内审网 / 整编

1、Why（为什么要完善内控？）

有人问，我们没有内控不也做得蛮好？

其实这个问题本身就有问题。要知道只要有组织，就不可能没有内控，无非是控制全面点还是片面、严格还是马虎、精细还是粗旷的区别。

皮包公司的老板一天到晚包不离手，包中就是几个章，这也是内控的一种形式，对他而言，管住了章，就在控制了公司的重要风险。

有人会说，我们现有内控不是蛮好吗？

还要这这那那，麻烦死了。

说得有道理，原来的是不错，可公司在不断发展、变化中，就象我们刚开始时，可以摸着石头过河，过了段时间，过河的人多了，石头不够摸的了，怎么过河？总不可能让人摸着鱼过河吧？这时，我们是不是需要考虑建个桥，不要再趟水了？企业是动态发展的，管理也是动态的，那么这个相匹配的内控却被要求静止不变，这就有点强人所难了。一句话，内控需要与时俱进。

2、Who（内控针对的对象）

内控给人的感觉就是管人，一上来就摆出一副不相信的样子，你看强调不相容职务分离，如出纳不能管全部银行印鉴，还不能拿对账单，编银行存款余额调节表，怕我贪污？怕出问题这个说得对，在西方新教伦理“人生而有罪，应罪而平等，必须通过创造财富这苦来赎罪，通过利益分配机制来享受财富”的思想下发展起来的市场经济，强调的是以理性的制度来扼制人的恶。注意这里强调的是人，是普遍的人，而不是个人，所以内控本身不针对任何个人，针对的是部门内的岗位、部门内部及其他部门间的业务流程。

一个好的内控体系，最终实现的境界是，在不信任的基础上设计内控，完满地运行这种内控，以达到最大的信任度。看上去有点矛盾，仔细想想看，是否如此？从辩证法上说就是对立统一嘛。

3、When(完成内控的时间)

前面说过，内控是一个动态发展的管理，只要企业持续经营，内控优化需求就会持续存在，所以，完成内控本质上是个伪命题。

但是，完善内控是有时间点的，所谓的完善，分二个层面，第一个层面就是初始有了内控的载体，通俗点说就是有了成套的规章制度，更进步点也有了业务流程图。那这个初始点在哪儿？没有具体的时间点，只可以说有个大致的时间段，这个阶段最理想的是在企业渡过创业期，进入成长期之际。

第二个层面就是逐步修正、完善期。内控要根据企业的发展动起来，绝不是我们城市的大马路，想到埋煤气管了挖开来，刚填好，又想到污水管还没排，再开挖。不能把制度当儿戏，随意变动。制度的变动要根据情况，细微的、非原则性的修改，可以定期的先以补丁的形式修订，经过一段时间运行后，对运行的情况进行评估，再决定修改的程度，是重修还是修订。不管哪种方式，都不能忘掉制度的连贯性，不能想着推翻重来，一步到位，欲速则不达，要考虑循序渐进的进步。

4、Where(内控执行层面)

内控是控制谁的？只是控制内部的员工？当然不是，内控的定义是：“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”控制目标是什么？有五个，一要合法合规的生产经营（不要做象三聚氰胺里兑奶粉的傻事），二要保证企业资产安全（不要被人侵占挪用），三要不做假账，四要保证提高经营效率与效益（防止潜在的损失就是效益），五是保证实现企业的发展战略。你看，这五条不是一网打尽了企业的全体人员？

注意到没有，内控定义的前三个主体，都是管理层，所以执行内控时，就要像当年红军指挥员一样大手一挥地说：“同志们，跟我冲”，而不能像电影中的国军指挥员那样说：“弟兄们，给我冲。”如果那样，后果可想而知了。

5、What（内控的范围具体是什么？）

说了半天，内控要做些什么呢？总不能老让人因为身在内控中而不识内控真面目吧？

简单的话，内控的大致范围就是18项具体指引，可分成三类，一是内部环境类，有企业战略、组织架构、人力资源、社会责任、企业文化这五项。二是控制活动类，有资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告这九项，三是控制手段类，有全面预算、合同管理、内部信息传递、信息系统这四项。

除上述18项外，你也可以想想，内控还有没有其他的内容？抢答开始:“1、2、3”。“有的”。回答正确，18项指引只是主要的，还有一些相对次要的方面的没写具体指引而已，比如说，公章管理、档案管理等等。

一句话，企业方方面面的管理，特别是涉及人、物、财的都应有合理的管控方式。

6、Whom（谁的内控？）

前面我们提到内控是面向全体员工的，但在具体的某一项内控运作时，则是只针对与内控流程相关的部分人员，那么其他人呢？从理论上讲，应该只要有工作岗位就会有相应的内控存在，而且这些内控应该是不重复，不缺位，不交叉的。

这样就会产生一个问题，会不会有哪些跟我有关的内控，那些是跟我没关的内控，是不是跟我没关的内控我可以不关心？这个问题是存在，对一般员工而言，不了解跟工作不相关的内控，情有可愿，不在其位，不谋其政。但在其位的，特别是那些有草拟内控制度权的人，则不能不关心。为什么？一是要考虑制度与制度之间的相配性，在立规矩的原理上应该是一脉相承，不能各为其政，二是制度间的衔接与关联性，制度可能是不同部门间各自独立的，但有可能处于一个流程的上下流，不能出现上游截水，让下游渴死的局面，那是要打群架的，不利于河蟹的局面。

总而言之，就员工而言，可以分我的内控，他的内控;而对管理层来说，那都是我的内控，要有一盘棋的全局观念。

7、Which（内控负责的部门）

内控是各部门分别执行的，常规的内控制度也是各部门分别或几个部门会同草拟的，如何避免内控设计上的重复或缺失？这就需要一个牵头的领导或部门来具体负责综合协调工作。这个部门一般由审计部或财务部负责。不但要牵头做，还要负责对执行过程的意见反馈处理、定期对内控的可行性、有效性进行评价。虽然我们说内控的对象是岗位与流程，但具体操作毕竟还是活生生的个人，所以在内控执行监管、事后评价中难免涉及人的因素，这里要特别注意要尽量对事不对人。要有沟通的技巧，以服务和咨询的姿态来操作，就会大大减轻遇到的阻力。

8、How（如何做）

内控最大忌讳是，内控制度都成了TXT文档，而不是EXE程序。内控的具体操作，可分成事前、事中、事后三部曲。

事前就是建全内部环境，明确各岗位的职权利。对企业面临的内、外经营状况进行风险评估，判断自己的风险承受度后，采取相应的对策。

事中是就是各项控制活动，及为妥善控制所必须的有效的信息沟通。这些控制活动的好坏就是执行力的体现。

事后则是内部监督评价。

来源：流程管理资讯,文章版权归作者所有，观点不代表内审网立场。部分图文源于网络，已标注作者信息，部分无法查明联系作者及首发来源，旨在促进行业交流共进,仅作学习研究之用，如涉版权或不便分享，后台联系删除。