论内部控制体系建设.doc

1、论内部控制体系建设摘 要：以内控实施背景、基础理论和体系框架构成之必备要素为切入点，阐述体系建设核心内容、实施步骤及操作技术，可概括为“两个层面六大步骤” 。即：公司层面、业务流程层面两个层面，搭建框架与梳理流程、制度框架与制度流程化、流程风险评估与控制措施评价、公司层面风险识别与评估、风险策略与解决方案、管理建议与控制手册六大步骤。其次通过例证说明内控评价关注要点，并简要分析了现阶段体系建设中的一些普遍性问题。 关键词：内控体系建设；内控评价；风险管理 中图分类号：F23 文献标识码：A 文章编号：1672-3198（2013）24-0110-03 凡事以理论为基，尊重客观事实，科学实践创新

2、，可以少走弯路，取得事半功倍效果，促进目标顺利实现。内部控制体系建设亦不例外。借鉴和吸收国际内部控制领域的理论知识、实务经验，可以为企业董事会、监事会、经理层及各层级全体员工提供可参照借鉴的内部控制体系建设中流程设计、文档管理、指标体系及其评估工具，减少企业自行探索研究花费大量的研发成本，节约时间少走弯路，有利于顺利推进内控体系建设工作。促进企业切实建立起既能提升管理水平、提高公司价值，又能满足外部监管要求的内控体系，实现为企业防范风险、保护资产安全、提高经营的效率和效果、增强财务报告及相关信息的真实可靠性，为企业合法、合规经营管理和实现发展战略提供合理保证的目标。 内控体系建设是一项系统性、

3、长期性、涉及面广泛的复杂工程。它渗透了企业整个组织的一系列活动，包括公司治理和机构设置、发展战略管理、人力资源管理、资产和财务管理、采购和销售管理、预算合同管理和财务报告等诸多领域，涵盖知识面非常广泛。所以，只有在构建内控体系时以先进内控理论为指引，认真学习内部控制相关法规、指引，并深刻领会内部控制的精髓，掌握其核心内容和精神实质，从自身实际出发，坚持理论指导实践，才能避免体系僵化、教条，实现与日常生产经营管理的充分融合。 1 内部控制体系构建理论基础 过去，内部控制建设是企业的内部行为，企业是否建立内部控制制度、是否真正执行、是否有效，都无须接受外部监管机构和独立审计机构的检查监督。现在，从

4、内部控制体系设计开发、运行维护、信息沟通及内部监控，到对外报送、披露报告均应遵从国家政策、法规、规范要求和公认的内部控制框架。目前，我国企业内控规范体系框架是政府相关部委、机构，本着立足我国实际、借鉴国际惯例而搭建，主要包括中央企业全面风险管理指引 、 企业内部控制基本规范及企业内部控制配套指引 ，包括应用指引 、 评价指引和审计指引 。上述政策、法规、规范为企业内部控制体系建设提供了理论支持。 2 内部控制体系建设的基本内容 凡事欲速则不达，何况企业内控体系建设是一项系统工程，涉及面广，更需要周密计划、详细安排、扎实推进，需要在综合考虑自身资源水平后，选择恰当的建设方法。无论哪种方法，都是为

5、实现管理制度化、制度流程化、流程规范化的目标和将风险控制在可承受范围内。都是在对企业管理现状分析的基础上，识别公司内部控制的薄弱环节和这些薄弱环节对公司影响的程度，并根据评估结果有针对性地开展内部控制建设。内控体系建设可分别从公司层面和流程层面两个层面展开，最终实现公司层面风险全流程管理目标。整个构建工作围绕“目标风险控制”对应关系，可以概括为搭建流程体系框架与梳理业务流程、建制度框架与制度流程化、流程层面风险评估与控制措施有效性评价、公司层面重大风险识别与风险要素评估、风险管理策略与整体解决方案、管理建议报告与内部控制手册六个步骤。 2.1 搭建流程体系框架与梳理业务流程 深入了解公司的业务

6、内容、风险特征、管理战略等，收集风险管理初始信息，搭建适合的流程体系框架，该框架以管理职能、业务板块为纵轴，以重要性水平为横轴，形成三级流程体系，以流程体系框架为基础，梳理业务流程，编制流程体系文件，为全面识别和评估流程层面业务风险打下基础。本步骤具体工作包括：搭建全面、立体的流程体系框架；梳理业务流程，编制流程体系文件；通过流程体系文件，揭示经营管理工作的现状。 2.2 建立制度框架与制度流程化 按照风险管理指引 、 基本规范及配套指引的要求，全面清理和评审企业内控制度企业规章制度。根据企业内部机构设置及职责权限界定和实际业务活动管理关系，理顺各项规章制度的逻辑关系，清除重复的、存在矛盾冲突

7、的和已部分或全部失效的规章制度，找出管理制度空白，全面完善制度建设，实现管理制度化，为制度流程化奠定坚实的基础。 有了健全的制度基础，将业务事项用流程固化下来，即“制度流程化” 。主要是用一种简明、易于理解的图形语言描绘流程中的所有活动及其角色分工，直观地表达业务活动间的相互关系及信息的流向，通过流程图直观地分析出流程中存在的关键问题及原因，并清晰地表述出流程化的方向及改进的关键点，促进企业有效地开展培训和指导每位员工按流程进行规范操作。流程图再配以详细的流程描述，对流程中每一步骤、每一控制及文档进行陈述，把流程的转入、流转、转出或结束说明清楚。该步骤的主要工作包括：基于公司管理需求、业务范围

8、和内容，梳理并审阅体系建设过程中涉及的规章制度；梳理并搭建公司制度体系框架 ；识别制度体系中的结构型缺陷；实现制度流程一体化管理。 2.3 流程层面风险评估与控制措施有效性评价 围绕重要业务领域和关键职能部门，基于已搭建和梳理的流程体系，识别和评估流程层面业务风险，评估现有控制措施的有效性，针对控制缺陷提出切实可行的改进建议，进行管理和业务流程全面优化，并在优化的基础之上进行固化，从而加强规范性操作，提升工作效率和效果。具体工作包括：编制专业化的流程体系文件（专业部分） ；从实际经营管理活动出发，根据对流程控制目标的影响程度和概率，识别流程层面的管理和业务风险（而不是依靠经验进行分解） ，建立

9、流程层面风险数据库；进行流程层面风险评估，并建立流程层面业务风险的评估机制、标准和程序；评价现有风险控制措施的有效性，识别流程层面控制缺陷，针对已识别的剩余风险进行控制措施设计，提出改进建议，进行业务流程优化。 2.4 公司层面重大风险识别与风险要素评估 为有效确定公司层面各风险对公司整体目标所带来的影响，便于公司有针对性对各风险采取有效措施，合理、恰当配置公司资源，节约人、财、物等各项成本，在识别公司层面风险数据库的基础上，需要对公司层面风险进行进一步的评估，评估每个风险发生的可能性和对目标实现的影响程度。 公司层面风险评估过程中，公司要注意紧密结合自身的具体实际情况，采用适当评估技术，运用

10、定性与定量相结合的方法，为公司层面风险应对提供依据。通过风险评估后，确定风险所处等级，选择恰当的风险应对策略。具体工作包括：开展问卷调查，结合行业特点收集企业战略、管理信息、业务数据、历史资料、外部环境等相关材料，识别公司层面风险，建立公司层面风险数据库；结合定量和定性分析，分别从发生可能性和影响重大性两个方面进行公司层面风险评估，对风险进行排序，评定重大、重要风险，绘制风险地图。 2.5 风险管理策略与整体解决方案 结合公司层面重大风险和流程层面业务风险的风险类型、风险分布和相互之间的关联，评估重大风险的现有管理策略，对不完善的部分进行调整和补充；针对公司层面重大风险，结合现有管理资源和管理

11、需求，制定整体解决方案。具体工作包括：评估重大风险的现有管理策略；对现有风险管理策略进行合理的调整和补充；根据风险管理策略，并且关注重大风险的全流程化管理方针，制定重大风险整体解决方案；根据管理资源配置和管理需求，设计并制定解决方案的实施办法和程序；编制公司 XX 年度全面风险管理报告 。 2.6 管理建议报告与内部控制手册 总结内控体系建设过程中发现的缺陷，提出建设性改进建议和意见，帮助进一步推进流程优化和管理提升。比如：针对现有内部控制制度内容不明细、操作性不强，制度缺失或已失效；关键或重要控制点匹配的既有控制措施不力，存在重大风险隐患；职能职责界定模糊，不相容职权分离等等情况，逐一提出改

12、进建议，汇总编写公司全面风险管理与内部控制管理建议报告 。 编制内部控制手册作为企业建立、执行、评价及维护内控与风险管理体系的指导和依据。主要以内部控制五要素为主线，对各要素关注要点进行分析，阐述企业采取的相应控制策略（措施） 。对完善企业内部控制制度，进一步规范企业内部各个管理层次相关业务流程，分解和落实责任，控制企业风险，提高经营效益与效率，合理保证财务报告及相关信息真实完整、经营活动的合法合规，确保企业资产安全高效运行，促进发展战略实现具有较强的现实意义。 3 内部控制有效性评价 内部控制有效性评价，主要指公司在按照内部控制“五要素”构建了内部控制规范体系框架基础上，参照基本规范以及内部

13、控制应用指引中 18 项指引对企业管理的要求，实施与标准的比对工作，从组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理等方面查找公司薄弱环节，完善公司内部控制体系。 内部评价工作不仅要体现全面性，突出重点同样重要，如何把握内控评价的重点呢？首先要对公司层面风险进行识别，识别主要基于与公司各职能部门的负责人和业务操作人员进行充分调研的结果，结合行业常见风险，并且考虑国务院国资委以及财政部等政府部门有关风险评估的相关要求，从战略、财务、市场、运营及法律五个领域来进行识别，形成公司风险数据库。然后对风险数据库中列示风险从发生的可能性和重要程度两个维度进行评估，识别出公司

14、面临的重大风险。公司层面重大风险采取分解落实方法，将其与流程层面风险进行对应，通过流程层面风险应对策略来降低公司层面风险。与公司重大风险防控相关的业务流程，在内控评价中应予以重点关注，以某公司为例。 某公司识别出公司面临的十大重大风险。按照“风险发生的可能性”及“风险发生后对公司的影响程度”两个维度，将公司当前面临的重大重要风险绘制成风险坐标图，如下图所示。 那么与施工安全与质量管理、外部劳务使用管理、业务合作伙伴、价格波动、工程项目管理、投资管理、合同管理、应收账款管理、企业声誉及分子公司管理控相关的业务流程与控制要点应该是内控评价予以关注的重点。 4 内控体系建设中需关注的问题 现阶段，在

15、我国企业绝大多数人对建立与实施内控体系认识不足，甚至存在错误的理解。主要表现有：对企业内控体系建设的实质和作用认识不清；集团各层级部分领导对内控体系建设的重视、参与程度不高；各相关业务单位和部门部分人员参与、配合程度不够等。认为内部控制只是应付外部监管的需要，而并非真正能防范风险和提升企业管理水平；认为内部控制是一项额外的负担，并非自己的本职工作；认为内部控制体系与公司既有管理体系是“两张皮”等等。因此，要将内部控制真正融入到企业日常经营管理，深入每个工作岗位，得到广大员工认可、理解并有效执行，必须从强化集团全员内控意识和思想认识方面着手，需要不断加强宣传培训，增强员工内控意识；需要从管理体制

16、、机制以及落实各级权利责任方面入手，建立内部控制长效机制，使用内部控制真正为企业经营管理服务。 参考文献 1财政部会计司.企业内部控制规范讲解S.2010. 2国资委.中央企业全面风险管理指引S.2006. 3胡为民.内部控制与企业风险管理实务操作指南M.北京：电子工业出版社，2009. 4赵立新，程绪兰，胡为民.上市公司内部控制实务M.北京：电子工业出版社，2010. 5杨清香.公司治理下的内部审计管窥J.财会月刊，2010， （8）：76-77. 6徐伟.试论风险导向内控体系建设在我国的应用J.审计研究，2010， （4）：64-67. 7毛新述，杨有红.内部控制与风险管理J.会计研究，2011， （5）. 8杨有红，李梓.试论 ERM 对我国企业内控系统构建的提升J.国际财务与会计，2010， （1）.