内控制度包括哪些(内部控制构成)

控制环境

这是所有其他内控组成部分的基础，决定了组织的基调，影响着员工的控制意识。它被称为“内部控制的最高层”，主要包括：

• 诚信与道德价值观：这是企业文化的灵魂，管理层必须通过言行树立诚信的榜样，并建立明确的道德行为准则。
• 管理层的经营理念与风格：管理层对风险的态度、决策方式以及对财务报告和合规的重视程度，直接塑造了控制环境。
• 组织结构：清晰合理的权责分配、报告路线和制衡机制，是控制有效运行的前提。
• 人力资源政策与实践：招聘、培训、评价、晋升和薪酬政策，应能确保员工具备并维持应有的胜任能力和诚信品质。
• 董事会及其委员会的参与程度：一个独立、积极、具备专业能力的董事会及审计委员会，对监督管理层、强化控制环境至关重要。

风险评估

企业必须识别、分析和管理实现其目标所面临的相关风险。这是一个动态的、持续的过程，包括：

• 目标设定：明确、可衡量、与使命相协调的运营、报告和合规目标，是风险评估的前提。
• 风险识别：内外部因素都可能带来风险，需系统性地识别可能阻碍目标实现的潜在事件。
• 风险分析：评估已识别风险发生的可能性和影响程度，作为决定如何管理风险的依据。
• 风险应对：管理层选择风险规避、降低、分担或承受等策略，将风险控制在可接受水平。

控制活动

这是为确保管理层的风险应对策略得以执行而制定的政策和程序。它们贯穿于整个组织，存在于各个层级和各项职能中，具体形式多样：

• 审批与授权：确保所有交易和重大活动都经过适当层级的批准。
• 职责分离：将交易授权、记录、资产保管等不相容职责分配给不同员工，以减少错误或舞弊的机会。
• 业绩复核：管理层将实际业绩与预算、预测、前期业绩等进行比较分析。
• 信息处理控制：包括一般控制（如系统开发、变更管理）和应用控制（如输入、处理、输出控制），保证信息系统的安全与准确。
• 实物控制：对资产（如现金、存货、设备）和记录进行物理安全保护，包括访问限制、定期盘点等。

信息与沟通

相关的信息必须以某种形式和时间框架被识别、获取和传递，使员工能够履行其职责。有效的沟通必须广泛进行，贯穿组织上下及横向之间。

• 内部信息：生成包含运营、财务和合规数据的内部报告，为决策和控制提供依据。
• 外部信息：获取影响决策的市场变化、法律法规、客户反馈等外部信息。
• 内部沟通：员工了解其在内控体系中的角色与责任，并能够向上报告重要信息。
• 外部沟通：与客户、供应商、监管者及股东等进行有效沟通，传达相关信息和期望。

监督活动

对内控体系运行质量进行持续或定期的独立评估。通过监督，能够发现内控缺陷并及时加以修正。

• 持续监控：嵌入日常经营活动的例行管理和监督行为，如经理对日常报告的复核。
• 单独评价：由内部审计部门、外部审计师或专门小组进行的定期、重点突出的评估。
• 缺陷报告：建立机制确保发现的内部控制缺陷能向上报告，严重问题能直达最高层及董事会。

主要业务循环内部控制

• 销售与收款循环：涉及客户信用评估、销售合同审批、发货控制、发票开具、应收账款记录与催收、收款与核对等环节的控制，核心是保证销售收入真实完整、货款及时回收。
• 采购与付款循环：包括请购审批、供应商选择、采购订单控制、验收入库、应付账款确认、付款审批与执行等控制，旨在确保采购物美价廉、付款安全合规。
• 生产与存货循环：涵盖生产计划、物料领用、成本核算、在产品管理、产成品入库与发出、存货盘点与减值测试等控制，目标是保障资产安全、成本准确、流转高效。
• 筹资与投资循环：涉及筹资方案论证与审批、合同签订、资金到位与使用监控、利息股利计算支付；投资可行性研究、决策审批、资产取得与保管、收益确认与处置等控制，以防范资金风险、保障投资效益。
• 货币资金循环：这是最敏感的领域，包括岗位分离、银行账户管理、票据与印章管理、收支审批与复核、定期对账、现金盘点等严格的控制措施，确保资金安全与完整。

关键职能领域内部控制

• 财务报告内部控制：特指为了合理保证财务报告及相关信息的真实、完整而设计和运行的控制。这是萨班斯-奥克斯利法案等法规的重点要求，涉及从交易发生到报表生成的全过程。
• 信息系统一般控制：涵盖IT治理、系统开发与变更、系统访问安全、数据中心运营等，为所有应用系统提供安全可靠的运行环境。
• 合规管理内部控制：旨在确保企业活动遵守适用的法律法规、行业规范及内部政策，包括合规风险识别、制度建立、培训、监控与举报机制等。
• 资产管理内部控制：针对固定资产、无形资产等长期资产，从购置、登记、使用、维护到处置的全生命周期控制。
• 合同管理内部控制：包括合同起草、审核、签订、履行、变更、归档等环节的控制，以防范法律与商业风险。

内控手册与基本规范

这是内控制度的纲领性文件，通常阐述内控的目标、原则、总体框架、组织与职责、核心要素要求等。它相当于企业内控的“宪法”，由最高管理层或董事会批准发布。

具体政策与管理办法

针对某一特定领域或风险制定的原则性规定，如《财务审批权限管理办法》、《供应商管理规定》、《信息安全政策》等。它明确了“做什么”和“为什么做”。

业务流程与操作程序

这是将政策具体化的文件，以流程图、文字描述等形式，详细规定某一业务从发起到结束的每一个步骤、负责岗位、操作要求、流转单据等。它解决了“怎么做”的问题，是员工日常工作的直接依据。

岗位职责说明书与权限表

明确每个岗位在内控体系中的具体职责、权限以及汇报关系，是落实职责分离和授权审批的基础。

记录与表单

控制活动执行过程中产生的各类文档、记录、系统日志、签字审批单等。它们是控制活动发生的证据，也是监督和追溯的依据。

与战略和风险导向相结合

内控制度的设计必须服务于企业战略目标的实现，并以风险评估为导向，将资源集中于关键风险领域，避免控制过度或不足。

成本效益原则

实施控制的成本不应超过因风险降低而可能带来的收益。管理层需要权衡，寻找控制力度与运营效率之间的最佳平衡点。

动态适应性

企业面临的内外部环境不断变化，内控制度必须具有弹性，能够随着业务发展、规模扩张、法规更新和技术进步而及时调整和完善。

人的因素至关重要

再完美的制度也需要人来执行。管理层的重视、员工的诚信与能力、全员内控意识的培养，是内控制度能否“活起来”的决定性因素。

信息技术的深度融合

在数字化时代，将控制点嵌入企业资源计划（ERP）、业务财务一体化等信息系统，可以实现更高效、更精准、更不易逾越的控制，提升内控的自动化与智能化水平。