李心合：内控流程的设计与再造

一、内控流程设计与再造的总体思路

内控表现为一套流程，内控流程设计与再造的总体思路和要求很多，我的体会是至少包括建评分离、依法合规、全面覆盖、自上而下、三个导向、适度制衡、突出重点、前位控制等。

（一）建评分离

内控流程的设计与再造属于内控体系建设的范畴。确保内控体系建设和运行取得实效，内控流程的设计与运行还需要评价和审计（统称内控评价）。建评分离是指内控流程的设计与评价工作不能由一个部门或岗位单独负责。从实践情况看，有的单位分开由两个部门负责，有的单位没分，由一个部门（通常是内审部门）全权负责。在建评分离的情况下，“评”的工作通常由内审部门负责，“建”的工作多由财务部门负责，另也有办公室、综合管理部、企管部或法务部等制度归口管理部门负责。在财务部门与制度归口管理部门之间，我更倾向于后者，这样更能确保内控手册与内控制度通盘考虑、统一行动、内容一致，避免由财务部门牵头负责时内控手册与内控制度“两张皮”的情况出现，并能提高内控手册的权威性和运行效果。

（二）依法合规

内控流程的设计与再造必须符合《公司法》等国家及地方相关法律法规的规定，符合财政部等五部委发布的《企业内部控制基本规范》及其配套指引的规定，符合公司章程的相关规定，国有企业还必须符合国资监管相关法规规定。除“依法”“合法”外，“合规”还包括符合行业规范、单位内部规章制度、社会诚信道德规范和国际规则等规定和要求。

（三）全面覆盖

内控流程设计需要整合内部控制、风险管理与合规管理，建立“三位一体”的内控体系，做到横向到边、纵向到底，实现全覆盖。横向到边是指全覆盖企业整体风险与业务风险、经济风险与非经济风险、企业组织风险与管理者和职务岗位相关联的个人风险（廉洁风险）、固有风险与剩余风险等各类风险，覆盖内控体系的各项要素，覆盖财务、业务与管理的主要功能活动，覆盖决策体系、执行体系和监督体系三个子系统，覆盖各种类型的组织机构和全体员工；纵向到底是指覆盖单位层面和业务层面，覆盖各层级的组织机构和员工，业务控制覆盖决策层、执行层和操作层。集团公司完整的内控体系包括两个部分：一是集团公司作为独立法人实体的内部控制体系（“小内控体系”）；二是集团公司作为集团母公司对所属子公司（二级企业）乃至三、四级企业财务与经营等方面的管控体系（“大内控体系”）。总部内控流程设计应当覆盖集团公司的“小内控体系”与整个集团、体现集团管控的“大内控体系”。

（四）自上而下

内控流程的设计与再造应当按照“自上而下、两先两后”的思路展开：一是先集团公司体系设计、后子公司体系设计。集团总部的顶层设计方案特别是集团管控模式和流程应当首先确定，子公司的内控流程应当与集团总部对子公司的管控流程无缝对接。二是先单位层面设计、后业务层面设计。无论是集团公司还是子公司，内控流程设计都应当分单位和业务两个层面，且按照先单位层面、后业务层面的思路展开。单位层面的范围主要包括公司章程、战略规划、管控模式、组织架构、公司治理体系、“三重一大”决策制度、授权管理和权力清单、企业文化等。单位层面的内控流程设计属于“顶层设计”的范畴，既重要又复杂。以授权体系设计为例，前置条件是有科学合理的战略规划、管控模式和组织架构设计，其内容又包括两个层次的授权清单设计：一是集团公司内部的授权体系设计，主要是明确党委会、董事会、总经理办公会、董事长、总经理及总经理或总经理办公会对分管领导、总公司对分公司的授权清单。二是集团公司对子公司的授权体系设计，主要是分类型确定子公司应当提交集团公司报批、报备和报告的“三报”事项清单，明确子公司哪些事项应报集团公司审批、备案或提交报告。

（五）三个导向

内控流程设计与再造应当充分体现“三个导向”：一是战略导向。战略决定组织和流程，内控流程设计必须体现企业战略规划的要求。为此，流程设计人员必须全面了解和把握公司发展战略，并且切实体现在流程设计之中。二是风险导向。作为流程设计的前置条件，内控流程设计与再造应做好四件事：确定企业整体及业务或工作层面的目标体系；对影响目标实现的因素或事项进行分析识别，并全面排查和评估整体及业务或工作层面的风险点及风险等级；确定风险控制目标或把风险控制在何种水平；确定风险应对策略和方案等。流程设计还需要把风险评估的结果与控制流程对应起来，并体现在内控制度和内控手册之中，避免出现有重大重要风险点而无控制流程的情况发生。三是问题导向。内控流程设计与再造的主要内容是要消除现有控制体系存在的问题或缺陷，为此需要流程设计人员充分调研、诊断，把握现有内控流程存在的缺陷和问题，并将缺陷分为重大缺陷、重要缺陷和一般缺陷，针对重大、重要缺陷提出改进完善的具体措施。

（六）适度制衡

内控之“神”是制衡，内控流程设计的核心问题在于实现有效制衡以防控风险。有效制衡的概念包含平衡控制与效率的关系，制衡与效率是一对矛盾关系，流程设计人员既要避免片面追求效率而轻视制衡，又要避免过度制衡而牺牲效率。制衡的有效性取决于制衡方式的选择和制衡强度的确定。客观上制衡有多种方式可供选择，如分权制衡、合作制衡、竞争制衡、集中制衡、第三方制衡、监督制衡等，每一种制衡方式都会有不同的制衡强度。从企业层面看，制衡强度和方式的设计，取决于风险控制目标的选择。我在《企业内部控制的新解读》（《财务与会计》2022年第1期）一文中把风险控制目标归纳为三种类型，即可接受的风险水平、风险最小化和风险零容忍，不同的风险目标或态度下，控制与效率的平衡方式和制衡机制的设计路径也存在差别。

（七）突出重点

内控流程设计与再造不能事无巨细、面面俱到、“眉毛胡子一把抓”，应突出重点，选择内控流程设计和运行中存在的突出问题和难以解决的问题给予重点关注。内控流程设计中至少有“三重”：一是重点业务或事项，特别是投融资、资产运营、资金业务、招标与采购业务、工程项目、经济合同等。二是重要风险和缺陷，特别是集团整体的战略与投资风险、市场风险、财务风险、运营风险、法律风险、廉洁风险等，以及运行中的重大缺陷和问题。三是关键控制活动，特别是计划或预算、立项审批、招标投标、合同签订、授权审批、会计核算、报告、分析、考评、监督等关键性的控制活动。

（八）前位控制

有效的内控流程需要在全过程的控制体系中保持“前位”而不是“后位”控制，也就是人们常说的“控制点前移”或“控制点上移”。“前位控制”至少包括两点：一是组织序列控制点上移。在集团内部，重大风险控制权应安排在集团公司，为此需要子公司重大风险控制资源和权力向集团公司集中；在公司内部的治理层、管理层和操作层等组织层级中，应突出治理层在内控体系中的主导角色和关键作用。二是时间序列控制点前移。风险控制侧重点从事后控制向事前控制前移，尤其是要重视战略、计划或预算、立项、合同和审批等关键控制环节。

二、内控流程设计与再造的程序

内控流程设计与再造的过程复杂，实际操作中也有四阶段、五阶段、六阶段和七阶段等多种模式。我的体会是，其最关键的程序有风险评估、流程分析、流程再造、流程表现四项。

（一）风险评估

内控是风险导向的，风险评估就是内控流程设计与再造的出发点。广义的风险评估涉及企业目标设定、风险识别、风险分析与评价、风险应对等内容。操作中值得关注的问题很多，结合国情和企业实际尤其应当关注三个问题：

1.评估什么风险？内控体系建设实践中，风险评估始终是一个薄弱环节，其表现之一就是评估范围不到位，特别是国有企业很多风险没有被纳入评估的范围。综观内控咨询和风险评估实践，普遍存在“六重六轻”：一是重组织风险轻个人风险，重视企业组织的风险评估而轻视管理者（特别是领导人员）与岗位职务相关联的个人风险。二是重内部风险轻外部风险，对市场风险、政治风险、政策风险等企业外部风险关注不够甚至没有关注，内控手册更多关注的是内控流程各环节的内部风险。三是重流程风险轻整体风险，纳入内控手册的风险都是内控流程节点上的具体风险，对企业有整体、全局性影响的整体风险关注度不够。四是重经济风险轻非经济风险，特别是政治、社会、文化等风险在内控手册中几乎处于缺位状态。五是重业务风险轻廉洁风险，很多企业评估了业务风险，但是廉洁风险的评估和流程设计却只在少数单位实施。六是重固有风险轻剩余风险，很多企业的风险评估是“一揽子”开展，不区分固有风险与剩余风险。就流程风险而言，普遍存在“重流程环节风险轻流程整体风险”的问题，流程每个节点的风险点非常具体，但对流程运行的风险缺乏整体把握。以合同为例，涉及合同文本的签订、履行、变更和解除等具体环节的风险点往往事无巨细，而对与合同流程整体运行有关的管理模式（分散还是集中）、组织架构（管办分离还是合一）等导致的风险则处于缺位状态。

2.怎样评估风险？从方法上讲有定量方法与定性方法两大类，常用的定量方法有标杆法、概率模型、非概率模型等，其中，概率模型包括风险定价法、现金流量法、损失分布法等，非概率模型包括敏感性分析、图景分析、压力测试等；定性方法有会议讨论、列表检查、问卷调查、人员访谈、实地调查等。关于定量方法，业界对利用财务报表分析评估风险的研究和应用都还较少。我在《企业真实财务风险水平衡量研究》（《财务研究》2021年第1期）提出，财务报表可以分析企业的战略风险、市场风险、运营风险和财务风险等企业的整体性经济风险（见表1），而被业界开发利用的主要是其中的财务风险（债务风险）。

理论上讲定量方法测算的结果精确，但前提是可供参考的基础数据精确，而事实上基础数据的可靠性往往很难保证；风险及其环境因素的千变万化和极不确定性，也极大地影响评估人员运用估算概率和预计损失进行风险分析的可靠性。有些定量方法其实并未消除主观影响，甚至有可能比定性方法可靠性更差。定性方法的固有缺陷是主观性强，为此评估人员总是会想方设法搜集更多的客观证据，其准确性未必就比定量方法差，且操作更为便捷，也许这就是主观估算概率和预计损失的定量分析方法越来越被放弃使用的重要原因。

3.风险控制在何种水平？COSO报告在风险问题上有两个重要的概念，即风险偏好（Risk Appetite）和风险容量（Risk Tolerance）。风险偏好是企业在追求战略和业务目标的过程中愿意承受的风险量，风险容量被定义为“可接受的绩效变动区间”（Accepted Variation in Performance）。这两个概念的提出与风险收益理论在逻辑上是一贯的，但这是针对经济性风险而言的，对于非经济性的财务报告舞弊风险、政治风险、廉洁风险、合规风险等，风险控制的态度应当是“零容忍”，目标应当是零水平，风险偏好和风险容量概念就未必能够派上用场。另有一些风险（如环境风险、安全风险等）虽也存在“度”的问题，但是“度”的内涵与市场风险、运营风险、财务风险等经济性风险存在重大差别——市场、运营和财务等风险以“适度”为好，而安全、环境等风险应倡导“最小化”，重大安全事故应当是“零容忍”。

（二）流程分析

流程分析是通过分析现有内控流程，发现存在的缺陷，进行内控流程重组或再造，产生新的更为合理的内控流程。

1.整体分析。流程分析首先应当从整体上认识和把握流程的必要性、合规性、风险性、效率性和经济性。

（1）必要性。分析流程是否有单独存在的必要，如无单独存在的必要，可否采用删除、合并等方式进行再造。以采购为例，金额较大的经营性采购是否应该列入“三重一大”事项范围单独设计流程，金额较小的采购是否有必要走招标采购流程，小金额的零星采购是否有必要签订合同，签订合同是否有必要单独采用用印审批流程等。

（2）合规性。流程的存在和运行是否依法合规。如符合招标采购条件的采购是否使用了规定的招标方式和招标流程，是否存在该招未招的情况。

（3）风险性。流程的存在是否客观，能否有效控制风险。仍以招标为例，招标文件编制过程存在供应商条件设置、综合评标标准设定、限价确定等重要风险点，招标管理流程的设计是否能够有效防控这些风险。

（4）效率性。流程的存在和运行是否有利于平衡控制与效率的关系，并确保效率优先。总的要求是避免过于繁琐、冗长，具体要视风险的性质和重要性决定流程的繁简程度。国有企业的费用报销和资金支付等经常性事项普遍存在审批环节过多、程序过繁、效率过低、效果偏差的问题。

（5）经济性。成本效益原则是流程设计与再造的基本原则之一，但实践中不计成本的内控流程设计现象较为普遍。特别是出于规避责任的考虑，不需“上会”（董事会）的事项也“上会”，不需委托招标的采用委托招标，不需领导审批的提交领导审批等。

2.要素分析。

（1）“活动”分析。流程是若干活动的集合。流程中的“活动”分为法定性活动和任意性活动两大类，流程分析与再造的重点是任意性活动。法定性活动是相关法律法规规定必须有的活动，流程设计与再造时不可以删除。如年度财务报表编制流程内含的财会机构负责人、财务负责人和法定代表人三人审核签字并盖章，社会审计机构审计和董事会审议通过等，都是法定的不可删除的活动；又如企业战略规划的编制流程中董事会审议批准和党委会前置研究讨论通过也是法定活动。企业内控流程中的法定活动主要体现在《公司法》及涉及“三重一大”集体决策、招投标、经济合同、财务报告与信息披露等法律文件中。任意性活动是企业自主决定的控制活动，以工程招标为例，2018年中华人民共和国国家发展和改革委员会令第16号《必须招标的工程项目规定》把400万元及以上的施工单项合同招标、200万元及以上的货物采购招标和100万元及以上勘察、设计、监理等服务采购招标纳入企业法定活动的范畴，限额以下的招标行为就属于任意活动。对于任意性活动的分析，主要从四个方面实施：

一是是否需要删除？多余的活动最好删除。如何把握多余？我的观点是存在两类多余，即绝对多余和相对多余。以财务上的费用报销和资金支付审批为例，普遍的做法是分管业务领导和分管财务领导都签字审批，从建立制衡机制、实现事权与财权、业务与财务相分离的角度说，分管业务领导应在做事环节审批，在费用报销和资金支付环节签字审批是不必要的，即绝对多余。相对多余是由于控制模式和标准调整出现的多余。仍以费用报销和资金支付为例，如果提高审批权限标准，比如把“一支笔”模式改成三级审批模式，结果就会导致授权审批的项目审批主体下移，下移的审批项目对于“一把手”来说就相对多余。

二是是否需要增加？缺位的活动最好添加。如何把握缺位？我的观点是存在绝对缺位和相对缺位两种类型。绝对缺位是原本就需要、但现有流程缺位。以采购合同签订的评审为例，通常的做法是业务、财务和法务“三审”，招标主管缺位审核；再如重大决策，国家要求须有法律审核，很多企业缺少这一环节，重要管理制度的制定亦存在类似的情形。相对缺位是控制模式和方式等变化带来的程序调整，如集团内部对子公司管控模式由分散向集中转型，势必会增加集团公司的审批事项范围，增加的部分在现有流程中就处于缺位状态。

三是是否需要整合？分工导致活动的细分，不合理的分工调整有时需要流程中的活动整合。以费用报销审批为例，审批权限的设置有多种模式，如单一审批权限模式、分项设置权限模式、分类设置权限模式、混合模式等，若是从分项设置改为单一标准模式，则原来的分项费用审批流程就需要整合。

四是是否需要分拆？控制过粗的流程需要分拆。如资金支付审批，一些企业设置了单一标准审批模式，不考虑支付性质和用途的差别，这种做法操作简单但不尽合理。可以考虑根据资金用途分类设置审批权限，由此就需要分拆原来的资金支付审批流程。

（2）“活动间关系”分析。至少有三个问题需要更好地把握：

一是串联关系还是并联关系。当流程存在多审或多批时，多审或多批之间被设置为串联关系的居多，也就是被设置为先后顺序实施多审或多批。串联关系的流程设计虽常见，但不尽合理，会延长审或批的链条、降低审或批的效率，并容易出现“讲情面”和“搭便车”等现象，降低流程效率和效果。我赞同更多地尝试运用并联关系，并联关系可以使流程扁平化，缩短流程路径，提高流程效率，并避免“搭便车”对审批质量的负面影响。

二是活动的先后顺序。当采用串联模式设计流程时，活动的先后顺序值得进一步思考。以费用报销审批为例，财务审核置于报销流程的哪个环节值得研究。实践中有三种做法：第一关口财务先审（经办人填制报销单后直接找财会人员审核）——业务后审——领导后批、业务先审——财务后审——领导后批、业务先审——领导先批——财务后审。三种做法各有利弊，我更倾向于领导后批的模式。但需要特别注意的是，法定的顺序不可改变，如董事会决策前的党委前置研究讨论程序等，可调整和优化的活动顺序是企业自主设计的程序。

三是活动主体的兼容性问题。以采购资金支付为例，常见的流程是由采购业务经办部门提出付款申请，经分管采购的领导先签批后再由财务负责人签批，金额大的按照授权审批制度由总经理或董事长签批。这个流程存在的问题是分管采购业务的领导能否既在采购业务签批又在采购付款签批？分管采购业务的领导签批是否是财务负责人等人签批必备的前置程序（分管业务领导签批与财务负责人的签批是否具有必然的联系）？我的看法是：财权与事权、财务与业务具有不相容性，分管采购业务的领导享有的是事权，享有采购业务事项的审批权，而采购付款是财权，理应由财务负责人享有，实行财务与业务、财权与事权相分离的牵制制度。

（3）“活动承担者”分析。“活动承担者”即活动的实施主体，包括法定主体和自定主体两类。有些活动的实施主体是法定的，比如被纳入“三重一大”范围的事项的决策活动，其行为主体分别有企业党委、董事会和总经理办公会，又如《公司法》纳入董事会决策范围的事项的决策活动，其行为主体就是董事会。多数活动的承担者是企业自定的。关于实施主体，有三点值得关注：

一是法定主体的活动边界问题。如《公司法》规定由董事会制定的“基本管理制度”，其具体范围和内容至今仍未明确，业界认识存在分歧，实践中理解和做法不一。将战略规划、组织架构、人力资源、薪酬、财务、会计、信息披露、投资、证券、融资、担保、资产、预算、风控、法务、合规、合同、文化、内审、对子公司管理、规章制度等方面的框架性基本制度界定为“基本管理制度”是容易达成共识的，有争议的主要有两类：一类是公司章程、“三重一大”决策制度实施办法、议事规则等公司治理制度。实践中通常将这些制度作为“顶层制度”来看待，是否应纳入“基本管理制度”范畴？我的看法是，能被董事会“最终决定”的就属于“基本管理制度”，公司章程最终应由股东大会批准才能生效，不应界定为基本管理制度。另一类是涉及研发、技术、招标、投标、采购、库存、生产、设备、工艺、质量、市场、营销、品牌、外包、安全、信息化建设等生产经营性的制度。我的意见是这类制度不作为《公司法》的“基本管理制度”看待，但可以由董事会把关并最终决定。总的意见是，“基本管理制度”由董事会“制定”（最终决定），但由董事会决定的不限于“基本管理制度”。

二是自定主体的活动边界问题。自定主体也需要合理的活动边界，以有效平衡控制与效率的关系。实践中，自定主体的活动边界设置存在四种不合理现象：其一是“越位”。该授权下级承担的活动仍留在上级承担，该下移的活动不下移。上级“越位”承担有主动和被动之分。近年来国企存在的动辄“上会”（董事会）、扩大董事会职权的现象，就是下级出于免责考虑而使董事会被动“越位”决策。其二是“缺位”。表现为该审核的未审核，该评审的未评审，该前置的未前置，该招标的未招标，该公开的未公开，该上会的未上会，该问责的不问责，集团内部子公司该提交集团公司报批的不报批、该报备的不报备、该报告的不报告等，导致流程和控制活动体系不完整、不充分。其三是“错位”。该由A部门承担的被安排由B部门承担。内部审计机构设立后，理论上说应当把所有的审计事项归口内部审计机构管理，但在实际工作中，很多公司的财务报表审计工作仍由财务部门管理，尚未建立起财务报表编审分离的机制。又如很多企业还把工程项目的招标管理工作留在工程部门，工程招标的经办与管理都在工程部门，管办分离的制衡机制未能建立起来。其四是“不到位”。主体承担的活动内容和功能不到位。比如内部审计在理论上讲应当是全覆盖的，但很少有企业真正做到。从功能看，内审机构有审计、调查、评价和服务四项基本职能，迄今主要是围绕审计发挥作用，专项审计调查、内控评价和增值服务职能发挥不够。

三是多主体的角色安排与职责分工问题。企业内部有些控制活动是单主体承担，有些控制活动则是多主体承担。当一项活动由两个或两个以上的主体承担时，应当明确各自的角色定位、职责权限和功能作用。流程是若干活动的集合,流程中任何一个活动的承担者都应该与上下左右的活动承担者之间有非常清晰的权责关系。

（4）“活动实现方式”分析。活动的实现方式多种多样，如口头与书面、单独与联合、个人与集体、线上与线下、直接与间接、自主与委托、公开与秘密、规模大与规模小、现金与转账、分散与集中、下级与上级、室内与室外、短期与长期、固定与轮流、内部与外部等，企业应在法律规定的限度内，选择风险小、成本低、效率高的活动方式。

（三）流程再造

流程分析是流程再造的基础，流程再造是流程分析的延续。流程分析和再造都至少需要四个前置性条件——战略规划、管控模式、组织架构和授权体系，这四个前置性条件也属于广义的流程分析和再造的重要内容。

1.战略规划。内控流程的分析、设计与再造都必须体现战略导向，战略决定管控模式、决定组织架构、决定流程。作为流程再造的前提条件，企业须有清晰合理的发展战略或战略规划。战略也是重要的管控工具，战略风险往往影响很大，甚至对企业生死具有决定性作用。从风险控制的角度看，通过战略调整和优化选择风险适度、可控的发展战略，并更好地发挥战略管控的作用，也是企业内控流程再造的一项重要内容。

2.管控模式。对单体企业而言，“战略决定组织”。对集团化企业而言，战略与组织之间有个中介变量——管控模式，即战略决定管控模式、管控模式决定组织架构。集团内部的管控模式多样，大致有分散（或分权）、集中（或集权）、混合（集中与分散结合）三种类型。每种类型又可以细分多种，如资金集中管理就有分散运作集中监控、集中运作集中管理两种细分类型，后者进一步可以分为部门化的资金中心模式、公司化的财务公司模式和集团银行（或民营银行）或金融财团模式三种。集团内部管控模式选择的决定因素是集团整体和集团公司（母公司）的发展战略，但也受制于集团公司的定位（商品经营型还是资本经营型）和资源获取能力等因素。二十世纪五六十年代，公司大型化趋势带来集团内部分权化管理的热潮，二十一世纪之交新的信息技术革命又推动集团纷纷走向集中，做强总部成为很多集团的首选。

做强总部主要是通过强化总部（集团公司）的功能来实现的，主要有三种方式：一是集中运作。包括战略集中（统一制定战略）、人资集中（统一招聘）、薪酬集中（统一薪酬政策和标准）、资金集中（资金中心或财务公司）、财务集中（财务共享中心）、招标集中（统一招标管理）、法务集中（集中管理法律顾问和统一重要诉讼案件管理）、投资集中（集中在集团公司和核定具有投资权的二级公司）、信息化集中（统一信息化建设规划和信息系统开发管理）、规章制度集中等。二是集中监控。集团公司实施监控分散在子公司运作，包括委派人员（如委派财务负责人）、目标控制（下达和考核目标）、审批控制（重要事项提交集团公司批准或备案）、审计控制（对子公司进行审计）和在线监控（如资金收支）等。三是垂直管理。集团内部原则上实行分级管理，同时采用例外管理原则，把重要的三、四级公司视同二级公司由集团公司计划单列、直接管理。

如果总部（集团公司）的定位是资本经营，集团内部行业结构多元，且差异性较大，“做小总部”也许是更好的选择。操作要点是：定位集团总部的职能是资本经营，缩减总部功能，关注资本经营与管理；资本经营型的国企集团总部主要扮演三种角色，即战略与投资中心、资金与风控中心、党建与文化中心；按行业或地区等方式组建专业化平台公司负责资产运营，其所属企业定位是业务单元，负责具体的生产经营；总部通过下放资产经营调度权（包括用人权、资产配置权、考核评价权及薪酬分配权等）坐实专业化平台公司,总部主要通过派驻专职董事、监事行使股东权利，不直接干预企业经营决策和业务运营。

3.组织架构。组织架构与组织机构是两个有差别的概念，组织架构的内涵更丰富，我的体会是至少包括五项内容：一是集团的组织形态。以工程为例，是以项目组还是以分公司、子公司、项目集团的形态组织。所谓事业部，从组织形态来说就是这四种，只是事业部的概念侧重于它的相对独立性。二是业务组织模式。是直线职能制还是矩阵式或其他业务组织方式。三是机构部门设置。包括高层的治理机构、中层的管理机构和基层的操作机构等。有些机构是法定的，如党员达到一定数量的国企党的机构、符合《公司法》等法律法规规定条件的公司董事会、监事会、总经理办公会、职代会、工会、内部审计机构、安全管理机构等的设置。四是层级组织定位。包括集团总部与所属各级子公司之间、总公司与分公司之间、内部各层级的机构之间的角色、职能上的具体内容及其差别。五是机构部门职责分工。职责分工要明确、全面、适当、制衡等，避免缺位、越位、错位、不到位。内控流程的分析和再造中，组织架构的全部或部分进行调整和优化是不可或缺的重要内容。

4.授权体系。授权是管理的艺术，也是内控流程再造的重要内容。很多的内控流程问题，如控制过度（程序繁琐）或控制不足（程序过于简单）、制衡缺失或不到位等，都与授权不当、授权体系不合理有关。授权有多种类型：按授权对象分为机构授权和个人授权，前者包括股东会对董事会授权、董事会对总经理办公会授权、总经理或总经理办公会对分管领导专题协商会授权，国有企业还有上级党组织对企业党组织的授权，集团还有总部对分子公司的授权，后者包括董事会对董事长授权、董事会对总经理授权、总经理或总经理办公会对分管领导授权、分管领导对部门负责人授权等；按授权内容分为业务授权和财务授权，前者包括研发、采购、生产、销售、工程等业务授权，后者包括费用报销、资金支付和财务专项等事项授权；按授权依据分为法定授权与自主授权；按授权方式和期限分为基本授权与特别授权。经过授权形成若干权力清单，比如党委权力清单、董事会权力清单、总经理办公会权力清单、董事长权力清单、总经理权力清单等；集团总部与子公司之间应有“三报（报批、报备和报告）事项清单”。

（四）流程表现

内控流程需要描述或表现，其形式并不唯一，有文本法、表格法、图形法等，实践中三种方法并存并结合使用。从展示的文本形式看，有内控制度（文本法）和内控手册（图形法与表格法结合）。内控手册简洁明了、形象直观、通俗易懂、便于理解和掌握，颇受用户欢迎，但也存在一些问题。首先，其规范性和权威性不够，被巡视巡察、政府审计和纪检监督认可为规范化制度的程度不高。其次，单一的手册形式也很难被中国的企业所接受和满意，企业往往习惯“照章办事”，习惯上“章”的表现方式是制度而不是手册，手册尚未被认可为一种“规范”形式。再次，手册流行于以美英为代表的海洋法国家，源自判例法或不成文法传统，中国作为崇尚成文法传统的国家，成文的制度更容易被官方或其他正式场合所接受和认可。最后，如果把手册作为内控流程的唯一形式，结果必然导致手册与制度处于“两张皮”状态，最终使手册流于形式甚至虚置。有鉴于此，在中国企业单位做内控体系建设，应当确立“制度比手册更重要”的观念，选择“以制度为主、手册为辅、制度与手册并举”的策略。

三、内控制度的梳理

（一）内控制度体系存在的主要问题

内控流程的重要表现形式是内控制度。从我主持的多家企业单位内控制度建设情况看，主要存在以下问题：

1.重建设轻落实、重设计轻运行、重制定轻执行。表现在三个方面：一是内控制度体系整体结构失衡。企业习惯做《内控制度汇编》，从我做制度评估的情况看，制度项目很多，但其中涉及制度执行的保障性制度寥寥，内控执行力管理制度体系整体处于缺位状态。二是单项制度内容上结构失衡。各项制度的内容中，涉及保障制度执行的内容主要是“监督检查”和问责等，这些内容在多数制度中处于缺位状态，有些制度有这部分内容但过于简单、操作困难。三是制度发布后没能引起足够的重视，甚至有选择性执行的情况，制度被架空没能有效落地实施。

2.重制度轻流程、重制度编制轻信息化运行。表现在两个方面：一是制度更新后并没有适时调整相应流程及相关培训，造成制度落地实施大打折扣。二是内控体系尚未实现信息化运行。

3.内控制度体系建设在内容上存在“八不”缺陷：一是不系统。规章制度通常由业务归口管理部门根据需要提出，分散、逐项制定和实施，单位层面缺乏事前对所需规章制度的系统化整体设计，不成体系。二是不适用。一些制度制定时间过长，部分内容陈旧，已不适用。三是不合理。全套制度不做分级，或即使分级但缺乏合理的依据或标准，或依据不尽合理。四是不完整。部分重要制度缺位，单项制度内容缺位现象严重。以内部审计制度为例，普遍缺的内容包括专项审计调查、审计闭环管理、审计风险管理、年度审计管理工作报告和对子公司审计管理等。五是不对接。即制度内容与风险对接程度不够。内控应当是风险导向的，其目标就是有效防控风险。多数企业的内控制度都是在缺乏风险排查和评估的条件下起草和修订的，很多重大、重要风险在制度中处于缺位和失控状态。六是不到位。一些制度内容规定粗放且过于简单，操作性不强，起不到有效控制的作用。七是不准确。有些制度的内容表述不准确或不正确。八是不统一。制度结构、名称等不统一，制度名称混乱，缺乏规范性。我曾咨询的一家单位，其《制度汇编》里的105项制度有“制度”“管理办法”“暂行办法”“管理规定”“规定”“指导意见”“实施细则”“管理规则”“规程”“手册”“监管办法”“实施办法”“规则”“暂行规定”“意见”等至少15种名称。

（二）内控制度梳理与优化

1.内容优化。分三个层级梳理和规范：现有制度体系中缺位及内容不完整的补充，解决制度的缺位及完整性问题；现有制度体系中有缺陷及不协调的改进，解决制度的科学化、合理化、协调化问题；现有制度体系中不规范、不系统的，力求在内容和形式上予以规范，解决制度的规范性和系统性问题。

2.形式优化。重点解决内控制度体系化或系统化问题，至少有两点提请注意：一是系统化的整体设计。制度体系应依法合规、全面覆盖。层次清晰是对规章制度整体设计的基本要求。制度体系必须全覆盖单位的各类控制活动、各组织层级、各管理环节，单项制度应当全覆盖该领域的各项要素及其管理全过程。以资产管理制度为例，范围上应当覆盖全部的金融资产与非金融资产、有形资产与无形资产、经营资产与非经营资产、表内资产与表外资产等，管理过程上应覆盖事前计划、事中日常管理和事后检查监督等各管理环节。二是划分制度层次。对于单位内部的规章制度应当划分几个层级，没有法律上的明确规定或约定俗成的惯例。《公司法》明确“基本管理制度”需由董事会审议通过，言下之意，企业的全部规章制度可以划分为基本管理制度和具体管理制度两个层次。在我咨询的单位里，有的把制度分为三个层次：顶层制度或治理制度、基本管理制度和具体管理制度，其中顶层制度主要是公司章程、“三重一大”决策制度实施办法、党委会议事规则、董事会议事规则、监事会议事规则、职代会议事规则、总经理办公会工作规则等。两层次或三层次并无原则差别，实践中都可以采用，关键是要明确制度制定权。依据《公司法》的规定，顶层制度和基本制度的制定权归属董事会，具体制度则由总经理办公会负责制定。

3.运行优化。制度运行环节，普遍存在轻内控信息化和轻执行效果的问题。多数单位（包括经过专业咨询机构进行内控流程设计的单位）目前都还没有全覆盖式上线运行内控制度，一般都是模块化上线运行。缺少信息技术支撑，流程得不到固化，运行中的灵活和变通就难以避免，从而影响执行效果。对制度执行过程及结果的监督检查、考核与问责等力度不够也是常见的现象。

制定制度重要，执行制度更重要。制度的生命力在于执行，企业应当持之以恒地在提高制度执行力上下功夫。一是领导带头执行制度。越是领导干部，越是主要领导干部，越要自觉增强制度意识，以身作则，以上率下，自觉维护法规制度的严肃性和权威性。二是建立一套既能够满足内控需要又便于执行的制度体系。满足内控需要的制度应具备两个条件：体现风险导向，覆盖内控五要素。很多单位的规章制度都是在缺乏风险排查和评估的条件下起草和修订的，制度所规定的管理措施和要求很难与风险点做到有效对接。制度要便于执行，既要在内容上科学合理又要在形式上简明易懂，同时有配套的流程图。三是建立内控信息化体系。实现“内控制度化、制度流程化、流程表单化、表单信息化”。通过信息化固化流程，限制或避免执行中的变通，确保流程规范运行。四是建立制度执行力保障体系。内控执行力保障体系涉及一系列制度执行的保障措施管理，诸如内控培训学习、内控执行责任制、内控执行目标管理、内控执行亮灯管理、内控工作督查督办、内控执行力检查与评价、内控执行考核与奖惩、内控执行责任追究或问责制、内控审计等。