01.混淆了广义内控与狭义内控的概念

无论是COSO内部控制框架，还是我国出台的内控规范，内控的概念，都是基于“广义内控”进行的定义，泛指企业中所有具有控制功能的活动、工具等。

如何看待广义内控呢？可以说，企业治理结构、组织与职责设置、制度、流程等都具有控制的功能；从部门开展的工作，如预算、核算、决算、审计、纪检、巡查等都具有控制功能；从具体表现的活动形式看，会签、审核、审议、评审、批准、决策等等，都具有控制功能┉┉

问题是，这些具有控制功能的工作，是否都要纳入企业内控管理的范围？毋庸置疑的是，处于困惑中的企业，至少都做到了向“广义内控一统化”的方向努力。出现这一现象的原因：有僵化理解、落实“指引”的一面；有所谓外部内控从业者基于直观理解的“理论解读”。这种结果，恰恰把真正应该规范化建设的“内控”丢失了。

有广义内控，就有狭义内控。狭义内控并不包括所有的“控制活动”，而是特指对“流程的局部产出”具有“针对性保证”特性的必要活动，保证的是“局部控制目标”，而不是“流程目标”。对流程目标发挥保证作用的是流程，以及流程中具有控制功能的流程活动，而不是控制目标导向下的“内控”。

企业的内控建设，实质包括两个阶段：第一个阶段是基于管理的机制、流程设计；第二个阶段才是狭义的内控建设。没有第一阶段的工作为条件，第二阶段的内控建设不存在基础。不要误以为，内控管理可以解决“第一阶段工作”，这种观点，犯了“因果倒置”的错误，讲的有道理，并不等于能够实践。

02.混淆了流程与内控的有效性

有了第一部分的说明，就有了理解流程有效性与内控有效性的基础。为什么出现企业认为内控手册不能落地，但承担内控建设任务的外部机构，却认为可以落地呢？我来自于长期负责内控管理工作的央企，也从事于当下的咨询服务，个中原因，当然清楚。

得出两种截然不同结论的原因：企业内控管理者的着眼点，是“少有人参照的内控产出，即手册的应用与价值”，而外部机构观点的着眼点，是“体现某项控制功能的流程”。我认同前者，不被执行者“认同”的手册，足以证明不能落地。譬如，某流程中“董事会审议批准”等具有控制功能的活动，是流程不可缺少的流程活动，如果不经过这个活动，流程不会有产出，但绝不代表为流程“提供局部保证”的内控有效。

为什么在企业流程作业文件中的“风险控制矩阵”中，很容易发现类似“如果论证不全面、不规范、不系统，就可能出现决策不科学，造成巨大损失”的假设性废话？原因是KRPKCP弄错了！无论是“论证”，还是董事会审议批准，解决的都是“整体问题”，而不是“局部针对性保证”问题。所以，在作业文件中，就不可能实现“可视化、具体化、规范化”，只能用“模糊的废话”陈述。这样的流程文件，既没有参考的意义，也没有落地的可能。

混淆了流程有效和内控有效，还会带来另外一个问题 —— 内控评价障碍。打个比方，如果内控评价人员侧重于“财务或审计监督”，评价关注的是“外规要求是否在内部制度体现”，从而确定为“内控设计缺陷”，然后通过查验结果的“管理痕迹”，确定执行缺陷。这类人员很少关心“权限设计、流程效率、内控活动作业标准”等问题，这是由职业习惯、专业特性、知识结构决定的必然结果。

这种方法有些道理，但遵循的仍是审计机理，而不是评价。内控评价首先应该是“基于管理”评价内控设计的合理性，然后才是“KCP”执行的验证。因为，不同的管理原则、方式与方法决定了“内控需求”，通过流程文件的方式可视化出来，绝非由所谓的“不相容职位”清单所决定。所谓“不相容职位”，由管理原则、合规风险、管理方法、数据源真实性、应用工具所决定，随着“IT”工具的导入，内控活动、角色都可能会发生变化。

03.混淆了实践与指引中的内控环境

在18项指引中，把“发展战略、组织架构、人力资源、社会责任、企业文化”列为内控环境部分，本身没有什么问题。但企业在内控建设中，对具体内控环境的建立，并非简单理解为要加强这几方面的管理，以及通过流程，反映流程中的过程内控。

企业内控环境更多体现的是“指导原则”、“内控执行的环境标准”。譬如，发展战略解决的是发展管道的界定，从而确定企业投资的“控制方向”。所以，在发展战略方面，就需要形成“主营业务结构与方向、核心技术、关键技术”等基础管理清单，这是“投资项目主业符合性内控”的基础和依据，否则，如何衡量、如何控制？

再比如组织架构，也不能简单理解为画张组织结构图、列出部门职能，或者把组织的管理与调整流程表达出来。其本质解决的是组织间的制衡关系，业务运作中影响组织效率的问题。譬如，供应商准入管理部门与采购部门的分离；明确一个部门接收并处理流程的最大控制节点数量；明确一个部门的出口数等等，这些都是“内控环境”的具体表现内容，作用在于指导部门“提高管理效率，化解与内控相伴的滋生官僚作风风险”。

企业开展内控建设，并不意味着可以不计成本地牺牲“效率”，这种内控会逐步让企业陷入“困境”。譬如，企业IT中经常出现的“控制节点”，导致紧急事项处于“长达近月”的等待状态，而真实的执行结果就是“十分钟审核”，问题出在哪里？出在了内控环境中的“内控原则”。如果明确“审核控制部门接收任务后，等待时间最长不得超过16个工作小时时间，过时IT默认“同意”，但角色仍要承担控制责任”的原则，就会倒逼当事者“主动授权”┉┉，这就是流程中的时间要素。

04.如何实现外部视角下的“广义内控”

控制是“管理”的一项职能，只要有管理，就有控制的存在。所以，我们看到内控规范中对内控的定义指的是“广义控制”，看到18项指引中，包含了大量的“管理逻辑”，而不是仅限于“控制”本身。问题是：内控建设解决了狭义内控，但如何让广义内控有效？

从企业看，有效流程的执行，意味着管理控制功能的发挥，结果的好坏由“角色能力与风控水平”决定。所以，广义内控的有效性取决于两个方面：一是合理管理条件下的流程设计要有效；二是狭义内控的建设要具体化、可执行。

所谓管理与内控，其实就是“鸡与蛋的关系”，我们没必要去深究。因为我们日常看到的就是“蛋是由鸡生的，没有鸡就没有蛋”，这就是“实践”与“理论”的区别。

我们完全可以得出4个结论：

（1）企业中的内控建设，体现的是“狭义内控”，与流程中具有控制功能的直接流程活动，共同发挥着“广义内控”的作用。

（2）决定广义内控设计有效性的条件是管理原则下的流程。流程的执行，意味着控制功能在“按规则”发挥作用。

（3）流程的执行，不代表过程“狭义内控”的有效性。

（4）决定狭义内控执行有效性的条件，是内控角色依靠的“管理基础”，流程作业文件中的“内控场景”，以及角色执行力。