本文就围绕建立内控管理体系，谈落地的十个步骤。

一、召开实施内控建设启动大会，领导重视是关键，上下动员，全员参与

1、内控的管理责任。《企业内部控制基本规范》规定，公司董事会对企业内控的建立实施负责;经理班子对内控的日常运营管理负责;监事会对内控体系建立、实施进行监督;董事会审计委员会负责审核内控自我评价报告。

2、领导重视是关键。由此可以看出，董事会对内控建立负总责，强调领导一定要高度重视这项工作，只有领导重视，才能给予内控建立上人力、物力、财力投入上的支持，并在实施上做到政令畅通，令行禁止，保证内控的顺利推进。常见的误区，领导都认为：内控都是虚的，赚钱才是实在的。胡乱应付一下，满足上市的需要就好。即使做了内控体系，也是写的和做的是两张皮。殊不知，这样的错误认知，都会导致内控的方向偏差，最终影响实效性。内控的目的，是为了实现战略目标，降低风险，采取的一系列自我约束、规范、控制、评价、改进的手段和措施的总称，随着企业规模壮大和发展速度加快，企业更要重视做好内控，因为风险加大，需要强有力的内控来降低风险，促进目标的实现，同时，来保证财务报告的真实、准确、完整。

3、内控启动会讲什么。启动会一般内容：

(1)讲企业的发展战略和近期目标

(2)企业为什么要做内控;

(3)企业建立内控的计划;

(4)宣布建立内控管理的领导机构和责任，明确内控管理的分管领导、归口部门、各单位的兼职内控管理员，便于协调推进;

(5)建立监督和奖惩机制。

二、组织内控知识培训，了解内控体系及目标和任务

聘请专业人士或中介机构对干部员工进行内控基本知识培训，主要将内控的发展史、为什么做内控、内控的概念、目标、框架体系和实施的核心逻辑、步骤以及内控自我评价、监督改进、外部审计。

三、调研了解现状，查找内控存在的问题和薄弱环节

1、调研的目的。通过了解现状，找出问题和薄弱环节，目的是为了抓住内控改进的牛鼻子，做到有针对性，减少盲目，注重实效性。

2、调研的方式。主要有：

(1)穿行测试。依照《内部控制基本规范》《内部控制配套指引》《内部控制评价指引》等对相关业务流程进行测试，发现缺陷集中的环节和流程。

(2)对高层、中层及部分核心员工的访谈;

(3)对公司生产工艺流程、组织运行情况进行梳理，找出问题症结，并进行项目内部分析;

(4)公司现有运营、管理资料的分析整理，判断符合性、有效性。

3、调研情况汇报。

(1)调研报告格式。现状分析、存在问题及建议、改进计划、预期成果等。

(2)汇报对象。要求企业的董事长、总经理等高管要参加会议，听取汇报，对存在的问题进行确认，明确改进计划，确认预期成果能否满足要求。

四、优化组织架构，清晰权责

组织架构是企业经营活动的承载者，也是流程控制活动的实施者，要求组织架构的形式适应生产经营活动和内控的要求。

1、组织架构的适宜性。一是组织形式与发展阶段、规模、产品服务情况相匹配，如选择职能制、事业部制、矩阵制等;二是部门和岗位的设计既要满足价值链和业务流程运营的需要，也要满足内控的需要;如生产单元与成品库分设、采购决策与执行岗位的不相容、会计与出纳的分设等要满足内控的要求，考虑团队成熟度、管理层级等因素设计部门和岗位，体现简单、高效、控制有效。

2、权责义务的清晰性。在确定组织架构的基础上，明确职能部门的职责、确定岗位定员，形成岗位说明书，尤其要明确部门、岗位在内控体系中承担的职责，在此基础上，结合业务流程，形成每个岗位的权责清单。

这些内容的完成是梳理内控体系，编制体系文件的基础，这部分内控构成了内控管理体系框架中内部控制环境的重要内容 。

五、围绕关键目标，评估风险，依托流程实施控制活动

在明确组织架构和职责的基础上，实施控制活动是构建内控体系中最关键的一步。内控框架由内控环境、风险评估、控制活动、信息沟通、监督等五部分组成。

在编写体系文件之前，要结合上述的调研报告中识别的存在问题和薄弱环节，围绕关键目标、核心流程，识别风险点，采取有效的内控措施进行控制。

1、确定目标。

围绕战略和公司存在的问题，结合公司发展战略和年度目标，梳理业务流程的目标，只有目标清晰了，才能解决为什么做内控的问题，使内控管理成为有本之木、有源之水。

2、识别风险。

从内控的框架体系中，我们看到要进行风险评估，通过风险识别、风险分析，找出风险点和问题所在，进而采取控制措施，降低和消除风险，评估的目的是内控要解决是什么问题，做到有的放矢，有针对性，而不是本本主义，依托《企业内部控制应用指引》，眉毛胡子一把抓，不能突出重点，无法保证企业内控的实效性。

3、实施内控。

在识别风险的基础上，就要采取措施进行控制。

(1)梳理流程。内控措施是要嵌入流程中的，所以要先梳理流程，实施流程再造。流程的梳理也要关注：

一是梳理业务流程。即研发、采购、生产、销售、售后等关键业务流程，流程链条列出之后，要评估流程的合理性，风险点在哪里?存在的问题是否找准了。

二是梳理管理流程。即按照计划-执行-检查-改进的思路，梳理业务流程，依托这个流程设计控制活动，分配部门职责和权限清单，这样构成一个PDCA循环，实现螺旋上升，持续改进。

(2)内控措施。在流程再造的基础上，采取内控措施，降低风险，消除风险才是目的。控制的手段分为线上和线下形式，线上控制主要依托信息化进行控制。控制方式上依据风险的不同，采取多样化控制方式，如不相容控制、审核、审批、比对、序号控制、函证等。

六、组织内控体系文件编写，中介机构做好指导

1、内控管理体系文件的结构。一般情况下，企业规模大、产品多的企业内控管理体系文件的架构为：

(1)《内部控制手册》，主要对《企业内部控制应用指引》编写，解决内部职责划分、流程梳理、风险点识别和内控措施等问题。一般结构有：总则、业务流程、控制矩阵、权限指引或清单等。

(2)《内部控制管理制度》，主要是对《内部控制手册》的细化，《内部控制管理制度》是从实际操作层面进行的详细描述。

(3)《内部控制评价手册》，主要由总责、职责分工、制定评价方案、组织实施评价、内部缺陷认定程序、内部控制缺陷报告、附则等构成。

各个企业可以依据自己的实际情况，将上述内容进行合并、删减，做到简单、实效。

2、文件编写注意事项。

(1)合规性、符合性。对照内部控制基本规范，编写体系文件结构相同，逻辑符合内控框架，有五个部分组成，强调规定动作。

(2)兼顾超前性。内控手册、制度汇编中的发展战略规划、企业文化管理、全面预算管理、信息化管理等高起点进行设计。

(3)实操性。对业务流程设计规划，既考虑兼顾合规，又考虑效率，体现操作使用。根据财务梳理结果，在销售业务中，增加发货调换货流程，避免成本核算出现差错。结合实际，企业没有外包业务，删减了业务外包流程等。

(4)简洁性。如有的企业将文档管理及印章管理合并，强调简单实效。

七、内控体系文件评审会签，定稿下发

归口管理单位组织与流程实施有关的部门，讨论制度落实的可落地性，对于不切合实际的，可以调整修改，做到流程简单，链条最短。

在实际操作中，执行单位会因为感觉执行麻烦，要求提供表单资料多，要求删减流程，或变通执行流程，如公开招标环节，会因为招标周期长、程序复杂，会要求降低招标限额，或更换招标方式，采用询价比价方式替代，这时就要坚持原则，不折不扣执行好制度。

会签的过程，是一个讨论争吵的过程，坚持民主集中制原则，既要听取意见，也要坚持内控的必要原则。通过会签，做到意见的相对统一，定稿下发执行。

八、内控体系文件培训，贯彻执行

公司层面组织好《内部控制手册》的培训，讲清楚职责权限，清晰控制实施的程序。

各单位组织好《内部控制管理制度》的培训，关注相关控制文档、表单的填写，做好落地前的准备工作。

九、监督评价，完善改进

内部控制评价工作严格遵循基本规范、评价指引及公司内部控制评价办法规定的程序执行，监督部门编制审核计划——领导审批——组成审核组——编制检查表——实施审核——汇总认定缺陷——编制报告等。

审核单位的安排，遵循穿行测试的顺序，按照从前到后的逻辑，安排审核单位，便于发现审核缺陷。被审核单位、审核人员落实不相容要求。审核内容建议编制更加详细的检查表，内容主要依据内控手册和评价手册的相关内容确定。

评价过程中，一般采用(个别访谈、调查问题、专题讨论、穿行测试、实地查验、抽样和比较分析)等适当方法，广泛收集公司内部控制设计和运行是否有效的证据，如实填写评价工作底稿，分析、识别内部控制缺陷〔说明评价方法的适当性及证据的充分性〕。

评价关注的重点，九大业务层面的内控测试内容(采购业务、工资与人事、生产与仓储、销售与收款、筹资与投资、固定资产管理、在建工程管理、研究与开发管理、货币资金管理、信息系统管理)等。

内控评价报告报董事会审批之后，监督单位要向被审核单位进行反馈，组织做好整改工作，实现持续改进。

必要时，请第三方中介机构做好内控审计。

十、做好准备，迎接会计师的内控监督审计

各单位组织做好内控实施工作，尤其要保证相关留痕表单的完整，迎接会计师内控审计，保证让会计师出具无保留意见的内控审计报告。