內(nèi)部控制自我評價工作

內(nèi)部控制自我評價工作企業(yè)內(nèi)控建設(shè)實務(wù)

企業(yè)內(nèi)控建設(shè)應(yīng)當以經(jīng)營的效率與效果為主導目標，以財務(wù)報告牢靠、資產(chǎn)平安與經(jīng)營合規(guī)為三個保障目標，在此基礎(chǔ)上，建設(shè)實務(wù)將圍繞內(nèi)控組織的設(shè)置與內(nèi)控建設(shè)的五要素綻開。

（1）內(nèi)部掌握組織

組織是體系運行的基本保障。通常的內(nèi)控組織包括董事會與經(jīng)營層兩個層面，強調(diào)內(nèi)部掌握的建設(shè)與實施是董事會的責任，并且下設(shè)審計（風險）管理特地委員會加強管理。此外，內(nèi)控組織的設(shè)置特殊強調(diào)經(jīng)理層是企業(yè)內(nèi)控建設(shè)的詳細實施者與責任人，各經(jīng)營管理部門根據(jù)職能歸口進行內(nèi)部掌握的建設(shè)與實施。其中，是否設(shè)置專職的內(nèi)控部門是企業(yè)界關(guān)注的焦點，通常的設(shè)置方式包括三種：

方式一：單獨設(shè)置內(nèi)控部門。優(yōu)點是有利于提高內(nèi)控建設(shè)的初期推動效率，缺點是內(nèi)控部門與經(jīng)營管理部門割裂，未能很好地體現(xiàn)內(nèi)部掌握責任與經(jīng)營管理責任的融合。此方式在金融類企業(yè)普遍應(yīng)用，對于實體經(jīng)濟體，通常不設(shè)置專職的內(nèi)控部門。

方式二：由內(nèi)部審計部門牽頭負責內(nèi)控工作。優(yōu)點是待體系初建完成且運行平穩(wěn)后，內(nèi)部審計作為內(nèi)控的監(jiān)督部門，可以立足于公司整體牽頭協(xié)調(diào)各部門定期進行內(nèi)部掌握的自我評價，并且持續(xù)完善內(nèi)控體系的建設(shè)。缺點是國內(nèi)企業(yè)內(nèi)審部門往往人才匱乏，在內(nèi)控建設(shè)的初期獨立當此重任可力量不從心。

方式三：在內(nèi)部掌握建設(shè)集中期設(shè)立內(nèi)部掌握建設(shè)辦公室，該辦公室從各主要部門抽調(diào)人員專職從事內(nèi)控體系建設(shè)工作，待體系正式運行時，辦公室解散，人員歸位到各經(jīng)營管理部門，且牽頭職能也歸位至內(nèi)審部門。此方式的優(yōu)點是可以集中各部門力氣完成內(nèi)部掌握的體系化建設(shè)，待體系平穩(wěn)運行后，相關(guān)人員回到經(jīng)營管理部門的骨干崗位上，有利于促進各經(jīng)營部門對內(nèi)部掌握體系的理解，有利于內(nèi)控與經(jīng)營管理的融合。實踐表明，對于管理基礎(chǔ)弱的實體經(jīng)濟企業(yè)，實行方式三的內(nèi)控推行效果較佳。

當然，組織的設(shè)置沒有肯定之規(guī)，企業(yè)應(yīng)當依據(jù)自身的特點設(shè)置內(nèi)部控組織，明確相關(guān)的管理責任。

（2）內(nèi)部環(huán)境的診斷與完善

內(nèi)部環(huán)境是企業(yè)內(nèi)部掌握建設(shè)與運行的載體，企業(yè)在建設(shè)內(nèi)部掌握機制時，首先要診斷與完善內(nèi)部環(huán)境。一方面，內(nèi)部環(huán)境的完善可以為掌握活動的設(shè)計與運行奠定基礎(chǔ)，另一方面，內(nèi)部環(huán)境的診斷可以加強掌握活動與內(nèi)部環(huán)境的匹配性，有利于掌握活動的順暢運行。

通常，內(nèi)部環(huán)境的診斷與完善包括六個方面的內(nèi)容：治理結(jié)構(gòu)、機構(gòu)設(shè)置、權(quán)責安排、內(nèi)部審計、人力資源政策、企業(yè)文化。其中，機構(gòu)設(shè)置、權(quán)責安排與內(nèi)部審計的定位三個方面必需先行完善，后續(xù)的掌握活動設(shè)計與運行才會順暢。治理結(jié)構(gòu)、人力資源政策與企業(yè)文化三個方面，可以伴隨掌握活動的運行同步完善。

（3）動態(tài)的風險評估

風險評估是內(nèi)部掌握體系化建設(shè)的重要表現(xiàn)，是后續(xù)內(nèi)控措施設(shè)計的重要依據(jù)。依據(jù)成本效益原則，企業(yè)應(yīng)當針對評估的重要風險強化內(nèi)部掌握措施，有效降低風險。對于次要風險，企業(yè)應(yīng)當簡化掌握活動與流程設(shè)計，擔當相關(guān)的風險，體現(xiàn)經(jīng)營的效率與效果為主導目標的內(nèi)控建設(shè)理念。

風險評估包括風險辨識與風險評估兩個階段。在風險辨識階段，企業(yè)應(yīng)當圍繞內(nèi)部掌握目標識別影響目標實現(xiàn)的不確定性因素，辨別企業(yè)風險并進行分類，形成企業(yè)的風險管理庫。通常，企業(yè)的風險可以劃分為戰(zhàn)略風險、市場風險、運營風險、財務(wù)風險與法律風險五類，并在此基礎(chǔ)上進一步細分。在風險評估階段，企業(yè)應(yīng)當運用二維風險評估坐標圖，從破壞性與發(fā)生頻率兩個維度評估風險，并將風險點界定為重大風險、中風險與低風險。企業(yè)應(yīng)當依據(jù)行業(yè)特點與目標設(shè)置等確定風險評估的標準，評估標準應(yīng)當留意定量與定性標準相結(jié)合。

在實務(wù)中我們強調(diào)，處于不同行業(yè)的企業(yè)，或是同一行業(yè)的不同企業(yè)，或是同一企業(yè)處于不同的進展階段，其風險評估結(jié)果各不相同。為此，企業(yè)應(yīng)當至少每年評估一次風險，準時發(fā)覺新環(huán)境、新業(yè)務(wù)帶來的新風險，動態(tài)地調(diào)整風險評估結(jié)果，進而動態(tài)地調(diào)整掌握活動規(guī)范，讓原本靜止的內(nèi)掌握度動起來，始終踏上企業(yè)進展的節(jié)奏。

（4）掌握活動的設(shè)計

掌握活動是內(nèi)控體系實施的核心要素，企業(yè)在規(guī)范掌握活動的過程中，應(yīng)當形成內(nèi)部掌握政策與程序手冊（下簡稱內(nèi)控手冊）。

企業(yè)在設(shè)計掌握活動時，應(yīng)當樹立與經(jīng)營管理活動相融合的設(shè)計理念，首先界定企業(yè)的掌握活動循環(huán)，然后將內(nèi)部掌握措施嵌入掌握活動中，完善經(jīng)營管理活動的制度流程設(shè)計，形成企業(yè)的內(nèi)控手冊。內(nèi)控手冊分模塊設(shè)計，每一模塊一般包括五個方面的內(nèi)容：

第一，管理目標。圍繞內(nèi)部掌握的目標，企業(yè)在設(shè)計內(nèi)控手冊時，首先應(yīng)當明確掌握活動的管理目標。例如選購付款循環(huán)，其管理目標應(yīng)當包括保障物資供應(yīng)、提高選購效率、降低資金占用、掌握選購成本、保證核算精確?????等。

其次，管理機構(gòu)及職責。該部分將掌握活動涉及的組織及職責清楚界定，以確保后續(xù)流程運行的順暢性。

第三，授權(quán)審批矩陣。該部分應(yīng)當明確掌握活動涉及的全部權(quán)限在董事會、經(jīng)理層與各職能部門間的劃分，并且明確各級審批責任。

第四，掌握活動要求。該部分一般以制度文本的形式書寫，明確掌握活動各掌握環(huán)節(jié)的內(nèi)控要求，作為相關(guān)經(jīng)營管理流程設(shè)計的基礎(chǔ)。

第五，比照上述幾部分，各經(jīng)營管理部門應(yīng)當重新梳理與完善業(yè)務(wù)流程，針對關(guān)鍵風險點強化掌握措施，確保組織職責、授權(quán)審批、內(nèi)控要求落實到經(jīng)營流程中，保證管理目標的實現(xiàn)。

在內(nèi)控手冊的設(shè)計過程中，特殊強調(diào)與企業(yè)現(xiàn)有的經(jīng)營管理活動相融合的設(shè)計理念，切忌脫離原有制度流程設(shè)計孤立的內(nèi)控手冊，以避開實務(wù)中業(yè)務(wù)部門仍參照原有流程、內(nèi)控手冊則束之高擱的現(xiàn)象。

（5）信息與溝通貫穿始終

信息與溝通是指在內(nèi)控建設(shè)中，保證在恰當?shù)臅r機讓恰當?shù)膷徫猾C取適當?shù)男畔?。信息與溝通的設(shè)計應(yīng)當貫穿于內(nèi)部環(huán)境、風險評估與掌握活動的始終，例如風險評估報告的報告程序，掌握活動中的掌握文檔設(shè)計，都體現(xiàn)了信息與溝通要素的建立與健全。

（6）內(nèi)部監(jiān)督手段。

內(nèi)部監(jiān)督置于五要素之末，是內(nèi)控管理閉環(huán)的體現(xiàn)。為此，內(nèi)部監(jiān)督也可以視為五要素之首，是內(nèi)部環(huán)境、風險評估、掌握活動、信息與溝通要素持續(xù)完善的基礎(chǔ)。內(nèi)部監(jiān)督手段包括風險預(yù)警、內(nèi)部評價與績效考核，三者缺一不行。

風險預(yù)警是較新的管理工具，通過預(yù)警指標的報告與跟蹤，可以突破企業(yè)傳統(tǒng)的內(nèi)部審計在時間與空間上的限制，運用現(xiàn)代企業(yè)高效的信息集合手段，關(guān)心管理層從浩如煙海的數(shù)據(jù)中提煉關(guān)鍵信息，捕獲企業(yè)易于忽視或是下級管理者企圖隱瞞的臨界數(shù)據(jù)，準時發(fā)覺并實行措施防范風險。風險預(yù)警系統(tǒng)的設(shè)計包括選擇指標項、設(shè)定臨界值、跟蹤分析報告與修正臨界數(shù)據(jù)四項工作。企業(yè)應(yīng)當結(jié)合自身的行業(yè)特點與管理重點設(shè)定風險預(yù)警指標，并且逐步積累