内部控制自我评价工作

内部控制自我评价工作企业内控建设实务

企业内控建设应当以经营的效率与效果为主导目标，以财务报告牢靠、资产平安与经营合规为三个保障目标，在此基础上，建设实务将围绕内控组织的设置与内控建设的五要素绽开。

（1）内部掌握组织

组织是体系运行的基本保障。通常的内控组织包括董事会与经营层两个层面，强调内部掌握的建设与实施是董事会的责任，并且下设审计（风险）管理特地委员会加强管理。此外，内控组织的设置特殊强调经理层是企业内控建设的详细实施者与责任人，各经营管理部门根据职能归口进行内部掌握的建设与实施。其中，是否设置专职的内控部门是企业界关注的焦点，通常的设置方式包括三种：

方式一：单独设置内控部门。优点是有利于提高内控建设的初期推动效率，缺点是内控部门与经营管理部门割裂，未能很好地体现内部掌握责任与经营管理责任的融合。此方式在金融类企业普遍应用，对于实体经济体，通常不设置专职的内控部门。

方式二：由内部审计部门牵头负责内控工作。优点是待体系初建完成且运行平稳后，内部审计作为内控的监督部门，可以立足于公司整体牵头协调各部门定期进行内部掌握的自我评价，并且持续完善内控体系的建设。缺点是国内企业内审部门往往人才匮乏，在内控建设的初期独立当此重任可力量不从心。

方式三：在内部掌握建设集中期设立内部掌握建设办公室，该办公室从各主要部门抽调人员专职从事内控体系建设工作，待体系正式运行时，办公室解散，人员归位到各经营管理部门，且牵头职能也归位至内审部门。此方式的优点是可以集中各部门力气完成内部掌握的体系化建设，待体系平稳运行后，相关人员回到经营管理部门的骨干岗位上，有利于促进各经营部门对内部掌握体系的理解，有利于内控与经营管理的融合。实践表明，对于管理基础弱的实体经济企业，实行方式三的内控推行效果较佳。

当然，组织的设置没有肯定之规，企业应当依据自身的特点设置内部控组织，明确相关的管理责任。

（2）内部环境的诊断与完善

内部环境是企业内部掌握建设与运行的载体，企业在建设内部掌握机制时，首先要诊断与完善内部环境。一方面，内部环境的完善可以为掌握活动的设计与运行奠定基础，另一方面，内部环境的诊断可以加强掌握活动与内部环境的匹配性，有利于掌握活动的顺畅运行。

通常，内部环境的诊断与完善包括六个方面的内容：治理结构、机构设置、权责安排、内部审计、人力资源政策、企业文化。其中，机构设置、权责安排与内部审计的定位三个方面必需先行完善，后续的掌握活动设计与运行才会顺畅。治理结构、人力资源政策与企业文化三个方面，可以伴随掌握活动的运行同步完善。

（3）动态的风险评估

风险评估是内部掌握体系化建设的重要表现，是后续内控措施设计的重要依据。依据成本效益原则，企业应当针对评估的重要风险强化内部掌握措施，有效降低风险。对于次要风险，企业应当简化掌握活动与流程设计，担当相关的风险，体现经营的效率与效果为主导目标的内控建设理念。

风险评估包括风险辨识与风险评估两个阶段。在风险辨识阶段，企业应当围绕内部掌握目标识别影响目标实现的不确定性因素，辨别企业风险并进行分类，形成企业的风险管理库。通常，企业的风险可以划分为战略风险、市场风险、运营风险、财务风险与法律风险五类，并在此基础上进一步细分。在风险评估阶段，企业应当运用二维风险评估坐标图，从破坏性与发生频率两个维度评估风险，并将风险点界定为重大风险、中风险与低风险。企业应当依据行业特点与目标设置等确定风险评估的标准，评估标准应当留意定量与定性标准相结合。

在实务中我们强调，处于不同行业的企业，或是同一行业的不同企业，或是同一企业处于不同的进展阶段，其风险评估结果各不相同。为此，企业应当至少每年评估一次风险，准时发觉新环境、新业务带来的新风险，动态地调整风险评估结果，进而动态地调整掌握活动规范，让原本静止的内掌握度动起来，始终踏上企业进展的节奏。

（4）掌握活动的设计

掌握活动是内控体系实施的核心要素，企业在规范掌握活动的过程中，应当形成内部掌握政策与程序手册（下简称内控手册）。

企业在设计掌握活动时，应当树立与经营管理活动相融合的设计理念，首先界定企业的掌握活动循环，然后将内部掌握措施嵌入掌握活动中，完善经营管理活动的制度流程设计，形成企业的内控手册。内控手册分模块设计，每一模块一般包括五个方面的内容：

第一，管理目标。围绕内部掌握的目标，企业在设计内控手册时，首先应当明确掌握活动的管理目标。例如选购付款循环，其管理目标应当包括保障物资供应、提高选购效率、降低资金占用、掌握选购成本、保证核算精确     等。

其次，管理机构及职责。该部分将掌握活动涉及的组织及职责清楚界定，以确保后续流程运行的顺畅性。

第三，授权审批矩阵。该部分应当明确掌握活动涉及的全部权限在董事会、经理层与各职能部门间的划分，并且明确各级审批责任。

第四，掌握活动要求。该部分一般以制度文本的形式书写，明确掌握活动各掌握环节的内控要求，作为相关经营管理流程设计的基础。

第五，比照上述几部分，各经营管理部门应当重新梳理与完善业务流程，针对关键风险点强化掌握措施，确保组织职责、授权审批、内控要求落实到经营流程中，保证管理目标的实现。

在内控手册的设计过程中，特殊强调与企业现有的经营管理活动相融合的设计理念，切忌脱离原有制度流程设计孤立的内控手册，以避开实务中业务部门仍参照原有流程、内控手册则束之高搁的现象。

（5）信息与沟通贯穿始终

信息与沟通是指在内控建设中，保证在恰当的时机让恰当的岗位猎取适当的信息。信息与沟通的设计应当贯穿于内部环境、风险评估与掌握活动的始终，例如风险评估报告的报告程序，掌握活动中的掌握文档设计，都体现了信息与沟通要素的建立与健全。

（6）内部监督手段。

内部监督置于五要素之末，是内控管理闭环的体现。为此，内部监督也可以视为五要素之首，是内部环境、风险评估、掌握活动、信息与沟通要素持续完善的基础。内部监督手段包括风险预警、内部评价与绩效考核，三者缺一不行。

风险预警是较新的管理工具，通过预警指标的报告与跟踪，可以突破企业传统的内部审计在时间与空间上的限制，运用现代企业高效的信息集合手段，关心管理层从浩如烟海的数据中提炼关键信息，捕获企业易于忽视或是下级管理者企图隐瞒的临界数据，准时发觉并实行措施防范风险。风险预警系统的设计包括选择指标项、设定临界值、跟踪分析报告与修正临界数据四项工作。企业应当结合自身的行业特点与管理重点设定风险预警指标，并且逐步积累