以梳理业务流程为起点，建立企业内部控制

任厚兵

【摘要】本文从企业现有的业务流程为起点，通过业务流程梳理、优化并完善业务流程、编制流程文档、建立风险管理及内部控制数据库等阶段，达到建立健全控制活动类的内部控制体系，进而达到全面风险管理。

【关键词】业务流程梳理风险识别与控制风险管理数据库内部控制数据库

一、以业务流程为起点，探讨建立企业内部控制的缘由

建立健全内部控制是企业内外部需要，各类企业都积极探索建立内部控制。不同规模、环境的企业，建立内部控制的方法各有不同，本文拟从企业现有的业务流程为起点，探讨如何建立控制活动类的内部控制。

业务流程是为达到特定的价值目标而由不同的人分别共同完成的一系列活动。业务流程是企业经营活动最普遍的工作流程，任何一个企业在运营，都有各种各样的业务流程，或是成文的标准文件，或是习惯的工作方式。

因此，本文以业务流程为起点，探讨建立企业内部控制，由于是以业务为出发点，因此，本文着重探讨如何建立控制活动类内部控制。

二、以业务流程为起点，建立企业内部控制

我们可以通过业务流程梳理、优化并完善业务流程、编制流程制度文档、建立风险管理及内部控制数据库等阶段来实现对内部控制的建立。具体分述如下：

（一）业务流程梳理

本文流程梳理的概念，强调作为一个阶段性活动，从企业整体业务流程明晰的目的出发，对当前流程进行充分显性化，而在显性化基础上发现问题并进行点优化的工作方式。

一般来说，企业的各种业务流程可以划分为三个层级。一级流程：可根据《配套指引》的控制活动类进行梳理，包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告共9个方面。二级流程：在一级流程的基础上，按照每个内部控制所包括的内容再次划分为若干方面，例如资金活动方面可划分为筹资活动、投资活动、资金营运三个方面。三级流程：在二级流程的基础上，进一步划分到具体的业务单元，例如筹资活动方面，可能涉及提出筹资方案、筹资方案论证等方面。

在业务流程梳理过程中，可以与相关职能部门负责人及职员访谈，也可以是查询现有制度文件，也可以是通过抽查相关业务资料进行穿行测试。

（二）优化并完善业务流程

通过对业务流程梳理，我们可以通过将现在业务流程与《配套指引》、优秀企业等进行对标检查，再根据常见内部控制活动的原理，优化现有业务流程，完善控制缺陷。

（三）编制流程文档

根据优化完善的业务流程，绘制标准流程图，编制流程文档。

流程文档是内部控制体系中的基础文档，也是核心文档，流程文档可以包含以下内容：流程名称、流程责任部门与责任岗位、流程目标、流程适用范围、流程相关制度、流程图、流程描述、流程风险点及对应控制点。

1.业务流程风险点识别。流程中的风险点识别方法：以流程目标为出发点，从流程步骤走向进行风险思考，结合控制点识别出风险点。

2.风险分类。按照风险发生后的可能结果，可划分为机会风险（可能有好的结果，也可能有坏的结果）和纯粹风险（只可能造成坏的结果）。按照五大类风险可划分为战略风险、财务风险、市场风险、运营风险、法律风险。

3.风险等级。风险等级的划分依靠两个维度来判定，即风险发生可能性和风险发生影响程度。风险发生可能性分为极低、较低、中等、较高、极高五个等级；风险发生影响程度分为轻微、较低、中等、重大、灾难性五个等级。关于风险发生可能性和风险发生造成影响，要根据企业所在行业及自身经营情况来判定。

我们可通过对流程风险点的以上两个维度进行分析量化评分并取平均值，然后根据下图判定风险等级。

设计对应控制点。流程中的控制点设计方法：假设去掉这个流程步骤，若该流程仍能完整的进行下去，则该步骤为控制点；若该流程到此卡住无法再进行下去，则该步骤不是控制点，仅为一般步骤。例如某个流程中存在几个审核、审批步骤，去掉某一个或某几个审核、审批步骤，该流程都能继续进行下去，但会存在风险隐患，因此，这类审核、审批步骤就是控制点。

列出业务流程中对应该风险点的控制点，并确定该控制点是事前控制、事中控制还是事后控制。

（四）建立流程控制数据库

1.流程层面风险管理数据库。流程层面风险管理数据库是后期建立全面风险管理信息系统的核心数据库之一，与公司层面风险管理数据库共同构成公司的全面风险管理数据库。业务流程层面风险管理数据库以表格的形式呈现，细分到各个流程，是从流程层面评估风险、控制风险并建立内部控制体系的基础，也是公司全面风险管理与内部控制体系的核心之一。

业务流程层面风险管理数据库的举例如表1所示。

2.建立流程层面控制数据库。流程层面控制数据库也是后期建立风险管理信息系统的核心表单之一，它以表格的形式呈现，细分到各个流程，并通过流程编号与流程层面风险管理数据库一一对应，是后期建立全面风险管理信息系统的基础。

业务流程层面控制数据库的举例如表2所示。

三、总结

综上所述，通过业务流程梳理、优化并完善业务流程、编制流程文档、建立风险管理及内部控制数据库等阶段，达到建立健全控制活动类的内部控制，进而达到全面风险管理。

参考文献

[1]财政部.关于印发《企业内部控制基本规范》的通知.财会[2008]7号.

[2]财政部.关于印发企业内部控制配套指引的通知.财会[2010]11号.

[3]COSO委员会.方红星，王宏译.企业风险管理——整合框架【M】.大连：东北财经大学出版社.2005.