目前，对于财务报告内部控制设计的概念，业内还没有一个统一权威的定义。中天恒3C框架认为，财务报告内部控制设计是在遵循国家和企业财务报告相关法规制度的基础上，以国家监管部门制定的内部控制规范及其应用指引为依据，结合企业财务报告发展的实际情况，用系统控制的技术和方法，构建企业自身财务报告内部控制体系的一个动态过程。简单说，财务报告内部控制设计，是财务报告内部控制建设的首要环节，是构建财务报告内部控制体系的过程。

设计范围及基本流程

《企业内部控制应用指引第14号——财务报告》(以下简称《财务报告指引》)第二条规定：“本指引所称财务报告，是指反映企业某一特定日期财务状况和某一会计期间经营成果、现金流量的文件。”

《财务报告指引》界定了财务报告的定义，描述了财务报告中的风险，明确了财务报告的编制和财务报告对外提供方面的控制措施，对优化企业财务报告制度具有重要意义。

财务报告内部控制设计是一项复杂的系统工程，基本流程包括设计准备、设计实施、试行及完善等。根据设计操作需要，在基本流程的基础上，还要有多层次的具体流程，每个具体流程中需明确工作内容、方法、步骤以及相应的表单等，要突出财务报告内部控制设计的特色。

企业应当根据本指引的要求，通过设计内部控制手册，使全体员工了解财务报告的内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权，从而保证财务报告的真实、完整，以发挥财务报告作用，规范财务报告行为，防范财务报告风险。

描述现状

描述现状，就是梳理财务报告方面的内部管理制度或相关文件，梳理财务报告现状业务流程，编制财务报告内部管理制度或相关文件情况表、编制财务报告业务流程目录、绘制财务报告业务流程图等财务报告内部控制设计的基础性工作。

1、梳理描述制度文件。梳理描述制度文件，是梳理描述有关财务报告方面的管理制度或文件，应重点关注有无财务报告方面的相关制度以及是否完善和充分执行，有无具体可控的操作文件或表单等。

2、梳理描述现状业务流程。企业财务报告现行的业务流程到底什么内容、包括哪些环节以及能否有效控制财务报告风险，都是本步骤的工作重点。

3、确定业务流程目录。在梳理财务报告管理制度和业务流程现状的基础上，根据内部控制设计的要求，编制财务报告业务流程目录，绘制财务报告业务流程图。

根据企业财务报告的实际情况，确定企业财务报告的业务流程目录，可为企业构建与实施财务报告内部控制界定边界。财务报告的业务流程目录因企业而异，一般可简单分为财务报告的编制、财务报告的对外提供、财务报告的分析利用阶段。

本阶段设计工作成果是形成《财务报告内部管理制度或相关文件情况表》、《财务报告流程目录》、《财务报告业务流程图表》等。

风险评估

财务报告风险评估的基本程序：识别财务报告风险，并进行具体描述;分析财务报告风险，编制财务报告风险分析表;评价财务报告风险，编制财务报告风险评价表;确定财务报告风险应对策略;提出财务报告重大风险解决方案。在实践中，财务报告风险分析及其评价是合在一起进行的，财务报告重大风险解决方案的制定要看企业是否需要，也可在财务报告内部控制设计完成后单独进行。

1、识别并描述风险。评估财务报告风险，首先，要把资金活动具体风险识别出来，然后整理出整体层面的风险。企业财务报告具体风险是多种多样的，也因企业的不同而不同。按照《财务报告指引》的要求，在评估财务报告风险时，至少应当关注下列风险：编制财务报告违反会计法律法规和国家统一的会计准则制度，可能导致企业承担法律责任和声誉受损;提供虚假财务报告，误导财务报告使用者，可能造成决策失误，干扰市场秩序;不能有效利用财务报告，难以及时发现企业经营管理中存在的问题，可能导致企业财务和经营风险失控。

财务风险是指在企业各项财务活动中，因企业内外部环境以及各种难以预计或无法控制的因素影响，在一定时期内，企业的实际财务结果与预期财务结果发生偏离，从而蒙受损失的可能性。财务风险主要包括投资风险、筹资风险、现金流量风险、利率分析、汇率风险等。习惯上，财务风险有时特指债务筹资风险。在市场经济条件下，财务风险贯穿于企业各个财务环节，是各种风险因素在企业财务上的集中体现。控制财务风险，是企业财务管理的重要内容和基本任务之一。

企业应根据《财务报告指引》中的财务报告风险提示，结合企业财务报告的实际情况，识别并具体描述财务报告存在的风险。财务报告具体风险描述因所识别出的风险而不同，将具体财务报告风险与财务报告流程结合是个比较好的做法。

2、分析风险。财务报告风险分析的内容很多，一般应从成因和结果两个方面进行，并编制财务报告风险分析表。

3、评价风险。财务报告风险评价应从发生可能性和影响程度两个维度进行，根据评价结果进行风险排序和等级划分，并编制财务报告风险评价表。

4、选择风险应对策略。财务报告风险应对是根据风险评价的结果，针对不同等级风险选择财务报告风险应对策略的过程。不同等级的财务报告风险采取的应对策略不一样，一般有规避、降低、转移、接受等策略。不论选择哪种策略，都需要编制财务报告风险应对表。

5、编制风险数据库或绘制风险图谱。根据财务报告风险评估结果编制财务报告层面的风险数据库或绘制风险图谱。风险数据库的基本要素包括业务流程、风险描述、风险分析、风险排序、应对策略、剩余风险等，也可加上内部控制设计完成后控制措施、控制部门或岗位等。风险图谱一般适用于公司层面的风险描述。

本阶段设计工作成果是形成《财务报告风险及其描述表》、《财务报告整体层面风险清单》、《财务报告风险分析表》、《财务报告风险评价表》、《财务报告风险应对策略表》、《财务报告风险解决方案》等。

财务报告内部控制设计流程

设计财务报告内部控制是在评估财务报告风险的基础上，对财务报告内部控制进行设计的过程，是财务报告内部控制设计的关键环节，基本程序包括：确定财务报告关键控制点;明确财务报告控制目标;提出财务报告控制措施;设计财务报告控制证据;完善财务报告相关制度;绘制财务报告控制流程图;编制财务报告控制矩阵。

1、设计关键控制点。企业在构建与实施财务报告内部控制过程中，要针对财务报告风险评估的结果，确定财务报告的一般控制点和关键控制点，并编制财务报告控制要点表。确定财务报告的一般控制点和关键控制是件很困难的事情，要根据企业实际情况确定，也因人们的专业判断而有所不同。《财务报告指引》重点对财务报告的编制、财务报告的对外提供、财务报告的分析利用环节等进行了规范。

2、设计控制目标。财务报告内部控制的目标就是要保证财务报告合法、安全、有效、可靠，从而有效控制财务报告中可能存在的各种风险，实际工作中，应根据识别出来的财务报告具体风险来设计，不能固定化、模式化。

3、设计控制措施。企业在构建与实施财务报告内部控制过程中，要强化对财务报告控制点，尤其是关键控制点的风险控制，并采取相应的控制措施。财务报告控制措施要与财务报告相融合，嵌入到财务报告流程当中。按照企业内部控制应用指引的要求，企业应当严格执行会计法律法规和国家统一的会计准则制度，加强对财务报告编制、对外提供和分析利用全过程的管理，明确相关工作流程和要求，落实责任制，确保财务报告合法合规、真实完整和有效利用。总会计师或会计工作相关负责人组织和领导财务报告的编制、对外提供和分析利用等相关工作。企业负责人对财务报告的真实性和完整性负责。

4、设计控制证据。为了财务报告制度的有效实施，需要制定必要的表单，作为财务报告制度的附件，为财务报告过程留下控制证据。财务报告相关文件资料很多，包括会计政策、会计估计、会计凭证、会计账簿、财务分析报告和财务报告结果传递记录等。

5、优化控制制度。企业需要建立一系列制度体系和机制保障，促进财务报告的作用得到有效发挥。财务报告内部控制制度不是新建的一套独立制度，而是将内部控制思想嵌入到财务报告制度中去。财务报告制度到底制定多少个，内容到底有哪些，因企业的不同而不同，从务实角度考虑，不宜过多，可制定一套统一的业务外包控制管理制度。

6、绘制控制流程图。绘制财务报告控制流程图要根据财务报告流程、风险点、控制点及相关的控制措施，结合具体单位的实际情况来绘制。特别要强调的是，应把财务报告内部控制流程和财务报告流程整合在一起，并在图上标示风险点和控制点。

7、编制控制矩阵。财务报告控制矩阵是对财务报告流程图中风险点、控制措施和控制证据等要素的详细说明与描述，是财务报告内部控制设计结果的集中体现，也是企业内部控制管理手册重要组成部分。实际上是上述工作的综合汇总。

本阶段设计工作成果是形成《财务报告控制控制要点及关键控制表》、《财务报告内部控制目标表》、《财务报告内部控制措施表》、《财务报告控制证据表》、《财务报告制度完善建议表》、《财务报告控制流程图》、《财务报告控制矩阵》等。