内部控制体系，就是上述理论框架与本单位业务管理有机的结合，形成完整、有效的控制体系。建设内部控制体系就是按照内部控制框架，对本单位的所有业务进行梳理和描述，确定业务进行的流程和控制环节，对业务进行过程中的风险进行分析和评估，确定风险标准和控制措施，形成一个覆盖本单位全部业务、规范运行、有效管理、体系化运作的的管理手册。

（一）内部控制体系建设的基本要求
　　首先，要符合内部控制整体框架。其次，重点应当作到以下几个方面的控制：不相容职务相互分离控制、授权批准控制、会计系统控制、预算控制、财产保全控制、风险防范控制、内部报告控制、电子信息技术控制。

（二）内部控制体系建设的方法
1．明确建设目标
　　企业建设内部控制体系的总体目标应当是提高企业管理水平。如果是在国外上市的企业，应当满足上市地的相关要求。在美国上市的企业应当满足萨班斯—奥克斯利法案404条款的要求。
2．确定建设思路
　　企业应当根据自己的情况和特点，分析、研究内部控制体系建设思路，确定内部控制体系的架构。通常分为控制环境、风险评估与控制活动两大部分进行，其思路分别为：
　　控制环境部分：
　　职业道德宣贯→组织机构建设→岗位职责描述→权利和责任分配→完善人力资源政策→完善反舞弊机制
　　职业道德宣贯是指在全体员工中开展职业道德规范教育和确立员工职业道德建设制度；
　　组织机构建设是指优化组织结构，明确部门权责，对单位的组织结构进行描述；
　　岗位职责描述是指建立和补充完善员工岗位职责，细化落实到各个岗位，对所有管理人员岗位职责进行描述；
　　权利和责任分配是指建立完善授权管理制度体系，建立和完善授权管理文件；
　　完善人力资源政策是指建立完善任用选拔、管理考核和激励、监督等方面的政策。编制权限指引表，汇编整理相关的招聘、培训、考核、薪酬、晋升等管理制度；
　　完善反舞弊机制是指设立检举程序，开展舞弊调查并进行整改。制定相关反舞弊工作机制的规定，设立举报热线和检举程序，制定关于保护人和申诉人权利、奖励举报及办案有功人员办法、以及信访工作制度等。

　　风险评估和控制活动部分：
　　流程描述→风险分析→完善制度→测试改进→发布实施
　　流程描述是对企业所涉及业务对其管理运行过程进行规定并用文字或图表的形式进行描述。
　　风险分析是指业务在按规定的流程执行过程中，对各个环节可能出现的风险进行预测性分析。
　　完善制度是针对原有的制度、规定与现制定的业务流程及其各个环节可能出现的风险在制度上的缺憾进行进一步的补充和完善。
　　测试改进：对发生的业务按规定的流程执行，测试风险预测的合理性、制度规定的可行性。
3．分阶段实施
　　第一阶段，描述业务流程。首先，对企业所有业务进行梳理，归纳整理后进行分类，如：可将企业的全部业务划分为规划计划、建设过程、生产过程、物资采购、产品销售、存货管理、投资管理、人力资源与业绩考核、信息、技术发展、安全环保、财务资产、合同管理等。其次，确定流程目录。流程目录是对各专项业务进一步向下延伸的规范化排列，根据不同业务可以设置不同的级次。全体业务最大的分类应当设为一级，各大类业务继续往下的延伸逐级设为二、三、四级等，如：企业如果按上述情况进行业务分类，则上述项目均为一级目录，各一级目录业务往下的延伸和分类为二、三、四级等目录（如：财务资产——费用管理——费用核算——营业费用核算）。再次，根据各业务的最后一级目录编制业务开展流程图，流程图应当根据研究制定的统一、规范的要求和标准进行绘制，流程图应当能体现出业务从开始办理到处理完毕全过程的负责经办岗位、资料手续必须达到的要求、负责审核的岗位。第四，收集和汇总与上述所有业务有关的管理制度。
　　第二阶段，风险分析、评估和确认，编制风险控制文档（简称RCD）。首先，根据各业务的具体特点，确定运行过程中可能存在的风险种类和项目，形成风险数据库，例如，在财务资产当中可能存在的风险有：会计业务处理缺乏适当的权责分离、帐户开立变更和撤销未经有效的审批、出纳人员从事限制性工作、银行存款余额帐实不符、资金支付结算未按照规定程序审批、销售收入确认不准确、资本性支出与收益性支出划分不准确等。其次，对各业务流程进行分析、评估，确认流程各环节存在的风险。再次，在流程图上对可能发生风险的环节按风险属于风险数据库的种类标注风险。第四，编制风险控制文档。风险控制文档是流程图的配套文件，是按照每一个业务的流程，对其流程运行各环节存在的风险、风险的种类、控制的目标、控制的方法、控制的种类、控制的频率、控制实施的证据、控制的文件等项目的描述，风险控制文档应当与流程图相匹配。第五，编制控制程序文件。程序控制文件是流程图和风险控制文档的配套文件，应当与以上两个文件相匹配，是对流程图和风险控制文档的补充和进一步说明，它主要包括流程编号及名称、使用范围、术语解释、风险、部门职责、控制措施、相关制度、控制证据、控制证据示范等内容。
　　第三阶段，完善制度。根据第二阶段确认的各业务中存在的风险，将在风险控制文档中确定的控制方案、措施，应当全部以单位制度的形式确定和执行。首先，根据风险控制文档中确定的控制方案和措施，查找单位现有的制度又没有规定，规定是否符合风险控制文档的要求，是否需要完善和改进。其次，对存在的风险，先有的制度没有规定和控制的，应当建立新的控制制度，达到所有风险全部控制的程度。
　　第四阶段，测试与改进。将已编制完成的流程图、风险控制文档、管理制度等，按照其流程、控制方法和制度规定，在实际业务中试运行，测试它的可执行程度和存在的问题，进一步完善和改进，直至达到设计要求和业务能够有效控制为止。测试可以采用以往年度和月份的业务资料和数据，也可以采用与现行业务并行的办法。
　　第五阶段，汇总编辑，装订成册。将测试修订完善、审核确定的流程图、风险控制文档、控制程序文件等按照流程目录的顺序编辑汇总，会同控制环境部分的内容印刷成册，形成本企业或单位的《内部控制管理手册》。
4．发布和实施
　　《内部控制管理手册》是企业或单位建设并实施内部控制管理体系的纲领性文件，它的起用和实施应当经企业管理层审查和批准，以单位正式文件或企业发布令的形式发布实施。为了保证内部控制体系的正常运行，企业还应当制定内部控制体系执行情况的考核措施，按期对内部控制体系的执行情况进行考核，确保体系正常运行，管理有效、控制到位。
　　一个科学、完善的内部控制体系建立和执行，必将为企业或单位的财产安全和资产完整起到积极的保证作用。内部控制体系整体框架是内部控制的一种理论形式，《内部控制管理手册》应当成为本企业或单位完善内部风险控制，建立统一、规范和有效运行的内部控制体系，因此，各企业、单位在建立自己的内部控制体系时，应当结合本企业或单位的具体情况，建立控制有效、切实可行、能够确保本企业或单位财产安全、资产完整内部控制体系，以促进各项经营管理活动规范、有序运行，增强风险防范能力。

　　风险导向内部控制网（www.china-rmic.com）由汇韬科索联合多家学术团体、会计师事务所、咨询机构共同发起创办，专注于风险管理与内部控制，汇聚各方专长，密切追踪并研发领先的风险管理与内部控制理论模型，积极推动在国内各行业各领域的实践与发展。
　　汇韬科索企业咨询（北京）有限公司（www.gscoso.com）是国内知名企业管理咨询公司之一，咨询团队来自于国内知名企业管理咨询机构、全球四大会计师事务所以及国际知名行业研究机构，具有为跨国公司、中央企业、混合所有制等各类型企业提供落地、合规咨询服务的丰富经验。欢迎与我们联系沟通，我们将免费提供专业咨询服务。
【联系方式】
电话：010-68827610
电子邮箱：gsc@gscoso.com
咨询QQ：421183643
地址：北京市石景山区实兴大街科技园3号楼8层