从内控维度看，企业内控管理包括内控建设、内控执行、内控评价与改进三个主要环节。其中内控评价作为企业内控管理的重要一环，在很多大型企业中已成为例行工作。通过内控评价，可以反映企业的内控管理状况，但如果了解详情，不少企业的内控评价，仍是一项做完哪怕扔掉，但又不能不做的工作。

为什么出现这种情况？我归纳为4个方面原因：一是评价的目的性本身就存在问题；二是内控评价浮于浅层的符合性评价，不足以发挥促进管理提升的作用；三是内控评价能力不足，停留在“写”报告阶段；四是内控建设本身就存在很大问题，内控评价无据可依，自然难以有的放矢。

01. 从外控认识内控

认识一项工作，需要回归企业本质。企业作为社会中的组织，既要创造价值和绩效，又要履行外部赋予的社会责任，对央企、国企来讲，还要承担相对其它性质企业更大的政治责任。

国家要谋求发展，需要建立稳定的社会秩序，对企业这一社会组织建立规则，检查企业相关业务的执行过程，监督执行结果，对出现偏差的结果做出反应，可以认为是企业面对的外部控制，或外规要求。企业通过必要的措施，按照外部规则的要求运作，履行社会规则赋予的各项义务，即企业合规管理中的外规遵从。

相对外部控制而言，企业由内部组织、员工构成，通过价值链运作创造绩效与成果，也需要建立运作秩序，通过管理对运作过程进行检查、审核、核准、审批等，对出现的偏差实施影响，可理解为内控。其中，对违背依据规则设定的行为底线的日常管控与纠正，可理解为企业合规管理中的内控。

可以总结出：就内控本身而言，是管理的一项职能，表现为活动，内控的作用，在于及时发现并纠正出现的偏差，将偏差限制在可以承受的范围内；内控的目的，在于预防发生不能容忍的偏差状态问题，或降低发生问题的概率，这一问题即风险。度量风险，需要有衡量基线。有时候，没必要掰着手指头，非要争辩“问题与风险”的区别！

02.把握内控管理与内控建设程度

所谓内控管理，并不是内控本身，而是以内控为导向的管理。管理在于应用，内控管理的目的，在于让设定的内控角色，按照规则发挥作用。内控管理内容及要素包括：内控管理决策机制、内控运作的治理机制、内控角色与责任、内控活动内容与控制规则、被控制对象的偏差标准。

内控管理，通过建立机制，打通内控治理与内控决策的关系；通过流程梳理，反映内控的存在逻辑与作用；通过内控建设，规范内控活动规范或标准，建立风险与控制关系；通过执行流程与日常检查，让内控得以运作；通过内控评价，保证内控体系化运作的有效性。

内控建设，是内控管理的基础，也是首先面对的具体工作。内控角色与被控制对象，决定了不相容岗位分离的原则性表现形式；内控的特性，意味着占用资源、产生时间成本的客观现实。内控建设，并不是泛滥化，而是对必要内控活动的规范化过程。

企业开展内控建设，需要把握一个“度”，绝不是各个企业都按照18项指引，不加区分地进行“复制”。大型成熟期企业，追求的是管理规范化，内控建设可以根据企业自身需求，适度扩大范围。中小型企业，或者成长期企业，管理可以简单些，但需要坚守一个底线：来源于外部、上级单位明确要求的领域，必须建立“防范来源于外部风险”的内控，在内部目标方面，可以适度选择建设领域和重点。

根据企业发展阶段、现实确定内控建设的深度与广度，本身也是管理能力和水平的放映。内控是否必要，取决于风险程度的大小、风险频率的高低，而不是“职权”，更不是为建内控而控制。风险频率，决定了“内控”面向的基本是例行工作，例行工作即流程，所以，内控是根据风险评估结果，嵌入流程的活动，从而构成合理、完整的流程。

03.内控建设的工作原则

从原理角度，内控建设需要基于对流程风险的评估，即先有流程，然后再通过风险度量，设计并将内控活动嵌入流程，明确角色责任、活动规范，提高流程风险的控制能力。

现实中，企业的流程管理有4种情况：一是依据流程制度进行运作，即流程通过制度文本的描述体现出来，但缺少具体流程形式的表现；二是职能部门为了清晰程序，依据制度或日常运作梳理流程，即企业流程分布于各个部门；三是企业建立了相对完善的流程管理；四是企业的制度流程建设尚不完善（中、小、新企业，也不排除一些规模型企业）。这是企业开展内控建设，需要认识的现实基础。

企业的管理及应用，目的在于构建秩序，通过制度、流程的形式反映出来。内控的目的在于防范流程风险，本质是为流程目标的实现提供保证。

内控建设，需要在既定的秩序基础上，通过复核、修订，将内控指引中的“刚性”内控要求渗入制度或流程（现实中，刚性的内控都属于基本项，大型企业基本都在日常管理中得到落实，需要确认，这一步骤适用于所有企业），进一步提高规则基础的设计质量，这是流程内控建设的前提——要求明确的内控，必须有。

企业制度、流程是企业运作的规则依据。流程成熟度高的企业，制度建设以流程为导向，为流程执行发挥“法治”保证作用，二者是一致的；流程成熟度不高的企业，一般遵循的是制度规则，流程发挥的是辅助参照作用，二者也可保持基本一致。即无论哪种情况，企业都默认或必须坚持“衡量规则的唯一性”解释原则，内控建设涉及流程梳理，当然也要坚持这一原则（从实际情况看，不少企业内控建设完成后，都存在这方面的问题）。

内控建设的基本工作原则是：丰富保证秩序运作的规则，提高规则设计、规则执行特别是内控活动的质量，但不能重新形成一套规则，发生与制度抵触或冲突的问题。

04.如何提高内控的可应用性

无论是企业开展内控管理，还是合规管理，制度与流程都是“先验条件”。在继承、梳理增加的流程条件下进行的内控建设，其产出都是 “后验条件”，可以覆盖并反映先验条件，但不能删、减、遗漏先验规则内的控制活动，以保持企业运作秩序的“规则一致性”。这是提高“内控”落地应用的基本条件。

现实中，不少企业、机构对“风险管理”存在误解，盲目追求风险管理语言，对认识不清、描述不清的内容，简单以“风险”代之，不能不说是内控建设的“遗憾”。没有使用风险管理的语言，并不意味着没有管理风险的作用，内控建设越有利于执行者的理解，就越有利于落实和应用。

很多人一直在研究“内控、风控、合规”一体化运作的构架，三者有大量的“共通点”，但不能完全寄托于通过“一种方式”解决所有问题。譬如：内控针对的是流程中的“重复风险”，所以才有了内控活动的标准或规范，但不能等同于“风险管理（企业需要自己定义）”。风险管理可能由流程中的其它角色执行，面对的是活动中的“事项”，在流程中，只能通过对“关键活动”明确要求，但不等于“风险管理”的过程和结果。

合规管理也具有同样的道理，虽然说合规管理也属于“例行范畴”，内控能够支撑合规管理工作，但不能完全替代合规管理，合规管理需要对流程中相关活动进行“行为底线设定”，并非“内控”所能代替。

相对融合的“风控、内控、合规”一体化，从表象或原理上看，好像是内控体系建设的“功能扩展”，虽然不能完全覆盖“风控与合规”，对企业来讲，也算是降低管理工作复杂度的集约化方式。

需要注意的是，一体化的本质，不是“风控、内控、合规”的一体化，而是基于“流程”基础，对风控、内控、合规管理的承载。前提是流程成熟度要高，本质是流程管理工作的深化。一味沿用“风控类”的说法，实际上是出现了“本末倒置”问题。可以讲，通过内控管理牵引，梳理形成的流程，除个别外，整体上很难具备“风控、内控、合规”一体化的条件。否则，“流程管理”这一大型长期职能，就可以不存在了。

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。