中一個重要組成部分。

第三篇：企業(yè)內(nèi)控體系建設知識培訓

內(nèi)控體系建設知識培訓

一、企業(yè)內(nèi)部控制發(fā)展概述

1、內(nèi)部控制體系概念 首先什么是內(nèi)部控制。我們常常提企業(yè)管控，所謂管控就是管理和控制，管理是管人理事教育員工怎樣正確做事情，控制是規(guī)范員工的行為，告訴員工那些工作可以做，那些工作不可以做。我們談內(nèi)控體系建設，并不是說我們企業(yè)沒有內(nèi)部控制，我們企業(yè)都在進行內(nèi)部控制。比如說最常見的審核審批是一個控制行為，但是以前沒有從風險角度系統(tǒng)的進行內(nèi)部控制活動。

2、內(nèi)控形成的三個階段

1）內(nèi)部牽制階段

最早提出是在美國上世紀40年代，當時還停留在內(nèi)部牽制階段。內(nèi)部控制前提假設條件一個人犯錯的幾率要比兩個人同時犯錯幾率大的多，或者一個人舞弊造假的可能性比兩個人合謀起來舞弊造假的可能性要大很多。

2）內(nèi)部會計控制階段

隨著資本市場和會計理論的不斷發(fā)展，內(nèi)部控制逐漸由牽制階段發(fā)展到內(nèi)部會計控制階段，很多的會計控制手段，比如說不相容崗位相分離控制手段。當時內(nèi)部控制范圍還僅僅涉及到會計事項相關的各項業(yè)務活動，主要防止侵吞財務和其他違法行為發(fā)生、保護企業(yè)資產(chǎn)和確保會計報表的真實性和完整性。

3）企業(yè)內(nèi)部控制整合框架階段

1992年美國COSO委員會一個民間組織發(fā)布企業(yè)內(nèi)部控制整合框架，對企業(yè)內(nèi)部控制進行系統(tǒng)性陳述，并且擴大內(nèi)部控制內(nèi)涵，不再僅僅局限滿足財務的可靠性。而且，它是首先從風險角度看待內(nèi)部控制問題，這個框架一經(jīng)提出立即得到理論界和實務界的廣泛認可，并在美國和全世界產(chǎn)生很大影響。2002年美國安然、世通、施樂等多家世界500強企業(yè)相繼爆發(fā)財務丑聞，在全世界范圍內(nèi)引起渲染大波，極大影響美國股市和美國企業(yè)在大眾心目中的形象，特別是廣大投資者心目中的形象，人們對加強企業(yè)內(nèi)部控制的呼聲越來越高。在這樣背景下，時任美國總統(tǒng)喬布什緊急簽署《薩班斯奧克斯利法案》，其中404條款引用COSO框架，因此COSO框架由民間組織制定的框架變成美國企業(yè)上市公司內(nèi)部控制標準，也就是該框架具備法律效力。隨后2004年COSO委員會又頒布企業(yè)風險管理的框架，隨后其他國家相繼頒發(fā)自己的內(nèi)部控制制度，基本是按照COSO框架建立。

3、我國內(nèi)控形成的歷史

中國內(nèi)部體系發(fā)展歷史比較短。國家財政部先是于2001年頒布內(nèi)部會計控制規(guī)范。2003至2005年期間，中國一些大的央企像中航油、中信泰富等企業(yè)相繼爆發(fā)一系列重大風險事故，引起國家高度重視，國家開始重視企業(yè)內(nèi)部控制。2006年國資委首先出臺《中央企業(yè)全面風險管理指引》。2008年國家財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會五部委聯(lián)合發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》，該規(guī)范按照COSO框架提出來的，因此也被媒體稱為也是中國版的COSO。2010年五部聯(lián)合發(fā)布《企業(yè)內(nèi)部控制配套指引》包括應用指引、評價指引、審計指引。這也標志者我國內(nèi)部控制規(guī)范基本建成。從內(nèi)部控制在國內(nèi)和國外發(fā)展來看，風險管理和內(nèi)部控制本質(zhì)上是一回事，只是我國由不同管理層提出來的。所以說，現(xiàn)在慢慢的國資委和財政部也在趨同。

二、建立內(nèi)控的必要性

1、全球經(jīng)濟一體化的必然需求

一方面是資本市場不斷發(fā)展和完善。另一方面是全球經(jīng)濟一體化進行的必要推進，眾多的企業(yè)特別是國企央企面臨走出去的壓力。那么對于風險管理和內(nèi)部控制要求越來越強。內(nèi)部控制本質(zhì)上是為了保護投資者的利益、保護股東的利益。盡管我們很多企業(yè)有很多內(nèi)部控制活動，但是這些控制不成體系，不能系統(tǒng)的預防企業(yè)風險。目前國內(nèi)企業(yè)普遍存在的通病是：一是制度很多很全，但是不成體系，傳承性很差，有的企業(yè)不到一年可以發(fā)布100多項制度，但是新的制度頒布后舊的制度并沒有廢止，制度與制度之間相互矛盾，制度規(guī)定不清楚，不具備可參考性。二是組織結構變化頻繁，崗位職責不明確，各個層級的職責比較混亂，做事的不管事，管事的不做事，對本部門有利的事情部門之間爭著管，出力不討好的事情沒人管。三是基礎工作薄弱，人員素質(zhì)偏低，工作效率不高。四是信息的收集和處理能力很差，信息傳遞速度很慢，信息不真實，信息虛報和瞞報的現(xiàn)象比較普遍，對信息的分析更是無從談起，這極大的影響了增加了企業(yè)高層決策的難度。五是領導整天忙著各種事務型的工作，常常扮演著各種救火隊長的角色，沒有時間和精力去思考關系企業(yè)發(fā)展的一些重大事情。六是缺乏制度管理的文化，人治的現(xiàn)象仍然比較明顯，踐踏制度的現(xiàn)象很普遍。

2、外部監(jiān)管的要求

《企業(yè)內(nèi)部控制基本規(guī)范及配套指引》要求中央企業(yè)、大型國有企業(yè)和上市公司必須按照規(guī)范要求建立內(nèi)部控制體系，并且定期開展內(nèi)部控制自我評價工作。會計師事務所還要對企業(yè)內(nèi)部控制情況開展獨立審計并且出具審計報告。財政部要求境內(nèi)外同時上市企業(yè)必須在今年建立起內(nèi)控體系，并且今年將接受會計事務所首次內(nèi)控審計，其他的上市公司也必須在2012年以前建立內(nèi)控體系。

比如，中國鐵建披露巨額虧損就引起社會廣泛的爭議，盡管證監(jiān)會沒有對中國鐵建進行處罰。但是，大家知道納斯達克在財政部要求中央企業(yè)建立內(nèi)控體系并接受外審之前，如果這個事情出現(xiàn)在明年，后果是怎么樣呢，可能就不會那么簡單。

3、提升企業(yè)的管理水平，增強企業(yè)的抗風險能力的要求 確保企業(yè)尤其是大型企業(yè)持續(xù)健康的發(fā)展，這個也是外部監(jiān)管機構國家相關的管理部門對建立內(nèi)控體系的一個初衷。尤其是我們廣大央企面臨著走出去參與國際競爭，首先我們必須熟悉國際游戲規(guī)則，那么在建立內(nèi)控體系方面，我們國內(nèi)已經(jīng)有不少企業(yè)走在了前面，尤其是那些當時在海外上市的一些央企，并且取得了很好的成效。比如說我們國家的銀行業(yè)是與國際接軌最早也是最成熟的企業(yè)，不可否認我們國內(nèi)的銀行在管理水平方面盡管與國外銀行還有一定的差距但是總體來說管理水平還是比較高的。再比如像我們的電信業(yè)，電信業(yè)也是很早建立內(nèi)控體系。再比如說中石油、中石化，中石油在2002年香港上市的時候也是按照香港聯(lián)交所相關內(nèi)控要求建立內(nèi)控體系。這么多年來，在內(nèi)控體系方面中石油不斷的投入，已經(jīng)產(chǎn)生了非常明顯的效益，中石油的管理水平在國內(nèi)應該是可以說是名列前茅的。而且他們也看到了內(nèi)控對于企業(yè)發(fā)展的好處，目前他們又進行到了更高的層次，正在實施內(nèi)控體系的信息化。通過這些央企的實踐，我們可以發(fā)現(xiàn)內(nèi)控體系確實是能夠為企業(yè)提升管理水平發(fā)揮作用，尤其對于一些大的央企，內(nèi)控體系的價值越發(fā)明顯。中央企業(yè)普遍都面臨著成長的煩惱，我們中國中鐵也是如此，都是由計劃體制改制而來的，有很多計劃經(jīng)濟的影子，市場行情不好的時候我們認為營銷管理很重要，行情好了事故又接踵而來，我們又認為生產(chǎn)很重要，但是我們很少真正認為管理很重要，我們在管理方面的投入很少。為什么呢，因為管理摸不見看不著，很難直接的表現(xiàn)出我們的管理效益，他是個潛移默化逐漸提升的過程。我們也常常在提管理創(chuàng)新，盡管我們發(fā)現(xiàn)不少企業(yè)的管理創(chuàng)新確實發(fā)揮積極的作用，但是往往也是曇花一現(xiàn)，既不會推廣也沒有標準化，不會被繼承下去，換一屆領導一切又從頭開始。比如說在一些單位以科技管理為例，明明在以前的項目中已經(jīng)攻克的工法，新的項目又在同一個問題再次攻關，這樣的現(xiàn)象很普通，甚至還有人對已經(jīng)攻克的工法又來申報立項，那么試問我們的科技創(chuàng)新又是為了什么。

1997年任正非參觀了IBM公司，回來以后就發(fā)現(xiàn)華為與國際企業(yè)的差距不只一點點，因此，他下定決心要提高公司的內(nèi)部管理水平。隨后，華為與IBM簽訂了包括流程和內(nèi)控體系在內(nèi)的管理建設協(xié)議，僅僅咨詢費高達5000萬美元，在隨后的10年當中不斷的投入，現(xiàn)在華為建立適應國際競爭具有華為特點的信息化管理體系。這項投入到目前為止，已經(jīng)高達接近20億美元。可見，內(nèi)控管理對于企業(yè)核心競爭力的意義。在華為總部設有獨立內(nèi)控審計部門，他與我們平常的審計部門是相區(qū)別的，它主要負責公司的風險管理、流程體系的審計和咨詢，這是一個非常好的案例，為什么呢，因為華為公司并不是一個上市公司，他沒有面對外部監(jiān)管的要求，它沒有外部監(jiān)管的需要，但是它為什么要建立內(nèi)控體系，主要的原因是提高企業(yè)管理水平。企業(yè)因為缺乏完善內(nèi)控體系，缺乏風險管理而失敗的例子很多，只要留心，各個血的案例頻繁的出現(xiàn)在我們的國內(nèi)企業(yè)，前2年鬧的沸沸揚揚的三鹿奶粉事件，直接導致了三鹿我們國家最大的奶粉生產(chǎn)企業(yè)破產(chǎn)，董事長田文華被判處無期徒刑。毒奶粉本來是我們的國情造成的，威脅我們健康的食品其實何止是奶粉，最近出現(xiàn)的瘦肉精、垃圾碗、地溝油可以說層出不窮，其他的奶粉生產(chǎn)企業(yè)難道就沒有三聚氰胺嗎，當時他們講笑話也有只不過三鹿摻的多一點而已，其他企業(yè)摻的少一點而已。結果呢，三鹿因為這個事件背下了整個行業(yè)的罪名。一夜之間就由行業(yè)的龍頭老大走向了破產(chǎn)。再往前推，我們還可以舉 出很多的例子。而且這樣的事情仍然在頻繁的發(fā)生。這里講講中國中鐵內(nèi)部一個例子。2008 年發(fā)生的杭州1115事件，這個大家都比較清楚，后來單位對事件原因進行具體分析。發(fā)現(xiàn)問題出現(xiàn)在七個部門，涉及業(yè)主、局、工程指揮部、子分公司、項目部、各個層級估計多達二十幾個，二十多項，其中任何一項問題都有可能導致事故的發(fā)生。結果呢，這個事情的發(fā)生，也就是說這個問題它是一個系統(tǒng)性的問題，不是說是某一個部門、某一個人的失責而形成的。因此，僅僅解決某一部門某一個崗位的問題是不能解決這個問題的。如果每個項目都是這樣，可見我們的風險有多大。風險是完全不可控的。出不出事那就看老天爺了。

同樣的事情發(fā)生在不同企業(yè)結果也會不一樣，像我們知道的豐田汽車事件，當時對于豐田來說也是一個企業(yè)有史以來最大的危機，后來很好的化解掉。再像前不久，阿里巴巴的欺詐丑聞，如果馬云不是在風暴來臨之前，及時自查和披露這個事情，阿里巴巴在國際上的聲譽就可能受到重大影響，阿里巴巴也很有可能會發(fā)生類似三鹿這樣的事情，直接走向破產(chǎn)，甚至馬云也可能丟掉帥印。馬云為什么能夠及時采取措施，一方面是因為阿里巴巴重視對輿情的監(jiān)控及時發(fā)現(xiàn)風險，另一方面，阿里巴巴對風險制定了切實可行的機制，商討出周全的解決方案，有效的及時降低了這一事件對阿里巴巴的影響。我想這絕不是馬云一個人對這個事情拍腦袋就能夠想出來的，因此內(nèi)控體系是企業(yè)管理的一個框架，是一套成熟的方法論，它是從系統(tǒng)的角度來管理企業(yè)的。就好比人的骨骼一樣，人如果骨骼酥松肌肉再發(fā)達一拳打出去也沒什么力量，只有骨骼結實，拳頭才會硬。

4、降低企業(yè)管理者的履職風險的要求

這對于我們企業(yè)管理者來說，是一種保護。國外企業(yè)為什么非常熱衷于建立內(nèi)控體系，是因為，法律有明確的規(guī)定，如果企業(yè)沒有建立適當?shù)膬?nèi)控體系，且企業(yè)的領導層不能證明自己在重大事故發(fā)生面前進行必要的干預，都會被追究責任，甚至判刑。所以呢，國外企業(yè)非常熱衷于建立內(nèi)控體系。同樣的道理，國資委2008年發(fā)布的《央企資產(chǎn)損失責任追究暫行辦法》國資委第20號令第25條明確規(guī)定“因企業(yè)內(nèi)部控制存在重大缺陷，或者內(nèi)部控制執(zhí)行不力等情形造成資產(chǎn)損失的，應當追究相關責任人的責任?！??？梢姡瑑?nèi)部控制對于我們保護我們企業(yè)特別是央企、國有企業(yè)的管理者的意義。那么，反思一下三鹿奶粉事件，為什么三鹿董事長田文華會被判如此重的刑法，她只是公司的一個領導層，三鹿奶粉本身是奶農(nóng)添加這些三聚氰胺造成的。為什么她會被判這么重的刑呢，就是因為她不能在這個事件舉證自己曾經(jīng)發(fā)揮過的積極作用。盡管有無數(shù)的人員為他喊冤，對她的命運唏噓不已，但是法律是要講證據(jù)的，是沒有感情可言的?？梢妰?nèi)控體系的重要性不言而喻。我們沒有理由不建內(nèi)控體系。不僅要建而且要發(fā)揮實效。

三、我們現(xiàn)階段建立體系要達到的目的

1、建立全面系統(tǒng)的流程體系

以流程體系作為基礎，搭建以風險為導向的內(nèi)部控制系統(tǒng)，使流程、內(nèi)控和風險管理構成一個有機的整體，并且通過流程體系把風險和管理融入到日常工作中去，我們建立這樣的體系，不是說要重新建立一套系統(tǒng)，與我們以前的相關的一些體系比如三標體系相隔離的。內(nèi)控體系本身相互之間是融合的，是一套完整的體系。但是我們的內(nèi)控體系并不僅僅是流程體系，流程管理與內(nèi)控和風險管理我們要區(qū)分開來，流程管理是一個專門的管理，它與我們的內(nèi)控體系存在著區(qū)別，內(nèi)部控制和風險管理是建立在流程體系基礎之上的，必須要深入到流程才能夠使我們的內(nèi)控體系確實發(fā)揮作用，因此我們首先必須要建立全面和系統(tǒng)的流程體系。

2、提高我們內(nèi)部控制和風險管理的水平提高內(nèi)部控制和風險管理水平，滿足財政部等五部委、國務院國資委等監(jiān)管部門的要求。

3、全面提升公司員工的風險管理的意識

將風險管理融入到日常管理工作中，滿足企業(yè)切實提高經(jīng)營管理、效益和項目的需求，通過大量的培訓和教育來提高員工對風險的認識，熟悉我們風險管理的方法。

四、內(nèi)部控制基本框架

1、內(nèi)部控制基本框架

美國COSO內(nèi)部控制框架定義是一套由董事會、管理層及其他相關人員共同實施的程序，以合理確保下面三個目標的實現(xiàn)。一是財務報表的可靠性。二是適用法律法規(guī)的合規(guī)性。三是經(jīng)營項目活動的效率與效果。從這段話里面我們可以看到，內(nèi)部控制體系這樣一個框架是由整個公司全員參與的，它是由董事會、管理層及相關人員共同實施的一個程序。

我們看下COSO內(nèi)部控制框架，它分為五個要素來展示的。一是控制環(huán)境，二是風險評估。三是控制活動。四是信息與溝通。五是監(jiān)督。

2、風險管理基本框架

內(nèi)部控制與風險管理到底有什么區(qū)別，其實他們就是一碼事，只是說他們在不同的一個時間階段，對這個概念和這個工作的一個提升。

美國COSO里面對風險管理的定義。風險管理是一種程序，由企業(yè)的董事會、管理層和其他員工共同使其生效應對以下目標實現(xiàn)合理的保證，在基本框架基礎上增加了戰(zhàn)略目標的實現(xiàn)，對法律法規(guī)的遵循性的實現(xiàn)，經(jīng)營效率及效果的實現(xiàn)，包括財務報告可靠性的實現(xiàn)。

為了確保戰(zhàn)略目標的實現(xiàn)，然后我們再看下美國COSO企業(yè)風險管理框架圖，這個框架圖是在美國COSO內(nèi)部控制框架圖上的一個提升和一個擴展，我們看到在內(nèi)部控制和環(huán)境的基礎之上，我們又增加了目標設定，事項識別，這2個要素，同時，在風險評估這個環(huán)節(jié)我們看到有風險應對這1個要素，對于控制活動還有信息溝通還有監(jiān)督檢查都是我們在COSO內(nèi)部控制框架圖是能夠看到的。

對于這個基本框架的一個變化呢，主要三體現(xiàn)在以下幾個方面。一是戰(zhàn)略目標方面。它增加了戰(zhàn)略目標的實現(xiàn)，包括報告目標的范圍也進一步變廣了。二是風險方面。我們在風險管理體系框架里面我們進一步提出了企業(yè)整體層面的風險組合，我們要識別公司層面的風險，我們要對整個公司層面風險進行組合排序，而進行進一步的識別。三是內(nèi)部環(huán)境方面。體現(xiàn)了風險的偏好，風險的容忍度這樣的一個概念，我們從控制環(huán)境把它變化到內(nèi)部環(huán)境。

3、我國風險管理框架

我國在美國薩班斯法案，日本的有關薩班斯法案基礎之上形成具有中國特色的薩班斯法案。財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會關于印發(fā)財會(2008)7號文《企業(yè)內(nèi)部控制基本規(guī)范的通知》。2009年4月，財政部會同證監(jiān)會、審計署、國資委、銀監(jiān)會、保監(jiān)會等部門發(fā)布了《企業(yè)內(nèi)部控制配套指引》，施行企業(yè)內(nèi)部控制規(guī)范體系的企業(yè)，必須對本企業(yè)內(nèi)部控制的有效性進行自我評價，披露自我評價報告，同時聘請會計師事務所對其財務報告內(nèi)部控制的有效性進行審計，出具審計報告。自2011年1月1日起首先在境內(nèi)外同時上市的公司施行，自2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行。

配套指引由《18項應用指引》、《企業(yè)內(nèi)部控制評價指引》和《企業(yè)內(nèi)部控制審計指引》組成。應用指引是對企業(yè)按照內(nèi)控五原則和內(nèi)控“五要素”建立健全本企業(yè)內(nèi)部控制所提供的指引，在配套指引乃至整個內(nèi)部控制規(guī)范體系中占據(jù)主體地位。企業(yè)內(nèi)部控制評價指引是為企業(yè)管理層對本企業(yè)內(nèi)部控制有效性進行自我評價提供的指引。企業(yè)內(nèi)部控制審計指引是為注冊會計師和會計師事務所執(zhí)行內(nèi)部控制審計業(yè)務的執(zhí)業(yè)準則。

五、企業(yè)建立內(nèi)部控制遵循的五大原則

企業(yè)建立與實施內(nèi)部控制首先應該遵循以下五大原則。

1、全面性的原則

必須是全員的，從董事會、監(jiān)事會、經(jīng)理層到全體員工共同參與和實施；必須是全過程的，從相關活動的預測、決策、執(zhí)行、考核、監(jiān)督整個過程都要進行內(nèi)部控制；必須是全面的，總部、分部、管理機關、生產(chǎn)部門，生產(chǎn)業(yè)務、經(jīng)營業(yè)務、投資業(yè)務、融資業(yè)務等各項業(yè)務和事項都要加以控制。

2、重要性的原則

重要性原則里面提到的是對業(yè)務處理的關鍵部位以及關鍵崗位加以特別的防范，這里提到的是要對關鍵的控制點以及關鍵的崗位，我們提到的是重要性的原則。我們要針對公司重要的流程來進行特別的防范。

3、制衡性的原則

這里提到的包括治理結構的制衡，機構設置及權限分配的制衡，業(yè)務流程的制衡。其實我們這里可以看到治理結構還有機構設置，其實就是公司的內(nèi)部環(huán)境，內(nèi)部環(huán)境對于公司內(nèi)部控制的搭建工作來講，它是一個基礎性的工作，非常重要。如果沒有這個環(huán)境的情況下，工作是無法正常的開展的。它是一個相輔相成的關系。

4、適應性原則

內(nèi)部控制必須適應不斷變化的外部環(huán)境，也就是說，我們公司的內(nèi)部控制不僅僅是局限于本身的一個管理，它是不斷需要適應外部環(huán)境的。那么，外部環(huán)境也是分為不同的情況，比如說宏觀經(jīng)濟的影響，整個國家的經(jīng)濟的影響，還有諸多其他的一些因素。這個東西呢，我們需要再建立內(nèi)部體系的基礎之上呢，我們需要不斷的完善它，而不是說僅僅將我們的內(nèi)控體系固化下來。這是一個提升的過程，它是一個凈化的過程，不斷的開展，是一個延續(xù)性長期性的工作。

5、成本效益的原則

建立企業(yè)內(nèi)部控制體系其主要是建立成本效益的原則，我們是需要各種內(nèi)部控制的方法和程序的成本，我們之所以要搭建內(nèi)部控制體系，其目的是為了防范風險對企業(yè)造成的損失和浪費，但是我們在做這個工作的時候，我們要把握的原則是成本效益，也就是說這個成本效益不應該超過我潛在風險給公司帶來的損失和浪費。

六、內(nèi)部控制五大目標

內(nèi)部控制的目標是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務報告及相關信息真實完整，提高經(jīng)營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略，具體包括以下五大目標。

1、戰(zhàn)略目標

戰(zhàn)略目標要求企業(yè)將近期的利益和長期的利益相結合。在企業(yè)經(jīng)營管理中努力做出符合戰(zhàn)略要求，有利于提升企業(yè)持續(xù)發(fā)展力和持久價值的一個選擇。這項目標主要是為了戰(zhàn)略相關的要求。其目的是為了進一步提升可持續(xù)發(fā)展的能力，創(chuàng)造企業(yè)長久性的價值。

2、經(jīng)營目標

經(jīng)營目標要求企業(yè)結合自身目標經(jīng)營環(huán)境和經(jīng)濟環(huán)境，通過健全有效的內(nèi)部控制，不斷提高經(jīng)營活動的營運能力和管理效率。

3、報告目標

企業(yè)可靠的信息報告，可以為企業(yè)提高適合其目標準確和完整的信息，支持管理層的決策和對運營活動和業(yè)績的監(jiān)控，同時可以保持對外披露報告的真實性和完整性，有利于提升企業(yè)的誠信度和公信力，維護企業(yè)良好的聲譽和形象。

4、資產(chǎn)目標

資產(chǎn)的安全和完整性是投資者或債權人和其他利益相關者普遍關注的較重大的一個問題，它是對于企業(yè)來講，是企業(yè)可持續(xù)發(fā)展的一個物質(zhì)的基礎。

5、合規(guī)目標

守法和誠信是企業(yè)健康發(fā)展的基石，我們必須在企業(yè)發(fā)展的進程之中使之合規(guī)，合規(guī)性的目標是要求企業(yè)必須將發(fā)展置于國家允許的法律法規(guī)基本框架之下。也就是說我們做的任何一件事情，是要在守法的基礎上來實現(xiàn)的。這樣才能促進企業(yè)自身的一個發(fā)展。

七、內(nèi)部控制五大要素

《企業(yè)內(nèi)部控制基本規(guī)范》由總則、內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督和附則7章，共50條組成。

其中核心內(nèi)容就是內(nèi)部控制五要素：內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督。

企業(yè)建立與實施有效的內(nèi)部控制，應當包括以上五大要素。

1、內(nèi)部環(huán)境

它是內(nèi)部控制體系建設的基礎，是有效實施內(nèi)部控制的保障，直接影響著企業(yè)內(nèi)部控制的貫徹與執(zhí)行，包括公司經(jīng)營目標，以及整體戰(zhàn)略目標的實現(xiàn)。它的主要內(nèi)容包括治理結構，機構設置及權限權責分配，內(nèi)部審計，人力資源政策，企業(yè)文化等內(nèi)容。

1）治理結構

企業(yè)應當根據(jù)國家的法律法規(guī)和相關的規(guī)章制度建立規(guī)范公司治理結構和議事的規(guī)則，明確決策、執(zhí)行、監(jiān)督等方面的權限，實行科學有效的職責分工和制衡的機制。這里談到治理結構就是要求公司要形成規(guī)范的議事的規(guī)則，要明確決策執(zhí)行、監(jiān)督方面的職責和權限，也就是說對公司所有的工作進行一個職責的分工和一個制衡的機制。其中，這里可以看到股東大會享有法律法規(guī)和企業(yè)規(guī)章制度合法的權力，依法行使企業(yè)經(jīng)營方針、投資、利潤分配等重大事項的表決權，董事會是要對股東大會進行負責，依法行使企業(yè)的經(jīng)營決策權，監(jiān)事會對股東大會負責，監(jiān)督企業(yè)董事、經(jīng)理和其他高級管理人員依法履行職責，經(jīng)理層負責實施股東大會、董事會決議的事項，主持企業(yè)的生產(chǎn)經(jīng)營管理工作。

2）機構設置及權責分配

企業(yè)應當結合自身特點和內(nèi)部控制的要求設置內(nèi)部機構，明確職責的權限，將權力和責任落實到各責任單位，企業(yè)內(nèi)部機構設置雖然沒有統(tǒng)一的模式，但所采用的組織機構應當有利于提升管理的效能，保證信息的通暢，企業(yè)應當通過編制的內(nèi)部控制管理手冊使員工掌握機構設置，崗位職責，業(yè)務流程等情況，明確權責分配，自覺行使職權。

3）內(nèi)部審計

企業(yè)應當配備適當?shù)膶徲嬋藛T，保證審計工作的獨立性，作為內(nèi)控審計部門應該有一個很合理的機構設置和人員的配備，它是在整個公司的工作里面起到一個獨立性的、一個監(jiān)督的工作。

4）人力資源政策

企業(yè)應當制定和有利于企業(yè)可持續(xù)發(fā)展的人力資源的政策，人力資源政策包括員工的聘用、培訓、辭退、提職、員工的薪酬、考核、晉升、獎懲、關鍵崗位職工的強制休假制度、崗位輪換制度，掌握重要商業(yè)秘密的員工離崗的限制性規(guī)定，同時也包括人力資源其他相關的政策，企業(yè)應當將職業(yè)道德修養(yǎng)、專業(yè)的勝任能力作為選拔和聘用員工的重要標準。切實加強員工培訓和繼續(xù)教育，不斷提升員工的素質(zhì)，對一個企業(yè)來講，企業(yè)的發(fā)展主要靠人，每一個事情具體要落實到每一個人身上。就是說只有人將這些基礎性做好，我們要建立完善的培訓機制，我們要不斷的在工作過程中，我們要對員工進行后續(xù)的培訓和教育，要不斷的提升它的本身的素質(zhì).5）企業(yè)文化

全面風險管理要貫穿到企業(yè)文化中，也就是讓大家全面的意識到什么叫做風險管理，我們?yōu)槭裁匆刂骑L險，為什么要預防風險，其目的是為了讓公司能夠更長久更持續(xù)更穩(wěn)健的發(fā)展。加強文化的建設，培育積極向上的價值觀和社會責任感，倡導誠實守信、愛崗敬業(yè)、開拓創(chuàng)新、團隊協(xié)作的精神。樹立現(xiàn)代化管理理念，強化風險意識，在這個文化建設之中呢，董事會、董事、監(jiān)事、經(jīng)理及其他高級管理人員應當發(fā)揮主導性的作用。企業(yè)的員工應當遵守企業(yè)的員工手冊，認真履行崗位的職責，這個地方提到一個文化氛圍的一個作用，也就是說企業(yè)要有企業(yè)文化的建設，使員工有這樣的價值觀和社會的一種責任感。

2、風險評估

風險評估是及時識別科學分析評估影響公司目標實現(xiàn)各種不確定性因素，并制定應對策略的過程，是實施內(nèi)部控制的重要環(huán)節(jié)，這個地方要提到的是風險不僅僅是消極的因素，同時它也包括積極的因素。我們需要通過科學的方法來評估影響公司目標實現(xiàn)的各種不同的因素，來制定應對的策略。在經(jīng)營活動中如果有消極的因素我們要進行控制，把它控制在我們可接受的范圍之內(nèi)，那么，對于積極的因素我們要把握住這個機會這個好的因素來推進這個公司整個工作的開展。其風險評估的主要內(nèi)容是我們是采用定性和定量相結合的方法，從可能性、影響程度等方面對風險的重要性進行評估，在做這項工作評估的時候，我們會針對公司層面和流程層面分別來進行風險評估的工作，最后進行綜合的評價結果，確定重大風險和管理優(yōu)先的順序。

它分為五個步驟，一是目標的設定，二是風險的識別，三是風險的分析，四是風險的應對。

1）目標的設定

設定與初始信息的收集，需要公司在進行風險評估的時候，根據(jù)公司設定的目標，全面系統(tǒng)的收集相關的信息，結合實際的情況及時進行風險評估。這個地方我們要提到的是這樣幾個概念。一是固有風險和剩余風險，二是風險偏好，三是風險的容忍度，四是風險的組合觀。固有風險和剩余風險現(xiàn)階段我們要進行資料收集這樣一個工作，也是為我們下部工作風險分析做的基礎工作。我們需要為我們工作中設計的控制目標進行一個系統(tǒng)的信息收集。

2）風險的識別

風險的識別是在收集這些相關信息的基礎之上，我們來查找各項經(jīng)營活動及其業(yè)務活動存在的影響目標實現(xiàn)的風險及機率的過程。我們要對重要性的經(jīng)營活動和重要性的業(yè)務流程來進行風險的識別。它包括內(nèi)部的風險因素和外部的風險因素。

企業(yè)的內(nèi)部風險因素主要有：①董事、監(jiān)事、經(jīng)理及其他高級管理人員的職業(yè)操守、員工專業(yè)勝任能力等人力資源因素。②組織機構、經(jīng)營方式、資產(chǎn)管理、業(yè)務流程等管理因素。③研究開發(fā)、技術投入、信息技術運用等自主創(chuàng)新因素。④財務狀況、經(jīng)營成果、現(xiàn)金流量等財務因素。⑤營運安全、員工健康、環(huán)境保護等安全環(huán)保因素以及其他因素。

企業(yè)的外部風險因素主要有：①經(jīng)濟形勢、產(chǎn)業(yè)政策、融資環(huán)境、市場競爭、資源供給等經(jīng)濟因素。②法律法規(guī)、監(jiān)管要求等法律因素。③安全穩(wěn)定、文化傳統(tǒng)、社會信用、教育水平、消費者行為等社會因素。④技術進步、工藝改進等科學技術因素。⑤自然災害、環(huán)境狀況等自然環(huán)境因素以及其他因素。

3）風險的分析

風險分析是在風險識別的基礎上進一步識別風險發(fā)生的肯能性，對公司的目標影響的程度。風險分析是風險應對的基礎，沒有客觀、充分、合理的風險分析，風險應對將是無的放矢、效率低下的。

風險分析的方法一般是采用定性和定量這兩種方法。4）風險的應對

針對風險分析的基礎之上，我們根據(jù)企業(yè)相關目標、企業(yè)風險偏好、風險可接受程度、風險發(fā)生的原因、風險的重要性來確定適當?shù)膽獙Σ呗浴?/p>

一種是風險的規(guī)避。是企業(yè)對超出風險承受度的風險，通過放棄或停止與該風險相關的業(yè)務活動來避免或減輕損失的策略。

二種是風險降低。是企業(yè)在權衡成本效益之后，準備采取適當?shù)目刂拼胧┙档惋L險或減輕損失，將風險控制在風險承受程度之內(nèi)的策略。

三種是風險分擔。是企業(yè)準備借助他人力量，采取業(yè)務分包，購買保險等方式和適當?shù)目刂拼胧瑢L險控制在風險承受度之內(nèi)的策略。

四種風險承受。是企業(yè)對風險承受度之內(nèi)的風險，在權衡成本效益后，不準備采取控制措施降低風險或減輕損失的策略。風險在我們工作中時時都是存在的，只是我們通過內(nèi)控工作完善來降低風險，降到風險能夠公司承受的范圍之內(nèi)。

3、控制活動

控制活動是指公司根據(jù)風險評估的一個結果，采取相應的控制措施，將風險控制在可承受的范圍之內(nèi)。

控制活動一般包括不相容職務分離、授權審批、會計系統(tǒng)、財產(chǎn)保護、預算、運營分析、績效考評、突發(fā)事件應急。

1）不相容職務分離的控制

企業(yè)要全面分析梳理業(yè)務流程中涉及到的不相容的職務，制定相應的分離措施，使之各施其責，相互制約的工作機制。

不相容職務一般包括授權批準與業(yè)務經(jīng)辦，業(yè)務經(jīng)辦與會計記錄，會計記錄與財產(chǎn)保管，業(yè)務經(jīng)辦與稽核檢查，授權批準與監(jiān)督檢查。比如說，授權進行某項經(jīng)濟業(yè)務和執(zhí)行該項業(yè)務的職務要分離，如有權決定或審批材料采購的人員不能同時兼任采購員職務。

2）授權審批控制

企業(yè)要根據(jù)常規(guī)的授權和特別授權的規(guī)定，明確各崗位辦理事物或事項的權限的范圍。審批程序和相應的責任應當編制一個常規(guī)的一個授權指引，規(guī)范特別授權的范圍，權限，程序和責任。

常規(guī)授權是指在企業(yè)日常管理活動中按照既定的職責和程序進行的授權。

特別授權是指企業(yè)在特殊的情況下進行的授權，企業(yè)應當嚴格控制特別授權。企業(yè)各級管理人員應對在授權范圍內(nèi)履行自己的職權和承擔相應的責任。企業(yè)對于重大的業(yè)務和事項，應當實行集體決策審批或者聯(lián)簽制度，任何個人不得單獨進行決策或者擅自改變集體決策。

授權批準控制的內(nèi)容包括：一是授權批準的范圍；二是授權批準的層次；三是授權批準的責任；四是授權批準的程序。

3）會計系統(tǒng)的控制

企業(yè)要嚴格執(zhí)行國家統(tǒng)一的會計準則制度，加強會計基礎的工作，明確會計憑證、會計賬簿和會計報告處理的程序，保證會計資料真實的完整，企業(yè)應當依法成立會計機構，配備相關人員，從事會計工作的人員必須取得相應的資格證書，會計機構負責人應當具備會計師以上的專業(yè)技術職務資格，實現(xiàn)企業(yè)滿足合規(guī)的目標。

會計系統(tǒng)是為確認、匯總、分析、分類、記錄和報告企業(yè)發(fā)生的經(jīng)濟業(yè)務，并保持相關資產(chǎn)和負債的受托責任而建立的各種會計記錄手段、會計政策、會計核算程序、會計報告制度和會計檔案管理制度等的總稱。4）財產(chǎn)保護的控制

企業(yè)要建立日常的管理制度并且建立定期的清查制度，實現(xiàn)財產(chǎn)的定期盤點，賬物核對等措施，確保財產(chǎn)安全。也就是說公司里面所有財產(chǎn)要進行盤點，賬物進行核對。這是公司企業(yè)發(fā)展的一個物質(zhì)的基礎。企業(yè)應當嚴格限制未經(jīng)授權的人員接觸和處置財產(chǎn)。

5）預算控制

企業(yè)要實行全面的預算管理制度。這個對于央企來講還沒有做得很完善。明確各責任單位在預算管理中的職責權限，規(guī)范預算的編制和審定，預算下達和執(zhí)行的程序，強化預算的約束。這里也提到了分解預算控制的主要環(huán)節(jié)。包括目標的設定，預算指標的下達、責任人的落實，預算執(zhí)行的授權，預算執(zhí)行中的監(jiān)控，預算差異的分析和調(diào)整，預算業(yè)績的考核和獎懲。

6）運營分析控制

要求企業(yè)建立運營情況分析的制度，經(jīng)理層應當收集薪酬、投資等方面的信息，通過因素分析，對比分析等方法定期開展運營情況的分析，發(fā)現(xiàn)存在的問題，及時查明原因并加以改進。

7）績效考評控制

企業(yè)要建立和實行績效考核的制度，科學的設置考核指標體系，對企業(yè)內(nèi)部各責任單位和全體員工業(yè)績進行定期的考評和客觀的評價，將考評結果作為確定員工薪酬以及職務晉升、評優(yōu)、降級、調(diào)崗、辭退等依據(jù)。它的主要環(huán)節(jié)包括績效考評目標的設定、設置考核指標體系，選擇考核評價的標準，形成評價的結果，制定獎懲等措施。

4、信息與溝通

信息與溝通是公司準確的收集、傳遞與控制相關的信息，確保信息在公司內(nèi)部、公司外部之間有效溝通以促使職責的履行，信息是指公司財務與非財務相關的信息，不僅包括內(nèi)部產(chǎn)生的信息也包括公司經(jīng)營決策和對外報告的外部信息。

1）信息與溝通制度

企業(yè)應該建立企業(yè)信息與溝通制度，明確內(nèi)部相關信息的收集，處理和傳遞程序，確保信息及時溝通，促進內(nèi)部控制有效運行。

2）必要的信息收集傳遞

企業(yè)應當針對內(nèi)部收集和外部收集的信息進行合理的篩選與核對，進行整理，主要目的是提高信息的有用性，企業(yè)可以通過財務會計資料還有經(jīng)營管理等資料，包括調(diào)研報告，辦公網(wǎng)絡及內(nèi)部刊物等不同渠道收集內(nèi)部信息，同時，也可以通過社會中介機構、業(yè)務往來單位、市場的調(diào)查、來信、來訪、網(wǎng)絡媒體及有關證監(jiān)部門、監(jiān)管部門這些不同渠道來獲取外部信息。

3）信息共享

企業(yè)應當利用信息技術促進信息的集成與共享，充分發(fā)揮信息技術在信息與溝通的作用，企業(yè)應當加強對信息系統(tǒng)的開發(fā)與維護、訪問、變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡安全等方面的控制，保證信息系統(tǒng)的安全穩(wěn)定運行。

4）反舞弊機制

企業(yè)應當建立反舞弊的機制，堅持懲防并舉，重在預防的原則。明確反舞弊工作的重點領域、關鍵環(huán)節(jié)和有關機構在反舞弊工作中的職責權限，規(guī)范舞弊案件的舉報、調(diào)查、處理、報告和補救程序。

企業(yè)至少應當將下列情形作為反舞弊工作的重點：①未經(jīng)授權或者采取其他不法方式侵占、挪用企業(yè)資產(chǎn)，牟取不當利益。②在財務會計報告和信息披露等方面存在的虛假記載、誤導性陳述或者重大遺漏等。③董事、監(jiān)事、經(jīng)理及其他高級管理人員濫用職權。④相關機構或人員串通舞弊。企業(yè)應當建立舉報投訴制度和舉報人保護制度，設置舉報專線，明確舉報投訴處理程序、辦理時限和辦結要求，確保舉報、投訴成為企業(yè)有效掌握信息的重要途徑。

舉報投訴制度和舉報人保護制度應當及時傳達至全體員工。

5、內(nèi)部監(jiān)督

目前，內(nèi)部監(jiān)督這個要素對于企業(yè)來講，這個是比較薄弱的。有很多企業(yè)在建立內(nèi)部控制體系這個工作之后，這個體系也是在運行，但是沒有一個很完善監(jiān)督的機制。在這個內(nèi)部監(jiān)督這個要素之中，《基本規(guī)范》要求公司應該建立和實施情況進行監(jiān)督檢查，評價內(nèi)部控制有效性并及時加以改進的過程。內(nèi)部控制體系建設在建立之后，我們并不是固化下來了，它是需要有一個提升的過程的，在整個的運行中我們對它進行要監(jiān)督它和檢查，看這個內(nèi)控體系設計是否合理，它的運行是否有效。也就是說這個體系制定后我們要不斷加以完善和提升，使該項工作不能脫離實際在操作。

它包括日常監(jiān)督、專項監(jiān)督、缺陷追蹤及內(nèi)部評價。

1）日常監(jiān)督

企業(yè)對建立與實施內(nèi)部控制的情況進行常規(guī)、持續(xù)的監(jiān)督檢查。

2）專項監(jiān)督

公司在發(fā)展戰(zhàn)略、組織結構、經(jīng)營活動、業(yè)務流程、關鍵崗位員工較大調(diào)整或變化的情況下，對內(nèi)部控制某個或某些方面有針對性的一個評價。公司評價過程應主要關注評價計劃的制定，評價活動的執(zhí)行，評價報告和糾正措施。

專項監(jiān)督的范圍和頻率應當根據(jù)風險評估結果以及日常監(jiān)督的有效性等予以確定。所以一般來說，風險水平較高并且重要的控制，對其進行專項監(jiān)督檢查的頻率應較高。

3）缺陷跟蹤

公司針對應當明確報告缺陷的一個內(nèi)容，對報告跟進的程序和報告進一步的規(guī)范，并且制定內(nèi)部控制缺陷認定的一個范圍，明確缺陷定義及分類，以及缺陷評估內(nèi)容，方法和標準。

如果內(nèi)部控制和設計無法合理的保證內(nèi)部控制目標的實現(xiàn)，我們就可以認為這個內(nèi)部控制存在著一定的缺陷。

缺陷一般分為設計的缺陷、設計與運行的缺陷、財務報告內(nèi)部控制缺陷、非財務報告內(nèi)部控制缺陷。

根據(jù)其影響的程度又可分為重大缺陷、重要缺陷、一般缺陷。企業(yè)可以根據(jù)自身的一個情況，對重大缺陷重要缺陷一般缺陷進行一個標準進行一個界定。

我們可以從定性的標準和定量的標準兩種維度來進行確定。

重大缺陷是指一個或多個控制缺陷的組合可能導致企業(yè)嚴重的偏離控制目標。重要缺陷是一個或多個控制缺陷的控制組合其嚴重程度和經(jīng)濟后果低于重大缺陷，但仍有可能導致企業(yè)偏離企業(yè)目標。

一般缺陷是除了重大缺陷和重要缺陷之外的其他缺陷。4）內(nèi)部控制評價

內(nèi)部控制評價是公司內(nèi)部建立定期內(nèi)部評價的制度，明確評價的機構和職責權限，規(guī)范評價的范圍，方式、頻率，編制相應的內(nèi)部控制評價報告。這個也與我們中央企業(yè)全面風險管理指引報告的相關要求也一致的，我們需要進行相應的監(jiān)督和檢查并且根據(jù)評價的工作范圍和程序，定期對內(nèi)部控制的有效性進行自我評價，編制相應的內(nèi)部評價報告。

A．評價原則 全面性的原則。它是指內(nèi)部控制的設計和運行應該涵蓋企業(yè)及所屬單位的各種業(yè)務和事項。對事項控制目標的各個方面進行全面系統(tǒng)綜合性的評價。

重要性的原則。評價工作應當在全面評價的基礎上以風險為導向，根據(jù)風險發(fā)生的可能性極其對實現(xiàn)控制目標的影響程度，這兩個維度來確定需要評價的重要業(yè)務單位，重大業(yè)務事項和高風險的領域。

客觀性原則。評價工作應當結合企業(yè)的行業(yè)環(huán)境、發(fā)展階段、經(jīng)營規(guī)模、業(yè)務特點等經(jīng)營實際，準確解決經(jīng)營狀況，以事實為依據(jù)，如實反映內(nèi)控控制設計與運行的有效性。確保評價結果有充足和適度的支持。

B．評價方法

評價方法包括個別訪談法，調(diào)查問卷法，穿行測試法，抽樣法，實地調(diào)查法，比較分析法。

個別訪談法。我們編寫訪談提綱，然后再寫訪談紀要，記錄訪談相關的內(nèi)容，這個工作主要的目的是為了了解公司內(nèi)部控制的現(xiàn)狀。

調(diào)查問卷法。針對企業(yè)公司層面的一個風險進行的一個評價。調(diào)查問卷會盡量擴大它的對象范圍，包括企業(yè)各個層級的員工。應該注意事先保密性。題目盡量簡單易答。

穿行測試法。我們主要是為了在整個內(nèi)部控制流程過程中，任意選取一筆交易的樣本，進行追蹤，該交易最初起源到最終結束在財務報表或其他經(jīng)營管理報告中反映出來的整個的過程。經(jīng)從該流程的起點到終點的全過程。其目的也就是為了了解控制措施設計的有效性，并且識別出這個流程中的關鍵控制點。

抽樣法。進行隨機的抽樣和其他的抽樣，對我們抽樣的樣本數(shù)量設定一個控制的范圍。

實地調(diào)查法。我們可以結合我們企業(yè)的實際的相關的業(yè)務進行財務單證運行核對，并且對于像資產(chǎn)這塊我們進行實地的盤點。

比較分析法。我們結合有關專業(yè)人員就內(nèi)部控制執(zhí)行情況或者控制問題進行分析，其目的是為了控制評價的手段，也是形成缺陷方案的一種途徑。

C．內(nèi)部控制評價內(nèi)容

企業(yè)應當對與實現(xiàn)整體控制目標相關的內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督等內(nèi)部控制要素進行全面系統(tǒng)、有針對性的評價。

企業(yè)實施內(nèi)部控制評價，包括對內(nèi)部控制設計有效性和運行有效性的評價。內(nèi)部控制設計有效性是指為實現(xiàn)控制目標所必需的內(nèi)部控制要素都存在并且設計恰當；內(nèi)部控制運行有效性是指現(xiàn)有內(nèi)部控制按照規(guī)定程序得到了正確執(zhí)行。

評價內(nèi)容包括但不限于：

①單位組織結構中的職責分工的健全狀況。

②各項內(nèi)部控制制度及相關措施是否健全、規(guī)范，是否與單位內(nèi)部的組織管理相吻合。③各項工作中的業(yè)務處理與記錄程序是否規(guī)范、經(jīng)濟，其執(zhí)行是否有效。

④各項業(yè)務工作中的授權、批準、執(zhí)行、記錄、核對、報告等手續(xù)是否完備。⑤各崗位的職權劃分是否符合不相容崗位相互分離的原則，其職權履行是否得到有效控制。

⑥是否有嚴格的崗位責任制度和獎懲制度。

⑦關鍵控制點是否均有必要的控制措施，其措施是否有效執(zhí)行。⑧內(nèi)部控制制度在執(zhí)行中受管理層的影響程度。

第四篇：推進企業(yè)內(nèi)控體系建設的思考

推進企業(yè)內(nèi)控體系建設的思考 2009-6-25 15:50 齊春枝 【大 中 小】【打印】【我要糾錯】

摘 要：推行企業(yè)內(nèi)部控制制度是適應國內(nèi)外資本市場監(jiān)管、提升企業(yè)自身管理發(fā)展水平的客觀要求。分析了建立健全和嚴格執(zhí)行企業(yè)內(nèi)部控制制度面臨的問題，并從建立完善內(nèi)控制度、提升執(zhí)行效果、完善監(jiān)督體系、培養(yǎng)員工內(nèi)控意識等方面探討了推進企業(yè)內(nèi)控體系建設的策略。關鍵詞：內(nèi)部控制；建立；執(zhí)行；監(jiān)督內(nèi)控體系建立的背景與必要性

為適應企業(yè)國際化發(fā)展的需要，我國政府高度重視內(nèi)控工作。2006年6月6日，國資委公布了《中央企業(yè)全面風險管理指引》，一時間，風險管理成為央企及地方國企關注的重點，內(nèi)控體系建設無疑是其中的重要著力點。2007年7月財政部、證監(jiān)會、國資委、審計署、銀監(jiān)會、保監(jiān)會等相關部門聯(lián)合成立了企業(yè)內(nèi)部控制標準委員會，要求我國的內(nèi)部控制標準體系建設要大力借鑒國際經(jīng)驗，在先進理念和技術方法上要緊緊跟上國際潮流，與國際發(fā)展趨勢相協(xié)調(diào)，切實推動我國企業(yè)走向國際。2008年6月28日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了國內(nèi)首部《企業(yè)內(nèi)部控制基本規(guī)范》，該規(guī)范將于2009年7月1日起首先在上市公司范圍內(nèi)施行，并鼓勵非上市的其他大中型企業(yè)執(zhí)行。

推行內(nèi)部控制制度意義重大，既是適應國內(nèi)外資本市場監(jiān)管的需要，又是企業(yè)提升自身經(jīng)營發(fā)展水平的要求。我國企業(yè)的內(nèi)部控制研究起步較晚，基本上是借鑒美國等發(fā)達國家對內(nèi)部控制的研究成果。根據(jù)美國《薩班斯－奧克斯利法案》(Sarbanes-Oxley Act)和證券交易委員會采納的COSO內(nèi)部控制框架對內(nèi)部控制的定義，內(nèi)部控制是為企業(yè)經(jīng)營的效率性、財務報告的可靠性、相關法規(guī)的遵循性等目標的實現(xiàn)而提供合理保障的過程。要求內(nèi)部控制具備五個要素，即控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督。但是，COSO 內(nèi)部控制框架體系不完全適合中國國情，必須結合企業(yè)的具體產(chǎn)品、經(jīng)營規(guī)模、管理特點和水平等，研究和制定一套適合企業(yè)特點的、在某些方面是獨有的內(nèi)部控制框架體系。2 建立內(nèi)控體系面臨的一些問題

2.1 法人治理結構有待完善

規(guī)范完善的公司法人治理結構包括公司股東大會、董事會、監(jiān)事會和經(jīng)理層，相互之間互相監(jiān)督，互有制約，決定著公司運作與發(fā)展的質(zhì)量。但我國還處于社會主義市場經(jīng)濟不斷完善的階段，不少企業(yè)的所有者和經(jīng)營者之間角色交叉，董事會和經(jīng)理層之間機構重疊，互相監(jiān)督、互相制約的機制不完善，董事會不能充分發(fā)揮其監(jiān)督和控制經(jīng)理層的作用，容易造成在沒有可行性論證情況下的隨意決策，導致決策失誤。

2.2 內(nèi)部控制沒有得到應有的重視

隨著經(jīng)濟信息化、國際化步伐的加快，企業(yè)面臨著各種各樣的風險，客觀要求企業(yè)必須建立能夠評估和防范風險的機制。但我國很多上市公司習慣于重視生產(chǎn)經(jīng)營、技術開發(fā)，輕視內(nèi)部管理和控制，風險意識薄弱，不善于風險評估和控制。近幾年來，雖然內(nèi)部控制工作在國有企業(yè)中迅速開展，許多企業(yè)建立內(nèi)部控制制度，并設立專門的內(nèi)部控制工作部門負責制度的實施，但在具體實施過程中，由于人員的培訓力

度不夠或者制度的制定脫離實際，導致某些制度降低辦事效率，甚至無法執(zhí)行，內(nèi)部控制沒有得到應有的重視。

2.3 監(jiān)督機制不夠健全

企業(yè)的監(jiān)督體系可分為內(nèi)部監(jiān)督和外部監(jiān)督兩個部分。從內(nèi)部看，我國現(xiàn)行企業(yè)內(nèi)部監(jiān)督體系應由監(jiān)事會、獨立董事和內(nèi)部審計機構組成，履行檢查、監(jiān)督、評價董事會和管理層實施內(nèi)部控制活動效果和效率的職責，保證企業(yè)的正常運行。然而很多企業(yè)的監(jiān)督評審主要依靠內(nèi)部審計部門來實現(xiàn)，我國內(nèi)部審計機構最初是在政府的要求下建立起來的，企業(yè)并沒有真正認識到內(nèi)部審計的作用，認為審計的功能仍然是查錯防弊，注重事后監(jiān)督，不注重事前、事中的控制；重視對財務報表的審計，忽略對管理現(xiàn)狀進行分析評價。而且，內(nèi)部審計部門一般受管理層領導，缺乏應有的獨立性，在內(nèi)部稽查、評價內(nèi)控制度是否完善和履行職責效率等方面，未能充分發(fā)揮應有的作用。

從外部看，我國企業(yè)已經(jīng)形成了政府監(jiān)管和社會監(jiān)督的外部監(jiān)督體系，由于各監(jiān)督主體缺乏信息溝通，各種監(jiān)督功能交叉、標準不一，再加上管理混亂，不能形成有效的監(jiān)督合力。此外，執(zhí)業(yè)環(huán)境和業(yè)務競爭的不規(guī)范，以及對注冊會計師的監(jiān)管不到位，使注冊會計師的社會監(jiān)督作用沒有真正發(fā)揮，在審計過程中存在走過場的現(xiàn)象。使得企業(yè)來自外部的監(jiān)督乏力。推進內(nèi)控體系建立的策略

3.1 建立健全規(guī)范的內(nèi)部控制制度和機構

實施有效的內(nèi)部控制，首先要建立完善的制度和機制。我國政府發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》的目的在于促進內(nèi)部控制的統(tǒng)一和規(guī)范，引導企業(yè)加強以財務報告控制為主線的相關標準建設，不僅有利于提高財務信息質(zhì)量，保護投資者合法權益，而且有利于公司遵守國家法律法規(guī)，完善管理制度，提高風險防范能力，這為企業(yè)建立內(nèi)部控制制度提供了依據(jù)。

建立健全企業(yè)內(nèi)控制度，要按照嚴格、詳細、具體的原則，結合本行業(yè)、本企業(yè)的特點和實際，制定實施細則。由于我國國有企業(yè)的規(guī)模一般都很大，管理的幅度大、層次多、信息量繁雜，必須進行深入的調(diào)查研究，調(diào)查研究是做好內(nèi)控工作的前提和基礎，通過有重點、有目的的專項調(diào)研工作，及時總結、提煉和推廣內(nèi)控管理工作中好的經(jīng)驗和做法，研究內(nèi)控體系發(fā)展和完善的工作思路，上下結合，合理有效地制定制度。企業(yè)應建立專門的內(nèi)控管理部門，以保證內(nèi)部控制制度的有效運行，目前較大的國有企業(yè)都建立了專門的職能部門來全面負責實施內(nèi)部控制工作。最終達到健全組織、明確職責、健全制度、規(guī)范運行的目標。

3.2 加強企業(yè)內(nèi)部控制要抓住其本質(zhì)和關鍵

加強企業(yè)內(nèi)部控制，既要全面更要抓住關鍵環(huán)節(jié)，一般說來，財務預算、資金結算、項目投資、物資采購和產(chǎn)品銷售等都是企業(yè)運轉與發(fā)展的重點環(huán)節(jié)，是企業(yè)避免和化解可能風險的關鍵所在。通過合理授權，使各級人員職責清晰，運轉流暢，避免審批權限過分集中。加強宣傳與培訓，形成全員把握關鍵點的意識，既利于內(nèi)控制度的實施，也利于集體監(jiān)督風氣的形成。把握實質(zhì)、強化關鍵控制成為內(nèi)控體系的重要組成部分。管理的中心內(nèi)容是控制，控制的有效性和嚴格性，是企業(yè)管理水平高低的最主要標志。增強控制能力，尤其是關鍵環(huán)節(jié)始終處于受控狀態(tài)，達到體系可靠、風險可控的目標。

3.3 扎實提升執(zhí)行力

無論制度多么完善，如果在實施過程中不能真正落到實處，就是一紙空文，因此，內(nèi)部控制的關鍵在于執(zhí)行，在于具體落實。要充分發(fā)揮政府部門的主導作用，為企業(yè)內(nèi)部控制制度建設營造良好的外部環(huán)境。完善的社會主義市場經(jīng)濟競爭機制，良好的競爭環(huán)境，會有力激發(fā)企業(yè)內(nèi)部控制建設意識，從根本上促進內(nèi)部控制建設。

在企業(yè)內(nèi)部，要統(tǒng)一規(guī)范業(yè)務流程，實現(xiàn)管理的系統(tǒng)化、程序化，使工作環(huán)節(jié)、業(yè)務步驟清晰可見，內(nèi)容要求明確，為執(zhí)行者的監(jiān)督檢查和考核提供依據(jù)。加強信息化建設，建立規(guī)范的業(yè)務流程數(shù)據(jù)庫，實現(xiàn)流程管理和控制的信息化。堅強對業(yè)務流程的梳理，解決好程序和效率的關系。在按流程運行、按程序操作、按控制執(zhí)行的關鍵環(huán)節(jié)，必須留下可供查實的證據(jù)，使規(guī)章制度執(zhí)行具有可檢查性。

3.4 培養(yǎng)全體員工的內(nèi)控意識和技能

內(nèi)部控制具有全面性和系統(tǒng)性，內(nèi)部控制不僅僅是管理部門的事，搞好內(nèi)部控制工作需要全員參與，必須由每一位員工自覺地落實到日常工作中去，因此要著力培養(yǎng)全體員工的內(nèi)控意識。把企業(yè)文化建設作為企業(yè)內(nèi)部控制建設的基礎，結合企業(yè)文化建設，加強內(nèi)部控制制度的宣傳和培訓力度，為內(nèi)部控制制度的實施建立良好的企業(yè)文化氛圍，使全體員工樹立內(nèi)控理念，掌握內(nèi)控知識，自覺地將內(nèi)控融入到日常工作中。加強內(nèi)控工作網(wǎng)絡和業(yè)務骨干隊伍建設，培養(yǎng)一批具有國際視野和戰(zhàn)略眼光的高素質(zhì)專業(yè)人才。

3.5 逐步完善法人治理結構和監(jiān)督體系

逐步完善法人治理結構，力求權利和責任的合理配置，切實保障兩權分離。決策層和經(jīng)營管理層要真正分開，互相制衡而又不影響協(xié)調(diào)運轉。增加外部獨立董事數(shù)量，發(fā)揮專業(yè)知識扎實、工作經(jīng)驗豐富，并具有獨立判斷能力的獨立董事的作用，對公司經(jīng)理層進行富有成效的監(jiān)督。

健全內(nèi)部審計機構，提高內(nèi)部審計的獨立性，充分認識內(nèi)部審計的重要作用，拓展內(nèi)部審計的職能，不斷強化內(nèi)部監(jiān)督。企業(yè)重大決策集體審批，企業(yè)部門之間相互牽制，關鍵崗位人員受控，對內(nèi)控制度執(zhí)行情況定期考核和評價，確保內(nèi)控工作真正得到全面落實。加強外部的政府監(jiān)管和社會監(jiān)督，理順政府各監(jiān)管部門及社會監(jiān)督機構在對企業(yè)內(nèi)部控制監(jiān)管和監(jiān)督中的職能和分工，建立起分工合理、監(jiān)管全面的監(jiān)督體系。政府監(jiān)管和社會監(jiān)督的從業(yè)人員，要不斷提高業(yè)務素養(yǎng)和職業(yè)道德水平，提高監(jiān)管質(zhì)量。

3.6 正確處理內(nèi)控與發(fā)展的關系

內(nèi)部控制體系的建立與完善是為了企業(yè)更好地發(fā)展，要正確處理內(nèi)控建設與企業(yè)發(fā)展之間的關系。通過對幾百家實施《薩班斯－奧克斯利法案》企業(yè)的運行成本、市場反應的系統(tǒng)研究［3～5］，發(fā)現(xiàn)相對嚴格的制度實際上增加了企業(yè)的運行成本，過分嚴厲的制度會束縛企業(yè)的手腳，限制其活力。因此，在建立企業(yè)內(nèi)部控制體系時，在符合國際規(guī)則的前提下，要堅持有利于企業(yè)良性發(fā)展的原則。

總之，推進企業(yè)內(nèi)部控制是發(fā)展趨勢，但又不能操之過急，難以一蹴而就。需要借鑒相關理論和國內(nèi)外成功實踐經(jīng)驗，結合企業(yè)的發(fā)展實際，加強調(diào)查研究和探索，構建涵蓋各領域的內(nèi)控體系，并實現(xiàn)有效運行，加強業(yè)務流程管理，突出特殊風險領域風險防控，強化和改進日常運行監(jiān)督，為企業(yè)規(guī)范、健康、持續(xù)發(fā)展提供了有力保障，提升企業(yè)管理水平。

第五篇：內(nèi)控建設實施工作方案

北京機電院高技術股份有限公司

股份公司發(fā)[2013] 34 號 簽發(fā)人：趙傳軍

內(nèi)部控制體系建設實施工作方案

北京京城機電控股有限責任公司：

為進一步提高風險防范能力，促進公司健康持續(xù)的發(fā)展，根據(jù)財政部等五部委印發(fā)的《企業(yè)內(nèi)部控制基本規(guī)范》及配套指引要求、市國資委《關于構建市屬國有企業(yè)內(nèi)部控制體系有關事項的通知》（京國資發(fā)[2013]13號）、京城控股《關于報送企（事）單位內(nèi)部控制體系建設實施方案的通知》（京機計（通）[2013]29號）的文件要求，結合北京機電院高技術股份有限公司（以下簡稱：機電院股份）管理現(xiàn)狀，現(xiàn)制定機電院股份內(nèi)部控制體系建設工作方案，具體內(nèi)容如下：

一、總體目標

根據(jù)財政部、市國資委、京城控股文件的要求，結合機電院股份“十二五”發(fā)展戰(zhàn)略的要求，提高效益，回報股東，惠及員工。按照“全面啟動、分批實施、務求實效”的原則，以全面測試、梳理機電院股份內(nèi)部控制現(xiàn)狀為基礎，以防范風險和提高效率為重點，以分析企業(yè)內(nèi)部控制缺陷、補充修訂管理制度、職責分工和業(yè)務流程為手段，/ 7 建立涵蓋公司的決策層、執(zhí)行層、作業(yè)層等各個層級的全員、全過程內(nèi)控體系。從而有效保證機電院股份經(jīng)營管理合法合規(guī)，資產(chǎn)安全，財務報告及相關信息真實完整，提高經(jīng)營效率和效果，促進實現(xiàn)公司發(fā)展戰(zhàn)略。

二、基本內(nèi)容

（一）構建以風險管控為導向的內(nèi)控管理體系

對照財政部等五部委出臺的《基本規(guī)范》和《配套指引》，對機電院股份的內(nèi)部控制體系進行優(yōu)化升級，實現(xiàn)內(nèi)控體系和內(nèi)控規(guī)范的全面接軌。即基于風險管控的基本要求，對現(xiàn)有的企業(yè)內(nèi)控流程進行升級建設；建立適合公司發(fā)展的內(nèi)控管理體系。

（二）構建以內(nèi)控信息一體化為目標的實施體系

以建立科學有效的業(yè)務、管理活動內(nèi)控流程為基礎，逐步實現(xiàn)主要內(nèi)控流程信息化運行。即業(yè)務流程風險控制點由“人控”到“機控”，主要管理和業(yè)務內(nèi)控流程能夠達到上線運行規(guī)劃要求。

（三）構建以內(nèi)控評價為重點的持續(xù)改進體系

通過內(nèi)控流程的實際運轉，分析評價控制缺陷和薄弱環(huán)節(jié)，對內(nèi)控體系存在的不足進行跟蹤，提出切實可行的整改方案，直至內(nèi)控流程符合規(guī)范、規(guī)劃要求。

三、重點任務

（一）完善流程制度體系

1、梳理風險控制流程。在風險評估的基礎上，要確定企業(yè)業(yè)務和管理活動所有潛在重大風險，包括風險名稱、風險類型、風險涉及的活動或流程、風險發(fā)生的可能性、風險發(fā)生后的影響、風險的責任部門等若干要素，要形成風險數(shù)據(jù)庫（風險清單），確定風險的應對策略/ 7 和控制辦法，將風險數(shù)據(jù)庫各風險點的管理和控制體現(xiàn)在業(yè)務流程設計中，明確業(yè)務流程運行標準、運行授權和風險控制辦法。建立基于風險防范的、覆蓋企業(yè)主要業(yè)務和管理活動的標準化流程體系。

2、完善風險控制制度。在流程梳理、流程標準建立的基礎上，對現(xiàn)有的制度體系全面整合梳理，對流程涉及單證和文擋的格式、內(nèi)容、標準進行統(tǒng)一規(guī)范。

（二）建立監(jiān)督評價體系

1、建立內(nèi)控標準的執(zhí)行檢查體系。包括檢查機制、檢查責任、檢查流程和檢查辦法。要圍繞內(nèi)控流程標準的關鍵控制點，根據(jù)關鍵控制點的控制措施和控制責任，設計關鍵控制點的執(zhí)行檢查辦法，配合流程標準，出具內(nèi)控檢查標準。

2、建立內(nèi)控定期的自我評價體系。結合內(nèi)控執(zhí)行檢查，定期開展內(nèi)控自我評價工作，對內(nèi)部控制設計有效性和執(zhí)行有效性進行定期評估，并將評價結果與績效考核掛鉤。

3、建立內(nèi)控的自我調(diào)整與完善體系。建立內(nèi)控標準的動態(tài)調(diào)整機制，包括調(diào)整分析、調(diào)整授權、調(diào)整審批、調(diào)整試運行與調(diào)整評價等，保持內(nèi)控的適應性。

（三）健全內(nèi)控組織體系

1、健全內(nèi)控決策組織。明確董事會、總經(jīng)理等內(nèi)控決策職責，理順內(nèi)控決策機制和決策流程，強化決策責任評價。

2、健全內(nèi)控管理組織。審計部是公司內(nèi)控管理組織的常設機構，負責組織內(nèi)控建設工作。事業(yè)部、管理部室、投資子公司是內(nèi)控建設的責任部門，負責內(nèi)控建設的具體實施工作。具體內(nèi)容如下：

（1）審計部：是公司內(nèi)控體系建設工作的日常組織與協(xié)調(diào)職能管/ 7 理部門。組織開展內(nèi)控評價、履行報告程序。完善公司內(nèi)部控制體系有效的監(jiān)督與評價等業(yè)務管理方面的制度體系建設及流程梳理，并落實內(nèi)控體系執(zhí)行情況。

（2）財務部：完善公司財務管理，為公司管理層提供有效、真實、可靠的財務數(shù)據(jù)分析及風險防控等方面的制度體系建設及流程梳理，并落實內(nèi)控體系執(zhí)行情況。

（3）總經(jīng)理辦公室：協(xié)調(diào)董事會與內(nèi)控工作機構的信息溝通，設計適應公司發(fā)展需要的組織機構和職能，建立規(guī)范的計劃與考核管理、制度管理、合同管理、法律事務管理、行政管理等管理體系等方面的制度體系建設及流程梳理，并落實內(nèi)控體系執(zhí)行情況。

（4）人力資源部：完善建立與公司發(fā)展戰(zhàn)略相適應的有特色的人力資源開發(fā)與管理體系和開放式的用人機制，建設精干、高效、不斷進取的員工隊伍，保持公司智力資本的競爭優(yōu)勢等方面的制度體系建設及流程梳理，并落實內(nèi)控體系執(zhí)行情況。

（5）總工程師辦公室：規(guī)劃、建設、完善公司技術創(chuàng)新體系，持續(xù)提高公司技術創(chuàng)新水平，保持公司技術領先優(yōu)勢，提升公司核心競爭力方面的制度體系建設及流程梳理，并落實內(nèi)控體系執(zhí)行情況。

（6）運營管理部：完善生產(chǎn)管理、工程管理、運營管理體系建設，促進公司生產(chǎn)管理、工程管理、運營管理水平的提高。規(guī)范并監(jiān)督投資公司經(jīng)營活動，確保投資安全，控制投資風險，提高公司投資效益等方面的制度體系建設及流程梳理，并落實內(nèi)控體系執(zhí)行情況。

（7）投資管理發(fā)展部：完善環(huán)保類項目投資、環(huán)保企業(yè)并購項目和相關的資本運作等方面的制度體系建設及流程梳理，并落實內(nèi)控體系執(zhí)行情況。/ 7（8）市場部：完善營銷體系建設，提高公司市場管理運作水平和市場競爭能力；保持公司營銷體系運行的有效性和適用性，擴大市場占有率，提高公司市場知名度和影響力等方面的制度體系建設及流程梳理，并落實內(nèi)控體系執(zhí)行情況。

（9）上市辦：研究與制訂公司發(fā)展戰(zhàn)略和產(chǎn)業(yè)發(fā)展子戰(zhàn)略，對戰(zhàn)略執(zhí)行情況和戰(zhàn)略調(diào)整提出建議，組織實施公司上市工作等管理方面的制度體系建設及流程梳理，并落實內(nèi)控體系執(zhí)行情況。

（10）國際部：完善國際市場的開拓，促進和保證公司國際業(yè)務快速發(fā)展，樹立公司品牌國際影響力，推動公司國際化發(fā)展等業(yè)務管理方面的制度體系建設及流程梳理，并落實內(nèi)控體系執(zhí)行情況。

（11）事業(yè)部：完善事業(yè)部管理方面的制度體系建設及流程梳理，并落實內(nèi)控體系執(zhí)行情況。

（12）投資子公司：完善投資公司管理方面的制度體系建設及流程梳理，并落實內(nèi)控體系執(zhí)行情況。

（四）優(yōu)化內(nèi)控環(huán)境體系

1、優(yōu)化內(nèi)控文化。要在原有企業(yè)文化的基礎上植入未雨綢繆、風險意識等內(nèi)部控制特征，形成“人人講內(nèi)控、人人實施內(nèi)控、人人受制內(nèi)控”的內(nèi)控文化。

2、優(yōu)化人力資源。要通過培訓進修、招聘等手段，培養(yǎng)內(nèi)控管理人才，做好內(nèi)控人才儲備。

四、工作安排

（一）實施進度

1、流程梳理階段：通過該階段工作，摸清企業(yè)主要業(yè)務和管理流程的實際運行狀況，為下一步的風險點排查和評級奠定基礎。/ 7

2、風險評估階段：進行風險信息的收集，完成和領導班子的訪談，形成公司流程的風險數(shù)據(jù)庫（風險清單）。

3、流程和組織、制度重整階段：結合風險評估形成的風險數(shù)據(jù)庫，進行流程的重新整合與設計，明確關鍵控制點，形成新的控制流程、組織架構和相關制度。

4、成果提交和驗收階段：完成內(nèi)控評價自評、手冊文檔撰寫等工作，提供內(nèi)控最終成果--內(nèi)控手冊。

（二）工作小組

公司組建內(nèi)控體系建設工作小組，公司高管、投資子公司高管、事業(yè)部經(jīng)理、管理部室經(jīng)理要根據(jù)內(nèi)控建設工作方案的要求，全面組織開展相關工作，工作小組成員名單如下：

組長：趙傳軍、殷新京

副組長：劉莉、李鳳、巴智勇、郭漫宇、方詠梅、劉軍、胡國飛、郭偉、遲向磊、白金玉、賈天新

組員：梁黎明、趙剛、康玲、于淑芬、印虹、郭文杰、潘然、盧金旗、施垠、趙旭丹、榮彬、王茜、李瑩、劉世峰、于廣濤、童外元

（三）具體時間安排及責任部門：

1、“內(nèi)控建設實施”啟動會

2013年11月10日前召開“內(nèi)控建設實施”啟動會，成立領導小組及工作小組。要求公司高管、管理部室中層干部、事業(yè)部經(jīng)理、辦公室主任、骨干員工、投資子公司高管等參加。

2、內(nèi)控風險評價梳理階段：2013年11月10日至2014年4月30日

事業(yè)部、管理部室、投資子公司配合工作小組完成梳理內(nèi)部控制/ 7 要求及制度體系建設及具體實施情況的差異，工作小組將梳理出來的關鍵內(nèi)控點及風險點進行梳理匯總，結合內(nèi)控要求，對公司制度進行全面清理，完成和領導班子的訪談工作，形成公司內(nèi)控流程中的風險清單。

3、流程和組織、制度重整階段：2014年5月1日至2014年12月31日

結合風險評估形成的風險清單，事業(yè)部、管理部室、投資子公司根據(jù)工作小組的工作安排，進行流程的重新整合與設計，明確關鍵控制點，形成新的控制流程、組織架構和相關制度。

4、成果提交和驗收階段：2015年1月1日至2015年8月31日 工作小組根據(jù)新的控制流程、組織架構和相關制度的執(zhí)行情況進行內(nèi)控自評、發(fā)現(xiàn)問題，及時修改。形成公司內(nèi)控手冊，上報京城控股。

二○一三年十月三十一日

主題詞：內(nèi)控建設 方案

北京機電院高技術股份有限公司總經(jīng)理辦公室 2013年10月31日印發(fā)

聯(lián)系人：郭文杰 聯(lián)系電話：85235093 共印4份 / 7