一、“内控强度”是内控建设中的重要问题

第三方咨询公司在协助企业开展内部控制体系建设时，基本都是依据《内部控制指引》中的十八项指引要求，逐条根据企业所处的行业特征以及经营特点，识别风险点并建立相应的风险控制措施，这种程序与方法其实并不是很难。

但是我们在帮助企业建立内控体系时，其实遇到的最大问题倒不是风险识别与风险控制方法与手段问题，而是一个风险控制程度问题。所谓的风险控制程度，也就是说为了对存在的风险进行有效控制，防范风险的发生，到底企业需要付出多大的努力、占用企业多少资源、为了风险控制到底要付出多高的控制成本。

应该说，企业的任何经营活动都存在风险，并不存在完全无风险的经营决策活动，一个普通人走在马路上还会被路边的广告牌砸到呢，何况一个企业那么复杂的经营活动。但是如果希望通过内部控制完全规避企业存在的风险，不但是不可能的，而且即使能够做到，也会极大的占用企业的资源成本，同时还会由于无限制的风险控制，影响企业的经营决策效率，甚至会使企业失去很多的发展机会。

与内部控制不同的是，在风险管理的理念中，并不强调风险控制，而是强调风险经营，因为每一个风险的对面对应的都是机会，勇于面对风险的企业才会赢得更多的机会，风险越大收益越大。只不过我们在风险管理的理念中希望通过在“风险”与“机会”之间实现一种有效的平衡，实现风险管理的利益最大化。而这种所谓的平衡，就是本文中所讲的“内控强度”问题。

今天，我们就结合中天华溥管理咨询在内部控制体系建设中的案例经验，来详细的谈一谈，到底如何有效的设计企业的“内控强度”问题。

二、企业内控强度的整体框架

如果从通俗意义的角度来理解，内控强度就是企业在各个管理环节，针对风险活动所采取的内控措施的复杂程度，这种内控措施越复杂、越繁琐，内控强度越强，对风险的控制就越有效、风险发生的概率就越低，反之亦然。

在这个理解的基础上，中天华溥设计了影响内控强度的整体模型如下：

在上图“企业内控强度影响因素”中，可以简单的分为两个部分，红线以上为前期影响因素，红线以下为后期影响因素。

1，风险识别的范围

应该说，从之前的“财务内控”阶段发展到当今的“全面内控”阶段，风险识别的范围对于企业内控强度的影响已经不大了。所谓风险识别的范围，也就是说企业到底对公司内部的哪些领域开展有效的控制，那么这个范围的大小就影响了内控的强度。有些企业只对管理决策领域的风险控制比较关注，因此就不会去主动识别经营层面的风险，因此这类企业的内控强度就相对较低。

但是随着《全面内控指引》的官方文件发布，准备IPO的企业或者国有企业，都要根据内控十八项指引的要求逐条对照开展风险识别，因此风险识别的范围已经无形中趋于一致，只不过有些企业会在不同的决策与经营领域有所侧重，相应的影响了内控强度。

2、风险认定的标准

在风险识别的过程中，对于风险认定的标准极大的影响到企业的内控强度。一般来看，企业的风险点识别是通过风险调查问卷的方式开展的，通过下发风险调查问卷，企业内部的人员会通过打分确定，到底公司存在哪些风险点，而不同的企业文化、不同的战略导向、企业高层的倾向性，都会影响到打分的结果。

在中天华溥管理咨询集团的咨询案例中，会发现处于同一行业、规模类似的企业，在风险点的识别上差异性很大，具体表现就是识别出来的风险点数量的差异性。而从内控是针对风险的控制措施而言，风险点数量较少的企业内控强度相对较低，而风险点相对较多的企业内控强度相对较高。

3、风险评估的级别

在风险点识别后，就要开始风险评级，也就是将所有的风险点进行评级进行分类，其中重大风险需要重点控制，控制手段较强；一般风险需要一般控制，控制手段较弱。在风险评级中，虽然会有风险发生的频率与风险发生的影响程度两个评价维度，但是只要是涉及到评级，必然存在着某种人为的因素掺杂其中。

在一些企业中，重大风险的数量较少，绝大多数风险的评级较低，也就是在这些企业中风险主要集中在一般风险，并不会要求企业提供更多的控制手段，因此内控强度也就会相应的降低。需要说明的是，风险评估的级别确定，与企业所处的行业以及企业的风险文化密切相关。一个喜欢拥抱风险、利用风险创造机会的企业，往往就会放低风险评级的标准。同样，一个投资型企业与一个生产型企业相比，对待对外投资的风险认识也会是截然不同的。

4、审核链条的长短

对于风险的内部控制，其实说白了大多数是通过审核来完成了，这个观点无论你是否同意事实其实大多如此。无论是专业部门的审核、部门领导的审核、外部专家的审议论证、通过多轮试验试用的方式，其实都是对一项风险通过审核审议等来实现的风险可控。

那么审核链条的长短就明显体现出内部控制强度的高低，如果为了控制一个风险，无限制的延长审核链条，自然会无形的降低风险发生的概率，不同的审核环节会考虑到不同的风险发生的可能性，从而开展有效的控制，甚至通过终止该活动来规避风险。

5、审核级别的高低

在审核的程序中，最终审核环节所处的职务级别也有效的影响了内控强度。在一个组织内部，一般职务级别越高的员工，拥有对企业业务活动的更深刻的理解。因此，审核人的职务级别越高，就越能有效的发现级别低的员工所不能发现的风险，并且可以提出更为可行的风险控制措施。

而审核人的职务级别越高，也就代表着企业内控强度越强。在一些规模不大的企业中，很多经营决策活动最终的拍板决定人都是企业的最高领导人，其实就是这个道理。当然我们需要说明一点，审核级别并不是仅指职务级别，专业级别在很多的决策事务中发挥着比职务级别更高的内控强度。

6，审核标的的高低

对于审核标的，也是决定企业内控强度的重要标准，审核标的越低代表内控强度越高，也就是说更多的经营决策事项要进入到更为复杂的审核监督程序，处于受控的范围之内。

审核标的主要从财务与级别两个方面来分析，财务主要是金额，比如说款项支付的金额、采购标的的金额，有些企业100万的采购额才需要通过招标采购，而有些企业30万的采购额活动就需要通过招标决定。

审核级别主要是对员工管理的决策权，比如一些大企业，只有中层企业领导级别的招聘才需要总经理批准决定，而将基层员工的招聘权限全部下放给部门负责人，这样的审核级别提高会大幅度降低内控强度。反之亦然。

三、企业如何合理的确定“内控强度”

除了内控程序与方法的建设，确定“内控强度”是企业内控体系建设中的重要部分，而且这是需要企业决策的部分，外部的第三方机构只能提供一些参考标准，并不能越俎代庖。在这里我们根据经验只能提供一些参考性因素：

1，内控强度要平衡成本效率因素

首先这绝对是一句正确的废话，任何管理活动都需要平衡成本效率因素，难的是如何确定具体的成本，如何准确的判定未来的收益，这是需要经验的。

2，内控强度与企业的规模相适应

企业规模越大管理事务越多，也就是最高层领导面临的决策越多，根据领导者精力就需要将一些事权下移，此时就会相应的降低内控强度，反之亦然。

3，内控强度是需要不断调整的

应该说，从来没有合适的内控强度，企业一定要在内控体系的落地实施中，不断的根据经营决策情况，适时的调整内控强度，发现哪里问题比较突出，那么相应的增加内控强度，哪里影响到正常的经营了，相应的降低内控强度。这都是内部控制管理部门与业务部门不断沟通、讨论，最终形成新的决策的过程