論企業的內控制度建設

李靜波

1 內控規范體系建設目標和范圍

通過識別監控企業各項風險點，落實企業事前、事中、事后的風險全面管控體系，杜絕形式主義，將內控建設工作納入企業日常工作監管范圍。

1.1 具體目標分為五個方面

①經營管理合法合規;②確保企業資產安全;㈢財務報告及相關信息真實完整;④提高經營效率與效果;⑤促進企業實現戰略發展。

1.2 內控規范體系建設范圍

企業的內部控制不僅包括企業最高管理當局用來授權與指揮進行購貨、銷售、生產等經營活動的各種方式、方法，也包括核算、審核、分析各種信息、資料及報告的程序步驟，還包括為對企業經濟活動進行綜合計劃、控制、評價和監督而制訂或設置的各項規章制度，因此內控是全員參與的活動。

1.3 內控建設工作長期規劃

根據企業內控建設長期規劃，計劃用幾年時間逐步建立完善企業風險管理水平，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而最終建立完成企業全面風險管理體系。一般分為：體系建設年、有效運轉年/體系建設年。

1.4 工作原則 企業開展內部控制實施工作，將遵循以下原則：全面性原則、重要性原則、制衡性原則、適應性原則、成本效益原則。

2 內控規范體系建設分要素主要內容

企業遵循《企業內部控制基本規范》、18 個《企業內部控制指引》以及企業特殊業務的要求，建設內部控制體系，具體內容如下：

2.1 內部環境 內部環境是企業實施內部控制的基礎，是有效實施內部控制的保障，直接影響著企業內部控制的貫徹執行、企業經營目標及整體戰略目標的實現。控制環境確定了企業對內控體系建設的總體態度，是內部控制所有其他組成要素的基礎。內部環境一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。指引中具體包括組織架構、發展戰略、人力資源、社會責任以及企業文化等內容。

2.2 風險評估

風險評估是企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。在風險評估中，應識別和分析對實現目標具有阻礙作用的風險。

2.3 控制活動

控制活動是企業根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。控制活動——確保企業上級的指令得到貫徹執行的必要措施，存在于整個機構內所有級別和職能部門。包括批準、授權、查證、核對、經營業績評價、資產保全措施和職責分工等活動。分為預防性控制、檢查性控制、人工控制、計算機控制等類型。

2.3.1 控制現狀描述與分析。圍繞企業的業務流程進行風險控制分析，編制業務流程圖、風險控制文檔，并與控制制度相對應，查找制度缺失和差異。

2.3.2 落實控制。按照內控指引并結合企業實際業務確認的控制，在相應的風險控制文檔中落實控制，并分析各自的控制差異和控制缺陷，補充完善相應的管理制度。

2.3.3 按照指引的要求，完成風險控制管理文件（流程圖、風險控制文檔）的編制工作。

2.4 信息與溝通

信息不僅包括內部產生的信息，還包括與企業經營決策和對外報告相關的外部信息。

暢通的溝通渠道和機制使企業的員工能及時取得他們在執行、管理和控制企業經營過程中所需的信息，并交換這些信息。

2.5 內部監督

內部監督是企業對內部控制建立與實施情況進行監督檢查，評價內部控制的有效性，發現內部控制缺陷，應當及時加以改進。

內部監督分為日常監督和專項監督。日常監督是指企業對建立與實施內部控制的情況進行常規、持續的監督檢查;專項監督是指在企業發展戰略、組織結構、經營活動、業務流程、關鍵崗位員工等發生較大調整或變化的情況下，對內部控制的某一或者某些方面進行有針對性的監督檢查。

3 內控規范體系建設階段重點工作實施計劃

為了實現內控體系建設目標，提高效率，按照企業的要求，結合企業現有的管理基礎，內控規范體系建設多項工作內容同時開展。

3.1 自我評價階段

3.1.1 內控建設組織部門針對確定納入自我評價范圍的業務單位和業務流程展開內控自評工作，制定具體時間表并設立常設聯絡機構統籌協調督導各項內控自評工作審查進度，確保內控自評工作質量。

3.1.2 內控建設組織部門將對被評價單位進行現場測試，通過專題討論、實地查驗、個別訪談、測試、抽樣和比較分析等方法，充分收集被評價單位內部控制設計和運行是否有效的證據，編制內控評價工作底稿或內控測試表，結合企業實際情況，根據一定樣本抽樣原則，對重要業務領域、流程環節和重要子企業的關鍵控制活動進行測試，充分收集內控設計與運行是否有效的證據，對發現的內控缺陷進行記錄并分析原因。

3.1.3 內控建設組織部門負責對發現的內控缺陷進行重要性評價。根據企業性質、行業特點和運營模式等，將內部控制缺陷分為重大缺陷、重要缺陷和一般缺陷。

①重大缺陷，是指一個或多個控制缺陷的組合，可能導致企業嚴重偏離控制目標的情形。②重要缺陷，是指一個或多個控制缺陷的組合，其嚴重程度和經濟后果低于重大缺陷，但仍有可能導致企業偏離控制目標的情形。③一般缺陷，是指除重大缺陷、重要缺陷之外的其他控制缺陷。內控建設組織部門在對各內控缺陷進行重要性評價分類后還應進一步分析內控缺陷的產生原因，出臺“內控缺陷整改方案”。