内部控制是一种统称，在企业中反映为控制活动，通常被表述为风险解决方案，但这样的解释，只是“无异议”的机理表达，并没有什么实际的现实意义。

01.正确认识内控是开展工作的条件

我们通常讲的内控建设，其难度与复杂度，因企而已，与企业的管理基础有非常紧密的关系。

管理基于“贡献、合规”导向下的方向性期望，基于不变与变化的自主认识，通过制度、流程、手册表达出来。管理的可行性，最终通过应用、行动体现出来。

不变，指的是不能忘记不变的本质事物；可变，是在尊重并不违背不变的条件下，结合实际情况的自主认识设计出具体方法。这一点，同样适用于企业的合规管理。

设计可行是执行的前提，但并不代表行动有效。完善的制度、流程、手册，只代表管理的规范性，不代表管理的有效性。管理有效决定于对方向的正确把握、对事理认知的程度、方法的可行。

内控建设，绝非用通用的逻辑化流程、常识化、模糊化的风险、控制描述所能代替，这种方式，仅仅是象征性形式而没有意义。

逻辑、常识化设计，一定意义上代表的是“不变”，对大部分企业来讲，基本都能成立，具有一定程度的可复制性，但缺少了自主性的确定设计，本质是把自主性留给了各执行者，放大了再认识、再研究的空间，这就是企业中常见的看似有、但不能落地的原因。

执行有效性受制于设计合理性、可行性。内控建设的实质，是管理再认识、完善与细化的再设计过程，需要结合内控指引的不变机理，根据企业的实际情况，用清晰的表达、明确的控制要素及含义、辅以支撑控制成立的参照标准，让过去管理上的模糊与不稳定，通过内控建设走向确定、稳定，是企业开展内控建设应追求的目标。

内控建设一定程度上体现的是管理提升、管理精细化，也只有这样的内部控制，才具有现实的指导、借鉴、可执行意义，才具备防控风险的功能，才可评价。

片面追求内部控制，也会带来副作用。过度的控制，会影响流程效率。内控建设要把握4个原则：放权与监管平衡、安全与效率平衡、承担控制职责组织内的控制点数与停留时间平衡、后置成熟控制尽可能与前置控制合并。实质性的内控建设，是管理、方法与经验的合成。

完善、可行的内部控制可以发挥三大作用：一是从设计上，让管理期望转变成执行现实，这个“执行”，重点是控制角色发挥的保证作用，也是应承担的责任；二是有利于提高工作质量和效率，清晰的控制标准向流程发起者展现了受控要素，有利于从源头提高“正确做事儿”的自控力，一次把事情做对、做好；三是有利于简化监督，特别对侧重于“合规性”的监督，可以化解由于高频监督对员工正常工作的影响。

期望的内控作用，就是企业内控建设应该把握的方向。

内部控制所谓的“控制风险”，建立在把事情做正确的基础上，再通过必要的控制，发挥“预防、发现、纠正”的保证作用，但企业开展的可建设的内部控制角色没有“提案否决权”，具有否决权的是流程中不可缺少的角色，是从外部视角看的内部控制。

认识不到这一点，企业所谈的内控建设，本质仍处于“混沌”状态。所以，COSO把内部控制描述为一种政策或程序，而不是企业狭义内控建设所讲的具体控制活动，他代表的也是外部视角，但现实中企业开展的内控建设，是内部视角，其假设条件建立在制度、流程有效的基础上。

这就是我总讲“宏观内控”与“狭义内控”的原因，管理设计需要充分理解、系统运筹，不是拿过来就想当然地写材料，那样的产出，只能是输出一份材料。

现实中，内控建设所依赖的制度、流程假设条件并不一定完全成立，所以，狭义的内控建设，不得不放大建设空间。因为，要真正地解决问题，必须让条件成立。

内控建设至少要形成两套不同的产出，一是完备的财务类内控；一套是体现管理期望的管理类内控。

为什么当下内控评价仍停留于传统的类似审计的工作方式呢？这种做法，不可能满足管理的需求，根因在于内控建设将财务类、管理类混淆在一起了。所以，企业总感觉内控评价好像是一次审计，总有怪怪的感觉。

因为，评价的人更习惯于财务类审计，他们对管理的评价，依靠的是根据指引整理出来的机理化参照标准，而不是基于企业管理期望、方法对现实控制设计、执行效果的评价，明白了吧。

就好像我们谈企业技术创新一样，如果没有界定创新的功能结构及划分边界，就不可能清晰地界定责任、认定成果，形成技术创新的能力布局与管理机制，承担技术管理、创新管理的部门就很难找到管理方法，所以，企业技术管理部门总处于被改革的边缘，要么有却不知道怎么管，要么就没有技术管理部门或者有但只保留局部职责，都是一个道理。

做好内控建设本身是有难度的，体现在6个方面：一是对管理追求目标的认识；二是对外部法规与政策合规要求的认识；三是对组织间制衡关系的认识；四是对发起端不变要素、管理追求、逻辑、事理，以及基于方法及人性认识的风险要素认识；五是洞察支撑触发控制的“必要标准依据”，是决定业务效率与控制平衡的重要反映；六是基于IT的业务效率、控制责任的内控环境认识。

在某些自主性管理追求领域，特别是“管理类内控”环节，缺少管理的参照标准，控制是行不通的，实质变成了建立在“人的认识”基础上的“形式控制”，而失去内控建设的意义。比如，为提高投资聚焦度而进行的战略审查内控，在没有主业领域辐射清单的条件下却可以形成“审查结论”一样，实质构成了“形式化”冗余控制。

02.内控建设赢在管理期望

从直观认识看，内部控制通常被认为是流程风险的解决方案，但其本质来源于积极、良好的管理期望，目的在于让流程产生符合预期的产出，所以，控制是管理的一项职能，因管理要求而产生。

管理要求的产生，来源于管理期望。期望有两种：一种是基于外部合规下的管理内化；一种是基于合规经营所带来的管理需求。前者的自主性要远低于后者的程度。

比如：一般大型企业的传统财务管理，其管理方式和方法，大都基于外部合规下的管理内化，其记账方式保留了会计法、税法等相关法规对财务记账的科目性质划分，目的在于提高与外部法规要求的匹配性，从而满足监管要求。

在此基础上，结合企业经营管理进行了“内化管理”，比如预算管理、资金使用、费用分摊等管理措施。在不断强化的监管环境下，对公共费用、福利费用等进行了科目划分，其本质是结合监督要求，建立了一种资金使用与记账标准。

随着IT的导入，各企业财务管理的水平在不断提高，虽然结合企业经营，从财务角度也进行了一些项目界定工作，但由于其顶层潜在的管理期望原则，最终会反映在单位层的项目财务结算、单位财务决算。

这种方式的好处，可以满足外部监管、大股东通过财务反映企业经营质量与水平的需要，但弱化了“财务在经营中的支撑作用”，所以，很多企业的产品成本、基于产品的盈亏分界线、产品定价范围并不清晰，也限制了财务在该领域作用的发挥空间。

这种原则导向下的财务管理方式带来的内控建设是什么样子的呢？一定侧重于资金使用控制、一定侧重于记账准确性控制，资金的分配与使用，又必然带来预算管理控制，但从预算开始，基本已经与经营脱节了，所以，企业中经常出现“一刀切的同比降低费用比例”的现象，最多反映到费用类型的比例差异。

那么另一面会有什么影响呢？会失衡于财报真实性控制，失衡于经营风险的监视与可控性。因为，通过财务反映的经营风险是整体的，难于反馈到具体经营项目，所以，财务的风险监视最多体现到经营组织的风控责任，风险原因也是宏观的表现，找不到具体原因点。

我这样讲并非指的是“财务在财报真实性方面的舞弊”，因为财务不能创造数据，只要记账准确，只要不存在主观上的财务造假，就不会出现“形式上的财报虚假”，但不代表“实质性财报虚假”，即使财务决算审计也很难发现。所以，在记账准确前提下，如果出现明显的财报虚假问题，直接责任一定是财务行为。

那为什么又说不代表“实质性财报虚假”呢？因为财务数据来源于业务、来源于经营，记账准确不代表“经营数据不存在舞弊可能”，但是，仅仅依靠资金使用的控制，能消除这种舞弊风险吗？当然不行。

不要以为“提出主管领导对经营真实性负责”就可以万事大吉，因为这种要求背后存在利益下的人性不确定性，需要必要的控制以保证。所以，财务总讲“业财结合”，但大多企业只是说说而已，最多体现在预算中的沟通或干预，并没有找到实质性的具体方法。因为，这种转变不是财务管理一个部门能解决的事儿，还会涉及到面向经营的管理模式改变。

如果换“基于合规经营下的财务管理”这一期望呢？就需要进行财务管理、经营管理变革，财务角度的变革会涉及两层：一是记账方式的变化，会落实在经营项目的全成本核算基础上，带动预算管理的变化；二是财务管理前移至经营一线，参与到项目经营过程中。由于核算基础的变化，会带来对价格、盈亏、成本、费用等发挥作用，从而保证经营财务数据的真实。

这时候的财务报表，就具备了“实质性真实”的条件，而这一期望下的内控建设，一定会发生很大的变化，会与经营概算、预算、核算、结算、决算贯通为一体，经营财务出现了，常见的财务管理模式就会转变为支持与服务的特性。这就是我总讲“企业内控建设是从管理倒溯，再到内控建设”的原因，哪里来的不分企业大小，拿一套模版复制的做法。

同样道理，企业的成长力主要来源于产品创新，而创新需要与客户需求建立紧密关系，由此，企业会建立一定的激励机制，希望市场、销售机构不断将客户需求反馈到研发机构，但是，这种需求的宽泛性会带来研发工作的复杂性，所以要进行“内控”。

客户需求内控会体现在3个方面：一是需求信息的聚焦度，但是，光靠说法不行，所以会提供“模型化的需求模版”，赋予营销机构的管理层监管责任；二是把需求获取方与需求选择方分离，组建专门的“需求分析”团队，通过建立需求选择标准，在确定的时间内对需求进行选择与分发，构成了内控；三是分发不是针对特定的某一个产品，而是产品组合中不同阶段的产品系列，通过预设标准实现。

在我的很多文章中提到过管理模型，很多人会认为管理模型似乎很复杂，其实不然。管理模型是把模糊性管理要求转变为“倾向确定性”的方法，而不再是泛泛而谈，同03要讲的内控建设成在要素的机理。

所以，内部控制18项指引中的内容，是一种适用于大多企业的“常识化”参照控制机理，而不是通过流程进行“描述”的结果，更别说一些企业中对风险与控制的描述比指引还粗放，这就是为什么内控评价不用内控流程手册，却回头用制度或内控指引说法作为评价依据的原因。

合理的状态应该是，结合企业的管理实际，把指引中的一些说法具体化、数据化。真正的内控建设，需要大量的自主认识和企业自主设计，而不是泛谈和模糊化原理描述。

03.内控建设成在管理要素

一般情况下，从职能管理的维度，并不能构成贯穿企业整体的系统化内部控制，因为，很多的内控表现为跨部门的，必要的内控，必然会在横向流程表达中形成一个“迂路”。

虽然在内部控制的认识里，并不乏陈通过流程承载“内控、合规、风控”的一体化建设说法，但不意味着各个企业均拥有完善的、系统化流程。有时候，说法、观点虽然美好，也要考虑可实现性与投入产出比，但又有多少企业身陷其中而不可自拔？宣传、观点与现实不是一回事儿。

其次，即使企业拥有了完善的、系统化流程管理，是不是就意味着内控、合规、风控不需要建体系了呢？同其它职能管理一样，体系建设并不能缺失。因为，流程代表的是横向的执行系统，体系代表的是职能维度的纵向系统，是保证流程执行有效的支持能力。

18项指引的划分，本质是以职能域为导向，体现出照顾大多企业需求的客观情况。如果从管理有效性角度，一项职能域如何分解到可落地的有效层呢？通过域、模块、环节、要素、指标、保障措施实现。

环节反映到事理、要素反映为环节中影响成败的关键，特定要素，可以通过指标反映出来。从内控建设的程度分析，一般能够细化到“要素级”足矣。

要素指的是成功要素，当成功要素存在不确定的时候，就转化为需要施加控制的风险要素。所以，一定意义上的成功要素或风险要素，是从不同维度表达的两种说法。

什么是成功要素呢？在该领域、功能、环节下，将成功的、不那么成功的对标，其中的差距，反映的就是成功要素，相对成功者而言的说法。相对不成功者而言，就变成了风险要素，而改善差距的方法，一是管理，二是控制。这里的控制，是从管理中拆分出来的表述。

在内控建设中，会与思维中的成功、现实中发生过、或担心发生的问题、人性洞察等因素结合起来，从而确定风险要素，是思认、体认的结合。

一个管理非常规范的企业，风险要素会减少，伴随的现象是“内控减少”，原因是“确定性的制度、流程”足以缩小风险要素的多寡。这就是一些流程专家经常讲的“好的流程很难发生风险”的由来，这种观点讲的流程指的是什么样的流程呢？是跨角色作业或单角色作业操作流程，因为作业流程的确定性程度相对很高，但也仅仅是一种“符合逻辑的认识”，前提是流程设计必须合理、可行。

现实中的系统化流程管理，是非常复杂的一套结构化流程网络，上到不以职能划分为基点的逻辑性阶段化主干流程及一级规划，再到每个阶段的逻辑型流程组，层层分解，直到末端的作业流程，是一套包括逻辑、分支、多角色及单角色具体流程片段相结合的庞大系统。其中，还会渗透角色操作的要素模型、表单、模板等等。

通过内控建设牵引出来的流程梳理，很难或者说根本不可能达到流程管理的程度。真正的流程管理，难的不是流程工具的应用，而是对企业整体运营系统的运筹布局，需要具有非常宽泛知识结构的系统化人才、掌握工具应用技能的人员、企业中优秀的流程参与者共同完成为条件。

客观讲，在内控管理领域，不要说企业整体，能够构建职能域层“管理整体逻辑模型”的人都不多，所以，内控建设梳理出来的流程，总是表现为割裂的流程片段形式，即使如此，还没有谈到流程片段的切割是否正确的问题。

一般情况下，内控梳理的流程片段，最大程度会反映到跨角色的具体流程，为什么我说那么多流程切割问题呢？因为，切割过宽，就会偏重于逻辑的不变性，就不可能反映出风险要素，直接结果就变成了“泛谈的风险、泛谈的措施”形式，这种流程怎么会有借鉴、指导意义呢？更别说落地。切割过窄，流程就会数量庞大而浪费成本。

把握内控建设流程梳理的度，是内控建设中的重中之重。需要把握好4个原则：一是侧重于决策但不一定是决策类具体流程；二是侧重于容易产生风险的环节，即风险特征明显的具体的“事儿”；三是在理解管理期望基础上认识管理要求，把管理要求具体为“要素”；四是结合要素，转化出控制措施。这时候的措施，才具备了可执行特征。

04.结语：内控效能败在形式

事实上，在不少追求实效的企业中，已经感受到以前内控建设成果不不能落地的问题，他们有较为强烈的对已有内控流程作业说明进行再完善的希望。

什么是完善呢？是在既定成果有一定效果的基础上，通过局部改进的措施，提高现有成果的有效性。

客观讲，在不少企业看到的内控梳理的流程、合规建设的成果是什么样子的呢？

流程是隐含掉大量具体事项的逻辑流，流程作业说明就是职责的描述，即便整理出看似合理的“风险控制矩阵”都属于常识表达。这样的流程结果是没办法完善的，因为，一定程度的流程切割，会构成与现实工作中具体事项匹配的流程，而不是原有流程的调整。

合规风险清单又是什么样子的呢？建立合规风险清单的目的，意味着有“不确定问题隐患”存在，需要通过制定具体的确定性措施关闭风险，从而构成指导管理改进的输入，大部分会导向“具体合规制度”的建立，实现管理闭环，而不是通过“人为判断”罗列出来的静态风险描述。但现实恰恰变成了一次性的风险呈现，而一次性工作方式，既构不成持续性，也谈不上管理上升，更谈不上内部合规与外规变化的适应性。很多工作，从最初的认识就出现了非常大的偏差。

这种认识形成的原因，主要是基于“最表面理解”而形成的方法，而不是基于本质理解而形成的机制设计，其结果必然表现为产出的“形式”。

本质认识说起来简单，但并非人人都可以做到，甚至还会被认为“复杂”，相反的是，表面化的理解，反而更容易达成共识，这就是很多企业为什么总感觉不能落地、低效或没有意义的原因，是过度追求形式的必然结果。

与具体事项匹配的流程有什么好处呢？所谓的风险控制矩阵不会存在了，风险体现为流程风险，即事项风险。因为，流程是“做事儿程序”，对应的是事儿，事儿通过“流程”表达为例行化，其中的控制活动变成了非常清晰的具体“KCP”，本身已经转换成具体的“流程控制活动”，控制措施变成了针对要素的具体措施，即现实中的“审核或审查内容”，这样的措施才能够被理解和应用，这样的针对性流程，才能够成立。

来源：互联网