建立健全内控体系的六步法.pdfVIP

建立健全内控体系的六步法

第一篇：建立健全内控体系的六步法

建立健全内控体系的六步法

第一步：内控组织搭建与人员培训

首先，组织保障是建立健全内控的首要条件，根据《基本规范》

的定义：内控是由企业董事会、监事会、经理层和全体员工实施的、

旨在实现控制目标的过程，只有有了全员参与，内控方能行之有效，

明确了各机构在内控决策、执行以及监督中的工作职责。

构建内控体系最大的挑战是如何与生产经营相结合，将控制无缝

嵌入企业的生产、销售、管理等各环节的工作中，所以除了成立专/兼

职部门负责组织内控的建立与持续改进外，搭建内控组织很重要的一

环就是在各部门指定内控人员来负责本部门的内控建立与落实。

其次，内控建设要得到企业各层级员工的大力支持与配合，宣贯

与培训是必不可少的，通过宣贯让各利益方了解内控的意义，通过培

训让内控人员理解和掌握内控的理念和方法论，在企业内营造管控的

氛围，为内控建设奠定基础。

第二步：确定内控建设的目标与范围

内控涵盖企业的方方面面，是长期持续改进的过程，并非是一蹴

而就的，笔者建议，在初期主要围绕财务报告真实准确的目标来构建

内控体系，再逐步进化为全面风险内控体系。

内控建设围绕公司层面、业务层面、信息系统层面三个层面展开，

企业根据自身的战略规划、经营目标、基本业务类型、组织架构、职

责分工来确定内控体系的建设范围。

公司层面建设以解读战略目标为起点，如某公司的战略目标之一

是“为把公司建设成长健康、业绩优良、回报理想的上市公司而努力

奋斗”，相应的经营目标是“公司组建为上市公司”，那么“公司治

理”与“合规管理”就是公司层面重要事项。

业务层面建设范围采用定量与定性相结合的方法来判断。定量方

法从财务报告出发，确定重要性标准，如税前利润的5%或资产总额的

1%（企业可以根据自身的情况调整），对超出此标准的会计科目再辅

以定性判断。如：是否存在较大的错误和舞弊的可能性，是否具有较

强经营风险，管理层是否关注，往年审计是否有重大发现等。将所确

定的重要会计科目映射到相应的业务流程，如“收入”映射到“销

售”，“成本”映射到“生产”与“采购”，“工程物资”与“在建

工程”映射到“工程项目”，再对这些重要的流程进行梳理，确定内

控建设的子流程/事项。

信息系统层面建设包括系统开发与维护、访问与变更、数据输入

与输出、文件储存与保管、网络安全等方面的控制。

第三步：风险评估

确定了重要的流程/事项后，要充分考虑对其目标的实现可能造成

不利影响的内外部因素，真正认识到这些风险，再根据风险评估的结

果设计经营管理的关键控制活动，从而将风险降低到可控且可接受的

范围内。可以说风险评估师内控建设的依据。

具体实施可由内控专/兼职部门牵头，组织相关专业人员，采用

“调查问卷”、“头脑风暴”等方法来识别风险，并从风险发生的

“可能性”和“影响程度”两个维度来评价风险，对风险进行排序，

企业对不同水平的风险采取不同的态度和措施，从而将主要精力放在

可能产生重大风险的环节上，而不是关注企业管理中的所有细小环节。

第四步：设计关键控制活动

根据风险评估的结果设计关键控制活动是内控建设的核心环节，

建议推进方式如下：

（1）针对第二步中确定的重要流程/事项，分析企业内控现状，

确定现有控制点，描述现有的控制措施与方法，并相应归集有关的规

章制度；

（2）根据业务流程/事项中存在的风险，参照五部委的监管要求

与最佳实践，分析内控设计中的差异。确认现有的控制环节与方法是

否可以规避存在的各种风险，找出现有控制措施中的缺陷与遗漏，设

计整改方案；

（3）落实到相关部门/责任岗位，固化到内部控制手册中；

（4）补充完善相关制度。如某企业合同评审与审批流程中，现有

的控制措施是企业财务部门和相关专业部门对其经济、技术条款进行

评审，报领导审批执行，对法律风险的控制缺失，针对这种状况，建

议在合同评审时由总经办合同管理岗对法律条款进行审核，出具专业

意见后报领导审批。以流程和风险控制矩阵形式固化在内控手册中，

并相应修订《合同评审程序》及相关实施证据《合同评审表》。

需要注意的是，控制活动设计不仅包括业务层面的设计，也包括

内部环境、信息与沟通、内部监督等公司层面以及信息系统总体控制

的设计。

第五步：内控有效性测试