从2009年开始，大多企业启动并陆续完成了内控体系建设，但在最近几年，很多企业再次启动了内控重建工作，原因有三：

1.难以发挥内控评价依据作用。法律法规、行政规章等外部政策、企业自建制度仍是评价的衡量标尺。内控手册作为反映控制的专业产出，两张皮的存在，不能不说略显尴尬。

2.控制产出因人而异。控制措施原则化、假设化、语言化，对控制岗位人员缺乏指导和操作的借鉴意义，意味着控制有“形”的存在，却容易出现没有“质”的落地。

3.设计复杂，难以快速理解。通过内控手册了解管理与控制逻辑，倒不如了解一下制度更为直接，内控手册最终成了内控管理部门自己保存的一套资料。

01.企业内控建设的真实目的是什么？

在继续了解本文之前，笔者倒希望大家仔细思考一个问题：抛开政策要求和宏观意义，从企业自身需求考虑，企业开展内控建设的真实目的和意义是什么？

答案无非就几个：为了防范风险，为了强化管理，为了落实上级管理要求┉┉，都对。在笔者看来，防范风险是其本质意义，但更深层次的意义在于进一步规范管理基础。

企业中，管理的存在，本身就有防范、降低和控制风险的作用，内控体系的建立，并不能取代传统企业管理的主要方式——“制度”，内控要发挥有价值的作用，只能“锦上添花”。

制度并不完善的“新企业或中小企业”，可以通过制度规定，明确内控手册的地位，让它发挥更大的作用，前提是可落地、可执行，但也属锦上添花。对于制度健全的大型企业，一套不太成熟或不符合实际的内控，除了例行的定期评价之外，处于尴尬境地实属正常。

锦上添花，包括两项内容：一是内控体系的建立，要继承和发扬企业长期积累形成的制度经验，克服制度固有的缺陷和不足，让内控成为保证制度进一步落地的重要措施；二是借助内控建设中的流程梳理，填补制度尚未涉及的管理空白，渗透到低层机构、岗位的活动规范，成为规范不同层级机构、岗位员工作业活动的参照依据，才能拥有为企业和员工做贡献的存在意义。

这种观点，意味着企业的内控建设，即使不能超越制度的地位，也要弥补制度的不足，更好地反映存在于不同层级常设组织机构、常设的非机构组织、因项目组建的临时控制组织、法规规定的不相容岗位等角色权限、活动规范和产出标准。

企业的内控建设，控制风险是“内控执行”的最终目的，控制显性化、责权对等化、规范化、可操作化是“内控建设”的主要目标。要实现这一目标，流程梳理是核心工作，其次才是控制的显性和规范。内控建设并不意味着工作的核心就是为了反映“控制”的存在，原因在于“控制”是管理的一种职能，没有管理逻辑的控制没有意义。

02.制度有哪些难以克服的固有缺陷？

对传统企业来讲，制度仍是企业实施管理的主要方式。近年来，很多企业虽然进行了较大范围的流程梳理，但宽度、深度、标准不一。在我国，流程管理在处于顶端的主要国际化民营企业，或者运维型国有企业反映更多，流程管理不等同于流程梳理的产出，流程梳理体现的是对制度的补充和支撑，流程管理则是企业运作与管理的规则方式。

制度固有的缺陷和不足有哪些？假设企业制度管理处于比较完善的阶段，是不是意味着制度管理的缺陷可以克服？

举个真实的例子，某企业要出台一份质量管理制度，制度责任部门起草形成了98条的制度文本，但管理者为更好反映管理思想，增强员工的质量意识，希望能够改成108条，很快，一份108条的制度形成了。主观过强，刚性不足。

再举个例子，某企业希望规范科研生产管理，把相关制度进行归纳、整理，从而反映科研生产的整体管控布局，但无论如何搭建，都难以从制度上反映整体运作与管控逻辑，只能进行重建规划，形成一个科研生产管理的整体制度架构。但当制度管理部门发布制度规则后，规划成型的架构再一次陷入与规则不匹配的困惑。其次，虽然发布了制度规则，但由于只关心审批环节而不关注执行过程，取消保证制度规则执行的控制规范、判别标准，再加上架构普适性设计的重大缺陷，即使进行了大规模的制度重建，可预见结果也不过是又一次大循环。

即使在非常先进的企业，“加强制度管理、遵章守纪”的要求，也一直是老生常谈的讲话要求。找到制度缺陷，是确定内控建设方向的需求，根据笔者经验，我们将制度的缺陷总结为以下5点：

1.大型企业中的制度数量众多。笔者曾从事过二级企业、集团企业的制度管理工作，虽然通过滚动计划，努力组织各部门将近千项制度压缩到几百个，员工也不可能了解和掌握每个制度，即使是与自己相关的制度，也可知结果。

2.制度本身的可体系性不强。了解流程的人员知道，企业级流程是跨部门的，而制度是由部门主导起草的，何况很多制度的起草由新人承担，制度之间衔接问题很难克服。笔者就曾见过一个新人，用不足1天时间完成一份制度的修订，而且顺利通过层层审核，这样的制度如何指导下属企业执行？

3.具体制度的条款、文本内容复杂，与起草者的经验、能力紧密相关。条款的多少与描述，与起草者、管理者的个人理解、认识宽度、深度有紧密的关系，不容易形成唯一性理解，

4.制度内容中对程序、流程、活动要求以文字表达，很难规范。企业中经常出现的现象是，制度执行过程反复，或者出了问题再拿制度衡量，这就是诱因。

5.制度只能落实于组织或主要管理岗位。做过企业制度的人都清楚，在大型企业中，制度的颗粒度很难把握，一般到一级部门，能够反映二级机构的已属凤毛麟角，甚至都会被认为是制度设计错误，更谈不上制度范围内的岗位角色。

很多时候，企业员工并非故意或主观违反规章制度，而是因为企业的制度设计确实存在很多问题。

制度的几个固有缺陷，决定了制度管理需要寻求必要的辅助措施，内控建设如果借助流程梳理，发挥流程与制度的互补优势，企业的内控管理就找到了落地点，再去挖掘提高控制可执行的途径，由此解决内控设计、执行有效性的前移问题。

03．企业规范管理包括哪些内容？

熟悉企业运作的人都清楚，随便翻一下企业的制度条款，在制度引言中，极少缺失一句话：为规范管理，特制定本办法。企业的规范管理包括哪些内容？通过制定一份制度能达到目的吗？

近年来，企业职能管理中的“体系建设”层出不穷，是企业追求规范管理的结果象征。概括起来，体系化建设离不开程序化、制度化和标准化建设，程序化反映的是过程，包括其中的组织与角色等要素；制度化反映的是对业务域、功能模块的统筹布局，或对关键作业活动进行的规范，其中也包括程序化内容；标准化不能孤立地理解为“国际标、国标、行业标、企业标”等标准，而是一种规范，大可以上升为标准，小可以指具体活动规范或员工的行为标准。

在企业中，落实领导要求的方式，很多都是通过制度建设体现出来：譬如决策程序化、权责明晰化、考核定量化、目标计划化、措施具体化、过程控制化等等，但除了运维型公司外，很少听到活动标准化的说法。

企业中经常见到的现象是：企业治理组织的规则经常调，因为要落实政策的各种要求，譬如决策的程序与参与组织的调整（企业治理的内控环境）；年度绩效考核管理办法年年发，因为要根据国家部委考核指标的变动进行调整；监督成常态，可惜的是落实了合规政策，却由于“控制了违规灰度的芝麻，放开了合规但失控的西瓜”，构成了来之不易“降本增效”的成效反噬，好不容易降下来的管理成本快速增长，不能不说是一怪像。至于措施具体化，那就因管理者而异了┉┉。

制度的固有缺陷，决定着管理规范化的难度。企业内控建设只有深刻理解制度的特点，深度理解企业的现实运营与管理逻辑，全面理解企业制度的内涵、范围、目的，以及制度建设留下的空白，借助内控建设的流程梳理，形成制度与流程的协同效应，用流程的系统性、结构化反映企业运营与管理的完整布局、程序逻辑与产出流转秩序，结合流程目标划分内控环境中的组织、权责，用流程中特有的活动规范与标准去加以规范，用内控的方法体现风险与控制活动之间的关系，控制要素的判别标准就是控制措施，从而形成不同业务、不同专业、不同层级的内控体系。

员工的人性是不可或缺的重要因素，没有哪一个人喜欢无微不至的控制，企业中也没有无控制的完全自由空间，明确活动的标准就是对活动空间的释放。一套布局合理、程序简约，既能反映制度的关键管理要求，又能体现控制重点，满足组织、岗位人员参阅、借鉴，同时又能针对性回馈于岗位的流程控制，自然成为员工执行制度的桥梁；制度、流程的执行，自然发挥控制风险的作用。

04．内控的本源与建设原则

笔者曾在文中提过，制度是内控的本源，这句话并不严密。严格说，制度与流程是内控的本源。至于哪个观点更为合适，要视企业现实的管理能力和水平、制度的全面性与规范性而定，即便如此，仍不严密。

会有不同的声音，譬如内控规范与18项指引是依据本源，我只能说他们是参考指引，或者说是企业内控体系建设的参考底线，即能够反映出18个方面的内控，就意味着任务的完成，关键还是要看企业建内控的目的是什么？

现实中，企业中的控制无处不在，大到企业级控制、业务管理级控制、专业管理级控制，小到为防范舞弊或者单一岗位疏忽风险而设置的“二岗控制”。

笔者曾参加某企业的内控建设，为更好地反映企业的实际，激发员工参与内控建设的积极性，在主管部门的大力支持下，企业开展了第一轮流程梳理。不出意外的是，在收集的流程中，很多都是岗位级流程，即便如此，它的意义也非常重大：一是增加了员工的流程意识和制度意识；二是真实反映了不同岗位的作业程序与行为表现；三是充分理解了企业高级管理者对流程管理与内部控制的重视。

不要寄希望企业所有部门、组织都能完整地保持对内部控制认识的一致性，更不要寄希望完全借助一个第三方的大包大揽，拿到一份既有成效、又能落地的内控成果。当然，追求完成任务那是另一个概念，但我觉得还不如给每个员工买一本内容丰富的内控书更有意义。

谈内控本源，离不开流程与制度的产生逻辑。企业开始运营之初，朦胧而不成熟的流程就已存在，有流程就有控制的反映，正是基于流程的不成熟而造成企业效率不高、产出质量、外部义务、内部管理目标风险难以控制的问题，制度应运而生，所以，制度是管理风险的实践总结。从制度中理解流程，是一条重要的内控建设的反刍途径。所谓制度流程化，其基本假设前提是制度体系是完善而且存在的。

企业中，不乏制度建设非常成熟的企业，这些制度是理解流程的重要来源，从这一点看，制度是内控的本源并不为过，关键在于能否真实理解，还是凭借经验的简单复制；其次，拥有非常完善制度的企业，并不意味着流程成熟度，必要的流程设计是摆脱不了的。

企业中的流程可以概括为三个类型：一是基于支持创造价值的业务流程BP；二是基于防范经营与管理风险的管理流程MP；三是为业务流程、管理流程提供支持的辅助型流程SP；三者不是物理隔离的关系，而是构成了横向架构与纵向层级的流程结构。

从企业组织层级角度，流程又可以划分为几个层级：集团级、企业级、部门级、岗位级，内控建设不能等同于流程管理，不可能无限延伸，即便存在不同层级单位的业务接口关系等，也应局限于单一组织构架内，止步于单位间的接口处，落地于部门级的流程颗粒度，从而保证内控体系建设的可实现性。

合理理解内控环境，是建立可落地内控的基本条件。譬如18项指引中的组织架构，在很多企业的内控手册中，要么反映为企业级组织关系之间的权限与制衡关系描述，要么用“组织机构管理流程”取而代之。

但笔者认为，组织架构即反映于企业层组织之间的制衡与控制关系，也反映于核心主要流程内各组织的关系，同样构成了该流程下的内控组织环境，否则流程内的权限分配只能是水中花，控制自然就是镜中月。

企业的内控建设是一套系统化极强的管理项目，其中即涉及流程管理的很多内容，也包括管理逻辑的整体和关键环节呈现，以及为提升管理规范性而进行的关键控制活动标准建设，运用必要的包括控制要素在内的控制模板或表单，本质是控制规则的建立，规则是克服因人施控的必要措施。

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。