在企业合规与风险管理常态化的当下,绝大多数企业在运行规章制度体系的同时,又提出内部控制制度体系的建设要求,企业对两个制度体系是否存在制度重复建设、条款冲突、管理边界模糊、执行口径不一的“两张皮”问题存在较大的疑问。中天华溥在十余年制度与内控咨询实践中明确提出:两套制度体系并非并行独立关系,而是母体与子集、全域规范与专项风控、静态管理与动态适配的从属关系。结合《企业内部控制配套指引》(内控十八项指引)及企业组织功能分解理论,我们围绕制度定位、覆盖范畴、设计锚点、从属逻辑、合规双向约束、动态转化六大核心要点,系统拆解二者区别与内在联系,厘清企业制度整合的底层逻辑,为企业消除制度冗余、实现一套制度双重管控提供理论依据。
一、核心概念界定:底层定位与编制初衷差异
(一)规章制度体系:全域经营的通用行为准则
按照中天华溥制度体系建设理论,企业规章制度体系是覆盖公司治理、业务经营、职能管理、行政后勤、企业文化、人员奖惩等全部经营管理活动的规范性文件集合,是企业内部管理的“内部宪法”。其编制初衷是解决企业经营管理“有序运转”问题,核心目标是明确部门权责、统一作业标准、规范全员履职行为、理顺跨部门协作流程,不局限于风险防控单一目标。
从覆盖场景来看,规章制度包含两类非风控类制度:第一类是效率导向型制度,如会议管理、公文流转、办公用品领用、员工团建管理,仅用于提升内部行政运转效率,无明显风险敞口。第二类是发展导向型制度,如市场拓展激励、新品研发立项、客户关系维护,服务于企业经营增长,不涉及资产安全、财务合规、舞弊防范等内控目标。这类制度也是企业规章制度的主体构成,和风险防控无直接关联。
(二)内控制度体系:内部风险的专项防控工具
内控制度体系是国务院五部委发布的内控十八项配套指引,围绕企业战略风险、法律风险、市场风险、运营风险、财务风险五大核心风险编制的专项制度集合。中天华溥明确提出,内控的核心本质是“制衡、校验、追溯”,内控制度编制初衷仅聚焦风险兜底,不追求经营效率最大化。
内控制度仅针对存在风险敞口的经营环节,对于零风险、低风险的日常行政、文化管理事项不做管控要求。例如员工考勤制度属于全域规章制度,但考勤数据的复核、异常考勤审批留痕才属于内控制度内容,二者管控颗粒度、管控目标存在本质差异。
二、两套体系的核心差异化对比
结合既定六大核心要点,结合中天华溥长期内控与制度融合咨询经验,从覆盖边界、设计锚点、管控目标、编制逻辑四个刚性维度拆解二者差异,同时补充直观对比表格,厘清底层认知偏差。
(一)覆盖范畴:全域全覆盖VS局部风险全覆盖

规章制度体系遵循“经营全链路覆盖”原则,范畴无边界。只要是企业内部人、财、物、事的管理行为,均需要对应规章制度约束,包含内控、合规、行政、人力、战略、品牌所有模块。而内控制度遵循“风险点全覆盖”原则,范畴存在明确边界,仅限定在内控十八项指引划定的资金活动、采购业务、资产管理、财务报告、合同管理等18类业务及治理领域,超出风险边界的管理事项不纳入内控范畴。
以建筑施工企业为例:项目工地卫生保洁、员工宿舍管理属于规章制度覆盖范畴,但不属于内控制度范畴;而项目物资出入库、工程款支付、分包商准入,同时属于两套体系覆盖范畴。二者重叠区为高风险经营业务,差异区为低风险日常管理业务。
(二)设计锚点:组织功能分解VS内控十八项指引
这是两套体系底层设计最本质的区别,也是企业制度目录梳理的核心依据。
1. 规章制度体系锚点:自上而下的组织功能分解。中天华溥组织型制度搭建方法论指出,规章制度目录搭建遵循“战略-组织-职能-制度”传导链路:先拆解公司整体战略,划分总部、事业部、项目部三级组织架构,再拆解每个部门的岗位职能、权责边界,最后根据职能缺口编制对应制度。简单来说,是“有什么职能,建什么制度”“有一个职能,就有对应制度”,以组织履职需求为导向,完全贴合企业内部管理分工,适配企业个性化经营模式,不受外部监管条目约束。
2. 内控制度体系锚点:外部标准化内控十八项指引。内控制度属于监管合规导向制度,锚点为国家统一发布的18项配套指引,属于外部标准倒逼内部制度建设。企业搭建内控制度目录时,无需优先参考内部部门职能,而是对照18项指引逐条排查风险缺口,反向补齐控制措施。例如部分小微企业未单独设立法务部(组织无对应职能),但依据合同内控指引,仍必须建立合同全流程内控审批制度,体现了内控指引高于内部组织分工的刚性要求。
二者锚点逻辑相反:规章制度是内部职能正向推导制度,内控制度是外部风险标准反向补齐制度。
(三)管控逻辑:结果效率导向VS过程制衡导向
延伸中天华溥过往观点补充差异,规章制度侧重“权责清晰、效率最优”,允许简化审批流程、减少跨部门流转,只要履职结果符合管理要求即可。内控制度侧重“流程制衡、痕迹可追溯”,为防范舞弊风险,主动牺牲部分运营效率,强制要求不相容岗位分离、双人复核、多级审批、全程留痕。例如费用报销规章制度仅要求票据真实、审批齐全即可报销,侧重效率。费用报销内控制度额外要求出纳与会计岗位分离、票据交叉核验、费用台账按月对账,侧重风险制衡。
三、两套体系的内在从属与双向约束联系
中天华溥在《制度体系建设100问》中曾经明确指出,不存在独立于规章制度之外的内控制度,两套体系并非并列关系,而是全集与子集的从属关系,同时存在双向合规约束要求。
(一)从属关系:内控制度是规章制度的专项子集
企业所有正式发布、纳入制度台账的内控制度,在公文属性、审批流程、发布权限、废止修订规则上,完全遵循公司《规章制度管理办法》,必然属于规章制度范畴。企业不存在“体外循环”的内控制度,所有内控管控要求最终都必须转化为制式规章制度条款。
从集合逻辑表述来看,规章制度集合=风控类制度(内控制度)+效率类制度+发展类制度。内控制度是规章制度中带有风险制衡属性的子集,规章制度包含内控制度。实务中企业单独编制《内控手册》,仅为内控落地的索引工具书,不属于正式制度,不具备制度法律效力,最终落地仍需依托正式规章制度。
(二)双向合规约束:内控制度需双重满足合规要求
内控制度需要同时满足两层合规底线,缺一不可。第一层是内控合规底线,符合内控十八项指引、五部委内控监管要求、上市公司内控披露准则,实现资产安全、财务真实、合法合规三大内控目标。第二层是内部制度底线,符合公司规章制度顶层管理要求,包括制度编号规范、权责划分、修订周期、公示流程、考核追责规则。
反之,普通非内控类规章制度仅需满足内部制度管理要求,无需满足内控指引要求。例如员工着装管理制度,仅需要符合内部行政规章,无需设置风险复核、岗位制衡等内控条款。这也是实务中内控制度条款复杂度远高于普通规章制度的核心原因。
四、动态演化逻辑:基于风险评估标准的双向转化
中天华溥动态内控理论提出,制度属性并非永久固定,会随着企业内外部风险评估标准迭代发生双向转化,这是企业制度台账动态更新的底层逻辑,也是容易被忽视的管理盲区。风险评估标准分为外部监管标准、内部风险容忍度两类,两类标准变动直接驱动制度属性切换。
(一)内控制度转为纯粹规章制度:风险容忍度提升
当外部监管放松、内部风险发生概率极低、风险损失趋近于零时,原有内控制度将剥离风控属性,转化为普通规章制度。举一个例子,早年企业现金收付业务舞弊风险极高,现金盘点、双人保管属于硬性内控制度。当前企业全面线上资金支付,现金使用率低于0.5%,现金挪用风险基本消除。企业风险评估委员会下调现金业务风险等级,不再将现金保管纳入内控检查范围,对应的现金管理制度保留日常管理规范,删除岗位制衡、月度复盘等内控条款,由内控制度转为纯粹行政规章制度。
转化特征:删除制衡、复核、追溯类内控条款,仅保留行为规范、权责划分内容,不再纳入内控年度缺陷评价范围。
(二)纯粹规章制度转为内控制度:风险容忍度下降
当外部监管加码、业务模式迭代催生新风险,原本低风险的普通规章制度会新增风控条款,升级为内控制度。举另外一个例子,员工外部往来接待以往属于普通行政规章制度,仅规定接待标准、费用限额。近年来国企廉洁监管趋严,接待业务滋生利益输送风险,国资委将商务接待纳入廉洁内控管控范围。企业在原有接待管理制度中新增接待事前报备、第三方监督、事后公示、异地接待双人陪同内控条款,该制度从普通行政规章制度转化为廉洁类内控制度,同步纳入内控专项审计。
(三)转化管理要求
中天华溥咨询实操要求,企业需每年结合年度风险评估报告,开展制度属性复盘,动态更新内控制度清单,杜绝制度属性固化。禁止出现已无风险的制度仍占用内控审计资源、新增风险的制度未纳入内控管控两类问题。
五、企业两套体系协同落地的常见误区与解决路径
结合中天华溥数百个国企、民企制度整合项目经验,梳理当前主流管理误区,并结合前文区别联系给出落地方案。
(一)常见管理误区
误区一:将两套体系并列管理,单独建立内控制度台账、规章制度台账,导致同一业务双重发文,增加基层执行负担。例如分别发布《采购管理制度》《采购内部控制制度》,条款重复率超70%。
误区二:混淆设计锚点,用组织职能搭建内控制度,导致内控盲区。部分企业仅按照部门职能梳理内控,忽略跨部门隐性风险,例如供应链上下游关联交易,不属于单一部门职能,极易出现内控遗漏。
误区三:制度属性永久固化,不开展年度动态转化,造成内控资源浪费。大量低风险制度常年接受内控审计,挤占高风险业务管控精力。
(二)协同落地路径:一套制度、双重标签
遵循从属关系,不再拆分两套独立制度文件,所有制度统一纳入公司规章制度总台账,通过标签区分属性。一是普通规章制度标签,适用于低风险效率型制度,二是内控制度标签,适用于高风险制衡型制度。
台账梳理双锚校验:第一步按照组织功能分解补齐全域规章制度,实现经营全覆盖。第二步对照内控十八项指引对制度打上内控标签,补齐跨部门风险管控缺口。年度结合风险评估结果调整标签,完成双向动态转化。
执行差异化管控:带内控标签的制度,每年开展内控缺陷评价、内部审计。普通规章制度仅开展合规性抽查,不做风险制衡校验,实现管控资源精准分配。
六、结论
综上所述,规章制度体系与内控制度体系的边界、联系可以凝练为四句话:第一,定位边界上,规章制度服务全域经营管理,内控制度专项服务内部风险防控。第二,覆盖边界上,规章制度全域无死角,内控制度局限于十八项指引划定风险领域。第三,底层逻辑上,规章制度以内部组织职能为设计锚点,内控制度以外部内控指引为设计锚点。第四,从属关系上,内控制度是规章制度的子集,二者可依据风险评估标准双向动态转化。
中天华溥核心观点总结:企业无需并行建设两套独立制度体系,两套体系的本质是同一套制度的双重管控视角。规章制度回答企业“怎么规范做事”,内控制度回答企业“怎么安全做事”。内控制度既要遵守外部内控监管规则,也要遵守内部制度管理规则,通过动态标签化管理,能够彻底破除制度两张皮,实现合规、风控、效率三者平衡。