王玉珏

摘 要：内控手册参照内部控制整体框架COSO模型，考虑贯穿于企业经营管理活动中的控制环境、风险评估、控制活动、信息与沟通、监督等内部控制框架等五要素。公司的内部控制体系应该以内控手册为基础，并固化在内控手册中。内控手册能对涉及到的公司主要业务的内部控制流程进行梳理，完善和加强公司的内部控制管理。对内控手册的结构和内容做探讨和描述。

关键词：内控手册；内控管理；企业

中图分类号：F270 文献标志码：A 文章编号：1673-291X（2014）25-0023-02

引言

内部控制是指一个组织为实现战略和经营目标，确保资产的安全完整，确保财务信息的正确可靠，保证具体经营方针能得以贯彻执行，保证经营活动具备经济性、效率性和效果性，在组织内实施的一系列方法、手续与措施的总称。

内控手册是指在组织内部管理文件的基础上，结合内控审阅结果，以文字的形式对主要流程和子流程所涉及的关键业务风险、控制目标和关键控制活动进行表述，并用流程图、文字描述的形式列示各项关键控制活动。

一、理论基础和研究文献

现代意义上的内控概念，出现在20世纪。至今，已历经了四个阶段。第一阶段，是内部牵制阶段（20世纪40年代）；第二阶段，是内部会计控制阶段（20世纪40年代至70年代）；第三阶段，是财务管理控制阶段（20世纪40年代至70年代）；第四阶段，内部控制阶段（20世纪80年代起）。

1992年，COSO委员会提出了《内部控制—整体框架》，该文件强调了内部控制是一个由董事长、经营层和员工共同实现的系统；认为内部控制具有五大要素，即控制环境、风险评估、控制活动、信息与沟通、内部监督。该框架于1994年得以进一步修订。1999年特恩布尔报告在COSO的基础上，分析了一个健全的内部控制系统所应具备的特征和构成要素，并于此基础上设计了评价内部控制有效性的一系列标准。2004年COCO对《内部控制—整体框架》再度做了扩充，将有关风险管理的概念加入了其中，指出企业可以从内控管理升级为风险管理对原来的内控五要素也实施了扩展，风险评估被进一步细化为：目标设定、风险识别、风险评估以及风险应对。内部控制由此被包纳进风险管理的范畴中。

中国的内部控制理论研究，可追溯到1996年中注协发布独立审计准则《内部控制与审计风险》。2001年证监会发布《证券公司内部控制指引》，同年财政部发布《内部控制会计控制》。2008年，财政部、证监会审计署、银监会、保监会联合颁布《企业内部控制基本规范》，为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益。《企业内部控制基本规范》第三章“风险评估”具体要求“企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。”2010年4月15日，财政部证监会、审计署、银监会、保监会联合发文《企业内部控制配套指引》（包括《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》）。《企业内部控制配套指引》是《企业内部控制基本规范》的进一步细化，要求自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。并鼓励非上市大中型企业提前执行。

二、内控手册的基本架构和内容

内控手册是公司内部控制体系的固化产物。它参照内部控制整体框架COSO模型，考虑贯穿于企业经营管理活动中的控制环境、风险评估、控制活动、信息与沟通、监督等内部控制框架等五要素。公司流程的控制程序，都应该反映并集中在内控手册中。内控手册的特点是，能对涉及到的公司主要业务的内部控制流程进行梳理，完善和加强公司的内部控制管理。内控手册一般应由流程图和流程描述组成。

（一）基本架构

1.流程图。流程图由流程名称、职能带及具体活动/决策图形等组成。（1）流程名称：是对流程图所反映活动的概括性介绍。（2）职能带：是对具体业务活动及控制活动责任人的界定，一般细化至岗位/机构。（3）活动/决策图形：是具体业务活动及控制活动的标识，由连接线衔接，依次编号显示顺序关系。

2.流程描述。流程描述是对流程图的文字性解释，由概括性介绍、具体活动描述和负责人组成。（1）概括性介绍：是对该业务流程的背景信息的描述，包括但不限于：流程涉及的职能架构、相关制度规定及以非活动形式体现的控制设置（如：不相容岗位职责分离、系统权限等）。（2）具体活动描述：对业务活动/控制活动的具体描述，描述原则应包含：时间、人员、方法、对象、原因/目的等。通过数字顺序编号，与流程图相应。（3）负责人：指每个业务活动/控制活动的负责人员，与流程图中的职能带相应。

一般用粗体文字突出关键控制活动。红色文字则用来表示当前公司相关业务流程尚未按照该流程描述进行，但管理层已确认将来会按照该流程描述相关内容改进现有内控措施。

（二）主要内容

内控手册应包含哪些内容？一般认为，应将企业的所有重要流程纳入内控手册，但并非所有制度都应纳入内控手册。实践中应考虑重要性和精简的原则。

从现有的实践来看，若以制造业企业为例，一个合格的内控手册，其必须纳入一系列的业务流程和子流程，包括但不少于以下内容：公司层面控制；房地产投资或生产成本管理；股权投资和项目管理；财务管理；资产管理；日常采购管理；市场营销管理；客户服务管理；合同管理；人力资源管理等。

所谓公司层面控制，是指从董事会、监事会、经营层的公司架构高度，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡的一套流程。与具体流程控制相比，公司层面控制显然具有宏观性与统领性。在构建公司层面控制时，也要从控制环境、信息与沟通、内部监督等三要素出发。公司层面控制要实现的内控目标，包括但不限于以下：（1）确保公司价值观、道德和行为准则得以贯彻执行。（2）确保对员工的能力要求符合公司经营目标。（3）明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。（4）确保董事会对管理层及公司的运行情况进行有效监督。（5）确保公司管理理念符合公司战略发展目标，并在公司范围内被广泛交流与推广。（6）确保公司业务流程服务于管理质量，实现公司效益最大化。（7）加强公司制度建设，实现企业诚信目标。（8）确保公司组织结构符合公司规模及业务活动。（9）确保公司对员工的管理、各部门岗位的职责等人力资源政策符合公司经营目标。（10）确保公司风险，特别是关键流程的关键风险点得到有效识别、评估和应对。（11）确保公司的举报机制有效运行，对举报的处理，反舞弊调查、执行和监督符合公司要求。（12）确保公司信息系统符合经营活动的特点和公司发展的需要，保证信息系统安全、稳定地运行。（13）确保公司信息在各管理层次及业务环节进行传递，同时保持与公司外部的沟通畅通。（14）确保信息披露符合证券交易委员会和证券交易所的要求以及其他监管要求；向所有市场参与者和监管部门提供及时、有序、一致、准确、完整、可靠和可信的信息。（15）确保公司内部审计制度符合独立性要求，并有效履行监控职责。endprint

除公司层面控制，其他管理流程都可被视为具体业务流程控制。具体业务流程控制是从“控制活动”的要素出发，详细、具体构建制度措施，来实现控制目的。以人力资源管理流程为例，其建立的目标是建立并完善人力资源制度和流程，确保招聘、培训、绩效考核、薪酬福利的工作得到及时高效地开展，为公司管控和风险治理提供合理保障。其涵盖的子流程主要包括劳动关系管理、日常管理等。具体又可细分为员工招聘、员工调动、员工离职、培训管理、绩效考核管理、薪酬福利管理等。

三、内控手册的适用性及维护和变更要求

内控手册应该适用于公司各经营管理部门，以及各经营管理部门的具体控制流程。公司各部门对内部控制体系文件的实施负有完全的责任，由其负责依照内部控制体系文件的控制标准实施内部控制活动，并对内部控制活动设计和执行的结果和效率负责。

内控手册的修订执行应定期复核更新制度，复核频率为每年至少一次，以保证可适用性。然而在导致内部控制发生变更的情形出现时，有关负责部门应对变更作出及时的更新。变更情形包括：（1）公司新增业务/部门职能；（2）公司现有部门的业务流程/部门职能发生变化；（3）公司授权体系出现的重大变更；（4）其他重大变更（经公司领导授权审批）。

在公司内部，具体负责维护和更新内控手册的部门，若没有独立的内控部门，则可将内控手册更新和维护职责，委派给内部审计部门。

结论

内部控制应该固化在内控手册中。内控手册参照内部控制整体框架COSO模型，考虑贯穿于企业经营管理活动中的控制环境、风险评估、控制活动、信息与沟通、监督等内部控制框架五要素。COSO为企业内部控制管理提供整体性的框架体系，从各个层次对风险和内部控制进行分析和评估。公司的内部控制手册以此架构为基础，对涉及到公司主要业务的内部控制流程进行梳理，以完善和加强公司的内部控制管理。内部控制手册在公司内部管理文件的基础上，结合内控审阅结果，以文字的形式对主要流程和子流程所涉及的关键业务风险、控制目标和关键控制活动进行表述，并用流程图、文字描述的形式列示各项关键控制活动。是内部控制体系的具体体现和载体，也是实现内部控制措施的工具。

参考文献：

[1] H.法约尔.工业管理与一般管理[M].北京：团结出版社，1999.

[2] Anderson，S，W & Young，S，The impact of contextual andprocess factors on the evaluation of activity2based costingsystems[J].

Accounting Organizations and Society，1999，24.

[3] 张砚，杨雄胜.内部控制理论研究的回顾与展望[J].审计研究，2007，（1）.

[责任编辑 吴高君]endprint