浅谈内部控制与流程（浅谈内部控制与流程的关系）

流程与内部控制的关系，我们首先通过粗略地解读《企业内部控制规范及配套指引》来进行呈现：

1） 流程是内部控制18大应用领域的有机载体，对组织架构、发展战略等控制都或多或少要以流程的形式表现出来；

2） 管理流程化是信息化管理的基本条件；

3） 从某种程度上，内控就是控制的过程，而这个过程的具体形式就是流程；

4） 为确保内控的有效执行，方便员工理解内部控制制度，流程是有力的表达方式，概言之，流程对内部环境的影响巨大；

5） 在内部控制评价过程中，流程是被评价的对象，是各类内控评价方法与技术的实施对象，换言之，流程有效是内控有效的关键衡量指标之一。

所以谈论内部控制就不得不正视流程的问题。从某种意义而言，内部控制体系搭建的核心价值在于，通过广泛引入流程的形式梳理公司已有的控制活动，并重新审视之，以确保内控不存在重大缺失，经营目标能够顺利实现。

第一，贯穿内部控制体系建设的全过程，流程建设是内部控制建设的基本逻辑线。在内部控制体系建设的逻辑中，诊断是先导的，一般操作方式是依据内部控制的基本要素进行现状的了解，并结合相关制度整理出主条线的业务流程，以针对各个要素提出相应的诊断结论。与之同时，要确定各个要素的内部控制目标，将合规性与企业经营的个性结合起来。最后，进行广泛的流程梳理，将流程与权责、风险、关键控制点等元素进行深度结合。

第二，内控中的流程概念与一般性流程概念存在差异，一方面表达形式与关注点不同，另一方面数量不对等。为要理清这一层关系，有必要回顾一下内控手册的形成过程。

内控流程主要以内控手册为载体，内控手册的实质在于，依据内部控制的规则，将公司的制度、流程以及表单进行二次编辑，以塑造一个标准化的沟通平台，从而引导公司各个部门重新认识业务及内部环境，也为加强与改善审计建设创造了空间。

回归《企业内部控制规范——基本规范》以及咨询界的普遍操作顺序，在治理结构框定之后，风险识别与评估都是首位的——只是有些企业的内部控制建设过于薄弱，原有的制度流程管理基础不牢，没有完备的制度流程文件或制度流程文件不规范，所以过程中无疑要同时开展另一个工作，即梳理流程——规范流程文件，重新设计或完善流程框架。按理说这应该是一份附带的工作，但现实中往往要一起操作，这其实也反映了国内大多数企业的流程管理现状。所以，从这个层面来说，内控体系建设或规范化内控管理很大程度上是建立在企业流程管理实践的基础上的，后者的基础将决定前者的建设速度和实施效率。

那么什么才是比较牢靠的流程管理基础呢？大的说来，从流程规划开始，到流程梳理、流程执行、流程检查以及流程优化，这种框架思维在企业内部有一定的认识度。典型的不足往往表现为这样的疑问“这件事要找哪个部门？”“我也不清楚这个业务是怎么办的，反正到我这就是这样了”。小的说来，公司对流程有一定的表现，即有一致的格式呈现内部业务流程。当然流程图的形式各式各样，企业有充足的个性化选择空间。我们可以略加例举：

其比较容易看出的共同点是，每个流程都有命名、开始和结束，部门与部门之间的流向清晰，然后审批权限清晰，流程每一环节的任务阐述清楚，有文档输出的地方有特别的注明。还有些非常重要而容易忽视的细节是，每个流程都有明确的责任人（或称梳理责任人）。对于公司绝大多数流程而言，必然是存在变动的，原因不一，可能是组织结构的调整，可能是原有流程运营不畅，也可能是发现存在较为严重的流程缺失。所以明确特定流程的责任人 ，对牵头处理流程的上述问题将发挥关键性的作用。

回到风险识别与风险评估的问题。实施内部控制，采取控制措施的基本逻辑前提是对企业可能面临的风险有针对性的开展评估，形成风险评估结果。

一般步骤是：目标设定、风险识别、风险分析、风险应对。在操作中，风险识别与风险分析往往是最为关键的。在风险识别的过程中，企业需要充分调动内部员工的智慧，充分地呈现运营过程中风险及其观察或注意到的行业内的风险，咨询机构参与其中的优势在于，可以充分利用以往项目形成风险数据库，快速帮助客户搭建起风险库的框架。其中较为重要的，还有运用流程分析的方法，提升风险识别的效率。在形成风险清单后，便可以开展风险评估

得到风险数据库，对各个风险的评估分值及排序水平加以呈现。

第二步是设置控制措施。控制措施是依据风险数据库进行的，目标是确保风险目标设定的实现，其具体表现就是对具体业务和事项的进行控制。在这个阶段，最为重要的是在公司的流程框架中加入风险点和控制举措——每个风险点都有相对应的控制流程，然后有相应的风险控制矩阵对其进行描述。

依据所识别、评估的风险，进行控制措施的设置，这是一个需要耗费大量精力的工作。可以想象，一两百个风险点，要一一对应至流程之中，以确保所有被识别出的风险可以被观测或者被检查如下图。

当完成这个工作的时候，内控手册最为核心的部分——流程图和风险控制矩阵基本就完成了。整个过程下来，大家可以发现内控手册不是为了体现所有的流程，但流程始终是内控手册中最为核心的部分。呈现在内控手册中的流程，是一个综合的载体，它与本文之前所例举的流程表现形式在内容上有所不同。

可见，内控所要求的控制措施、风险点以及一般流程所具备的流向、动作都涵盖在其中。内控手册不是为了谈流程而谈流程，倘若没有风险点与控制点，谈流程也将变得没有意义。所以谈流程的出发点与归宿在于表述风险与设置控制点。

换个角度来阐述，内控手册更像是一个指南，使用者可以通过它快速地寻找到各个风险点以及与之相对应的控制举措，并以查阅风险控制矩阵的方式，开展相关的评估，以判断公司是否存在相应的内控缺陷。所以，站在“用”的角度而言，内控手册首先要解决的不是流程规划、或者流程框架的问题，而是风险点与控制点的问题。这也就决定了，内控手册在某种层度上存在使用的局限性，它重视的是查找风险在哪、控制方法是什么以及如何去寻找有效性的证据，使用者面对它往往感觉面对一大推零散的点，缺乏整体感受，这一点要区别于《流程手册》。究其根源，内控手册很大程度上是为审计人员准备的，优先服务于解决审计问题，无论从其架构、核心内容还是编制的方法观察，我们都不难得到这个结论。而《流程手册》则直接面向企业流程管理过程中的所有工作，完全以流程为导向，利用流程学习、交流和指导，利用流程分析、优化、记录、评价和控制。

至此，内控手册中的流程与一般人们谈论的流程有什么样的区别呢？我们可以做出以下的阐释：一般人们所熟识的流程，往往是指业务流程，是立足于企业的业务工作而建立和成型的。而内控手册中流程的最大特点在于直接体现风险与对风险的控制。关注点最大的不同在于，内控手册中的流程必须对业务流程中所包含的内控关键点进行描述和要求，所以从这个角度而言，内控流程更像是企业流程体系中的流程子集，仅仅是体系中含有内控要求的部分，并没有涵盖所有的流程。

结束语

远卓（微信公众号：远卓管理顾问）由前麦肯锡/罗兰贝格/正大集团咨询公司资深人士于1998年创立，为中国本土管理咨询之发轫，长期关注企业内部控制体系建设，专注于解决各类内控体系建设过程中的流程问题，我们致力于成为创建本土最佳的管理顾问机构。

（1） 企业战略规划：集团与企业发展战略，如战略审视、商业模式、战略选择与定位，战略目标规划、业务组合与竞争战略等；功能型战略，如资本战略、营销战略、人力资源战略等。

（2） 运营优化：集团管控与组织变革，如集团组建与重组、集团治理结构等；重塑企业价值链，如业务流程重组、市场管理流程、集成供应链管理等；信息化服务等。

（3） 内部控制：集团内控体系建设及相关风险管理机制的搭建等。