企業(yè)內(nèi)控組織搭建與內(nèi)控管理工具的應(yīng)用

劉龍飛

摘 要：內(nèi)控的理論研究目前已經(jīng)很成熟，但是如何在企業(yè)里搭建內(nèi)控組織，以及內(nèi)控管理實(shí)踐中可用的管理工具有哪些，這兩個(gè)問(wèn)題是企業(yè)在內(nèi)控建設(shè)過(guò)程中首先面臨的。在內(nèi)控指引大原則框架下，企業(yè)怎么在整個(gè)企業(yè)層面搭建內(nèi)控組織體系，各層級(jí)內(nèi)控組織的職責(zé)和相互關(guān)系是什么，內(nèi)控組織搭建之后有哪些管理工具可以應(yīng)用，是大型企業(yè)在內(nèi)控落地中迫切想要搞清楚的。本文將介紹內(nèi)控組織的三個(gè)層次、內(nèi)控能力模塊設(shè)立的考量因素、BU內(nèi)控團(tuán)隊(duì)建設(shè)的五步法以及常用的內(nèi)控管理工具，以求幫助企業(yè)在搭建內(nèi)控組織時(shí)參考，并使其有效運(yùn)轉(zhuǎn)，在風(fēng)險(xiǎn)可控下保持、促進(jìn)企業(yè)的可持續(xù)發(fā)展。

關(guān)鍵詞：內(nèi)控組織;關(guān)鍵控制點(diǎn);內(nèi)控能力模塊;內(nèi)控管理工具;風(fēng)控矩陣

學(xué)術(shù)界和實(shí)務(wù)界對(duì)于企業(yè)內(nèi)控的研究有很多，但是如何在企業(yè)里搭建內(nèi)控組織，以及內(nèi)控管理實(shí)踐中可用的管理工具有哪些，這兩個(gè)問(wèn)題是企業(yè)在內(nèi)控建設(shè)過(guò)程中首先面臨的。查看內(nèi)控的原則、指引相關(guān)文件，筆者注意到企業(yè)內(nèi)部控制指引第1號(hào)是“組織架構(gòu)”，主要描述了企業(yè)自身的組織架構(gòu)設(shè)計(jì)的原則和注意事項(xiàng)，對(duì)于內(nèi)控組織如何在企業(yè)內(nèi)部搭建沒(méi)有表述。

實(shí)踐中，大部分中小企業(yè)也沒(méi)有專(zhuān)設(shè)的內(nèi)控組織，內(nèi)控職責(zé)分解在各業(yè)務(wù)領(lǐng)域，或者由財(cái)務(wù)部門(mén)直接兼任。我們打開(kāi)看COSO五要素（控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息溝通、監(jiān)督）里面的控制活動(dòng)，可以發(fā)現(xiàn)，大型組織的控制活動(dòng)范圍已遠(yuǎn)超財(cái)務(wù)一個(gè)部門(mén)能夠覆蓋。內(nèi)控的控制活動(dòng)主要有以下幾類(lèi)：不相容職務(wù)分離、授權(quán)審批控制、全面預(yù)算控制、財(cái)產(chǎn)保護(hù)控制、會(huì)計(jì)系統(tǒng)控制、經(jīng)營(yíng)分析控制、績(jī)效考評(píng)控制、關(guān)鍵控制點(diǎn)（Key Control Point，簡(jiǎn)稱(chēng)KCP）系統(tǒng)建設(shè)。8項(xiàng)中有4項(xiàng)：不相容職務(wù)分離、授權(quán)審批、績(jī)效考評(píng)、關(guān)鍵控制點(diǎn)系統(tǒng)建設(shè)，越是業(yè)務(wù)復(fù)雜度高的大型企業(yè)，這幾項(xiàng)單獨(dú)由財(cái)務(wù)去控制的可能性就越低。而要協(xié)同的部門(mén)也越多。這種情況下單設(shè)的內(nèi)控組織在企業(yè)內(nèi)部存在需求就很有必要。

在這種需求背景下，以及在內(nèi)控指引大原則框架下，企業(yè)怎么在整個(gè)企業(yè)層面搭建內(nèi)控組織體系，各層級(jí)內(nèi)控組織的職責(zé)和相互關(guān)系是什么，內(nèi)控組織搭建之后有哪些管理工具可以應(yīng)用，就會(huì)是大型企業(yè)在內(nèi)控落地中迫切想要搞清楚的。下文將介紹內(nèi)控組織的三個(gè)層次、內(nèi)控能力模塊設(shè)立的考量因素、BU內(nèi)控團(tuán)隊(duì)建設(shè)的五步法以及常用的內(nèi)控管理工具，以求幫助企業(yè)在搭建內(nèi)控組織時(shí)參考，并使其有效運(yùn)轉(zhuǎn)，在風(fēng)險(xiǎn)可控下保持、促進(jìn)企業(yè)的可持續(xù)發(fā)展。

一、內(nèi)控組織的三個(gè)層次

筆者以為，企業(yè)在創(chuàng)建內(nèi)控組織時(shí)需要分三個(gè)層次。這三個(gè)層次的組織分別是內(nèi)控委員會(huì)及其常設(shè)秘書(shū)機(jī)構(gòu)、內(nèi)控能力模塊、BU內(nèi)控團(tuán)隊(duì)。這樣能夠保證COSO五要素在企業(yè)個(gè)體系里的分層落地，從集團(tuán)總部到BU單位，再到末端業(yè)務(wù)部門(mén)：同時(shí)，也符合內(nèi)控的二道防線(xiàn)構(gòu)想，即業(yè)務(wù)防線(xiàn)、能力防線(xiàn)、審計(jì)監(jiān)督防線(xiàn)。

內(nèi)控組織的最高層是內(nèi)控委員會(huì)及其常設(shè)秘書(shū)機(jī)構(gòu)。內(nèi)控委員會(huì)應(yīng)該設(shè)立在董事會(huì)下其常設(shè)秘書(shū)機(jī)構(gòu)通常也就是企業(yè)獨(dú)立的內(nèi)控審計(jì)部門(mén)，其負(fù)責(zé)人直接向企業(yè)董事長(zhǎng)匯報(bào)，以便所有內(nèi)控規(guī)則、舉措同樣適用企業(yè)高管。內(nèi)控委員會(huì)負(fù)責(zé)企業(yè)整體層面的內(nèi)控決策、規(guī)劃、監(jiān)督和指導(dǎo)。獨(dú)立的內(nèi)控審計(jì)部門(mén)負(fù)責(zé)整體規(guī)劃的跟進(jìn)落地、內(nèi)控工具和方法論的建設(shè)、內(nèi)控環(huán)境和文化建設(shè)、內(nèi)控評(píng)價(jià)項(xiàng)目策劃組織、內(nèi)控考核的制定等。

內(nèi)控組織的中間層是內(nèi)控能力模塊。它可能并不是行政單位，其設(shè)立的考量因素將在下一章具體闡述。其職責(zé)則主要本領(lǐng)域的內(nèi)控能力建設(shè)，制定相應(yīng)的內(nèi)控組織、流程、標(biāo)準(zhǔn)。確保內(nèi)控要求嵌入業(yè)務(wù)流程，保障業(yè)務(wù)經(jīng)營(yíng)運(yùn)作正常;結(jié)合企業(yè)內(nèi)控任務(wù)要求，規(guī)劃本領(lǐng)域內(nèi)控要求在業(yè)務(wù)單位的落地執(zhí)行，對(duì)業(yè)務(wù)單位的執(zhí)行情況進(jìn)行評(píng)估、指導(dǎo)、監(jiān)督，定期出具評(píng)估報(bào)告;對(duì)于本領(lǐng)域的重大內(nèi)控缺陷事項(xiàng)，策劃和實(shí)施內(nèi)控專(zhuān)題解決方案。

內(nèi)控組織的底層是BU內(nèi)控團(tuán)隊(duì)。BU內(nèi)控團(tuán)隊(duì)根據(jù)業(yè)務(wù)領(lǐng)域的風(fēng)險(xiǎn)情況來(lái)決定是設(shè)置專(zhuān)職還是兼職，通常BU內(nèi)控團(tuán)隊(duì)有2種設(shè)定模式：

（1） “3+X”模式，“3”即內(nèi)控鐵三角。包括內(nèi)控負(fù)責(zé)人、內(nèi)控經(jīng)理、財(cái)務(wù)經(jīng)理/內(nèi)控檢查人員，“X”為支撐內(nèi)控工作開(kāi)展的其他角色。

（2） “3”模式，即內(nèi)控鐵三角，包括內(nèi)控負(fù)責(zé)人、內(nèi)控經(jīng)理、財(cái)務(wù)經(jīng)理/內(nèi)控檢查人員。基層的內(nèi)控組織，通常除了內(nèi)控負(fù)責(zé)人和內(nèi)控經(jīng)理外，財(cái)務(wù)經(jīng)理也是一個(gè)關(guān)鍵的角色 BU財(cái)務(wù)的工作職責(zé)界面不能剝離內(nèi)控。財(cái)務(wù)最基礎(chǔ)的職能就是反映和控制，控制風(fēng)險(xiǎn)和不確定性也是內(nèi)控的目標(biāo)。內(nèi)控是融入在業(yè)務(wù)的所有環(huán)節(jié)的，所以?xún)?nèi)控負(fù)責(zé)人通常就是業(yè)務(wù)負(fù)責(zé)人。

二、內(nèi)控能力模塊設(shè)立的考量因素

上文中提到了內(nèi)控組織的中間層是內(nèi)控能力模塊，主要的職責(zé)就是本領(lǐng)域的內(nèi)控能力建設(shè)與組織推進(jìn)。然而，內(nèi)控能力模塊的設(shè)立是否有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)呢？就筆者的內(nèi)控管理實(shí)踐而言，可以參考《企業(yè)內(nèi)部控制應(yīng)用指引》來(lái)設(shè)置內(nèi)控能力模塊，涵蓋了企業(yè)的主要業(yè)務(wù)活動(dòng)，基于風(fēng)險(xiǎn)考量來(lái)設(shè)立內(nèi)控能力模塊。

大類(lèi)的能力模塊可以涵蓋組織架構(gòu)、發(fā)展戰(zhàn)略、人力資源、社會(huì)責(zé)任、企業(yè)文化、資金管理、采購(gòu)業(yè)務(wù)、資產(chǎn)管理、銷(xiāo)售業(yè)務(wù)、研究與開(kāi)發(fā)、工程項(xiàng)目、擔(dān)保業(yè)務(wù)、業(yè)務(wù)外包、財(cái)務(wù)報(bào)告、全面預(yù)算、合同管理、內(nèi)部信息傳遞、信息系統(tǒng)。

大型集團(tuán)型企業(yè)可能還需要在此基礎(chǔ)上再細(xì)分內(nèi)控能力模塊，比如資產(chǎn)管理可能涉及的業(yè)務(wù)單位較多，需要進(jìn)一步分拆為存貨、固定資產(chǎn)、不動(dòng)產(chǎn)、品牌商譽(yù)、知識(shí)產(chǎn)權(quán)等小模塊以便實(shí)際工作落地時(shí)能夠找到合適的責(zé)任部門(mén)和責(zé)任領(lǐng)導(dǎo)。

除了上述幾大類(lèi)能力模塊，企業(yè)可能還需要根據(jù)自身業(yè)務(wù)特點(diǎn)新增一批無(wú)法在《企業(yè)內(nèi)部控制應(yīng)用指引》找到的對(duì)應(yīng)板塊。比如國(guó)際性企業(yè)對(duì)于出口管制貿(mào)易合規(guī)的風(fēng)險(xiǎn)關(guān)注就很有必要，此情況下貿(mào)易合規(guī)就有必要單獨(dú)作為一個(gè)內(nèi)控能力模塊。

三、BU內(nèi)控團(tuán)隊(duì)建設(shè)的五步法

BU內(nèi)控團(tuán)隊(duì)作為基層內(nèi)控組織，是所有內(nèi)控規(guī)劃的實(shí)際落地部門(mén)?；鶎觾?nèi)控建設(shè)可以參考組織建設(shè)、風(fēng)險(xiǎn)評(píng)估、制度建設(shè)、執(zhí)行檢查、整改問(wèn)責(zé)的五步法來(lái)實(shí)施。

（1） 組織建設(shè)：企業(yè)內(nèi)控的管理體系是行政線(xiàn)的三道防線(xiàn)控風(fēng)險(xiǎn)和能力線(xiàn)的能力模塊賦能基層組織相互結(jié)合，對(duì)于基層單位則可參考上文“3+X”或“3”的模式來(lái)配置內(nèi)控團(tuán)隊(duì)。完備的內(nèi)控組織是基礎(chǔ)，在此基礎(chǔ)上還需要注意內(nèi)控賦能的配套，以真正提升組織的能力。賦能形式可以多樣化，包括培訓(xùn)、評(píng)優(yōu)、優(yōu)秀實(shí)踐的推廣等。組織建設(shè)的過(guò)程中還需要發(fā)揮考核的行為導(dǎo)向作用，把內(nèi)控目標(biāo)嵌入到各單位的考核內(nèi)容中，作為必備指標(biāo)。

（2） 風(fēng)險(xiǎn)識(shí)別：內(nèi)控團(tuán)隊(duì)需要結(jié)合內(nèi)部控制指引和企業(yè)業(yè)務(wù)特點(diǎn)，識(shí)別、聚焦關(guān)鍵風(fēng)險(xiǎn)，對(duì)風(fēng)險(xiǎn)進(jìn)行分級(jí)管理。業(yè)務(wù)過(guò)程中發(fā)現(xiàn)的重大風(fēng)險(xiǎn)需要及時(shí)上報(bào)上層單位，且上報(bào)機(jī)制要明確。同時(shí)，對(duì)于識(shí)別出來(lái)的風(fēng)險(xiǎn)，要有應(yīng)對(duì)方案和持續(xù)的監(jiān)控機(jī)制。

（3） 制度建設(shè)：企業(yè)中各領(lǐng)域相關(guān)管理要求需要形成明文的規(guī)范，內(nèi)控團(tuán)隊(duì)需要牽頭安排相關(guān)責(zé)任人定期更新制度。制度要符合業(yè)務(wù)管理的目標(biāo)，可落地。制度規(guī)范需要考慮要設(shè)定關(guān)鍵控制點(diǎn)，確保經(jīng)營(yíng)風(fēng)險(xiǎn)的可控。

關(guān)鍵控制點(diǎn)（Key Control Point，簡(jiǎn)稱(chēng)KCP），是指在業(yè)務(wù)流程或應(yīng)用系統(tǒng)中，為降低流程主要風(fēng)險(xiǎn)和實(shí)現(xiàn)控制目標(biāo)而采取的最有影響的控制活動(dòng)，如檢查、驗(yàn)證、評(píng)審、審核、審批復(fù)核、決策、考核、預(yù)算、預(yù)警、分析、授權(quán)、盤(pán)點(diǎn)、不相容職務(wù)分離等，具有以下特點(diǎn)的控制活動(dòng)應(yīng)列為關(guān)鍵控制點(diǎn)：

①為落實(shí)內(nèi)控指引要求而設(shè)立的，對(duì)資產(chǎn)安全、合法合規(guī)、報(bào)告真實(shí)、經(jīng)營(yíng)目標(biāo)實(shí)現(xiàn)、戰(zhàn)略實(shí)現(xiàn)有重要影響的控制活動(dòng);

②控制對(duì)外協(xié)議或承諾履行風(fēng)險(xiǎn)、控制舞弊風(fēng)險(xiǎn)發(fā)生、控制違反業(yè)務(wù)紅線(xiàn)行為發(fā)生風(fēng)險(xiǎn)的控制活動(dòng);

③影響關(guān)鍵決策，涉及關(guān)鍵單據(jù)及文檔、對(duì)外提供單據(jù)及文檔、非常規(guī)交易的評(píng)審/審批的控制活動(dòng);

④該控制點(diǎn)可同時(shí)控制多條風(fēng)險(xiǎn)或該控制點(diǎn)對(duì)應(yīng)的風(fēng)險(xiǎn)無(wú)其他控制點(diǎn)能夠起到規(guī)避、防范作用;

⑤業(yè)務(wù)單位認(rèn)定的其他直接對(duì)控制業(yè)務(wù)主要風(fēng)險(xiǎn)有重要影響的控制活動(dòng)。

關(guān)鍵控制點(diǎn)又分為人工控制和系統(tǒng)控制，理想的情況下，關(guān)鍵控制點(diǎn)需要由系統(tǒng)進(jìn)行統(tǒng)一管控，避免人為干預(yù)和手工差錯(cuò)。實(shí)務(wù)中，由于企業(yè)IT資源有限，存在大量線(xiàn)下的人工控制的KCP，對(duì)于此類(lèi)現(xiàn)有的人工控制的關(guān)鍵控制點(diǎn)，內(nèi)控團(tuán)隊(duì)需要評(píng)估系統(tǒng)上線(xiàn)方案，確實(shí)無(wú)法上線(xiàn)的需要重點(diǎn)安排檢查。

（4） 執(zhí)行檢查：內(nèi)控團(tuán)隊(duì)需要充分運(yùn)用內(nèi)控工具，以業(yè)務(wù)流程中的關(guān)鍵控制點(diǎn)（KCP）為主線(xiàn)，建立檢查清單，執(zhí)行檢查。組織自查自糾、內(nèi)控自評(píng)、內(nèi)控稽核。通過(guò)全方位、體系化的檢查來(lái)覆蓋企業(yè)業(yè)務(wù)場(chǎng)景的方方面面，切實(shí)做好風(fēng)險(xiǎn)掃雷。

（5） 整改問(wèn)責(zé)：在執(zhí)行檢查中的問(wèn)題，分析問(wèn)題形成原因，閉環(huán)整改。對(duì)于存在管理責(zé)任的人和部門(mén)，需要在考核激勵(lì)中應(yīng)用，涉及違規(guī)的部門(mén)和人員需要問(wèn)責(zé)。對(duì)于存在重大風(fēng)險(xiǎn)的缺陷，在整改完畢一定時(shí)間之后需要安排回頭看。

四、常用的內(nèi)控管理工具

內(nèi)控組織要有效履責(zé)離不開(kāi)管理工具的應(yīng)用，總結(jié)筆者在內(nèi)控管理方面的經(jīng)驗(yàn)，企業(yè)實(shí)務(wù)中常用的內(nèi)控管理工具有如下幾種：

1.風(fēng)控矩陣

不同的業(yè)務(wù)領(lǐng)域可以拆分對(duì)應(yīng)不同層級(jí)的流程，每一個(gè)流程都有其自有的風(fēng)險(xiǎn)。對(duì)于業(yè)務(wù)流程的風(fēng)險(xiǎn)的梳理工作表可以理解為內(nèi)控的風(fēng)控矩陣。在梳理流程風(fēng)險(xiǎn)時(shí)，首先需要將流程盡量拆分到末階，并對(duì)風(fēng)險(xiǎn)進(jìn)行描述。需要注意的是，此處的風(fēng)險(xiǎn)描述是指的業(yè)務(wù)存在的固有風(fēng)險(xiǎn)，而非目前存在的問(wèn)題。描述形式上可以為“缺少某種控制，可能導(dǎo)致某種不利后果”。比如缺少賬實(shí)核對(duì)，可能導(dǎo)致核算不準(zhǔn)確的風(fēng)險(xiǎn)。

除了風(fēng)險(xiǎn)描述之外，還需要梳理控制目標(biāo)、確定控制目標(biāo)類(lèi)型、關(guān)鍵控制點(diǎn)、關(guān)鍵控制點(diǎn)描述、控制責(zé)任崗位、控制頻率、業(yè)務(wù)發(fā)生次數(shù)、控制類(lèi)型（系統(tǒng)/手工）、系統(tǒng)名稱(chēng)、制度名稱(chēng)、制度發(fā)布時(shí)間、內(nèi)控指引編號(hào)、業(yè)務(wù)紅線(xiàn)編號(hào)。

控制目標(biāo)需要說(shuō)明要通過(guò)什么控制手段達(dá)到風(fēng)險(xiǎn)控制的目標(biāo)是什么。內(nèi)控的幾個(gè)目的：資產(chǎn)安全、財(cái)務(wù)報(bào)告、合法合規(guī)、戰(zhàn)略實(shí)現(xiàn)、經(jīng)營(yíng)效率，在控制目標(biāo)明確后，需要從五大內(nèi)控目的中選擇控制目標(biāo)類(lèi)型，便于后續(xù)以目標(biāo)為導(dǎo)向復(fù)盤(pán)控制內(nèi)容的完備性。

明確了控制的目標(biāo)、方式之后還需要明確控制的頻率、責(zé)任崗位、是否實(shí)現(xiàn)了系統(tǒng)自動(dòng)控制、控制活動(dòng)是否嵌入了相關(guān)制度、是否與內(nèi)控指引和業(yè)務(wù)紅線(xiàn)相對(duì)應(yīng)。風(fēng)控矩陣梳理完成之后，可以方便定期安排控制要點(diǎn)的檢查，對(duì)于制度覆蓋不完整的進(jìn)行制度刷新，對(duì)于尚在手工控制的關(guān)鍵控制點(diǎn)安排系統(tǒng)上線(xiàn)計(jì)劃等。

2.自評(píng)檢查

企業(yè)根據(jù)三道防線(xiàn)的層次，可以設(shè)置不同的檢查類(lèi)別。比如針對(duì)第一道防線(xiàn)，可以做自查自糾和內(nèi)控自評(píng)。自查自糾的特點(diǎn)就是“誰(shuí)執(zhí)行、誰(shuí)檢查”，早發(fā)現(xiàn)，早治理?；鶎訂挝桓鶕?jù)業(yè)務(wù)的實(shí)際情況選擇自查范圍，檢查結(jié)果的輸出物形式不限。內(nèi)控自評(píng)的特點(diǎn)是“誰(shuí)制定，誰(shuí)檢查”，由流程主管部門(mén)組織，檢查流程落地到基層的情況，流程制定單位依托風(fēng)控矩陣，每年對(duì)所有業(yè)務(wù)關(guān)鍵流程的關(guān)鍵控制點(diǎn)的有效性進(jìn)行檢驗(yàn)評(píng)估，識(shí)別控制缺陷并落實(shí)整改，提升業(yè)務(wù)單位主動(dòng)揭示和防范風(fēng)險(xiǎn)的能力。內(nèi)控自評(píng)的輸出物通常是自評(píng)報(bào)告。針對(duì)第二道防線(xiàn)，業(yè)務(wù)內(nèi)控組織可以組建業(yè)務(wù)稽核團(tuán)隊(duì)組織業(yè)務(wù)稽核。業(yè)務(wù)稽核的特點(diǎn)是“誰(shuí)管理，誰(shuí)檢查”，關(guān)鍵領(lǐng)域和高風(fēng)險(xiǎn)領(lǐng)域需要重點(diǎn)核查，出具業(yè)務(wù)稽核報(bào)告。針對(duì)第三道防線(xiàn)，內(nèi)控審計(jì)部門(mén)開(kāi)展專(zhuān)項(xiàng)的內(nèi)控審計(jì)，特點(diǎn)是此活動(dòng)屬于專(zhuān)業(yè)職能，行使獨(dú)立監(jiān)督職責(zé)。檢查的范圍類(lèi)似于業(yè)務(wù)稽核，需抓重點(diǎn)、抓關(guān)鍵領(lǐng)域和高風(fēng)險(xiǎn)業(yè)務(wù)，輸出內(nèi)控審計(jì)報(bào)告。

3.缺陷整改

各類(lèi)自評(píng)檢查之后，或多或少會(huì)發(fā)現(xiàn)各領(lǐng)域存在的管理缺陷。針對(duì)這些管理缺陷，需要閉環(huán)管理。

首先需要針對(duì)缺陷進(jìn)行分級(jí)分類(lèi)管理。按照財(cái)政部《企業(yè)內(nèi)部控制評(píng)價(jià)指引》，內(nèi)控缺陷按其成因分為設(shè)計(jì)缺陷和運(yùn)行缺陷，按其影響程度分為重大缺陷、重要缺陷和一般缺陷。企業(yè)內(nèi)控評(píng)價(jià)工作中，都會(huì)對(duì)發(fā)現(xiàn)的缺陷事項(xiàng)逐一按成因、影響程度進(jìn)行認(rèn)定。不同的缺陷成因決定了不同的缺陷整改方向，不同的缺陷影響程度決定了不同的缺陷整改力度和優(yōu)先順序。

重大缺陷指一個(gè)或多個(gè)控制缺陷的組合，可能導(dǎo)致企業(yè)嚴(yán)重偏離控制目標(biāo)。重要缺陷指一個(gè)或多個(gè)控制缺陷的組合，其嚴(yán)重程度和經(jīng)濟(jì)后果低于重大缺陷，但仍有可能導(dǎo)致企業(yè)偏離控制目標(biāo)。

除了以上兩類(lèi)引起嚴(yán)重后果，可能導(dǎo)致企業(yè)偏離控制目標(biāo)的重大重要缺陷外，其余的一般缺陷可以根據(jù)企業(yè)自身管理的精細(xì)度進(jìn)行劃分。比如按 ABC 再細(xì)分三類(lèi)。

對(duì)于重要決策點(diǎn)設(shè)計(jì)不合理、重要業(yè)務(wù)授權(quán)審批設(shè)計(jì)不合理、重要業(yè)務(wù)不相容職務(wù)未分離、外部?jī)?nèi)控審計(jì)提及的內(nèi)控缺陷或管理建議、企業(yè)內(nèi)控委員會(huì)高度關(guān)注的內(nèi)控缺陷，此類(lèi)缺陷可以認(rèn)定為一般A類(lèi)缺陷。

除一般A類(lèi)缺陷以外的內(nèi)審缺陷或內(nèi)控團(tuán)隊(duì)評(píng)價(jià)缺陷;自評(píng)缺陷，級(jí)別低于一般A類(lèi)且滿(mǎn)足如下條件的：重要決策點(diǎn)設(shè)計(jì)執(zhí)行不到位、重要業(yè)務(wù)授權(quán)審批執(zhí)行不到位、需要跨領(lǐng)域單位整改的內(nèi)控缺陷或者以前年度持續(xù)發(fā)生的。此類(lèi)缺陷可以認(rèn)定為一般B類(lèi)缺陷。

除此之外的其他一般缺陷即為一般C類(lèi)缺陷。

內(nèi)控團(tuán)隊(duì)對(duì)缺陷進(jìn)行分級(jí)分類(lèi)之后，需要業(yè)務(wù)單位根據(jù)內(nèi)控建議擬定整改方案，整改方案需要明確整改完成時(shí)間、驗(yàn)收標(biāo)準(zhǔn)。整改完成之后，內(nèi)控團(tuán)隊(duì)進(jìn)行驗(yàn)收。針對(duì)歷史已經(jīng)關(guān)閉的缺陷，內(nèi)控團(tuán)隊(duì)需要定期組織“回頭看”，確保執(zhí)行效果鞏固。

4.成熟度評(píng)估

內(nèi)控成熟度評(píng)估依托兩個(gè)評(píng)估維度和四個(gè)標(biāo)準(zhǔn)動(dòng)作，指導(dǎo)業(yè)務(wù)單位以評(píng)促建。兩個(gè)評(píng)估維度是指內(nèi)控組織運(yùn)作評(píng)估和業(yè)務(wù)關(guān)鍵控制評(píng)估。內(nèi)控組織運(yùn)作維度的評(píng)估關(guān)注業(yè)務(wù)單位的內(nèi)控組織建設(shè)情況，運(yùn)作是否規(guī)范，是否有相應(yīng)的崗位配置、資源配套和溝通機(jī)制，確保內(nèi)控要求有效傳遞。業(yè)務(wù)關(guān)鍵控制評(píng)估關(guān)注業(yè)務(wù)領(lǐng)域KCP執(zhí)行情況，明確業(yè)務(wù)流程的改進(jìn)方向。

四個(gè)標(biāo)準(zhǔn)動(dòng)作分別是評(píng)價(jià)模型、檢查清單、量化評(píng)估和評(píng)估報(bào)告。評(píng)估模型可以參考如下表格中列示的內(nèi)控建設(shè)五步法來(lái)對(duì)應(yīng)評(píng)估項(xiàng)目。評(píng)估項(xiàng)目的權(quán)重占比可以依照企業(yè)自身的特點(diǎn)和考核導(dǎo)向來(lái)分別設(shè)置。除了五步法之外，建議對(duì)于負(fù)面結(jié)果進(jìn)行扣分處理。如業(yè)務(wù)單位發(fā)生的重大重要損失、發(fā)現(xiàn)的重大重要缺陷以及發(fā)生了大要案的，在內(nèi)控成熟度評(píng)估時(shí)，需要參照影響程度進(jìn)行扣分處理。

5.內(nèi)控考核

內(nèi)控考核可以從內(nèi)控工作過(guò)程推進(jìn)和異常結(jié)果兩個(gè)維度實(shí)施考核。企業(yè)在將內(nèi)控工作內(nèi)容作為考核指標(biāo)嵌入到各單位考核體系時(shí)，可以關(guān)注內(nèi)控任務(wù)的完成率、重大重要缺陷的發(fā)生情況、重大重要損失和大要案情況以及前期已經(jīng)關(guān)閉的內(nèi)控缺陷是否有復(fù)發(fā)。

考核能夠有效引導(dǎo)行為，也有利于減少企業(yè)內(nèi)部的管理協(xié)同成本。內(nèi)控的考核應(yīng)該簡(jiǎn)要、清晰，方便各級(jí)內(nèi)控組織理解。在具體的考核指標(biāo)設(shè)置方面，導(dǎo)向性需要符合組織需求，以便引導(dǎo)各級(jí)內(nèi)控組織與企業(yè)整體目標(biāo)一致、上下同心。

五、總結(jié)

在內(nèi)控指引原則框架下，企業(yè)在創(chuàng)建內(nèi)控組織時(shí)需要分三個(gè)層次，這三個(gè)層次的組織分別是內(nèi)控委員會(huì)及其常設(shè)秘書(shū)機(jī)構(gòu)、內(nèi)控能力模塊、BU 內(nèi)控團(tuán)隊(duì)。這三個(gè)層次的組織相互協(xié)作，保證COSO 五要素在企業(yè)整個(gè)體系里的分層落地。

內(nèi)控能力模塊如何設(shè)置方面，企業(yè)可以參考《企業(yè)內(nèi)部控制應(yīng)用指引》以及自身業(yè)務(wù)情況來(lái)明確。BU 內(nèi)控團(tuán)隊(duì)的建設(shè)方面，企業(yè)可以以組織建設(shè)、風(fēng)險(xiǎn)評(píng)估、制度建設(shè)、執(zhí)行檢查、整改問(wèn)責(zé)五方面內(nèi)容為核心展開(kāi)。五步法組建BU內(nèi)控團(tuán)隊(duì)過(guò)程中，每一步又可以分別分拆三小步，如組織建設(shè)包括組織搭建、賦能活動(dòng)和考核評(píng)估，風(fēng)險(xiǎn)評(píng)估包括風(fēng)險(xiǎn)的識(shí)別、應(yīng)對(duì)和監(jiān)控，制度建設(shè)包括內(nèi)控制度的發(fā)布、風(fēng)控矩陣的梳理以及將KCP進(jìn)行系統(tǒng)管控，執(zhí)行檢查包括業(yè)務(wù)稽核、內(nèi)控自評(píng)、自查自糾，整改問(wèn)責(zé)包括發(fā)現(xiàn)問(wèn)題后的缺陷整改、違規(guī)問(wèn)責(zé)以及定期對(duì)缺陷進(jìn)行回頭看。五步法的內(nèi)容有機(jī)融合，構(gòu)成了管理的PDCA閉環(huán)。

內(nèi)控組織三層架構(gòu)建設(shè)完備之后，具體開(kāi)展內(nèi)控工作時(shí)，還需要輔之以相應(yīng)的管理工具，有效的內(nèi)控管理工具能夠幫助企業(yè)提升內(nèi)控管理水平。上文介紹了風(fēng)控矩陣、自評(píng)檢查、缺陷整改、成熟度評(píng)估和內(nèi)控考核工具在企業(yè)內(nèi)控管理中的應(yīng)用實(shí)踐，企業(yè)可以根據(jù)自身業(yè)務(wù)狀況參考選擇采納的工具。

參考文獻(xiàn)：

[1]企業(yè)內(nèi)部控制編審委員會(huì).企業(yè)內(nèi)部控制主要風(fēng)險(xiǎn)點(diǎn)、關(guān)鍵控制點(diǎn)與案例解析[M].上海：立信會(huì)計(jì)出版社，2021.

[2]企業(yè)內(nèi)部控制編審委員會(huì).企業(yè)內(nèi)部控制基本規(guī)范及配套指引案例講解[M].上海：立信會(huì)計(jì)出版社，2021.

[3]夏鵬，齊英，劉梅玲.企業(yè)內(nèi)部控制評(píng)價(jià)體系研究[M].北京：中國(guó)財(cái)政經(jīng)濟(jì)出版社，2016.

[4]侯其鋒.企業(yè)內(nèi)部控制基本規(guī)范操作指南[M].北京：人民郵電出版社，2016.

[5]財(cái)政部，證監(jiān)會(huì)，審計(jì)署，銀監(jiān)會(huì)，保監(jiān)會(huì).關(guān)于印發(fā)企業(yè)內(nèi)部控制配套指引的通知.2010.

[6]許國(guó)才.企業(yè)內(nèi)部控制流程手冊(cè)[M].北京：人民郵電出版社， 2010.

[7]徐玉德.企業(yè)內(nèi)部控制設(shè)計(jì)與實(shí)務(wù)[M].北京：經(jīng)濟(jì)科學(xué)出版社，2009.

[8]劉永澤，池國(guó)華.企業(yè)內(nèi)部控制制度設(shè)計(jì)操作指南[M].大連：大連出版社，2011.

[9]COSO，方紅星.企業(yè)風(fēng)險(xiǎn)管理——應(yīng)用技術(shù)[M].王宏，譯.大連：東北財(cái)經(jīng)大學(xué)出版社，2005.

[10]COSO，方紅星.企業(yè)風(fēng)險(xiǎn)管理——整合框架[M].王宏，譯.大連：東北財(cái)經(jīng)大學(xué)出版社，2005.

[11]潘琰，鄭仙萍.論內(nèi)部控制理論之構(gòu)建：關(guān)于內(nèi)部控制基本假設(shè)的探討[J].會(huì)計(jì)研究，2008（2）.