在内控的建设和实施中,企业的困惑也越来越多:到底什么是流程?怎么来划分自己的核心流程?风险、内控缺陷和损失的概念有什么差异?什么叫内控手册?内控手册与以往的管理制度又是什么样的关系?内控体系与其他的管理体系有什么异同?我们将内部控制理解为一种从目标到风险到措施的管理思路。下面我们将就这一框架思路中的几个问题进行深入讨论和剖析。
业务流程详解内控作为一系列的控制活动,存在和贯穿于企业各个流程,因此首先我们需要对业务流程做一个剖析。什么是流程?流程就是企业为了完成一定的业务目标所采取的一系列动作的集合。这里我们强调两个名词:业务目标和动作集合。
每个流程都是有一定的业务目标的,它是这个流程所要达到的预期。在这个目标下,我们要安排若干人员采取一系列连贯衔接的动作,即每个人做一个或几个动作,这些动作环环相扣,串接起来就形成的一个动作链,这就构成了一个业务流程。比如在采购业务中,我们的业务目标是为了将所需要的东西买回来,于是我们要进行(1)请购、(2)核对库存、(3)批准采购、(4)咨询比价、(5)确定供应商、(6)合同会签、(7)签订合同、(8)收货、(9)验收、(10)付款等一系列动作,从而形成采购流程。
每一个流程步骤的全部描述就构成了制度,所以制度既是对现有流程的总结,又是对流程的约束和规范。
在构成企业流程的动作中,我们可以分为两类属性:一类称为效率性动作,另一类称为控制性动作。每个流程中都同时包括了效率性动作和控制性动作。比如在上面描述的采购流程中,(1)请购、(5)确定供应商、(8)收货和(10)付款这四个动作就完成了采购的业务目标,因此他们属于效率性动作。
而剩余的动作是为了防止流程中可能出现的问题所采取的额外性活动,是属于控制性动作:比如(2)核对库存和(3)批准采购是为了防止多买货物,造成数量的积压;(4)咨询比价是为了保证采购价格的合理,防止买贵了;(6)合同会签和(7)签订合同是为了防止采购中出现的法律纠纷;(9)验收是为了防止采购中的品质问题。
效率性动作和控制性动作本质是一对矛盾体。效率性动作强调业务的尽快完成,因此它的目的是企业经营效率的最大化,但是带来的后果是企业经营风险的最大化,与此同时,内控本质就是对这些控制活动进行选择的过程。
控制目标、风险以及控制活动企业做任何一个业务都有业务目标,还是以采购为例。采购的业务目标是为了保证能够买回企业所需要的物资。而这个业务目标下,又可以分为四个具体的控制目标,即价格便宜、数量合适、质量上乘、供应及时。
每个流程可以从以上属性中选取若干个主要的进行具体控制目标的提炼。比如采购中的数量目标属于准确性;质量目标属于有效性;价格目标属于合理性;供货时效属于及时性。得出了这些具体的控制目标,我们就可以有效地进行流程的风险分析和控制活动分析。
企业要采取控制活动,必须要有针对性,这个针对的对象就是风险。那么风险是什么?风险是影响企业控制目标实现的不确定性。这里我们强调三个概念:控制目标、影响、不确定性。
企业的风险无处不在。按照国资委的分类,风险包括了战略风险、市场风险、法律风险、财务风险和运营风险。
控制活动是对风险的防范措施。风险明确以后,我们就要建立相关的控制活动。
内控手册本质上和企业的流程、制度是一一对应,只不过流程和制度描述了企业的所有动作过程,而内控手册不关注效率性动作,它只囊括了控制性动作并总结了其原因和要求。
