從心所欲不逾矩

2002年美國《薩班斯－奧克斯利法案》頒布后，各國相繼出臺關于內部控制的法律法規與規范文件。近年來，中國日益重視企業的內部控制體系建設與風險管理能力的提升，各監管機構紛紛出臺相應的規范文件督促上市公司、中央企業、銀行、保險機構等建立健全內部控制體系；其中，財政部、證監會、審計署、銀監會和保監會五部委聯合頒發的《企業內部控制基本規范》和《企業內部控制配套指引》是中國內部控制體系建設的里程碑。

雖然很多企業都表示，建立內部控制體系的外在動因是為了滿足外部監管要求，內在動因是為了提升企業自身的整體管理水平和風險管理能力。然而在實務操作的過程中，有些企業抱著“僥幸”和“應試”的心理，對內部控制體系存在種種誤解。企業梳理內部控制體系的目的究竟是什么，是否僅為“應試”、滿足監管機構的合規要求，還是真正應當更加關注自身能力的提升和管理水平的整體提升？企業的高級管理層應該如何定位內部控制體系，如何定位、規劃、開展關鍵工作，避免內控體系的“兩張皮”現象？

如何判斷內控體系有效性——

重大缺陷“零容忍”

中國的上市公司在《企業內部控制基本規范》頒布之前，已有部分公司依據上交所與深交所的內部控制指引公開披露內部控制評價報告，但那時并未明確要求上市公司對自身內部控制體系的有效性下結論，多數上市公司的有效性結論是模棱兩可的，例如有些企業披露內部控制有效性結論為“制度健全，執行基本有效”。然而，在2010年“企業內部控制指引”頒布之日起，要求上市公司在披露內部控制評價報告時，必須對自身內部控制體系出具有效還是無效的明確結論，不再存在模糊的所謂“基本有效”的灰色地帶。

那么，內部控制體系有效性的判斷標準是什么呢？從正向的維度而言，是企業內部控制體系的建立合理保證了企業目標的實現；而從負向的維度而言，是企業是否存在內部控制重大缺陷。這說明上市公司只要存在一個內部控制重大缺陷，就表示該公司的內部控制體系是失效的。也就是說，內部控制體系的有效性對重大缺陷是“零容忍”的，例如企業僅存在1個重大缺陷，與企業存在100個重大缺陷，其內部控制體系的有效性結論都是無效的。而這一個重大缺陷可能出現在企業的集團本部、子公司、子公司的某個部門、甚至某個部門的某個崗位上，這種“零容忍”的判斷標準對公司的管理提出了巨大的挑戰。公司需要確保所有的業務活動、流程等控制都是有效的，不存在重大缺陷，才能在內部控制評價報告中出具有效的結論。

2011年，在滬深交易所2340家上市公司中，1844家上市公司披露了內部控制評價報告，占比78.80%，496家上市公司未披露內部控制評價報告，占比21.20%。在1844家披露了內部控制評價報告的上市公司中，1841家認為自身的內部控制體系是有效的，不存在重大缺陷，占總樣本量的99.84%；1家上市公司未出具結論，占樣本量的0.05%；僅2家上市公司認為自身的內部控制體系未得到有效實施，占樣本量的0.11%。從整體統計的結果來看，中國上市公司的整體管理水平似乎是極高的。

鑒于內部控制有效性是個時間點的概念，也就是說上市公司披露的內部控制有效性結論是針對2011年12月31日那一天的，而非某個時間段的概念，因此為了在年末“達標”，企業往往盡早開展內控梳理工作，盡早開展整改工作。在整個年度的內控建設和梳理過程中，企業往往會發現許多內部控制缺陷，甚至重大缺陷。這在衡量上市公司內部控制水平的“迪博?中國上市公司內部控制指數”上得到印證，該指數發現，上市公司的內部控制水平是呈正態分布的（見圖1），這表明中國上市公司內部控制“極好”和“極差”的企業都是較少的，絕大部分企業處于中間地帶。而處于中間地帶的這些企業，其內部控制水平和整體管理水平并沒有達到非常優秀，并不排除某些業務活動或流程中存在內部控制重大缺陷的可能性。

那么，企業究竟在哪些環節經常會出現內部控制的重大缺陷呢？

歸納總結美國上市公司披露的財務報告內控實質性漏洞、中國上市公司披露的內部控制評價報告和內部控制審計報告，整合迪博多年在內部控制與風險管理領域的經驗，我們發現，首當其沖的是人員的勝任能力問題。與“人”相關的問題，似乎一直困擾著中國的企業，上到公司董事會及其下屬委員會成員、公司高級管理層的勝任能力，下到管理中層、關鍵管理崗位的人才缺乏，公司整體的人力資源機制優化問題，保留人才問題，合理的組織架構和崗位設計問題，人員能力與崗位需求匹配度的問題等等。由于企業各個管理崗位的能力需求模型是不同的，例如某些崗位需要很強的某項專業知識，某些崗位需要很強的溝通能力，某些崗位需要人很仔細，應當有不同能力特點的人才與之匹配，這就是所謂的人員勝任能力。不過企業往往抱怨，“培訓不足，人員數量或能力有待完善和提升”等等。

第二大問題集中在會計處理事項、財務報告及審計調整和內部控制程序相關的領域中。由于財務部門是企業信息流的終點，往往是問題集中爆發的部門。然而，很多在財務部爆發的管理問題，以及由外部審計師發現的管理缺陷和審計調整，究其原因，并不是由財務部門本身的管理不足造成的，很多情況下是由于整個信息流、實物流和資金流，在流經其他管理部門和管理領域的過程中發生或逐步積累，最終導致問題在財務部集中爆發。

此外，內部監督機制和IT信息系統也是缺陷高發的領域，例如內部審計的獨立性問題，針對內部控制有效性的內部審計缺失問題，信息系統一般控制失效問題，信息系統應用控制缺陷問題等。

除了上述內控缺陷高發的管理領域之外，如何判斷內部控制體系的有效或無效呢？

有人認為，內控就是一套強有力的政策和程序。不少企業會很驕傲地向外界宣稱，他們有很厚的一套制度，裝訂精美，內容翔實，而且參照了行業的最佳實踐。然而實際上，這些制度往往缺少時效性的規定，缺少罰則的界定，將規則性的條款與程序性的條款混為一談，某些具體控制活動的描述含糊不清等。深究之下又會發現，制度與制度之間的銜接關系很難厘清，各業務部門往往站在自己的立場來制定制度，至于本部門制度與別的部門制度之間的關系是否存在重疊，是否存在管理空白，不得而知。在有些企業中，制度并不是用以指導日常經營活動的開展，各個崗位在日常工作過程中并不會去仔細閱讀制度參照執行，完成“領導交辦”的任務往往總是最優先的，在這種“人治”的文化影響下，制度的真正作用會非常有限。甚至有企業覺得“等出了問題再去查制度”，制度變成了推脫責任的利器。

有人認為，內部控制就是內部審計等牽頭部門的任務和責任，與我沒有直接關系。有些企業在開展內部控制體系建設和梳理的初始，就沒能在公司自上而下地認識到，內部控制體系的意義是什么。如果僅僅定位于“應試”，似乎就是個合規的事情。實踐發現，起初這樣定位內部控制體系的企業，往往最終實施的效果不盡如人意，工作成果與實際情況脫離，甚至形成“兩張皮”的結果。

有人認為，內部控制體系就是對過去事情的檢查，或者是一張“你不應該做什么”的清單。有些企業往往以為，自己的管理一向不錯，過去沒有發生過什么重大的損失事件，公司在行業內的聲譽一直以來也都很好，因此內部控制體系就是好的。更多的企業則愿意關注如何把企業做大做強，更關注企業的銷量、產量，在行業內的排名，甚至在世界上的排名，而當面對可能存在的風險和管理漏洞時，管理層所持的態度往往是，現在這樣的管理方式并沒有帶來曾經實際發生的壞的結果，因此“我們不需要改變”。然而，以充滿榮耀的過去來推斷充滿不確定性、充滿變化甚至危機的未來，藉此衡量企業經營管理水平，是否明智呢？企業管理中，我們的容忍度究竟是什么，是不是只要“沒壞的事情發生”，就能容忍各種管理缺陷的存在呢？

有人認為，內部控制體系會占用核心業務人員的時間，并且多年的管理為企業積累、沉淀下了諸多管理體系，例如質量管理體系、精益管理體系、績效管理體系等。為什么還要如此強調一個內部控制體系呢？關鍵崗位的管理人員也會產生相應的困惑，我究竟應該遵從哪個管理體系？是原來的管理體系還是內控體系，它們之間的關系又是什么？這個普遍存在的現象表明，企業并沒有能很好地認識到，內部控制體系的實質，就是“整合”并不斷優化。

還有人認為，信息系統就代表了良好的內部控制體系。有些企業覺得，自己上了完整的ERP信息系統，有著規范和良好的信息化管理流程。但他們還沒有意識到，信息系統好比是一個“碗”，系統中跑的實際業務，就是碗中盛的“菜”，這道菜是否色香味俱全，容器是否合適，是否能符合烹飪這道菜的需求，是個重要的因素，但絕對不是關鍵因素?？梢?，實際業務操作的信息流、實物流、資金流如何才能更加高效，如何才能在每個環節更有效地防范和控制風險，并不取決于信息系統本身的優劣，而在于如何在每個環節有效地設計控制活動，并進而固化于信息系統之中，信息系統只是一個載體。在各業務流程尚未梳理清晰、在各業務流程中的風險未能完全有效識別并分析的前提下，匆匆忙忙上馬信息系統，可能帶來的結果就是信息系統的效率低下，升級成本不斷上升。其結果是，部分企業甚至抱怨，上了ERP信息系統后，最“有用”的就是財務模塊。

如何構建有效內控體系——

內部控制整合框架

如何構建真正有效的內部控制體系？這里不得不提及COSO內部控制整合框架。

1992年美國COSO委員會頒布了《內部控制——整合框架》。COSO建立此框架的初衷在于，在美國證券市場經過了一個世紀腥風血雨的洗禮，經歷了各種 “血的教訓”之后，希望將一個規范、對投資者負責的企業經營管理的各個要素，以模型的方式予以固化和沉淀，讓更多的公司從中受益，讓更多的投資者受益。這種經驗的高度概括和沉淀，對中國企業的經營管理，一定有著很重要的意義。

COSO內部控制整合框架類似一個“魔方”（見圖2），我們能看到的有三個“面”。居上的一個“面”是內部控制的三大類目標，包括經營類、財務報告類以及合規類目標。在COSO隨后頒布的“全面風險管理——整合框架”中，企業的目標演變成了四大類，新增了“戰略類”目標。這個框架包含了企業經營管理的所有目標。

框架中的正面是內部控制的五個構成要素，包括持續監控、信息及溝通、控制活動、風險評估和控制環境。很多企業對五要素并不陌生，但對其為何以此種順序排列，則不知其所以然。

企業所有經營活動的基礎是“控制環境”，你可以最簡單、最通俗地把控制環境理解成一個地方的“風氣”如何。一個企業的控制環境如果很好，就有理由相信，在經營管理的各個環節，大家的工作責任心很強，執行力也很強，各個控制活動是經過嚴格設計并且有效的；相反，如果一個企業的控制環境給人的感覺是管理松散、人治嚴重、隨意性較強，那么有理由相信，在其各個管理領域中，可能存在重大管理缺陷的概率會相應地增大。

在企業管理中，這種“風氣”通常被稱為“文化”，那么，好的文化是如何形成的？文化不是公司的廠區和辦公室墻上貼的標語，也不是領導講話的內容，而是企業每個員工的意識。當每個人的意識逐步統一，每個人所表現出來的工作習慣逐步統一，每個人的價值觀逐步統一，并形成特色的時候，企業的文化就自然形成了。這樣一種文化形成的過程，需要公司自上而下的正直的經營理念、符合實際需要的高效的組織架構、合適的人力資源管理機制、良好的社會責任等，但是在控制環境的諸多內容中，最重要、最根本的，概括起來，就是“人”。因此，企業必須在明確自己的戰略發展方向后，明確對于不同產業的管控方式，明確集團總部與子公司或下屬單位之間的管理界面，并設計符合需求的組織架構；在此基礎上，明確各關鍵崗位的能力需求模型，并在整個內控體系建設和流程梳理過程中，不斷完善這些能力需求模型，進而開展針對關鍵崗位人員的能力評估，以判斷能力短板，并制定有針對性的能力提升計劃或人才補充計劃。當然，這個過程也需要一個良好的人力資源管理機制作為支撐和輔助。

“人”和“文化”是各個管理要素的根本，對于企業的戰略有著重大的影響。管理大師吉姆?柯林斯從財務指標、運營模式、企業愿景、經營戰略、組織架構、技術支撐等維度，曾對11家明星企業進行剖析，總結出曾經輝煌的“大企業”走向衰敗的五個階段：目空一切、盲目擴張、漠視危機、藥石亂投、隨風而逝。

能夠成為“大企業”，其歷史一定充滿了輝煌和榮耀。但在追求躋身世界500強的過程中，企業是否考慮過，世界500強其實是以經營規模而非管理能力作為參照。我們追求的究竟是短期內成為行業領頭，還是100年后企業仍然活著。在企業的不斷擴張過程中，吉姆?柯林斯發現，即使出現了一些潛在危機的信號，即使某些管理指標或財務指標開始惡化，“大企業”的管理層往往會選擇漠視。當這些潛在的風險和危機信號真正演變成為損失事件時，企業開始頻繁更換高級管理層，以期望有人能力挽狂瀾，但結果往往不盡如人意。在前三個階段，企業需要用風險管理的理念來控制發展不偏離軌道，倘若向第四階段演變時，企業需要的可能就不再是“風險管理”，而是“危機管理”了，因為此時，風險不再是未來的不確定性，而是實實在在的損失事件了。

在眾多中國上市公司、中央企業、大型國有企業中，不乏追求規模的不斷擴張中，忽視或者漠視管理中存在的種種隱患的行為。而恰恰此時，是企業正視風險，開展全面風險管理，完善內部控制體系建設的最必要、最迫切的時機。一旦等到風險逐步累積、量變演化成質變后，大企業走向滅亡也并不是非常困難的事情。眾多明星企業、百年企業一夜破產的真實案例，就是最好的證明。

第二個要素是“風險評估”。企業在開展內部控制體系建設的過程中，應當牢記一個基本的邏輯：目標—風險—控制。企業經營管理的任何活動都有目標，影響目標實現的不確定性稱之為風險，我們需要用控制手段來防范和管理風險。根據COSO內控整合框架的定義，企業的目標可以分為三大類，或者以COSO全面風險管理整合框架的定義，目標可以分為四大類，那么相對應地，企業所面臨的風險也可以分為四大類。企業每時每刻都面臨著各種風險，例如內部有管理、人力資源、財務、自主創新和安全環保等方面的風險，外部有經濟、法律、自然環境、法律、社會和行業技術等方面的風險。

對于單個風險的評估，我們可以從兩個維度進行，包括風險發生的可能性，以及如果風險發生對企業的影響程度。應對風險，我們可以選擇“風險規避”，也就是當評估的影響程度太大，可以放棄做這件事情，以完全規避風險。我們也可以選擇“風險轉移”，例如購買保險，或者引入合作伙伴共擔風險。也可以選擇“風險控制”，運用綜合的管理手段，優化某些流程以及其中的控制活動，以降低風險發生的可能性，或者降低風險發生后的影響程度，使風險降低到能接受的水平，也就是風險容忍度以下。還有一種，當評估某個風險的可能性和影響程度都不大，本來就在可承受范圍之內時，我們可以選擇“風險承受”的管理方式；但風險承受并不代表不作為，需要定期評估并監督風險的變化，以及時調整管理手段。

也許有企業會問，當討論某個單項目標時，就會有許多風險，每個風險都需要分別評估并討論制定應對策略；那么企業的四大類目標自然可以分解成許多流程中的若干目標；而當分解到每個工作崗位時，目標就更多了。這樣一來，企業所面臨的風險豈不是繁雜而數量眾多？確實如此，因此才需要把這些風險都“管理”起來。此間，我們需要分清哪些風險是頭等重要的，也就是影響程度和可能性都很高的風險，這些風險往往并不能通過簡單的一兩個措施就解決，而需要企業某些管理機制的整體提升；也有些風險可能只需要某個流程中的某些控制活動進行優化，就能很好地進行管理。因此，風險評估的目的不僅是就風險談風險，或者找到應對措施，更加重要的是，分析各重大風險的成因，梳理各風險之間的關系，以便能夠厘清企業管理提升的整體思路，從而能夠聚焦在那些特別需要投入資源的領域，能夠聚焦在那些問題的根源上，進而進行企業管理能力提升的整體規劃。這就是為什么有些企業各個業務部門分別牽頭搞各種管理提升的專項，在改善管理的過程中，往往會走進死胡同，覺得力不能及。如果企業的管理提升缺乏整體的規劃，部門牽頭的管理提升專項只能是“盲人摸象”。

依照六字原則“目標—風險—控制”，我們自然就看到了COSO內控整合框架的第三個要素，“控制活動”?？刂苹顒邮枪窘绦械恼哒鲁?，以確保管理層的指示可以得到順利貫徹執行?？刂苹顒颖仨毰c風險評估構成一個整體，需要依據風險評估結果以及風險可承受度選擇相應的控制措施。一般來說，控制措施可以分為不相容職務相互分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。實踐中，企業各業務部門的領導經常會向下屬“交辦”一些事情，“交辦”就是控制活動的設計過程。但是，當部門領導在“交辦”時，是否考慮過這件事情能否由此崗位承擔，是否存在職責不相容的問題，是否存在舞弊風險？交辦執行的細節是否針對風險進行過考量，是否能夠防范風險，如何考核其執行是否到位？這些考量，可稱之為控制活動的設計有效性。因此，控制活動設計有效的主責就在于各個業務部門的負責人，他們應對各業務活動中存在的各種風險有清晰的認識和評估，并針對性設計有效的內部控制，交辦給不同的崗位執行。同時，他們需要持續監督，以確保控制活動的執行有效。當這些控制活動都經過了悉心設計，顯性化并固化下來時，各業務活動的流程也就逐步顯性化并固化了。

實踐中，有些企業在進行流程“顯性化”甚至“優化”的過程中，對于流程的描述、控制活動的描述非常模糊，例如“相關部門相關人員不定期進行檢查”。這樣描述的條款是不具可操作性的，也無法確保落實到位，更無法進行監督檢查和績效考核。如果仔細研讀諸多企業的制度和流程文檔時，類似的問題還不在少數。因此，在描述任何控制活動時，都必須清楚地表述，哪個部門哪個崗位；以多少的頻率，例如每天、每月、每季度等；控制的客體是什么，例如哪個報表，哪個單據；具體執行了哪些事情，例如復核了數據的準確性；怎么完成這些事情，例如追查到了原始合同以確保數據的準確性；留下了哪些痕跡，例如簽字確認——也就是“5W1H”原則。只有依照這樣的原則進行表述的控制活動、流程描述才是具有可操作性的，才是能夠成為標準，用以指導具體工作，并作為監督檢查的標尺。

企業固化的流程文檔可以包括流程圖、流程描述和風險控制矩陣，這些文檔應當與企業的制度相輔相成。制度規定原則性的內容，例如能做什么，不能做什么；而流程文檔規定的是做事的順序，例如先做什么后做什么，誰來做，怎么做等。制度好比一顆顆珍珠，而流程就是線，串起來之后，你會發現這是串漂亮的珍珠項鏈。

無論在控制環境、風險評估還是控制活動過程中，都持續地需要信息與溝通，因此框架的第四個要素就是“信息與溝通”。信息與溝通是指及時準確收集、傳遞與內部控制相關的信息，確保信息在企業內部、企業外部之間進行有效溝通。重要信息應當及時傳遞給董事會、監事會和經理層。信息流的暢通對企業的重要性類似于人體的血液流通，人體氣血不通將導致疾病發生，企業的信息流不通則會引起各種損失事件的發生。

在企業，常常會出現部門間“扯皮”、下級“越級匯報”、信息披露的不及時不完整等現象，這些都是信息和溝通不暢的表現。有時企業會針對這些情況進行探討，尋求改進的方法，但往往隨著探討的深入，發現其背后的原因錯綜復雜，無從下手。怎么辦？回到內控框架的起點“控制環境”，通過風險評估梳理關鍵問題在哪里，進而針對問題根源，或改善組織架構，或改善流程設計，或改善匯報機制，或改善考核機制等；直至將這些改善的內容進行固化，形成了固化的溝通機制——或以會議的方式存在，或以表單、報表的形式存在，或以信息化系統的方式存在等。可見，信息與溝通和其他的內控要素形成了相輔相成的關系，你中有我，我中有你，密不可分。

那么，如何能夠確保這些顯性化的、固化的流程和機制得到很好地執行？如何能夠確保前述所有內容得到及時地評估和執行？這就需要“持續監督”，這是內控體系必不可少的環節。為什么持續監督會置于內控框架的最上層，持續監督的對象究竟是什么？通常，監督可稱之為“控制之上的控制”，也就是說，監督本身也是內控體系的組成部分；持續監督的對象，就是內控框架的其他四個要素。監督的主體是誰？企業的各業務部門負責人在日常經營管理過程中，監督著所負責流程的設計和執行有效性；企業的內部審計部門，獨立于所有經營管理層，監督著整個內控體系的有效運行，并獨立匯報給董事會下屬的審計委員會。因此，持續監督可以分為兩個方面：即管理層的日常監督；內部審計的獨立監督。試想，如果企業各業務部門并不認為內控的監督職責是自己應該履行的責任，而企業的內部審計并不獨立于經營管理層，甚至并不開展針對內部控制有效性的監督工作，導致整個內控框架中監督要素缺失，我們如何能夠給出內部控制體系“有效”的結論呢？

在理解了內控框架的正面五個要素后，我們會發現：有效的內控體系，并不是一套整層和程序這么簡單，而是適于一個強有力的控制環境；內控也不僅僅是財務部門和內部審計部門的責任，是企業自上而下所有人都必須參與在其中的，是涉及經營管理方方面面的內容；內控也不是針對過去事情的檢查，而是針對風險而不斷優化的管理提升整體方案，關注的是未來的不確定性；內控更加不是一套信息系統，信息系統只是業務的載體，也是內控的一個組成部分。

在內部控制整合框架中，第三個“面”不得不提，就是內部控制所針對的主體的單元或活動。也就是說，內部控制體系可以適用于不同大小的單元，不同的業務活動。試想一下，每個部門都有自己特有的控制環境，有自己面臨的特殊風險，有針對這些風險而設計的控制活動，有自己的溝通方式，也有部門負責人的日常持續監督；每個業務活動，例如采購，也同樣如此。因此，我們可以將內控框架模型想象成無數個單元，或業務活動內控框架的疊加，這就形成了一個企業的內控框架。

同樣的，對這個內部控制整合框架“魔方”，如果橫向能夠進行拆分和疊加，縱向是否也可以呢？試想一下，當我們在經營類目標中，定義出一個子目標，并稱之為“質量”時，我們發現，針對質量目標，有與質量相關的控制環境，與質量相關的風險評估體系，與質量相關的業務流程和控制活動，與質量相關的信息與溝通方式，還有與質量相關的監督體系，同時分布在各個業務單元和業務活動之中。有的企業也許會說，這不就是質量管理體系么？確實如此。于是，當這些子目標整合在一起，并且歸納為三大類或者四大類目標時，內控框架從另一個維度整合了。

回過頭來再看COSO給出的內部控制框架的名稱：內部控制——整合框架，其中的“整合”之意，越發值得體味。可見，內控體系并不是一個獨立的新的體系，而是一個以風險為導向的，全員參與的，以企業整體管理提升為目的的，不斷優化的過程體系。這個體系需要企業自上而下地建設和開展具體工作，需要有全局的考慮和長遠的規劃，需要企業作為一個整體，有效地應對風險，并持續優化，自我運行，自我完善。

中國的《企業內部控制基本規范》就借鑒了COSO《內部控制——整合框架》（見圖3）的形式，但在內容上卻體現了2004年COSO《企業風險管理——整合框架》的特征，并融入了中國的基本國情。

誰是內控實施的關鍵成功因素——

最高領導層的整體思路

內部控制是通過與企業的管理體系有機整合發揮其作用的，如何確保內控實施能夠成功？關鍵因素在于企業最高領導層實施內部控制的整體思路與對內部控制體系的正確定位。

我們不妨將內部控制體系以另外一種方式表述（見圖4）：最高領導層在明確企業戰略后，依據戰略設置相應的管控模式，確定企業的組織架構，進而設計合理人力資源管理機制，確立相應的業務流程，在整體的IT規劃之下，逐步實現流程的信息化。遵循“目標—風險—控制”的核心思想，我們需要尋找的是，在圖4這個簡化的模型中，企業的風險會落在哪個層面？哪個層面的風險才是問題的根源？是否存在要素的明顯缺失？整體提升的切入點在哪里？未來的工作重點又在哪里？該如何改進設計？該如何提升執行力？回答這些問題的過程，也就是內部控制體系建立和完善的過程。

何謂內部控制最高境界——

從心所欲，不逾矩

每個企業都有著自己獨特的內部控制體系，但管理的水平卻可能參差不齊?！兜赖陆洝酚性疲骸疤?，不知有之；其次，親而譽之；其次，畏之；其次，侮之?！北砻髁艘粋€皇帝管理國家的不同境界，同樣，這句話可以用來說明企業內部控制水平的從高到低四個不同境界：渾然不覺的境界、道德感召的境界、法律規范的境界、人治天下的境界。

我們需要的是將企業的內部控制體系逐步從人治走向法治，以法治的手段，逐步沉淀為文化，目標是無為而治。那樣的境界，用孔子的一句話概括，就是“從心所欲，不逾矩”。

（作者系迪博企業風險管理技術有限公司副總裁）