目前，业内对于工程项目内部控制设计的概念还没有统一的定义。中天恒3C框架认为，工程项目内部控制设计是在遵循国家和企业工程项目相关法规制度的基础上，以国家监管部门制定的内部控制规范及其应用指引为依据，结合企业工程项目的实际情况，用系统控制的技术和方法，构建企业自身工程项目内部控制体系的动态过程。工程项目内部控制设计，是工程项目内部控制建设的首要环节。

　　设计范围及基本流程

　　工程项目也称建设项目，一般是指在一个总体设计或总预算范围内，由一个或几个互有内在联系的单项工程组成，建成后在经济上可以独立经营、独立核算，在行政上可以统一管理的工程单位。《企业内部控制应用指引第11号——工程项目》(以下简称《第11号应用指引》)第二条规定：“本指引所称工程项目，是指企业自行或者委托其他单位所进行的建造、安装活动。”《第11号应用指引》定义的工程项目，是指企业根据经营管理需要，自行或者委托其他单位进行的建造、安装活动，其目的是形成新的固定资产或维护、提升既有固定资产性能。

　　工程项目，尤其是重大工程项目往往体现企业发展战略和中长期发展规划，对于提高企业再生产能力和支撑保障能力、促进企业可持续发展具有关键作用。而加强工程项目的内部控制，则有利于保证工程项目的顺利进行，实现工程项目规范管理的目标，提高单位资金使用效益，防范决策失误及防止舞弊行为，有效杜绝工程项目盲目建设，工程招投标程序不规范，工程超预算，或任意扩大范围、提高标准，工程预决算高估冒算、擅自挪用、拆借、转移项目资金等问题的发生。

　　工程项目内部控制设计是对工程项目实施有效内部控制的首要步骤，是工程项目内部控制实施、评价和审计的基础。工程项目内部控制设计的基本流程包括设计准备、设计实施、试行及完善等。中天恒认为描述现状、风险评估、设计控制是工程项目内部控制设计的三个关键方面。不过，根据工程项目内部控制设计操作需要，在基本流程的基础上，还要有多层次具体的流程，每个具体流程中需明确工作内容、方法、步骤以及相应的表单等，要突出工程项目内部控制设计的特色。

　　工程项目内部控制设计，需要企业根据国家内部控制基本规范及配套指引等的要求，结合企业生产经营的实际需要，建立和完善工程项目各项管理制度，全面梳理各个环节可能存在的风险点，规范工程立项、招标、造价、建设、验收等环节的工作流程，明确相关部门和岗位的职责权限，做到可行性研究与决策、概预算编制与审核、项目实施与价款支付、竣工决算与审计等不相容职务相互分离，强化工程建设全过程的监控，确保工程项目的质量、进度和资金安全。

　　描述现状

　　描述现状，就是梳理工程项目方面的内部管理制度或相关文件，梳理工程项目现状业务流程，编制工程项目内部管理制度或相关文件情况表、资金工程项目业务流程目录、绘制工程项目业务流程图等工程项目内部控制设计的基础性工作。

　　1、梳理描述制度文件。梳理描述制度文件，就是梳理有关工程项目方面的管理制度或文件，重点关注有无工程项目方面的相关制度，如有，是否完善、是否执行;有无具体可控的操作文件或表单等等。

　　2、梳理描述现状业务流程。工程项目内部控制还必须梳理清楚工程项目业务流程的现状。工程项目现行的业务流程到底怎么样，包括哪些环节，是否能有效控制研究与开发风险，并要将企业工程项目方面的现状业务流程用图表的形式描绘出来。

　　企业工程项目业务到底包括哪些，这因工程项目内容的不同而不同。工程项目涵盖的内容较多，包括新建、改建、扩建、迁建、恢复工程及与之相联系的其他经济活动。总体上来说，工程项目按其实施过程一般可以分为决策阶段、设计阶段、实施阶段、竣工阶段和项目后评价阶段。《第11号应用指引》将工程项目业务流程界定为企业工程立项、工程招标、工程造价、工程建设、工程验收等活动。我国企业在工程项目内部控制设计时，应将工程项目业务范畴统一到指引的要求来。当然，企业工程项目复杂多样，工程项目内部管理制度、业务流程千差万别，在具体的业务流程的设计上一定要体现不同企业工程项目的自身特点，不能简单照抄照搬。中天恒认为企业工程项目业务流程应包括以下基本控制环节：

　　(1)工程项目决策。工程项目决策过程分为项目建议书、可行性研究、项目决策三个阶段，建设单位应在这三个阶段建立相应的内部控制。

　　(2)勘察设计。建设单位应当建立相应的勘察设计单位选择程序和标准，择优选取具有相应资质的勘查设计单位，并签订设计合同。重大工程项目应采用招投标方式选取设计单位。严禁建设单位委托无证或不具备相应资质的单位承担工程设计。

　　(3)概预算控制。建设单位应当建立合理的概预算程序与制度，实现对工程项目造价的控制。概预算编制口径的确定应当考虑固定资产核算的要求。

　　(4)招投标。建设单位应当根据招标项目的特点和需要自行或委托相关机构编制招标文件，在文件中应明确招标项目的技术要求、对投标人资格审查的标准、投标报价要求和评标标准等内容，以及拟签订合同的主要条款。此外，招标文件中关于审查投标人资格的财务标准和投标报价要求等内容必须经过建设单位会计机构或人员的认可。

　　(5)合同控制。建设单位应当依据《合同法》的规定，分别与勘察设计单位、监理单位、施工单位及材料设备供应商订立书面合同，明确当事人各方的权利和义务。

　　(6)施工过程控制。施工过程控制包括工程质量施工合同的执行、施工款项的拨付、工程质量、投资、进度控制、施工费用管理等内容，建设单位应依据项目自身的特点及管理要求建立相宜的内部会计控制制度。

　　(7)竣工验收。建设单位会计机构或人员在工程竣工后，应及时开展各项清理工作。主要包括各类会计资料的归集整理、账务处理、财产物资的盘点核实及债权债务的清偿，做到账账、账证、账实、账表相符。

　　(8)监督检查。建设单位应当建立对工程项目业务的监督检查制度，明确监督检查机构或人员的职责权限，定期和不定期地进行检查。

　　3、确定业务流程目录。在梳理工程项目管理制度和业务流程现状的基础上，设计者根据内部控制设计的要求，编制工程项目业务流程目录，绘制工程项目业务流程图。

　　本阶段设计工作成果是，形成《工程项目内部管理制度或相关文件情况表》、《工程项目流程目录》、《工程项目业务流程图》。

　　风险评估

　　工程项目的风险，是指工程项目在可行性研究设计、施工等各个阶段可能遭到的风险。工程项目风险评估的基本程序为：识别工程项目风险，并进行具体描述;分析工程项目风险，编制工程项目风险分析表;评价工程项目风险，编制工程项目风险评价表;确定工程项目风险应对策略;提出工程项目重大风险解决方案。在实践中，工程项目风险分析及其评价是合在一起进行的。至于是否提出工程项目重大风险解决方案，这需要看企业的需要，也可以在工程项目内部控制设计完成后，再单独进行。

　　1、识别并描述风险。评估工程项目风险，首先要把工程项目业务具体风险识别出来，然后整理出整体层面的风险。

　　按照《第 11号应用指引》的要求，在评估工程项目风险时，设计人员至少应当关注下列风险：一是立项缺乏可行性研究或者可行性研究流于形式，决策不当，盲目上马，可能导致难以实现预期效益或项目失败;二是项目招标暗箱操作，存在商业贿赂，可能导致中标人实质上难以承担工程项目、中标价格失实及相关人员涉案;三是工程造价信息不对称，技术方案不落实，概预算脱离实际，可能导致项目投资失控;四是工程物资质次价高，工程监理不到位，项目资金不落实，可能导致工程质量低劣，进度延迟或中断。五是竣工验收不规范，最终把关不严，可能导致工程交付使用后存在重大隐患。

　　笔者认为，我国企业应重点识别以下工程项目风险：工程项目违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失;工程项目未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致资产损失;工程项目决策失误，可能造成企业资产损失或资源浪费;工程项目概预算编制不当和执行不力，可能造成工程项目建造成本的增加;工程项目成本失控，可能造成企业经营管理效益和效率低下;工程项目会计处理和相关信息不合法、真实、完整，可能导致企业资产账实不符或资产损失等方面的风险。

　　2、分析风险。工程项目风险分析的内容很多，一般应从成因和结果两个方面进行，并编制工程项目风险分析表。

　　3、评价风险。工程项目风险评价应从可能性和影响程度两个维度进行，根据评价结果进行风险排序、划分风险等级，并编制工程项目风险评价表。中天恒3C框架认为，识别出工程项目风险以后，就需要对工程项目风险进行评估，考查风险发生的频率、衡量风险可能造成损失的程度,明确企业准备承受的最大损失，即承受能力。具体应把握以下几点：

　　一是风险事件发生的概率。风险事件发生的概率和概率分布是风险估计的基础。因此，风险估计的首要工作是确定风险事件的概率分布。一般而言风险事件的概率分布应由历史资料确定，这样得到的即为客观概率。当项目管理人员没有足够的历史资料表确定风险事件的概率分布时，可以利用理论概率分布进行风险估计。由于项目管理活动独特性很强，项目风险来源彼此相差甚远。

　　因此，在许多情况下，项目管理人员只能根据小样本对风险事件发生的概率进行估计。而一些新项目根本就没有可利用的数据，项目管理人员只能根据自己的经验预测风险事件的概率或概率分布，这就是主观概率。

　　二是风险事件后果的估计。风险事故造成的损失要从三个方面来衡量：损失性质、损失范围和损失的时间分布。损失性质是指产生损失的原因是属于政治性的、经济性的还是技术性的。损失范围包括：损失的严重程度、变化幅度和分布情况。这三个方面的不同组合使得损失情况千差万别。因此，任何单一的尺度都无法准确地对风险进行估计。在估计风险事故造成损失时描述性尺度最容易用;定性的次之;定量尺度最难、最贵、最耗费时间。

　　三是等风险量图(曲线)。风险的大小不仅和风险事件发生的概率有关，而且还与风险损失的多少有关。评价风险的大小，常用等风险量图(曲线)。等风险量曲线，就是由风险量相同的风险事件所形成的曲线，不同等风险量曲线所表示的风险量大小与其与风险坐标原点的距离成正比，即距原点越近，风险量越小;反之，则风险量越大。

　　四是风险估计的不确定性。风险估计本质上是在信息不完全情况下的一种主观评价。因此，进行风险估计时需要注意两个问题：第一，不管使用哪种尺度，都需要有某种形式的主观判断，所以风险估计的结果必然带有一定程度的不确定性。第二，计量本身也会产生一定程度的不确定性。项目变数(如成本、进度、质量、规模、产量、贷款利率、通货膨胀率)的不确定性程度依赖于计量系统的精确性和准确性。

　　4、选择风险应对策略。工程项目风险应对是根据风险评价的结果，针对不同等级风险选择工程项目风险应对策略的过程。

　　一般而言，控制风险有六种策略：

　　一是减轻风险。减轻风险的目标是降低风险发生的可能性或减少后果的不利影响。具体目标是什么，则在很大程度上要看风险是已知的，可预测的，还是不可预测的。对已知的风险，项目管理者可在很大程度上加以控制。例如，若已发现工程进度出现了滞后的风险，则可以通过压缩关键线路上的活动时间，改变活动的逻辑关系等措施来减轻工程项目的风险。可预测或不可预测的风险是项目管理人员难以控制的风险，直接动用项目资源一般难以收到好的效果，必须进行深入细致的调查研究，减少其不确定性和潜在损失。

　　二是预防风险。工程项目风险预防通常采用有形和无形的手段。在有形手段中，常以工程措施为主。如，在修山区高速公路时，为防止公路两侧高边坡的滑坡，可以采用锚固技术固定可能松动滑移的山体。

　　三是转移风险。转移风险的目的不是降低风险发生的概率和不利后果的大小，而是借用合同等手段，在风险一旦发生时将损失的一部分转移到第三方身上。

　　四是回避风险。回避风险是指当工程项目风险潜在威胁发生可能性太大，不利后果也太严重，又无其它策略可用时，主动放弃项目或改变项目目标与行动方案，从而规避风险的一种策略。如承包商通过风险评价后发现某一投标中标的可能性较小，且即使中标，也存在亏损的风险。此时，其就应该放弃该投标，以回避亏本的经济风险。

　　五是自留风险。有些时候项目管理者可以把风险事件的不利后果自愿接受下来，即为自留风险。自愿接受风险，又有主动和被动之分。在风险管理计划阶段已对一些风险有了准备，所以当风险事件发生时，马上执行应急计划，这是主动接受。被动接受风险是指当风险事件造成的后果不大，不会影响大局时，项目管理者列了一笔费用，以应付风险。如对材料涨价的风险，一般项目上均准备有一笔费用来对付。

　　六是后备措施。有些风险要求事先制定后备措施。一旦实际进展情况与计划不同，就动用后备措施。后备措施常包括：(1)预算应急费。这实际上是一笔事先准备好的资金，专门用于补偿差错、疏漏及其它不确定性对工程项目费用估计精确性的影响。(2)技术后备措施。其是专门为应付工程项目的技术风险而预先准备的时间及资金等。准备时间主要是为应付技术风险造成的进度拖延;准备好的资金主要是为对付技术风险提供费用支持。

　　5、编制风险数据库或绘制风险图谱。依据工程项目风险评估的结果编制工程项目层面的风险数据或绘制风险图谱。工程项目层面数据基本要素包括业务流程、风险描述、风险分析、风险排序、应对策略、剩余风险等。此外，也可以加上内部控制设计完成后控制措施、控制部门或岗位等等。

　　本阶段的设计成果是，形成《工程项目风险及其描述表》、《工程项目整体层面风险清单》、《工程项目风险分析表》、《工程项目风险评价表》、《工程项目风险应对策略表》、《工程项目风险解决方案》等。

　　工程项目内部控制设计流程

　　设计工程项目内部控制，就是在评估工程项目风险的基础上，对工程项目内部控制进行设计的过程，这也是工程项目内部控制设计的关键环节。工程项目内部控制设计的基本程序包括：确定工程项目关键控制点;明确工程项目内部控制目标;提出工程项目内部控制措施;设计工程项目内部控制证据;完善工程项目内部控制相关制度;绘制工程项目内部控制流程图;编制工程项目内部控制矩阵。

　　1、设计关键控制点。企业在构建与实施工程项目内部控制过程中，要针对工程项目风险评估的结果，确定工程项目的一般控制点和关键控制点，并编制工程项目控制要点表。确定工程项目的一般控制点和关键控制是件很困难的事，要根据企业实际情况确定，也因人们的专业判断的不同而不同。《企业内部控制应用指引第11号——工程项目》(以下简称《第11号应用指引》)将工程项目业务流程界定为企业工程立项、工程招标、工程造价、工程建设、工程验收等活动。

　　2、设计控制目标。工程项目内部控制目标就是要保证工程项目合法、安全、有效、可靠，从而有效控制可能发生的风险。这些风险包括：立项缺乏可行性研究或者可行性研究流于形式，决策不当，盲目上马，可能导致难以实现预期效益或项目失败;项目招标暗箱操作，存在商业贿赂，可能导致中标人实质上难以承担工程项目、中标价格失实及相关人员涉案;工程造价信息不对称，技术方案不落实，概预算脱离实际，可能导致项目投资失控;工程物资质次价高，工程监理不到位，项目资金不落实，可能导致工程质量低劣，进度延迟或中断;竣工验收不规范，最终把关不严，可能导致工程交付使用后存在重大隐患等方面的风险。实际工作中，工程项目内部控制目标应根据识别出来的工程项目可能存在的具体风险来设计，不能固定化、模式化。

　　一般来说，工程项目内部控制目标包括：一是保证工程项目立项的合法性。企业的工程项目应当符合国家政策，符合工程项目建设的有关法律法规的具体规定。二是保证工程项目立项的合理性。通过内部控制保证工程项目竣工交付使用后能够带来预期的经济效益和社会效益。三是保证工程项目的实施过程符合国家的各项规范。工程项目实施过程的咨询、评估、招标、评标、定标、签订合同、工程施工、工程监理等，都必须符合国家有关工程项目的规范性要求。四是保证工程项目业务记录的真实性和完整性。通过内部会计控制保证工程项目业务记录的真实性和完整性，使会计资料能够真实、全面、准确地反映工程项目的情况。五是保证工程项目的费用支出按预算进行控制。正确、及时地进行工程项目成本核算，按工程预算控制工程项目的费用支出，努力节约支出，降低成本。六是确保工程项目按时竣工、验收，并发挥效益。当然，工程质量是很重要的，也应重点关注质量控制。

　　3、设计控制措施。企业在构建与实施工程项目内部控制过程中，要强化对工程项目控制点，尤其是关键控制点的风险控制，并采取相应的控制措施。企业工程项目控制措施要与担保业务相融合，嵌入到工程项目流程当中。

　　4、设计控制证据。为了工程项目内部控制制度能够有效实施，工程项目内部控制设计者需要制定必要的表单，为工程项目过程留下控制证据。工程项目相关表单很多，包括项目可行性研究报告、初步设计、概算及其调整批复的文件、招投标文件、历年投资计划、工程项目预算、承包合同、工程竣工决算、有关的财务核算制度、办法等。

　　5、优化控制制度。实际上，构建企业工程项目内部控制制度并不是再独立地建立一套新的制度，而是将内部控制思想嵌入到工程项目整个环节中去。工程项目内部控制制度到底制定多少个，内容包括哪些，这因企业的不同而不同。从务实的角度考虑，工程项目内部控制制度不宜越多越好。企业可以制定一个统一的工程项目管理制度，内容至少应明确工程立项、招标、造价、建设、验收等环节的职责和审批权限。

　　不论工程项目控制制度采取什么样的形式制定，企业都应认真学习领会《企业内部控制基本规范》、《第11号应用指引》等法律法规的精神实质和原则要求，并以此为起点构建和实施工程项目内部控制。

　　6、绘制控制流程图。一般而言，工程项目内部控制流程图大多是业务流程图，并没有标注工程项目风险点和关键控制点。笔者认为，绘制工程项目控制流程图要根据工程项目流程、风险点、控制点及其相关的控制措施，结合具体单位的实际情况来绘制。这里需要特别强调的是，应把工程项目内部控制流程和工程项目流程整合在一起，并在图上标示风险点和控制点。

　　工程项目内部控制的设计成果是，形成《工程项目控制要点及关键控制表》、《工程项目内部控制目标表》、《工程项目内部控制措施表》、《工程项目控制证据表》、《工程项目制度完善建议表》、《工程项目控制流程图》、《工程项目控制矩阵》等。