企业内部控制手册编制与应用指南手册

企业内部控制手册编制与应用指南手册第1章企业内部控制概述1.1内部控制的基本概念内部控制是指企业为实现其战略目标，通过制度、流程、职责划分和监督机制等手段，确保经营活动的合法性、有效性和效率性。这一概念源于国际财务报告准则（IFRS）和《内部控制-整合框架》（COSO-IFRS）的理论基础，强调“风险导向”和“全面覆盖”原则。根据COSO框架，内部控制包括五个要素：控制环境、风险评估、控制活动、信息与沟通、监督活动。这些要素相互关联，共同构成企业内部控制体系。在企业实践中，内部控制不仅关注财务报告的准确性，还涵盖运营、合规、战略等多方面，确保组织在复杂环境中稳健运行。2017年《企业内部控制基本规范》的发布，进一步明确了内部控制的定义、目标及实施路径，推动企业从“合规”向“管理”转型。国际会计准则理事会（IASB）在2017年修订的IFRS13中，将内部控制纳入财务报告披露要求，强调其在信息透明度和风险管理中的作用。1.2内部控制的目标与原则内部控制的核心目标是防范风险、确保合规、提升效率、促进战略实现。这一目标由COSO框架明确指出，涵盖财务报告、运营效率、合规性及战略执行等多个维度。实施内部控制需遵循权责明确、流程规范、风险导向、成本效益和持续改进五大原则。这些原则确保内部控制体系具备灵活性和适应性。例如，权责明确原则要求企业建立清晰的职责划分，避免权力过于集中，降低操作风险。风险导向原则强调企业应识别和评估主要风险，将资源投入关键风险领域，提升整体风险管理能力。持续改进原则要求企业定期评估内部控制效果，通过反馈机制不断优化流程，实现动态调整。1.3内部控制的框架与模型COSO框架是企业内部控制最广泛认可的理论模型，其核心是“五要素”结构，包括控制环境、风险评估、控制活动、信息与沟通、监督活动。该框架由COSO在1992年提出，并在2004年进行了修订，强调内部控制的“全面性”与“动态性”。例如，控制环境包括组织结构、文化、管理层态度等，是内部控制的基础。风险评估则涉及识别、分析和应对风险，是内部控制的关键环节。2020年，COSO发布了《内部控制-整合框架》（COSO-IFRS），进一步整合了财务报告与非财务风险，提升内部控制的适用性。1.4内部控制与风险管理的关系内部控制与风险管理是紧密相连的，风险管理是内部控制的核心职能之一。根据COSO框架，风险管理贯穿于企业所有业务流程中。有效的内部控制能够识别和评估风险，为风险管理提供支持，同时通过控制措施降低风险影响。例如，企业通过建立风险评估机制，可以提前识别市场波动、信用风险等潜在问题，从而制定应对策略。风险管理不仅关注风险本身，还涉及风险的量化、监控和应对，是内部控制的重要组成部分。2021年，国际审计与鉴证协会（IAASB）在《企业风险管理框架》中，将内部控制与风险管理进一步整合，强调两者协同作用的重要性。第2章内部控制环境的构建2.1组织结构与职责划分企业应建立清晰的组织架构，确保职责划分明确，避免权责不清导致的内部控制失效。根据《内部控制基本规范》（2016年版），组织架构应体现“权责对等、职责分离”的原则，避免同一岗位承担多项关键职责。建议采用矩阵式组织结构，将职能部门与业务单元有机结合，确保信息流通与决策高效性。例如，某跨国企业通过矩阵式架构，将财务、采购、销售等职能与业务单元同步管理，提升了内部控制的灵活性。内部控制职责应明确界定，确保各层级人员对自身职责范围内的风险进行识别与控制。根据《企业内部控制基本规范》（2016年版），企业应建立“岗位职责清单”，并定期进行岗位轮换与职责调整。需设立独立的内审部门，负责监督内部控制的有效性，确保内部控制制度不被人为干预或疏漏。某上市公司通过设立独立内审团队，每年开展不少于两次的内控检查，有效提升了内部控制的执行力。建议采用“岗位说明书”制度，明确岗位职责、权限与工作流程，确保内部控制制度的可操作性与可执行性。2.2文化与价值观的塑造企业文化是内部控制的重要支撑，良好的企业文化能够增强员工对内部控制制度的认同感与执行力。根据《企业文化与内部控制研究》（2019年），企业文化应体现“合规经营、风险防范、责任担当”的核心价值观。企业应通过培训、宣传、激励机制等方式，强化员工对内部控制制度的理解与遵守。例如，某大型制造企业通过定期开展内部控制专题培训，使员工对内控流程的熟悉率提升了40%。倡导“零容忍”文化，将合规意识融入日常管理中，减少人为操作风险。根据《内部控制风险评估指南》（2020年），企业应建立“风险意识培养机制”，通过案例分析、情景模拟等方式提升员工风险识别能力。企业应鼓励员工主动报告风险，建立“举报-奖励-惩罚”机制，提升内部控制的透明度与参与度。某金融机构通过设立“内部控制举报奖励计划”，使员工举报风险事件的频率显著增加。建立“内控文化评估体系”，定期评估企业文化与内部控制的契合度，确保文化与制度同步发展。2.3信息系统与数据管理信息系统是内部控制的重要工具，应确保数据的准确性、完整性和安全性。根据《企业内部控制应用指引》（2019年），企业应建立“数据治理体系”，实现数据的标准化、规范化管理。企业应采用ERP、CRM等信息系统，实现业务数据与财务数据的集成，提升数据的可追溯性与可用性。例如，某零售企业通过ERP系统，实现了采购、销售、库存数据的实时监控，有效降低了库存积压风险。数据管理应遵循“数据分类分级”原则，确保敏感数据的安全性与可访问性。根据《数据安全法》（2021年），企业应建立数据分类标准，并制定相应的访问权限控制机制。信息系统应具备审计追踪功能，确保业务操作可追溯，便于风险排查与责任界定。某银行通过系统日志记录功能，实现了对交易操作的全程追溯，提升了内控审计的效率。建议定期进行信息系统审计，确保系统运行稳定，数据更新及时，避免因系统故障导致内部控制失效。某企业通过年度信息系统审计，发现并修复了3个关键漏洞，显著提升了内部控制的可靠性。2.4内部控制政策与程序的制定企业应制定完善的内部控制政策，明确内部控制的目标、原则、范围和程序。根据《内部控制基本规范》（2016年版），内部控制政策应与企业战略目标一致，确保内部控制的前瞻性与适应性。内部控制政策应涵盖风险识别、评估、应对及监控等全过程，确保内部控制的动态调整。例如，某上市公司通过制定《风险评估手册》，将风险识别与评估纳入日常管理，提升了内部控制的科学性。内部控制程序应具体、可操作，确保各环节的执行与监督。根据《企业内部控制应用指引》（2019年），内部控制程序应包括授权审批、职责分离、流程控制等关键环节。企业应建立内部控制流程图，明确各环节的输入、输出和责任人，确保流程的可执行性。某制造企业通过流程图优化，将审批流程缩短了20%，提升了业务效率。内部控制政策与程序应定期修订，根据企业经营环境变化进行调整，确保内部控制的持续有效性。某企业通过建立“政策修订委员会”，每年对内部控制政策进行评估与更新，确保政策与业务发展同步。第3章内部控制活动的实施3.1内部监督与审计机制内部监督与审计机制是内部控制体系的重要组成部分，旨在通过独立的监督和审计活动，确保企业各项业务活动的合规性、有效性和效率。根据《内部控制基本规范》（财政部，2016），内部监督应涵盖日常运营、风险管理及合规性检查等多个方面，以实现对内部控制的有效评估与持续改进。企业通常设立独立的内部审计部门，负责对财务、运营及合规流程进行定期审计。审计结果应形成报告，并反馈至管理层，以指导后续控制措施的优化。例如，某大型制造企业通过内部审计发现采购流程中的舞弊行为，及时调整了采购审批权限，有效防范了风险。内部监督机制应与外部审计相结合，形成“内外监督互补”的模式。根据《企业内部控制应用指引》（财政部，2016），企业应定期邀请外部审计机构进行独立评估，确保内部控制体系的全面性和有效性。有效的内部监督需建立完善的监督流程和责任分工，明确各岗位的监督职责，避免监督盲区。例如，采购部门应定期向财务部门汇报采购计划与执行情况，财务部门则需对采购款项的支付进行审核。企业应建立监督结果的反馈与改进机制，对发现的问题及时整改，并将整改结果纳入绩效考核。根据《内部控制基本规范》（财政部，2016），监督结果应作为管理层考核的重要依据，促进内部控制体系的持续优化。3.2采购与付款流程控制采购与付款流程控制是企业采购管理的核心环节，直接影响成本控制与资金使用效率。根据《企业内部控制应用指引》（财政部，2016），采购流程应遵循“招标采购、比价采购、合同管理”等规范，确保采购的公正性和透明度。企业应建立严格的采购审批权限制度，明确不同层级的审批流程，防止未经授权的采购行为。例如，小额采购可由部门负责人审批，而大额采购则需经财务部门与采购部门联合审核。付款流程应与采购流程同步进行，确保款项支付与采购合同、发票、验收单等文件一致。根据《企业内部控制应用指引》（财政部，2016），付款前应进行验收确认，确保采购物品符合合同要求。企业应建立供应商管理机制，包括供应商评估、合同管理、履约跟踪等，以降低采购风险。例如，某企业通过定期评估供应商的交付能力与服务质量，有效规避了因供应商问题导致的采购延误。付款流程中应设置付款审批与支付审核环节，确保资金使用合规。根据《企业内部控制应用指引》（财政部，2016），付款金额超过一定标准的，需经财务部门审核，防止资金滥用。3.3人力资源管理控制人力资源管理控制是企业组织运营的重要保障，涵盖招聘、培训、绩效考核、薪酬福利等多个方面。根据《企业内部控制应用指引》（财政部，2016），人力资源管理应遵循“科学规划、公平公正、持续发展”的原则，确保组织目标的实现。企业应建立完善的招聘流程，包括岗位分析、招聘广告发布、简历筛选、面试评估等环节，以确保招聘质量。例如，某企业通过引入在线招聘平台，提高了招聘效率与准确性。培训与开发是提升员工能力的重要手段，企业应根据岗位需求制定培训计划，并定期评估培训效果。根据《企业内部控制应用指引》（财政部，2016），培训应与绩效考核挂钩，以提升员工的综合素质。绩效考核应与薪酬激励机制相结合，确保员工的工作表现与薪酬挂钩。根据《企业内部控制应用指引》（财政部，2016），绩效考核应涵盖工作成果、团队合作、创新能力等多个维度，以实现公平、公正的激励机制。企业应建立员工档案与离职管理机制，确保员工信息的完整性和保密性。根据《企业内部控制应用指引》（财政部，2016），员工离职时应进行交接，确保工作交接的顺利进行。3.4财务报告与披露控制财务报告与披露控制是企业财务信息透明度的重要保障，确保财务信息的真实、完整与可比性。根据《企业内部控制应用指引》（财政部，2016），财务报告应遵循权责发生制，确保财务数据的准确性。企业应建立财务报告的编制与审核机制，确保财务数据的及时性与准确性。例如，某企业通过建立财务数据实时监控系统，提高了财务报告的时效性与准确性。财务披露应遵循相关法律法规，如《企业会计准则》和《上市公司信息披露管理办法》，确保信息披露的合规性与透明度。根据《企业内部控制应用指引》（财政部，2016），企业应定期发布财务报告，供投资者和社会公众查阅。企业应建立财务风险预警机制，对潜在财务风险进行识别与控制。根据《企业内部控制应用指引》（财政部，2016），财务风险预警应涵盖资金流动、资产减值、税务合规等方面。财务报告与披露应与外部审计相结合，确保财务信息的可信度。根据《企业内部控制应用指引》（财政部，2016），企业应定期接受外部审计，确保财务报告的合规性与完整性。第4章内部控制的评估与改进4.1内部控制有效性评估方法内部控制有效性评估通常采用“控制环境、风险评估、控制活动、信息与沟通、监控活动”五要素模型，该模型由国际内部审计师协会（IIA）提出，用于系统评估内部控制体系的运行状况。评估方法包括定量分析与定性分析相结合，如通过内部控制评分卡（ControlAssessmentScorecard）对各控制要素进行评分，结合历史数据与实际执行情况，形成评估报告。企业可运用内部控制自我评估（InternalControlSelf-Assessment,IC-SA）工具，通过问卷调查、访谈、流程分析等方式，收集员工与管理层的反馈，评估内部控制的覆盖范围与执行效果。评估结果需与企业战略目标相结合，若发现控制缺陷，应优先考虑对关键业务流程和重大风险点的控制措施进行优化。评估周期通常为年度，但可根据企业实际情况调整，如对高风险领域实施季度评估，确保内部控制动态适应业务变化。4.2内部控制缺陷的识别与整改内部控制缺陷通常表现为流程漏洞、权限不明确、缺乏监督机制或信息不透明等问题，这些缺陷可能源于制度不健全、执行不力或人为因素。识别缺陷可通过审计、流程审查、员工反馈及系统日志分析等方式，如运用“缺陷识别矩阵”（DefectIdentificationMatrix）对缺陷类型、严重程度、影响范围进行分类，便于优先处理高风险问题。整改措施应包括制度修订、流程优化、权限调整、监督机制加强及培训教育，例如某企业通过引入“控制活动”中的“授权审批”制度，有效减少了重复报销问题。整改后需进行跟踪验证，确保缺陷已得到解决，并通过定期复盘和整改报告，持续改进内部控制体系。企业应建立缺陷整改台账，记录整改时间、责任人、整改措施及效果，确保整改过程可追溯、可验证。4.3内部控制改进的实施与跟踪内部控制改进需以“目标导向”和“问题驱动”为原则，结合企业战略和风险状况，制定切实可行的改进计划。改进措施包括制度更新、流程再造、技术升级或人员培训，例如某公司通过引入ERP系统，提升了财务数据的实时性与准确性，增强了内部控制的自动化水平。改进过程中应建立跨部门协作机制，确保各业务单元协同推进，避免因部门壁垒导致改进措施执行不力。企业应设立改进跟踪机制，如定期召开改进推进会，使用KPI指标监控改进成效，确保改进目标按计划达成。改进效果需通过绩效评估、审计检查及业务流程复核等方式验证，确保内部控制体系持续优化，提升企业整体运营效率与风险抵御能力。第5章内部控制的合规与法律责任5.1合规管理与法律风险控制合规管理是内部控制的核心组成部分，旨在确保企业经营活动符合法律法规、行业规范及公司治理要求。根据《企业内部控制基本规范》（财会[2010]16号），合规管理需建立覆盖全流程的制度体系，包括制度制定、执行、监督与评估，以降低法律风险。企业应定期开展合规风险评估，识别潜在的法律风险点，如合同管理、财务报告、数据安全等。根据《企业风险管理框架》（ERM）中的风险评估模型，合规风险属于操作风险的一种，需纳入企业整体风险管理体系中。合规管理应建立完善的举报机制与问责制度，确保员工在发现违规行为时能够及时报告并追究责任。根据《中国注册会计师协会关于加强内部审计工作的指导意见》，企业应设立独立的合规部门，负责监督和评估合规执行情况。企业应建立合规培训机制，确保管理层与员工理解相关法律法规及公司政策。根据《企业内部控制应用指引》（财会[2012]19号），培训应覆盖关键岗位，提升员工合规意识与操作能力。企业应建立合规审计机制，定期对内部流程进行合规性审查，确保各项业务活动符合法律要求。根据《内部控制审计指引》（财会[2014]11号），审计结果应作为内部审计报告的重要内容，为管理层提供决策支持。5.2内部控制与外部监管要求企业需遵循国家及地方的法律法规，如《公司法》《证券法》《个人信息保护法》等，确保经营活动合法合规。根据《企业内部控制应用指引》（财会[2012]19号），企业应将外部监管要求纳入内部控制体系，作为风险控制的重要组成部分。外部监管机构对企业的合规性有明确要求，如证监会、银保监会、税务部门等，企业需定期接受审计与检查。根据《企业内部控制评价指引》（财会[2017]12号），企业应建立外部监管报告机制，确保信息透明与及时反馈。企业应建立与外部监管机构的沟通机制，及时了解政策变化与监管要求，确保内部控制体系与外部环境同步调整。根据《内部控制评价报告指引》（财会[2017]12号），企业应将外部监管动态纳入内部控制评价内容。合规管理应与外部审计、税务申报、信息披露等环节紧密结合，确保企业运营符合监管要求。根据《企业内部控制应用指引》（财会[2012]19号），企业应建立与外部审计机构的协作机制，提升合规性与透明度。企业应建立合规性报告制度，定期向监管机构提交合规性报告，确保信息真实、完整、及时。根据《企业内部控制应用指引》（财会[2012]19号），合规性报告应作为企业内部控制评价的重要组成部分，反映企业合规管理水平。5.3内部控制的法律责任与责任追究内部控制的法律责任主要体现在企业因违反法律法规、监管要求或内部管理缺陷而承担的民事、行政或刑事责任。根据《刑法》第276条，企业若因违规操作导致重大损失，可能面临罚款、停产整顿甚至刑事责任。企业应建立责任追究机制，明确各级管理人员在内部控制中的职责，确保违规行为可追溯、可问责。根据《企业内部控制应用指引》（财会[2012]19号），企业应制定责任追究制度，明确违规行为的处理流程与责任划分。企业应建立内部审计与合规检查机制，定期对内部控制执行情况进行审查，确保责任落实到位。根据《内部控制审计指引》（财会[2014]11号），内部审计应独立开展，确保审计结果客观、公正。企业应建立whistleblower（举报人）机制，鼓励员工举报违规行为，确保责任追究的及时性与有效性。根据《企业内部控制应用指引》（财会[2012]19号），企业应设立举报渠道，确保举报信息得到及时处理与反馈。企业应建立责任追究与处罚机制，对违规行为进行严肃处理，以维护企业合规形象与法律地位。根据《企业内部控制应用指引》（财会[2012]19号），企业应将责任追究纳入内部控制评价体系，确保制度执行到位。第6章内部控制的信息化与技术应用6.1信息系统在内部控制中的应用信息系统是内部控制的重要支撑工具，能够实现对业务流程的自动化控制与数据的实时监控，提升内部控制的效率与准确性。根据《内部控制基本规范》（2016年修订版），信息系统应与业务流程高度集成，确保数据的完整性与可追溯性。企业应建立统一的信息系统平台，实现财务、运营、合规等各业务模块的数据共享与交互。例如，ERP系统（企业资源计划）可有效整合供应链、生产、销售等环节，支持内部控制的全过程闭环管理。信息系统应用需遵循“统一标准、分级部署、灵活扩展”的原则。根据《信息技术在内部控制中的应用指南》（2020年），企业应结合自身业务特点，选择适合的信息化工具，如OA系统、BI（商业智能）平台等，以实现内部控制的精细化管理。信息系统在内部控制中的应用还涉及数据采集与处理，如通过自动化流程减少人为干预，降低操作风险。据《内部控制与信息技术应用研究》（2019年）指出，自动化数据采集可使数据错误率降低至0.1%以下。信息系统应用需建立完善的监控机制，包括数据质量检查、系统运行日志分析及异常预警功能。例如，通过数据湖（DataLake）技术实现多源数据的整合与分析，为内部控制提供实时决策支持。6.2数据安全与信息保密管理数据安全是内部控制的基础，企业应建立完善的信息安全管理体系（ISMS），符合《信息安全技术信息安全管理体系要求》（GB/T22239-2019）的标准。企业需实施数据分类分级管理，根据重要性、敏感性划分数据等级，并制定相应的安全策略。例如，财务数据属于核心数据，应采用加密传输与访问控制，防止数据泄露。信息保密管理应涵盖数据存储、传输、处理等全生命周期，遵循最小权限原则，确保数据在流转过程中不被未经授权的访问或篡改。根据《数据安全管理办法》（2021年），企业应定期开展安全审计与风险评估。信息系统应配备防火墙、入侵检测系统（IDS）等安全设备，同时采用多因素认证（MFA）等技术，提升系统抗攻击能力。如某大型企业通过部署零信任架构（ZeroTrustArchitecture），有效降低了内部数据泄露风险。数据安全应纳入内部控制流程，与业务操作同步进行。企业应建立数据安全责任清单，明确各层级人员的职责，确保信息安全与业务合规并行。6.3与大数据在内部控制中的应用（）技术可应用于内部控制的预测分析与风险识别，提升风险预警能力。例如，利用机器学习算法分析历史数据，预测潜在的财务风险或运营异常。大数据技术能够整合多源异构数据，支持企业进行全面的风险评估与决策支持。根据《大数据在内部控制中的应用研究》（2020年），企业可通过数据挖掘技术识别业务流程中的薄弱环节，优化内部控制结构。在内部控制中的应用还包括智能审计与自动合规检查。例如，利用自然语言处理（NLP）技术对财务报告进行自动审核，提高审计效率与准确性。企业应建立模型的持续优化机制，定期更新算法与数据，确保其适应不断变化的业务环境。据《与内部控制研究》（2021年），模型的迭代与验证应纳入内部控制的持续改进体系。大数据与的结合可提升内部控制的智能化水平，实现从经验驱动向数据驱动的转变。例如，某跨国企业通过构建驱动的内部控制平台，将风险识别时间从数周缩短至数小时，显著提高了内部控制效率。第7章内部控制的持续改进与优化7.1内部控制的动态调整机制内部控制体系应建立动态调整机制，根据外部环境变化和企业战略调整，定期对制度进行评估与修订。依据《内部控制基本规范》（财会[2016]19号），企业应每三年对内部控制体系进行一次全面评估，确保其与企业经营目标相适应。通过建立内部控制自我评估机制，企业可以识别制度漏洞和执行偏差，例如采用PDCA循环（计划-执行-检查-处理）进行持续改进。根据《企业内部控制基本规范》（财会[2016]19号）规定，企业应每半年进行一次内部控制有效性评估。企业应建立内部控制变更管理流程，明确变更的触发条件、审批程序和实施步骤。例如，当业务流程发生重大调整时，需经过风险评估和制度修订后方可执行。通过引入信息化手段，如ERP系统和内控管理系统，实现内部控制的实时监控与动态调整。根据《企业内部控制应用指引》（财会[2016]19号），企业应利用信息技术提升内部控制的时效性和准确性。建立内部控制改进的反馈机制，将执行效果与绩效数据相结合，形成闭环管理。例如，通过数据分析发现内部控制薄弱环节后，及时修订制度并推动执行。7.2内部控制的绩效评价与反馈企业应建立科学的绩效评价体系，将内部控制有效性纳入绩效考核指标。根据《企业内部控制应用指引》（财会[2016]19号），内部控制绩效评价应与企业战略目标相结合，涵盖风险控制、效率提升和合规性等方面。采用定量与定性相结合的评价方法，如KPI指标、流程分析、审计结果等，全面评估内部控制的运行效果。例如，通过内部控制有效性指数（CPI）衡量内部控制的覆盖范围和执行效果。内部控制绩效评价结果应作为管理层决策的重要依据，推动内部控制体系的持续优化。根据《内部控制评价指引》（财会[2016]19号），企业应定期发布内部控制评价报告，接受内外部审计和监督。建立绩效反馈机制，将评价结果与员工绩效挂钩，提升员工对内部控制的认同感和参与度。例如，通过绩效面谈和培训，增强员工对内部控制制度的理解和执行意识。通过绩效评价结果，识别内部控制中的薄弱环节，并制定改进措施。例如，发现采购流程效率低时，应优化流程并引入信息化工具提升效率。7.3内部控制的培训与文化建设企业应将内部控制知识纳入员工培训体系，提升全员的风险意识和合规意识。根据《企业内部控制应用指引》（财会[2016]19号），企业应定期开展内部控制培训，确保员工掌握关键控制点和操作流程。建立内部控制培训机制，包括制度培训、案例分析、模拟演练等形式，提升员工对内部控制的理解和执行力。例如，通过角色扮演模拟内部控制流程，增强员工的实践能力。企业文化中应融入内部控制理念，将合规经营作为企业价值观的一部分。根据《内部控制基本规范》（财会[2016]19号），企业应通过内部宣传、榜样示范等方式，推动内部控制文化建设。建立内部控制文化建设的长效机制，如设立内部控制委员会、定期开展内部控制主题日活动，提升员工对内部控制的认同感和参与度。通过文化建设，增强员工对内部控制制度的尊重和遵守，降低违规风险。例如，某企业通过开展“合规文化月”活动，使员工对内部控制的重视程度显著提升，违规事件减少30%。第8章内部控制的实施与管理保障8.1内部控制的组织保障体系内部控制组织保障体系是企业内部控制的核心组成部分，通常由董事会、监事会、管理层及内审部门构成，是确保内部控制有效运行的组织架构。根据《企业内部控制基本规范》（2016年修订版），企业应建立职责明确、权责清晰的组织架构，确保内部控制各环节有人负责、有人监督。企业应设立专门的内控管理部门，如内审部门或合规部门，负责制定、实施和监督内部控制制度。根据《内部控制应用指引》（2016年修订版），内控管理部门需定期评估内部控制的有效性，并根据业务发展调整制度内容。董事会应承担内部控制的最高责任，确保内部控制制度符合法律法规及企业战略目标。根据《公司法》及相关法规，董事会应定期召开内控