实务 | 企业内控不能落地生效的原因是什么？

导读：对许多人来讲，应该已经非常了解“内部控制”这个词汇或概念了。早在多年前，很多企业就启动或完成了内控体系建设，几年下来，很多企业却始终受困于不能落地、难以执行的困惑，其中不乏出自于大型会计师事务所、知名咨询机构之大作。

那么，产生这一问题的原因究竟是什么呢？

01.理解内控的特征与设计要素

内部控制，这一词汇本身比较独特，更具体地说，听起来十分简单直接，但要实施起来，过程和管理机制却相当复杂，并非不少人认为的“人多产出快、质量好”，也不等同于“画流程”，更不是产出一套内控手册，就代表完成了内控体系建设。

在一些内控书籍、内控规范中，对内部控制进行了明确定义，但都没有触及它的本质。至于把内部控制理解为“不相容岗位的分离”、“为控制风险采取的措施”等观点，都有成立的理由，但未免有些狭隘。

对每一个组织、每一个人，甚至对具有一定功能的产品来讲，控制无处不在，以不同的形态、方式、形式体现出来。

国家法律、地方法规、行业政策、国家部门行政规章、企业制度、业务流程等等，都可以理解为对特定对象明确期望，通过设定一些偏离期望值的结果状态，形成与状态后果对应的惩诫措施，通过提前设计一些监督与纠正措施，防范超出容忍度的结果状态发生（过程控制），这是控制的基本原理与特征。

当然，也会存在由于“监督与纠正措施”缺失、无效或失效的问题，导致状态结果超出容忍度，这是内控评价存在的原因。

在内部控制规范中，对内部控制赋予了特定范围的定义，意指“企业内部的控制”。企业是一级组织，通过实施管理，以保证企业、员工行为的偏离值不超出限定的状态，一旦进入限定状态的临界值，就会触发预设的措施实施纠正，这就是控制的作用。

企业内部控制，并非单纯“就内控而建内控”，或者说把企业中常规的一些“控制项”显性出来，脱离控制赖以存在的业务轨迹而形成的内控，没有任何意义。

现实中，企业任何业务域所希望的业务轨迹，通过制度或流程的形式体现出来，由此：设定偏离轨迹的临界值，构成了该业务域的内控目标，内控目标要符合业务目标要求，且应具备一定的可度量性。

内控建设的本质就是基于业务目标，通过对管理逻辑、运作程序、作业流程的梳理，反映符合目标要求的流程产出。通过业务目标要求，设定控制目标，对内控主体、内控客体、内控评价与监督依据进行规范设计（图中反映了企业内控建设各角色的设计要素），用有效的内控，为流程产出提供支持与保证。

02.企业内控落地的条件

对企业来讲，内控是一个非常宽泛的概念，涉及到不同性质的组织、岗位角色等等。对于不相容岗位分离，可以认为是一项内控措施，也可以是内控形式的一种体现，但不是内控建设的本质，本质在于“控制主体、客体的规范设计”，建立了控制主体与客体要素，岗位分离是自然产生的过程。

如何理解“内控是控制风险的一项措施”？风险是一个概念，但风险的描述不能原则化。置身于内控本质与特征模型，“风险”意味着“超出临界值的各种状态”，本质是风险底线，如果用数据化的视角阐述，即活动状态变量的标准值，也称为阈值，阈值的设定需要具体化，否则不可能具备“可衡量”的条件。不可衡量，如何形成控制规范或标准，又何谈“控制有效”？同样道理，内控信息化的实现条件之一，就是“控制规则引擎”的建立。

理解了内控设计的机理，还需要解决内控设计的范围问题。企业内部的控制在一定的范围、层级，以不同的形式、内容表现出来，内控建设的范围需要界定，否则很难完成？

很多第三方机构将18项内控指引作为界定内控建设范围的基准，在18个方面进行内控建设，当基本能够反映指引内容时，意味着内控建设项目完成。

笔者认为，以18项指引为导向，通过评估与企业现实关联的主要风险结构，分析可能产生重要风险的业务域，从而确定内控建设范围和重点，可能更为合适。但无论从哪个视角入手，与财务相关的内部控制建设都不能缺失。

内控是否能够有效落地，取决于两个条件：一是设计要合理，具备落地的条件，这是前提；二是要通过主管机构的管理、引导、检查、监督，为内控的落地提供支持，即内控体系的治理机制问题，这是保障。两个条件的目的是一致的：不能让内控飞起来。

内控是否具备落地条件的必要衡量标准是：内控建设的产出需要具备可领会、可执行、可操作、可衡量、可评价的条件。

03.内控不能落地的具体原因

内控是管理的一项职能，内控目标与业务目标紧密相关，与目标实现紧密相关的要素在于流程、流程活动的规范与标准，这与企业建立制度，从内涵上原理一致。也就是说，通过制度进行内控建设也是一条途径。

制度有一个固有的本质缺陷，由于采用文字化描述，不可能细化到流程角色中的活动规范。所以，我们经常说，制度只能落实到组织或个别的重要角色，很难与业务中的角色建立联系。但，流程可以弥补这一缺陷。

制度是企业用以管控风险的实践与总结。内控涉及企业中的各个业务领域，并通过管理模式、方式与方法的理解、领会，通过不同层级的制度、流程体现出来。

为避免内控建设中梳理的流程，出现与制度描述流程的“双标”问题，化解内控建设范围广、内容多、时间长、难度大的困境，一般情况下，制度成为内控建设的输入源，前提是企业的制度是“全面的、合理的、规范的、能够反映常规与非常规场景”。但现实是，不少企业的制度并不完整、规范，因此，内控建设仍离不开具体设计。

正是由于企业制度基础薄弱，内控建设需要结合企业运营目标、管控要求、风险结构进行创新设计，就必然涉及到业务管理模式的认识、流程的梳理水平、内控的合理设置、控制活动规范的设计质量等问题，创新设计不是“简单复制”，更不是“共性大挪移”，这是企业内控能否有效落地的第一个“先决条件”。

企业是一个运营体，内控设计的基础是对管理逻辑的认识，各业务域的专业化管理之间有着必然的协同关系。从认识开始就需要具体的设计团队拥有几个基本条件，我把它概括为5个方面：

（1）设计是产生内控提案的条件，设计团队需要具有“参谋型”能力特征，能够结合实际识别常规、非常规场景，通过流程梳理、重要流程活动、控制活动规范、产出标准设计，形成具体内控提案。

（2）设计团队需要具有多业务域的知识和经验，否则很难理解企业的现实环境，控制是管控中的“核心”，且容易涉及跨部门、跨组织、跨岗位问题。

（3）要具有企业整体的视角，或至少能够从企业目标、业务目标进行审视和度量，找到问题或风险。

（4）要具备解决问题的能力。虽然我们经常讲内控旨在防范风险，但流程风险很多体现为企业运营中具备一定发生概率的“重复性问题”，控制规范设计的本质，仍是防范“问题重复发生”的风险。

通过以上理解，我们把影响企业内控体系落地的具体细节问题归纳如下：

（1）对企业整体运营思路理解不准确，梳理的流程不能反映业务域的管理与运作逻辑、常规程序及特殊非常规程序。大家都知道的逻辑程序，不具备参考价值，所以手册无人问津。

（2）缺乏对控制主体关注内容、控制标准的设计，对具体控制角色没有参考、借鉴和约束力。譬如“制度审核”控制，“关注什么？审核什么？控制什么？”，这些内容不明确，控制结果只能是“已阅”、“同意”，控制形同虚设，控制对象一路通行。这样的内控手册只是“书柜中的资料”。

（3）风险矩阵的真正意义没有弄清楚。风险评估的结果，如果采用“模糊的原则假设” 表述，而不是“具体超出阈值的偏差状态”，除了“矩阵的形式”，本身没有意义。

（4）控制是为了纠偏，但并不意味着绝对消灭风险，超出容忍度的“偏差”，需要有控制主体、控制客体的后果责任措施。措施缺失，还会有谁去关注手册吗？

（5）控制缺乏表单支持。表单是体现内控执行非常重要的内容、最直接体现与控制结果的反映。联系到具体IT建设，表单设计要尽可能避免主观行为，而是通过“选择”，建立“控制标准与场景的关联”。

合理、完善的表单，能够体现控制、审批的产出流转与责任关系，区分控制与决策、审批的不同，提高审批流效率。

（6）没有处理好制度与流程的关系。内控建设梳理的流程，反而比不了制度描述的严密，与“风险点、控制活动”相关、影响产出的关键活动，没有活动规范与产出要求的描述，失去了通过流程“映射到角色”的作用，不能弥补“制度的本质缺陷”，流程作用必然会大打折扣。

04.结语

以上，我们就影响内控落地设计环节的常见问题进行了简单的总结。现实中，还有很多“内控设计的本身缺陷”，甚至影响到后期“内控评价”工作的开展。

在本文写作中，笔者也在思考，到目前为止，已经委婉回绝了4个企业提出的“内控优化与完善项目”，原因是，对方的需求仅停留于“完善手册”，且能够感受到把“内控优化与完善项目”视同为一次“画流程的劳动”，这种条件下的项目，不过是又一次“不关注落地、效能”的过程，即使完成也没有意义，不做也罢。

企业开展内控体系建设，本质是一次从“内控”维度展开的精细化管理提升。对于制度基础薄弱的企业，能够借助内控体系建设，通过梳理流程，弥补企业运营规则的缺失或存在的缺陷，强化合规管理（梳理流程不仅仅是流程的形式，也包括重要活动的规范与产出要求）。

对于制度基础完好的企业，内控体系建设不仅是落实上级主管部委的要求，还可以借助流程梳理，通过流程活动规范，建立制度与角色的关联，形成制度、流程、组织、角色、合规的映射，提高制度的执行力。把企业内部控制体系化，还有利于为企业向数字化转型提供必要的流程与节点控制支持。

整理/编辑：审计经理人
内容来源：天锦咨询
版权申明：除非无法确认，我们都会标明作者及出处，如有侵权烦请告知我们，我们会立即删除并表示歉意。谢谢！

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。