摘要:內(nèi)部控制手冊作為一種推進內(nèi)部控制建設與評價的有效工具，越來越多的企業(yè)在實踐和探索，努力建立起一套系統(tǒng)、規(guī)范和可操作性的內(nèi)部控制手冊，以規(guī)范和指導內(nèi)部控制評價實務工作，發(fā)揮操作指南和評價標準的功能。作者通過大量實踐和總結，在借鑒國際通用控制標準和最佳實踐的基礎上，從內(nèi)部控制手冊定位出發(fā)，不僅提出了內(nèi)部控制手冊的內(nèi)容框架和運行機制，而且也提供了內(nèi)部控制手冊建設的若干建議，以供其他企業(yè)內(nèi)部控制手冊建設參考。

關鍵詞:內(nèi)部控制手冊功能定位內(nèi)容框架與運行機制

隨著《企業(yè)內(nèi)部控制基本規(guī)范》及其配套指引相繼發(fā)布，如何有效執(zhí)行基本規(guī)范及相關指引，完善公司風險管理和內(nèi)部控制機制，業(yè)已成為公司治理工作的重要內(nèi)容。內(nèi)部控制手冊作為一項已經(jīng)被國際同行認可的有效工具和最佳實踐成果，日益得到國內(nèi)實務界關心和重視，為推進內(nèi)部控制自我評價工作發(fā)揮了重要的作用。本文在總結企業(yè)內(nèi)部控制手冊建設工作的基礎上，借鑒國際通用控制標準和最佳實踐，從內(nèi)部控制手冊定位出發(fā)，重點介紹內(nèi)部控制手冊內(nèi)容框架和運行機制，并提出內(nèi)部控制手冊建設若干建議，以饗讀者。

一、內(nèi)部控制手冊建設的基礎

1.內(nèi)部控制手冊建設的必要性

2008年6月28日，財政部等五部委聯(lián)合發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》和相關指引征求意見稿，并規(guī)定該規(guī)范于2009年7月1日率先在國內(nèi)上市公司中執(zhí)行。該基本規(guī)范不僅提出了企業(yè)建立健全內(nèi)部控制五要素框架，而且要求企業(yè)應實施內(nèi)部控制自我評價制度，并明確提出了“企業(yè)應當通過編制內(nèi)部管理手冊，使全體員工掌握內(nèi)部機構設置、崗位職責、業(yè)務流程等情況，明確權責分配，正確行使職權?！钡囊?。這在法律層面上給執(zhí)行基本規(guī)范的企業(yè)在內(nèi)部控制手冊建設上提出了要求，也成為外部監(jiān)管機構、資本市場評價上市公司是否規(guī)范內(nèi)部控制建設的重要組成內(nèi)容。

隨著企業(yè)經(jīng)營規(guī)模和業(yè)務的發(fā)展，健全內(nèi)部控制，提高風險管理能力也是提升企業(yè)競爭力、提高股東價值的重要途徑。為了有效推進內(nèi)部控制自我評價工作，提升員工對內(nèi)部控制的認知和執(zhí)行程度，急需形成一套系統(tǒng)、規(guī)范，又具可操作性的內(nèi)部控制手冊，以強化內(nèi)部控制標準化建設，有力提升內(nèi)部控制水平，因此，內(nèi)部控制手冊的建設符合企業(yè)自身發(fā)展需要。

2.內(nèi)部控制手冊的功能定位

(1)提升員工內(nèi)部控制知識和風險意識的學習平臺。

(2)設計與執(zhí)行公司內(nèi)部控制架構、流程、關鍵控制活動和分解內(nèi)部控制責任的操作指南。

(3)實施內(nèi)部控制自我評估工作和內(nèi)部控制審計工作的重要評價標準。

因此，內(nèi)部控制手冊的使用者比較廣泛，無論是各級管理者，還是內(nèi)部控制專業(yè)人員，甚至包括全體員工，都能從內(nèi)部控制手冊受益匪淺。但從內(nèi)部控制手冊的基本功能定位來看，內(nèi)部控制手冊的主要使用者還是公司管理層、內(nèi)部控制流程負責人、內(nèi)部控制自我評價人員和審計人員。

內(nèi)部控制手冊不同于企業(yè)日常管理制度和程序文件，它是從內(nèi)部控制的視角審視企業(yè)內(nèi)部控制架構和重要業(yè)務流程關鍵控制活動，其內(nèi)容很難涵蓋企業(yè)偶發(fā)或例外事項，以及超過內(nèi)部控制目標范圍的管理要求，因此，內(nèi)部控制手冊不能代替企業(yè)日常管理制度和程序文件，更不是簡單的企業(yè)制度和程序文件的匯編。日常管理制度和程序文件除了內(nèi)部控制點外，主要關注日常操作方面的具體步驟、方法和管理界面。而內(nèi)部控制手冊則主要從設定的內(nèi)部控制目標出發(fā)，識別和記錄業(yè)務流程的關鍵控制環(huán)節(jié)，提供內(nèi)部控制評估的工具和方法，幫助管理層完善內(nèi)部控制體系建設，而不是每個業(yè)務的具體步驟，更不是日常管理記錄。

但是內(nèi)部控制手冊的控制活動多來源于日常管理制度和程序文件，且應與日常管理制度和程序文件中的控制內(nèi)容保持一致。在日常管理制度和程序文件變更后，管理層應對內(nèi)部控制手冊中的相應內(nèi)容進行復核和更新，以保持兩者之間的一致性。

3.內(nèi)部控制手冊內(nèi)容的原則

內(nèi)部控制手冊內(nèi)容應以《企業(yè)內(nèi)部控制基本規(guī)范》中內(nèi)部控制五要素框架為綱領，以應用指引為具體指南，并參考《上市公司內(nèi)部控制指引》的相關要求，結合國內(nèi)外內(nèi)部控制的最佳實踐，按照企業(yè)綜合管理體系要求編制而成，并遵循合規(guī)性、全面性、重要性、實用性等原則，其中:

(1)合規(guī)性原則。內(nèi)部控制手冊的內(nèi)容應當與《企業(yè)內(nèi)部控制基本規(guī)范》及相關指引和監(jiān)管要求相符，實現(xiàn)企業(yè)內(nèi)部控制目標，并保持與企業(yè)管理制度的一致性。

(2)全面性原則。內(nèi)部控制手冊的內(nèi)容應當貫穿企業(yè)決策、執(zhí)行和監(jiān)督全過程，覆蓋企業(yè)及其所屬單位的各種業(yè)務和事項，系統(tǒng)全面，結構清晰。

(3)重要性原則。內(nèi)部控制手冊的內(nèi)容應當遵循風險導向原則，重點加強對重要業(yè)務事項和高風險領域的內(nèi)部控制予以識別和控制，突出對關鍵控制點的控制。

(4)實用性原則。內(nèi)部控制手冊建設應當與企業(yè)經(jīng)營管理體系相一致，融入業(yè)務流程，提高可操作性，增強指導和評價功能。

二、內(nèi)部控制手冊的內(nèi)容

1.內(nèi)部控制手冊的內(nèi)容框架

內(nèi)部控制手冊的內(nèi)容框架目前沒有統(tǒng)一的標準和要求，每個企業(yè)可以根據(jù)內(nèi)部控制手冊的功能定位和原則進行適當選擇。參照國際通行做法，內(nèi)部控制手冊的內(nèi)容一般包括內(nèi)部控制理論、方法和相關法規(guī)的要求、企業(yè)內(nèi)部控制整體架構和具體要求、企業(yè)層面和流程層面關鍵控制目標和控制活動及評價標準等內(nèi)容，有的企業(yè)還進一步將內(nèi)部控制要求分解到崗位和職責并提出適當?shù)脑u價標準，以提高內(nèi)部控制手冊的指導性和可操作性。為此，本文在總結企業(yè)內(nèi)部控制手冊建設實踐的基礎上，創(chuàng)造性地將《企業(yè)內(nèi)部控制基本規(guī)范》提出的內(nèi)部環(huán)境、風險管理、控制活動、信息與溝通、監(jiān)督等五要素架構轉化為內(nèi)部控制手冊三層結構內(nèi)容框架，供讀者參考。其中，內(nèi)部控制整體框架(圖1)與內(nèi)部控制手冊內(nèi)容框架(圖2)對照如下:

(1)第一層面:企業(yè)層面。該層面重點介紹企業(yè)內(nèi)部控制基調、整體架構和控制目標，并保證內(nèi)部控制目標與企業(yè)發(fā)展戰(zhàn)略相符。同時說明企業(yè)內(nèi)部控制自評體系與目標、內(nèi)部控制手冊的分解思路和使用說明。該層面定位于對企業(yè)內(nèi)部控制總體架構與運作機制及手冊的安排說明，是內(nèi)部控制手冊第二層面和第三層面內(nèi)容的基礎。該層面的內(nèi)容要件包括內(nèi)部控制自我評價表等。

(2)第二層面:流程與控制。該層面是將企業(yè)層面的控制目標分解到流程與控制層面，是內(nèi)部控制五要素中“控制活動”與具體內(nèi)部控制目標的對應關系。該層面是內(nèi)部控制手冊的核心內(nèi)容，起到承上啟下的作用。其內(nèi)容要件包括流程定義圖、控制矩陣、流程圖和流程描述等。

(3)第三層面:崗位控制要求。該層面是將流程與控制層面的控制目標分解到崗位，提出具體的崗位控制要求，是落實內(nèi)部控制責任的工具。該層面的內(nèi)容要件包括不相容職責表、RACI表等，其中RACI表是一種定義各崗位內(nèi)部控制角色和應承擔責任的分配表，內(nèi)部控制角色一般可分為責任人、執(zhí)行人、咨詢?nèi)撕驼f明人等四類。

2.內(nèi)部控制手冊內(nèi)容要件舉例

為了方便讀者理解內(nèi)部控制手冊內(nèi)容，本文舉例介紹控制矩陣。

控制矩陣是一種以業(yè)務流程為脈絡，以具體控制目標為先導，以關鍵控制活動為節(jié)點，著重關注控制目標和關鍵控制活動的關聯(lián)性，以識別滿足控制目標的關鍵控制活動并加以管理的工具。該工具是內(nèi)部控制手冊的核心要件，是內(nèi)部控制評價的標準，也是審計檢查的操作指南，多用于企業(yè)開展內(nèi)部控制自我評價和審計檢查工作。核心要素包括以下內(nèi)容:

①控制目標?？刂颇繕耸侵副ＷC各子流程關鍵環(huán)節(jié)實現(xiàn)既定業(yè)務標準的目標，是企業(yè)內(nèi)部控制整體目標的具體表現(xiàn)，一般可以按照合法合規(guī)性、信息真實性、資產(chǎn)安全性、效率與效果以及戰(zhàn)略目標的實現(xiàn)為準繩，充分識別子流程存在的固有風險，設計具體的控制目標，使剩余風險降到可接受范圍。其中，財務控制目標的設定可以借鑒國外SOX控制目標，信息系統(tǒng)控制目標的設定可以借鑒COBIT框架具體目標要求。在控制矩陣中控制目標是相對固化的，比較原則的，除非相關法律法規(guī)或者控制框架標準發(fā)生變化，一般無需對控制目標進行變更。

②控制活動。控制活動是指企業(yè)保證控制目標實現(xiàn)而建立的政策、程序和流程，一般為關鍵控制活動。關鍵控制活動是指為降低企業(yè)所面臨的風險在經(jīng)營過程中需要加以控制的關鍵活動，是與內(nèi)部控制目標相對應的一項或數(shù)項主要的內(nèi)部控制措施。正確并持續(xù)實行這些控制措施是保證控制目標實現(xiàn)的前提之一。

一個控制目標可能對應一個或多個控制活動，特別是當有些控制活動只能部分滿足控制目標的時候，就需要多個控制活動從不同角度來實現(xiàn)控制目標。例如:要實現(xiàn)“及時處理所有發(fā)出的采購訂單”這一控制目標，需要兩個控制活動:合同信息系統(tǒng)自動連續(xù)編制合同號，以保證采購訂單的完整性;業(yè)務人員各自在系統(tǒng)中查詢和跟蹤合同執(zhí)行情況，以保證合同被及時處理。

同樣，一個控制活動也可能實現(xiàn)一個或多個控制目標。例如:存貨盤點這一控制活動可以完全或者部分滿足不同的控制目標，即:存貨是可以出售或使用的;所有已收受的存貨都已記錄;存貨的接收已及時記錄于適當期間;發(fā)貨已及時記錄于適當期間等控制目標。

控制矩陣中的控制活動應保證與對應控制目標的相關性，隨著業(yè)務流程或者經(jīng)營環(huán)境的改變，控制活動可能需要根據(jù)變化調整控制活動，并及時記錄在控制矩陣中。對于控制活動的描述，應遵循4W1H原則，即說明“who，when，where，what和how”，做到語言精煉，明確。

③控制類型。控制類型可以分為手工控制和系統(tǒng)控制兩類。手工控制指該控制活動是由人工來實施和完成的。系統(tǒng)控制指該控制活動是由計算機系統(tǒng)自動實施的，無需人員的干預和確認即可完成。

④業(yè)務發(fā)生頻率。一般包括每年一次、每季一次、每月一次、每周一次、每天一次、每天多次、或按需發(fā)生等情況。

⑤控制活動所涉及的主要文檔。一般包括相關制度、文件、單據(jù)、報告等資料的具體名稱和索引編號，以便日后查找和檢索。

⑥測試程序。測試程序是描述內(nèi)部控制有效性測試的步驟。

三、內(nèi)部控制手冊建設與應用

內(nèi)部控制手冊的編制一般采用在企業(yè)主要業(yè)務流程梳理和評價的基礎上，對照《企業(yè)內(nèi)部控制基本規(guī)范》及其他相關規(guī)定，設定具體控制目標，按照內(nèi)部控制手冊內(nèi)容框架要求編制而成。通常會以虛擬團隊的組織方式，以項目管理的形式開展。為了提高內(nèi)部控制手冊的質量，應當在編制過程中加強質量控制。除項目團隊采用多級復核外，更重要的是應當獲取相關業(yè)務單元或部門對相關內(nèi)容的確認，即流程負責人須對相關內(nèi)部控制負責。

內(nèi)部控制手冊在經(jīng)企業(yè)管理層審核后，按照文件管理程序，納入企業(yè)綜合管理體系正式發(fā)布，并充分考慮內(nèi)容與使用者的相關性，設定內(nèi)部控制手冊的使用權限，加強保密性管理。

編制內(nèi)部控制手冊不是目的，而是手段，關鍵在于如何使用內(nèi)部控制手冊，內(nèi)部控制手冊通常會在企業(yè)內(nèi)部控制自我評價工作中應用，內(nèi)部控制自我評價人對照內(nèi)部控制手冊的控制標準和測試程序，檢查內(nèi)部控制是否按照設計要求正常運行，評價內(nèi)部控制的有效性。審計人員也可以利用內(nèi)部控制手冊要求，檢查內(nèi)部控制的自我評價情況，并對內(nèi)部控制合理性和有效性發(fā)表意見。

內(nèi)部控制手冊須根據(jù)企業(yè)實際業(yè)務環(huán)境的變化不斷進行更新，應保持與企業(yè)管理制度、程序文件控制內(nèi)容一致。通常內(nèi)部控制手冊的更新由各業(yè)務流程的負責人負責更新和確認，并提交企業(yè)相關部門存檔。內(nèi)部控制手冊的更新工作可以結合內(nèi)部控制自我評價工作一起完成。但必須明確的是內(nèi)部控制手冊的更新工作不是單個部門的事，更不是審計部門的事，而應與相關內(nèi)部控制責任一致，由其流程負責人確認完成。

為了保證內(nèi)部控制手冊的有效性，審計部門可以定期對內(nèi)部控制手冊的更新情況進行檢查，并評價內(nèi)容的合理性。

四、內(nèi)部控制手冊建設若干建議

內(nèi)部控制手冊建設不僅是《企業(yè)內(nèi)部控制基本規(guī)范》對上市企業(yè)提出的一項要求，而且也是上市企業(yè)自身推進和完善內(nèi)部控制建設的一項重要工作。為了提高內(nèi)部控制手冊建設的水平，充分發(fā)揮其功能定位，本文在總結企業(yè)內(nèi)部控制手冊建設工作的基礎上，提出以下三點建議，與讀者分享。

1.內(nèi)部控制手冊建設應贏得企業(yè)各級管理層的重視，并負責和適當參與。內(nèi)部控制手冊的建設由于涉及面廣，工作量大，標準要求高，沒有企業(yè)各級管理層的重視和適當參與，即使編制成功，也可能是一種形式，不僅很難發(fā)揮其功能，而且會浪費很多資源。

2.內(nèi)部控制手冊建設宜采用項目管理形式組織實施。內(nèi)部控制手冊的建設是一項系統(tǒng)性工作，采用項目管理形式推進工作可以集中專業(yè)人力資源，工作目標更加明確，內(nèi)容標準化和時間節(jié)點也更容易控制，從而有效保證內(nèi)部控制手冊建設能順利完成。

3.內(nèi)部控制手冊建設應實施同步培訓，以培養(yǎng)內(nèi)部控制人才。內(nèi)部控制手冊是一種全新的工具，首先需要對參與內(nèi)部控制手冊建設的人員開展同步培訓，保證內(nèi)部控制手冊編制的質量，同時采取多種形式面向企業(yè)全體員工介紹和宣傳內(nèi)部控制手冊的內(nèi)容和作用，提高員工對內(nèi)部控制手冊的認知程度，有助于對內(nèi)部控制手冊的正確使用。

參考文獻:

[1]財政部等五部委.企業(yè)內(nèi)部控制基本規(guī)范及相關指引(征求意見稿)

[2]IT governance institute.COBIT4.1

[3]丘仲文 [日]原 國太郎 談亮 錢莘 等編著.中、美、日企業(yè)內(nèi)部控制實務——化外部監(jiān)管壓力為內(nèi)部發(fā)展動力

(作者單位:寶山鋼鐵股份有限公司審計部)