开展内控建设为什么要上升到管控的高度去看待？

之二

本文是上篇《影响内控、合规、风险有效性原因....》的续篇。企业为什么开展内控建设？看似普通的问题，恐怕不少企业还真没有搞明白。即使在很多专家的培训中，大多也把上级要求、内控规范、指引作为推动工作的依据，甚至把落实内控建设工作说成“合规要求”。对企业来讲，落实上级要求固然必要，但利用内控建设的机会，提高企业的合规运营质量、效率，提高企业的抗风险能力和追求高质量发展的挑战力，才是内控建设的真正目的。

01.内控建设应该追求什么结果？

不能否认，随着企业业务、经营区域的拓展，会遇到不同区域法规、政策监管、市场多变等不同问题，是内控建设、合规管理最自然、最直接的认识和反映。外部环境的变化固然无可抗拒，把关注点片面导向外部环境也无可厚非，但对企业能力的提高、运营的改善毫无益处。所以，对外部风险的控制，需要转化为企业的内部管控，无论是内控建设还是合规管理。

管控是什么呢？并非单纯的监管与监督，还包括支持与服务。支持与服务体现为管理，监管与监督滞后于管理，通过人的活动表现出来，这是逻辑，现实中并非严格的前后而是并行关系。所以，控制与监管是一体的两个方面，是基于规划到执行中的运营管控所在。当然，企业治理与管控又不一样，所以，内控建设既有分层、又有分类，而不是内控的道理所能解决。

支持，指的是要告诉职责范围内的执行者怎么做、做到什么程度、产出什么、不能做什么；服务，指的是帮助管控对象解决需求和问题；监管，指的是对设定红线、影响产出风险环节执行结果的衡量或评价。所以，内控中的审核、审议等控制活动，本身也是监管的体现。

企业建立的制度、流程等规则，是管理提供支持的反映；日常的协调、问题处理，是管理提供服务的反映。所以，制度、流程等规则的执行，是管理部门履行职责的反映。执行离不开监管，监管是为了防范风险、发现问题并改善的行动反映。

管理是分层级的，控制与监管也是有度的，建立在作业决策权由作业团队行使的基础上，也渗透着责任，否则就别谈“运营效率”。这个基础，构成了企业内控环境的原则内容之一。

内控，一定程度上是他律的反映；原则，则是共同遵守的准则，是自律的反映。这些问题解决不了，企业内控就变成为控制而控制了。制度、流程等规则基础的优与劣，会影响到执行、控制与监管程度的高低，所以，来自于管理领域的控制与监管，常被称为管控。管控，不是单纯的人治，而是以规则为基础。监督，指的是来自于管理范围之外的内部、外部独立的第三方检查、评价。不少非常优秀的企业，企业家或高级管理者经常提到反对“过度控制与监管”的观点，指的是不希望出现过度“人盯人”式的监管，并不意味着这些企业没有控制，而是控制已经变成了一种必要的、最少化的“常态”工作，变成了流程活动。

这些企业，往往是制度、流程非常系统、完善的企业，至少企业运营的IT程度非常高。但是，这些企业不会缺少审计、道德遵从监督部门。只不过，有时候监督被表达成了监管。譬如，华为就是这样。

为什么这些企业把监督表述为监管呢？一般企业中来自于管理部门的监管，变成了流程中非常规范的活动，人的监管色彩自然得到了淡化，监督反而变成了更显性的来自于人的“监管”。所以，不同企业的控制与监管程度表现并不一样，反映的是“基础规则能力”的不同。

这就是企业内部控制建设应该追求的结果。所以，企业内控建设是一个制度建设、流程梳理的过程，只不过突出了“控制活动”的规范化建设。

当流程达到流程管理的程度，风险控制矩阵是不存在的，最多体现为关键活动，与流程作业说明书无异，但流程文本描述中会反映出风险，指的是流程风险，或流程痛点。

内控建设，当然需要考虑外部法则风险，这一点与合规管理的不同之处在于：是在假设企业已经掌握“外部合规要求”的条件下，为防范法律、政策风险所进行的“控制”，而合规管理中，包括新法则的搜集与导入。合规管理也离不开这一逻辑，只不过来自上级不同维度的制度，对建设后的产出形态要求不同。一个管理规范的企业，哪来的那么多面面俱到的“外部合规风险清单”？很多大型企业，被来自不求甚解的外部机构搞成了一个“初创企业”的合规管理，令人唏嘘不止。但是，一个建立了合规管理系统的企业，新业务、新领域、政策的新变化所带来的外部法则、监管环境变化，由于较高风险度的“合规要求”，会通过风险清单的形式导入到企业内部，转变成“风险管控”的责任与要求，这才是合规风险清单的“实质作用”。

合规风险清单，不是就“外部规则、上级要求”整理出的一份“台账”，而是逻辑一致的搜集外部、内部规则，通过风险评估形成的一份旨在管控或化解风险的“责任过程单”。没有风险的外部法则，整理清单的意义何在呢？难道清单的作用比制度、流程的作用还大？很多事儿，都是最简单的“直观理解”。

02.内控建设要上升到管控视角

第一部分我介绍了内控建设应该追求的结果，怎么评价呢？

评价包括3部分：一是内控建设产出的有效性，这个产出指的是通过内控建设而构建的体系效果；二是内控建设狭义产出的设计有效性，即制度建设、流程梳理产出的评价；三是执行有效性，即根据梳理的流程，抽样验证执行的程度及结果。

这意味着什么？如果不能依据内控管理手册、流程与控制手册进行内控评价，又回归到依据制度进行“审计”，意味着企业内控建设本身的失败，已经构成了缺陷，严格意义上，没有再继续评价的必要性。这一点，同保密认证评价、质量体系评价等。

其次，内控评价是带着“脑袋”进行的评价，而不是借用“内控通用指引”内容进行评价，纯属无脑操作。为什么先讲评价呢？内控建设的本源，只有瞄准“怎么运作、怎么评价”，才能决定内控建设的目标、结构、内容。请注意，我到现在没有讲过风险。内控建设中的风险是什么？一是是内控指引中明确的红线。这些红线来自于哪？来自于指引对应领域的“法则”。转化到内控建设，这部分怎么做呢？就是该领域内控环境的内容构成，以及必要的由对应部门实施的控制。

只要企业不存在外部法则明确的“违规风险”，企业的内控建设想怎么做，就可以怎么做。所以，内控建设的风险来源之二，指的是以企业价值、安全追求为背景的管理布局下的人性博弈风险、专业能力不足风险、管控要求风险、数据准确性风险，其中，自然也渗透着法律风险、合规风险，无出其右。

怎么做呢？要做内控建设，前提是该领域的管理逻辑与运筹布局，是管理逻辑与运筹决定了“内控”的风险重点，而不是单纯的“内控指引”，他只是指导企业内控建设的“通用常识指引”，而不是建设标准。

企业的内控建设，不是为控制活动而建设，而是以“管控”有效为导向进行的流程梳理与内控活动建设。所以，内控建设的前提，需要上升到管控的视角去看待。而不同领域管控的宽泛性及跨域之间的协作关系，决定了内控建设者们知识、经验、技能、特别是顶层逻辑认识的宽泛性。

内控建设，绝不是毫无企业经验的人所能完成，也不是靠人数就能够解决，更不是靠什么“单一专业优势”就号称“做内控的专业机构”，无非就是写出一叠放哪都行的废纸。因为，内控建设的结果，是通过应用与改善带来的抗风险能力提升。比如，全面预算的管控，企业如果仅仅停留在财务部门记账准确下的财报真实性，内控是一回事儿；企业要发挥财务更大作用，提高资金利用效率和风险监视能力，内控又是另外一种“表现”，会出现追求战略投资、短期收益为导向的组合化预算投入方式，会出现对应收款、库存、成本、价格、销售收入、信用等不同方面的分析、跟踪与风险监控┈┈。这些内容，哪是指引所能代替，指引只是最基本的管控逻辑。不客气地讲，那些“拿着指引”通用流程化的复制、调整做法，包括合规管理盲目做清单的做法，对企业而言毫无意义，就不可能落地；那些把指引内容做成一个标准化表格进行适用于所有企业的“内控评价”，就是掩耳盗铃。

为什么十个企业有八、九个主管部门总为不能落地而感觉“茫然”呢？这就是问题所在。要解决这个问题，不是完善而是重做，因为，涉及到流程的变化。

03.内控建设应该怎么做

企业开展内控建设，必须从风险管理的角度进行拆分，也就是要做好内控、合规、风控的边界界定，否则，就是“风险语言”漫天飞舞的一锅粥。然后，从主管部门的“管理”角度，告诉每个部门内控指的什么样的“控制”，当然，也需要分类、选择了。

分工，不是说内控、合规与风控的割裂，恰恰相反，有三个作用：一是统一员工的认识，风险管理究竟是个啥？有几种工作形态？三者之间怎么转化？是什么关系？二是找到内控、合规与风控的差异，进行“实践应用”型布局，保证产出符合上级要求，做好被检查的准备。三是要界定好群体、个体进行的风险评估，才能找到方法，才能转变为应用实践，才能构建风险监视、风险预警机制。比如，我曾在航天集团协助二级单位推动型号工程的阶段专项风险评估，因为有评估要求并明确了评估要素，必然要落实，必然存在控制节点设计，表现为专家组成的评审会。所以，风控、内控的所谓建设只是一部分，只要有管理要求，必然涉及控制节点及行动。

假如没有这个基础，企业的风险管理再做十年，也是说不清、道不明的存在。有了这个基础，无论内控、合规与风控，会与企业从规划到执行、从运营到管控、从人、事儿、结果上形成一个“整体能力”的台阶，才谈的上“管理提升”，才能在设计中得心应手地“把内控、合规、风控结合起来运用”。

开展风险管理的意义是什么？就是为了提高抗风险能力、立足发展去挑战风险，在管控风险中实现良性发展。很多企业可以做内控手册、合规准则，却为什么做不出“风险管理手册”呢？一锅粥的认识，不同维度的道理，自然是说不清、做不了的结果。就好像制度一样，有了，不等于被执行了，有了规定的动作，不等于执行到位。就好像很多企业做的年度风险评估一样，客观讲，有几个企业认为它真实地发挥了作用？无可落实，能发挥什么作用呢？

内控建设做到什么程度呢？不能从职能管理部门的角度认识，而要从执行层认识，做到日常运营中，基本依靠“手册”就可以理解、开展工作，而不是制度。意味着“手册”中的流程，至少要覆盖已有管控类制度明确的“控制节点”所处流程；对控制内容的描述，要达到“环节关键成功要素”的颗粒度。

如果内控建设的产出颗粒度比制度还粗犷，那还开展什么内控管理呢？做好制度管理不就可以了。企业怎么验收内控建设成果？这就是标准。

制度做什么呢？制度是内部“法则”，不等同于手册的可理解性。但企业的制度是需要管理的，管好了，制度就可以做实，运筹布局、流程、内控、合规管理都离不开制度，也要做好“前端”的规划，一个道理，我们不在这里赘述。需要说明的是，企业内控建设的直接产出包括两部分：一是主管部门的管理，反映为内控管理手册；二是流程与控制手册，范围为不同空间、不同领域的内控环境、流程与控制作业说明，是以公司治理为基础的产出。有时候，某个单领域的流程与控制，都需要单独成册。无论内控管理手册，还是流程梳理与控制设计的内控建设，其产出都是要被“应用”的，而不是片面为了满足上级要求、为了搞出一套证明做了工作的手册而建设。手册，必须有其存在的价值和应用可行性。要依靠手册开展工作，就要在企业级内控环境、专业组织级内控环境上“下功夫”。内控环境指的是什么？是支撑“内控有效性”的管控思路基础说明，以及面向不同层次、不同职能域内群体的合规准则条件，是不是内控与合规开始交融了呢？

企业级内控环境，从来不是规范、指引内容的翻版或泛泛而谈，而是企业非常明确的治理结构、分权授权、组织之间的分布与存在“制衡”关系的职责、人力资源管理所反映出来的“引导”型机制，以及内部审计的职责、审计结构及监督机制，以及企业明确的面向群体的红线和底线，是企业实际“执行”的体现。专业职能领域的内控环境，同一个道理，只不过是体现在该领域内的环境。要提高手册的可应用性，至少要从“管控”的视角去组织手册，去找到“反映内控”的重要流程。这个流程是什么？是职能范围内的管控“环节”，但是，不要认为环节是一个点，而是某件需要管控的“事”。

无论是组织之间的“牵制或制衡”，并不是说两个部门是对立的立场，而是基于“共同目标”下的协作，只是因为目标实现过程中可能存在“不同优势、特长或人性”等不确定风险，需要通过控制进行化解、预防、纠偏。组织之间的制衡，从来不是“两个机构”之间的制衡，而是在“某件事”上存在以预防风险为导向的协作关系，所以，才出现了控制，协作的前提是分工。

为什么我总讲“内控建设没那么简单”呢？控制往往体现在跨领域的管控逻辑设计上。企业为什么做内控很困难？流程发起端虽然是流程责任者，这个部门可以找到“控制节点”，但“控制”建设不是这个部门所能完成，而是控制部门进行建设，体现在跨专业的制衡上。流程发起端能够做到的，是基于“管控要求”的流程梳理与控制建设。比如，对研发成本、制造效率管控为目标的控制，会通过采购反映出来，对应收款的控制，会通过财务支出实施控制等，关键是能不能认识到这种关系。直接产出了结果，不等于“被应用”。首先，每个职能领域的流程与控制，需要“对应部门”认可，而不是内控主管部门；其次，要讲，要通过贯标让员工理解；再次，要在应用中不断发现问题并改善，直到稳定下来。很多人在讲着华为的“用流程承载管理要求、风险管理”等观点，人家是用近20年时间投入近几百亿的系统流程为基础所形成的认识，咱总不能通过内控建设就节省庞大的流程管理投入吧？我们有些“砖家”啊，这些观点讲的眉飞色舞，似乎掌握着什么诀窍，除了误导企业能有什么用？真能做到也行，内控建设是一件非常“务实、管用”的事儿，并不是每个企业都有系统化流程基础，道理是没有用的，要考虑实现的可行性。

04.内控评价有那么难吗？

有时候，有些内控评价的做法令人啼笑皆非，其实就是审计的转化版。

评价是什么？不是让你评价风险，风险不是评价出来的，更不是监督出来的，而是评估出来的。评价，必须基于结果事实进行判断。

内控评价标准是什么？我看过很多号称专业机构的评价标准，为了体现“量化”，把标准做的非常“砖业”，比如：超出资产的百分之多少是重要缺陷、重大缺陷。客观讲，这个额度如果能评价出来，他就不是缺陷而是问题了，就该追究责任了。这样的标准有意义吗？只是告诉企业有一个参照标准而已。

为什么内控缺陷评价标准很难制定出来？通用的定量事做不出来的，能定量的是衡量，定性的只能评价，标准只能与外部违规、与企业管控的关联度等指标进行设计，本质是以流程重要度为基准。所以，内控评价什么？缺陷什么程度？是在内控建设中设定的，而且要在内控管理手册的评价部分，明确缺陷与问题的区别。

为什么企业到现在都不能自我评价呢？问题就出在这里。从管理角度，我们可以得出一个结论：内控运作的有效性是设计出来的，流程效率、执行效率是设计出来的，内控评价标准也是预先设计出来的，只不过贯穿到了具体流程的文本说明中。流程，并不是一张流程图加上作业说明就能代表。

内控有效性评价，其本质不是传统审计的做法，最多是管理审计的导入。真正富有建设意义的评价，本质是流程效能评价，是管理决定的结果。比如，资产管理中的报废流程，不加分类、不加授权，就变成了一把手一支笔的存在，流程就变成了通用流程原理。但是，仔细看看企业，对贵大精稀设备与仪器、消耗型资产、房产等都有不同的流程与授权。梳理流程，得符合现实。这样的管控谈不上效率，也谈不上合理，一定是存在缺陷的。