本篇是上篇之续，回答“内控建设”中的存在的疑问和困惑，并以实例进行问题分析。

在我看来，企业中内控、风控、合规，都可以归纳于“全面风险管理”范畴。因为，全面风险管理是一个概念而不是具体的工作，正如全面质量管理、全面监督等概念一样，体现的是倡导“人人”都应有主动防范风险的理念和意识。

现实中，不少人谈“融合”，本质是希望找到一种方法，去承载并满足三项工作的要求，化解“多头推动”的低效问题。想法是好的，但却疏忽了对“三项工作功能”的前提定义。这种结果可以预测，等融合、集成的故事讲完了，剩下的要么是“一套说法”，要么是“哪都沾一点，哪都做不好”的一团粥。这就好比“系统集成”一样，前提必须建立在清晰的专业分工基础上，没有分工定义，哪来的融合、集成？

04.内控建设中反映的问题

因为流程管理的成熟度不高，企业的内控建设，往往从流程梳理开始。

流程梳理的本质就是一个“写流程”的过程。也不知道从哪天开始，不知哪位专家提出了“风险内控矩阵”的高见，逐步变成了一种默认习惯。这种结果，纯粹是为了呼应“关键风险点”的说法，形成的一种形式化的表现。

所谓“风险内控矩阵”，就是增加了“一个风险项”的流程“作业文件”，区别在于表单内容中侧重于“控制活动”，不突出流程中的其它“价值活动”。问题恰恰出在“为建内控而建内控”，但流程走不通，内控也没用。

如果从内控、合规、风险管理的具体实现角度看，内控建设的本质，就是流程活动“规范化、标准化”的过程，差别在于内控侧重于“风险解决方案”的标准化；合规侧重于与相关流程活动标准化对应的“限制性、排它性”行为款项；风险管理是面向“流程事项”不确定的评估与防控。如果非要追求融合或集成的途径 —— 流程是承载“风控、内控、合规”要求的最理想载体。所以，“写流程”才是落实几项工作的关键条件。

问题在于，在写流程中会出现两个困惑：一是企业内控工作者组织员工写流程时，他们突然发现：对内控活动内容的具体化、标准化后，描述的风险，反而变得重复、拖沓，甚至没有意义。不写出对应的风险，好像还满足不了主管部门“内控建设”的要求。二是他们突然发现，流程中很多“重要的具有控制功能的活动”，根本没有办法准确描述出来，比如董事会审议、评审活动等等，要么就又回到“如果式”的模糊“讲故事”中。

我跟他们讲，你们已经快领会到内控建设的实质了，只要你追求“实效”，当下企业中很多内控建设的做法是存在严重缺陷的：一套对其他人没有丝毫指导意义的内控手册，能有什么意义呢？一套建设前后，对企业均没有带来任何变化的“内控建设”工作，一套建与不建，董事会都要一如既往地审批的流程，真的意味着“内控”落地且有效吗？

05.影响内控建设的最大问题是“形式”

我这里讲的“形式”，不是内控管理工作的形式，而是内控建设中建立在“粗浅理解”基础上层出不穷的“花架子”。

其实，这个问题我解释过很多遍了。从外部监管者的视角，内控包括了企业中所有的控制功能。但企业开展内控建设，需要改变视角，怎么改变？简单点说，是“用过程保证结果”，从内控的角度讲，是“用过程控制，保证结果控制的有效与准确。”

为什么企业内控建设出了那么多的“花架子形式问题”？成也“18项指引”，败也“18项指引”。可以说，18项指引，为企业开展内控建设明确了方向，提供了规范化的参照，18项指引本身并没有什么问题，问题出在内控建设者“没有实质理解”指引的意义。请注意，我说的是“参照”，恰恰在建设中，很多企业、机构不是在参照，而变成“照猫画虎”、“用一套方法解决着千差万别的企业内控问题”。

企业内控中，很多体现的都是审批流、决策审批流等职能流程。决策、审批、审核本身都具有“控制功能”，内控管理职能在哪个部门呢？无论是在管理部门还是监督部门，他们都动摇、影响、改变不了这些功能的内容。也就是说涵盖不了18项指引中的内容，原因是什么？企业内控建设，面对的很多具有控制功能的活动是流程活动，而不是企业视角下的“内控”。这些具有控制功能的活动，从内控的角度是“不能规范化、标准化”的，能够规范这些控制活动的是“治理机制”，而不是内控建设。

我们举几个常见的企业内控实例：如上图，是一个战略规划的制定与审批流程，但具体看，它就是一个规划审批流程，流程名称就错了。而战略规划的“实质性内控”反映在哪呢？风险反映在“战略规划制定”过程中，到了审批阶段，战略规划已经基本确定了。所以，这个流程图本身存在问题；其次，从审批流中看，风险点、内控点的识别都不对，所以它的作业文件是写不出来的，写出来也是不能用的（见下图表）。

从表中看出，风险描述体现的是“未建立战略管理机构”，但控制部门就是“规划部”，说明是不符合企业实际的杜撰；对应的控制点内容是“部门职责”而不是措施，这就更为错误，如果仔细看，三项内容都不可衡量 = 失败。

我们再看一个实例，见下图：这是一个跨三级单位的“工程项目立项”流程，如此大跨度流程，怎么可能找到“内控点”？

再看一下作业文件的描述：类似“科学性、准确性、合理性，对报告的深度、质量标准和实际要求等进行审核。”的描述，谁能执行？谁能评价呢？所以，完全可以得出结论 = 不可能落地和执行！

06.如何做内控，需要把握的几个重点？

为什么会出现这些问题？没有把握好内控重点，从企业内部，没有做好内控的定义。首先要回答一个问题：企业的内控建设，到底管什么？能管什么？

严格意义上，内控建设的前提条件是“治理结构”，企业只有建立了规范的“治理结构”，明确了权限分布，各种审批流、决策流就容易打通，内控活动的描述就可以提高针对性、规范性和标准性。

首先，内控活动的执行角色一定是“常设机构”中的角色，而不能是“非常设机构”，非常设机构是一个流程中的一个角色，但不能构成“节点”，所以它虽然具有控制功能，但一定不是内控。

其次，内控角色关注的一定不能是“全面性”，全面性是由职权关系构成的“管”，是由流程决定的流程活动，虽具有控制功能，但缺少了这个活动，流程就出现了断点，它一定不属于内控，这种活动很难用“控制”语言描述出来，因为它发挥的是管理作用，不是保证作用。

再次，内控活动不能偏执地认为是“防舞弊”，那就太“简单化”了，舞弊行为体现在哪些方面呢？这才是风险的动因，控制针对的是“风险动因”而不是“舞弊结果状态”。譬如：信息的失控扩散、源数据的生成、专业能力不足造成的非主观失误等等，都可能是舞弊风险的诱因。

对内控的定义，属于我们多少年磨炼形成的核心，不能再多讲了，请理解。但可以转化一下，内控建设者将自己定位为“被控对象”，你可以向“控制角色”提问几个问题：你要控制我的目的是什么？你凭什么实施控制？你下达控制结论的依据是什么？如果能够清晰地回答出前两个问题，而且体现的不是“全面性”，可以基本认定为“是内控活动”，如果第三个问题回答不上来，说明“内控设计存在缺陷”。

把握好以上几个重点，企业的内控建设，既可以简单化，也可以非常清晰，而且有助于实现管理提升，这样的内控不落地就奇怪了；通过过程规范化、标准化，完全可以为“审批、决策”提供“防风险”保证，外部监管关注的“最终控制”功能，风险概率就会大幅降低。

很多时候，企业发生的问题，就是在“无意”中发生的，我们不能总一边高喊着要保证内控有效，一边不断提醒董事会“要保证财报的真实性”，客观讲，董事会成员并不一定比主管部门更清楚报表中存在的问题。内控的要义在于，通过过程中的控制，保证部门提供给董事会审批的财报议案，本身就是“合规有效”、“真实的”，至于企业为了某种不可告人的目的而刻意进行的舞弊，那既是内控无效的问题，也是主观违法问题，另当别论。（全文完）