刘龙飞

摘 要：内控的理论研究目前已经很成熟，但是如何在企业里搭建内控组织，以及内控管理实践中可用的管理工具有哪些，这两个问题是企业在内控建设过程中首先面临的。在内控指引大原则框架下，企业怎么在整个企业层面搭建内控组织体系，各层级内控组织的职责和相互关系是什么，内控组织搭建之后有哪些管理工具可以应用，是大型企业在内控落地中迫切想要搞清楚的。本文将介绍内控组织的三个层次、内控能力模块设立的考量因素、BU内控团队建设的五步法以及常用的内控管理工具，以求帮助企业在搭建内控组织时参考，并使其有效运转，在风险可控下保持、促进企业的可持续发展。

关键词：内控组织;关键控制点;内控能力模块;内控管理工具;风控矩阵

学术界和实务界对于企业内控的研究有很多，但是如何在企业里搭建内控组织，以及内控管理实践中可用的管理工具有哪些，这两个问题是企业在内控建设过程中首先面临的。查看内控的原则、指引相关文件，笔者注意到企业内部控制指引第1号是“组织架构”，主要描述了企业自身的组织架构设计的原则和注意事项，对于内控组织如何在企业内部搭建没有表述。

实践中，大部分中小企业也没有专设的内控组织，内控职责分解在各业务领域，或者由财务部门直接兼任。我们打开看COSO五要素（控制环境、风险评估、控制活动、信息沟通、监督）里面的控制活动，可以发现，大型组织的控制活动范围已远超财务一个部门能够覆盖。内控的控制活动主要有以下几类：不相容职务分离、授权审批控制、全面预算控制、财产保护控制、会计系统控制、经营分析控制、绩效考评控制、关键控制点（Key Control Point，简称KCP）系统建设。8项中有4项：不相容职务分离、授权审批、绩效考评、关键控制点系统建设，越是业务复杂度高的大型企业，这几项单独由财务去控制的可能性就越低。而要协同的部门也越多。这种情况下单设的内控组织在企业内部存在需求就很有必要。

在这种需求背景下，以及在内控指引大原则框架下，企业怎么在整个企业层面搭建内控组织体系，各层级内控组织的职责和相互关系是什么，内控组织搭建之后有哪些管理工具可以应用，就会是大型企业在内控落地中迫切想要搞清楚的。下文将介绍内控组织的三个层次、内控能力模块设立的考量因素、BU内控团队建设的五步法以及常用的内控管理工具，以求帮助企业在搭建内控组织时参考，并使其有效运转，在风险可控下保持、促进企业的可持续发展。

一、内控组织的三个层次

笔者以为，企业在创建内控组织时需要分三个层次。这三个层次的组织分别是内控委员会及其常设秘书机构、内控能力模块、BU内控团队。这样能够保证COSO五要素在企业个体系里的分层落地，从集团总部到BU单位，再到末端业务部门：同时，也符合內控的二道防线构想，即业务防线、能力防线、审计监督防线。

内控组织的最高层是内控委员会及其常设秘书机构。内控委员会应该设立在董事会下其常设秘书机构通常也就是企业独立的内控审计部门，其负责人直接向企业董事长汇报，以便所有内控规则、举措同样适用企业高管。内控委员会负责企业整体层面的内控决策、规划、监督和指导。独立的内控审计部门负责整体规划的跟进落地、内控工具和方法论的建设、内控环境和文化建设、内控评价项目策划组织、内控考核的制定等。

内控组织的中间层是内控能力模块。它可能并不是行政单位，其设立的考量因素将在下一章具体阐述。其职责则主要本领域的内控能力建设，制定相应的内控组织、流程、标准。确保内控要求嵌入业务流程，保障业务经营运作正常;结合企业内控任务要求，规划本领域内控要求在业务单位的落地执行，对业务单位的执行情况进行评估、指导、监督，定期出具评估报告;对于本领域的重大内控缺陷事项，策划和实施内控专题解决方案。

内控组织的底层是BU内控团队。BU内控团队根据业务领域的风险情况来决定是设置专职还是兼职，通常BU内控团队有2种设定模式：

（1） “3+X”模式，“3”即内控铁三角。包括内控负责人、内控经理、财务经理/内控检查人员，“X”为支撑内控工作开展的其他角色。

（2） “3”模式，即内控铁三角，包括内控负责人、内控经理、财务经理/内控检查人员。基层的内控组织，通常除了内控负责人和内控经理外，财务经理也是一个关键的角色 BU财务的工作职责界面不能剥离内控。财务最基础的职能就是反映和控制，控制风险和不确定性也是内控的目标。内控是融入在业务的所有环节的，所以内控负责人通常就是业务负责人。

二、内控能力模块设立的考量因素

上文中提到了内控组织的中间层是内控能力模块，主要的职责就是本领域的内控能力建设与组织推进。然而，内控能力模块的设立是否有一个统一的标准呢？就笔者的内控管理实践而言，可以参考《企业内部控制应用指引》来设置内控能力模块，涵盖了企业的主要业务活动，基于风险考量来设立内控能力模块。

大类的能力模块可以涵盖组织架构、发展战略、人力资源、社会责任、企业文化、资金管理、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统。

大型集团型企业可能还需要在此基础上再细分内控能力模块，比如资产管理可能涉及的业务单位较多，需要进一步分拆为存货、固定资产、不动产、品牌商誉、知识产权等小模块以便实际工作落地时能够找到合适的责任部门和责任领导。

除了上述几大类能力模块，企业可能还需要根据自身业务特点新增一批无法在《企业内部控制应用指引》找到的对应板块。比如国际性企业对于出口管制贸易合规的风险关注就很有必要，此情况下贸易合规就有必要单独作为一个内控能力模块。

三、BU内控团队建设的五步法

BU内控团队作为基层内控组织，是所有内控规划的实际落地部门。基层内控建设可以参考组织建设、风险评估、制度建设、执行检查、整改问责的五步法来实施。

（1） 组织建设：企业内控的管理体系是行政线的三道防线控风险和能力线的能力模块赋能基层组织相互结合，对于基层单位则可参考上文“3+X”或“3”的模式来配置内控团队。完备的内控组织是基础，在此基础上还需要注意内控赋能的配套，以真正提升组织的能力。赋能形式可以多样化，包括培训、评优、优秀实践的推广等。组织建设的过程中还需要发挥考核的行为导向作用，把内控目标嵌入到各单位的考核内容中，作为必备指标。

（2） 风险识别：内控团队需要结合内部控制指引和企业业务特点，识别、聚焦关键风险，对风险进行分级管理。业务过程中发现的重大风险需要及时上报上层单位，且上报机制要明确。同时，对于识别出来的风险，要有应对方案和持续的监控机制。

（3） 制度建设：企业中各领域相关管理要求需要形成明文的规范，内控团队需要牵头安排相关责任人定期更新制度。制度要符合业务管理的目标，可落地。制度规范需要考虑要设定关键控制点，确保经营风险的可控。

关键控制点（Key Control Point，简称KCP），是指在业务流程或应用系统中，为降低流程主要风险和实现控制目标而采取的最有影响的控制活动，如检查、验证、评审、审核、审批复核、决策、考核、预算、预警、分析、授权、盘点、不相容职务分离等，具有以下特点的控制活动应列为关键控制点：

①为落实内控指引要求而设立的，对资产安全、合法合规、报告真实、经营目标实现、战略实现有重要影响的控制活动;

②控制对外协议或承诺履行风险、控制舞弊风险发生、控制违反业务红线行为发生风险的控制活动;

③影响关键决策，涉及关键单据及文档、对外提供单据及文档、非常规交易的评审/审批的控制活动;

④该控制点可同时控制多条风险或该控制点对应的风险无其他控制点能够起到规避、防范作用;

⑤业务单位认定的其他直接对控制业务主要风险有重要影响的控制活动。

关键控制点又分为人工控制和系统控制，理想的情况下，关键控制点需要由系统进行统一管控，避免人为干预和手工差错。实务中，由于企业IT资源有限，存在大量线下的人工控制的KCP，对于此类现有的人工控制的关键控制点，内控团队需要评估系统上线方案，确实无法上线的需要重点安排检查。

（4） 执行检查：内控团队需要充分运用内控工具，以业务流程中的关键控制点（KCP）为主线，建立检查清单，执行检查。组织自查自纠、内控自评、内控稽核。通过全方位、体系化的检查来覆盖企业业务场景的方方面面，切实做好风险扫雷。

（5） 整改问责：在执行检查中的问题，分析问题形成原因，闭环整改。对于存在管理责任的人和部门，需要在考核激励中应用，涉及违规的部门和人员需要问责。对于存在重大风险的缺陷，在整改完毕一定时间之后需要安排回头看。

四、常用的内控管理工具

内控组织要有效履责离不开管理工具的应用，总结笔者在内控管理方面的经验，企业实务中常用的内控管理工具有如下几种：

1.风控矩阵

不同的业务领域可以拆分对应不同层级的流程，每一个流程都有其自有的风险。对于业务流程的风险的梳理工作表可以理解为内控的风控矩阵。在梳理流程风险时，首先需要将流程尽量拆分到末阶，并对风险进行描述。需要注意的是，此处的风险描述是指的业务存在的固有风险，而非目前存在的问题。描述形式上可以为“缺少某种控制，可能导致某种不利后果”。比如缺少账实核对，可能导致核算不准确的风险。

除了风险描述之外，还需要梳理控制目标、确定控制目标类型、关键控制点、关键控制点描述、控制责任岗位、控制频率、业务发生次数、控制类型（系统/手工）、系统名称、制度名称、制度发布时间、内控指引编号、业务红线编号。

控制目标需要说明要通过什么控制手段达到风险控制的目标是什么。内控的几个目的：资产安全、财务报告、合法合规、战略实现、经营效率，在控制目标明确后，需要从五大内控目的中选择控制目标类型，便于后续以目标为导向复盘控制内容的完备性。

明确了控制的目标、方式之后还需要明确控制的频率、责任岗位、是否实现了系统自动控制、控制活动是否嵌入了相关制度、是否与内控指引和业务红线相对应。风控矩阵梳理完成之后，可以方便定期安排控制要点的检查，对于制度覆盖不完整的进行制度刷新，对于尚在手工控制的关键控制点安排系统上线计划等。

2.自评检查

企业根据三道防线的层次，可以设置不同的检查类别。比如针对第一道防线，可以做自查自纠和内控自评。自查自纠的特点就是“谁执行、谁检查”，早发现，早治理。基层单位根据业务的实际情况选择自查范围，检查结果的输出物形式不限。内控自评的特点是“谁制定，谁检查”，由流程主管部门组织，检查流程落地到基层的情况，流程制定单位依托风控矩阵，每年对所有业务关键流程的关键控制点的有效性進行检验评估，识别控制缺陷并落实整改，提升业务单位主动揭示和防范风险的能力。内控自评的输出物通常是自评报告。针对第二道防线，业务内控组织可以组建业务稽核团队组织业务稽核。业务稽核的特点是“谁管理，谁检查”，关键领域和高风险领域需要重点核查，出具业务稽核报告。针对第三道防线，内控审计部门开展专项的内控审计，特点是此活动属于专业职能，行使独立监督职责。检查的范围类似于业务稽核，需抓重点、抓关键领域和高风险业务，输出内控审计报告。

3.缺陷整改

各类自评检查之后，或多或少会发现各领域存在的管理缺陷。针对这些管理缺陷，需要闭环管理。

首先需要针对缺陷进行分级分类管理。按照财政部《企业内部控制评价指引》，内控缺陷按其成因分为设计缺陷和运行缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷。企业内控评价工作中，都会对发现的缺陷事项逐一按成因、影响程度进行认定。不同的缺陷成因决定了不同的缺陷整改方向，不同的缺陷影响程度决定了不同的缺陷整改力度和优先顺序。

重大缺陷指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。重要缺陷指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。

除了以上两类引起严重后果，可能导致企业偏离控制目标的重大重要缺陷外，其余的一般缺陷可以根据企业自身管理的精细度进行划分。比如按 ABC 再细分三类。

对于重要决策点设计不合理、重要业务授权审批设计不合理、重要业务不相容职务未分离、外部内控审计提及的内控缺陷或管理建议、企业内控委员会高度关注的内控缺陷，此类缺陷可以认定为一般A类缺陷。

除一般A类缺陷以外的内审缺陷或内控团队评价缺陷;自评缺陷，级别低于一般A类且满足如下条件的：重要决策点设计执行不到位、重要业务授权审批执行不到位、需要跨领域单位整改的内控缺陷或者以前年度持续发生的。此类缺陷可以认定为一般B类缺陷。

除此之外的其他一般缺陷即为一般C类缺陷。

内控团队对缺陷进行分级分类之后，需要业务单位根据内控建议拟定整改方案，整改方案需要明确整改完成时间、验收标准。整改完成之后，内控团队进行验收。针对历史已经关闭的缺陷，内控团队需要定期组织“回头看”，确保执行效果巩固。

4.成熟度评估

内控成熟度评估依托两个评估维度和四个标准动作，指导业务单位以评促建。两个评估维度是指内控组织运作评估和业务关键控制评估。内控组织运作维度的评估关注业务单位的内控组织建设情况，运作是否规范，是否有相应的岗位配置、资源配套和沟通机制，确保内控要求有效传递。业务关键控制评估关注业务领域KCP执行情况，明确业务流程的改进方向。

四个标准动作分别是评价模型、检查清单、量化评估和评估报告。评估模型可以参考如下表格中列示的内控建设五步法来对应评估项目。评估项目的权重占比可以依照企业自身的特点和考核导向来分别设置。除了五步法之外，建议对于负面结果进行扣分处理。如业务单位发生的重大重要损失、发现的重大重要缺陷以及发生了大要案的，在内控成熟度评估时，需要参照影响程度进行扣分处理。

5.内控考核

内控考核可以从内控工作过程推进和异常结果两个维度实施考核。企业在将内控工作内容作为考核指标嵌入到各单位考核体系时，可以关注内控任务的完成率、重大重要缺陷的发生情况、重大重要损失和大要案情况以及前期已经关闭的内控缺陷是否有复发。

考核能够有效引导行为，也有利于减少企业内部的管理协同成本。内控的考核应该简要、清晰，方便各级内控组织理解。在具体的考核指标设置方面，导向性需要符合组织需求，以便引导各级内控组织与企业整体目标一致、上下同心。

五、总结

在内控指引原则框架下，企业在创建内控组织时需要分三个层次，这三个层次的组织分别是内控委员会及其常设秘书机构、内控能力模块、BU 内控团队。这三个层次的组织相互协作，保证COSO 五要素在企业整个体系里的分层落地。

内控能力模块如何设置方面，企业可以参考《企业内部控制应用指引》以及自身业务情况来明确。BU 内控团队的建设方面，企业可以以组织建设、风险评估、制度建设、执行检查、整改问责五方面内容为核心展开。五步法组建BU内控团队过程中，每一步又可以分别分拆三小步，如组织建设包括组织搭建、赋能活动和考核评估，风险评估包括风险的识别、应对和监控，制度建设包括内控制度的发布、风控矩阵的梳理以及将KCP进行系统管控，执行检查包括业务稽核、内控自评、自查自纠，整改问责包括发现问题后的缺陷整改、违规问责以及定期对缺陷進行回头看。五步法的内容有机融合，构成了管理的PDCA闭环。

内控组织三层架构建设完备之后，具体开展内控工作时，还需要辅之以相应的管理工具，有效的内控管理工具能够帮助企业提升内控管理水平。上文介绍了风控矩阵、自评检查、缺陷整改、成熟度评估和内控考核工具在企业内控管理中的应用实践，企业可以根据自身业务状况参考选择采纳的工具。

参考文献：

[1]企业内部控制编审委员会.企业内部控制主要风险点、关键控制点与案例解析[M].上海：立信会计出版社，2021.

[2]企业内部控制编审委员会.企业内部控制基本规范及配套指引案例讲解[M].上海：立信会计出版社，2021.

[3]夏鹏，齐英，刘梅玲.企业内部控制评价体系研究[M].北京：中国财政经济出版社，2016.

[4]侯其锋.企业内部控制基本规范操作指南[M].北京：人民邮电出版社，2016.

[5]财政部，证监会，审计署，银监会，保监会.关于印发企业内部控制配套指引的通知.2010.

[6]许国才.企业内部控制流程手册[M].北京：人民邮电出版社， 2010.

[7]徐玉德.企业内部控制设计与实务[M].北京：经济科学出版社，2009.

[8]刘永泽，池国华.企业内部控制制度设计操作指南[M].大连：大连出版社，2011.

[9]COSO，方红星.企业风险管理——应用技术[M].王宏，译.大连：东北财经大学出版社，2005.

[10]COSO，方红星.企业风险管理——整合框架[M].王宏，译.大连：东北财经大学出版社，2005.

[11]潘琰，郑仙萍.论内部控制理论之构建：关于内部控制基本假设的探讨[J].会计研究，2008（2）.