论企业的内控制度建设

李静波

1 内控规范体系建设目标和范围

通过识别监控企业各项风险点，落实企业事前、事中、事后的风险全面管控体系，杜绝形式主义，将内控建设工作纳入企业日常工作监管范围。

1.1 具体目标分为五个方面

①经营管理合法合规;②确保企业资产安全;㈢财务报告及相关信息真实完整;④提高经营效率与效果;⑤促进企业实现战略发展。

1.2 内控规范体系建设范围

企业的内部控制不仅包括企业最高管理当局用来授权与指挥进行购货、销售、生产等经营活动的各种方式、方法，也包括核算、审核、分析各种信息、资料及报告的程序步骤，还包括为对企业经济活动进行综合计划、控制、评价和监督而制订或设置的各项规章制度，因此内控是全员参与的活动。

1.3 内控建设工作长期规划

根据企业内控建设长期规划，计划用几年时间逐步建立完善企业风险管理水平，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而最终建立完成企业全面风险管理体系。一般分为：体系建设年、有效运转年/体系建设年。

1.4 工作原则 企业开展内部控制实施工作，将遵循以下原则：全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则。

2 内控规范体系建设分要素主要内容

企业遵循《企业内部控制基本规范》、18 个《企业内部控制指引》以及企业特殊业务的要求，建设内部控制体系，具体内容如下：

2.1 内部环境 内部环境是企业实施内部控制的基础，是有效实施内部控制的保障，直接影响着企业内部控制的贯彻执行、企业经营目标及整体战略目标的实现。控制环境确定了企业对内控体系建设的总体态度，是内部控制所有其他组成要素的基础。内部环境一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。指引中具体包括组织架构、发展战略、人力资源、社会责任以及企业文化等内容。

2.2 风险评估

风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。在风险评估中，应识别和分析对实现目标具有阻碍作用的风险。

2.3 控制活动

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制活动——确保企业上级的指令得到贯彻执行的必要措施，存在于整个机构内所有级别和职能部门。包括批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等活动。分为预防性控制、检查性控制、人工控制、计算机控制等类型。

2.3.1 控制现状描述与分析。围绕企业的业务流程进行风险控制分析，编制业务流程图、风险控制文档，并与控制制度相对应，查找制度缺失和差异。

2.3.2 落实控制。按照内控指引并结合企业实际业务确认的控制，在相应的风险控制文档中落实控制，并分析各自的控制差异和控制缺陷，补充完善相应的管理制度。

2.3.3 按照指引的要求，完成风险控制管理文件（流程图、风险控制文档）的编制工作。

2.4 信息与沟通

信息不仅包括内部产生的信息，还包括与企业经营决策和对外报告相关的外部信息。

畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。

2.5 内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。

3 内控规范体系建设阶段重点工作实施计划

为了实现内控体系建设目标，提高效率，按照企业的要求，结合企业现有的管理基础，内控规范体系建设多项工作内容同时开展。

3.1 自我评价阶段

3.1.1 内控建设组织部门针对确定纳入自我评价范围的业务单位和业务流程展开内控自评工作，制定具体时间表并设立常设联络机构统筹协调督导各项内控自评工作审查进度，确保内控自评工作质量。

3.1.2 内控建设组织部门将对被评价单位进行现场测试，通过专题讨论、实地查验、个别访谈、测试、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，编制内控评价工作底稿或内控测试表，结合企业实际情况，根据一定样本抽样原则，对重要业务领域、流程环节和重要子企业的关键控制活动进行测试，充分收集内控设计与运行是否有效的证据，对发现的内控缺陷进行记录并分析原因。

3.1.3 内控建设组织部门负责对发现的内控缺陷进行重要性评价。根据企业性质、行业特点和运营模式等，将内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。

①重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标的情形。②重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标的情形。③一般缺陷，是指除重大缺陷、重要缺陷之外的其他控制缺陷。内控建设组织部门在对各内控缺陷进行重要性评价分类后还应进一步分析内控缺陷的产生原因，出台“内控缺陷整改方案”。