王玉玨

摘 要：內控手冊參照內部控制整體框架COSO模型，考慮貫穿于企業(yè)經營管理活動中的控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督等內部控制框架等五要素。公司的內部控制體系應該以內控手冊為基礎，并固化在內控手冊中。內控手冊能對涉及到的公司主要業(yè)務的內部控制流程進行梳理，完善和加強公司的內部控制管理。對內控手冊的結構和內容做探討和描述。

關鍵詞：內控手冊；內控管理；企業(yè)

中圖分類號：F270 文獻標志碼：A 文章編號：1673-291X（2014）25-0023-02

引言

內部控制是指一個組織為實現戰(zhàn)略和經營目標，確保資產的安全完整，確保財務信息的正確可靠，保證具體經營方針能得以貫徹執(zhí)行，保證經營活動具備經濟性、效率性和效果性，在組織內實施的一系列方法、手續(xù)與措施的總稱。

內控手冊是指在組織內部管理文件的基礎上，結合內控審閱結果，以文字的形式對主要流程和子流程所涉及的關鍵業(yè)務風險、控制目標和關鍵控制活動進行表述，并用流程圖、文字描述的形式列示各項關鍵控制活動。

一、理論基礎和研究文獻

現代意義上的內控概念，出現在20世紀。至今，已歷經了四個階段。第一階段，是內部牽制階段（20世紀40年代）；第二階段，是內部會計控制階段（20世紀40年代至70年代）；第三階段，是財務管理控制階段（20世紀40年代至70年代）；第四階段，內部控制階段（20世紀80年代起）。

1992年，COSO委員會提出了《內部控制—整體框架》，該文件強調了內部控制是一個由董事長、經營層和員工共同實現的系統(tǒng)；認為內部控制具有五大要素，即控制環(huán)境、風險評估、控制活動、信息與溝通、內部監(jiān)督。該框架于1994年得以進一步修訂。1999年特恩布爾報告在COSO的基礎上，分析了一個健全的內部控制系統(tǒng)所應具備的特征和構成要素，并于此基礎上設計了評價內部控制有效性的一系列標準。2004年COCO對《內部控制—整體框架》再度做了擴充，將有關風險管理的概念加入了其中，指出企業(yè)可以從內控管理升級為風險管理對原來的內控五要素也實施了擴展，風險評估被進一步細化為：目標設定、風險識別、風險評估以及風險應對。內部控制由此被包納進風險管理的范疇中。

中國的內部控制理論研究，可追溯到1996年中注協(xié)發(fā)布獨立審計準則《內部控制與審計風險》。2001年證監(jiān)會發(fā)布《證券公司內部控制指引》，同年財政部發(fā)布《內部控制會計控制》。2008年，財政部、證監(jiān)會審計署、銀監(jiān)會、保監(jiān)會聯(lián)合頒布《企業(yè)內部控制基本規(guī)范》，為了加強和規(guī)范企業(yè)內部控制，提高企業(yè)經營管理水平和風險防范能力，促進企業(yè)可持續(xù)發(fā)展，維護社會主義市場經濟秩序和社會公眾利益?！镀髽I(yè)內部控制基本規(guī)范》第三章“風險評估”具體要求“企業(yè)應當根據設定的控制目標，全面系統(tǒng)持續(xù)地收集相關信息，結合實際情況，及時進行風險評估。”2010年4月15日，財政部證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)文《企業(yè)內部控制配套指引》（包括《企業(yè)內部控制應用指引》、《企業(yè)內部控制評價指引》、《企業(yè)內部控制審計指引》）?！镀髽I(yè)內部控制配套指引》是《企業(yè)內部控制基本規(guī)范》的進一步細化，要求自2011年1月1日起在境內外同時上市的公司施行，自2012年1月1日起在上海證券交易所、深圳證券交易所主板上市公司施行；在此基礎上，擇機在中小板和創(chuàng)業(yè)板上市公司施行。并鼓勵非上市大中型企業(yè)提前執(zhí)行。

二、內控手冊的基本架構和內容

內控手冊是公司內部控制體系的固化產物。它參照內部控制整體框架COSO模型，考慮貫穿于企業(yè)經營管理活動中的控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督等內部控制框架等五要素。公司流程的控制程序，都應該反映并集中在內控手冊中。內控手冊的特點是，能對涉及到的公司主要業(yè)務的內部控制流程進行梳理，完善和加強公司的內部控制管理。內控手冊一般應由流程圖和流程描述組成。

（一）基本架構

1.流程圖。流程圖由流程名稱、職能帶及具體活動/決策圖形等組成。（1）流程名稱：是對流程圖所反映活動的概括性介紹。（2）職能帶：是對具體業(yè)務活動及控制活動責任人的界定，一般細化至崗位/機構。（3）活動/決策圖形：是具體業(yè)務活動及控制活動的標識，由連接線銜接，依次編號顯示順序關系。

2.流程描述。流程描述是對流程圖的文字性解釋，由概括性介紹、具體活動描述和負責人組成。（1）概括性介紹：是對該業(yè)務流程的背景信息的描述，包括但不限于：流程涉及的職能架構、相關制度規(guī)定及以非活動形式體現的控制設置（如：不相容崗位職責分離、系統(tǒng)權限等）。（2）具體活動描述：對業(yè)務活動/控制活動的具體描述，描述原則應包含：時間、人員、方法、對象、原因/目的等。通過數字順序編號，與流程圖相應。（3）負責人：指每個業(yè)務活動/控制活動的負責人員，與流程圖中的職能帶相應。

一般用粗體文字突出關鍵控制活動。紅色文字則用來表示當前公司相關業(yè)務流程尚未按照該流程描述進行，但管理層已確認將來會按照該流程描述相關內容改進現有內控措施。

（二）主要內容

內控手冊應包含哪些內容？一般認為，應將企業(yè)的所有重要流程納入內控手冊，但并非所有制度都應納入內控手冊。實踐中應考慮重要性和精簡的原則。

從現有的實踐來看，若以制造業(yè)企業(yè)為例，一個合格的內控手冊，其必須納入一系列的業(yè)務流程和子流程，包括但不少于以下內容：公司層面控制；房地產投資或生產成本管理；股權投資和項目管理；財務管理；資產管理；日常采購管理；市場營銷管理；客戶服務管理；合同管理；人力資源管理等。

所謂公司層面控制，是指從董事會、監(jiān)事會、經營層的公司架構高度，明確董事會、監(jiān)事會和經理層的職責權限、任職條件、議事規(guī)則和工作程序，確保決策、執(zhí)行和監(jiān)督相互分離，形成制衡的一套流程。與具體流程控制相比，公司層面控制顯然具有宏觀性與統(tǒng)領性。在構建公司層面控制時，也要從控制環(huán)境、信息與溝通、內部監(jiān)督等三要素出發(fā)。公司層面控制要實現的內控目標，包括但不限于以下：（1）確保公司價值觀、道德和行為準則得以貫徹執(zhí)行。（2）確保對員工的能力要求符合公司經營目標。（3）明確董事會、監(jiān)事會和經理層的職責權限、任職條件、議事規(guī)則和工作程序，確保決策、執(zhí)行和監(jiān)督相互分離，形成制衡。（4）確保董事會對管理層及公司的運行情況進行有效監(jiān)督。（5）確保公司管理理念符合公司戰(zhàn)略發(fā)展目標，并在公司范圍內被廣泛交流與推廣。（6）確保公司業(yè)務流程服務于管理質量，實現公司效益最大化。（7）加強公司制度建設，實現企業(yè)誠信目標。（8）確保公司組織結構符合公司規(guī)模及業(yè)務活動。（9）確保公司對員工的管理、各部門崗位的職責等人力資源政策符合公司經營目標。（10）確保公司風險，特別是關鍵流程的關鍵風險點得到有效識別、評估和應對。（11）確保公司的舉報機制有效運行，對舉報的處理，反舞弊調查、執(zhí)行和監(jiān)督符合公司要求。（12）確保公司信息系統(tǒng)符合經營活動的特點和公司發(fā)展的需要，保證信息系統(tǒng)安全、穩(wěn)定地運行。（13）確保公司信息在各管理層次及業(yè)務環(huán)節(jié)進行傳遞，同時保持與公司外部的溝通暢通。（14）確保信息披露符合證券交易委員會和證券交易所的要求以及其他監(jiān)管要求；向所有市場參與者和監(jiān)管部門提供及時、有序、一致、準確、完整、可靠和可信的信息。（15）確保公司內部審計制度符合獨立性要求，并有效履行監(jiān)控職責。endprint

除公司層面控制，其他管理流程都可被視為具體業(yè)務流程控制。具體業(yè)務流程控制是從“控制活動”的要素出發(fā)，詳細、具體構建制度措施，來實現控制目的。以人力資源管理流程為例，其建立的目標是建立并完善人力資源制度和流程，確保招聘、培訓、績效考核、薪酬福利的工作得到及時高效地開展，為公司管控和風險治理提供合理保障。其涵蓋的子流程主要包括勞動關系管理、日常管理等。具體又可細分為員工招聘、員工調動、員工離職、培訓管理、績效考核管理、薪酬福利管理等。

三、內控手冊的適用性及維護和變更要求

內控手冊應該適用于公司各經營管理部門，以及各經營管理部門的具體控制流程。公司各部門對內部控制體系文件的實施負有完全的責任，由其負責依照內部控制體系文件的控制標準實施內部控制活動，并對內部控制活動設計和執(zhí)行的結果和效率負責。

內控手冊的修訂執(zhí)行應定期復核更新制度，復核頻率為每年至少一次，以保證可適用性。然而在導致內部控制發(fā)生變更的情形出現時，有關負責部門應對變更作出及時的更新。變更情形包括：（1）公司新增業(yè)務/部門職能；（2）公司現有部門的業(yè)務流程/部門職能發(fā)生變化；（3）公司授權體系出現的重大變更；（4）其他重大變更（經公司領導授權審批）。

在公司內部，具體負責維護和更新內控手冊的部門，若沒有獨立的內控部門，則可將內控手冊更新和維護職責，委派給內部審計部門。

結論

內部控制應該固化在內控手冊中。內控手冊參照內部控制整體框架COSO模型，考慮貫穿于企業(yè)經營管理活動中的控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督等內部控制框架五要素。COSO為企業(yè)內部控制管理提供整體性的框架體系，從各個層次對風險和內部控制進行分析和評估。公司的內部控制手冊以此架構為基礎，對涉及到公司主要業(yè)務的內部控制流程進行梳理，以完善和加強公司的內部控制管理。內部控制手冊在公司內部管理文件的基礎上，結合內控審閱結果，以文字的形式對主要流程和子流程所涉及的關鍵業(yè)務風險、控制目標和關鍵控制活動進行表述，并用流程圖、文字描述的形式列示各項關鍵控制活動。是內部控制體系的具體體現和載體，也是實現內部控制措施的工具。

參考文獻：

[1] H.法約爾.工業(yè)管理與一般管理[M].北京：團結出版社，1999.

[2] Anderson，S，W & Young，S，The impact of contextual andprocess factors on the evaluation of activity2based costingsystems[J].

Accounting Organizations and Society，1999，24.

[3] 張硯，楊雄勝.內部控制理論研究的回顧與展望[J].審計研究，2007，（1）.

[責任編輯 吳高君]endprint