内控体系建设线路图

1、.PAGE ：.；PAGE 10内控体系建立线路图要想使企业的内控管理体系真正发扬作用，就必需丢弃单纯的监视审计观念，代之以监视审计与效力并重。 万事开头难，对于任何一家计划建立一套有效的、符合市场经济要求的内控管理体系的企业或组织来说，其所面临的困难和挑战无疑是宏大的。应杂志社的约请，笔者根据本人任务中的实际阅历，经过建立线路图的方式简要地与读者分享一下集团化管理的企业应该如何建立符合本身要求的内控管理体系。 以下，将对上述五个环节进展详细解读。(见插图：制定内控体系线路图概要。 战略制定 作为内控管理的第一站，内控战略规划的重要位置在于其对以后实施内控系统建立的一切方面的影响。合理的战略规

2、划可以使企业的内控管理效率大幅度提高，确保企业的治理程度迅速到达一切者和管理层的预期目的。 制定企业内控战略规划详细应该留意掌握以下几个方面： 1与企业战略目的坚持严厉一致 企业战略目的是制定企业一切详细业务目的的根底，内控战略目的也必需符合企业总体战略目确实定的方向。当前，关于企业的战略目的、原景、中心价值观等的主流观念根本上都是围绕着如何开展成为一个有社会责任感的企业来确定的。 内控战略目的通常可以按照企业希望到达的开展程度来确定。假设某企业的战略目的是在一定的期限内成为本行业的指点者并希望基业常青，那么其内控体系的战略目的就必需为符合这一要求提供有力的支撑；既不能高于这个目的，也不能低于

3、这个目的。惟此，才干被企业内一切利益相关者和运营管理的一切参与者所接受。 此外，内控战略目的可以根据企业的开展情况分阶段确定。例如在某个阶段到达行业先进程度；某阶段到达国内同行业先进程度；某阶段到达国际先进程度等。 2明确实现目的的详细标志 事先确定内控战略实现的详细标志，既可以为企业制定年度内控任务方案或绩效考核目的提供详细的根据，也可以为日后评价本企业内控战略目的的实现情况提供评价根据。 例如:某企业的内控战略目的是到达本省同行业先进程度。那么，企业就必需对本省的同行业内控管理的根本情况有所了解。然后确定本人的评价规范或实现标志。评价规范可以详细设置为：企业内控管理程序建立情况；内控组织系

4、统建立情况；内控审计手段的先进和有效程度；舞弊案件的损失目的；企业的风险目的；全体员工对内控管理的了解情况等等。 3基于企业实践需求的准确定位 所谓“准确定位的规范就是目的必需与本企业的实践情况相符合，并明晰明了。例如一家小型企业集团的内控战略目的没必要定的太高；实现标志可以比较简单；业务范围可以适当减少。这样，就可以以较低的本钱投入到达预定的控制目的。 4明确内控任务理念 这是开展企业内控任务的根本准那么，否那么不但内控体系起不到应有的积极作用，反而会成为企业开展的掣肘之物。例如建立“寓监视于效力之中的任务理念，就可以防止单纯的监视审计容易引起抵触的缺陷；按照内控五要素，建立全面预防风险的原

5、那么，就可以为开展内控任务提供详细的评价根据。 5认同 内控战略目确实定过程必需经过一切者或最高管理层的同意和确认。可以在获得高层同意前，先征求下属分、子公司管理层的意见并获得一致意见也是非常必要的。这些举措可以为日后推行内控管理减少阻力。 完成内控战略规划后，我们就可以进入下一站： 机构设置 内控机构设置的主要任务包括：确定机构称号、层级、汇报对象、专业人员的详细称号、任务岗位设置、任务内容确定、人员选拔和素质要求、任务的详细原那么等。以下将主要讨论组织机构的设置、内控任务的详细内容和岗位确定。 1组织机构设置 目前中国规模较大的国有或上市公司，通常都会在监视决策层设置监事或独立董事、董事会

6、下的审计委员会；在运营管理层那么设置内部审计部或监察部等职能部门。应该说曾经建立了内控组织机构。但关键是这些机构存在许多缺陷，这些问题构成了当前公司治理的主要妨碍之一。详细表现如下： *详细执行机构缺失 比如，企业中通常没有详细的执行机构为监事或独立董事的实现监视职能提供“硬件条件；这使得监事或独立董事的职务经常“沦为一种对外笼统功能，在人员安排上以安排退休前的资深指点为主。审计委员会通常也处于一样的情况，其获得信息的来源主要是董事长和总经理等高层管理者，无法真正履行其监视职能。 *内部审计部通常在任务范围以及报告对象上处境为难 普通企业的审计范围仅限于财务审计；其任务报告对象通常只是其监视对

7、象的财务总监或总经理。笔者以为，比较理想的内控管理组织机构，该当在一定独立性的条件下，可以详细介入企业日常运营管理任务。这一点该当和外部审计有所区别。一些像BP这样的国际化大公司在其业务组织机构中就运用了内控部替代内部审计部。外表看，只是称号不同，但实践上却有着非常大的区别。主要表如今： A.独立性程度不同 内部审计部通常按照审计规那么要求，为坚持完全的独立性不得介入企业的日常运营活动。而内控部那么可以较深化地介入企业的日常运营活动，了解更多的情况并提供管理咨询效力，从而到达“寓监视于效力之中的效果。 B.审计检查范围不同 虽然当前的内部审计部在审计范围上也在力求突破传统的财务审计，向运营管理

8、审计方面开展，但毕竟遭到从业人员资历和任务背景的限制，无法真正实现其对运营管理的有效监视检查。而内控部由于在雇佣人员方面没有局限性非财务和审计资历的人员也可以参与内控审计检查任务，因此，可以做到对企业的全面运营管理实行更有效的监视检查。 C.报告对象不同 内部审计部通常只是向企业的CEO报告任务，向CEO担任。因此，许多涉及CEO本人利益的问题通常无法得到彻底处理，甚至根本无法处理。而内控部那么可以在向企业CEO报告任务的同时，还能直接向审计委员会、甚至监事或独立董事报告任务。这在一定程度上保证了审计报告的真实可靠性。 基于上述分析，笔者以为，比较理想的内控组织机构可以这样设置： 图中的红色部

9、分为企业一切者；草绿色部分为决策和运营管理系统；黄色部分那么是监视检查系统。 2.确定内控任务详细内容 要实现对企业运营管理的全面监视检查，最大限制保证监视检查的有效性，内控任务主要该当包括以下内容： *组织开发和维护企业管理程序； *组织开展企业风险评价，建立运营管理风险预警系统； *检查评价企业授权管理体系； *审计检查企业运营管理，包括年度例行审计和专项审计； *组织开展各项调查，如利益冲突调查、内部自查ICRQ、舞弊案件调查等； *制定年度审计方案，编制制定和修正审计指点或评分审计； *评价考核内控人员的任务，审核下属分、子公司内控人员的任职资历并予以业务指点； *配合协助外部审计师任

10、务并跟踪检查其管理意见书的落实情况； *参与公司董事会、高层运营管理睬议，定期或不定期向CEO和董监事会、独立董事报告运营管理中存在的艰苦风险； *对企业艰苦管理决策提供咨询意见; *培训企业专业内控管理人员和各级业务管理人员； *管理企业内部的内控网站和宣传刊物论坛； *向董事会、CEO提出对分、子公司高级管理人员的奖惩意见和建议； *与企业战略投资者和有关政府机构坚持沟通； *其他董监事会、独立董事、审计委员会、CEO等安排的咨询管理任务。 3.任务岗位设立 在集团总部内控部，任务岗位可以设置如下： *内控部总监部长、经理等：内控部总监的任务主要就是组织和指点集团的内控体系正常运转。内控总

11、监通常应该兼任集团董事会的审计委员会成员。其任务除直接向集团CEO报告外，同时也向集团监事会或独立董事或审计委员会报告。 *内控经理：协助内控总监开展任务。内控经理直接向内控总监汇报任务。 *审计经理或内部审计师：审计经理担任运营公司的内部审计，包括年度例行审计和专项审计。审计经理直接向内控总监汇报。 *风险经理:担任集团风险评价和运营风险预警；协调处置集团保险业务。风险经理直接向内控总监汇报任务。 *内控总监助理：担任协助内控部一切内勤任务。直接向内控总监报告任务。 在分、子公司一级，内控机构和岗位设置可以根据该公司的实践规模对比集团内控部方式设置。也可以根据业务开展的实践情况简化处置，如只

12、设立内控经理岗位而不设内控部。但是，无论能否设置内控部，内控经理的报告对象都应该是公司总经理和公司监事；在业务上接受总部内控部的指点，惟此，才可以保证其任务的独立性和审计结果的客观性。 企业在详细决议设置内控组织机构和内控人员数量时，应充分思索本企业的实践条件和需求，建立起精干并充溢活力的内控组织系统。完成组织机构设置后，我们将进入下一站： 系统培训 任何企业在推行某个新的管理方法前，最大的问题就是如何快速、有效地转变人们曾经习惯了的各种传统任务方法和思绪。由于采用现代企业内控管理的详细操作方法将直接影响到企业现有的权益构造，这就意味着会遇到宏大的阻力。为此，企业内控管理人员必需求对一切相关利

13、益者进展系统的内控培训，在系统运转之前，把阻力减到最小。培训的内容主要有：编制培训资料、确定培训方案以及实施培训。 1编制培训资料 *经过各种渠道搜集内控管理资料和各种案例。内控案例该当以本企业曾经发生的事件为主，适中选用社会案例； *根据本企业实践情况，挑选资料； *运用各种演示手段，组织编排演示文本，电子版本和纸质版本； *培训资料应尽量运用各种案例解释各种概念。 2.确定培训方案 *确定培训对象 内控培训对象应该包括企业董监事、CEO、CFO等全体高层管理人员和普通管理人员。普通管理人员中该当包括库房保管、司磅人员、质量检验人员、捍卫干事等敏感岗位的操作人员。 *培训方法 脱产专门培训和

14、现场在岗培训，单独沟通交流培训以及任务交流培训等多种方式。 *确定培训的目的和详细实施的时间以及考核评价培训效果。内控培训应该和企业的其他培训方案相结合。 3实施培训 对于董监事、CEO或CFO、公司总经理等高级管理人员，通常采用单独交流的方式引见内控管理的要点； 对于专业内控管理人员那么需求进展全面的脱产专门培训并结合其他在岗和任务交流培训； 对于其他普通管理人员那么以短期脱产集中培训结合现场其他在岗培训。 在整个受训的人群中，对高级管理人员的培训是整个培训的重点。鉴于财务总监在内控体系中的重要性，企业在思索选聘财务总监时，该当尽能够选择具有内控任务背景的财务人员。国际上的一些著名企业如GE

15、公司，其选拔的财务总监通常是从事过内部控制内部审计任务的人员。具有从事内控内部审计任务背景的人员将成为未来财务总监的重要来源。 有关内控培训方面的任务，假设企业限于本身培训力量和其他思索，通常可以委托其他专业管理公司的专家来协助进展。这种培训通常限于集中的脱产培训。但日常培训主要还得依托企业内部力量完成。当企业完成了以上的内控培训任务后，就可以进入下一站： 作业实施 严厉地说，自从企业谋划内控战略开场，就可以看作是进入了内控作业的实施阶段，这里指的是详细实施内控作业阶段。内控作业的内容主要包括： 1制定企业内控管理程序，或者运营管理程序 内控的本质就是法制化、程序化管理。内控管理程序与传统的企

16、业管理程序的最大区别是以系统的方法设计业务流程并且事前就充分思索躲避各种潜在的管理风险。因此，内控部门在组织各职能部门编制内控管理程序时该当首先对一切的业务流程中存在的各种潜在的风险进展评价并且在程序设计中予以躲避。这里包括组织牵制、授权系统确定、政策规定等等。制定企业内控管理程序该当充分思索与企业现有的质量管理体系的兼容问题。 2评价检查企业的授权管理系统 任何一家企业无论能否有内控管理，一定存在一套授权管理系统。但问题是这些存在的授权管理系统能否科学、明晰合理，能否存在越权和越级的潜在风险。这就需求内控专业人员对系统进展评价并提出修正调整意见。内控人员需求与公司的CEO、CFO以及人力资源

17、部和各业务部门共同协作，对现有的岗位职责进展调整。岗位职责在内控管理中属于普通授权管理。建立暂时特别授权管理制度。 3潜在利益冲突调查 为保证内控管理的组织牵制原那么得到有效的实施，当前的主流非家族运营管理的企业通常需求在处置日常业务中防止产生雇员与企业发生利益冲突的情况。为此，企业内控管理人员该当根据企业实践情况设计一套利益冲突调查文件并提出躲避潜在利益冲突发生的详细措施。然后组织下属企业开展全面的利益冲突调查，最后根据调查结果提出处置意见，包括替代控制措施。 4编制年度内控审计指点，实施内控审计 无论是内部审计还是内控审计，都该当在审计前制定审计指点。编制审计指点该当根据普通内部审计准那么

18、要求结合本企业实践情况和需求编制。详细的审计工程该当按照内控五要素内控框架进展分类。这里需求再次强调，内控审计和传统的内部审计在审计范围上不同，包括了财务之外的其他运营管理任务，如职工平安与环境维护，质量管理和消费现场管理，6S管理，6西格玛管理、精益消费等内容，因此，在设计内控审计指点时该当和相关业务部门进展充分的协作，保证审计工程和审计资源配置的合理性。为便于对各下属企业的内控管理进展客观横向比较，内控审计指点可以同时附带建立评分系统。这样，内控审计人员在审计检查过程中可以提出客观科学的评价结果。 在完成对一切下属公司的年度审计后，内控管理人员就可以对各企业的实践情况进展量化分析比较，为分

19、析企业的管理风险提供客观根据。内控审计指点该当根据企业管理风险变化情况，定期进展调整更新。实施年度内控审计，通常可以要求下属企业内控人员参与，经过交叉审计对下属企业内控人员进展业务培训。 5组织风险评价 控制管理风险是内控的根本目的。因此，企业内控部该当定期对各下属企业的管理风险进展评价。管理风险评价该当事先进展全面的规划。包括确定风险评价的对象各种业务程序和处置环节，风险种类确实定，风险等级的评定，评价人员的组成，评价表格的设计，评价结果分析等。风险评价是开展内控任务的根底，也是制定内控管理程序的重要根据。各个企业由于所处行业不同，地域不同，竞争程度不同，产品种类不同，其管理风险也有很大的不

20、同。突出重点，抓住高风险工程，是平衡企业控制风险和投入本钱的重要手段。 6内控问题调查ICRQ 为保证企业内控管理得到有效执行，各企业的下属机构除了要接受总部的内控审计和外部审计外，还该当定期或不定期举行自我检查。自我检查的主体是各分、子公司总经理和各业务部门担任人。分、子公司的内控管理人员牵头组织实施。总部内控部通常该当根据上年度审计发现的问题，结合最新企业风险变化情况等，编制企业年度内控问题调查提纲发给各分、子公司供其参考。分、子公司内控人员可以根据本企业实践情况和需求，对自查内容进展补充。企业内控问题调查表，该当根据企业管理风险变化情况和以前年度审计发现的普遍弱点进展调整。 7舞弊案件调

21、查 舞弊问题对企业呵斥的损失是呵斥企业效益下降甚至导致企业破产的重要缘由。因此，预防舞弊风险当然也就成为企业内控管理的主要内容。舞弊问题产生的后果，通常可以用货币数量来反映。舞弊损失数量是企业内控管理任务绩效考核的重要目的。内控人员该当定期或不定期对企业发生的舞弊案件进展调查并分析汇总舞弊发生的缘由，为管理者采取预防措施提供根据。对于国内企业，特别是国有企业来说，舞弊案件通常由监察部或纪检委担任调查。但是，对于没有这些机构的外资企业或上市公司来说，就需求由内控部和内控人员介入调查。内控部每年该当对企业发生的舞弊情况进展汇总分析并为管理层提出相应的预防措施。 8评价考核内控任务 评价考核企业内控

22、人员的任务包括两部分。首先是内控人员绩效完成情况。根据每年与内控人员签定的绩效协议，对其任务进展考核评价；其次，对内控管理完成好的企业内控人员进展表扬。为保证内控人员任务的相对独立性和权威性，内控部将对下属分、子机构的内控人员招聘和解雇提出意见。 9参与公司董事会会议，对下属企业总经理、财务总监在执行内控政策和遵照授权管理方面的情况提出奖惩建议 参与公司的重要决策会议，对艰苦工程实施提出管理风险控制方案。例如内控先行的概念。众所周知，万丈高楼平地起，无数失败的案例阐明，呵斥一个好工程日后失败的众多缘由中，没有预先建立严厉的内控体系并按照程序规定操作是其中最重要的缘由。 10.组织保险业务 购买

23、企业保险，除了可以弥补各种突发事件给企业呵斥的损失外，同时也具有预防管理风险的作用。要做好企业内控任务，除了利用内部资源外，保险业务也可以成为促进企业内控管理的有效工具。如何选择购买保险工程，如何事先预备预防保险事故发生以及如何预备保险索赔资料等，都和企业内控管理有重要的关系。 11.培训企业高级管理人员 内控任务的一个重要内容就是培训企业高级管理人员，特别是财务总监。实际阐明，有财务背景的专业人员在得到内控审计培训后，通常可以很好地胜任企业财务总监的任务。从事过一定时期的内控审计任务后，通常就有时机得到作为一名合格财务总监所需求具备的许多条件。比如良好的职业品德、敏锐的风险认识、出色的沟通技巧、较多的处置疑问问题的阅历等等。 12.内控任务报告 企业内控部任务报告对象将包括董监事、CEO和总经理等人。内控任务报告有定期和非定期两种。定期报告主要是定期分析企业总体内控情况，当前存在的高风险问题，各种审计结果，以及针对薄弱问题提出的改良意见和建议。好的