公司內部控制制度設計

周海剛

（昆明盤江置業有限公司，云南 昆明 650000）

一、總則

（一）背景

為完善公司內部控制制度體系，強化企業內部管理，建立健全公司自我牽制機制，加快公司內部控制建設步伐，保障公司經營戰略目標的高品質的實現，根據公司的《公司章程》、新的《會計法》、《會計準則》、五部委印發的《企業內部控制基本規范》制定本制度。

內部控制是指公司董事會、經理層及所有員工共同實施的，為了確保公司經營方針和目標以及各項經濟活動的效率和效果，確保財務報告的可靠性，保護資產的安全、完整，防范、規避經營風險，防止欺詐和舞弊，確保有關法律法規和規章制度貫徹執行等而制定和實施的一系列具有控制職能的業務操作程序、管理方法與控制措施的總稱。

（二）建立健全內部控制制度的目標

建立和完善符合實際企業制度所需要的內部組織結構，形成科學決策、執行和監督機制，逐步實現權責明確、和超前的科學管理。

公司通過對各部門內部控制的檢查，達到相互聯系相互制約的目的，防止和糾正違紀行為。保證國家法律、公司內部規章制度及公司經營方針的貫徹落實。

建立健全全面預算制度，使公司全部部門、人員形成一系列的預算控制體系。

保證公司所有被授權業務活動，均按授權權限進行，促使公司的經營管理活動有理、有序、協調發展。

保證對公司資產的變化，及時記錄、跟蹤，防止資產毀損、浪費、盜竊并降低減值損失，確保公司資產的安全、完整。

保證公司全部經濟事項和數據真實、完整地反映，反映的會計報告符合《會計法》《企業會計準則》等一系列有關規定。

嚴格按照公司《財產盤點管理制度》按時盤點、賬面資產和實物資產核對相符，對出現的錯誤和誤差，查找原因，及時糾正，防止舞弊。

（三）建立內控制度的考慮要點

公司內部控制涵蓋公司經營管理的各個層級、各個方面和各個業務環節，建立合理合法的內部控制制度，應考慮以下幾個要點：

內部環境：是指影響公司內部控制制度制定、運行、制約及其效果的各種綜合因素，是實施內部控制的基礎。內部環境主要包括公司組織結構、企業文化、風險理念、經營風格、人力資源管理政策、內部審計機構的設置、反舞弊的機制等。

目標設定：是指公司管理層的經營戰略方針根據市場風險的變化設定公司的戰略目標、年度計劃，并且在公司各個層面上進行分解和落實。

事項識別：是指公司經理層對影響公司目標實現的內、外事件進行識別和判斷，鑒別風險和機會，分清優勢和劣勢，為決策提供有力支持。

風險評估：公司風險評估是公司管理層對影響其目標實現的內外各種風險進行分析，辨別其可能性和影響程度，并采取應對策略的全部過程，是實施內部控制的重要環節。

風險：是指對實現公司目標可能產生的不確定的因素。主要包括：經濟形式的變化、產業政策的調整、資源供給的貧乏，利率和匯率的調整、融資環境的變化、債務風險、市場競爭、行業競爭等一系列的經濟因素。還有一些自然形成的因素：如自然災害、技術、工藝的改進提高、電子商務的介入等，另外還有來自于公司內部的風險，如：機構不健全，制度不完備造成決策的隨意性、執行缺少監督，工作完成沒有檢查都將是我們公司將來發展壯大不可忽視的風險。本次內控體系建設主要是針對來自于公司內部風險的防范，從而達到抵御來自外部風險的目的。

風險對策：公司管理層按照公司的風險特征、實際情況和公司對于內外風險的承受程度，采取規避、降低、轉移或接受的風險應對方式，以及所制定的相應的風險控制措施。

控制活動：公司管理層為確保風險對策的有效執行和落實，所采取的一系列的措施和程序。控制措施要結合公司具體業務和事項的特點與要求制定，主要包括：職責分工控制、授權控制、審核批準控制、預算控制、生產成本的控制、檢驗、復核、定期盤點、記錄核對、資金控制、財產保護控制，績效考核制度、信息披露控制、產品技術控制等內容。

信息與溝通：信息溝通是指識別、采集來自于公司內部和外部的相關信息，并將信息以適當允許的方式在公司有關層、級之間進行傳遞、有效溝通和正確應用的全部過程，是實施內部控制的重要先提條件。信息溝通主要有信息的收集機制及在公司內部與外部有關方面的溝通機制等。

檢查監督：是指審計部門根據公司的內部控制制度要求，檢查公司內部控制效果，對其進行監督、評價的全過程。對內部控制的健全性、合理性、有效性進行監督檢查和評估，將評估結果及處理意見形成書面報告，是保證內部控制制度順利、有效實施的一種重要手段。監督檢查主要通過持續性監督活動、專項監督評價或者兩者結合進行，對內控制度存在的紕漏，提出相應的具有針對性的改進措施和解決辦法等。

（四）遵循的基本原則

合法性原則。內部控制制度應當符合地方法律、行政法規的規定和有關政府監管部門對上市公司的監管要求。

全面性原則。內部控制在層次上應當涵蓋公司董事會、管理層和全體員工，具體體現在公司各項業務和管理活動，從各流程中體現出決策、執行、監督、反饋等控制環節，避免內部控制出現空擋和漏洞。

重要性原則。內部控制在全面控制的基礎上，還要突出重點控制，針對高風險領域和環節發生的業務與事項，制定更為嚴謹的控制措施，確保不存在重大缺陷和漏洞。

有效性原則。內部控制應當為內部控制目標的順利實現，提供較合理的保證，公司全體員工應當自覺維護內部控制制度的有效執行，對已經建立和正在實施中的內部控制制度中仍存在的問題應當及時解決和處理。

制衡性原則。公司的機構、崗位設置和權責分配應當科學合理并要適應內部控制的基本要求，保證各部門、崗位之間權責分明，達到相互制約、相互監督的效果。

適應性原則。內部控制的合理制定，應該具體體現公司的經營規模、業務范圍、業務特點、風險情況以及具體環境等方面要求，并隨著公司外部環境的變化、經營業務的調整和變化，管理要求的變化等不斷地對其進行改進和完善。

成本效益原則。在建立和實施內部控制時，公司應考慮內部控制的成本與效益問題，在可能獲得的收益與不設置相應控制可能產生的損失之間做出理性的判斷，進行權衡和取舍，爭取以低成本獲得高效益的有效控制。

二、內部環境

（一）概述

內部環境是企業實施內部控制的基礎，支配著企業全體員工的內控意識，影響著全體員工實施控制活動和履行控制責任的態度、認識和行為。

內部環境主要包括組織架構、發展戰略、人力資源、企業文化和社會責任等。

（二）關注要點

1.組織架構。組織架構是企業按照國家有關法律法規、股東（大）會決議和企業章程，結合本企業實際，明確股東（大）會、董事會、監事會、經理層和企業內部各層級機構設置、職責權限、人員編制、工作程序和相關要求的制度安排。

企業要實施發展戰略，必須要有科學的組織架構，主要包括治理結構和內部機構設置。如果內部機構設計不科學，權責分配不合理，也可能導致機構重疊、職能交叉或缺失，運行效率低下。

2.發展戰略。發展戰略是指企業在對現實狀況和未來趨勢進行綜合分析和科學預測的基礎上，制定并實施的長遠發展目標與戰略規劃。企業作為市場經濟的主體，要想求得長期生存和持續發展，關鍵在于制定并有效實施適應外部環境變化和自身實際情況的發展戰略。

企業如果缺乏明確的發展戰略或發展戰略實施不到位，會導致企業盲目發展，難以形成競爭優勢，喪失發展機遇和動力；企業發展戰略過于激進，脫離企業實際能力或偏離主業，會導致過度擴張、經營失控甚至失敗；企業發展戰略頻繁變動，會導致資源嚴重浪費，最后危及企業的生存和持續發展。

3.人力資源。人力資源是指企業組織生產經營活動而錄（任）用的各種人員，包括董事、監事、高級管理人員和全體員工。現代企業競爭的關鍵在于人力資源的競爭。人力資源對實現企業發展戰略起到重要的智力支持作用，實現人力資源的合理配置，可以全面提升企業核心競爭力。

如果人力資源缺乏或過剩、結構不合理、開發機制不健全，企業發展戰略可能難以實現；如果人力資源激勵約束制度不合理、關鍵崗位人員管理不完善，則可能導致人才流失、經營效率低下；而如果人力資源退出機制不當，又可能導致法律訴訟或企業聲譽受損。

三、控制措施

（一）組織架構

一是企業應當根據國家有關法律法規的規定，明確董事會、監事會和經理層的職責權限、任職條件、議事規則和工作程序，確保決策、執行和監督相互分離，形成制衡。同時強調，企業的重大決策、重大事項、重要人事任免及大額資金支付業務等（即“三重一大”），應當按照規定的權限和程序實行集體決策審批或者聯簽制度；任何個人不得單獨進行決策或者擅自改變集體決策意見。二是企業應當按照科學、精簡、高效、透明、制衡的原則，綜合考慮企業性質、發展戰略、文化理念和管理要求等因素，合理設置內部職能機構，明確各機構的職責權限，避免職能交叉、缺失或權責過于集中，形成各司其職、各負其責、相互制約、相互協調的工作機制。三是企業應當根據組織架構的設計規范，對現有治理結構和內部機構設置進行全面梳理，確保本企業治理結構、內部機構設置和運行機制等符合現代企業制度要求。四是企業擁有子公司的，應當建立科學的投資管控制度，通過合法有效的形式履行出資人職責、維護出資人權益，重點關注子公司特別是異地、境外子公司的發展戰略、年度財務預決算、重大投融資、重大擔保、大額資金使用、主要資產處置、重要人事任免、內部控制體系建設等重要事項。

（二）發展戰略

一是要求企業健全組織機構，在董事會下設立戰略委員會，或指定相關機構負責發展戰略管理工作。同時，對戰略委員會的成員素質、工作規范也提出了相應要求。二是明確要求企業應在充分調查研究、科學分析預測和廣泛征求意見的基礎上制定發展目標，而不是靠拍腦袋，盲目制定發展戰略。在制定目標過程中，應綜合考慮宏觀經濟政策、國內外市場需求變化、技術發展趨勢、行業及競爭對手狀況、可利用資源水平和自身優勢與劣勢等影響因素。三是強調戰略規劃應當根據發展目標制定，明確發展的階段性和發展程度，確每個發展階段的具體目標、工作任務和實施路徑。四是要求董事會從全局性、長期性和可行性等維度，嚴格審議戰略委員會提交的發展戰略方案，之后再報經股東（大）會批準實施。五是從抓實施的角度，要求企業根據發展戰略，制定年度工作計劃，編制全面預算，將年度目標分解、落實，確保發展戰略有效實施。六是設立發展戰略實施后評估制度，要求戰略委員會加強對發展戰略實施情況的監控，定期收集和分析相關信息。

（三）人力資源

一是企業應當根據人力資源總體規劃，結合生產經營實際需要，制定年度人力資源需求計劃。也就是，人力資源要符合發展戰略需要，符合生產經營對人力資源的需求，盡可能做到“不缺人手，也不養閑人”。二是企業應當根據人力資源能力框架要求，明確各崗位的職責權限、任職條件和工作要求，通過公開招聘、競爭上崗等多種方式選聘優秀人才。這項要求實際上意在強調，企業要選合適的人，要按公開、嚴格的程序去選人，防止“人情招聘”、暗箱操作。三是企業確定選聘人員后，應當依法簽訂勞動合同，建立勞動用工關系；已選聘人員要進行試用和崗前培訓，試用期滿考核合格后，方可正式上崗。四是企業應當建立和完善人力資源的激勵約束機制，設置科學的業績考核指標體系，對各級管理人員和全體員工進行嚴格考核與評價，并制定與業績考核掛鉤的薪酬制度。如何留住引進來的優秀人才，對企業至關重要。五是企業應當建立健全員工退出（辭職、解除勞動合同、退休等）機制，明確退出的條件和程序，確保員工退出機制得到有效實施。

四、內部監督

（一）日常監督

公司應以重大風險、重大事件、重要管理及業務流程為重點，對內控體系有效性進行監督檢查，并對內部控制體系維護的方法、建設標準的變更、監督與考評工作等進行規范，以保證內部控制體系安全、穩健、有效運行。

1.獲得內部控制執行的證據。獲得內部控制執行的證據是指企業在日常經營管理活動中，取得必要的、相關的證據以證明內部控制體系發揮功能的程度，主要措施包括：

第一，公司管理層通過總經理辦公會、經營例會等形式，收集匯總各部門的信息，監督各方面工作的進展。總部機關、子公司通過經營分析等形式，匯集各方面信息，分析異常變動的原因，使潛在問題得到反映，從而對經營效果和財務報表質量進行監控。

第二，總經理和總會計師簽署年度報告確認其實施和維護內部控制程序的責任；同時，子公司負責人和財務負責人對財務數據的準確性簽署聲明。

第三，各單位對內部控制執行情況開展測試和評價，每年至少檢查一次。各單位內控與風險管理部門牽頭組織本單位綜合檢查組，依據公司的相關要求具體開展測試工作，并在測試以及評價工作結束后，對本單位內部控制的有效性發表聲明。

第四，內控與風險管理部門每年根據風險導向，對測試范圍進行確認，并隨時對新增業務單位以及發生業務變化導致重要性改變的業務單位進行跟進確認。定期或不定期組織開展公司內部控制測試和綜合評價工作。

第五，審計、監察部門制定相關制度辦法，通過審計、紀檢監察信訪機制、效能監察等工作，加強內部控制的持續監督。

2.外部反映對內部信息的印證。外部反映對內部信息的印證是指來自外部關聯方的信息支持內部生成的信息或反映內部問題，主要措施包括：

第一，公司接受外部監管者的檢查監督，及時獲取反饋信息，匯總、分析檢查意見，制訂整改措施并檢查各項措施的執行情況。

第二，公司通過召開客戶座談會、檢查客戶的投訴記錄、走訪客戶以及向客戶公布企業監督單位的聯系方式等措施，收集客戶對企業的意見和建議，制定相應的政策并監督檢查整改措施的執行情況。

第三，公司與外部單位進行往來賬項的函證，并對結果進行分析處理。

3.會計記錄和實物資產的定期核對。會計記錄和實物資產的定期核對是指定期將信息系統所記錄的數據與實物資產相比較，主要措施包括：

第一，公司制定相關實物資產的管理辦法，明確定期盤點的具體要求。

第二，各單位根據上述辦法制定實施細則，定期對固定資產、存貨、現金、票據和有價證券等進行盤點，做到賬賬、賬實相符。

4.內外部審計建議的響應。內外部審計建議的響應是指管理層對內外部審計師提出的加強內部控制的建議所做出的反應，主要措施包括：

第一，公司管理層對內部審計提出的管理建議通過召開會議、委派調查小組等方式對缺陷進行調查、分析，并采取相應的糾正措施。

第二，管理部門的責任是對重要的審計結果采取的適當改進措施作出決定。被審計單位或被審計責任人應將執行審計決定情況及時書面反饋審計機構。

第三，被審計單位若對審計報告有異議且無法協調時，應當將審計報告與被審計單位意見一并報企業主要負責人協調處理。

5.管理層及有關部門獲知內部控制的程度。管理層及有關部門獲知內部控制的程度是指管理層及有關部門通過培訓、會議等方式從基層了解到控制實施情況及控制缺陷的反饋情況，主要措施包括：

第一，管理層在會議或培訓中詢問內部控制執行情況，對員工提出的問題進行總結并提出改進措施。

第二，管理層對企業員工提出的合理化建議予以重視，并不斷完善員工合理化建議機制，明確相應的責任部門、范圍、征集方式、評審辦法、獎勵措施等內容。

第三，監察部門負責受理來自于公司內、外部對違規行為的舉報，并進行調查處理；每年組織調研和專項檢查，調研主要針對公司管理人員廉潔從業狀況、管理制度的落實狀況、管理的效果、存在的問題，并向管理層提出管理建議；對質量、效果、效率和效益等情況開展的效能監察、針對上級機關（部門）、上級領導有明確批示的直接核查的信訪事件和案件檢查都屬于專門檢查的范疇。

6.定期詢問員工。定期詢問員工是指定期要求員工明確說明他們是否理解并遵守了行為規范、道德準則，以及是否開展了控制活動，主要措施包括：

第一，公司制定《XX公司高級管理人員職業道德規范》和《XX公司員工職業道德規范》，以書面形式下發，要求以培訓等方式進行宣貫。同時，公司每年組織高級管理人員簽訂《職業道德規范確認書》。新加入公司的員工上崗前的教育包括公司職業道德規范的內容。監察部門和人事部門根據企業管理層的授權對企業員工遵守職業道德規范的情況進行監督。

第二，公司確立重要業務流程及對應的控制措施，各單位在日常工作中，就本單位員工是否執行了控制活動進行自我監督檢查。

（二）專項監督

專項監督是指在企業發展戰略、組織結構、經營活動、業務流程、關鍵崗位員工等發生較大調整或變化的情況下，對內部控制的某一或者某些方面進行有針對性的監督檢查。

五、管理措施

根據風險評估的結果，針對主要風險，進行控制差異分析，統一規范控制設計，完善風險控制管理措施，梳理健全管理制度。

以業務流程為載體，結合公司管理職責和規章制度，將風險和控制落實到具體業務工作中，確保責任落實執行到位，增強企業管理控制能力。

（一）業務流程

業務流程是按照業務流程架構，遵循業務運行實際，結合風險控制要求，描述業務工作步驟，實現業務管理程序化的過程。業務流程描述的內容包括：業務流程名稱編碼和起止點、必備的步驟、業務風險點、控制要求，以及對應的組織機構和崗位。業務流程采用業務流程架構統一的名稱編碼和起止點進行描述。

業務流程必備的步驟依據風險和控制要求對必須執行的業務操作進行描述；業務風險點依據風險數據庫進行描述。

控制要求依據控制文檔進行描述；業務流程涉及的組織機構和崗位，依據人事部門確定的機構、崗位名稱和崗位職責進行描述。

依據業務流程架構，結合現階段風險控制要求，確定了公司主要業務流程目錄，用以界定公司內控體系建設范圍。

（二）控制設計

1.手工控制。為了保證公司識別的風險得到有效的控制，公司根據業務流程架構和風險數據庫編制了風險控制文檔，風險控制文檔用于確認、記錄每個流程及每個步驟中存在的風險和已建立的控制，并與相應的制度和控制實施證據相對應。編制風險控制文檔的一般過程如下：

第一，根據現狀描述流程，建立風險控制文檔風險控制文檔。描述流程，對業務流程進行風險控制分析，制定風險控制文檔模板，編制風險控制文檔，對控制的合理性、完整性進行分析。

第二，差異分析。公司通過建立風險控制文檔查找差異并進行分析，對現有控制管理措施的差異和不足進行補充和完善，以達到防范風險的目的；同時還為公司進一步補充、修訂制度提供了依據。公司從加強制度建設入手，針對管理上的漏洞和死角，及時建立和完善相關規章制度，用制度規范各項管理工作。

2.自動控制。針對控制目標，對于相關在用自動控制系統設計并建立了控制規范。

[1]中華人民共和國財政部新的《會計法》、《會計準則》、《公司章程》、《企業內部控制基本規范》.