不管是企业还是机关事业单位，这几年我们都面临个什么事情？面对一个共性的问题，就是内控问题。单从企业方面来看，早前财政部就牵头搞了一套企业内控制度建设，而且采取了一系列的措施来进行推动；从行政事业单位而言，在2002年财政部发布了《行政事业单位内控规范》，而且还要求行政事业单位要提供内控的报告，但是我们很多央企请了咨询机构、四大来给他们建立内控体系，结果发现有的仅仅是把流程给梳理清楚，顶层设计、组织架构、全线清单、管控基本不动，在这种情况下去梳理流程是没有多大意义的，对风险的防控效果也是不明显的。所以不从顶层设计出发的流程梳理和精细化、标准化的内控设计是要持怀疑态度的。

一、内部控制受重视的背景

不管是风控还是内控，没有什么实质性的差别。内控体系的建设，它主要有二个重要的背景，政治背景、经济背景。

（一）从政治背景来讲，我们强调政治要求，强调党的领导，但在市场经济环境当中我们有些同志存在着廉洁风险，有些同志意识形态出了问题，这是政治性的风险。习主席上台之后中央加大了反腐的力度，但如果仅仅抓几个人只是治标不治本的工程，治本就是要解决制度问题，解决机制问题。纵观全球，美国就很少有腐败案件发生，主要在于美国在国家治理层面上，制衡机制设计的比较好，党派之间的竞争对任何一个总统，都施加很严格的约束，所以任何一个总统他代表的都不是他个人，他代表着他所在的党派。不要说他本人，只要内阁当中的一个成员出了问题，就有可能从执政党变成在野党，所以党派之间的竞争，这使得他们在治理层面上的约束力度比较大；另外三权分立，立法、司法、行政三权分离，使得三权执行监督的制衡的力度比较大；再则，财权、事权分离。从个人来说，总统的权力是很大的，比如说打不打伊朗，特朗谱说了算，但是他绝对不会滥用自己的职权，因为这个国会在授权的时候，留了一手，他在给你发动战争的权力的同时，他没有授于财权，如果你想发起战争，每花一分钱都要向国会申请。国会可不是好惹的机构，国会是两党竞争，集体投票，因此不会顺利通过经费的预案，所以大家看到美国每次涉及到经费的预案速度都比较慢。美国公开透明的机制形成了有效的制度约束。如果特朗普他们这些官员腐败以后，贪得钱将无处可放。相比较而言，我国也有自己的制衡机制，但是我们的制衡力度、强度不如美国大，这是他们能够避免腐败的一个很重要的这个原因。事实上，我们的纪检监察机构历来都比较重视内控体系的建设完善。所以这是一个很重要的背景啊，没有这个背景我们不可能在前面范围内重视其内容制度建设。

（二）从经济背景来讲，经济存在着波动性，特别是2008年以来我国连续十年经济下滑，所以经济下滑使得我们企业和行政事业单位都面临着较大的经济风险。就企业而言，企业是微观的经济主体，不管是国企还是私营企业都面临着很多整体性和业务性的风险。就整体风险而言，我们企业面临的整体风险比美国的企业面对整体风险要大得多，主要表现在战略、市场，运营，财务四个方面，同时我们企业的债务危机周期比美国、日本、德国、法国等发达国家都要短，随着这个经济形势经济下滑，我们经济性的风险很大。事实上，我们龙头性的民营企业已经暴露出来这个问题。我们的企业之所以生命周期这么短，是因为企业的风控体系，内控体系都比较薄弱，企业实际控制人比较任性。一旦在某个方面、某一个实践方面取得成功，就过度自信，开始膨胀，追求所谓的超常规增长，由此引起的战略风险，连带一系列的其他风险，非常大。

同时我们每年会发生不少的群体性事件，有一些来自环境，有一些来自其他的社会矛盾，甚至来自于欠薪等一系列的政治的、经济的、法律的、合规的、社会、技术的风险。所以在这样的背景当中，如果我们再不重视风控，再不注重内控，我们可持续的发展，就是一句空话。所以从政治和经济这两大背景下使得我们不得不去高度的重视内控风险管理。

二、对内部控制的理解

（一）COSO整体框架表明，内部控制受组织的董事会、管理层和其他员工所影响，为实现其运营，报告和遵循目标提供合理保证的过程。

（二）《企业内部控制的基本规范》所称内部控制，由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。其中控制目标包括信息目标的真实性与完整性，及时性；运营目标实施的效率与效果；合规目标的法律法规与内部规章合规及防范舞弊和腐败；战略目标的制定与实施到位；安全目标等

（三）《行政事业单位内控规范》所称内部控制，是指单位为实现控制目标，通过制定制寂静，实施措施和执行程序，对经济活动的风险进行防范和管控。

（四）笔者认为内控就是一套流程，是通过流程实现制衡，为实现有效防控风险提供合理保证的过程。内控之形是流程，内控之神是制衡，内控目标是风险防控。

三、以合同管理的角度分析内部控制存在的问题

内控的核心问题就制衡。我们对内部控制存在着认识不到位，理解不到位的现象。

（一）合同归口管理的管理边界。比如说，合同管理要做到三务审，财务要审，业务要审，法务要审。如果采取分散管理的做法，就不符合内控制衡建设的要求。采购的合同，采购部门办；营销的合同，营销部门办，但是所有的合同都必须要归口集中管。做到管与办分离。对合同来说，一个重要的制衡机制就是管办分离。如果说你采购的合同，财务部门办。再加上财务部门在管，这不是自己管自己吗？这不是我们经常说的既当运动员又当裁判员吗？合同归口那个部门管呢？三个选择

1.有业务规口部门管合同，这是叫合同从属于业务

2.合同从属于法务，跟着法务走。

3.跟着财务走，从属财务，放在财务部。

这三个选项。选哪一个更好呢？大家都知道，从事法务归口，法务部门合同的法律风险控制的比较好，但是法务的同志不了解财务，不熟悉业务。所以从属于法务，合同所包含的实质性的财务和业务风险，控制的效果不会很好。所以现在有很多部门开始考虑让合同从属于财务。如果归口于财务部门管门。你们在这里做财务指导，做财务工作，首先要涉及财务会计。其次，要把财务工作做好，如果你远离业务，不熟悉业务，你能把财务工作做好吗？（所以现在注重业财融合，综合性大学和财经类大学的学生，往往不是很受欢迎，因为这类学生往往是万精油，企业更倾向于与业务聚焦的专业性学生，比如电力学院，他有电力会计；农业大学有农业会计；船舶有船舶会计。这一类专业性的学校，他们可以在在他们的课程体系当中不仅仅是共性的课程。他还有好多和行业对接的业务类的课程，甚至很多生产工艺方面的课程都有，真正做到业财融合。所以从事法务，从事财务，他各有利弊。

（二）合同管理职责。合同管什么？1.管合同制度。合同制度的制定和督促执行。2.管合同印章。3.管合同文本，文本的标准化。合同从文本上来讲，应该提前标准化并要经过律师审核。4.管合同签订与履行情况的监督检查。5.管合同签订与履行情况的统计分析报告。（运营分析）6.管合同的审查。归口部门肯定要对合同进行审查。7.管合同台账，合同的归口部门要有合同台账。8.管合同档案。

（三）关注合同的痕迹管理。比如，合同的谈判，要坚持合同谈判制度，但是合同谈判的结果在合同签订的时候没有落地，需要留下合同谈判记录过程的痕迹。现在内审越来越重要，更强调全口径、全覆盖。有什么业务都可以做什么审计。人力资源要做审计，安全生产有做审计。人力资源要做审计，干部晋升是人力资源管理的范畴吧。如把张三提拔起来，这叫干部晋升。干部晋升要做审计。干部晋升证据是什么？干部的晋升要经过党委会研究决定，党委会要开会，要有人员参与会议。从人力资源干部审计的角度。同学们自己想一想需要留什么痕迹。要留什么证据？我们现在的做法有没有满足干部审计的要求。证据要求，会议要有纪要，但是纪要是没有张三李四的具体发言内容的。他是根据会议的记录进行综合整理的。仅仅有纪要不足以做审计的证据。所以必须要有另外一个东西。叫记录。记录是参会人的发言。具体的发言内容要记录完整、准确，而且如果记录要能够作为审计的证据。记录还必须要经过当事人签字确认。没有签字确认，还是不能做为审计的证据。我们原来教科书当中讲的审计证据，已经严重的不符合新时代的要求。我们现在是一个信息化的时代。对吧，信息化，大数据、云计算、人工智能，区块链。这一系列的技术变革，改变了我们的审计证据。现在大家用微信。微信可不可以做证据？微信截屏可不可以做证据？视频聊天可不可以说证据。我们我们学界，实务界对于新时代的审计证据，关注度不够。我们要好好的研究研究审计的证据。

四、内部控制制度健全的关键因素

什么的制度才称得上是健全的内控制度呢，必须要符合三个要求。

（一）以风险为导向。如果在制度内容当中，我们没有对业务进行重大、重要的风险描述，就表明没有体现风险导向，也不可能完善内控制度的流程。举个例子，招投标，很多单位都制定招标管理办法，招标管理制度。但大多存在重大缺陷，没有体现风险导向。招标的风险有很多，但有一个最为重要的环节就是招标文件的编制，至少存在两个风险。第一根据供应商的要求定制招标文件，招标条件；第二招标很多时候用综合评标法，设置标准不合理。这些都是招标文件编制的风险。我们在招标的管理制度起草的时候，能够做风险导向识别招标文件的风险，是十分重要的。但在实际工作中，很多单位针对于招标文件编制所存在风险，没有控制流程，措施缺位，甚至提都不提，所以我们要做风险的识别评估。把风险在招标制度当中做专门一部分来规定描述，这样这个风险在起草制度的时候就不会漏掉，所以一定要体现在内容当中，要有风险评估的内容，有风险描述的内容。

（二）要以制衡为主线，内控的核心问题就是制衡。所以当我们在思考招标文件编制的风险同时要考虑制衡机制，把制衡的手段嵌入到这个流程过程中去。比如说做工程的招标，工程部门要实行回避制度，工程部门只负责企业的需求，需求听完之后就没工程部门的事了，招标文件的编制，招标的全过程跟工程部门无关。工程部只要等到结果出来去执行就行了，这就是一种制衡。规范的，完整的流程，就是要把各种制衡机制嵌入、融入在一个制度当中。

（三）要覆盖内控的要素。一个制度必须要覆盖内控的要素。内控的要素有内部环境，风险评估，控制流程，信息与沟通，内部监督。如果我们的制度当中没有把这五大要素包括进去，那么你的制度是就不是健全内控制度。

五、内控流程要注重流程结构优化

（一）做内控就是做流程。流程有三种表现形式，具体说来，做流程就是做制度、做手册、做表单。

1.流程的第一种表现形式就是制度。比如说你要搞一个合同管理制度。合同怎么签订，怎么变更解除，怎么履行？怎么进行统计分析报告？如何进行档案管理？这合同管理的全流程，实际上都已经在合同制度当中规定了。所以做流程，第一种方式做制度。如果哪一个咨询机构去企事业单位做内控咨询，风险管理咨询，只制作手册不做制度，这绝对不对，绝对是偷懒的一种方式。我们搞巡视，巡查就是要看制度，在中国你没有制度就等于没有内控。

2.流程的第二种表现形式就是流程图也叫手册。手册、流程图要对每一个节点的风险点进行描述、和痕迹。

3.流程的第三种表现形式表单。有些流程可以通过表单来表达。比如说合同审签单，表单一般都是流程的一个具体表现，流程的载体形式。所以我们一般会讲管理要制度化，制度要流程化，流程要表单化，表单要信息化。

所以内控从形式上来讲就应该是三位一体。制度、手册、表单三位一体。这三位一体少了一体都不是完整的内控体系。

（二）流程不是做现有的流程是要做优化的流程。落实到一个具体的业务流程，要在基本流程的基础上附加一些流程。有一些要经过尽调，有一些要经过专家的评审，必要时在内部专家评审的基础上再增加一个外部专家评审。虽然内控是做流程，但不是只要求你把现有的流程，用一张图给绘出来，这不能叫内控。内控流程的表现形式也不只是一张流程图，是要对流程，进行优化，进行再造。所以内控流程的核心节点就是流程再造，流程优化。如果现有的流程有缺陷就很难把控，也防不胜防。因此可以从四个方面的顶层设计对流程进行改造优化。

1.组织架构的调整。很多单位的职责分工，是不符合内控制度建设的要求。举个例子，很多单位的工程部，特别是机关事业单位，从工程上对前期立项、工程招标，到工程合同的签订，再到工程的实施，最后的验收，甚至好多工程的审计也属于工程部门管。如果我们的工程部门，采取这样一种职责分工形式，就不符合内控制度建设要求，这属于一竿子到底。职责的分工，没有考虑到制衡，要把关键不相容职务，不相容活动，剥离出去。要做到（1）工程部门不能负责工程招标；（2）合同由工程部门是经办，但是管理要剥离。（3）工程的审计不能由工程部门管。

2.权力清单的调整。把控制点前移，把后端面的报销与付款，权限授得大一点。一般我们要调整党委会决策事项清单、董事会决策事项清单、总经理办公会议决策事项清单这是三个集体决策的清单，同时还要调整董事长权力清单、调整财务审批权限清单、集团公司对分、子公司的权力清单，这六大清单。

3.管控模式的调整。比如说招标，对集团公司的合同和分、子公司的合同怎么管的？由子公司合同所引起的重要的法律官司、法律纠纷由子公司自己负责处理吗？分、子公司虽然是一个独立的法律主体，但它没有处理重大法律纠纷的能力。所以建议集团公司改进对法律纠纷案件、法律案件的管控模式，重大的法律纠纷发生在分、子公司，但是集中到集团公司统一管理，统一诉讼、统一组织。在统一管理的时候，有集团公司统一出面聘请律师团应对重大的法律纠纷，律师团里面有各种各样的律师搭配，优化结构。原来分散管理，现在集中管理。这样一来就优化了重大的法律纠纷的管理流程。

4.控制程序的调整。以报销为例，在报销时财务上肯定要审一般有三个审核流程。

第一个审核流程是：经办人填完单子以后，就直接拿财务上去审核，所在的部门负责人都不签字。

第二个流程是经办人填完单子以后，所在部门的负责人先审，审完以后拿到财务上审，领导再批。这就是先审后批。

第三种倒过来的。是经办人填完单子以后，到所在部门负责人那里签字，再到分管领导那里签字，最后到财务上去核，财务上专门设审核岗。这就是领导先批，批完了以后再到财务上去审核。

这三个流程如果从流程程序调整的角度。你赞成哪一个流程？从内控的角度，哪一个流程的效果最好？哪一个最不好？从控制的角度来讲，财务上应该前置，先审后批。再比如我一开始跟大家举例子。在引进人才之前是尽职调查，特别是引进高端人才。对高端人才的引进一定要尽职调查。这就等于调整程序来优化流程。

六、内控流程要实现有效的制衡

流程要能成为内控流程，一个核心的要求要能够通过流程实现有效的制衡。所以我把制衡当成内控的神和魂。但是什么叫制衡？我们有一种认识上的误区。如果我们只考虑不相容职务分离。那么制衡机制设计就很不到位。因为制衡它有多种形态的制衡。

（一）竞争式制衡，竞争本身就是制衡。我们把竞争机制引入到企业里边来，引入到流程体系当中去。引入竞争有两个引入，一个是确定供应商，不管是工程、劳务还是物资，我们引入招标，这就是一种制衡机制。我们不指望招标解决所有的问题，但是如果没有招标。那么秩序更乱，风险更大，舞弊更多。二是内部竞争上岗。

（二）分离式制衡。就是我们常见的叫分权制衡，不相容职务分离。

不相容职务有三种分析方法

1.流程的节点分析法。流程的不同节点就是不相容职务。假如说流程中经过五个环节那么这五个环节就是叫五个不相容职务。

2.权能分析法。不管是业务还是事项，都能分解成若干权能。比如采购，总需要有决策和执行，总需要对管理实施及时进行监督评价。比如说内控，需要有建设，运行，评价。要做到建设和评价分离。要做到集中建设，分散运行，集中评价，建评分离。所以权能分析最好是从几个层次出发，第一个层次是单位治理层；第二个层次单位管理层；第三个是单位操作层。三种权能分离。决策、执行、监督。比比如设董事会的单位。董事会是一个决策机构。监事会是个监督机构。总经理办公会是一个执行机构。三会分立，三会分设，这就是三权分离。同时最近几年很多央企，国企相继修改公司章程。把党委会放到治理结构当中，并摆在第一位。并且现在很多提交给董事会的决策事项要有一个前置程序，其董事会的决策事项是要征求党委的意见。第二要职代会要放进去，我们很多涉及到员工重大利益的决策，比如说企业改制搞混改，搞员工持股计划，搞薪酬方案，这流程当中一定要有一个节点经过职代会。第三个要有工会经费的控制，工会经费的审计。

3.性态分析法。因为任何业务都有业务流，物流、资金流。我们常讲的三流分离是指钱、账、物分离。但是不并是所有的不相容职务都要分开，如果不相容职务都要分开，将会大大增加企业的用人成本。不相容职务分离要满足三个前提条件。第一个成本效益原则。分出来的成本比不分带来的风险，哪一个大。其实有一些不相容职务即使有风险损失，也是在可以接受的范围内。第二重要性原则。重要的不向容职务要分，次要就不用分了。第三个文化适应性原则。如：物流、资金流、信息流分离的原则。销售和收款如果要按照不相容职务原则，这两个肯定是不相容职务分离，在美国的文化背景下要分，因为收款是财务的事情，美国的市场营销学从不告诉你怎么去收款。因为收款不是业务部门的事，是财务部门的事。美国是普遍信任的文化，但在中国是文化是以关系为基础的有限信任。所以业务收款比财务收款更具优势，因此我们明知道销售和收款是不相容。但是绝大多数企业基本上是业务部门既负责销售又负责收款。严格来讲，这不符合内控。但是符合文化。所以内控一定要考虑到文化的适应性。

（三）合作式制衡。分和合都起到制衡的作用。分是指张三管钱，李四管账，钱账分离。不同的人干不同的事，这叫分。合是张三、李四不同的人都去买一台电脑，都去审计，都去检查，做同一件事。不管不同的人做不同的事，还是不同的人做同一件事，都起到制衡作用。在实践当中，多种合作制衡的方式。如三重一大，集体决策这就是最典型的合作制衡的方式。所以我们必须要立足于扎根于中国的社会实际，研究中国的制度机制。集中分为二种，一种是通过归口集中管理，来实现管理归口集中，分散经办。管办分离。第二种集中是系统内，集团公司内，全方位集中。如有的企业子公司，分公司遍布全省各地，但是他的办公室采购，能够做到集团公司全口径集中。那怎么集中的呢？他每个月报一次计划，然后进一步分解到10天报一次。每个公司你都把需求计划报到省公司去，省公司根据需求计划采购，采购完了以后直接配送。因为现在的物流体系很完善了，企业已不需要仓库了。这样就把这个物流、业务流、资金流各方面都集中。在个层级之间都建立了有效的制度机制。

（四）第三方制衡。很多民营企业，存在着复杂的家族关联关系，制衡就存在着形式上分实质上不分的现象。在这种情况下，就需要引入第三方外包制衡机制。

（五）监督式制衡。如有的企业引入亮灯管理制度，把所有各个部门的工作是否完成都做了时间表。这个时间表包括黄灯时间表，红灯时间表。然后把时间表由指定部门专门负责监督检查。亮黄灯基本奖金绩效就没了，三次亮红灯，岗位职务就没了，对整个集团的工作积极性，起到了很好的效果。

（六）系统开发制衡。因为在实际工作中，制度也好，流程也好要落地就要防止人为的一些操作。要靠什么手段？最好是技术。把流程嵌入到系统当中。比如原本要经过分管领导审批后，再找一把手批，要经过分管领导。如果是手工操作，完全可以跳过分管领导直接找一把手审批，这样流程就破坏了。但如果上了系统，把流程嵌入在系统当中，一旦不经过分管领导这个环节，系统就无法逾越了，就不得不先经过分管领导审批。

为了更好的实现制衡，还需要设计一套制度执行的保证体系，可以通过对内控制度的内部培训和知识竞赛等方式，实现有效落地。

七、内部控制要风险分析、把握内控目标并有效防控风险

（一）做内控要做风险分析

1.财务报表风险分析。

（1）甄别报表的真假，并建立相关模型。

（2）根据报表把投融资风险和业务风险、经济风险联系在一起并通过报表来判断企业的战略风险，市场风险、运营风险、和财务风险。如：看资产负债率时要剔掉虚的资产和负债部分，比如预收账款在报表上是负债科目，但是它是虚的负债，且预收账款越大反而说明企业有息负债率率低，产品有有竞争力。

（3）通过报表结合实际来建立公司预警的模型。如财务风险预警就要把负债的规模和结构相结合，但是看规模的风险不是仅看报表上的数字，比如，假定资产负债表左边的资产合计数是1亿，其中有长期待摊费用2000万，右边负债是6000万，净资产4000万。但是表外负债有担保2000万。这时负债要表内和表外结合看，其真实的资产负债率应该100%；还有一个结构要关注，流动负债的比重高，风险就高，所以要优化流动负债结构，尽量往长期负债走。

2.剩余风险分析。除了做固有风险的分析之外，还要结合已经采取了手段和措施，依据风险控制的效果做分析评估，剩下来就是剩余风险，本质上就是问题缺陷。

3.市场风险分析。市场风险通过分布的行业的市场特征来体现，要密切关注高风险运营资产应收账款和存货。

（二）做内控就要把握内控的目标

风险是对目标的实现产生不利影响的因素，事实上，我们每一个单位都有目标管理，各项工作都涉及到目标，如果没有这个目标，你所谓的风险分析，风险识别都是一句空话。比如说战略是方向目标，一旦你战略定位定错了，那就全盘皆输。战略可以分为激进型战略目标和稳定型战略目标，如在2005年到2010年我们的光伏业的企业资产的增长速度很块，营业收入增长速度也很快，以江西的赛维红外企业为例，从2005年的总资产3000多万美金到2011年扩张到70亿美金采取了激进型战略目标，但是增长速度不等于发展能力，增长是靠GDP判断，发展是要综合判断。江西赛维虽然增长速度很快，但是它的资产从3000万美金到70亿美金主要依靠大规模的举债，资产负债率从2005年的40%多到2011年的90%多，其增加的资源投入与产生的效益一直处于波动状态，甚至有3个年份，每股收益是负数，效益水平没有达到预期。所以有增长无发展，这样的企业是最危险的企业。战略还可以分为多元化战略目标和单一化战略目标。比如苏宁电器原来年报附注披露是只有家电连锁销售收入的，现在其披露的年报附注，收入的构成除了家电连锁销入外还有大量的房地产，实体店和网店的收入，其运营朝着多元化发展目标前行。所以不同的战略目标，风险不一样，内部风控要把握好内控的目标。

（三）有效的防控风险要对风险的重要性等级做评价

风险防控根据风险发生的可能性和概率高低这两个因素，进行重大风险、重要风险、一般风险三个等级的评定。如果影响程度很高，对发生的可能性很高，这肯定是重大问题；但是如果影响程度很高，即使发生的可能性很低，几乎不可能发生，依然也要列为重大风险。

结束语

我们过去讲会计、财务管理、审计三大体系，但都有一个共同的致命的缺陷，这三大体系都没有流程，会计没有流程，如会计对于上市公司的年报，谁编，谁审，谁批，没有流程；财务管理没有流程，如投资要进行决策，谁来进行可行性研究，可行性研究报告出来之后，谁来立项，最后投资的决策要不要上董事会，谁来批？财务管理没有流程，财务管理只管现金流如何估算，如何计算净现值、现值指数。审计同样没有流程。所以我们要关注第四大体系，叫内部控制。

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。