以梳理業務流程為起點，建立企業內部控制

任厚兵

【摘要】本文從企業現有的業務流程為起點，通過業務流程梳理、優化并完善業務流程、編制流程文檔、建立風險管理及內部控制數據庫等階段，達到建立健全控制活動類的內部控制體系，進而達到全面風險管理。

【關鍵詞】業務流程梳理風險識別與控制風險管理數據庫內部控制數據庫

一、以業務流程為起點，探討建立企業內部控制的緣由

建立健全內部控制是企業內外部需要，各類企業都積極探索建立內部控制。不同規模、環境的企業，建立內部控制的方法各有不同，本文擬從企業現有的業務流程為起點，探討如何建立控制活動類的內部控制。

業務流程是為達到特定的價值目標而由不同的人分別共同完成的一系列活動。業務流程是企業經營活動最普遍的工作流程，任何一個企業在運營，都有各種各樣的業務流程，或是成文的標準文件，或是習慣的工作方式。

因此，本文以業務流程為起點，探討建立企業內部控制，由于是以業務為出發點，因此，本文著重探討如何建立控制活動類內部控制。

二、以業務流程為起點，建立企業內部控制

我們可以通過業務流程梳理、優化并完善業務流程、編制流程制度文檔、建立風險管理及內部控制數據庫等階段來實現對內部控制的建立。具體分述如下：

（一）業務流程梳理

本文流程梳理的概念，強調作為一個階段性活動，從企業整體業務流程明晰的目的出發，對當前流程進行充分顯性化，而在顯性化基礎上發現問題并進行點優化的工作方式。

一般來說，企業的各種業務流程可以劃分為三個層級。一級流程：可根據《配套指引》的控制活動類進行梳理，包括資金活動、采購業務、資產管理、銷售業務、研究與開發、工程項目、擔保業務、業務外包、財務報告共9個方面。二級流程：在一級流程的基礎上，按照每個內部控制所包括的內容再次劃分為若干方面，例如資金活動方面可劃分為籌資活動、投資活動、資金營運三個方面。三級流程：在二級流程的基礎上，進一步劃分到具體的業務單元，例如籌資活動方面，可能涉及提出籌資方案、籌資方案論證等方面。

在業務流程梳理過程中，可以與相關職能部門負責人及職員訪談，也可以是查詢現有制度文件，也可以是通過抽查相關業務資料進行穿行測試。

（二）優化并完善業務流程

通過對業務流程梳理，我們可以通過將現在業務流程與《配套指引》、優秀企業等進行對標檢查，再根據常見內部控制活動的原理，優化現有業務流程，完善控制缺陷。

（三）編制流程文檔

根據優化完善的業務流程，繪制標準流程圖，編制流程文檔。

流程文檔是內部控制體系中的基礎文檔，也是核心文檔，流程文檔可以包含以下內容：流程名稱、流程責任部門與責任崗位、流程目標、流程適用范圍、流程相關制度、流程圖、流程描述、流程風險點及對應控制點。

1.業務流程風險點識別。流程中的風險點識別方法：以流程目標為出發點，從流程步驟走向進行風險思考，結合控制點識別出風險點。

2.風險分類。按照風險發生后的可能結果，可劃分為機會風險（可能有好的結果，也可能有壞的結果）和純粹風險（只可能造成壞的結果）。按照五大類風險可劃分為戰略風險、財務風險、市場風險、運營風險、法律風險。

3.風險等級。風險等級的劃分依靠兩個維度來判定，即風險發生可能性和風險發生影響程度。風險發生可能性分為極低、較低、中等、較高、極高五個等級；風險發生影響程度分為輕微、較低、中等、重大、災難性五個等級。關于風險發生可能性和風險發生造成影響，要根據企業所在行業及自身經營情況來判定。

我們可通過對流程風險點的以上兩個維度進行分析量化評分并取平均值，然后根據下圖判定風險等級。

設計對應控制點。流程中的控制點設計方法：假設去掉這個流程步驟，若該流程仍能完整的進行下去，則該步驟為控制點；若該流程到此卡住無法再進行下去，則該步驟不是控制點，僅為一般步驟。例如某個流程中存在幾個審核、審批步驟，去掉某一個或某幾個審核、審批步驟，該流程都能繼續進行下去，但會存在風險隱患，因此，這類審核、審批步驟就是控制點。

列出業務流程中對應該風險點的控制點，并確定該控制點是事前控制、事中控制還是事后控制。

（四）建立流程控制數據庫

1.流程層面風險管理數據庫。流程層面風險管理數據庫是后期建立全面風險管理信息系統的核心數據庫之一，與公司層面風險管理數據庫共同構成公司的全面風險管理數據庫。業務流程層面風險管理數據庫以表格的形式呈現，細分到各個流程，是從流程層面評估風險、控制風險并建立內部控制體系的基礎，也是公司全面風險管理與內部控制體系的核心之一。

業務流程層面風險管理數據庫的舉例如表1所示。

2.建立流程層面控制數據庫。流程層面控制數據庫也是后期建立風險管理信息系統的核心表單之一，它以表格的形式呈現，細分到各個流程，并通過流程編號與流程層面風險管理數據庫一一對應，是后期建立全面風險管理信息系統的基礎。

業務流程層面控制數據庫的舉例如表2所示。

三、總結

綜上所述，通過業務流程梳理、優化并完善業務流程、編制流程文檔、建立風險管理及內部控制數據庫等階段，達到建立健全控制活動類的內部控制，進而達到全面風險管理。

參考文獻

[1]財政部.關于印發《企業內部控制基本規范》的通知.財會[2008]7號.

[2]財政部.關于印發企業內部控制配套指引的通知.財會[2010]11號.

[3]COSO委員會.方紅星，王宏譯.企業風險管理——整合框架【M】.大連：東北財經大學出版社.2005.