内部控制建设六步法

1、内部限制建设六步法第一步：内控组织搭建与人员培训首先,组织保证是建立健全内控的首要条件,根据?根本标准? 的定义：内控是由企业董事会、监事会、经理层和全体员工实施的、 旨在实现限制目标的过程,只有有了全员参与,内控方能行之有效, 明确了各机构在内控决策、执行以及监督中的工作责任.构建内控体系最大的挑战是如何与生产经营相结合,将限制无缝 嵌入企业的生产、销售、治理等各环节的工作中,所以除了成立专 / 兼职部门负责组织内控的建立与持续改良外, 搭建内控组织很重要的 一环就是在各部门指定内控人员来负责本部门的内控建立与落实.其次,内控建设要得到企业各层级员工的大力支持与配合,宣贯与培训是必不可少的,

2、通过宣贯让各利益方了解内控的意义, 通过培 训让内控人员理解和掌握内控的理念和方法论, 在企业内营造管控的 气氛,为内控建设奠定根底.第二步：确定内控建设的目标与范围内控涵盖企业的方方面面,是长期持续改良的过程,并非是一蹴 而就的,笔者建议,在初期主要围绕财务报告真实准确的目标来构建 内控体系,再逐步进化为全面风险内控体系.内控建设围绕公司层面、业务层面、信息系统层面三个层面展开, 企业根据自身的战略规划、经营目标、根本业务类型、组织架构、职 责分工来确定内控体系的建设范围.公司层面建设以解读战略目标为起点,如某公司的战略目标之一 是为把公司建设成长健康、业绩优良、回报理想的上市公司而努力 奋

3、斗,相应的经营目标是 公司组建为上市公司,那么 公司治理 与合规治理就是公司层面重要事项.业务层面建设范围采用定量与定性相结合的方法来判断.定量方法从财务报告出发,确定重要性标准,如税前利润的5%或资产总额 的1% 企业可以根据自身的情况调整,对超出此标准的会计科目 再辅以定性判断.如：是否存在较大的错误和舞弊的可能性,是否具 有较强经营风险,治理层是否关注,往年审计是否有重大发现等.将 所确定的重要会计科目映射到相应的业务流程,如收入映射到 销售,本钱映射到 生产与采购,工程物资与在建工程映射到 工程工程,再对这些重要的流程进行梳理,确定内控建设的子流程 /事项.信息系统层面建设包括系统开发

4、与维护、访问与变更、数据输入 与输出、文件储存与保管、网络平安等方面的限制.第三步：风险评估确定了重要的流程/事项后,要充分考虑对其目标的实现可能造 成不利影响的内外部因素,真正熟悉到这些风险,再根据风险评估的 结果设计经营治理的关键限制活动,从而将风险降低到可控且可接受 的范围内.可以说风险评估师内控建设的依据.具体实施可由内控专/兼职部门牵头,组织相关专业人员,采用 调查问卷、头脑风暴等方法来识别风险,并从风险发生的 可能 性和 影响程度两个维度来评价风险,对风险进行排序,企业对不 同水平的风险采取不同的态度和举措,从而将主要精力放在可能产生 重大风险的环节上,而不是关注企业治理中的所有细

5、小环节.第四步：设计关键限制活动根据风险评估的结果设计关键限制活动是内控建设的核心环节, 建议推进方式如下：(1)针对第二步中确定的重要流程/事项,分析企业内控现状, 确定现有限制点,描述现有的限制举措与方法,并相应归集有关的规 章制度；(2)根据业务流程/事项中存在的风险,参照五部委的监管要求 与最正确实践,分析内控设计中的差异.确认现有的限制环节与方法是 否可以躲避存在的各种风险,找出现有限制举措中的缺陷与遗漏, 设 计整改方案；(3)落实到相关部门/责任岗位,固化到内部限制手册中；(4)补充完善相关制度.|如某企业合同评审与审批流程中,现有的限制举措是企业财务部门和相关专业部门对其经济、

6、技术条款进 行评审,报领导审批执行,|对法律风险的限制缺失,针对这种状况, 建议在合同评审时由总经办合同治理岗对法律条款进行审核,出具专业意见后报领导审批.以流程和风险限制矩阵形式固化在内控手册中, 并相应修订?合同评审程序?及相关实施证据?合同评审表?.需要注意的是,限制活动设计不仅包括业务层面的设计, 也包括 内部环境、信息与沟通、内部监督等公司层面以及信息系统总体限制 的设计.第五步：内控有效性测试在建立内控体系后,需要对内部限制运行的有效性进行测试：(1)企业在测试内控有效性时,可以采取多种方法：询问、观 察、检查、重复执行或者是以上几种方法的组合.根据风险的大小和 某一内控程序消除风

7、险的重要性, 应该采取不同的测试方法,这样可 以节约测试的本钱以到达最正确效果.(2)选择进行测试的时间.为了确定截至财务年度日期间的内 控运行的有效性,测试程序应该在充分早的时间进行. 并且随着新的 变化,在接近年底时,还要进行更多更新的测试.(3)确定测试的程度.在确定内控测试的程度时,应该考虑内 控对实现企业目标的重要性,需要考虑的因素包括以下几个方面：企业方案在何种程度上依赖某一限制的有效性；限制(例如,内部 环境或信息系统总体限制)在何种程度上支持其他限制的有效性. 通 常,治理层应该更广泛地执行程序以评估这类限制的运行有效性； 限制的执行是人工操作的还是自动操作的. 如果存在人工的

8、监督或参 与,治理层的评估程序应该更加广泛；人工限制执行的频率；控 制的复杂程度；以下方面是否存在变化：可能负面影响限制设计或 运行有效性的交易量或性质；限制设计；执行限制或业绩监控的关键 人员.企业在确定每个限制需要进行测试的工程数量时, 需要运用判断 总体上讲,要求至少应该执行和外部审计师通常进行的测试量一致的 测试,以支持其限制有效性的结论.(4)针对测试结果进行补救.企业的内控经过测试之后,也许 会是有效的,但有可能在某些方面还存在缺陷或没有考虑到的地方. 那么我们需要针对测试后的结果进行补救,对不完善的地方再进行改 进.这将是一个反复重复的过程,直到测试结果令人满意为止,可以 为治理层对保证内控有效性发表声明作根底.第六步：内控体系的维护与更新内控体系建设是一个动态过程,并不是一劳永逸的.在测试整改 阶段完成之后,只能说针对当前的情况,所建立的内控体系是有效的. 但外部环境和企业自身的情况是不断变化的, 业务流程与风险也是在 不断更新的,这就需要随时关注内部限制体系建设,维护更新,以适 应具体情况的变化.治理层每年都需要出具自我评价报告, 来证实企 业内部限制运行的有效性.所以,为保证建立的