本文是上篇的续篇。企业内部控制的多元特征与建设机理及方法。

我会尽己所能，把合规、内控与风险管理一项一项阐述，找到整体建设的头绪。当然，读者也没必要拿着理论非争辩个是否正确，基本可以说，你看过的理论我应该学习过。

现实中，企业不讲究什么正确的方法，只要不违背理论，只要有效、只要符合期望、只要满足办法要求，就是好方法。然后，我们再找时间讨论企业的经营、创新、组织、流程、人才、监督等领域，都与战略、风控有关。

01.内控产生的机理

什么是内部控制呢？根据《中央企业全面风险管理指引》，结合合规管理办法的现实要求，考虑与风险管理的耦合关系，我将内部控制定义为：企业为控制风险，实现经营目标所建立的相关制度、流程、政策及相关措施。为什么这样定义呢？有两方面原因。

上篇提到，从企业的角度看控制外规风险的方法，要么把外部规则直接导入企业内部，要么通过平衡管理预期与外规要求、红线，建立内部制度（即所谓的外规内化）。所以，企业制度、流程建设的第一条原则，必须建立在合法合规、不违背上位制度、高阶流程要求基础上，才具备防控违法违规风险的能力。

如果从司法角度解释，只有合法合规、履行审批程序、被员工知悉的制度（如果企业对流程赋予权威，也可以视同为“制度”），才能作为司法证据，否则，不成立。

其次，由于内控不仅可以防控违规风险，还对经营目标、企业安全、资产安全、财报真实性等发挥作用，我们统称为“控制风险”，意指内控针对的是企业经营活动中，只能承担、无可规避的风险可能，所以，控制需要具有稳定的纠偏作用。

纠偏，不等于“签字”即可，现实中，很多人的“签字”、“无意见”，或者对局部进行问询、纠正，并不代表他知道签字的目的，事实上，很多人只不过是在走“让签字就签字”，或在刷“官文化”下的存在。内控，重点解决的是这些问题。

为更有利于分析，我们暂时淡忘掉“风险管理”的存在，认为企业防控风险的措施，只有“内部控制”。为更好理解，我们将内部控制还原为“控制”，用一个常见的具有控制功能的产品为例进行说明。

其实，无论是什么产品，只要具有多结构性，必然存在“控制”。控制产生的原因，是在产品设计之初，设想产品期望的正常功能时，基于对产品应用环境、产品环节可能出现偏差的判断，提出的纠偏措施，依靠对该环节设定标准的监测，决定是否实施控制纠偏。

对产品来讲，产品正常发挥功能是目的，控制是保证措施，遵从最少、最简原则：虽然可能出现偏差，只要不会超出可容忍的偏差标准，不需要监测，也不需要控制装置；其次，虽然偏差可能触及标准，依靠简单的装置就可自纠正，控制从简；最后，如果偏差超出标准的概率较大，就需要设置必要控制措施，进行被动的控制纠偏。无论哪种情况，都需要认识、评估，其中的第二、三种情况，离不开监测、控制。

企业的内部控制，跟产品控制的设置，一个道理。所以，我总讲，单独讨论内部控制没有意义，必须置身于场景。什么是场景呢？场景包括3部分：一是要考虑产品发挥功能的背景；二是要考虑控制对象环节的机理、背景、要素；三是控制本身发生作用的机理、方法与正确性。

内控的产生机理是，从场景出发，判断容易出现偏差、影响预期目标的环节，通过风险评估，对影响目标产出且不能容忍的风险，建立针对性控制措施。

02.专业的内控理解有时候也出问题

前文说过，内部控制是一个“新词”，但并不意味着在开展内控管理之前，企业没有控制。只不过，内控管理的要求出来之后，反而受到了内控有关文件的影响，好像变成了“不建设就没有内控”一般。当然，有这种认识也可以，但别出现认识狭隘、错误的问题。

正如前段时间，证监会要求某上市公司、证券公司回答：请说明企业采取何种内控措施，保证财报真实性。为什么他们的回答不能令证监会满意呢？出了新词，基于对内控的专业、狭隘理解，反而回答不清了。

那么，这种专业、狭隘理解反映在哪呢？反映在梳理流程、对关键风险点设置控制措施；反映在“不相容岗位分离”；反映在对内控规范中内部环境、风险评估、控制活动、信息与沟通、内部监督的表面化理解上。这种认识对吗？

对，但狭隘化了，造成了企业误认为形成的“流程与控制”手册，就是“内控”，虽然平时内控手册没有发挥什么作用，但突然有人问起“内控”的时候，自然而然就想起它了。

回想一下，是不是不少企业完成手册的编撰，总结中就出现了“完成内控体系建设”的表述了呢？一是手册的流程与控制部分，仅仅代表一部分，暂不说手册结构是否合理；二是内控建设没有结束，流程中的内控活动仅仅是一部分；三是没有形成真正的内控环境，内控环境不是泛泛而谈，需要理解治理、组织、人力、合规、部门控制点数、控制时间的认定原则等系列要求。这种环境，还会影响到企业的IT建设。

记不清在哪个公众号曾浏览过一篇文章，作者不辞辛苦地列出某一个领域长长的“不相容职责分离”清单；也记不清哪篇文章，作者不辞辛苦地对某项法律陈述“合规要求”，这种做法有意义吗？

有意义，但意义不大。前者只见其形而不见其质，后者的想法单纯的可爱，与其这样颇费周折，倒不如给对方一篇“画出重点”的完整法律条文，更完整、更好理解。

所谓不相容职责，来源于两个方面：一是外部法规、政策明确的“岗位分离”，虽然很少，但企业必须落实，譬如，核算会计与出纳的分离，但现实中，由于IT、电子支付、电子发票的应用推广，意义也不大了，重点反映在离线作业、入账审核中的双人、多人配置；二是由于企业自身管理模式需要，进行的组织、岗位分离，但不是统一标准，所以，那种一揽子“职责分离”的参考清单，只代表个人理解的臆想，没有意义。

譬如，很多人公认的“计划与实施分离”，真的是“不相容”吗？不能这样讲，企业中从来没有过不考虑实施能力单独做计划的存在，只不过由于企业的规模、业务特点、产品复杂度、管理需要、责任等原因，进行职责划分的一种“分离”错觉。可能有人说，泰勒就主张计划与实施分离，那是工业化规模生产带来的“管理”分工。

如果仍不理解，可以设想，当计划分解到执行组织的时候，执行组织是不是会产生一份自己做计划、自己执行的现象呢？比如，内部审计，是不是有很多事项，是自己做计划自己组织实施呢？空间不同形成的“可视化”形式，不能认定为“统一标准”。

再比如：内控规范提到的内部控制五要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。五要素不仅适用于企业层，也适用于各业务领域。

企业有企业级的内部环境，业务域有业务层的内部环境等，目的就是在介绍企业内控的场景。但是，翻看企业中内控建设的手册，是不是就发现问题了，这就是我总讲“落地”的原因？

没有交代清楚场景，缺少该业务域管理追求的目的，目的交代不清，何谈风险？又何谈“有风险的关键事项”？风险，不是孤立存在的，而是相对的客观不确定性。

其次，对流程机理不清楚。内控活动的层级要远低于“流程”，通过内控工作梳理的流程，不可能做到流程管理的系统程度，最多反映为分支化的职能流程，而职能流程对应的是“业务活动”，很多反映为多角色的作业流程。曾见过一个企业内控建设梳理的流程，一个简单流程贯穿3个层级的单位，谈什么内控啊？另外，从流程的维度，对流程活动的描述需要非常清晰、具体，并非“科学、有效、合理”所能代替┈┈。

记着我在哪篇文章中说过，由内控建设牵引出的流程，也要做好规范化描述，为流程管理做好准备。因为，流程管理强调整体、强调系统，职能流程是可以被逻辑型端到端、流程组等高阶流程调用的，并非没有意义。

不要小看内部控制，企业的内控建设，只能建立在对管理全面理解的基础上，除了像“财务”这种特别标准化的管理业务之外，绝不是复制一套常识化的流程、从18项指引中套用一些“常识化”描述所能替代。讲到这，理解为什么很多软件公司，都发迹于“财务软件”的道理了吧，但在其它领域，很难形成通用的“IT产品”。

会有人反问：如果内控没有落地，为什么企业也没发生什么大问题呢？从企业来讲，只要能够正确地行权、只要不发生乱投资、只要在用人角度不太“滥用”，在一段时期内，一般不会发生大的生存、违法违规问题。为什么？

大型企业中有很多“成熟的制度”，也有长期运作形成的“习惯”，真正发挥作用的，不一定是流程与内控手册，而是制度，本质是视同手册不存在。

所以，我总讲，要让内控手册的可理解度、可操作度，达到超越制度，但又没有制度那么繁杂、刻板表述的程度，至少进行内控评价时，依据的是内控手册而不是制度才行。如果连内控评价都不用手册，那它的意义何在呢？

能实现吗？如果你理解了企业制度真实的、很难克服的本质问题，熟知企业制度制定中，由于起草者认识的局限性、内容结构的质量，就能解决。不是制度本身没有用，而是制度设计者的认识、理解存在问题，从常见的企业员工对“制度有效性的质疑”，就能反映出来。

同样的道理，流程好吗？专家会告诉你很多“流程非常好、非常必要”的道理，工具好归工具好，关键害的看设计质量。很多人会说，流程是天然存在的，没错，那也得看“习惯性的迂路”情况，梳理流程不就是流程设计吗？

03.内控形式的多元特征

一定要摒弃“内控管理部门开始组织建内控”的观点，实际上，内部控制从组织建设、规范业务管理之初，就开始形成了。那既然有了内控，为什么还要建设内控呢？

由于组织建设、业务管理中，非常可能缺乏系统思维，导致控制存在的合理性值得斟酌；其次，由于职能管理的立场，决定了很多内控彼此交叉，效率低下，效果不佳问题；再次，由于“权制”观念、“利益权衡”等原因，存在一些业务工作“失控”问题。

我们要先弄清楚“内控”有哪些表现的形式。这时候，会不会脑海中反映出“审核、审批、评审、审议、批准、决策”等常见现象呢？他们都具有控制功能，从企业外部监管者的视角，都视同为内控，但是，放在企业本体，很多仅仅是具有控制功能，但不一定是需要建设的“内控”。需要从头说起。

别看现在“很多内控工作者”讲着“不相容职责”，其实很多人不一定清楚其起源，也没有真正明白不相容什么意思。不相容职责，不是“内控管理部门”所能改变的，它不拥有这个权限。

不相容职责，是组织管理部门规划并实施后形成的结果。是基于对企业运营模式确立的基础上，进行的组织层职能划分，不一定是什么“统一标准”。

譬如，采购业务中对“采购管理与采购实施”的划分；固定资产投资业务中“引进设备实施与进出口管理”的划分；市场业务中“项目合同经费确定与项目经费管理与使用”的划分；基础建设业务中“设施规划与基建实施管理”的划分；产品制造业务中“产品制造与质量控制”的划分；物料使用中的“库存管理与领料应用”的划分等等，企业中数不胜数，但总结下来，都与“资源、权力、风险”紧密相关。

这些业务职能，都有一个共性的“风险”特征：职责漂移。即，强势部门由于立场、利益的考虑，会不断侵蚀制衡部门的“职责”，常见的现象是，弱势部门往往会做出妥协，体现在哪？制度。那怎么控制这一风险呢？明确的“表单”为职责界面，只有“硬介质+职责的清晰描述”，才能保证分离与制衡的有效。那怎么理解“不相容岗位的职责分离”呢？

其实一个道理，岗位是组织的最小单元，而组织管理职责划分出“组织架构与职责边界”后，在岗位、编制设置中，虽然不一定掌握法律法规、政策要求的具体细节，但是会找“该业务部门负责人”进行沟通。所以，凡是“法规明确规定的岗位分离”，正常的企业，一般不会存在“问题”。不需要内控部门“费劲八叉”地“识别”，是职责部门的正常履职责任。何况，也不是内控建设的“重点”，但可以了解、掌握。不要理想化地认为，内控建设，就是一网下去，大鱼、虾米全捞上来，能做到部门层就非常不易了。

我们归纳一下内控的表现形式：一是判定启动控制的界面“标准”，体现于有风险管控属性业务域的纵向管控；二是由不相容职责分离、专业职能分工带来的“流程控制”，为横向控制；三是由权责设定带来的“升级控制”，反映为横、纵结合型控制；四是由于风险关切，由职责部门确定的“集体决策”，反映为关键活动的“重大节点”（谁组织谁是内控责任体）。至于流程中由流程责任人负责的“审批”活动，不作为内控建设内容（你也建不了），那是权力与责任，由制度、流程决定。

其中，一，体现的是“管理水平”，反映的是“控制与效率的平衡”；二，反映的是“符合型、专业型”内控；三，是“二”的延伸和进化；四，是由企业内部经营与管理追求决定的“重复型重大风险”控制节点。

譬如：企业中三个100%为标志的“法务内控”，属于“二”；重大决策流程中的“由合规官实施的合规控制”，则属于“三”，合规官的内控，建立在或法务、或合规部门横向控制的基础上。再比如：“三重一大”事项决策前的“董事会委员会审议”，属于“三”。

那什么样的集体决策活动，只具有控制功能，但不属于内控建设的范围，怎么鉴别呢？很简单，非常设组织，是“鉴别标准”，但并不意味着没有内控，内控活动的角色是“集体决策”背后的组织者，譬如，重大节点质量评审背后的质量管理部门。

可以明确地告诉大家，内控建设理解不到这一层，理解不到浮于“内控”之上的那层“管理目的、理念、逻辑与方法”（是一个倒溯的过程），建立的内控产出，不会有什么实质意义。

04.企业内部控制怎么建

其实，如果理解了“03”，又能够快速理解企业的架构及基本思想，通过对制度的理解，完全可以判别出企业内控处于什么阶段，什么水平。

第一，内控部门必须明确内控的定义，明确内控的内涵结构，这与企业的职责分布、组织分工没有任何关系，只有讲清楚“内控”的范围，才能追溯责任。

不要认为企业的制度建设有多么完善，事实上，不少企业的制度一团糟，很多都是因为历史遇到的问题，通过紧急整改而形成。就好比我当年在某集团一样，号称制度非常完善，当提出全盘清理、明确是否有效的认定标准、按照系统性进行整体规划的工作部署之后，仅总部层清理出的八百多份有效制度，仍具备有效条件且被认定继续有效的，已所剩无几。

需要说明的是，这种结果不是强制要求，而是让制度责任部门根据自己的管理需求，对现实进行梳理的“自选择”，当然，也要对规划进行审查。如果制度架构规划不系统，意味着什么？管理者缺乏系统化管理思维。

即便如此，在新制度报批过程中，我与主管部门在内容沟通上的压力也非常繁重，但这不属于内控，仅仅是责任驱使的经验勾兑和提醒，不属于我的职责范围。所以，企业中的人责任心强，知道的越多就一定会很累，不要学我这样，不好。当然，也有很多无奈的妥协，你不能总帮着改吧。

第二，要认识到，内控建设中涉及的“流程梳理”，本身不属于“内控”的工作范畴，仅仅是内控离不开管理、离不开制度、离不开流程，而不得不开展的工作。如果企业具有完善的、系统的流程管理，内控建设的本质，就是“流程优化”。

第三，要通过内控管理手册，把内控管理部门的设想、定义、范围、结构、要求、组织与职责、体系本身的运行流程、流程与内控作业手册中的结构、流程数量、体系维护周期、奖惩机制、企业级内控环境等信息全部描述下来，是统一企业员工内控认识不可缺少的资料。这本手册，是企业级的“内控管理手册”，但不是体系手册的全部。

其次，如果要把合规管理汇入内控管理手册，可以结合说明，方法同上。在流程方面具体操作上，有两项工作：一是把识别出的合规要求与相关角色的活动说明进行比对、完善；二是把与角色活动相关的红线写入作业说明，但特别重要的仍然是“行权”。再次，如果要把风险管理也写入一套管理手册，需要单独一个“结构”说明，为什么？

本文没有讨论风险管理，是因为“风险管理是内控与合规体系”建设完成之后，在已有的“运营秩序标准”基础上，再采取的“防范、化解与降低风险”的机制。风险管理是对“制度、流程”之外风险的管控。这就是我总讲的，构建“第二道风险管控能力”之所在，而这一层，全部对的是“年度绩效”。

仔细回看一下企业年度风险评估得结果，是不是很多“可以由第一道能力解决”呢？只有这样，重点风险才能减少。评估出大量的风险事项，反映的不是成绩，而是企业管理的落后。

第四，构建流程与内部控制作业手册。该手册不一定必须对应“18项指引”内容，而是根据企业实际，结合18项指引，通过企业层的风险评估，确定的重点建设“领域”，以及各领域下需要加以“控制”的、风险属性较大的重要活动。

第五，每个业务领域，都应该包括内控环境、风险评估、重点业务活动流程与内部控制、信息与沟通、业务主管部门的监管。这里的监管，不同于企业级的内控要素之一“内部监督”；这里的内控环境，包括该业务域的管理目标及风险重点、风险解决方案（即管理方法）、组织与职责、该业务域管理层的治理机制等内容。

通过风险评估形成的重点，即该业务域需要进行“内控建设”的关键活动，对应的是作业手册中的“流程”。所以，我总讲，内部控制牵引出的流程，是分支流程或跨角色作业职能流程，达不到“流程管理”的程度。

正是基于以上认识，我把内部控制五要素更改为：业务目标、风险环节、管理思路、内控环境、风险评估、控制活动、信息与沟通、监管或监督。而业务目标重点侧重于“合法合规、资产安全、财务安全、企业安全”4个方面。

第六，企业的公司治理结构，是内部控制建设的根本基础，是平衡企业“发展、安全”的条件。公司治理对上要承接授权、分权，对下要授权、分权，要进行“三会一层”的组成结构、条件、授权（监事会不一定有，但一定有该功能组织，视具体情况定），规定治理层每个角色的“用权之限”；建立“三重一大”事项认定标准及清单，结合“三重一大”事项建立决策流程，当然也包括议事规则、会议的定义。是衔接决策层、管理层、运营层的关键。

企业不可能永远停留在“党委(党组)把方向、管大局、促落实；董事会定战略、作决策、防风险；经理层谋经营、抓落实、强管理”的说法层面。如何落实？流程。

第七，要把内控描述到“可操作”的规范、具体程度。事实上，有些承担内控职责的部门，要真正履行内控职责，构建控制标准的依据清单很难避免，否则无法实施。就好比战略符合性内控，却没有“主业及拓展范围”清单；物料选型内控却没有“通用物料优选目录”，一个道理。

不要认为内部控制就是“写手册”，通过内部控制建设，发现“管理缺陷”，非常关键。譬如，企业重点关注的“两金”，超期应收款清理，仅仅是浮于表面的“工作”，销售回款需要与绩效挂钩，库存周转率与库存规模，需要从采购、生产角度解决，其中就会涉及生产计划、采购策略、安全库存、策略库存、中间件库存等，也包括“生产车间排产与生产计划”之间的控制关系，否则，内控就成了一个“故事”。

写的太多了，还是希望企业把内控工作做得有意义。内控建设不是短期内能够完成的，需要遵从“突出重点、掌握方法、群策群力、循序渐进、持续完善”的原则。

另外，企业的内控建设，没有结束，可以将一个阶段的成果，认定为完成，也可以持续地优化、改进、深入、扩展，与企业的管理水平、责任与追求有关。

不要寄希望一次搞的大而全，即使用几个月时间做出来一本手册，可以肯定地告诉您，这种做法很难有实际效果。一年解决两、三个领域，做好做细，或者为了应对、满足上级单位要求，在每个领域找到一个重点进行建设，都不失为一个有效的内控建设策略。