小熊的办公室布置得很简单。前一段时间他看了一本日本人写的《断舍离》，冲动之下也对自己的办公室断舍离，结果办公室里没剩下几样东西，说是乔布斯的办公室估计也有人相信。他唯一没动过的就是墙上的一幅字，字是熊爸爸写的，词儿是小熊琢磨的“以中为道”。小熊这么多年的生意做下来，生气的时候也有，但是频率渐低，时间渐短，心里越来越佩服老祖宗千百年来总结的处事智慧。一个“中”字大有学问，书上说“喜怒哀乐之未发，谓之中；发而皆中节，谓之和”。“中”讲的不是妥协而是控制，控制的结果是平衡，不是放弃原则而是沟通协调，找出最优方案。小熊觉得，做事也罢，做人也罢，道理不过如此。

小熊正端详着墙上的字，熊妈妈又端着茶杯推门走了进来。小熊不由扑哧地笑了：“妈，您现在真准时啊，正事都不干啦，每天听课听得还挺带劲的，连茶水都自备啦。”

“你平时喝的那个茶太差，我喝不惯。你闻闻我这个，碧潭飘雪，香吧？”熊妈妈说着，放下腋下的笔记本，把茶杯盖打开让小熊闻了闻。

“行，难得您有如此的学习精神，那咱们闲话少叙，继续谈coso剩下的几个要素。”

“上次咱们谈完了风险评估，已经辨别出企业的风险，下一步就是管理风险，而管理风险的途径就是控制目标的确定和控制行为的设计。”

“控制行为包括两个方面，一个方面叫作制度，另一个方面叫作流程。”小熊说到这里顿了一下，“在咱们刚刚开始讲内控的时候，我记得您曾经跟我说过，咱们其实是有很多制度的。咱们的日常管理是比照制度执行的，那么您有没有想过，制度和流程的关系与区别是什么？之前，我在给客户或企业讲课的时候都曾问过大家这个问题，基本上没有人能回答出来。有的人可能模模糊糊地有那么个意识，但还是没想明白和透彻。我还是举个例子来说吧，这样印象深刻。”

小熊说完，端起妈妈的茶杯喝了一口水。

“制度好比交通规则，是确定下来的法则，强调的是结果，如果不怎么样，那么你就会怎么样，一般约束的是一个部门或一个方面的工作；流程好比导航软件，强调如何规划最优路径，偏重的是过程，一般管理的是跨部门的工作。比如存货管理制度，这个制度应该是仓库制定的，用以约束存货管理的规范和法则。存货管理流程说的不只是仓库的事情，前面还要承接采购流程的一部分，后面还要承接财务报告流程的一部分。”

“那……它们俩到底是什么关系？”熊妈妈还是一脸茫然。

“说到底，它们互相掩护、互相作用、互为表里，谁也离不开谁。如果只有制度，那么运营工作难免僵化和死板；如果只有流程，工作又流于浮华和形式。如果制度是人体的各个部分，比如脑袋、四肢、躯干，那么流程是血液，是贯穿人体的元气。”

“好吧，这么说我勉强明白了。”

“控制行为有几个特征，我也给您列示一下。”

“第一，与风险评估流程直接相关。控制行为设计得好不好，评判标准之一在于是否与企业的运营风险直接相关，换句话说就是控制行为是否可以有效地控制相关风险。举个例子，咱们家的门，如果控制行为是加了指纹的密码锁，那么这个控制设计是否成功的评判标准在于，是否降低了被盗的风险。”

“要是住在低层，还可能从窗户爬进去呢！”熊妈妈认真地说。

“……您说得也对，所以一个风险可能需要设计不止一个控制行为来降低和钳制。”

“第二，各个企业的控制行为应该各具特色。这个没什么好说的，我们做咨询，现在也越来越重视客户体验和个性化。有的企业包罗万象，涉及很多不同的行业，它不可能适用一套控制行为和风险管理体系，对吧？”

“第三，政策和制度需要正式归档。这里面‘正式’两个字是关键词，之前我们做萨班斯法案项目的时候，项目的核心要求之一就是文档要求。控制说得再好听，如果不能有效地落实在字面上，那么这样的控制也会大打折扣。”

“第四，流程的执行。正式归档只是形式，切实执行才是核心所在。当然，对于某些关键的流程和控制点，我们还会增加后期的监督环节，关注上面的控制是否得到充分和完整的执行。举个例子，在财务报告流程中通常有这么一个控制点：出纳每月编制银行余额调节表，财务主管对其工作成果进行审核，并在打印的银行余额调节表上签字确认。上述银行余额调节表也应该包括差异为零的银行账户。就刚才的例子而言，要求财务主管在打印出来的银行余额调节表上签字就是将政策和制度正式归档的证据体现，而财务主管的再次确认，就是对流程执行的事后监督。”

“第五，关注重点控制行为。企业经营者也应该知晓一个道理：控制和成本是相互矛盾的。控制越多，成本就越高。对于企业经营者而言，关注重大风险和关键控制点特别重要。您知道吗，现在美国的大公司做内控合规的时候，很多都只关注关键控制点。我记得刚毕业的时候，在‘火车驴拉’工作的那两年，可是不分巨细，所有的控制都要测试。这么看，还是个历史的进步。”

“‘火车驴拉’这个名字好别致。”

“妈，您看您净关注没用的，刚才不是还讲了要关注重点控制行为。”

“接下来咱们还得说说什么是控制行为。这个问题又简单又难，我就不让您回答啦。”

“您那意思我还得谢恩啊？为啥又简单又难啊？”

“简单说，相比于coso框架的其他几个要素，控制行为具化很多，没有那么抽象。您看风险评估，即便我讲了很多，估计您还是摸不着头脑吧？”小熊笑着看看妈妈。

“那只能说明老师失败了。”熊妈妈还配合地叹了一口气。

“哈哈，我若是讲了一节课，学生就知道得门儿清，你儿子就该要饭去了。说控制行为难的意思是说，运用之妙存乎一心，里面还是有一些技术含量的，咱们举例子说。”

“比方说在采购环节有这么一个控制点，在付款给供应商之前，您觉得企业一般得干点啥？”

“这个我知道，得审批。你来之前凡是付款都找我，一个月能用好几根笔芯。”熊妈妈斩钉截铁地说。

小熊哈哈一笑：“对，审批是后端比较关键的控制点。在高级管理层最终审批之前，企业一般还得做一些控制工作，确保满足两个控制目标：第一，将正确的金额支付给正确的供应商；第二，付款内容的合理性。为了满足这两个目标，咱们一般会设计这么几个控制点。”

看妈妈在笔记本上记下这些内容后，小熊接着说：“上面的例子还说明了另外两个很重要的问题。第一个问题，控制目标和控制行为的对应关系。一个控制目标是否只对应一个控制行为？反过来也一样，是吗？肯定不是的。按照上面的例子，一个目标至少对应了三个控制行为。反过来也一样，‘控制行为三’可以同时满足两个控制目标。其实这个问题放在日常生活中也很好回答，比如目标是今年我要挣一百万，那么肯定得规划不止一条路来实现，对吧？比如我苦练股票操作技术，认真复盘，如果通过这样的努力赚到了一百万，那么同时还能满足让家人过上幸福生活、增强自己的自信心、在北京七环买一套一居室等人生目标。”

“第二个问题，什么样的控制行为是好的控制行为？我之前做咨询的时候总是抱怨小朋友们的控制点写得不好，还威胁他们说如果控制点写不好，那么到测试阶段就会死得很难看。那么，什么是写得好的控制行为呢？”

“第一，跟写作文一样，要求写清楚谁干了什么，还有频率，写清楚频率是因为后面测试的时候频率会决定抽取的样本量。”

“第二，写出来的控制行为要可测，您看前面的例子中，每一个控制行为都有一个延伸控制行为，之所以要延伸着多写一些，就是为了使控制行为可测（关于这一点在part 4还有详述）。”

“咱们还是举个例子说吧，我注意到了您困惑的目光。”

“困惑是一方面，主要是困。”熊妈妈顺势打了个哈欠。

“好吧，这么肆无忌惮地侮辱老师还是不常见的。其实，这部分您作为高级管理者简单听听就行，反正具体的测试您也不做。咱们还举刚才的例子，比如控制行为一，采购人员检查复核供应商是否为合格供应商名单中的公司。如果这个控制行为写到这个程度，获得证据证明业务人员已经执行了这个控制是很难的，因为这个控制行为的设计缺乏证据载体。因此，我们将其补充完整，增加证据载体，这样这个控制点就可测了。”

“熊老师，我有一事不明啊，你这样设计了控制，这不相当于又多签了一个字吗？本来平时活儿就多……”

“您说得对，控制都是有成本的。我刚才举的例子也是个比较极端的情况，如果企业规模不大，不会要求事无巨细都得做控制设计。这里面有个尺度的问题，需要对应着风险和财务报告的影响进行相应的评估。”