大凡一个体系的建立，需要首先明确指导原则。譬如，华为建立了基本法，就是从企业角度明确各领域体系建设的指导原则，就好像部队中的一面旗帜，指到哪，各个领域的战略、战术级策略，就要按照旗帜所指，排兵布阵。

在大多企业中，无论是建立基本制度，还是提出规划方案，指导原则并不乏陈，甚至随处可见。差异在于：华为是通过公司层凝练而成，通过“基本法”的形式树立其权威，形成“公司一盘棋”之势。而大多企业的指导原则，则处于部门较低层级，呈现松散状态，很难发挥服务企业战略目标和传承企业文化的作用。

内控体系建设，当然也不例外。

01.指导原则基于实践，基本原则基于原理

见过很多企业的内控手册，“原则”要么悄无身影，要么泛泛而谈，或从内控框架转化而来。譬如：坚持内控成本与效率统一原则；坚持财报真实性原则；坚持合规原则等等。

在我看来，上面所列原则没有任何问题，但问题就出在没有问题，它们都是“真理”原则，即内控体系建设必须坚守的“基本原则”，放之四海而皆准。

基本原则是最基本的原则所在，适合于所有企业。但企业是实践体，不同企业间，有着支持自身发展的不同思想、策略，从而形成不同的管理方法。控制是管理的一项职能，管理方法的不同，决定着内控分布、控制内容的不同。所以，基本原则之下，需要有指导原则。

所谓内控建设指导原则，其作用有两个：一是是否需要设置内控的参考标准；二是当遇到内控建设与效率、绩效追求发生矛盾或抵触时，用以进行取舍的度量尺。

前提是，需要承认：内控具有防风险的作用，同时也有影响效率的背反效应；流程中的内控本身并不产生价值，但对企业安全有意义；内控不是越多越好，而是在满足必要条件的前提下，越少越好。即使企业或内控从业者再不愿意承认，这也是事实。

需要说明的是，这种看法，并非否定企业内控建设的意义，而是从企业整体目标出发的观点，正是对“坚持内控成本与效率统一”基本原则的反映。企业内控建设，不是为建内控而建内控，而是因“防风险”需要而进行的设计与实践。所以，各企业之间，除法律、法规、政策规定的“合规性内控外”，很多内控设计并不相同，考验的是设计者的“管理思维和风险管理水平”。

指导原则需要具有明确的可度量、可选择性，是企业“内控环境”的核心构成内容。就好比我前面提出的“需要承认”的观点，并不一定被所有人接受，当发生认识不一致的情况下，就可以用“指导原则”来衡量，这就是建立“内控建设指导原则”的主要作用。

02.内控建设，从做好“自定义”开始

企业内控建设，从直观感受和客观事实上，来源于上级主管部门等外部力量的推动。但企业作为内控建设的主体，必须回归到“基于企业追求高质量发展”的初衷上。

谈到这，我们必须思考第一个问题：为什么无论是央企，还是金融行业，亦或行政事业机构，内控体系建设都来源于外部力量的推动？

原因是，在外部监督机构，或者上级主管部门看来，虽然建立了很多“监管政策”，但不少企业仍在发生监管不能容忍的问题，有问题就要解决，怎么解决？

既然问题来源于企业，原因就是企业自身“没有控制好”，企业就应该加强“内部管理”，特别是“控制”。于是，COSO就组织了一些专家，出台了“企业内部控制框架”，于是，“内控”的概念产生了。

但放在企业的视角，外部视角的“内控”，就是企业中“具有控制功能”的各项活动，包括制度、流程、表单、评审、审核、审议、批准、决策等等，这些内容、活动都具有控制功能。

我国推动企业内控体系建设，也遵循了这一原理，不过前有“内控框架”可以借鉴，于是“内控规范”产生了。

需要思考的第二个问题是：怎么让企业建“内控体系”呢？美国出台了萨班斯法案，出于法案的一些条款，倒逼企业开展“内控建设”；我国出台了“内控规范”，也具有同样的道理。但企业具体怎么建呢？于是，18项内控指引出现了。

由于“内控”是基于外部视角的看法，仔细研读“指引”，你会发现，其内容包括企业中所有具有控制功能的内容，甚至，18项指引都没有说完。因为，无论什么组织都一样：只要有管理，就有“控制”。

回归到企业，就要着手“内控建设”。这么多控制功能！怎么办呢？按照18项指引，企业中各部门先按照职能管理梳理一下，看看管理上是否有问题。在这一点上，内控管理部门很难发挥具体作用，只能发挥“组织与工作导向”作用。因为，内控管理不可能覆盖所有的包括制度、流程、表单、评审、审核、审议、批准、决策等具有控制功能的事项。“各司其职”的道理，企业中大多人都是懂的。

管理都有假设。在我们上中学做数学作业时，面对复杂的“应用题”，是不是需要建立“假设”呢？管理是实践，本身就是一道“应用数学题”，只不过，很多人上了大学、研究生、参加了工作，过去学过的“解题思路”，反而都忘记了。

内控管理部门必须做出一种假设，否则工作根本无法开展：该培训的培训了，该提要求的也提过了，那就假设企业在管理上“已经成熟”，而管理是以流程为中心的，可突然发现，企业中可视化的流程或者没有，或者很少。于是，“内控建设要梳理流程，识别风险点，将‘内控’嵌入流程，制定并规范内控措施”的工作思路出现了。

问题是，这里的“内控”，究竟指的是什么？是所有具有控制功能的内容或活动吗？如果这样做，那还不乱套了！别忘了解“应用数学题”的第二步——设。“设”的做法，放在管理上，就是“自定义”变量。只有这样，企业的内控体系建设才能得出“正确答案”，是不是这个道理呢？

03.合理定义，让内控既可规范亦可落地

企业建立内控体系，本身是对企业管理中的“控制”再审视、再完善、再优化，以及进一步规范化、标准化、系统化、可视化、执行化的过程。

“内控嵌入流程”的说法，相信很少有人反对。追根溯源，内控产生的前提在于“流程”。流程提倡的是“有价值活动按照秩序进行的组合”，也就是说，没有内控的嵌入，流程也可以走通，但可能会在执行中存在流程风险，正是基于这一认识，虽然内控本身不产生价值，但为了“防风险”，才要嵌入“必要的内控”。

首先，流程中不可缺少的活动，不属于内控，包括“具有控制功能的活动”，譬如“审批、决策”等等。因为如果拿掉这些活动，流程走不通。

其次，发挥“控制功能”的非常设组织开展的活动，不属于内控。譬如，企业中常见的“专家组评审”等活动，专家组不是常设组织，而是角色，构不成“组织控制节点”。但“专家组评审”这一活动，是“常设组织”采取“防范风险”的措施，所以内控的着眼点，在于“专家组评审”背后的“常设机构”。

再次┈┈

随着一步步的“排除”，我们就会发现内控的范围越来越聚焦，而“承担内控责任的组织、角色越来越清晰”，这时候就可以做出明确的定义。

组织的确立，找到了职责；角色的发现，找到了“场景”；场景由“工作和权限”构成，工作因规则而“存在”，权限决定了流程的“长短”。

当认识达到这种程度时，风险是可识别的，绝非“如果论证不科学、不全面”这些没有丝毫意义的语言所能替代；内控活动的必要性是可衡量的，内控活动的“控制内容”、“控制标准”也很容易确立。如果仍然找不到，那就是“内控角色所在组织”的基础管理存在问题，或者存在缺陷。

只不过，我只能讲到这里了。但可以说，内控管理是一个“多领域、跨职能”的工作，内控建设绝没那么容易。

那么，为什么说一些企业的内控手册，只能是“飞毯”呢？

一是，企业的内控再不能落地，它也飞不上天。因为大型企业中有“制度”、“流程”在上面，在发挥作用，即使内控建设期望的“责任明确、控制有效”的目标难以达成，最坏的结果就是“相当于没建”之前，也就是说，牺牲的是“精细化管理的机会和成本”。

二是，落不了地的内控，发挥的作用是“有了总比没有好”。至少在上级检查工作时，能够进行汇报，也就是说，可以让“毯子”飞一下，当监督检查完成后，再把它卷起来，放回柜子里。

那么，为什么一些企业的内控不能落地呢？

前提是，指导原则、自定义都没有设立。虽然流程图上标的红红绿绿，仔细分析一下，大部分根本不是“内控”活动。譬如，有些企业把“审批”、“决策”作为内控，但写不出具体的“内控措施”，只能用“模糊的似是而非的语言”来描述，模糊不清的活动怎么可能落地呢？落地的是“审批”、“决策”活动本身，因为它们就是“流程不可缺少的活动”。

如果把“审批、决策”作为内控活动，但为什么写不出“内控措施”呢？

因为流程中具有控制功能的“审批”、“决策”，关注的是“提案”整体，内控关注的是“某一个方面”，只有找到了清晰、明确的“具体方面”，才可能形成具体的可执行措施。这时候，企业建立的内控才是“可落地的”。