企業內控組織搭建與內控管理工具的應用

劉龍飛

摘 要：內控的理論研究目前已經很成熟，但是如何在企業里搭建內控組織，以及內控管理實踐中可用的管理工具有哪些，這兩個問題是企業在內控建設過程中首先面臨的。在內控指引大原則框架下，企業怎么在整個企業層面搭建內控組織體系，各層級內控組織的職責和相互關系是什么，內控組織搭建之后有哪些管理工具可以應用，是大型企業在內控落地中迫切想要搞清楚的。本文將介紹內控組織的三個層次、內控能力模塊設立的考量因素、BU內控團隊建設的五步法以及常用的內控管理工具，以求幫助企業在搭建內控組織時參考，并使其有效運轉，在風險可控下保持、促進企業的可持續發展。

關鍵詞：內控組織;關鍵控制點;內控能力模塊;內控管理工具;風控矩陣

學術界和實務界對于企業內控的研究有很多，但是如何在企業里搭建內控組織，以及內控管理實踐中可用的管理工具有哪些，這兩個問題是企業在內控建設過程中首先面臨的。查看內控的原則、指引相關文件，筆者注意到企業內部控制指引第1號是“組織架構”，主要描述了企業自身的組織架構設計的原則和注意事項，對于內控組織如何在企業內部搭建沒有表述。

實踐中，大部分中小企業也沒有專設的內控組織，內控職責分解在各業務領域，或者由財務部門直接兼任。我們打開看COSO五要素（控制環境、風險評估、控制活動、信息溝通、監督）里面的控制活動，可以發現，大型組織的控制活動范圍已遠超財務一個部門能夠覆蓋。內控的控制活動主要有以下幾類：不相容職務分離、授權審批控制、全面預算控制、財產保護控制、會計系統控制、經營分析控制、績效考評控制、關鍵控制點（Key Control Point，簡稱KCP）系統建設。8項中有4項：不相容職務分離、授權審批、績效考評、關鍵控制點系統建設，越是業務復雜度高的大型企業，這幾項單獨由財務去控制的可能性就越低。而要協同的部門也越多。這種情況下單設的內控組織在企業內部存在需求就很有必要。

在這種需求背景下，以及在內控指引大原則框架下，企業怎么在整個企業層面搭建內控組織體系，各層級內控組織的職責和相互關系是什么，內控組織搭建之后有哪些管理工具可以應用，就會是大型企業在內控落地中迫切想要搞清楚的。下文將介紹內控組織的三個層次、內控能力模塊設立的考量因素、BU內控團隊建設的五步法以及常用的內控管理工具，以求幫助企業在搭建內控組織時參考，并使其有效運轉，在風險可控下保持、促進企業的可持續發展。

一、內控組織的三個層次

筆者以為，企業在創建內控組織時需要分三個層次。這三個層次的組織分別是內控委員會及其常設秘書機構、內控能力模塊、BU內控團隊。這樣能夠保證COSO五要素在企業個體系里的分層落地，從集團總部到BU單位，再到末端業務部門：同時，也符合內控的二道防線構想，即業務防線、能力防線、審計監督防線。

內控組織的最高層是內控委員會及其常設秘書機構。內控委員會應該設立在董事會下其常設秘書機構通常也就是企業獨立的內控審計部門，其負責人直接向企業董事長匯報，以便所有內控規則、舉措同樣適用企業高管。內控委員會負責企業整體層面的內控決策、規劃、監督和指導。獨立的內控審計部門負責整體規劃的跟進落地、內控工具和方法論的建設、內控環境和文化建設、內控評價項目策劃組織、內控考核的制定等。

內控組織的中間層是內控能力模塊。它可能并不是行政單位，其設立的考量因素將在下一章具體闡述。其職責則主要本領域的內控能力建設，制定相應的內控組織、流程、標準。確保內控要求嵌入業務流程，保障業務經營運作正常;結合企業內控任務要求，規劃本領域內控要求在業務單位的落地執行，對業務單位的執行情況進行評估、指導、監督，定期出具評估報告;對于本領域的重大內控缺陷事項，策劃和實施內控專題解決方案。

內控組織的底層是BU內控團隊。BU內控團隊根據業務領域的風險情況來決定是設置專職還是兼職，通常BU內控團隊有2種設定模式：

（1） “3+X”模式，“3”即內控鐵三角。包括內控負責人、內控經理、財務經理/內控檢查人員，“X”為支撐內控工作開展的其他角色。

（2） “3”模式，即內控鐵三角，包括內控負責人、內控經理、財務經理/內控檢查人員?；鶎拥膬瓤亟M織，通常除了內控負責人和內控經理外，財務經理也是一個關鍵的角色 BU財務的工作職責界面不能剝離內控。財務最基礎的職能就是反映和控制，控制風險和不確定性也是內控的目標。內控是融入在業務的所有環節的，所以內控負責人通常就是業務負責人。

二、內控能力模塊設立的考量因素

上文中提到了內控組織的中間層是內控能力模塊，主要的職責就是本領域的內控能力建設與組織推進。然而，內控能力模塊的設立是否有一個統一的標準呢？就筆者的內控管理實踐而言，可以參考《企業內部控制應用指引》來設置內控能力模塊，涵蓋了企業的主要業務活動，基于風險考量來設立內控能力模塊。

大類的能力模塊可以涵蓋組織架構、發展戰略、人力資源、社會責任、企業文化、資金管理、采購業務、資產管理、銷售業務、研究與開發、工程項目、擔保業務、業務外包、財務報告、全面預算、合同管理、內部信息傳遞、信息系統。

大型集團型企業可能還需要在此基礎上再細分內控能力模塊，比如資產管理可能涉及的業務單位較多，需要進一步分拆為存貨、固定資產、不動產、品牌商譽、知識產權等小模塊以便實際工作落地時能夠找到合適的責任部門和責任領導。

除了上述幾大類能力模塊，企業可能還需要根據自身業務特點新增一批無法在《企業內部控制應用指引》找到的對應板塊。比如國際性企業對于出口管制貿易合規的風險關注就很有必要，此情況下貿易合規就有必要單獨作為一個內控能力模塊。

三、BU內控團隊建設的五步法

BU內控團隊作為基層內控組織，是所有內控規劃的實際落地部門?；鶎觾瓤亟ㄔO可以參考組織建設、風險評估、制度建設、執行檢查、整改問責的五步法來實施。

（1） 組織建設：企業內控的管理體系是行政線的三道防線控風險和能力線的能力模塊賦能基層組織相互結合，對于基層單位則可參考上文“3+X”或“3”的模式來配置內控團隊。完備的內控組織是基礎，在此基礎上還需要注意內控賦能的配套，以真正提升組織的能力。賦能形式可以多樣化，包括培訓、評優、優秀實踐的推廣等。組織建設的過程中還需要發揮考核的行為導向作用，把內控目標嵌入到各單位的考核內容中，作為必備指標。

（2） 風險識別：內控團隊需要結合內部控制指引和企業業務特點，識別、聚焦關鍵風險，對風險進行分級管理。業務過程中發現的重大風險需要及時上報上層單位，且上報機制要明確。同時，對于識別出來的風險，要有應對方案和持續的監控機制。

（3） 制度建設：企業中各領域相關管理要求需要形成明文的規范，內控團隊需要牽頭安排相關責任人定期更新制度。制度要符合業務管理的目標，可落地。制度規范需要考慮要設定關鍵控制點，確保經營風險的可控。

關鍵控制點（Key Control Point，簡稱KCP），是指在業務流程或應用系統中，為降低流程主要風險和實現控制目標而采取的最有影響的控制活動，如檢查、驗證、評審、審核、審批復核、決策、考核、預算、預警、分析、授權、盤點、不相容職務分離等，具有以下特點的控制活動應列為關鍵控制點：

①為落實內控指引要求而設立的，對資產安全、合法合規、報告真實、經營目標實現、戰略實現有重要影響的控制活動;

②控制對外協議或承諾履行風險、控制舞弊風險發生、控制違反業務紅線行為發生風險的控制活動;

③影響關鍵決策，涉及關鍵單據及文檔、對外提供單據及文檔、非常規交易的評審/審批的控制活動;

④該控制點可同時控制多條風險或該控制點對應的風險無其他控制點能夠起到規避、防范作用;

⑤業務單位認定的其他直接對控制業務主要風險有重要影響的控制活動。

關鍵控制點又分為人工控制和系統控制，理想的情況下，關鍵控制點需要由系統進行統一管控，避免人為干預和手工差錯。實務中，由于企業IT資源有限，存在大量線下的人工控制的KCP，對于此類現有的人工控制的關鍵控制點，內控團隊需要評估系統上線方案，確實無法上線的需要重點安排檢查。

（4） 執行檢查：內控團隊需要充分運用內控工具，以業務流程中的關鍵控制點（KCP）為主線，建立檢查清單，執行檢查。組織自查自糾、內控自評、內控稽核。通過全方位、體系化的檢查來覆蓋企業業務場景的方方面面，切實做好風險掃雷。

（5） 整改問責：在執行檢查中的問題，分析問題形成原因，閉環整改。對于存在管理責任的人和部門，需要在考核激勵中應用，涉及違規的部門和人員需要問責。對于存在重大風險的缺陷，在整改完畢一定時間之后需要安排回頭看。

四、常用的內控管理工具

內控組織要有效履責離不開管理工具的應用，總結筆者在內控管理方面的經驗，企業實務中常用的內控管理工具有如下幾種：

1.風控矩陣

不同的業務領域可以拆分對應不同層級的流程，每一個流程都有其自有的風險。對于業務流程的風險的梳理工作表可以理解為內控的風控矩陣。在梳理流程風險時，首先需要將流程盡量拆分到末階，并對風險進行描述。需要注意的是，此處的風險描述是指的業務存在的固有風險，而非目前存在的問題。描述形式上可以為“缺少某種控制，可能導致某種不利后果”。比如缺少賬實核對，可能導致核算不準確的風險。

除了風險描述之外，還需要梳理控制目標、確定控制目標類型、關鍵控制點、關鍵控制點描述、控制責任崗位、控制頻率、業務發生次數、控制類型（系統/手工）、系統名稱、制度名稱、制度發布時間、內控指引編號、業務紅線編號。

控制目標需要說明要通過什么控制手段達到風險控制的目標是什么。內控的幾個目的：資產安全、財務報告、合法合規、戰略實現、經營效率，在控制目標明確后，需要從五大內控目的中選擇控制目標類型，便于后續以目標為導向復盤控制內容的完備性。

明確了控制的目標、方式之后還需要明確控制的頻率、責任崗位、是否實現了系統自動控制、控制活動是否嵌入了相關制度、是否與內控指引和業務紅線相對應。風控矩陣梳理完成之后，可以方便定期安排控制要點的檢查，對于制度覆蓋不完整的進行制度刷新，對于尚在手工控制的關鍵控制點安排系統上線計劃等。

2.自評檢查

企業根據三道防線的層次，可以設置不同的檢查類別。比如針對第一道防線，可以做自查自糾和內控自評。自查自糾的特點就是“誰執行、誰檢查”，早發現，早治理?；鶎訂挝桓鶕I務的實際情況選擇自查范圍，檢查結果的輸出物形式不限。內控自評的特點是“誰制定，誰檢查”，由流程主管部門組織，檢查流程落地到基層的情況，流程制定單位依托風控矩陣，每年對所有業務關鍵流程的關鍵控制點的有效性進行檢驗評估，識別控制缺陷并落實整改，提升業務單位主動揭示和防范風險的能力。內控自評的輸出物通常是自評報告。針對第二道防線，業務內控組織可以組建業務稽核團隊組織業務稽核。業務稽核的特點是“誰管理，誰檢查”，關鍵領域和高風險領域需要重點核查，出具業務稽核報告。針對第三道防線，內控審計部門開展專項的內控審計，特點是此活動屬于專業職能，行使獨立監督職責。檢查的范圍類似于業務稽核，需抓重點、抓關鍵領域和高風險業務，輸出內控審計報告。

3.缺陷整改

各類自評檢查之后，或多或少會發現各領域存在的管理缺陷。針對這些管理缺陷，需要閉環管理。

首先需要針對缺陷進行分級分類管理。按照財政部《企業內部控制評價指引》，內控缺陷按其成因分為設計缺陷和運行缺陷，按其影響程度分為重大缺陷、重要缺陷和一般缺陷。企業內控評價工作中，都會對發現的缺陷事項逐一按成因、影響程度進行認定。不同的缺陷成因決定了不同的缺陷整改方向，不同的缺陷影響程度決定了不同的缺陷整改力度和優先順序。

重大缺陷指一個或多個控制缺陷的組合，可能導致企業嚴重偏離控制目標。重要缺陷指一個或多個控制缺陷的組合，其嚴重程度和經濟后果低于重大缺陷，但仍有可能導致企業偏離控制目標。

除了以上兩類引起嚴重后果，可能導致企業偏離控制目標的重大重要缺陷外，其余的一般缺陷可以根據企業自身管理的精細度進行劃分。比如按 ABC 再細分三類。

對于重要決策點設計不合理、重要業務授權審批設計不合理、重要業務不相容職務未分離、外部內控審計提及的內控缺陷或管理建議、企業內控委員會高度關注的內控缺陷，此類缺陷可以認定為一般A類缺陷。

除一般A類缺陷以外的內審缺陷或內控團隊評價缺陷;自評缺陷，級別低于一般A類且滿足如下條件的：重要決策點設計執行不到位、重要業務授權審批執行不到位、需要跨領域單位整改的內控缺陷或者以前年度持續發生的。此類缺陷可以認定為一般B類缺陷。

除此之外的其他一般缺陷即為一般C類缺陷。

內控團隊對缺陷進行分級分類之后，需要業務單位根據內控建議擬定整改方案，整改方案需要明確整改完成時間、驗收標準。整改完成之后，內控團隊進行驗收。針對歷史已經關閉的缺陷，內控團隊需要定期組織“回頭看”，確保執行效果鞏固。

4.成熟度評估

內控成熟度評估依托兩個評估維度和四個標準動作，指導業務單位以評促建。兩個評估維度是指內控組織運作評估和業務關鍵控制評估。內控組織運作維度的評估關注業務單位的內控組織建設情況，運作是否規范，是否有相應的崗位配置、資源配套和溝通機制，確保內控要求有效傳遞。業務關鍵控制評估關注業務領域KCP執行情況，明確業務流程的改進方向。

四個標準動作分別是評價模型、檢查清單、量化評估和評估報告。評估模型可以參考如下表格中列示的內控建設五步法來對應評估項目。評估項目的權重占比可以依照企業自身的特點和考核導向來分別設置。除了五步法之外，建議對于負面結果進行扣分處理。如業務單位發生的重大重要損失、發現的重大重要缺陷以及發生了大要案的，在內控成熟度評估時，需要參照影響程度進行扣分處理。

5.內控考核

內控考核可以從內控工作過程推進和異常結果兩個維度實施考核。企業在將內控工作內容作為考核指標嵌入到各單位考核體系時，可以關注內控任務的完成率、重大重要缺陷的發生情況、重大重要損失和大要案情況以及前期已經關閉的內控缺陷是否有復發。

考核能夠有效引導行為，也有利于減少企業內部的管理協同成本。內控的考核應該簡要、清晰，方便各級內控組織理解。在具體的考核指標設置方面，導向性需要符合組織需求，以便引導各級內控組織與企業整體目標一致、上下同心。

五、總結

在內控指引原則框架下，企業在創建內控組織時需要分三個層次，這三個層次的組織分別是內控委員會及其常設秘書機構、內控能力模塊、BU 內控團隊。這三個層次的組織相互協作，保證COSO 五要素在企業整個體系里的分層落地。

內控能力模塊如何設置方面，企業可以參考《企業內部控制應用指引》以及自身業務情況來明確。BU 內控團隊的建設方面，企業可以以組織建設、風險評估、制度建設、執行檢查、整改問責五方面內容為核心展開。五步法組建BU內控團隊過程中，每一步又可以分別分拆三小步，如組織建設包括組織搭建、賦能活動和考核評估，風險評估包括風險的識別、應對和監控，制度建設包括內控制度的發布、風控矩陣的梳理以及將KCP進行系統管控，執行檢查包括業務稽核、內控自評、自查自糾，整改問責包括發現問題后的缺陷整改、違規問責以及定期對缺陷進行回頭看。五步法的內容有機融合，構成了管理的PDCA閉環。

內控組織三層架構建設完備之后，具體開展內控工作時，還需要輔之以相應的管理工具，有效的內控管理工具能夠幫助企業提升內控管理水平。上文介紹了風控矩陣、自評檢查、缺陷整改、成熟度評估和內控考核工具在企業內控管理中的應用實踐，企業可以根據自身業務狀況參考選擇采納的工具。

參考文獻：

[1]企業內部控制編審委員會.企業內部控制主要風險點、關鍵控制點與案例解析[M].上海：立信會計出版社，2021.

[2]企業內部控制編審委員會.企業內部控制基本規范及配套指引案例講解[M].上海：立信會計出版社，2021.

[3]夏鵬，齊英，劉梅玲.企業內部控制評價體系研究[M].北京：中國財政經濟出版社，2016.

[4]侯其鋒.企業內部控制基本規范操作指南[M].北京：人民郵電出版社，2016.

[5]財政部，證監會，審計署，銀監會，保監會.關于印發企業內部控制配套指引的通知.2010.

[6]許國才.企業內部控制流程手冊[M].北京：人民郵電出版社， 2010.

[7]徐玉德.企業內部控制設計與實務[M].北京：經濟科學出版社，2009.

[8]劉永澤，池國華.企業內部控制制度設計操作指南[M].大連：大連出版社，2011.

[9]COSO，方紅星.企業風險管理——應用技術[M].王宏，譯.大連：東北財經大學出版社，2005.

[10]COSO，方紅星.企業風險管理——整合框架[M].王宏，譯.大連：東北財經大學出版社，2005.

[11]潘琰，鄭仙萍.論內部控制理論之構建：關于內部控制基本假設的探討[J].會計研究，2008（2）.