第六节　内部控制建设的思路和方法

不同企业在组织形式、行业特点、业务类别、经营范围、规模大小、管理模式等方面存在着差异，毋庸置疑，现实中并不存在一种适用于所有企业的内部控制模式；但在建设内部控制体系时，还是有一些共同的思路和方法。管理的基本逻辑是：明确目标—分析现状—确认差异—改进提升。实践中，企业可以按照这个逻辑开展内部控制建设工作。企业应依照内部控制规范体系的要求，结合企业实际，以提高生产经营与管理活动的效率和效果为核心，以风险管理为导向，以流程构建为基础，以关键控制点为重点，制订内部控制建设实施方案，明确总体建设目标和分阶段任务；按照管理制度化、制度流程化、流程信息化的要求，立足企业实际，倡导全员参与、全业务覆盖，注重控制实效，抓好内部控制建设的基础工作和关键环节。企业要重视内部控制的监督和评价工作，促进内部控制持续地改进与优化。

一、明确内部控制的定位和目标

内部控制不是静态的规章制度，而是由内部环境、风险评估、控制活动、信息与沟通、内部监督等要素构成的完整框架。尽管内部控制设计的成果大多表现为政策、制度、流程和表单等，但这并不等同于内部控制的全部，内部控制建设更强调对规章制度的执行过程及实施的效率和效果。内部控制是一项全面的风险管理活动，内部控制建设绝不等同于制度建设，企业应重视内部控制整体框架的建设，特别是软环境的培育，不能一味地追求控制得越严越好，制度越多越好。内部控制既不是会计控制，也不是针对基层岗位和普通员工的控制，更不是经理层的责任，而是全员控制；上至董事会、经理层，下至普通员工，各部门、各岗位和全体员工在内部控制中都有自己的职责权限。内部控制既涉及公司整体层面，也涉及业务和事务单元，还涉及下属部门或附属公司（包括控股子公司、分公司和具有重大影响的参股公司）层面，覆盖企业生产经营和管理活动的全过程。

目标引领行动，内部控制目标是构建企业内部控制体系的出发点，也是测试和评价企业内部控制体系建设与运行状况的基本标准。只有明确了内部控制目标，才能确定内部控制建设与实施的方向。内部控制的目标不是仅仅“纠错防弊”，而是帮助企业实现发展战略，促进企业的可持续繁荣，打造百年老字号的优秀企业。我国的《企业内部控制基本规范》将内部控制的目标界定为：合理保证企业经营管理合法合规、资产安全完整、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。从我国的《企业内部控制基本规范》及其配套指引的制定思路和具体内容可以清晰地看出，企业内部控制的目标不是相互牵制和预防错弊，而是促进企业价值最大化，实现企业与社会、自然的和谐发展，维护企业所有利益相关者的共同利益，保障企业的可持续发展。目标设定的适当性是企业建设有效内部控制的基础和前提条件，企业进行内部控制建设时首先要明确战略规划和运营目标，并对整体业务目标层层分解和逐项落实。企业应明确内部控制建设的总体目标和分阶段建设任务，并将这些总体目标细分到具体业务或特定事项的日常管理和控制上。

二、摸清现状，分析缺陷和薄弱环节

除新建企业外，绝大多数情况下，企业的内部控制体系建设不是推倒重来，而是在现有基础上结合企业实际进行补充、改进和完善。内部控制的建设没有终点，是一个精益求精的持续改进过程。已建立起内部控制体系的企业，应重点抓好有效执行和持续改进工作，着力提升内部控制的健全性和有效性。

改进和优化的前提是对企业的内部控制现状进行调查与评估，摸清现状，分析现有内部控制的缺陷和薄弱环节，弄清楚阻碍内部控制目标实现的因素，确定需要改进和优化的方面。现状调查和评估可以采用现场观察、实地访谈、问卷调查、专家座谈、重新执行、穿行测试、统计抽样、分析复核等方法进行。现状调查和评估的内容应覆盖内部控制的五个要素，范围应涵盖企业整体层面、业务单元、分支机构和子公司。内部控制缺陷应结合内部控制目标的实现程度，从设计和运行两个方面进行认定与分析，并按缺陷对内部控制目标的影响程度细分为重大缺陷、重要缺陷和一般缺陷。缺陷的识别和分析可以采用列表的形式进行，并及时与相关部门或人员沟通。

针对内部控制的改进和优化，企业还应该对企业现有的规章制度、业务流程、权责配置、风险信息等进行全面梳理，并与《企业内部控制基本规范》及其配套指引、监管要求等规范性文件进行比较，识别、分析和确认其中的差异；然后进一步分析差异类别和成因，针对不同情况分别进行改进和优化：

（1）对于内部控制规范体系要求建立而企业没有的空白领域，企业应建立健全相关制度和标准；

（2）对于企业已建立的规章制度或操作标准，但达不到内部控制规范体系要求的，企业应按内部控制规范体系的要求进行改进和优化；

（3）对于企业已建立并高于内部控制规范体系要求的规章制度或操作标准，企业可以保留现有做法，并进行动态改进和持续提升；

（4）对于内部控制规范体系未要求而企业确实需要的特殊控制、行业惯例、上级要求等，企业应遵循内部控制规范的原则和方法，保留和完善相关控制标准；

（5）对于已识别和认定的内部控制执行缺陷，企业可以通过绩效考评、内部监督、建立激励和约束机制等渠道强化内部控制的执行与建设。

三、搭框架、定基调，顶层设计至关重要

企业进行内部控制体系建设要制订整体建设方案，搭好基本框架，定好基调，搞好顶层设计，具体工作包括组建内部控制组织体系、确定内部控制建设范围、开展风险评估、识别关键控制点、构建业务流程、建立规章制度、统一内部控制标准、加强信息系统建设等。

（一）组建内部控制组织体系

1.健全治理结构

企业应建立健全法人治理结构，依法设置董事会、监事会、高级经理层等组织机构，明确各自的权利和义务；结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各级单位、部门和岗位。

2.成立专门机构

企业应在董事会下组建全面风险管理（或内部控制）委员会等类似机构，负责企业内部控制与风险管理的整体工作；在全面风险管理（或内部控制）委员会下成立专门的内部控制管理部门或在已有部门中成立具备此类职能的专门机构，具体负责组织协调内部控制的建设、实施、评价及日常运转，该机构应配备适当的人员，明确权责范围，归属最高管理层管理，能够对业务单元和职能部门的工作拥有直接接触及监督评价的权力，并能直接向董事会或类似权力机构报告工作。

3.强化专业岗位

业务部门负责本专业内部的日常管理工作，指导和监督本专业内部控制工作的开展，配合全面风险管理（或内部控制）部门开展风险评估、内部控制评价等相关工作。业务部门应配备专人或专岗，负责组织开展本专业内部控制的相关工作。

4.建立授权体系

企业应构建分级授权体系，将各项职责权限和管控要求逐级落实到各级单位、部门和岗位。

5.加强内控监督

审计委员会、审计部门等内部监督机构负责对内部控制的建设与运行状况进行监督、检查，并提出完善的建议。

（二）确定内部控制建设范围

企业内部控制建设范围包括企业整体层面、业务活动层面、子公司和分支机构层面等。在企业整体层面，企业应开展内部环境、风险评估、控制活动、信息与沟通、内部监督建设，确保企业内部控制的整体有效性。在业务活动层面，企业应依据目标实现所需开展的业务活动构建业务流程框架。一般来说，随着企业目标的逐级分解，围绕这些目标的实现，企业业务也应逐级划分为一级、二级、三级等不同层级，形成业务流程框架。对于跨专业流程的衔接问题，要明确流程的跨专业接口，促进业务横向融合。通过流程构建，促进风险、控制、岗位、职责、制度等管理要素的有机融合，建立动态联系，实现各要素的一体化管理。企业应加强重点流程与特殊业务的内部控制，着力抓好资金、投资、采购、基建、销售、产权、人力资源、质量、安全生产等关键业务的流程管理，加强境外资产、金融及其衍生业务、重大经济合同和节能减排等特殊业务的内部控制建设。企业应加强对下属部门和附属企业的控制及管理，管控重点应放在组织规划和人员管理、重大政策的制定、重大经营风险控制、重大业务活动控制、重大财务收支活动控制、经营活动分析、绩效考评控制等方面。企业应制定针对子公司的控制政策及程序，并充分考量子公司的业务特征，督促其建立与母公司一致的内部控制体系。

（三）建章立制，统一标准

管理制度化、规范化是现代企业管理的重要特征，建立规章制度、统一内部控制标准是制度化、规范化管理的前提。企业应以流程构建为基础，规范各类活动的办理程序，将控制目标、主要风险点、关键控制点、应对措施、控制标准、部门和岗位职责权限等内容制度化，健全企业制度体系。特别是大型企业集团内部应建立统一的内部控制标准体系，通过制度固化必要的员工行为，使企业内部上下各管理层级、各职能部门和各业务单元都使用统一的内部控制术语和风险管理语言。

（四）加强企业信息系统建设

企业应加强信息系统建设，利用现代管理手段，开发信息系统，优化管理流程，减少人为操纵因素，推进内部控制体系建设与信息化建设的融合对接，结合企业信息化建设进程，将制度要求、业务流程和控制措施逐步固化到信息系统，实现在线运行，从而不断提高内部控制效能。

四、围绕风险点，设置控制点，抓好流程建设

内部控制建设应以防范和化解风险、规范和审慎经营为出发点。风险是影响目标实现的不确定性，针对风险，企业应在控制点上采取相应的控制措施，以实现业务管控目标。控制点是在日常运作过程中能降低风险发生概率或减少风险损失、协助控制目标实现及前一步骤正确性的操作步骤。主要风险必须在关键控制点上加以预防和控制。关键控制点是执行人能够进行控制，并且该控制对防范、消除或降低相关风险到可接受水平所必需的某一步骤。在相关流程中，关键控制点是影响力和控制力相对较强的一项或多项控制，应设置在最佳、最有效的控制点上。一系列控制点按业务办理的先后顺序和逻辑关系组合起来，便构成了流程的核心内容。流程是企业为了完成特定业务管控目标而采取的一系列动作的集合体。

企业应基于业务流程框架，对影响企业目标实现的风险开展识别与评估，识别各类业务、各流程、各环节的风险点，分析和评估风险发生的原因、可能性及其潜在影响，结合风险承受能力，明确相应的风险管理策略。企业应依据风险评估结果，设置关键控制点，并在业务流程中标识清楚，记录在内部控制文档中。企业应将关键控制点作为实施控制活动的重点，对其实行全面、严格的管控，避免重大风险的产生。在实施控制活动时，企业可以遵循“5W1H”原则进行，即WHO——谁是此项控制的执行者（执行岗位）？WHEN——控制在什么时间实施及实施的频率是什么？WHERE——控制体现在什么地方（执行部门）？WHAT——控制活动的具体内容是什么？WHY——此项控制的目的（管控风险）是什么？HOW——如何实施此项控制？

五、重视内部控制评价，做好动态改进与持续优化

内部控制评价是对企业内部控制设计和执行的有效性进行评价，识别控制缺陷，形成评价结论，出具评价报告的过程。内部控制评价工作应包括内部控制的设计与运行，涵盖内部控制的各个要素及各类业务和事项，对实现控制目标的各个方面进行全面、系统、综合的评价。在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。内部控制评价工作要与部门绩效考核及员工薪酬挂钩，达到“以评促建”的效果。内部控制评价应固化到信息系统中，以提高内部控制评价的效率和效果。有条件的企业可以建立内部控制监控信息系统，实时监控业务流程和规章制度的执行状况，将风险控制防范在事前和事中，避免企业管理停留在事后追责的阶段。

企业应以对企业目标达成的影响程度为标尺制定内部控制缺陷认定标准。对于内部控制评价中发现的设计缺陷和执行缺陷，企业应进行记录，分析其成因、表现形式和影响程度，明确责任单位和个人，提出整改方案及整改计划，并监督与追踪整改的具体落实情况和整改效果，做好内部控制的持续改进与优化工作，确保将影响企业目标实现的风险控制在风险可接受水平之内，实现企业内部控制体系建设的良性循环和更新。

案例1-1　GJDW公司内部控制建设的经验

GJDW公司（以下简称“公司”）自成立以来就十分重视内部控制和风险管理的建设工作，2012年8月，根据国务院国资委和国家财政部联合发布的《关于加快构建中央企业内部控制体系有关事项的通知》，公司全面进入内部控制的体系化构建阶段：

第一，公司明确了进行内部控制建设的原则，包括：统一设计——公司总部统一研究制定内部控制体系建设框架、控制标准、控制措施、评价规范等，自上而下，统筹推进；全面覆盖——将公司所属各级单位统一纳入建设范畴，实施跨部门、跨业务的端到端全业务流程管理，做到横向到边、纵向到底；业务融合——将内部控制要求嵌入业务流程，明确关键控制点、控制措施、控制活动和控制责任，推进内部控制与经营业务的有机融合；协同推进——公司各部门分工协作、紧密配合，做到横向协同，各单位层层落实、周密部署，做到纵向贯通；持续提升——全面归纳、整合、提升总结前期的成功经验，强化评价，持续推动改进与完善，逐步建成全员参与、全面覆盖、全程管控的内部控制体系。

第二，系统整合前期的内部控制建设成果，以标准流程为载体、以风险管控为导向、以授权管理为约束、以规章制度为保障、以内部控制评价为手段、以信息系统为支撑，建立了覆盖全公司、贯穿各层级，以组织结构扁平化、业务流程标准化、内控责任岗位化、控制手段信息化、监督评价常态化为特征的内部控制体系，探索出一条具有自身特色的内部控制建设道路，基本可实现全集团内部控制在线管理和风险实时防控，有效地提升了公司管理水平和风险防控能力。公司内部控制体系的特点如图1-9所示，包括五规范定标准（流程控制规范、岗位授权规范、风险评估规范、执行评价规范、规章制度规范）、四机制抓执行（信息沟通机制、执行责任机制、评价改进机制、协同监督机制）、三支撑强保障（信息系统、专业队伍、企业文化）。

第三，公司按“目标—风险—控制”的内部控制建设思路，针对每一类别、每一层级的风险，结合业务办理流程都设定了相应的控制目标；随着企业目标的逐级分解，应对各业务和各领域的风险进行识别、分析与评估，形成四级风险分类框架，统一了风险分类体系，规范了风险编号、名称与定义。如表1-1所示，一级风险是指公司主要业务领域所面临的总体性风险，包括战略风险、投资风险、财务风险、营销风险、电力交易风险、法律合规风险、安全生产风险、工程建设风险、人力资源风险、物资管理风险、信息风险、科研风险、公司形象风险、维稳风险、廉政风险等；二级风险是指在公司各主要业务领域的具体经营活动和管理行为中所产生的风险，是对一级风险的细分；三级风险是指可能导致二级风险发生的主要风险诱因，是对二级风险的细分，主要由业务部门负责；四级风险是指将三级风险与末端流程相匹配并细化落实到流程步骤的风险，由具体的责任岗位负责。在截至2014年年末的风险评估中，公司共识别出一级风险59个，二级风险254个，三级风险892个，四级风险5596个。公司建立了统一的风险管理基本程序，包括收集风险信息，开展风险评估，制定风险管理策略，提出和采取风险应对措施，编制风险管理报告、监督与改进风险管理等工作。公司还要求各级单位分专业建立风险预警指标体系，完善风险预警机制，设定风险预警阈值，加强风险监控。

表1-1　GJDW公司四级风险分类框架

第四，以目标、风险和控制点为核心，公司构建了全业务流程框架，编制了内部控制流程手册，明确业务流程的关键控制点、控制措施和控制要求及跨专业流程接口，确保内部控制与日常管理有机融合。截至2014年年末，公司明确标准流程步骤31291个、标准岗位3876个、不相容职责2727个，建立2546个内部控制末端流程，打通跨专业流程接口1000余个，并全部固化到信息系统，有效地解决了跨部门、跨层级流程的衔接问题。以科研管理为例（见表1-2），公司建立了内部控制流程四级框架及细化规则：一级流程是依据业务价值链和管理职能，将公司运营管理体系分解为有机关联、相互作用的若干业务领域，主要反映公司整体管理逻辑和业务运作模式；二级流程是依据一级流程的业务全生命周期和管理逻辑细化分解为不同的业务阶段，主要界定不同专业领域和部门职责的关系；三级流程是依据二级流程的业务活动逻辑关系细化分解为具体的业务活动；四级流程是依据三级流程的业务活动性质、先后次序细化分解为不同的工作环节。例如，二级流程“科技项目实施管理”是对一级流程“科研管理”的细分，“科技项目实施管理”又包括项目物资及服务采购管理、项目合同管理、项目实施管理、项目验收管理、项目支付与决算管理、项目后评估管理、项目资料归档管理7个三级流程；再以三级流程“项目合同管理”为例，又细分为统一合同文本、合同审查、合同变更与终止、合同争议处理、合同资料归档、合同授权事项6个四级子流程。

表1-2　GJDW公司四级内部控制流程框架

第五，公司遵循风险控制和不相容职务相分离的要求，建立了分级授权体系，编制了授权管理手册，明确授权的职责分工、授权原则、授权内容、权限授予、变更等管理程序。公司授权类别包括常规授权和特别授权。常规授权是在日常经营管理活动中按既定职责和程序进行的授权，具体分为基本授权和岗位授权两类。基本授权是针对具体业务赋予特定单位或部门的事务决策权、人事任免权或财务审批权等；岗位授权是根据具体业务管控要求，将基本授权细化落实到内部控制流程的关键环节，明确相应执行人的权力范围和责任。岗位授权应根据基本授权的变化进行相应调整。特别授权是针对常规授权未规定的事项进行的特殊性、临时性授权。公司权限授予形式有制度授权和书面授权两种。制度授权是以规章制度明确被授权人的职责范围和权限，通常适用于常规授权。书面授权是通过书面申请批复和签发授权书对被授权人进行授权。其中，申请批复适用于特别授权，签发授权书适用于基本授权和特别授权。在截至2014年年末的授权管理方面，公司在“三重一大”[2]的决策方面明确了32类、134项基本授权事项及其涉及的管理层级、金额或标准、责任部门和审批机构；公司还通过制度授权明确了2243项岗位授权。

第六，公司以通用制度为主体，以所属各级单位的辅助性规章制度为补充，编制了与四级内部控制流程体系相协调的规章制度手册，用以规范组织、生产、经营、管理等活动，包括通则、办法、规定、规则、准则、细则等。规章制度的内容与公司末端的内部控制流程风险点、关键控制点和控制措施相融合，确保规章制度的针对性和执行性。