企業內部控制手冊建設實踐與探索

摘要:內部控制手冊作為一種推進內部控制建設與評價的有效工具，越來越多的企業在實踐和探索，努力建立起一套系統、規范和可操作性的內部控制手冊，以規范和指導內部控制評價實務工作，發揮操作指南和評價標準的功能。作者通過大量實踐和總結，在借鑒國際通用控制標準和最佳實踐的基礎上，從內部控制手冊定位出發，不僅提出了內部控制手冊的內容框架和運行機制，而且也提供了內部控制手冊建設的若干建議，以供其他企業內部控制手冊建設參考。

關鍵詞:內部控制手冊功能定位內容框架與運行機制

隨著《企業內部控制基本規范》及其配套指引相繼發布，如何有效執行基本規范及相關指引，完善公司風險管理和內部控制機制，業已成為公司治理工作的重要內容。內部控制手冊作為一項已經被國際同行認可的有效工具和最佳實踐成果，日益得到國內實務界關心和重視，為推進內部控制自我評價工作發揮了重要的作用。本文在總結企業內部控制手冊建設工作的基礎上，借鑒國際通用控制標準和最佳實踐，從內部控制手冊定位出發，重點介紹內部控制手冊內容框架和運行機制，并提出內部控制手冊建設若干建議，以饗讀者。

一、內部控制手冊建設的基礎

1.內部控制手冊建設的必要性

2008年6月28日，財政部等五部委聯合發布《企業內部控制基本規范》和相關指引征求意見稿，并規定該規范于2009年7月1日率先在國內上市公司中執行。該基本規范不僅提出了企業建立健全內部控制五要素框架，而且要求企業應實施內部控制自我評價制度，并明確提出了“企業應當通過編制內部管理手冊，使全體員工掌握內部機構設置、崗位職責、業務流程等情況，明確權責分配，正確行使職權。”的要求。這在法律層面上給執行基本規范的企業在內部控制手冊建設上提出了要求，也成為外部監管機構、資本市場評價上市公司是否規范內部控制建設的重要組成內容。

隨著企業經營規模和業務的發展，健全內部控制，提高風險管理能力也是提升企業競爭力、提高股東價值的重要途徑。為了有效推進內部控制自我評價工作，提升員工對內部控制的認知和執行程度，急需形成一套系統、規范，又具可操作性的內部控制手冊，以強化內部控制標準化建設，有力提升內部控制水平，因此，內部控制手冊的建設符合企業自身發展需要。

2.內部控制手冊的功能定位

(1)提升員工內部控制知識和風險意識的學習平臺。

(2)設計與執行公司內部控制架構、流程、關鍵控制活動和分解內部控制責任的操作指南。

(3)實施內部控制自我評估工作和內部控制審計工作的重要評價標準。

因此，內部控制手冊的使用者比較廣泛，無論是各級管理者，還是內部控制專業人員，甚至包括全體員工，都能從內部控制手冊受益匪淺。但從內部控制手冊的基本功能定位來看，內部控制手冊的主要使用者還是公司管理層、內部控制流程負責人、內部控制自我評價人員和審計人員。

內部控制手冊不同于企業日常管理制度和程序文件，它是從內部控制的視角審視企業內部控制架構和重要業務流程關鍵控制活動，其內容很難涵蓋企業偶發或例外事項，以及超過內部控制目標范圍的管理要求，因此，內部控制手冊不能代替企業日常管理制度和程序文件，更不是簡單的企業制度和程序文件的匯編。日常管理制度和程序文件除了內部控制點外，主要關注日常操作方面的具體步驟、方法和管理界面。而內部控制手冊則主要從設定的內部控制目標出發，識別和記錄業務流程的關鍵控制環節，提供內部控制評估的工具和方法，幫助管理層完善內部控制體系建設，而不是每個業務的具體步驟，更不是日常管理記錄。

但是內部控制手冊的控制活動多來源于日常管理制度和程序文件，且應與日常管理制度和程序文件中的控制內容保持一致。在日常管理制度和程序文件變更后，管理層應對內部控制手冊中的相應內容進行復核和更新，以保持兩者之間的一致性。

3.內部控制手冊內容的原則

內部控制手冊內容應以《企業內部控制基本規范》中內部控制五要素框架為綱領，以應用指引為具體指南，并參考《上市公司內部控制指引》的相關要求，結合國內外內部控制的最佳實踐，按照企業綜合管理體系要求編制而成，并遵循合規性、全面性、重要性、實用性等原則，其中:

(1)合規性原則。內部控制手冊的內容應當與《企業內部控制基本規范》及相關指引和監管要求相符，實現企業內部控制目標，并保持與企業管理制度的一致性。

(2)全面性原則。內部控制手冊的內容應當貫穿企業決策、執行和監督全過程，覆蓋企業及其所屬單位的各種業務和事項，系統全面，結構清晰。

(3)重要性原則。內部控制手冊的內容應當遵循風險導向原則，重點加強對重要業務事項和高風險領域的內部控制予以識別和控制，突出對關鍵控制點的控制。

(4)實用性原則。內部控制手冊建設應當與企業經營管理體系相一致，融入業務流程，提高可操作性，增強指導和評價功能。

二、內部控制手冊的內容

1.內部控制手冊的內容框架

內部控制手冊的內容框架目前沒有統一的標準和要求，每個企業可以根據內部控制手冊的功能定位和原則進行適當選擇。參照國際通行做法，內部控制手冊的內容一般包括內部控制理論、方法和相關法規的要求、企業內部控制整體架構和具體要求、企業層面和流程層面關鍵控制目標和控制活動及評價標準等內容，有的企業還進一步將內部控制要求分解到崗位和職責并提出適當的評價標準，以提高內部控制手冊的指導性和可操作性。為此，本文在總結企業內部控制手冊建設實踐的基礎上，創造性地將《企業內部控制基本規范》提出的內部環境、風險管理、控制活動、信息與溝通、監督等五要素架構轉化為內部控制手冊三層結構內容框架，供讀者參考。其中，內部控制整體框架(圖1)與內部控制手冊內容框架(圖2)對照如下:

(1)第一層面:企業層面。該層面重點介紹企業內部控制基調、整體架構和控制目標，并保證內部控制目標與企業發展戰略相符。同時說明企業內部控制自評體系與目標、內部控制手冊的分解思路和使用說明。該層面定位于對企業內部控制總體架構與運作機制及手冊的安排說明，是內部控制手冊第二層面和第三層面內容的基礎。該層面的內容要件包括內部控制自我評價表等。

(2)第二層面:流程與控制。該層面是將企業層面的控制目標分解到流程與控制層面，是內部控制五要素中“控制活動”與具體內部控制目標的對應關系。該層面是內部控制手冊的核心內容，起到承上啟下的作用。其內容要件包括流程定義圖、控制矩陣、流程圖和流程描述等。

(3)第三層面:崗位控制要求。該層面是將流程與控制層面的控制目標分解到崗位，提出具體的崗位控制要求，是落實內部控制責任的工具。該層面的內容要件包括不相容職責表、RACI表等，其中RACI表是一種定義各崗位內部控制角色和應承擔責任的分配表，內部控制角色一般可分為責任人、執行人、咨詢人和說明人等四類。

2.內部控制手冊內容要件舉例

為了方便讀者理解內部控制手冊內容，本文舉例介紹控制矩陣。

控制矩陣是一種以業務流程為脈絡，以具體控制目標為先導，以關鍵控制活動為節點，著重關注控制目標和關鍵控制活動的關聯性，以識別滿足控制目標的關鍵控制活動并加以管理的工具。該工具是內部控制手冊的核心要件，是內部控制評價的標準，也是審計檢查的操作指南，多用于企業開展內部控制自我評價和審計檢查工作。核心要素包括以下內容:

①控制目標。控制目標是指保證各子流程關鍵環節實現既定業務標準的目標，是企業內部控制整體目標的具體表現，一般可以按照合法合規性、信息真實性、資產安全性、效率與效果以及戰略目標的實現為準繩，充分識別子流程存在的固有風險，設計具體的控制目標，使剩余風險降到可接受范圍。其中，財務控制目標的設定可以借鑒國外SOX控制目標，信息系統控制目標的設定可以借鑒COBIT框架具體目標要求。在控制矩陣中控制目標是相對固化的，比較原則的，除非相關法律法規或者控制框架標準發生變化，一般無需對控制目標進行變更。

②控制活動。控制活動是指企業保證控制目標實現而建立的政策、程序和流程，一般為關鍵控制活動。關鍵控制活動是指為降低企業所面臨的風險在經營過程中需要加以控制的關鍵活動，是與內部控制目標相對應的一項或數項主要的內部控制措施。正確并持續實行這些控制措施是保證控制目標實現的前提之一。

一個控制目標可能對應一個或多個控制活動，特別是當有些控制活動只能部分滿足控制目標的時候，就需要多個控制活動從不同角度來實現控制目標。例如:要實現“及時處理所有發出的采購訂單”這一控制目標，需要兩個控制活動:合同信息系統自動連續編制合同號，以保證采購訂單的完整性;業務人員各自在系統中查詢和跟蹤合同執行情況，以保證合同被及時處理。

同樣，一個控制活動也可能實現一個或多個控制目標。例如:存貨盤點這一控制活動可以完全或者部分滿足不同的控制目標，即:存貨是可以出售或使用的;所有已收受的存貨都已記錄;存貨的接收已及時記錄于適當期間;發貨已及時記錄于適當期間等控制目標。

控制矩陣中的控制活動應保證與對應控制目標的相關性，隨著業務流程或者經營環境的改變，控制活動可能需要根據變化調整控制活動，并及時記錄在控制矩陣中。對于控制活動的描述，應遵循4W1H原則，即說明“who，when，where，what和how”，做到語言精煉，明確。

③控制類型。控制類型可以分為手工控制和系統控制兩類。手工控制指該控制活動是由人工來實施和完成的。系統控制指該控制活動是由計算機系統自動實施的，無需人員的干預和確認即可完成。

④業務發生頻率。一般包括每年一次、每季一次、每月一次、每周一次、每天一次、每天多次、或按需發生等情況。

⑤控制活動所涉及的主要文檔。一般包括相關制度、文件、單據、報告等資料的具體名稱和索引編號，以便日后查找和檢索。

⑥測試程序。測試程序是描述內部控制有效性測試的步驟。

三、內部控制手冊建設與應用

內部控制手冊的編制一般采用在企業主要業務流程梳理和評價的基礎上，對照《企業內部控制基本規范》及其他相關規定，設定具體控制目標，按照內部控制手冊內容框架要求編制而成。通常會以虛擬團隊的組織方式，以項目管理的形式開展。為了提高內部控制手冊的質量，應當在編制過程中加強質量控制。除項目團隊采用多級復核外，更重要的是應當獲取相關業務單元或部門對相關內容的確認，即流程負責人須對相關內部控制負責。

內部控制手冊在經企業管理層審核后，按照文件管理程序，納入企業綜合管理體系正式發布，并充分考慮內容與使用者的相關性，設定內部控制手冊的使用權限，加強保密性管理。

編制內部控制手冊不是目的，而是手段，關鍵在于如何使用內部控制手冊，內部控制手冊通常會在企業內部控制自我評價工作中應用，內部控制自我評價人對照內部控制手冊的控制標準和測試程序，檢查內部控制是否按照設計要求正常運行，評價內部控制的有效性。審計人員也可以利用內部控制手冊要求，檢查內部控制的自我評價情況，并對內部控制合理性和有效性發表意見。

內部控制手冊須根據企業實際業務環境的變化不斷進行更新，應保持與企業管理制度、程序文件控制內容一致。通常內部控制手冊的更新由各業務流程的負責人負責更新和確認，并提交企業相關部門存檔。內部控制手冊的更新工作可以結合內部控制自我評價工作一起完成。但必須明確的是內部控制手冊的更新工作不是單個部門的事，更不是審計部門的事，而應與相關內部控制責任一致，由其流程負責人確認完成。

為了保證內部控制手冊的有效性，審計部門可以定期對內部控制手冊的更新情況進行檢查，并評價內容的合理性。

四、內部控制手冊建設若干建議

內部控制手冊建設不僅是《企業內部控制基本規范》對上市企業提出的一項要求，而且也是上市企業自身推進和完善內部控制建設的一項重要工作。為了提高內部控制手冊建設的水平，充分發揮其功能定位，本文在總結企業內部控制手冊建設工作的基礎上，提出以下三點建議，與讀者分享。

1.內部控制手冊建設應贏得企業各級管理層的重視，并負責和適當參與。內部控制手冊的建設由于涉及面廣，工作量大，標準要求高，沒有企業各級管理層的重視和適當參與，即使編制成功，也可能是一種形式，不僅很難發揮其功能，而且會浪費很多資源。

2.內部控制手冊建設宜采用項目管理形式組織實施。內部控制手冊的建設是一項系統性工作，采用項目管理形式推進工作可以集中專業人力資源，工作目標更加明確，內容標準化和時間節點也更容易控制，從而有效保證內部控制手冊建設能順利完成。

3.內部控制手冊建設應實施同步培訓，以培養內部控制人才。內部控制手冊是一種全新的工具，首先需要對參與內部控制手冊建設的人員開展同步培訓，保證內部控制手冊編制的質量，同時采取多種形式面向企業全體員工介紹和宣傳內部控制手冊的內容和作用，提高員工對內部控制手冊的認知程度，有助于對內部控制手冊的正確使用。

參考文獻:

[1]財政部等五部委.企業內部控制基本規范及相關指引(征求意見稿)

[2]IT governance institute.COBIT4.1

[3]丘仲文 [日]原 國太郎 談亮 錢莘 等編著.中、美、日企業內部控制實務——化外部監管壓力為內部發展動力

(作者單位:寶山鋼鐵股份有限公司審計部)