分享建立实施内控管理体系的底层逻辑——内控管理三板斧,行业动态,内控管理师ICM

分享建立实施内控管理体系的底层逻辑——内控管理三板斧

2022-11-22 14:09:13

浏览量

一、内控管理底层逻辑关注的三个问题

内控管理要重点思考“为什么做内控”“重点做什么”“怎么做”等三个问题。

1、为什么做内控——促进内控目标的实现

这个问题回答做内控的目的，做内控的目的主要是促进经营合规，财务报告的真实、准确、完整，经营战略的落地。最终都要促进管控目标的实现，实现目标才是内控的最终目的。

2、重点做什么——通过风险评估识别内控重点工作

这个问题回答内控开展工作的内容、范围和领域，内控管理结合一个组织的实际情况，不可能眉毛胡子一把抓，必须抓住牛鼻子，找到内控管理工作的重点。内控管理体系中告诉我们一个工具就是风险评估，通过风险评估，识别风险点，制定风险应对策略，找到内控管理工作的重点内容。

3、怎么做——通过控制活动实现控制目标

这个问题回答内控活动的方法，在风险评估的基础上，找到了内控管理的风险点，采取适宜的控制措施，实现控制目标，回到了做内控的原点，达到内控目的。

总结：

内控管理三个问题，简单转换为三项工作

为什做内控——制定科学合理的目标

重点做什么——通过风险评估找到风险点

怎么做——采取适宜的控制措施控制风险

二、如何制定科学合理的目标——解决为什么做内控

科学合理的目标是内控的基础和前提，否则，方向偏差了，就会南辕北撤，有悖初衷。

常用的方法和工具：

1、SMART 法则

S（specific）指的是绩效指标要是具体的、特定的、明确的，而不能是笼统的。

例如某企业年终目标对于销售收入的界定，如果只把绩效指标简单地定义为销售收入则不够明确。因为销售收入有含税和不含税之分，也有营业性收入和非营业性收入之分；销售收入的确认方式也可能存在异议：是严格按照财务准则进行销售收入的确认？还是因为是内部绩效考核，所以可以按照销售合同的金额确认销售收入？

M（measurable）指的是绩效指标是可以衡量的，具体可以细化为可以被量化的或者可以行为化的，同时验证这些绩效指标的数据或者信息是可以被获得的。

例如某企业的总经理助理岗位同时肩负着一些公共关系维护的职责，因为这项职责是非常重要的，总经理希望在该岗位的绩效考核中加入这一指标。这时候，如果不加处理地直接加入这项指标，那么这项指标就是不可被衡量的，因为它不能够被量化或者行为化。如果要加入，则必须对这项职责进行进一步的关键行为分解或关键流程聚焦。

A（attainable）指的是可实现的，是绩效指标在付出努力之后能够被实现的，也可以理解为不要过高或者过低地设定绩效目标。

例如某企业所在的行业规模一直比较稳定，该企业近几年的发展也一直比较平缓。该企业前5年的年均销售收入增长率都在8%左右，且差异并不大。为了期望推动企业快速发展，董事会聘请了一位职业经理人，并且期望把该职业经理人的销售收入增长率指标定在20%。如果企业的经营管理没有较大的变化，市场也没有较大的变化，那么这项指标的设定就显得过高。其结果可能会造成拔苗助长，不利于企业的健康发展；也可能会让这位职业经理人在努力之后，还是达不成绩效指标而使其积极性受挫。

R（relevant）指的是相关性，意思是绩效指标对实现企业目标或战略有所帮助，同时绩效指标之间要具有一定的关联性。

例如某企业的人力资源部为了实现企业战略，制定了相应的人力资源规划。为了保证规划的实施，人力资源部制定的绩效指标中包含了组织员工读书会的次数、组织员工活动的数量等。这些绩效指标虽然对员工成长和员工关系构建有所帮助，但是与人力资源部门目标和企业战略目标的关联性并不大。

T（time-based）指的是有时间限制，就是绩效目标的实现要有一定的期限。

例如某企业的销售部门中的某销售岗位员工为了承接部门的年度销售任务目标，给自己岗位制定的目标是要新发展30名新客户。可是新发展的客户并不能实现马上成交。如果实现年终目标要求实际发生交易的话，那么发展30名新客户的目标应该在某个时间节点之前完成。否则，很可能无法帮助部门实现目标。

2、“三算一对”，目标一定要体现挑战性

（1）算压力

近几年，企业内外交困，人工成本不断上涨，企业要算自己的生存的压力，要测算盈亏保本点。盈亏保本点=固定成本÷毛利率。例如一家企业的房租、水电、社保等固定成本加起来要50万元，行业的毛利率50%，每月至少要有100万元的营业收入，企业才能不赚不亏。

（2）算预期利润

企业没有利润，员工没有安全感，企业无法生存，松下幸之助说，不赚钱的企业等于犯罪。一个企业家投入100万元，放到银行也有5%的固定收益，放在信托公司有7%的投资收益，投入资本机构或品牌基金也有19%的收益。企业预期利润至上要在15%以上。例如企业投入100万元，预期15%的利润，毛利率50%，收入要达到130万以上。

（3）算员工欲望

员工希望每年收入增长5-10%，倒逼企业利润必须增长，否则，难以留住人才。例如，员工希望每年收入增长5-10%，扣除固定成本和员工需求定，毛利率从50%降低到40%，在考虑老板15%利润，公司营收必须做到150万元。

（4）一对，对标杆

企业要想做第一，必须对标行业第一的企业。李嘉诚为什么是首富？他善于对标全球行业第一，例如进军连锁商超行业，要对标全球第一的连锁商超年报，对标三年增长率、毛利率、净利润率。只有对标才有前进的方向和目标。

（5）挑战性增长目标的重要性

因为较低增长目标在实现措施上，有传统的路径依赖和思维方法定势，难以突破。高增长目标要求摒弃传统路径依赖，必须创新思路和模式，才能创造新的增长记录，所以要敢于制定挑战性的目标。

3、制定职能部门的目标

职能部门的目标一直是管理的难点，难以量化。采取的方法：

（1）两张白纸法

部门的KPI来源：

一是一线部门在白纸上写出对职能部门的需求，排出先后顺序，取前5个。利润营销部对人力资源部提出招聘计划，招聘计划达成率就可以作为人力资源部的KPI。

二是上级领导在白纸上写出对职能部门的要求，排出先后顺序，取前5个。如分管领导对人力资源提出编制人力资源规划、培训计划达成，就可以提出人力资源规划完成率、培训计划达成率作为考核目标。

（2）程度定量评价法

职能部门能量化的尽可能量化，不能量化的用打分评价。

一是定性评价中藏着定量；

二是完成程度的不同作为评价的标准，作为阶梯层次。

案例如下图

4、拆分目标，找到完成总目标的价值链

仅有总体目标是无法落地的，要把总体目标进行拆分找到价值活动的子目标，这样才能落到实处。具体方法步骤：

第一步：明确组织总体目标。如2021年顾客满意度从85%提高到95%。

第二步：针对现状，查找问题差距，分析原因。如客户满意度不高的原因：一是上餐的时间比较长，顾客等待的时间比较长。二是相同的菜品口味不一致，有时候偏咸，有时候偏淡。

第三步：梳理分析业务流程。前台接待——厨师制作菜品——服务员上菜。通过分析问题出在厨师制作菜品这个过程，要重点改进。

第四步：层层分解目标。按照组织目标——流程目标——任务（动作）目标，进行层层分解。

通过分解找到采取控制措施的具体动作和任务，实施改进，从而提高顾客满意度。

三、实施风险评估——解决围绕什么重点做内控

风险评估指根据公司内外部环境的变化，结合内外沟通中所掌握的信息，对公司所面临的风险进行识别、分析和评价。主要流程包括：收集信息、识别风险、风险分析、论证、风险评价等。

1、收集信息

收集信息应当遵守下列要求：

（1）各类信息应当尽量取自官方渠道，以保证信息的真实性和可靠性；

（2）公司内部信息应当以公司文件、系统数据等为依据；

（3）应当注意收集最新信息，并保持信息的动态更新；

（4）信息应当全面，挖掘大量信息背后所反映本质问题，分析产生风险的原因，确定是制度缺失，还是操作控制不当。

（5）各单位、部门对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估。

2、识别风险

风险识别是通过识别风险源、影响范围、事件及其原因和潜在的后果，生产一个全面的风险列表。识别风险不仅要考虑有关事件可能带来的损失，也要考虑其中蕴含的机会。

（1）要求

风险识别过程包括对风险源、风险事件及其原因及潜在后果的识别。公司各职能部门应根据战略经营目标，查找本部门各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险；对于制定并发布的《内部控制手册》的组织要对主要业务流程的风险点进行了列示。对识别出的风险事件进行归类和编号。

风险识别时，各职能部门要掌握相关的、最新的信息，必要时，要了解背景信息。不论风险事件的风险源是否在公司的控制之下，或其原因是否已知，都应对其识别。风险识别的结果是确定本部门业务流程中主要的风险点。

（2）风险识别的方法

基于证据的方法，例如检查表法以及对历史数据的评审。

系统性的团队方法，例如成立专家团队，设计一套严密调查问卷或进行访谈。

归纳推理技术。

头脑暴风法等。

3、风险分析

（1）定义

风险分析是根据风险类型、获得的信息和风险评估结果的使用目的，对识别出的风险点及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件，为风险评价和风险应对提供支持。风险分析的结果是确定风险发生的可能性、发生的频率等。

（2）方法

风险分析方法包括定性的方法、定量的方法。各职能部门在进行风险分析时，应将定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论（如集中趋势法）、计算机模拟（如蒙特卡罗分析法）、失效模式与影响分析、事件树分析等。

根据风险分析的目的、获得的信息数据和资源，风险分析可以是定性的、半定量的、定量的或以上几种方法的组合。一般情况下，首先采用定性分析，初步了解风险等级和揭示主要风险。必要时，进行更具体和定量的风险分析。

4、风险论证

针对风险分析的结果进行论证评价，主要有：

（1）整体的风险管理思路和理念是否符合管理层的管理意图；

（2）风险管理的制度设计是否符合公司实际，是否全面、思路与公司管理者意完整，能否有效执行；

（3）对重大风险、重要风险的发生可能性及造成后果的测算是否正确，有无高估或低估，计算方法是否适当；

（4）对风险等级的确定、对风险级别的确定是否适当；

（5）对风险应对策略的确定是否适当，是否符合管理层对风险的承受度。

一般经理班子分析论证后，重大风险预案和对策提交董事会审批后执行。

5、风险评价

风险管理评价是对风险管理技术适用性及其收益性情况进行的分析检查、修正与评估，就是评估风险管理的有效性。

就内控而言，主要有组织自行评价和中介机构组织的内控审计评价，目的都是为了评价针对风险点，采取内控措施的有效性。

6、总结

风险评估主要目的是找到风险点和内控的问题、薄弱环节，以便于有的放矢去采取内控措施。一般识别和发现风险点主要契机：

一是看目标完成情况，连续完不成预定目标，就要分析原因，查找问题和薄弱环节；

二是看与标杆的差距，通过横向比较，查找自身的原因问题，识别风险点；

三是看重大事故，对于发生重大事故或重大影响事件，分析背后原因去识别风险点；

四是看规模最大的单位，对于组织架构复杂、产品复杂的单位，要作为内控评价的重点，查找问题，确定风险点；

五是看业绩最差的单位，分析差的原因，寻找改进的契机；

六是看行业研究报告，通过研究报告，研判未来趋势，识别外部市场风险、政策风险、汇率风险、进出口风险等，内部积极采取风险应对措施。

七是看风口，注意危中寻机，看似危机，也蕴藏着创新发展的机遇。关键在于自身资源与发展机遇的匹配情况。

四、采取内控措施实现控制目标——解决内控怎么做的问题

1、采取内控措施实现内控目标才是出发点和落脚点

下图的案例充分说明内控的逻辑：目标——风险——控制，控制解决了内控怎么做的问题。

2、梳理流程

（1）为什么要梳理流程

一是管理体系构建的需要。按照战略目标活动化——业务活动流程化——流程组织化——组织协同化，这是一个组织构建管理体系的逻辑。战略目标实现要通过产品或服务细化为研发——供应——生产——销售——售后等活动。业务活动就必须按照一定的先后次序进行排列，形成流程化。流程的实施，离不开组织的支撑。组织的运行与协同，围绕提高效率，就要有职责与权限清单。

二是提高效率的需要。所有的管理动作都是成本，通过流程再造，缩短管理流程链条，降低管理成本，提高管理效率。

三是风险评估的需要。风险蕴藏在业务活动中，只有梳理流程，才能识别出流程中的风险点，为实施内控措施奠定基础。

四是内控实施、降低风险的需要。针对识别的风险点，在流程中嵌入适宜的内控措施、手段，消除或降低风险。

（2）梳理业务流程

梳理业务流程。即研发、采购、生产、销售、售后等关键业务流程，流程链条列出之后，要评估流程的合理性，风险点在哪里？存在的问题是否找准了。