一、“内控强度”是内控建设中的重要问题
第三方咨询公司在协助企业开展内部控制体系建设时,基本都是依据《内部控制指引》中的十八项指引要求,逐条根据企业所处的行业特征以及经营特点,识别风险点并建立相应的风险控制措施,这种程序与方法其实并不是很难。
但是我们在帮助企业建立内控体系时,其实遇到的最大问题倒不是风险识别与风险控制方法与手段问题,而是一个风险控制程度问题。所谓的风险控制程度,也就是说为了对存在的风险进行有效控制,防范风险的发生,到底企业需要付出多大的努力、占用企业多少资源、为了风险控制到底要付出多高的控制成本。
应该说,企业的任何经营活动都存在风险,并不存在完全无风险的经营决策活动,一个普通人走在马路上还会被路边的广告牌砸到呢,何况一个企业那么复杂的经营活动。但是如果希望通过内部控制完全规避企业存在的风险,不但是不可能的,而且即使能够做到,也会极大的占用企业的资源成本,同时还会由于无限制的风险控制,影响企业的经营决策效率,甚至会使企业失去很多的发展机会。
与内部控制不同的是,在风险管理的理念中,并不强调风险控制,而是强调风险经营,因为每一个风险的对面对应的都是机会,勇于面对风险的企业才会赢得更多的机会,风险越大收益越大。只不过我们在风险管理的理念中希望通过在“风险”与“机会”之间实现一种有效的平衡,实现风险管理的利益最大化。而这种所谓的平衡,就是本文中所讲的“内控强度”问题。
今天,我们就结合中天华溥管理咨询在内部控制体系建设中的案例经验,来详细的谈一谈,到底如何有效的设计企业的“内控强度”问题。
二、企业内控强度的整体框架
如果从通俗意义的角度来理解,内控强度就是企业在各个管理环节,针对风险活动所采取的内控措施的复杂程度,这种内控措施越复杂、越繁琐,内控强度越强,对风险的控制就越有效、风险发生的概率就越低,反之亦然。
在这个理解的基础上,中天华溥设计了影响内控强度的整体模型如下:
在上图“企业内控强度影响因素”中,可以简单的分为两个部分,红线以上为前期影响因素,红线以下为后期影响因素。
1,风险识别的范围
应该说,从之前的“财务内控”阶段发展到当今的“全面内控”阶段,风险识别的范围对于企业内控强度的影响已经不大了。所谓风险识别的范围,也就是说企业到底对公司内部的哪些领域开展有效的控制,那么这个范围的大小就影响了内控的强度。有些企业只对管理决策领域的风险控制比较关注,因此就不会去主动识别经营层面的风险,因此这类企业的内控强度就相对较低。
但是随着《全面内控指引》的官方文件发布,准备IPO的企业或者国有企业,都要根据内控十八项指引的要求逐条对照开展风险识别,因此风险识别的范围已经无形中趋于一致,只不过有些企业会在不同的决策与经营领域有所侧重,相应的影响了内控强度。
2、风险认定的标准
在风险识别的过程中,对于风险认定的标准极大的影响到企业的内控强度。一般来看,企业的风险点识别是通过风险调查问卷的方式开展的,通过下发风险调查问卷,企业内部的人员会通过打分确定,到底公司存在哪些风险点,而不同的企业文化、不同的战略导向、企业高层的倾向性,都会影响到打分的结果。
在中天华溥管理咨询集团的咨询案例中,会发现处于同一行业、规模类似的企业,在风险点的识别上差异性很大,具体表现就是识别出来的风险点数量的差异性。而从内控是针对风险的控制措施而言,风险点数量较少的企业内控强度相对较低,而风险点相对较多的企业内控强度相对较高。
3、风险评估的级别
在风险点识别后,就要开始风险评级,也就是将所有的风险点进行评级进行分类,其中重大风险需要重点控制,控制手段较强;一般风险需要一般控制,控制手段较弱。在风险评级中,虽然会有风险发生的频率与风险发生的影响程度两个评价维度,但是只要是涉及到评级,必然存在着某种人为的因素掺杂其中。
在一些企业中,重大风险的数量较少,绝大多数风险的评级较低,也就是在这些企业中风险主要集中在一般风险,并不会要求企业提供更多的控制手段,因此内控强度也就会相应的降低。需要说明的是,风险评估的级别确定,与企业所处的行业以及企业的风险文化密切相关。一个喜欢拥抱风险、利用风险创造机会的企业,往往就会放低风险评级的标准。同样,一个投资型企业与一个生产型企业相比,对待对外投资的风险认识也会是截然不同的。
4、审核链条的长短
对于风险的内部控制,其实说白了大多数是通过审核来完成了,这个观点无论你是否同意事实其实大多如此。无论是专业部门的审核、部门领导的审核、外部专家的审议论证、通过多轮试验试用的方式,其实都是对一项风险通过审核审议等来实现的风险可控。
那么审核链条的长短就明显体现出内部控制强度的高低,如果为了控制一个风险,无限制的延长审核链条,自然会无形的降低风险发生的概率,不同的审核环节会考虑到不同的风险发生的可能性,从而开展有效的控制,甚至通过终止该活动来规避风险。
5、审核级别的高低
在审核的程序中,最终审核环节所处的职务级别也有效的影响了内控强度。在一个组织内部,一般职务级别越高的员工,拥有对企业业务活动的更深刻的理解。因此,审核人的职务级别越高,就越能有效的发现级别低的员工所不能发现的风险,并且可以提出更为可行的风险控制措施。
而审核人的职务级别越高,也就代表着企业内控强度越强。在一些规模不大的企业中,很多经营决策活动最终的拍板决定人都是企业的最高领导人,其实就是这个道理。当然我们需要说明一点,审核级别并不是仅指职务级别,专业级别在很多的决策事务中发挥着比职务级别更高的内控强度。
6,审核标的的高低
对于审核标的,也是决定企业内控强度的重要标准,审核标的越低代表内控强度越高,也就是说更多的经营决策事项要进入到更为复杂的审核监督程序,处于受控的范围之内。
审核标的主要从财务与级别两个方面来分析,财务主要是金额,比如说款项支付的金额、采购标的的金额,有些企业100万的采购额才需要通过招标采购,而有些企业30万的采购额活动就需要通过招标决定。
审核级别主要是对员工管理的决策权,比如一些大企业,只有中层企业领导级别的招聘才需要总经理批准决定,而将基层员工的招聘权限全部下放给部门负责人,这样的审核级别提高会大幅度降低内控强度。反之亦然。
三、企业如何合理的确定“内控强度”
除了内控程序与方法的建设,确定“内控强度”是企业内控体系建设中的重要部分,而且这是需要企业决策的部分,外部的第三方机构只能提供一些参考标准,并不能越俎代庖。在这里我们根据经验只能提供一些参考性因素:
1,内控强度要平衡成本效率因素
首先这绝对是一句正确的废话,任何管理活动都需要平衡成本效率因素,难的是如何确定具体的成本,如何准确的判定未来的收益,这是需要经验的。
2,内控强度与企业的规模相适应
企业规模越大管理事务越多,也就是最高层领导面临的决策越多,根据领导者精力就需要将一些事权下移,此时就会相应的降低内控强度,反之亦然。
3,内控强度是需要不断调整的
应该说,从来没有合适的内控强度,企业一定要在内控体系的落地实施中,不断的根据经营决策情况,适时的调整内控强度,发现哪里问题比较突出,那么相应的增加内控强度,哪里影响到正常的经营了,相应的降低内控强度。这都是内部控制管理部门与业务部门不断沟通、讨论,最终形成新的决策的过程