在内控体系建设与评价审计中，内控体系的有效性是一个非常重要的部分，这种重要性在《内控手册》中已经成为内控体系建设中必须重要的一个问题。在内控体系建设的五个部分中，“内部监督”部分就明确提出要通过不断的优化内控评价体系，以保证内控体系的有效性以及内控体系的执行性，并将本部分内容作为企业《内控手册》中的一个重要部分。内控体系有效性评价既包括了通过对企业面临的内控环境的分析以及由此开展的风险识别与评估，更包含了在风险评估基础上的内控流程与内控制度建设。可以说，正是内部控制流程（内控流程）与内部控制制度（内控制度）建设的完善性与适合性，才能基本决定企业风险控制的手段是否完善，方法是否健全。当然，我们强调内控流程与内控制度的重要性，并不是否定内部控制环境改进对内控有效性的重要程度。但是到底如何建设一套符合内控要求的流程与制度目录清单，依照这套清单建设的流程与制度既能满足于风险控制的要求，又能够满足企业的日常经营需要，不至于形成内控流程（制度）与企业经营的流程（制度）两张皮的问题，这是许多企业的内控管理者面临的重大挑战，也是很多内控体系建设项目中面临的重要问题。下面，我们就介绍一下，如果通过五个步骤，来帮助企业建立起一套满足于企业风险控制的流程与制度清单，同时又能够满足企业运营的基本要求。第一步：以“组织功能”为锚建立起流程制度基本框架由于企业的流程与制度首先是为企业的生产经营与决策服务的，而生产经营与决策的活动贯穿于企业管理中的时时刻刻、方方面面，其概念与管理的范畴一般应该大于企业的内控风险管理范畴。因此我们建议首先应该从服务于企业生产经营与决策的角度来设计企业流程与制度的基本框架。在《如何设计规章制度“分层、分类、分级”目录清单》一文中，我们曾经提到通过组织功能分析建设规章制度目录清单的方法，这种方法不仅仅适用于规章制度的清单设计，同样适用于流程的清单设计。某企业人力资源专业组织功能分析表在此基础上，设计流程与制度的清单。某企业基建专业规章制度设计清单第二步：通过内控十八项指引提出风险控制要求《企业内部控制配套指引》（简称“内控指引”）由财政部、证监会、审计署、银监会、保监会于2010年4月26日联合发布，用于指导企业对自身内部控制的有效性进行评价，明确评价的原则、内容、程序、方法和缺陷认定标准等。用于指导注册会计师执行内部控制审计业务，明确审计的目标、内容、程序和方法等。由此可以看出，《内控指引》是检验企业内控体系建设有效性的重要依据，只有逐条根据内控指引的要求对第一步骤设计的流程制度清单进行检核，并对清单补充完善，才能够确保流程制度清单满足内控要求。涉《内控指引》中关注的内容涉及18个主要控制领域-----组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统。在这个基础上，我们逐条对十八项指引进行内控要求分析，为流程制度清单建设做好基础。某企业资产管理内部控制建设要求第三步，逐条检核现有流程制度是否满足内控指引要求在内控指引的指引下，逐条对内控指引中提出的控制要求进行检核，检核的内容是保证每一条内控指引中提到的控制要求，都应该有相应的流程或者制度对其进行针对性管理，如果我们之前建设的流程制度清单中存在缺失，以至于造成部分内控要求缺乏相关的控制流程或者控制制度，那么就是我们在这个阶段形成需要补充完善的清单内容。某企业通过《内控指引》来检核流程制度清单第四步，标明流程制度建设的依据在通过《内控指引》对之前的流程制度清单进行补充完善之后，需要对每一个流程制度产生的依据进行标注。这个标注的方式就是分为两类，一类是流程制度设计的依据是《内控指引》的具体哪一条条款，另一类是流程制度设计的依据是来源于企业的“运营需求”，也就是说这类流程制度并不是针对风险控制而设计的，而是为了企业的日常经营管理与决策设计编制的。某企业资金活动业务的制度清单第五步，明确流程制度的主管部门我们通过《内控指引》对公司流程制度清单进行检核后，就基本设计出了既符合内部控制要求，又满足企业经营决策要求的流程制度清单了。在此基础上，我们再根据流程制度的专业性、流程制度的管理内容，明确每个流程制度的主管部门，为未来的流程制度管理做好基础。