近期不少学员在微信上问,管控和内控、内控和风险管理、内控和内审,有啥区别。今天就相关问题做个回答。
我们先说管控,管控一般是说集团管控,可以简单理解为集团或者控股东西,对下属分子公司的管理和控制,单独看管理和控制这个词儿其实比较宽泛、模糊,这种管理和控制,是基于一个基础和一个手段,基础是总部定位,就是总部的存在是需要发挥什么价值,比如,很多企业总部是战略管理中心、财务管理中心、风控中心。也就是说总部的存在不是为了单纯增加一个管理层级,总部是需要发挥价值的,有他的存在,可以凸显集团品牌的强大、实现规模效应、财务的协同、业务的协同、可以共享管理体系,从而节约成本,提升了效率,这是集团存在的价值。我去很多集团考察,实话说,我经常直白说,你们的这个“集团”,实质是上“集而不团”,仅有集团总部这个层级,但是没有发挥集团的价值;下属公司的一把手经常感慨,集团不捣乱就已经是发挥他的最大价值了。从当前的集团型企业实际来看 ,集团总部对子公司的管理一直是一个困扰人们的难题。
在集权与分权的问题上,很容易陷入“抓死放乱”的怪圈。比如,
把子公司当作一个车间来控制 ,使其丧失了经营活力 ;
在集团公司内部片面强调“放权”、“自主经营”、“自我发展” ,在集团内部形成诸多的“利润中心”甚至“投资中心” ,扭曲了母子公司关系;
在管理方式上普遍采用“利润承包”,这种管理模式已基本丧失了集团公司所具有的优化内部资源配置、降低交易 (组织 )费用的优势。
所以呢,集团管控这个事儿其实还是比较复杂的,这里面还涉及到,集团下属的企业往往跨地域、跨行业、下属企业不同的发展阶段、盈利状况,不可能一刀切的进行管理,所以,集团如何进一步通过对管控体系的优化、细化、可操作化是每一个集团都面临的问题。所以,从咨询实际操作的角度来讲,一般分为四个层次:思路、架构、机制和规程。
思路
就是管控思路和模式选择,基于企业战略考量的整体管控思路、目的,总体管控模式的选择,集团总部职能定位;
架构
就是组织形态与机构支撑,集团总体组织架构设计,总部部门设置,所属企业布局形态;
机制
就是权责切分与管控机制,各项权力职责在总部和所属企业之间如何分布?
总部对所属企业主要的管控手段如何确定?
规程
就是管控流程与作业规范,以管控机制为主线,确定主要管控流程与各项作业规范。
简单来说,集团管控的核心是“定思路、明架构、理权限、配流程”。说内控,必须要提风险管理,风险管理是内部控制的核心,也是内部控制的目标,内部控制是管理风险的一种手段。因此在理解内部控制之前,首先要弄清楚企业有哪些风险,哪些是可以通过内部控制防范的,哪些是通过其他手段防范的。风险分类的方式有很多,起码可以为两大类:可控风险与不可控风险。不可控风险主要包括政策、自然灾害等。可控风险主要包括企业运营层面的风险。内部控制一般来讲控制的是可控的风险,即运营层面的风险。从这里也可以看到,企业全面风险管理讲的是针对“所有风险”的管理,而内部控制讲的是针对“可控风险”的管理,这是内部控制与风险管理的区别和联系。风险,是个中性词,有可能为企业带来危害,也可以带来收益。有的风险发生后,只能带来损失,因此这类风险就称之为“危害性风险”,比如煤矿坍塌、工厂爆炸等。对于这类风险,内部控制的目标就是“尽最大努力杜绝风险”,彻底消除这类风险。还有的风险既有可能带来收益,也有可能带来损失,比如企业研发某项技术,研发成功就能带来巨大收益,研发失败就会导致前期投入打水漂。再比如企业营销广告,打广告有可能带来业绩增长,也有可能没有效果。这类风险就是“不确定性的风险”。因此,企业内控管理中,会对风险进行分类管理,有些要杜绝,有些要看情况。内控的目的一般是三个:经营有效、财报可靠、运行合规。内控在机制设计的时候,有个思路就是审批和执行分离。至于内部控制五要素、COSO框架这些咱们就不讲了,比较理论化,之前也分享过很多资料。我举个例子,让大家更好的理解什么是内控。比如,你想打个喷嚏,
前期申请:你要填个《打喷嚏申请单》;
事前控制:“部门领导——分管副总——总经理”批完了才能打,这就叫内控(事前控制);
内控留痕:《打喷嚏申请单》就是内控痕迹的一种;
事中控制:打喷嚏的时候如果有人在场监督,同时拿个扇子及时喷嚏吹散,就更好了,这叫事中控制;
事后控制:打喷嚏之后最好还要填个《打喷嚏执行情况表》,打喷嚏的人和监督的人一起签字确认,每隔一段时间由领导复核一下,这叫事后控制。
如果不申请,那万一打喷嚏传播病毒,后果很严重,这就是风险。
刚才说的,审批和执行相分离,就是负责监督的和负责打喷嚏的不能是同一人,他俩的职责是不相容职责。
片面强调风险。由于片面强调风险,而忽视了成本,比如某类风险发生后带来的损失很少,但是采取控制措施的成本很高,比如,买个螺丝,按照常规的零部件采购流程走一遍,开车来回30公里买个价值1毛钱的螺丝,螺丝的价值还不如开车的油钱,这就是因小失大,风险管理,一定要抓重点,企业不可能、也不能够全面的去扼制风险,只能说对于一些的关键的风险点、风险模块进行有效管理,避免企业“非正常死亡”就已经不错了
缺乏战略导向。风险管理和企业战略之间是脱节的,就导致战略的实施和风险管理直接可能是冲突的,这就是很多企业常见的一个问题,导致企业巨大的管理成本,甚至产生内耗。
三、内审
内审,这个比较简单。内审就是内部审计,内审是相对于外部审计而言,对企业中各类业务和事项进行评价,以确定是否合法合规,是否有效和经济地使用了资源,是否在实现组织目标。内审和内控的关系方面,内部审计是内部控制评价的重要组成。本期的三个概念,管控、内控、内审、风险管理,咱们先说到这里,有机会直播和大家交流。
