內控的精髓在哪裡？

01-04

做了好幾年的內控了，想的越多越糊塗。話題可能有些寬泛，但我想這是個見仁見智的問題，還請大家多多幫忙。

我們先看COSO的Internal Control framework里是怎麼定義內控的：

Internal control is broadly defined as a process, effected by an entity"s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories:
1. Effectiveness and efficiency of operations.
2. Reliability of financial reporting.

3. Compliance with applicable laws and regulations.

粗體字是我標的。翻譯一下就是，「在沒有我們搞出來的這套流程之前，你們在某個方面（經營目標，財務可靠性，違法違規的可能性）出問題的概率——比方說吧，30%——現在我們設計了一套流程，如果按著這個流程做，你們出錯的概率可能下降到——比方說，5%吧」。

但是做這個事情不是免費的，所以COSO在內控框架里又提了一句「design of an internal control system must reflect the fact that there are resource constraints, and the benefits of controls must be considered relative to their costs」。這裡所說的costs有兩層意思：其一，實施這套從30%風險降到5%風險的內控流程，要花多少成本？其二，企業如何判斷5%這個結果對自己夠不夠，如果判斷下來、或者實際執行下來覺得好像不太夠，企業是不是應該花費更大的成本去執行更嚴格的內控進一步降低風險？反之，如果覺得現在錢花得太多了，能不能接受一個更大的風險水平、換來更簡單的內控和更低的實施成本？

所以理論上來講，如果要談一套內控流程設計的精髓在哪裡，那麼就是如何讓實施內控所能降低的風險和為之付出的額外成本達到最優平衡，或者說實施內控的邊際收益等於邊際成本，並且能夠隨著經營環境的變化隨時修正、使之維持在平衡點上。這是符合讓公司整體的利益最大化的目標的。

---------------------------------- 理論和實際的分割線 ----------------------------------

但是，內控是由人制定的，也是由人來實施的。COSO也承認這一點，關於內控的局限性里就包括了「Reality that human judgment in decision making can be faulty and subject to bias」以及「

Ability of management, other personnel, and/or third parties to circumvent controls through collusion」。翻成人話就是「內控設計成什麼樣、以及執行成什麼樣，取決於設計者和執行者腦容量有多大，以及屁股坐在什麼位置上」。

腦容量的問題我們不談，單說屁股的問題。實施一套內控的目的僅僅在於控制風險嗎？無論花多大的代價，風險永遠只能降低、不能消除。當風險成為現實、並給企業帶來了損失，就面臨一個問題：問責。問責是需要依據的，憑什麼把一項責任扣到特定的人頭上，要有大家都能接受、並且預先知曉的標準。內控體系就是一個標準：出現問題的時候，查查誰違反了內控設計，就是誰的鍋（無論實際造成問題的是不是這個人）；誰都沒有違反內控，出了問題就是大家一起背鍋，或者說誰也不用背鍋。

因此在實際意義上，內控的精髓還在於如何在設計層面上維持一個大家公認的、「合理」分配黑鍋的制度；以及在執行層面上，如何讓每個人的利益與其所應當執行的內控行為一致，讓內控行為的執行變成一件自主行為。

不過，可能嗎？人類不會出現大同社會，企業中也不存在一個對所有人平等的制度或流程。內控的設計既然是一種責任分攤的過程，那麼就看設計內控的人代表了誰的利益，能夠為誰多推卸一些責任、簡化一些內控行為，同時還能用堂而皇之的理由說服/壓服吃虧的人接受。在此過程中少不了利益相關方的博弈、合縱連橫、短期利益與長期利益的交換，能玩轉這一套的人才有資格說掌握了內控的「精髓」。

管理層誠信.

內控的目標：1.提高經營的效率和效果；2.保證資產的安全和完整；3.遵守國家相關法律、法規及企業內部管理制度；4.保證財務報告的真實可靠。

內控是企業為保證經營管理活動正常有序、合法的運行，採取對財務、人、資產、工作流程實行有效監管的一系列活動。

我在美資製造業做了快四年的內控，外企比較注重企業的內控，四年下來，關於內控的精髓，個人的心得是：為了達到內控的目標，設定規則----&>按照規則運行-----&>監督運行情況。

去年，公司派我去參加了一個內控的培訓課程。其中，老師關於內控舉了一個很好的例子：一輛汽車在荒原上行駛，如果沒有大坑，沒有別的汽車，沒有目標，怎麼開都可以。如果在荒原上有水坑、深坑，那我們是不是要繞開這些大坑才能行駛？（內控規避風險）；如果荒原上有其它汽車，我們是不是要設定交通規則，才能讓行駛更加有效率？去年上海一場暴雨，很多司機不管紅綠燈就亂開，結果那天全上海的交通一團糟，從龍陽路地鐵站開到川沙開了三四個小時，這就是一個很好的例子。（內控提高經營效率）；如果我們在荒原上開車，要開到某個特定的地方，是不是要有路標，我們才能儘早達到目的地？（內控提高經營效果）。

像企業的生產廢料或者損壞的零配件，這些東西不在企業的賬上，如果沒有內控，是不是就白白流失呢？如果讓專人管起來，讓專人監督，企業至少可以收回一定的殘餘價值。

如果財務部不去審核發票的真實性和合法性，使用了假髮票，是不是給企業帶了法律風險？

如果員工自己隨便可以申報加班工時，沒有上司和人事審核，是不是員工想從企業要多少加班工資就要多少加班工資，造成企業資產流失？

太多例子了，數不勝數，可以自己慢慢領會。^_^

七個人分一盆粥，如何才能分平均？答，讓分粥的人最後一個挑。。。這就是內控的精髓。。

內控要保證風險可控、支持管理層經營目標實現。但這兩個目標常常是衝突的；如何平衡兩個目標之間的衝突，就是內控的精髓。

控制考慮成本效應，不多不少剛剛好。

合適的人擁有合適的許可權

扯那麼多幹嘛？內控的精髓就是要平衡中支持企業戰略，支持企業能持續健康快速發展，空談風險和控制的內控我們不要！

何為內控？內控的目的究竟是什麼？內控與企業管理之間的關係是什麼？如果簡單地照本宣科地從書本上或者網上照搬一些理論方法，那就往往將人們搞得雲天霧地，即便是現在內控的源頭美國COSO等，各人也有各人的解釋，而內控作為一種發展時間並不長的管理方法、管理概念，不同的人對於內控理解不同，各種內控方法目的也不同，從而導致人們對於內控的理解差異很大，從一些實踐看，內控應該包括以下一些含義：

一、
內控並不是新生事物，而早已就有

內控並不是新生的，也不是一種時髦概念，其實不過將一些管理控制措施叫這個名字吧了。早先的企業一些管理措施以及配套制度、規範，無論是財務的、生產的、銷售的、採購的、日常管理的、合同的、投資的、擔保的、風險、存貨等等各個方面的制度措施，其實都是內控範疇，而不過是近些年來，隨著對於內控的管理的不斷深入，而採用了這個名字，所以不要因為叫做內控，而去過分追究其含義，就如同一開始實行借貸記賬法時，好多人追究借貸到底是什麼含義，為什麼有借方、貸方，借貸這兩個詞與其背後的真正含義叫什麼，反而搞得越來越糊塗，借就是借，貸就是貸，就是叫這個名字，不過是從英文翻譯而來。

二、
內控的目的是什麼

不搞明白內控的目的，也就無法搞明白內控要幹什麼，內控在企業管理中的位置，這這也是很多做內控管理一塌糊塗的真正原因，從事內控的人不知內控幹什麼，而在工作中搖擺不定，工作不起成效，而企業本身對於內控有時甚至大多數時候不知對於企業的真正作用、價值所在，從而對於內控部門不冷不熱，覺得需要的時候，就安排下工作，覺得沒有必要的時候，就閑置起來，甚至裁撤這個部門，這也是很多內控部門的尷尬之處。

內控的核心其實還是企業管理中的一個手段看，其與其他部門一樣，是企業管理中的一個環節，而與其他部門不同的是，其在企業管理環節層次理論是更高一層，其對於企業管理的過去工作成果、工作過程、工作程序的一種檢查、驗證以及評價，同時提出相應處理措施、建議，同時要對於企業可能存在潛在的風險進行識別、判斷、分析，因此來說內控工作是與企業管理運營是緊密相連的，內控管理的目的就是最大程度發現管理中存在的錯誤、失誤、偏差，確保財務信息真實、完整、有效，並能夠識別潛在的風險，避免發生重大損失，這才是內控工作的管理價值所在。

三、
內控人員需要什麼素質？

現在好多人覺得內控無法入手，從事內控工作覺得很棘手，到處碰釘子，反之很多人又覺得內控工作具有挑戰性，粗看起來在企業管理中位置又很高，又想嘗試下內控工作。其實內控工作很難干，一方面內控工作起步較晚，不同於財務等部門，在企業的中的位置已經固化，無論是其工作流程還是工作內容都已形成基本體系，今天幹什麼，明天幹什麼，每月幹什麼，每年幹什麼，都已經形成一種模式，而對於內控工作來說，很難固化，也不好出工作成績，而且非常在企業管理中產生對立面，而這也是內控工作較難從事的重要原因之一。

而真是如果想從事這方面工作起碼要具有以下幾個素質：

1、
較強的專業知識，包括財務、法務、企業管理、合同、生產工藝的初步了解、採購銷售流程的熟知，也只有具有這些知識經驗，也才能在工作中真正發現問題，提出有針對性、有價值的建議；

2、
具有一定長期的工作實踐經驗，任何知識技能，未經實踐是不能落地的，內控同樣，如果想從事內控工作，起碼建議具有3-6年以上的財務、審計、法務等相關的實踐工作經驗，而且是踏踏實實的工作經驗，不然在進行內控工作中非常蹩腳；

3、
干內控必須有極強的耐壓能力，好多人覺得內控是管理中的上層管理崗位，覺得有點高大上，其實你錯了，任何事情都有兩面性，不要僅看內控工作光鮮的一面，另一面則是殘酷的，這也是內控工作經常換人的原因。在實際內控工作，你所面對的往往是管理層以及關鍵崗位，而管理層都具有一定的經驗、技能、處世技巧，有的還有複雜背景，面對這樣一個群體，任何一項內控工作項目，都有其不可預料性，可能遇到任何可能的困難，而面對這些困難，很多人往往停不下來，這也是很多內控人員無法繼續工作的原因之一。

4、
做內控必須心態好，內控不僅僅要耐壓，還必須有很好的心態、修養，確保在工作始終保持一顆平常的心，任何事情要判斷公正，不要為一些非常因素所干擾，不然你所做的結論、判斷往往是有偏差的，而在複雜的環境中，你所做的結論、判斷非常容易影響內控在企業管理中的位置，所以做內控必須善獨，要具有很強的獨立思考判斷能力、職業判斷能力，這樣才能逐步樹立內控的威望。

先說這些吧！

=================================================

有朋友問關於內控的問題，順便答覆如下：

1、內控工作與所在單位性質、規模關係很大，更與內控在單位中的定位以及側重點更相關，是獨立的，還是受制於其他？這些都要考慮清楚，只有考慮清楚了，才知在內控工作中到底做哪些事情？有哪些許可權？做到什麼程度？有哪些風險？

2、你自己在內控管理架構中的位置以及內控發展狀況，是內控負責人還是一般人員，如果是負責人則需做內控工作計劃，一般員工就根據指令做吧！所在單位內控發展成熟，則可以承接以前工作模式，若是發展零碎或者新建部門，則需謹慎行事，有板有眼。

3、財務清查重點查看財務資金資產的合規性、合理性、合法性等各個方面，相關審計工作也許依照此重點開展，同時與所在單位管理層要求相關，要搞明白重點是什麼，是有的放矢，或者有隱藏線索，有方向感。

4、資金審批流程多數能夠通用，不過需要根據單位組織架構、人員設置以及發展情況進行修改，保證相互牽制、手續嚴密。並同時保證必要浪費過多管理成本，設置不必要、繁瑣的環節；

5、年度內控工作規劃，根據單位實際情況情況來吧，有重點、有目的、有亮點、有成果，而且確保能夠達到，做年度規劃可以借鑒使用project這個軟體。

=============================================

一、企業內部控制依據的標準，主要包括以下相關法律法規標準以及規章制度：

（1）《中華人民共和國會計法》及配套法規

（2）《中華人民共和國審計法》

（3）財政部、證監會、審計署、銀監會、保監會等五部委2008年制定的《企業內部控制基本規範》

（4）財政部、證監會、審計署、銀監會、保監會等五部委2010年制定的《企業內部控制應用指引》

（5）企業會計準則

（6）其他的相關法律法規以及行業規範、指導文件等

（7）企業內部相關管理制度、流程等。

二、《企業內部控制基本規範》及其配套指引可以借鑒，但是《企業內部控制基本規範》及其配套指引仍然是一個框架文件，企業內部控制更需注重實用性、針對性、目的性。

三、企業內控制度建設涵蓋多個方面，是一項持續性工作，要有的放矢，做好調研，做好內部控制關鍵點，制度建設只是一個方面，關鍵看內控制度是否有效，是否起到相應作用，因此要對於企業的組織架構、歷史、發展狀態、行業特點以及所存在的問題，要有切實、清晰的理解，而且必須明白哪些是能夠近期解決的，哪些是需要長期解決的，這樣才能穩打穩紮。

1、內控首要在於其要實現的目標，考慮要實現目標需要花費的成本和潛在影響帶來的成本（例如效率下降），成本與收益的衡量，確定內控的實施，只是在實踐中成本和收益很難量化，更多的時候是基於一個已經確定的結論來尋找理由進行實施；

2、一個理想的內控框架中首要考慮的是制衡，通過限制、牽制和管制的手段讓參與其中的人員、流程和信息已規定的情形予以運轉，這是大多數內控發揮作用的領域，能夠在公司管理過程中提供一些合理的保障，但是對於合謀的情形存在天然缺陷，最後形成防君子不防小人的情況；

3、要進一步的防止小人就需要實施更強的過程管理，系統化自動化、內外部審計等活動，並加強對資金管理等重點領域的流程和關鍵環節進行管控，以此進一步降低風險發生的概率和舞弊的空間；

4、內控不是萬能的，從事件結果來判斷內控的作用時很容易形成偏見，一個結果的發生存在各種內外部因素，事件發生本身就是一種概率，內控在成本限制的條件下對於各種情形不能形成預設；

5、短期和局部來看，內控和業務存在衝突，但整體和長遠而言他們的利益是統一的，這一點需要在文化中進行宣導，實際上也不能單獨談論內控，整個環境包括文化是一個很重要的協同因素，很少有其它做的很差但內控良好的公司；

6、實踐中來看，脫離了人的執行的內控看似完美實則不堪一擊，如果過於嚴苛和繁瑣會很難執行到位，理想的情況是讓責任方在權力範圍內主動自發的執行，但實際過程中存在衝突，一個基本的原因就是影響效率；

7、內控一定要考慮到人性，假如公司認為人的痴、貪、懶是本性，應該以此角度出發設置內控，不光是限制性行為的內控，而且是要考慮一定的容錯性，不能從理想的角度出發設置內控，否則會南轅北轍，造成推諉扯皮、鞭打快牛等結果，造成的損失比內控帶來的收益可能更大；

8、我們往往並不是在優中選優，而是在兩害相權取其輕。

內控的精髓在於衍生內控文化。內控的所要實現的是用最低的成本設計出一套控制流程將企業所可能面臨的風險降到最低。而風險說到底是人為的。怎麼才能控制人為的東西，只有讓人打心底不去做。那只有靠這個人具有不去做的文化。文化怎麼有？靠制度。嚴格的內控制度將沉澱出文化。那制度怎麼執行？靠內審和問責。內審和問責不僅是對破壞內控的懲罰，還是發現內控流程中不足之處的方法，重要的是不斷尋找內控的控制重點。內控的精髓在於在這一套循環流程中通過最低成本產生文化去降低風險，這是最有效的，但也決定了內控的效果是要很長時間才會顯現。

內控的精髓是人，更進一步是人性。了解人性才能更好地編製和執行內控。

一句話，內控就是有靈魂的秩序！

內控是近幾年很熱的一個企業管理用詞，那內控是什麼呢？個人覺的內控還是在管理的範疇裡面，企業各職能部門，企業各階層經營管理者每天在做的事都是內控，只是有的企業做的比較系統規範有效，有的做的凌亂碎片化低效。純粹的內控業者要做的就是把後者做到前者的水平，把前者再提升一個更高的層次。

所有的內控行為都應該有個大的目標，就是企業價值最大化，所有具體的內控行為都還有其小目標，維持或改善現狀。

拙見

結合內部控制的定義和五要素，可以提煉出一個簡潔的內部控制三角：目標-&>風險-&>控制。即在內部控制建設和實施過程中，始終要回到這三者之間關係的考量上：控制的具體目標是什麼？潛在的風險是什麼？可以採取的控制措施有哪些？

太多太多內控建設是沒有基於明確目標的，或者是基於了一個放之四海的抽象目標的。

內控的精髓在於了解企業的精準現狀，控制分險和提高效率並存，幫助企業達成目標。

內控的精髓：前瞻性、容錯機制及衍生出的內控文化