国资委正式启动中央企业开展内部控制建设始于2012年,至今已近14个年度。
企业内控建设的成果是什么样子的呢?参差不齐。有效还是无效,我不加置评,因企业开展内控建设的不同动机、方法而不同,只要看看企业的内控运作与建设是否处于一种“周期性反馈循环状态”,看看内控主管部门的例行工作构成,就能得出结论。
01.内控建设要对齐可监管、可评价需求
2024年至今,加强企业穿透式监管,成为一个热门话题,很多人从技术、方法的视角进行了研究。我觉得,单纯对穿透式监管进行研究,并没有多大的意义,需要放大到一个更大的框架内,才能找到有效、有意义的监管与监督方法。
因为,如何实现穿透式监管?并不完全在于采用多么先进的“大数据、智能化”技术,现有IT技术的成熟性,实现起来不是什么难事儿;也不在于企业需要建立多么复杂的监管监督体系,或实施多么频繁的监管监督活动,而在于企业内部基础管理的完善性,对监管有效性的真实支撑。其中,就包括内部控制的建设成果及应用。
缺少这个条件,监管监督、先进的IT系统,也只不过是日益频繁,甚至对企业运营效率、员工积极主动工作产生影响的显性化手段。其次,还会出现一个现象:把出现问题的干部、员工送进去,毁掉他的人生与家庭。
为什么这样讲呢?取决于企业对“监管、监督”的定位,是让他们发挥保护干部员工的作用?还是把问题责任者送进去为目的。企业把多少千辛万苦培养出来的干部员工送进去,不是现任管理者“魄力或业绩”的反映,而是彰显企业管理落后、价值观缺失的“烙印与耻辱”。
因为,如果企业基础管理缺失或薄弱,无论是IT,还是企业的内部监督,只能用“共性”的国家法则、来自于有关部委的约束政策,作为衡量问题的基准。一旦发现问题,实质已经构成了违法违规违纪事实,结果只能是“毁掉他”。
就好像我们常见的合规管理做法一样,只是把外部法则、政策要求推送给员工,希望让他们知后而行,是天真的理想化做法,一旦出现违规问题,就会遭受外部监管机构的“惩处”,所以,谈不上对“合规风险”的管理。
最有效的方法,是把外部法则、政策要求做到的、可衡量可评价的外部合规要求,转化成企业内部流程中的“活动、或可统计的数据、或专业控制”等,才成为确定性,本质就是用内部控制替代外部控制,是企业规范管理的反映。
完善的基础管理,形成了在满足国家法则、政策制度要求情况下的企业内部管控基准,同样构成了支持监管、监督有效的参照依据。在没有改变监管监督定位、功能的情况下,发现的问题,往往尚处于“内部违规”状态。这也是我谈合规管理,与很多人观点和具体做法不一样的地方。
虽然发现的内部违规问题,也可能会触发企业实施内部追究责任的基准,但截断了“问题进一步恶化”的风险趋势,反映在包括但不限于道德层面的各种经营、管理行为,自然发挥了对领导干部员工的保护作用,本质是对“问题趋势风险”实施分段管理的体现。两种不同的结果,就是全局与局部、利益与损失平衡的反映。
怎么理解企业的内部控制体系呢?企业从来没有“独立于管理体系”之外的内部控制体系,而是管理体系的有机构成。所以,我在一些文章中总讲:控制是管理的一种职能;狭义的内部控制,不足以构成系统;内控、风控,没那么简单,更不是通过简单复制转化出来的产物;体系的有效性,首先体现在是否具备可持续性等等。
孤立化看待内控,企业的内控建设就会陷入“为建内控而建内控”的漩涡,会纠缠于风险的枝节末梢,甚至出现每项工作都有风险的认知怪圈。不仅很难形成与企业具体环境的契合而难以真实落地,还会对员工的工作效率带来影响。
怎么理解基础管理呢?相对内部控制建设而言,支持内控有效的条件,即基础管理。比如,技术管理要预防核心技术流失风险,必须拥有“核心技术、关键技术、一般技术的分类与技术清单”为条件;战略管理要预防投资项目偏离主业方向的风险,必须有核心、关键、扩展业务的划分与明确的定义及内容为条件;采购要预防供应链风险,必须有合格供应商清单为条件┈┈
内控的有效性,不单反映在“流程”及控制活动的描述,也不在于履行控制责任的角色,给出个“拟同意或无意见”的结论,而在于支持控制效能的“基础管理”,是很多企业内控建设产出无法正确发挥作用、不可评价的“根源”。
富有效能的内控建设产出,才能发挥预防风险的作用,也是实现可衡量、可追溯、可监管的基准。这样的结果,既提高了管理的效率与效果,也会降低监管的“频率与难度”,提高监管的有效性。
我讲的降低监管频率,并非否定监管的必要性,而是对大部分员工工作产生影响的频率。为什么我总讲“产生影响”呢?因为缺乏可监管度,总会与员工产生“沟通、了解、核实”,时间是不可逆的,那还不影响价值创造吗?
相对管理而言,富有效能的“控制活动”,既是管理要素,也是支持管理体系达成目标的“保证或手段”。
无论是相对内控的基础管理、流程中的控制,还是反映为控制活动的监管与监督,都需要拥有必要的基准、例外事项的管控程序为条件,才具备可管理、可监管的基础。这里的基准,不是产生于“控制、监管”本身,而是产生于管控,是支持管理设计可行性的“核心要素”。
我想象的“穿透式监管”,是什么样子的呢?由5部分构成:一是直接管理者对下属员工行为的合规监管,反映为日常管理;二是职能管理部门对职责范围内执行过程或结果偏离的控制,反映为管理中的监管职能;三是离线型、范围化的内部审计,反映为验证管理有效性、合规性的专业型监督;四是发挥教育警醒、发现违规线索并组织调查、实施违规责任追究的监督职能;五是把人工控制活动、执行基准模型化并嵌入IT系统的“控制”能力。
五部分的协调性、有效性,足以构成实现“穿透式监管”与预防风险的能力,然后才具备导入“智能化穿透式IT监管工具”的条件。
客观讲,我并不赞成企业导入“大数据化的扫描式穿透监管工具”,公认的世界一流企业,极少有这样的做法。第一,规则设计的敏感,会造成对员工的困扰与打击而失去灵活性;第二,设计的宽容,就成了员工熟视无睹的“工具摆设”,还给员工造成“背刺”的不信任感觉;第三,企业花费资金导入“智能化监管工具”,就有降低人工监管队伍规模与成本的必要性,否则,不构成国有资产的浪费了吗?
对齐穿透式监管需求,构成了内控建设、人工监管与监督(是控制活动)的功能要求之一,是内控建设建立多维、协同、系统化动态反馈思维的一个输入项。
我讲的这一段很长也很详细,这是什么呢?是国资委要求企业董事会提上议事日程的监管体系方案的实现思路,再设计也跑不出这个圈。但是,不要认为明白了道理就能实现,基础管理是富有挑战性的“埋在下面”的那部分存在,否则就不称其为基础了。
02.从防风险的角度界定内部控制建设范围
这一段的讲述,是笔者长期从事企业中不同职能的管理和切身实践、学习,以及长期咨询所形成的心得。今天分享给大家。
(1)企业管理中常见的错误
企业常犯的错误,无外乎两种:一是目的不清晰而提出一个期望的具体做法,而不再思考立题的正确性,是管理中最大的忌讳;二是因急功近利而追求速成,任何管理都是在构建一套稳定、高效的秩序,本身就是因“目标期望、防控风险”的目的而产生的成果反映,没有秩序,何谈控制?
比如,要启动内控建设,就直接实施流程梳理、描述控制活动等工作。要做出管理手册,不再思考手册的作用、结构及可用性。要落实合规管理办法,就启动合规管理体系建设,而不再考虑整体、各体系之间的“关系与接口”┈┈。失去整体的管理体系,本身就不存在可持续性。
如果我说企业中经常出现的集“内控、合规管理、风险管理、法务、审计、监督”相结合的“几位一体建设”设想,本身就有失正确性,你相信吗?不一定。因为人们接受了太多的类似观点,因为这些职责大部分都归一个部门主管,而不再考虑想法的“合理性与可行性”,因为很多企业的主管部门,也希望找到一条一劳永逸解决问题的路径,而不再考虑完成之后的作用与意义┈┈
(2)从“整体”规划管理体系
任何一个企业级的职能管理体系,都会从“整体”开始规划。只要是整体,都不是“认知中的直观化独立职能”所能代表,是由分工决定的结果。
分工是为了提高“专业化”程度,降低管理的难度。但是,分工不是目的,只是整体运作过程中的一个“中继”,后半段需要实现集成,就是明确化、规范化的协同。
所谓的“几位一体化建设”,不是笼统化描述,而是要在具体环节、事项,实现“共享的标准接口”,其本质就是集成,。
怎么理解管理体系的“整体性”呢?我不想讲概念。体系、管理体系二者的内涵相同、外延不同。管理体系是体系的构成,体系有横、纵向之分,纵向分为管理体系(包括保障机制)、运作体系两层。其中,管理体系作用于运作体系,运作体系是运用管理体系思想、方法、工具并产生功能、绩效或成果的过程。
企业中任何一个“整体性”的体系建设,都包括4层产出:一是管理体系手册,二是体系程序手册,三是作业说明书,四是模板、表单等体系工具。只不过三、四与程序紧密相关,从而结为一体,但并不意味着不存在层次。
需要注意的是,企业体系管理中产生的“制度”,不代表管理体系,只是保障体系有序运作的规则手段,是管理体系中的“规则工具系统”。
如果理解到这个深度,就知道企业中很多制度成为“摆设”的原因:没有勾勒出“体系”这个整体的可视化基础,制度就会因可见问题而迷失方向,失去应该发挥作用的“可理解、可认识对象”,就变成了基于管理要素的管理要求描述。这就是企业即使拥有大量制度,也不能代替“狭义内控建设”的原因。
认识到这一点,你可以去分辨两件事儿:一是流程专家对制度、流程的关系表述是否正确;二是因内控手册的无效而不得不依靠制度去进行内控评价的做法,是否具有真实意义。
其中,管理体系要保持完整性、一致性、一贯性,即管理体系的“思想”不能在其它任何一个管理体系中得到反映,否则,就出现了“交叉、重叠”问题,导致企业运营效率低下、矛盾重重,自然就不存在管理的有效性。重复、交叉,是产生矛盾、制约效率的最大障碍。
试想一下:第一,内控是以控制风险为目的而产生的一个“类群”,是确定的、相对稳定的、重复运用的风险解决方案,与管理风险有关。第二,合规管理,是以防控“合法合规风险”为目的而产生的管理,从合规风险的角度,法务是为防控法律风险而采用的手段。
但是,内控作用的风险是泛化表述,与风险管理中的“风险”类似,其中包括了“合规风险”。所以,内控建设是运用风险管理思想、旨在控制风险的一种“确定的、可重复执行的风险解决方法”。
那么,对那些无法通过“确定、重复措施”解决的风险怎么办呢?所以,才产生了“风险管控”的定义,管控的对象是“人从事工作的风险”,从而找到对应的风险管控方法,我们不多讲,但其有一个显著特点:对应“管理决策”。
风险管理思想的运用是有逻辑顺序的,对选择承担的风险,解决方案首选“控制”,然后才产生了监管与监督,在内控无法解决的情况下,选择“风险管控”。
我们看到了什么呢?经过切割之后的合规管理,还剩下多少内容呢?需要结合“合规管理办法”的理解,去找到他们的“归属”,去形成“呼应”。那么,你现在还认为只有“内控评价、缺陷整改与完善”是实现内控管理反馈闭环的接口吗?是,但不是唯一的。
你还会认为“内控、合规管理、风险管理及其他职能”几位一体建设的说法,具有合理性吗?还会认为你见过的内控手册,是那样吗?
(3)企业内控框架是风险管理框架的延伸
什么是框架呢?是一种相对稳定的、可共享、可扩展的构架,都是通过分类实现。分类有3种方式:一是面向对象,是产生管理方法、工具的本源;二是面向功能,功能由活动决定,是体系运营设计的需求源;三是面向活动,是提高效率的需求源。
第一种,面向“对象”的分类,是为了把模糊转变成清晰,提高可理解、可辨识、可管理度。所以,内控作用的风险对象需要进行分类,否则内控主管部门不存在“与其他部门进行沟通、提供支持服务”的可能。由于可管理,才能产生原因、方法,才能展现管理的支持与服务能力。
对企业而言,内控管理往往是一个职能,主管部门要履行管理职责,就需要产生至少3项内容:一是内控管理手册;二是企业级内控环境;三是内部控制信息数据;四是制度保障。
其中,一、二、四是主管部门的职责,三是对内控建设产出成果的管理,通过PDCA实现,才能形成一个面向内控建设的“增长反馈回路”,以及一个面向内控完善的“调节反馈回路”,才能实现自驱型可持续。
只有这样,内控主管部门履行职责才能步入正轨,才能通过内部控制的“建设与完善”,促进企业管理的整体提升,而不是仅仅停留在培训、组织内控评价上。(未完,待续)

