企业内部控制是企业对财务、人员、资产和工作流程进行有效监督，以保证经营管理活动正常、有序、合法运行的一系列活动。企业内部控制是衡量企业是粗放还是精细，是初创还是稳健发展的重要指标，也是验证企业是否具有工作效率和管理能力的重要体现。通过精细化管理手段，将法律风险控制、财务管理、人力资源等一系列制度和标准融入企业内部控制，是企业发展壮大的重要举措!

一、内部控制的基本概念

内部控制是指由企业董事会(或企业章程规定的经理室、董事室等类似的决策和治理机构，以下简称董事会)、管理层和全体员工共同实施的，旨在合理保证企业基本目标实现的一系列控制活动。

内部控制功能是指内部控制内在功能在实际工作中对企业生产经营活动和外部社会经济活动的影响和作用。

在社会化大生产中，内部控制作为企业生产经营活动自我调节和自我约束的内在机制，在企业中枢神经系统中处于重要地位。

企业越大，越重要。可以说，内部控制的健全和执行是公司经营成败的关键。

二、企业内部控制存在的问题

企业在生存和发展过程中，必然面临各种风险，如决策管理风险、政策法规风险、系统缺陷风险、流动性风险、市场风险、信用风险和操作风险。面对风险，企业并非无能为力，可以通过建立内控制度来防范和化解风险。

但是，企业最大的风险在于对风险的无知和漠视。已知的风险必须有相应的控制措施，而未知的风险往往难以防范。

企业往往找不到自己的风险。

第一，是时时刻刻变化的复杂环境造成的。

第二，另一个原因灯下黑，不知道风险在哪里，当然不可能采取控制措施来处理它们。

三、建立内部控制制度的关键步骤

关键步骤一：建立一个框架

企业内部控制体系的框架基于四层方法:

一级划分(横向)：按行业划分，分为传统制造业、化学工业、金融投资、房地产、建筑施工、物流、商业流通、服务和移动互联网……;

第二层次划分(横向)：根据企业所处的阶段，分为孵化期企业、成长期企业、成熟期企业和衰退期企业;

第三层(纵向)：按企业类型分为多元化集团、专业化集团、单一企业和分支机构;

第四层(纵向)：按照专业分类，企业内部控制包括:公司层面的控制、业务层面的控制和信息层面的控制。

公司层面的内部控制包括：组织架构、人力资源、社会责任和企业文化;

业务活动的内部控制包括：战略、人力资源、资金、采购、资产、销售、研发、工程、担保、业务外包、财务报告、全面预算和合同管理;

信息层内部控制包括：内部信息传递和信息系统。

企业如果不按照四层框架分析来构建自己的内部控制体系，就会走入内部控制建设的误区，要么流于形式，要么建立的内部控制体系不符合企业的实际情况，就像给自己穿了一件不合适的外衣，内部控制就成了一种负担。

比如一个集团企业正处于快速发展阶段，与多元化、分子公司多无关。从集团的角度，如何控制分子公司，不管哪个，如何将内部控制与集团管控融合，建议企业内控建设从财务内控入手，梳理和设计财务内控管理体系，原因有三:

首先，财务管理体系是整个集团运营的核心，解决了财务管理体系的关键矛盾，整个集团的内控问题至少解决了一半的内控问题。

其次，财务管理部门的管理人员业务水平高，对生产经营的各个环节都有深刻的把握和全面的了解。梳理各项业务活动的内部控制，会起到事半功倍的效果。

再者，从财务管理到企业价值链前端，可以一路延伸到销售、采购、生产、物流、R&D、信息系统架构等。，甚至可以将控制要求延伸到人力资源管理、企业组织结构、公司治理等内部控制环境。

关键第二步：发现风险。

中国企业的发展阶段差异很大。企业在不同的成长阶段、不同的规模、不同的所有制，风险是不一样的。集团企业更关注战略风险、管控风险、法律风险、投资风险、资金风险……而单个企业更关注市场风险、生产风险、质量安全风险。不同的风险，不同形式的内部控制缺陷和不同的控制方式。

发现一个企业的内部控制缺陷，并不是以是否有制度和审批为标准。如果没有，那就是内控设计的缺陷。如果有，但是企业风险仍然存在，这是一个执行缺陷。企业很多问题都是设计有一些问题，但是执行不了，或者设计没有。执行中往往有既定的不成文的规定。

那么，有经验的人和没有经验的人对这个缺陷的判断会有很大的差异。当一个缺陷被识别出来后，内部控制系统会按照原来的逻辑进行设计，梳理流程，加强对关键点和风险点的控制，并通过制度固化下来。

当一项内部控制规定在企业的经营实践中无法执行时，单纯提出加强控制并不能解决问题。这种情况一定是企业管理中的客观情况，有企业的一些问题，也有行业的一些特点。

如果是企业问题，就要帮助企业解决执行问题，而不是强制。此时，内部控制与企业的业务、生产、质量控制、激励和分权措施、管控模式、用人机制有关。

当发现某个控制项不能有效实施时，应分析是系统问题还是单一问题。如果是单一问题，解决起来会比较容易。如果是系统性的问题，就要提供专门的解决方案。

关键第三步：建立规则。

企业存在风险，内控管理存在缺陷，需要加强内控文化建设，通过完善一系列制度和流程，形成共同的规则。

内部控制规则最重要的成果是为内部控制而形成的内部控制手册。常规内部控制手册分为六个手册，包括总则、环境分册、风险评估分册、控制活动分册、信息沟通分册和内部监督分册。但是手册的内容构成，不同专业人士提供的产品会有很大的不同，最关键的区别就是“适用性”。是否适用，谁也体会不到。内部控制不仅要解决控制的问题，还要解决企业发展与风险控制的协调问题。

关键第四步：持续评估和提升。

内部控制标准体系是企业内部控制的基本管理要求，在标准的基础上进行控制是最有效率和效果的。内控完善体系是标准化体系运行和完善的机制保障。只有监督改进机制，一个规范的系统才能很好地运行和改进。

内部控制风险与评价，内部控制风险评价报告有时是为了满足上市公司的信息披露，而企业本身需要定期提交真实的内部控制评价报告，让决策层清楚地知道企业存在哪些风险，通过控制措施降低了哪些风险，还存在哪些剩余风险。

只有通过定期评估和持续改进，企业才能处于稳定和上升的发展趋势。内部控制风险评估的最大优势在于，不仅可以帮助企业发现风险，还可以具备评估风险的能力，设计应对风险的模型，通过风险评估工具明确指出控制效果，合理评估剩余风险。

剩余风险是指企业无法控制的战略风险和各业务流程的流程风险。一般来说，剩余风险往往会产生一定的法律后果。它可能导致财务报表的重大错报，管理层的欺诈，甚至破产。对于这种风险，企业家需要有更敏锐的嗅觉和更大的勇气来面对市场经济中存在的不确定性。

第三，企业内部控制的核心节点

1、组织结构

企业要严格按照企业性质，建立符合企业特点的组织机构。企业的组织结构一般包括治理结构和内部组织结构。比如，相应的上市公司要按照上市公司的要求，建立规范的各级股东大会、董事会、监事会、经理层、专业委员会的议事规则，明确决策、执行、监督中的责任和权限，形成科学有效的职责分工和制衡机制。内部组织结构主要是明确完成企业管理层设置的各职能部门。

2、发展战略

企业在分析和预测实际情况和未来趋势的基础上，提出长期发展目标和战略规划。在市场经济环境下，企业实现可持续发展的关键在于制定适合企业内外部环境的发展战略。

3、人力资源

企业制定和实施有利于企业可持续发展的人力资源政策。人力资源政策至少应包括:严格的员工聘用、培训、解雇和辞职程序;完善员工的薪酬、考核、晋升和奖惩机制;加强关键岗位的定期轮岗制度;加强员工培训和继续教育，不断提高员工素质。

4、社会责任

社会责任是指企业在生产经营过程中对社会应当履行的责任和义务，包括安全生产、质量诚信、公平竞争、保护员工合法权益、环境保护、资源节约、促进就业、关注慈善事业等。企业在履行社会责任的同时，提高市场开拓能力，促进创新，树立形象，增强竞争力，与社会、环境全面、协调、可持续发展。

5、企业文化

企业积极加强企业文化建设，统一企业文化理念，严格规范企业形象识别，制定并实施统一的员工行为准则，培育积极向上的价值观和社会责任感，倡导诚实守信、敬业奉献、开拓创新精神和团队合作精神，树立现代管理意识。

6、金融活动

企业经营活动的价值是资本活动，包括筹资、投资和资本运营。资本活动的顺利进行与否关系到企业的生死存亡。筹资与投资活动根据企业筹资与投资的业务流程，对企业筹资与投资中存在的风险进行评估，同时加强企业筹资与投资过程中会计制度的控制，确保业务的会计处理准确，相关凭证齐全，及时掌握企业资金情况。加强营运资金管控，确保营运资金平衡，严格执行预算，提高资金周转效率，灵活调度资金，实现相应营运资金的强管控。

7、采购业务

采购是企业生产经营的起点，是企业实物物流和资金流的连接枢纽之一。采购环节只有几个，包括采购计划、采购定价和供应商选择、采购合同的签订和审核、验收入库等供应链活动，但采购活动的成功与否直接影响到企业的持续生产经营。完善采购业务系统，保证采购活动与财务、仓库、生产等部门的紧密衔接，从而保证企业生产经营的高效有序。

8、资产管理

企业中的存货、无形资产和固定资产占企业总资产的比重较大。如何发挥这类资产的资产利用效率，成为现代企业资产管理的重点。控制库存数量，防范库存不足或积压风险，避免资金占用率过高和资产折旧;注重固定资产的更新和维护，保证企业的生产能力与生产相适应，避免资源浪费;提升核心技术在企业无形资产中的比重，实现企业的可持续发展。

9、销售业务

销售是企业获取利润的直接环节，销售的完成涉及到企业生产经营中其他环节的经营活动。销售环节一般包括销售计划、客户开发及信用管理、销售合同订立、收款发货等。完善销售业务体系，保证销售活动与财务、仓库、生产等部门的紧密联系，从而保证企业销售目标的完成。

10、研究和发展

企业通过研发、新产品的研发和新工艺的创造，可以在市场上占据领先地位，占据更多的市场份额，提升核心竞争力。R&D作为一项高收益活动，伴随着高风险，中期周期长，成本高。从项目立项、R&D过程管理、项目竣工验收、研究成果开发和保护等业务流程进行R&D活动的管控，通过环节控制降低、转移、分散和规避风险。

11、工程项目

一个项目的一般流程包括立项、招标、设计、施工、竣工五个过程。在进行项目内部控制时，应把握两条主线。一条是资金线，包括项目投资估算、设计预算、施工图预算、合同价款、结算价款、竣工决算。二是系统线，包括招标系统、质量控制系统、进度控制系统、安全管理系统、采购管理系统、合同管理系统、档案管理系统等。

12、担保业务

企业担保业务的流程无非就是受理申请、调查评估、审批、签订担保合同、日常监控等几个简单的流程。特别是调查、评估和日常监测要特别注意。不仅要保证被担保企业的实际信用状况符合要求，还要跟踪其经营管理情况。

13、业务外包

企业通过业务外包可以在一定程度上将内部控制风险转移给外部单位，但同时也增加了外包单位业务选择中的风险。

14、财务报告

财务报告作为企业内部控制目标之一，是投资者和债权人进行投资决策的依据。财务报告编制方案及相关财务分析、重要事项披露、对账管理活动、关联交易控制等业务活动有序顺利进行，对实现财务报告的真实完整具有重要意义。

15、全面预算

企业要严格实施预算控制，建立预算组织结构保障，控制预算目标的制定和分解，规范预算编制、审批、上报、审核、下达和分解程序，强化预算控制，强化预算约束，严格控制预算调整的条件和程序，完善预算考核机制，建立企业全面预算管理制度。

16、合同管理

契约贯穿于企业的各项经营活动，是企业内外各种人员之间的纽带。从合同调查、谈判、评审、签订、结算、履约后评价、终止等环节严格控制活动。，从而防范经营风险，降低财务风险，维护自身合法权益，避免不必要的法律纠纷或损失。

17、信息和通信

企业应当全面加强内外部信息沟通，明确相关信息的收集、加工和传递程序，确保信息沟通及时，规范信息披露。信息沟通过程中发现的问题，及时汇报并解决;及时向董事会、监事会和经理传递重要信息。

18、信息系统

企业应当重视信息系统在内部控制中的作用，制定专门机构对信息系统建设实施集中管理，根据内部控制要求，结合组织架构、业务范围、技术能力等因素，制定信息系统总体建设规划，有序组织信息系统的开发、运行和维护，优化管理流程，防范操作风险。