许多行政事业单位、企业在聘请咨询公司做完内部控制手册之后，就认为万事大吉，束之高阁。之前在做手册时，最为担心的是内部控制手册的落地实施问题，对咨询公司、会计师事务所是百般挑剔，提出了很多要求，雄心勃勃。但做完了就雷声大雨点小，没有达到理想的状态，内部控制手册落地实施的问题还是出现了，于是人们的焦点就又集中在了内部控制的咨询无意义，实施内部控制咨询的第三方都是在做无用功的认知。到底谁对谁错？从事咨询的第三方公司或者会计师事务所也很无奈，觉得冤枉，因为毕竟自己是无法参与到被咨询方具体的业务活动中，也无法代替领导去决策，从成本效益的角度来看，被咨询方花的钱也不足以使得咨询方投入那么大的精力去陪着被咨询方去落地实施。最后，演变成内部控制手册的咨询活动也就不了了之，没有达到当初的预期效果。

针对这一问题，我想有几个问题需要事前解决：

第一，需要在咨询前，被咨询方就要与咨询方达成一致性，期望太高失望就会越大。那么，需要达成什么样的共识呢？谁最了解被咨询方的内部情况，是被咨询方最了解。这就要求被咨询方在咨询时一定要有人员投入，了解内部控制的方法论，了解流程图和制度、岗位职责的具体思路与做法。在咨询方撤场后，可以自己完成新问题、新风险防控措施的完善和解决。也就是说咨询方仅是在代替被咨询方培养人才，说你不敢说的话，做你不敢做的事。针对问题的具体解决虽然需要双方的共同努力，但主要还是被咨询方。

第二，针对详细的制度修订与建立到底是谁的责任。我想咨询方主要是负责流程梳理与再造工作，指出现有制度的不足与未来需要增加的制度安排。但具体的制度制定与修订发布决策是由被咨询方完成的。这不是咨询方的责任。当然，你非要咨询方参与这一事情，显然是需要在一开始就要考虑投入到时间和成本，做到咨询预算当中去。毕竟咨询方有着丰富的咨询经验，其他单位制度体系肯定是有很多可以参考的模板，可以根据被咨询方的实际情况进行具体的建议和制定相应的制度体系。显然，这需要在咨询协议达成前双方达成共识。否则内部控制手册完成后，还是不具备制度操作性，毕竟许多单位的习惯停留于制度的执行，更习惯于通过具体的制度去执行具体的要求。被控制的主体是不可能理解内部控制的三维管理甚至矩阵管理流程图，以及对本单位所形成的组织架构影响及管理方式的改变的。

第三，咨询的过程中，咨询方不能忽视控制环境、单位层面内部控制的建设，这些直接影响到未来具体业务活动如何建设，甚至成为未来具体业务活动建设的主基调。但事实是很多咨询方现场工作都结束了，撤场了，一把手的领导竟然不知道，以为还没有开始，或者还在进行中，这种咨询注定是要最终失败的。因为你不可能落实领导者的需求及风险容忍度，领导对于利益的权衡，组织架构设置的反馈。这些没有访谈，没有沟通，怎么证明咨询是成功的，又如何获得领导者对于结果的支持呢。

第四，培训应该伴随着咨询活动的始终，这种培训既要有总体理念的培训，又要有具体风险评估及具体业务活动应该如何实现管控的业务培训。最后还要有手册编制完成，评价完成后针对结果的一个培训，需要达成双方的一致意见，和作为咨询方专家的理解。否则未来执行的效果，被咨询所涉及到的具体部门是不可能理解咨询方为什么要做出这些调整和改变的。

第五，内部控制是需要最终融入到业务活动之中的，这是要通过内部控制的信息化去实现的。但咨询方和被咨询方必须清醒的认知到，是没有单独的内部控制软件的。否则内部控制软件就会与ERP的信息化建设，财务信息化、OA系统的建设相互重复。内部控制的咨询是建立了一套内部控制方法改造后的规则，这套规则包括流程的梳理与优化，岗位职责的划分，风险点的识别，风险评估后所带来的控制措施的繁简程度，领导者风险容忍度的植入。这就要求内部控制手册的编写和咨询方在梳理时就要考虑未来信息化的问题，最好是与信息化同步建设完成，这样内部控制也就落地了，咨询的效果也最好。

我想，这些是内部控制建设咨询完成前，需要考虑的几个问题。那么，咨询完成后，形成内部控制手册与评价报告，如何实现落地实施呢，这就是被咨询方要考虑的问题了。我想也要注意以下几个方面：

第一，各部门要确认咨询方的成果，针对不合理，不合适的地方形成汇总意见，并由领导班子决策取舍问题，繁简问题，重与大的认知问题，汇总后反馈给咨询方进行修订。这一工作需要牵头部门在一开始就要理解内部控制的工作在干什么，怎么干的，不是所有的工作都推给咨询方。毕竟是本单位要使用，而不是咨询公司要使用。

第二，组织制度的修订工作，由牵头部门与办公室针对涉及到的部门进行工作分配，组织开展制度的修订与建立工作。完善现有制度体系，并由最高管理层发布实施，以保证在执行过程中，按照最新的制度去执行。当然，在执行的过程中，肯定会出现这个问题那个问题。这就需要持续性开展评价工作。

第三，每年要将内部控制评价工作分为自我评价和外部第三方的评价。自我评价由当初的牵头部门组织所有涉及到的部门开展评价。评价的重点要从设计缺陷与执行缺陷两个维度，具体涉及到的岗位、职责、流程、制度、风险五个方面去评价。然后再由第三方针对评价的结果组织再评价，验证我们自己发现问题是否合理、正确。最后针对所有评价结果汇总，由牵头方再开始新一轮的完善优化工作。总之，内部控制建设只有起点没有终点。并且我们也会发现，内部控制建设与完善不是一个部门可以解决的，而是需要集体配合的。

最后，内部控制制度体系、流程体系、运行保障体系经过1-2年的持续完善后，需要在具体的信息化中将内部控制的规则、流程、制度，岗位要求，植入业财融合的活动中去，体现为信息系统的细化要求与控制表单，而不仅是信息系统建设的功能要求。管理制度化、制度流程化，流程岗位化，岗位职责化，职责表单化，表单信息化就是这个道理。信息系统的建设，作为咨询方也必须认识到，不是简单的线下流程和需求转移到线上，而是改造后的流程和规则通过线上去完成。内部控制保证了信息系统又好又安全的完成目标。甚至从更高的高度去看待信息化建设，内部控制规则保证了数据生成的完整性与真实性，并在控制的环境下，完成数据的采集工作。这又是信息数字化的要求了。

总之，内部控制是可以落地实施的，但是需要咨询方与被咨询方的共同努力，达成共识，清晰责任。也是一种知识转移，需要被咨询方也要加强学习，毕竟是被咨询方自己的事情，而不是咨询方的事情。咨询方也要本着负责任的视角搞清楚自己可以做什么，不可以做什么，而不是一味的唯利是图，吃政策的红利，最后没有达到咨询的效果，而堵住了未来的业务拓展。该细化的地方就要细化，该简化的就要简化，该投入的就要投入。我想这样的内部控制建设工作才能真正有效果，大家怎么认为呢？欢迎大家点赞、评论和转发。

转自：审计光影

管理会计师CNMA是由北京国家会计学院推出的管理会计能力水平证书项目，分为初、中、高三个等级，致力于培养具有国际视野、符合中国国情、具有鲜明中国特色的管理会计师人才。