1、Why（为什么要完善内控？）

说得有道理，原来的是不错，可公司在不断发展、变化中，就象我们刚开始时，可以摸着石头过河，过了段时间，过河的人多了，石头不够摸的了，怎么过河？总不可能让人摸着鱼过河吧？这时，我们是不是需要考虑建个桥，不要再趟水了？企业是动态发展的，管理也是动态的，那么这个相匹配的内控却被要求静止不变，这就有点强人所难了。一句话，内控需要与时俱进。

2、Who（内控针对的对象）

一个好的内控体系，最终实现的境界是，在不信任的基础上设计内控，完满地运行这种内控，以达到最大的信任度。看上去有点矛盾，仔细想想看，是否如此？从辩证法上说就是对立统一嘛。

3、When(完成内控的时间)

第二个层面就是逐步修正、完善期。内控要根据企业的发展动起来，绝不是我们城市的大马路，想到埋煤气管了挖开来，刚填好，又想到污水管还没排，再开挖。不能把制度当儿戏，随意变动。制度的变动要根据情况，细微的、非原则性的修改，可以定期的先以补丁的形式修订，经过一段时间运行后，对运行的情况进行评估，再决定修改的程度，是重修还是修订。不管哪种方式，都不能忘掉制度的连贯性，不能想着推翻重来，一步到位，欲速则不达，要考虑循序渐进的进步。

内控是控制谁的？只是控制内部的员工？当然不是，内控的定义是：“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”控制目标是什么？有五个，一要合法合规的生产经营（不要做象三聚氰胺里兑奶粉的傻事），二要保证企业资产安全（不要被人侵占挪用），三要不做假账，四要保证提高经营效率与效益（防止潜在的损失就是效益），五是保证实现企业的发展战略。你看，这五条不是一网打尽了企业的全体人员？

注意到没有，内控定义的前三个主体，都是管理层，所以执行内控时，就要像当年红军指挥员一样大手一挥地说：“同志们，跟我冲”，而不能像电影中的国军指挥员那样说：“弟兄们，给我冲。”如果那样，后果可想而知了。

说了半天，内控要做些什么呢？总不能老让人因为身在内控中而不识内控真面目吧？

一句话，企业方方面面的管理，特别是涉及人、物、财的都应有合理的管控方式。

前面我们提到内控是面向全体员工的，但在具体的某一项内控运作时，则是只针对与内控流程相关的部分人员，那么其他人呢？从理论上讲，应该只要有工作岗位就会有相应的内控存在，而且这些内控应该是不重复，不缺位，不交叉的。

总而言之，就员工而言，可以分我的内控，他的内控;而对管理层来说，那都是我的内控，要有一盘棋的全局观念。

内控是各部门分别执行的，常规的内控制度也是各部门分别或几个部门会同草拟的，如何避免内控设计上的重复或缺失？这就需要一个牵头的领导或部门来具体负责综合协调工作。这个部门一般由审计部或财务部负责。不但要牵头做，还要负责对执行过程的意见反馈处理、定期对内控的可行性、有效性进行评价。虽然我们说内控的对象是岗位与流程，但具体操作毕竟还是活生生的个人，所以在内控执行监管、事后评价中难免涉及人的因素，这里要特别注意要尽量对事不对人。要有沟通的技巧，以服务和咨询的姿态来操作，就会大大减轻遇到的阻力。

内控最大忌讳是，内控制度都成了TXT文档，而不是EXE程序。内控的具体操作，可分成事前、事中、事后三部曲。