在内控领域里，不少人在努力阐释着COSO框架，或者极尽全力地研究着内控规范与18项内控指引，或者干脆把18项指引作为内控建设的结构模块。

于是，在千变万化的企业中，流转着一套基本趋于一致的内控范本。但不被参考、借鉴、遵从的内控建设产出，有意义吗？

01.内控重点来源于外规与管理关切

曾有过一个从事咨询业20余年的朋友与我一起探讨：确定内控建设的重点，是以18项指引为依据，还是以企业的主要风险为导向？

我的回答是：考虑外规要求，从企业的管理关切及应用需求角度确定结构重点；从洞察管理模式和方法角度确定重点建设环节；兼顾18项指引，从依据、控制规范、表单化、可执行角度落实内控具体建设内容。

为什么出现与大多人截然不同的回答？理由有三：

第一，18项指引，是以规范中提到的内容为输入，从“控制维度”进行的说明，面向的是各类、各型企业，涉及的建设重点，很多不属于一个管理层级。

从具体内容上，侧重于从企业运营的阐述，反映普适性的控制机理。所以，指引发挥的作用是“对内控建设的指导型参考”，而不是内控建设的“参照标准”。

合规，是企业经营的最低基本条件。企业只要不违背法律法规、监管政策、上级规章制度等约束、限制性要求，从外部的视角看，就符合合规经营的基本理念。所以，内控建设的重点，首先要对齐外规监管的合规要求。当然，要审视内规与外规的耦合度，而不能跨过“内规管理现实”，直接导向外规，不符合管理规律。

第二，在满足外规要求的前提下，企业的内控是由经营模式、管理模式、管理方法、已有管理工具的能力决定的。企业是发展的，所以，内控不是越多越好，而是必要、系统为宜。

其次，企业发展以追求价值增长为导向，是一个从“外部链接到内部整合”的过程。内部整合体现在“管理”，可以从战略实施的“模式-方法-流程-能力”路径理解，一步步向“内控”靠近。

不同行业的企业，或同一行业但采用不同经营、管理模式的企业，或同一模式下采用不同管理方法的企业，体现出的控制环节、控制方式和方法是不同的。在第3部分以实例分析说明。

第三，理解内控不能简单以“防风险”而述之。无论是管理、还是建立规则，都是以企业战略为导向、以预防风险思维为牵引。对风险的理解，不能以风险的语言为“果”，而应以“存在不确定状态的事项”为中心。否则，会再次构成“死循环”，这就是很多企业建立的内控，缺乏可参考、可借鉴、可执行的原因。

02.清晰内控建设的对象

如果能够洞察内控的本质，就会发现企业中具有控制功能的各类活动，其实有非常大的差异。从管理角度，控制活动可以分为3类：一是旨在影响“某类不确定状态可能”的控制；二是旨在影响“产出”的控制。两类控制活动的性质、目的截然不同；三是监督控制（不议）。前者是因发挥领域职能，需要嵌入的“控制”；后者是由产出的管理权限决定的“控制”。二者的相同点，都是管理控制。

内控建设的核心，不在于“控制活动”本身，而在于控制活动背后的“控制规则”。控制活动是依据规则发挥控制功能的“表现形式”，管理中的规范化就是“规则化”。那就带来一个问题，如何区分两类控制活动？

衡量一个事物，只能用同一的“尺度”，不能形成“双重标准”。区分两类控制活动，具有同样的道理。

如何选择同一尺度？审视同一流程，用对应的同一制度去看。企业中的跨部门流程一定有对应的制度，但同一制度对应的，可能是多条流程，或者没有流程。

怎么区分？用RACI方法，面向产出的控制，一定是“A”;职能发挥的控制，一定是“C”。前者反映的是整体权限责任，后者反映的是面向局部或者某一维度的能力。内控建设面向的是“C”，而不是“A”。

A由选择的企业制度最终完成了确立，“C”由制度确立的是“授权”，但没有最终决定“具体怎么做”。所以，从内控角度，该制度是部门发挥“C”功能的“法定来源”，就是内控建设对象。具体怎么做？需要该部门“建立规则”。联系企业现实，比如：一个管理比较规范的企业，在制度之下，该部门往往会研究“具体的方法和措施”，即内控建设的具体内容。

03.由管理模式和方法确定内控环节

找到了内控建设的对象，如何确定“环节与重点”呢？这种方式，会不会导致与“内控指引”脱节？

不会。18项指引都可以找到对应的管理职能，企业所有部门都负有内控建设的责任，但反映的结果，一定会存在极大不同。对照一下企业内控建设的程序手册，就会发现“问题所在”。

我们以内控指引中最富有宏观性的战略管理、组织管理，还有18项指引“未涉及”的研发管理为例，反映内控建设的整体思路、逻辑和步骤。

（1）确定战略管理的内控环节

战略管理包括战略制定、战略分解、战略执行、战略评估与调整4个步骤。从战略制定角度，由战略管理部门组织各部门、各下属运营单位实施，但并不意味着战略授权，而是职能的发挥。

战略制定阶段，是从顶到下、从下到上的往复过程。目的在于上下对齐，从而形成一套既有挑战又有一定程度可实现性的规划。在这个过程中，战略管理部门在于上、下的协调，以及企业级领导者的审视与决策。这个阶段无需增加专门的“内控”。

战略分解指的是从SP转化为BP的过程，BP强调的是年度计划，是战略管理的职能分支。无论是中长期规划、年度计划，都是面向未来的策划工作，所以，重点体现的是“风险评估”，而不是“内控”。过程中的控制，体现的是计划管理职能对风险事项采取的措施，目的在于计划目标，所以不存在重点的“内控建设环节”（资金年度预算计划不同）。

战略执行阶段，包括了计划的执行，以及企业扩张所开展的投资、资源重整等重大事项，出现了 “不确定事项”！体现的不是“事项整体本身”，而是企业“扩张项目与战略管道的匹配性”风险，这是战略管理部门“重点控制”的职责。所以，战略管理的内控环节，在于“三重一大类的风险决策型事项”，而不是企业内控手册中所谓的“战略审批流程”。问题在于：投资、资源整合是不同类型流程，控制节点相同，但流程不同。看看手册，做到了吗？

（2）确定组织管理的内控环节

不低于95%的企业，在组织管理内控建设方面，展现的是一个“基于组织层的管理流程”，问题出在内控建设者，根本没有理解“组织管理”。

对企业来讲，组织结构层需要保持相对稳定，进行一次组织结构的调整，是“影响非常大”的非例行调整事项，没必要建流程，也没必要谈“内控”，内控是需要成本的。

组织管理职能，不仅仅反映在“组织结构”管理，组织管理的最小单元在于“岗位与编制”，企业中各部门无权对“显性的常设组织”进行调整，但存在“项目组织”建立、私自扩展角色（超控借调）的风险。对比一下企业现实，是不是如此？

项目组织的建立，是企业中经常发生的现象，不是不行，而是要有条件。比如，超过一年的项目组织，需要组织管理部门同意，这就是“条件规则”，构成了“触发内控的条件”；其次，对超编风险的控制，借调多少人、用多长时间，都需要“管控”，这才是组织管理“内控环节与重点”。所以，内控由管理方式、方法、职能决定。看看手册，做到了吗？

（3）确定研发管理的内控环节

18项指引，并没有专门的研发内控指引，但研发管理的内控，是非常重要的“价值域”控制环节，怎么可能不管不顾？

企业间的经营模式不同，对价值域的定义并不一样。任何企业都是以“产品”为中心的，区别在于“产品的性质”，是以“项目体现的产品”，还是以“规模产品体现的方式”。前者重点在于“人”的能力，后者在于“产品投放的可持续性”，我们以后者为例说明。

产品的可持续性包括两个方面：一是价值创造，二是产品创新。产品创新又可划分为两个结构部分：以项目为中心的研发，往往不被纳入价值链，而归纳于“技术开发型”；产品的系列化扩展型创新，才是价值链的构成。

技术开发，最大的风险在于“核心技术、关键技术的失控与流失”；在于“把有限资源投入到一般技术开发”；在于“超出战略管道非主业项目”的技术开发；在于“过度的应用新技术带来产品质量、成本失控”┈┈

这些风险，来源于“研发机构与技术开发实施单位”，存在超出“研发管理部门容忍度”的可能，所以需要实施“内控”。

企业中的内控，需要考虑创新性，特别是研发管理，不能把研发“管死”了。所以，研发管理部门需要建立“核心技术与关键技术清单”、“反映容忍度的标准”，即触发内控的条件，一旦触发，研发管理部门就要介入“控制”，反映的方式往往是“评审”，但“内控活动”不是“评审”本身，而是建立于“清单”、“容忍度标准”基础上的“内控规则”。清单是内控依据，规则是内控规范化内容。看看手册，做到了吗？

04.结语

现实中，企业内控管理部门往往还有风控、合规管理的职能，很容易被什么“一体化”原理型的说法迷惑。所谓的一体化，是流程对管理要素的承载，但不要误以为“那么简单”，与其为了“不切合实际的原理”浪费时间，还不如把“一件事儿做深做透”，最大化兼顾其它，这是事实。

不少企业的内控部门，一直为内控手册不能落地、难以被其它部门认可所困惑。

首先要看的是，手册是程序文件，还是真的“管理手册”，此谓一；其次，要看一下，程序手册是否反映了“管理现实和需要”，管理上出现了错误，其它部门就不能理解内控管理的机理，自然不会借鉴，此谓二；最后，要看一下所谓的流程和作业说明文件，是原理型流程，还是“对事”流程，作业文件是不是充斥了满篇的风险语言？原理型流程和纯粹的风险语言，本身是模糊的，是不可执行的，不会被任何部门认可，这是能否给其它部门“带来价值”的关键。