企業(yè)內部控制手冊編制指南第二章編制前準備2.1組建編制團隊手冊編制需跨部門協(xié)作，建議組建專項工作組，成員包括：組長：企業(yè)負責人（如總經理），負責統(tǒng)籌協(xié)調；副組長：財務負責人/內控負責人，負責具體執(zhí)行；成員：各部門負責人（如采購、銷售、生產、人力資源），負責提供業(yè)務流程信息；支持：內部審計人員/外部咨詢顧問，負責審核與專業(yè)指導。2.2現(xiàn)狀評估編制手冊前，需先評估企業(yè)現(xiàn)有內控現(xiàn)狀，識別gaps（差距）。常用方法包括：2.2.1訪談法對象：各部門負責人、關鍵崗位員工；內容：了解現(xiàn)有業(yè)務流程、控制措施、存在的問題（如流程冗余、風險未覆蓋）；示例問題：“采購流程中，供應商選擇的審批環(huán)節(jié)是怎樣的？”“是否有員工反饋流程效率低？”。2.2.2問卷法設計內控現(xiàn)狀調查問卷，覆蓋五要素，示例：問題選項（是/否/部分）企業(yè)是否明確了各部門的職責與權限？□是□否□部分采購流程中，是否對供應商進行了定期評估？□是□否□部分2.2.3流程穿行測試選擇1-2個典型業(yè)務流程（如“采購-付款”“銷售-收款”），跟蹤從起點到終點的全流程，檢查：流程是否與制度一致；關鍵控制點是否有效執(zhí)行；文檔記錄是否完整（如審批單、合同、驗收報告）。2.2.4風險識別通過上述方法，識別企業(yè)面臨的主要風險，如：戰(zhàn)略風險：市場份額下降；運營風險：采購成本過高、產品質量缺陷；財務風險：應收賬款逾期、資金占用；合規(guī)風險：未遵守環(huán)保法規(guī)、稅務違規(guī)。2.3制定編制計劃根據現(xiàn)狀評估結果，制定詳細的編制計劃，包括：時間節(jié)點：如“1個月完成現(xiàn)狀評估，2個月完成內容編寫，1個月審核發(fā)布”；分工安排：明確各部門負責的章節(jié)（如采購部負責“采購流程”，財務部負責“財務報告流程”）；預算：包括咨詢費、培訓費、印刷費等。第三章手冊核心內容設計手冊的核心是內控五要素的具體落地，以下分模塊說明編制要點。3.1控制環(huán)境：奠定內控基礎控制環(huán)境是內控的“土壤”，決定了企業(yè)的內控文化與執(zhí)行力度。編制要點包括：3.1.1組織架構明確治理層（董事會、監(jiān)事會）與管理層的職責：董事會：負責制定內控戰(zhàn)略，監(jiān)督管理層執(zhí)行；監(jiān)事會：負責監(jiān)督董事會與管理層的履職情況；管理層：負責實施內控，落實具體措施。繪制組織架構圖，標注各部門的職責與匯報關系（示例見附錄1）；制定部門職責說明書，明確各部門的核心職能（如“采購部：負責供應商管理、采購執(zhí)行、成本控制”）；制定權限指引表，明確各崗位的審批權限（如“采購金額≤10萬元，采購經理審批；10-50萬元，財務總監(jiān)審批；＞50萬元，總經理審批”）。3.1.2企業(yè)文化明確企業(yè)的核心價值觀（如“誠信、合規(guī)、創(chuàng)新”），并融入內控要求；制定員工行為準則，規(guī)范員工的職業(yè)行為（如“禁止收受供應商賄賂”“禁止泄露企業(yè)機密”）；說明企業(yè)文化的宣貫方式（如新人培訓、年度文化活動）。3.1.3人力資源政策制定招聘與選拔標準，強調內控意識（如“財務崗位需具備會計從業(yè)資格，無不良記錄”）；制定培訓計劃，包括內控知識培訓（如“新員工需參加內控流程培訓”“每年至少1次全員內控培訓”）；制定績效考核與獎懲機制，將內控執(zhí)行情況納入考核（如“流程執(zhí)行到位的部門，給予獎勵；違反內控的員工，給予處罰”）。3.1.4內部審計明確內部審計部門的職責：“負責監(jiān)督內控執(zhí)行情況，識別風險，提出整改建議”；制定內部審計計劃，明確審計頻率（如“每年對所有核心流程審計1次”）。3.2風險評估：識別與應對風險風險評估是內控的“指南針”，需定期開展（如每年1次）。編制要點包括：3.2.1風險識別方法：訪談、問卷、歷史數據（如過往的投訴、損失事件）；輸出：風險清單（示例見附錄2），包括風險描述、涉及流程、責任部門。3.2.2風險分析維度：可能性（發(fā)生概率，如“高/中/低”）、影響程度（對企業(yè)的影響，如“重大/中等/輕微”）；工具：風險矩陣（示例見下表），將風險分為“高風險”（可能性高+影響大）、“中風險”（可能性中+影響中）、“低風險”（可能性低+影響小）?？赡苄診影響程度重大中等輕微高高風險高風險中風險中高風險中風險低風險低中風險低風險低風險3.2.3風險應對根據風險等級，選擇應對措施：高風險：規(guī)避（如停止高風險業(yè)務）、降低（如加強控制措施）；中風險：降低（如優(yōu)化流程）、轉移（如購買保險）；低風險：接受（如定期監(jiān)控）。示例：“采購流程中，‘供應商未按合同交貨’屬于高風險，應對措施為‘建立供應商履約評估機制，每季度評估一次，對履約差的供應商終止合作’”。3.3控制活動：規(guī)范業(yè)務流程控制活動是內控的“執(zhí)行層”，需覆蓋企業(yè)所有核心業(yè)務流程（如采購、銷售、財務、資產管理）。編制要點包括：3.3.1流程分類將企業(yè)業(yè)務分為核心流程（直接影響企業(yè)盈利與風險的流程，如“采購-付款”“銷售-收款”）與支持流程（輔助核心流程的流程，如“人力資源管理”“信息系統(tǒng)管理”），優(yōu)先編制核心流程。3.3.2流程設計步驟以“采購-付款流程”為例，說明流程設計步驟：1.繪制流程圖：用符號表示流程步驟（如橢圓表示起點/終點，矩形表示操作，菱形表示決策），標注關鍵控制點（示例見附錄3）；2.識別關鍵控制點（KCP）：指對防范風險起關鍵作用的環(huán)節(jié)（如“供應商準入審批”“合同簽訂”“驗收付款”）；3.制定控制措施：針對每個KCP，明確“怎么做”（如“供應商準入需由采購、質量、財務部門聯(lián)合評估，填寫《供應商評估表》，經采購經理審批”）；4.明確責任部門與崗位：誰負責執(zhí)行（如“采購部負責供應商評估，質量部負責質量檢測”）；5.文檔記錄要求：需要保留哪些記錄（如《供應商評估表》《合同》《驗收報告》）；6.監(jiān)督方式：誰負責監(jiān)督（如“審計部每季度檢查供應商審批記錄”）。3.3.3控制矩陣模板為便于管理，建議將每個流程的控制要求整理為控制矩陣（示例見附錄4），內容包括：流程步驟：如“1.需求申請”“2.供應商選擇”；關鍵控制點：如“需求申請需經部門負責人審批”；控制措施：如“填寫《需求申請表》，部門負責人簽字”；責任部門/崗位：如“需求部門負責人”；文檔記錄：如《需求申請表》；監(jiān)督方式：如“財務部每月核對需求申請與預算”。3.4信息與溝通：確保信息傳遞順暢信息與溝通是內控的“神經網絡”，需確保信息及時、準確傳遞。編制要點包括：3.4.1內部信息傳遞明確信息傳遞流程：如“財務報告需經財務總監(jiān)審核后，提交給總經理，再由總經理提交給董事會”；制定信息傳遞時限：如“月度財務報告需在次月5日前提交”；建立員工反饋機制：如“員工可通過內部郵箱、意見箱反饋流程問題，人力資源部每月匯總反饋情況”。3.4.2外部信息溝通明確外部溝通渠道：如“客戶投訴需由銷售部負責處理，24小時內響應，7日內反饋結果”；制定監(jiān)管信息報送流程：如“稅務申報需由財務部負責，在規(guī)定期限內提交”；建立供應商/客戶溝通機制：如“每季度召開供應商大會，反饋質量問題”。3.4.3信息系統(tǒng)明確信息系統(tǒng)的控制要求：如“系統(tǒng)權限需根據崗位設置（如采購經理可查看供應商信息，不可修改）”；制定數據安全措施：如“數據每日備份，存儲在加密服務器”；建立系統(tǒng)審計機制：如“每年由信息部門對系統(tǒng)進行安全審計”。3.5內部監(jiān)督：確保內控有效執(zhí)行內部監(jiān)督是內控的“免疫系統(tǒng)”，需定期檢查內控執(zhí)行情況。編制要點包括：3.5.1監(jiān)督方式日常監(jiān)督：由各部門自行開展，如“采購部每月檢查供應商履約情況”；專項監(jiān)督：由內部審計部門開展，如“每年對‘銷售-收款’流程進行審計”；外部監(jiān)督：由外部審計機構開展，如“上市公司每年需進行內控審計”。3.5.2監(jiān)督流程制定監(jiān)督計劃：明確監(jiān)督的范圍、頻率、人員；實施監(jiān)督：采用訪談、檢查文檔、穿行測試等方法；輸出監(jiān)督報告：包括發(fā)現(xiàn)的問題、整改建議、責任部門；跟蹤整改：要求責任部門在規(guī)定期限內整改（如“30日內完成整改”），并驗證整改效果。3.5.3責任追究制定責任追究制度：對違反內控的行為進行處罰（如“未按規(guī)定審批采購合同，扣減當事人當月獎金”）；建立激勵機制：對內控執(zhí)行好的部門或員工進行獎勵（如“年度內控先進部門，給予獎金”）。第四章手冊審核與發(fā)布4.1內部審核手冊編制完成后，需進行三級審核：1.部門審核：各部門負責人審核本部門負責的章節(jié)（如采購部審核“采購流程”），確保流程與實際一致；2.內控部門審核：內控負責人審核手冊的完整性、合規(guī)性（如是否覆蓋所有核心流程，是否符合《企業(yè)內部控制基本規(guī)范》）；3.審計部門審核：內部審計人員審核手冊的可操作性（如控制措施是否有效，監(jiān)督方式是否可行）。4.2外部咨詢（可選）對于復雜或規(guī)模較大的企業(yè)，可邀請外部咨詢顧問（如會計師事務所、內控咨詢公司）進行審核，提供專業(yè)意見。4.3管理層審批手冊經內部審核與外部咨詢后，需提交董事會審批（如需），或由企業(yè)負責人審批（中小企業(yè)），確保手冊的權威性。4.4發(fā)布與宣貫發(fā)布：通過企業(yè)內部系統(tǒng)（如OA系統(tǒng)）、郵件、印刷版等方式發(fā)布手冊；宣貫：開展培訓，覆蓋所有員工：高層培訓：針對管理層，強調內控的重要性；中層培訓：針對部門負責人，強調其在內控中的責任；基層培訓：針對普通員工，培訓具體流程與控制措施（如“如何填寫《采購申請表》”“如何反饋流程問題”）。第五章手冊實施與維護5.1執(zhí)行機制責任落實：每個流程指定流程負責人（如“采購流程負責人為采購部經理”），負責流程的執(zhí)行與監(jiān)督；流程執(zhí)行：要求員工嚴格按照手冊執(zhí)行流程，如“采購申請必須填寫《采購申請表》，經部門負責人審批后提交采購部”；文檔記錄：要求保留所有控制活動的記錄（如審批單、合同、驗收報告），便于監(jiān)督與審計。5.2監(jiān)督與反饋日常監(jiān)督：各部門每月檢查流程執(zhí)行情況，填寫《流程執(zhí)行檢查表》（示例見附錄5）；專項檢查：內部審計部門每季度開展一次專項檢查，重點檢查高風險流程（如“采購-付款”“銷售-收款”）；反饋渠道：建立內控反饋機制，如“員工可通過OA系統(tǒng)提交《內控問題反饋表》，內控部門每月匯總反饋情況，及時解決問題”。5.3更新與優(yōu)化手冊不是“一成不變”的，需定期評審與更新（如每年1次），調整內容以適應：企業(yè)戰(zhàn)略變化（如拓展新業(yè)務）；業(yè)務流程變化（如優(yōu)化采購流程）；外部環(huán)境變化（如監(jiān)管要求調整）；監(jiān)督中發(fā)現(xiàn)的問題（如控制措施無效）。更新流程：1.收集更新需求（如各部門提出的流程優(yōu)化建議）；2.評估需求的必要性（如是否符合企業(yè)戰(zhàn)略，是否能提升效率）；3.修改手冊內容（如調整流程步驟、控制措施）；4.重新審核與發(fā)布（參考第四章）。第六章附錄附錄1：組織架構圖示例（此處插入組織架構圖，標注董事會、監(jiān)事會、管理層、各部門的職責與匯報關系）附錄2：風險清單模板風險描述涉及流程責任部門可能性影響程度風險等級應對措施供應商未按合同交貨采購流程采購部高重大高風險建立供應商履約評估機制，每季度評估一次應收賬款逾期銷售流程銷售部中重大高風險制定應收賬款催收制度，每月核對賬齡附錄3：采購-付款流程流程圖示例（此處插入流程圖，用符號表示“需求申請→供應商選擇→合同簽訂→驗收→付款”等步驟，標注關鍵控制點）附錄4：控制矩陣模板（采購流程）流程步驟關鍵控制點控制措施責任部門/崗位文檔記錄監(jiān)督方式需求申請需求需經部門負責人審批填寫《需求申請表》，部門負責人簽字需求部門負責人《需求申請表》財務部每月核對供應商選擇供應商需經聯(lián)合評估采購、質量、財務部門聯(lián)合評估，填寫《供應商評估表》采購部經理《供應商評估表》審計部每季度檢查合同簽訂合同需經法務審核法務部審核合同條款，填寫《合同審核意見表》法務部負責人《合同》《合同審核意見表》財務部每月核對附錄5：流程執(zhí)行檢查表模板流程名稱檢查日期檢查項目執(zhí)行情況（是/否）問題描述整改責任人整改期限采購流程____需求申請是否經部門負責人審批是無采購部經理-采購流程____供應商選擇是否經聯(lián)合評估否某筆采購未填寫《供應商評估表》采購部業(yè)務員____附錄6：參考文件《企業(yè)內部控制基本規(guī)范》（財政部等五部委，2008）；《企業(yè)內部控制配套指引》（財政部等五部委，2010）；COSO《內部控制整合框架》（2013）；《中華人民共和國公司法》（2023修訂）。結語《企業(yè)內部控制手冊》的編制不是終點，而是內控體系建設的起點。企業(yè)需持續(xù)關注手冊的執(zhí)行情況，定期更新優(yōu)化，確保