如何搭建企业内部控制环境

彭彤

内部控制是由一系列书面政策和流程组成，当其被有效实施和监控时，能确保：公司资产被充分保护以防止舞弊，或其他形式的非法操作;财务报告正确和公正地反映业务结果和状态;员工行为完全遵照公司管理政策、适用的政府法令和规定。公司内控团队的职责就是运用系统的、严谨的方法以评价和改进公司业务程序的执行、风险控制和管理。内部控制整体架构主要包括控制环境、风险评估、控制活动、信息与沟通、监督。本文主要从内部控制环境的搭建上展开讨论，以期通过顶层设计的科学性为企业内部控制实施的有效性奠定基础。

一、建立健全的内部控制组织体系

（一）内部控制小组的建立

内部控制小组应独立于公司各部门，主要负责公司内部控制体系的建立和维护，为创建良好的内部控制环境，提高公司经营效率， 协助公司完成经营目标提供控制保障。内部控制小组定期向公司管理层就内控工作进行汇报，协助审计委员会的召开，按审计委员会的部署和安排开展内控工作并就工作结果向审计委员会汇报。

（二）配套成立法务以及廉政从业组织机构

二、强化内控意识，树立三道防火墙概念

内部控制体系的建立必须是一个自上而下，层层推进的过程。内控不是一个人的责任，也不只是内部控制团队的事情，我们每个人都有责任建立和维护强大而可持续的控制环境。在公司内部治理过程中，我们推行三道防火墙的概念：第一道防火墙是业务活动，主要是业务部门的管理者和员工实施的日常经营活动;第二道防火墙是控制活动，主要包括法务、法规、质量、安全、内部控制以及其他风险控制活动;第三道防火墙是审计，包括关键业务定期审核、专题审计、母公司审计等。用下图可以形象地描绘公司控制治理的各层活动关系：

具体实施时应确保以下几点：

1.建立一整套政策和程序，以确保在组织的各个级别上都实施并遵循有效的流程。健全的控制流程可以确保有效而高效的运营、财务报告的可靠性、法律法规的遵守。

2.公司内部控制系统的成功取决于组织人员的纪律。

3.有效的控制流程应包括董事会，管理层和所有员工

三、建立风险清单，识别执行差距及潜在问题

（一）风险清单的建立

我们知道，无效控制的成本是因第一次没有正确做事而受到的惩罚，因此，有效的控制可以减小错误的发生以及避免重复劳动，由此带来成本节约、效率提升，确保财务报告准确，减少公司损失。风险清单的建立为业务过程在有效的控制下进行提供强有力的保障。所谓风险清单，是针对各个业务模块关键控制点分别建立的风险控制点汇总，借助此清单可对各个业务环节的关键控制点进行检查、审核，以期发现潜在的风险或已存在的问题并加以完善和纠正，达到持续改进的目的。一般情况下，风险清单由各企业根据业务类别分模块建立，常见的风险清单有存货、固定资产、采购、资金、税务、变动（固定）市场费用、关务、安全、付款等等，如下图：

在每个模块风险清单中，包括基础内容、业务部门自评、内控测试三个部分。其中，基础内容部分主要涉及该业务模块的类型、关键控制点描述、测试方法描述、测试部门等信息;业务部门自评部分主要是业务部门就该业务的关键步骤的操作进行评估，包括目前控制方法描述、是否存在问题、建议的纠正措施等;内控测试部分主要是内控团队在业务部门自评的基础上进行抽样测试，以期从独立的第三方角度对该业务的控制过程进行审核。

（二）业务问题识别

在进行业务控制自评以及测试的过程中，可能会发现某些领域在实际的执行过程中可能与我们预期设定的要求存在一定差距，我们称作控制缺失，包括的流程的缺失和流程执行的问题。对于识别出来的问题应进行准确的描述并记录，对问题的性质要进行合理的分类。

1.记录问题的五大构成要素：标准、事实、原因、影响、整改措施

一个完整的问题记录应包含以上几方面内容。首先是提出问题的标准，通常指控制过程中所拥有的流程及法规要求。与标准相背离的就是我们的问题发现，即事实，也就是做了什么，怎么做的。接着应分析出现问题的原因，剖析为什么会出现与标准之间的差距，实际的影响是什么。最后制定整改计划并实施，对问题进行纠正。在对问题进行记录時，应注意以下几点：

2.制定重大问题的判断标准，对识别的问题进行合理分类

业务活动及内部审计中识别出来的问题，按性质一般可以分为建议、较小问题、重大问题。通常情况下，对重大问题的判断标准可以通过以下几方面考虑：

3.问题整改措施的持续性

对于某项问题的整改执行不应只停留当前，也不应只是暂时的、短暂的。在一份详细的整改计划中应包括可持续性计划，对整改结果进行持续性测试也就是对每个待测项目在所需的控制周期中的实施效果进行评估，以确保已实施的纠正措施的长期有效性。该计划包括必要的证据清单以及适时的抽样方法，对于不同控制周期的控制测试可以建立不同的测试要求。如下图所示：

举例：如果审计问题整改措施的实施频次是月度执行，比如月末计提凭证，那么我们在审核样本时应连续抽取三个月的计提凭证进行审核;如果审计问题整改措施的实施频次是季度执行，那么应连续抽取两次的样本进行审核;审计问题整改措施的实施频次是半年度/年度执行，则测试一次即可关闭问题。

4.健全的问题跟踪机制

（1）划分责任部门。对于识别的问题，首先要确定问题的责任部门，也就是该问题的归属部门。如果是跨部门的问题，也应确定一个牵头部门。在实际工作中，最难的就是责任部门的划分。通常情况下，可以根据业务流程的主导部门或执行流程的部门来判断。如果存在争议，则需要汇报管理层明确。

（2）定期跟踪。内控部门应建立问题定期跟踪机制，对于已完成整改的问题收集整改证据，进行持续性审核后进行关闭并登记;对于未关闭的问题跟踪其整改状态，并对超期未关闭的问题建立预警机制。未关闭问题的状态可以用红-黄-绿三种颜色标识：

（3）会议机制。内控部门应建立定期会议机制，将未关闭问题的情况进行分类统计并向各部门总监以及公司管理层进行汇报，对于重大问题、超期未关闭问题以及长账龄未关闭问题应单独与业务部门约会并向管理层汇报寻求支持推进。

四、结语

从1999年《会计法》首次以法律的形式对建立健全内部控制提出原则要求，到2008年财政部、证监会、审计署、银监会、保监会联合发布《企业内部控制基本规范》以及《企业内部控制评价指引》，内部控制从提出到现在被人们逐渐认识和接受，经历了不断发展、完善的过程。作为现代企业制度的内在要求，有效的内部控制不仅能使企业的资源合理配置，提高劳动生产率，而且能够确保资产的安全完整和会计信息的真实准确，以及确保国家有关法律法规和企业内部各项规章制度的贯彻执行。作为一项系统工程，内部控制达到预想的效果并非一日之功，只有企业管理层高度重视，全体员工统一认识，相互促进，企业内部控制才能发挥应有的作用。（作者单位：长安福特汽车有限公司）