内控体系建设的五个环节.docx

1、内控体系建设的五个环节内控体系建设的五个环节一,战略制定作为内控管理的第一站，内控战略规划的重要地位在于其对以后实施内控系统建设的所有方面的影响。合理的战略规划可以使企业的内控管理效率大幅度提高，确保企业的治理水平迅速达到所有者和管理层的预期目标。 制定企业内控战略规划具体应该注意掌握以下几个方面： 1 与企业战略目标保持严格一致 企业战略目标是制定企业所有具体业务目标的基础，内控战略目标也必须符合企业总体战略目标确定的方向。当前，关于企业的战略目标、原景、核心价值观等的主流观点基本上都是围绕着如何发展成为一个有社会责任感的企业来确定的。内控战略目标通常可以按照企业希望达到的发展水平来确定。假

2、如某企业的战略目标是在一定的期限内成为本行业的领导者并希望基业常青，那么其内控体系的战略目标就必须为符合这一要求提供有力的支撑；既不能高于这个目标，也不能低于这个目标。惟此，才能被企业内所有利益相关者和运营管理的所有参与者所接受。 此外，内控战略目标可以根据企业的发展状况分阶段确定。例如在某个阶段达到行业先进水平；某阶段达到国内同行业先进水平；某阶段达到国际先进水平等。 2.明确实现目标的具体标志 事先确定内控战略实现的具体标志，既可以为企业制订年度内控工作计划或绩效考核目标提供具体的依据，也可以为日后评价本企业内控战略目标的实现状况提供评价依据。 例如:某企业的内控战略目标是达到本省同行业先

3、进水平。那么，企业就必须对本省的同行业内控管理的基本情况有所了解。然后确定自己的评价标准或实现标志。评价标准可以具体设置为：企业内控管理程序建设情况；内控组织系统建设情况；内控审计手段的先进和有效程度；舞弊案件的损失指标；企业的风险指标；全体员工对内控管理的理解情况等等。 3基于企业实际需要的准确定位 所谓“准确”定位的标准就是目标必须与本企业的实际情况相符合，并清晰明了。例如一家小型企业集团的内控战略目标没必要定的太高；实现标志可以比较简单；业务范围可以适当缩小。这样，就可以以较低的成本投入达到预定的控制目标。 4明确内控工作理念 这是开展企业内控工作的基本准则，否则不但内控体系起不到应有的

4、积极作用，反而会成为企业发展的掣肘之物。例如建立“寓监督于服务”之中的工作理念，就可以避免单纯的监督审计容易引起抵触的缺陷；按照内控五要素，建立全面预防风险的原则，就可以为开展内控工作提供具体的评价依据。 5认同 内控战略目标确定过程必须经过所有者或最高管理层的批准和确认。能够在获得高层批准前，先征求下属分、子公司管理层的意见并取得一致意见也是非常必要的。这些举措可以为日后推行内控管理减少阻力。二、机构设置机构设置机构设置机构设置 内控机构设置的主要工作包括：确定机构名称、层级、汇报对象、专业人员的具体名称、工作岗位设置、工作内容确定、人员选拔和素质要求、工作的具体原则等。以下将主要讨论组织机

5、构的设置、内控工作的具体内容和岗位确定。 1组织机构设置 目前中国规模较大的国有或上市公司，通常都会在监督决策层设置监事或独立董事、董事会下的审计委员会；在运营管理层则设置内部审计部或监察部等职能部门。应该说已经建立了内控组织机构。但关键是这些机构存在许多缺陷，这些问题构成了当前公司治理的主要障碍之一。具体表现如下： *具体执行机构缺失 比如，企业中通常没有具体的执行机构为监事或独立董事的实现监督职能提供“硬件”条件；这使得监事或独立董事的职务常常“沦为”一种对外形象功能，在人员安排上以安排退休前的资深领导为主。审计委员会通常也处于相同的情况，其获得信息的来源主要是董事长和总经理等高层管理者，

6、无法真正履行其监督职能。 *内部审计部通常在工作范围以及报告对象上处境尴尬 一般企业的审计范围仅限于财务审计；其工作报告对象通常只是其监督对象的财务总监或总经理。笔者认为，比较理想的内控管理组织机构，应当在一定独立性的条件下，能够具体介入企业日常运营管理工作。这一点应当和外部审计有所区别。一些像BP这样的国际化大公司在其业务组织机构中就使用了内控部代替内部审计部。表面看，只是名称不同，但实际上却有着非常大的区别。主要表现在： A. 独立性程度不同 内部审计部通常按照审计规则要求，为保持完全的独立性不得介入企业的日常经营活动。而内控部则可以较深入地介入企业的日常经营活动，了解更多的情况并提供管理

7、咨询服务，从而达到“寓监督于服务之中”的效果。 B. 审计检查范围不同 虽然当前的内部审计部在审计范围上也在力求突破传统的财务审计，向运营管理审计方面发展，但毕竟受到从业人员资格和工作背景的限制，无法真正实现其对运营管理的有效监督检查。而内控部由于在雇佣人员方面没有局限性（非财务和审计资格的人员也可以参加内控审计检查工作），因此，可以做到对企业的全面运营管理实行更有效的监督检查。 C. 报告对象不同 内部审计部通常只是向企业的CEO报告工作，向CEO负责。因此，许多涉及CEO本人利益的问题通常无法得到彻底解决，甚至根本无法解决。而内控部则可以在向企业CEO报告工作的同时，还能直接向审计委员会、

8、甚至监事或独立董事报告工作。这在一定程度上保证了审计报告的真实可靠性。 三、系统培训 任何企业在推行某个新的管理方法前，最大的问题就是如何快速、有效地转变人们已经习惯了的各种传统工作方法和思路。由于采用现代企业内控管理的具体操作方法将直接影响到企业现有的权力结构，这就意味着会遇到巨大的阻力。为此，企业内控管理人员必须要对所有相关利益者进行系统的内控培训，在系统运行之前，把阻力减到最小。培训的内容主要有：编制培训资料、确定培训计划以及实施培训。 1编制培训资料 *通过各种渠道收集内控管理资料和各种案例。内控案例应当以本企业已经发生的事件为主，适当选用社会案例； *根据本企业实际情况，筛选资料；

9、*使用各种演示手段，组织编排演示文本，电子版本和纸质版本； *培训资料应尽量使用各种案例解释各种概念。 2.确定培训计划 *确定培训对象 内控培训对象应该包括企业董（监）事、CEO、CFO等全体高层管理人员和普通管理人员。普通管理人员中应当包括库房保管、司磅人员、质量检验人员、保卫干事等敏感岗位的操作人员。 *培训方法 脱产专门培训和现场在岗培训，单独沟通交流培训以及工作交流培训等多种形式。 *确定培训的目标和具体实施的时间以及考核评价培训效果。内控培训应该和企业的其他培训计划相结合。 3实施培训 对于董（监）事、CEO或CFO、公司总经理等高级管理人员，通常采用单独交流的方式介绍内控管理的要

10、点； 对于专业内控管理人员则需要进行全面的脱产专门培训并结合其他在岗和工作交流培训； 对于其他普通管理人员则以短期脱产集中培训结合现场其他在岗培训。 在整个受训的人群中，对高级管理人员的培训是整个培训的重点。鉴于财务总监在内控体系中的重要性，企业在考虑选聘财务总监时，应当尽可能选择具有内控工作背景的财务人员。国际上的一些著名企业如GE公司，其选拔的财务总监通常是来自从事过内部控制（内部审计）工作的人员。具有从事内控（内部审计）工作背景的人员将成为未来财务总监的重要来源。 有关内控培训方面的工作，如果企业限于自身培训力量和其他考虑，通常可以委托其他专业管理公司的专家来协助进行。这种培训通常限于集

11、中的脱产培训。但日常培训主要还得依靠企业内部力量完成。四、作业实施 严格地说，自从企业策划内控战略开始，就可以看作是进入了内控作业的实施阶段，这里指的是具体实施内控作业阶段。内控作业的内容主要包括： 1 制定企业内控管理程序，或者运营管理程序 内控的实质就是法制化、程序化管理。内控管理程序与传统的企业管理程序的最大区别是以系统的方法设计业务流程并且事前就充分考虑规避各种潜在的管理风险。因此，内控部门在组织各职能部门编制内控管理程序时应当首先对所有的业务流程中存在的各种潜在的风险进行评估并且在程序设计中予以规避。这里包括组织牵制、授权系统确定、政策规定等等。制定企业内控管理程序应当充分考虑与企业

12、现有的质量管理体系的兼容问题。 2 评估检查企业的授权管理系统 任何一家企业无论是否有内控管理，一定存在一套授权管理系统。但问题是这些存在的授权管理系统是否科学、清晰合理，是否存在越权和越级的潜在风险。这就需要内控专业人员对系统进行评估并提出修改调整意见。内控人员需要与公司的CEO、CFO以及人力资源部和各业务部门共同合作，对现有的岗位职责进行调整。岗位职责在内控管理中属于一般授权管理。建立临时特别授权管理制度。 3 潜在利益冲突调查 为保证内控管理的组织牵制原则得到有效的实施，当前的主流非家族经营管理的企业通常需要在处理日常业务中避免产生雇员与企业发生利益冲突的情况。为此，企业内控管理人员应

13、当根据企业实际情况设计一套利益冲突调查文件并提出规避潜在利益冲突发生的具体措施。然后组织下属 企业开展全面的利益冲突调查，最后根据调查结果提出处理意见，包括替代控制措施。 4 编制年度内控审计指导，实施内控审计 无论是内部审计还是内控审计，都应当在审计前制定审计指导。编制审计指导应当依据一般内部审计准则要求结合本企业实际情况和需要编制。具体的审计项目应当按照内控五要素（内控框架）进行分类。这里需要再次强调，内控审计和传统的内部审计在审计范围上不同，包括了财务之外的其他运营管理工作，如职工安全与环境保护，质量管理和生产现场管理，6S管理，6西格玛管理、精益生产等内容，因此，在设计内控审计指导时应

14、当和相关业务部门进行充分的合作，保证审计项目和审计资源配置的合理性。为便于对各下属企业的内控管理进行客观横向比较，内控审计指导可以同时附带建立评分系统。这样，内控审计人员在审计检查过程中可以提出客观科学的评价结果。 在完成对所有下属公司的年度审计后，内控管理人员就可以对各企业的实际情况进行量化分析比较，为分析企业的管理风险提供客观依据。内控审计指导应当根据企业管理风险变化情况，定期进行调整更新。实施年度内控审计，通常可以要求下属企业内控人员参加，通过交叉审计对下属企业内控人员进行业务培训。 5 组织风险评估 控制管理风险是内控的根本目的。因此，企业内控部应当定期对各下属企业的管理风险进行评估。

15、管理风险评估应当事先进行全面的规划。包括确定风险评估的对象（各种业务程序和处理环节），风险种类的确定，风险等级的评定，评估人员的组成，评估表格的设计，评估结果分析等。风险评估是开展内控工作的基础，也是制订内控管理程序的重要依据。各个企业由于所处行业不同，地域不同，竞争程度不同，产品种类不同，其管理风险也有很大的不同。突出重点，抓住高风险项目，是平衡企业控制风险和投入成本的重要手段。 6 内控问题调查（ICRQ） 为保证企业内控管理得到有效执行，各企业的下属机构除了要接受总部的内控审计和外部审计外，还应当定期或不定期举行自我检查。自我检查的主体是各分、子公司总经理和各业务部门负责人。分、子公司的

16、内控管理人员牵头组织实施。总部内控部通常应当根据上年度审计发现的问题，结合最新企业风险变化情况等，编制企业年度内控问题调查提纲发给各分、子公司供其参考。分、子公司内控人员可以根据本企业实际情况和需要，对自查内容进行补充。企业内控问题调查表，应当根据企业管理风险变化情况和以前年度审计发现的普遍弱点进行调整。 7 舞弊案件调查 舞弊问题对企业造成的损失是造成企业效益下降甚至导致企业破产的重要原因。因此，预防舞弊风险当然也就成为企业内控管理的主要内容。舞弊问题产生的后果，通常可以用货币数量来反映。舞弊损失数量是企业内控管理工作绩效考核的重要指标。内控人员应当定期或不定期对企业发生的舞弊案件进行调查并

17、分析汇总舞弊发生的原因，为管理者采取预防措施提供依据。对于国内企业，特别是国有企业来说，舞弊案件通常由监察部或纪检委负责调查。但是，对于没有这些机构的外资企业或上市公司来说，就需要由内控部和内控人员介入调查。内控部每年应当对企业发生的舞弊情况进行汇总分析并为管理层提出相应的预防措施。 8 评价考核内控工作 评价考核企业内控人员的工作包括两部分。首先是内控人员绩效完成情况。根据每年与内控人员签定的绩效协议，对其工作进行考核评价；其次，对内控管理完成好的企业内控人员进行表彰。为保证内控人员工作的相对独立性和权威性，内控部将对下属分、子机构的内控人员招聘和解雇提出意见。 9.参加公司董事会会议，对下

18、属企业总经理、财务总监在执行内控政策和遵循授权管理方面的情况提出奖惩建议 。 参加公司的重要决策会议，对重大项目实施提出管理风险控制方案。例如内控先行的概念。众所周知，万丈高楼平地起，无数失败的案例表明，造成一个好项目日后失败的众多原因中，没有预先建立严格的内控体系并按照程序规定操作是其中最重要的原因。 10.组织保险业务 购买企业保险，除了能够弥补各种突发事件给企业造成的损失外，同时也具有预防管理风险的作用。要做好企业内控工作，除了利用内部资源外，保险业务也可以成为促进企业内控管理的有效工具。如何选择购买保险项目，如何事先准备预防保险事故发生以及如何准备保险索赔资料等，都和企业内控管理有重要

19、的关系。 11.培训企业高级管理人员 内控工作的一个重要内容就是培训企业高级管理人员，特别是财务总监。实践表明，有财务背景的专业人员在得到内控审计培训后，通常可以很好地胜任企业财务总监的工作。从事过一定时期的内控审计工作后，通常就有机会得到作为一名合格财务总监所需要具备的许多条件。比如良好的职业道德、敏锐的风险意识、出色的沟通技巧、较多的处理疑难问题的经验等等。 12.内控工作报告 企业内控部工作报告对象将包括董（监）事、CEO和总经理等人。内控工作报告有定期和非定期两种。定期报告主要是定期分析企业总体内控状况，当前存在的高风险问题，各种审计结果，以及针对薄弱问题提出的改进意见和建议。好的内控

20、人员可以成为企业董事长、CEO的安全事务助理。 由于打破了内部审计师的工作范围，可以列入实施内控作业的项目还可以增加。这里特别要提出的是“内控服务”的观念。我们通常所说的“寓监督于服务之中”就是为了体现这一观念。它从本质上改变了传统的内部审计观念。从实践经验来看，如果要想使企业的内控管理体系真正发挥作用，就必须抛弃单纯监督审计的观念，代之以监督审计与服务并重。内控服务的内容主要应当以提供管理咨询意见和建议为主。 五、检查评估检查评估检查评估检查评估 根据内控五要素的解释，检查和评估是内控框架体系的一部分。这里的检查评估除了日常对企业各个业务操作的检查评估外，也包括对正在实施的内控系统的检查评估

21、。内控部和外部审计师（也包括将来社会上成立的独立的内控体系评估机构）将构成检查评估的主体。进入本站的主要工作内容有： 1 内部自我检查评估 由集团内控部负责，对企业已经实施的各项内控工作进行全面的检查和评估。从战略规划和年度内控工作计划开始，到组织机构设置和运营情况，再到培训工作和实施内控作业，进行全方位的检查评估，然后提出改进措施。 2 外部审计师的评估 根据公司法规定，所有企业都应当通过外部审计机构的年度审计。外部审计师在实施审计时，为规避其审计风险，通常要对被审计对象的内控体系进行检查评估。因此，获得外部审计师的评价意见和建议，将从另外的角度为企业改进内控管理体系提供重要的依据。 3企业

22、为获得更为专业的内控评价意见，也可以邀请具有一定资格的其他独立第三方对企业进行检查评估 内控体系建设培训大纲一、 内部控制的实践 什么是真正的“内部”？什么是真正的“控制”？ 企业发展的基石内控体系和企业目标 内部人控制的陷阱 内控的局限性成本与效益 二、 COSO内控框架 角色与职责 可为与不可为 三、 内部环境 内控的基础控制环境 权责分配与内部环境 内部审计与内部环境 人力资源政策与内部坏境 企业文化与内部环境 案例：三鹿事件 四、 风险评估 发现千里之堤的蚁穴 应对变化 评估 案例：诺基亚与西门子之争 五、 内控的建立 量体裁衣内控的设置 业务活动内部控制设计 它山之石 六、 控制活动

23、 控制活动的类型 防范于未然 控制活动与风险评估相结合 IT控制 具体问题具体分析 评估 案例：商业巨星的陨落再论安然事件 七、 信息沟通 信息也许你从未留意 沟通一定要知道的内容 案例：部门间的资源共享 八、 内部监督与内部审计 持续性监督活动 角色与定位 独立评估 报告缺陷 案例：订报单引出一起私分国有资产案 内控体系建设专业机构由于内控体系建设这一课题比较宏观，对研究人员的学术功底和实战技能要求非常高，所以在国内很少有研究机构和培训机构涉足这一领域。但少并不代表没有，国内第一培训机构中商国际管理研究院就是这一领域的专业研究和培训机构，其在内控体系建设，内控制度建设，内控机制建设等方面都有

24、建树，在市场上颇有知名度和影响力，南方建材，深圳发展银行，广核电等企业都曾引进它的研究成果，也取得了很好的成效收益。 内控体系建设应避免的盲1.把制度建设理解成重新制定规章制度。进行制度梳理的目的是让企业在现有制度的基础上对照市场现状及未来走势加以完善，而不是推倒重来；另外在梳理流程的过程中也要对风险进行识别和排序，将风险分成不同等级，再制定相应的应对措施，不可一拥而上，否则只能适得其反。 2.将内控制度建设当成花瓶式的“摆设”。企业内部的内控制度指引下发了，学习活动也召开了，然后，就此过后，内部控制一切照旧。实在是表面光鲜内里糟。要避免这些问题，企业就要变被动内控为主动内控。要能看到内控产生

25、的长远效益，自觉地做好内控，最好的方法是领导人带头做起，重视执行监督稽查奖惩机制，以制治人。 3.追求完美。盲目追求个别和局部的最优可能会导致整体或系统变坏。对于内控，要追求一种对整体或系统而言的稳定持续控制，这才是整体和系统的胜利。对内控体系建设的一些思考2009年7月1日，企业内部控制基本规范（下称内控规范）将在我国上市公司范围内全面施行。作为国内的上市企业，该如何应对内控规范的实施，同时进一步促进企业的管理提升呢？ 正略钧策曾服务一家在美国纳斯达克上市的国内A公司，主要内容就是针对其内控体系进行内部测试与评估，使之优化和提升，笔者在这一过程中发现一些问题。一、 对内控体系建设认识不足。

26、在某些企业，内控体系建设似乎只是审计（财务）部门的事，而其他部门参与程度不够。企业整体对内控体系建设的重要性、必要性、有益性缺乏认识，认为只是应付外部审计，满足资本市场监管部门的要求，与企业的运营无关。 对内控体系建设认识不足，势必造成内控体系与实际管理“两层皮”，甚至存在集体舞弊的倾向，内控体系建设成了表面文章，企业运营存在很大风险。 A公司前两年收购了一家公司B，由于治理关系没有理顺，A公司虽为大股东，但缺乏实际的控制力，B公司由于管理层的认识问题，迟迟不推行内控体系建设，为了能够通过外部审计，A公司审计部门只能“闭门造车”为B公司在纸面上建立了其内控制度、流程等。 二、内控体系建设实用性

27、不足。 由于内控体系建设外部专业服务机构多为会计师事务所，其控制活动基本出发点为财务角度，无法与公司战略、具体业务特点、客户需求等相结合。 首先，会计师事务所秉承谨慎原则，对公司存在的风险进行评估时多过于严格，从根本上造成对风险控制的环节较多、力度过大，降低了企业运营的效率，同时对执行人员的积极性产生不利影响，下属企业、部门和员工多有抱怨，认为公司对其缺乏信任。 其次，内控体系建设多从财务监控、审计角度出发，缺乏与公司业务的结合，忽略了财务职能为业务服务的功能。 A公司就出现这样的问题，由于客户多为农村商户，普遍不使用网络，大部分没有传真机等必要办公工具，其建立的内控流程却硬性规定客户订货需要

28、书面签字确认的订货单，对电话订货却没有相应流程支持和监控手段，不仅使业务部门感到十分不便，同时还忽略了订货流程中最大可能发生风险的环节。 三、 内控体系建设与企业遵循的其他管理体系融合度不足，甚至有较大冲突。 上市企业多是运营多年的优秀企业，建立很多的管理体系，ISO9000，ISO14000，ERP，绩效考核体系，质健安环体系等，内控体系建设如何与在公司运行多年的企业管理体系相融合，是一个很有挑战的问题。 A公司内控体系建设也存在这样的问题，A公司在内控体系建设的当年同时在推行ERP流程优化项目，而两项目没有进行很好的融合，造成内控流程与ERP流程相冲突，公司不仅需要重新系统建立内控流程，同

29、时也需要对ERP流程中不符合内控要求的相关内容进行修改，可谓“费时、费力、费钱”。 那么如何正确的进行企业的内控体系建设呢？笔者认为，除了按照内控规范的求，还必须做到： 一、必须遵循企业战略，正确评价企业风险；由于我国企业大多还处于发展的初期，企业战略多为扩张型，不能错误评价企业风险，从而“因噎废食”，窒碍了企业的发展。 二、必须与企业业务特点、客户需求相结合；要充分结合企业特点，在内控体系建设的大原则下，“量身度造”。 三、必须兼顾企业运行效率；风险控制与企业运行效率必须兼顾，否则造成企业效率下降，也是对投资者的“伤害”。 四、必须加强与企业其他管理体系的融合。 而做好上述事项，1、要求企业

30、全员参与内控体系建设；2、外部专业服务机构深刻了解企业状况，同时具备较强的管理能力；3、建立良好的内部测试、评价工具和体系，便于企业正确评估和持续改进。 笔者相信，只要做好上述事项，内控体系建设不仅能够合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，同时也会成为企业管理提升的有力工具。 怎么构建内控体系？ 答：一般的内控体系的构筑逻辑是 1、 内部环境-构筑一个适合于内控的环境,从治理,战略,组织设计,商业模式等多个方面来使得公司在一个高的平台和起点上运行 2、 风险评估-找出各种类似问题,对每个问题可能出现的形式,存在的风险进行深入剖析. 3、 控制措施-针对问题进行控制

31、措施的设置,包括支撑控制措施的组织保障,理念培训技术手段 4、 信息与沟通-从不断进行信息沟通,通过各种手段进行内控运行和评价来消除问题和知晓体系的现状 5、 监督检察-对内控体系的执行情况进行不断的监督检查,以及不断促进内控体系的优化 第一层次：基于管控体系,构筑母公司层面内控体系(主要是母公司战略定位和母公司自身运作,以及母公司出资人职能履行三个部分) 第二层次：子公司管控内控体系(母公司对子公司的治理,以及子公司战略与运作等子公司的十四个管控子体系) 第三层次：母公司对子公司内控体系的管理,监督与优化体系 在构筑各个层次内控体系时,华彩会使用五步法的内控体系基本逻辑做为方法论,但按照这五个步骤来做,就既不具备操作性,又过于为内控而内控,根本没有照顾到集团运作的独有问题,而且没能从各个职能部门和功能的立场上来做内控体系,导致各个部门的参与深度和对内控思想的理解程度不够. 华彩认为内控体系的建立必须强化母公司控制力,驱除子公司内部人控制和信息不对称,母公司必须通过内控体系的建立为母公司的董事,监事,以及其他派出管理者打造一个监督制度监督子公司运作的平台. 华彩内控体系是基于集团管控的,考虑到集团总部自身的内控并不是重点,而是各子公司的内控体系才是重点,但子公司有任期考核和经济指标做为硬约束,不会主动的去建设内控体系.因为内控在一