彭彤

內部控制是由一系列書面政策和流程組成，當其被有效實施和監(jiān)控時，能確保：公司資產被充分保護以防止舞弊，或其他形式的非法操作;財務報告正確和公正地反映業(yè)務結果和狀態(tài);員工行為完全遵照公司管理政策、適用的政府法令和規(guī)定。公司內控團隊的職責就是運用系統(tǒng)的、嚴謹的方法以評價和改進公司業(yè)務程序的執(zhí)行、風險控制和管理。內部控制整體架構主要包括控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督。本文主要從內部控制環(huán)境的搭建上展開討論，以期通過頂層設計的科學性為企業(yè)內部控制實施的有效性奠定基礎。

一、建立健全的內部控制組織體系

（一）內部控制小組的建立

內部控制小組應獨立于公司各部門，主要負責公司內部控制體系的建立和維護，為創(chuàng)建良好的內部控制環(huán)境，提高公司經營效率， 協(xié)助公司完成經營目標提供控制保障。內部控制小組定期向公司管理層就內控工作進行匯報，協(xié)助審計委員會的召開，按審計委員會的部署和安排開展內控工作并就工作結果向審計委員會匯報。

（二）配套成立法務以及廉政從業(yè)組織機構

二、強化內控意識，樹立三道防火墻概念

內部控制體系的建立必須是一個自上而下，層層推進的過程。內控不是一個人的責任，也不只是內部控制團隊的事情，我們每個人都有責任建立和維護強大而可持續(xù)的控制環(huán)境。在公司內部治理過程中，我們推行三道防火墻的概念：第一道防火墻是業(yè)務活動，主要是業(yè)務部門的管理者和員工實施的日常經營活動;第二道防火墻是控制活動，主要包括法務、法規(guī)、質量、安全、內部控制以及其他風險控制活動;第三道防火墻是審計，包括關鍵業(yè)務定期審核、專題審計、母公司審計等。用下圖可以形象地描繪公司控制治理的各層活動關系：

具體實施時應確保以下幾點：

1.建立一整套政策和程序，以確保在組織的各個級別上都實施并遵循有效的流程。健全的控制流程可以確保有效而高效的運營、財務報告的可靠性、法律法規(guī)的遵守。

2.公司內部控制系統(tǒng)的成功取決于組織人員的紀律。

3.有效的控制流程應包括董事會，管理層和所有員工

三、建立風險清單，識別執(zhí)行差距及潛在問題

（一）風險清單的建立

我們知道，無效控制的成本是因第一次沒有正確做事而受到的懲罰，因此，有效的控制可以減小錯誤的發(fā)生以及避免重復勞動，由此帶來成本節(jié)約、效率提升，確保財務報告準確，減少公司損失。風險清單的建立為業(yè)務過程在有效的控制下進行提供強有力的保障。所謂風險清單，是針對各個業(yè)務模塊關鍵控制點分別建立的風險控制點匯總，借助此清單可對各個業(yè)務環(huán)節(jié)的關鍵控制點進行檢查、審核，以期發(fā)現潛在的風險或已存在的問題并加以完善和糾正，達到持續(xù)改進的目的。一般情況下，風險清單由各企業(yè)根據業(yè)務類別分模塊建立，常見的風險清單有存貨、固定資產、采購、資金、稅務、變動（固定）市場費用、關務、安全、付款等等，如下圖：

在每個模塊風險清單中，包括基礎內容、業(yè)務部門自評、內控測試三個部分。其中，基礎內容部分主要涉及該業(yè)務模塊的類型、關鍵控制點描述、測試方法描述、測試部門等信息;業(yè)務部門自評部分主要是業(yè)務部門就該業(yè)務的關鍵步驟的操作進行評估，包括目前控制方法描述、是否存在問題、建議的糾正措施等;內控測試部分主要是內控團隊在業(yè)務部門自評的基礎上進行抽樣測試，以期從獨立的第三方角度對該業(yè)務的控制過程進行審核。

（二）業(yè)務問題識別

在進行業(yè)務控制自評以及測試的過程中，可能會發(fā)現某些領域在實際的執(zhí)行過程中可能與我們預期設定的要求存在一定差距，我們稱作控制缺失，包括的流程的缺失和流程執(zhí)行的問題。對于識別出來的問題應進行準確的描述并記錄，對問題的性質要進行合理的分類。

1.記錄問題的五大構成要素：標準、事實、原因、影響、整改措施

一個完整的問題記錄應包含以上幾方面內容。首先是提出問題的標準，通常指控制過程中所擁有的流程及法規(guī)要求。與標準相背離的就是我們的問題發(fā)現，即事實，也就是做了什么，怎么做的。接著應分析出現問題的原因，剖析為什么會出現與標準之間的差距，實際的影響是什么。最后制定整改計劃并實施，對問題進行糾正。在對問題進行記錄時，應注意以下幾點：

2.制定重大問題的判斷標準，對識別的問題進行合理分類

業(yè)務活動及內部審計中識別出來的問題，按性質一般可以分為建議、較小問題、重大問題。通常情況下，對重大問題的判斷標準可以通過以下幾方面考慮：

3.問題整改措施的持續(xù)性

對于某項問題的整改執(zhí)行不應只停留當前，也不應只是暫時的、短暫的。在一份詳細的整改計劃中應包括可持續(xù)性計劃，對整改結果進行持續(xù)性測試也就是對每個待測項目在所需的控制周期中的實施效果進行評估，以確保已實施的糾正措施的長期有效性。該計劃包括必要的證據清單以及適時的抽樣方法，對于不同控制周期的控制測試可以建立不同的測試要求。如下圖所示：

舉例：如果審計問題整改措施的實施頻次是月度執(zhí)行，比如月末計提憑證，那么我們在審核樣本時應連續(xù)抽取三個月的計提憑證進行審核;如果審計問題整改措施的實施頻次是季度執(zhí)行，那么應連續(xù)抽取兩次的樣本進行審核;審計問題整改措施的實施頻次是半年度/年度執(zhí)行，則測試一次即可關閉問題。

4.健全的問題跟蹤機制

（1）劃分責任部門。對于識別的問題，首先要確定問題的責任部門，也就是該問題的歸屬部門。如果是跨部門的問題，也應確定一個牽頭部門。在實際工作中，最難的就是責任部門的劃分。通常情況下，可以根據業(yè)務流程的主導部門或執(zhí)行流程的部門來判斷。如果存在爭議，則需要匯報管理層明確。

（2）定期跟蹤。內控部門應建立問題定期跟蹤機制，對于已完成整改的問題收集整改證據，進行持續(xù)性審核后進行關閉并登記;對于未關閉的問題跟蹤其整改狀態(tài)，并對超期未關閉的問題建立預警機制。未關閉問題的狀態(tài)可以用紅-黃-綠三種顏色標識：

（3）會議機制。內控部門應建立定期會議機制，將未關閉問題的情況進行分類統(tǒng)計并向各部門總監(jiān)以及公司管理層進行匯報，對于重大問題、超期未關閉問題以及長賬齡未關閉問題應單獨與業(yè)務部門約會并向管理層匯報尋求支持推進。

四、結語

從1999年《會計法》首次以法律的形式對建立健全內部控制提出原則要求，到2008年財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布《企業(yè)內部控制基本規(guī)范》以及《企業(yè)內部控制評價指引》，內部控制從提出到現在被人們逐漸認識和接受，經歷了不斷發(fā)展、完善的過程。作為現代企業(yè)制度的內在要求，有效的內部控制不僅能使企業(yè)的資源合理配置，提高勞動生產率，而且能夠確保資產的安全完整和會計信息的真實準確，以及確保國家有關法律法規(guī)和企業(yè)內部各項規(guī)章制度的貫徹執(zhí)行。作為一項系統(tǒng)工程，內部控制達到預想的效果并非一日之功，只有企業(yè)管理層高度重視，全體員工統(tǒng)一認識，相互促進，企業(yè)內部控制才能發(fā)揮應有的作用。（作者單位：長安福特汽車有限公司）