近年来，国资委、证监会及有关方面均提出了加强企业内部控制建设方面的要求，并以不同的方式指出，企业设立或完善内部控制时可以聘请专家或中介机构协助完成。如何进行企业内部控制系统的构建成为企业面临的一个现实问题。毋庸置疑，现实中并不存在一个适用于所有企业的内部控制模式，但在构建内部控制体系时，还是存在一些共性的基础。

相关人员可以在遵循共性的基础上，考虑企业多方面的特点，进行内部控制构建。本节对内部控制构建的原则和流程问题进行讨论，以期能够为协助企业进行内部控制构建提供一些基础性的建议。

一套完整有效的内部控制体系有助于实现内部控制的目标，进而实现企业的目标。完整有效的内部控制体系除了应当满足相关规范的要求外，还应当体现出其所应具备的系统性、适当性及预防性功能。在进行内部控制构建时企业应当遵循以下原则。

一、系统性原则

由于内部控制的内涵越来越广泛，与企业的经营者及企业的经营目标联系越来越密切，各个构成部分不断融合为一个不可分割的系统。因此，内部控制的构建首先要遵循系统性原则，即内部控制系统应当涵盖企业所有的层面，并相互协调，使企业的治理层次、管理层次有效的整合为内部控制体系。

（一）企业组织结构

将企业的治理层次、管理层次进行整合，使其相互协调，成为有效运转的内部控制体系，首先必须认真分析考虑企业的组织结构。委托代理关系条件下的现代企业内部表现为不同层次的权责分派。按照权责的不同，企业的权责分派体系应当主要包括决策权的分派和监督权的分派两个方面。

（二）权力的分派

决策权的分派。按照决策影响范围的大小和影响时间的长短，企业的决策权一般划分为经营决策权、管理决策权和业务决策权。

1.经营决策权

企业的经营决策权，具有全局性、长期性、战略性的特点。主要包括：确定或改变企业的经营方向和经营目标、新产品开发、企业上市、企业并购、开拓新的市场、扩展生产能力等。企业的经营决策权一般掌握在高层经营管理者手中，如董事会、总经理等。

2.管理决策权

企业的管理决策权是指对企业的人力、资金、物资等资源进行合理配置，以及经营组织结构加以改变的决策，具有局部性、中期性和战术性的特点。管理决策的制定必须为实现企业战略目标服务。企业的管理决策权一般掌握在企业的中层管理者手中。

3.业务决策权

业务决策是在一定的企业运行机制基础上，处理日常业务的决策，具有琐细性、短期性与日常性的特点。主要包括：日常的对供应、生产、销售等活动的处理权。业务决策权一般掌握在企业的基层管理者手中。

监督权的分派。企业的整个监控体系包括监事会、审计委员会及内部审计部门。由于监事会直接向股东大会负责，因此，监事会的监督职责在于监督董事会及企业的高层管理人员，即我们经常提到的对企业经营者的监督。而审计委员会作为董事会下的监督机构，主要职责是对管理层进行监督。企业的内部审计部门则主要是针对企业有关内部制度执行情况进行监督，涉及企业经营的各个方面，包括企业经营的效果、效率；企业财务报告信息的真实性及企业运转的合法性、合规性等。

内部控制系统的构建应当体现出企业不同层次的委托代理关系，以及由此而产生的相互制衡机制，从而保障企业不同层次目标的实现及企业长远目标的实现。企业应当按照企业的不同权责层次来构建企业的内部控制。

二、可操作性原则(www.daowen.com)

一套具有可操作性的内部控制体系必须从企业自身特点出发，遵循成本效益原则，并充分考虑到内部控制的局限性。企业进行企业内部控制构建时，应注意以下几点：

（一）充分考虑企业的特点

内部控制构建必须从企业的实际出发。每个企业所处的行业、经营的规模等方面的特点不同，使得企业在所处的内外环境方面、职责分工方面、组织结构方面、业务运转的程序及面对的企业客户方面都存在差别。在构建内部控制时，企业应当主要考虑企业内部环境、企业规模及行业特征、企业经营战略、成本因素等。

（二）认真进行成本效益分析

在构建和实施内部控制花费的成本和由此而产生的经济效益之间要保持适当的比例，即实行内部控制所花费的代价不能超过由此而获得的效益。否则应舍弃该控制措施，或采取其他相应的替代性控制措施。

（三）正确认识内部控制的固有局限性

内部控制的局限性主要体现在以下方面：内部行使控制职能的管理人员滥用授权；内部承担不相容职务的人员串通舞弊；内部行使控制职能的人员素质不适应岗位要求；由于遵循实施内部控制的成本与效益原则而影响内部控制的效能；适用于经常而重复的业务等。

三、预防性原则

预防性功能主要表现为对各类风险的分析和防范。预防性动能的实现主要有赖于企业风险管理机制的设立、内部牵制制度的实施及业务活动的流程化设计。

（一）建立风险管理机制

1.风险管理组织机构。根据企业规模大小、管理水平、风险程度以及生产经营的性质等方面的特点，在企业全体员工参与合作和专业管理相结合的基础上，应建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整，并通过健全的制度来明确相互之间的责、权、利，使企业的风险管理体系成为一个有机整体。

2.风险预警体系。企业建立风险预警系统，即通过对风险进行科学的预测分析，预计可能发生的风险，并提醒有关部门采取有力的措施。企业风险预警体系的建立，将促使企业风险管理机构和人员密切注意与本企业相关的各种内外因素的变化发展趋势，从对因素变化的动态中分析预测企业可能发生的风险，进行风险预警。

（二）实施内部牵制制度

实践证明，内部牵制机制确实有效地减少了错误和舞弊行为。因此，在现代内部控制理论中，内部牵制仍占有重要的地位，成为有关组织机构控制、职务分离控制的基础。

（三）设计流程化的业务活动

企业实际运转中相关业务活动的控制，在企业内部控制系统中占有举足轻重的位置。企业业务活动控制应当按照业务循环来设计，对于企业的主要经济业务应当设计流程化的内部控制制度，并与企业的信息系统相结合。内部控制构建人员应当对重要经济业务进行流程分析，找出关键控制点，作为日常管理控制的重点。