内部控制五要素包括

内部控制五要素包括：控制环境、风险评估、控制活动、信息与沟通以及内部监督。

听起来是不是特别官方，特别像教科书里会划重点的那种黑体字？没错，就是它。但这五个词，你要是真把它们当成五个孤零零的概念去背，那你永远也搞不懂内控到底是个什么玩意儿。在我看来，这根本就不是五个独立的零件，它是一套完整的、有生命的、会呼吸的系统。甚至可以说，它就是一家公司的“免疫系统”。

我们先聊聊控制环境。这词儿太虚了，对吧？什么叫环境？我更愿意叫它“气场”或者“家风”。你想想，一个家，如果当家的那个人，也就是家长，天天琢磨着怎么钻空子、占小便宜，你觉得这家的孩子能长成什么样？大概率也是有样学样。公司一模一样。控制环境，说白了，就是一家公司的“魂”，是“老大”的意志体现。这个“老大”，不只是CEO，是整个管理层。他们是把诚信、规矩挂在嘴上，还是刻在骨子里，员工们看得一清二楚。

你去看那些出事的公司，根子十有八九都烂在控制环境上。老板自己把公司的钱当成自己的提款机，报销单随便签，跟供应商的交易不清不楚，你还指望下面的采购经理能有多清廉？不可能的。他只会觉得，老板都这样，我为什么不能？于是整个公司的风气就垮了。所以，一个好的控制环境，是那种你一走进这家公司，就能感觉到的一种“正气”。它不是墙上贴的标语，而是弥漫在空气里的行为准则，是老板在没人监督的时候，依然会做的那个正确的选择。没有这个“1”，后面再多的“0”都白搭。

然后是风险评估。这个就有意思了。很多人觉得，风险评估嘛，不就是财务部门年底搞个风险清单，写个报告，然后锁进柜子里，完事。如果你是这么想的，那可就大错特错了。

真正的风险评估，是一种动态的、深入骨髓的“危机感”。它不是让你算命，而是让你在开车的时候，眼观六路、耳听八方。你得时刻琢磨着，路上会不会突然窜出个孩子？前面的车会不会急刹？天是不是要下雨了，路面会打滑？这就是风险评估。把它放到公司里，你要想：我们最核心的技术，会不会被对手抄走？我们最依赖的那个大客户，如果明天突然不跟我们合作了怎么办？国家政策如果变了，我们的业务模式还行得通吗？那个掌握着所有客户资源的销售总监，如果被挖走了怎么办？

风险评估，不是让你写一份报告去应付审计，是让你睁大眼睛看路，是让你在暴风雨来临之前，提前加固窗户。那些对风险毫无察觉、整天高枕无忧的公司，往往死得最快、最惨。因为它们根本不知道自己是怎么死的。

看清了风险，下一步干嘛？当然是采取行动。这就是第三个要素：控制活动。

控制活动，就是那些你平时可能觉得最“烦人”的东西。比如，一张超过五千块钱的发票，必须要有部门经理和财务总监两个人签字；仓库每个月都要盘点，而且必须是仓管员和财务部的人一起盘；IT部门给你开个系统权限，需要你填表、你领导审批。

这些是什么？这些就是安全带，是刹车，是防火墙。它们就是用来对付你刚刚评估出来的那些风险的。为什么报销要两个人签字？就是为了防止有人虚报冒领（风险）。为什么仓库要双人盘点？就是为了防止监守自盗或者账实不符（风险）。控制活动，就是那些“麻烦”的规定，那些让你觉得束手束脚的流程。但正是这些东西，在你快要掉下悬崖的时候，拉了你一把。很多人抱怨流程繁琐，效率低下。可是兄弟，效率和安全，有时候就是一对矛盾体。你想要极致的效率，那就等于在高速公路上裸奔，快是快了，但一个小石子就能让你头破血流。好的控制活动，是在效率和安全之间找到那个最精妙的平衡点。

接下来，信息与沟通。这玩意儿太重要了，简直就是整个内控系统的“神经网络”。你想想，如果你的眼睛（风险评估）看到了危险，但这个信号传递不到你的手脚（控制活动），那看见了又有什么用？

很多大公司，为什么会得“大公司病”？就是因为这个神经网络堵塞了。财务部不知道业务部在搞什么危险的合同；市场部花了大价钱做的推广，销售部根本没准备好接单；一线员工发现了个巨大的产品缺陷，想往上报，结果层层被压下来，最后捅出个天大的篓子。这就是信息不通、沟通不畅的后果。

信息与沟通，可不是发个全员邮件、开个全体大会就完事了。那是单向的广播，不是沟通。真正的沟通，是双向的，是上下贯通的。高层要把战略、风险、要求，清晰地传递给每一个人；基层要把问题、困难、建议，无障碍地反馈给高层。而且，信息必须是高质量的，不能是假的、延迟的、残缺的。一个基于错误信息做出的决策，比不做决策还要可怕。

最后，内部监督。

好了，现在我们有了一个好的“家风”（控制环境），我们也能时刻保持警惕（风险评估），我们还设置了各种安全措施（控制活动），信息传递也挺顺畅（信息与沟通）。是不是就万事大吉了？当然不。

你怎么知道这些东西是不是真的在有效运转？你怎么知道那个“双人签字”的规定，不是两个人闭着眼睛乱签？你怎么知道仓库盘点不是在走过场？你怎么知道大家看到的风险都真的上报了？

所以，你需要内部监督。它就像是给这整套系统做的“体检”。这种体检有两种，一种是日常的、不间断的，比如部门经理每天审阅下属的工作报告，看看有没有异常。这叫“持续性监督”。另一种是定期的、独立的，比如公司的内审部，或者外聘的专家，每隔一段时间来一次彻彻底底的“大检查”，把所有环节都过一遍。这叫“独立评估”。

内部监督的目的，不是为了抓谁的小辫子，不是为了搞办公室政治。它的根本目的，是确保前面那四个要素都在健康地运行，是找出系统的漏洞和弱点，然后去修复它、完善它。别等车子在高速上抛arroba了，才想起来上次保养是什么时候。

所以你看，这五个要素，环环相扣，缺一不可。控制环境是地基，地基不牢，上面盖什么都得塌；风险评估是眼睛，告诉你危险在哪里；控制活动是手脚，让你去应对危险；信息与沟通是神经网络，传递信号和指令；内部监督是自我检查和修复机制，保证整个系统不出故障。

这套东西，玩好了，公司就能走得稳、走得远。它不是成本，是投资。它不是束缚，是保护。别再把内控当成敌人了，它其实是你最忠诚，也最唠叨的那个朋友。它总在你最春风得意的时候，冷不丁地提醒你：喂，小心脚下的坑。