所以虽然我不是什么内控专家，但是对内控的机理、容易出问题的环节

，多了一些了解
，下面是我的一点心得（失败的经验也是很宝贵的~）

首先
，做好内控工作的关键是最高管理层对风险的认知程度和规避的态度，这是给内控的整个框架定基调的部分。就我们公司来说，因为是总部在瑞士
，在美国上市的500强企业，所以对各种风险的控制是非常严厉的
。尤其是需要提交SOX法案要求的管理层声明和相关的内控文件

，所以内部审计不是开玩笑的
。本来北欧的那些国家就注重各种人权而出名的

，而且是廉洁社会的典范
，所以这些理念已经延伸到企业经营中的每一个环节。如
，不允许给客户、政府机关送现金或现金替代品、礼品不能超过35欧元（在国外是20欧元
，只是到了中国标准稍微提高了点——因为他们认为中国是送礼成风的国家）、不能赠送烟酒

、所有的宴请必须有详细的参与人员的清单、不能去卡拉ok和桑拿浴——影响公司形象
、给客户的样品必须有跟踪调查报告等等，非常严格。他们提出来“企业公民”的概念：

– 我们竭力提倡和保护联合国人权宣言的内容，不允许出现企业内部践踏人权事情发生
；

– 我们尊重和认同每个国家的文化差异；

– 健康和安全是我们经营中考虑的首要环节
；

– 我们保护股东
、员工

、客户、政府和公众的利益。

……

等等，内容非常全面。当然，我对这些内容是不是完全得到贯彻持一点点的怀疑态度，但是至少是大体上反映了最高层的经营理念。一个公司通常是基于自己的经营理念提出一个愿景（Vision），根据这个愿景制定若干个战略，再根据这个战略提出实现的目标的几个途径
，如;以人为本、鼓励技术创新
、结合什么什么等等，这些形成一个金字塔的构架
，自上而下。那么如何保障公司的战略顺利地实现的呢
？当然有很多个途径

，犹如我们实现和谐社会
，需要诸多的政府部门
、社会、企业、个人等各个角色的参与一样
，企业的各个部门必须各司其职——其中内控就像公检法一样，保证公司的各项运营符合公司的战略
、符合国家法律、符合效益最大化的原则，并对违反原则的行为提出整改建议
。

不同国家的公检法或类似公检法的机构的权威性都有所不同；内控部门的权力也是一样的，如果最高领导层觉得
，没有必要控制那么多环节，或我愿意冒很大的风险来提高发展速度，那么内控部门自然就没有所依仗的尚方宝剑了。说白了
，一个国家如果很多部门的之间的相互牵制非常有效
，那么他的决策效率肯定会相对低的——至少短期效果来看是——因为很多事情都需要反复地磋商

、讨论才可以通过。但是从长远角度出发，这些磋商的机制、相互限制的机制，可以降低内部的决策失误，权力的极端倾斜问题
，所以它是实际上是最高效的一种机制。因为一旦控制缺陷所带来的不良决策的危害发飚时，会很快摧毁把以前的所有的
、所谓的高效决策带来的利益的
。很多中国企业
，刚开始发展很快但是又很快衰败的原因之一，就是缺少一个科学的相互牵制框架
，以个人说了算——成也萧何败也萧何
。当年中航油(新加坡)分公司因为参与期货交易而陷入破产境界，其总经理陈久霖亦锒铛入狱。其实，该公司的内控制度是向当地完善的，是安永会计师事务所受中航油总部的委托而设计的
，尤其是对期货交易时
，现货行情达到什么价格必须平仓，亏损多少以上上报国内的总公司等等。但是
，从总公司到新加坡分公司，没有人真正把这个制度当回事，所以最后以国有资产大量流失为告终。简言之，领导层必须放弃什么都要追求高效率的决策方式，一定要允许有人在头脑发热时泼冷水，否则基业无法常青的——这是内控有效的最重要的前提。

其次
，必须对公司所处的经营环境进行彻底的分析。包括法律环境分析，如何种行为容易触犯行贿关联的规定
；政策环境分析，如国家的产业政策、环保政策等对公司产生什么影响；经济环境分析，如汇率变动
、利率变动
、价格变动等方面的分析。根据这些外部环境的分析
，提炼出对公司造成最大风险的环节，并进行相应的应对措施。

具体地从我们公司的情况来说，内控的目标是把公司的可能面临的风险进行具体化，并划分到若干个相对度独立的业务循环（operation cycle）中，再把每个循环必须涵盖的控制点清楚地列示。我们公司把业务区分为：生产及存储环节、采购环节
、财务报表及帐务环节、固定资产环节

、人员及工资环节
、销售及回款环节等循环。每个循环又区分出若干个子循环
，并详细地描述其内容。如采购环节中，必须控制的点是：下订单的人和签收货物的人区分开

、哪些采购必须得3个以上的供应商报价
、客户的基础的维护权限如何区分、检验不合格的原辅材料和合格品仓库的位置在系统和实物上如何区分
、标准单价预测机制是什么等等
，大概有80多个控制点
。

那么如何建立有效的内控机制呢？在把上述的各个控制点熟知之后
，制定相应的标准业务流程（Standard Operating Procedure,简称SOP）,通过这些SOP把每个业务划分到每个岗位

，并明确规定每个人的职责
。这个SOP至少应该满足以下内容：

1）保证将每一个业务循环划分成各个岗位职责；

2）必须涵盖所有的控制点；

3)必须有足够的证据表明，实际工作就是按照这个制度执行的；

4）必须具备可操作性
。

最后一点其实是很重要的
，但是往往被忽略，因为好多部门只是为了迎合内部审计将各个控制点堆积起来，结果是一个无法操作的

、各种规定的汇总表。如
：SOP规定“必须保证先进先出的实物流动”，但是没有具体的操作办法，那么这句话就是一个空话。就像，当年中国国家足球队的主教练施拉普纳说过
：“不知道往哪里踢的时候
，就往门里踢”，但是他并没有教我们的队员如何往门里踢。SOP的最重要的意义是，任何一个人根据这个规定处理同样的事情，必须得到同样的结果
，即，不会给操作人员造成理解上的偏差。

我们公司建立SOP的时候，我的要求是
：

1）各个部门把现有的各个岗位职责和工作流程全部做一个详细的描述，并清楚地标明责任人。

2）部门内部进行自由讨论，以发现现有的岗位职责中有无遗漏的事项
。

3）部门领导确认现有的工作流程是正在进行着的，而不是只是一个空架子。

4）总部要求每个业务循环中必须涵盖的控制点分发给各个部门，要求他们在2周之内保证部门的每个相关人员熟知
。

5）召开关于SOP的Kick-off Meeting ，做关于内控的背景、时间要求
、质量要求等方面的介绍，并成立一个临时委员会(TFT)，进行定期的开会讨论进展。

6)各个部门做完草稿以后，临时委员会进行审核
，如无大问题，那么形成一个试行版本

，并在各部门实务中采用。

7）3个月的测试结束之后
，根据实务中发现的问题

，进行重新的修订工作
。

8）修订结束之后，交给公司的最高领导层签字，下发。

为什么没有把控制点事先发给各部门呢

？因为我担心大家先入为主，抛开业务实际
，为做规定而做规定
。SOP的制定尽可能让更多的人参与，否则大家的理解程度不高
，进而影响执行的效果。

我当时的要求是：

1）一切业务必须有相应的SOP
；

2）SOP必须至少涵盖所有的控制点；

3）SOP必须是可行的；

4）通过抽样调查

，必须能够提供证据来证明确实是遵守了；

5）所有SOP必须配以流程图的方式，做一个简要的介绍。

来源：财务职场原标题：《虽然我不是内控专家，但我知道哪容易出现问题》