管理型内控体系建设六步法！让内控不再是难题（推荐收藏~）

李丙羊

李丙羊

和君咨询合伙人，和君风控与内控研究中心主任

专注于公司战略、集团管控、内控、人力资源等综合咨询，系统提升企业管理水平。从事管理咨询工作十余年，期间服务近百家外资公司、央企国企、民企各类企业，包括数十家上市公司。覆盖新能源、房地产、公用事业、酒水、汽车零部件、智能交通等十余个行业。

以下为课程内容精要

【引言】

中国上市公司3000余家，自2008年10月30日财政部、证监会等五部委发布《企业内部控制基本规范》和相应配套指引以来，上市公司的内控体系建设大幕徐徐拉开，如火如荼。上市公司作为内控体系建设的核心主体，多年来花费巨大体系建设与运营维护成本，但建设效果大打折扣，仅仅停留在合规层面，并没有将内控体系与自身的管理体系做好深度融合，容易形成两张皮。如何有效发挥内控体系对企业发展的促进作用而不是约束？如何将内控体系与其他管理体系有效融合？这是上市公司内控体系建设面临的最大问题。

一、内部控制理念介绍

 

1

内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程

内部控制是企业为控制经营风险、实现经营目标而制定的各项政策与程序。内部控制能够帮助企业达到其目标，同时将风险降低至合理范围内，保证企业资产安全，有效防范各种舞弊活动。

主要目标：

1、最基本的一个目标，合理保证企业经营管理的合法合规；以及保证资产的安全、财务报告及相关信息的真实完整。

2、第二层次的目标，提高企业的经营管理效率。

3、第三层次的目标，促进企业实现发展战略。

总之，内控管理是企业经营管理安全的保护伞。

2

内部控制的发展追随内部控制理论的发展，经历了五个阶段：

1. 40年代前，内部牵制；
2. 70年代前，内部控制系统；
3. 80年代，内部控制结构；
4. 90年代，内部控制整体框架；
5. 21世纪，企业内控管理框架。
   

3

内部控制发展阶段路线图

4

世界各国在内部控制立法方面的历史进展

5

内部控制模式的发展经历了一系列的转变

1.由制约观念到发展理念

2.由结果控制到过程控制：财务报表背后的信息差异很大

3.由执行层面到决策层面：取决于董监高

4.由会计控制到综合控制：不是会计控制，也不是财务报告控制

5.由微观细节控制到目标导向控制：方法、技术层面到目标

二、内部控制法规解读

1

中国内部控制模式借鉴了国外经验，进行相互融合

美国模式从财务报告出发，需要进行强制审计；而欧盟模式则是从全面内控出发，强调对企业内部控制的全面考察，不要求进行强制审计；我国在借鉴美国及欧盟模式的同时，要求对企业内部控制进行全面考察，要求进行强制审计。

2

 中国内部控制立法经历了从单一到全面，再从全面到产业专业化方向发展

3

《企业内部控制应用指引》概览

内部环境类：发展战略、组织结构、人力资源、社会责任、企业文化

控制活动类：销售业务、资产管理、采购业务、资金活动、研究与开发、工程项目、担保业务、业务外包等

控制手段类：全面预算、信息系统、合同管理、内部信息传递

三、内控体系建设思路

1

 内控的大方法：内控到底怎么做？

内部控制体系的建立不是另起一张皮（除了少量合规型的新建），而是依赖于现有管理体系，并从中分析识别、贯穿联结、记录交易过程、显现控制方式的“索引”工作。

2

 内控体系建设评价在具体实施过程中注重风险的逐层分解，并且与制度、流程、职责、岗位进行评估和对接，从而实现内控管理的落地。

3

基于标准化思维的内控体系建设六步法

第一步：全面梳理管理蓝图

全面梳理管理蓝图，基于整个企业价值链的分解，去梳理分析战略层面、业务层面、智能层面，这三个层面的管理事项。

第二步：筛选公司的风险信息并对其风险进行评估，形成风险识别的框架体系

根据公司的愿景、经营目标找到公司的风险领域，再通过类别细分，最终找到公司的具体风险事件。

1、收集风险信息。具体的方式有资料阅读法、问卷调查法、面谈采访法、历史事件分析法。

2、根据收集的风险信息，形成关于企业的风险事件库。

3、对风险可能性、影响程度进行评估。

4、对风险重要性进行高中低评价，形成风险坐标图。

根据风险发生可能性评级与风险影响程度评级示意

最后，风险识别与评估后，形成风险数据库

第三步：根据管理事项优化流程，标注风险点和控制点

通过对企业管理事项的分类，找到企业具体管理事项可能存在的风险点，并进行标注，从而形成企业的风险点以及相应的控制点。

第四步：结合流程和风险数据库，编制风险控制矩阵

1、 RCM主要包括：控制风险、关键控制活动和相关制度和文档。

2、RCM高度概括了关键控制区、关键控制点和控制措施。

3、管理人员利用RCM对实际业务过程进行控制，以确保流程的执行和风险控制。

4、管理人员利用RCM对实际业务涉及制度进行评估，确认是否能够达到应有的控制效果。

第五步：基于内控流程设计标准化表单

根据上述形成的企业相关内部控制数据库及控制矩阵，形成企业内控标准化流程表单，使企业的内部控制更加规范有效。

第六步：优化内控制度

第一，根据RCM评估制度文件的完整性、执行性和控制效率。

第二，根据RCM和制度评估结果，补充完善相关管理制度文件。

四、合规合体，管理融合，追求实效

1

合规合体

合规合体即：我们将满足内控体系对外部监管的一些基本要求，通过内控的评价、审计，保证财务报表的真实性、可靠性、合理性。

2

 管理融合

结合企业日常经营管理的需要，对企业的体系做一个融合，使之能够满足多方面的管理需求。

3

  追求实效

追求实效是指内控制度要有利于改善管理，提升管理效率，而不是制约管理，降低管理效率。

--End--

如何加入？