第一步：內控組織搭建與人員培訓

　　首先，組織保障是建立健全內控的首要條件，根據《基本規范》的定義：內控是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程，只有有了全員參與，內控方能行之有效，明確了各機構在內控決策、執行以及監督中的工作職責。

　　構建內控體系最大的挑戰是如何與生產經營相結合，將控制無縫嵌入企業的生產、銷售、管理等各環節的工作中，所以除了成立專/兼職部門負責組織內控的建立與持續改進外，搭建內控組織很重要的一環就是在各部門指定內控人員來負責本部門的內控建立與落實。

　　其次，內控建設要得到企業各層級員工的大力支持與配合，宣貫與培訓是必不可少的，通過宣貫讓各利益方了解內控的意義，通過培訓讓內控人員理解和掌握內控的理念和方法論，在企業內營造管控的氛圍，為內控建設奠定基礎。

　　第二步：確定內控建設的目標與范圍

　　內控涵蓋企業的方方面面，是長期持續改進的過程，并非是一蹴而就的，筆者建議，在初期主要圍繞財務報告真實準確的目標來構建內控體系，再逐步進化為全面風險內控體系。

　　內控建設圍繞公司層面、業務層面、信息系統層面三個層面展開，企業根據自身的戰略規劃、經營目標、基本業務類型、組織架構、職責分工來確定內控體系的建設范圍。

　　公司層面建設以解讀戰略目標為起點，如某公司的戰略目標之一是“為把公司建設成長健康、業績優良、回報理想的上市公司而努力奮斗”，相應的經營目標是“公司組建為上市公司”，那么“公司治理”與“合規管理”就是公司層面重要事項。

　　業務層面建設范圍采用定量與定性相結合的方法來判斷。定量方法從財務報告出發，確定重要性標準，如稅前利潤的5%或資產總額的1%(企業可以根據自身的情況調整)，對超出此標準的會計科目再輔以定性判斷。如：是否存在較大的錯誤和舞弊的可能性，是否具有較強經營風險，管理層是否關注，往年審計是否有重大發現等。將所確定的重要會計科目映射到相應的業務流程，如“收入”映射到“銷售”，“成本”映射到“生產”與“采購”，“工程物資”與“在建工程”映射到“工程項目”，再對這些重要的流程進行梳理，確定內控建設的子流程/事項。

　　信息系統層面建設包括系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制。

　　第三步：風險評估

　　確定了重要的流程/事項后，要充分考慮對其目標的實現可能造成不利影響的內外部因素，真正認識到這些風險，再根據風險評估的結果設計經營管理的關鍵控制活動，從而將風險降低到可控且可接受的范圍內。可以說風險評估師內控建設的依據。

　　具體實施可由內控專/兼職部門牽頭，組織相關專業人員，采用“調查問卷”、“頭腦風暴”等方法來識別風險，并從風險發生的“可能性”和“影響程度”兩個維度來評價風險，對風險進行排序，企業對不同水平的風險采取不同的態度和措施，從而將主要精力放在可能產生重大風險的環節上，而不是關注企業管理中的所有細小環節。

　　第四步：設計關鍵控制活動

　　根據風險評估的結果設計關鍵控制活動是內控建設的核心環節，建議推進方式如下：

　　(1)針對第二步中確定的重要流程/事項，分析企業內控現狀，確定現有控制點，描述現有的控制措施與方法，并相應歸集有關的規章制度;

　　(2)根據業務流程/事項中存在的風險，參照五部委的監管要求與最佳實踐，分析內控設計中的差異。確認現有的控制環節與方法是否可以規避存在的各種風險，找出現有控制措施中的缺陷與遺漏，設計整改方案;

　　(3)落實到相關部門/責任崗位，固化到內部控制手冊中;

　　(4)補充完善相關制度。如某企業合同評審與審批流程中，現有的控制措施是企業財務部門和相關專業部門對其經濟、技術條款進行評審，報領導審批執行，對法律風險的控制缺失，針對這種狀況，建議在合同評審時由總經辦合同管理崗對法律條款進行審核，出具專業意見后報領導審批。以流程和風險控制矩陣形式固化在內控手冊中，并相應修訂《合同評審程序》及相關實施證據《合同評審表》。

　　需要注意的是，控制活動設計不僅包括業務層面的設計，也包括內部環境、信息與溝通、內部監督等公司層面以及信息系統總體控制的設計。

　　第五步：內控有效性測試

　　在建立內控體系后，需要對內部控制運行的有效性進行測試：

　　(1)企業在測試內控有效性時，可以采取多種方法：詢問、觀察、檢查、重復執行或者是以上幾種方法的組合。根據風險的大小和某一內控程序消除風險的重要性，應該采取不同的測試方法，這樣可以節約測試的成本以達到最佳效果。

　　(2)選擇進行測試的時間。為了確定截至財務年度日期間的內控運行的有效性，測試程序應該在充分早的時間進行。并且隨著新的變化，在接近年底時，還要進行更多更新的測試。

　　(3)確定測試的程度。在確定內控測試的程度時，應該考慮內控對實現企業目標的重要性，需要考慮的因素包括以下幾個方面：①企業計劃在何種程度上依賴某一控制的有效性;②控制(例如，內部環境或信息系統總體控制)在何種程度上支持其他控制的有效性。通常，管理層應該更廣泛地執行程序以評估這類控制的運行有效性;③控制的執行是人工操作的還是自動操作的。如果存在人工的監督或參與，管理層的評估程序應該更加廣泛;④人工控制執行的頻率;⑤控制的復雜程度;⑥以下方面是否存在變化：可能負面影響控制設計或運行有效性的交易量或性質;控制設計;執行控制或業績監控的關鍵人員。

　　企業在確定每個控制需要進行測試的項目數量時，需要運用判斷。總體上講，要求至少應該執行和外部審計師通常進行的測試量一致的測試，以支持其控制有效性的結論。

　　(4)針對測試結果進行補救。企業的內控經過測試之后，也許會是有效的，但有可能在某些方面還存在缺陷或沒有考慮到的地方。那么我們需要針對測試后的結果進行補救，對不完善的地方再進行改進。這將是一個反復重復的過程，直到測試結果令人滿意為止，可以為管理層對保證內控有效性發表聲明作基礎。

　　第六步：內控體系的維護與更新

　　內控體系建設是一個動態過程，并不是一勞永逸的。在測試整改階段完成之后，只能說針對當前的情況，所建立的內控體系是有效的。但外部環境和企業自身的情況是不斷變化的，業務流程與風險也是在不斷更新的，這就需要隨時關注內部控制體系建設，維護更新，以適應具體情況的變化。管理層每年都需要出具自我評價報告，來證明企業內部控制運行的有效性。所以，為保證建立的內控體系長期有效運行，需要根據外部環境和企業內部管理狀況的不斷變化，持續建設企業的內部控制體系，不斷改進完善。

　　綜上所述，企業通過以上六步的動態閉環，有助于把內控的理念和要求融入日常的工作，從而使各崗位高效運行，各部門密切配合，充分發揮整體的作用，以順利實現企業的目標。