在全球經(jīng)濟格局深度調(diào)整��、國內(nèi)監(jiān)管環(huán)境日益嚴苛的當下����,企業(yè)面臨的經(jīng)營風險呈現(xiàn)出復(fù)雜化�����、動態(tài)化的特征�。從國資委持續(xù)強化穿透式監(jiān)管要求�,到資本市場對財務(wù)合規(guī)的嚴格審查,內(nèi)控管理已從傳統(tǒng)的合規(guī)性保障機制���,升級為企業(yè)抵御風險����、實現(xiàn)可持續(xù)發(fā)展的核心競爭力要素。
2025年《中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作要點》的出臺���,標志著監(jiān)管層對企業(yè)內(nèi)控體系的要求從“制度完善”轉(zhuǎn)向“效能提升”�,迫切需要企業(yè)構(gòu)建覆蓋全業(yè)務(wù)鏈條�����、具備智能防控能力的現(xiàn)代化內(nèi)控管理體系����。
本文結(jié)合政策導(dǎo)向與理論框架,從體系架構(gòu)��、風險管控���、技術(shù)賦能�����、監(jiān)督機制等維度���,深入剖析企業(yè)內(nèi)控管理體系建設(shè)與完善的關(guān)鍵要點����。并基于COSO框架與監(jiān)管實踐�,從體系搭建到技術(shù)落地、從風險管控到文化培育���,提供全流程操作指南����,助力企業(yè)構(gòu)建“看得懂����、學(xué)得會、用得上”的內(nèi)控管理體系�����。
一�、政策導(dǎo)向與體系架構(gòu)的協(xié)同升級
2025年國資委發(fā)布的《關(guān)于做好2025年中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作有關(guān)事項的通知》明確提出,以穿透式監(jiān)管為主線����,推動內(nèi)控體系向智能化、全鏈條管控轉(zhuǎn)型�。這一政策要求企業(yè)構(gòu)建覆蓋“全級次、全鏈條��、全過程���、全要素”的風險防控機制�����,尤其強調(diào)對三級以下子企業(yè)的穿透監(jiān)督����,通過建立集團總部與基層單位的直聯(lián)監(jiān)管通道����,消除傳統(tǒng)管控模式下因管理層級過多導(dǎo)致的信息衰減和監(jiān)管盲區(qū)。在此背景下��,企業(yè)需以COSO內(nèi)部控制框架為理論基石��,將控制環(huán)境��、風險評估、控制活動�����、信息與溝通����、監(jiān)督五大要素與穿透式監(jiān)管要求深度融合。在控制環(huán)境層面����,需優(yōu)化集團管控體制,明確董事會作為內(nèi)控體系建設(shè)的第一責任人��,建立“管理制度化��、制度流程化����、流程信息化”的治理理念。
1.穿透式監(jiān)管落地路徑
建立三級穿透機制:集團總部通過數(shù)據(jù)中臺直聯(lián)三級子企業(yè)核心業(yè)務(wù)系統(tǒng)�,每周自動抓取采購審批、資金支付等20項關(guān)鍵指標��,設(shè)置“紅橙黃”三色預(yù)警閾值(如單筆付款超500萬自動觸發(fā)總部復(fù)核)��。
編制《子企業(yè)監(jiān)管白名單》:對三級以下企業(yè)按資產(chǎn)規(guī)模、業(yè)務(wù)復(fù)雜度分類�,實施“重點企業(yè)月度飛檢+一般企業(yè)季度數(shù)據(jù)核查”機制,配套開發(fā)移動檢查APP實現(xiàn)現(xiàn)場問題實時上傳�����。
2.COSO框架本土化實施
控制環(huán)境構(gòu)建:(1)董事會下設(shè)內(nèi)控委員會����,每季度召開風險專題會���,審議《重大風險應(yīng)對預(yù)案》時需附詳細成本效益分析����;(2)制定《制度-流程-系統(tǒng)映射表》�����,例如將《財務(wù)報銷制度》第五條“費用審批權(quán)限”轉(zhuǎn)化為OA系統(tǒng)中“部門負責人-分管領(lǐng)導(dǎo)-財務(wù)總監(jiān)”三級電子審批流����。
二、風險評估與控制活動的精準落地
風險評估作為內(nèi)控體系的核心環(huán)節(jié)�����,需要企業(yè)建立動態(tài)化、場景化的風險識別機制��?���?刂苹顒拥脑O(shè)計需嚴格遵循“不相容職務(wù)分離”和“授權(quán)審批控制”原則。
1.動態(tài)風險評估操作手冊
建立三維風險數(shù)據(jù)庫:(1)業(yè)務(wù)維度:梳理投資并購等8大領(lǐng)域32個風險場景(如并購中的“或有負債風險”)��;(2)工具維度:對每個場景配置壓力測試模板(如宏觀經(jīng)濟波動測試需輸入GDP增速��、利率等5個變量)�����;(3)頻率維度:明確季度常規(guī)評估����、半年度情景模擬、年度全面評審的操作清單���。
2.控制活動標準化執(zhí)行
不相容職務(wù)分離實操:(1)采購業(yè)務(wù)實施“三崗互鎖”:需求崗不得參與供應(yīng)商評審�����,采購崗不得操作付款審批���,驗收崗需獨立于前兩崗����;(2)系統(tǒng)層面設(shè)置權(quán)限互斥規(guī)則:同一用戶不得同時擁有銷售訂單創(chuàng)建與發(fā)貨確認權(quán)限��。
三��、信息化賦能與穿透式監(jiān)管的深度融合
數(shù)字化轉(zhuǎn)型是提升內(nèi)控效能的關(guān)鍵抓手�,國資委明確要求企業(yè)將內(nèi)控措施嵌入業(yè)務(wù)信息系統(tǒng)����,實現(xiàn)“三重一大”決策、資金支付等活動的自動識別與終止�����。在前沿技術(shù)應(yīng)用層面�,企業(yè)可探索大數(shù)據(jù)分析、人工智能等工具的場景化落地�。
1.業(yè)財一體化平臺搭建步驟
數(shù)據(jù)中臺建設(shè):(1)第一階段(1-3月):集成ERP系統(tǒng)財務(wù)數(shù)據(jù)與OA系統(tǒng)審批數(shù)據(jù),實現(xiàn)“審批-核算”數(shù)據(jù)穿透���;(2)第二階段(4-6月):接入供應(yīng)鏈系統(tǒng)采購數(shù)據(jù)��,建立“采購申請-合同-付款”全鏈條追蹤模型���。
智能風控模塊開發(fā):(1)資金監(jiān)控:設(shè)置“三不支付”規(guī)則(發(fā)票未驗真不支付��、驗收單未電子簽章不支付�、預(yù)算超支10%不支付)��;(2)合同審核:運用NLP技術(shù)自動識別12類風險條款(如“無條件退款”“獨家授權(quán)”等)�����,生成《條款風險等級表》��。
2.區(qū)塊鏈應(yīng)用場景
供應(yīng)鏈金融領(lǐng)域:構(gòu)建聯(lián)盟鏈實現(xiàn)“四流合一”存證����。(1)物流:通過IoT設(shè)備采集運輸軌跡數(shù)據(jù)上鏈;(2)商流:合同文本哈希值存儲于區(qū)塊�;(3)資金流:銀行流水與發(fā)票信息智能比對上鏈;(4)信息流:訂單變更記錄實時同步鏈上節(jié)點���。
四��、監(jiān)督評價與缺陷整改的閉環(huán)管理
監(jiān)督評價作為內(nèi)控體系持續(xù)優(yōu)化的保障機制�,需要企業(yè)建立“自評+集團監(jiān)督+外部審計”的三級評價體系。
缺陷整改需構(gòu)建“責任追溯-措施落實-效果驗證”的閉環(huán)管理機制�����。
1.三級評價實施細則
子企業(yè)自評:(1)每月5日前提交《風險監(jiān)測簡報》����,需包含“風險指標變動率”“控制活動執(zhí)行率”等6項量化指標;(2)每季度開展穿行測試����,抽取不少于5%的業(yè)務(wù)樣本(最低不低于20筆)�。
集團監(jiān)督:(1)現(xiàn)場檢查采用“雙隨機”機制:隨機抽取檢查人員(不少于3人)、隨機抽取5%的會計憑證�����;(2)檢查報告需附《問題整改責任矩陣表》�,明確整改部門、配合部門的具體職責�����。
2.缺陷整改操作
在責任追溯環(huán)節(jié),應(yīng)建立問題臺賬�,明確整改責任部門、責任人和整改時限����,將整改任務(wù)納入部門績效考核指標;措施落實階段�,需制定具體的整改方案,涉及制度修訂的應(yīng)在30日內(nèi)完成制度更新����,涉及流程優(yōu)化的需在60日內(nèi)完成流程再造;效果驗證環(huán)節(jié)�����,應(yīng)通過抽樣測試�����、數(shù)據(jù)比對等方式檢驗整改成效����,對整改不到位的問題實施“二次整改”,并對相關(guān)責任人進行問責,問責措施包括績效獎金扣減���、崗位調(diào)整直至免職等��。對于境外業(yè)務(wù)����,應(yīng)特別建立跨境資金流動監(jiān)測機制���,通過司庫系統(tǒng)實時監(jiān)控境外賬戶收支情況�����,設(shè)置匯率波動風險預(yù)警指標�,防范跨境資金運作風險�����。
五�、文化培育與組織保障的長效機制
內(nèi)控體系的有效運行依賴全員風險意識的提升����,企業(yè)應(yīng)構(gòu)建多層次的文化培育機制。在制度宣貫層面,制定年度內(nèi)控培訓(xùn)計劃�����,針對不同崗位層級設(shè)計培訓(xùn)課程���。
在組織保障方面���,需建立權(quán)責清晰的內(nèi)控管理組織架構(gòu)。同時�,企業(yè)應(yīng)加強內(nèi)控人才隊伍建設(shè),為內(nèi)控體系的持續(xù)優(yōu)化提供人力保障�����。
1.分層培訓(xùn)實施方案
高管層(每年2次):(1)必修課程:《薩班斯法案與企業(yè)刑事責任》《重大風險應(yīng)急演練》�;(2)考核方式:模擬董事會風險決策答辯。
基層員工(季度培訓(xùn)):(1)開發(fā)《內(nèi)控微課堂》系列動畫(每集5分鐘)���,講解“費用報銷七步合規(guī)法”等實操要點���;(2)設(shè)置“合規(guī)闖關(guān)”在線測試,80分以上方可獲得業(yè)務(wù)操作權(quán)限�����。
2.組織架構(gòu)搭建指南
內(nèi)控領(lǐng)導(dǎo)小組:(1)組成:董事長(組長)、財務(wù)總監(jiān)���、審計總監(jiān)�、法務(wù)負責人����;(2)例會:每月召開風險研判會,需形成《決策事項跟蹤表》���,明確3項以上具體管控措施��。
人才培養(yǎng)計劃:(1)實施“3+1”培養(yǎng)模式:3年業(yè)務(wù)輪崗+1年內(nèi)控專職鍛煉���;(2)建立內(nèi)控人才庫,入庫標準:通過CIA考試/主導(dǎo)過2個以上流程優(yōu)化項目��。
從合規(guī)底線到戰(zhàn)略賦能��,企業(yè)內(nèi)控管理體系的建設(shè)與完善�,本質(zhì)上是治理能力現(xiàn)代化的系統(tǒng)性工程���。在穿透式監(jiān)管與數(shù)字化轉(zhuǎn)型的雙重驅(qū)動下��,唯有將政策要求轉(zhuǎn)化為可落地的管理機制�����,把技術(shù)工具融入業(yè)務(wù)流程的神經(jīng)末梢����,讓風險意識滲透到組織運行的每個細胞,才能構(gòu)建起“制度剛性約束�����、流程智能管控�����、風險動態(tài)預(yù)警”的立體化內(nèi)控體系��。
未來���,隨著全球商業(yè)環(huán)境的持續(xù)變革和ISO37301合規(guī)管理體系等國際標準與新興技術(shù)的深化應(yīng)用��,企業(yè)需以更開放的視野推動內(nèi)控體系與戰(zhàn)略目標�、業(yè)務(wù)創(chuàng)新的深度耦合,在制度設(shè)計中預(yù)留技術(shù)迭代接口��,在流程優(yōu)化中嵌入風險預(yù)判功能���,使內(nèi)控管理真正成為企業(yè)識別機遇���、駕馭風險、實現(xiàn)可持續(xù)發(fā)展的核心支撐力�����。
