国资委发布关于做好2022年中央企业内部控制体系建设与监督工作有关事项的通知，提到：加强内控执行的穿透监管，使内控监督“长牙”、“带电”。这是从“内控执行监督”角度进行的论述，提出的要求和期望。

很有道理，但前提是企业的内控建设，必须基于设计合理、执行有效为前提，具有控制标准的活动才可落地、可衡量，故企业的内控建设要有质量。

规模型企业，各种管理体系按照设定的规则运营，控制依存于规则，存在于流程。当然也有针对“特殊事儿”临时采取的措施，其中也包括控制，这些属于非常设控制，一般不纳入内控体系范畴。

01.流程内控的一般形成过程及特点

在很多篇微文中，笔者认为“制度与流程都是规则”，流程更侧重于“正确地做事儿”，置身于流程看控制，控制发挥的作用是“把事儿做好，别偏离流程目标”。

大多数规模化企业中，并不缺乏大量制度，甚至非常健全，但领导者“要严格遵守制度”、“要按制度办事儿”的指示或要求，似乎从没停止过。

当企业有了制度，内部控制就产生了，只不过隐藏于制度文本中，往往通过“审查”、“会签”、“审核”、“审批”、“批准”等形式存在，但制度不会回答这些控制存在的原因。

或者一个新组建的企业，即使没来得及制订一些制度，一些作业、活动也遵循着一定的控制条件，主要来源于处理过程中的临时协调或领导要求，过段时间，一个约定俗成的作业流程及控制习惯就产生了。

只不过对其他人而言，可能会多了一些问询、往复的过程，此谓“人治”阶段，即流程的不可复用状态阶段。随着企业的成长，制度会逐步建立，且越来越多，大多数规模型企业都会进入制度管理阶段。

为进一步规范管理，或贯彻领导要求、监督要求，制度的更新、优化开始循环。为了理清制度设定的逻辑程序，不少部门开始将制度转换为流程形式，作为附件用以补偿文本制度本质存在的不足；或以内部控制建设为契机，基于制度开始翻制流程控制，于是基于流程的内部控制手册产生了。

该阶段有个典型的特征，无论制度是否由企业领导或决策机构批准，虽形式上反映企业制度，但本质都起源于制度的主责部门，并承担维护责任。

职能化管理的企业，属于专业化分工、协作的模式，部门起草制度，主要以如何履行职责的思考为基础，对承担的业务进行运筹逻辑布局设计，并根据希望达到的目标进行倒溯，从而提出各种控制要求。

倒溯过程中，会涉及其它部门、主管领导或决策组织，除明确的职能控制之外，不少部门要么是被主职部门拉进去的，要么是自己挤进去的，还有很多由最初认识的不一致，通过协调，彼此妥协而承担部分职责。现实中，制度征求意见，部门间出现的不断勾兑、立场博弈，就是具体体现，但不少都是出于部门的责权、工作量及责任的考量，而不是基于制度追求的整体目标。

无论是制度的流程补充，还是基于内控管理要求进行的流程控制梳理，该阶段流程的存在形式，都起源于制度，或部门内部承担的比较独立的作业认识，譬如，财务报销流程，用以提醒作业参与人员应执行流程的步骤。

这一阶段的流程依赖于部门设计的制度运筹逻辑，流程控制自然也是以存在的制度为基础。流程控制梳理的优劣，取决于以下三个条件：

制度设计是否合理有效，制度的认识、理解是否准确，是决定流程控制合理性的首要条件；

流程梳理颗粒度、流程控制设计标准，是决定企业流程控制规范性的第二条件，取决于内控管理主管部门的认识和设计水平；

关键点的度量、风险评估能力和结果表达质量、控制活动识别、控制标准细化设计、与制度的关联、控制执行有效性评价证据，是决定流程控制合理性、设计有效性的第三个条件，取决于流程控制梳理、设计人员的能力和水平。

02.流程内控的常见问题

很多时候，领导者深陷一天几个会议，每个人在企业中被繁琐的流程、领导突然交办的事项，或者救火式的事件“绑架”，或者翻来覆去的无效、低效化试错式折腾，令人烦不胜烦，以至于没有时间去思考一个问题：组织应该如何高效地运转？内部控制建设不能脱离这一根本目标。

效率和质量是决定企业高效运转的决定条件，过度、冗余、无价值的控制，或不追求产出质量的控制缺失，都会影响运转效率。

基于职能化管理的制度，很多时候并不是基于流程的风险要素来设置控制点，而是基于组织管理层级、管理权限（权力）意识进行的设计。譬如，内控制度中常见的“各单位内控管理报告须经最高决策机构审批通过后，以红头文件形式报上一级单位主管部门”。

这并非错误，而是职能化组织特点带来的必然产物。很多时候，由于专业化分工越来越细，来自于不同部门的制度越来越多，制度的增长带来各种流程的自然繁殖，各个制度中的控制补丁也会越来越多，你中有我，我中有你。

于是，企业内部横向部门之间的协调、会议越来越多，今天你给我布置工作，明天轮到我给你布置，或者“上班替别人做，下班做自己的”，并不鲜见。

哦！有人说用IT固化控制？现实中实质性或形式化的会签、审核，恐怕也是此起彼伏，或者出现逐级“请阅处”、“已阅”、“无意见”、“已审核，请某领导审示”的“滚雪球”式的普遍现象；或者部门管理者、员工上下来回的拉锯式呈报、退回、再呈报，也司空见惯。

流程控制中本来设置的1个控制点，在控制部门内部其实已变成了3-4个，工作质量的好坏取决于“岗位人员的能力和责任”；如果IT流程中涉及多个控制部门，多于设计3-4倍的控制景观出现了，一项具有责任条件的工作流程，往往少则几天，多则过月，且还是在不断人工催促各方的情况下勉强走完。

在这一背景下，当流程内控手册出现时，除了几百页“流程+矩阵”所带来华丽形式、短暂的震撼和成就感之外，能否被企业真实地执行，值得思考。

当某著名企业的部门主管领导，手里掂着花费巨大成本，来源于某知名事务所设计的内控手册，无奈地说出“做成了这么厚重的手册，却没人看”的时候，我陷入深思，是什么原因造成这种结果？

原因一：制度固有的“部门化”属性，决定了来源于制度的流程是割裂的，割裂的流程即使IT化，也只是更换成了另一种方式，谈不上效率和效果，设置的控制会得到执行、数据记录也是可行的，但谈不上控制是否有效，形式不能代替效果。

原因二：割裂的流程带来控制的分散甚至冗余，再加上有失分辨地把“审核、审批”控制化，混淆了“流程审批”和“控制风险”的关系，导致本就分散的流程的控制泛滥，问题在于：淡忘了流程不等于审批流程；模糊了控制是为了防风险，而不是单纯履行管理职责的道理。

原因三：内部控制体现于活动，取决于业务模式的选择，存在于主流程的横向时序布局，以及流程架构下的结构和细分流程。过度关注审批类流程的低层级控制（审批流是作业流程，而非高阶流程），疏忽了高阶的整体布局节点类控制，本质是忘掉了流程目标，而置身于行政化管理控制和审批，混淆了“风险控制和行政控制的关系”。

原因四：最符合业务流的流程才容易被理解和执行；最聚焦于风险特性的控制标准和操作要求，才能发挥控制风险的现实意义。简单表象化的“审核不到位”、“认识不到位”、“论证不到位”，本质是没理解防风险的核心要义，等于送了一件“皇帝的新衣”，而不是“防什么”、“怎么控”。

解决这一恶性循环的措施，有两个方面：一是由企业内控环境决定的，需要高层管理者的决心，而不取决于内控主管部门。譬如：企业可以规定部门控制执行的最长周期、出口、部门内部控制轮回点数等等，并纳入绩效考核，核心在于“权责利能”的统一；二是强化流程结构关系，在具体内控建设上，要降低或淡化冗余的、无价值的所谓控制及行政管理控制。

03. 基于流程的内部控制怎么建？

内控离不开流程，流程管理很重要，但很多时候，专门致力于流程管理的机构，容易过度否定职能化组织的作用，却忽略了专业化分工是当前、乃至今后的长期趋势。

流程不仅是管控和约束，更是对外部、内部客户的一种服务规则，流程的优势在于打破部门墙，解决专业化分工带来的协作问题，实现多专业的协同与集成产出（绩效）最大化。专业化分工是流程管理的基础，流程管理是企业由制度化管理阶段，向“制度+流程”管理高阶阶段进升的必然结果。

一个流程管理成熟度达到一定程度的企业，内部控制建设没有流程梳理的过程，只有通过风险评估识别关键风险点，对控制活动明确控制标准和要求的过程，即用流程去承载企业的内部控制。

现实中，很多规模型企业仍处制度化管理阶段，甚至还存在制度管理尚有待进一步优化的需要，我们谈的是这一阶段企业的内部控制建设途径，虽然仍解决不了流程管理成熟度不高的问题，但至少可用以向前推进一大步。

（1）理解内部控制规范与指引

内部控制规范与指引，是指导企业开展内部控制的指引性规范，是企业内部控制建设的依据和实践基础，但不是企业内部控制建设的唯一衡量标准，“指引”属于参照型而非强制型规则。

将指引中共性的企业化内部控制要求本地化，作为企业开展相关流程控制的基线，企业中有更好的控制方式和方法，优先选择符合企业实际的控制规则。

（2）从企业顶层战略或规划入手，分析企业的业务模式

商业模式、业务模式决定着企业的运营体系，流程是运营体系的载体和表现。一般企业的运营，都会存在三个层级：战略规划层、价值链运作层、资源及管理支持层，中国企业有自身的特色，我们再划分为监督层、党建与党务层。这是把企业视为一个整体系统，在分析其战略导向的基础上，进行结构化的过程。

（3）从企业治理角度，分析企业的内控环境

内控环境是流程控制的土壤，反映的是治理、组织、业务、作用、制约、监督、风险管理能力等基础关系和内在的支持条件，置于企业内控建设现实，并不是简单的表述或制度复制，需要认识其内涵意义。

内控环境是企业员工理解流程控制的基础。手册的客户是所有员工而不是自己，不能给用户带来认识提升，不能帮助用户理解企业控制机理的手册，确实没人愿意看，何谈执行。

譬如组织结构，反映的是不同组织的定位与制约关系，上下单位层的责任与控制接口关系，而不是一张简单的组织结构图。

（4）建立企业一级流程控制目录

将5个结构方面，结合企业业务类别、运作模式进行再次分解，具有相同运作模式的业务，保持顶层统一与稳定；具有相对独立的管理支持类业务，按照职能进行二次结构化，形成与企业运营管理框架基本一致的内控建设一流流程目录。

一级流程解决流程业务域的时序阶段问题，可以通过仔细研阅相关的业务域顶层制度进行理解，审视制度中是否存在诸如“评审”、“审议”、“决策”等企业级别的阶段化控制表述，很大程度上，是该业务整体布局高阶控制层的表现。

（5）建立企业一级流程视图和清单

按照一级流程阶段结构，分析相关领域的二级功能型管理类制度，梳理管控流程结构和执行逻辑，形成流程视图。流程视图反映该业务域的运作逻辑，运作逻辑即二级流程的表现，具体作业级则体现的是三级流程，很多时候反映到某职能部门的业务管理。

需要说明的是，内部控制建设不是以梳理流程为目的，也不是企业导入的流程管理方法，只是因为企业流程建设滞后，不得不开展的一项“流程化”工作，对于不影响流程整体目标的部分作业流程，可以不纳入流程控制手册，但在视图中应该反映其存在，而不能缺失。

由此形成了一级流程目录反映企业流程架构（但不能等同于流程管理的架构）；二级流程反映运作逻辑；三级流程反映作业流（包括审批流），四级流程反映重要活动项的格局，通过表格化整理，形成该一级流程的流程结构清单，标注进行流程控制梳理的流程项。

接触过一些企业，并没有进行流程梳理，只是通过归类进行表格化的控制活动表述，基本没有什么意义，脱离生存载体的控制，谈不上指导作用，何况是风险程度很低的最基本的控制机理。

一级流程视图和清单，是给应用者提供的业务布局和运作逻辑的整体呈现。高阶阶段的控制标记，可以通过作业流程反映出来。

（6）梳理具体流程

按照作业流程、重要活动流程进行梳理，其中作业流程、重要活动流程，根据影响程度、风险特性进行选择，部分活动流程可以形成公共流程模块，譬如复用率较高的共性“资金管理”、“合同法律审核”、“招投标流程”等等，简单活动通过表格的形式反映不相容岗位的分离即可。但无论如何，流程控制建设不是一件小规模的简单工作，很难从“量”的角度减少。

任何一项活动都有不确定性，降低不确定性的唯一方法就是标准化，即“用确定的规则管理不确定性”。衡量并确定关键控制点是基于流程目标和风险容忍度标准，而不是行政化的审核、审批需求；控制措施需要明确、可执行，责任可衡量，不可衡量的控制责任，决定了控制效能的不确定性，没有任何意义。

（7）做好流程控制标准和数据化结构

对一个企业来讲，没有流程控制标准的内控建设，会造成不同部门、单位认识的差异，结果反映的是流程的范围界定、流程层级、流程颗粒度、流程角色（注：流程控制一般采用泳道式职能带流程形式，属于不得已而为之，角色体现的是组织；流程管理是全息式流程形式，角色体现的是流程语言化的岗位定义，是一项跨年期的长期工作。这是二者的不同之处）结构密度的失控，这是开展内控建设的前提。

数据化结构是企业数字化转型的条件之一，开展任何一项工作都应充分考虑后期的需求，譬如建立流程控制的序号标准，风险的描述标准、控制活动的标准表述，关联制度的属性与层级，控制有效性查验证据清单等等。

（8）促进企业内控手册落地

企业导入一套方法，推行一套治理机制，能否被认可、被执行，取决于三个方面：

一是要通过宣贯、培训，让大家理解方法、机制的机理、作用及管理要求，视为推行前的松土活动。

二是建立内控手册的“法定”地位，通过企业领导权威给予支持，通过企业规范的文书形式进行发布，明确内部控制手册是监督评价内控有效性的唯一依据和标准。

三是通过检查、监督与评价，进一步巩固内部控制手册的作用。具有了法定地位，剩下的就是解决执行问题。

发布了手册，并不意味着完成了内控建设，“建”是过程，“执行”才是“建”的追求和开始，在检查中不能把制度、手册都作为内控设计、执行有效性的评价参照依据，要在自觉不自觉中，引导员工内控监督检查的标准就是“内控手册”，一套设计规范、完备的手册，完全可以满足审计、监督与日常内控工作检查、定期评价的需求。

来源：综合互联网

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。