自2008年财政部等五部委颁布《企业内部控制基本规范》及其配套指引以来,很多上市公司和大中型国有企业已经初步完成了内部控制体系的建设:从流程划分到风险识别,从制度完善到手册建立,每家企业都做得不亦乐乎。但是随着内部控制在各个业务层面的推进和深化,企业各级人员对内部控制的困惑也越来越多:内部控制所指的流程到底是什么?流程应该涵盖哪些内容?风险、内控缺陷和损失之间有什么差异?如何进行风险识别?到底什么叫内控手册?内控手册与以往的管理制度又是什么样的关系?内控体系与其他的管理体系有什么异同?
上述问题对企业进行内控的深入推进影响重大。笔者认为企业的各级人员只有把这些概念和关系梳理清楚,达到概念上的统一,才能保证内控建设的顺利实施。那么什么是内控呢?笔者认为内部控制应该理解为一种从目标到风险到措施的管理思路,如图。
现在笔者将就结合这一框架思路,对前文的几个问题进行深入的讨论和剖析。
业务流程
内控作为一系列的控制活动,存在和贯穿于企业各个流程,因此首先需要对业务流程做一个剖析。什么是流程?流程就是企业为了完成一定的业务目标所采取的一系列动作的集合。这里我们强调两个名词:业务目标和动作集合。
每个流程都是有一定的业务目标的,它是这个流程所要达到的预期。在这个目标下,我们要安排若干人员采取一系列连贯衔接的动作,即每个人做一个或几个动作,这些动作环环相扣,串接起来就形成的一个动作链,这就构成了一个业务流程。比如在采购业务中,业务目标是为了将所需要的东西买回来,于是需要进行(1)请购、(2)核对库存、(3)批准采购、(4)询比价、(5)确定供应商、(6)合同会签、(7)签订合同、(8)收货、(9)验收、(10)付款等一系列动作,从而形成采购流程。
与流程相对应的是制度。什么是制度呢?制度本质是对流程的一个书面化的表述。有了流程以后为了将流程在公司内部显性化,需要用文字、图表(流程图),表单等把它一步步全部表述出来。每一个流程步骤的全部描述就构成了制度,所以制度既是对现有流程的总结,又是对流程的约束和规范。凡是无法清晰描述或者刻画出流程的制度都是坏制度,都是多余而无用的制度。
在构成企业流程的动作中,有两类属性:一类称为效率性动作,另一类称为控制性动作。效率性动作是指为了完成这个业务所必不可少的一些动作;控制性动作是流程中后续加入的防范风险的动作。每个流程中都同时包括了效率性动作和控制性动作。
比如在上面描述的采购流程中,(1)请购、(5)确定供应商、(8)收货和(10)付款这四个动作就完成了采购的业务目标,因此他们属于效率性动作;而剩余的动作是为了防止流程中可能出现的问题所采取的额外性活动,是属于控制性动作:比如(2)核对库存和(3)批准采购是为了防止多买货物,造成数量的积压;(4)询比价是为了保证采购价格的合理,防止买贵了;(6)合同会签和(7)签订合同是为了防止采购中出现的法律纠纷;(9)验收是为了防止采购中的品质问题和数量短缺。
效率性动作和控制性动作本质是一对矛盾体。效率性动作强调业务的尽快完成,因此它的目的是企业经营效率的最大化,但是带来的后果是企业经营风险的最大化;相反控制性动作是为了防范风险,因此它的目的是企业经营风险的最小化,但是同样带来一个后果是企业经营效率的最小化。我们经常说内部控制是有成本的,这个成本就是来自于控制性动作的后果:流程增长后带来的人力成本、经济成本、时间成本的增加。
(未完待续)
文 高垚
关注读览天下微信,
100万篇深度好文,
等你来看……
