3.4　《內(nèi)部控制手冊》的架構(gòu)設(shè)計(jì)

《企業(yè)內(nèi)部控制基本規(guī)范》第二章第十四條提出了“內(nèi)部控制手冊”（簡稱“內(nèi)控手冊”）這一概念，即“企業(yè)應(yīng)當(dāng)通過編制內(nèi)部管理手冊，使全體員工掌握內(nèi)部機(jī)構(gòu)設(shè)置、崗位職責(zé)、業(yè)務(wù)流程等情況，明確權(quán)責(zé)分配，正確行使職權(quán)”。因此內(nèi)控手冊是內(nèi)部控制制度設(shè)計(jì)成果的最終載體，是企業(yè)內(nèi)部控制制度實(shí)施工作的重要組成部分。

3.4.1　《內(nèi)部控制手冊》的目標(biāo)及質(zhì)量要求

根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》對內(nèi)控手冊的要求不難發(fā)現(xiàn)：首先，內(nèi)控手冊是在企業(yè)內(nèi)部控制的范疇內(nèi)提出的，其自身應(yīng)該成為企業(yè)內(nèi)部控制制度設(shè)計(jì)及實(shí)踐的組成部分；其次，內(nèi)控手冊的內(nèi)容集中于機(jī)構(gòu)設(shè)置、崗位職責(zé)、流程、權(quán)責(zé)分配等內(nèi)容，一方面與經(jīng)營操作相關(guān)，另一方面與企業(yè)內(nèi)控所關(guān)注的經(jīng)營層面的主要風(fēng)險(xiǎn)相關(guān)；再次，內(nèi)控手冊的使用對象是企業(yè)的全體員工，因而可操作性應(yīng)是需要考慮的重要因素；最后，內(nèi)控手冊還應(yīng)對公司的內(nèi)部審計(jì)部門起到工作指導(dǎo)的作用，以便于企業(yè)了解自身的整體經(jīng)營風(fēng)險(xiǎn)，并方便審計(jì)部門對業(yè)務(wù)環(huán)節(jié)的具體操作進(jìn)行審計(jì)。據(jù)此，本節(jié)提出了內(nèi)控手冊的編制目標(biāo)及質(zhì)量要求，具體如表3-9所示。

表3-9　《內(nèi)部控制手冊》的目標(biāo)與質(zhì)量要求

3.4.2　《內(nèi)部控制手冊》的內(nèi)容

根據(jù)內(nèi)部控制目標(biāo)與質(zhì)量要求，內(nèi)控手冊的主要內(nèi)容應(yīng)包括以下幾個(gè)方面：一是梳理業(yè)務(wù)流程，找出業(yè)務(wù)循環(huán)的主要風(fēng)險(xiǎn)點(diǎn)和控制目標(biāo)，并明確相對應(yīng)的關(guān)鍵控制活動(dòng)和基本的不相容職務(wù)分離的要求；二是通過對特定業(yè)務(wù)循環(huán)的流程分析，將關(guān)鍵控制活動(dòng)對應(yīng)到具體的崗位和管理制度；三是為內(nèi)部審計(jì)提供必要的工作指引。基于此，本節(jié)提出了內(nèi)控手冊的具體內(nèi)容，如表3-10所示。

表3-10　《內(nèi)部控制手冊》的內(nèi)容

【案例3-9】

中國石油《內(nèi)部控制管理手冊》內(nèi)容的分析30

中國石油于2005年12月27日發(fā)布《內(nèi)部控制管理手冊》（以下簡稱《手冊》）。《手冊》共七冊，包括《內(nèi)部控制體系框架》《控制環(huán)境》《風(fēng)險(xiǎn)評(píng)估》《控制活動(dòng)》《信息與溝通》《監(jiān)督》等由股份公司內(nèi)控部門統(tǒng)一編制的六個(gè)分冊，以及一個(gè)由地區(qū)公司自行編制的地區(qū)公司分冊。中國石油希望《手冊》能成為公司內(nèi)部控制法典，為公司內(nèi)控體系建設(shè)、運(yùn)行和維護(hù)提供指引，并作為建立、運(yùn)行及評(píng)價(jià)內(nèi)控體系的依據(jù)，從而確保公司上下從思想上、認(rèn)識(shí)上對內(nèi)控體系保持高度統(tǒng)一，以進(jìn)一步實(shí)現(xiàn)行為上的統(tǒng)一。各分冊的主要內(nèi)容如下：

《內(nèi)部控制體系框架》分冊是內(nèi)控體系建設(shè)的綱領(lǐng)性文件。該分冊描述了內(nèi)控體系的組織結(jié)構(gòu)與職責(zé)，較為全面地闡述了內(nèi)控體系的建設(shè)目標(biāo)，并以COSO內(nèi)控框架為指引，從控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通和監(jiān)督等五個(gè)方面全面、系統(tǒng)地闡述了內(nèi)控體系建設(shè)的方法和規(guī)范，以全面、有效地指導(dǎo)公司內(nèi)控體系建設(shè)工作。

《控制環(huán)境》分冊簡單介紹了職業(yè)道德、員工的勝任能力、管理理念和經(jīng)營風(fēng)格、組織結(jié)構(gòu)、人力資源政策與措施、權(quán)利和責(zé)任分配、董事會(huì)與審計(jì)委員會(huì)，以及反舞弊等八個(gè)分要素的概念，詳細(xì)描述了每個(gè)分要素的內(nèi)控關(guān)注要點(diǎn)和應(yīng)對措施，列示了該要素的文檔記錄。

《風(fēng)險(xiǎn)評(píng)估》分冊描述了風(fēng)險(xiǎn)類別和風(fēng)險(xiǎn)評(píng)估概念，并以風(fēng)險(xiǎn)評(píng)估程序?yàn)橹骶€，從確立公司發(fā)展目標(biāo)和建立風(fēng)險(xiǎn)評(píng)估機(jī)制兩個(gè)方面對風(fēng)險(xiǎn)評(píng)估的內(nèi)控關(guān)注要點(diǎn)、相關(guān)措施進(jìn)行了描述，制定、完善了相應(yīng)的文件、制度和規(guī)范。

《控制活動(dòng)》分冊概要介紹了控制活動(dòng)的概念、分類及控制活動(dòng)包含的主要內(nèi)容，分別從公司層面和業(yè)務(wù)活動(dòng)層面兩個(gè)層次描述了如何建立控制措施，重點(diǎn)描述了與重要業(yè)務(wù)流程相關(guān)的業(yè)務(wù)流程圖、關(guān)鍵控制文檔和程序文件。

《信息與溝通》分冊介紹了信息、溝通、信息系統(tǒng)總體控制、信息系統(tǒng)應(yīng)用控制和信息披露等分要素的內(nèi)控關(guān)注要點(diǎn)、措施和文檔記錄，描述了公司總部各部門內(nèi)控相關(guān)信息流匯總表及編制說明；明確了信息與溝通要素所涉及的內(nèi)控體系執(zhí)行文件和規(guī)范。

《監(jiān)督》分冊描述了持續(xù)監(jiān)督、獨(dú)立評(píng)估和缺陷報(bào)告等分要素的內(nèi)控關(guān)注要點(diǎn)、措施和文檔記錄。

3.4.3　《內(nèi)部控制手冊》的框架與編制

1.《內(nèi)部控制手冊》的框架

根據(jù)前文對內(nèi)控手冊質(zhì)量要求以及具體內(nèi)容的分析，結(jié)合我們?yōu)槠髽I(yè)提供內(nèi)控咨詢服務(wù)的相關(guān)經(jīng)驗(yàn)，本節(jié)提出了內(nèi)控手冊的制定框架（見圖3-2）。

注：實(shí)線表示實(shí)際編制流程；虛線表示內(nèi)在邏輯關(guān)系；虛線框表示邏輯范圍。

2.《內(nèi)部控制手冊》的編制

本書認(rèn)為，在大多數(shù)情況下，內(nèi)控手冊的編制可以分為四個(gè)步驟來進(jìn)行：

第一步，業(yè)務(wù)循環(huán)劃分。企業(yè)應(yīng)根據(jù)各自行業(yè)及所涉及業(yè)務(wù)的具體特點(diǎn)，將自身的運(yùn)營活動(dòng)劃分為若干個(gè)主要業(yè)務(wù)循環(huán)。通常情況下，主要業(yè)務(wù)循環(huán)包括以下內(nèi)容：（1）銷貨及收款環(huán)節(jié)；（2）采購及付款環(huán)節(jié)；（3）生產(chǎn)環(huán)節(jié)；（4）固定資產(chǎn)管理環(huán)節(jié)；（5）貨幣資金管理環(huán)節(jié)；（6）關(guān)聯(lián)交易環(huán)節(jié)；（7）擔(dān)保與融資環(huán)節(jié)；（8）投資環(huán)節(jié)；（9）研發(fā)環(huán)節(jié)；（10）人事管理環(huán)節(jié)；（11）信息管理環(huán)節(jié)。

第二步，流程風(fēng)險(xiǎn)分析。在明確了企業(yè)的具體業(yè)務(wù)循環(huán)后，針對每個(gè)具體業(yè)務(wù)循環(huán)，畫出詳細(xì)的業(yè)務(wù)流程圖，并結(jié)合企業(yè)的現(xiàn)有制度分析該流程存在的主要風(fēng)險(xiǎn)點(diǎn)及相應(yīng)的控制措施。該階段的內(nèi)容主要包括流程的控制目標(biāo)、關(guān)鍵控制活動(dòng)、主要涉及的崗位職責(zé)、相關(guān)的表單流轉(zhuǎn)等。

第三步，不相容職務(wù)分析。一般而言，企業(yè)各主要業(yè)務(wù)循環(huán)的各類活動(dòng)可以劃分為批準(zhǔn)、執(zhí)行、記錄和控制四大類別，從崗位設(shè)置的要求來看，應(yīng)該保證同一人員不同時(shí)從事以上四類中的任何兩類及以上的工作。基于該原則，企業(yè)需要找出企業(yè)每個(gè)具體循環(huán)中存在的不相容職務(wù)并將其分離。

第四步，內(nèi)控測試矩陣。內(nèi)控測試矩陣是指導(dǎo)企業(yè)內(nèi)部審計(jì)部門開展工作的重要指引。它基于內(nèi)控實(shí)施的可復(fù)核性和可審計(jì)性的要求，明確了內(nèi)控活動(dòng)中所有關(guān)鍵控制點(diǎn)的主要痕跡和后果，并分別從過程和結(jié)果兩個(gè)角度來檢視內(nèi)控實(shí)施的有效性。因而企業(yè)應(yīng)該在第二步流程風(fēng)險(xiǎn)分析的基礎(chǔ)上引申出企業(yè)內(nèi)控的主要痕跡，并提出內(nèi)審的主要檢查對象和檢查方法。

【綜合案列】

中國石化的內(nèi)控制度設(shè)計(jì)31

中國石油化工集團(tuán)公司（簡稱“中國石化”）高度重視完善內(nèi)部控制體系建設(shè)。自2003年年初開始，中國石化以美國《薩班斯法案》的頒布實(shí)施為契機(jī)，開展了一系列內(nèi)部控制的制度設(shè)計(jì)和體系建設(shè)，對內(nèi)促進(jìn)完善公司治理、規(guī)范企業(yè)管理、防范市場風(fēng)險(xiǎn)，對外加強(qiáng)外部監(jiān)管、樹立企業(yè)形象、提振市場信心，推動(dòng)公司持續(xù)、穩(wěn)定、健康發(fā)展，在不到10年的時(shí)間內(nèi)迅速發(fā)展成為全球第五大公司。現(xiàn)將中國石化的內(nèi)部控制制度設(shè)計(jì)的主要經(jīng)驗(yàn)介紹如下：

1.建立一體化組織管理體系。為建設(shè)以風(fēng)險(xiǎn)為導(dǎo)向的全方位內(nèi)部控制體系，中國石化建立了公司總部上市和非上市部分、公司總部和所屬企業(yè)內(nèi)部控制一體化管理模式。2003年年初，中國石化股份公司成立了內(nèi)部控制領(lǐng)導(dǎo)小組，設(shè)立內(nèi)控辦公室和內(nèi)控管理處，配備專職管理人員，具體負(fù)責(zé)內(nèi)部控制管理工作。2005年，非上市部分結(jié)合自身業(yè)務(wù)特點(diǎn)，啟動(dòng)了內(nèi)控制度建設(shè)工作。2010年3月，將內(nèi)部控制、風(fēng)險(xiǎn)管理職能調(diào)整到企業(yè)改革管理部門，內(nèi)控專職管理人員從集團(tuán)公司財(cái)務(wù)部門、股份公司財(cái)務(wù)部門整體劃轉(zhuǎn)，實(shí)現(xiàn)了上市、非上市部分的內(nèi)部控制一體化管理。在所屬企業(yè)層面，相應(yīng)成立內(nèi)部控制領(lǐng)導(dǎo)小組，整合上市、非上市部分的內(nèi)控管理職能，實(shí)現(xiàn)內(nèi)控一體化管理，部分企業(yè)還獨(dú)立設(shè)置內(nèi)控管理部門，為實(shí)施內(nèi)控制度提供了有力的組織保障。

2.制度建設(shè)注重操作性和協(xié)調(diào)性。中國石化根據(jù)內(nèi)部管理和外部監(jiān)管的新要求、新情況，針對內(nèi)部控制實(shí)際運(yùn)行和監(jiān)督檢查中發(fā)現(xiàn)的各類問題，對內(nèi)控手冊進(jìn)行動(dòng)態(tài)更新。所屬企業(yè)也結(jié)合實(shí)際，制定相應(yīng)的實(shí)施細(xì)則，構(gòu)建了中國石化及其所屬企業(yè)兩級(jí)內(nèi)部控制制度體系。在總部層面，先后對內(nèi)控手冊進(jìn)行了7次的年度集中修訂和補(bǔ)充完善，于2011年1月1日發(fā)布實(shí)施《中國石化內(nèi)部控制手冊（2011年版）》。修訂后的內(nèi)控手冊，全面覆蓋了基本規(guī)范及配套指引的要求，初步實(shí)現(xiàn)了全方位的內(nèi)部控制。為與內(nèi)控手冊保持一致，對截至2010年年底總部印發(fā)的1500多個(gè)制度進(jìn)行集中梳理，廢止230多個(gè)，合并、存檔備查300多個(gè)。經(jīng)過梳理，公司制度從橫向上分為主營業(yè)務(wù)制度和管理與支持服務(wù)制度共30大類，內(nèi)含157個(gè)種類。這些制度與內(nèi)部控制相關(guān)的制度和內(nèi)控手冊，共同構(gòu)成完整的公司制度化管理體系。

3.內(nèi)部控制與業(yè)務(wù)流程相結(jié)合。在全面梳理各項(xiàng)業(yè)務(wù)和重大事項(xiàng)，認(rèn)真分析關(guān)鍵環(huán)節(jié)存在的各種內(nèi)外風(fēng)險(xiǎn)的基礎(chǔ)上，結(jié)合石化生產(chǎn)經(jīng)營的特點(diǎn)，采用編制業(yè)務(wù)流程及控制矩陣的方式進(jìn)行系統(tǒng)控制。中國石化統(tǒng)一制定《權(quán)限指引》，合理分配權(quán)限和責(zé)任，對授權(quán)進(jìn)行系統(tǒng)管理，強(qiáng)調(diào)全員、全過程控制，打破公司內(nèi)部條條塊塊的管理界限，有效整合各種資源，提高公司整體控制和決策能力。

4.內(nèi)部控制與風(fēng)險(xiǎn)管理相結(jié)合。內(nèi)部控制的宗旨是防范和控制風(fēng)險(xiǎn)。中國石化收集整理公司內(nèi)外部各類風(fēng)險(xiǎn)信息，借鑒國內(nèi)外石化行業(yè)的最佳實(shí)踐，匯總形成了風(fēng)險(xiǎn)清單。對已識(shí)別風(fēng)險(xiǎn)通過調(diào)查問卷、訪談、專項(xiàng)會(huì)議等形式進(jìn)行科學(xué)的風(fēng)險(xiǎn)評(píng)估，確定了各類風(fēng)險(xiǎn)差異化的容忍程度，設(shè)計(jì)了中國石化風(fēng)險(xiǎn)庫模板和風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，自覺地將風(fēng)險(xiǎn)控制在可承受范圍之內(nèi)。

5.內(nèi)部控制與信息系統(tǒng)相結(jié)合。按照《信息系統(tǒng)應(yīng)用指引》的要求，結(jié)合國際上公認(rèn)的信息系統(tǒng)控制標(biāo)準(zhǔn)，進(jìn)一步梳理和優(yōu)化了公司信息系統(tǒng)的整體控制、一般控制和應(yīng)用控制。在加強(qiáng)應(yīng)用控制方面，針對ERP系統(tǒng)、資金集中管理系統(tǒng)、會(huì)計(jì)集中核算系統(tǒng)、加油卡系統(tǒng)等應(yīng)用系統(tǒng)，從系統(tǒng)業(yè)務(wù)流程出發(fā)，對其控制功能在實(shí)際應(yīng)用中的風(fēng)險(xiǎn)重新梳理，并加以識(shí)別、分析和記錄。根據(jù)系統(tǒng)控制的特點(diǎn)，從系統(tǒng)權(quán)限、職責(zé)分離、配置、業(yè)務(wù)操作等方面，完善系統(tǒng)狀態(tài)下的控制要求，建立控制措施與系統(tǒng)業(yè)務(wù)流程的映射關(guān)系，使之更加明確、具體，容易為系統(tǒng)的操作和管理人員所遵循。

6.內(nèi)部控制與企業(yè)實(shí)際相結(jié)合。自主設(shè)計(jì)符合中國石化生產(chǎn)經(jīng)營特點(diǎn)的內(nèi)部控制制度。以公司章程和現(xiàn)行的各項(xiàng)規(guī)章制度為基礎(chǔ)，追根溯源、抽絲剝繭，全面總結(jié)提煉石化系統(tǒng)的管理經(jīng)驗(yàn)，使內(nèi)部控制制度盡可能地包容現(xiàn)行的各項(xiàng)規(guī)章制度，實(shí)現(xiàn)傳統(tǒng)優(yōu)秀管理方法與國際先進(jìn)管理方法的融合。

思考題：

1.中國石化的內(nèi)控制度設(shè)計(jì)體現(xiàn)了哪些設(shè)計(jì)原則？

2.中國石化是如何構(gòu)建內(nèi)部控制體系的？

3.結(jié)合本案例及中國石油案例說明企業(yè)內(nèi)部控制手冊應(yīng)如何設(shè)計(jì)更有效。