2012年，“内控”之风横扫全国，企业内控建设如火如荼。《企业内部控制基本规范》和《企业内部控制配套指引》的正式发布，拉开了我国企业内部控制规范化和体系化建设的序幕。财政部、证监会、审计署、国资委、银监会、保监会五部委要求2011年起首先在境内外同时上市的公司施行，2012年1月1日起扩大到沪深两市主板上市的公司施行，中小板和创业板上市公司将择机施行，同时鼓励非上市大中型企业提前执行。一时间，内控建设大行其道，甚至业内人士将2012年称之为“内控年”。

　　在内控劲风横扫之下，我国企业的内控问题却依然层出不穷，内控形式化的危害也逐步引起业界的警醒。央视痛揭“毒胶囊”事件，引发药业公司损失惨重；酒鬼酒塑化剂超标，引爆行业潜规则；国恒铁路募投资违规，巨额资金去向不明；佛山照明涉嫌关联交易，多位高官败走麦城；北大荒财务决策违规，巨额拆借超10亿；紫金矿业隐瞒铜矿渗漏，严重污染致民怨沸腾；“中概股”美市惨遭做空，信任危机持续发酵……这些事件凸显了我国企业在内控体系建设方面的差距，内控形式化、表面化的危害逐渐显现，并逐步蚕食企业的信誉体系，中国企业的内控建设面临新挑战。

　　一、企业内控价值何在？

　　目前，国内外经济环境正在发生着深刻的结构性变化。国家在企业内控建设方面除了基本合规性要求之外，对企业战略与发展、国有资产保值增值、参与国际竞争、保持基业长青等方面有更多的期待。企业内控建设因而被赋予了浓厚的历史责任和现实意义。

　　1、夯实基础管理的关键

　　内控建设从内控环境、风险评估、内部沟通、内控活动、内部监督等五要素入手，通过建立严格、科学、有效的控制措施，对业务活动进行全面管理，做到全面控制、全员控制、全过程控制。通过流程建设、制度建设、控制措施与风险管理数据库建设，从各个层面、各个环节强化基础管理。企业在内控建设过程中，可以查缺补漏，发现管理死角，健全管理机制，建立起较为完备的管理制度和保障体系，借此缩小与国内外先进企业的差距，将管理水平提升到新的层面。

　　2、健全现代制度的抓手

　　在国际化大分工、产业链国际化延伸、资源全球匹配的大环境下，企业需要在市场经济的要求和规则下参与国际分工和市场竞争，需要按照现代企业制度的要求进行运作。内控建设能够帮助企业规范各项业务活动，规范业务发展模式，提高风险管理意识，提高风险控制水平，提高信息透明度，提升内部管理水平，提升综合实力和竞争力，实现在投融资管理、成本管理、资金管理、质量管理、技术进步、市场竞争等方面的全面进步。借鉴国际通用的规则建立起的严格的内部控制机制，能够帮助企业向国际一流企业看齐，建立和健全现代企业管理制度。

　　3、维护企业声誉的保障

　　根据内控合规性要求，内控建设需要对财务报告、信息披露、重大决策等做出相应的具体规定。健全的内部控制，可以保证会计信息的采集、记录、汇总、分析和汇报等，能真实有效地反映生产经营活动的实际情况，及时发现问题并予以改正，保证会计信息的真实性和准确性。公司内控体系的建设有助于加强企业规范化，保证信息披露的真实性，降低内控风险的发生，提升公司社会责任感，提高国际商誉，提升国际形象和软实力。

[pagebreak]

　　二、内控为何“控”不住？

　　如果企业内控建设停留于表面，则会导致内控流于形式，使内控脱离了国家的监管，偏离了企业的使命和方向，造成内控不能深入实施，风险难以有效防范，企业难以规范运营的怪圈。内控的形式化导致的是企业自身信誉降低、员工利益受损，最终会打击投资者信心，造成公共资源的浪费。

　　内控会形式化的原因是多方面的，包括：内控标准不明确、监管部门监察力度不够、企业重视程度不足、内控体系设计不合理、内控执行不给力等因素。赛迪经略认为，内控形式化的根本原因在于企业的“内因”。

　　1、驱动力不足

　　所谓内控的“驱动力”是指，企业风险控制和管理提升的内在诉求。规避风险和提升管理就像一枚硬币的两面，对于企业来讲，二者并不矛盾，且同样重要。企业如果缺乏风险控制的强烈意识、缺乏提升管理迫切诉求，就没有进行内控建设的原动力。许多企业将内控建设与企业发展战略结合起来，没有进行顶层设计，没有上升到管理提升的高度，即使在政策合规性强制要求下，也不情愿去推动内控工作；即便开展内控建设，也是形式大于实际，敷衍了事。通过内控建设来提升企业效益是企业内控的目标之一，也是企业内控的根本诉求和本源动力。只有将企业的未来利益和期望与内控捆绑在一起，并号召和发动广大员工全员参与，内控建设才会有活力，内控才不会流于形式。

　　2、支撑力薄弱

　　所谓企业内控“支撑力”是指，支撑内控建设的资源准备和基础支撑。包括人力、财力、物力、组织体系、制度体系、保障体系等。内控建设需要投入大量资源，许多企业都不堪重负。原因在于，内控体系的建设依赖于组织结构优化和支撑体系优化。由于在内控建设中，对组织结构、制度体系、职能支撑部门的管理等，未曾按照业务流程的内在规律和流程改进的要求执行，对支撑的管理系统按照原有固化的系统进行格式化处理，在流程改变的情况下，没有推行相应的组织变革和岗位体系调整，导致内控流于形式。在实践中，许多企业内部管理支撑体系落后，资源支持不足，导致内控建设前后是新瓶装旧酒，换汤不换药。

　　3、渗透力不强

　　所谓企业内控的“渗透力”是指，以流程再造为重要抓手，深入到企业业务层面，对企业风险全面梳理，对业务活动全面改进。如流程再造不能深入到各个环节，贯穿各个业务活动领域，打通组织间壁垒，内控就成为空话，也达不到监管部门对业务活动实施控制的基本要求。涉及多家制药企业的“毒胶囊”事件中，如果企业能够对采购、质检、仓储、制造、销售等业务各个环节进行细致的流程梳理、风险排查和业务改进，就不会造成如此巨大的损失，也就不会引发全社会对药企的信任危机。不重视流程优化和再造，内控就缺乏渗透力和穿透力，内控如何“HOLD”住？

　　4、执行力缺乏

　　内控“执行力”特指内控体系建设过程中的执行落地能力。众所周知，企业内控建设本身就是系统性工程，需要进行系统性规划、设计、完善、执行和改进。有些企业在内控建设中，把内控建设等同于制度文件的修订和完善，缺乏内控的控制力，存在对内控过程监督不力、成果难以执行和推进、执行效果不能有效检验等现象。缺乏执行力，内控就没有约束力，内控制度和流程就难以落地，内控就浮于表面。企业处于“有内控无执行”的尴尬境地，无助于企业管理的提升和核心竞争力的打造，也背离了内控的初衷。

[pagebreak]

　　三、内控须“大处着眼，细处着手”

　　我们认为，为改变内控体系建设中存在的问题，不让内控流于形式，需将内控深入到业务活动中，从大处着眼，从细处着手。通过对业务活动的细化管理，提升企业内控的驱动力、支撑力、渗透力和执行力，真正实现内控规范化，发挥企业内控实效，以此提升企业管理能力，并致力于打造企业核心竞争力。

　　1、以流程再造为抓手

　　总体上，内控建设以流程再造为重要基础和内容，先进行业务流程的梳理，在对业务流程进行完善和优化后，进行系统性的组织体系调整和改进，着力于公司治理、组织架构、人力资源等内控环境进行改善，进而深化业务活动的控制，提升公司业务活动效率。具体到内控工作的各个环节，都需要有流程管理思想，并将流程管理思想贯穿于内控建设的各项活动之中，包括穿行测试、风险诊断、控制措施、内控体系设计、制度体系设计、内控方案实施等各个环节。内控体系始终以流程再造为依托，最终也应该架构在优化后的流程之上。

　　2、以信息化应用为工具

　　企业信息化是强化内控支撑的有力工具。内控工作中实施业务流程再造正是基于信息技术的发展而形成的一种新运作方式。信息技术针对整个业务活动的内部控制实施提供了先进的技术支持，使内部控制变得更加高效、便捷，解决了传统内部控制面临收集信息难，处理信息慢的难题，同时对内控成果进行固化。

　　3、以组织体系优化为动力

　　企业的组织体系依赖于业务存在，内控中进行业务流程再造就是以业务为核心，以提高流程效率为目的，而实现的价值增值。在此过程中，组织体系需要进行调整以适应流程变革和内控合规性要求，这就是必然的组织重组。组织重组是由业务流程再造来推动的，是内控体系建设中可能带来的管理模式的创新及管理机制的优化，是生产力推动下的生产关系的适应性调整和优化。灵活、高效的组织结构将使决策变得更加快捷，团队学习能力得到提升，内控活力得到激发和展现。

　　4、以风险管控为保障

　　内控建设中，实施流程再造将从根本上改变风险分布。再造后的业务分布及业务流程，相当于对风险的再识别、再定位。风险分布的变化，有助于企业转移和弱化风险，便于更加有效地进行内控实施。企业在更为合理的业务组合及优化的业务流程的基础上，重新评估风险点，建立风险数据库，建立内控制度和体系，减轻内控工作的负担和压力，提高内控效率，更有助于保障内控有效实施。