企業內控建設實務 企業內控建設應當以經營的效率與效果為主導目標，以財務報告可靠、資產安全與經營合規為三個保障目標，在此基礎上，建設實務將圍繞內控組織的設定與內控建設的五要素展開。（1）內部控制組織 組織是體系執行的基本保障。通常的內控組織包括董事會與經營層兩個層面，強調內部控制的建設與實施是董事會的責任，並且下設審計（風險）管理專門委員會加強管理。此外，內控組織的設定特別強調經理層是企業內控建設的具體實施者與責任人，各經營管理部門按照職能歸口進行內部控制的建設與實施。其中，是否設定專職的內控部門是企業界關注的焦點，通常的設定方式包括三種： 方式一：單獨設定內控部門。優點是有利於提高內控建設的初期推動效率，缺點是內控部門與經營管理部門割裂，未能很好地體現內部控制責任與經營管理責任的融合。此方式在金融類企業普遍應用，對於實體經濟體，通常不設定專職的內控部門。 方式二：由內部審計部門牽頭負責內控工作。優點是待體系初建完成且執行平穩後，內部審計作為內控的監督部門，可以立足於公司整體牽頭協調各部門定期進行內部控制的自我評價，並且持續完善內控體系的建設。缺點是國內企業內審部門往往人才匱乏，在內控建設的初期獨立當此重任可能力不從心。 方式三：在內部控制建設集中期設立內部控制建設辦公室，該辦公室從各主要部門抽調人員專職從事內控體系建設工作，待體系正式執行時，辦公室解散，人員歸位到各經營管理部門，且牽頭職能也歸位至內審部門。此方式的優點是可以集中各部門力量完成內部控制的體系化建設，待體系平穩執行後，相關人員回到經營管理部門的骨幹崗位上，有利於促進各經營部門對內部控制體系的理解，有利於內控與經營管理的融合。實踐表明，對於管理基礎弱的實體經濟企業，採取方式三的內控推行效果較佳。 當然，組織的設定沒有一定之規，企業應當依據自身的特點設定內部控組織，明確相關的管理責任。（2）內部環境的診斷與完善 內部環境是企業內部控制建設與執行的載體，企業在建設內部控制機制時，首先要診斷與完善內部環境。一方面，內部環境的完善可以為控制活動的設計與執行奠定基礎，另一方面，內部環境的診斷可以加強控制活動與內部環境的匹配性，有利於控制活動的順暢執行。 通常，內部環境的診斷與完善包括六個方面的內容：治理結構、機構設定、權責分配、內部審計、人力資源政策、企業文化。其中，機構設定、權責分配與內部審計的定位三個方面必須先行完善，後續的控制活動設計與執行才會順暢。治理結構、人力資源政策與企業文化三個方面，可以伴隨控制活動的運行同步完善。（3）動態的風險評估 風險評估是內部控制體系化建設的重要表現，是後續內控措施設計的重要依據。根據成本效益原則，企業應當針對評估的重要風險強化內部控制措施，有效降低風險。對於次要風險，企業應當簡化控制活動與流程設計，承擔相關的風險，體現經營的效率與效果為主導目標的內控建設理念。 風險評估包括風險辨識與風險評估兩個階段。在風險辨識階段，企業應當圍繞內部控制目標識別影響目標實現的不確定性因素，辨別企業風險並進行分類，形成企業的風險管理庫。通常，企業的風險可以劃分為戰略風險、市場風險、運營風險、財務風險與法律風險五類，並在此基礎上進一步細分。在風險評估階段，企業應當運用二維風險評估座標圖，從破壞性與發生頻率兩個維度評估風險，並將風險點界定為重大風險、中風險與低風險。企業應當依據行業特點與目標設定等確定風險評估的標準，評估標準應當注意定量與定性標準相結合。 在實務中我們強調，處於不同行業的企業，或是同一行業的不同企業，或是同一企業處於不同的發展階段，其風險評估結果各不相同。為此，企業應當至少每年評估一次風險，及時發現新環境、新業務帶來的新風險，動態地調整風險評估結果，進而動態地調整控制活動規範，讓原本靜止的內控制度動起來，始終踏上企業發展的節奏。（4）控制活動的設計 控制活動是內控體系實施的核心要素，企業在規範控制活動的過程中，應當形成內部控制政策與程式手冊（下簡稱內控手冊）。 企業在設計控制活動時，應當樹立與經營管理活動相融合的設計理念，首先界定企業的控制活動迴圈，然後將內部控制措施嵌入控制活動中，完善經營管理活動的制度流程設計，形成企業的內控手冊。內控手冊分模組設計，每一模組一般包括五個方面的內容： 第一，管理目標。圍繞內部控制的目標，企業在設計內控手冊時，首先應當明確控制活動的管理目標。例如採購付款迴圈，其管理目標應當包括保障物資供應、提高採購效率、降低資金佔用、控制採購成本、保證核算準確等。 第二，管理機構及職責。該部分將控制活動涉及的組織及職責清晰界定，以確保後續流程執行的順暢性。 第三，授權審批矩陣。該部分應當明確控制活動涉及的所有許可權在董事會、經理層與各職能部門間的劃分，並且明確各級審批責任。 第四，控制活動要求。該部分一般以制度文字的形式書寫，明確控制活動各控制環節的內控要求，作為相關經營管理流程設計的基礎。 第五，比照上述幾部分，各經營管理部門應當重新梳理與完善業務流程，針對關鍵風險點強化控制措施，確保組織職責、授權審批、內控要求落實到經營流程中，保證管理目標的實現。 在內控手冊的設計過程中，特別強調與企業現有的經營管理活動相融合的設計理念，切忌脫離原有制度流程設計孤立的內控手冊，以避免實務中業務部門仍參照原有流程、內控手冊則束之高擱的現象。（5）資訊與溝通貫穿始終 資訊與溝通是指在內控建設中，保證在恰當的時機讓恰當的崗位獲取適當的資訊。資訊與溝通的設計應當貫穿於內部環境、風險評估與控制活動的始終，例如風險評估報告的報告程式，控制活動中的控制文件設計，都體現了資訊與溝通要素的建立與健全。（6）內部監督手段。 內部監督置於五要素之末，是內控管理閉環的體現。為此，內部監督也可以視為五要素之首，是內部環境、風險評估、控制活動、資訊與溝通要素持續完善的基礎。內部監督手段包括風險預警、內部評價與績效考核，三者缺一不可。 風險預警是較新的管理工具，透過預警指標的報告與跟蹤，可以突破企業傳統的內部審計在時間與空間上的限制，運用現代企業高效的資訊集合手段，幫助管理層從浩如煙海的資料中提煉關鍵資訊，捕捉企業易於忽略或是下級管理者企圖隱瞞的臨界資料，及時發現並採取措施防範風險。風險預警系統的設計包括選擇指標項、設定臨界值、跟蹤分析報告與修正臨界資料四項工作。企業應當結合自身的行業特點與管理重點設定風險預警指標，並且逐步積累臨界值。 內部控制的自我評價是基本規範的要求，也是管理審計的重要組成部分。內部評價手段完善的關鍵是建立評價標準與評價流程，明確內控缺陷的認定標準，規範評價報告。 此外，績效考核強調將內部控制建設與執行的有效性納入企業的績效考核， 以促進內控體系的實施。

從事網際網路流程管理10年的小咖來為您解答。

企業制度有以下幾種：企業管理制度、企業產權制度、企業契約制度、企業組織制度等等。其中一般認為和流程緊密結合的就是企業管理制度。

對於普通企業尤其是傳統企業向網際網路轉型的企業而言，都是先有企業管理制度，等企業發展到一定規模的時候才產生的企業流程。

企業流程是企業管理制度的載體，是企業管理制度在企業流轉中的具體呈現方式。

也就是說，企業流程是以企業管理制度為基礎而制定出來的，是具體的落地和閉環。

同時企業流程也會推進企業管理制度中的自查和最佳化，實現兩者的相輔相成。

資訊化的流程改造簡稱BPA,一套完善的資訊化系統可以快速規避人工失誤，控制流程關鍵節點，實現流程輸入和輸出的閉環，實現結果可控。

但是一般改造價格較高，且前期調研和底層架構師不到位，會導致整個改造專案失敗。我就職的公司中見過很多類似的案例，做出的系統完全不能使用，耗費上百萬的開發成本都是常有的事情。

常見的績效管理制度有很多種，比如KPI考核，平衡計分法，積分排序法等等。

落地。將流程落實和考核制度結合起來，可以有效地實現管理制度和企業流程的結合。讓企業人員管理向著同樣的方向執行。

我走過一個企業，將管理和流程劃分的非常清楚。管理就是管理，流程就是OA系統。所謂的流程就是去設計OA審批線路，整理OA審批節點。

這是典型的將管理制度和企業流程割裂的案例。企業流程是為管理制度服務的，企業流程人員應該對企業戰略方向，企業發展目標和企業文化等等問題有深入和全面的瞭解，在設計流程鏈路的時候才能準確、通暢不拖沓，這是很顯而易見的事實。