企业内控体系建设，是在一定环境下，企业为了提高经营效率，充分有效地获得和使用各种资源，达到既定管理目标，而在组织内部实施的各种制约和调节的组织、计划、程序和方法。除了防止舞弊、保障企业资产安全，会计的监督控制、不兼容岗位的分离与相互牵制等传统含义，还包含规范流程促进企业经营效率的提高、监督各部门运营、防范企业风险以及保证企业合法合规经营等丰富含义。据调查，2021年以来，上百家拟IPO企业主动撤回上报材料，一般而言，主动撤回无外乎以下几种情形：1）经营盈利问题；2）报表异常问题；3）诚信、诉讼等合法问题；4）尽职调查中发现的合规问题；5）未能回复审核中提出的问题；6）未及时更新申报材料；7）成长性是否充足等风险问题；。。。。。。上述标红的部分属于内控合规风控等问题。很显然，目前的监管环境倒逼企业去健全自身的体系建设。本篇内容是承接上篇《完善公司治理》之后再次强化企业自身规范性建设的姊妹篇。公司治理、内部控制、合规建设、风控体系这四者虽各自扮演不同角色但共同构成企业大的规范治理框架。本文着重阐述内部控制的建设思路，并顺带厘清内部控制与公司治理、合规建设、风控体系之间的区别与联系。

第一部分 掌握内控规范与指引

鉴于企业内部控制是企业规范发展的重要抓手，是全面提升企业治理水平的主要路径，国家相关部门和监管机构密切出台有关规范和指引。1.证交所颁布：《上海证券交易所上市公司内部控制指引》由上海证券交易所于2006年发布实施；《深圳证券交易所上市公司内部控制指引》由深圳证券交易所于2007年发布实施。2.财政部牵头颁布：《企业内部控制基本规范》由财政部会同证监会、审计署、银监会、保监会制定，于2009年7月1日起在上市公司范围内施行；《企业内部控制应用指引（18项）》《企业内部控制评价指引》《企业内部控制审计指引》三大指引由财政部会同证监会、审计署、银监会、保监会制定，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。《小企业内部控制规范》由财政部制定，自2018年1月1日起施行。适用于在中华人民共和国境内依法设立的、尚不具备执行《企业内部控制基本规范》及其配套指引条件的小企业。可以看出，我国企业内部控制在国家层面已经形成相对完备的体系。《企业内部控制基本规范》规定内部控制的目标、要素、原则和总体要求，是内部控制的总体框架，在内部控制规范体系中起统领作用。《企业内部控制应用指引》是对企业按照内部控制原则和内部控制五要素建立健全内部控制所提供的18项应用指引，在配套指引乃至整个内部控制规范体系中占主体地位。《企业内部控制评价指引》和《企业内部控制审计指引》是对企业按照内部控制原则和内部控制五要素建立健全“事后控制”的指引，是对企业贯彻《内部控制基本规范》和《内部控制应用指引》效果的评价与检验。《小企业内部控制规范》是在对上市公司予以规范指引之后引导非上市企业内部控制建设有效运行的规范性文件，也就是将内部控制规范性建设予以前置。不仅如此，地方证监局、中央企业、相关部委在近年仍在加大推动落实内控建设、不断提高治理水平。

第二部分 如何进行内控体系建设

一、内控建设的五大要素1.内部环境内部环境是内控的基础，包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化和法律环境等。2.风险评估风险评估是内控的重要的环节和手段之一。要求企业准确识别并控制与目标相关的内部风险和外部风险，并确定企业的风险承受能力。企业应对风险的策略有四种：风险规避、风险降低、风险分担、风险承受。其中，风险降低是企业最常用策略。3.控制活动控制活动是内控的重要的环节和手段之二。企业为了保证政令通畅会制定一系列的政策和程序，这些措施要么是预防性的控制，要么是检查性的控制，目的都是为了控制风险。4.信息与沟通决策是管理工作的本质，而决策的下达需要及时准确的信息支持。企业的信息传递与沟通是确保有效内控的必要条件。5. 内部监督内部监督是内控的重要保证。企业监督部门对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制的缺陷，并及时加以改进。监督部门一般为审计部，其次为财务部或其他经授权的其他监督机构。二、内控建设的六大环节1、全面诊断企业内控体系建设一般委托外部专业机构来辅助，通过邀标方式选择知名度高、专业实力强、经验丰富的咨询公司，提供全程咨询、技术辅导及成果检核服务。具备专业人才的企业也可自行诊断。首先是对国家颁布的规范和指引予以深度学习研究，掌握具体要求、明确重点难点、理解逻辑顺序。其次，对照规范与指引来检视企业自身各方面内控建设情况，罗列内控建设问题清单；对于大面积缺失内控体系的企业需要整体规划、统筹推进。2、统筹规划基于企业现状和内控建设要求，形成企业内控体系建设的框架：1）谁来推动？2）如何推动？3）各部门、各级业务单位如何高效配合执行？奖惩手段如何运用？4）与企业现行经营管理如何有效协同而不至于被各级管理者认为是麻烦制造者？5）某些重大问题如何快速补救？6）某些重大难题如何分阶段解决？。。。。。。3、机构设置内控机构设置的主要工作包括：确定机构名称、层级、汇报对象、专业人员的具体名称、工作岗位设置、工作内容确定、人员选拔和素质要求、工作的具体原则等。这里切忌与企业现行经营管理条线形成两张皮，最佳办法是将主要的部门负责人及公司高层纳入内控机构作为内控项目成员。让内控建设的执行者同时成为推动者。一般由董事长、总经理分别担任组长、副组长，各副总为成员；下设项目办公室，由总经济师任办公室主任，成员由各部门负责人担任，其中审计部门的负责人作为组织者，协调各项工作。邀请外部机构作为指导。4、系统培训 企业内控管理人员必须编制培训资料、制定培训计划，对所有相关利益者进行内控培训，在内控体系全面推进之前，把阻力减到最小。同时，由于大部分管理者都是内控体系的推动者，需要他们掌握内控建设的意义、内涵、方式、方法，这对内控机构后续工作开展形成便利。这其中，对财务部门的培训是重点。5、作业实施①制定企业内控管理程序或运营管理程序内控的实质就是法制化、程序化管理，以系统的方法设计业务流程、制度表单，并且事前就充分考虑规避各种潜在的管理风险。②评估检查企业的授权管理系统检验现存的授权管理系统是否科学、清晰、合理，是否存在越权和越级的潜在风险。③潜在利益冲突调查为保证内控管理的组织牵制原则得到有效的实施，当前的主流非家族经营管理的企业通常需要在处理日常业务中避免产生雇员与企业发生利益冲突的情况。④编制年度内控审计指导，实施内控审计包括财务管理、职工安全与环境保护、质量管理和生产现场管理、6S管理、6西格玛管理、精益生产等内容。⑤组织风险评估控制管理风险是内控的根本目的。⑥内控问题调查定期或不定期举行自我检查，以各分、子公司总经理和各业务部门负责人为自我检查的主体。⑦舞弊案件调查舞弊问题对企业造成的损失是造成企业效益下降甚至导致企业破产的重要原因。舞弊损失数量是企业内控管理工作绩效考核的重要指标。⑧参加公司董事会会议对下属企业总经理、财务总监在执行内控政策和遵循授权管理方面的情况提出奖惩建议。⑨组织保险业务购买企业保险是促进企业内控管理的有效工具，除了能够弥补各种突发事件给企业造成的损失外，同时也具有预防管理风险的作用。⑩汇编《内控手册》，并再次展开系统培训综合上述各方面制度、流程、表单、控制程序、审计要点、风控要点等内容汇编成《内控手册》，并再次组织大规模的培训和指导，对特殊、重要、敏感岗位需要单独培训强化。⑪内控工作报告企业内控部工作报告对象包括董（监）事、CEO和总经理等人。定期内控工作报告，须定期分析企业总体内控状况，当前存在的高风险问题，各种审计结果，以及针对薄弱问题提出改进意见和建议。⑫评价考核内控工作检查内控人员绩效完成情况，对内控管理完成好的企业内控人员进行表彰。6、检查评估通过上述作业实施之后，有必要请外部审计师或其他具有一定资格的其他独立第三方对企业进行检查评估。以确保企业内控体系建设真正符合相关要求。

第三部分 内控&治理&合规&风控之间的关系一、各自含义1、合规：第一层是具有强制性的法律法规，即企业总部所在国和经营所在国的具有强制性的法律规定及监管规定；第二层是企业在生产经营活动中写入企业规制的对相关方（客户、股东、监管方、企业内部员工等）的自愿性承诺；第三层是企业要遵守良好的职业操守和道德规范、公序良俗等，这些不是强制性的，但在社会活动中普遍为大众所认同。企业通常以第一层含义的理解和遵守为主要，因为其具有强制性。但往往陷入被动遵守而忽略合规本身是企业经营的一种理念。2、内控：本文上述已经明确——是在一定环境下，企业充分有效地获得和使用各种资源，确保达成既定经营管理目标，而在组织内部实施的各种制约和调节的组织、计划、程序和方法。促进企业经营效率的提高、监督各部门运营、防范企业风险以及保证企业合法合规经营是其实施的目的。3、风控：企业风控即企业全面风险控制。2004年COSO（美国反虚假财务报告委员会下属的发起人委员会）提出了企业风险管理整体框架，定义企业风险管理：“企业风险管理是一个过程，受企业董事会、管理当局和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。”企业风险包括市场宏观政策风险、客户偏好风险、合规风险、技术风险、质量风险、履约能力风险等。这个对企业风险管理的定义有内部控制的许多痕迹。4、治理：我们在上一篇《完善公司治理》中，明确提出：公司治理是企业的顶层设计，是管理企业内各种关系的总和，是关于公司各利益主体之间权、责、利关系的制度安排。涉及决策、激励、监督机制的建立和运行。公司治理包括内部治理和外部治理，因而主体既包括内部主体（董事会、管理层为代表）、又有外部主体（主要是股东以及其他外部利益相关者）。二、相互关系通过上述各自含义阐述，我们能直接发现其内在联系。1、内控是为了提升经营效率、督促各部门良性运行、防范风险和保证合法合规经营，可见内控的目的和工作范畴大于合法合规，可将“合规”作为一项目的或要求。2、按“风险控制”的定义，已经将合规风险作为其中之一，将内部控制作为应用手段，可以认为内部控制是风险管控的应用/手段。同时，企业的风险不仅来自内部，还有很多来自外部。可见，风险控制的范畴比内部控制更广。3、治理是最大层面的关系统合，合规、内控、风控都仅是公司有效治理的一部分内容，除此外，治理还涉及到其他广泛的内容。基于上述分析，笔者认为：“公司治理﹥风险控制﹥内部控制﹥合法合规”——合规经营是企业经营的基本要求，以内部控制为主要手段防范风险，内外部风险管控是风控的应有之义，公司治理不仅仅是风险管理，它是企业一切关系的总和。笔者认为，为避免四者割裂甚或内部冲突，可以将四者统合到大的治理框架下，形成一套自“合规”到“治理”的从起点到终点的立体方案，由企业统一部署、统一推进。如图：

综合全文所述：基于公司治理分为内外部治理，内部控制可以理解为公司的内部治理实现方式，即我们常说的企业日常管理活动。笔者建议把合规、内控、风控与治理统合在一起，形成公司治理的立体框架，统筹推进。本文观点仅供企业负责人参考。