上市公司內(nèi)控體系建設(shè)，除了需要符合來自外部監(jiān)管的要求外，還需通過建立內(nèi)部控制規(guī)范體系提高企業(yè)經(jīng)營管理水平和風險防范能力，促進企業(yè)可持續(xù)健康發(fā)展;另外內(nèi)部控制系統(tǒng)通過企業(yè)內(nèi)部資源配置、協(xié)調(diào)監(jiān)督管理、事后反饋等方式，最終實現(xiàn)業(yè)務(wù)目標，為客戶提供價值。

  “事謀而后動，動必有成”，內(nèi)控體系建設(shè)前必須先有一個建設(shè)策略，才能有效指導(dǎo)建設(shè)工作。不同企業(yè)發(fā)展階段不同，所處的環(huán)境不同，建設(shè)內(nèi)控體系的目的不同，導(dǎo)致建設(shè)策略會存在一定的差別，本文就上市公司內(nèi)控體系建設(shè)的組織模式、建設(shè)范圍、設(shè)計思路、設(shè)計內(nèi)容、診斷思路、落地實施、與其他管理體系的融合(IT、風控體系、三標體系等)等方面策略進行闡述，以期為上市企業(yè)內(nèi)控建設(shè)工作提供一定的指導(dǎo)。

  一、加強組織建設(shè)，為內(nèi)控體系建設(shè)提供有力保障

  內(nèi)部控制是指由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。因此內(nèi)部控制體系建設(shè)工作不僅是公司管理層的責任，而且是公司上下全體員工都需要參與的一項工作。

  一般來講，企業(yè)在內(nèi)部控制體系建設(shè)的起步階段會采取項目管理的方式，企業(yè)在搭建起內(nèi)部控制體系之后，會將項目管理模式轉(zhuǎn)向由指定的內(nèi)部控制管理部門歸口負責的常態(tài)化管理。

  項目管理下組織架構(gòu)一般設(shè)置如下：

  董事會主要負責內(nèi)控體系建立健全，有效實施和評價;監(jiān)事會主要對董事會建立于實施內(nèi)部控制進行監(jiān)督;審計委員會主要監(jiān)督內(nèi)控的有效實施和內(nèi)控自我評價情況，審核及監(jiān)督外部審計機構(gòu)是否獨立客觀及審計程序是否有效，審核公司的財務(wù)信息及其披露，協(xié)調(diào)內(nèi)部控制審計及其他相關(guān)事宜。

  一般領(lǐng)導(dǎo)小組職責：確定內(nèi)控體系建設(shè)的范圍;明確內(nèi)控體系建設(shè)的總體規(guī)劃和目標;確定內(nèi)控體系建設(shè)的整體部署落實;提供建設(shè)環(huán)境及資源配置;研究決定內(nèi)控體系建設(shè)中的重大事項和結(jié)果檢查;監(jiān)督整體內(nèi)控體系建設(shè)項目的執(zhí)行和效果;負責內(nèi)控體系建設(shè)中的其他重要事項。

  領(lǐng)導(dǎo)小組成員一般為：董事長、總經(jīng)理/CEO、主管業(yè)務(wù)的副總經(jīng)理、總會計師/CFO等人員。

  企業(yè)在建設(shè)內(nèi)控體系時，一般會設(shè)立或指派相關(guān)部門進行內(nèi)控體系建設(shè)實施的組織及協(xié)調(diào)，該部門是內(nèi)控體系建設(shè)及實施的牽頭部門，例如有財務(wù)部、內(nèi)部審計部、風險管理部、法律部等部門負責，實際操作中由某個部門負責牽頭工作，并在具體工作時成立項目管理辦公室。

  項目管理辦公室的職責：負責內(nèi)控體系建設(shè)成員的職責分工;確定內(nèi)控體系建設(shè)與實施各階段任務(wù);協(xié)調(diào)本部各部門、下屬各企業(yè)內(nèi)部控制體系建設(shè)工作進展;項目進展監(jiān)督與報告;宣貫與培訓(xùn);內(nèi)控體系建設(shè)其他方面的實施工作。

  項目管理辦公室成員為：內(nèi)控牽頭部門負責人、財務(wù)總監(jiān)、各成員企業(yè)內(nèi)控建設(shè)負責人員、熟悉會計核算的員工、熟悉質(zhì)量管理的員工、熟悉財務(wù)結(jié)帳的員工、熟悉銷售業(yè)務(wù)的員工、熟悉采購業(yè)務(wù)的員工、熟悉行政業(yè)務(wù)的員工等。

  企業(yè)在前期內(nèi)控建設(shè)成果的基礎(chǔ)上，逐步建立內(nèi)部控制常態(tài)化管理工作，一般會設(shè)立專門的內(nèi)控機構(gòu)進行維護和自我評估工作。如有企業(yè)通過內(nèi)部審計部門內(nèi)控建設(shè)進行監(jiān)督評估;內(nèi)部審計部門 保持獨立性，原則上不應(yīng)直接參與內(nèi)部控制體系建設(shè);如不可避免參與內(nèi)部控制體系建設(shè)，則應(yīng)回避在參與建設(shè)范圍領(lǐng)域內(nèi)的內(nèi)部審計或自我評價。內(nèi)部審計部門主要評估內(nèi)部控制系統(tǒng)的有效性，針對內(nèi)控缺陷為業(yè)務(wù)部門提供具有參考價值的意見或解決方案，起獨立的監(jiān)督作用。

  二、確定內(nèi)控體系建設(shè)范圍時，管理層應(yīng)考慮的要素

  企業(yè)按類型劃分，分為多元化集團、專業(yè)化集團、單體企業(yè)、分支機構(gòu);不同的類型的企業(yè)建設(shè)范圍存在一定的差別。根據(jù)企業(yè)內(nèi)部控制評價指引第三條，企業(yè)內(nèi)控建設(shè)需要符合以下原則：全面性原則，即涵蓋企業(yè)及其所屬單位的各種業(yè)務(wù)和事項;重要性原則，即在全面評價的基礎(chǔ)上，關(guān)注重要業(yè)務(wù)單位、重大業(yè)務(wù)事項和高風險領(lǐng)域。

  所以，企業(yè)確定建設(shè)范圍時，管理層應(yīng)考慮下列幾大要素，來確定應(yīng)進行評估的經(jīng)營場所或業(yè)務(wù)單位：

  (1)經(jīng)營場所/業(yè)務(wù)單位的相關(guān)財務(wù)狀況和經(jīng)營狀況;

  (2)經(jīng)營場所/業(yè)務(wù)單位出現(xiàn)重大錯報的風險;

  (3)選定的經(jīng)營場所/業(yè)務(wù)單位的業(yè)務(wù)流程/循環(huán)和內(nèi)控程序在集中處理或共享服務(wù)環(huán)境中所占的比重;

  (4)除了本身重要的經(jīng)營場所以外，管理層還應(yīng)對那些具有特殊 風險的經(jīng)營場所和本身不十分重要的經(jīng)營場所執(zhí)行某些程序，因為當這些經(jīng)營場所與其他經(jīng)營場所綜合起來時將可能是重要的。

  業(yè)務(wù)領(lǐng)域建設(shè)范圍根據(jù)企業(yè)不同行業(yè)、發(fā)展階段，關(guān)注的重點會有所差異。

  三、根據(jù)不同內(nèi)控體系發(fā)展階段確定設(shè)計思路

  內(nèi)部控制管理是一個持續(xù)發(fā)展的體系，是與企業(yè)的發(fā)展密切相關(guān)的，內(nèi)控體系建設(shè)一般分三個階段，即滿足外部監(jiān)管的合規(guī)內(nèi)控，企業(yè)由被動到主動自發(fā)提高企業(yè)經(jīng)營效率和效果的管理型內(nèi)控，為增加股東價值而考慮企業(yè)風險管理的全面風險管理導(dǎo)向型內(nèi)控。

  根據(jù)不同內(nèi)控體系發(fā)展階段，一般內(nèi)控體系設(shè)計思路有三種：

  1、以財務(wù)報告內(nèi)部控制為著眼點逐步展開全面內(nèi)部控制體系建設(shè)

  從資本市場的監(jiān)管角度出發(fā)，中國證監(jiān)會關(guān)注上市公司財務(wù)報告及相關(guān)信息披露的真實、準確和完整;同時內(nèi)部控制審計是對“財務(wù)報告內(nèi)部控制”有效性發(fā)表意見;財務(wù)報告作為內(nèi)控框架的基本業(yè)務(wù)活動，其與其他業(yè)務(wù)活動緊密相連，通過財務(wù)報告內(nèi)部控制建設(shè)為中心，能將其他與財務(wù)報告相關(guān)業(yè)務(wù)活動進行完善。

  所以財務(wù)報告是內(nèi)控建設(shè)的突破點，通過財務(wù)報告內(nèi)控建設(shè)逐步開展內(nèi)控體系建設(shè)能夠滿足基礎(chǔ)合規(guī)內(nèi)控的要求。

  2、以全面內(nèi)部控制體系建設(shè)為整體目標，立足于管理者關(guān)注的重要管理領(lǐng)域，開展內(nèi)部控制建設(shè)。

  企業(yè)在進行內(nèi)控體系建設(shè)時，往往受限于人員、時間等方面的成本考量，一般會選擇管理者關(guān)注的一個或幾個重要管理領(lǐng)域作為切入點，實現(xiàn)“體系完善，重點突出”的內(nèi)部控制管理目標。財務(wù)報告相關(guān)北部控制覆蓋、貫穿企業(yè)各個關(guān)鍵業(yè)務(wù)流程、控制點，切財務(wù)報告是反映企業(yè)經(jīng)營績效與成果的直接表現(xiàn)，因而在大多數(shù)情況下，被企業(yè)選做重點突出的業(yè)務(wù)領(lǐng)域之一，率先開展工作。

  3、以建立全面風險管理體系為藍圖開展內(nèi)部控制體系建設(shè)

  運用風險管理和內(nèi)部控制的理念和方法持續(xù)優(yōu)化企業(yè)流程，并依托信息化系統(tǒng)實現(xiàn)對企業(yè)重要風險的全面實時監(jiān)控和預(yù)警，全面提升企業(yè)管控水平;實現(xiàn)風險管理和內(nèi)控系統(tǒng)與業(yè)務(wù)系統(tǒng)的結(jié)合，形成內(nèi)嵌式的管控系統(tǒng)，為企業(yè)戰(zhàn)略決策和管理提供支持，提升企業(yè)競爭力。具體思路如下：

  (1)搭建風險管理框架，明確組織及責任體系，梳理風險清單;

  (2)識別評估重大風險，就重大風險確定應(yīng)對策略并建立持續(xù)監(jiān)督機制;

  (3)就某一重大風險進行全面、深入識別和評估，梳理與之相對應(yīng)的內(nèi)部控制體系，識別內(nèi)部控制措施的薄弱環(huán)節(jié)并實施整改;

  (4)以關(guān)鍵績效指標為基礎(chǔ)建立風險預(yù)警機制。

  四、內(nèi)控管理診斷的依據(jù)和維度

  內(nèi)控管理診斷需要明確內(nèi)控目標，對流程制度進行梳理，對比COSO的內(nèi)控要素標準，進行差異分析。對企業(yè)內(nèi)控管理的診斷往往是以COSO三維框架為依據(jù)，結(jié)合企業(yè)特點，選擇某一維度為主線，在其他兩個維度展開差異分析和評價。

  1、以控制目標維度為主線結(jié)合流程層面維度和要素維度要求展開

  主要控制目標：經(jīng)營管理合法合規(guī)、提高經(jīng)營效率和效果、財務(wù)報告及相關(guān)信息真實完整、資產(chǎn)安全(COSO:包含在經(jīng)營效率效果之內(nèi))、促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。根據(jù)控制目標，結(jié)合重點的流程及內(nèi)控要素進行分析診斷。

  2、以流程層面維度為主線結(jié)合控制目標維度和要素維度需求展開

  以公司層面、業(yè)務(wù)活動層面和信息系統(tǒng)層面三個層面的流程為主線，或選擇重點關(guān)注的業(yè)務(wù)流程為主線，結(jié)合內(nèi)控目標及要素進行分析診斷，找出差距，進行優(yōu)化設(shè)計。

  3、以要素維度為主線結(jié)合控制目標維度和流程層面維度要求展開

  公司內(nèi)控要素：內(nèi)部環(huán)境、目標設(shè)定、風險識別、風險評估、風險對策、控制活動、信息與溝通、檢查監(jiān)督。

  梳理公司根據(jù)要素分析流程層面及控制目標層面與合規(guī)要求差距進行分析診斷。

  以上對內(nèi)控體系建設(shè)中的組織設(shè)置、設(shè)計范圍、設(shè)計思路、診斷思路進行簡要闡述，具體設(shè)計內(nèi)容及如何保障實施落地并與其他管理體系融合見后續(xù)文章介紹。