01.基于内控效能考虑的三句话

第一句，企业内控是一个大概念，建立在不加分类、甄别基础上的内控建设，无异于盲人摸象。所以，才会在通常见到的狭义流程与内控的表达中，经常看到大量被描述成控制，但又不是控制活动的现象。

第二句，有流程形式但没有流程之魂的文件，无异于画饼充饥。由于没有做好流程切割，放大了流程空间，却用具体流程的方式表达出来，颗粒度的加大，才会在流程文件描述中，出现了很多“科学、合理、深刻、认真”的模糊化形容词，甚至把组织职能直接作为活动作业标准。这样的产出，只是长了各流程模样，根本不是流程工具的应用，既没有意义，更不可能落地。

第三句，建立在没有系统化流程基础上的几位一体建设，无异于在描绘一个美好的道理。大多企业的制度、流程管理并不成熟，依靠内控建设带出来的流程片段，本身并不全面、系统，也不具备承载多要素的能力，别把流程管理看的那么简单，更不要把工作搞成话术。

即便局部的片段可行，也只能体现该片段的管理要素、管理要求，不会反映出具体活动。体系建设离不开建手册，但不要把建手册误当成体系建设。

02.广义内控与狭义内控的外延不一样

从企业来讲，内控是很大一个概念，宏观上，企业可以基于安全考虑，专门设置某组织强化某领域的控制，会考虑组织之间形成必要的牵制关系，会为了更好发挥组织的职能，建立组织内部的职位结构，明确组织的上下管理关系、横向的职能界面与接口关系，都是控制机理的反映。

职能管理部门通过体系建设，考虑外部合规的要求，将管理思想、原则与方法，通过制度、流程的形式固化下来。所以，职能是制度、流程的基础；制度与流程的执行，就是部门履职的反映。但是，这种机理，建立在制度完善、流程系统合理的条件上。

其中，渗透着部门间、职能间的协作关系，谈不谈“几位一体”无关紧要，只要设计合理，该有的、该做的哪个也跑不了，是由机理及管理要求决定的。企业的管理不是因方法而做，而是因机理、逻辑的认知，采用最适合的方法达到目的。

仔细思考一下，风控领域经常提到的“3到8位一体”建设（迄今为止，8位一体的做法，是我听到的最多量），经不起推敲，只需要一个问题就可以证伪：风控活动有哪些？怎么开展？难道建体系，没有其他组织的“DO”吗？必须明白，PDCA的责任角色是有区分的。找不开怎么开展工作，哪来的一体建设呢。

现实上，企业的制度、流程往往没有那么完善、系统、合理，所以，企业的运作经常呈现“会议多、协调多、报告多、指示多、问题多、要求多”的特点，是企业运营体系不稳定的表现。运营基础不稳定，发生风险的概率就会变大。

如果仔细分析企业，很多管理部门之间，主导的制度、流程分布是不均衡的，为什么？是由管理者“管理能力、系统思维、管理责任”决定的，这就是衡量部门管理者能力水平的一个“要点”，制度与流程是最直接的表现，而不是看他的“讲”或“忙”。

理想和现实的差距，是企业寻求措施、解决问题需要考虑的两端，也可以讲，是为了“缩小差距、增强抗风险能力”而采取的措施。措施，并非指的单纯的“内控”，而是管理方法中渗透的“运筹逻辑、控制机理”。

分析、描述一件事儿，必须考虑从哪个维度、哪个侧面去阐述，维度、侧面不一样，表达出来的侧重点就会不同。就好比你拿手机拍照一样，会考虑效果而选择不同角度或局部，但都是那个被拍照的“对象”，只不过基于某种目的，拍照突出了“某一方面”而已，如果你要讲这张照片，首先要讲“对象”是什么，否则，它只能是一张图片。

内控建设的难点，就在于此，就好比你拿了一堆图片，却找不到每一张照片的来源，那就只能欣赏了。从内控本身来讲，就是希望通过控制，让受控体达到什么样的状态或水平，前提必须知道期望的状态是什么样的，是由哪些管理要素决定的。

问题是我们在讨论内控建设，虽然很多人非常想找到“把内控做好”的窍门，但很遗憾，真正的好方法不是从“内控”出发，而是从“管理思想、运筹逻辑、合规要求”出发的机理认知，对控制要素的“明确”。因为，内控仅仅是一个局部，而要做好局部，必须从整体出发。

这就是我把内控定义为“企业为防范经营风险，实现经营目标所建立的制度、流程与措施”的原因，但并不意味着制度、流程是内控，他们虽有“约束、控制”的功能，但真正发挥“控制风险”作用的，是其中的节点“控制”活动。所以，这个定义，我们可以认为是企业中的“广义内控”。

企业的内控建设，离不开完善的制度、流程，但只能认为是条件。我们通常开展的具体化的“内控建设”，指的是“狭义内控”，即从“完善条件”的假设中，去“规范化、具体化、标准化”的控制活动建设。

原理总是容易阐述，但是，必须认识到，企业中“制度、流程”并不一定完善，所以，内控建设可以发挥“补充、规范化”的作用。内控的产生，除了法律、政策的要求之外，绝大部分产生于管理的方法，前者非常简单，后者最为复杂。

03.企业的内控，很大程度是由管理决定的

讨论这个话题之前，我们先把要建的“狭义内控”甄别出来，做到统一认识、有的放矢。否则，每个人头脑中的“内控”，都是搅在一起的“乱麻”。图中的分类与甄别方法已经写的很清楚了，不做解释。

要做好内控建设，仔细理解18项指引确有必要，但他们是一种常识，即便是常识，即便是从风险角度的描述，也离不开管理机理的铺垫。企业可以借鉴或参考，但如果基于此想做好内控，你相信企业都长的一样吗？别忘了，他们叫“指引”。

做内控建设的前提，最需要明白企业、理解大多业务域的管理机理与方法。对大多企业来讲，内控不是一种适用于“各个企业”的标准化产物（除少数法定的内控或责任控制之外），而是因企业基于发展与安全的平衡，基于每个职能组织价值定位、价值追求的管理需要，基于从宏观、中观、现实微观等方面的风险度量所采取的措施。

这里的“价值追求”，不能理解成企业“价值创造”中的价值，而是每个职能组织对企业的“贡献”，往往与组织的绩效指标紧密相关。

比如，供应链管理的价值追求是：及时足量保质交付、库存最优、采购成本有竞争力、供应商供应能力可持续；人力资源部门的价值追求是：把合适的人放到合适的岗，激活员工的积极性、主动性；审计部门的价值追求是：发现、揭示问题，让外部监督发现问题增长率降低，让内部发现的问题不再重复发生┈┈。

说到这，我们仔细回想一下，风险管理、内控管理喊过“创造价值”吧，监督也喊过“创造价值”吧，现在有些机构又开始喊合规管理“创造价值”了吧，可惜的是，下一句变成了“挽回损失多少万元”！说明根本没搞明白这些工作真正的“价值定位”。

其实，在企业中，只要能够理解每个职能的价值定位，再看他们采取的管理方式和方法，问题很快就“浮现”出来了，而解决问题的方法，很多是系统性的，只要是系统性管理方法，必然存在“内控”。

每个职能组织，只有正确认识到自己的价值定位，才能导出“正确的管理思想”，才能找到正确的“管理方法”，才能感受到价值追求所带来的“风险挑战”和压力，这时候的“内控”必然是具体的。

如果一个企业缺乏价值或绩效追求，每个部门的计划全都100%完成；每年的总结都是成绩满满、问题轻描淡写；每年对员工的评价，依靠的是管理者个体的“主观心情”。这种环境，淹没了“组织间的绩效差距、贡献大小”，抚平了“贡献者与平庸者”的绩效、能力差距，甚至会“对高绩效者形成打压”，久而久之，必然是优秀者将不再追求优秀，平庸者附庸唯上、乐得其位。

由于没有了“透明化”的绩效落差，做再多、做再少的人都一个鸟样子，做得越多的人，问题反而越容易被管理者看到，领导者也会沉迷于权力、醉心于裙带。这样的企业，没有了追求、缺少了激情、感受不到风险，哪来的管理改进？又何谈“有效内控”。

其实，在每个企业中，各种职能都存在，各种“类似”的做法也都有影子，区别在于做到了“什么程度”。比如，每个央企都在做风险管理、合规管理与内控管理，都在高呼完成了体系建设，很多还在介绍、宣传着经验，但差别究竟有多大，不检查、不比较，谁都不知道，这就是一些企业醉心于宣传的原因。

我们举个最熟悉但最不惹人注意的例子：企业内部审计经常把“发现问题、揭示问题”作为定位，每年例行公事地开展内部审计活动，也会发现大量有轻、有重的问题，也开展些问题分析，是不是跟每个企业的操作基本一样？他们的定位是“发现问题”，当然问题数量越多越体现成绩，但是，这种做法真的正确吗？

如果仅仅是为了发现问题，企业完全可以“外包给更专业的外部事务所”，只需要约定：如果你审过的领域，仍然被外部监督发现重大违规问题，不仅取消合作关系，而且要支付上年度费用做为赔偿，承担监督失察责任。专业事务所一定会做得非常好、非常专业，而且成本更低。

企业为什么要花费更大成本维持内部审计职能呢？就是要保留常态化监督与威慑，就是要通过内部的一些活动，把发现的重复性问题消灭掉，促进企业的规范化运营。说到这，是不是还有一个共同点？内部审计经常说一句话：问题整改是主管部门的职责，审计部门不负责整改。

这句话又错了，组织类职能与承担类职能是有区别的，发现了重要问题就需要进行整改、验收，而要承担整改验收职责，就必须压实“整改的管理责任”，就必须把问题传导给“负有直接整改管理责任的部门”，而不是留在自己手里。

有了管理要求，就会设计“整改验收程序及符合验收条件的管理标准”，就会出现对应的“内控”措施；有了不让问题复发的追求，就会去开展问题分析、宣讲、培训，让每个组织管理者知道“审计的关注点和方法”。企业的管理要富有“张力”，监督不进入管理、流程，但可没有说不允许“监督职责范围内的管理”存在吧。

事实上，这个企业被外部监督发现了大量的沉淀问题，如果说本级管理者的一些活动不好监督，有情可原，但下级多家单位也发生大量“类似”问题，而且完全可以发现蛛丝马迹，那就意味着最低的“发现问题、揭示问题”的定位并不那么妥当，没有找到合适的方法，必要的控制缺失了。方法，总是基于目标追求与责任设计出来的。

分析了两个例子，想说明什么呢？大型企业的内控，不是因为“内控体系建设”而新生，而是因管理需要设计出来的、让管理预期的“过程”保持稳定的措施。讨论内控问题，如果总用“风险”来解释，永远都是道理。

在内控建设中，可能会发现有些企业对控制机理的无视、对突出风险的控制缺失、存在问题或缺陷，要解决这些问题，不是基于单纯的“内控建设”，而是管理方法的规范化和管理提升。所以，内控建设有一个“倒溯”的过程，必须理解“管理思想与方法”，这就是我为什么总讲“内控管理可以促进管理提升”的原因。

04.为什么做的很漂亮的内控不被其它部门接受？

这个问题，在很多企业的内控主管部门都遇到过。管理中有几句类似的话：执行力是设计出来的，质量是设计出来的，成本是设计出来的。同样，被其它部门接受的内控，也是设计出来的。

不能被其它部门接受的原因，可以归纳为4个方面的原因，可以印证一下：

一是缺乏统一的“内控语言及管理认知”。解决这个问题的路径在“内控管理手册”，但不要理解成“流程与内控的作业说明手册”。内控管理手册的内容，不是“内控规范”的翻版，也不是内控环境的简单“迁移”，而是基本概念的定义，内控管理思想、原则、方法的明确，以及内控体系的运作、维护及基本情况说明，是要转化成企业现实管理的描述。

比如：企业强化内控，在每个部门实施“内控”的流转时间规定，每个部门内部的控制节点最大数，IT系统在节点的“滞留时间、自动处置方式、承担的责任”等等，都需要予以说明，这才是“内控环境”的实质内容。

二是缺乏每个业务域的管理思想整体描述、业务域的内控环境。比如：18项指引中的采购、战略管理、全面预算管理等等，并不是每个企业都完全一样，在这种情况下，依靠那么2、3条流程，能解决什么问题呢？其它职能部门能认同吗？

三是流程出了问题。很简单，凡是一条具体流程贯穿两个或以上单位层级的，凡是在流程活动作业说明中经常出现“科学、合理、深刻、认真”形容词的，凡是套用部门职责的，凡是大谈特谈常识风险的，就不要谈落地。因为，这根本就不是流程。

具体流程，有时候不需要刻意追求什么“风险控制矩阵”的形式，看到活动作业说明，员工自然就知道“内控”在控制什么风险了。之所以搞出一个“风险控制矩阵”，其实就是一个二维表格，仅仅是为了体现“风险”而已。真正有效的风控，因为具体，反而很难感受到“风险语言”。

四是内控执行的角色，缺乏可操作性指导及控制依据。其中，权限是一个方面，权限自然包括“合规”的意味。不过，在我看来，合规管理重在“管理岗位、管理角色”，如果总是拿“关键岗位”等说辞去进行合规建设，无异于又一次的“责任下移”，那还需要什么管理者呢？

内控也一样，控制角色代表的是部门职责，部门管理有责任为他们提供必要的方法、工具、参考清单，明确了、提供了，就放手让他去履行职责，必要的时候，检查、评价、指导一下即可。

为什么很多单位的内控角色不知道“控什么”呢？为什么内控建设做不到“具体化、规范化、标准化”呢？有认知的局限，但最根本的是管理模糊、缺乏方法、缺乏管控重点。所以，我总讲，内控建设必须理解管理的机理、逻辑与方法，然后才能谈内控建设的具体化。

建立在不能理解企业各业务管理域机理、管理思想、管理方法基础上的内控建设，建立在对制度、流程不能正确把握基础上的内控建设，可以写出一本手册，可以例行公事地进行内控评价，但肯定是难以被其它部门认可的“纸面结果”。

来源：互联网