一、内部控制的基本概念

内部控制，是指由企业董事会（或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构，以下简称董事会）、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。

内部控制的作用指，内部控制的固有功能在实际工作中对企业的生产经营活动及外部社会经济活动所产生的影响和效果。

在社会化大生产中，内部控制作为企业生产经营活动的自我调节和自我制约的内在机制，处于企业中枢神经系统的重要位置。

企业规模越大，其重要性越显著。可以说，内部控制的健全、实施与否，是单位经营成败的关键。

二、企业的内控难题

一个企业在生存、发展的过程中，必定会面临各种各样的风险，如决策管理风险、政策法规风险、制度缺陷风险、流动性风险、市场风险、信用风险和操作风险等。在风险面前，企业并不是无能为力的，可以通过建立内控体系来防范和化解风险。

但企业最大的风险在于对风险的无知和无视，对已知的风险企业一定有相应的控制措施，而对未知的风险，往往是防不胜防。

企业常常发现不了自己存在的风险，一是由于外部时刻在变化的复杂环境造成的，另一原因是只缘身在此山中，不知道风险在哪儿，当然不可能建立应对风险的控制措施了。

三、内控体系建立的关键步骤

关键步骤一：搭框架

企业内控体系的框架搭建依据四层分法：

第一层分法（横向）：按行业划分，分传统制造类、化工类、金融投资类、房地产类、建筑施工类、物流类、商业流通类、服务类、移动互联类……；

第二层分法（横向）：按企业所处阶段划分，培育期企业、成长期企业、成熟期企业、衰退期企业；

第三层分法（纵向）：按企业类型划分，分为多元化集团、专业化集团、单体企业、分支机构；

第四层分法（纵向）：按专业分类，企业的内控包括：公司层面的控制、业务层面的控制和信息层面的控制。

公司层面的内控包括：组织架构、人力资源、社会责任、企业文化；

业务活动层面的内控包括：战略、人力资源、资金、采购、资产、销售、研发、工程、担保、业务外包、财务报告、全面预算、合同管理；

信息层面的内控包括：内部信息传递和信息系统。

企业如果没有依据四层框架分析来搭建适合自己的内控体系，就会走入内控搭建的误区，要么是走形式，要么建立的内控体系不符合企业实际情况，就好比给自己穿了一件不合适的外套，内控变成了负担。

举例：某集团企业处在快速发展阶段，无关多元化，分子公司多，站在集团的角度，如何实现对分子公司的控制，管哪些不管哪些，内控与集团管控如何融合，面对如此复杂的集团化企业的全面内控体系建设，建议企业的内控建设先从财务内控着手，开展财务内控管理体系的梳理和设计其原因有三：

首先，财务管理体系是整个集团运营的核心，解决了财务管理体系的关键矛盾，整个集团的内部控制问题就至少解决了一半的内部控制难题。

其次，财务管理部门的经理业务水平较高，对生产经营的各个环节均有深度的掌握和全面的认识，梳理各业务活动内部控制会起到事半功倍的效果。

再者，从财务管理往企业价值链的前端延伸，可以一直伸向销售、采购、生产、物流、研发、信息系统架构等各个环节，甚至可以将管控要求最终延伸到人力资源管理、企业的组织架构、公司的治理层面等内控环境层面。

关键步骤二：找风险

中国企业所处的发展阶段差异非常大，不同成长阶段，不同规模，不同所有制的企业，企业的风险不一样，集团企业更多关心战略风险、管控风险，法律风险、投资风险，资金风险……而单体企业更关心市场风险、生产风险、质量安全风险。风险不一样，内控上存在的缺陷表现形式不一样，控制的方式也存在很大的差异。

发现一个企业的内控缺陷不是看他有没有制度和审批，如果没有那是内控设计上的缺陷，如果有了，但企业风险仍然存在，那是执行缺陷，而企业好多的问题就是在设计上有，但执行上不能执行，或设计上没有，执行上往往形成了约定俗成的不成文规定。

那么，有经验与没有经验的人来判断这个缺陷就会有很大差异了，当一个缺陷被认定时，设计内控体系时就会按照原定的逻辑来梳理流程，加强关键点、风险点控制，并通过制度来固化。

当一个内控规定不能在企业的经营实践中执行时，简单的提出加强控制是不能解决问题的。这种情况一定是企业管理上存在的客观情况，有的是企业的问题，有的是行业的特色。

如果是企业的问题时，就要帮助企业解决执行上的问题，不是强行要求就可以的，这时内控与企业的业务、与企业生产、质量控制、与企业的激励放权措施，与企业的管控模式，与企业的用人机制都有关。

当发现一个控制事项不能有效执行时，应当分析其是系统问题还是单项问题，如果是单项问题，解决的办法会比较容易，如果是系统的问题，需要提供专项的解决办法。

举例一：某集团企业存在短贷长投，企业也知道这是风险，但长时间这么过来了，没有出问题，大家也就习以为常了。

从内控要求来看，企业的流动资金紧张，企业存在短贷长投现象时，从内控的角度一定会指出缺陷，在制度上规定不允许短贷长投，但企业资金上的问题一时解决不了，新的风险就出现了，那么企业解决此类内控问题时，需要从根源上找问题，建立资金风险分析模型和预警模型，为企业提供更多融资渠道指引，帮助设计内部资金平衡计划，平衡内部资金需求。

举例二：当企业存在大量逾期应收账款，而企业在应收款管理上有严格的管理规定，销售合同也按内控要求走了所有审批环节，可企业的应收账款量越来越大，逾期款也越来越多，如果仅仅从制度上去要求加强应收款控制是不能解决问题的，如果制度上规定不允许赊销，我相信这样的内控制度是行不通的。

怎么解决这样的内控问题，好的内控体系需要从如何建立客户信用评价体系，如何建立销售人员激励体系，如何将回款与责任人员薪酬绩效挂钩来解决问题。

关键步骤三：建规则

企业存在风险，存在内控管理上的缺陷，就需要加强内控文化建设，通过完善一系列的制度、流程形成共同遵守的规则。

内控规则最重要的成果是针对内控形成的各项内控手册。常规的内控手册的构成分6大手册，包括总则、环境分册、风险评估分册、控制活动分册、信息沟通分册、内部监督分册。但手册的内容构成，不同的专业人士提供的产品会有较大差异，这其中最关键差异就是“适用性”。而适用与否，不是谁都能实现的。内控要解决的不仅仅是控制的问题，更多是要解决企业发展与风险控制的协同。

关键步骤四：持续评价与提升

内部控制规范体系是一个企业内部控制应有的基本管理要求，在规范的基础上进行控制才是最有效率和效果的。内部控制改进体系是规范体系运行和完善的机制保障，只有通过监督改进机制，一个规范的体系才能很好地运行、完善。

内控风险和评价，内控风险评价报告有时是为满足上市公司信息披露用的，而企业本身需要定期提报一份真实的内控评价报告，让决策层清楚的知道企业存在哪些风险，通过控制措施降低了哪些风险，还存在哪些剩余风险。

定期评价，不断改进循环，企业才能处在稳定上升的发展态势中。内控风险评价最大的优势是不仅能帮助企业找到风险，而且有对风险的评估能力，设计应对风险的模型，能清晰的通过风险评估工具指出控制的效果，并合理的评估还存在的剩余风险。

剩余风险是指那些未能为企业所控制的战略风险和各经营流程的流程风险。一般来说，剩余风险往往具有一定的法律后果。它可能导致企业财务报表的重大错报，也可能导致企业管理层舞弊，严重者还可能导致企业破产。对于这类风险，企业家需要有更敏锐的嗅觉，更大的勇气去面对市场经济所存在的不确定因素。

四、企业内控的核心节点

（一）组织结构

企业严格按照企业的性质，建立符合企业特点的组织机构。企业的组织结构一般包括治理结构和内部组织结构。比如说相应的上市公司要按照上市公司的要求，建立规范的公司股东会、董事会、监事会、经理层以及各级别的专业委员会的议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。内部组织结构主要是明确完成企业经营管理所设立的各职能部门。

（二）发展战略

企业在对现实状况和未来趋势进行分析和预测的基础上，提出长期的发展目标和战略规划。在市场经济环境下，企业要想实现可持续发展，关键在于制定适合企业的内外部环境的发展战略。

（三）人力资源

企业制定并实施有利于企业可持续发展的人力资源政策。人力资源政策应当至少包括：严格员工的聘用、培训、辞退与辞职程序；完善员工的薪酬、考核、晋升与奖惩机制；强化关键岗位定期岗位轮换制度；加强员工培训和继续教育，不断提升员工素质。

（四）社会责任

社会责任是指企业在生产经营过程中对社会应当履行的责任和义务，包括安全生产、质量诚信、公平竞争、保护员工合法权益、环境保护、资源节约、促进就业、关注慈善事业等。企业在履行社会责任的同时，将会提高企业的市场开拓能力、促进企业创新、树立企业形象、增强企业竞争力，使企业与社会、环境全面协调可持续发展。

（五）企业文化

企业积极加强企业文化建设，统一企业文化理念，严格规范企业形象标识，制定并执行统一的员工行为守则，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理意识。

（六）资金活动

企业的经营活动的价值体现即为资金活动，资金活动包括筹资、投资和资金运营，资金活动的运行顺利与否，关系到企业的存亡。筹资、投资活动根据企业筹资、投资业务流程，评估企业筹资、投资业务中存在的风险，同时在企业的筹资、投资业务进行中加强对会计系统的控制，确保业务账务处理准确，相关文件齐全，随时掌握企业资金情况。强化营运资金管控，确保营运资金平衡，严格执行预算，提高资金周转效率，灵活调度资金，实现对应营运资金的强有力管控。

（七）采购业务

采购是企业生产经营的起点，是企业实物流与资金流的连接枢纽之一。采购环节为数不多，包括采购计划制定、采购定价方式与供应商选择、采购合同的签订与审核、验收入库等供应链活动，但是采购活动的顺利与否直接影响到企业的生产经营的持续进行。健全采购业务制度，确保采购活动与财务、仓库、生产等部门的紧密衔接，以保证满足企业生产经营的高效有序进行。

（八）资产管理

企业中的存货、无形资产、固定资产在企业的资产总额中占比较大，如何发挥此类资产的资产使用效能成为现代企业资产管理的重点。控制存货数量，防范库存不足或库存积压风险，避免过高的资金占用率、资产贬值；关注固定资产更新改造与维护，确保企业产能与生产相适应，避免资源浪费；增强企业无形资产中的核心技术占比，以实现企业的可持续发展。

（九）销售业务

销售业务是企业获取利润的直接环节，同时销售业务的完成情况涉及到企业的生产经营的其他环节的业务活动的进行。销售业务环节一般包括销售计划制定、客户开发与信用管理、销售合同订立、收款出库等。健全销售业务制度，确保销售活动与财务、仓库、生产等部门的紧密衔接，以保证完成企业的销售目标。

（十）研究与开发

企业通过研究与开发，研发新产品、开创新工艺，令企业在市场上占据领先地位，占领更多的市场份额，增强企业的核心竞争力。研发活动作为高收益活动，同时伴随着中周期长、成本高的高风险。研发活动的管控从立项、研发过程管理、结题验收、研究成果的开发和保护的各业务流程进行，通过环节控制实现风险的降低、转移、分散、避免。

(十一)工程项目

工程项目的一般流程包括立项、招标、设计、施工到竣工五个流程，对工程项目进行内部管控时抓住两条主线，一是资金线，包括项目的投资估算、设计概算、施工图预算、合同价、结算价及竣工决算；二是制度线，包括工程项目的招投标制度、质量控制制度、进度控制制度、安全管理制度、采购管理制度、合同管理制度、档案管理制度等。

(十二)担保业务

企业办理担保业务的流程不外乎受理申请、调查评估、审批、签订担保合同、日常监控几个简单流程。尤其是调查评估和日常监控环节应当格外关注。不仅要确保被担保企业的现实资信状况符合要求，持续跟踪关注其经营管理情况亦是不容忽视。

(十三)业务外包

企业通过业务外包形式可以一定程度上转移内部管控风险至外部单位，但同时也给企业增加了对外包单位的业务选择上的风险。

(十四)财务报告

财务报告作为企业内部控制目标之一，是企业投资者、债权人作出投资决策的依据，财务报告的编制方案及相关财务分析、对重大事项的披露、对账管理活动、关联方交易控制等各业务活动的有序顺利进行，对于实现财务报告的真实完整具有重要意义。

(十五)全面预算

企业严格实施预算控制，建立预算组织结构保障，控制预算目标的制定与分解，规范预算的编制、审批、上报、审核、下达和分解执行程序，加强预算控制，强化预算约束，严格控制预算调整的条件与程序，完善预算考核机制，建立企业的全面预算管理体制。

(十六)合同管理

合同贯穿企业的多种经营活动，是连接企业内外部各种人员关系的纽带。严格控制从合同的调查、谈判、审核、签订、结算、履行后评价、解除等各环节控制活动，实现防范企业经营风险，降低财务风险，维护自身的合法权益，避免不必要的法律纠纷或损失。

(十七)信息与沟通

企业全面加强内外信息沟通，明确相关信息的收集、处理和传递程序，确保信息及时沟通，规范信息披露工作。信息沟通过程中发现的问题，及时报告并加以解决；对重要信息及时传递给董事会、监事会和经理层。

(十八)信息系统

企业应当重视信息系统在内部控制中的作用，制定专门机构对信息系统建设实施归口管理，根据内部控制要求，结合组织架构、业务范围、技术能力等因素，制定信息系统整体建设规划，有序组织信息系统开发、运行、维护，优化管理流程，防范经营风险。