文：和君咨询高级咨询师  于春伟

汇丰控股集团前任主席庞约翰讲过一个令人震撼的观点：“过去摧毁一个金融帝国可能需要很漫长的过程，但是现在，即使经营了上百年的金融帝国也可能在一夜之间倾塌。”随着经济全球化的进一步发展，影响企业成败的因素已经发生了很大变化，没有一个企业能够在系统风险面前独善其身，“城门失火，殃及池鱼”已成为新常态。

“新常态”下，无论上市公司还是中小企业，很多“一把手”已经认识到企业发展仅仅依靠技术、资源及市场要素已经不那么“灵”了。完善运营管理体系，构筑风险控制的护城河，成为众多企业的选择。然而，很多企业在从认知到实践，对内控管理还存在一定的误区，导致了内控体系并未达到预期效果。

企业任何一项新管理举措的推行，都可称之为一场管理变革。涉及企业战略、组织、预算以及研、采、产、销等各项核心业务的内控体系，从建立到实施都称得上是变革中的重头戏。对管理基础薄弱的企业而言，内控体系的建立与实施会面临一系列困难。企业内控体系的错误定位，将某些参与意愿强烈的核心岗位人员划到了管理提升的“墙外”，事儿还没干，就已经埋下了失败的伏笔。

财政部会同证监会、审计署、银监会、保监会发布的《企业内部控制基本规范》显示，企业内部控制的目标是：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。“预防舞弊”确是企业实施内部控制的应有之义，但仅仅是目的之一。应该通过体系的健全完善，“润物细无声”地实现这样的效果，而无须大谈特谈，导致员工抵触的“小火苗”瞬间被引燃。

某企业在优化《费用管理制度》过程发生过这样一段插曲：该企业原来预算内费用的审批权限及额度，对分管业务副职领导、财务总监、总经理有明确的文件规定，并且规定达到相应额度以上需要提交总经理办公会进行审议或联签，避免个人单独决策带来的风险。

其实根据该企业的规模原有的授权审批规定比较符合实际，也运行较为顺畅。但在内控体系优化过程中公司审计委员会提出，原来赋予各级管理人员的审批权限太高，应该往回收一收。

讨论来讨论去，惊动了董事会层面之后，最终决定把原来的授权额度相应地往下降了一大块。新的制度运行之初，一切还算顺畅。但运行了不到二个月，从业务部门到财务部门都纷纷提出“不能这样下去了”。

授权额度调低之后，总经理办公会审议或联签的额度也调低了，需要开会的频次明显增加，甚至造成很多事情只能积攒到一起再开会商议，工作效率明显降低。专门为某一笔费用支出开会研究或联签，管理者的时间成本大幅升高，时间资源严重浪费。无奈之下，董事会不得已又恢复了之前的授权标准。

《企业内部控制规范》中“授权审批控制”只是多种控制措施之一，如果认为有了“授权审批”之后仍然存在风险，可以将授权审批控制与其他的控制措施组合使用，以降低风险。但授权绝对不等同于“限制权力”，如果不顾企业实际情况的“限制权力”，极可能打压员工的工作激情，影响了企业的运营效率，收不到预期的效果。

作为企业管理的一部分，内部控制涉及到企业经营管理的各个方面，需要梳理业务流程，明确业务活动的关键环节。业务活动中存在的风险进行系统分析并确定需要加强控制的风险点，针对存在的各种风险点选择适当的应对策略及控制措施，进而健全完善相关制度流程并督导制度流程有效实施，使风险得到控制或规避，如此不断地进行PDCA，使企业的风险管理工作持续完善提高。

内控体系的建立实施是一项复杂的系统性工作。一些企业在推行内控体系过程中由财务部门牵头负责，甚至成立了由财务负责人“挂帅”的领导小组，虽然工作按部就班地展开，但做着做着，新的问题来了——从上层领导到业务部门，打心眼里把内控这项工作当成财务部门的工作，认为都是在配合财务部门“完成任务”。

本来涉及公司各部门甚至全员的一项工作最终变成了财务部门的独角戏，其他的部门尤其是核心业务部门反倒成了观众。

从传统会计核算的角度看企业管理中的风险，可以基本形成这样的判断：当从财务部门的账表中发现漏洞和风险的时候，所有该发生的事情差不多都已经发生了。此时能做的，充其量是事后分析和事后追责。因此，如果企业内部控制体系的建立只是财务部“一个人的战斗”，没有业务部门的主动参与，内控体系也很难形成，甚至根本收不到好的效果。

在为一些企业做内部控制体系审计评估过程中，翻看企业的内控手册，发现很多内控手册长得都很像，看得多了终于找到了这些面目相近的内控手册的DNA——完全按照《内部控制规范》的框架内容扒过来的。这样的《内控手册》虽然貌似骨骼健全、框架完整、模块丰富、逻辑严整，实则只能应付相关监管机构的检查，对经营管理与风险控制基本发挥不了作用，核心原因在于脱离了企业的实际情况，而脱离实际的制度再完美也只能算是空中楼阁而已！

有这样一家民营企业，老板主管销售，妻子主管财务和人事，儿子也是公司股东之一，负责采购业务。为了规范管理，企业聘请外部顾问协助完善相关管理体系。顾问在问题诊断中提出企业面临的一系列风险，采购方面有若干风险点，甚至存在采购业务审批程序不够完整，导致员工与供应商可能串通提高价格牟取好处……。诊断报告尚未讲完，作为股东之一的老板的儿子摔门离场。

导致这种局面，原因是没有真正根据企业的实际，实实在在地分析企业管理的短板及风险，而是从所谓的“风险指标库”中找了一堆貌似严谨的风险点堆到一起，自然不会被人认可。对于有些企业，采购业务的确是风险高发区，但恰恰这家企业不大可能。因为企业一共三个股东，老板夫妻加上自己的儿子，既是股东又是“少东家”，为自己捞点所谓好处，与供应商合谋坑自己家公司的钱，可能性会有多大？像这种照搬照抄按“套路”做内部控制解决方案，结果只能是失败，对企业而言也是劳民伤财毫无成效。

在辅导企事业单位做内控体系的过程中，经常有客户问一个问题：你们帮我们做完内控体系，我们之前建立的制度流程还能用吗？刚开始听到这样的问题还感觉有些诧异，但走进一些单位看过之后便真的理解了。有些企业内部已经有好几套“管理体系”在同时运转，有的体系之间甚至是相互打架、冲突不断。

有些企业因为行业的特殊性，可能会有相应的行业管理规范，比如制药企业就需要按照GMP规范建立相应的管理体系，内容会涉及研、采、产、销、质量管理等各个方面，否则就无法通过GMP认证。企业内部控制当中也会涉及到研、采、产、销等相关方面，那是不是就理所当然地应该在同一企业建立两套完全不同的管理体系呢？有些企业的确就是这样干的，干脆搞成了“一企两制”，每一套都能满足不同方面的要求。

这种做法貌似很有智慧，但忽略了企业管理的核心目的。是为了应对外部的检查还是为了从根本上提升企业自身的管理水平？答案肯定是后者。即便既有行业规范的特殊要求，又有其他相关规定约束，企业也不应该、不必要叠床架屋地搞出几套管理体系。如果实在无法在一套体系当中兼容各方面的管理需求，那也只需要在既有规范的基础上进行适应性补充与完善，使两套体系既相互融合补充又不冲突打架，同时又从不同视角完善企业管理、规避运营风险，并让各执行部门在具体操作中可操作可执行，而不是让企业管理出现两层皮甚至多层皮，不受益，反受其累。

有一段歌词写道：借我借我一双慧眼吧，让我把这世界看个清清楚楚明明白白真真切切。内部控制作为企业整体管理体系的有机组成部分，要在运营管理中有效发挥作用，还真的需要各级管理者尤其企业决策者以及内控体系建立者擦亮慧眼，谨防在认知与实践层面进入误区，不但没能发挥内控管理的作用，反而劳民伤财做了无用功！