企业内部控制手册编制指南

企业内部控制手册编制指南第二章编制前准备2.1组建编制团队手册编制需跨部门协作，建议组建专项工作组，成员包括：组长：企业负责人（如总经理），负责统筹协调；副组长：财务负责人/内控负责人，负责具体执行；成员：各部门负责人（如采购、销售、生产、人力资源），负责提供业务流程信息；支持：内部审计人员/外部咨询顾问，负责审核与专业指导。2.2现状评估编制手册前，需先评估企业现有内控现状，识别gaps（差距）。常用方法包括：2.2.1访谈法对象：各部门负责人、关键岗位员工；内容：了解现有业务流程、控制措施、存在的问题（如流程冗余、风险未覆盖）；示例问题：“采购流程中，供应商选择的审批环节是怎样的？”“是否有员工反馈流程效率低？”。2.2.2问卷法设计内控现状调查问卷，覆盖五要素，示例：问题选项（是/否/部分）企业是否明确了各部门的职责与权限？□是□否□部分采购流程中，是否对供应商进行了定期评估？□是□否□部分2.2.3流程穿行测试选择1-2个典型业务流程（如“采购-付款”“销售-收款”），跟踪从起点到终点的全流程，检查：流程是否与制度一致；关键控制点是否有效执行；文档记录是否完整（如审批单、合同、验收报告）。2.2.4风险识别通过上述方法，识别企业面临的主要风险，如：战略风险：市场份额下降；运营风险：采购成本过高、产品质量缺陷；财务风险：应收账款逾期、资金占用；合规风险：未遵守环保法规、税务违规。2.3制定编制计划根据现状评估结果，制定详细的编制计划，包括：时间节点：如“1个月完成现状评估，2个月完成内容编写，1个月审核发布”；分工安排：明确各部门负责的章节（如采购部负责“采购流程”，财务部负责“财务报告流程”）；预算：包括咨询费、培训费、印刷费等。第三章手册核心内容设计手册的核心是内控五要素的具体落地，以下分模块说明编制要点。3.1控制环境：奠定内控基础控制环境是内控的“土壤”，决定了企业的内控文化与执行力度。编制要点包括：3.1.1组织架构明确治理层（董事会、监事会）与管理层的职责：董事会：负责制定内控战略，监督管理层执行；监事会：负责监督董事会与管理层的履职情况；管理层：负责实施内控，落实具体措施。绘制组织架构图，标注各部门的职责与汇报关系（示例见附录1）；制定部门职责说明书，明确各部门的核心职能（如“采购部：负责供应商管理、采购执行、成本控制”）；制定权限指引表，明确各岗位的审批权限（如“采购金额≤10万元，采购经理审批；10-50万元，财务总监审批；＞50万元，总经理审批”）。3.1.2企业文化明确企业的核心价值观（如“诚信、合规、创新”），并融入内控要求；制定员工行为准则，规范员工的职业行为（如“禁止收受供应商贿赂”“禁止泄露企业机密”）；说明企业文化的宣贯方式（如新人培训、年度文化活动）。3.1.3人力资源政策制定招聘与选拔标准，强调内控意识（如“财务岗位需具备会计从业资格，无不良记录”）；制定培训计划，包括内控知识培训（如“新员工需参加内控流程培训”“每年至少1次全员内控培训”）；制定绩效考核与奖惩机制，将内控执行情况纳入考核（如“流程执行到位的部门，给予奖励；违反内控的员工，给予处罚”）。3.1.4内部审计明确内部审计部门的职责：“负责监督内控执行情况，识别风险，提出整改建议”；制定内部审计计划，明确审计频率（如“每年对所有核心流程审计1次”）。3.2风险评估：识别与应对风险风险评估是内控的“指南针”，需定期开展（如每年1次）。编制要点包括：3.2.1风险识别方法：访谈、问卷、历史数据（如过往的投诉、损失事件）；输出：风险清单（示例见附录2），包括风险描述、涉及流程、责任部门。3.2.2风险分析维度：可能性（发生概率，如“高/中/低”）、影响程度（对企业的影响，如“重大/中等/轻微”）；工具：风险矩阵（示例见下表），将风险分为“高风险”（可能性高+影响大）、“中风险”（可能性中+影响中）、“低风险”（可能性低+影响小）。可能性\影响程度重大中等轻微高高风险高风险中风险中高风险中风险低风险低中风险低风险低风险3.2.3风险应对根据风险等级，选择应对措施：高风险：规避（如停止高风险业务）、降低（如加强控制措施）；中风险：降低（如优化流程）、转移（如购买保险）；低风险：接受（如定期监控）。示例：“采购流程中，‘供应商未按合同交货’属于高风险，应对措施为‘建立供应商履约评估机制，每季度评估一次，对履约差的供应商终止合作’”。3.3控制活动：规范业务流程控制活动是内控的“执行层”，需覆盖企业所有核心业务流程（如采购、销售、财务、资产管理）。编制要点包括：3.3.1流程分类将企业业务分为核心流程（直接影响企业盈利与风险的流程，如“采购-付款”“销售-收款”）与支持流程（辅助核心流程的流程，如“人力资源管理”“信息系统管理”），优先编制核心流程。3.3.2流程设计步骤以“采购-付款流程”为例，说明流程设计步骤：1.绘制流程图：用符号表示流程步骤（如椭圆表示起点/终点，矩形表示操作，菱形表示决策），标注关键控制点（示例见附录3）；2.识别关键控制点（KCP）：指对防范风险起关键作用的环节（如“供应商准入审批”“合同签订”“验收付款”）；3.制定控制措施：针对每个KCP，明确“怎么做”（如“供应商准入需由采购、质量、财务部门联合评估，填写《供应商评估表》，经采购经理审批”）；4.明确责任部门与岗位：谁负责执行（如“采购部负责供应商评估，质量部负责质量检测”）；5.文档记录要求：需要保留哪些记录（如《供应商评估表》《合同》《验收报告》）；6.监督方式：谁负责监督（如“审计部每季度检查供应商审批记录”）。3.3.3控制矩阵模板为便于管理，建议将每个流程的控制要求整理为控制矩阵（示例见附录4），内容包括：流程步骤：如“1.需求申请”“2.供应商选择”；关键控制点：如“需求申请需经部门负责人审批”；控制措施：如“填写《需求申请表》，部门负责人签字”；责任部门/岗位：如“需求部门负责人”；文档记录：如《需求申请表》；监督方式：如“财务部每月核对需求申请与预算”。3.4信息与沟通：确保信息传递顺畅信息与沟通是内控的“神经网络”，需确保信息及时、准确传递。编制要点包括：3.4.1内部信息传递明确信息传递流程：如“财务报告需经财务总监审核后，提交给总经理，再由总经理提交给董事会”；制定信息传递时限：如“月度财务报告需在次月5日前提交”；建立员工反馈机制：如“员工可通过内部邮箱、意见箱反馈流程问题，人力资源部每月汇总反馈情况”。3.4.2外部信息沟通明确外部沟通渠道：如“客户投诉需由销售部负责处理，24小时内响应，7日内反馈结果”；制定监管信息报送流程：如“税务申报需由财务部负责，在规定期限内提交”；建立供应商/客户沟通机制：如“每季度召开供应商大会，反馈质量问题”。3.4.3信息系统明确信息系统的控制要求：如“系统权限需根据岗位设置（如采购经理可查看供应商信息，不可修改）”；制定数据安全措施：如“数据每日备份，存储在加密服务器”；建立系统审计机制：如“每年由信息部门对系统进行安全审计”。3.5内部监督：确保内控有效执行内部监督是内控的“免疫系统”，需定期检查内控执行情况。编制要点包括：3.5.1监督方式日常监督：由各部门自行开展，如“采购部每月检查供应商履约情况”；专项监督：由内部审计部门开展，如“每年对‘销售-收款’流程进行审计”；外部监督：由外部审计机构开展，如“上市公司每年需进行内控审计”。3.5.2监督流程制定监督计划：明确监督的范围、频率、人员；实施监督：采用访谈、检查文档、穿行测试等方法；输出监督报告：包括发现的问题、整改建议、责任部门；跟踪整改：要求责任部门在规定期限内整改（如“30日内完成整改”），并验证整改效果。3.5.3责任追究制定责任追究制度：对违反内控的行为进行处罚（如“未按规定审批采购合同，扣减当事人当月奖金”）；建立激励机制：对内控执行好的部门或员工进行奖励（如“年度内控先进部门，给予奖金”）。第四章手册审核与发布4.1内部审核手册编制完成后，需进行三级审核：1.部门审核：各部门负责人审核本部门负责的章节（如采购部审核“采购流程”），确保流程与实际一致；2.内控部门审核：内控负责人审核手册的完整性、合规性（如是否覆盖所有核心流程，是否符合《企业内部控制基本规范》）；3.审计部门审核：内部审计人员审核手册的可操作性（如控制措施是否有效，监督方式是否可行）。4.2外部咨询（可选）对于复杂或规模较大的企业，可邀请外部咨询顾问（如会计师事务所、内控咨询公司）进行审核，提供专业意见。4.3管理层审批手册经内部审核与外部咨询后，需提交董事会审批（如需），或由企业负责人审批（中小企业），确保手册的权威性。4.4发布与宣贯发布：通过企业内部系统（如OA系统）、邮件、印刷版等方式发布手册；宣贯：开展培训，覆盖所有员工：高层培训：针对管理层，强调内控的重要性；中层培训：针对部门负责人，强调其在内控中的责任；基层培训：针对普通员工，培训具体流程与控制措施（如“如何填写《采购申请表》”“如何反馈流程问题”）。第五章手册实施与维护5.1执行机制责任落实：每个流程指定流程负责人（如“采购流程负责人为采购部经理”），负责流程的执行与监督；流程执行：要求员工严格按照手册执行流程，如“采购申请必须填写《采购申请表》，经部门负责人审批后提交采购部”；文档记录：要求保留所有控制活动的记录（如审批单、合同、验收报告），便于监督与审计。5.2监督与反馈日常监督：各部门每月检查流程执行情况，填写《流程执行检查表》（示例见附录5）；专项检查：内部审计部门每季度开展一次专项检查，重点检查高风险流程（如“采购-付款”“销售-收款”）；反馈渠道：建立内控反馈机制，如“员工可通过OA系统提交《内控问题反馈表》，内控部门每月汇总反馈情况，及时解决问题”。5.3更新与优化手册不是“一成不变”的，需定期评审与更新（如每年1次），调整内容以适应：企业战略变化（如拓展新业务）；业务流程变化（如优化采购流程）；外部环境变化（如监管要求调整）；监督中发现的问题（如控制措施无效）。更新流程：1.收集更新需求（如各部门提出的流程优化建议）；2.评估需求的必要性（如是否符合企业战略，是否能提升效率）；3.修改手册内容（如调整流程步骤、控制措施）；4.重新审核与发布（参考第四章）。第六章附录附录1：组织架构图示例（此处插入组织架构图，标注董事会、监事会、管理层、各部门的职责与汇报关系）附录2：风险清单模板风险描述涉及流程责任部门可能性影响程度风险等级应对措施供应商未按合同交货采购流程采购部高重大高风险建立供应商履约评估机制，每季度评估一次应收账款逾期销售流程销售部中重大高风险制定应收账款催收制度，每月核对账龄附录3：采购-付款流程流程图示例（此处插入流程图，用符号表示“需求申请→供应商选择→合同签订→验收→付款”等步骤，标注关键控制点）附录4：控制矩阵模板（采购流程）流程步骤关键控制点控制措施责任部门/岗位文档记录监督方式需求申请需求需经部门负责人审批填写《需求申请表》，部门负责人签字需求部门负责人《需求申请表》财务部每月核对供应商选择供应商需经联合评估采购、质量、财务部门联合评估，填写《供应商评估表》采购部经理《供应商评估表》审计部每季度检查合同签订合同需经法务审核法务部审核合同条款，填写《合同审核意见表》法务部负责人《合同》《合同审核意见表》财务部每月核对附录5：流程执行检查表模板流程名称检查日期检查项目执行情况（是/否）问题描述整改责任人整改期限采购流程____需求申请是否经部门负责人审批是无采购部经理-采购流程____供应商选择是否经联合评估否某笔采购未填写《供应商评估表》采购部业务员____附录6：参考文件《企业内部控制基本规范》（财政部等五部委，2008）；《企业内部控制配套指引》（财政部等五部委，2010）；COSO《内部控制整合框架》（2013）；《中华人民共和国公司法》（2023修订）。结语《企业内部控制手册》的编制不是终点，而是内控体系建设的起点。企业需持续关注手册的执行情况，定期更新优化，确保