企业内部控制作为管理的构成要素，也可以说是企业的运营要素，同制度、流程一样，也需要管理。企业所处行业、阶段、规模、目的等不同，所采取控制的程度、范围、深度是有差异的。良好的内控管理通过管理机制、内控建设、评价与监督、持续改进而促成，因此，企业推行内控管理是一项需要长期坚持的艰巨任务。

讨论内部控制建设和评价的前提，必须弄清楚内部控制的属性。

控制，原意为驾驭、支配，指事物变化皆在掌握、支配之中，以期保证各种活动不会偏离一定的范围和界限，具有操作、调节、管理、指挥之意。当控制活动在企业内部实施时，即为内部控制。

映射到企业，企业内部控制是指为了充分利用各种资源，提高经营效率，达到既定的组织目标，而在企业及各组织内部实施的各种制约和调节的组织、计划活动以及方法、程序。

因此，内部控制本质是管理活动，是有效执行组织策略的必备工具。企业做好内部控制建设，意味着企业的管理提升。但管理是有成本的，决定了内部控制目标必须与企业的目标追求一致。

01.内控的功能层级与表现方式

风险管理、内部控制、合规管理的指引、规范、标准等文本，很多是基于单一维度的描述。当企业开展某维度的体系建设时，需要还原于企业的立体运营架构。

从普适性角度研究，运营型企业架构一般包括战略层、商业与运营模式层、业务域的业务模式层、业务策略层、制度与流程层。无论企业、业务域选用什么样的模式，采用什么样的策略，最终都会反映于管理模式、方法，并通过制度与流程等形式进行固化。制度与流程是企业运营的最底层逻辑，是保证企业健康运营的规则。

内部控制本质是管理的措施构成，其最终的表现形式也应该通过制度与流程形式体现。

02.内控建设要考虑的因素和范围

先不考虑COSO内部控制框架以及相关规范等文件的标准化定义，而是回归企业的现实。从企业生命周期看，企业会经历成长、发展、成熟和衰退期，不同阶段企业面对的风险、追求的目标、采取的运营模式是不同的。

内控是管理的构成要素，管理是有成本的，决定了处于不同阶段的企业对内部控制的态度。无目标的控制不仅无效，而且会增加效率成本、人工成本、时间成本和资金成本，导致不必要的浪费。

处于成长、发展期的企业，往往追求的是市场占有率的提升，目标决定了内控建设的范围。处于发展期的企业，内控建设往往侧重于对外部法律法规、监管政策，上级主管部门、单位限制性要求，以及行业内的规则要求等执行活动的控制，防范合规风险，尽可能降低企业增加管理难度、复杂性的成本，这是企业确定内控建设范围的思维基础。企业内部控制，并不是越多、越全就代表管理水平越好，相反，忽视企业现实需求的不合理控制，反而会扼杀企业的活力。

处于成熟期的企业，追求的是可持续发展，重点防范的是发展质量风险，采取的是管理提升行动，决定了其内部控制建设的全面性、重要性、制衡性、适应性和成本效益性原则。

现实中，很多企业无论规模大小，忽视企业发展阶段和目标追求，沿用的也是通用规范文本的内控目标（没有转化为企业自身需求，内控目标应服务于企业目标），把内控手册设计的复杂无比，甚至把大型企业的内控措施简单地复制，这种内部控制是“飞”着的控制，与企业实际脱节，是无法落地的。

03.内控建设阶段和内容构成

客观讲，体系化的内部控制理论来自于西方，但并不意味着没有开展内控体系建设的中国企业就没有内部控制，而是没有体系化、显性化的内部控制。讨论内控建设，首先需要理解制度与流程的关系。

从流程管理角度讲，西方工业化已经历了近300年的历史，而我国尚不足百年。工业化的基础就是流程管理，我国的传统文化崇尚“人治、德治”而非“法制”。回顾历史，企业大力度推行制度建设也是以加入WTO为契机的。

随着我国治理体系的完善，现代治理能力的提升，企业推动制度建设与体系化流程管理的步伐越来越快。需要认识到的一点是，无论制度还是流程，都是企业组织和员工必须遵守的规则，不同的是表现的形式不同，发挥的作用存在差异，发布的程序与权威如何。一般讲，制度定义做事情的要求和运筹关系，流程定义做事情的路径，二者相得益彰。作为企业组织，有业务运营，就有流程，流程是天然存在的，流程管理是体系化、显性化和相对固化的过程。

（1）内部控制的发展阶段

从现实角度，企业流程是天然存在的。运转正常的企业，有流程就必然有内部控制的存在（是否全面、合理、准确、必要另当别论），当企业拥有了制度，意味着内部控制的存在。因此，我们把内控发展划分为四个阶段：制度控制阶段、流程控制阶段、对人的控制阶段、体系化控制阶段。其中对人的控制，本身也有合规管理的含义，体系化控制就是各阶段的综合表现和配套管理机制的集成。

（2）内部控制的表现形式

从内部控制具体的内涵看，采用制度控制形式还是流程控制形式，取决于企业自身的决定，前提需要考虑企业的规模、环境和发展阶段。企业无论采用哪种形式，最有效、最实用的就是最好的。

选用哪种形式的主要差异在于，当企业规模发展到一定程度，制度的层级将越来多，制度本身描述将越来越复杂，文字表达的准确度要求将越来越高。当企业规章制度装订本的宽度可以用尺子丈量的时候，制度的内外匹配、上下匹配、左右匹配的逻辑值得推敲；掌握制度要求，按制度执行的管理要求是否能得到全面落实的现实性，也值得商榷。该阶段的典型特征，主要反映在“有章不循”问题的重复发生；员工办事不断地询问如何走流程，而每个人对流程的回答并不一定一致；启动流程过程中的反复退回、重启现象频频发生；领导讲话开始提出执行流程的要求（但实际上流程是没有体系化呈现的）等等。从这一角度看，具有一定规模的成熟期企业，本身就存在推进流程管理，实现流程控制的必然要求。

（3）内部控制建设内容的基本构成

2013年，COSO修订并发布了内部控制整体框架，对企业做好内部控制建设具有重要的借鉴意义。反映于企业运营架构，内控建设的内容可概括为4个部分（不含内控管理机制的设计）：

一是制度梳理。保证制度的准确性和适用性，特别不能忽视的是外部（含上级单位）限制性法律法规、监管政策、管理要求类规章和行业规则。这是企业启动内部控制建设的基础。

二是立足企业层面的内控环境建设。内控环境包括文化环境和建设环境，文化环境是管理使然，建设环境包括企业战略核心概要、治理结构、组织结构制衡关系、分权与授权、重要的人才政策、监督机制、风险评估机制、信息传递机制、员工行为准则（含提倡行为、限制行为、违规等级及对应的处置类型、重大违规责任追究、过程监视机制设计）等等。这是流程控制建设的前提。

三是流程梳理。流程控制渗透于企业层和业务域两个层面，可以参照相关制度进行呈现。需要注意的是，已经完成流程管理体系建设的企业，本身就具有了非常好的内控建设基础；未完成的企业，流程控制仍有别于流程管理，流程控制中的流程属于部段型（非端到端流程），通常采用的也是泳道式流程格式（仍有升级空间）；流程梳理应体现出业务域、流程层级、逻辑视图的结构关系。

四是控制设计。流程梳理是控制设计的基础，在流程呈现的基础上，对控制点进行风险评估，提出控制措施（反映于风险矩阵中的活动标准）。需要注意的是，内部控制解决的风险是“控制型风险”，即通过控制可消除的风险（不能完全取代风险管理）。风险评估面向控制点进行评价，但目标不是面向关键点，而是面向流程目标。

（4）内控建设中应注意的常见问题

对企业而言，内控建设是一项全面性工作，应处理好以下几个问题：

一是颗粒度问题。内控建设应处理好两个层级的关系，包括从企业角度看内控、从业务域角度看内控。首先，通过匹配企业层的风险框架，确定必要的重点流程（从现实角度出发，当然您也可以坚持全面的说法），把并非紧迫、重要程度较低的流程置于后期的逐步扩展工作中。让内控建设始终围绕企业的目标追求开展。

其次，对行业规则通用的成熟控制措施，没必要必须通过流程呈现。譬如会计与出纳岗位分离的要求，可以通过相关的风险矩阵、或简要的文字进行说明，从而降低内控建设的繁杂度。

二是处理好继承与发扬的关系。现实中，很多成熟企业或管理优秀的企业，本身已经拥有完善的制度体系、组织手册、岗位手册、权限手册、员工行为手册等等，企业应加以继承而不是另起炉灶，也不是只有纳入部门内控手册才认为完善，但需要在内控建设中，通过建立映射关系实现成果共享，打通部门墙。

三是管理系统化的问题。企业中最缺的不是专业化人才而是拥有系统化思维的人员，拥有系统思维的人员往往不是直线型解决问题，而是根除问题重复发生的病灶。内部控制建设作为管理提升的途径，同样需要处理好管理系统化的问题，包括：处理好与相关制度的映射关系；处理好内控建设与评价依据和参照标准的关系；处理好流程风险与控制措施的关系；处理好关键点控制成本与结果效益的平衡关系；处理好继承与发扬的关系；处理好建设与优化的反馈环关系；特别要处理好企业现实与内控环境中相关内容的“质”，而不是“表”的关系。

04.如何让内部控制落地？

内部控制本质是管理问题，实质是管理精细化的问题，目的是防风险。在与企业接触中，不少人手掂几百页的内控手册，但困惑于内部控制不能落地的问题。

笔者认为，企业要使内部控制落地，需要做好以下几个方面的工作。

首先，要解决内部控制建设的态度问题

对央企、国企而言，内控合规管理工作来源于国家主管部门、行业监管机构的要求。从企业自身角度，有的企业并没有认识到内控建设对企业实现管理提升的意义和作用，而是作为业务部门的工作，甚至下移至具体业务机构的人员来推动，从人员配置、资源投入、推进力度等方面没有得到保证。完成的建设成果虽然履行了审议、审批流程，但没有把内控手册上升到规则的位置，何谈执行？

其次，不能让内部控制的设计“飞”起来

从很多企业开展内控建设工作看，重点体现于流程控制建设。流程是控制的载体，流程梳理应基于现实而不是理想，更不能上升到流程优化的高度（且不能忽悠啊）。基于现实的流程必然来源于制度的认知，来源于流程关联人的参与和认可。现实中，不少企业借助于第三方力量提高设计效率，但需防范脱离企业实际的复制型风险。没有关联人参与的流程控制本身是缺少认同感的，何况与企业实际不符的控制，本质是就是“飞”着的文本或画册，何谈落地？

再次，要建立合理的过程监督机制

内控审计、内控评价是内控过程监督中的行为活动之一。评价是需要有标准的，这里的标准不同于通常认为的“重大、重要、一般缺陷”的判别标准，而是评价过程中对控制设计、执行有效性、风险程度、执行效果的判别与计分标准。万物皆可量化，缺失计量的缺陷判别是不可取的。现实中，很多评价采用的是传统审计的方法，用制度、流程及过程证据验证进行有效性衡量，反映的缺陷也是枝节末梢的瑕疵问题。内控评价应该建立一种风险容忍度的观点，企业运营追求卓越，但在容忍范围内的瑕疵是不可避免的，内控评价要关注对企业、组织、业务目标构成影响的缺陷。企业开展内控评价，也应遵从缺陷控制成本、执行业绩与效果的平衡原则。

最后，要建立适当的奖惩机制

内控管理激励要结合企业内控评价开展，合理的机制是让优秀者获得价值感，落后者能够感受差距感，而不是陷入良莠无分，越多劳问题越多的怪圈。

“以评促建，管理提升”是内控评价的直接目的。企业应敢于承认短期内不可能全面覆盖的现实，建立有计划、有重点、梯次覆盖的评价原则，建立“免评、必评、多评、通报、责令改正”相结合的内控管理激励机制（控制也有一定的稳定性），从追求实效、化解工作难度、降低复杂度角度建立合理可行的奖惩机制。

内控管理是一项难度大、涉及范围广的工作，但周密的系统策划、有计划地建设、合理的评价投入，就是为了化解由于管理模糊而带来的不确定性。通过阶段性的复杂工作，让企业的管理简单化，应该成为企业持之以恒的追求目标。

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。