一文学会：内控体系建设

原创 谢东记团队 谢东记 2020-10-02

编者：内控作为管理手段或方式，是企业为保证经营管理活动正常有序、合法的运行，采取对财务、人、资产、工作流程实行有效监管的系列活动。企业内控要求保证企业资产、财务信息的准确性、真实性、有效性、及时性；保证对企业员工、工作流程、物流的有效的管控；建立对企业经营活动的有效的监督机制。一文学会：内控体系建设一、企业内控是什么 企业内控是企业为控制经营风险、实现经营目标而制定的一套内部控制体系。企业内部控制是一个过程，受企业董事会、经营层和其他员工影响，目的在于保障经营的效果、效率以及有效降低经营风险。二、当前企业可能面临的企业内控问题 1、企业内部控制活动仍主要以财务审计方面的控制为主，战略、运营、人力、资产、党务、工会等方面的控制比较薄弱，尚未形成良好的内部控制基础环境；2、内部控制侧重于过程管控，忽视控制目标和控制责任及其面临的风险，缺乏有效的信息反馈和检查约束机制；3、风险管理方面没有明确的关键控制点和控制标准；4、对风险的识别和评估缺乏依据，未能做到全面的风险评估；5、风险管理制度不健全、或者未能够有效落实；6、内部控制还是以人为主，其他技防、IT防、机制防等还未形成。

三、内控体系编制的依据 1、基础依据《中华人民共和国公司法》、《中华人民共和国会计法》等。 2、行政文件2001年，财政部颁布《企业会计控制规范——基本规范》和5个具体规定；2005年，国务院转发证监会起草的《关于提高上市公司质量意见》；2006、2007年,上海、深圳证券交易所分别出台上市公司内部控制规范；2008年，五大部委联合发布了《企业内部控制基本规范》；2008年，《企业内部控制基本规范》（财政部、证监会、审计署、银监会、保监会，财会[2008]7号）；2010年，五大部委联合发布《企业内部控制指引》和《企业内部控制评价指引》，全面要求企业推行内部控制体系；2012年，《关于加快构建中央企业内部控制体系有关事项的通知》（国资发评价[2012]68号）；2012年，《行政事业单位内部控制规范(试行)》及2015年《财政部关于全面推进行政事业单位内部控制建设指导意见的通知》。 3、其他依据本地区国资委、上级企业（如有）、本企业制定的相关管理制度。四、内控体系编制的原则 1、全面性贯穿决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项，实现全过程、全员性控制，不存在内部控制空白点。 2、重要性在兼顾全面的基础上，关注重要业务、重大业务事项和高风险领域，并采取更为严格的控制措施，确保不存在重大缺陷。 3、制衡性应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制，并兼顾运营效率。此项原则要求企业完成某项工作必须经过互不隶属的两个基本点或两个以上的岗位和环节；同时还要求履行内部控制监督职责的机构或人员具有良好的独立性。 4、适应性应当与企业规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化加以调整。要求企业建立与实施内部控制应当具有前瞻性，适时地对内部控制系统进行评估，发现可能存在的问题，并及时采取补救措施。 5、成本效益应当权衡实施成本与预期效益，以适当的成本实现有效控制，要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。 6、可操作性内控体系要符合企业实际，业务流程控制点的设置和授权项目权限的确定都保证可操作性。五、内控体系建设的内容 描述内控体系组织结构与职责，较为全面地阐述内控体系的建设目标，并以财政部等五部委《企业内部控制基本规范》为指引，从内部环境、风险评估、控制活动、信息与沟通和内部监督五个方面对内控关注要点及相应措施进行较为全面、系统的阐述。 1、内部环境描述内部控制环境的概念，并从描述内部环境的概念及要素，从组织架构、发展战略、政策研究、企业党建、内部审计、人力资源、企业文化、社会责任等方面（根据企业实际，可适当增减）对内部环境各需要控制的要素关注要点、控制措施进行阐述。 2、风险评估风险评估是企业及时识别、系统分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略的过程。对风险识别、风险评估、风险应对提出要求，为满足持续运营和发展需要，考虑各利益相关方的诉求，设定业务和管理目标并作适当分解；合理确定风险应对策略，制定风险应对措施。 3、控制活动控制活动是指企业针对风险点采取的相应控制措施。结合企业主要业务和管理活动及流程分类，对主要活动及流程进行描述，针对流程关键环节提出内部控制标准，引导各级责任主体规范有序开展业务和管理活动，使业务和管理活动符合内部控制要求，合理控制风险。流程占据了《内控手册》的大部分篇幅。 4、信息与沟通描述信息与沟通的概念及要素，从信息采集、信息沟通、信息系统、反舞弊机制等方面对内控关注要点及相应措施进行阐述，并根据需要汇编关键控制信息。 5、内部监督描述内部监督的概念及要素，并从日常监督、专项监督、缺陷跟踪和内部控制自我评价等四个方面对内控关注要点及相应措施进行阐述。 作者在过往内控项目中编制的内控手册一般分总则、内部环境、风险评估、控制活动、信息与沟通、内部监督共六篇。六个篇章相对自成一体，为主要内容并与企业文化和制度体系相辅相成，共同构成支撑企业有效运营的风险管理与内部控制体系。 当然，根据不同企业的大小，也会分成不同的手册，有的是一本；有的是内控手册+制度手册；有的是总册、各分册、附件等构成。六、内控体系建设的步骤 第一步：内控组织搭建与人员培训　　首先，组织保障是建立健全内控的首要条件，根据《基本规范》的定义：内控是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，只有有了全员参与，内控方能行之有效，明确了各机构在内控决策、执行以及监督中的工作职责。　　构建内控体系最大的挑战是如何与生产经营相结合，将控制无缝嵌入企业的生产、销售、管理等各环节的工作中，所以除了成立专/兼职部门负责组织内控的建立与持续改进外，搭建内控组织很重要的一环就是在各部门指定内控人员来负责本部门的内控建立与落实。　　其次，内控建设要得到企业各层级员工的大力支持与配合，宣贯与培训是必不可少的，通过宣贯让各利益方了解内控的意义，通过培训让内控人员理解和掌握内控的理念和方法论，在企业内营造管控的氛围，为内控建设奠定基础。　　第二步：确定内控建设的目标与范围　　内控涵盖企业的方方面面，是长期持续改进的过程，并非是一蹴而就的，笔者建议，在初期主要围绕财务报告真实准确的目标来构建内控体系，再逐步进化为全面风险内控体系。　　内控建设围绕公司层面、业务层面、信息系统层面三个层面展开，企业根据自身的战略规划、经营目标、基本业务类型、组织架构、职责分工来确定内控体系的建设范围。　　公司层面建设以解读战略目标为起点，如某公司的战略目标之一是“为把公司建设成长健康、业绩优良、回报理想的上市公司而努力奋斗”，相应的经营目标是“公司组建为上市公司”，那么“公司治理”与“合规管理”就是公司层面重要事项。　　业务层面建设范围采用定量与定性相结合的方法来判断。定量方法从财务报告出发，确定重要性标准，如税前利润的5%或资产总额的1%（企业可以根据自身的情况调整），对超出此标准的会计科目再辅以定性判断。如：是否存在较大的错误和舞弊的可能性，是否具有较强经营风险，管理层是否关注，往年审计是否有重大发现等。将所确定的重要会计科目映射到相应的业务流程，如“收入”映射到“销售”，“成本”映射到“生产”与“采购”，“工程物资”与“在建工程”映射到“工程项目”，再对这些重要的流程进行梳理，确定内控建设的子流程/事项。　　信息系统层面建设包括系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制。　　第三步：明确各部门职责、权限清晰的职责、权限划分是建立内控体系的基础，往往我们很多企业连基本的授权都没有，上来就要进行内控体系建设，有时候很为难下属，下属只能硬着头皮搞，这样往往搞不好，还会弄成一团糟。组织承接战略，是链接战略和人的一张网，只有把网织好了，风控自然也就解决了，往往我们不织网，紧紧靠人去处理，这是不行的，人是会困的，但机制不会。纵观世界上百年、千年的企业，或进来比较大的企业，无不靠的是机制，所以基础的机制必须有明确的分工，各尽其职、各尽其责。 第四步：风险识别、评估与应对　　确定了重要的流程/事项后，要充分考虑对其目标的实现可能造成不利影响的内外部因素，真正认识到这些风险，再根据风险评估的结果设计经营管理的关键控制活动，从而将风险降低到可控且可接受的范围内。可以说风险评估师内控建设的依据。具体实施可由内控专/兼职部门牵头，组织相关专业人员，采用“调查问卷”、“头脑风暴”等方法来识别风险，并从风险发生的“可能性”和“影响程度”两个维度来评价风险，对风险进行排序，企业对不同水平的风险采取不同的态度和措施，从而将主要精力放在可能产生重大风险的环节上，而不是关注企业管理中的所有细小环节。 　　第五步：设计关键控制活动　　根据风险评估的结果设计关键控制活动是内控建设的核心环节，建议推进方式如下：　　（1）针对第二步中确定的重要流程/事项，分析企业内控现状，确定现有控制点，描述现有的控制措施与方法，并相应归集有关的规章制度；　　（2）根据业务流程/事项中存在的风险，参照五部委的监管要求与最佳实践，分析内控设计中的差异。确认现有的控制环节与方法是否可以规避存在的各种风险，找出现有控制措施中的缺陷与遗漏，设计整改方案；　　（3）落实到相关部门/责任岗位，固化到内部控制手册中；　　（4）补充完善相关制度。如某企业合同评审与审批流程中，现有的控制措施是企业财务部门和相关专业部门对其经济、技术条款进行评审，报领导审批执行，对法律风险的控制缺失，针对这种状况，建议在合同评审时由总经办合同管理岗对法律条款进行审核，出具专业意见后报领导审批。以流程和风险控制矩阵形式固化在内控手册中，并相应修订《合同评审程序》及相关实施证据《合同评审表》。需要注意的是，控制活动设计不仅包括业务层面的设计，也包括内部环境、信息与沟通、内部监督等公司层面以及信息系统总体控制的设计。 　　第六步：内控有效性测试　　在建立内控体系后，需要对内部控制运行的有效性进行测试：　　（1）企业在测试内控有效性时，可以采取多种方法：询问、观察、检查、重复执行或者是以上几种方法的组合。根据风险的大小和某一内控程序消除风险的重要性，应该采取不同的测试方法，这样可以节约测试的成本以达到最佳效果。　　（2）选择进行测试的时间。为了确定截至财务年度日期间的内控运行的有效性，测试程序应该在充分早的时间进行。并且随着新的变化，在接近年底时，还要进行更多更新的测试。　　（3）确定测试的程度。在确定内控测试的程度时，应该考虑内控对实现企业目标的重要性，需要考虑的因素包括以下几个方面：①企业计划在何种程度上依赖某一控制的有效性；②控制（例如，内部环境或信息系统总体控制）在何种程度上支持其他控制的有效性。通常，管理层应该更广泛地执行程序以评估这类控制的运行有效性；③控制的执行是人工操作的还是自动操作的。如果存在人工的监督或参与，管理层的评估程序应该更加广泛；④人工控制执行的频率；⑤控制的复杂程度；⑥以下方面是否存在变化：可能负面影响控制设计或运行有效性的交易量或性质；控制设计；执行控制或业绩监控的关键人员。　　企业在确定每个控制需要进行测试的项目数量时，需要运用判断。总体上讲，要求至少应该执行和外部审计师通常进行的测试量一致的测试，以支持其控制有效性的结论。（4）针对测试结果进行补救。企业的内控经过测试之后，也许会是有效的，但有可能在某些方面还存在缺陷或没有考虑到的地方。那么我们需要针对测试后的结果进行补救，对不完善的地方再进行改进。这将是一个反复重复的过程，直到测试结果令人满意为止，可以为管理层对保证内控有效性发表声明作基础。 　　第七步：内控体系维护与更新　　内控体系建设是一个动态过程，并不是一劳永逸的。在测试整改阶段完成之后，只能说针对当前的情况，所建立的内控体系是有效的。但外部环境和企业自身的情况是不断变化的，业务流程与风险也是在不断更新的，这就需要随时关注内部控制体系建设，维护更新，以适应具体情况的变化。管理层每年都需要出具自我评价报告，来证明企业内部控制运行的有效性。所以，为保证建立的内控体系长期有效运行，需要根据外部环境和企业内部管理状况的不断变化，持续建设企业的内部控制体系，不断改进完善。 综上所述，企业通过以上七步的动态闭环，有助于把内控的理念和要求融入日常的工作，从而使各岗位高效运行，各部门密切配合，充分发挥整体的作用，以顺利实现企业的目标。七、企业合规、内控、风控的关系 公司存在的目的：生存、发展、获利。公司要实现其目的，内审、内控、风控可以说是公司的“防火墙”、“保健医生”。内审、内控、风控的落脚点要导向组织的战略目标、远景、规划，从近处说，要服务组织某阶段的发展目标（短期目标），从这个角度分析，三者目标导向是一致的。 风险管控的层级：合规-内控-风控。 1、合规是“打基础”合规的核心：“确保公司各项生产经营活动遵循内外部的法律、制度、条例、规范、指引等”合规的产出：合规可以起到最基本的抑制操作风险的作用合规的短板：只能发现问题而不能解决问题 2、内控是合规的“最高等级”内控的核心：不但要求合规，还要考察“规”的状态（是否完善、是否有配套指引、执行过程是否完善）内控的重点：与合规相比，合规注重结果，内控重视过程。并在此基础上发展较完善的工具和方法（COSO框架）内控的优点：内控是抑制操作层面风险的最佳手段内控的缺点：内控对需要站在一定管理高度的风险（如战略风险等）无能为力。（例如内控无法衡量资本市场波动会给公司带来多大风险） 3、风控管理是风险管控的“最高形式”风控管理的核心：“两个必须”必须把风险管理的职能提升到高级管理层必须设立独立于业务部门的风险管理部门公司内各类风险相对分散、独立，设立统一的部门，站在管理层的高度来对风险进行检视，才能避免“头痛医头脚痛医脚”。 合规是底线。内控是点，风控是线，内控体系就是分析点、用线把点串起来组成面。用面去管理和控制企业的运营。 具体实施，有企业的 法务审计部、内控部等其他名称的部门负责进行协助检查和实施。八、内控建设的几个注意事项 1、防止各自为政在内部控制规范体系设计上存在各自为政、就事论事的倾向不能从较高层次审视内部控制问题，许多规范内容侧重原则性，可操作性相对较差。 2、注意防控与经营效率结合大部分国有企业内部控制目标定位于保证业务活动的有效运行、保证会计资料的真实、合法与资产的安全和完整等方面处于内部控制目标的最低层次，在经营效率效果、增加相关者利益价值方面关注很少，要防止防控过度。 3、注意内控的全面性内部控制五大要素是控制环境、风险评估.控制活动、信息与沟通、监督。与之相比，我国内部控制内容多集中于会计或财务管理领域，其内容范围过于狭容。 4、注意内控体系的操作性内部控制制度可操作性不强，我国内部规范要求企业的内部控制应当涵盖涉及会计工作的各项内容，及相关岗位应当针对业务处理过程中的关键控制点将内部控制落实到决策、执行、监督及反馈环节。但实际执行过程中，多数有执行没记录、有操作无结果，缺乏闭环。 5、注意内控流程与制度的关系内控流程着重于业务开展的先后顺序，是对业务开展的概括和精炼化总结，内控流程不纠缠于具体细节，而是关注重要风险点和控制点；制度是对业务活动中风险点、控制点及控制措施的详尽描述。流程能控制的可以不再需要制度，但流程若不能完全控制的，则可借助制度进行配合。 6、注意内部控制的局限性由于内部控制本身存在局限性，如管理层凌驾、串通舞弊、人为失误或者疏漏、成本与效益失衡以及其他尚未识别的风险因素，《手册》不能对企业内部控制体系的有效性提供绝对保证，还需要实施进行内外的监督、评价，形成内外循环，多层级进行控制。团队要闻：北大纵横助力天津公交“十四五”规划北大纵横助力东营国资委“十四五”规划往期精彩：一文学会：十四五战略规划编制一文读懂：事业单位改制改革一文落地：国企三项制度改革一文读懂：国有资本布局及结构调整一文读懂：城投公司混改案例：提前规划，优先布局——以华东某市国资运营公司“十四五”发展战略项目为例案例分享：某城投集团组织与激励变革案例：实施人才盘点，创建人才驱动型组织 ——以山东某化工企业项目为例一文了解：国企改革“双百行动”过去、未来敬请关注：《合伙人模式》“图书+培训+咨询+辅导”四位一体保落地！北大纵横招“新”了喜欢此内容的人还喜欢2021年最全法律年龄对照表（收藏）2021年最全法律年龄对照表（收藏）...每天学点法律知识不喜欢不看的原因确定内容质量低不看此公众号