笔者基于实践总结出适用于中小企业快速建设内部控制体系的一些方法，即123体系（见图1）。一、一个规范

作为企业内部控制的纲领性文件，企业内部控制基本规范可以参照国家发布的《企业内部控制基本规范》，并结合公司实际情况拟订。其内容重点涉及公司内部控制的主要目标、基本原则、主要内容、业务环节等。其中，公司内部控制主要内容应围绕内部控制的五要素展开，具体来说应涵盖经营活动中所有业务环节，包括但不限于营销及收款、采购及付款、工程管理、固定资产管理、货币资金管理、关联交易、担保与融资、投资活动、研究与开发、人力资源管理等。二、两个基础

两个基础分别是风险矩阵和分级授权。其中，风险矩阵解决了企业的风险识别及其应对；分级授权则是为了提升企业运行效率，两者都服务于公司的整体目标。

1．风险矩阵

风险矩阵的主要目的是为实现公司战略目标，识别出公司业务可能存在的潜在风险，并有针对性地提出相应的控制措施。为了便于追溯业务的发生过程，需要通过相关业务表单留下业务的痕迹，并且明确风险控制所依据的规章制度，以便追溯至相关法律法规。另外，如有可能，为了明确部门职责以及便于会计报表审计，风险矩阵也可以列示风险控制的责任部门以及相关风险对会计报表项目的影响。笔者以某公司项目投标及项目管理控制矩阵为例进行展示（见表1）。

由表1可知，风险矩阵的关键在于明确企业的具体业务目标。在识别风险点时，可以从企业战略风险、业务风险和财务风险三个角度分别描述。相应地，主要控制点和风险点是对应的，通过剖析业务可能存在的主要风险点，提出有针对性的防范措施。

2．分级授权

实务工作中，公司可以根据组织架构确定相应的责任中心负责人（此处的责任中心是指对某项业务负责的具体岗位，有时也是虚拟的，比如需要经过股东大会或董事会授权指定的相关人员），由责任中心负责人最终审批相关业务。需要指明的是，分级授权在设计时，从内部控制的角度而言，一般需要经财务审批之外至少两级审批，其主要目的在于加强对业务的监督，防止越权或者变相自我审批等舞弊现象的发生。

在表现形式上，企业可根据需要设计不同形式的分级授权体系。由于分级授权的结果最终主要体现为款项的收支，建议企业在设计时，应当明确不同级别签批的具体金额范围，而不应过多地进行定性描述，从而使分级授权更为直观明了。相反，过多的定性描述只会使分级授权体系显得晦涩难懂或者造成歧义，最终降低企业的管理效率。

三、三个层次

1．规章制度

规章制度一般包括目的、适用范围、定义、部门分工、具体管理办法、相关表单、业务流程、制度依据等。然而，规章制度是否为大家真正理解并一贯执行呢？现实中并非如此。规章制度不能得到有效执行的主要原因在于：第一，规章制度的体系不够健全，且不同的规章制度对同一业务的规定有所出入，导致大家无所适从。第二，囿于文字的丰富含义，规章制度容易引起歧义，导致大家对规章制度的理解存在多样性。第三，规章制度的繁杂导致大家没有兴趣认真阅读。这就需要通过业务流程图的形式去弥补规章制度的不足。

2．业务流程

近几年来，由Microsoft发布的一款办公软件已成为描绘企业业务流程的主流工具。笔者以企业工程管理为例展示其流程图（见图2）。

需要补充说明的是，本文列示的流程图和文字说明之间还可以通过在流程图中用字母或数字标号的形式建立其内部关联关系。

3．操作手册

操作手册制定的主要目的是使公司业务标准化、规范化，将员工的宝贵经验转化为公司财富，以持续提升企业管理水平。操作手册内容一般包括：业务目标、业务范围、业务主要风险、主要控制点、业务流程、相关制度、相关表单、责任部门等。由于操作手册的全面性和复杂性，企业也可以根据实际情况决定何时编制。

此外，为了评估企业内部控制的有效性以及持续改善内部控制体系，企业还需要建立一套企业内部控制评价系统，以定期回顾现有内部控制体系的执行情况，发现缺陷并不断完善，最终形成一套适合企业的内部控制体系。