企業(yè)內部控制是企業(yè)對財務、人員、資產和工作流程進行有效監(jiān)督，以保證經營管理活動正常、有序、合法運行的一系列活動。企業(yè)內部控制是衡量企業(yè)是粗放還是精細，是初創(chuàng)還是穩(wěn)健發(fā)展的重要指標，也是驗證企業(yè)是否具有工作效率和管理能力的重要體現。通過精細化管理手段，將法律風險控制、財務管理、人力資源等一系列制度和標準融入企業(yè)內部控制，是企業(yè)發(fā)展壯大的重要舉措！

一，內部控制的基本概念

內部控制是指由企業(yè)董事會(或企業(yè)章程規(guī)定的經理室、董事室等類似的決策和治理機構，以下簡稱董事會)、管理層和全體員工共同實施的，旨在合理保證企業(yè)基本目標實現的一系列控制活動。

內部控制功能是指內部控制內在功能在實際工作中對企業(yè)生產經營活動和外部社會經濟活動的影響和作用。

在社會化大生產中，內部控制作為企業(yè)生產經營活動自我調節(jié)和自我約束的內在機制，在企業(yè)中樞神經系統中處于重要地位。

企業(yè)越大，越重要。可以說，內部控制的健全和執(zhí)行是公司經營成敗的關鍵。

二，企業(yè)內部控制存在的問題

企業(yè)在生存和發(fā)展過程中，必然面臨各種風險，如決策管理風險、政策法規(guī)風險、系統缺陷風險、流動性風險、市場風險、信用風險和操作風險。面對風險，企業(yè)并非無能為力，可以通過建立內控制度來防范和化解風險。

但是，企業(yè)最大的風險在于對風險的無知和漠視。已知的風險必須有相應的控制措施，而未知的風險往往難以防范。

企業(yè)往往找不到自己的風險。

第一，是時時刻刻變化的復雜環(huán)境造成的。

第二，另一個原因燈下黑，不知道風險在哪里，當然不可能采取控制措施來處理它們。

三、建立內部控制制度的關鍵步驟

關鍵步驟一:建立一個框架

企業(yè)內部控制體系的框架基于四層方法:

一級劃分(橫向):按行業(yè)劃分，分為傳統制造業(yè)、化學工業(yè)、金融投資、房地產、建筑施工、物流、商業(yè)流通、服務和移動互聯網……；

第二層次劃分(橫向):根據企業(yè)所處的階段，分為孵化期企業(yè)、成長期企業(yè)、成熟期企業(yè)和衰退期企業(yè)；

第三層(縱向):按企業(yè)類型分為多元化集團、專業(yè)化集團、單一企業(yè)和分支機構；

第四層(縱向):按照專業(yè)分類，企業(yè)內部控制包括:公司層面的控制、業(yè)務層面的控制和信息層面的控制。

公司層面的內部控制包括:組織架構、人力資源、社會責任和企業(yè)文化；

業(yè)務活動的內部控制包括:戰(zhàn)略、人力資源、資金、采購、資產、銷售、研發(fā)、工程、擔保、業(yè)務外包、財務報告、全面預算和合同管理；

信息層內部控制包括:內部信息傳遞和信息系統。

企業(yè)如果不按照四層框架分析來構建自己的內部控制體系，就會走入內部控制建設的誤區(qū)，要么流于形式，要么建立的內部控制體系不符合企業(yè)的實際情況，就像給自己穿了一件不合適的外衣，內部控制就成了一種負擔。

比如一個集團企業(yè)正處于快速發(fā)展階段，與多元化、分子公司多無關。從集團的角度，如何控制分子公司，不管哪個，如何將內部控制與集團管控融合，建議企業(yè)內控建設從財務內控入手，梳理和設計財務內控管理體系，原因有三:

首先，財務管理體系是整個集團運營的核心，解決了財務管理體系的關鍵矛盾，整個集團的內控問題至少解決了一半的內控問題。

其次，財務管理部門的管理人員業(yè)務水平高，對生產經營的各個環(huán)節(jié)都有深刻的把握和全面的了解。梳理各項業(yè)務活動的內部控制，會起到事半功倍的效果。

再者，從財務管理到企業(yè)價值鏈前端，可以一路延伸到銷售、采購、生產、物流、R&D、信息系統架構等。，甚至可以將控制要求延伸到人力資源管理、企業(yè)組織結構、公司治理等內部控制環(huán)境。

關鍵第二步:發(fā)現風險。

中國企業(yè)的發(fā)展階段差異很大。企業(yè)在不同的成長階段、不同的規(guī)模、不同的所有制，風險是不一樣的。集團企業(yè)更關注戰(zhàn)略風險、管控風險、法律風險、投資風險、資金風險……而單個企業(yè)更關注市場風險、生產風險、質量安全風險。不同的風險，不同形式的內部控制缺陷和不同的控制方式。

發(fā)現一個企業(yè)的內部控制缺陷，并不是以是否有制度和審批為標準。如果沒有，那就是內控設計的缺陷。如果有，但是企業(yè)風險仍然存在，這是一個執(zhí)行缺陷。企業(yè)很多問題都是設計有一些問題，但是執(zhí)行不了，或者設計沒有。執(zhí)行中往往有既定的不成文的規(guī)定。

那么，有經驗的人和沒有經驗的人對這個缺陷的判斷會有很大的差異。當一個缺陷被識別出來后，內部控制系統會按照原來的邏輯進行設計，梳理流程，加強對關鍵點和風險點的控制，并通過制度固化下來。

當一項內部控制規(guī)定在企業(yè)的經營實踐中無法執(zhí)行時，單純提出加強控制并不能解決問題。這種情況一定是企業(yè)管理中的客觀情況，有企業(yè)的一些問題，也有行業(yè)的一些特點。

如果是企業(yè)問題，就要幫助企業(yè)解決執(zhí)行問題，而不是強制。此時，內部控制與企業(yè)的業(yè)務、生產、質量控制、激勵和分權措施、管控模式、用人機制有關。

當發(fā)現某個控制項不能有效實施時，應分析是系統問題還是單一問題。如果是單一問題，解決起來會比較容易。如果是系統性的問題，就要提供專門的解決方案。

關鍵第三步:建立規(guī)則。

企業(yè)存在風險，內控管理存在缺陷，需要加強內控文化建設，通過完善一系列制度和流程，形成共同的規(guī)則。

內部控制規(guī)則最重要的成果是為內部控制而形成的內部控制手冊。常規(guī)內部控制手冊分為六個手冊，包括總則、環(huán)境分冊、風險評估分冊、控制活動分冊、信息溝通分冊和內部監(jiān)督分冊。但是手冊的內容構成，不同專業(yè)人士提供的產品會有很大的不同，最關鍵的區(qū)別就是“適用性”。是否適用，誰也體會不到。內部控制不僅要解決控制的問題，還要解決企業(yè)發(fā)展與風險控制的協調問題。

關鍵第四步:持續(xù)評估和提升。

內部控制標準體系是企業(yè)內部控制的基本管理要求，在標準的基礎上進行控制是最有效率和效果的。內控完善體系是標準化體系運行和完善的機制保障。只有監(jiān)督改進機制，一個規(guī)范的系統才能很好地運行和改進。

內部控制風險與評價，內部控制風險評價報告有時是為了滿足上市公司的信息披露，而企業(yè)本身需要定期提交真實的內部控制評價報告，讓決策層清楚地知道企業(yè)存在哪些風險，通過控制措施降低了哪些風險，還存在哪些剩余風險。

只有通過定期評估和持續(xù)改進，企業(yè)才能處于穩(wěn)定和上升的發(fā)展趨勢。內部控制風險評估的最大優(yōu)勢在于，不僅可以幫助企業(yè)發(fā)現風險，還可以具備評估風險的能力，設計應對風險的模型，通過風險評估工具明確指出控制效果，合理評估剩余風險。

剩余風險是指企業(yè)無法控制的戰(zhàn)略風險和各業(yè)務流程的流程風險。一般來說，剩余風險往往會產生一定的法律后果。它可能導致財務報表的重大錯報，管理層的欺詐，甚至破產。對于這種風險，企業(yè)家需要有更敏銳的嗅覺和更大的勇氣來面對市場經濟中存在的不確定性。

第三，企業(yè)內部控制的核心節(jié)點

1、組織結構

企業(yè)要嚴格按照企業(yè)性質，建立符合企業(yè)特點的組織機構。企業(yè)的組織結構一般包括治理結構和內部組織結構。比如，相應的上市公司要按照上市公司的要求，建立規(guī)范的各級股東大會、董事會、監(jiān)事會、經理層、專業(yè)委員會的議事規(guī)則，明確決策、執(zhí)行、監(jiān)督中的責任和權限，形成科學有效的職責分工和制衡機制。內部組織結構主要是明確完成企業(yè)管理層設置的各職能部門。

2、發(fā)展戰(zhàn)略

企業(yè)在分析和預測實際情況和未來趨勢的基礎上，提出長期發(fā)展目標和戰(zhàn)略規(guī)劃。在市場經濟環(huán)境下，企業(yè)實現可持續(xù)發(fā)展的關鍵在于制定適合企業(yè)內外部環(huán)境的發(fā)展戰(zhàn)略。

3、人力資源

企業(yè)制定和實施有利于企業(yè)可持續(xù)發(fā)展的人力資源政策。人力資源政策至少應包括:嚴格的員工聘用、培訓、解雇和辭職程序；完善員工的薪酬、考核、晉升和獎懲機制；加強關鍵崗位的定期輪崗制度；加強員工培訓和繼續(xù)教育，不斷提高員工素質。

4、社會責任

社會責任是指企業(yè)在生產經營過程中對社會應當履行的責任和義務，包括安全生產、質量誠信、公平競爭、保護員工合法權益、環(huán)境保護、資源節(jié)約、促進就業(yè)、關注慈善事業(yè)等。企業(yè)在履行社會責任的同時，提高市場開拓能力，促進創(chuàng)新，樹立形象，增強競爭力，與社會、環(huán)境全面、協調、可持續(xù)發(fā)展。

5、企業(yè)文化

企業(yè)積極加強企業(yè)文化建設，統一企業(yè)文化理念，嚴格規(guī)范企業(yè)形象識別，制定并實施統一的員工行為準則，培育積極向上的價值觀和社會責任感，倡導誠實守信、敬業(yè)奉獻、開拓創(chuàng)新精神和團隊合作精神，樹立現代管理意識。

6、金融活動

企業(yè)經營活動的價值是資本活動，包括籌資、投資和資本運營。資本活動的順利進行與否關系到企業(yè)的生死存亡?；I資與投資活動根據企業(yè)籌資與投資的業(yè)務流程，對企業(yè)籌資與投資中存在的風險進行評估，同時加強企業(yè)籌資與投資過程中會計制度的控制，確保業(yè)務的會計處理準確，相關憑證齊全，及時掌握企業(yè)資金情況。加強營運資金管控，確保營運資金平衡，嚴格執(zhí)行預算，提高資金周轉效率，靈活調度資金，實現相應營運資金的強管控。

7、采購業(yè)務

采購是企業(yè)生產經營的起點，是企業(yè)實物物流和資金流的連接樞紐之一。采購環(huán)節(jié)只有幾個，包括采購計劃、采購定價和供應商選擇、采購合同的簽訂和審核、驗收入庫等供應鏈活動，但采購活動的成功與否直接影響到企業(yè)的持續(xù)生產經營。完善采購業(yè)務系統，保證采購活動與財務、倉庫、生產等部門的緊密銜接，從而保證企業(yè)生產經營的高效有序。

8、資產管理

企業(yè)中的存貨、無形資產和固定資產占企業(yè)總資產的比重較大。如何發(fā)揮這類資產的資產利用效率，成為現代企業(yè)資產管理的重點?？刂茙齑鏀盗浚婪稁齑娌蛔慊蚍e壓風險，避免資金占用率過高和資產折舊；注重固定資產的更新和維護，保證企業(yè)的生產能力與生產相適應，避免資源浪費；提升核心技術在企業(yè)無形資產中的比重，實現企業(yè)的可持續(xù)發(fā)展。

9、銷售業(yè)務

銷售是企業(yè)獲取利潤的直接環(huán)節(jié)，銷售的完成涉及到企業(yè)生產經營中其他環(huán)節(jié)的經營活動。銷售環(huán)節(jié)一般包括銷售計劃、客戶開發(fā)及信用管理、銷售合同訂立、收款發(fā)貨等。完善銷售業(yè)務體系，保證銷售活動與財務、倉庫、生產等部門的緊密聯系，從而保證企業(yè)銷售目標的完成。

10、研究和發(fā)展

企業(yè)通過研發(fā)、新產品的研發(fā)和新工藝的創(chuàng)造，可以在市場上占據領先地位，占據更多的市場份額，提升核心競爭力。R&D作為一項高收益活動，伴隨著高風險，中期周期長，成本高。從項目立項、R&D過程管理、項目竣工驗收、研究成果開發(fā)和保護等業(yè)務流程進行R&D活動的管控，通過環(huán)節(jié)控制降低、轉移、分散和規(guī)避風險。

11、工程項目

一個項目的一般流程包括立項、招標、設計、施工、竣工五個過程。在進行項目內部控制時，應把握兩條主線。一條是資金線，包括項目投資估算、設計預算、施工圖預算、合同價款、結算價款、竣工決算。二是系統線，包括招標系統、質量控制系統、進度控制系統、安全管理系統、采購管理系統、合同管理系統、檔案管理系統等。

12、擔保業(yè)務

企業(yè)擔保業(yè)務的流程無非就是受理申請、調查評估、審批、簽訂擔保合同、日常監(jiān)控等幾個簡單的流程。特別是調查、評估和日常監(jiān)測要特別注意。不僅要保證被擔保企業(yè)的實際信用狀況符合要求，還要跟蹤其經營管理情況。

13、業(yè)務外包

企業(yè)通過業(yè)務外包可以在一定程度上將內部控制風險轉移給外部單位，但同時也增加了外包單位業(yè)務選擇中的風險。

14、財務報告

財務報告作為企業(yè)內部控制目標之一，是投資者和債權人進行投資決策的依據。財務報告編制方案及相關財務分析、重要事項披露、對賬管理活動、關聯交易控制等業(yè)務活動有序順利進行，對實現財務報告的真實完整具有重要意義。

15、全面預算

企業(yè)要嚴格實施預算控制，建立預算組織結構保障，控制預算目標的制定和分解，規(guī)范預算編制、審批、上報、審核、下達和分解程序，強化預算控制，強化預算約束，嚴格控制預算調整的條件和程序，完善預算考核機制，建立企業(yè)全面預算管理制度。

16、合同管理

契約貫穿于企業(yè)的各項經營活動，是企業(yè)內外各種人員之間的紐帶。從合同調查、談判、評審、簽訂、結算、履約后評價、終止等環(huán)節(jié)嚴格控制活動。，從而防范經營風險，降低財務風險，維護自身合法權益，避免不必要的法律糾紛或損失。

17、信息和通信

企業(yè)應當全面加強內外部信息溝通，明確相關信息的收集、加工和傳遞程序，確保信息溝通及時，規(guī)范信息披露。信息溝通過程中發(fā)現的問題，及時匯報并解決；及時向董事會、監(jiān)事會和經理傳遞重要信息。

18、信息系統

企業(yè)應當重視信息系統在內部控制中的作用，制定專門機構對信息系統建設實施集中管理，根據內部控制要求，結合組織架構、業(yè)務范圍、技術能力等因素，制定信息系統總體建設規(guī)劃，有序組織信息系統的開發(fā)、運行和維護，優(yōu)化管理流程，防范操作風險。