内控建设中经常涉及梳理流程、规范控制活动措施的表述。表述代表的是一种认识、一种观点,但不等于事实和结果。一套内控程序手册是否有效,取决于两个方面:一是流程能不能被理解、执行;二是内控活动的设计是否规范、标准。
01.可执行的流程是内控有效的基础
这几年,人们似乎对流程的重视度提到了新的高度。譬如:内控管理中要梳理流程,合规管理中也涉及流程化表单。但应该认识到,企业中并非离开显性化的流程就不能运作,而是没有流程,牺牲的是效率。
效率与安全,是任何企业在任何时间都强调的两个问题。流程侧重的是效率与产出,内控侧重的是安全,保证的是流程的有效性。安全来源于外部因素影响、专业能力不足影响、人性影响所带来的风险。风险控制住了,安全运营的状态就体现出来。
梳理流程,是一个分工与合作的问题。从大的方面来讲,组织分工是基于价值管道的结构关系、资源配置关系而进行的组织形态设定,最终通过组织参与流程实现协同,共同服务于重复性的价值创造;从小的方面来讲,一条流程,是基于角色分工、活动与活动之间关系的界定,分中求合,合时有分,分合同体,流程是合诸活动于一事的反映。
一条流程能否被理解、执行,关键在于是否与现实相符。与现实相符,并不是必须基于现实组织分工、运作习惯进行的文件化固化,而是从中找到一条最优的被大家所接受的路径,用风险的视角去验证其产出是否符合预期,嵌入的控制措施,即内控。
梳理流程,可以是一种认识,也可以是流程设计的过程。真正的梳理流程是一件精细活儿,还具有持续改进的特点。客观讲,组织分工发生了变化,流程中的角色、活动就会发生变化,流程就可能会发生变化。
流程是做事儿的程序,所以,流程活动的描述是动态的、具体的、可操作的,绝非把机构职责搬过来的做法,这种方式是一种流程认识。其次,企业为了降低组织、职责变动带来的对流程的冲击,会通过流程管理,采用角色的流程梳理方式,最大程度规避组织划分对流程带来的冲击。
现实中,流程是划分层级的,不同阶次的流程有不同的设计原则。譬如,单角色的作业流程,体现的是工序,往往按步骤描述即可;多角色的作业流程,体现的是角色间的协作。高阶流程与作业流程不同,反映的是质量把关、内部控制与效率。
内控建设中经常使用的跨部门职能带流程,本质不是流程管理的结果,而是职能化管理下办事程序的反映。职能带流程的设计也需要把握标准,其中的角色反映的是最小组织、关键岗位角色。否则,流程描述不可能做到具体、细致,流程就不可能被参照、执行。
企业中流程梳理的结果,仅是一套做事儿的静态规则,需要明确流程的触发、结束方式和条件,包括事件状态、时间触发两种方式,结束也需要明确可结束的条件与控制责任,这时候,流程就具有了活力。
02.可持续的内控取决于设计的规范化、标准化
嵌入流程的控制,本身也是流程活动,区别是内控本身并不创造价值,不合理的控制,甚至还会影响流程的效率。内控不是越多越好,强调内控,不是内控泛滥化,而是在必要条件下越少越好。
企业内控的设计是有技巧的,绝非完全依靠18项指引,就代表企业内控的有效性,与企业管理的规范性、IT工具的应用程度有关。譬如,若干年前,去办理车辆年检、医院缴费取药,甚至到政府机构办事儿等,一个个串行的窗口、审核流程,目前已经改变为一个工位或两个工位即可完成,一个道理。原因是信息化时代对复合型角色能力要求的体现,有些控制角色消失了。
流程中的活动,往往表现为两种形态:一种是串行形态,期间会产生活动间的交易成本,最好的方式,是将上游活动产出规范化、标准化,避免交易成本放大。另一种是拼图式并行形态,流程描述中体现的是产出要求的标准化,内控是对是否符合要求的审核,而不是拼图后的结果控制。
内控因风险可能而产生,具体功能有侧重,体现的是局部性,而不是流程的全局性,反映流程全局性的控制活动,是流程责任控制,因治理责任而存在,而不是风险。
企业中的内控,除专业能力控制之外,基本都可以做到规范化、具体化,甚至标准化。譬如,战略管理部门的方向符合性内控,必须有方向范围的界定为前提;质量部门实施的阶段节点质量评审,必须有明确的质量控制要求为前提;财务部门的审核必须有明确的资金支出条件、规定为前提;制度管理部门的制度规范性内控审核,必须有制度建设的管理规范与要求为前提;采购部门进行的选型控制,必须有优选目录为前提┉┉
有一点例外,法务部门的合法合规性审核,属于专业能力补充型控制,很难从控制角度做到标准化。所以,法务部门对于合同审核、重大投资审核,总是设计一些标准化模块,希望业务部门套用模块,降低合法合规的审核压力。作为内部控制,强调的是控制的规范性,可以对法务审核意见的输出进行规范,譬如,法务内控的结论,必须标明依据来源,而不是靠感性认识下达结论。
03.结 语
企业开展任何一项工作,解决有无是一回事儿,注重效率、应用效果是另一回事儿。内控程序手册建设的有效性,取决于三个方面:一是管理者的态度,二是对工作的追求,三是设计者对内控本质的理解、能力与责任。
企业中,每个部门都有一个很难否认的特点,人们更愿意接受清晰的、具体的、有成就感的事情,不愿意去做那些“棘手”的事儿,前者抢着做,后者赶着都不愿意做。就好比当年在某央企工作时,谁都知道风险管理、内控评价的第三道防线是谁,但十年都未曾做过一次,却年年不缺失对内控评价、内控审计的区别讨论一番,本质是不愿意做,或者根本做不了。在企业中,知不代表行,从来就没有知道但没做的道理。
企业中,产品是设计出来的,成本是设计出来的,管理更是设计出来的。内控是管理的一项职能,内控的有效性、持续性也是设计出来的。为什么有些企业在短时间内为拥有一套手册而沾沾自喜,但一年后却苦于不能落地、缺乏持续性而遭受管理者的质疑?问题在于,设计者把“简处”留给了自己,却把“繁处”留给了执行者,通过流程活动、控制活动的描述,就可以找到答案。