01.问题的认识

高兴的是，在上一篇文章发表后，一些企业主动联系，开始就内控的困惑进行新的思考，开始向“如何发挥体系效能、可持续”的方向转变。

问题是，沟通起来也挺困难，原因是，受长期经验性泛化认识的影响太大了。人们通常有一个习惯，可以快速学习并接受新的知识，但很难忘记原来形成的记忆。

沟通中，无外乎基本一致的声音：我们已经建立了内控手册，但手册的作用并不明显，除了履行例行的定期评价之外，不知道以后还要做什么。

其实，任何一个体系的构建，都离不开制度、手册，问题在于手册编撰之初，对体系目的、范围、结构、原则、机制的认识与分析，对产出手册的作用定位、内部客户需求理解、内容结构的确定，以及手册内容的品质追求等，是否清晰、明确。

如果仅把内控手册作为完成体系建设的标志，目的就出现了问题；如果手册不包括体系本身运作的机制，就不可持续；如果仅把梳理的程序作为手册的主体内容，意味着没有构建内控管理的共同语言┈┈。

内控规范中提出，内控环境包括企业级的信息沟通。同样，内控管理体系本身，也需要基于内控的统一认识、统一语言、支持体系运作的流程，是体系认知、沟通、运作的基础，需要专门设计。

一个企业内部控制的有效性，直观上反映为流程及控制活动的标准化，但很大程度由内控环境决定，是企业级政策导向层面的东西。恰恰这一方面，体现的是企业管理的理念、模式及方法，是反映企业特有的具体内容，而不是“规范”中相关内容描述的移植、转化。

内控是预防风险的解决方案，同样，内控体系的有效执行，也需要建立“内控管理原则”，否则就成了沙土地上的楼阁。

怎么认识内控主管部门自己组织建立的内控手册呢？内控主管部门是归口管理部门，自己组织、或借助第三方建立的内控手册，解决的仅仅是短期需要和未来需求之间的平衡问题。其实，内控的优化、完善、范围的扩大，是一个长期的持续过程，不能认为是一劳永逸的结果。

惊讶但不感觉奇怪的消息是，又有一串曾经富有成就的企业、医疗机构的高级管理者被请去“喝茶”。问题出在哪里？

对大多央企、国企、医疗机构来讲，在过去十几年经济过热的大环境中，经历了内部经济及成果的快速、粗放式成长所带来的高福利。

相比经营绩效增长来讲，管理需要经过必要的改进甚至是改造，需要各级管理者能力、修为、态度、精神、行为的改变，形成与经营绩效增长、企业或单位成长相匹配的关系。这一点，明显落后了。

当这种匹配关系发生严重失衡的时候，意味着高增长下隐藏的组织问题快出现了，一旦被外界监督的力量冲击，风险很快就会从潜伏转变为问题。

这些问题，表象上反映为违规问题，直观反映为管理问题，往下挖掘一层是秩序问题，再往下挖掘，就是内部控制与自控制问题。可以想象的到，被进去喝茶的人，一定在后悔权力的失控化运用。

那假如没有出问题呢？很难说有人愿意主动接受规则的约束，这就是“人性”。冷静的高级管理者，当达到权力顶峰时，往往会存在风险思维而加强内控建设，但为数的确不多。

我们讨论合规管理，支撑企业合规管理的，是内部控制而不是外部法律法规，这种说法，不能理解为否认外部监管的作用。如何承继外部法律法规、政策的约束呢？内部控制当然要符合外部法规的合规要求，而且要更严厉、更全面、更有效，本质是企业内部的一种管控能力。

所以，企业的内控建设，是合规管理的重要基础建设内容，是防范不合规风险的解决方案，是共同性，但不能理解为仅是为了满足合规管理需要，内控的范围与功能外延，要大得多。

那怎么理解当下盛行的，从合规管理角度对相关法律法规的阐释呢？是从合规管理维度，转化出来的一种普法方式，可以仔细品味一下其中的道理。对企业来讲，普法是合规管理中的一项工作构成，但不能认为合规管理是一种变相的普法。管理问题，需要用管理的思维去解决。

02.理解与定义企业的内部控制

企业内控管理部门开展内控体系建设，需要确定目标，分析达到目标应该采取的行动，将工作分门别类，形成共同支撑内控目标实现的结构，落实对应的管理责任。

对照五部委内部控制定义，转化到企业内控建设的视角，从整体角度，我将内控定义为：企业为实现经营目标，防范风险所建立的相关制度、程序以及重要活动规范。

通过定义，清晰地将内部控制划分为三大部分（实质是两部分，主要是为了突出狭义内控）：制度、流程、标准化活动。记着我曾在一篇文章中讲过：管理规范化包括制度规范化、流程规范化、标准活动规范化，从而实现管理有制可依，做事儿有章可循，监督或评价有标可对。

这种方式，本质是把企业的内控，转变为管理规范化的建设过程，这就是我总讲“控制是管理的一项职能”的原因。这就出现了一个问题，这种扩大外延化的做法，能不能实现呢？

对于一个企业来讲，考虑一个问题，理想化目标与现实目标是有区分的，但无论如何，都不能出现“定义”范围的遗漏或错误。就好比企业战略愿景一样，目的在于“指明方向”，却永远难以衡量“是否实现”，但绝不妨碍企业一步一步向“愿景”靠近的努力。

内部控制也一样，这样的定义，不会妨碍企业持续地开展制度建设和流程优化。企业是发展的，认识是不断提升的，员工的能力和水平是成长的，科技引用是不断进步的，内控建设没有句号。何况，内控建设不仅仅是内控主管部门自己的事情，但是，不讲清楚，就一定找不到结构化责任，也难以形成整体效应。

现实中，企业的内控管理部门往往落实在监督部门，但内控不是监督，内部控制建设的另一面，对应的是释放灵活，所以，内控建设绝不是单纯地“为控而控”，而是一种不同程度的“标准化”存在。怎么理解呢？

标准化，在不同的层面，其内涵并不一样。

从管控的维度，“控制”与“灵活”的界面，只能是标准，往往反映在制度设计中，取决于制度管理部门的管理能力与水平。比如：合同管理部门，可以预先建立基于合同法律风险的“标准化模块”，通过制度明确：如果合同引用的是标准化模块，就快速放行，提高工作效率。再比如，采购管理部门，可以建立物料优选目录，研发部门从目录中选材，快速通过，反之，履行超目录选型评审程序┈┈。

要做到这一点，与企业各管理部门追求的目标、绩效、对职能的认知、主动性创新能力有非常紧密的关系。比如：上例中合同管理标准化，是为了防范合同法律风险的控制措施；物料优选目录标准化，是为了防范成本风险、供应链风险的措施。现实中，并不意味着所有的管理部门都能够做到，需要对组织目标与绩效、流程、职能管理、风险管理有深刻的理解。

可以肯定地讲，在越来越严厉的监管环境下，未来的管理，必然往这个方向转变，否则，频繁的监督与不清晰的管理，企业就很难谈什么效率，也很难谈什么合规管理。

从流程的维度，“标准化”反映为对超出制度设定“标准”，包括信息流、资金流、物流等对象的控制，体现为流程中嵌入的“控制活动”，是内控归口管理部门重点强调的“狭义内控”，内控的执行角色与控制对象的发起角色，一定是分离的。

这一点，不能与行政管理关系决定的“控制”混淆，行政管理的上下级控制，由管理责任决定。与企业级决策控制也不同，是两个层面的体现，企业级决策控制，体现在内控环境中的“公司治理结构”，是企业制度建设、流程管理、内部控制之源，也就是说，是企业开展内部控制建设基础的基础。

会有人提出疑问，假如制度非常完善，是否还有开展“狭义内控”的必要性呢？提出这一问题的人，一定不了解企业的制度管理，我们在“04”讲。

03.公司治理结构是内控之源

一个追求高质量发展的中大型企业，需要妥善解决两个问题：

一是公司治理机制问题，重点反映于公司治理结构，是企业承接上级单位分权，高层管理者提升自控制力、树立道德垂范、规范重要决策与一般决策，实现公司经营、管理与决策的有序运作，因目标、任务需要，而采取的横向、纵向授权分权的最高端表现。

没有公司治理这一最基础、最高端的条件设置，管理责任者如何履职行权？内控管理、合规管理也很难谈起？

二是绩效管理机制问题，是健康目标导向下树立员工自控制、反映企业选人用人方法与智慧的最根本反映；是一个企业是否履行了社会赋予的、对员工给予公正管理责任的最直接表现。

两条机制，是高级管理层应该倾心所为的最深刻内涵，是塑造企业绩效、成果、企业精神、文化追求层面的最重要内容。只有在这种环境下，内部控制才不会僵化。

企业管理中，正确导向的作用，永远大于控制、约束、监督的作用。这就是内控规范中，为什么将公司治理、人力资源政策、文化、监督作为内控环境构成内容的原因。

为什么我把企业内部控制建设，上升到企业管理的规范化程度呢？

在很多企业中，仍然依靠过去被证明成功的经验型管理模式、方法、态度、行为去处理当下环境的问题，疏忽了十八大后企业外部环境变化所提出的新挑战、新要求，有自控制能力不足的问题，也有规则设计存在缺陷或缺失的问题。

这种挑战、要求，意味着企业需要转变管理模式，但需要从骨子里去正视，从管理秩序的塑造中去付诸行动，具体表现在不折不扣的管理规范化。

问题在于，企业的法人治理结构建设，并不是很多书本上所讲的三会制度、议事规程所能代替。其中包括对各种组织，比如党委、董事会、各种委员会、经营层的任务、责任、权力与限制、议事形式、程序、有效性界定、合规要求的规范；也包括对不同程度决策的定义、决策形式、重大问题研讨机制的规范；以及议事过程中的记录、知悉、归档等各方面的规范。

由此，带出了“三重一大”事项鉴别标准的订立，对下级单位的分权授权、对本级管理机构的授权等等，形成决策与管理支持的关系。

理解了这一层，回看企业中的程序与内控手册，其中的流程，是不是变成了“权限不清”的逻辑流程了呢？问题就出在公司治理这里，这种流程不具有参照性，其意义还不如制度讲的清晰。所以，在不少企业内控评价中，评价的依据，不是不想用内控手册，而是不可用，只能依靠对已有制度的理解、管理的隐性知识去解决。

04.从内控的维度理解企业中的制度

在国家部委的内控、合规管理文件中，经常出现内控制度、合规具体制度之说，是主管部门从“专业维度”，为了反映企业相关制度作用的一种普适性说法。

作为企业，不可过度“引用”一些新的说法，从而造成对传统职能的冲击，相对套用一些新词来讲，理解“这类说法”的内涵，显得更为重要。

对企业来讲，制度、流程是企业打造稳定运营秩序的两种工具。从权威角度来讲，制度具有无可争议的权威性，是由我国法律法规、国家部委惯用的“制度”管理方式决定的，但并不意味着流程不代表“规则”。

企业为了平衡两种规则的形式，在尊重大众认同的“制度环境”下，即使流程管理达到一定成熟度，也会用制度去强调、约束员工对流程的遵从。而且，企业中很多事情，也离不开制度。

现实中，外企注重流程、手册的作用，相对来讲，制度要少一些。何况，既没有什么对比的价值，也说明不了什么，就好比中国企业强调“公章”，外资企业强调“签名”，一个道理。

只要企业做好自己的“内部法理”定义，只要能够与上级主管单位形成衔接关系，形式并没有那么“刻板”，如果你愿意，大可用“红头文件”、“绿头文件”，在不违背法律法规及政策要求、履行正常审批程序、加盖公章并公知的情况下，就有作为法理证据的效力。

企业中的制度，都有约束、指导作用，都有控制的意味，不同的是，不同制度的“约束力、控制力”有所差异。

我曾于某集团公司主管制度管理，为了规范管理，对企业各类制度进行了分析，并做出自定义。原因是什么？曾做过一个调查，让每个部门梳理他们发布的制度，找出能够在集团通用的制度，降低下属单位“自建制度”的负担与标准偏差。统计的结果显示，各种理解，五花八门。

为了防范不同人不同理解的风险，结合制度功能与布局，针对性进行了自定义，以下仅仅是印象化匆忙总结，以供参考。

什么是基本制度？指企业为了规范某业务域管理所建立的顶层制度，是对该业务域运营管理秩序建设进行的事先约束、指导与统帅。

基本制度的变动，只能由企业董事会或最高层决策机构决定，该业务域下各主管部门所起草的所有制度，都必须建立在基本制度的基本原则框架下。负责起草部门负责解释，但只具有建议权，不具有管理权。

什么是管理制度？基本制度框架下的有关部门，依据基本制度，起草该业务域下相关功能模块的管理办法，可以构成对下属单位在该模块内的管控边界和要求。下属单位可依据制度，进行本单位的管理制度设计。

什么是作业型制度？指围绕特定任务进行的操作型制度设计。作业型制度只适用于本级单位的任务程序或作业活动，最多延伸至下属单位层的输出界面要求。下属单位具有知情权，用以指导下属单位的管理工作，可依据制度，完善本单位相关制度建设。

譬如，国资委下发的对安全生产管理考核细则，指的是国资委如何对央企进行考核的方法，是国资委内部的操作事项。制度的发布，履行的是告知责任，而不涉及对企业“如何做”的问题。如何做，由安全生产管理办法进行明确、约束与控制。

什么是标准控制型制度？指围绕特定事项、员工群体进行的标准型规定，包括规范、准则、执行标准、规定等，标准控制型制度发布部门，需在附则中明确说明适用体“遵照执行”的条款，突出其“范围内的通用性”。遵照执行的单位，无需单独制定制度，从而降低制度数量，也规避掉不同标准的不合规风险。

譬如：公务接待、用车、公务差旅等执行标准，员工行为准则等等。这些制度，绝大部分属于合规具体制度。

相对标准控制型制度，无论是来自于外部、上级单位的各种制度，如果单位规划直接适用，均需通过正式文体，明确“适应性执行”转化，纳入本单位直接遵从的制度序列。

凡未做适应性转化而自行订立的制度，出现与上级相关制度合规要求不符合或抵触问题，一律不作为监管依据，造成违规损失的，追究管理责任。

结合内部控制与合规管理，标准控制型制度属于“控制标准”。对合规管理来讲，不可拆解为“合规要求”；对内部控制来讲，也很少能够找到对应流程，因为，它就是“内控标准”。

流程控制化，更多侧重于管理制度、作业型制度进行流程梳理，对其中的控制活动进行标准化规范；四个类型的制度，都必须建立在合法合规条件下，共同构成承载外部规则合规要求的内部控制能力。

05.理解制度流程化建设

制度流程化，指的是对管理制度、作业型制度的流程化，不涉及基本制度、标准控制型制度。当然，视企业制度管理的规范化程度进行取舍。

制度以文字描述为主要方式，受篇幅限制，除特殊控制节点明确相关重点事项外，很难做到具体角色的划分，更别说角色活动的执行规范化，这是制度管理的本质不足点。

流程不同，如果抛开对整体框架主干流程的逻辑阶段划分，仅就典型的职能流程来讲，一对应的是具体任务；二是可以细化为参与到流程中的具体角色分工及活动，通过作业说明书对活动进行具体规范；三是可以反映到单项活动的产出；四是可以清晰展现整个任务过程，每个活动都对流程产出负责。

所以，对以制度作为主要管理方式的企业，制度流程化，可以提高制度的直观性、可视化、活动规范化，从而提高制度执行力。

那么在内控建设中，发现制度存在缺陷或不足的问题怎么办？这个过程，也是合规风险评估的一个过程。有三种处理方式：

一是进行制度完善，尽快替代存在缺陷制度；二是如果短期不可接受，可以明确直接沿用上位制度，但由于缺乏了过程，制度执行可能存在不稳定性，需要加强监管；三是用流程弥补制度的缺陷与不足，但需与制度管理部门做好沟通，行文明确，并尽快开展制度完善工作，本质是把流程视同为制度附件的体现。

所以，企业狭义的内部控制建设，需要以较为完善的制度为基础，对于制度已经明确的程序，需要着力于其中的“控制活动”进行标准化规范，这一点是制度本质决定的不足问题。对流程梳理中发现的问题，需要反馈制度管理。

只有当企业的流程与内部控制，变得清晰、具体，从流程图、作业说明等方面，具备了优于制度“可读性、可理解性”的程度时，内控管理的程序与内控手册，才具备“落地、应用”的价值。当企业制度没有达到规范化程度的时候，流程与内控发挥的就是规则作用，对制度形成“补充”效应。

很多时候，我们特别强调了“风险”、“内控”，但狭义内部控制建设的本质，是因“特定事项”进行的、侧重于“控制”维度职能流程的梳理与详细设计。客观讲，与流程管理相比，还有非常大的差距。这种情况下，谈用流程承载风控、内控、合规管理，只能是一种原理阐述。

来源 ：互联网