内部控制五要素关系图，一张图看懂企业管理的免疫系统与生存法则

作为一名在注会行业摸爬滚打多年的从业者，我看过无数企业的财务报表，也审计过大大小小的各类公司，在这个过程中，我发现一个非常有趣的现象：很多管理者一听到“内部控制”这四个字，第一反应就是皱眉头，觉得那是束缚手脚的繁文缛节，是财务部门用来刁难业务部门的“尚方宝剑”。

但实际上，内部控制从来不是冷冰冰的条文，也不是为了把企业管死，恰恰相反，它是企业在这个充满不确定性的商业海洋里航行的“舵”与“锚”，我想抛开教科书上那些晦涩难懂的定义，用最接地气的方式，和大家聊聊这张内部控制五要素关系图背后真正的逻辑，以及它如何像人体的免疫系统一样,时刻保护着企业的健康。

控制环境：一切风控的“土壤”与“基因”

如果把内控体系比作一座大厦，控制环境”就是地基，地基如果不稳,上面设计得再精妙的楼层也会轰然倒塌。

在COSO框架中，控制环境包括了诚信原则、道德价值观、员工的胜任能力、董事会及审计委员会的监督等等，听起来很虚对吧？让我给你讲个真实的故事。

我曾经审计过一家家族式的制造企业，老板老张是白手起家，非常有魄力，老张有个习惯，就是喜欢在公司里搞“一言堂”，他常挂在嘴边的一句话是：“规矩是死的，人是活的，我说了算，财务不用管那么多。”

这就导致了一个非常糟糕的控制环境：员工们发现，遵守流程不如听老板的话来得实惠，采购经理看到老板经常为了赶进度无视审批流程，于是他也开始效仿，私自给供应商回扣，美其名曰“为了公司效率”。

在这个案例里，老张的“一言堂”破坏了最核心的诚信原则和治理结构。控制环境其实就是企业的“气场”。 如果一个公司的气场是“唯利是图”或者“凌驾规则”，那么无论你后面设置多少道防火墙,都会有人想办法钻空子。

我的个人观点是：控制环境是内控的灵魂，它无法用金钱衡量，却决定了企业的生死存亡。 就像我们做人一样，如果人品（控制环境）不行，哪怕能力（控制活动）再强，最终也会走歪路，作为注会，我们在看一家公司时，往往先看老板的行事风格,因为这基本决定了这家公司内控的基调。

风险评估：企业管理的“雷达”系统

有了好的环境（地基），接下来企业要做什么？要出门办事，要打仗，但在出门前，你得先看看外面有没有雨，路上有没有埋伏，这就是“风险评估”。

在内部控制五要素关系图中，风险评估是连接目标与具体行动的桥梁，它要求企业必须设定目标,然后分析实现这些目标过程中可能遇到的风险。

举个生活中的例子,这就好比我们要组织一次全家自驾游。

目标：安全抵达海边度假。
风险评估：车况好不好？会不会爆胎？路上会不会堵车？天气预报说会不会有暴雨？

如果我不做风险评估，直接开着十年没修过的老爷车上高速，那不是勇敢,那是愚蠢。

在企业里，很多风险是隐蔽的，一家科技公司准备研发一款新产品，这是一个战略目标，这时候，风险评估就要跟上：核心技术人才会不会流失？研发资金链会不会断？竞争对手会不会抢先发布？

我见过太多企业，在这个环节上完全是“拍脑袋”决策，他们只看到了前面的利润（目标），却完全忽略了脚下的深渊（风险），等到资金链断裂或者被起诉侵权时,才追悔莫及。

我认为，风险评估是企业管理者最需要具备的“前瞻性”能力。 很多老板把“赌性”当成了“狼性”，其实这是两码事，优秀的管理者像是一个老练的猎人，在开枪之前，他已经预判了风向、风速以及猎物的逃跑路线，内控中的风险评估，就是强迫你慢下来，把“万一”的情况想清楚。

控制活动：具体的“刹车片”与“红绿灯”

识别了风险，接下来就要采取行动了，这就是“控制活动”，这是大家平时接触最多的部分,也是最容易引起争议的部分。

控制活动包括了不相容职务分离、授权审批、核对检查、绩效考核等具体政策，通俗点说，就是怎么把事情做对,同时防止坏人干坏事。

让我们回到家庭生活的场景，为了防止家庭财务混乱，很多聪明的家庭会实行“不相容职务分离”：老公负责赚钱（业务），老婆负责管钱（出纳），而每个月的账单由两人一起核对（会计），如果老公既负责赚钱又负责管钱，还自己核对账单,那他偷偷藏私房钱就太容易了。

在企业里，最经典的控制活动就是“管钱不管账，管账不管钱”，出纳不能接触会计账簿,会计不能经手现金。

但我必须发表一个非常鲜明的个人观点：控制活动不是为了把流程搞得像迷宫一样,而是为了在成本和效益之间找到平衡。

我之前服务过一家国企，他们的报销流程极其繁琐，买个打印机墨盒需要经过七个部门签字，历时一个月，结果呢？业务部门为了图省事，开始造假，或者干脆不买墨盒了，导致工作效率极低，这种“过度控制”比“没有控制”更可怕,因为它会扼杀企业的活力。

好的控制活动，应该像精准的刹车片。 你踩它的时候，车能停下来；不踩的时候，它不会阻碍你飞驰，在内部控制五要素关系图中，控制活动是直接落地的执行层，它必须根据风险评估的结果来量身定制,不能生搬硬套。

信息与沟通：企业的“神经系统”

如果你有了好的地基，识别了风险，也装了刹车，但如果你的眼睛看不见、耳朵听不见，或者大脑指挥不动手脚，那还是完蛋，这就是“信息与沟通”的作用。

信息与沟通贯穿于内控的始终，它确保相关的信息被识别、获取并以某种形式传递,让员工履行职责。

想象一下，你在一家大公司上班，销售部谈了一个大客户，承诺了极其优惠的付款账期（比如90天），销售部并没有把这个信息及时告诉财务部，等到发货了，财务部才发现客户没有按时付款，因为销售部没说账期的事，财务部按30天去催款，结果客户不认账,最后变成了坏账。

这就是典型的信息孤岛。

在数字化时代，信息与沟通的重要性被无限放大，以前我们靠纸质单据传递信息，效率低且容易造假；现在靠ERP系统,流程变得透明。

但我发现，很多企业虽然上了昂贵的ERP系统，却依然做不好信息沟通，为什么？因为系统是死的，人是活的，如果企业文化里大家习惯“报喜不报忧”,那么系统里流淌的数据就是虚假的。

在我看来，信息与沟通的核心不在于技术，而在于“意愿”。 必须建立一种机制，鼓励跨部门、跨层级的真实对话，作为审计师，我们不仅看系统里的数据，更会去访谈员工，看看他们是否真的知道自己的职责，是否知道出了问题该向谁汇报，如果员工一脸茫然,那这个企业的神经系统就已经瘫痪了。

监督：永不间断的“体检”机制

最后一个要素，是“监督”，前面的四要素做得再好，如果随着时间的推移，环境变了，人员懒了，制度过时了，内控体系也会退化,监督就是为了防止这种情况。

监督包括日常的持续监控和单独的评价（比如内部审计）。

这就像我们人类的身体，你年轻时身体再好（控制环境好），如果天天熬夜、不运动，不定期体检,总有一天会生病。

我曾接触过一家上市公司，他们的内控手册做得像字典一样厚，看起来完美无缺，当我深入业务一线时发现，仓库管理的“定期盘点”制度已经形同虚设，仓库管理员为了应付检查，只是在账面上把数字凑平了，根本没去数实物，为什么？因为没人监督他,内部审计部门已经三年没来过仓库了。

这就是监督缺失的后果。

我的观点是：监督是内控体系自我进化的动力。 一个没有监督的内控体系，就像一潭死水，迟早会发臭，监督不能只靠内部审计部门，它应该嵌入到每一个业务流程中，上级对下级的复核,本身就是一种日常监督。

深度解析：五要素之间的“纠缠”关系

让我们把这五个要素放在一起，看看这张内部控制五要素关系图到底是怎么运作的。

很多初学者会把这五个要素看成是孤立的五个方块：环境是环境，风险是风险，其实大错特错！它们之间存在着极其紧密的逻辑纠缠。

环境决定一切：控制环境是圆心，它的影响力辐射到其他四个要素，如果环境里大家都不重视风险，那么风险评估就会流于形式；如果环境里沟通不畅,那么控制活动就没法执行。
风险驱动控制：控制活动不是凭空产生的，它是为了应对风险而生的，你识别不到风险，就不知道该在哪里设防，风险评估是控制活动的“源头”。
信息贯穿全程：无论是识别风险，还是执行控制活动，亦或是进行监督，都需要信息的支撑，没有信息，其他四个要素就是瞎子、聋子。
监督闭环反馈：监督的结果会反馈给控制环境（比如发现管理层舞弊，就要换人），也会反馈给风险评估（比如发现新风险，要重新评估）,这就形成了一个闭环。

为了更直观地理解，我们可以把企业比作一辆赛车：