随着内部控制在企事业单位的推广，以及主管部门从内控的维度对单位管控效能进行评价的应用，内部控制的重要性已成为不争的事实。

几乎每个单位的内控主管部门，都忙于推动各职能域的内控建设，每年的工作计划也不乏向广度、深度推进的陈述。

见怪不怪的是，在我见到过的很多单位中，却极少发现来自于内控管理部门的控制活动。

01.内控主管部门无控制，意味着什么？

有人说，内控管理部门每年都在组织开展内控评价工作，评价报告都经董事会审议，这就是他们的内控。能够得出这种结论的人，一定还没弄明白内控，也没搞清楚体系管理。

首先，内控是一种相对称谓，在企业内控建设中，针对的是控制。其次，企业中只要是借助某个正式标准或依据开展的体系建设，无一例外地都会存在对体系的评价，是体系管理的一个构成。

评价既不代表控制，也不代表体系治理，只是体系管理中万般一致的“活动”，反映的是企业领导层对体系的重视，以及不断优化体系所采取的行动。

控制是管理的一项职能，是一种稳定的针对某类重复性事项实施影响的活动，具有及时发现或防范风险的功能。

这种状态，是不是意味着内控管理部门的职能不存在风险，无需控制？抑或内控管理的职责就是推动其他职能强化控制？还是内控管理部门没有行使管理职责？

三者必有其一。有人说，内控指引中没有内控主管部门的“控制”指引，这就叫“僵化、教条”。控制是管理的一项职能，风险与目标是相对的。

感受不到风险的原因是：内控管理要么没有目标追求与压力，要么是很低的目标，或者说是没有目标。

一切看似那么自然，很多人习惯性地讲着、做着内控评价的事儿，又是抽样，又是取证，然后得出评价结论，然后提交最高决策机构进行审议。可是，需要回答的是：你在评价什么？

抽样、分析、取证的目的，是为了验证体系的有效性，而不仅仅是为了他们本身。不少人会认为，体系评价就是通过抽样统计以证实体系有效或存在缺陷，而且最后也给出了体系的有效性评价结论。

那我们推理一下：如果说企业建立的内部控制是一个管理体系，体系包括什么结构？决策、治理、运作、支撑，遵从PDCA原则。问题是，这里的“D、C”指的是什么？体系治理由谁承担职责？

D，包括体系中各流程的运作、按计划进行的控制建设，还包括内控主管部门所做的体系治理的事儿；C，包括日常的检查、体系评价。这是体系管理的原理，关键是，体系的治理一定有控制，否则，意味着体系的持续性存在不确定性。

很显然，如果内控主管部门无任何常态化“控制”，就出现了3个结论：一是缺少体系治理机制，意味着体系建设存在的不是缺陷，而是问题；二是体系有名无形，保持着内控建设前后无差异的习惯性状态；三是内控建设的产出仅仅是写了一份资料。

任何一个结论成立，都可以构成“内控评价”的依据是制度，而不是体系管理手册以及流程与作业说明。既然从开始体系就有问题或不存在，那还有继续评价的必要吗？几乎都不存在“重大缺陷”的评价结论，又是怎么出来的？

同样可以得出结论：很多体系评价本身可能就存在“缺陷”。谁说“评价者、监督者”的做法，就一定是对的？不过是人们很少去思考、去质疑而已。

问题是，内控建设是在指引指导下、制度基础上进行的规范化、系统化建设，体现的是管控水平的提升，无视高水平的存在，依据原来的水平进行评价，那内控建设、内控评价的意义何在呢？

02.造成这种常见现象的原因是什么？

看待一个问题，必须分析其根因。内控管理部门的体系建设缺乏治理机制并非偶然，很大程度是必然。

内控是一个泛化的来自于外部的定义，泛指企业中所有的控制。控制面向的当然是风险，无需任何解释，谁都知道控制既不产生价值还会影响效率，但对企业安全、流程稳定有保证作用，所以，控制讲究最少必要性。

在不少人的观点里，过度的控制并非好事儿，我并不反对这一观点。如何正确地看待一个观点？需要从全局、大局、实践的角度去认识，不然，所有的看似非常有道理的观点，可能很适用于某一个企业，但对另一个企业可能就是伤害。

为什么会出现内控管理部门缺乏“控制”措施的现象呢？有三个原因：一是用“泛化的内控”理解控制，僵化地把指引当做了建设标准；二是没有用系统的思维去规划企业的内控体系，而是用常态经验去推动工作；三是混淆了阶段内控建设产出与体系持续性的关系，把产出的一套静态资料，视为完成了内控建设。

原因不是根因。企业中呈现为不同形式、具有控制功能的活动非常多，他们都可以理解为“内控”。但是，作为承担“内控建设”主体责任的企业，并非所有控制活动都属于“内控建设范围的必建控制”。内外有别，不要拿外部观点强加给企业。

根因在于，正是在内控建设规划之前，缺少对内控、需要建设的控制活动进行“适应性”标准化定义，导致建设成果产出呈现为“泛化”，间接造成了内控主管部门不知道“控制什么”的结果，自然就没有了“控制”。

怎么做标准化定义呢？内控既然是“泛化”称谓，自然存在广义与狭义之分。广义的内控，我已在多文中做出过定义。狭义的内控是什么？是企业内控主管部门“组织建设”的具体内容。内控建设，没有结束。

内控主管部门只有真正理解、掌握了“自己管什么、建什么、建的结果是什么样的、流程责任主体是谁、控制的责任主体是谁”，才能找到可持续的路径与方法，才能知道自己希望的结果是什么样子，才能认识到自己需要控制什么、怎么控制。

同样道理，内控主管部门只有清楚地界定了“内控建设的对象类型”，其它部门才知道“建什么、有什么要求、怎么做、何时做、做什么、做成什么样子”。只要有了目标、有了管理、有了要求，就会出现不确定性，就会产生“控制”。

问题是，怎么做好内控建设针对的“控制”定义呢？对大型企业来讲，控制活动百千多，类型就几种，做好了分类，很快就能找到需要建设的“控制类型”，找到了类型，就可以建立“内控环境”。

找到了控制类型，并非结束。类型，呈现的是状态，再挖一层，就会发现状态虽然一样，但控制机理不同。认识到了机理，就可以从设计角度找到“控制”建设必须拥有的条件，把他们规范下来，就是“不同机理控制建设结果”的基准，构成了部署“内控建设”的工作要求。

有了基准和要求，就知道了“控制什么”，整理出来，就是内控部门的“控制活动标准”，是内控体系化管理“治理机制”的一项功能构成。

即便主管部门不得不自己承担当下的企业内控建设，或者请第三方帮助完成，都代表的是一个阶段成果，而不是终结，最终都会导向“其它部门承担的可持续”，内控归口部门“实施控制”的必然性就出现了。有了“控制”，才具备PDCA中“C”的落地条件，不然你都不会知道检查什么？各部门又怎么知道建设什么呢？

内控环境，不是来自于“内控规范说法”的套用，而是“实践”的规定。企业员工，没人听主管部门陈述、照搬、写出的“理念”，而是要知道“你让我怎么做”，大家都按规定做了，内控环境就出现了。这种做法，还是专家经常讲的“营造内控环境”的说法吗？那是方法论，不是实践。

为什么企业千辛万苦建设的“内控手册、内控程序与作业说明手册”无人问津？这就是原因，问题出在“内控规划”阶段。“前端”不稳定，必然遭受“后端”的反噬。所以，才出现了仍然或者说不得不按照制度进行内控评价的奇葩一景，造成较大的成本投入浪费。

03.影响内控落地的其它因素

实际上，如果企业做好了“前端规划”，辅以“有效流程”的支撑，内控的意义、作用就会呈现出来，也不会出现一条流程中出现“若干”控制活动的奇特现象。

如果仔细看企业内控的程序与作业说明，还会发现一个“大同小异”的现象，一条流程解“百态”，这不是流程，而是徒有流程形式的“原理”，谈不上“控制活动”建设。

如果仔细看企业内控手册中的“风险控制矩阵”，为什么一条流程出现若干“风险”现象？流程基于原理而非“事态”，自然渗透着“原理型风险”，这种情况导致“根本找不到具体措施”，只能用“职责”、不可落实的理念化措施代替，更别说标准化。原因是“跨度太大、原理性太强”，就好比把企业视同为一条流程，要多少风险你尽可描述，但一个问题也解决不了。

那怎么构建内控环境呢？前提建立在“控制”的定义上，我们做一个设想。

一个部门内的几层职位结构，部门自己承担的工作，部门爱怎么做、爱怎么控、几级审批是部门自己的事情。但是，部门承担的“控制”不能这样子，因为，部门自身的“低效率”会影响到企业的整体效率，所以，就会出现“一个控制事项，在部门内停留时间的规定、控制点数的规定、责任的界定”，这就是在构建“内控环境”的实践，而不是停留于“说”。

为什么我总讲企业的内控建设，不是把程序与作业说明文件叠加装订在一起，前面从“规范”中转化出“大同小异”的文字表述，就称为“企业内部控制手册”的做法呢？没有实质性转化为“实践”，再苦恼于“不能落地”，也不会找到解决的办法。

这些固有的问题是怎么造成的呢？没有理解本质。比如：企业内控规范中提出要进行年度内控有效性评价，企业就用一周时间一次解决，没有找到具体实践方法，只不过是在完成一项任务而已。

再比如：企业急于完成内控的阶段建设，为什么有甚至都没有企业经验的人敢做一个月完成的承诺？根本不是设计，更不是建设，那只是“复制”。那么，这样的产出不能落地，可以理解了吗？急功近利的自我选择，有什么可苦恼的呢。

客观讲，如果追求实效，哪怕要做好一个领域的内控建设，一个月都很难完成，因为控制的建立，很多都是“跨部门”管理思想、方法的结果，只要理解不到这一层，所谓的风险、控制就是“理念化的杜撰”。做为一个经历过长期的若干职能管理岗位磨炼且具有少见产出效率的人，我很佩服那些“敢于拍脑袋做承诺”的人，但只是敬而远之，终是害人、害企业的做法。

04.结 语

在企业中有一个规律，只要是做“体系化管理”，就必须考虑“持续性”，只要是归口管理部门，就必然存在“控制”。

可持续，建立在“接地气、可落地、可操作”的基础上；控制，建立在明确、清晰的“结果标准”基础上。因为有了结果预期，才能感知到不确定性，才能制定必要的控制措施和控制方式，流程就产生了。

管理制度化、制度流程化、流程控制化、控制信息化的说法，并非没有道理，但并不太完全准确。四化的说法，建立在把“完善的制度”做为主要管理方式、把流程做为提高制度执行力的条件假设上。

流程控制化，就出现了略显牵强的问题，控制因管理所需、保证运筹有效性而存在，而不是刻意追求，大可认为是从“控制维度”得出一个观点。对流程来讲，影响有效性的因素，就是风险。

至于控制信息化，需要从两个维度理解：

其一，从内控管理的维度，建立一套“管理数据”的IT系统并非不行，但实质意义并不大。最大的意义在于“把控制标准”转化为“量化标准或逻辑判断标准”，实质是建立一套“基于数据的控制判断模型”，成为各种信息流必须通过的“关隘”，实现“控制检测”的目的，缺陷是照顾不了全面。

其二，结合其它业务管理IT建设，把内控的控制标准贯穿到“IT”系统的“内置流程”中。有三种实现方式：一是通过建立“控制判断模型”，让机器实施自动判断，由IT的数字化程度决定，结果就是“弹窗提示”或“超出标准的筛选结果呈现”，可以理解为“发现风险”；二是IT中常见的“人工介入审核”的界面，反映的是“控制节点”，本质也是“人工控制”，实质是流程断裂的反映；三是从风险、责任角度的警示，譬如，当流程发起者操作时，会出现隐藏或显性的“控制标准、承担责任”的窗口提醒，本质是“预埋的风险提醒文本”，是控制前置的反映。

除此之外，控制信息化基本没有其它实现方法，笔者从效能整体角度考虑，更倾向于第二种维度的实现方法。