今天我们来谈谈风险和内控的关系
首先,风险这个东西,是随着行动产生的,只要做事情,就会有风险
风险有三层属性,第一个比如海啸、火灾、车祸等等,这些代表了风险的第一个属性,就是风险的结果基本都是负面的,是不好的;
第二个属性是不确定性,就是说风险这个东西是不一定会发生的,第三个属性风险往往是指向未来的,也就是说是未来可能会发生的,让我们产生负面影响或者不好的事情。
举个例子,之前我们介绍了内控的三个目标,分别是财务、运营、合规。一家企业,如果制定了目标,那么肯定会有为了实现目标而采取的行动,比如说一家企业的目标是提升2019年度运营效率,那么这个企业就会为这个目标,采取相应的行动,比如第一、缩减研发成本;第二、缩减人员编制;第三、提高应收账款回款率等等,而因为有了这些行动,所以也会随之产生相应的风险
比如,缩减研发成本后的风险,可能企业新的产品和服务就会减少,缩减人员编制之后,之后会有人少了活没人干的风险等等。
所以总结一下,风险和内控的关系如下:
目标是起点,因为有了目标,配套的行动是实现目标的方式,而因为有了行动,所以产生了风险,而内控是风险的控制手段。
接下来,我们聊一个新的东西,COSO发布过一个《内部控制整合框架》,总结来说,就是下面这个东西:
风险控制与内控环境
这么看的话,就像我们经常玩的魔方,在最上面,其实就是昨天我们讲的内部控制的三个目标:财务、运营、合规;在这个魔方的侧面,其实就是一个企业的各个业务,可以有许多不同的经济业务;魔方正面的五个层面是这个内部控制整合框架的最核心的重点,这五个层面分别是:内控环境、风险评估、控制活动、信息和沟通、监督。
今天我们先了解,最下面一层,内控环境。
内控环境分为两个层面,个人认为一个是企业的组织结构,一个是企业的管理文化,包括企业的基本文化、人力资源政策、管理方法论等,这些都属于一个企业的内控环境。
关于第一层企业的组织结构,这儿主要有两个方面的东西需要分享
第一个在控制的理论中,叫做管理层凌驾;也很好理解,就是一个企业中的高层管理者藐视甚至不受既定的内控制度约束的行为,这个在很多企业都有这种类似的行为。
当然话分两头说,不能说为了避免出现管理层凌驾,凡事都要搞民主,这种也是不对的。
其实还是那句话,内部控制不是一个治百病的药,做不到药到病除的效果,一个企业在不同的发展阶段是要选择适合自己的公司治理体系,当然也要兼顾效率,并且在一个企业的发展初期,效率是要优先级于治理和控制的,在企业的初期,需要老板及管理层快速的决断,因为机会可能稍纵即逝,但是随着企业越来越大,业务规模越来越大,也越来越复杂,这个时候,控制和治理的结构和作用也就显的越来越重要了。
第二个需要分享的方面:在控制的理论中,有一个理论叫好的控制是分层的控制,比如说我有个朋友,他们的公司所有的费用报销,需要部门的经理先批,之后部门的总监批,然后财务费用会计审核,之后公司执行董事签批,最后由董事长签批。
在分层控制的理论里,可以把报销金额做一个分层,比如说1000元以下,1000到5000,5000到10000以及10000元以上,比如1000以下的由部门总监签批,财务复核,之后每一档增加一级审批人,这样可以让高级管理者的时间更加的高效,更多的把时间放入为企业创造更大价值的地方,当然每一档的金额要根据公司的实际情况而定;
这个时候,有人可能要说了,1000以下的报销金额高层管理者都看不到了,这样怎么知道有没有贪污舞弊的情况呢?
这个问题没有问题,但我这儿想说的是一个管理者的基本前提:
就是管理者做管理的一个基本前提是,我们要相信公司的员工人性都是好的,员工可以为了这个公司努力拼搏,当然在实际管理中,还需要内控体系为这个前提保驾护航。
第二点,一个高级别管理者,应该对一个企业或者一个部门一个项目有全面、充分、客观的认识,就是说,你应该要知道企业哪些是方面的风险会更大,哪块业务是重灾区,这个时候你要在这些地方更多的控制,有一些流程相对简单,风险水平比较低的可以稍微的少一些控制来解放自己。
关于内控环境中,企业基本文化、人力政策及管理方法论的分享,我们之后的内容再慢慢分享。
网友评论