內(nèi)部控制建設六步法

第一步：內(nèi)控組織搭建與人員培訓

首先，組織保障是建立健全內(nèi)控的首要條件，根據(jù)《基本規(guī)范》的定義：內(nèi)控是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程，只有有了全員參與，內(nèi)控方能行之有效，明確了各機構(gòu)在內(nèi)控決策、執(zhí)行以及監(jiān)督中的工作職責。

構(gòu)建內(nèi)控體系最大的挑戰(zhàn)是如何與生產(chǎn)經(jīng)營相結(jié)合，將控制無縫嵌入企業(yè)的生產(chǎn)、銷售、管理等各環(huán)節(jié)的工作中，所以除了成立專/兼職部門負責組織內(nèi)控的建立與持續(xù)改進外，搭建內(nèi)控組織很重要的一環(huán)就是在各部門指定內(nèi)控人員來負責本部門的內(nèi)控建立與落實。

其次，內(nèi)控建設要得到企業(yè)各層級員工的大力支持與配合，宣貫與培訓是必不可少的，通過宣貫讓各利益方了解內(nèi)控的意義，通過培訓讓內(nèi)控人員理解和掌握內(nèi)控的理念和方法論，在企業(yè)內(nèi)營造管控的氛圍，為內(nèi)控建設奠定基礎。

第二步：確定內(nèi)控建設的目標與范圍

內(nèi)控涵蓋企業(yè)的方方面面，是長期持續(xù)改進的過程，并非是一蹴而就的，筆者建議，在初期主要圍繞財務報告真實準確的目標來構(gòu)建內(nèi)控體系，再逐步進化為全面風險內(nèi)控體系。

內(nèi)控建設圍繞公司層面、業(yè)務層面、信息系統(tǒng)層面三個層面展開，企業(yè)根據(jù)自身的戰(zhàn)略規(guī)劃、經(jīng)營目標、基本業(yè)務類型、組織架構(gòu)、職責分工來確定內(nèi)控體系的建設范圍。

公司層面建設以解讀戰(zhàn)略目標為起點，如某公司的戰(zhàn)略目標之一是“為把公司建設成長健康、業(yè)績優(yōu)良、回報理想的上市公司而努力奮斗”，相應的經(jīng)營目標是“公司組建為上市公司”，那么“公司治理”與“合規(guī)管理”就是公司層面重要事項。

業(yè)務層面建設范圍采用定量與定性相結(jié)合的方法來判斷。定量方法從財務報告出發(fā)，確定重要性標準，如稅前利潤的5%或資產(chǎn)總額的1%（企業(yè)可以根據(jù)自身的情況調(diào)整），對超出此標準的會計科目再輔以定性判斷。如：是否存在較大的錯誤和舞弊的可能性，是否具有較強經(jīng)營風險，管理層是否關注，往年審計是否有重大發(fā)現(xiàn)等。將所確定的重要會計科目映射到相應的業(yè)務流程，如“收入”映射到“銷售”，“成本”映射到“生產(chǎn)”與“采購”，“工程物資”與“在建工程”映射到“工程項目”，再對這些重要的流程進行梳理，確定內(nèi)控建設的子流程/事項。

信息系統(tǒng)層面建設包括系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡安全等方面的控制。

第三步：風險評估

確定了重要的流程/事項后，要充分考慮對其目標的實現(xiàn)可能造成不利影響的內(nèi)外部因素，真正認識到這些風險，再根據(jù)風險評估的結(jié)果設計經(jīng)營管理的關鍵控制活動，從而將風險降低到可控且可接受的范圍內(nèi)?？梢哉f風險評估師內(nèi)控建設的依據(jù)。

具體實施可由內(nèi)控專/兼職部門牽頭，組織相關專業(yè)人員，采用“調(diào)查問卷”、“頭腦風暴”等方法來識別風險，并從風險發(fā)生的“可能性”和“影響程度”兩個維度來評價風險，對風險進行排序，企業(yè)對不同水平的風險采取不同的態(tài)度和措施，從而將主要精力放在可能產(chǎn)生重大風險的環(huán)節(jié)上，而不是關注企業(yè)管理中的所有細小環(huán)節(jié)。

第四步：設計關鍵控制活動

根據(jù)風險評估的結(jié)果設計關鍵控制活動是內(nèi)控建設的核心環(huán)節(jié)，建議推進方式如下：

（1）針對第二步中確定的重要流程/事項，分析企業(yè)內(nèi)控現(xiàn)狀，確定現(xiàn)有控制點，描述現(xiàn)有的控制措施與方法，并相應歸集有關的規(guī)章制度；

（2）根據(jù)業(yè)務流程/事項中存在的風險，參照五部委的監(jiān)管要求與最佳實踐，分析內(nèi)控設計中的差異。確認現(xiàn)有的控制環(huán)節(jié)與方法是否可以規(guī)避存在的各種風險，找出現(xiàn)有控制措施中的缺陷與遺漏，設計整改方案；

（3）落實到相關部門/責任崗位，固化到內(nèi)部控制手冊中；

（4）補充完善相關制度。如某企業(yè)合同評審與審批流程中，現(xiàn)有的控制措施是企業(yè)財務部門和相關專業(yè)部門對其經(jīng)濟、技術條款進行評審，報領導審批執(zhí)行，對法律風險的控制缺失，針對這種狀況，建議在合同評審時由總經(jīng)辦合同管理崗對法律條款進行審核，出具專業(yè)意見后報領導審批。以流程和風險控制矩陣形式固化在內(nèi)控手冊中，并相應修訂《合同評審程序》及相關實施證據(jù)《合同評審表》。

需要注意的是，控制活動設計不僅包括業(yè)務層面的設計，也包括內(nèi)部環(huán)境、信息與溝通、內(nèi)部監(jiān)督等公司層面以及信息系統(tǒng)總體控制的設計。

第五步：內(nèi)控有效性測試

在建立內(nèi)控體系后，需要對內(nèi)部控制運行的有效性進行測試：

（1）企業(yè)在測試內(nèi)控有效性時，可以采取多種方法：詢問、觀察、檢查、重復執(zhí)行或者是以上幾種方法的組合。根據(jù)風險的大小和某一內(nèi)控程序消除風險的重要性，應該采取不同的測試方法，這樣可以節(jié)約測試的成本以達到最佳效果。

（2）選擇進行測試的時間。為了確定截至財務年度日期間的內(nèi)控運行的有效性，測試程序應該在充分早的時間進行。并且隨著新的變化，在接近年底時，還要進行更多更新的測試。

（3）確定測試的程度。在確定內(nèi)控測試的程度時，應該考慮內(nèi)控對實現(xiàn)企業(yè)目標的重要性，需要考慮的因素包括以下幾個方面：①企業(yè)計劃在何種程度上依賴某一控制的有效性；②控制（例如，內(nèi)部環(huán)境或信息系統(tǒng)總體控制）在何種程度上支持其他控制的有效性。通常，管理層應該更廣泛地執(zhí)行程序以評估這類控制的運行有效性；③控制的執(zhí)行是人工操作的還是自動操作的。如果存在人工的監(jiān)督或參與，管理層的評估程序應該更加廣泛；④人工控制執(zhí)行的頻率；⑤控制的復雜程度；⑥以下方面是否存在變化：可能負面影響控制設計或運行有效性的交易量或性質(zhì)；控制設計；執(zhí)行控制或業(yè)績監(jiān)控的關鍵人員。

企業(yè)在確定每個控制需要進行測試的項目數(shù)量時，需要運用判斷?？傮w上講，要求至少應該執(zhí)行和外部審計師通常進行的測試量一致的測試，以支持其控制有效性的結(jié)論。

（4）針對測試結(jié)果進行補救。企業(yè)的內(nèi)控經(jīng)過測試之后，也許會是有效的，但有可能在某些方面還存在缺陷或沒有考慮到的地方。那么我們需要針對測試后的結(jié)果進行補救，對不完善的地方再進行改進。這將是一個反復重復的過程，直到測試結(jié)果令人滿意為止，可以為管理層對保證內(nèi)控有效性發(fā)表聲明作基礎。

第六步：內(nèi)控體系的維護與更新

內(nèi)控體系建設是一個動態(tài)過程，并不是一勞永逸的。在測試整改階段完成之后，只能說針對當前的情況，所建立的內(nèi)控體系是有效的。但外部環(huán)境和企業(yè)自身的情況是不斷變化的，業(yè)務流程與風險也是在不斷更新的，這就需要隨時關注內(nèi)部控制體系建設，維護更新，以適應具體情況的變化。管理層每年都需要出具自我評價報告，來證明企業(yè)內(nèi)部控制運行的有效性。所以，為保證建立的內(nèi)控體系長期有效運行，需要根據(jù)外部環(huán)境和企業(yè)內(nèi)部管理狀況的不斷變化，持續(xù)建設企業(yè)的內(nèi)部控制體系，不斷改進完善。

綜上所述，企業(yè)通過以上六步的動態(tài)閉環(huán)，有助于把內(nèi)控的理念和要求融入日常的工作，從而使各崗位高效運行，各部門密切配合，充分發(fā)揮整體的作用，以順利實現(xiàn)企業(yè)的目標。

—

END

—