很多大集团在开展了多年的内控体系建设和评价之后，最高管理者对内控工作的汇报提出了更高的要求：“内控部门除了每年告诉我公司有多少的内控缺陷外，能否告诉我公司的内控管理水平到底处于什么程度？”

的确，对一个正常运行且不断发展的企业来说，内控缺陷无时无刻不在，也永远不可能全部消灭，而且公司具体内控缺陷的多寡并不代表了真正内控的好坏。因此，作为公司最高管理者，他们需要知道的不仅仅是操作层面公司有多少具体的问题，更要从全局了解公司目前的内控管理水平整体处于什么程度。内控人员非常有必要从一个更全面，更全局的视角来对内控管理做出评判，这就是内控成熟度评价需要做的事。

一、什么是成熟度模型？

成熟度评价是这两年比较热门的一种管理手段，经常用于对某一管理体系所处发展阶段的系统性认知和认定。

成熟度思想源于著名的质量大师菲利浦·克劳士比(Philip B.Crosby)，1979年在其所著的第一本质量著作《质量免费：确定质量的艺术》(Quality Is Free：The Art of Marketing Quality Certain)一书中提出了著名的质量成熟度方格理论，将一个企业的质量管理水平阶段化：不确定期、觉醒期、启蒙期、智慧期、确定期，成熟度方格描述了一个企业的质量管理从不成熟走向成熟的一个过程。

在克劳士比成熟度方格提出以后，汉弗莱(Watts Humphrey)将成熟度框架带到了卡内基·梅隆大学软件工程研究所(SEI)，并增加了成熟度等级的概念，于1988年发展成为软件能力成熟度模型（CMMI）。此后很多学者和组织在借鉴CMMI的基础上提出的各种成熟度模型，如项目管理成熟度模型、知识管理成熟度模型等不下几十种，因此在成熟度模型评价方面CMMI具有里程碑式的意义。

成熟度发展一般包括以下五个阶段（当然，不同的体系在借鉴成熟度模型的时候，会对五个阶段的用词做出调整）：

成熟度等级1：初始级(Initial)。处于这个最低级的组织，基本上没有健全的管理制度。每件事情都以特殊的方法来做，缺乏健全的总体管理和详细计划，整体工作完全取决于当前的人员配备，人员变化了，过程也跟着变化。

成熟度等级2：可重复级(Repeatable)。在这一级，采取了一定措施，管理人员在问题出现时便可发现，并立即采取修正行动，以防它们变成危机。

成熟度等级3：已定义级(Defined)。在这一级，已为工作的过程编制了完整的文档。工作的管理方面和技术方面都明确地做了定义，并按需要不断地改进。

成熟度等级4：已管理级(Managed)。在这一级，公司对每项工作都设定量化的质量和目标。利用统计性数据和指标进行质量控制，管理部门能区分出随机偏离和有深刻含义的质量或生产目标的偏离。

成熟度等级5：优化级(Optimizing)。在这一级，组织的目标是连续地改进工作过程。组织工作过程融入了正反馈循环，使生产率和质量得到稳步的改进。

概括起来，五个阶段的成熟度如下：

从以上成熟度理论和模型的发展来看，目前各种体系的成熟度评价其作用是用于判断该体系的发展水平，从而对公司该项管理的能力程度做出系统性认定，并明确下一步的发展方向。

二、内控成熟度模型怎么划分？

内控成熟度就是对企业内控所处的发展阶段进行评定，从而帮助企业更全面的了解内控管理的整体水平和能力阶段。当企业内控开展了一段时间后，内控成熟度认定就是帮助公司更好的认识内控管理水平的一个有力工具。

参照成熟度模型，内控成熟度一般分为五个阶段：

成熟度等级1：内控随意化。此时企业根本没有什么内控意识和内控机制，内控工作还未起步，制度缺失环节较多，业务流程的执行依靠人的理解，虽然能完成业务，但是环节中的风险控制存在较多执行问题。

成熟度等级2：内控人防化。此时企业的管理者开始认识到风险的重要性，关注重点环节的业务风险，但主要靠管理者的理解和要求，来指导和监督执行人对重点风险的操作防控。

成熟度等级3：内控标准化。此时企业开始推进内控的体系化建设，基本实现了各业务环节重点风险防控措施的制度化、流程化和表单化，建立了监督部门对制度的执行情况进行了跟踪和检查，各部门/业务板块间的风控协同较好，具有较好的制度执行力。

成熟度等级4：内控信息化。此时企业的各个业务流程的关键控制环节均在信息系统上实现了固化，并对各风险点建立了量化管理目标和监控指标，公司可以通过量化数据采集进行内控有效的判定、执行和监督。

成熟度等级5：内控数智化。此时企业将所有控制措施进行数字化改造，所有业务重点环节的控制措施都能够实现系统自动控制，做到机防机控，流程和业务的联动控制很强，并能够对内控管理的目标进行持续的量化监控和改进优化

图1：铭垚科技内控成熟度模型

三、内控成熟度应该包括哪些维度？

内控成熟度的五级模型虽然给出成熟度的认定，但是它应该具体包括哪些维度呢？从企业内控体系的要素和层次来看，我们认为内控成熟度的维度应该包括体系要素、业务流程、指标结果、管理手段四个方面。

图2：铭垚科技内控成熟度维度

第一，体系要素维度。本维度以COSO框架为参照，对企业的内控环境、内控目标、风险评估、信息沟通、内控监督等内控的公司层面进行评价，判断公司在内控工作的整体资源配置和体系框架上的有效性和成熟度。

第二，业务流程维度。本维度以公司具体的业务循环为划分，对每个业务循环的风险要点、控制措施进行设计有效性（即制度流程建设的全面性和规范性）和执行有效性（即制度执行的严肃性和到位性）的评价，从而判断公司内控工作在具体流程操作层面的有效性和成熟度。

第三，指标结果维度。本维度以内控执行的结果为关注重点，强调内控成熟度不能光看管理过程，更要看管理结果。通过对公司各业务目标的量化以及结果达成的程度，判断公司内控工作在具体成效上的有效性和成熟度。

第四，管理手段维度。本维度强调内控工作需要不断的应用先进的技术和工具，传统的手工控制哪怕做的再好，也不是未来内控管理的真正方向。所以，我们需要从内控的流程电子化、信息结构化、处理自动化、管控机防化、交互协同化等方面对内控工具的使用程度和先进性进行判断。

四、内控成熟度评价和内控评价的差异？

内控成熟度评价是参照上面的内控成熟度模型，对企业内控所处的发展阶段进行评定的过程。在这个过程中，我们并不仅仅各业务环节的内控缺陷数量，更关注内控体系的自我完善和自我建设能力和所处阶段。而内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价，形成评价结论，出具评价报告的过程。所以，内控成熟度评价和内控评价存在根本的差异。

首先，两者的目标出发点不同。内控评价是以问题为导向，对各个业务环节的缺陷进行识别、分析、评价，告诉各部门和管理者公司流程制度操作上的不足；内控成熟度评价是成长导向，帮助公司更好的认识到现在内控的阶段，以及下一步公司内控的发展方向，推动公司内控走向成熟。

其次，两者的参照依据不同。内控评价以内控手册和评价手册为依据，对每个控制环节进行检查；内控成熟度评价以内控成熟度模型为依据，对内控的整体环节、体系框架、内控执行、运行结果、技术手段、管理工具的能够进行判定。

最后，两者的成果及成果应用不同。内控评价的成果是内控缺陷清单，用于各部门的内控整改；内控成熟度评价的成果是成熟度结论，用于管理层对公司内控能力和阶段的认定，以及帮助内控推进者知道下一步内控的建设方向。

从两者的关系可以看出，内控评价的工作和结论是内控成熟度评价的一个组成部分，一个好的内控评价工作体系是内控成熟度高的一个充分条件。当然，我们也要看到，内控评价所发现的缺陷越少，不代表内控执行工作越好，更不能代表内控成熟度高。相反，内控评价发现的缺陷越少反而代表了公司无法自我发现问题，是公司内控成熟度不高的表现。这也是为什么现在越来越多的集团公司对内控评价时给出“零缺陷”的子公司反而更加关注的原因。

来源：铭垚科技，作者：高垚