内控百问百答(3):为什么内控手册的实用性辣么差?

背景说明：

很多企业做完内控建设，收获了满满一大本内控手册。等到使用时突然发现，这玩意完全没法用啊？抓狂！！！那么，内控手册到底该怎么用啊？

我的建议：

首先要申明，这里的讨论不包括手册内容本身写得很烂的那种情况，这个大罗神仙也救不活。现实是，有些内控手册写得很可以，但是，企业就是反馈没法用，这到底是什么情况呢？

1、内控手册包括什么内容？

说到内控手册，大家马上想到的就是流程图和风险控制矩阵。对！这两位就是内控手册的主要住户了。

流程图大家平常也都见过，内控手册里的流程如果说有啥区别的话，那就是上面标注了风险点和控制点的标记和序号。风险控制矩阵则如下图所示，每家的栏目可能有多有少，但大差不差。

图：风险控制矩阵示例

问题就出在这个风险控制矩阵上！！！

风险控制矩阵是一张表，栏目很多，但最核心的是业务环节中的风险点及控制措施。我们知道业务环节中的步骤或程序即有风险点，也有除此之外的业务点。如果风险控制矩阵里只包含风险点，那么，很显然，这张表里的内容不是完整的业务SOP描述，而是SOP中跳跃式的点。问题就在这里，你拿着一本点状的手册，就像站在梅花桩上一样，不知道脚该往哪里走！

2、内控手册本意是给审计师用的！

既然内控手册不是完整的SOP，那么，为什么要搞这个手册？搞了给谁看？

我认为内控手册本意是给审计师，特别是外部审计师，用的。外部审计师要对公司的内部控制进行测试并发表意见。如果给他一本完整的成千、上万页的制度流程，那他会疯掉的。解决方案就是风险控制矩阵，把风险点、控制措施都列出来，然后由审计师来判断并选择其中待测试的关键控制点。

不要惊讶！风险控制矩阵本来就是审计师发明的，优先解决审计问题有啥好奇怪的！

3、怎么解决这个矛盾？

既然内控手册的主要目标客户是审计师，那么，对于企业来说，辛辛苦苦做出来的东西就束之高阁吗？显然不可以！

我在实务中，首先会看企业原来的制度流程管理做得如何，是否已经有比较完备的制度流程文件。

如果企业原来的制度流程文件比较完备，则在项目开始之初，就会和企业沟通在内控手册完成后，由企业自己或项目组将内控手册中的控制点更新到企业原有的制度流程文件中去。

如果企业原来没有成文的制度流程文件，则会借助内控项目建设，帮助企业梳理出一套制度流程文件来，其中，流程描述是长得如下图这个样纸滴。

图：内控嵌入管理

首先，按照流程、业务环节、操作步骤的方式，将流程描述成SOP（其中就已经包含了针对风险点的控制措施）；其次，将其中的风险控制措施以划线和标编号的方式凸显出来。我认为这就是传说中“build-in”到管理中的内控。

企业的管理制度和流程永远只有一套。内控建设只是把原有的制度流程改造成符合内控规范要求的制度流程，而不是重起炉灶。SO说内部控制要“Build-in”而不要“Build-on”，你GET到了吗？

至于说是不是一定要再搞个风险控制矩阵，单独编个内控手册，就看监管机构和审计师是不是一定要搞个形式合规吧！