一、內部控制是什么？

內部控制，是指由企業(yè)董事會（或者由企業(yè)章程規(guī)定的經理、廠長辦公會等類似的決策、治理機構，以下簡稱董事會）、管理層和全體員工共同實施的、旨在合理保證實現企業(yè)基本目標的一系列控制活動。

內部控制的作用指，內部控制的固有功能在實際工作中對企業(yè)的生產經營活動及外部社會經濟活動所產生的影響和效果。在社會化大生產中，內部控制作為企業(yè)生產經營活動的自我調節(jié)和自我制約的內在機制，處于企業(yè)中樞神經系統(tǒng)的重要位置。企業(yè)規(guī)模越大，其重要性越顯著?？梢哉f，內部控制的健全、實施與否，是單位經營成敗的關鍵。

二、企業(yè)為什么難以解決內控上存在的問題？

一個企業(yè)在生存、發(fā)展的過程中，必定會面臨各種各樣的風險，如決策管理風險、政策法規(guī)風險、制度缺陷風險、流動性風險、市場風險、信用風險和操作風險等。在風險面前，企業(yè)并不是無能為力的，可以通過建立內控體系來防范和化解風險。

但企業(yè)最大的風險在于對風險的無知和無視，對已知的風險企業(yè)一定有相應的控制措施，而對未知的風險，往往是防不勝防。企業(yè)常常發(fā)現不了自己存在的風險，一是由于外部時刻在變化的復雜環(huán)境造成的，另一原因是只緣身在此山中。不知道風險在哪兒，當然不可能建立應對風險的控制措施了。我認識的一些企業(yè)家曾和我說，企業(yè)里面的人在做事上經常馬馬虎虎，在對待問題上經驗主義，制度都有，但風險事件層出不窮。

三、內控體系建立的四大關鍵步驟

關鍵步驟一：搭框架

企業(yè)內控體系的框架搭建依據四層分法，也可以稱為兩橫兩縱——

第一層分法（橫向）：按行業(yè)劃分，分傳統(tǒng)制造類、化工類、金融投資類、房地產類、建筑施工類、物流類、商業(yè)流通類、服務類、移動互聯(lián)類……；

第二層分法（橫向）：按企業(yè)所處階段劃分，培育期企業(yè)、成長期企業(yè)、成熟期企業(yè)、衰退期企業(yè)；

第三層分法（縱向）：按企業(yè)類型劃分，分為多元化集團、專業(yè)化集團、單體企業(yè)、分支機構；

第四層分法（縱向）：按專業(yè)分類，企業(yè)的內控包括：公司層面的控制、業(yè)務層面的控制和信息層面的控制。公司層面的內控包括：組織架構、人力資源、社會責任、企業(yè)文化；業(yè)務活動層面的內控包括：戰(zhàn)略、人力資源、資金、采購、資產、銷售、研發(fā)、工程、擔保、業(yè)務外包、財務報告、全面預算、合同管理；信息層面的內控包括：內部信息傳遞和信息系統(tǒng)。

企業(yè)如果沒有依據四層框架分析來搭建適合自己的內控體系，就會走入內控搭建的誤區(qū)，要么是走形式，要么建立的內控體系不符合企業(yè)實際情況，就好比給自己穿了一件不合適的外套，內控變成了負擔。

舉例：某集團企業(yè)處在快速發(fā)展階段，無關多元化，分子公司多，站在集團的角度，如何實現對分子公司的控制，管哪些不管哪些，內控與集團管控如何融合，面對如此復雜的集團化企業(yè)的全面內控體系建設，我們建議企業(yè)的內控建設先從財務內控著手，開展財務內控管理體系的梳理和設計其原因有三：

首先，財務管理體系是整個集團運營的核心，解決了財務管理體系的關鍵矛盾，整個集團的內部控制問題就至少解決了一半的內部控制難題。

其次，財務管理部門的經理業(yè)務水平較高，對生產經營的各個環(huán)節(jié)均有深度的掌握和全面的認識，梳理各業(yè)務活動內部控制會起到事半功倍的效果。

再者，從財務管理往企業(yè)價值鏈的前端延伸，可以一直伸向銷售、采購、生產、物流、研發(fā)、信息系統(tǒng)架構等各個環(huán)節(jié)，甚至可以將管控要求最終延伸到人力資源管理、企業(yè)的組織架構、公司的治理層面等內控環(huán)境層面。

思路確定后，咨詢項目組為該集團量體裁身，首先從財務集團管控角度做了一次深度培訓，使集團各層面的負責人都認識到集團管控不是一個簡單的問題，而是一個系統(tǒng)問題。而財務內控先從資金入手。全面梳理了集團資金管理內部銀行模式中出現的各業(yè)務活動流程。項目組為集團設計了資金計劃管理模板、編制了資金計劃上報和資金平衡管理流程；理順了結算部與二級公司之間內部銀行結算業(yè)務流程上的不銜接之處，規(guī)范了結算部與融資部就銀行業(yè)務辦理過程中的業(yè)務交接程序和責任界定，重新編制了《資金管理制度》，包括：資金計劃、票據、現金、銀行存款、其他貨幣資金、信用證、借款、融資、備用金、網銀等各種事項的管理規(guī)定。在制度中明確各責任主體在資金活動中的職責與權限，強調資金內控的各項風險控制措施。因為著手準，單點突破，效果很快呈現。

關鍵步驟二：找風險

中國企業(yè)所處的發(fā)展階段差異非常大，不同成長階段，不同規(guī)模，不同所有制的企業(yè)，企業(yè)的風險不一樣，集團企業(yè)更多關心戰(zhàn)略風險、管控風險，投資風險，資金風險……而單體企業(yè)更關心市場風險、生產風險、質量安全風險。風險不一樣，內控上存在的缺陷表現形式不一樣，控制的方式也存在很大的差異。

發(fā)現一個企業(yè)的內控缺陷不是看他有沒有制度和審批，如果沒有那是內控設計上的缺陷，如果有了，但企業(yè)風險仍然存在，那是執(zhí)行缺陷，而企業(yè)好多的問題就是在設計上有，但執(zhí)行上不能執(zhí)行，或設計上沒有，執(zhí)行上往往形成了約定俗成的不成文規(guī)定。那么，有經驗與沒有經驗的人來判斷這個缺陷就會有很大差異了，當一個缺陷被認定時，設計內控體系時就會按照原定的邏輯來梳理流程，加強關鍵點、風險點控制，并通過制度來固化。當一個內控規(guī)定不能在企業(yè)的經營實踐中執(zhí)行時，簡單的提出加強控制是不能解決問題的。這種情況一定是企業(yè)管理上存在的客觀情況，有的是企業(yè)的問題，有的是行業(yè)的特色。如果是企業(yè)的問題時，就要幫助企業(yè)解決執(zhí)行上的問題，不是強行要求就可以的，這時內控與企業(yè)的業(yè)務、與企業(yè)生產、質量控制、與企業(yè)的激勵放權措施，與企業(yè)的管控模式，與企業(yè)的用人機制都有關。當發(fā)現一個控制事項不能有效執(zhí)行時，我們會分析其是系統(tǒng)問題還是單項問題，如果是單項問題，解決的辦法會比較容易，如果是系統(tǒng)的問題，需要提供專項的解決辦法。

舉例：某集團企業(yè)存在短貸長投，企業(yè)也知道這是風險，但長時間這么過來了，沒有出問題，大家也就習以為常了。從內控要求來看，企業(yè)的流動資金緊張，企業(yè)存在短貸長投現象時，從內控的角度一定會指出缺陷，在制度上規(guī)定不允許短貸長投，但企業(yè)資金上的問題一時解決不了，新的風險就出現了，那么企業(yè)解決此類內控問題時，需要從根源上找問題，建立資金風險分析模型和預警模型，為企業(yè)提供更多融資渠道指引，幫助設計內部資金平衡計劃，平衡內部資金需求。

舉例：當企業(yè)存在大量逾期應收賬款，而企業(yè)在應收款管理上有嚴格的管理規(guī)定，銷售合同也按內控要求走了所有審批環(huán)節(jié)，可企業(yè)的應收賬款量越來越大，逾期款也越來越多，如果僅僅從制度上去要求加強應收款控制是不能解決問題的，如果制度上規(guī)定不允許賒銷，我相信這樣的內控制度是行不通的。怎么解決這樣的內控問題，好的內控體系需要從如何建立客戶信用評價體系，如何建立銷售人員激勵體系，如何將回款與責任人員薪酬績效掛鉤來解決問題。

關鍵步驟三：建規(guī)則

企業(yè)存在風險，存在內控管理上的缺陷，就需要加強內控文化建設，通過完善一系列的制度、流程形成共同遵守的規(guī)則。

內控規(guī)則最重要的成果是針對內控形成的各項內控手冊。常規(guī)的內控手冊的構成分6大手冊，包括總則、環(huán)境分冊、風險評估分冊、控制活動分冊、信息溝通分冊、內部監(jiān)督分冊。但手冊的內容構成不同咨詢團隊提供的產品會有較大差異。這其中最關鍵差異就是適用。而適用與否，不是誰都能實現的。內控要解決的不僅僅是控制的問題，更多是要解決企業(yè)發(fā)展與風險控制的協(xié)同。

關鍵步驟四：持續(xù)評價與提升

內部控制規(guī)范體系是一個企業(yè)內部控制應有的基本管理要求，在規(guī)范的基礎上進行控制才是最有效率和效果的。內部控制改進體系是規(guī)范體系運行和完善的機制保障，只有通過監(jiān)督改進機制，一個規(guī)范的體系才能很好地運行、完善。

內控風險和評價，內控風險評價報告有時是為滿足上市公司信息披露用的。而企業(yè)本身需要定期提報一份真實的內控評價報告，讓決策層清楚的知道企業(yè)存在哪些風險，通過控制措施降低了哪些風險，還存在哪些剩余風險。定期評價，不斷改進循環(huán)，企業(yè)才能處在穩(wěn)定上升的發(fā)展態(tài)勢中。內控風險評價上最大的優(yōu)勢是不僅能幫助企業(yè)找到風險，而且有對風險的評估能力，設計應對風險的模型，能清晰的通過風險評估工具指出控制的效果，并合理的評估還存在的剩余風險。所謂剩余風險是指那些未能為企業(yè)所控制的戰(zhàn)略風險和各經營流程的流程風險。一般來說，剩余風險往往具有一定的財務后果。它可能導致企業(yè)財務報表的重大錯報，使企業(yè)財務報表重大錯報的風險增加，也可能導致企業(yè)管理層舞弊，嚴重者還可能導致企業(yè)破產。

四、專業(yè)化的內控咨詢能為企業(yè)帶來怎樣的不同？

咨詢公司在風險管理上有自己的咨詢工具和方法，更重要的是為多家企業(yè)提供過類似的咨詢服務，形成了完整的風險數據庫，也積累了多家企業(yè)應對風險的經驗和方法，同時因置身事外，能更客觀公正的評價公司的管理。

內控咨詢簡單的來說是咨詢公司拋開經驗主義，從第三方的角度來幫助企業(yè)查找企業(yè)管理上存在的現實的問題及潛在的風險，然后幫助企業(yè)建立制度化風險評估及科學風險預測、科學風險應對的體系。

內控體系所要實現的目標是進行內控體系建設的出發(fā)點和指導；一個完善的內控體系能實現多方面的目標。但是，不同的企業(yè)在發(fā)起內控體系建設項目時，往往對內控體系所要實現的目標有側重點或階段性的要求；從企業(yè)咨詢需求的角度，不同階段，不同類型、不同狀況的企業(yè)對內控的需求也不一樣，很多咨詢機構在應對客戶的咨詢需求時都會面臨兩種或三種咨詢思路，一種是合規(guī)性需求的咨詢思路，一種符合企業(yè)應用需求的內控制度、流程體系梳理，第三種是幫助企業(yè)建立真正防控風險，能落地實施的內控體系。這三者的區(qū)別主要在是否符合企業(yè)實際，是否能落地實施。企業(yè)請咨詢公司做內控體系就像買衣服，買衣服的標準不同，最后的結果也會有很大的差異，是想要時尚，還是想要品牌，還是想要合適，時尚的東西好看不好用，品牌的東西貴還不一定合體，真想買到適合自己需要的衣服，首先需要企業(yè)自己有鑒賞能力、有執(zhí)行的能力，如果自己的鑒賞能力和執(zhí)行力不夠，那么至少能把自己的真實需求表達清楚，而且還要配置與需求匹配的資源（包括時間、參與實施推動的人，內部協(xié)調機制），量體裁衣做出來的衣服肯定是最合身的，能愿意為合適的內控體系支付成本也是很關鍵的。

咨詢在一定程度上能協(xié)助客戶進一步明確其對內控體系的要求和期望，在咨詢和客戶之間，以及客戶決策層之間形成一致認知。

企業(yè)內控體系的建設不是推倒重來，而是結合企業(yè)的實際情況，將散布于企業(yè)管理各個方面的相關元素按照框架的要求和標準進行補充、修正和組合。使企業(yè)的內控體系更具系統(tǒng)性和科學性。內控咨詢產品的形成，一是能保證工作的有序推進，二是對開展內部控制體系建設工作進行了整體策劃，明確了建設目標、建設思路、建設方法，確定了項目建設階段，并為企業(yè)提出明確的實施工作計劃。企業(yè)建立內控體系就應該真正把內控作為強化企業(yè)管理的抓手，緊密結合企業(yè)實際，總結管理經驗，優(yōu)化控制環(huán)境，不斷創(chuàng)新，推進管理水平提升。