企业内控自查方案设计

　　内控自查直接关系到企业自身的风险预防，直接为企业运营管理层服务，是管理层控制管理风险的重要工具，因此根据实际情况设计出一套良好的自查方案，以保证内控自查工作的有效性是内控自查不至沦为形式主义的重要步骤。

　　笔者在《企业内控管理体系建设线路图》一文的内控管理人员的具体工作中，特别提到过内控自查这一重要工作。对于集团化运营的企业而言，总部内部审计部或内控部除了对下属企业实施各种审计检查外，还有一项非常重要的工作，就是指导和安排各企业进行年度内控自查。以下笔者将根据实际工作经历向各位介绍一下开展企业内控自查方面的感受。

　　内控自查的必要性

　　在内控管理工作中，监督检查是其中的一个重要项目。在这里，监督检查除了内控（内审）专业人员开展的定期或不定期的检查外，还包括各业务部门依据业务流程对处理相关业务开展的现场自查。

　　众所周知，在集团化管理的企业中，出于成本和效率方面的考虑，总部派遣的内控审计人员不可能全年都在某个企业中进行持续不断的监督检查。即便是下属企业设立的内控审计人员也不可能全天对企业的各个业务环节进行内控检查。但是作为实施内部控制活动的主要内容，相关控制活动需要落实到所有业务人员的日常工作之中。为保证这些具体业务控制活动的有效性，企业就需要对这类日常控制活动的实际情况建立相应的现场自检程序。

　　相信有过企业质量管理经验的读者朋友都知道，在推行质量体系的过程中，有一个非常重要的项目就是操作人员的现场自检。企业为保证产品（服务）质量达到预先设定的目标，必须将质量控制活动通过自检程序落实到制造车间的每个操作人员的每个生产工序过程中，从而达到将产生不合格产品的风险控制在最初阶段。这就是产品自检。企业的专职检验员只是做事后的检查。内控自查和质量管理中的自检具有类似的效果。

　　笔者根据这些年从事内控管理工作的实践经验认为，企业定期开展内控自查工作正是保证执行内控管理程序，预防管理风险的重要工具。从内控管理五要素的角度来看，企业控制活动的主体就是企业的全体业务人员，如果他们在不同岗位处理不同的日常业务过程中能够定期进行现场“自检”，则企业的管理风险和预防成本就可以大大减轻。

　　内控自查≠内控审计

　　内控自查与内控审计在概念上容易混淆，首先在此厘清内控自查与内控审计的主要区别。

　　1.实施主体不同。内控自查的实施主体是企业处理各项业务工作的现场业务人员，包括各级管理者。他们既是操作处理各项业务的主体，同时也是各项业务的检查者。被审计企业的内控经理或内审人员主要起到组织安排自查和监督自查的作用。而实施内控审计工作则通常是由独立于企业日常运营活动的上级内部审计部的专业内控审计人员进行。

　　2.检查项目的范围不同。内控自查项目虽然通常由总部统一制定，统一安排，但各个执行业务自查的企业可以根据其具体的风险情况和过去的审计结果自行调整检查项目和检查范围。而内控审计项目或审计大纲则由总部确定，审计范围一旦确定后就要由专职审计人员实施。在实施过程中变化较少。

　　3.自查的力度和纠正问题的力度不同。内控自查是被审计企业的自我检查，无论在检查力度还是纠正力度方面和专职的内控审计有所区别。

　　4.检查的目的不同。内控自查是企业管理层为保证落实管理程序的执行力，减少企业管理层自身管理风险而实施的自查。虽然由上级审计部门安排进行，但也是企业管理层的自身需要。而上级组织的内部审计以及外部审计师组织的外部审计则是为了包括股东利益在内的独立或半独立审计。具有一定的强制性。

　　由于内控自查直接关系到企业自身的风险预防，直接为企业运营管理层服务，是运营管理层控制管理风险的重要工具，因此企业应当根据自己的实际情况设计出一套良好的自查方案，以保证内控自查工作的有效性。以下笔者将就如何设计企业内控自查方案与读者朋友进行交流。

　　内控自查方案的设计要点

　　从集团公司内控管理的角度来看，为保证实现内控自查的目的，总部内部审计（内控）部门通常会根据下属企业的实际情况先统一设计出一套自查方案，供下属企业参考采用。作为内控体系的重要组成部分，内控部在设计内控自查方案时主要应当考虑以下五个要点：制订内控自查管理程序；确定实施内控自查的参加人员和自查主体；确定内控自查实施的时间和频次；确定内控自查的项目和范围；自查总结和跟踪改进。具体内容如下：

　　1. 制订内控自查管理程序

　　作为内控体系的重要组成部分，企业的最高管理者应当将内控自查工作列入日常运营管理程序之中。通常由内控部（或内部审计部）首先制订出内控自查管理程序。该程序作为企业内控管理程序的一部分，应当具体描述包括内控自查方案审计和安排落实内控自查工作的主要工作环节。为具体实施内控自查工作奠定政策基础。内控自查管理程序具体涉及到这么几个方面：内控自查的目的和宗旨、内控自查业务的主管部门、方案设计部门、参与内控自查工作的主要人员、内控自查的格式和自查项目设计、自查要求、内控自查的实施时间、跟踪改进和总结、自查过程中的政策规定等。

　　2. 确定实施内控自查的主体和参加人员

　　如上所述，内控自查的方案设计通常由总部内控部或内审部门人员根据下属企业的实际业务情况，结合当年企业的风险变化和上年度的审计结果等有关因素，提出本年度的自查项目。自查项目经过内控部主管批准后统一发给各下属企业管理层供其参考执行。下属企业的内控经理是落实企业内控自查工作的组织者和监督者。企业内控经理应当在收到总部内控部发布的内控自查方案后，立即和企业总经理等高层管理者共同研究讨论贯彻落实。特别是应当根据本企业的实际管理情况，提出补充调整自查范围。企业全体管理者和敏感部门的人员是实施内控自查的主体。总经理和职能部门负责人既是自查的检查者，同时也是实施自查的现场主管。总经理、各部门负责人和企业内控经理应当对检查结果和改进措施共同签字确认。企业内控经理应当对自查结果进行汇总分析，并报告总部内控部或内审部。企业内控经理应当将跟踪该自查中发现的内控薄弱问题列入其日常工作中，并在定期内控工作汇报中具体说明更改情况。总部内控部将统一对各下属企业提交的自查报告进行汇总分析，并为管理层提供分析意见。总部内控部将在实施企业年度现场审计时，对被审计单位的自查结果情况进行抽查复核。

　　3.确定内控自查的实施时间和自查频次

　　内控自查时间和实施次数并没有强制性的规定，各公司应当根据企业规模和实际条件决定。为配合企业的内部审计和外部审计，大型企业集团应当每年至少安排一次内控自查。自查时间则以1～3个月为限。自查时间应当尽量避开年中和年尾的结账高峰期。

　　4.确定自查项目和范围

　　确定内控自查项目和范围是设计内控自查的重点。各个行业和不同企业应当结合本企业的实际风险情况和存在的问题，经过评估后研究确定。由总部内控部制定的自查项目的数量不宜过多，一般以100~ 300个为宜。内控自查项目和内控审计项目之间应当有一定的逻辑关系。内控自查项目通常是针对高风险业务环节进行确定，并为减轻审计的压力服务。比如审计项目中有银行对账环节的检查。自查项目中也应该有相对应的检查项目。这样总部内控部在审计企业与银行对账业务时，就可以减轻抽查的数量。一些询问性风险较低的审计检查项目甚至可以依据自查结果就做出评分。作为总部设计的内控自查项目，还应该考虑将上年度内控审计中发现的具有共性的控制薄弱环节列入自查项目清单。总部设计的自查项目应当给各下属企业预留增加检查项目的余地。各企业管理层和内控经理可以根据总部的标准格式和检查范围，自行根据本企业的实际业务特点和风险情况增加新的自查项目。内控自查的范围可以根据实际情况进行调整。一般来说，对于企业新增加的自查项目并没有数量方面的限制。但企业不应该对总部统一布置的自查项目进行削减。所有自查项目在完成检查后都应该在表格上留下部门经理、内控经理和总经理的签字确认。

　　5.自查总结和跟踪改进

　　对于自查中发现的问题，各企业的相关业务部门都应当提出自我改进建议，或者认可内控经理或总经理提出的改进意见，签字确认具体的改进时间和相关责任人。企业内控经理在整个自查过程中充当组织者、监督者和现场咨询服务的角色。在落实自查过程中，内控经理应当定期在其工作报告中报告自查工作的进展情况，并在完成自查后进行全面的分析和总结。分析总结主要是了解当前企业存在的主要问题和风险情况。内控经理特别需要注意和上年度总部内控审计以及外部审计报告相关联的业务。总部内控部或内部审计部在收到下属企业提交的自查总结报告后将对其改进情况进行跟踪。最大限度地保证自查发现的问题得到有效解决。

　　总之，企业内控自查是构成企业内控管理体系的重要组成部分，也是审计监督的重要手段；是上级内控审计和外部审计的有效补充。以下附表是笔者工作中使用的内控自查项目的设计案例，仅供读者朋友参考。

　　注：此内控自查工作表一共涉及了13部分的内容，分别为：管理和交流、海关和税务、固定资产和在建工程、财务、分支机构管理、信息系统管理和安全、内控报告、法律、人力资源管理、生产控制和物流、销售、采购以及保卫、防火、 职工安全与环境保护。下表选取了其中财务部分的内容与读者朋友分享。

　　编者按：中国税制的多变、复杂与不确定性令许多企业疲于应对。第一时间获得新税收政策的资讯是财务高管们保证企业收益最大化和帮助企业规避法律风险的必要手段。我们希望 “新税法解读”栏目能够在此为大家提供实时的信息和精辟的点评。