企业中的任何管理设计，离不开对适用体的“顺向+逆向”思维。顺向，指的是适用体管理、运作、发展顺序的推导、正逻辑布局；逆向，是按照正顺序按步骤推演、进行“还存在哪些因素”，会导致顺向结果难以达成的识别，从而设定必要的“措施”。

把这个措施放在制度、流程草案中，就构成了规则设计中的控制节点；对这个活动作业进行说明，就是内控活动的建设内容；逆向的推演、识别、嵌入，对活动进行规范的完整过程，就是风险管理的一个过程；“正向+逆向”的最终结果，按照设定的程序固化下来，就形成了企业中的一项“规则”。

单从内控管理的维度，企业内控建设是不包括“流程梳理”过程的，流程梳理即流程设计、固化的过程，以流程文件的形式展现出来，所以，流程是写出来的，不是画出来的。流程图是骨架，作业说明文件赋予了流程延续、运作的生命力。

虽然说内控是针对流程中的风险提供的解决方案，但如果一个流程写的好，没必要必须把风险显性化，照样发挥作用。需要显性化的风险，就必须具体，提高可理解性。毕竟，内控的设计、执行是流程设计的构成内容。流程设计的好，可以被执行，内控的功能自然就发挥出来。

那么，在很多企业中，企业开展内控建设，为什么从流程梳理开始呢？是因为这些企业的流程管理成熟度极低，所以，内控建设开展的流程梳理，是被动的牵引性扩展工作，而不一定是不可跨越的阶段。

既然流程决定着内控的有效性，内控建设的重点，虽然体现于控制活动的规范，但毋庸置疑，其成立的充分条件——流程设计的合理性、可执行性。

严格意义上说，内控并不一定必须以流程为载体，也可以用制度为载体反映出来。为什么还要这样做？因为制度的设计，受文字、条数限制有一定的局限性，一般只会延展到“控制活动本身”，很少对“控制活动的内容”进行详尽说明，于是，现实中，很多内控活动形成了按制度要求“走审核程序”。

以流程为载体进行内控建设，就是对控制活动的进一步规范、细化。所以，内控建设是企业精细化管理的一种反映。精细化，当然反映在“活动”的规范性、执行的准确性、结果的正确性。

企业开展内控建设，到现在为止都存在一个纠结。内控建设究竟以18项内控指引为完成标准，还是以企业运营需求而推进？

在很多企业中，往往把内控建设作为落实上级要求的一项任务，毋庸置疑地把“18项指引”作为建设是否完成的参照标准。如何界定？我觉得最好还是以“满足企业运营需求”为先，然后参照指引进行结构划分。

18项指引，是内控建设的“系统化指引”，系统化，指的是对所有企业都适用。正如原理型、逻辑型流程梳理，有利于通用化、复制，但不能反映真实的业务，这种流程是没用的，没用的流程不被执行，再加上“形似而又不是真实内控”的大量设计，没什么真实应用的价值。

要敢于承认一个现实。内控牵引的流程梳理，不能代替流程管理，但并不妨碍从流程管理角度界定“流程梳理范围与参照标准”，缺失这个基础，流程与内控建设的结果，本身就是动荡的，产出是不受控的。

从流程管理维度，应该明确的流程梳理的起码标准是：本级单位、关键的事儿、最大角色量与活动切割参照标准、合理的启动与结束条件状态。启动与结束的条件状态，就是衔接上下级单位流程间、本级单位内不同流程间的过渡桥梁。

当然，如果企业已经建立了具有一定成熟度的流程，内控部门就可以“拿来主义”，而不是自己再组织“梳理另一套流程”，发现流程问题，双方取得一致后优化、再用，企业中的规则，保持“唯一性”很重要。

界定了流程梳理的参考标准，就具备了将流程与“做事儿”关联的条件。既然内控牵引的流程，不具有流程管理中以“核心流程分解出来的系统性”，那么，企业启动内控建设的第一件事儿，就是要确定内控建设针对的“事儿”、在本级单位做事儿的起始点，这才是企业流程梳理的起点。

确定了梳理流程的清单，就要考虑流程梳理后，内控建设的具体内容问题。虽然说内控建设要识别关键风险点，建立内控措施，但也不能完全脱离企业已有的规则——制度。最起码，企业内控建设的控制活动，如有必要，可以构成制度之外的增量，但最基本的原则，现行制度中已经明确的控制项，不能丢失，除非修订制度。否则，就构成了“对制度的破坏”、对“制度权威性的挑战”。

如何确定内控活动呢？现实中，绝不是简单的一句“识别关键风险点”就可取代。其实，在流程中的每个活动都有“自控制”功能，否则谈不上流程作业文件说明，有规定、要求、规范，就意味着控制。所以，要建立“内控风险分类清单”。

内控，是源自于顺向逻辑，从逆向角度建立的“风险解决方案”，这类风险包括：专业能力不足风险、源数据不准确风险、人性带来的主观风险、管理方法决定的不符合要求的风险。分别对应的是：专业能力控制、两两确认控制、预防性控制、符合性控制。

为预防风险、发现并纠正过程中的问题，采取的基于“组织、岗位、IT”角色分离的“活动”设计，是内控建设的“共同规律”。传达内控建设精神，不能用“防舞弊”而概之，即使其初衷建立于“人本恶”，也应该从“人本善”的维度进行传导。“防舞弊”表述，本质是“没有对内控风险进行分类”的体现，内控也绝不是仅仅针对“舞弊”。企业中任何活动，都应“以正为先”。

内控是嵌入规则中的措施，制度、流程是规则的表现形式。但也没必要这样表述，设计好的内控，就是“流程活动”，本质就是管理过程中的“控制”。过程中的“控制”，不包括规则中“决策角色”的控制，也不是有上下管理关系决定的“控制”，他们不是牵制、互补控制关系，而是“管理关系”。

这一点，恐怕很多人处于“盲人摸象”的状态，结果就是“用流程决策角色的活动落实”，取代了“真实内控”落地的效能，真正的内控，扔到了九天云外，这就叫张冠李戴、浑水摸鱼。

真正的内控，需要建立在管理模式、方法的认知、理解基础上，是对“决策控制”结果的支撑，体现的是内控对“控制目标”的保证作用。但如果不熟悉企业情况，要识别出来，既费时又费力。

内控建设，本质就是“流程作业文件”的构建过程，流程决策角色的控制功能是否有效发挥，依靠的是企业治理结构中的授权，依靠的是流程，而不是内控建设。从内控角度，决策控制的有效性，体现于内控评价中的“流程合理性、有效性评价”，而不是“内控活动评价”本身，因为它来源于授权、取决于流程。所以，内控管理不具备对“决策控制”的建设能力，也建不了。如果不信，大可一试便知。