在非内控从业人士或者是对内控没有深刻认识的人看来，内控就是写制度，理流程。

在信息技术大发展之后，这些纸面上的靠人工和职位分离等实现控制的环节便转变成了系统中的角色或逻辑，并以此来设置控制点和控制者。

信息系统的建立过程，理论上应该有内控人员参与，实际上也确实如此。就算一切太平无事，一年至少还有一次内控制度的梳理、修订，一年至少还有一次内控审计。

内控审计的立足点和出发点从制度开始，兜兜转转之后，最终回归制度。 

正因如此，目前我国的各个部门与行业都在完善制度，执行制度。所以，在大家看来，内控就是写制度，做流程。从上面的阐述来看，出现这样的误读其实很正常。

实际来看，制度之于内控可谓不可或缺。制度是内控的外在表现，也是内控实际起作用的抓手。

虽然制度用途广泛，是组织运营的必需品，但内控也绝不等同于制度。内控是因，制度是果，制度是因内控而生，随内控而变。内控是一项综合性的管理活动，是动态的、全员的。

也许在很多人看来，内控管头又管脚，似乎每一步都有规定的流程，要经适当的审批，要留存必要的书面资料。明明是一个人就可以处理的事情，还非得让两个以上的人做。

内部牵制是内部控制的最初发展形式，其前提是对“人性”的不信任。

正如蒙哥马利在《审计理论与实践》一书中所说：

我们通常会发现内控做得好的组织系统化之后会如虎添翼，效率大增，而仅仅企图通过系统化让企业起死回生或脱胎换骨的组织，只会落得人财两空。这使得有些人认为“不上系统是等死，上了系统是找死”。

事实上，单凭这一点就将企业的失败全部归罪于信息化、系统化及连带着的内控，这实在有些以偏概全了。 

内控管理确实是一个导致企业成本上升的因素，至少它会增加人工成本，还可能会降低管理效率。

但内控做得好，有助于企业的路走得更稳、更宽、更长远。任何一家百年老店，其内控都不会差。

这对外企或民企来说可能性不大，但在国有企业里其倒是有存在的可能。究其原因有二。

企业出了状况，发生危机，基本上都能见到内控人员的身影，他们要找出问题，针对性地制定整改措施，给制度流程“打补丁”。 

所以，我们也是在“摸着石头过河”，救火式的内控成为了常态。 

内控可以应急，也应该应急，但长效机制的建立是我们更需要关注的领域。我们需要定期或不定期地检视我们的内控体系，做整体的调整，把应急时打的补丁嵌入整体框架中去，变成内控体系的有机组成部分。

健全而有效的内控，应该是无缝嵌入企业的生产、营销、财务等各部门各环节工作中的，这样才能充分发挥内控的作用。

这句话说对了一半，决策层、高级管理层在内控管理中确实起决定性作用，但这并不意味着内控只是老板的事，内控是全员的事。

有这样的误解，是因为实施内控的真正动力来源于老板，即股东、董事会、高级管理层，即出资人或实际管理人。

而这些恰恰都是老板们才会关心的事情，也都是老板们才需要关心的事情。

实际上，内控也多是自上而下，通过组织设计、考核目标要求或管理控制点的建制来实现的。

在有些企业，尤其是国有企业和民营企业，还有种看法认为内控是内控部门的事，美其名曰“让专业的人做专业的事”。

实际上内控机制从来都不是在现有的管理体制之外另起炉灶再搞一套制度，而是要运用内控的思维与工作方法，对现有的管理体制进行增补。

内部控制是否有效，与企业领导是否重视、是否带头执行有很大的关系。一些企业的内部管理混乱，是因为一部分高级管理人员破坏内控制度，比如职责分离、授权批准等制度。

经常听到有人说，我们公司没有内控。这是一种误解。任何一个组织，哪怕是个体工商户，也都有内控。

没有的只是事务所照搬出来的COSO框架，没有的只是一些企业或大型组织中那么多的制度、规定、总结或报告。

对于民企、私企等，老板们当然知道怎么控制自己的员工、自己的企业，并且方法还很多，只不过人家不把这个叫内控罢了。

按照实质重于形式原则，这才叫真正意义上的内控。内控的目的是什么？内控的终极目标是合理保证组织目标的实现。

开个小店，若目标是为了赚钱，那得想方设法让收入大于成本，若是为了转卖，总要使买入价低于售出价。这也是内控。

内控其实无处不在，没那么高深，也没那么复杂。斯蒂芬·茨威格在《异端的权利》中有两段话：

科学发展的意义，正在于改变人类原有的认识。因此，选择错误是一种权利，否则就没有了科学探索的合理性。