企业内控体系建设计划

企业内控体系建设计划（精选6篇）

企业内控体系建设计划 第1篇

内控体系建设知识培训

一、企业内部控制发展概述

1、内部控制体系概念 首先什么是内部控制。我们常常提企业管控，所谓管控就是管理和控制，管理是管人理事教育员工怎样正确做事情，控制是规范员工的行为，告诉员工那些工作可以做，那些工作不可以做。我们谈内控体系建设，并不是说我们企业没有内部控制，我们企业都在进行内部控制。比如说最常见的审核审批是一个控制行为，但是以前没有从风险角度系统的进行内部控制活动。

2、内控形成的三个阶段

1）内部牵制阶段

最早提出是在美国上世纪40年代，当时还停留在内部牵制阶段。内部控制前提假设条件一个人犯错的几率要比两个人同时犯错几率大的多，或者一个人舞弊造假的可能性比两个人合谋起来舞弊造假的可能性要大很多。

2）内部会计控制阶段

随着资本市场和会计理论的不断发展，内部控制逐渐由牵制阶段发展到内部会计控制阶段，很多的会计控制手段，比如说不相容岗位相分离控制手段。当时内部控制范围还仅仅涉及到会计事项相关的各项业务活动，主要防止侵吞财务和其他违法行为发生、保护企业资产和确保会计报表的真实性和完整性。

3）企业内部控制整合框架阶段

1992年美国COSO委员会一个民间组织发布企业内部控制整合框架，对企业内部控制进行系统性陈述，并且扩大内部控制内涵，不再仅仅局限满足财务的可靠性。而且，它是首先从风险角度看待内部控制问题，这个框架一经提出立即得到理论界和实务界的广泛认可，并在美国和全世界产生很大影响。2002年美国安然、世通、施乐等多家世界500强企业相继爆发财务丑闻，在全世界范围内引起渲染大波，极大影响美国股市和美国企业在大众心目中的形象，特别是广大投资者心目中的形象，人们对加强企业内部控制的呼声越来越高。在这样背景下，时任美国总统乔布什紧急签署《萨班斯奥克斯利法案》，其中404条款引用COSO框架，因此COSO框架由民间组织制定的框架变成美国企业上市公司内部控制标准，也就是该框架具备法律效力。随后2004年COSO委员会又颁布企业风险管理的框架，随后其他国家相继颁发自己的内部控制制度，基本是按照COSO框架建立。

3、我国内控形成的历史

中国内部体系发展历史比较短。国家财政部先是于2001年颁布内部会计控制规范。2003至2005年期间，中国一些大的央企像中航油、中信泰富等企业相继爆发一系列重大风险事故，引起国家高度重视，国家开始重视企业内部控制。2006年国资委首先出台《中央企业全面风险管理指引》。2008年国家财政部、证监会、审计署、银监会、保监会五部委联合发布《企业内部控制基本规范》，该规范按照COSO框架提出来的，因此也被媒体称为也是中国版的COSO。2010年五部联合发布《企业内部控制配套指引》包括应用指引、评价指引、审计指引。这也标志者我国内部控制规范基本建成。从内部控制在国内和国外发展来看，风险管理和内部控制本质上是一回事，只是我国由不同管理层提出来的。所以说，现在慢慢的国资委和财政部也在趋同。

二、建立内控的必要性

1、全球经济一体化的必然需求

一方面是资本市场不断发展和完善。另一方面是全球经济一体化进行的必要推进，众多的企业特别是国企央企面临走出去的压力。那么对于风险管理和内部控制要求越来越强。内部控制本质上是为了保护投资者的利益、保护股东的利益。尽管我们很多企业有很多内部控制活动，但是这些控制不成体系，不能系统的预防企业风险。目前国内企业普遍存在的通病是：一是制度很多很全，但是不成体系，传承性很差，有的企业不到一年可以发布100多项制度，但是新的制度颁布后旧的制度并没有废止，制度与制度之间相互矛盾，制度规定不清楚，不具备可参考性。二是组织结构变化频繁，岗位职责不明确，各个层级的职责比较混乱，做事的不管事，管事的不做事，对本部门有利的事情部门之间争着管，出力不讨好的事情没人管。三是基础工作薄弱，人员素质偏低，工作效率不高。四是信息的收集和处理能力很差，信息传递速度很慢，信息不真实，信息虚报和瞒报的现象比较普遍，对信息的分析更是无从谈起，这极大的影响了增加了企业高层决策的难度。五是领导整天忙着各种事务型的工作，常常扮演着各种救火队长的角色，没有时间和精力去思考关系企业发展的一些重大事情。六是缺乏制度管理的文化，人治的现象仍然比较明显，践踏制度的现象很普遍。

2、外部监管的要求

《企业内部控制基本规范及配套指引》要求中央企业、大型国有企业和上市公司必须按照规范要求建立内部控制体系，并且定期开展内部控制自我评价工作。会计师事务所还要对企业内部控制情况开展独立审计并且出具审计报告。财政部要求境内外同时上市企业必须在今年建立起内控体系，并且今年将接受会计事务所首次内控审计，其他的上市公司也必须在2012年以前建立内控体系。

比如，中国铁建披露巨额亏损就引起社会广泛的争议，尽管证监会没有对中国铁建进行处罚。但是，大家知道纳斯达克在财政部要求中央企业建立内控体系并接受外审之前，如果这个事情出现在明年，后果是怎么样呢，可能就不会那么简单。

3、提升企业的管理水平，增强企业的抗风险能力的要求 确保企业尤其是大型企业持续健康的发展，这个也是外部监管机构国家相关的管理部门对建立内控体系的一个初衷。尤其是我们广大央企面临着走出去参与国际竞争，首先我们必须熟悉国际游戏规则，那么在建立内控体系方面，我们国内已经有不少企业走在了前面，尤其是那些当时在海外上市的一些央企，并且取得了很好的成效。比如说我们国家的银行业是与国际接轨最早也是最成熟的企业，不可否认我们国内的银行在管理水平方面尽管与国外银行还有一定的差距但是总体来说管理水平还是比较高的。再比如像我们的电信业，电信业也是很早建立内控体系。再比如说中石油、中石化，中石油在2002年香港上市的时候也是按照香港联交所相关内控要求建立内控体系。这么多年来，在内控体系方面中石油不断的投入，已经产生了非常明显的效益，中石油的管理水平在国内应该是可以说是名列前茅的。而且他们也看到了内控对于企业发展的好处，目前他们又进行到了更高的层次，正在实施内控体系的信息化。通过这些央企的实践，我们可以发现内控体系确实是能够为企业提升管理水平发挥作用，尤其对于一些大的央企，内控体系的价值越发明显。中央企业普遍都面临着成长的烦恼，我们中国中铁也是如此，都是由计划体制改制而来的，有很多计划经济的影子，市场行情不好的时候我们认为营销管理很重要，行情好了事故又接踵而来，我们又认为生产很重要，但是我们很少真正认为管理很重要，我们在管理方面的投入很少。为什么呢，因为管理摸不见看不着，很难直接的表现出我们的管理效益，他是个潜移默化逐渐提升的过程。我们也常常在提管理创新，尽管我们发现不少企业的管理创新确实发挥积极的作用，但是往往也是昙花一现，既不会推广也没有标准化，不会被继承下去，换一届领导一切又从头开始。比如说在一些单位以科技管理为例，明明在以前的项目中已经攻克的工法，新的项目又在同一个问题再次攻关，这样的现象很普通，甚至还有人对已经攻克的工法又来申报立项，那么试问我们的科技创新又是为了什么。

1997年任正非参观了IBM公司，回来以后就发现华为与国际企业的差距不只一点点，因此，他下定决心要提高公司的内部管理水平。随后，华为与IBM签订了包括流程和内控体系在内的管理建设协议，仅仅咨询费高达5000万美元，在随后的10年当中不断的投入，现在华为建立适应国际竞争具有华为特点的信息化管理体系。这项投入到目前为止，已经高达接近20亿美元。可见，内控管理对于企业核心竞争力的意义。在华为总部设有独立内控审计部门，他与我们平常的审计部门是相区别的，它主要负责公司的风险管理、流程体系的审计和咨询，这是一个非常好的案例，为什么呢，因为华为公司并不是一个上市公司，他没有面对外部监管的要求，它没有外部监管的需要，但是它为什么要建立内控体系，主要的原因是提高企业管理水平。企业因为缺乏完善内控体系，缺乏风险管理而失败的例子很多，只要留心，各个血的案例频繁的出现在我们的国内企业，前2年闹的沸沸扬扬的三鹿奶粉事件，直接导致了三鹿我们国家最大的奶粉生产企业破产，董事长田文华被判处无期徒刑。毒奶粉本来是我们的国情造成的，威胁我们健康的食品其实何止是奶粉，最近出现的瘦肉精、垃圾碗、地沟油可以说层出不穷，其他的奶粉生产企业难道就没有三聚氰胺吗，当时他们讲笑话也有只不过三鹿掺的多一点而已，其他企业掺的少一点而已。结果呢，三鹿因为这个事件背下了整个行业的罪名。一夜之间就由行业的龙头老大走向了破产。再往前推，我们还可以举 出很多的例子。而且这样的事情仍然在频繁的发生。这里讲讲中国中铁内部一个例子。2008 年发生的杭州1115事件，这个大家都比较清楚，后来单位对事件原因进行具体分析。发现问题出现在七个部门，涉及业主、局、工程指挥部、子分公司、项目部、各个层级估计多达二十几个，二十多项，其中任何一项问题都有可能导致事故的发生。结果呢，这个事情的发生，也就是说这个问题它是一个系统性的问题，不是说是某一个部门、某一个人的失责而形成的。因此，仅仅解决某一部门某一个岗位的问题是不能解决这个问题的。如果每个项目都是这样，可见我们的风险有多大。风险是完全不可控的。出不出事那就看老天爷了。

同样的事情发生在不同企业结果也会不一样，像我们知道的丰田汽车事件，当时对于丰田来说也是一个企业有史以来最大的危机，后来很好的化解掉。再像前不久，阿里巴巴的欺诈丑闻，如果马云不是在风暴来临之前，及时自查和披露这个事情，阿里巴巴在国际上的声誉就可能受到重大影响，阿里巴巴也很有可能会发生类似三鹿这样的事情，直接走向破产，甚至马云也可能丢掉帅印。马云为什么能够及时采取措施，一方面是因为阿里巴巴重视对舆情的监控及时发现风险，另一方面，阿里巴巴对风险制定了切实可行的机制，商讨出周全的解决方案，有效的及时降低了这一事件对阿里巴巴的影响。我想这绝不是马云一个人对这个事情拍脑袋就能够想出来的，因此内控体系是企业管理的一个框架，是一套成熟的方法论，它是从系统的角度来管理企业的。就好比人的骨骼一样，人如果骨骼酥松肌肉再发达一拳打出去也没什么力量，只有骨骼结实，拳头才会硬。

4、降低企业管理者的履职风险的要求

这对于我们企业管理者来说，是一种保护。国外企业为什么非常热衷于建立内控体系，是因为，法律有明确的规定，如果企业没有建立适当的内控体系，且企业的领导层不能证明自己在重大事故发生面前进行必要的干预，都会被追究责任，甚至判刑。所以呢，国外企业非常热衷于建立内控体系。同样的道理，国资委2008年发布的《央企资产损失责任追究暂行办法》国资委第20号令第25条明确规定“因企业内部控制存在重大缺陷，或者内部控制执行不力等情形造成资产损失的，应当追究相关责任人的责任。”。可见，内部控制对于我们保护我们企业特别是央企、国有企业的管理者的意义。那么，反思一下三鹿奶粉事件，为什么三鹿董事长田文华会被判如此重的刑法，她只是公司的一个领导层，三鹿奶粉本身是奶农添加这些三聚氰胺造成的。为什么她会被判这么重的刑呢，就是因为她不能在这个事件举证自己曾经发挥过的积极作用。尽管有无数的人员为他喊冤，对她的命运唏嘘不已，但是法律是要讲证据的，是没有感情可言的。可见内控体系的重要性不言而喻。我们没有理由不建内控体系。不仅要建而且要发挥实效。

三、我们现阶段建立体系要达到的目的

1、建立全面系统的流程体系

以流程体系作为基础，搭建以风险为导向的内部控制系统，使流程、内控和风险管理构成一个有机的整体，并且通过流程体系把风险和管理融入到日常工作中去，我们建立这样的体系，不是说要重新建立一套系统，与我们以前的相关的一些体系比如三标体系相隔离的。内控体系本身相互之间是融合的，是一套完整的体系。但是我们的内控体系并不仅仅是流程体系，流程管理与内控和风险管理我们要区分开来，流程管理是一个专门的管理，它与我们的内控体系存在着区别，内部控制和风险管理是建立在流程体系基础之上的，必须要深入到流程才能够使我们的内控体系确实发挥作用，因此我们首先必须要建立全面和系统的流程体系。

2、提高我们内部控制和风险管理的水平提高内部控制和风险管理水平，满足财政部等五部委、国务院国资委等监管部门的要求。

3、全面提升公司员工的风险管理的意识

将风险管理融入到日常管理工作中，满足企业切实提高经营管理、效益和项目的需求，通过大量的培训和教育来提高员工对风险的认识，熟悉我们风险管理的方法。

四、内部控制基本框架

1、内部控制基本框架

美国COSO内部控制框架定义是一套由董事会、管理层及其他相关人员共同实施的程序，以合理确保下面三个目标的实现。一是财务报表的可靠性。二是适用法律法规的合规性。三是经营项目活动的效率与效果。从这段话里面我们可以看到，内部控制体系这样一个框架是由整个公司全员参与的，它是由董事会、管理层及相关人员共同实施的一个程序。

我们看下COSO内部控制框架，它分为五个要素来展示的。一是控制环境，二是风险评估。三是控制活动。四是信息与沟通。五是监督。

2、风险管理基本框架

内部控制与风险管理到底有什么区别，其实他们就是一码事，只是说他们在不同的一个时间阶段，对这个概念和这个工作的一个提升。

美国COSO里面对风险管理的定义。风险管理是一种程序，由企业的董事会、管理层和其他员工共同使其生效应对以下目标实现合理的保证，在基本框架基础上增加了战略目标的实现，对法律法规的遵循性的实现，经营效率及效果的实现，包括财务报告可靠性的实现。

为了确保战略目标的实现，然后我们再看下美国COSO企业风险管理框架图，这个框架图是在美国COSO内部控制框架图上的一个提升和一个扩展，我们看到在内部控制和环境的基础之上，我们又增加了目标设定，事项识别，这2个要素，同时，在风险评估这个环节我们看到有风险应对这1个要素，对于控制活动还有信息沟通还有监督检查都是我们在COSO内部控制框架图是能够看到的。

对于这个基本框架的一个变化呢，主要三体现在以下几个方面。一是战略目标方面。它增加了战略目标的实现，包括报告目标的范围也进一步变广了。二是风险方面。我们在风险管理体系框架里面我们进一步提出了企业整体层面的风险组合，我们要识别公司层面的风险，我们要对整个公司层面风险进行组合排序，而进行进一步的识别。三是内部环境方面。体现了风险的偏好，风险的容忍度这样的一个概念，我们从控制环境把它变化到内部环境。

3、我国风险管理框架

我国在美国萨班斯法案，日本的有关萨班斯法案基础之上形成具有中国特色的萨班斯法案。财政部、证监会、审计署、银监会、保监会关于印发财会(2008)7号文《企业内部控制基本规范的通知》。2009年4月，财政部会同证监会、审计署、国资委、银监会、保监会等部门发布了《企业内部控制配套指引》，施行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露自我评价报告，同时聘请会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行。

配套指引由《18项应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》组成。应用指引是对企业按照内控五原则和内控“五要素”建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中占据主体地位。企业内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引。企业内部控制审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。

五、企业建立内部控制遵循的五大原则

企业建立与实施内部控制首先应该遵循以下五大原则。

1、全面性的原则

必须是全员的，从董事会、监事会、经理层到全体员工共同参与和实施；必须是全过程的，从相关活动的预测、决策、执行、考核、监督整个过程都要进行内部控制；必须是全面的，总部、分部、管理机关、生产部门，生产业务、经营业务、投资业务、融资业务等各项业务和事项都要加以控制。

2、重要性的原则

重要性原则里面提到的是对业务处理的关键部位以及关键岗位加以特别的防范，这里提到的是要对关键的控制点以及关键的岗位，我们提到的是重要性的原则。我们要针对公司重要的流程来进行特别的防范。

3、制衡性的原则

这里提到的包括治理结构的制衡，机构设置及权限分配的制衡，业务流程的制衡。其实我们这里可以看到治理结构还有机构设置，其实就是公司的内部环境，内部环境对于公司内部控制的搭建工作来讲，它是一个基础性的工作，非常重要。如果没有这个环境的情况下，工作是无法正常的开展的。它是一个相辅相成的关系。

4、适应性原则

内部控制必须适应不断变化的外部环境，也就是说，我们公司的内部控制不仅仅是局限于本身的一个管理，它是不断需要适应外部环境的。那么，外部环境也是分为不同的情况，比如说宏观经济的影响，整个国家的经济的影响，还有诸多其他的一些因素。这个东西呢，我们需要再建立内部体系的基础之上呢，我们需要不断的完善它，而不是说仅仅将我们的内控体系固化下来。这是一个提升的过程，它是一个净化的过程，不断的开展，是一个延续性长期性的工作。

5、成本效益的原则

建立企业内部控制体系其主要是建立成本效益的原则，我们是需要各种内部控制的方法和程序的成本，我们之所以要搭建内部控制体系，其目的是为了防范风险对企业造成的损失和浪费，但是我们在做这个工作的时候，我们要把握的原则是成本效益，也就是说这个成本效益不应该超过我潜在风险给公司带来的损失和浪费。

六、内部控制五大目标

内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略，具体包括以下五大目标。

1、战略目标

战略目标要求企业将近期的利益和长期的利益相结合。在企业经营管理中努力做出符合战略要求，有利于提升企业持续发展力和持久价值的一个选择。这项目标主要是为了战略相关的要求。其目的是为了进一步提升可持续发展的能力，创造企业长久性的价值。

2、经营目标

经营目标要求企业结合自身目标经营环境和经济环境，通过健全有效的内部控制，不断提高经营活动的营运能力和管理效率。

3、报告目标

企业可靠的信息报告，可以为企业提高适合其目标准确和完整的信息，支持管理层的决策和对运营活动和业绩的监控，同时可以保持对外披露报告的真实性和完整性，有利于提升企业的诚信度和公信力，维护企业良好的声誉和形象。

4、资产目标

资产的安全和完整性是投资者或债权人和其他利益相关者普遍关注的较重大的一个问题，它是对于企业来讲，是企业可持续发展的一个物质的基础。

5、合规目标

守法和诚信是企业健康发展的基石，我们必须在企业发展的进程之中使之合规，合规性的目标是要求企业必须将发展置于国家允许的法律法规基本框架之下。也就是说我们做的任何一件事情，是要在守法的基础上来实现的。这样才能促进企业自身的一个发展。

七、内部控制五大要素

《企业内部控制基本规范》由总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则7章，共50条组成。

其中核心内容就是内部控制五要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。

企业建立与实施有效的内部控制，应当包括以上五大要素。

1、内部环境

它是内部控制体系建设的基础，是有效实施内部控制的保障，直接影响着企业内部控制的贯彻与执行，包括公司经营目标，以及整体战略目标的实现。它的主要内容包括治理结构，机构设置及权限权责分配，内部审计，人力资源政策，企业文化等内容。

1）治理结构

企业应当根据国家的法律法规和相关的规章制度建立规范公司治理结构和议事的规则，明确决策、执行、监督等方面的权限，实行科学有效的职责分工和制衡的机制。这里谈到治理结构就是要求公司要形成规范的议事的规则，要明确决策执行、监督方面的职责和权限，也就是说对公司所有的工作进行一个职责的分工和一个制衡的机制。其中，这里可以看到股东大会享有法律法规和企业规章制度合法的权力，依法行使企业经营方针、投资、利润分配等重大事项的表决权，董事会是要对股东大会进行负责，依法行使企业的经营决策权，监事会对股东大会负责，监督企业董事、经理和其他高级管理人员依法履行职责，经理层负责实施股东大会、董事会决议的事项，主持企业的生产经营管理工作。

2）机构设置及权责分配

企业应当结合自身特点和内部控制的要求设置内部机构，明确职责的权限，将权力和责任落实到各责任单位，企业内部机构设置虽然没有统一的模式，但所采用的组织机构应当有利于提升管理的效能，保证信息的通畅，企业应当通过编制的内部控制管理手册使员工掌握机构设置，岗位职责，业务流程等情况，明确权责分配，自觉行使职权。

3）内部审计

企业应当配备适当的审计人员，保证审计工作的独立性，作为内控审计部门应该有一个很合理的机构设置和人员的配备，它是在整个公司的工作里面起到一个独立性的、一个监督的工作。

4）人力资源政策

企业应当制定和有利于企业可持续发展的人力资源的政策，人力资源政策包括员工的聘用、培训、辞退、提职、员工的薪酬、考核、晋升、奖惩、关键岗位职工的强制休假制度、岗位轮换制度，掌握重要商业秘密的员工离岗的限制性规定，同时也包括人力资源其他相关的政策，企业应当将职业道德修养、专业的胜任能力作为选拔和聘用员工的重要标准。切实加强员工培训和继续教育，不断提升员工的素质，对一个企业来讲，企业的发展主要靠人，每一个事情具体要落实到每一个人身上。就是说只有人将这些基础性做好，我们要建立完善的培训机制，我们要不断的在工作过程中，我们要对员工进行后续的培训和教育，要不断的提升它的本身的素质.5）企业文化

全面风险管理要贯穿到企业文化中，也就是让大家全面的意识到什么叫做风险管理，我们为什么要控制风险，为什么要预防风险，其目的是为了让公司能够更长久更持续更稳健的发展。加强文化的建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新、团队协作的精神。树立现代化管理理念，强化风险意识，在这个文化建设之中呢，董事会、董事、监事、经理及其他高级管理人员应当发挥主导性的作用。企业的员工应当遵守企业的员工手册，认真履行岗位的职责，这个地方提到一个文化氛围的一个作用，也就是说企业要有企业文化的建设，使员工有这样的价值观和社会的一种责任感。

2、风险评估

风险评估是及时识别科学分析评估影响公司目标实现各种不确定性因素，并制定应对策略的过程，是实施内部控制的重要环节，这个地方要提到的是风险不仅仅是消极的因素，同时它也包括积极的因素。我们需要通过科学的方法来评估影响公司目标实现的各种不同的因素，来制定应对的策略。在经营活动中如果有消极的因素我们要进行控制，把它控制在我们可接受的范围之内，那么，对于积极的因素我们要把握住这个机会这个好的因素来推进这个公司整个工作的开展。其风险评估的主要内容是我们是采用定性和定量相结合的方法，从可能性、影响程度等方面对风险的重要性进行评估，在做这项工作评估的时候，我们会针对公司层面和流程层面分别来进行风险评估的工作，最后进行综合的评价结果，确定重大风险和管理优先的顺序。

它分为五个步骤，一是目标的设定，二是风险的识别，三是风险的分析，四是风险的应对。

1）目标的设定

设定与初始信息的收集，需要公司在进行风险评估的时候，根据公司设定的目标，全面系统的收集相关的信息，结合实际的情况及时进行风险评估。这个地方我们要提到的是这样几个概念。一是固有风险和剩余风险，二是风险偏好，三是风险的容忍度，四是风险的组合观。固有风险和剩余风险现阶段我们要进行资料收集这样一个工作，也是为我们下部工作风险分析做的基础工作。我们需要为我们工作中设计的控制目标进行一个系统的信息收集。

2）风险的识别

风险的识别是在收集这些相关信息的基础之上，我们来查找各项经营活动及其业务活动存在的影响目标实现的风险及机率的过程。我们要对重要性的经营活动和重要性的业务流程来进行风险的识别。它包括内部的风险因素和外部的风险因素。

企业的内部风险因素主要有：①董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。②组织机构、经营方式、资产管理、业务流程等管理因素。③研究开发、技术投入、信息技术运用等自主创新因素。④财务状况、经营成果、现金流量等财务因素。⑤营运安全、员工健康、环境保护等安全环保因素以及其他因素。

企业的外部风险因素主要有：①经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。②法律法规、监管要求等法律因素。③安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。④技术进步、工艺改进等科学技术因素。⑤自然灾害、环境状况等自然环境因素以及其他因素。

3）风险的分析

风险分析是在风险识别的基础上进一步识别风险发生的肯能性，对公司的目标影响的程度。风险分析是风险应对的基础，没有客观、充分、合理的风险分析，风险应对将是无的放矢、效率低下的。

风险分析的方法一般是采用定性和定量这两种方法。4）风险的应对

针对风险分析的基础之上，我们根据企业相关目标、企业风险偏好、风险可接受程度、风险发生的原因、风险的重要性来确定适当的应对策略。

一种是风险的规避。是企业对超出风险承受度的风险，通过放弃或停止与该风险相关的业务活动来避免或减轻损失的策略。

二种是风险降低。是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或减轻损失，将风险控制在风险承受程度之内的策略。

三种是风险分担。是企业准备借助他人力量，采取业务分包，购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。

四种风险承受。是企业对风险承受度之内的风险，在权衡成本效益后，不准备采取控制措施降低风险或减轻损失的策略。风险在我们工作中时时都是存在的，只是我们通过内控工作完善来降低风险，降到风险能够公司承受的范围之内。

3、控制活动

控制活动是指公司根据风险评估的一个结果，采取相应的控制措施，将风险控制在可承受的范围之内。

控制活动一般包括不相容职务分离、授权审批、会计系统、财产保护、预算、运营分析、绩效考评、突发事件应急。

1）不相容职务分离的控制

企业要全面分析梳理业务流程中涉及到的不相容的职务，制定相应的分离措施，使之各施其责，相互制约的工作机制。

不相容职务一般包括授权批准与业务经办，业务经办与会计记录，会计记录与财产保管，业务经办与稽核检查，授权批准与监督检查。比如说，授权进行某项经济业务和执行该项业务的职务要分离，如有权决定或审批材料采购的人员不能同时兼任采购员职务。

2）授权审批控制

企业要根据常规的授权和特别授权的规定，明确各岗位办理事物或事项的权限的范围。审批程序和相应的责任应当编制一个常规的一个授权指引，规范特别授权的范围，权限，程序和责任。

常规授权是指在企业日常管理活动中按照既定的职责和程序进行的授权。

特别授权是指企业在特殊的情况下进行的授权，企业应当严格控制特别授权。企业各级管理人员应对在授权范围内履行自己的职权和承担相应的责任。企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。

授权批准控制的内容包括：一是授权批准的范围；二是授权批准的层次；三是授权批准的责任；四是授权批准的程序。

3）会计系统的控制

企业要严格执行国家统一的会计准则制度，加强会计基础的工作，明确会计凭证、会计账簿和会计报告处理的程序，保证会计资料真实的完整，企业应当依法成立会计机构，配备相关人员，从事会计工作的人员必须取得相应的资格证书，会计机构负责人应当具备会计师以上的专业技术职务资格，实现企业满足合规的目标。

会计系统是为确认、汇总、分析、分类、记录和报告企业发生的经济业务，并保持相关资产和负债的受托责任而建立的各种会计记录手段、会计政策、会计核算程序、会计报告制度和会计档案管理制度等的总称。4）财产保护的控制

企业要建立日常的管理制度并且建立定期的清查制度，实现财产的定期盘点，账物核对等措施，确保财产安全。也就是说公司里面所有财产要进行盘点，账物进行核对。这是公司企业发展的一个物质的基础。企业应当严格限制未经授权的人员接触和处置财产。

5）预算控制

企业要实行全面的预算管理制度。这个对于央企来讲还没有做得很完善。明确各责任单位在预算管理中的职责权限，规范预算的编制和审定，预算下达和执行的程序，强化预算的约束。这里也提到了分解预算控制的主要环节。包括目标的设定，预算指标的下达、责任人的落实，预算执行的授权，预算执行中的监控，预算差异的分析和调整，预算业绩的考核和奖惩。

6）运营分析控制

要求企业建立运营情况分析的制度，经理层应当收集薪酬、投资等方面的信息，通过因素分析，对比分析等方法定期开展运营情况的分析，发现存在的问题，及时查明原因并加以改进。

7）绩效考评控制

企业要建立和实行绩效考核的制度，科学的设置考核指标体系，对企业内部各责任单位和全体员工业绩进行定期的考评和客观的评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等依据。它的主要环节包括绩效考评目标的设定、设置考核指标体系，选择考核评价的标准，形成评价的结果，制定奖惩等措施。

4、信息与沟通

信息与沟通是公司准确的收集、传递与控制相关的信息，确保信息在公司内部、公司外部之间有效沟通以促使职责的履行，信息是指公司财务与非财务相关的信息，不仅包括内部产生的信息也包括公司经营决策和对外报告的外部信息。

1）信息与沟通制度

企业应该建立企业信息与沟通制度，明确内部相关信息的收集，处理和传递程序，确保信息及时沟通，促进内部控制有效运行。

2）必要的信息收集传递

企业应当针对内部收集和外部收集的信息进行合理的筛选与核对，进行整理，主要目的是提高信息的有用性，企业可以通过财务会计资料还有经营管理等资料，包括调研报告，办公网络及内部刊物等不同渠道收集内部信息，同时，也可以通过社会中介机构、业务往来单位、市场的调查、来信、来访、网络媒体及有关证监部门、监管部门这些不同渠道来获取外部信息。

3）信息共享

企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通的作用，企业应当加强对信息系统的开发与维护、访问、变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统的安全稳定运行。

4）反舞弊机制

企业应当建立反舞弊的机制，坚持惩防并举，重在预防的原则。明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。

企业至少应当将下列情形作为反舞弊工作的重点：①未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。②在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。③董事、监事、经理及其他高级管理人员滥用职权。④相关机构或人员串通舞弊。企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。

举报投诉制度和举报人保护制度应当及时传达至全体员工。

5、内部监督

目前，内部监督这个要素对于企业来讲，这个是比较薄弱的。有很多企业在建立内部控制体系这个工作之后，这个体系也是在运行，但是没有一个很完善监督的机制。在这个内部监督这个要素之中，《基本规范》要求公司应该建立和实施情况进行监督检查，评价内部控制有效性并及时加以改进的过程。内部控制体系建设在建立之后，我们并不是固化下来了，它是需要有一个提升的过程的，在整个的运行中我们对它进行要监督它和检查，看这个内控体系设计是否合理，它的运行是否有效。也就是说这个体系制定后我们要不断加以完善和提升，使该项工作不能脱离实际在操作。

它包括日常监督、专项监督、缺陷追踪及内部评价。

1）日常监督

企业对建立与实施内部控制的情况进行常规、持续的监督检查。

2）专项监督

公司在发展战略、组织结构、经营活动、业务流程、关键岗位员工较大调整或变化的情况下，对内部控制某个或某些方面有针对性的一个评价。公司评价过程应主要关注评价计划的制定，评价活动的执行，评价报告和纠正措施。

专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。所以一般来说，风险水平较高并且重要的控制，对其进行专项监督检查的频率应较高。

3）缺陷跟踪

公司针对应当明确报告缺陷的一个内容，对报告跟进的程序和报告进一步的规范，并且制定内部控制缺陷认定的一个范围，明确缺陷定义及分类，以及缺陷评估内容，方法和标准。

如果内部控制和设计无法合理的保证内部控制目标的实现，我们就可以认为这个内部控制存在着一定的缺陷。

缺陷一般分为设计的缺陷、设计与运行的缺陷、财务报告内部控制缺陷、非财务报告内部控制缺陷。

根据其影响的程度又可分为重大缺陷、重要缺陷、一般缺陷。企业可以根据自身的一个情况，对重大缺陷重要缺陷一般缺陷进行一个标准进行一个界定。

我们可以从定性的标准和定量的标准两种维度来进行确定。

重大缺陷是指一个或多个控制缺陷的组合可能导致企业严重的偏离控制目标。重要缺陷是一个或多个控制缺陷的控制组合其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离企业目标。

一般缺陷是除了重大缺陷和重要缺陷之外的其他缺陷。4）内部控制评价

内部控制评价是公司内部建立定期内部评价的制度，明确评价的机构和职责权限，规范评价的范围，方式、频率，编制相应的内部控制评价报告。这个也与我们中央企业全面风险管理指引报告的相关要求也一致的，我们需要进行相应的监督和检查并且根据评价的工作范围和程序，定期对内部控制的有效性进行自我评价，编制相应的内部评价报告。

A．评价原则 全面性的原则。它是指内部控制的设计和运行应该涵盖企业及所属单位的各种业务和事项。对事项控制目标的各个方面进行全面系统综合性的评价。

重要性的原则。评价工作应当在全面评价的基础上以风险为导向，根据风险发生的可能性极其对实现控制目标的影响程度，这两个维度来确定需要评价的重要业务单位，重大业务事项和高风险的领域。

客观性原则。评价工作应当结合企业的行业环境、发展阶段、经营规模、业务特点等经营实际，准确解决经营状况，以事实为依据，如实反映内控控制设计与运行的有效性。确保评价结果有充足和适度的支持。

B．评价方法

评价方法包括个别访谈法，调查问卷法，穿行测试法，抽样法，实地调查法，比较分析法。

个别访谈法。我们编写访谈提纲，然后再写访谈纪要，记录访谈相关的内容，这个工作主要的目的是为了了解公司内部控制的现状。

调查问卷法。针对企业公司层面的一个风险进行的一个评价。调查问卷会尽量扩大它的对象范围，包括企业各个层级的员工。应该注意事先保密性。题目尽量简单易答。

穿行测试法。我们主要是为了在整个内部控制流程过程中，任意选取一笔交易的样本，进行追踪，该交易最初起源到最终结束在财务报表或其他经营管理报告中反映出来的整个的过程。经从该流程的起点到终点的全过程。其目的也就是为了了解控制措施设计的有效性，并且识别出这个流程中的关键控制点。

抽样法。进行随机的抽样和其他的抽样，对我们抽样的样本数量设定一个控制的范围。

实地调查法。我们可以结合我们企业的实际的相关的业务进行财务单证运行核对，并且对于像资产这块我们进行实地的盘点。

比较分析法。我们结合有关专业人员就内部控制执行情况或者控制问题进行分析，其目的是为了控制评价的手段，也是形成缺陷方案的一种途径。

C．内部控制评价内容

企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。

企业实施内部控制评价，包括对内部控制设计有效性和运行有效性的评价。内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。

评价内容包括但不限于：

①单位组织结构中的职责分工的健全状况。

②各项内部控制制度及相关措施是否健全、规范，是否与单位内部的组织管理相吻合。③各项工作中的业务处理与记录程序是否规范、经济，其执行是否有效。

④各项业务工作中的授权、批准、执行、记录、核对、报告等手续是否完备。⑤各岗位的职权划分是否符合不相容岗位相互分离的原则，其职权履行是否得到有效控制。

⑥是否有严格的岗位责任制度和奖惩制度。

⑦关键控制点是否均有必要的控制措施，其措施是否有效执行。⑧内部控制制度在执行中受管理层的影响程度。

企业内控体系建设计划 第2篇

【关键词】 集团企业 企业管理 内部控制

集团公司从本质上来说是许多公司以共同的发展为目的而结合起来共同行动的团体公司，虽然集团公司的说法并不是《公司法》中明文确认的正规说法，但是集团公司的出现却也给我国的国民经济发展注入了强劲的生命力与活力。所谓集团公司，是一种与一般责任公司和股份有限公司一样具有独立法人资格、进行独立会计核算、自主承担一切经营生产风险的经济实体，集团公司是在现代社会市场经济以及全球化市场经济一体化背景下出现的具有多层次经济组织的经济实体结构。集团公司具有一般公司的特点同时又因为具有超大型的生产经营规模、市场份额以及庞大的人员数量，所以在内部控制体系建立过程中存在的问题就更多更广，但是正是因为集团公司的庞大与复杂，内部控制制度体系的建立就更显重要。

一、关于集团公司建立内部控制制度体系重要性的阐释

内部控制制度体系能够确保企业在进行生产经营及其他经济活动的过程中实现企业资产的保值增值，使得企业会计信息数据有效真实，保证集团企业在从事一切经济活动的过程中能够受到更为严格科学的监督、约束、调解以及评价。

1、有利于实现企业经营目标

内部控制制度作为企业加强自身规范化建设的重要制度保证，能够通过一系列科学合理的具体规章制度来确定庞大企业内部各部门、各组织之间的权利与责任归属，能够通过各项程序的健全和完善保证企业内部各种工作的有序开展，能够在企业内部营造出一种良好的环境氛围，同时通过配套的监督约束机制，最大限度地降低企业管理、工作等方面的偏差和漏洞，最终起到实现企业经营目标的良好推动作用。

2、有利于促进企业财务工作顺利开展

集团公司内部的财务管理工作纷繁复杂，涉及的部门众多、人员数量庞大，牵扯到的资金也是不计其数。因此只要涉及到财务管理及相关工作，集团公司内部最容易发生的也就是贪污腐败问题。这一切的根源都在于集团公司内部没有建立完善严格的内部控制制度体系，所以加强内部控制制度建设能够有效加强内部控制管理力度，能够对财务管理工作更好地实现及时监督及时评价，能够保护国家财产及公司财产不受非法侵害，能够有效避免如偷逃税款、挪用公款等一系列经济犯罪的发生。

3、有利于集团内部沟通协调

现代化集团企业内部控制制度建设是建立在企业信息化网络系统的基础之上的快速高效的管理体系。正是有了完善的网络管理体系，所以能够最大限度地加强集团企业内部各部门及工作人员之间的沟通协调，良好的沟通协调能够有助于部门及人员更加明确自己的本职工作、责任和义务，能够更加清楚内部管理控制制度的执行要点及工作重点。所以内部控制制度建设能够在员工、管理、市场之间形成一个三方沟通交流的信息平台，确保信息传递的顺畅准确。

4、有利于确保企业资产的完整性与安全性

供水企业内控体系建设研究 第3篇

关键词：大型供水企业,内控体系建设,现状,问题,改善建议

一、前言

随着我国经济的不断发展, 供水企业面临着一系列的挑战。但是, 供水企业又具有公益性、自然垄断性、不可替代性等较为特殊的性质, 其在市场运作中具有一般商业型企业不具有的本质区别, 是稳定和和谐我们社会发展与经济发展的重要基础性行业。那么, 在这样的背景之下, 大型供水企业更应该强化自身的内控体系建设, 保障自己的财务信息真实可靠, 最优化各种资源, 帮助自身实现既定的目标。但是, 由于是受到多方面因素的影响与制约, 我国大型供水企业在当前的环境下, 其内控体系建设并不是十分令人满意的, 还存在着不少不足之处, 我们必须尽快采取一定的措施来改进大型供水企业的内控体系建设状况, 切实保障它们的资产安全与完整, 提高财务信息质量, 实现企业的经营管理目标。

二、大型供水企业内控体系建设现状及问题分析

大型供水企业属于一种较为特殊的行业, 其具有超前性和地域局限性, 在保障我国经济社会正常发展的过程中, 起到了不容忽视的巨大作用。所谓内控体系就是指供水企业为了保障自己的经营活动的效益性而进行自我检查、制约和调整, 从而提供最为真实可靠的财务信息, 遵循一定的法律法规, 让企业内部的业务活动处于一种自律性的系统之内。然而, 由于受到多方面因素的影响与制约, 我国大型供水企业的内控体系建设过程中还存在着不少问题。具体分析如下:

1.治理结构不够完善

当前, 我国大型供水企业的内控体系建设过程中, 其人治的意识过于强烈, 很多供水企业都是沿用的计划经济时期的内控模式, 即使是笔者所在的重庆中法供水公司, 其虽然有法资背景, 但是, 其并没有能够完全摆脱中国计划经济时代的烙印影响, 很多内控体系建设仍然是由一套治理结构来实行的, 人治意识和作风过于浓厚, 大大削弱了供水企业内部的控制意识, 很多时候, 供水企业的领导和职员都对内控体系的建设认识处于较低的水平, 潜意识里都认为供水企业的领导意志就是相当于内控, 从而使得供水企业的内控体系建设存在着过于主观和武断的特征, 缺乏科学性和民主性;

2.企业人员缺乏足够的内控意识

供水企业的内控体系建设应该来说是贯穿于供水企业的全过程管理过程中的, 其中的企业人员的内控意识与内控素质起到了较为关键性的作用。这些供水企业人员是否具备较高的内控素质, 是否能够胜任这些内控工作, 将在很大程度上决定了供水企业能否有更好、更科学和更严密的内控体系。这是因为供水企业的内控体系建设, 显然离不开企业人员的的直接参与和主动实施。但是, 由于受到多方面因素的影响与制约, 我国当前的供水企业内控体系建设过程中, 从事内控工作的人员尽管有着较为专业的内控素养, 但是, 作为国资背景下的企业其他人员内控意识并不够高, 他们中有不少人缺乏职业意识, 风险意识较为薄弱。因而, 供水企业仅依靠内控人员来进行内控的话, 很难有效应对变化莫测的市场环境变化与发展;

3.内控体系缺乏有效的监督机制

当前, 我国不少供水企业的内控体系建设过程中, 其内部稽核和内部审核往往处于空白的尴尬境地, 这是因为很多供水企业的内控体系建设过程中的实际操作中, 往往并没有严格按照相关规定来设置稽核和内审岗位, 即使设置了相关岗位, 这些岗位的设置也不够规范化, 从而使得供水企业的内控往往流于形式主义, 并没有能够得到领导的真实重视, 加上供水企业的内部监督机构与制度建设也不够健全, 从而使得供水企业在推进内部稽核和内部审计时遇到了不小的阻力与压力, 这主要是因为供水企业欠缺有效的内部监督机制, 工作计划性、前瞻性差, 内控体系的实施缺乏刚性。

三、大型供水企业内控体系建设的改善建议

鉴于我国大型供水企业的内控体系建设过程中, 其内部环境控制的问题, 风险评估方面的问题, 控制活动方面的问题, 信息与沟通不顺畅, 内部监督方面的问题等, 使得供水企业的内控体系建设现状不容乐观, 主要表现为:企业法人治理结构有待完善, 企业组织结构设置不尽合理, 企业人力资源体系存在弊端, 领导干部风险意识普遍淡薄。那么, 我们就必须基于这些问题, 充分意识到大型供水企业的内控体系建设的重要意义, 即建设内控体系是供水企业资产保值增值的前提, 是强化供水企业管理的要求, 是抓好民生事业建设、保障社会和谐稳定的要求。因此, 我们必须尽快采取改善的措施, 尽可能的完善大型供水企业的内控体系建设工作。具体改善建议如下:

1.进一步改善企业内控环境

大型供水企业应该尽快建立健全相关的人力资源政策, 还要在实践过程中对相关的人力资源政策进行相关的完善, 要注意维护人力资源管理团队, 让整个员工队伍都能够稳定下来。供水企业只有在这样的人力资源政策下, 才可以进一步提高员工的整体素质, 供水企业还应该进一步完善员工培训机制和考核机制, 从而进一步改善供水企业内控环境, 让员工在不断提升自身素养与创造性的同时, 进一步发挥出改善供水企业内控环境的积极作用, 提高企业的经济效益。当然, 供水企业还应该积极配合我国经济体制的转型与发展, 把自己的眼光放在更为长远的机制改革带来的各种机遇方面, 努力把握住各种机遇, 争取各个政府部门的大力支持, 尤其是政策方面的优惠以及资金方面的支持, 从而确保供水企业能够在较为严峻的形势下, 依然可以获得更为持续和稳定的发展, 增强自身的市场核心竞争力, 加强风险应对与控制能力;

2.强化内部监督与审计机制

作为大型国资与外资合作的供水企业来说, 我们应该尽快建立并实施董事会负责的内部控制机制, 让监事会对董事会建立与实施内部控制进行监督, 而经理层则负责组织、领导企业内部控制的日常运行, 企业还应该基于内部监督机制的重要性, 成立专门的机构或者指定适当的机构具体负责组织、协调内部监督机制的建立实施及日常工作。此外, 本公司并没有设立专门的内审机构, 而且也采取过内部审计工作, 但收效甚微。因此, 供水企业还应该在董事会下设立审计委员会, 让其负责审查企业内部控制, 监督内部控制的有效实施和内部控制自我评价情况, 协调内部控制审计及其他相关事宜等。这就要求供水企业尽快深化自身的改革, 逐步建立起现代企业制度, 还要对这些企业制度进行不断的完善与健全, 坚定不移的推行人性化管理, 构建和谐企业, 这样的供水企业才能够更好的适应市场经济条件的发展要求, 营造一个良好的内控环境, 不断推进机制创新, 从而确保供水企业能够保持较高经济效益的前提之下, 继续持续稳定的发展下去;

3.严控企业控制成本费用支出

我国大型供水企业的内控体系建设过程中, 还应该尽可能的规范各种管理环节和管理工作, 强化管理实效, 尤其是把管理活动中的减支增效作为平时管理工作的重点, 并积极采取多种措施来加大对于供水企业的科技投入力度, 要想企业的管理要效益。那么, 这就要求供水企业能够遵循一定的内控体系建设原则, 即合法合规原则, 牵制配合原则, 授权分权原则, 复查核对原则以及成本效益原则等, 充分尊重企业现实、注重实际效果, 严控企业的成本费用支出, 确保供水企业成本的最小化, 并建立关键业务环节的控制机制, 从而把企业的经营管理活动严格控制在合理的水平范围之内, 供水企业还应该逐步建立和健全内部审计报告系统, 从而强化对于供水企业内部更为独立且客观的监督与评价活动, 增强供水企业内控的适当性、合法性和有效性, 并通过及时的反馈来增强供水企业的监察部门的独立性以及应有的权威性。

四、结束语

总而言之, 我国大型供水企业应该针对当前面对的严峻内控环境, 应该采取一定的措施尽快改善内控体系建设, 这就要求供水企业能够加强信息系统建设, 有效促进信息沟通, 提高认识, 明确责任, 加强领导, 建立机构, 注重培训, 加强宣贯, 建设畅通的内部控制信息渠道, 还应该加强内部审计与外部监督工作, 建立健全供水企业的内控制度, 即做好组织机构控制, 职权分离控制, 授权批准控制, 企业内部会计控制, 风险监测控制, 从而培养优良敬业的企业文化, 建立合理的预算控制系统, 建立和完善对各项管理活动的控制制度, 建立完善内部审计报告系统, 从而为供水企业的内控体系建设提供良好的运行基础, 实行积极监控, 提供顺畅、高效的信息传递系统, 确保内控体系有效运作。

参考文献

[1]齐春枝.推进企业内控体系建设的思考[J].现代商贸工业, 2009, (1) :59-60.

内控体系建设促企业发展 第4篇

内部控制是指在一个单位内部，为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误，保证会计资料的真实完整而制定和实施的政策与程序。内部控制包括必要的制度和措施，旨在为实现该组织的某种目标而提供合理保障。内部控制的目标：一是合理保证企业经营管理合法合规；二是维护资产安全；三是保证财务报告及相关信息真实完整；四是提高经营效率和效果，五是促进企业实现发展战略。五十四所从2012年开始按照集团公司要求，探索建立和完善内控体系，规范管理制度，要通过持续优化，使内控制度趋于结构更加合理，执行更加有效，并从风险控制角度出发，优化梳理，去繁就简，逐步健全内控制度体系。

加强顶层设计、形成上下一致、各有特色的内控模式。根据全所管理框架，将内控制度体系框架设计为：横向划分成多个子体系，覆盖所有业务领域的各个环节，纵向划分为基本制度、管理办法和操作细则三个层级，覆盖所有业务流程和关键控制点，落实所有关键控制点的责任岗位。其中，基本制度是内控制度体系的第一层级文件，是制定管理办法层级、操作细则层级文件的基础和依据。管理办法是内控制度体系的第二层级文件，是依据基本制度建立的管理文件，是基本制度的细化和展开。操作细则是内控制度体系的第三层级文件，是依据管理办法编制的，指导具体操作的制度文件，由文字描述、业务流程图、内控活动列表组成。各所属单位按照所里的统一部署，建立本单位的内控制度体系，总体要求上与所里保持一致。

整体设计、全面梳理、整版发布。制度建设打破部门界限，由制度体系管理部门按体系要求统一组织梳理，改变各部门各自出台制度的“政出多门”的管理习惯。从内控整体角度系统梳理、分析、整合原有各项管理制度，对制度文件统一设计、统一编号、统一发文，规范同类同质业务流程，避免产生涉及同类业务的相关规定存在衔接不畅、有歧义等问题。

专职管理、克服“短板”效应的内控职能。设置内控制度的专职管理机构，负责统一涉及制度框架，组织起草、发布、贯彻、检查、修订内控制度。专职管理加快了推进内控制度体系化的步伐，避免了业务部门独立制定制度、独立解释制度的“球员兼任裁判”现象，同时便于推行风险管理理念、复制经验、克服“短板”效应。

把握好制度建设的思路和原则。继承性，在制度建设的过程中，不是推倒重来，而是在原有基础上整合完善，同时将原来好的做法沉淀下来，加以发扬。

系统性，即内控制度必须涵盖所有业务领域。制度出台前做到系统规划，既重视制度系统本身的规律，又注意各特定业务间的关联，既构建企业层级的管理制度，又为各单位建立相应的操作细则预留空间。

合规性，必须符合国家法律法规的要求，满足政府、监管机构和行业的管理要求。结合企业特点、管理发展趋势量身定制。

先进性。充分借鉴ISO9000成熟的经验，吸收其他先进的管理经验，保持制度的先进性。

企业内控体系建设计划 第5篇

用友ERP事业部 刘江鹰

美国金融危机的爆发，带来了全球的新一轮经济衰退。究其原因，则是自由经济所导致的政府控制缺位，金融企业的创新出了位，正如华尔街的反思：将灵魂出卖给了魔鬼；从国内看，三鹿集团的风风火火，却一朝倾塌在三聚氰胺之下，企业董事长受到起诉；这一切，都能让人感受到企业在经营上的浮躁、利己和急功近利，严重忽视经营风险，结果给社会给自己都带来严重的后果。企业生产经营的外部环境正在发生着巨大变化，外部的监管正在加强，市场的游戏规则正导向在可持续发展上，政府宏观管理的要求促使企业的内控机制必须尽快完善和加强。《企业内部控制基本规范》（以下简称规范）的出台为企业建立健全内部控制机制提供了依据。作为针对上市公司的刚性规范要求，《规范》提出了建设框架，包括内部环境、风险评估、控制活动、信息与沟通和内部监督等五个方面的要素。按照要求，上市企业不仅需要建立这一内控机制，还必须要定期对内部控制的有效性进行自我审计评价，并向外部披露自我评价报告，也可聘请具备资格的第三方来对内控有效性进行审计和报告。

虽然从表面上，《规范》约束的是企业的财务管理行为，而背后却是反映着对企业的人力资源管理的要求，要求企业必须改进完善内部人力资源管理体系，财务管理的指标反映着企业经营的结果，而人力资源管理状况则反映着达到这一结果的过程，是领先性管理指标，结果上的风险产生来自于过程。从企业内控要求的人力资源管理改进上，笔者认为如下方面是需要重点关注的

 经营理念风险

人的风险是企业经营的最大风险。管理基于文化，行动受控于理念，《规范》明确提出了企业需要加强企业文化建设的要求。社会责任感、诚实守信、风险意识等等成为要要求的企业文化的重要成分。企业是否有相关的使命、愿景和核心经营理念和价值观的阐述和承诺，以及有否相关的培训沟通活动开展以及榜样树立的价值导向，是需要在内部控制审计中需要关注的。

企业生存的理由是其功能性，也就是为社会提供符合使用期望和要求的产品，通过符合要求的产品的提供为自己带来财务上收益，这是双赢的结果，如果是在企业内部的经营风气中只强调自己的利益，只强调获取，而不讲求付出，就会出现欺诈，导致企业经营的短命，这是最大的风险所在。 人员配置风险

《规范》中对企业的组织机构和岗位设置提出了明确的要求，组织保障是实现内部风险控制的基础。不仅是要求企业需要作到业务运作的职责清晰和明确，而且对于内部审计的职责分配也提出了相应的规定。

《规范》第二十二条规定在内部风险的识别上，明确了有关董事、监事、经理以及其他高级管理人员的职业操守方面的风险以及员工的专业胜任能力方面的风险，这要求企业必须加强任职资格管理控制，以及岗位工作能力控制。

《规范》提出了关键岗位的强制休假制度以及定期岗位轮换制度的执行的要求，这表明在企业的人事任用上，需要明确关键岗位名录的建立和维护，并需要有强制休假的记录，同时，对于关键岗位人员需要定期进行岗位轮换的记录。

在企业的保密性要求上，《规范》提出了掌握国家秘密和重要商业秘密的员工离岗需要有限制性规定，从而要求企业需要对涉密岗位进行识别，需要有脱密期概念，涉密岗位人员的离职需要有一个过程来证实企业对商业秘密保护上的风险控制措施。

 法规执行风险

《规范》在企业外部风险的识别上，明确提出了法规和监管要求等法律风险的控制。在企业的人力资源管理领域，企业需要遵循一系列的劳动管理法规，例如08年实施的《劳动合同法》、《就业促进法》、《劳动争议调解仲裁法》、《职工带薪年假条例》、《劳动合同法实施条例》以及当前部分条款依然有效的《劳动法》的规定。

《劳动合同法》明确规定自用工自日起1个月内需要签订书面的劳动合同，需要没有作到将有两倍工资处罚的风险；《劳动争议调解仲裁法》要求在用工纠纷中企业承担举证责任，例如加班休假的记录缺失将使企业存在承担不利后果的风险；《就业促进法》要求企业不能有就业歧视，比如性别歧视、宗教歧视、民族歧视等等；原劳动和社会保障部的《禁止使用童工的规定》要求企业不得使用16周岁以下的童工等等。

政府的政策法规体现着游戏规则和宏观管理的要求，不遵守游戏规则的后果是严重的，一个企业做到了财务上的赢利，如果其背后是违法行为作为支撑，是以牺牲员工权益为代价，那这企业的经营风险就可想而知。

 企业制度风险 在当前强调的企业文化建设中，其最高层次是企业的理念层，体现为自觉的潜意识成分，是经过企业长期的修炼和积累而成的，在之下则是制度层，这是形成一般意识的关键，企业的各项人力资源管理政策措施，都是为这一目的而服务的，都是在告诉员工，什么样的行为是被鼓励的，什么样的行为是被禁止的；在制度层之下是行为层，表现为行为技能。

企业的内控机制需要实现的员工行为表现上对风险的控制，其背后的直接支撑是企业的HR管理制度，《规范》中明确提出对企业人力资源政策的要求范围，比如员工的聘用、培训、辞退和辞职；员工的薪酬、考核、晋升与奖惩。这些政策都是实现企业内控有效性的必要条件。

这些条款要求企业需要建立和实施规范的人力资源管理流程，首先是要有明确的相关制度规定，然后是制度必须被有效地执行，再次是制度的执行需要做到实现预期的人员能力控制和价值导向的目标。流程规范的价值就在于控制流程的风险。

《规范》中尤其强调企业内控制度本身必须要纳入绩效考评体系的问题，如对反舞弊机制的建立要求，对举报投诉制度和举报人保护制度的建立要求等等，也只有企业对于内控的重要性认识达到是企业级的价值导向的层次，也才能真正作到控制的有效性。 信息沟通风险

企业的风险控制的要点是决策，而决策受控于信息，从而信息的及时获得以及信息的全面性就成为影响企业内控有效性的关键因素之一。企业的内控需要实现全员的参与才能实现有效，在这一点上《规范》明确要求企业需要做到使全体员工掌握内部机构设置、岗位职责、业务流程等情况。组织人事信息和人事政策的知道是风险控制执行的前提，企业的HR部门需要及时将人力资源政策的变动以及组织人事的相关变动情况及时在内部进行沟通，全体员工均应有方便的手段和措施来及时获取这些信息。从各个业务职能的协作上，有关人力资源政策的执行情况，如考勤休假结果、绩效考评结果等信息也需要在相关部门之间进行及时沟通，以避免在工作配合上带来可能的风险，以及保证内部人力资源政策执行的公正性，形成良好的内部氛围和企业凝聚力。

 过程执行风险

《规范》对企业内控机制的建立和执行提出了大量可操作的要求，尤其是在信息记录和信息的传递沟通上，从而在正常的企业经营之外，将附加一个较大的执行成本，增加了企业的管理负担；不仅如此，由于执行《规范》需要进行风险的识别、评估、分析、应对等等，面临的大量数据信息的处理，如果只是依赖手工进行，将使得这一执行过程本身面临着巨大的风险，导致风险控制机制本身存在着有效性的风险。

要解决这一问题，就有赖于信息系统的辅助流程优化来提供帮助与支持。比如人事组织信息的沟通、人力资源政策执行结果的沟通，可以通过HR软件的员工自助服务和经理自助服务来予以实现；比如有关劳动合同签订相关的风险应对，可以通过HR系统中的自动预警提示来辅助进行控制；比如劳动争议应对需要的大量记录，可以通过电子化的工作流程来形成电子记录、或是通过信息系统的自动调用数据信息的批打功能来辅助实现预防；比如绩效考评的完整记录和追踪，可以通过信息化的HR绩效考评流程来自动形成相关记录；比如说对于反映人力资源管理状况的诸多指标的监督跟踪例如离职率、有效用工率、员工出勤了率、平均工作负荷时间、平均招聘到岗时间等等，也可以通过HR信息系统的自动统计得到，通过指标的监控来及时识别可能的人力资源管理风险，及时记录和评估风险，并制定相应的风险控制和应对措施。

这一人力资源方面的风险还需要与企业的生产计划紧密结合起来才能有效控制风险，从而要求风险控制必须是系统完整的，不能是孤立地看待问题。例如企业的生产扩张，在带来生产规模的扩大的同时，还带来了人力资源配置增加的变化，需要相应提前采取招聘措施，否则将因人力资源不足而影响生产经营的正常开展；这一资源方面的风险控制，还需要企业必须随时关注外部人力资源市场的供给状况和供给水平，并需要根据相应情况及时调整人力资源政策，以有效化解可能的资源不足和资源浪费和资源损耗等各方面的经营风险。这些决策都有赖于给予完整、系统、全面的信息化经营管理平台来辅助实现。

正是考虑了企业的执行成本和内控有效性的缘故，《规范》中也专门提出了与企业信息化有关的规定和要求， 针对内控信息系统的建设方面，《规范》 第七条提出，企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。 针对内控信息的有效沟通方面，《规范》第三十八条中提出，企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。 针对信息系统本身的风险管理方面，《规范》第四十一条 企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

企业内控体系建设计划 第6篇

摘 要：2010年1月1日，《保安服务管理条例》正式施行，我国的保安服务业走向管办分离和市场竞争的格局。企业面对各种风险，若忽视风险，往往难以应对突如其来的各种风险冲击。本文阐述了风险管理与内部控制的关系，通过对保安企业的主要风险描述，提出加强内控体系建设，提高风险管理水平。

关键词：比尔盖茨；破产；保安企业；风险管理；内部控制；关系；风险；内控体系建设

世界首富比尔.盖茨认为，“微软离破产永远只有18个月”，正是因为有这个观念，才缔造了微软这个电子帝国。由此可见，在经营管理过程中，任何企业随时都有可能面临各种风险发生。对待风险的态度对企业的发展至关重要，没有风险管理意识也是企业最大风险之一。2008年，财政部、证监会等五部委发布《企业内部控制基本规范》，内控规范体系建设是企业预防、分担潜在风险发生的主要手段，是企业风险管理成本最低、风险最小的办法，也是企业最明智的选择。2016年G20峰会顺利召开，安保工作发挥了举足轻重的作用，保安是重要的安保力量之一。保安在社会发展的安全作用越来越重要，同时也对保安企业管理要求提升到了新的高度，在此就保安企业风险管理和内控体系建设谈几点肤浅的看法。

一、企业风险管理与内部控制的定义和关系

风险管理，企业日常经营管理过程会遇到各种产生负面影响的事件，也即是风险。风险管理也就是对产生的风险以及机会进行管理，确定对企业可能采生的潜在影响，目的是为了保障企业实现目标。

内部控制，是指企业为了实现经营目标，保护资产安全，保证企业合法、合规、合理经营，而在企业内部采取的一系列控制方法、控制手段和控制措施。

风险管理与内部控制是企业管理的两个重要工具。风险管理已发展为全面性风险管理，包括经营风险、财务风险和战略风险，内部控制则是以风险管理为目的的内部规范体系。通过实践，证明内部控制的有效实施依赖于风险管理的识别与分析，而风险管理离开了内部控制手段，也将流于形式。我国企业内部控制规范体系建设将风险管理与内部控制融为一体，在现代企业管理和发展中起到不可忽视的作用。企业内部控制的目的是合理规避或降低还处在萌芽状态的风险，不让其自由发展逐渐扩大而无法收拾。

二、保安企业经营管理和发展中存在的主要风险

保安企业也不例外，特别是《条例》施行以后，保安企业处于完全竞争状态，市场化运营带来的风险显而易见。

第一，保安企业的风险来自于企业层面的风险，企业层面的风险管理执行度，较大地影响保安企业控制目标实现。

1、组织架构设计和运行的风险

保安企业原行政化管理模式根深蒂固，现代企业制度尚不能有效运行。股东会、董事会、监事会等治理机构形同虚设，这是转型保安企业和新办保安企业普遍存在的问题；企业缺乏科学决策、良性运行机制和高效执行力，导致企业难以发展壮大；企业管理层的职责、权利和义务不清，导致机构重叠、职能交叉或缺失、相互扯皮，运行效率低下；大部分发展中的保安企业，对子公司缺乏规范的投资管理手段，不能合法有效地履行出资人职责，过度干预日常工作和对子公司不闻不管均不能维护出资人权益。

不断频发的重大经济案件中，有不少都牵涉到了“三重一大”问题，它是企业合法运行中的“高压线”，必须经集体决策，任何个人不得单独进行决策或者擅自改变集体决策意见，它关系到企业的长远发展，一旦出现错误和舞弊，极有可能导致企业经营失败甚至破产倒闭。

2、人力资源管理的风险

“企业即人”，保安企业作为一个劳动密集型企业，这样的比喻再贴切不过了，“人是企业的最大资产”，人力资源风险是保安企业一个潜在的巨大的风险源。特别是2008年施行的《劳动合同法》明确了劳动合同的签订、劳动者合法权益的保障、劳动者的待遇、劳动合同的解除等规定。企业如果不按规定施行并通过有效途径规避风险，劳动者会利用法律武器，企业会面临支付双倍工资、合同解除补偿、工伤补偿等经济上的损失。保安是一个大群体，如发生用工方面的风险，它必定存在着更大的群发性险患，它使企业陷入困境。

保安企业的人力资源管理人员，必须熟知并熟练应用相应的法律法规和政策。企业培训是企业风险最小、收益最大的战略性投资，然而从保安企业现状来看，各保安公司中队长以上的管理人员对现代企业管理专业知识匮乏，缺少系统培训，总体管理水平还有待提高。

第二，保安企业的风险来自于业务层面的风险。业务层面的风险管理，因保安企业性质、规模、经营范围和业务特点不一样而有所不同。

1、经济效益的风险。保安企业承担着一定的维护社会安定的职能，但任何企业没有经济效益是无法生存的，现金流是企业的“生命线”，是保安企业后续发展的根本。保安企业经济效益风险的主要来源有：一是保安行业竞争激烈，服务费无法得到全面保障。随着大量的民营公司进入保安市场，保安企业面临着前所未有的竞争，为了占据固有的市场份额，不得以在经济上作出让步牺牲企业的利益。二是保安企业技术含量低，无法满足客户服务质量要求的风险，这也是保安企业无法提高服务费标准的原因之一。三是来源于客户的风险。近几年，大量的实体企业经济不景气，作为保安企业最大的银行客户，也同样面临着诸多困难，不断压缩保安经费。实体经济的不景气，使保安企业在资本回款上存在着坏账的风险。

2、合同管理的风险。合同管理风险是指在合同签订、变更、履行过程中，因合同内容约定不明确、条款不利、显失公平或其他因素造成税收风险和合同利益受损。各地保安企业的服务合同基本上都是按签订时的最低工资标准为测算依据确定收费标准，如合同签订时约定不明确，当合同周期内最低工资标准调整、社保缴费调整，原合同约定的收费将会不足支付队员报酬。

三、保安企业加强内控规范体系建设，提高风险管理水平

对于企业的管理者来说，必须居安思危，未雨绸缪，加强风险管理，预防企业潜在的风险。内控体系有助于提升企业内部管理水平和风险防范能力，促进企业参与市场竞争的能力。保安企业可以从以下几方面着手：

一是强化风险管理和风险评估意识。企业应当具有足够的风险意识，若对风险无法评估，就无法管理。因此保安企业应当引入风险管理，例如一些大型复杂的保安项目或保安方案，应进行充分的安全评估，系统地分析保安方案或保安系统中存在的各种潜在风险，对可能出现的危害后果分级判定，对风险概率大后果严重的风险采取有效措施进行消除或控制。

二是建立完善的内控制度。制度管理就是把复杂的问题简单化，混乱的事情规范化，企业应当按照全面性、制衡性、重要性、适应性及成本效益原则制定内控制度体系。通过建立完善的内控制度使经营管理合法合规、安全有效，提高经营效率和效果，促进企业实现发展战略。保安企业的劳动用工制度和合同管理制度尤为重要。

三是充分应用内部控制手段。企业可采用预算控制、合同管理控制、信息传递控制、信息系统控制等多种手段。其中信息化手段整合和优化内部控制系统，利用大数据信息处理，作为企业内部控制体系建设的工具，充分应用于企业经营管理和业务流程中。例保安企业可以应用信息系统建设，将合同管理、财务管理、人力资源管理三者结合，取到相互制衡作用。

四是加强内部监督管理，提高内控制度执行力。内部监督是实施内部控制的重要保证，是企业对内控制度从建立到实施、执行全过程进行监督检查。保安企业应当努力做到全员执行内控制度，使上下贯通，从而提高内控制度执行力。

保安企业应重视风险管理工作，营造全面风险管理的氛围，提高风险防范水平，将风险管理作为一项日常性工作，渗透到企业经营管理的整个过程。通过建立和实施高质量的内部控制规范体系，提升企业内部综合管理水平和风险防范能力，促进保安企业参与竞争能力。

参考文献：