內(nèi)部控制建設(shè)六步法

1、內(nèi)部控制建設(shè)六步法第一步：內(nèi)控組織搭建與人員培訓(xùn)首先，組織保障是建立健全內(nèi)控的首要條件，根據(jù)基本規(guī)范 的定義：內(nèi)控是由企業(yè)董事會(huì)、監(jiān)事會(huì)、經(jīng)理層和全體員工實(shí)施的、 旨在實(shí)現(xiàn)控制目標(biāo)的過程，只有有了全員參與，內(nèi)控方能行之有效， 明確了各機(jī)構(gòu)在內(nèi)控決策、執(zhí)行以及監(jiān)督中的工作職責(zé)。構(gòu)建內(nèi)控體系最大的挑戰(zhàn)是如何與生產(chǎn)經(jīng)營相結(jié)合，將控制無縫 嵌入企業(yè)的生產(chǎn)、銷售、管理等各環(huán)節(jié)的工作中，所以除了成立專 / 兼職部門負(fù)責(zé)組織內(nèi)控的建立與持續(xù)改進(jìn)外， 搭建內(nèi)控組織很重要的 一環(huán)就是在各部門指定內(nèi)控人員來負(fù)責(zé)本部門的內(nèi)控建立與落實(shí)。其次，內(nèi)控建設(shè)要得到企業(yè)各層級(jí)員工的大力支持與配合，宣貫與培訓(xùn)是必不可少的，通過

2、宣貫讓各利益方了解內(nèi)控的意義， 通過培 訓(xùn)讓內(nèi)控人員理解和掌握內(nèi)控的理念和方法論， 在企業(yè)內(nèi)營造管控的 氛圍，為內(nèi)控建設(shè)奠定基礎(chǔ)。第二步：確定內(nèi)控建設(shè)的目標(biāo)與范圍內(nèi)控涵蓋企業(yè)的方方面面，是長期持續(xù)改進(jìn)的過程，并非是一蹴 而就的，筆者建議，在初期主要圍繞財(cái)務(wù)報(bào)告真實(shí)準(zhǔn)確的目標(biāo)來構(gòu)建 內(nèi)控體系，再逐步進(jìn)化為全面風(fēng)險(xiǎn)內(nèi)控體系。內(nèi)控建設(shè)圍繞公司層面、業(yè)務(wù)層面、信息系統(tǒng)層面三個(gè)層面展開， 企業(yè)根據(jù)自身的戰(zhàn)略規(guī)劃、經(jīng)營目標(biāo)、基本業(yè)務(wù)類型、組織架構(gòu)、職 責(zé)分工來確定內(nèi)控體系的建設(shè)范圍。公司層面建設(shè)以解讀戰(zhàn)略目標(biāo)為起點(diǎn)，如某公司的戰(zhàn)略目標(biāo)之一 是為把公司建設(shè)成長健康、業(yè)績優(yōu)良、回報(bào)理想的上市公司而努力 奮斗”

3、，相應(yīng)的經(jīng)營目標(biāo)是 公司組建為上市公司”，那么 公司治理” 與合規(guī)管理”就是公司層面重要事項(xiàng)。業(yè)務(wù)層面建設(shè)范圍采用定量與定性相結(jié)合的方法來判斷。定量方法從財(cái)務(wù)報(bào)告出發(fā)，確定重要性標(biāo)準(zhǔn)，如稅前利潤的 5%或資產(chǎn)總額 的1% （企業(yè)可以根據(jù)自身的情況調(diào)整），對(duì)超出此標(biāo)準(zhǔn)的會(huì)計(jì)科目 再輔以定性判斷。如：是否存在較大的錯(cuò)誤和舞弊的可能性，是否具 有較強(qiáng)經(jīng)營風(fēng)險(xiǎn)，管理層是否關(guān)注，往年審計(jì)是否有重大發(fā)現(xiàn)等。將 所確定的重要會(huì)計(jì)科目映射到相應(yīng)的業(yè)務(wù)流程，如收入”映射到 銷售”，成本”映射到 生產(chǎn)”與采購”，工程物資”與在建工程”映射到 工程項(xiàng)目”，再對(duì)這些重要的流程進(jìn)行梳理，確定內(nèi)控建設(shè)的子流程 /事項(xiàng)。信

4、息系統(tǒng)層面建設(shè)包括系統(tǒng)開發(fā)與維護(hù)、訪問與變更、數(shù)據(jù)輸入 與輸出、文件儲(chǔ)存與保管、網(wǎng)絡(luò)安全等方面的控制。第三步：風(fēng)險(xiǎn)評(píng)估確定了重要的流程 摩項(xiàng)后，要充分考慮對(duì)其目標(biāo)的實(shí)現(xiàn)可能造 成不利影響的內(nèi)外部因素，真正認(rèn)識(shí)到這些風(fēng)險(xiǎn)，再根據(jù)風(fēng)險(xiǎn)評(píng)估的 結(jié)果設(shè)計(jì)經(jīng)營管理的關(guān)鍵控制活動(dòng)，從而將風(fēng)險(xiǎn)降低到可控且可接受 的范圍內(nèi)。可以說風(fēng)險(xiǎn)評(píng)估師內(nèi)控建設(shè)的依據(jù)。具體實(shí)施可由內(nèi)控專/兼職部門牽頭，組織相關(guān)專業(yè)人員，采用 調(diào)查問卷”、頭腦風(fēng)暴”等方法來識(shí)別風(fēng)險(xiǎn)，并從風(fēng)險(xiǎn)發(fā)生的 可能 性”和 影響程度”兩個(gè)維度來評(píng)價(jià)風(fēng)險(xiǎn)，對(duì)風(fēng)險(xiǎn)進(jìn)行排序，企業(yè)對(duì)不 同水平的風(fēng)險(xiǎn)采取不同的態(tài)度和措施，從而將主要精力放在可能產(chǎn)生 重大風(fēng)險(xiǎn)的環(huán)

5、節(jié)上，而不是關(guān)注企業(yè)管理中的所有細(xì)小環(huán)節(jié)。第四步：設(shè)計(jì)關(guān)鍵控制活動(dòng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果設(shè)計(jì)關(guān)鍵控制活動(dòng)是內(nèi)控建設(shè)的核心環(huán)節(jié)，建議推進(jìn)方式如下：(1)針對(duì)第二步中確定的重要流程/事項(xiàng)，分析企業(yè)內(nèi)控現(xiàn)狀， 確定現(xiàn)有控制點(diǎn)，描述現(xiàn)有的控制措施與方法，并相應(yīng)歸集有關(guān)的規(guī) 章制度；(2)根據(jù)業(yè)務(wù)流程/事項(xiàng)中存在的風(fēng)險(xiǎn)，參照五部委的監(jiān)管要求 與最佳實(shí)踐，分析內(nèi)控設(shè)計(jì)中的差異。確認(rèn)現(xiàn)有的控制環(huán)節(jié)與方法是 否可以規(guī)避存在的各種風(fēng)險(xiǎn)，找出現(xiàn)有控制措施中的缺陷與遺漏， 設(shè) 計(jì)整改方案；(3)落實(shí)到相關(guān)部門/責(zé)任崗位，固化到內(nèi)部控制手冊中；(4)補(bǔ)充完善相關(guān)制度。如某企業(yè)合同評(píng)審與審批流程中，現(xiàn)有的控制措施是企業(yè)財(cái)務(wù)

6、部門和相關(guān)專業(yè)部門對(duì)其經(jīng)濟(jì)、技術(shù)條款進(jìn) 行評(píng)審，報(bào)領(lǐng)導(dǎo)審批執(zhí)行，對(duì)法律風(fēng)險(xiǎn)的控制缺失，針對(duì)這種狀況， 建議在合同評(píng)審時(shí)由總經(jīng)辦合同管理崗對(duì)法律條款進(jìn)行審核，出具專業(yè)意見后報(bào)領(lǐng)導(dǎo)審批。以流程和風(fēng)險(xiǎn)控制矩陣形式固化在內(nèi)控手冊中， 并相應(yīng)修訂合同評(píng)審程序及相關(guān)實(shí)施證據(jù)合同評(píng)審表。需要注意的是，控制活動(dòng)設(shè)計(jì)不僅包括業(yè)務(wù)層面的設(shè)計(jì)， 也包括 內(nèi)部環(huán)境、信息與溝通、內(nèi)部監(jiān)督等公司層面以及信息系統(tǒng)總體控制 的設(shè)計(jì)。第五步：內(nèi)控有效性測試在建立內(nèi)控體系后，需要對(duì)內(nèi)部控制運(yùn)行的有效性進(jìn)行測試：(1)企業(yè)在測試內(nèi)控有效性時(shí)，可以采取多種方法：詢問、觀 察、檢查、重復(fù)執(zhí)行或者是以上幾種方法的組合。根據(jù)風(fēng)險(xiǎn)的大小和

7、某一內(nèi)控程序消除風(fēng)險(xiǎn)的重要性， 應(yīng)該采取不同的測試方法，這樣可 以節(jié)約測試的成本以達(dá)到最佳效果。(2)選擇進(jìn)行測試的時(shí)間。為了確定截至財(cái)務(wù)年度日期間的內(nèi)控運(yùn)行的有效性，測試程序應(yīng)該在充分早的時(shí)間進(jìn)行。 并且隨著新的 變化，在接近年底時(shí)，還要進(jìn)行更多更新的測試。(3)確定測試的程度。在確定內(nèi)控測試的程度時(shí)，應(yīng)該考慮內(nèi) 控對(duì)實(shí)現(xiàn)企業(yè)目標(biāo)的重要性，需要考慮的因素包括以下幾個(gè)方面：企業(yè)計(jì)劃在何種程度上依賴某一控制的有效性；控制(例如，內(nèi)部 環(huán)境或信息系統(tǒng)總體控制)在何種程度上支持其他控制的有效性。 通 常，管理層應(yīng)該更廣泛地執(zhí)行程序以評(píng)估這類控制的運(yùn)行有效性；控制的執(zhí)行是人工操作的還是自動(dòng)操作的。 如

8、果存在人工的監(jiān)督或參 與，管理層的評(píng)估程序應(yīng)該更加廣泛；人工控制執(zhí)行的頻率；控 制的復(fù)雜程度；以下方面是否存在變化：可能負(fù)面影響控制設(shè)計(jì)或 運(yùn)行有效性的交易量或性質(zhì)；控制設(shè)計(jì)；執(zhí)行控制或業(yè)績監(jiān)控的關(guān)鍵 人員。企業(yè)在確定每個(gè)控制需要進(jìn)行測試的項(xiàng)目數(shù)量時(shí)， 需要運(yùn)用判斷 總體上講，要求至少應(yīng)該執(zhí)行和外部審計(jì)師通常進(jìn)行的測試量一致的 測試，以支持其控制有效性的結(jié)論。(4)針對(duì)測試結(jié)果進(jìn)行補(bǔ)救。企業(yè)的內(nèi)控經(jīng)過測試之后，也許 會(huì)是有效的，但有可能在某些方面還存在缺陷或沒有考慮到的地方。 那么我們需要針對(duì)測試后的結(jié)果進(jìn)行補(bǔ)救，對(duì)不完善的地方再進(jìn)行改 進(jìn)。這將是一個(gè)反復(fù)重復(fù)的過程，直到測試結(jié)果令人滿意為止，可以 為管理層對(duì)保證內(nèi)控有效性發(fā)表聲明作基礎(chǔ)。第六步：內(nèi)控體系的維護(hù)與更新內(nèi)控體系建設(shè)是一個(gè)動(dòng)態(tài)過程，并不是一勞永逸的。在測試整改 階段完成之后，只能說針對(duì)當(dāng)前的情況，所建立的內(nèi)控體系是有效的。 但外部環(huán)境和企業(yè)自身的情況是不斷變化的， 業(yè)務(wù)流程與風(fēng)險(xiǎn)也是在 不斷更新的，這就需要隨時(shí)關(guān)注內(nèi)部控制體系建設(shè)，維護(hù)更新，以適 應(yīng)具體情況的變化。管理層每年都需要出具自我評(píng)價(jià)報(bào)告， 來證明企 業(yè)內(nèi)部控制運(yùn)行的有效性。所以，為保證建立的內(nèi)控體系長期有效運(yùn) 行，需要根據(jù)外部環(huán)境和企業(yè)內(nèi)部管理狀況的不斷變化，持