所在位置:首页 > 文库 > 内控
企业让内部控制手册发挥作用的基本条件和做法
2022年12月29日

导读:控制是管理的构成要素,管理离不开控制。当企业从内控的维度,去认识控制的有效性并实现显性化时,就是企业内控体系建设的过程。其中,内控手册是建设成果的重要反映内容之一。

        如果企业在内控管理中遇到以下的问题,说明内控建设存在改进的必要性:

        1.花费巨大精力形成的内控手册长期沉睡于文件柜

        2.流程控制中的流程自己都很难看明白

        3.企业协调工作很少提到流程控制依据

        4.内控评价的以评促建难见效果

        5.内控管理部门难以感受到成就

01.企业的内部控制是什么?

        笔者不想套用内部控制的理论定义,可以借鉴,但并不直观。

        内部控制是企业为了实现合规运营、流程高效运作,保证流程目标实现,对流程中的关键风险点采取的应对措施。

        这是笔者在实践、研究理解后,对企业内部控制给出的直观定义,不一定高大上,也不一定无懈可击,但事实上就这么回事儿。

        可能有人会质疑,内控怎么仅仅局限于流程,企业层也有控制的存在?

        企业是一个形态的存在,企业的发展不是来源于企业本身,而是来源于企业核心流程、管理和支持流程的协同运转为驱动。流程集聚了管理、控制、资源等各大要素,通过活动的有序开展,共同指向流程目标。

各流程目标的结果,共同反应并作用于企业的目标要求,从而支持企业的持续发展,这就是企业的运营逻辑。

        知识和实践是相互支持、依存的关系,知识不被理解、应用,它就是理论。当知识被理解、应用于实践并被证实有效后,在实践基础上的认识、总结就转变为方法论。

        方法论的复制和应用,往往需要建立在一定条件认识的基础上,而理论往往是普适性的,所以无懈可击,怎么讲都有道理。

        企业是现实的,不同企业的运营环境、内部结构也存在差异。理论的应用不应是照搬照抄照做,即使管理学上成熟的著名模型,也是建立在一定条件或假设基础上的。内部控制也不例外,COSO在发布内部控制整体框架之后,也做了很多针对中小企业、金融企业的差异化内控规范。

        这就是有些企业的内控建设,讲起来逻辑很丰满,图也画的很漂亮,但却苦于不能落地,内控手册只能成为文件柜中的珍藏品,反映工作成果的备用品,甚至都没有偶尔拿出来翻阅一下兴趣的主要原因,因为它是理论的翻版。


02.企业通常采用的内控建设方法

        我们不讨论企业传统的从管理逻辑上的控制设计,这些控制往往是通过制度或流程的形式呈现的,也就是隐藏于企业各项管理机制中。重点讨论从内控管理维度,如何开展内部控制建设。

        企业的内控建设,是构建内控管理体系的重要内容。其工作的本质内容有三个:一是把企业隐藏于制度或流程中的控制显性化,即基于现实的控制梳理。二是在梳理控制的同时,分析是否符合内部控制指引中的通用控制逻辑。三是基于内部控制的机理,对被控制的活动项进行风险评估,通过风险矩阵的形式,体现关键活动与控制措施的关系。即控制的存在,是基于风险概率、程度度量的需求,按照不相容职权分离的机理,达到控制风险的目的。

        内控建设的最终结果,往往是以流程控制的形式体现出来。即基于流程将风险点标识出来,通过活动项的作业制定,明确控制措施。

        所有涉及控制的流程集合,构成了企业流程控制手册的内容。结合内部控制环境的构成要素进行描述,形成了企业内控环境手册内容,二者合集,即转化为企业内控手册。

        内控手册突出的是控制,但载体是流程,对流程的遵循和执行,意味着控制执行的有效,而不能孤立地从控制角度理解。但内控评价,则着重于控制措施设计与执行的评价。

        这种做法,从理论是成立的。即通过审视制度,把制度中的隐形流程显性出来,找到风险点,理出控制措施,这是制度流程化的过程。通过结合制度,参照内控指引,引入风险评估理念,对部分遗漏或存在缺陷的控制进行完善,让控制符合内控规范和内控指引的机理,基本能够满足外部机构对内控评价或审计的需要。

03.从流程管理视角看内控建设

        内部控制以流程控制为主要表现形式,需要了解企业流程管理的逻辑。

        企业的流程管理,是基于流程的维度,以流程的形式对企业运营过程、管理机制进行的呈现。流程的执行,意味着企业的运营。

        企业的流程管理一般经历4个阶段:问题导向的制度流程级阶段、部门职能导向的流程级阶段、标准导向的流程级阶段、流程为导向的系统级阶段。当然也有从其它维度做为标准进行的阶段划分。

        按照流程管理的基本逻辑,企业进入第4阶段:已经形成了能够支持企业战略实现的完善的流程架构,建立了以流程为载体,融多维管理要素于一体的立体型流程运营体系。该阶段的内控已经与流程融为一体。

        流程管理的第3阶段:从要素、颗粒度、流程文件形式、作业、活动等方面已经拥有标准化的设计要求,或通过流程软件进行规范的管理。

        该阶段,从企业整体角度,流程的系统化仍存在不足,但在局部业务域,流程能够反映端到端的设计逻辑,实现跨部门的集成。从总体看,呈现分散或部分片段的流程形态,以及局部业务域端到端集成式流程的共存。由于施行了规范化管理,能够承载与流程相关的管理要素,即显性的流程控制已经形成。但由于流程总体尚不系统,意味着控制仍有系统化的需求空间。

        流程管理的第2阶段:企业为规范业务管理,提高制度执行力,在现有制度的基础上,以职能部门为主导,对部分业务工作进行了流程梳理。流程的表现形态,或部门管理自身梳理的流程,或依附于制度,以附件的形式呈现,核心主要服务于部门职责范围内业务工作的开展。

        该阶段,从企业总体情况看,流程是片段化的,部门之间也是不均衡的。流程会涉及与其它部门的协同或控制关系,但主要建立于部门认识的基础上。流程重点反映活动秩序,对内部控制的反映,不一定是合理的,或者是必要的(类似企业制度组织与职责部分,相关部门不一定认同,但一般经过协调、妥协,或取其折中后走向灰度)。

        流程管理的第1阶段:企业为规范管理秩序,总结成功经验,防范问题风险,通过制定相应的制度,形成某领域的管理机制。制度以章、节、条、款、目进行划分,以文字的形式描述运筹逻辑布局。

        这阶段,流程是隐含于文字描述中的,控制作为制度设计的运筹布局要素而存在。即,制度流程阶段,不是没有控制,而是隐含于文字中,作为管理要求进行的设计,现实中能否真正发挥作用,暂且不议。

        企业处于第1、第2阶段,都需要采用内控建设的做法,通过流程梳理,形成流程控制的形式,以内部控制手册的形式进行呈现。处于第3阶段的企业,则是进一步规范的过程。

图片

04.内控手册难以发挥作用的原因分析

        现实中,企业流程控制的形成,通常有三种途径:一是内控主管部门负责,组织相关部门确定流程控制的范围,由部门对职能范围内的流程控制进行设计,内控主管部门进行规范,形成内控手册。二是内控主管部门根据自己的理解,对企业相关制度进行分析,形成流程控制,通过征求各部门意见后,建立企业内控手册。三是委托第三方,按照第二途径的方式进行内控手册设计。

        无疑,拥有完善流程管理体系的企业,在内控建设中拥有更加坚实的基础和条件。但现实是,很多企业基本都处于流程管理的第一、第二阶段。

  • 制度的固有局限性决定了流程控制难以系统化。

        制度的产生往往是以问题为导向的,即使企业为了降低单体制度设计的复杂性,按照业务域功能进行模块、层级的制度解构,也很难反映跨部门的端到端流程逻辑。

        笔者了解一个企业,他们认识到科研生产整体运营体系的重要性,希望通过制度反映完整的科研生产体系框架,以及制度管理要求。

        责任主管部门经过长期的研究,形成了来自于研发部门、计划部门、产品管理部门、质量管理部门、采购等多部门的制度结构及层次。

        但效果如何呢?例如,质量管理包括质量体系建设、与任务结合的质量计划、质量目标、质量控制、问题处理等策略,这些过程需要与具体任务相结合。无疑,通过制度来打通科研生产过程、实现过程中多职能协同的想法,是有较大局限性的。

        现实情况是,从制度框架看,似乎有合理的逻辑,但具体到制度的设计与达成,制度责任部门就难以通过文字的描述来实现。

        试想,一个通过制度难以全面反映的科研生产体系,通过制度中隐藏的碎片式的流程梳理,必然也是割裂的。

        建立于碎片化、片段化流程上的内部控制,本身就缺乏被认识和执行的基础,谈何落地。

  • 企业存在多维规则的现实,降低了企业员工对内控手册的需求。

        无论是制度还是流程,都是支持企业运营的最底层规则,是企业中的组织及员工执行相关活动的行为规范依据。

        流程控制以流程的形式呈现,突出对控制的显性。按正常逻辑,流程控制应该更有利于提升执行力。

        现实情况是,企业有一套具有的制度,各部门拥有一套属于自己业务领域的流程,质量体系也有一套职能与流程的反映标准,内控主管部门拥有一套反映控制的流程控制手册┈┉。

        多维度的管理视角,形成了不同形式的规则与标准,增加了企业运营和员工执行的不确定性。如果彼此之间存在交叉,或者不一致的地方,反而会增加结果的风险。这也是内控手册难以被认同、遵从的客观原因之一。

  • 不区分场景的流程控制,本身就有难以被执行的先天缺陷。

        流程管理特别注重场景的差异化设计,即不同的场景能够找到可参考、可执行的对应流程,为解决问题,防范风险提供了规则支持。这是流程管理差异化、灵活性的重要体现。

        现实中,企业内控手册,建立于对单体制度的理解,缺少对业务总体的控制需求分析。在流程梳理中,通过不同角度的条件判断,形成多条执行路径分支,客观上降低了流程的可认知和可理解度。

图片

        既然难以理解,还不如在制度文字的灰度中游走。这也是流程控制不能落地的重要原因。

        还有┈┉

        基于以上原因分析,企业内控手册难以被认同,难以被应用,难以发挥其应有的作用,是可以理解的。那有没有解决的办法呢?

05.企业如何开展内控建设

        流程,有多种表现形式,有简单的路线式流程、职能导向的泳道式流程、反映活动全景的全息式流程。

        无疑,全息流程是最好的形式,也是企业流程管理主要应用的流程规范。但企业流程管理体系建设,实质是企业管理模式的变革,也是一个长期的过程(一般规模型企业需要3-5年,甚至更长的时间),很难满足企业内控建设的需要。

        基于现实,企业开展内部控制建设,特别是流程管理基础薄弱的企业,以泳道式流程为主要的控制载体,仍然是当前内控管理必要的折衷选择,但并不是最优选择。企业应处理好以下6个方面的问题:

1.流程控制与必要的控制清单相结合。流程控制,不能僵化地理解为只能通过流程的形式来呈现,对于行业规则已经明确的通用控制规则,或者流程成熟度不高但潜在风险大的业务过程,可以通过表单、文字形式展现,也可以通过共享流程模块的形式展现,反而更为直接、简洁。

        譬如,会计与出纳岗位分离,是公认的财务管理规则,在内控手册中,很多业务流程都涉及这一方面的控制内容,但不一定必须在每个流程中重复进行展现。

        曾到过一个企业,对方拿出厚厚的流程手册,仔细翻阅了一下,仅涉及会计与出纳岗位分离的相关业务流程就达二十几页。如此手册,还有哪个会参考借鉴。

2.以制度为基础梳理流程固然可取,但不能忽略业务域的整体逻辑和阶段控制。来源于制度中的流程,是片段化流程,如果基于片段化流程进行内控建设,实际是狭隘化的控制梳理,不能反映整体业务的运营控制逻辑,不能反映业务域中存在的阶段化控制措施,内部控制设计本身存在先天不足的缺陷。

        例如在著名的IPD流程中,包括了6个技术控制点和4个管理控制点(通用型,现实中企业会根据产品特性定制控制形式和措施)。控制点的划分是按照整体流程的阶段进行的设计,是企业级控制存在的体现。

        在主流程的每个阶段,通常反映于不同部门、组织发挥的主导责任,如果反映在企业制度,不同阶段的控制将反映在每个阶段,来自于不同主责部门相关制度的文字描述中,但很难做到一份制度能够陈述全流程要素,控制的分布并不系统。如果失去对整体控制的审视,完成的流程控制本身是不完美的,必然会损失掉部分借鉴和指导意义。

3.流程控制虽然不能像流程管理一样实现企业级的系统化,但至少要在某业务域形成一个相对完整的系统化呈现。流程手册由不同的流程控制集合构成,按照业务域形成了不同的功能结构,譬如:计划管理、财务管理、采购管理等等。

        流程控制手册的作用,维度在控制,但执行在流程,重点体现在4个方面:一是控制显性化;二是工作借鉴,按照流程执行;三是为新员工理解岗位工作提供支持;四是监督标准化。

        片段化的流程有助于对局部工作的认识,但缺少对业务结构、业务逻辑的反映。企业开展内部控制建设,需要通过流程框架、流程视图、流程清单形式,呈现某业务域的运行逻辑,提高应用者的整体认识基础,增强手册的可读性。

4.流程控制也需要因场景而差异。企业开展内控建设,容易陷入多场景交错的陷阱,希望通过少量的流程文件反映控制的存在,造成流程设计复杂,且难以反映不同场景的流程路径。

        流程控制的梳理,应该坚持结构化思维,区分不同的作业场景,化解流程文件设计层次混乱、可理解性差、标准不统一的窘境,让应用者能够感受到,需要了解哪就可以通过手册很快找到对应的场景,从而体现手册的可应用价值。

5.合理把握控制与审批的区别。通常情况下,管控型流程一般反映的是审批流。流程中会涉及来自于部门内部的审核,来自于其它部门的参与、会签、讨论、审查等活动,来自于流程过程中的审批。

        无疑,审核、审查、审批都是控制的一种反应,但如何界定,需要区分在流程中的位置和作用。一般情况下,从内部控制角度看,在具有同一流程目标的业务线上的审核、审批不应被视同为控制,而是流程运筹逻辑过程的反映,其性质对流程目标负责。

        流程中的内部控制,是由于某关键点风险而形成的控制关系,控制的目标不一定是导向流程目标,而是导向防范风险的目标。一般情况下,来自于同级其它部门,或其它非业务流程机构的审查、会签、参与,视同为控制措施,如何认识,需要结合具体实际进行界定。

        合理把握控制与审批的区别,一方面可以降低流程控制设计的复杂度,突出效率与成本的平衡原则,另一方面也是清晰风险控制责任与业务管理责任的具体反映。

6.理清并明确流程的颗粒度,融合规管理与内控管理于一体。企业流程控制,往往采用的是职能型泳道式流程图。流程图的复杂度,由流程梳理的控制标准决定。

        泳道式流程图,被驱动于上游活动状态,启动于部门,在部门内部会有一个不同职能发挥功能的流转空间。

        现实中,不少企业为体现流程的精细度,大量活动体现于部门内部不同层级岗位的审核流转,没有必要,部门内部的控制原则由部门自己掌握。

        但也有需要区别对待的例外情况,部门内部同层级不同机构的控制关系,或通用规则明确的不相容职权分离的情形,需要在流程中体现出来,或者采用文字的形式,在作业文件中直观反映,视企业内控建设标准和现实情况决定。

        内部控制是面向企业运营中存在的可控风险进行的管理设计。合规风险是可控风险,是流程执行中可能存在或发生的风险,也是内部控制建设不能遗漏的风险内容。流程控制是实现合规管理和内控管理的协同途径。

06.结语

        内部控制是基于现状的流程控制梳理和设计,但不能僵化地视为简单的通过流程形式反映的过程,其中渗透对企业战略、运营模式、管理模式、业务运行逻辑的认识。在内控手册制定过程中,即不失系统的逻辑呈现,也不能采用不分场景、一个流程包打天下的错误做法。

        企业的内控手册,只有能够反映企业的现实运营逻辑,能够服务并支持员工对管理逻辑的认识,能够反映流程控制的要求和风险责任,能够帮助员工以最快的效率达成任务的实现,才能拥有落地的条件和被执行的价值。

来源:天锦咨询 ,版权归原作者所有,如涉侵权,请联系我们删除,谢谢!
分享到 :
63.2K