浅谈企业内部控制体系构建

马 力

(中国中铁股份有限公司，北京 100039)

国务院国资委颁布的《中央企业全面风险管理指引》和财政部等五部委颁布的《企业内部控制基本规范》及其《企业内部控制配套指引》，为企业实施内部控制提供了标准和依据。构建与企业管理体系相融合的内部控制体系，不仅是企业实施内部控制的基础，也是提高风险管控能力，提升企业运行质量，实现企业转型升级的有效途径，对于做强做优中央企业，打造具有核心竞争能力的世界一流企业具有十分重要的意义。

中国中铁股份有限公司(以下简称中国中铁)是集勘察设计、施工安装、工业制造、科研咨询、工程监理、投资开发、建设管理、信托投资和对外经贸于一体的多功能特大型企业集团，现有二级企业48家。自2007年重组改制并在沪港两地上市以来，中国中铁董事会、经理层高度重视企业内部控制与风险管理，结合企业特点，于2009年5月全面启动全公司企业内控体系建设工作，经过近三年的积极探索与实践，初步建立了一整套适用性强、融合度高、覆盖面全的企业内部控制体系，进一步规范了企业依法经营运作，使企业内控风险管理水平不断提高。

1 明确内部控制体系建设职责和分工

中国中铁董事会负责内控体系的建设工作，审议工作方案和经费预算，听取工作汇报，提出明确要求;董事会审计委员会受董事会委托负责指导内控体系建设工作;经理层负责内控体系建设的实施工作。为了加强内控体系建设工作的组织领导，成立内控体系建设领导小组，主要领导担任组长，分管领导担任副组长，相关部门负责人为成员，研究解决内控体系建设过程中的重大事项。明确战略规划部为内控体系建设的牵头部门，审计部为内控监督和自我评价的牵头部门，各部门为内控体系建设的实施部门。做到人员到位、工作到位、责任到位，有力地推动了内控建立工作的顺利开展。

中国中铁在内部控制体系建设过程中，不仅明确了内控体系建立过程中的职责分工(如表1所示)，同时制定了《内控体系运行管理办法》，进一步明确了内控体系的执行、维护、监督、评价、整改、提高等日常工作职责，确保内控体系有效运行。

2 确定内控体系建设的方案和工作流程

总体方案是内控体系建设的行动纲领。针对中国中铁管理层级多、管理链条长、业务差异大和多级法人实体的管控特点，按照制度流程化、内控信息化的总体目标，制定了《全公司内部控制体系建设总体方案》。确立了“全面规划、统一部署、突出重点、试点先行、分步实施，逐级推进”的工作方针，明确了内控体系建设分三个阶段推进的实施步骤(第一阶段为公司总部内部控制体系建设阶段;第二阶段为二级企业内部控制体系建设阶段;第三阶段为全面逐级建立阶段)。提出了用两年半左右的时间，在全公司建立起相对统一、相互关联、上下联动、运行有效的内控体系的任务目标，确保内控体系建设工作按计划有序推进。

表1 内控体系建设的职责分工

工作流程是建立内控体系过程控制的关键。为了统筹全公司内控体系建立的工作方法步骤，结合企业组织建构设置和管理现状，依据《中央企业全面风险管理指引》、《企业内部控制基本规范》及其《配套指引》，制定了规范的内控体系建立工作流程，确保中国中铁总部及各等级企业内控体系上下关联、协调一致、便于执行(如图1所示)。

图1 内部控制体系建立流程

3 全面构建内控体系

3.1 公司层面控制体系

公司层面的控制体系建设包括两方面:公司层面控制机制建设和公司层面风险评估。

(1)公司层面控制机制建设

公司层面的控制机制建设包括建立健全内部控制组织体系，培育内控风险管理文化，完善内部控制制度及信息系统建设。

短视频可以充分利用其自身社交媒体的特点进行社会化营销，用户是社交平台中的主角，而社会化营销的目标群体也是网络平台中的这些用户，好的社会化营销可以让每一个用户成为企业宣传的参与者，担当企业营销人员，在社交平台中形成口碑营销。而短视频作为一种营销方式，只有在与社交媒体相结合时才能够发挥出更大的价值。而企业也可以在充分了解用户需求的基础上，通过对用户数据挖掘，制作千人千面的“个性化”的短视频，这样创作出来的短视频能够“投其所好”，也会获得更加良好的营销效果，个人或者营销品牌能够和用户更亲密的接触是社会化营销的优势。

①建立健全内部控制组织体系

内部控制职能的有效发挥，依赖于企业良好的内部控制环境，其中公司治理结构及其工作程序决定了内部控制环境的基调，为公司内部控制的建立、运行、维护和整改提供了组织和制度基础。《企业内部控制基本规范》要求，公司应当根据国家有关法律法规、部门规章的规定，建立规范的公司治理结构和议事规则，明确决策、执行、监督方面的职责权限，形成科学有效的职责分工和制衡机制，充分表明了良好的治理结构对公司内部控制的重要意义。公司应以规范治理结构为基础，构建内部控制体系的组织架构，为内部控制建设和运行提供良好的组织保障，图2为中国中铁股份有限公司治理结构。

②培育内控风险管理文化

内控风险管理文化是内部环境的重要组成要素。良好的内控风险管理文化能够帮助全体员工树立正确的内部控制和风险管理理念。中国中铁启动内部控制建设项目后，就《企业内部控制基本规范》解读、管理框架设计、业务流程绘制等内控建设的相关理论和内容，先后两次开展全员集中培训，并通过会议和专题座谈等方式，对相关部门和人员进行了重点培训，培训范围基本覆盖了总部机关每位员工。各层级企业都相应开展了多次培训，努力培育企业内控风险文化，为内控体系建立工作奠定了坚实的基础。

③完善内部控制制度

内部控制的基本要求是保证企业经营管理的各项活动都有相应的制度加以规范和指引。中国中铁依据《企业内部控制基本规范》、《企业内部控制配套指引》和《中央企业全面风险管理指引》的要求，从建立完善的规章制度体系入手，狠抓规章制度梳理、整合、优化工作;从规章制度的合规性、必要性、充分性和操作性入手，广泛开展各项规章制度评审工作;从规章制度的有效性、协调性入手，重点解决制度规定的统一和环节接口的一致，建立了以《内控手册》、《内控流程汇编》和《内控运行管理办法》统筹各项管理制度的内控体系文件，确保企业各项活动有章可循。

④建设内控信息系统

(2)公司层面风险评估

公司层面的风险评估包涵风险识别、风险评估、绘制风险地图和建立风险数据库等工作内容。

①风险识别

公司层面风险识别应遵循“目标——风险——控制”的核心思想，围绕公司的战略目标识别对实现战略目标产生不利影响的不确定因素。中国中铁围绕公司的战略目标，在深入开展尽职调查的基础上，对企业内外部环境进行分析，广泛收集风险初始信息，共识别战略规划风险、投资风险、工程造价风险等75项风险，并对风险内涵给予明确的定义。

②风险评估

运用定性与定量相结合的方法对识别出来的公司层面风险进行评估。定性的方法有问卷调查、实地调研、访谈、专家意见等;定量的方法有敏感性分析、情景分析和蒙特卡罗模拟分析等。从公司层面风险发生的可能性与影响程度两个维度，确定重大风险、重要风险和一般风险。同时结合内外部环境的变化，加强风险动态管理，定期不定期地深入开展公司层面的风险评估工作，辨识公司层面重大和重要风险，分析风险发生的影响因素，理清风险管理的思路，制定了总体解决方案和应对措施。

③风险地图绘制

根据风险评估的结果进行风险排序，绘制风险地图，风险地图的纵坐标是风险的影响程度，横坐标是风险发生的可能性。风险地图能清晰地反映出风险的重要性，帮助管理层确定风险管理的优先顺序和策略(如图3所示)。

图2 中国中铁股份有限公司治理结构

图3 公司层面风险地图

3.2 业务流程层面控制体系

业务流程层面控制体系建设的工作步骤包括搭建流程体系框架，绘制流程图与流程描述，撰写RCM矩阵。

(1)搭建流程体系框架

业务流程层面控制体系建设的基础工作是搭建公司业务的流程体系框架。流程体系框架是对企业现有业务的分类分级描述，企业的所有业务的控制目标、潜在风险和控制措施都孕育在业务活动之中，不可能独立存在。通过搭建流程体系框架，能够使相关人员清晰地查看风险全景视图，明确管控的总体思路和要求(如图4所示)。

(2)绘制流程图与流程描述

流程图与流程描述的作用是清晰地说明了各项业务存在哪些环节，各个环节涉及哪些部门、岗位、人员及所需要的资源和信息，同时体现出流程与流程之间、流程内部环节与环节之间衔接的权责归属。中国中铁在流程梳理的过程中，共优化了221个业务管理流程，补充建立和修订管理制度40余个，识别流程控制目标540余个，识别确认关键控制点590余个，编写1 105个管理文档。

(3)撰写RCM矩阵

RCM矩阵即风险控制矩阵，反应了“目标—风险—控制”的对应关系，具体到业务流程层面的内部控制体系建立，就是指识别具体业务的控制目标，查找影响控制目标实现的风险，进行控制措施与风险的配比，判定是否存在控制缺陷。中国中铁在明确各项业务控制目标的基础上，将公司层面重大、重要风险与相关业务流程的关键控制进行全面对接，细化控制措施，明确实施控制的责任，系统地规范了不相容职责的分离，实现重大风险的全流程管理(如表2所示)，层层建立以实现企业发展战略为目标，风险管控为手段的防范机制，确保安全质量、投资融资、分包管理、海外施工、工程造价、民工队伍等企业重大风险基本可控，为企业持续健康地发展提供了有力保障。

图4 中国中铁流程体系框架

3.3 工作报告

在公司层面控制体系建设、业务流程层面控制体系建设这两个主要工作阶段结束后，公司应出具相应的工作报告。工作报告主要包括《内部控制手册》和《内部控制体系流程文件》。

内部控制手册从五个方面描述了中国中铁内控体系，包含了内控体系建设工作的所有内容，内控手册规定了术语、编制依据、组织体系、部门责任、内控要点、实施程序、方法模型以及文件模板，是内控体系建设的纲领性文件，用以指导内部控制体系运行、维护、监督、评价和改进工作。

表2 质量监督管理体系建设与管理流程RCM风险控制矩阵(示例)

内部控制体系流程文件主要包括:流程图、流程说明、风险控制矩阵、风险数据库以及控制文档组成。流程图是对业务操作程序的直观展示，规定具体业务的操作步骤、责任岗位等;流程描述是对流程图中每个节点步骤的详细说明，包含每个步骤的操作要求、操作人，操作的时限等;风险控制矩阵是每个业务流程实现控制目标、可能存在的风险以及控制措施的规定;风险数据库是对识别出来的业务流程关键控制点(风险点)的描述和风险等级的判定;控制文档是业务流程运行的描述，是监督评价内控体系运行的依据。按照内部控制管理的规定，《内部控制手册》和《内部控制体系流程文件》经董事会审议批准后，在全公司范围内发布执行。

4 结论

中国中铁通过建立健全内部控制体系，不仅满足了国资委、财政部、证监会等相关监管机构的要求，而且进一步提升了企业的内部控制水平与风险管控能力，保证了企业经营管理合法合规、资产安全、财务报告及相关信息的真实完整，提高了经营效率和效果，实现了企业的可持续发展。

［1］ 财会［2008］7号．财政部、证监会、审计署、银监会、保监会关于印发《企业内部控制基本规范》的通知［S］

［2］ 李书锋．企业内部控制配套指引操作指南［M］．北京:中国经济出版社，