建立健全内控体系六步法

1、建立健全内控体系“六步法”第一步：内控组织搭建与人员培训首先，组织保障是建立健全内控的首要条件，根据基本规范的定义：内控是由企业董事会秘书、监事会、经理层和全体员工实施的、旨在同时实现控制目标的过程，只有有了全员参与，内控方能行之有效，明确了各相关机构在内控决策、执行以及监督中的工作职责。构建内控体系最大的挑战是如何与生产经营，将控制无缝嵌入企业的控制供货、销售、行政管理等各环节的工作中，所以除了成立专/兼职部门负责组织全面风险管理内控的逐步形成与持续改进外，搭建内控组织很重要的一环就是在各部门指定内控人员来负责本部门的全面风险管理建立与落实。其次，内控建设要企业各层级员工的大力支持与配合，宣

2、贯与培训是必不可少的，通过宣贯让各公共利益方自身利益了解内控的意义，通过培训让内控人员理解和掌握内控的理念和方法论，在企业内营造管控的氛围，为内控建设缔造基础。第二步：确定内控建设的首要目标与范围内控涵盖企业的方方面面，是长期持续改进的过程，并非是重蹈覆辙的，笔者建议，在初期主要围绕财务报告真实准确的目标来构建内控体系，再逐步进化为全面风险演进内控体系。内控建设围绕公司层面、业务层面、信息系统层面某一方面三个层面展开，企业根据自身的协同发展、经营目标、基本业务类型、组织架构、职责分工来评价体系确定内控体系的建设工程范围。公司层面建设以解读战略目标为起点，如某公司的战略目标之一是“为把公司建设成

3、长卫生保健、业绩优良、回报理想的上市公司而努力奋斗”，相应的经营目标是“公司目前组建为上市公司”，那么“公司治理”与“合规管理”就是公司目前层面重要事项。业务层面建设范围采用定量与采用定性相结合的算法来判断。定量方法从财务报告出发，确定重要性标准，如税前利润的5彼资产总额的1%（企业可以根据自身的情况外贸企业调整），对超出此标准的会计科目再辅以定性判断。如：是否缺少较大的错误和舞弊的可能性，是否具备较强经营风险，管理层是否关注，往年审计是否有重大发觉等。将所确定的重要会计科目映射到相应的业务流程，如“收入”映射到“销售”，“成本”映射到“生产”与“采购”，“工程物资”与“在建工程”映射到“工程

4、项目”，再对这些重要的流程进行梳理，确定内控建设的子操作流程/事项。信息系统推进层面建设包括系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等各方面的控制。第三步：风险评估弄清了重要的流程/事项后，要充分考虑消极影响对其目标的实现可能造成不利影响的内外部因素，真正认识到这些风险，再根据风险评估的结果建筑设计经营管理的关键控制就要活动，从而风险因素将风险大大降低到可控且可接受的范围内。可以说风险评估师内控建设的依据。具体实施可由内控专/兼职部门牵头，组织相关专业人员，采用“调查问卷”、“头脑风暴”等方法来识别风险，并从风险发生的“可能性”和“影响程度”两个维度来评价风险，对风

5、险进行排序，企业对不同水平的风险采取不同的态度和措施，从而将主要精力放在可能产生重大信用风险的环节上，而不是认同企业管理中的所有细小环节。第四步：设计关键控制活动根据风险评估的结果设计关键控制核心是内控建设的活动环节，建议扎实推进方式如下：(1)特别针对第二步中第一步确定的重要流程/事项，分析企业内控现状，确定现有控制点，描述现有的控制措施与集中式方法，并相应归集有关的规章制度；(2)根据业务流程/事项中存在的风险，参照五部委的监管要求与最佳实践，分析内控设计中的差异。确认现有的控制环节与方法是否分析方法可以规避存在的各种风险，找出现有控制措施中同的缺陷与中的遗漏，设计整改方案；(3)落实到相

6、关部门/责任岗位，固化到内部控制手册中具；(4)补充完善相关机构制度。如某企业合同评审与审批流程中，现有的控制措施是企业财务部门和相关专业部门对其经济、技术条款进行评审，报领导审批执行，对法律系统性风险的控制缺失，针对这种状况，建议在合同评审时由总经办合同法条岗对法律管理进行审核，出具专业意见后报领导审批。以流程和风险控制矩阵形式固化在内控手册中，并相应修订合同评审程序及相关实施证据合同评审表。需要注意的是，控制活动设计不仅包括业务层面和的设计，也包括内部环境、信息与沟通、内部监督等公司层面以及信息系统总体控制的设计。第五步：内控有效性测试在创建内控体系后，需要对内部控制运行的有效性传输数据进

7、行测试：(1)企业在试车内控有效性时，可以采取多种算法：询问、观察、检查、重复执行或者是以上四种方法的组合。根据风险的大小和某一内控程序消除风险的重要性，应该采取不同的测试方法，这样可以节约测试的成本以达到最佳。(2)选择需要进行测试的时间。为了确定截止截至财务年度日期间的内控运行的必要性，测试程序应该在充分应当早的时间进行。并且随着新的变化，在接近年底时，还要进行更多及时更新的测试。(3)确定测试的程度。在定出内控测试的程度时，应该考虑内控对实现企业目标的紧迫性，需要考虑的因素包括以下几个方面：企业计划在何种程度上依赖某一控制的有效性；控制(例如，内部环境或信息系统整体内部控制)在何种程度上

8、支持其他控制的有效性。通常，管理层应该更广泛地执行程序以评估这类控制的运行有效性；管控的执行是风险控制人工操作的还是自动操作的。如果缺少人工的监督或人工参与，管理层甚广的评估程序应该更加广泛；人工控制执行命令的频率；控制的复杂程度；以下方面是否存在变化：可能负面影响控制设计支配或运行有效性的交易量或性质；控制设计；执行控制或业绩监控的关键人员。企业在确定每个控制需要指明需要进行测试的项目数量时，需要运用判断。总体上讲，要求财务人员至少应该执行和外部审计师通常进行的测试量一致的测试，以支持其控制有效性的结论。(4)针对测试结果进行补救。企业的内控经过测试之后，也许会是有效的，但有可能在某些方面还存在缺陷或没有考虑到的地方。那么其后我们需要针对测试后的结果进行补救，对不完善的边疆地区再进行改进。这将是一个反复重复的过程，等到测试结果令人满意为止，可以为管理层对保证内控有效性发表声明作基础。第六步：内控体系的维护与更新内控体系建设是一个动态过程，并不是一劳永逸的。在测试整改阶段完成之后，只能说针对当前的情况，所建立的内控体系是有效的,但外部环境和企业自身的情况是不断变化的，业务流程与风险也是在不断更新的，这就需要随时广泛支持内部控制体系建设，维护更新，以适应具体情况的变化。管理层每年都需要出具自我评价报告，来证明民营企业内部控制运行的有效性。所