内部控制手册编制使用说明

内部控制手册编制使用说明

1、编制《内部控制手册》的背景

为规范江苏亨通光电股分有限公司（以下简称“股分公

司”）的管理，贯彻《中华人民共和国公司法》、《中华人

民共和国证券法》、《中华人民共和国会计法》以及其他有

关法律、法规，满足国内外资本市场对上市公司的监管要求，

股分公司特制订《内部控制手册》，作为建立、执行、评

价及验证内部控制的依据。

完整的内部控制体系和完善的内部控制制度，是约束、

规范企业管理行为的准则，是减少风险的重大措施。实施内

部控制可以及时发现和纠正各种错弊及不法行为，有利于保

证资产安全、完整，保证经营成果与财务状况真实、可靠。

其必要性表现为：

一是建立现代企业管理制度，完善法人管理结构，实现

经营机制的转换，加强企业管理，提高企业经营业绩，改善

企业财务状况。

二是贯彻我国有关法律法规，遵循财政部、证监会、审

计署、车尴会、保监会等五部委《企业内部控制基本规范》、

《企业内部控制配套指引》，以及美国《萨班斯―奥克斯法

案》等国内外资本市场监管需求，提高会计信息质量。

三是积极参预竞争、努力降低风险。随着市场竞争日益

激烈和信息技术高度发展，以及全球经济一体化的进程加

速，股分公司所面临的风险也逐渐加大。建立健全有效的内

部控制制度，是防范风险、提高经营效率和效果的重要措施。

四是建立统一规范的内部控制制度，使股分公司各项规

章制度成为系统性、可操作性和包容性很强的内部管理制

度，更为有效的体现股分公司管理理念。

2、《内部控制手册》遵循的基本原则

一是合规性原则。合规性是指企业内部控制制度必须符

合国家的法律、法规和政策；符合股分公司上市地证券监管

机构有关上市公司的法律、法规和要求。

二是全面性和系统性原则。《内部控制手册》涉及股分

公司经营活动的各个方面，其内部监督和控制贯通于经营管

理活动的全过程并涉及全体员工。股分公司的每一个员工既

是内部控制的主体，又是内部控制的客体；既要对:n负责的

作业实施控制，又要受其他人员或者制度的监督和制约。《

内部控制手册》使股分公司内部各部门、各岗位形成较为

系统的既互相制约又具有纵横交织关系的统一整体，确保

各部门

和各岗位均能按特定的目标相互协调的发挥作用，最终实现

股分公司内部控制的总体目标。

三是内部牵制及不相容原则。内部牵制是指部门与部门、

员工与员工以及各岗位之间所建立的互相验证、互相制约的

关系，属于企业内部控制制度一个重要组成部份。其主要特

征是将有关责任进行分配，使单独的一个人或者一个部门对

任

何一项或者多项经济业务活动没有彻底的处理权，必须经过

不相容的其他部门或者人员的验证、核对和制约。

四是权责明确、奖惩结合原则。根据各部门和岗位的职

能与性质，明确各部门及人员应承担的责任并赋予相应的权

限，根据操作规则和处理程序，确定追究、查处责任的措施

与奖惩办法等，使权有所属，利有所享，避免发生越权或者

互相推委的现象。

五是成本效益原则。在内部控制活动中贯通成本效益原

则，就是要力争以至少的控制或者最低管理成本获取最大的

经

济利益。要实行有选择的控制：要努力降低控制成本，尽量

精简机构和人员，改进控制方法和手段，提高效率。

六是可操作性原则。《内部控制手册》必须符合股分公

司实际，无论在业务流程控制点的设置，还是授权项目权限

的确定，都要考虑实际管理工作中是否可行，保证其可操作

性。

七是包容性原则。《内部控制手册》是依据股分公司现

行各项管理制度，为控制风险而编制的一系列流程控制体

系，内容涵盖投资、生产、经营、财务、监督检查等方方面

面。《内部控制手册》力求避免与其他制度相矛盾，尽可能

包容现有的各项制度，对确实有冲突的其他各项管理制度，

应及时修改、完善，并以《内部控制手册》规定为准。

八是信息反馈原则。确定与控制工作有关的人员在信息

传递中的任务与责任，规定信息的传递程序、采集方法和时

间要求等事项，建立严密的纪录、报告等信息反馈系统。

3、《内部控制手册》的合用范围

《内部控制手册》合用于股分公司及其下属公司（下属

公司是指股分公司投资（控股）和托管公司）。股分公司投

资（控股）和托管公司应当参照股分公司《内部控制手册》，

结合自身特点，按照“业务必须覆盖股分公司《内部控制手

册》中对应的所有规定内容，权限比照股分公司”的原则，

制定内控手册，履行本公司审批程序后，报股分公司内控部

备案。

4、内部控制定义

内部控制是为了适应国内外证券机构监管要求，提高风

险管理能力和经营管理要求，由股分公司董事会、管理层及

其全体员工实施的，为经营活动的效率与效果、财务报告的

可靠性、相关法律法规的遵循性等目标的实现而提供合理保

证的过程。内部控制主要由内部环境、风险评估、控制活动、

信息沟通及监督检查等五个要素构成：

内部环境是影响、制约内部控制建立与执行的各种内部

因素的总称，是实施内部控制的基础。内部环境主要包括治

理结构、组织机构设置和权职分配、企业文化、人力资源、

内部审计机制、反舞弊机制等。

风险评估是及时识别、科学分析和评估影响股分公司目

标实现的各种不确定因素并制定应对策略的过程。风险评估

主要包括风险识别、风险衡量、风险应对和风险报告。控制

活动是指根据风险评估结果、结合风险应对策略，采用恰当

的控制措施以确保内部控制目标得以实现的政策和程序，是

实施内部控制的具体方式，控制措施的选择应当结合企业具

体业务和事项的特点与要求，主要包括权责分离控制、授权

与审批控制、预算控制、财产保护控制、分析与报告控制、

绩效考核控制、信息技术控制等。

信息沟通是指及时、准确、完整地采集与股分公司经营

管理相关的各种信息，并使这些信息以适当的方式在有关层

级之间进行及时传递、有效沟通和正确应用的过程，是实施

内部控制的重要条件。信息与沟通主要包括信息的采集机制

以及内部与外部有关方面的沟通机制等。

监督检查是对内部控制的有效性进行检查评价，形成书

面报告并作出相应处理的过程，是实施内部控制的重要保

证。

2022年五部委颁布《企业内部控制规范配套指引》，

分18项应用指引，1项评价指引，1项审计指引，是对《企

业内部控制基本规范》的进一步细化指导。

5、内部控制组织机构

按照《企业内部控制基本规范》和《企业内部控制配套

指引》的要求，为确保公司内部控制规范体系建设工作顺利

开展，公司内部各项内控制度得到贯彻执行，以实现股东利

益最大化经营宗旨，促进公司的全面可持续发展，公司成立

了内部控制规范实施工作领导小组和工作小组，以及内部控

制规范评价组，组织公司对内控机制建设的工作部署，落实

公司制定的内控机制基本制度和工作标准，按内控要求对公

司内控体系的布局进行整体规划，监督内控机制工作的整体

进程，确保内控机制健康运行。

内控领导小组由公司董事长担任负责人，工作组职责：

组织公司对内控机制建设的工作部署，落实公司制定的内控

机制的基本制度和工作标准，按内控要求对公司内控体系的

布局进行整体规划，监督内控机制工作的整体进程，确保内

控机制有效运行等。

内控建设工作组由股分公司总经理牵头，小组职责：落

实公司内控领导小组要求，按职责分工开展相关工作，落实

公司制定的各项内控制度，负责日常工作的风险防控等。协

调召开内控建设工作会议，负责协调督办各子公司及各部门

开展内控工作等。

内控评价工作组由股分公司监事及审计部门组成，小组

职责：落实公司内控工作领导小组要求，按职责分工开展内

控评价相关工作，催促落实公司制定的各项内控制度，负责

日常工作的风险防控检查等。

内部控制工作各组按照公司内部控制工作要求，按职责

分工开展相关工作，落实公司制定的各项内控制度，负责日

常工作的风险防控等。内控部及审计部作为内控规范的牵头

部门，联合公司各职能部门、各子公司协同开展组织内控建

设和自我评价。内控部作为股分公司内部控制工作日常管理

机构，具体负责组织内部控制执行情况监督检查，内部控制

评价，《内部控制手册》更新及培训等工作。

6、《内部控制手册》使用指南

本《手册》包括五部份，即《江苏亨通光电股分有限公

司内部控制手册编制使用说明》、《内部控制手册》、《授

权指引》、《不相容职务分离》、《风险评估》。

《江苏亨通光电股分有限公司内部控制手册编制使用说

明》即本文内容，对《内部控制手册》编制背景、遵循原则、

合用范围、内部控制定义、内部控制组织机构、使用指南、

贯彻实施的责任和要求、编写与管理、发放、使用要求、生

效、维护、更新作出阐述；

《内部控制手册》，描述了内部控制体系组织结构与职

责，较为全面地阐述了内部控制体系的建设目标，以五部委

《企业内部控制应用指引》18个子项，从控制环境、风险评

估、控制活动、信息与沟通和内部监督等五个方面对内控关

注要点及相应措施进行了较为全面、系统的阐述。

《授权指引》，描述了公司管理、决策、一切控制活动

授权审批的范围、层次、程序、责任，对内控关注要点的审

批权限进行了阐述；

《不相容职务分离》，描述了公司内部机构、岗位的设

置及其职责权限的合理划分，确保不同岗位形成各司其职、

各负其责、相互制约的工作机制，并汇编了公司所有不相容

职务。

《风险评估》，描述了公司风险控制目标和风险评估的

基本概念以及风险的分类，风险管理制度从确定风险评估目

标、风险评估机制、建立并完善风险管理体系三个方面对内

控关注要点及相应措施进行了阐述，并汇编了公司一切活动

的风险内容及评估。

7、《内部控制手册》贯彻实施的责任和要求

《手册》建立了一套科学、系统的内部控制体系建设方

法和标准，是公司建设并实施内部控制体系的纲领性文件。

为保证内部控制体系”设计有效、执行有力“，各部门、各

公司要认真组织实施，严格遵照执行。要充分认识内部控制

体系建设工作的长期性和艰巨性，把建立和有效运行内部控

制体系作为重要工作，建立长效机制，指定管理部门或者管

理岗位，履行内部控制职能，切实做到实施有力。

为推动《手册》的贯彻执行，提高《手册》的使用效果，

股分公司及各子公司每年至少举办一次《手册》使用培训，

要有计划地做好培训，将内控工作要求传达到每一个员工、

每个岗位，确保执行到位。

各公司要按照五部委《企业内部控制基本规范》、《企

业内部控制配套指引》及《股分公司内部控制手册》编制规

范的要求，修订、完善和细化本公司的手册。

各公司内控负责人要对本公司内部控制体系运行情况进

行检查和催促，内控部将定期组织考核并进行通报。

8、《内部控制手册》编写与管理

《手册》由内控部组织编写，内控委员会审定，股分公

司行文发布。内控部对《手册》进行规范管理，以保证其有

效、完整、统一和合用。

9、《内部控制手册》发放

《手册》须按发放范围统一发放。发放范围由内控部提

出，经管理层批准执行。普通包括公司高管、股分公司相关

职能部门等。

《手册》包括纸质版和电子版两种，电子版的配发范围

为股分公司高管；纸质版的配发范围为公司各职能部门及

特殊使用者。

10、《内部控制手册》使用要求

本《手册》是公司重要文件，属公司机密。各单位应按

相关要求正确使用，未经允许，不得复印，不得对外泄露。

在使用过程中遇到疑难问题，及时向内控部咨询。

11、《内部控制手册》生效、维护、更新

《手册》的维护是一项长期性、时常性的重要工作，需

要各部门及公司高度重视，积极参预，大力配合。各公司应

指定内控管理人负责本单位《手册》的日常管理和维护。对

《手册》日常使用过程中发现的问题，应认真记录并及时反

馈给内控部。内控部应及时掌握《手册》的执行情况，并采

取有效措施确保内部控制管理体系的有效运行。

《手册》的修订由内控部负责。每年内控部将根据国内

和上市地新出台的相关法律法规的要求、内外部审计对公司

内部控制的评价、公司内控管理中浮现的新问题以及反馈的

意见及建议等，对《手册》进行修订，更新后的《内部控制

手册》经董事长审批后正式生效，并由内控部下发到各部门

和各公司，更新后的电子版本将存档于股分公司网络中心，

并按照资料异地备份要求，存档于七都网络部。

内控手册全册目录

第一部份江苏亨通光电股分有限公司内控手册编制使用说

明

1、编制《内部控制手册》的背景

2、《内部控制手册》遵循的基本原则

3、《内部控制手册》的合用范围

4、内部控制定义

5、内部控制组织机构

6、《内部控制手册》使用指南

7、《内部控制手册》贯彻实施的责任和要求

8、《内部控制手册》编写与管理

9、《内部控制手册》发放

10、《内部控制手册》使用要求

11、《内部控制手册》生效、维护、更新

第二部份内部控制体系手册

1、组织架构

1.1管理结构

1.2内部机构

1.3制度建设

1.4子公司管控

1.5三重一大事件

1.6职务授权及代理人制度

2、发展战略

2.1发展战略

2.2经营计划

2.3内控监察

3、人力资源

3.1人力资源规划

3.2员工招聘

3.2员工培训

3.4薪酬管理

3.5绩效考核

3.6员工管理

4、社会责任

4.1安全生产

4.2环境控制管理

4.3社会责任

4.4自然灾害

4.5突发公共事件

5、企业文化

5.1企业文化

6、筹资管理

6.1融资管理

6.2募集资金管理

7、投资管理

7.1投资管理

8、资金管理

8.1货币资金

8.2票据管理

9、采购管理

9.1供应商管理

9.2招投标管理

9.3设备采购管理

9.4备品备件管理

9.5原材料采购

9.6危化品采购

9.7对付款管理

9.8采购定价

9.9进口管理

9.10物流管理

10、存货管理

10.1原材料管理

10.2存货管理

10.3危化品管理

10.4废弃物资处置

11、生产管理

11.1生产管理

11.2仓储运输管理

12、固定资产管理

12.1固定资产管理

12.2设备资产管理

13、无形资产管理

13.1无形资产管理

14、营销管理

14.1销售预测管理

14.2定单与合同管理

14.3客户开辟管理

14.4信用管理

14.5售后管理

14.6价格管理

14.7应收款管理

14.8出口管理

14.9办事处管理

14.10市场管理

15、研发管理

15.1产品管理

15.2研发项目管理

15.3专利管理

16、工程项目管理

16.1工程项目管理

17、担保管理

17.1担保管理

18、业务外包管理

18.1业务外包

19、财务报告

19.1关联交易

19.2会计核算

19.3财务报告与分析

19.4信息披露

20、成本费用管理

20.1成本费用管理

21、全面预算管理

21.1全面预算

22、合同管理

22.1档案管理

22.2印章管理

22.3合同管理

22.4法律纠纷

23、信息系统

23.1企业内部信息沟通

23.2审计监察

23.3信息系统开辟

23.2信息系统运行、安全、维护

第三部份《授权指引》

1、组织架构

2、发展战略

3、人力资源

4、暂无

5、企业文化

6、筹资管理

7、投资管理

8、资金管理

9、采购管理-物料采购

10、存货管理

11、生产管理

12、固定资产管理

13、无形资产管理

14、营销管理

15、研发管理

16、工程项目管理

17、担保管理

18、业务外包管理

19、财务报告与信息披露

207、费用管理

20-2.费用管理-税务管理

21、全面预算管理

22、合同管理

23、信息系统

第四部份《不相容职务分离》

一、组织架构及部门职责

二、不相容职务分离表

1、组织架构

2、暂无

3、人力资源

4、暂无

5、企业文化

6、筹资管理

7、投资管理

8、资金管理

9、采购管理

10、存货管理

11、生产管理

12、固定资产管理

13、无形资产管理

14-1、营销管理

14-2.营销管理-商务管理

15、研发管理

16、工程项目管理

17、担保管理

18、业务外包管理

19、财务报告与披露

207、费用管理

20-2x费用管理-税务管理

21、全面预算管理

22、暂无

23、信息系统

第五部份《风险评估》

一、江苏亨通光电股分有限公司风险管理制度

第一章总则

第二章风险管理及职责分工

第三章风险评估

第四章风险管理解决方案

第五章风险管理的监督与改进

第六章附则

二、亨通光电内部控制风险评估

根据五部委要求，2022年1月1日深沪两市主板上市公

司开始执行内部控制规范指引，包括18项应用指引，1项评

价指引，1项审计指引，合计20项。2022年上市公司年报

必须披露年度内部控制自我评价报告及事务所出具关于内

部控制的审计报告。这就表示，上市公司必须在2022年1

月1日之前，完成制定内部控制体系文件，在2022年的整

年度必须有控制轨迹。

根据公司9月份内部控制工作计划，结合目前的工作进

展，公司的内部控制体系文件即将完成，正在进行最后的检

查。同时，对于内部控制手册的前言进行编辑。

按照内部控制概念在中国的推广，分为小、中、大口径

内部控制。目前大部份公司所操作的均定位于中小口径内部

控制。也就是说，一是由财务人员主导的小口径内部控制，

从财务审计出发制定最具体最基本的内部控制制度。二是从

企业财务管理角度出发制定最有直接效果、能有控制企业运

行的内部控制制度，即财务部牵头的中口径内部控制。我们

公司最初定位是由财务总监来牵头，理论上讲这是属于符合

上市公司要求的中口径内部控制。后决定成立内控部来专门

操作，那末就上升为大口径内部控制。所谓大口径内部控制，

即把18项应用指引的内部环境类5项指引全部涵盖进来。

内部环境类5项指引：组织架构,发展战略、人力资源、

社会责任、企业文化。美资企业将内部控制统称为公司管理，

即包含了所有包括内部环境类的内部控制。欧洲标准将内部

控制分为公司管理和小内控概念。在国外，内部控制是由CEO

和CFO执行并负责，由于COSO严格的罚责制度，在美国上

市的公司，执行COSO是最严厉且最有效的。目前国内只出

了指引类规范，对于内部控制没有上升到法律高度，并且由

于国内大部份公司由不位列领导班子成员的财务总监或者

不管实际经营的董事长挂帅，将没有办法实现执行彻底的内

部控制。因此专家预言，本次内部控制力度深度将有限。

HT本次内部控制，情况也是如此。董事会牵头，内控部

执行。在已经执行的这段时间里，我向来贯通一个原则，即

与各公司目前所运行的IS09000或者其他质量体系文件，尽

量不冲突，对于各部门制度，尽量只是补充未尽事宜，不做

颠覆性更改，因此，估计在以后的实践中，推行不会造成很

大困扰。

问题在于，一是公司总经理必须表态支持，分派给他该

做的工作需要完成；二是内控部需要有责罚权限。不光是指

导执行，还必须有考核权力和责罚措施。三是企业必须只执

行一套规范体系，所以对于当前HT来说，质量部与内控部

必须合作，在一定程度上使得执行标准通用化。四信息化管

理，目前HT正在上财务系统乃至于推广全面预算，但是这

些没有规定内控部门参加，在以后的信息化管理过程中，内

控部将缺失财务信息流的了解。同时，这套软件据说是要仝

公司、各部门运行的，那末内控部将变成旁观者而无从下手

观察与监控。五是好的管理制度一定是要有验证轨迹的，那

么在我们制出的这么多流程中，如何让验证轨迹成为不可绕

过得环节，也需要领导层将内部控制提升到一定高度和层面

上来宣讲。

由于ISO有先入为主的优势，所以内部控制在HT推行2

个月多的时间，遇到最多的问题，便是问询内部控制与现行

体系的不同，我一向的解释是，所有执行层面的内容都基本

是一样的，仅仅是考核侧重点不一样，ISO强调的是以最流

畅的流程做出最有效的工作，而内部控制规范要求的则是在

所有企业活动中，确保风险得到最有效的掌控，前者排在第

一的目的是经营效率，后者排在首位的目的是资产安全。

HT股分公司的子（12家）、孙（3家）公司众多，另有

编制为事业部的4个，不涉及HT集团下属各企业，那末哪

些可以做为独立的内部控制建设单位，判断标准就是如果拥

有独立的产、供、销和现金流，那末就可以视为一个内控体，

目前HT,除事业部编制的4个，其余都可以分开进行，但是

我向来希翼推行的，是请各子公司先行检查已经在运营的制

度流程，在母公司内部控制手册完成的情况下，借鉴大部份

我们可以暂称为一级管理架构的内容，根据本身的经营特

色，查漏补缺，优化提高，从而形成子公司内部控制手册。

这样做的益处不少，最大的好处就是在内部控制评价和审计

的时候，我将非常熟悉各流程和制度，并且通过多家的比对，

能够总结出最适合和优化的流程。

内部控制规范重点和难处有两方面，一是成本与效益原

贝人基本所有的HT公司都已经通过并正在执行质量体系并

且运行良好，如果不是因为上交所的强制规定，那末我们在

现阶段不执行内部控制规范，也不会影响公司的运营。推行

内部控制规范，我们需要礼聘外部机构协助编制内部控制手

册，必须组织人员进行内部控制自我评价，必须礼聘事务所

进行内部控制审计，这些将是不菲的开支。在初期，我们就

决定自己来做内部控制手册，所有的前期费用预算是50万，

包括人员出差培训。不请外部机构介入编制，主要是考虑到

HT作为民营企业，有若干具备HT特色的经营理念和运作流

程，惟独了解HT和这个行业规则的人员才干更好的编制内

部控制手册。事实上，在2个多月的时间里面，我确实得到

了各部门各单位的大力配合，因为领导层的推行和我本身对

公司和行业的熟悉。

内部控制第二大难处便是利益的调整。控制的目的是为

了把所有的运营风险都变为可掌控，那末怎么掌控呢？对于

一线操作型员工，我们只需要控制动作，这个不难，作业指

导书彻底可以解决问题。但是对于知识型员工，我们所要控

制的便是动机。人的因素是最难掌控的，我们不可能打保票

说，这个人为公司忠诚的服务了10年，那末他将继续保持

忠诚，对于一个岗位，现位人员是胜任的，那末新一位接替

者，我们怎样才干保证他也是胜任的，在HT,一向有师傅带

徒弟的传统，这是很难改变的习惯，甚至一些领导因为太有

资历了，念念不忘的训导下属的话语，也离不了师傅要带好

徒弟。可是这之中的风险根本不是人为可控的，所有人都明

白这个道理，包括那些要求下属无私教导的领导也明白这个

道理。中国老话讲，教会徒弟，饿死师傅，我辛苦打下的江

LLI,凭什么毫无保留传授给你一个小辈，然后哪天替了我？

而内部控制最主要的便是流程控制，我不清晰流程，不清

晰每项工作的具体操作步骤和深浅把握，我怎么编制这个

流程图怎么掌控这个风险。目前所有的流程图，其实并不

能称之为真正的流程图，我们仅仅是做了一个规范的动作

流程图，我们没有就每一个项目进行详细解释：做什么、

怎么做、风险在那里、怎么控制。最初决定画流程图的时

候，领导就跟我讲，我们一定要画最简单的流程图，那末

我就可以理解为我们需要通行的动作流程图，而不是管理

流程图。而内部控

制其实质上需要的是管理流程图，这是最核心和最可实现掌

控的一个控制轨迹。

比较幸运的是在制作内部控制手册的时候，我还是有2

份蓝本可借鉴。这个过程也是我从不明白为什么别人要这么

做，框架要那末搭，现在是一步一步明白过来。虽然先期没

有明白别人这样做的理由，但是我还是照了葫芦画了样子，

所以一通百通，我自认为是每天做了一步，又深入了一步，

就像走小巷子，源源不绝的让我发现其中可联系可探索的方

面。

在我的风险图中，我埋下了简便的索引号，于是在编制

风险库的时候，可以让我很快的顺藤摸瓜，找出必须control

的风险。在编制授权审批表的时候，我没有编号，但是给了

具体的一级目录和项目目录，可以单独入册。即便今后，如

果我们要做最完美的管理流程图，那末我立刻就可以编制出

管理流程图各子项目的action,权责分离表一样如此，我可

以立刻根据目录编查出separation,这个CAS便可以分类会

合到管理流程图中来，形成合格的内部控制管理流程图。那

么为什么现在不编呢，因为我还没有做到使得我的流程图在

各项目中运行。路通了，但是没有车子走过，就不知道路的

质量。我估计用半年的时间，对本部各部门进行实践检验并

优化流程，届时，我将开始管理流程图编制。

现在HT正推行ERP系统，在计划安排中是没有内控部的，

我希翼在未来可以把ERP作为内部控制推行的媒介，事实上，

不少成熟的公司都在推行海星状管理模式。所谓海星状管理

模式，即是中心的大部份都是共享的，惟独小部份的必须对

外的如地域性销售，地域性的生产，他必须是单独的，不能

统一规范的。对于财务类、人事类、采购、信息这些方面，

都是可以集团共享的，节约了资源，同时也增强了内部控制。

都是通过信息化传递和管理，那末人为因素将越来越小，也

防止了舞弊的发生。

事务所接受企业委托进行内部控制审计，根据五部委《企

业内部控制审计指引》，仅要求对企业财务报告内部控制的

有效性进行审计，出具审计报告。对于审计过程中发现的企

业非财务报告内部控制缺陷，负有提示义务。在企业内部控

制自我评价要求中则需要全面性检查。这个要求与我当时对

于内部控制手册建设时，要求立信仅对财务部份参预不谋而

合，后来事务所没有后续跟进编写工作，但是若仅就财务报

告内容负责的话，那末我就有充分的信心，事务所将出具有

利于公司的审计报告，因为他同时担任了股分公司乃至集团

的年报、季报财务报告的审计工作，所以轻车熟路且必须负

责。

18项内部控制应用指引，公司层面5项，控制活动类9

项，控制手段类4项，这个后4项事实上是内置于前14项

的工具。所以在我的手册中，没有严格的用部门或者18项

指引来区份内容，因为后四项彻底是内置于前14项，后来

拿出来单独成册，仅仅是对于共性问题的阐述。

在管理结构中，要做到决策权、监督权、执行权三权分

离，那末我们就要设置授权审批控制和不相容职务分工控

制。在目前形成的内部控制手册中，对于授权审批仅做了一

般授权，对于特殊授权没有专门阐述，这是需要将来补充的

缺陷。在《不相容职位分离》分册中，加入公司内部机构设

置、部门职责描述、岗位职责权限描述，形成比较系统清晰

的职务阐述。这个发现，让我豁然开朗，长期以来困扰我的

关于内部机构即内部组织架构到底应该按在手册的哪一部

分，总是权衡不下的问题。

在现行内控手册中，风险描述浮现两次，显得手册特殊

冗长，如何解决这个也是我向来思量的，今天也一并考虑清

楚。在未来手册执行过程中，所有的书面流程图将被实物流

程一一验证，那末在《内部控制手册》中浮现的风险描述将

被关键控制点取代，每一个流程中浮现的步骤将成为现成的

控制点，从而简化风险描述的多项内容合并成关键控制点

描述，这个也将在风险控制措施里面体现出来，将来我的

控制点也需要根据手册目录进行重新编号。未来识别、总

结、合

小、口并同类项风险将是一个比较大工程。

今日工作备忘：

编制内部控制手册目录发现问题和缺陷。一是第二部份

内部控制手册名称重复，应该找一个更适合内容的文件名

称；二是在手册纳入的部门职责是以内部控制的职责来描

述，还是广义的部门职责；三是在第五部份风险管理制度中，

还需要添加数项专项制度，这个也需要后续逐渐添加，本次

手册发行因为来不及做，不豫备加入这个部份；四是手册还

需要添加第六部份，即内部控制自我评价相关内容、监督和

内部控制激励。

由此看来，后续工作任重而道远，事项急缓排序：

一、内部控制自我评价系列内容；

二、风险评估内容完善；

三、手册流程图与实务流程图的验证、调整；

四、根据实务流程图提炼关键控制点；

五、控制措施在实际部门制度中的查漏补缺。

今日学习心得：

企业内部控制大多数人的认识就是对于内部所有活动的

控制，也就是内部牵制，这个理解事实上是偏颇的，内部牵

制是企业实施内部控制的一方面，此外一方面，则是对于企

业的外部环境的控制。五部委所规定的内部控制不是企业的

物理边界，而是一种经济边界。所谓企业的经济边界则取决

于企业的目标，即企业的定位和要求。企业的控制环境有内

部环境和外部环境，企业所面对的风险也是包括了内、外部

的风险。所谓企业环境的3C,即customer客户、competitor

竞争者、company公司。我们不能说仅仅解决物理上的企业

内部控制，企业就能得到健康持续发展。如科技进步这个外

部环境很可能就决定了企业的生死。柯达胶卷就是一个人尽

皆知的例子。这个风险他们本身有没有及时意识到，有没有

制定有效的内部控制措施。显然不能说柯达是没有做好内部

控制的，但是这个控制缺陷也是致命的。他们没有考虑时代

的技术进步而转型，所以就从最显赫的江湖地位退后至一个

属于生产小众消费物品的公司。

内部控制评价与内部控制审计的不同在于：一方面评价

是对于企业内部控制全面性的评价，审计是主要以财务报表

内部控制的有效性进行审计；另一方面出具自我评价报告

要有后续的改进措施、实施反馈并进一步优化，而审计报告

不需要。

在《企业内部控制审计指引》中规定注册会计师应当对

财务报告内部控制的有效性发表审计意见，并对内部控制审

计过程中注意到的非财务报告内部控制的重大缺陷，在内部

控制审计报告中增加“非财务报告内部控制重大缺陷描述

段”予以披露。就我的理解来看，财务报表审计与内部控制

审计两者最容易理解的区别就是，财务报表审计是审计一个

结果，是要求对于财务报表是否符合相关法律法规、公司制

度规定等进行认定，而内部控制审计则包含三方面，一是对

内部控制有没有进行设计，二是设计的内部控制是不是有

效，三是内部控制的设计有没有得到执行。也就是说财务报

表审计很直接的就结果赋予判断，而内部控制的审计是审计

一个过程，内部控制审计是不断的维持现状、打破现状的管

理效果螺旋式上升的过程审计。

内部控制审计方法包括穿行测试即对于某一项活动有始

至终的所有内容进行符合性检查、控制测试则是对于同一活

动检查控制手段是否一致、一贯，执行是否有效。在家族式

公司里面，有些内部控制是不符合通常意义上的职位分离、

授权审批等要求的，但是他的控制有可能是更加有效的，称

之为替代性内部控制。

内部控制做了这几个月来，其实纯粹是庞大的文字游戏，

我天天翻来覆去，已经开始厌倦。可以想见，未来如果这样

发下去，几百张纸头，上千条风险事项，肯定没有人能够坚

持从头至尾阅读，不用说一一执行，所以说到底内部控制最

后还是如何落地的问题C

内部控制工作的基调取决于老板的管理格调，并且老板

对于公司经营的风险接受度，也就是老板的行事风格，决定

了内部控制对于风险的管控风格。书面对付检查，还是真正

让内部控制发挥类似体系制约式的控制作用，条款是粗放还

是细致，这些与制定内部控制体系的人在实践中并没有多少

关系。内部控制浮现大的执行缺陷，绝大多数并非属于大

多数人群的员工，而是领导层。象我们这样的民营企业，说

到底内部控制首当其冲应该控制谁，是老板。但是有老板愿

意让你控制么？虽然讲起来，公司是上市公司，是公众的公

司，但是在这样一个成立已经20年，有着根深蒂固的老板

就是天的公司里面，你来讲内部控制是对老板的控制，保准

你不能在公司看到明天的太阳。人家讲笑话说，如果你有在

公司里面对待领导的态度对待你的父母，那末社会就真的大

和谐了。待过民企、国企的人都清晰，这是天方夜谭。老板

是谁，老板是你的衣食父母，不是生身父母，没有血缘关系，

你必须兢兢业业，惶恐伺候。

所以在我们的内部控制中，我最应该警省的不是我的文

件做得怎么样，我需要就各个事项去提醒谁。