一、可以实现的关键目标
有效建立并运行内部控制体系可以实现以下目标
二、内部控制体系架构
(一)架构要素
企业的内部控制体系建设,是以内部环境建设为基础,以风险评估的结果为导向,以各种控制方法为手段,以信息与沟通为桥梁、以监督与评价为推动力的一个整体闭环管理体系。这套体系的高效运行,可以起到防范风险,促进企业目标实现的作用。
(二)要素内容
三、内部控制体系建设方法
内部控制体系建设是指在企业系统化开展内部控制体系建设,包括组建内部控制组织体系、确定内部控制建设范围、开展风险评估、识别业务关键控制环节、优化完善现行制度、建立内部控制标准体系等内容。
(一)组建内部控制组织体系
1.健全治理结构。
企业按照现代企业制度建立完善法人治理结构,依法设置董事会、监事会、经理层等组织机构,确定各自权利和义务。企业结合业务特点和内部控制要求设置内部机构,明确职责权限,将权力与责任落实到各级单位、部门和岗位。
2.成立专门机构。
企业应在董事会下组建全面风险管理委员会等类似内部控制管理机构,负责企业内部控制与风险管理整体工作。企业应在全面风险管理委员会下成立专门的内部控制管理部门或在已有部门中成立具有此类职能的专门机构,具体负责组织协调内部控制的建立、实施、评价及日常运转。该专门机构应配备适当的人员,明确权责范围,并具备以下条件:第一,配备具有内部控制与风险管理专业知识能力的适当人员。第二,具备确保内部控制体系长效运转的资源配备。第三,具备监督与评价内部控制体系工作的权利,并能够对企业职能部门的工作有直接接触和监督评价的权利。第四,归属最高管理层管理,并可直接向董事会或类似权力机构报告工作。
3.强化专业岗位。
企业各业务部门负责人是本部门内部控制的责任人,有责任指导和监督本专业内部控制工作开展,并配合内部控制管理部门开展风险评估、内部控制评价等相关工作。同时,各业务部门应配备专人或专岗,负责组织开展本专业内部控制相关工作。
4.加强内控监督。
企业内部控制管理部门以及审计部门等内部监督机构负责对内部控制建设与运行情况进行监督检查,提出持续改进完善建议。
(二)确定内部控制建设范围
企业内部控制建设范围包括三个层面:企业层面、业务层面和信息系统层面。
在企业层面,企业应开展内部环境、风险评估、控制活动、信息与沟通、内部监督建设,确保企业整体内部控制有效性。
在业务层面,企业应依据实现企业战略目标所需开展的业务活动,构建企业全业务流程框架。一般来说,随着企业目标的逐级分解,围绕这些目标的实现,也可以将企业业务按照业务模块、价值链环节等划分为不同等级,形成涵盖企业整体范围的全业务流程框架。企业应加强重点流程与特殊业务的内部控制,着力抓好资金、投资、采购、基建、销售、产权管理、人力资源管理、质量管理、安全生产等关键业务流程控制,加强境外资产、金融及其衍生业务、重大经济合同和节能减排等特殊业务的内部控制建设,确定内部控制建设业务范围。
在信息系统层面,企业应推进内部控制体系建设同信息化建设的融合对接,结合企业信息化建设进程,将业务流程和控制措施逐步固化到信息系统,实现在线运行。
(三)建立内部控制标准体系
1.开展风险评估
企业应基于全业务流程框架,对影响企业目标实现的风险开展识别与评估,确定各类业务风险点,评估风险承受能力,明确相应风险管理策略。业务风险点可参考并覆盖前期在企业执行多年的各类管理要求中的风险。
2. 识别业务关键控制环节
企业应依据评估出的业务风险点,识别业务流程中的关键控制点,并记录在内部控制文档中。关键控制点是指在相关流程中影响力和控制力相对较强的一项或多项控制,其控制作用是必不可少或不可代替的。确认关键控制点应作为企业控制活动的重点,对其实行全面、严格的管理,可避免重大风险的产生。
3.优化完善现行制度
企业应以流程为基础,将关键控制点、风险点、应对措施、岗位责任等内容以制度形式固化,健全完善企业制度体系。
4. 建立内部控制标准体系
企业应依据《企业内部控制基本规范》及其配套指引,结合企业运营管理的实际情况,建立覆盖全业务的内部控制标准体系,指导企业生产经营。内部控制标准体系一般应包括但不限于以下内容:
(1)内部控制体系建设的范围。
(2)内部控制体系建设的主体、职责分工、考核办法。
(3)内部控制体系建设的长期、短期目标。
(4)内部控制体系建设具体内容。
(5)内部控制体系评价的要求(如评价的范围及缺陷评估标准等)。
(6)内部控制体系持续维护及监督的要求等。
(7)内部控制系统报告具体内容。
(8)内部控制考核管理内容。
