迄今为止，对内控的定义、理解，很多都是从财务、监督的视角，外延至外部监管、企业发展需求进行的定义。

即便处于不同行业的企业运作，内控也有基本一致的原理。既然称为“内控”，其机理都在于“对可能偏差的监视与纠正”，监视是为了预防，纠正是为了将问题解决于萌芽状态。无论内控的 “预防”，还是“纠正”功能，都需要有“规则、标准”为判别依据，度量指标是“执行角色心智的不确定性”，否则何谈“控”？

由此，企业的内控管理可以概括为三个阶段：一是识规、建规、行规阶段；二是内控的规范管理阶段；三是内控的优化阶段。

第一阶段：识规、建规、行规

规则是企业建立并维持运作秩序的依据，是反映企业规范管理程度的标志。规则有两种表现形式：一是企业中经常见到的“制度”；二是流程。二者的角色、功能关系，取决于企业的“定义”，从而表现为不同的角色地位和作用。

识规、建规、行规的过程，与合规管理的前段工作完全一致，当然包括外规识别、外规内化、内部规则建立、规则遵从与执行的过程，是内控管理与合规管理“相通”的具体反映。管理规则基础的差异，决定着内控管理、合规管理工作的难易程度。

从企业角度，规则的建立，本身意味着“规则内控功能”的产生；从规则本身角度，也离不开“内控措施”，问题在于该有的“内控”是否有了？有了的内控是否“有效”？所以，第一阶段是企业内控管理的条件基础，从内控角度，我们称之为“传统的内控阶段”。

由此带来3个课题：一是内控制度化课题，解决的是把遗漏的、必要的内控“嵌入规则”的问题，我们称为内控建设；二是内控的管理课题，解决的是“保证内控有效”的问题，我们称为内控的规范管理；三是内控优化课题，解决的是随着企业管理水平提升、工具导入，化解“内控对规则运作效率”的影响问题。需要强调的是，三者并非时间上的串行关系。

以上分析的是内控管理的来源。归纳下来，内控不是来源于所谓的COSO理论框架，也不是内控规范和18项指引，而是来源于“企业整体追求目标”的管理需求。COSO框架是内控管理的理论依据，内控规范和18项指引是“企业加强内控管理”的外部驱动力和内控建设的指导型参考。

第二阶段：内控的规范管理

从第一阶段分析，我们能够洞察，内控并非因“内控管理”而存在，而是通过“内控管理”而进一步系统、规范、有效。由此看来，“制度内控化”、“内控制度”、“内控嵌入流程”说法的准确性，都值得商榷，权且当做“为了理解内控管理工作而进行的直观但并非准确的表述”。

就具体企业来讲，因企业性质、行业、业务、规模、所处阶段、追求目标、管理基础不同，其风险环境、风险承受度会存在很大差异。一般而言，处于成长期的企业风险承受度要远高于大型规模化企业，大型规模化企业追求的是“规范管理”，成长期的企业追求的是“承担适度风险条件上的成长”。内控管理范围、程度应与企业追求目标趋于一致，而不能用“理论制高点”强求一致。

内控的规范管理，就是通过建立内控管理的治理机制，让企业内控“系统、规范、有效”。

系统：分为两个层面，一是企业内控管理与治理的系统，表现为“决策层、治理层、运作层、监督评价改进层的系统化”，即“内控归口管理功能的健全有效”；二是内控本身的系统化，由企业运营管理体系的“系统结构”决定，通过不同功能域“流程规则”的系统化展现出来，割裂的流程本身会造成“内控”设计的失误。

规范：第一阶段的“内控”，渗透于制度、流程规则中，但二者都有一定的局限性。“制度”一般以文字表述，制度质量受制于起草者的知识、经验、风险意识与认识水平的限制，制度描述很难反映到内控的具体措施；“流程”由活动、运作逻辑表述，流程管理成熟度不高的企业，流程的建立往往缺少“要素”，发挥的是补充制度缺陷的作用，尚不能承载内控管理的作用（流程管理成熟度高的，不存在这些问题）。

内控的规范，是把“内控活动”规范化的过程，而规范化的主要内容，不是建立所谓的“风险内控矩阵”，而是“内控活动的标准化”过程，解决的是“控什么？怎么控”的问题，需要深刻理解其中的“道理”。“风险内控矩阵”仅仅反映的是“风险评估与应对”的“微观事理过程”，在我看来，从实用角度，可有可无。

有效：内控的有效，并没有“统一的评价标准”，原因是，内控具有典型的“情景”特点。内控的有效，取决于“下达内控结论的依据”，而依据又来源于“内控角色建立的管理规则”。所以，“内控的有效性与规则依据”息息相关，没有依据，如何控制？何来结论？

该阶段，还有一个保证措施——内控评价。内控评价的工作质量，取决于“内控评价本身的有效性”，需要把握3个标准：一是内控角色能否对“负责的内控”进行清晰描述，不能描述意味着“内控角色自己都不知道控什么”；二是“证据”，证据包括两项内容：其一是结论痕迹，证明“做过了”，其二是依据，证明“内控功能的作用”；三是内控评价的最高层次，深刻理解“流程的道理”，评价“内控设计的合理性”，这一点只有高手能够做到。

内控管理的“系统、规范、有效”过程，构成了企业内控建设、管理的具体工作内容。

第三阶段：内控的优化

内控优化的说法，是基于“内控管理”的维度进行的陈述，并不完全准确。严格意义上，应该是流程优化推动了内控优化。

从流程管理角度，流程建设与优化是以“效率、成本、质量、防风险”为导向的。从流程维度，企业流程包括价值流程、支持型使能流程，以及价值流程扩展出来的流程片段。

从当下企业内控建设现实分析，企业内控偏重于“支持型使能流程”，即管控流程。但从“风险程度”分析，价值流程风险的影响程度要远高于支持型流程，同样也有“内控”存在的必然性，只不过由于缺失“指引”而未得到体现而已。

无论哪类流程，从流程本身目标的角度，都是以“满足客户需求”为导向的，流程优化的过程，遵循三个优先原则：一是去除不必要的非价值活动；二是减少必要的非价值活动；三是减少价值活动劳动量。从正常角度分析，内控属于“必要的非价值活动”，随着技术进步、先进工具的导入，也可能会转变为“不必要的非价值活动”。

优化流程，或者仍沿用内控优化的说法，通常包括两种方法：增加活动或者减少活动，二者并不矛盾。增加活动指的是能够通过增加上游活动工作，提高整体流程的效率，对必要的内控活动，可以通过“内控前置”实现“内控规则前移”，直至达到成熟并能够保证输入内控的“产出质量”后，意味着“内控转化为不必要活动”，前置通过“内控规则表单化”实现，风险管理方法的应用也基于以上原理。减少活动指的是“合并”、“删除”等。

流程优化，带动了“内控优化”，同时，企业新领域、新业务、新市场的开拓，外部监管规则的变化，都意味着新的流程与内控的出现，需要对企业“内控数据”进行维护。所以，流程优化是一个持续的动态过程，构成了企业内控管理的“常规例行工作”。一个长期得不到维护、更新的企业内控体系，基本意味着“不可或没有落地”。

结 语

企业内控不是孤立的，而是管理的构成要素，反映到具体的流程情景，是流程风险的解决方案。

本文把内控管理划分为三个阶段，是为了更有助于分析与理解。从内控管理实际看，管理延伸到哪个领域，内控就可能存在于这个领域的某个环节。企业内控建设，取决于企业追求目标与业务管理的需求，建设重点由风险容忍度决定，而不是“勿分企业”的简单迁移或复制。

企业内控中经常提到的“制衡”是内控的内在机理，不相容职权分离，是内控的一般表现形式，而不是定义内控的标准，定义内控的基本原则是“基于防风险的双重确认”，由此构成了组织之间职能的制衡、岗位之间职权的制衡、流程信息流与专业确认的内控关系。

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。