在内控建设中，经常出现几种观点：梳理流程，识别关键风险点，建立内部控制；将内控嵌入流程，建立风险控制矩阵；内控流程、内控制度等等。

这些观点、做法正确与否，暂且不论，观点是由人提出在内控建设中，经常出现几种观点：梳理流程，识别关键风险点，建立内部控制；将内控嵌入流程，建立风险控制矩阵；内控流程、内控制度等等来的。但我们可以归纳出一个观点：在跨职能流程中，往往有控制功能的存在，但并非所有的跨职能流程，就一定有内控。观点的提出，建立在对内控具体定义的基础上。

开展内控建设，首先就要理解真正“内控活动”具有的特点，概括为4个参照标准：

一是内控的目的，一定是“局部”而不是整体；

二是内控角色所在组织，必须是具有稳定职责的常设机构；

三是定“管控”规则的，只能是控制体，而不能成为“常态的受控执行体”（除自己承担的与其它部门一样的常规受控工作外）；

四是执行内控的机构，必须有管控规范、或清晰的管控要求为依据。

按照以上4点识别出的内控活动，具有可规范化、标准化的条件。反之，看一下程序与内控手册中的流程风控矩阵，基本都会出现“不可执行的模糊论述”，到处是风险的语言，就是找不到真正的“风险事项”，不能落地的作业说明，流程就是一张“图”。

看待一个问题，不能停留于事物的表面，而应该看到本质。

人们更愿意认识的往往是内控规范中对内控的描述，譬如：内控的目的是保证合法合规、资产安全、财务报告及相关信息真实完整，提高企业运营效率和效果。于是，为落实要求而匆忙上阵，按18项指引梳理或复制通用原理流程，建立风险控制矩阵等等，但一段时间之后，发现产出并没有发挥出希望的现实意义，于是，又出现了“内控无用论”的观点。

问题出在4个方面：

一是没有理解内控的实质，用理论付诸实践。

二是不关心实施内控的基础标准依据是什么，忙于建设。

三是把很多具有控制功能的流程活动，当成了“内控”。

四是把具有控制功能的流程活动的执行，视同为“内控落地”，而真正的内控，却偷偷地流失了

至于那种“大挪移”的原理型复制方法，不提也罢。

在不少人眼里，建立流程与内控是那么简单，画出一条跨三级单位的原理型流程，或者复制一套流程完事儿。这种流程看似过程逻辑正确，但不具有可执行性，更不可能反映出其中的“内控”，除了体现落实要求的形式结果，毫无意义。

我们拿一个最普通最熟悉的“差旅费报销”流程实例来分析。在不少人眼里，认为这个流程无关紧要。错了，只要进入财务账簿的业务活动流程，都有内控的必要性，否则何谈保证财报真实性？何谈流程管事儿？ 

在直观认识里，差旅费报销流程涉及报销部门和财务部门，现实也是这种表现。但要做出一条可以落地的流程与内控，需要认识到这条流程中包括5-6个角色。当然，对大型企业来讲，如果写出的流程仍然停留在核算会计与出纳两个制衡角色，那也太跟不上“数字化”的步伐啦。

该流程实例，是基于自动化程度并不太高的IT报销系统的流程，不是IT实现不了完全自动化，而是企业必须依赖的票据实物管理决定的。在这条流程里，内控角色有4个，包括作业机构审核人、两个财务核算会计、IT系统。由于IT的导入，其实降低了人工内控的范围和压力，比如：科目的准确性、预算项目是否合适、预算余额是否支持报销等，都可以通过IT实现“机器内控”，有人说这是“智能化”，也有道理，但本质是内建规则的“条件自判断”作用。

这里需要强调一点，有些人并不认为“作业机构审核人”是内控角色，这是建立在“职能带”流程基础上的一种跨度观点。流程由活动按照顺序构成，活动执行体是角色而不是部门，只有当流程符合现实，内控的生命才能呈现出来。如果不认为它是内控角色，公派差旅的真实性就会失控，而财务核算会计不承担这部分职责。

在流程作业说明文件中，作业机构审核人的职责是“审核差旅行程是否真实”，并不对票据的有效性进行审核，票据的有效性由核算会计实施内控。有的企业中，会增加一个流程环节，比如报销人在报销单后贴好票据后，经部门审批人签字后才能投放，有时候，虽然审批人会对“票据是否超标”提出异议，但实质并不是他的职责，而是因为“财务内建的交通、住宿、餐饮标准、合规要求”被周知了，且具有可衡量性，所以按照“财务报销管控要求”执行，既有“合规”的成分，也提高了财务内控的效率。审批人对差旅这件事儿负责的是“全面性审核”。所以，在这条流程中，不能把审批人认定为内控角色，而是承担管理责任的流程角色。

其次，财务对“票据”真实性的审核，依据的是“预制的管控型基础规范性规则”，比如交通工具标准、住宿标准，报销票据的合规性限制要求等。虽然两道核算会计在发挥内控作用，但其控制对象、控制目的是不同的，缺少这些预制的管控标准，内控就会流于形式。为什么“十八大”之前，企业中的报销“散、乱、假”盛行呢？不是缺少内控，而是内控依据的基础管理规范缺失，或者没有得到严格执行，造成了流程不稳定的结果。

通过以上分析，完全可以归纳出：首先，内控的存在必然与风险有关，但在写流程中，真的没必要建立什么没人爱看、看也看不明白的“风险控制矩阵”。风险评估是一个潜在的过程，定好了规则，把流程作业说明文件写明白，大家按流程执行就行了，何必“画蛇添足”，唯恐不能反映出“防风险”功能？有意义吗？其次，在内控建设中，也没有什么关键风险点，有的只是针对风险设置的“控制节点”，而风险防控的属性，也是由不同“职能”决定的，职能是常态的，机构必须稳定。再次，企业中只有流程，或内控管理流程，但没有什么“内控流程”；有内控管理制度，但没有把制度泛称为“内控制度”之说。

如何提高内控建设的适应性呢？

一是既然要承担“内控责任”，就必须有控制赖以的“基础管控规则或规范性制度”为依据，这是从内控角色角度，实施的“管理规范化”过程。

二是内控活动本身的规范化，有了清晰的管控依据，内控建设就具备了“有的放矢”的条件，具备了规范化的现实可能，但必须区分开“管理型流程控制”与“内控”的区别，管理型的流程控制活动，很难做到“规范化”（通过其它方法实现，而不是内控建设）。

三是要把规范的控制标准扩散，让处于流程控制节点的前端知道“内控”机构的管控要求，在执行中主动遵从控制规范，在管理控制中发挥“超前预防作用”，这就是内控前置的方法。