背景说明：

实务中经常会遇到企业质疑，我们原来企业的制度建设工作做得很好，有ISO体系文件、制度汇编等手册，我们的这些制度文件是不是内控？为什么一定要编制一本内部控制手册？内部控制手册如果与制度文件不一致，我们怎么执行？

我的建议：

这些问题的实质就是对管理制度与内部控制，以及制度手册与内部控制手册关系的理解问题。

一、什么是管理制度

对于“管理制度”这个概念，似乎并没有权威的学术定义。从法律层面上看，我国公司法规定：公司董事会负责制定公司的基本管理制度；经理负责拟订公司的基本管理制度以及制定公司的具体规章。但是，对于哪些属于基本管理制度，哪些属于具体规章，公司法本身也没有给出明确的定义。

ISO质量管理体系将文件分为四级，即一级为质量手册类，二级为制度类，三级为作业指引类（流程），四级为使用表格类。这种分类符合我们经常提到的“管理制度化、制度流程化、流程表单化”的逻辑。因此，从实务角度看，管理制度可以有广义和狭义两种理解，即广义的管理制度是包括制度、流程和表单在内的管理规范的总和，而狭义的管理制度仅包括其中的制度文件。

二、什么是内部控制

关于内部控制我们有三个权威定义：

《内部控制——整合框架（2013）》：内部控制是一个由主体的董事会、管理层和其他员工实施的，旨在为实现运营、报告和合规目标提供合理保证的过程。

《企业内部控制基本规范》第三条本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

《行政事业单位内部控制规范（试行）》第三条：本规范所称内部控制，是指单位为实现控制目标，通过制定制度、实施措施和执行程序，对经济活动的风险进行防范和管控。

COSO强调内控是一个过程（Process），并且进一步将其解释为“政策及流程手册、系统和表单（policy and procedure manuals, systems, and forms）”。基本规范在内部控制的概念上沿用了COSO的定义。而行政事业单位内控规范也说明内控是需要嵌入到制度、措施和程序中去的。

从上述内部控制定义中，我们也可以得出结论，内部控制是通过制度、流程和表单体现出来的。

《关于印发企业内部控制规范体系实施中相关问题解释第1号的通知》第7条是如此表述内控与管理的关系：“企业应当立足管理现状，全面梳理各项管理制度和管理体系，从管理体制、机制以及落实各级权利责任等方面，将内部控制的要求融入各项管理体系中，形成内部控制的长效机制，使内部控制真正为经营管理服务。”因此，真正的内控是要以“润物细无声”的方式融入管理体系，即融入管理制度、流程和表单中去。

三、对内部控制建设成果的反思

1、现状

在实务中，一提到内部控制建设成果，大家马上就会联想到《内部控制手册》，其主要内容包括流程图和风险控制矩阵等。鉴于流程图在企业管理制度中本来就有体现，因此，内部控制手册的核心在于风险控制矩阵。

风险控制矩阵（Risk and ControlMatrix）就是将管理制度中涉及的风险和对应的内部控制进行汇总，以发现控制缺陷的一种矩阵表格（常见表现形式为EXCEL表格）。使用风险控制矩阵的目的是为了明确公司所面临的风险以及明确针对风险的现有内部控制。

每家企业或中介机构设计的风险控制矩阵可能都略有差异，但大多包括：风险编号、风险描述、控制编号、现有控制措施、控制类型、控制频率等字段。什么样的活动算是控制措施呢？依据《企业内部控制规范》，控制措施包括：不相容职责分离，授权审批，会计系统，财产保护，预算，运营分析和绩效考核等。

我们来看两段流程步骤描述：

A、计划财务部步骤对会计科目增加/删除/冻结申请进行审核，主要审核会计科目申请的必要性，以及是否与会计准则的要求相符合，审核通过后在《会计科目维护申请表》上签字确认。

B、每月结账前，计划财务部会计根据审核签字并盖章后的《电量计量单》和《电费计算单》在ERP系统财务模块的应收账款模块中进行相应会计处理并制作相应凭证。

按照《企业内部控制规范》对控制措施的定义，描述A属于控制措施，应当列入风险控制矩阵；描述B只描述流程步骤，不具有控制风险的作用，因此不会列入风险控制矩阵中。

由此我们可以得出一个结论，即风险控制矩阵中只将流程中具有控制风险作用的有限步骤列入，因此其对流程的描述是不完整的。这就解释了一个实务问题：为什么企业经常抱怨内部控制手册的实用性非常差？其核心问题就在于此，即内部控制手册不是一个完整的过程描述。从本源上看，内部控制手册更多是为审计师准备的检索手册，而不是为企业员工准备的操作手册。因此，即使内部控制手册编制得很完美，企业员工也无法照章办事。

2、反思

不管是COSO还是我国的内控规范都没有规定内部控制的建设成果就是《内部控制手册》。但是，实务中为什么会形成内控建设成果等于内部控制手册的概念呢？

笔者猜度，由于萨班斯法案后，上市公司需要进行内控审计，审计师在审计时需要一个工具来快速识别控制缺陷，就设计了风险控制矩阵。而后，最早开始大规模为企业提供内控建设咨询服务的又恰恰是会计师事务所，所以以风险控制矩阵作为内部控制建设成果的误会就由此产生。

从上述内部控制的定义分析中，我们可以得出结论：真正的内部控制建设应该是将内部控制的要求融入各项管理体系中。

从实务角度看，企业永远只有一套管理体系。内部控制建设不是另起炉灶，而是对原有的管理体系进行优化并使之满足内部控制规范的要求。因此，内部控制手册与内部控制建设之间没有必然的联系。

3、建议

首先，内部控制建设需要讲究成本效益原则和实用性原则，不必拘泥于出具《内部控制手册》这个形式，而是需要以建设目标为核心，以风险导向为原则，解决企业控制不足的问题。比如，对于IPO企业来讲，其内控建设就是以财务报告目标为核心，通过分析报表科目认定及其错报风险，重点解决收入确认、成本核算和关联交易等核心问题，其具体工作成果可以依靠制定一些管理制度、流程和表单来体现。在实务中我们经常会发现许多拟IPO企业的一线操作人员其文化程度不是很高，对于他们来说，一份设计完备的表单的控制执行效果远比一本厚厚的内部控制手册更有效。

其次，要善用内部控制手册。内部控制手册主要用户是审计师，对于企业来讲要充分发挥内部控制手册的作用，就必须把内部控制手册中的控制点更新到企业原有的制度流程文件中去。当然，为了强调这些控制活动，可以将这些风险控制措施以划线和标编号的方式凸显出来。这才是COSO所要求的“build-in”到管理中的内控。参见《原创｜内控百问百答（3）：为什么内控手册的实用性辣么差？》