一、规章制度与内控制度的关系
企业规章制度体系与内控制度体系是企业管理中相互关联、密不可分却又各有侧重的两大核心体系,二者既存在重叠交叉,又有着明确的边界和不同的核心目标,共同为企业规范运营、防范风险、实现战略目标提供保障。
1、规章制度与内控制度的相同点
二者的相同点主要体现在三个方面:一是制定目的具有一致性,均旨在规范企业内部管理行为,明确各岗位权责,减少管理混乱和人为失误,保障企业运营的有序性和稳定性。二是实施范围具有重叠性,两者都覆盖企业生产经营、财务管理、人力资源、行政办公等各个业务环节,涉及企业全体员工和各个部门,贯穿企业运营的全过程。三是执行要求具有共通性,无论是规章制度还是内控制度,都需要通过明确的流程、清晰的要求落地执行,且都需要配套相应的监督、考核机制,确保制度不流于形式。
2、规章制度与内控制度的差异性
二者的差异则更为突出,核心区别在于定位和侧重点不同:规章制度体系是企业管理的“总纲”,是企业所有管理行为的基础准则,侧重“规范行为、明确要求”,涵盖企业运营的方方面面,小到员工考勤、办公用品管理,大到业务流程规范、奖惩机制,其核心是“有章可循”,解决的是企业“怎么做”的问题,具有普遍性和全面性。
而内控制度体系是企业风险防控的“防火墙”,侧重“防范风险、保障合规”,核心是围绕企业核心业务和关键环节,通过制定制衡机制、监督流程,防范财务风险、运营风险、合规风险等,确保企业资产安全、财务报告真实、经营活动合法合规,其核心是“风险可控”,解决的是企业“如何安全做”的问题,具有针对性和防护性。
从二者的关系来看,内控制度体系是规章制度体系的重要组成部分,是规章制度体系中针对风险防控的专项延伸和细化,很多内控制度本身就是规章制度的具体体现。同时,规章制度体系为内控制度体系的落地提供了基础支撑,内控制度的执行需要依托规章制度明确的权责划分和流程规范,没有完善的规章制度体系,内控制度也难以有效落地。反之,内控制度体系的完善也会推动规章制度体系的优化升级,促使企业在制定规章制度时更加注重风险防控,让整个管理体系更加科学、严谨,二者相辅相成、协同发力,共同构成企业规范管理、健康发展的重要保障。
二、规章制度与内控制度整合的必然要求
在国企深化内控合规管理、推进中国特色现代企业制度建设的背景下,实现规章制度与内控制度的整合是必然选择,更是国企规范治理、防范风险、实现高质量发展的核心举措。国企作为国民经济的重要支柱,受国资监管部门严格监管,既要落实《中央企业合规管理办法》、《关于加强中央企业内部控制体系建设与监督工作的实施意见》等政策要求,又要通过健全制度保障国有资产保值增值,而两套并行的制度体系只会造成管理内耗、执行混乱,违背“管理制度化、制度流程化”的管控理念。
规章制度是国企运营的基础准则,覆盖全员全流程,明确岗位权责与行为规范,一般以组织功能分析来确定规章制度是否实现了全覆盖。内控制度是风险防控的核心载体,聚焦重点领域风险,强化流程制衡与监督约束,一般以内控十八项指引来确定内控制度是否满足内控要求。二者本质目标一致、实施范围重叠,整合具有天然可行性。
规章制度与内控制度的整合并非简单叠加,而是要实现“一套制度、双重遵循”,既满足内控制度“强内控、防风险、促合规”的核心要求,嵌入风险防控节点与制衡机制,防范财务、运营、合规等各类风险,又兼顾规章制度的全面性与规范性,将合规要求、权责划分、操作标准融入其中,解决以往制度交叉、冲突、空白等问题。
这种整合既能避免重复建设、提升管理效能,又能确保制度执行的统一性与刚性,让内控要求落地为具体行为规范,让规章制度契合风险防控导向,最终实现内控合规与日常管理的深度融合,为国企合规经营、稳健发展筑牢制度根基,助力国企向世界一流企业迈进。
三、在规章制度基础上打造内控制度的基本步骤与方法
1、在规章制度框架基础上补充缺失的内控制度清单,使之满足内控管理的要求
在国企内控合规管理体系整合过程中,以现有规章制度框架为基础,补充缺失内控制度、实现二者深度融合,是兼顾经营管理与内控管理双重需求的关键路径,更是确保制度体系统一性、实用性的核心举措。此前搭建的规章制度体系,核心是通过“组织功能‘锚定’方法”设计而成,该方法以企业组织架构、岗位权责为核心,明确各部门、各岗位的核心职能,进而梳理形成覆盖经营管理全流程的规章制度目录清单,其核心目标是规范日常运营、明确行为准则,为企业高效运转提供基础支撑。
示例:规章制度的“组织功能锚定法”
但仅依靠“组织功能‘锚定’”形成的规章制度清单,难以完全满足内控管理的刚性要求,这就需要引入内控十八项指引的“锚定”方法,对现有制度清单进行全面检核。
内控十八项指引涵盖资金活动、采购业务、销售业务、资产管理等企业核心业务领域,聚焦风险防控的关键节点,其“锚定”方法核心是围绕各类风险点,反向排查制度是否存在覆盖盲区、流程是否缺乏制衡、权责是否存在缺失,精准识别现有规章制度中无法匹配内控要求的薄弱环节。
示例:内控制度的“十八项指引锚定法”
检核过程中,需重点关注现有制度与内控十八项指引的契合度,对未覆盖的内控要点、缺失的风险防控条款进行补充完善。例如,若现有规章制度中未明确资金支付的审批流程与制衡机制,需结合资金活动内控指引,补充资金支付分级审批、不相容岗位分离等相关条款。若缺乏资产管理相关制度,需依据资产管理指引,完善资产采购、入库、领用、处置等全流程制度规范。
补充完善并非独立新增内控制度,而是将缺失的内控制度有机嵌入原有的规章制度清单中国,实现“一套制度、双重适配”。通过这种方式,既保留了原有规章制度基于组织功能设计的合理性,确保制度贴合企业经营管理实际,又通过补充内控制度,满足内控管理对风险防控、流程制衡的要求,彻底解决两套制度并行的管理内耗问题,最终形成既符合日常经营管理需求、又满足内控合规要求的统一制度清单,为企业规范运营、防范风险筑牢制度根基。
2、嵌入风险控制措施,推动规章制度向内控制度升级转化
在国企内控合规管理体系整合过程中,将风险控制矩阵中的控制措施嵌入现有规章制度,是实现规章制度向内控制度升级转化的核心环节,更是把内控风险防控要求落地生根、融入日常经营管理的关键举措。
此前,我们已基于企业经营实际梳理形成内控风险清单,明确了各业务环节、各岗位存在的财务风险、运营风险、合规风险等各类风险点,进而构建了风险控制矩阵——该矩阵清晰界定了每一项风险的等级、责任主体、防控目标,更核心的是明确了针对性的控制措施,为风险防控提供了可落地、可执行的具体路径。
推动规章制度向内控制度升级,并非否定原有规章制度的价值,而是以风险控制矩阵为抓手,将分散的、针对性的控制措施,系统嵌入到已有的规章制度条款中,实现“制度有管控、管控有抓手”。嵌入过程需坚持“精准匹配、全面覆盖、贴合实际”的原则,首先对照风险控制矩阵,明确每一项控制措施对应的规章制度及具体条款,确保控制措施与制度内容高度契合,不脱离企业经营管理实际。其次,打破原有规章制度“重规范、轻防控”的局限,将控制措施细化为具体的操作要求、流程规范和责任界定,让每一项规章制度都明确包含内控风险控制的具体要求、实施方式和责任主体,结合国企常见业务场景。
示例:某企业风险控制矩阵
例如,在国企采购业务相关规章制度中,结合内控风险清单中“采购环节舞弊、采购物资质量不达标、采购成本失控”等风险点,将风险控制矩阵中对应的控制措施精准嵌入。明确要求采购前需完成预算审批及可行性论证,供应商准入需经过资质审核、实地考察、信用评估等多环节筛查,建立合格供应商名录并动态更新;采购过程中需采用公开招标、竞争性谈判等合规方式,严禁暗箱操作,全程留存采购记录备查;采购验收环节需由使用部门、审计部门、采购部门三方联合验收,核对物资规格、数量、质量与合同一致后签署验收单,明确各部门在验收环节的权责,杜绝不合格物资入库。
再如,在国企固定资产管理规章制度中,针对“固定资产流失、闲置浪费、折旧核算不规范”等风险,嵌入风险控制矩阵中的管控措施,细化固定资产采购审批流程、入库登记规范,明确资产领用、调拨、处置的审批权限及流程,要求定期开展固定资产清查盘点,建立资产台账并实时更新,规范折旧计提标准及核算流程,确保每一项固定资产都有明确的管理责任人,实现从采购到处置的全流程内控管控。
通过这种嵌入式升级,既能保留原有规章制度的规范性和实用性,又能赋予其内控风险防控的核心功能,确保每一项规章制度都具备风险防控的具体要求,实现规章制度与内控制度的深度融合。最终,让日常经营管理的每一个环节都有内控要求约束,每一项制度执行都有风险控制支撑,真正实现规章制度向内控制度的升级转化,筑牢企业内控合规防线。
3、建设内控风险制度索引,实现内控与规章制度无缝衔接
建设内控风险的制度索引,绘制内控风险控制制度落实图,是打通内控体系与规章制度体系壁垒、实现二者无缝连接的关键抓手,更是确保内控措施落地见效、提升制度执行效能的重要保障。
在前期完成规章制度与内控制度整合、嵌入风险控制措施后,搭建制度索引能解决“内控要求在哪找、制度条款对应哪项风险”的核心痛点,让内控管理从“有制度”向“能落地、可追溯”转变。
制度索引的核心构建逻辑,是围绕已梳理的内控风险清单,在每个风险点后精准标注对应的内控措施,明确该措施具体落实到现有规章制度的具体章节、条款,实现“风险点—控制措施—制度条款”的一一对应。在此基础上,整合形成内控风险控制制度落实图,以可视化形式呈现风险分布、控制措施及制度依据,清晰展现每一项内控要求的落地载体。
示例:某企业内部控制制度化索引
这一举措能切实解决内控与规章制度“两张皮”问题,确保逻辑自洽:一方面,索引为内控风险防控提供了明确的制度指引,相关岗位可快速通过风险点找到对应制度条款,明确操作规范。另一方面,通过反向关联,可检验规章制度中内控措施的完整性,及时发现未匹配风险点的制度盲区。最终,让内控体系的风险防控要求与规章制度的日常管理规范深度融合,实现无缝衔接,为企业内控合规管理提供可追溯、可核查的支撑,筑牢风险防控根基。
