控制活动
控制活动是对风险的防范措施。风险明确以后,就要建立相关的控制活动。但是,因为内控是有成本的,所以控制活动的采取与否取决于风险的大小。企业在采取每个控制活动之前必须要对风险进行评估,从风险的频率和后果两个维度对风险的大小给出一个判断结论,然后针对性地采取措施。比如有些企业,它采取零库存的管理模式,那么核对库存这个活动就没有必要了,因为它的风险非常小;同样,如果某个企业的供应商都是国际知名的大厂商,那么验收就可以相对的宽松和简单一点。
在明确了内控措施之后,就要编制企业的内控手册。内控手册就是把流程和制度中的控制性动作提炼出来,告诉企业管理者哪些是关键控制动作以及为什么要控制风险。所以内控手册本质上和企业的流程、制度是一一对应的,只不过流程和制度描述了企业的所有动作过程,而内控手册不关注效率性动作,它只囊括了控制性动作并总结了其原因、效果和要求。
内部控制体系
内部控制本质是一种从目标到风险到控制的管理思路。反观国际上的几个内控框架,无论是COSO委员会1992年颁布的五要素框架;还是之后2004年颁布的八要素框架,虽然他们用了“内部控制”和“全面风险管理”两个不同的概念,但他们体现的都是从“目标”到“风险”再到“控制”的管理思路。这种思路和框架可以融入企业所有其他的管理体系和管理制度中。这些体系其实在构建中也体现了内控和风险管理的思路,只不过它们的目标出发点可能只是针对某些特定的目标。比如ISO质量管理体系的目标是生产质量,然后在这一目标下识别影响质量目标的风险,并进而采取管理措施,编制操作程序,这体现的就是内控的思想。
当然,由于企业的业务、规模、人员在不断地发展变化,所以企业的内控体系应该是一个动态的过程。因此,一般来说,企业每年要做两件事情,第一,风险评估;第二,内控评价。这两个概念如何区分?我们每年要做的第一个事情是风险评估,你的风险有没有发生改变,你风险有没有增加或减少,风险的重要性水平有没有发生改变,这是风险评估。第二个事情才是内控评价,即判断企业对风险的控制措施是否完备且有效(设计有效性),这些措施在操作上是否被严格遵守(执行有效性)。
在整个内控评价中,所有控制性动作的不足就形成了内控缺陷。内控缺陷和风险的概念要区分开来,风险是影响目标实现的可能性,而内控缺陷则是这个控制措施本身存在的不足。前者是客观的事实,后者是主观的不足。比如,我们常说的出纳领取银行对账单,这就属于内控缺陷,因为它是控制活动的主管不足,它对应的缺陷是出纳人员挪用资金而不被发现,这是出纳人员道德风险的客观存在。所以,内控评价就是寻找到企业的内控缺陷,进行修改和完善。
综上,企业的内控建设以流程为基础,以目标判定、风险识别、控制措施提炼为步骤,经历了一个完整的从“为什么”到“是什么”再到“怎么做”的逻辑实施过程。企业只有将内部控制作为一种管理的思路和工具融入到日常的经营和管理中,才能真正地保证内控的落地,在实现效率和风险平衡的基础上,真正提升企业的管理水平,并最终提高企业的经营效益和价值。
(完)
文 高垚
关注读览天下微信,
100万篇深度好文,
等你来看……
