1、企業內部控制建設的路線圖分析張慶龍教授、博士、博士后 國際注冊管理咨詢師、碩士生導師青聯委員 北京市審計局特聘專家中國審計學會教育分會理事北京市財政學會理事、中國商業會計學會理事中國內部審計協會質量監督委員會委員E-mail：找準切入點2國內上市企業實施內部控制的應對策略 理解企業內控基本規范及配套指引要求 評估企業現狀及梳理企業流程 完善公司治理結構及規章制度 設定控制目標，開展自我評估 缺陷發現及整改 接受外部審計 持續改進、完善3 如何高效有序地建立內控體系，以最少的投入達到最好的效果？ 如何使得內控體系融入公司日常管理，提升管理水平，實現其對公司管理的價值？ 如何明確內部責任體系，提高

2、執行力并支撐公司董事和管理層對外披露內控有效性？ 如何在合規的基礎上，發揮內控效能，最大程度防范風險？ 已開展過系統內控建設工作的上市企業現在還需要做什么工作？ 未上市企業需要開始建設內部控制體系么？企業在建設內部控制體系過程中關注什么？4內控評價制定內控評價辦法開展內控評價跟蹤缺陷整改編制內控評價報告內控整改固化記錄內控缺陷設計整改方案完善內控制度更新內控文件內控梳理對標流程梳理識別評估控制對標偏差改進內控審計進行模擬審計提供所需證據出具管理聲明披露審計報告內部控制應用指引內部控制評價指引內部控制審計指引內部控制基本規范信息化建設管理層持續整改/內部監督持續開展建設內控體系的路線圖本次培訓重

3、點分享內容5一、流程梳理梳理梳理識別評估控制對標偏差改進7一、流程梳理明確的功能定位：為公司治理服務和為內部管理服務第一道 防線：業務單位 防線 業務單位包含了企業大部分的資產和業務，它們在日常工作中面對各類的風險，是企業的前線。 企業必須把風險管理的手段和內控程序融入到業務單位的工作與流程中，才能建立好防范風險的第一道防線第三道 防線：內審單位 防線 涉及一個獨立于業務單位的部門，監控企業內控和其他企業關心的問題 內審單位要發揮三大職能：財務監督、經營診斷與內部咨詢顧問梳理梳理識別評估控制對標偏差改進第二道 防線：風險管理單位防線在業務單位之上建立一個更高層次的風險管理功能，它的組成部份可能

4、包括風險管理部門、信貸審批委員會、投資審批委員會 風險管理部的責任是領導和協調公司內各單位在管理風險方面的工作1、職責界定（續）8一、流程梳理梳理梳理識別評估控制對標偏差改進3、明確流程從內部控制五要素出發梳理企業內控，關注重要業務事項和高風險領域：10一、流程梳理梳理梳理識別評估控制對標偏差改進3、明確流程（續）公司層面控制流程層面控制IT 信息系統操作系統/數據庫/ 網絡/ 應用系統公司控制環境 總體控制環境 信息與溝通 風險評估 監控IT一般控制 信息安全 信息系統日常運作 數據庫實施與維護 應用系統實施與維護 系統軟件支持 網絡支持 流程層面控制 銷售與收款流程 采購與支出流程 存貨及

5、成本管理流程 資金管理流程 固定資產管理流程 工程項目管理流程 稅務管理流程 人力資源管理流程 財務關賬及報告流程IT 系統應用控制業務流程中內嵌的信息系統相關控制，以保證信息處理的完整性，準確性，有效性和訪問控制。應用系統控制的例子包括： 授權審批 職責分離 系統編輯控制 系統計算對控制活動的記錄將包括以下關注點（5W1H）-被控制的風險是什么(what)？-是如何控制的（how)？ -為什么要實施控制(why)？-誰來實施控制(who)？-什么時候實施控制(when)？-控制活動是通過什么系統完成的(whatsystem)？ 11一、流程梳理梳理梳理識別評估控制對標偏差改進3、明確流程（續

6、）12風險識別與評估的依據： 應重點關注18個內部控制應用指引中所列示的風險 可運用適當的風險識別工具，逐步細化風險點和管理手段 充分運用風險管理工具，強化風險管理，提升經營水平，并為內控體系建設和內控評價奠定良好基礎二、識別評估梳理梳理識別評估控制對標偏差改進1、風險識別14二、識別評估梳理梳理識別評估控制對標偏差改進1、風險識別（續）15以風險控制為核心的流程管理17二、識別評估梳理梳理識別評估控制對標偏差改進2、控制標準18二、識別評估梳理梳理識別評估控制對標偏差改進2、控制標準常用的內部控制活動職責分工控制授權控制預算控制財產保護控制員工素質控制內部報告控制經濟活動分析控制績效考評控制

7、信息技術控制手工控制、自動控制、預防控制、過程控制、目標管理相結合不相容職務相分離：如經辦與審核、財產保管與會計記錄等分為一般授權與特殊授權，明確授權審批層次與審批程序企業完成目標的經營、資本、財務等年度收支總體計劃限制接近、定期盤點、記錄保護、財產保險、財產記錄監控等嚴格招聘、定期培訓、規范操作、崗位輪換等經營分析報告、資金報告、投資分析報告、質量分析報告等因素分析、對比分析、趨勢分析等考評結果作為確定薪酬以及晉升、評優、降級、辭退等的依據輸入控制、處理控制、輸出控制，實時監控19同時負責現金的收取和應收賬款的會計記錄同時負責購貨訂單的審批和貨物的收取同時負責付款的審批和購貨訂單簽發與審核可

8、能會通過注銷應收賬款和截留應收賬款等調節賬簿的方法來私自挪用現金可能以組織的名義為個人購入貨物，在收取貨物時利用職務之便將貨物占為己有，同時不向會計部門遞交原始憑證或者在原始憑證上反映虛假信息可能會偽造購貨業務并支付貨款，從而貪污現金不相容職務相互分離控制（示例）二、識別評估梳理梳理識別評估控制對標偏差改進2、控制標準（續）存在的風險工作職責20二、識別評估梳理梳理識別評估控制對標偏差改進2、控制標準（續）授權批準控制（示例）在開展任何業務之前都應進行適當授權授權以后，為了避免濫用權力，還要經常對業務流程進行審查按性質的不同分為綜合授權和特別授權要對授權做好記錄，并提供證明文件避免兩個極端：“

9、層層審批”和“一支筆”21三、控制對標1、設計對標梳理梳理識別評估控制對標偏差改進22控制活動編寫的原則：4W+1H WHO:哪個崗位執行控制活動 WHEN:該控制活動發生的時間或頻率 WHERE: 該控制活動發生的地點 WHAT: 根據什么進行控制如制度、單據、報告、電子郵件、系統數據等 HOW: 控制活動的具體內容是如何？如何操作？三、控制對標2、執行對標梳理梳理識別評估控制對標偏差改進24三、控制對標梳理梳理識別評估控制對標偏差改進25四、偏差改進1、識別偏差 識別需要建立、補充和完善的相關制度梳理梳理識別評估控制對標偏差改進27 通過控制對標，結合穿行測試，發現控制存在的偏差，并記錄內

10、部控制偏差 尋找相關的補償性控制。如果仍然無法找到，即可認定該領域在內部控制上存在改進點 建立內部控制缺陷認定匯總表 記錄內部控制缺陷成因、表現形式和影響程度四、偏差改進1、識別偏差（續）梳理梳理識別評估控制對標偏差改進28管理制度更新版式、內容更新： 制度中規定的內容切合現行業務現狀以及管控現狀，實質內容不需更新，但是需要依據公司管理層的要求對行文或格式進行調整； 制度中規定的相關內容已經不適用于公司運作現狀，需要對相關內容進行調整更新，調整更新的方式包括：重新編寫部分內容，對某些制度中的相關內容按照實際情況，進行刪減、合并或者替換等； 制度新增： 公司無此制度，建議新增的制度名稱更新： 根

11、據管理制度覆蓋面，內容和細致度等進行分層級劃分，統一制度名稱。如劃分為準則或規則、制度、管理辦法、細則或程序、及其他等。四、偏差改進梳理梳理識別評估控制對標偏差改進2、管理建議29內部控制改進管理建議 以控制目標為核心，打破部門和流程局限，設計適合企業運營特點的整改方案 明確整改責任部門與責任人 明確整改完成期限 追蹤整改進度 保留整改證據四、偏差改進梳理梳理識別評估控制對標偏差改進2、管理建議（續）30內部控制手冊、業務流程圖與流程文件四、偏差改進梳理梳理識別評估控制對標偏差改進2、管理建議（續）31對深入開展內控對標分析的建議32321符合監管要求，與集團對接全面遵守國資委和財政部等五部委

12、的法規規定符合集團公司統一規劃與集團公司的制度和標準對接所屬單位內部控制體系建設需滿足的要求33效率優先、合理保障效果： 許多企業都有保守、回避風險、效率低下、權限模糊的弊端，表面看起來內部控制過度，但仍然有管理缺失和管理僵化情形； 建議無論是公司管控還是內部管理，都要簡化、優化流程，清晰明確權責邊界，用制度予以明確規定，提高效率； 清晰的權責邊界包括董事會、監事會、經理層、黨組織、職能部門、上下級單位。風險與機遇、效率與效果的統一風險與機遇：企業在注重防范和控制風險的同時也應把機會風險視為企業的特殊資源，通過對其管理，為企業創造價值，促進經營目標的實現。效率效果風險機遇34內控體系實施的原則

13、與重點35根據驅動因素、切入點，開展體系建設；結合企業當前的業務與管理成熟度由項目管理向職能管理轉變；建立制度保障體系落地；開展評價與考核結合；要有足夠的資源保障明確功能定位、組織定位；保障工作的獨立性，客觀性 明確體系建設的驅動因素，找準工作開展的切入點；保障工作與企業所處發展階段匹配正確定位、準確切入、結合實際、機制保障統一思想，提高認識，找準切入點明確定位體系推行驅動與切入點體系建設36按五部委要求結合最佳實踐，對公司內控活動通過與風險、控制目標匹配的方法從現行的各類文件制度中進行識別出來后，將其文檔化形成公司內控文檔或手冊；對于匹配中發現缺失的內控，應由相關部門整改建立相應內控或相關公

14、司制度政策；并記錄到內控手冊中形成對內控的長效機制，對內控手冊內容根據業務變化定期進行更新公司有專門部門應對關鍵內控活動進行定期測試，確保其得到貫策執行提前進行模擬審計，以增強應對經驗實施時由點到面，逐步推進內控融入與現有管理體系，提升執行力，不做表面工程總結37建立內控模板制度梳理流程梳理風險點梳理形成內控模板設計制度梳理模板，開展制度梳理企業內部控制基本規范及配套指引中要求企業應建立的制度清單序號制度名稱中集*公司制度對應情況整改措施1授權管理制度2內部控制制度3內部控制監督制度4內部控制評價程序5企業文化評估制度6內部審計制度7信息與溝通制度8舉報投訴制度9舉報人保護制度10戰略管理制度

15、11全面預算管理制度12投資管理制度13績效考評制度14銷售業務管理制度15采購業務管理制度16供應商評估和準入制度17存貨管理制度18工程項目管制度企業內部控制基本規范及配套指引中要求企業應建立的制度清單序號制度名稱中集*公司制度對應情況整改措施19財產日常管理及定期清查制定20資金管理制度21擔保管理制度22薪酬管理制度23強制休假制度24定期換位輪崗制度25信息系統用戶管理制度26系統數據定期備份制度27信息系統安全保密和泄密責任追究制度28合同管理制度29重大法律糾紛案件備案制度30產品質量控制和檢驗制度31運營情況分析制度32安全生產管理制度33環境保護與資源節約缺席34生產制造相關

16、流程缺席35關聯方相關的管理制度（分級授權審批、回避審議、獨 立董事對重大關聯交易的審核等）設計流程框架、梳理主子流程梳理一級主流程，編制流程目錄收集流程信息梳理既定流程，收集流程信息，繪制流程圖、描述流程說明，找出流程中重要節點信息。比如：流程目標、KPI指標、過程記錄文件、風險點、歸口部門、相關部門。目的是為了制作風險矩陣模板。這一模板在我們的體系建設過程中有至關重要的作用，我們把模板應用于同類企業內控建設中，可以大大減少走彎路，是我們的秘笈之一。業務流程框架梳理模版-匯總按流程匯總信息繪制流程圖、描述流程具體說明如下：第一步：繪制流程圖第二步：詳細描述流程操作開展風險識別，確定風險點第一

17、步：明確控制目標，確定風險點來源及收集渠道。我們確定風險點來源渠道主要定位在4方面：監管要求、管理層關注重點、用戶自我判斷，審計中發現的問題等。第二步：按給出的風險矩陣模板填制有關數據和描述需填制的矩陣模板信息包括：主流程、子流程、控制目標、風險點第三步：討論確認風險點，確定各風險矩陣全部風險點風險矩陣模板示例內控模板構成lll內部控制制度中集集團內部控制制度中集集團內部控制自我評價辦法中集集團內控缺陷認定標準框架基礎管理制度預算管理制度資金管理制度內控流程及風險控制矩陣l采購管理l控制流程l風險控制矩陣l抽樣測試底稿l銷售管理l固定資產管理l今日主題132內部控制規范的出臺背景？1.1 內部

18、控制為什么會受到重視？1.2什么是內部控制？1.3 什么是風險管理1.4 內部控制與風險管理1.5企業內部控制部的定位1.6內部控制的原則內部控制制度體系的建立2.1 控制環境描述2.2 控制流程描述2.3 設定目標2.4 事項識別2.5 風險評估2.6 風險應對2.7 控制評價2.8 控制優化內部控制制度體系的執行3.1 控制制度細化3.2 制度的動態修正3.3制度考核內部控制制度體系建設總體思路描述內部控制環境1.什么是控制環境？任何企業的核心是企業中的人及其活動。人的活動在環境中進行，人的品性包括操守、價值觀和能力等，它們既是構成環境的重要要素之一，又與環境相互影響、相互作用。環境要素是

19、推動企業發展的引擎，也是其他一切要素的核心。風險管理觀念風險文化誠信與價值觀員工的勝任能力，如雇員是否能勝任質量管理要求董事會或審計委員會，如董事會是否獨立于管理層管理哲學和經營方式，如管理層對人為操縱的或錯誤的記錄的態度組織結構，如信息是否到達合適的管理階層 描述內部控制環境2.如何描述內部控制環境？是一個word文件；以財政部的文件要求為目錄，對照企業的實際情況；以企業的文件制度、相關記錄和高層觀念為依據。3.要不要描述內部控制環境？4.內部控制環境對內部控制具有基礎性的作用！制度流程化流程崗位化控制制度化控制流程描述原則沒有明確為制度的內部控制，是小企業的有機組織形式；隨著組織結構的擴大

20、，組織的規則必須形成成文的制度。沒有流程化的制度往往有缺陷且難以發現，故而不能執行；由于企業改革、規模擴大、重組等原則造成的組織結構變化，使得流程經常不符合企業組織；流程化解釋隨意化。不能到達崗位的流程化是說明流程；通過崗位的流程化銜接，實現流程化。企業內部控制基本規范及配套指引中要求企業應建立的制度清單序號制度名稱*公司制度對應情況整改措施1授權管理制度2內部控制制度3內部控制監督制度4內部控制評價程序5企業文化評估制度6內部審計制度7信息與溝通制度8舉報投訴制度9舉報人保護制度10戰略管理制度11全面預算管理制度12投資管理制度13績效考評制度14銷售業務管理制度15采購業務管理制度16供

21、應商評估和準入制度17存貨管理制度18工程項目管制企業內部控制基本規范及配套指引中要求企業應建立的制度清單序號制度名稱*公司制度對應情況整改措施19財產日常管理及定期清查制定20資金管理制度21擔保管理制度22薪酬管理制度23強制休假制度24定期換位輪崗制度25信息系統用戶管理制度26系統數據定期備份制度27信息系統安全保密和泄密責任追究制度28合同管理制度29重大法律糾紛案件備案制度30產品質量控制和檢驗制度31運營情況分析制度32安全生產管理制度33環境保護與資源節約缺席34生產制造相關流程缺席35關聯方相關的管理制度（分級授權審批、回避審議、獨 立董事對重大關聯交易的審核等）控制流程（續

22、）-描述方法控制流程（續）-描述方法每年11月底之前，分廠等各二級單位計劃員根據本單位下一年度生產及業務發展情況、現有固定資產情況等因素，編制本單位下一年度資本性支出計劃，分項目列明項目名稱、建設內容、經濟效益、總投資、需要拆除的固定資產等內容，規模較大、項目建設比較復雜的項目，還需要同時報送項目建議書。投資計劃和項目建議書報分公司計劃經營部發展規劃科。誰什么時候根據什么做什么得出什么報告給誰控制流程（續）-描述方法控制流程常見業務領域研究與開發工程項目擔保業務業務外包財務報告全面預算合同管理內部信息傳遞信息系統組織架構發展戰略人力資源社會責任企業文化資金活動采購業務資產管理銷售業務常見業務領

23、域舉例資金常見業務領域舉例采購與付款常見業務領域舉例銷售與收款常見業務領域舉例研究與開發常見業務領域舉例工程項目常見業務領域舉例資產管理一般包括計劃與審批、審批與執行、執行與驗收、執行與記錄。會計的核算是規范的內部控制的基礎。規范核算是規避風險的手段；核算包括原始憑證的產生、傳遞、從原始憑證到記賬憑證、從記賬憑證到報表四個環節。運營分析控制 績效考評控制 預算控制 給誰做分析？分析什么？如何分析？如何報告？要求企業建立和實施績效考評制度，科學設置考核指標體系，對企業內部各責任單位和全體員工的業績進行定期考核和客觀評價，將考評結果作為確定員工薪酬以及職務晉升、評優、降級、調崗、辭退等的依據。要求

24、企業根據常規授權和特別授權的規定，明確各崗位辦理業務和事項的權限范圍、審批程序和相應責任。要求企業實施全面預算管理制度，明確各責任單位在預算管理中的職責權限，規范預算的編制、審定、下達和執行程序，強化預算約束。要用制度做預算的事情。資產產生時的賬實相符；資產持有期間的賬實相符；資產實物管理；往來資產對賬、實物資產盤點。控制流程（續）常見控制方法常見風險控制方法設定目標戰略目標財務戰略市場戰略技術戰略人才戰略運營目標經營的效率經營的效果報告目標財務報告非財務報告合法性目標符合法律符合法規符合上級企業的規定風險管理目標示 例所有開具的貸項通知單都已記錄發票都已記錄在適當期間。貸項通知單都已記錄在適

25、當期間應收賬款依照采用的會計政策反映現存的營業環境及經濟情況現金收款記錄在收到的時期內準確地輸入現金收款數據以待處理所有的現金收款數據已輸入以待處理現金收款的數據是真實的，且僅輸入以待處理一次應收賬款的及時足額收回。只有真實有效的變更才可記入顧客主文檔所有的顧客主文檔的真實的變更已輸入及處理顧客主文檔的變更是準確的及時處理顧客主文檔的變更確保顧客主文檔數據及時更新設定目標（續）由管理當局批準訂單的價格及銷售條款訂單或取消的訂單已準確輸入所有從顧客接到的訂單已經輸入及處理僅輸入及處理有效的訂單。使用經核準的交易條款及價格開具發票發票已經準確地計算并記錄。貸項通知單及應收賬款的調整已準確地計算和記

26、錄所有已發貨的貨物均已開具發票。所有退貨的貸項通知單及應收賬款的調整已依照組織政策執行。發票代表有效的發貨所有貸項通知單均與退貨或其它有效的調整有關所有開具的發票都已記錄事項識別1234考慮影響企業目標實現的各種企業內外部的因素，外部因素包括經濟、商業、自然環境、政治、社會和技術因素等，內部因素反映出管理者所做的選擇，包括企業的基礎設施、人員、生產過程和技術等事項。事項識別要求對事項進行分類匯總，并且在目標的級次上，加以細化、系統化，形成動態事項數據庫；潛在的事項可能對企業有正面的影響、也可能有負面的影響或者兩種影響同時存在。對企業有潛在負面影響的事項是企業的風險，對企業有潛在正面影響的事項則

27、是企業的機遇。一個企業事項識別的方法可以包含不同的技術及其與相應的工具的組合。事項識別技術既針對過去，又針對未來。事項識別風險發生可能性評級發生可能性標準定義低即使不采取措施，風險幾乎也不帶來損失中不采取措施，風險就會造成損失高不采取措施，風險很容易造成損失風險影響程度評級影響程度標準定義低不采取措施，風險損失不對關鍵指標造成影響中不采取措施，風險損失對關鍵指標造成影響高不采取措施，風險損失對資源造成巨大浪費風險評估風險評估（續）987654321123456789高需要行動低監督/重新部署?中等密切監督/確定和準備影響程度可能性依據企業能夠承受的風險系數（風險損失與承受能力的比值）確定風險對

28、策風險對策的四種基本模式規避轉嫁承擔化解風險應對轉嫁規避承擔化解戰略流程技術人員資本市場保險風險組織解決方案財務解決方案控制流程評價控制流程評價321評價針對性控制措施設計的完整與合理，是否存在冗余的控制明確某一流程的主要目標和風險評價針對性控制措施執行的有效內部控制評價的方法各種方法各有不同的適應性，綜合運用，能夠提高工作效率。生產與存貨管理流程控制矩陣本流程目標個數：39有效控制目標個數：12目標設定事項識別風險評估風險應對控制活動評價和結論2.3項目成本預算的編制由獨立于生產部門的部門完成生產項目成本預算編制人，由項目承擔單位指定，負責項目成本預算的具體編制和預算執行過程中的調整工作，并

29、對編制質量負責。現有的項目成本預算是由項目負責人編制，且沒有獨立的標準成本數據庫，成本預算在成本控制中的作用受限。控制矩陣缺陷匯總控制流程優化組織結構的必要修正；部門職責劃分；崗位劃分；崗位職責明確。控制規定具體化；表格；單據；分析模板；填表說明。以崗位為對象，重新設計流程；流程與制度之間的關系；部門之間的溝通與研討；規范與實際之間的差異處理。今日主題132內部控制規范的出臺背景？1.1 內部控制為什么會受到重視？1.2什么是內部控制？1.3 什么是風險管理1.4 內部控制與風險管理1.5企業內部控制部的定位1.6內部控制的原則內部控制制度體系的建立2.1 控制環境描述2.2 控制流程描述2.

30、3 設定目標2.4 事項識別2.5 風險評估2.6 風險應對2.7 控制評價2.8 控制優化內部控制制度體系的執行3.1 控制制度細化3.2 制度的動態修正3.3制度考核制度的細化對流程不符合本部門現有業務實際的問題，進行記錄并在部門內部討論；定期跨部門匯總并進行討論！修正內部控制流程！34125形成風險事項匯總文件并上報！各部門內部，指定專人負責本部門流程與其他部門的接口、部門內部的接口、流程的運行維護等。制度的動態化制度考核不能落實到個人的考核，會使部門的控制工作很被動對于大部分員工，流程即業績細化的流程是流程考核的前提流程中的直接客戶，具有流程考核的權力對部門的業績考核，要以對個人的流程考核為基礎細化的流程，在部門內部可以形成崗位職責細化表完備的記錄是考核的工具財務人員人力資源管理審計人員組