一、內(nèi)部控制是什么？

內(nèi)部控制，是指由企業(yè)董事會（或者由企業(yè)章程規(guī)定的經(jīng)理、廠長辦公會等類似的決策、治理機構，以下簡稱董事會）、管理層和全體員工共同實施的、旨在合理保證實現(xiàn)企業(yè)基本目標的一系列控制活動。

內(nèi)部控制的作用指內(nèi)部控制的固有功能在實際工作中對企業(yè)的生產(chǎn)經(jīng)營活動及外部社會經(jīng)濟活動所產(chǎn)生的影響和效果。在社會化大生產(chǎn)中，內(nèi)部控制作為企業(yè)生產(chǎn)經(jīng)營活動的自我調(diào)節(jié)和自我制約的內(nèi)在機制，處于企業(yè)中樞神經(jīng)系統(tǒng)的重要位置。企業(yè)規(guī)模越大、其重要性越顯著?？梢哉f，內(nèi)部控制的健全、實施與否，是單位經(jīng)營成敗的關鍵。

二、企業(yè)為什么難以解決內(nèi)控上存在的問題？

一個企業(yè)在生存、發(fā)展的過程中，必定會面臨各種各樣的風險，如決策管理風險、政策法規(guī)風險、制度缺陷風險、流動性風險、市場風險、信用風險和操作風險等。在風險面前，企業(yè)并不是無能為力的，可以通過建立內(nèi)控體系來防范和化解風險。

但企業(yè)最大的風險在于對風險的無知和無視，對已知的風險企業(yè)一定有相應的控制措施，而對未知的風險，往往是防不勝防。企業(yè)常常發(fā)現(xiàn)不了自己存在的風險，一是由于外部時刻在變化的復雜環(huán)境造成的，另一原因是只緣身在此山中。不知道風險在哪兒，當然不可能建立應對風險的控制措施了。我認識的一些企業(yè)家曾和我說，企業(yè)里面的人在做事上經(jīng)常馬馬虎虎，在對待問題上經(jīng)驗主義，制度都有，但風險事件層出不窮。

三、內(nèi)控體系建立的四大關鍵步驟

關鍵步驟一：搭框架

企業(yè)內(nèi)控體系的框架搭建依據(jù)四層分法，也可以稱為兩橫兩縱：

第一層分法（橫向）：按行業(yè)劃分，分傳統(tǒng)制造類、化工類、金融投資類、房地產(chǎn)類、建筑施工類、物流類、商業(yè)流通類、服務類、移動互聯(lián)類……；

第二層分法（橫向）：按企業(yè)所處階段劃分，培育期企業(yè)、成長期企業(yè)、成熟期企業(yè)、衰退期企業(yè)；

第三層分法（縱向）：按企業(yè)類型劃分，分為多元化集團、專業(yè)化集團、單體企業(yè)、分支機構；

第四層分法（縱向）：按專業(yè)分類，企業(yè)的內(nèi)控包括公司層面的控制、業(yè)務層面的控制和信息層面的控制。公司層面的內(nèi)控包括組織架構、人力資源、社會責任、企業(yè)文化；業(yè)務活動層面的內(nèi)控包括戰(zhàn)略、人力資源、資金、采購、資產(chǎn)、銷售、研發(fā)、工程、擔保、業(yè)務外包、財務報告、全面預算、合同管理；信息層面的內(nèi)控包括內(nèi)部信息傳遞和信息系統(tǒng)。

企業(yè)如果沒有依據(jù)四層框架分析來搭建適合自己的內(nèi)控體系，就會走入內(nèi)控搭建的誤區(qū)，要么是走形式，要么建立的內(nèi)控體系不符合企業(yè)實際情況，就好比給自己穿了一件不合適的外套，內(nèi)控變成了負擔。

舉例：某集團企業(yè)的內(nèi)控體系，這個集團處在快速發(fā)展階段，無關多元化，分子公司多，站在集團的角度，如何實現(xiàn)對分子公司的控制，管哪些不管哪些，內(nèi)控與集團管控如何融合，面對如此復雜的集團化企業(yè)的全面內(nèi)控體系建設，我們建議企業(yè)的內(nèi)控建設先從財務內(nèi)控著手，開展財務內(nèi)控管理體系的梳理和設計其原因有三：

首先，財務管理體系是整個集團運營的核心，解決了財務管理體系的關鍵矛盾，整個集團的內(nèi)部控制問題就至少解決了一半的內(nèi)部控制難題。其次，財務管理部門的經(jīng)理業(yè)務水平較高，對生產(chǎn)經(jīng)營的各個環(huán)節(jié)均有深度的掌握和全面的認識，梳理各業(yè)務活動內(nèi)部控制會起到事半功倍的效果。

再者，從財務管理往企業(yè)價值鏈的前端延伸，可以一直伸向銷售、采購、生產(chǎn)、物流、研發(fā)、信息系統(tǒng)架構等各個環(huán)節(jié)，甚至可以將管控要求最終延伸到人力資源管理、企業(yè)的組織架構、公司的治理層面等內(nèi)控環(huán)境層面。

思路確定后，咨詢項目組為該集團量體裁身，首先從財務集團管控角度做了一次深度培訓，使集團各層面的負責人都認識到集團管控不是一個簡單的問題，而是一個系統(tǒng)問題。而財務內(nèi)控先從資金入手。全面梳理了集團資金管理內(nèi)部銀行模式中出現(xiàn)的各業(yè)務活動流程。項目組為集團設計了資金計劃管理模板、編制了資金計劃上報和資金平衡管理流程；理順了結算部與二級公司之間內(nèi)部銀行結算業(yè)務流程上的不銜接之處，規(guī)范了結算部與融資部就銀行業(yè)務辦理過程中的業(yè)務交接程序和責任界定，重新編制了《資金管理制度》，包括：資金計劃、票據(jù)、現(xiàn)金、銀行存款、其他貨幣資金、信用證、借款、融資、備用金、網(wǎng)銀等各種事項的管理規(guī)定。在制度中明確各責任主體在資金活動中的職責與權限，強調(diào)資金內(nèi)控的各項風險控制措施。因為著手準，單點突破，效果很快呈現(xiàn)。

關鍵步驟二：找風險

中國企業(yè)所處的發(fā)展階段差異非常大，不同成長階段，不同規(guī)模，不同所有制的企業(yè)，企業(yè)的風險不一樣，集團企業(yè)更多關心戰(zhàn)略風險、管控風險，投資風險，資金風險……而單體企業(yè)更關心市場風險、生產(chǎn)風險、質(zhì)量安全風險。風險不一樣，內(nèi)控上存在的缺陷表現(xiàn)形式不一樣，控制的方式也存在很大的差異。

發(fā)現(xiàn)一個企業(yè)的內(nèi)控缺陷不是看他有沒有制度和審批，如果沒有那是內(nèi)控設計上的缺陷，如果有了，但企業(yè)風險仍然存在，那是執(zhí)行缺陷，而企業(yè)好多的問題就是在設計上有，但執(zhí)行上不能執(zhí)行，或設計上沒有，執(zhí)行上往往形成了約定俗成的不成文規(guī)定。那么，有經(jīng)驗與沒有經(jīng)驗的人來判斷這個缺陷就會有很大差異了，當一個缺陷被認定時，設計內(nèi)控體系時就會按照原定的邏輯來梳理流程，加強關鍵點、風險點控制，并通過制度來固化。當一個內(nèi)控規(guī)定不能在企業(yè)的經(jīng)營實踐中執(zhí)行時，簡單的提出加強控制是不能解決問題的。這種情況一定是企業(yè)管理上存在的客觀情況，有的是企業(yè)的問題，有的是行業(yè)的特色。當如果是企業(yè)的問題時，就要幫助企業(yè)解決執(zhí)行上的問題，不是強行要求就可以的，這時內(nèi)控與企業(yè)的業(yè)務、與企業(yè)生產(chǎn)、質(zhì)量控制、與企業(yè)的激勵放權措施，與企業(yè)的管控模式，與企業(yè)的用人機制都有關。當發(fā)現(xiàn)一個控制事項不能有效執(zhí)行時，我們會分析其是系統(tǒng)問題還是單項問題，如果是單項問題，解決的辦法會比較容易，如果是系統(tǒng)的問題，需要提供專項的解決辦法。

舉例：某集團企業(yè)存在短貸長投，企業(yè)也知道這是風險，但長時間這么過來了，沒有出問題，大家也就習以為常了。從內(nèi)控要求來看，企業(yè)的流動資金緊張，企業(yè)存在短貸長投現(xiàn)象時，從內(nèi)控的角度一定會指出缺陷，在制度上規(guī)定不允許短貸長投，但企業(yè)資金上的問題一時解決不了，新的風險就出現(xiàn)了，那么企業(yè)解決此類內(nèi)控問題時，需要從根源上找問題，建立資金風險分析模型和預警模型，為企業(yè)提供更多融資渠道指引，幫助設計內(nèi)部資金平衡計劃，平衡內(nèi)部資金需求。

舉例：當企業(yè)存在大量逾期應收賬款，而企業(yè)在應收款管理上有嚴格的管理規(guī)定，銷售合同也按內(nèi)控要求走了所有審批環(huán)節(jié)，可企業(yè)的應收賬款量越來越大，逾期款也越來越多，如果僅僅從制度上去要求加強應收款控制是不能解決問題的，如果制度上規(guī)定不允許賒銷，我相信這樣的內(nèi)控制度是行不通的。怎么解決這樣的內(nèi)控問題，好的內(nèi)控體系需要從如何建立客戶信用評價體系，如何建立銷售人員激勵體系，如何將回款與責任人員薪酬績效掛鉤來解決問題。

關鍵三：建規(guī)則

企業(yè)存在風險，存在內(nèi)控管理上的缺陷，就需要加強內(nèi)控文化建設，通過完善一系列的制度、流程形成共同遵守的規(guī)則。

內(nèi)控規(guī)則最重要的成果是針對內(nèi)控形成的各項內(nèi)控手冊。常規(guī)的內(nèi)控手冊的構成分6大手冊，包括總則、環(huán)境分冊、風險評估分冊、控制活動分冊、信息溝通分冊、內(nèi)部監(jiān)督分冊。但手冊的內(nèi)容構成不同咨詢團隊提供的產(chǎn)品會有較大差異。這其中最關鍵差異就是適用。而適用與否，不是誰都能實現(xiàn)的。內(nèi)控要解決的不僅僅是控制的問題，更多是要解決企業(yè)發(fā)展與風險控制的協(xié)同。

關鍵四：持續(xù)評價與提升

內(nèi)部控制規(guī)范體系是一個企業(yè)內(nèi)部控制應有的基本管理要求，在規(guī)范的基礎上進行控制才是最有效率和效果的。內(nèi)部控制改進體系是規(guī)范體系運行和完善的機制保障，只有通過監(jiān)督改進機制，一個規(guī)范的體系才能很好地運行、完善。

內(nèi)控風險和評價，內(nèi)控風險評價報告有時是為滿足上市公司信息披露用的。而企業(yè)本身需要定期提報一份真實的內(nèi)控評價報告，讓決策層清楚的知道企業(yè)存在哪些風險，通過控制措施降低了哪些風險，還存在哪些剩余風險。定期評價，不斷改進循環(huán)，企業(yè)才能處在穩(wěn)定上升的發(fā)展態(tài)勢中。內(nèi)控風險評價上最大的優(yōu)勢是不僅能幫助企業(yè)找到風險，而且有對風險的評估能力，設計應對風險的模型，能清晰的通過風險評估工具指出控制的效果，并合理的評估還存在的剩余風險。所謂剩余風險是指那些未能為企業(yè)所控制的戰(zhàn)略風險和各經(jīng)營流程的流程風險。一般來說，剩余風險往往具有一定的財務后果。它可能導致企業(yè)財務報表的重大錯報，使企業(yè)財務報表重大錯報的風險增加，也可能導致企業(yè)管理層舞弊，嚴重者還可能導致企業(yè)破產(chǎn)。

四、專業(yè)化的內(nèi)控咨詢能為企業(yè)帶來怎樣的不同？

咨詢公司在風險管理上有自己的咨詢工具和方法，更重要的是為多家企業(yè)提供過類似的咨詢服務，形成了完整的風險數(shù)據(jù)庫，也積累了多家企業(yè)應對風險的經(jīng)驗和方法，同時因置身事外，能更客觀公正的評價公司的管理。

內(nèi)控咨詢簡單的來說是咨詢公司拋開經(jīng)驗主義，從第三方的角度來幫助企業(yè)查找企業(yè)管理上存在的現(xiàn)實的問題及潛在的風險，然后幫助企業(yè)建立制度化風險評估及科學風險預測、科學風險應對的體系。

內(nèi)控體系所要實現(xiàn)的目標是進行內(nèi)控體系建設的出發(fā)點和指導；一個完善的內(nèi)控體系能實現(xiàn)多方面的目標。但是，不同的企業(yè)在發(fā)起內(nèi)控體系建設項目時，往往對內(nèi)控體系所要實現(xiàn)的目標有側(cè)重點或階段性的要求；從企業(yè)咨詢需求的角度，不同階段，不同類型、不同狀況的企業(yè)對內(nèi)控的需求也不一樣，很多咨詢機構在應對客戶的咨詢需求時都會面臨兩種或三種咨詢思路，一種是合規(guī)性需求的咨詢思路，一種符合企業(yè)應用需求的內(nèi)控制度、流程體系梳理，第三種是幫助企業(yè)建立真正防控風險，能落地實施的內(nèi)控體系。這三者的區(qū)別主要在是否符合企業(yè)實際，是否能落地實施。企業(yè)請咨詢公司做內(nèi)控體系就像買衣服，買衣服的標準不同，最后的結果也會有很大的差異，是想要時尚，還是想要品牌，還是想要合適，時尚的東西好看不好用，品牌的東西貴還不一定合體，真想買到適合自己需要的衣服，首先需要企業(yè)自己有鑒賞能力、有執(zhí)行的能力，如果自己的鑒賞能力和執(zhí)行力不夠，那么至少能把自己的真實需求表達清楚，而且還要配置與需求匹配的資源（包括時間、參與實施推動的人，內(nèi)部協(xié)調(diào)機制），量體裁衣做出來的衣服肯定是最合身的，能愿意為合適的內(nèi)控體系付成本也是很關鍵的。

咨詢在一定程度上能協(xié)助客戶進一步明確其對內(nèi)控體系的要求和期望，在咨詢和客戶之間，以及客戶決策層之間形成一致認知。

咨詢通常是一種思路和方法。給同一企業(yè)做同樣的咨詢內(nèi)容，常常不同的人做出的解決問題的思路會有很大差異，客戶得到的體驗也會有很大的差異，這樣的咨詢，每一次都是在做一個新的項目，咨詢師前期很辛苦，需要收集大量的資料分析，閱讀，形成對企業(yè)的判斷。這往往需要咨詢師有很豐富的咨詢經(jīng)驗，咨詢師在沒有經(jīng)驗的情況下，在有限的服務周期內(nèi)，可能為客戶提供不了滿足需求的成果。

內(nèi)控咨詢項目經(jīng)過過去幾年的實踐，已經(jīng)成為一個相對成熟的咨詢產(chǎn)品。根據(jù)過去幾年我們的實踐經(jīng)驗發(fā)現(xiàn)該咨詢產(chǎn)品涵蓋內(nèi)容廣泛、邊界與其它專項項目相比邊界模糊；同時，不同的咨詢機構或會計師事務所在這幾年也都在不斷的摸索尋找一種更加有效率且客戶滿意的咨詢方案，有時在同一個咨詢項目中可能同時出現(xiàn)幾種咨詢思路，造成進度不統(tǒng)一，項目成果存在差異難以融合。

我們咨詢團隊旨在統(tǒng)一項目思路、規(guī)范項目成果文件，并通過所提供的咨詢工具幫助咨詢顧問快速掌握咨詢方法，提高工作效率，保障項目進度，為客戶在最短時間內(nèi)提供適合客戶需求的內(nèi)控成果方面形成了自己的咨詢產(chǎn)品。

內(nèi)部控制體系的搭建和完善分集團型多元化企業(yè)的內(nèi)控，集團型專業(yè)化企業(yè)的內(nèi)控、單體企業(yè)的內(nèi)控，不同企業(yè)在體系設計上，在內(nèi)控要求上存在很大的差異。

四層分法基本上涵蓋了企業(yè)內(nèi)控涉及的方方面面。面對不同客戶的需求時，我們隨時能運用我們的內(nèi)控咨詢產(chǎn)品，輕松的完成前期體系的搭建。這每一步都會形成專項的咨詢服務模塊，這種模塊的切分不僅滿足客戶分專項的需求，也為我們流水化的作業(yè)形成了可能。我們標準化的咨詢流程如下：

接著上面的咨詢流程，我們在每一模塊都形成了標準化的框架。

第一階段：項目啟動階段，這個階段有些咨詢公司是在項目合同約定的現(xiàn)場完成的，而我們可以做到進場前先完成了，這個時間就為客戶節(jié)約了成本。

第二階段：內(nèi)控現(xiàn)狀調(diào)研，我們內(nèi)控咨詢產(chǎn)品的研發(fā)也是經(jīng)歷一個過程，前期研發(fā)其實很多是在咨詢現(xiàn)場完成的，在做每一個咨詢項目時，我們開始積累行業(yè)特征、企業(yè)特征，梳理風險點。然后我們通過EXCEL軟件功能開發(fā)內(nèi)控調(diào)研問卷，問卷的優(yōu)勢一是在問題的設計上，二是在風險統(tǒng)計上能實現(xiàn)自動風險統(tǒng)計。比如第一次梳理一個企業(yè)的風險我們需要用至少一個月的時間，但第二次再做類似項目時，我們可以減少一半時間，第三次時可以再減少一半。再接類似項目案例時，我們運用調(diào)研問卷，參照分行業(yè)風險地圖，對照企業(yè)現(xiàn)狀情況，核對一遍，再進行穿行測試，就基本上可以把企業(yè)的風險點確定，形成針對該企業(yè)的風險數(shù)據(jù)庫、缺陷整改建議、風險控制矩陣。

……

企業(yè)內(nèi)控體系的建設不是推倒重來，而是結合企業(yè)的實際情況，將散布于企業(yè)管理各個方面的相關元素按照框架的要求和標準進行補充、修正和組合。使企業(yè)的內(nèi)控體系更具系統(tǒng)性和科學性。內(nèi)控咨詢產(chǎn)品的形成，一是能保證工作的有序推進，二是對開展內(nèi)部控制體系建設工作進行了整體策劃，明確了建設目標、建設思路、建設方法，確定了項目建設階段，并為企業(yè)提出明確的實施工作計劃。企業(yè)建立內(nèi)控體系就應該真正把內(nèi)控作為強化企業(yè)管理的抓手，緊密結合企業(yè)實際，總結管理經(jīng)驗，優(yōu)化控制環(huán)境，不斷創(chuàng)新，推進管理水平提升。（文/張衛(wèi)君）

汲取管理智慧，分享最佳管理實踐、標桿研究及經(jīng)典摘編guanli_jia