不少企业做事儿有一个特点，很难沉下心，思考事物的底层逻辑，从而采取必要的系统措施以解决问题；或者，即使已经认识到了新技术发展对产品趋势的影响，由于还没有看到新产品的影子，也不愿或不肯对一个尚具有不确定性的新事物付出时间、组织、人员及资金的投入；或者，总认为别人的方法、结果好，而对内部人员的差异化创新嗤之以鼻，回归到左看右看都对的无争议原理状态。

最终的结果，要么一直在追赶的路上奔跑，重复着缩短差距、被拉开距离、继续追赶的循环；要么是看似合理的产出却难以落地执行，只能束之高阁，或者一遍遍地推倒重来。

在笔者的认识里，管理同样是一类技术，它服务的不是直观的物化产品，而是企业的运营效率与效果。技术的认识与应用，自然影响着产出的过程和结果。正如内控框架、内控规范与指引一样，很多管理技术的理论是共性的，当技术被导入并应用于企业时，不是看技术本身的先进与否，而是要看技术与企业运营环境、目标与过程的耦合程度，技术的应用能否满足应用场景的功能需求。

01.如何看近年来的企业内控建设

这几年，我国不同行业都在提倡和推进内控建设。但仔细分析，即使专职从事内控管理的人，真正理解内控的人数占比不会高于70%。从企业本身的内控建设产出的整体内容（很多表现为手册）看，能够发挥指导、参考作用，或可以落地执行的内容占比不高于50%。如果以所有进行内控建设的企业为样本，内控整体表现优良的企业，我们赋予它一个极高的占比70%，这意味着什么？

如果不考虑企业现实的管理作用，仅从内控维度看，在总结中表述为完成内控建设的所有企业样本中，真正发挥作用的内控占比在35%左右，何况内控体系建设没有结束时点。如果考虑由于缺少能够准确理解内控，由人的因素干扰而造成的内控建设低效或无效，这一比率还会更低。

会有不少人质疑这一估计结果的可信度，甚至还会有很多人对产出的感觉非常好，这很正常，让我们印证一下。

02.用评价来衡量内控评价的有效性

内控评价，是每一个开展过内控体系建设企业的必须工作项。很多企业的内控评价标尺，不是来源于流程控制，就是来源于制度，或者延续着依据内控规范及18项内控指引的说法。以对内控环境的评价为例：在评价中，往往着落于公司治理结构、战略管理、组织结构、审计监督等职能领域的控制。

如果仔细思考，这种评价有必要，但能产生多大价值，与评价方法紧密相关：一是作为现代企业，公司治理结构至少在组织、职责上是完备的，三会职权分布、两委（委员会、党委）重大决策前置，且都有配套的“议事规则”，大型企业中，基本都会遵守程序规定，但在具体“前置审议、审议决策、审批”中，各组织的关注重点是什么？决策程序中的部门“岗位控制”控制什么？控制要素包括哪些？却很少涉及，审议效果如何，参加过的人基本都知道。再比如，大型企业的组织、编制与岗位管理也比较完善，对这一职能内控的评价，如果仅从运作过程中寻找一些“论证、审核、审批”记录来印证，这种评价的结论是确定的——“无重要、重大缺陷问题”，为什么？因为都是制度规定的必走程序。

会有不少人说，你谈的太详细，太难实现了。笔者并不否认它的难度，但大型企业的管理就是要向精细化方向发展，否则制度规定好了，再从内控建设的维度重复一次，意义何在？仔细看看最近国家发布的规章制度、政策文件，很多都是“在细节角度”进行的“规定”，这一趋势是这几年发生的重大变化。譬如，重大事项、重要人事任免集体决策的“主持人”，不得首先发表“引导性意见”等等┉，今后类似的制度、约束文件还会更多。国家尚且如此重视细节，企业的“原则化管理”能保证“外规义务”的履行吗？

我们做一个假设：假设被评价企业的内控体系是完善、有效的，那它的体系管理基础一定完善、有效。体系管理基础的衡量就是“内控环境评价的突破点”，能够间接反映理论上企业内控环境涉及内容的有效性，而且是内控评价最直接的指标。如果从IT角度认识，任何风险监视数字化模型的设计，其获取指标的途径包括3个方面：一是直接过程、场景、结果指标，二是间接指标，三是外部指标。有时候，间接指标、外部指标的作用和权重反而会更大。

常规内控评价中，经常出现依据“18项指引”确定评价内容，却疏忽了对内控体系本身的基础效能进行评价；或者按照18项指引进行内控建设，内控部门“忙着督促其它专业部门建立内控”，却忘记了自己承担的“内控管理”的内控建设。这种现象，似乎不在少数。不用强调，18项指引“不包括内控管理的内控建设”。

当看到这一模型，会有企业意识到“内控管理基础”的问题，基础存在缺陷，至少会影响内控体系评价的总体结果分值。这就是我们通常讲的“灯下黑”问题，好比“主管风险管理”的部门，只让别的部门提交“风险评估报告”，自己却从不进行评估；内控管理部门忙着组织各单位开展内控建设或评价，但自己承担的业务却没有形成“流程控制”、“没有被评价”，对下布置的工作，下属单位完成后没有任何反馈结果一样，从这一点看，违背了“制度公平性”和体系的PDCA原则。

如果您认同笔者的观点，再去回顾曾经做过的内控评价或内控体系建设，会得出不同的结论。

03.从萨班斯法案理解内控建设的起源

这里要讲的，不是“内控”在什么时期出现，这无从考证，也没必要深究。

内控是企业内部的一项管理职能，是以企业为基点，对控制进行的一种相对边界的界定。企业有内部控制，自然就存在外部对企业的外部控制，外部希望控制的风险或内容，主体会采取多种管理措施进行控制，通过必要的“限制、要求与后果”的形式，给企业赋予“义务责任”。

如果大家对萨班斯法案进行过研究，就可以直观地感受到这一观点。在很多讲座中，不少人把COSO内控框架与萨班斯法案的定位混淆了，还有一种说法，我国发布的内控规范，可以视为中国版的萨班斯，这一观点即使是比喻，从根本上也是错误的。

仔细分析一下，COSO内控框架是基于企业外部风险的总体评估为背景，把企业作为风险环境中的一个主体构成，研究开发出的一套从控制维度强化管理的理论模型，是指导企业加强自身管理能力建设、提升管理水平的理论方法。如果说，中国发布的内控规范是中国版的COSO内控框架，倒有些道理。

可以说，到现在为止，无论是哪个行业，还是哪个企业的内控产出，很少能够见到像萨班斯法案那样系统，把内控理论模型运用到极致、可以落地执行的案例。由此，我把内控框架定位为“企业内控体系建设理论模型”，把萨班斯法案视为“以内控理论框架为指导核心，以具体目标为导向的具有控制功能的操作型法案”。

萨班斯法案的原始名称是《公共会计改革及投资者保护法》，具有非常强烈的行业针对性和目的性。其产生的背景面向资本市场，直接目的是通过采取措施，提高“会计师事务所”审计监督的客观性、公正性和独立性，保证上市公司按规披露信息的真实性，最终目的是提高投资者对资本市场的信心，加强对投资者的保护。

打个不太合适的比方，监管机构不用把“保护投资者利益”常挂口边，而是要有具体的常态化行动，行动要有规范的依据和标准，且不折不扣地执行。这时候，不用再讲“保护投资者利益”的语言，大家也知道你在做什么，这可能就是美国资本市场很少发生官员讲话，造成资本市场非正常波动的原因吧。

萨班斯法案以国家法律形式发布，其中系列规定，相对美国资本市场管理、监督机构而言，就是资本市场管理的“内控措施”；对于企业来讲，法案规定的必须执行的活动，则是来源于资本监督市场的“外部控制要求”，但不一定是“控制活动”。

外部控制只能保证发布信息的真实、体现第三方控制的公正，但不保证“企业信息本身的质量”，这是企业经营结果的反映。萨班斯法案的发布，其结果带来的是美国公共会计事务所履行审计监督责任的提升，因为公共监督的违规成本太高了。

对公共会计审计监督设立了若干控制的规定措施之后，萨班斯法案并没有告诉上市公司“具体怎么建内控”，而是通过明确的“合规要求”，将合规义务赋予给“上市公司”，从而间接促进上市公司开展“内控建设”。

譬如第404条款规定：管理层应负责内部控制的年度评估。至于企业如何建立“内控体系”，在哪个领域建设，以COSO内控框架为指导去建设、去评价、去完善即可，对外部主体来讲，只要企业能够履行法案赋予的外部合规义务即可。而置身于企业，企业当然希望借助内控建设还要服务于企业目标，会产生更高的期望（能否实现是另一回事）。这是笔者对萨班斯整体设计逻辑的思考性认识，也是对企业系统性内控体系建设由来的“自我理解”。

简要总结分析一下萨班斯法案相对企业的“外部控制”包括的内容：

1.关于提高公共会计师事务所的公正性、客观性和责任的控制措施

（1）101条：组建公众公司会计监督委员会，负责监督所有公众公司的审计事务。

（2）会计师事务所限制性强制要求

（3）会计师事务所项目负责人不能在一个岗位上任职超过5年（客户关系要素）。

（4）审计负责人与审计复核人每5年更换一次（避免形成一致的利益同伙关系，换位）。

（5）禁止违规会计事务所人员担任上市公司的外部审计师（后果，不敢违规）。

2.对企业保证财报真实性的控制措施

• 必须以个人名义保证所有财报提供保证
• 公司高管及董事因虚假信息而获得的报告，必须个人偿还。
• 美国证券交易委员会根据特定因素，可以扩大对公司信息披露的复核。
• 公司高管违反了禁止事项，证券交易委员会可以禁止违规高管到其它上市公司任职。
• 在监督违规调查期间，公司必须准备“备罚金”。

等等。

04.思 考

一套国家法案，在内容上已经渗透到了具体活动、认定标准、处罚措施，而不是原则性表述，这种环境下的美国资本市场上市公司，他们还会把内控建设作为任务，或者作为“敲开上市核准大门”的必要条件吗？那些大型会计师事务所，还会冒巨大的机会成本风险，应客户需要而出具有悖职业道德的结论吗？

好的做法，确实值得研究、学习，而不是照葫芦画瓢，行业、企业之间的一次次局部调整型的翻版。

虽然笔者一直在讲“制度是内控”的本源，国资委的101号文件也提出“制度流程化、流程控制化”的观点，但这些观点都是建立在企业 “拥有丰富、完善，能够承载外部义务、内部管理需求的制度”假设基础上。

现实中，企业的制度问题并不少见，与制度设计者有关，与管理者的思维和“职能内向化”的习惯有关，与企业在时序过程中内外环境的变化有关，与企业制度管理的能力和水平有关。由此可以推出，完全脱胎于制度现状的流程控制，只是“显性化”的过程，不一定完全合理，制度与流程控制是一个相互耦合、彼此支撑、相互校验、协同改进的关系，更别说放大颗粒度后的通用内控流程。

在具体内控建设上，需要结合企业目标、具体职能目标进行“必要的设计与完善”，使控制目标服从并符合企业、职能目标的控制需求。当一个企业某领域的内控流程，不能反映企业自身的管理模式、管理方法的时候，或者拿到其它企业也基本适用的时候，内控的现实意义能有多大？

当一个企业的内控，仅仅反映常规程序逻辑，而疏忽于“非常规场景”的时候，恰恰是内控失效风险的最直接诱因；当企业的控制缺乏控制要素识别，而转化为“不同人有不同控制结果”的时候，即使有控制环节的动作记录，也说明控制有效性存在折扣，这才是内控评价的本质核心。

作者：天锦郑老师