内控建设需要形成的“十大清单”

内部控制体系建设是对公司经营管理的系统化梳理的过程，会形成一系列成果，而且不同公司对成果的要求以及展现的形式也各异。当然，万变不离其中，我将内控建设的主要内容整理汇总为“十大清单”。

1、“流程清单”

流程梳理是公司内控建设的基础一步也是最关键一步。企业需要自上而下，自表及里的对所有业务进行一个框架梳理，形成流程清单。流程清单需要：1、全面性：体现出企业产、供、销、人、财、物的全部流程，展现流程框架全貌；2层次性：每个流程模块又可以细分为二级、三级（层级深度视企业情况而定）；3、归口性：明确末级流程的归口管理部门；4、衔接性：明确每个流程之间的接口，处理好跨流程的衔接；5、适应性：应以企业实际情况为主，涵盖但不限于“十八项应用指引”的内容。

2、“目标清单”

每个流程需要明确控制目标。每个流程的控制目标会有多个，而且各个目标在不同的企业，以及企业的不同发展阶段其重要性各不相同。所以企业需要将每个流程涉及的目标以及目标的重要性排序形成一个清单，作为风险的识别依据。一般来说，目标可以分为：1、经营目标：关注企业的经营指标；2、管理目标：关注业务的管理特性，包括合法性、合规性、合理性、真实性、完整性、有效性、效率性、准确性、及时性、保密性等；3、财报目标：关注财务数据的准确性、完整性、会计分期、发生/存在、权利和义务、计价/分摊、分类等。

3、“风险清单”

内控的措施梳理要基于风险的大小，所以企业内控的一个重要工作就是梳理风险清单。以业务流程的目标为出发点，识别偏离目标的所有可能事项，从而形成风险的汇总表。风险清单要包括：风险事件、风险描述、风险类别、风险后果、风险频率、风险等级、风险应对策略、风险责任部门等核心要素。这里要强调的是风险清单中的风险并不是企业存在的管理不足，而是企业面临的内外部的影响经营管理目标实现的客观事件。

4、“措施清单”

措施清单也即控制矩阵，是对内控关键点的提炼和汇总，是融入在企业的所有业务流程和制度中的。控制矩阵的核心要素是控制措施、控制痕迹、控制属性、责任部门等，每个措施必须要和目标、风险进行对应，告诉操作人员哪些风险对应了哪些控制（交叉对应关系），哪些风险的控制待完善，哪些控制还没有对应到制度中等等。

5、“评价清单”

内控评价是内控持续完善的重要一环，所以为了让内控评价有依据，需要结合控制矩阵的每个控制点，编制评价清单。评价清单会对每个控制措施制定详细的评价检查方法和程序，是内控评价人员的操作指南和检查指引。

6、“缺陷清单”

在内控评价中，评价人员将所发现的内控缺陷进行整理汇总，就形成企业的内控缺陷清单，作为企业内控改进的事项清单。缺陷清单要素包括缺陷所属流程，缺陷描述，缺陷等级（重大、重要、一般缺陷），缺陷属性（设计缺陷、执行缺陷），缺陷后果、缺陷责任部门、缺陷整改建议等。

7、“不相容职责清单”

不相容职务分离是内部控制的一个重要措施。一般来说，企业的所有流程都包含执行、审批、记录、监督四个动作，而这四个动作中的任何两个属性动作如果有一个人操作，就是不相容职务未分离。不相容职责清单就是把每个业务流程中需要严格分离的不相容职务进行列示，告诉公司各部门需要主要的职责制衡。

8、“权责清单”

授权审批在内控措施中有着举足轻重的作用，企业需要把所有流程中的权责事项进行汇总，形成权责清单，用以指导操作人员的审批流程开展。权责清单的要素要包括：授权的事项，授权的金额，授权的责任人，审批的要点，审批的标准，审批的附件单据，以及要重点关注临时授权和绿色通道（紧急审批）。

9、“业务单据清单”

企业流程执行的载体就是业务单据，所以业务单据是企业内控落地最关键的一个要素，也是现在很多企业最最忽视的一个要素。一个好的单据可以把业务中的核心要素、主要的审批流程、关键的控制要求都体现进去。所以企业需要结合自身的业务，构建一套完整的业务单据清单，对公司的主要业务操作中的单据形式进行统一的规范。

10、“管控清单”

对大型集团公司来说，因为各个下属子公司的业务模式、行业环境、发展阶段、管理能力各有不同，所以对子公司的管控事项、管控权限、管控流程不能一概而论，需要针对不同的子公司建立不同的管控事项清单。一般来说，对子公司的管理事项包括了事前申请、事中审批、事后报备三种形式，以明确母子公司的权利边界。此外，还要给子公司划定红线，即负面清单，明确哪些是子公司坚决不能做的事项。