內部控制自我評價工作企業內控建設實務

企業內控建設應當以經營的效率與效果為主導目標，以財務報告牢靠、資產平安與經營合規為三個保障目標，在此基礎上，建設實務將圍繞內控組織的設置與內控建設的五要素綻開。

（1）內部掌握組織

組織是體系運行的基本保障。通常的內控組織包括董事會與經營層兩個層面，強調內部掌握的建設與實施是董事會的責任，并且下設審計（風險）管理特地委員會加強管理。此外，內控組織的設置特殊強調經理層是企業內控建設的詳細實施者與責任人，各經營管理部門根據職能歸口進行內部掌握的建設與實施。其中，是否設置專職的內控部門是企業界關注的焦點，通常的設置方式包括三種：

方式一：單獨設置內控部門。優點是有利于提高內控建設的初期推動效率，缺點是內控部門與經營管理部門割裂，未能很好地體現內部掌握責任與經營管理責任的融合。此方式在金融類企業普遍應用，對于實體經濟體，通常不設置專職的內控部門。

方式二：由內部審計部門牽頭負責內控工作。優點是待體系初建完成且運行平穩后，內部審計作為內控的監督部門，可以立足于公司整體牽頭協調各部門定期進行內部掌握的自我評價，并且持續完善內控體系的建設。缺點是國內企業內審部門往往人才匱乏，在內控建設的初期獨立當此重任可力量不從心。

方式三：在內部掌握建設集中期設立內部掌握建設辦公室，該辦公室從各主要部門抽調人員專職從事內控體系建設工作，待體系正式運行時，辦公室解散，人員歸位到各經營管理部門，且牽頭職能也歸位至內審部門。此方式的優點是可以集中各部門力氣完成內部掌握的體系化建設，待體系平穩運行后，相關人員回到經營管理部門的骨干崗位上，有利于促進各經營部門對內部掌握體系的理解，有利于內控與經營管理的融合。實踐表明，對于管理基礎弱的實體經濟企業，實行方式三的內控推行效果較佳。

當然，組織的設置沒有肯定之規，企業應當依據自身的特點設置內部控組織，明確相關的管理責任。

（2）內部環境的診斷與完善

內部環境是企業內部掌握建設與運行的載體，企業在建設內部掌握機制時，首先要診斷與完善內部環境。一方面，內部環境的完善可以為掌握活動的設計與運行奠定基礎，另一方面，內部環境的診斷可以加強掌握活動與內部環境的匹配性，有利于掌握活動的順暢運行。

通常，內部環境的診斷與完善包括六個方面的內容：治理結構、機構設置、權責安排、內部審計、人力資源政策、企業文化。其中，機構設置、權責安排與內部審計的定位三個方面必需先行完善，后續的掌握活動設計與運行才會順暢。治理結構、人力資源政策與企業文化三個方面，可以伴隨掌握活動的運行同步完善。

（3）動態的風險評估

風險評估是內部掌握體系化建設的重要表現，是后續內控措施設計的重要依據。依據成本效益原則，企業應當針對評估的重要風險強化內部掌握措施，有效降低風險。對于次要風險，企業應當簡化掌握活動與流程設計，擔當相關的風險，體現經營的效率與效果為主導目標的內控建設理念。

風險評估包括風險辨識與風險評估兩個階段。在風險辨識階段，企業應當圍繞內部掌握目標識別影響目標實現的不確定性因素，辨別企業風險并進行分類，形成企業的風險管理庫。通常，企業的風險可以劃分為戰略風險、市場風險、運營風險、財務風險與法律風險五類，并在此基礎上進一步細分。在風險評估階段，企業應當運用二維風險評估坐標圖，從破壞性與發生頻率兩個維度評估風險，并將風險點界定為重大風險、中風險與低風險。企業應當依據行業特點與目標設置等確定風險評估的標準，評估標準應當留意定量與定性標準相結合。

在實務中我們強調，處于不同行業的企業，或是同一行業的不同企業，或是同一企業處于不同的進展階段，其風險評估結果各不相同。為此，企業應當至少每年評估一次風險，準時發覺新環境、新業務帶來的新風險，動態地調整風險評估結果，進而動態地調整掌握活動規范，讓原本靜止的內掌握度動起來，始終踏上企業進展的節奏。

（4）掌握活動的設計

掌握活動是內控體系實施的核心要素，企業在規范掌握活動的過程中，應當形成內部掌握政策與程序手冊（下簡稱內控手冊）。

企業在設計掌握活動時，應當樹立與經營管理活動相融合的設計理念，首先界定企業的掌握活動循環，然后將內部掌握措施嵌入掌握活動中，完善經營管理活動的制度流程設計，形成企業的內控手冊。內控手冊分模塊設計，每一模塊一般包括五個方面的內容：

第一，管理目標。圍繞內部掌握的目標，企業在設計內控手冊時，首先應當明確掌握活動的管理目標。例如選購付款循環，其管理目標應當包括保障物資供應、提高選購效率、降低資金占用、掌握選購成本、保證核算精確?????等。

其次，管理機構及職責。該部分將掌握活動涉及的組織及職責清楚界定，以確保后續流程運行的順暢性。

第三，授權審批矩陣。該部分應當明確掌握活動涉及的全部權限在董事會、經理層與各職能部門間的劃分，并且明確各級審批責任。

第四，掌握活動要求。該部分一般以制度文本的形式書寫，明確掌握活動各掌握環節的內控要求，作為相關經營管理流程設計的基礎。

第五，比照上述幾部分，各經營管理部門應當重新梳理與完善業務流程，針對關鍵風險點強化掌握措施，確保組織職責、授權審批、內控要求落實到經營流程中，保證管理目標的實現。

在內控手冊的設計過程中，特殊強調與企業現有的經營管理活動相融合的設計理念，切忌脫離原有制度流程設計孤立的內控手冊，以避開實務中業務部門仍參照原有流程、內控手冊則束之高擱的現象。

（5）信息與溝通貫穿始終

信息與溝通是指在內控建設中，保證在恰當的時機讓恰當的崗位獵取適當的信息。信息與溝通的設計應當貫穿于內部環境、風險評估與掌握活動的始終，例如風險評估報告的報告程序，掌握活動中的掌握文檔設計，都體現了信息與溝通要素的建立與健全。

（6）內部監督手段。

內部監督置于五要素之末，是內控管理閉環的體現。為此，內部監督也可以視為五要素之首，是內部環境、風險評估、掌握活動、信息與溝通要素持續完善的基礎。內部監督手段包括風險預警、內部評價與績效考核，三者缺一不行。

風險預警是較新的管理工具，通過預警指標的報告與跟蹤，可以突破企業傳統的內部審計在時間與空間上的限制，運用現代企業高效的信息集合手段，關心管理層從浩如煙海的數據中提煉關鍵信息，捕獲企業易于忽視或是下級管理者企圖隱瞞的臨界數據，準時發覺并實行措施防范風險。風險預警系統的設計包括選擇指標項、設定臨界值、跟蹤分析報告與修正臨界數據四項工作。企業應當結合自身的行業特點與管理重點設定風險預警指標，并且逐步積累