让网站运营更简单
让搜索引擎更喜欢的网站
立即咨询
福利,定制网站送小程序, 名额有限,先到先得
最近有朋友希望谈谈如何提高内控体系的有效性有效性当然包括设计的有效性和执行的有效性可以说,以现有的模式,即使企业形成了内控手册,建立了通常见到的流程控制体系,定期开展了内控有效性评价,但要完全寄希望内控工作的成果,“真实”实现完整的内控体系的有效运行,仍有很大的距离。
01.影响内控有效性的因素包括哪些?那是不是意味着内控管理工作没有意义呢?不是,现有内控管理工作模式,最大的意义在于“警示”,反映于流程过程的了解和控制点存在的场景,能够为企业流程活动的员工发挥提醒作用,能够为新入职或岗位新人发挥借鉴、参考,了解流程过程的作用,已经非常不错了。
迄今为止,对大多数企业来讲,不考虑完成上级管理要求,或者需要上市而必须提供内控建设内容,能够真实得到体现的有效内控,往往反映在最微观的岗位层,即已经形成习惯或外部已经明确的,以组织、岗位分离为特征的控制领域。
这就意味着,把内控的重点置于这些已经达成共识的微观层面,其实是又一次重复的劳动譬如,规模化企业的会计核算与出纳的岗位分离,银行业资金出、入账的双岗确认,企业采购中的供应商导入与采购实施组织分离等等,有些是硬性要求,有些已经形成默认的规则,即习惯。
一套习惯的养成,本质是文化的作用但并不意味着提出一种“文化”口号,不厌其烦地阐述管理要求,通过工作检查、评价就能完全解决,而是依靠“责任”也就是说,流程控制仅仅解决了“路”的问题,能否按照规则去“行路”,则需要责任的落地。
培养责任感是多途径的,包括执行标准、绩效标准、严格依照绩效考核结果执行的薪酬、激励与罚则等等,这不仅是企业内控执行、制度执行、风控执行等等的环境,也是支持企业高效运营的环境,而支持这一环境存在的最基本条件是“人、岗、能、绩、效”的匹配,这就是企业内控环境中“人力资源”部分的本质。
对于世界一流企业,组织背绩效、每个干部、员工背绩效,绩效与价值衡量结果相关联,几乎是铁一般的共识和定律谈企业的内控有效性评价,不能仅停留于“内控评价”这一事儿,看一看控制岗位是否存在清晰的绩效指标,是否存在“责任”衡量标尺,控制措施是否遵从了SMART原则,基本可以得出一个企业内控管理工作是否有效的概要结论。
企业内控可以反映在很多方面,反映于从组织、部门到岗位的不同层级,但如果控制措施模糊且不可衡量,基本可以认定控制设计的无效或低效,构成了浪费从内控的意义或作用看,企业中高阶的内控风险要远高于低阶的内控风险,决定了内控管理的系统性,也决定了内控建设的复杂度和难度。
02.内控究竟是什么?对一个系统性产品来讲,控制很好理解譬如车辆有方向、制动、加速系统,构成了车辆的控制系统;运载火箭飞行中的点火、调姿、执行分离等过程活动,依靠的也是控制系统企业也有同样的道理,孤立的“控制”并不存在,需要与系统、组织、流程结合,控制才有存在的意义。
控制的目标不是“控制本身”,也不是“受控”客体,而是控制存在的场景目标,即流程目标反思一下美国的萨班斯法案,第302、404、906条款,对企业财报的公司管理责任、管理层对企业内控有效性评估、管理层的法律责任分别提出了
明确的要求和执行标准对监管机构而言,这些条款,构成了促进企业保证财报真实性的“外控”措施当然,“法案”中还有很多体现“外部控制”的其它条款对企业来讲,落实萨班斯方案提出的要求和执行标准,构成了企业的“合规义务”;建立内控体系,其中包括对几项条款要求的落实,本质是合规遵从,这就是合规管理与内控管理的“相通性”,也说明了内控建设是合规管理的构成部分;萨班斯法案明确的法律责任标准,是倒逼企业高管重视内控建设的力量。
外部要求构成了催生企业重视内控建设的推动力,企业强化合规管理、提高企业的运营效率、运营效果的追求,构成了企业强化内控管理的内生来源“效率、效果”既反映于结果,也体现于过程,由此,我们得出以下7点分析结论:。
· 坚持系统观、结构观、绩效观、可度量观,是构建完善的企业内控管理体系的基本条件;· 流程是体现内部控制的基本形式;· 流程绩效是引导内控设计有效性的基本出发点;· 被控活动是构成流程绩效风险的关键不确定要素;
· 流程控制(内控)是防范流程绩效风险的具体措施;· 具体、可衡量、可执行、关联性、时间限制是衡量控制设计有效性的基本标准;· 是否有直接的责任归属,是否有控制证据体现,绩效结果达成效果,是度量控制执行有效性的标尺。
03.流程控制设计常见问题01、02部分,是基于企业流程管理体系建设的前期分析、认识基础,企业开展内控体系建设,必须回归企业的现实流程是内部控制的承载体,这里的流程不是我们日常直观认识的“流程”形式,而是基于企业战略到行动路线的流程系统。
风险的分层、分级体现于组织决策、管理、执行等不同层级活动;内部控制体现于流程的分级,高阶流程承载的是高阶控制,低阶流程承载的是低阶过程控制,直至具体的作业流程中的岗位活动现实中,不少企业内部控制体系建设,依据的是内控规范的若干指引,指引是指导型参考而不是法定义务,其中提到的若干控制,是适用于所有企业的最基本参考标准。
企业开展内控建设,可以借鉴,但最终要回归于企业现实环境与需求各个企业的管理基础是不一样的,最常用的内控建设方法是从制度理解出发,把文字描述流程转化为流程形式,这是对制度流程化的体现这种方式的结果是,企业制度建设的基础和水平,决定了内控设计的水平;其次对制度理解的深度、宽度,决定了流程的层级和控制秩序的合理性;最后,对关键不确定要素活动的评估,决定了控制活动认定的多少和程度。
我们把常见的几个问题归纳为以下5点:(1)由于制度出于主管部门,缺乏流程全貌和结构逻辑,容易造成流程孤立现象,高阶控制丢失(2)把精力过度置于共识的微观层面,过度关注不相容岗位,疏忽了组织职能之间关联要素的不相容,即没有反映出内控环境中组织结构制约的本质。
(3)过度理解风险管理语言,假设条件下的不确定要素活动的可能状态表述不清楚,或者以概念性风险代替状态不一定必须冠以“风险”语言(4)把不同层级的审核或审批片面认定为控制,造成流程控制泛滥(5)控制措施缺乏度量标准,泛泛而谈,未遵从SMART原则。
04.内控建设如何提高有效性大型规模企业的建设错综复杂,企业中的问题,需要找到诱发问题发生的根因,从而采取措施置于企业内控环境方面的因素,是由企业管理基础水平造成,单从内控管理角度很难改善所以本节的讨论只局限于内控建设。
1.结合企业的定位、行业特征与发展方略,从企业实际出发,评估企业的一级风险结构,一级风险结构并非“战略、运营、财务、市场、法律”等风险概念结构所能代替,而是企业现实风险方向的反映2.结合风险方向,映射企业业务域,忽略企业现实职能机构的存在,理解与企业主要风险相关的核心流程,这些核心流程构成了内控手册的内容结构。
3.立足核心流程全景,依时序为主线,构建端到端的以“阶段”为特征的一级流程,一级流程中各阶段间一般包含着一级控制点,并对应相关组织,通常表现为“评审、评估、阶段验收、审批”等等,不同形式的控制,面对不同的风险可能。
针对一级控制点,搜集反映控制内容信息的具体规则制度,很多制度是由非流程主责机构建立,制度建立的目的是为了“阶段控制”4.以一级流程为基础,从流程“具体阶段”进行分析,搜集相关规则制度,“阶段”一般归集于某一组织或机构,回答的是“该阶段”“怎么做”的问题,对应的制度是该功能域的逻辑布局型制度。
反映在流程方面,则是流程的逻辑结构,即由三级作业流程构成的逻辑关系把每个阶段三级流程之间的逻辑关系布局出来,形成了一级流程的流程视图,流程视图是流程逻辑,很多时候不反映内部控制,但却是企业内控建设不可缺失的二级全貌。
5.对作业流程绩效风险进行评估,由于企业内控建设的外延远远小于“流程管理”工作的内容,只是把流程作为载体进行分层分析,所以,可以忽略掉流程绩效风险不高的三级作业流程,只对重要流程进行梳理,由此构成了该业务域(一级流程)下的三级作业流程目录,构成了具体作业流程控制的索引。
6.作业流程梳理中,需要根据具体情况,从制度中查找控制点在大型企业中,一般反映为“上下级组织”中的组织业务界面,即纵向业务关系,其中对下级组织的管理要求和结果审查,即控制措施这是内部控制中的“二级控制”。
企业反映内部控制的流程,不可能向下级组织的具体流程无限延伸,下级组织的信息输出中,对控制要求的落实,就是本级流程内控建设的交界面,即边界7.面向作业流程进行梳理,以流程目标为导向,以假设为前提,评估关键不确定活动要素,即所谓的“关键风险点”,构成了流程控制中的“三级控制”。
在三级流程控制中,很多作业流程会反映为审批流,但并不意味着流程审核、审批都是控制点,需要遵循“前、后、目的、责任”原则进行确认,最容易出现的问题是“陷入活动泛风险化”、“审批、审核泛控制化”陷阱8.关于风险矩阵的作用,旨在陈述控制措施设计的针对性,没有必要针对假设条件下的“不确定状态”逐一对应,风险面向的是流程目标或绩效风险,从而降低设计的复杂度,但。
需要对应制度来源,避免流程内控与制度的不匹配问题发生9.关于内控评价标准企业中并没有所谓的“唯一共用的内控评价标准”通常情况下,在内控评价开展之前设计的“企业内控评价标准”,可用于面向结果的度量,属于事后的衡量尺度,一般可结合“责任追究”制度进行设计,从而实现评价、追责的衔接。
很多时候,企业内控评价会引入第三方评价,特别是专门的带有“监督”业务色彩的机构,往往用“共用标准”进行度量,从表象看很有说服性,但忽略了一个问题,很多度量标准是“参照的”,结果被用作了“度量是否有效的标准”。
企业的内控标准是设计出来的,问题是由谁设计,大多情况下并不是专门的内控评价机构设计,而是“内控设计者”结合流程控制梳理进行的明确,内控评价标准是“企业内控手册”不可缺失的构成内容05.结语全面理解内部控制,需要摆脱就事论事儿的思维,回归于企业顶层,渗透于企业运营与管理,。
控制是管理的构成要素,追求有效的内部控制建设,需要建立在系统思维基础上,遵循从整体到结构,从结构到作业的工作模式以上的论述是从管理的视角,探索企业建立内控体系的工作思路,但会遇到一个问题,强调了管理逻辑,如何处理微观的控制?。
微观的内控,很多体现于专业型特别强的领域,面向不同的行业,对特别强调的作业从岗位、职责上进行了分离,并在行业、不同性质企业中形成了基本一致的共识流程控制既不能疏忽高阶控制,也不能忽略微观控制的存在,否则就陷入偏颇,。
凡是偏颇的,就是错误的需要纠正的是,内部控制并非必须以流程的形式呈现,视企业的规模、发展的阶段、行业特点而确定,管理没有一成不变的模式,最适合自己的就是最好的管理规范的企业,在专业制度中会有非常明确的岗位分离规定,用表格、文字体现出来,同样可以发挥内部控制的作用,需要内控设计者根据具体情况,灵活设计。
通过建立名称对“最基本、微观的内控”
来源:作
本文图文来源于网络,版权属于原作者或网站,内容为作者观点,内容版权归原作者所有、本站不对文章中的任何观点负责,内容只用于提供信息阅读,无任何商业用途。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站(文章、图片、音频、视频)有涉嫌抄袭侵权/违法违规的内容,请联系管理员,一经查实,将立刻删除、维护您的正当权益。
扫一扫,关注我们
