在全球经济格局深度调整、国内监管环境日益严苛的当下,企业面临的经营风险呈现出复杂化、动态化的特征。从国资委持续强化穿透式监管要求,到资本市场对财务合规的严格审查,内控管理已从传统的合规性保障机制,升级为企业抵御风险、实现可持续发展的核心竞争力要素。
2025年《中央企业内部控制体系建设与监督工作要点》的出台,标志着监管层对企业内控体系的要求从“制度完善”转向“效能提升”,迫切需要企业构建覆盖全业务链条、具备智能防控能力的现代化内控管理体系。
本文结合政策导向与理论框架,从体系架构、风险管控、技术赋能、监督机制等维度,深入剖析企业内控管理体系建设与完善的关键要点。并基于COSO框架与监管实践,从体系搭建到技术落地、从风险管控到文化培育,提供全流程操作指南,助力企业构建“看得懂、学得会、用得上”的内控管理体系。
一、政策导向与体系架构的协同升级
2025年国资委发布的《关于做好2025年中央企业内部控制体系建设与监督工作有关事项的通知》明确提出,以穿透式监管为主线,推动内控体系向智能化、全链条管控转型。这一政策要求企业构建覆盖“全级次、全链条、全过程、全要素”的风险防控机制,尤其强调对三级以下子企业的穿透监督,通过建立集团总部与基层单位的直联监管通道,消除传统管控模式下因管理层级过多导致的信息衰减和监管盲区。在此背景下,企业需以COSO内部控制框架为理论基石,将控制环境、风险评估、控制活动、信息与沟通、监督五大要素与穿透式监管要求深度融合。在控制环境层面,需优化集团管控体制,明确董事会作为内控体系建设的第一责任人,建立“管理制度化、制度流程化、流程信息化”的治理理念。
1.穿透式监管落地路径
建立三级穿透机制:集团总部通过数据中台直联三级子企业核心业务系统,每周自动抓取采购审批、资金支付等20项关键指标,设置“红橙黄”三色预警阈值(如单笔付款超500万自动触发总部复核)。
编制《子企业监管白名单》:对三级以下企业按资产规模、业务复杂度分类,实施“重点企业月度飞检+一般企业季度数据核查”机制,配套开发移动检查APP实现现场问题实时上传。
2.COSO框架本土化实施
控制环境构建:(1)董事会下设内控委员会,每季度召开风险专题会,审议《重大风险应对预案》时需附详细成本效益分析;(2)制定《制度-流程-系统映射表》,例如将《财务报销制度》第五条“费用审批权限”转化为OA系统中“部门负责人-分管领导-财务总监”三级电子审批流。
二、风险评估与控制活动的精准落地
风险评估作为内控体系的核心环节,需要企业建立动态化、场景化的风险识别机制。控制活动的设计需严格遵循“不相容职务分离”和“授权审批控制”原则。
1.动态风险评估操作手册
建立三维风险数据库:(1)业务维度:梳理投资并购等8大领域32个风险场景(如并购中的“或有负债风险”);(2)工具维度:对每个场景配置压力测试模板(如宏观经济波动测试需输入GDP增速、利率等5个变量);(3)频率维度:明确季度常规评估、半年度情景模拟、年度全面评审的操作清单。
2.控制活动标准化执行
不相容职务分离实操:(1)采购业务实施“三岗互锁”:需求岗不得参与供应商评审,采购岗不得操作付款审批,验收岗需独立于前两岗;(2)系统层面设置权限互斥规则:同一用户不得同时拥有销售订单创建与发货确认权限。
三、信息化赋能与穿透式监管的深度融合
数字化转型是提升内控效能的关键抓手,国资委明确要求企业将内控措施嵌入业务信息系统,实现“三重一大”决策、资金支付等活动的自动识别与终止。在前沿技术应用层面,企业可探索大数据分析、人工智能等工具的场景化落地。
1.业财一体化平台搭建步骤
数据中台建设:(1)第一阶段(1-3月):集成ERP系统财务数据与OA系统审批数据,实现“审批-核算”数据穿透;(2)第二阶段(4-6月):接入供应链系统采购数据,建立“采购申请-合同-付款”全链条追踪模型。
智能风控模块开发:(1)资金监控:设置“三不支付”规则(发票未验真不支付、验收单未电子签章不支付、预算超支10%不支付);(2)合同审核:运用NLP技术自动识别12类风险条款(如“无条件退款”“独家授权”等),生成《条款风险等级表》。
2.区块链应用场景
供应链金融领域:构建联盟链实现“四流合一”存证。(1)物流:通过IoT设备采集运输轨迹数据上链;(2)商流:合同文本哈希值存储于区块;(3)资金流:银行流水与发票信息智能比对上链;(4)信息流:订单变更记录实时同步链上节点。
四、监督评价与缺陷整改的闭环管理
监督评价作为内控体系持续优化的保障机制,需要企业建立“自评+集团监督+外部审计”的三级评价体系。
缺陷整改需构建“责任追溯-措施落实-效果验证”的闭环管理机制。
1.三级评价实施细则
子企业自评:(1)每月5日前提交《风险监测简报》,需包含“风险指标变动率”“控制活动执行率”等6项量化指标;(2)每季度开展穿行测试,抽取不少于5%的业务样本(最低不低于20笔)。
集团监督:(1)现场检查采用“双随机”机制:随机抽取检查人员(不少于3人)、随机抽取5%的会计凭证;(2)检查报告需附《问题整改责任矩阵表》,明确整改部门、配合部门的具体职责。
2.缺陷整改操作
在责任追溯环节,应建立问题台账,明确整改责任部门、责任人和整改时限,将整改任务纳入部门绩效考核指标;措施落实阶段,需制定具体的整改方案,涉及制度修订的应在30日内完成制度更新,涉及流程优化的需在60日内完成流程再造;效果验证环节,应通过抽样测试、数据比对等方式检验整改成效,对整改不到位的问题实施“二次整改”,并对相关责任人进行问责,问责措施包括绩效奖金扣减、岗位调整直至免职等。对于境外业务,应特别建立跨境资金流动监测机制,通过司库系统实时监控境外账户收支情况,设置汇率波动风险预警指标,防范跨境资金运作风险。
五、文化培育与组织保障的长效机制
内控体系的有效运行依赖全员风险意识的提升,企业应构建多层次的文化培育机制。在制度宣贯层面,制定年度内控培训计划,针对不同岗位层级设计培训课程。
在组织保障方面,需建立权责清晰的内控管理组织架构。同时,企业应加强内控人才队伍建设,为内控体系的持续优化提供人力保障。
1.分层培训实施方案
高管层(每年2次):(1)必修课程:《萨班斯法案与企业刑事责任》《重大风险应急演练》;(2)考核方式:模拟董事会风险决策答辩。
基层员工(季度培训):(1)开发《内控微课堂》系列动画(每集5分钟),讲解“费用报销七步合规法”等实操要点;(2)设置“合规闯关”在线测试,80分以上方可获得业务操作权限。
2.组织架构搭建指南
内控领导小组:(1)组成:董事长(组长)、财务总监、审计总监、法务负责人;(2)例会:每月召开风险研判会,需形成《决策事项跟踪表》,明确3项以上具体管控措施。
人才培养计划:(1)实施“3+1”培养模式:3年业务轮岗+1年内控专职锻炼;(2)建立内控人才库,入库标准:通过CIA考试/主导过2个以上流程优化项目。
从合规底线到战略赋能,企业内控管理体系的建设与完善,本质上是治理能力现代化的系统性工程。在穿透式监管与数字化转型的双重驱动下,唯有将政策要求转化为可落地的管理机制,把技术工具融入业务流程的神经末梢,让风险意识渗透到组织运行的每个细胞,才能构建起“制度刚性约束、流程智能管控、风险动态预警”的立体化内控体系。
未来,随着全球商业环境的持续变革和ISO37301合规管理体系等国际标准与新兴技术的深化应用,企业需以更开放的视野推动内控体系与战略目标、业务创新的深度耦合,在制度设计中预留技术迭代接口,在流程优化中嵌入风险预判功能,使内控管理真正成为企业识别机遇、驾驭风险、实现可持续发展的核心支撑力。
