如何构建真正有效的内部控制体系

管理会计

       1992年美国COSO委员会颁布了《内部控制——整合框架》。COSO建立此框架的初衷在于，在美国证券市场经过了一个世纪腥风血雨的洗礼，经历了各种 “血的教训”之后，希望将一个规范、对投资者负责的企业经营管理的各个要素，以模型的方式予以固化和沉淀，让更多的公司从中受益，让更多的投资者受益。这种经验的高度概括和沉淀，对中国企业的经营管理，一定有着很重要的意义。

　　COSO内部控制整合框架类似一个“魔方”(见图2)，我们能看到的有三个“面”。居上的一个“面”是内部控制的三大类目标，包括经营类、财务报告类以及合规类目标。在COSO随后颁布的“全面风险管理——整合框架”中，企业的目标演变成了四大类，新增了“战略类”目标。这个框架包含了企业经营管理的所有目标。

　　框架中的正面是内部控制的五个构成要素，包括持续监控、信息及沟通、控制活动、风险评估和控制环境。很多企业对五要素并不陌生，但对其为何以此种顺序排列，则不知其所以然。

　　企业所有经营活动的基础是“控制环境”，你可以最简单、最通俗地把控制环境理解成一个地方的“风气”如何。一个企业的控制环境如果很好，就有理由相信，在经营管理的各个环节，大家的工作责任心很强，执行力也很强，各个控制活动是经过严格设计并且有效的；相反，如果一个企业的控制环境给人的感觉是管理松散、人治严重、随意性较强，那么有理由相信，在其各个管理领域中，可能存在重大管理缺陷的概率会相应地增大。

　　在企业管理中，这种“风气”通常被称为“文化”，那么，好的文化是如何形成的？文化不是公司的厂区和办公室墙上贴的标语，也不是领导讲话的内容，而是企业每个员工的意识。当每个人的意识逐步统一，每个人所表现出来的工作习惯逐步统一，每个人的价值观逐步统一，并形成特色的时候，企业的文化就自然形成了。这样一种文化形成的过程，需要公司自上而下的正直的经营理念、符合实际需要的高效的组织架构、合适的人力资源管理机制、良好的社会责任等，但是在控制环境的诸多内容中，最重要、最根本的，概括起来，就是“人”。因此，企业必须在明确自己的战略发展方向后，明确对于不同产业的管控方式，明确集团总部与子公司或下属单位之间的管理界面，并设计符合需求的组织架构；在此基础上，明确各关键岗位的能力需求模型，并在整个内控体系建设和流程梳理过程中，不断完善这些能力需求模型，进而开展针对关键岗位人员的能力评估，以判断能力短板，并制定有针对性的能力提升计划或人才补充计划。当然，这个过程也需要一个良好的人力资源管理机制作为支撑和辅助。

　　“人”和“文化”是各个管理要素的根本，对于企业的战略有着重大的影响。管理大师吉姆？柯林斯从财务指标、运营模式、企业愿景、经营战略、组织架构、技术支撑等维度，曾对11家明星企业进行剖析，总结出曾经辉煌的“大企业”走向衰败的五个阶段：目空一切、盲目扩张、漠视危机、药石乱投、随风而逝。

　　能够成为“大企业”，其历史一定充满了辉煌和荣耀。但在追求跻身世界500强的过程中，企业是否考虑过，世界500强其实是以经营规模而非管理能力作为参照。我们追求的究竟是短期内成为行业领头，还是100年后企业仍然活着。在企业的不断扩张过程中，吉姆？柯林斯发现，即使出现了一些潜在危机的信号，即使某些管理指标或财务指标开始恶化，“大企业”的管理层往往会选择漠视。当这些潜在的风险和危机信号真正演变成为损失事件时，企业开始频繁更换高级管理层，以期望有人能力挽狂澜，但结果往往不尽如人意。在前三个阶段，企业需要用风险管理的理念来控制发展不偏离轨道，倘若向第四阶段演变时，企业需要的可能就不再是“风险管理”，而是“危机管理”了，因为此时，风险不再是未来的不确定性，而是实实在在的损失事件了。

　　在众多中国上市公司、中央企业、大型国有企业中，不乏追求规模的不断扩张中，忽视或者漠视管理中存在的种种隐患的行为。而恰恰此时，是企业正视风险，开展全面风险管理，完善内部控制体系建设的最必要、最迫切的时机。一旦等到风险逐步累积、量变演化成质变后，大企业走向灭亡也并不是非常困难的事情。众多明星企业、百年企业一夜破产的真实案例，就是最好的证明。

　　第二个要素是“风险评估”。企业在开展内部控制体系建设的过程中，应当牢记一个基本的逻辑：目标—风险—控制。企业经营管理的任何活动都有目标，影响目标实现的不确定性称之为风险，我们需要用控制手段来防范和管理风险。根据COSO内控整合框架的定义，企业的目标可以分为三大类，或者以COSO全面风险管理整合框架的定义，目标可以分为四大类，那么相对应地，企业所面临的风险也可以分为四大类。企业每时每刻都面临着各种风险，例如内部有管理、人力资源、财务、自主创新和安全环保等方面的风险，外部有经济、法律、自然环境、法律、社会和行业技术等方面的风险。

　　对于单个风险的评估，我们可以从两个维度进行，包括风险发生的可能性，以及如果风险发生对企业的影响程度。应对风险，我们可以选择“风险规避”，也就是当评估的影响程度太大，可以放弃做这件事情，以完全规避风险。我们也可以选择“风险转移”，例如购买保险，或者引入合作伙伴共担风险。也可以选择“风险控制”，运用综合的管理手段，优化某些流程以及其中的控制活动，以降低风险发生的可能性，或者降低风险发生后的影响程度，使风险降低到能接受的水平，也就是风险容忍度以下。还有一种，当评估某个风险的可能性和影响程度都不大，本来就在可承受范围之内时，我们可以选择“风险承受”的管理方式；但风险承受并不代表不作为，需要定期评估并监督风险的变化，以及时调整管理手段。

　　也许有企业会问，当讨论某个单项目标时，就会有许多风险，每个风险都需要分别评估并讨论制定应对策略；那么企业的四大类目标自然可以分解成许多流程中的若干目标；而当分解到每个工作岗位时，目标就更多了。这样一来，企业所面临的风险岂不是繁杂而数量众多？确实如此，因此才需要把这些风险都“管理”起来。此间，我们需要分清哪些风险是头等重要的，也就是影响程度和可能性都很高的风险，这些风险往往并不能通过简单的一两个措施就解决，而需要企业某些管理机制的整体提升；也有些风险可能只需要某个流程中的某些控制活动进行优化，就能很好地进行管理。因此，风险评估的目的不仅是就风险谈风险，或者找到应对措施，更加重要的是，分析各重大风险的成因，梳理各风险之间的关系，以便能够厘清企业管理提升的整体思路，从而能够聚焦在那些特别需要投入资源的领域，能够聚焦在那些问题的根源上，进而进行企业管理能力提升的整体规划。这就是为什么有些企业各个业务部门分别牵头搞各种管理提升的专项，在改善管理的过程中，往往会走进死胡同，觉得力不能及。如果企业的管理提升缺乏整体的规划，部门牵头的管理提升专项只能是“盲人摸象”。