第一类错误是教条主义错误。教条主义就是一切按照法规要求来做。很多内控人员经常将财政部颁布的内控规范和内控指引奉为圭臬，认为内控就是必须符合法规的要求。所以他们在熟读规范和指引的基础上，引经据典，对企业的任何业务管理首先说法规上是怎么怎么要求的，是必须怎么怎么做的。而且在别人提出相应的流程建议的时候，也是首先问有没有法规出处，和法规要求是否一致。其实财政部的内控规范和指引说的非常清楚，是供企业的参考，每个企业需要根据自己的实际情况进行结合和调整。所以在内控规范中提到的一个重要的内控原则是适应性原则，即“内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。”我们一起定要切记，所有的法规要求都是一个参考，都有可能随着企业行业、规模、发展阶段、股东性质等情况的不同而需要做出调整。

比如“出纳与会计不能同一个人”这一条，任何法规上都是作为最严格的不相容职务分离，但是到了企业的实际，比如很多的非上市的民营企业，都是由老板的亲戚甚至老板娘来又做出纳又做会计，却并没有什么风险。相反，对这些老板来说，这种不分离反而是风险最小的。

第二类错误是经验主义错误。经验主义就是一切按照自己过去的经历来做。很多内控人员对内控措施的总结，并不是基于风险原理的判断，而是基于自己以往看到、听到以及做过的做法来判断。所以，在面临一个新的业务、一个新的场景、甚至一个新的公司的时候，经常会想当然的沿用自己过去的经验。比如，我们看到有些企业固定资产采购没有招投标，甚至没有询比价，就认为固定资产采购有问题；看到买进的资产没有验收，就认为入库环节不安全。这种不考虑企业固定资产的性质以及这类资产在市场上的定价和供应商情况的判断，会导致制定的内控措施无法匹配公司的实际，大大增加不必要的控制成本。

比如，我碰到的一个现实案例。某企业的电脑设备采购采购量较大，于是办公室在规定了电脑品牌和型号的基础上，要求所有电脑无需询比价，直接上京东网上的自营店直接采购，而且买回来的电脑不验收，直接发给员工使用。这种固定资产的采购和领用方式，虽然简单却有效而风险可控。

所以，内控措施在制定中千万不能基于以往的法规和经验来照搬照抄，而是要从实际风险情况出发来对控制活动做出判断。这里，我要提出对内控措施理解的几点关键点：

1、控制措施都是有成本的。所有的控制活动必然会增加管理的成本，无论是更多的资产资源投入，还是多更的流程时间的花销，都是成本增加的体现。所以，内控措施在制定中一定要考虑成本效益原则。

2、控制措施都是可有可无的。因为控制活动都是流程中为了防范风险所额外增加的动作，所以其本质并不是流程所必须的。是否需要这个控制活动取决于它所防范的风险到底是大是小，以及风险被防范的成效有多大。如果风险不大，或者通过措施所防范的风险成效很小，那么这个措施就没有存在的必要。

3、控制措施都是有利有害的。这一点是很多内控人员忽视的。大家都认为内控措施是能够防范风险的，所以内控措施虽然有成本，但都是好的。其实不然，所有的内控措施并不都是对企业有利的，它也有不利的一面。换一个说法就是，任何一个内控措施在防范一个风险的同时必然会带来新的风险。所以我们在分析一个内控措施的时候，不能光看它防范了哪个风险，还要分析它给我们带来了什么新的风险。比如我们为了防范第三方验收的风险，所以自己装了地磅进行到货称重，然而对应的我们就会出现地磅是否定期校准，以及地磅系统是否存在人为调控的风险。

在形成了以上三个对内控措施的认知后，我们就可以不再盲目的相信法规，以及不再盲目的相信自己以往的经验，而能根据企业实际情况进行内控措施的制定。