1.

这两天，相信大家都看到了一则"噩耗"。

国内体检巨头爱康集团董事长兼CEO张黎刚，在“2018中国企业领袖年会”上，曝出了体检行业的惊天大丑闻。

张黎刚表示，“有些同行会用护士假冒医生看超声”，甚至“有一些同行抽了血做都不做检查就扔了，（直接）出结果”，而原因就在于“真正得癌症的比例只有千分之三，如果体检中心抽的血做都不做，错误率最高是千分之三。由于误差比例发生如此之低，在我们行业里，有很多不正规的做假体检的公司”。

一时间，我等吃瓜人员，愕然惊醒，有人表示，难怪长了多年的大结石，在体检中竟未被看到，也有人控诉，老父亲年年体检正常，却突然罹患晚期癌症…

是朋友第一时间发我的这条新闻，看到标题，我当时就没能忍住，竟将"无耻"骂出了声。

此后，这些年形成职业习惯，让自己陷入了思考。

从张黎刚曝光的信息来看，这种操作手法，不太可能是新近出现，听起来也不像是个别、偶然的现象。

那么，既然如此，整个社会有人质疑体检结果，却为何对此等龌龊操作，浑然不觉呢？如果不是业内人士张黎刚自爆行业丑闻，我等吃瓜人员，如果万幸结石持续未能发作，是否会永生懵逼？

下午，有两个内审合规小伙伴，和我聊到此事，言语之间，都对这些问题体检公司的内控表达了质疑，也让我分享下对这些体检机构的内控的看法。

2.

个人一直坚持一个观点，任何组织的任何行为表象，都可以直接或间接的对应到这个组织内部控制框架中的某一环或某一节点，且无论他们的内部控制框架是成文的还是约定俗成的。

体检公司的乱象也是如此，而且，体检业内人士自爆行业丑闻，并没有让我认为这些龌龊体检机构内控存在缺陷和漏洞，相反，我跟两个同行小伙伴说，这让我看到了这些机构内控的“巨大成功”。

同时，个人认为，这将是一个通过实务，洞悉内控理论的极好案例。

3.

关于内部控制的定义有很多。

COSO报告就提出，内部控制是用以促进效率，减少资产损失风险，帮助保证财务报告的可靠性和对法律法规的遵从。

但，个人更认同ASB(美国审计准则委员会/Auditing Standards Board)的说法，即：“内部控制是在一定的环境下，单位为了提高经营效率、充分有效地获得和使用各种资源，达到既定管理目标，而在单位内部实施的各种制约和调节的组织、计划、程序和方法。

更认同ASB对内部控制的定义，在于个人更倾向于认为，内部控制是一种没有褒贬、没有感情色彩的活动，而有些机构将内部控制将目标合法性作为内部控制有效的预设前提。

也就是说，个认认为，内部控制一定是服务于组织的战略目标的，而这种战略目标可能是合法的，当然，也可能是不合法的。

举个例子，传销组织、黑恶势力、国外贩毒集团、反政府武装之所以存在，一定有他们存在的所谓目的、运作的目标，即便有些非法组织的发展目标可能还够不上战略。

而，这些组织为了实现自己的发展目标，一定会制定对应的规划、计划，在实施这些规划、计划的过程中，他们也一定会形成成文或不成文的规章制度、各类执行流程，同时，这些条款与流程之中，也一定蕴含了对于他们经营发展风险的评判，及预防对策，比如如何避免被发现、被打击，一旦被发现、被打击又如何逃避、及时止损。

4.

大家知道，COSO内控框架，已经被当今世界普遍接受和使用，它是美国证券交易委员会唯一推荐使用的内部控制框架，同时《萨班斯法案》第 404 条款的「最终细则」也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准。（业界也对COSO框架的局限性表达过质疑，篇幅有限，在此不展开讨论）

个人认为，COSO内控框架5要素（控制环境、风险评估、内控活动、信息与沟通、监督）是对内控内在逻辑关系非常经典、简练的整理，虽然，不太认同其对内部控制的定义，以及五要素中的某些原则。

下面，结合问题体检机构的案例予以说明。

如果，爱康集团董事长兼CEO张黎刚爆料属实，那么，可以肯定，这些问题体检机构的高层不太可能不知晓，那么，也就能进一步说明，这些机构的企业文化、价值观一定是悖逆于国家法规、公序良俗的。也能判断，这些机构的发展目标就是不惜一切手段的赚钱赚钱再赚钱，而且还要避免某些龌龊手法被发现。

（1）控制环境

控制环境，包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。

控制环境影响员工的管理意识，是其他部分的基础。

与定义类似，COSO对内控环境的阐述也都基于合法的预设前提。但，从社会各类组织机构实践发展来看，内婶儿认为，内控要素是无法预设这个前提的，而只会为其组织的目标服务。

所以，问题体检机构的内控环境，也一定是为了实现“没有下限的赚钱且不被抓”的目标，他们员工的诚信也一定是内部对于组织的“忠诚”，而不是背叛企业，自行揭发、主动投案。

从结果来看，他们都做到了。

（2）风险评估

风险评估，是确认和分析实现组织目标过程中的相关风险，是形成管理何种风险的依据。

我们知道，风险，随经济、行业、监管和经营条件而不断变化，所以，风险评估需要建立一套机制来辨认和处理相应的风险。

回到案例，对于这些问题体检机构，最害怕的是什么，最大的风险就是什么。可以肯定，他们一定最担心这些违法、毫无底线的龌龊手法被发现、被公之于众。如此，目标将不能得以实现。

为了不被发现，他们一定会评估其中的风险，这也就能理解张黎刚所说的：甚至“有一些同行抽了血做都不做检查就扔了，（直接）出结果”，而原因就在于“真正得癌症的比例只有千分之三，如果体检中心抽的血做都不做，错误率最高是千分之三。”

因为，他们认定千分之三的概率是比较低的，所以被识破的可能性也是比较低的。

从结果来看，他们的评估很到位。

（3）控制活动

控制活动，是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。

为了实现“没有下限的赚钱且不被抓”的目标，这些机构会有其各类活动，从表面上看，从前体检套餐制定与审批、场地拓展与人员招聘、口径与话术培训、定价与业务宣传、收费与前台登记、体检实施…结果出具与传递…，一切都是那么的运转自如，甚至高效。

能用护士成功的冒充医生、能将血液倒掉直接出结果，而都不被客户发现，充分表明了他们将一切活动与数据结论控制在了合理的范围之内，也充分证明了他们控制活动的有效性。

（4）信息与沟通

一方面是信息，一方面是沟通，所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。

（5）监督

监督，很容易理解，也就是监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量。

以上两个要素比较容易理解，个人认为，对于这帮机构来说，最大的挑战在于，如何与员工充分沟通，让他们理解自己的“职责”，从而持续实施有悖于法律、道德的行为。而且如何组织监督，去及时发现那些挑战公司“没有下限的赚钱且不被抓”的发展目标及非法的内控环境的人和事。

我们从结果反推，这些问题机构的信息沟通、监督，也肯定是“成功”的。

还是那句话，如果不是业内人士张黎刚自爆行业丑闻，我等吃瓜人员，是否会永生懵逼？

所以，单纯从内控定义来讲，我会认为，这些体检公司的内控在长时间里，都是“成功”的。

5.

当今世界，都在推进法治，而社会，也自有其公序良俗。

一个组织永续的发展，一定是要遵循国家法规、国际规则、社会准则的。

一定内控成功的组织不一定会经营成功，因为，再成功的内控也会有破绽，而并不会百分百完美。

如果他们的组织目标有违国家法规、国际规则、社会准则，而他们既不是这些规则的制定者，又无力抗衡这些规则，他们将迟早失败！

最后，要大声疾呼，做人，要有良心！做事，要有底线！