作者:王海荣
出版社:人民邮电出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
企业内部控制架构设计实操手册试读:
前言
靠写书成名不现实,靠写书发财更不现实,但靠写书迅速结识更多有趣的人尤其是同行同好,却是个捷径。我的上一本书《内控总监工作笔记》的出版,让我结识了一批内控同行。我们会在一起探讨专业方面的问题,说说各自都在读什么书,聊聊家里的“熊孩子”,讲讲诗和远方。有句话没说错:一个人走得快,但是一群人走得远。
之所以萌生写这本《企业内部控制架构设计实操手册》的念头,也是源于同行们日常的困惑和讨论。阅尽千万流程和表单还是不会做内控,循着业务流程、跟着指引做出来的竟然不是老板想要的内控,做了多年内控却仍旧找不到成就感、价值感甚至是存在感。
为什么会这样?因为企业的内部控制和其他管理实践不一样,缺乏方法论将直接导致“说起来头头是道,但做起来完全找不着北”“怎么做怎么错,最后开始自我怀疑”这样的结局。为什么我们的企业内控缺乏方法论?因为国内的实践刚起步,没有成熟的路径可资借鉴。
做好内部控制架构设计是企业搭建内控体系的第一步,也是最重要的一步。《企业内部控制架构设计实操手册》没有对操作规范的解读,也没有现成的表单或量表可以照抄,更多的是从顶层设计、中层设计和底层设计上提供一些可拓展的维度,作为企业实施内部控制架构设计的落脚点和着力点,毕竟企业内部控制架构设计的定制化程度很高。希望这本书能给读者以启发,帮助读者建立起符合其所在企业实际的内部控制体系。
本书分为三大部分。第一部分论述如何从顶层进行企业内部控制架构的设计,内容分为两章。第一章介绍企业内部控制的上层路线该怎么走,如怎么从企业的管理层与决策层那里挖掘企业的内控需求并将其列入企业的内控计划,怎么从管理层与决策层那里获得必要的人、财、物、信息等资源,以及如何维护与管理层和决策层的关系;第二章则重点关注企业内部控制的前瞻性,介绍两项检查:一是内控方向与战略方向的一致性检查,二是企业现有能力与战略所期望能力的匹配度检查。
第二部分论述如何为企业内部控制架构设计打造坚实的数据底层。在人类社会步入移动互联时代的今天,数据已经成为企业重要的资产,也是企业内部控制必须依赖的重要资源。本部分内容共分两章。第三章阐述企业管理信息系统的规划设计,介绍如何规划数据框架,如何设计运营管理信息系统中的功能模块。第四章介绍企业数据池的养和用,涉及数据的收集、维护与持续更新、使用与运营等。
第三部分论述企业内部控制架构设计与运营中间层的实务操作。这也是本书篇幅最长的一部分内容,共分为五章。第五章介绍如何搭建内控执行的基础架构,建立职能本位,打造内控执行网络。第六章则介绍如何制定个性化的内控解决方案,如把握落地的时机,寻找合适的落地点,顺势而为、因人制事、因事制宜,轻鉴证、重咨询,充分体现内控对职能部门的价值。第七章介绍如何扩展内控执行的人际圈层,让内控人员走进其他部门,搞清楚它们的“痛点”和“痒点”,寻找并培育内控执行的关键据点。第八章重点关注内控执行的度,定期复盘,在刚柔之间、变与不变之间、职能模块之间、制度与流程之间、规划与设计之间寻求平衡。第九章则以一个案例解析总结前八章所列举的主要内容。
如果说《内控总监工作笔记》更多的是对内控工作的观察、心得与总结,那么《企业内部控制架构设计实操手册》就是一部操作指南和“战地实录”。本书的每一章都以笔者亲历的一个故事或案例开头,引领该章的内容,通过理论学习和实战模拟,让读者知其然又知其所以然。因此,在这里请读者在阅读时注意每章内容背后的思维逻辑和操作细节。
希望本书对内控人士有所帮助,帮助大家找到内控架构的建立基础,厘清内控架构的建立策略和方向,并选择合适的内控执行路径。若读者能在阅读本书的同时结合内控实践进行思考、探索与尝试,那么将会收获更多。愿我们能为打造堡垒级的企业内控做出自己的一份贡献!
感谢贾淑艳编辑的辛苦工作,没有她大概不会有这本书的付梓!感谢这些年在工作中遇到的老板和同事们,没有你们大概不会有今天的我!感谢马志强老师对我的肯定和鼓励!感谢家人的理解和支持,有你们我才能一往无前,无所畏惧!
谨以此书献给在企业内控道路上坚定前行的你和我!第一部分 企业内部控制与顶层设计
企业内部控制号称“一把手工程”,即企业建立有效的内部控制体系并发挥效果必须得到“一把手”的支持。企业高级管理层需要为企业内控“谱调子、定战略”。在实战中,一家重视内部控制的企业,会在内控部门成立之初就有意识地将其视为企业治理的一部分,将内控部门打造至满足公司需求的水平。内控部门的负责人则需要“找支撑、想办法”,达成高级管理层提出的愿景。第一章 企业内部控制的顶层设计路线图
写在开头的故事
没做部门经理之前,每年看到经理下发的内控工作计划,我内心都很困惑。为什么我们认为重要的、要做的项目被删减得不剩几个,倒是有一堆完全陌生的甚至是奇怪的工作事项列在计划里?有时候问起我们的经理来,他只说是老板的要求,老板有老板的考虑。私下里,同事们没少嘀咕,认为我们的经理在“拆烂污”“捣糨糊”。
那一年,我晋升部门经理。恰逢年中,内控计划如期进行到一半。其后不久,事业部的总经理和集团的内控总监先后离任。接下来的半年是我职业生涯中最难挨的半年。按例行程序,我们请示事业部的总经理和集团的内控总监是否要修订内控工作计划,但均未得到明确或有意义的意见和建议。于是,我们就按年初制订的内控计划推进。不料,正常可以顺利推进的内控项目因为各种各样的原因受阻。需要其他部门配合的时候,相关人员说:“不好意思,新老板有新指示,实在没有能抽得出的人手……”即便对方能提供支持,也会与预期的有很大差距。在我们需要得到老板支持的时候,老板会就原来的项目给一些框架性的意见,实质授权的部分远不如预期,甚至会陆续提出一些新的要求并增加一些新的内控项目。结果,到年底总结的时候,我们无奈地发现后半年的内控计划完成度不高,质量也远不如前半年。
经过半年的挫败、沉淀和思考,在新任内控总监的提点下,在那年年底做下一年的内控工作计划之前,我们先向总经理办公室了解了新修订的战略规划和下一年度的年度经营计划,揣摩事业部新任总经理的工作需求,提出以后的内控工作方向以及下一年度计划推进的内控项目,然后与他进行了沟通,并随后对工作方向和下一年度内控计划进行了增删。如此,接下来的内控工作计划又得以正常推进了。只是,回头一看,这工作计划又是一份下属眼中“让人困惑”的工作计划。
由故事引出的
企业内部控制需要顶层设计,需要从公司治理的层面在全局上寻求内控问题的解决之道。顶层设计,本是一个工程学术语,其本意是统筹考虑项目各层次和各要素,追根溯源,统揽全局,在最高层次上寻求问题的解决之道,对项目的各个层次、要素进行统筹考虑,以集中有效资源,高效快捷地实现目标。顶层设计是自高端向低端展开的设计方法,核心理念与目标都源自顶层,因此顶层决定底层,高端决定低端。顶层设计强调设计对象内部要素之间围绕核心理念和顶层目标所形成的关联、匹配与有机衔接。
顶层设计看上去宏观、系统,似乎遥不可及,实际上真要做起来,也一样是要从基础做起的。每一件大事的背后,都是无数琐碎的小事。一个销售总监做成了几千万元的大单,这看起来遥不可及,追根溯源却是对投标文件每个字的拿捏,是与产品部门数百次的邮件和电话沟通,是无数琐碎却必不可少的对细节的把握。一个新业务流程建立和完善的背后,是对过去诸多数据的挖掘,是对成千上万条业务记录的筛选分析,是对系统开发部门和供应商每一个细节参数的细抠,是对信息系统一次又一次的修改与完善。成功基本上与运气无关,都是从点滴小事开始,从细枝末节开始。只是成功的人能以小见大,走对方向,把握主干。
本章分三节梳理内控的顶层设计路线图,从宏观上、全局上、系统上把握企业内控的需求,统筹有限的资源,有效地实现企业内控目标,发挥企业内控应有的作用。该路线图主要分三步走:第一步是挖掘精准又务实的企业内控需求,第二步是争取满足这些需求所需要的支持,第三步是维护与各级管理层的良好关系。本章的三节内容分别对应这三个步骤。第一节 企业内控需求的挖掘
我在自己的微信订阅号“内控者言”中曾讲过一个故事。
某日,一位内控同行找到我,说有事相求。这位同行从外企跳槽到了民企,同样做内控,其直属上司是内控总监,该内控总监做财务出身,对公司业务和财务工作都很熟悉。内控总监对他寄予厚望,希望他能把外企成熟的内控模式植入企业中。他未入职前踌躇满志、意气风发,但数月不见,完全换了一副模样,全身都透着焦虑和颓丧。原来是工作上不太顺利,甚至影响了他的生活。虽然入职半年,成功过了试用期,但他的上司对他的工作成果并不认可,连他自己都觉得不能过关。他每天绝大多数时间都在办公室看流程、检查控制点,但所有的发现都是所谓的“鸡毛蒜皮的小事”。他一个劲儿地追问我“该怎么办”,完全搞不清工作思路和工作方向。高级管理层都关心什么,他无从得知;限于层级,对公司的主要风险、公司管理层主要关注的领域他也不清楚,连业务都没摸熟。于是他开始怀疑民企不适合自己,开始怀疑自己的能力和当初的选择。但我告诉他,他只是没找对合适的路径,没有养成内控工作思维,建议他从熟悉业务和业务人员开始,把80%的时间花在办公室之外;另外,要多和内控总监沟通,了解高级管理层的关注点以及对内控部门的期望。
相信在内控的从业道路上,我们或多或少都曾有过这样那样的困惑、迷茫、彷徨甚至是犹疑,渴望成长,但总觉得自己资历太浅、层级太低,又苦于找不到上升的路径,不知道该如何垫高自己的基石。我建议从大处着眼、细节着手。做内控既要沉得下去,又能浮得上来,也就是说一方面要深入一线,了解、理解与把握相关岗位员工的做法、想法和选择,另一方面又能跳出具体的操作细节,立足于职责部门、业务流程梳理、看待和调整相应的控制活动、控制点和控制体系。细节的部分将在后面的章节中阐述,本章主要阐述宏观的部分。内控需求挖掘的“诗外功夫”
古人云:“功夫在诗外。”一首诗的好坏、高下是由作者的经历、阅历、见解、识悟所决定的。功夫在诗外,但意旨在诗内。唯其诗外功夫扎实而又充分,诗才能不朽。那么,企业内控需求挖掘方面的“诗外功夫”包括哪些呢?• 培养跨界的战略思维
做内控的人都知道风险评估,都熟悉风险点检查。然而,风险点清单只是工具,如何发挥作用,在于使用工具的人,在于使用工具的人的思维模式。
维珍将围绕ATM机产业的一条龙服务做到了极致,业务涉及外包装、安防监控甚至软件,打造了ATM机的Wi-Fi网络,帮银行的支行一级打造APP,甚至做起了ATM机的地产生意。就是这样,它拿下了很多银行的业务,战胜了不少同行和对手。但也正是这样,让它局限在ATM机产业里,输给了一个不用现金的时代。
内控工作者应该把目光放长远、放全面。若“只见树木不见森林”,局限于过程控制、程序设置等微观层面,基于此视角开展工作的增值效用就十分有限。因为在移动互联时代,我们很难知道终结一个企业或一个行业的是谁,又来自何方,也可能完全没有反应的时间,待看到刀光已然避无可避,只能引颈受戮。组织边界正在打开,原有的产业、行业、企业都在变化整合,企业只有不断地在变化中敏锐地感知风险、把握机会,才有可能活下来,才有成长的机会和可能。
具体来说,我们需要跳出微观,看向中观,看向宏观,关注科技的、社会的、行业的相关的或不相关的领域的信息。具体有三大途径。
一、若有经费预算,可以购买一些权威的、及时的调研报告,进行研读与思考。
二、尽可能链接更多领域的从业者和专家,可以加入一些专业讨论社群。因为这些社群通常信息密集度很高,参与者可以相互得到启发。
三、可以关注一些相关的或不相关的微信订阅号,以及一些媒体、出版单位和相关部委的官微等。我惯常浏览的有“环球时报”“经济观察报”“21世纪经济报道”“企业管理杂志”“人民邮电出版社”“中信出版集团”“科学出版社”“虎嗅”“大数据文摘”等。另外,我们还可以充分利用一些APP的推荐功能,把APP“训练”成工具宝典。
通过以上途径,我们可以获取足够多的信息量,可以看到同行的思考。然后,我们可以结合企业的战略规划,从战略的角度进行跨界思考训练,培养跨界思考能力。最后,我们可以将其落实到企业内控实务,而后进行布局谋划。• 扫好自己的“门前雪”,关注别人的“瓦上霜”
组织边界的不断开放,组织实体的快速整合,使我们都需要克服埋头眼前琐碎工作、无视环境变迁所带来的企业管理需求变化的工作惯性,除了要扫好自己的“门前雪”,还要关注别人的“瓦上霜”。
内控工作者对外要关注所在行业的科学技术的发展变化、市场环境的变化、相关政策法规的更新情况。如果不了解技术、网络安全、宏观经济、法律法规等带来的广泛的战略风险,我们就不能给我们的企业提供至关重要的“一瞥”。在日常工作中,我们应该做个有心人,留一只眼睛看向客户、看向竞争对手、看向供应商,把握企业业务的全价值链,通过直接的或间接的渠道,了解他们的经营状况及其变化。
内控工作者对内要了解企业的重大经营事项执行情况、战略调整、业绩完成情况,知晓并理解董事会或高级管理层的抱负、操守、价值观和行动路线,关注其他部门的难点和痛点。也许这些就是太平洋一端那只扇动翅膀的蝴蝶,在将来的某一天会带来美国得克萨斯的一场龙卷风,带来企业的组织变革。即使不至于引起彻底的大变革,也可能是重要的内控风险点和改善点。
总之,关起门来假装“岁月静好”是不现实的,也是不安全的一种行为。• 理解资源分配者的需求和意图
目前,虽然有些企业(如华为、海尔、海底捞等)将决策权由上层转移到负责具体事务的底层,也有一些企业号称打造平台型组织甚至生态型组织,但毋庸讳言,企业的组织架构还是以金字塔型的居多。这决定了企业资源的分配者在哪、分配的原则和规则是什么,可以说是企业内部控制的“红绿灯”和“指挥棒”。但是,无论是哪一种权力架构,有一点是肯定的,那就是都需要内控部门理解资源分配者的需求和意图。
让我们以经典的金字塔型组织为例,分析如何理解资源分配者的需求和意图。首先确认资源分配者是谁。在金字塔型组织中,权力和责任呈现不断向上集聚的状态。在这样的组织中,掌握着组织资源的人在顶端。内控人员尤其是部门负责人需要知道高级管理层的关注点以及对内控部门的期望,并充分理解其意图。毕竟金字塔型组织中高级管理层需要对组织运行的结果负责,其意志代表着组织利益。而企业做内控的目的就是为实现组织目标提供合理保证。理解组织资源分配者——高级管理层的需求和意图是挖掘内控需求的直接路径,也是内控部门需要完成的规定动作之一。
陆游说:“纸上得来终觉浅,绝知此事要躬行。”所谓“功夫在诗外”,就是要强调“躬行”,到生活中广泛涉猎,开阔眼界;再把对生活的感悟、见解加进诗篇里,这样才能成就不朽。对于内控工作者来说,培养跨界战略思维、对利益相关者的观察和了悟、对资源分配者需求和意图的理解,最终要落实到对内控需求的挖掘中,只有这样才有现实意义。企业内控需求挖掘
企业对内控需求的挖掘,可以从常规性内控需求和非常规性内控需求两个方面来进行。•常规性内控需求
所谓常规性内控需求,是在已有内控框架下提出的需求,旨在使现有的内控框架更加充实、完善和系统化,扩大其范围和内涵,精确化其细节。常规性内控需求具有的特点是它可以在已有内控框架的范围内加以解决。
所涉及的业务领域可按如下原则切分。
九大业务循环:
销售和收款循环
采购与付款循
环薪酬循环
生产循环
固定资产循环
投资循环
融资循环
信息系统循环
研发循环《企业内部控制应用指引》中所提的18项业务:
组织架构
发展战略
人力资源
社会责任
企业文化
资金活动
采购业务
资产管理
销售业务
研究与开发
工程项目
担保业务
业务外包
财务报告
全面预算
合同管理
内部信息传递
信息系统
常规性内控需求框定的范围是现有的业务领域。常规性内控需求旨在对企业的日常流程进行检查、评估和优化,多采用自下而上的收集方式。可按如下风险次序罗列:
前一到两年内检查出有问题的;
此前三年从没出现过问题的;
按照通常的检查频率进行轮换;
某项业务的某个点或某几个点。
年复一年地做某项业务的内控检查,试图提升或优化,哪怕是换不同的小组不同的人去操作,都可能陷入“疲劳”的境地,或跳不出旧有的框架,或浮于表面,或失去应有的警惕。此时,内控工作者可以将某项业务进行进一步细分,将内控检查做细做深,钻进去,找出“线头”,顺藤摸瓜,会有不一样的发现。•非常规性内控需求
除考虑常规性内控需求外,内控工作者更要思考如何挖掘与企业战略规划相关的,具有更高价值含量的非常规性内控需求。所谓非常规性内控需求,是在跳出日常的业务流程之外甚至是超出已有内控框架而提出的需求。
非常规性内控需求可能的来源途径有以下几种。
来自法律法规或政府层面的监管要求
新颁布生效的法律法规、行政规章等,如近些年不断变换的财税政策、2014年生效的新修订版《公司法》、“三公经费”管理、《关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见》等。
企业战略要求
企业战略要求不仅存在于明文公布的企业战略规划文件中,我们还可以从公司的重大会议纪要、高级管理层或实际控制人的重要谈话中发现和挖掘。
董事会或高级管理层的特别要求
一般而言,因为人的认知有一个形成过程,或者出于保密的需要不能直接披露,但又需要做一些准备,所以在一项制度或管理措施出台之前,董事会成员、高级管理人员往往会有相关的预备动作。内控人员尤其是内控部门的负责人应与关键人物适时进行沟通,以便做相应的调整或提前安排资源;应具有一定的敏感性,能感知到这些要求的迹象。敏感性从哪来?一要熟悉业务,二要熟悉关键人物,三要研究分析。
高风险岗位或人员的监管需要
高风险岗位是指由于岗位职责的特殊性及存在思想道德、外部环境和制度机制等方面的实际风险,可能造成在岗人员不正确地履行行政职责或不作为,构成失职渎职、“以权谋私”等严重后果的岗位。举例来说,企业运营中存在人力资源管理权滥用的风险,如对员工的任用、提拔、调动和学习培训安排等权力,都可以用来索贿、受贿;还存在财务审批权滥用的风险,如资金的使用、财产管理等是腐败、舞弊的根源之一;也存在舞弊的风险,对于重大事项决定权,主要有工程招标、政府采购、财产处置等,如果工作职责不到位、不作为、作为不当、作为不到位,都会导致舞弊的发生。一般来说,企业里都是因事设岗的,当然也有例外,有些岗位是因人设岗的,这样的岗位会天然缺少一些监督和牵制,风险自然会较高。除岗位特质外,还需要考虑人的风险。虽然人岗匹配是根本,但实践中不完全匹配是常态。人是挑着用的,甚至有些是凑合着用的。对于那些因为匹配错位导致的风险,内控人员需要特别关注。例如,对于身处资产管理和审批岗位的、家庭负担重或短期内有重大资金支出的人员,内控人员可以将其提升到内控检查的优先位置;对于身处采购或销售岗位的、开拓精神十足但规则意识不强的负责人或团队,内控人员可以将其提升到内控检查的优先位置。
小道消息流传广的业务领域、工作岗位或人员
俗话说:“苍蝇不叮无缝蛋,无蜜不招彩蝶蜂。”没有平白无故出现的事情,任何事情的发生都是有原因的。小道消息流传太多的业务领域、工作岗位或人员往往预示着风险的存在。
经过以上对常规性和非常规性两部分内控需求的分析,内控人员可以得到一份内控需求清单,如表1-1所示。内控人员在每年10—11月时可以对其进行检查和罗列,以备编制下一年的内控计划。我习惯于一直保留这份清单,定期检视,并在有非常规性内控需求事件出现时及时增加或调整风险等级。如此一来,便可以保持这份清单的动态更新,降低了因遗忘所导致的少列需求的风险,同时也可以看到历史需求的出现和去除的痕迹,有助于还原思考的背景并获得敏感度。未来的需求有时会来自对过往的总结和梳理。我们需要一种工具或线索,帮助我们跨越时空去捡拾记忆,去连接思考的断点。表1-1 企业内控需求清单示例第二节 获取顶层资源支持
本章开篇故事里的我会在开始的时候举步维艰,很大程度上是因为缺乏顶层资源的支持。职场中没有傻瓜,老板们的侧重点在哪儿,老板们支持谁,由什么决定考核,利益点在哪儿,大家都心中有数。
在绝大多数企业里,资源的分配权是自上而下设置的。内控资源的分配权相对来说更加集中,层级也更高,有的直接来自董事会,有的来自高级管理层。就算在新型的组织架构(如平台型组织、流程型组织和网络型组织等)中,“游戏规则”也是由顶层制定的。内控部门若要实现部门价值,就必须体现对企业的价值,获取顶层资源的支持。
我们经常看到有的公司内控部门要啥有啥,呼风唤雨,成果累累;有的公司内控部门要什么没什么,不需要承担什么责任,当然工作成果也乏善可陈。假如让内控部门要什么有什么,那么理想的资源清单应该包括哪些内容呢?必要的授权• 通过授权获取权力
权力是指有权支配他人的强制之力,是职责范围内的支配力量。权力总是与服从联结在一起。任何社会都是一定权力和一定服从的统一。这些权力包括对制度和流程修订的审核权以及对管理信息系统的查阅权。
对制度和流程修订的审核权
拥有对制度和流程修订的审核权,内控部门就可以对制度和流程的修订说“是”或“否”,或者提供建议方案,充分发挥内控的咨询功能。内控部门应将内控嵌入业务流程中,变成绕不过的点,而不是动不动就“体外循环”,使内控成为最后收拾烂摊子的那一位。
正如我在《内控总监工作笔记》第六章中讲过的一个小故事。“曾经有一位同行拍的一张图,至今让我记忆犹新。图片展示的是一辆机场清洁车严丝合缝地停在划定的黄色框线内。清洁阿姨要做的就是按照操作手册的要求,把车停在框线里。若是为了清扫的方便而随意停放,就可能妨碍其他工作的正常进行,如阻挡通勤车的正常运行或阻挡旅客的正常行进等。而划定框线的人则纵观全局,负责整个流程与区域的设计,保证各行其道,互不妨碍。”内控部门就是组织内的“划线人”。
管理信息系统的查阅权
内控部门或人员应获得管理信息系统的查阅权,包括可以查看采购、生产、研发、资产、销售、人力资源、财务等数据信息,如此才可以了解和知晓基本情况,否则就像听觉障碍者和视觉障碍者,如何完成组织划线呢?如何找到需求点和建议方案呢?
我曾经和一位供职于某行业前几位的企业里的同行聊天,他竟然不知道所在企业一年的营业收入,更遑论其他的财务数据和业务数据了。据我所知,这位同行的职务相当于中层管理者。也不知他们的内控计划是根据什么做出来的,更不知他们的内控建议是否真的对组织有用,这无异于盲人摸象。也许对这样的企业来说,内控部门的设立只是为企业立面旗子而已,并非真的要起什么实际作用。
信息是当前及以后最重要的资源。拥有资源就拥有权力,拥有信息的量和质在很大程度上决定了权力的成色。• 取得授权意味着组织地位
对内控部门来说,其组织地位由以下因素决定。
一看在组织架构中所处的位置,由谁直属。内控汇报对象的组织地位通常决定了内控的组织地位。举例来说,如果你由总经理直属管理,就拥有“专属直奏,上达天听”的权力,那么即便有人要“告黑状”,给你“穿小鞋”,你也通常会有个申辩的机会,而不至于死都不知道怎么死的。
二看权力决定的地位。内控部门通过获得权力来初步确定所处的地位。虽然说有为才有位,但有位也是有为的条件之一。
对通透的人,内控人员需要深藏自己的职位、权力,但对那些不知所谓的人、对那些肤浅的人,职位、权力却很好用。如果有一条便捷的通道可选,那又何乐而不为呢?人、财、物、信息等资源
我们永远在和资源约束做斗争,从来不会觉得资源是充足的,以至于有了经济学这门学科,专门研究如何追求约束条件下的利益最大化问题。无论做什么,人、财、物的资源支持都必不可少,现如今还需要再加上“信息”这一重要资源。越往上走,内控人员越会发现想要做的事有很多,但却缺人、缺钱、缺物资、缺信息。管理的意义就在于,在有限资源的约束下考虑人的差异并研究人的偏好,以达到效益最大化。若从内控的角度对这几类资源的重要性进行排序,我的顺序选择是:信息>人>财>物。• 信息资源
按来源分,信息可以分为外部信息和内部信息。有些企业或企业中的某些岗位会对员工的上网权限作限制,会对员工能访问的网站作筛选限制。内控部门首先需要争取让管理层对内控人员解除这样的限制,否则无法获得外部信息。
相比于外部信息,内部信息的控制力度更强。出于维护信息安全的考虑,组织通常都会对人员的权限进行管控。首先,签订保密协议。其次,让所有员工只能得到用于其思考与做决定的必要信息,这体现在管理信息系统的权限上,如对员工所能查看的范围作限制,有的限定只可查看本人所提交的系统记录,有的限定只可查看本部门相关的系统记录,抑或只可查看、不可导出、不可打印等。
内控需要得到相应授权,以获得对内部信息的查阅权限。内控部门也应该是受控的,但相应的信息获取权限应能保证内控业务的具体开展,能保证内控人员及时、准确、全面地了解和知晓公司的情况,以便适时提供适当的管理建议。
外部信息清单,包括但不限于以下内容:
宏观经济:国民经济核算数据、财政税收数据、金融保险
数据、PMI、CPI、PPI等
宏观政策:行业相关政策、货币政策、财税政策
科学技术:新技术、已有技术的新应用
社会文化:社会热点、流行元素
产业与行业:动态信息、趋势研究
客户
供应商
竞争对手
合作伙伴
……
内部信息清单,包括但不限于以下内容:
战略决策信息:战略规划、组织架构、企业文化、公共关系、社会责任
财务信息:投融资、预算管理、财务报告、税务管理、担保、关联交易
法律信息:合规、知识产权、法律纠纷、合同管理
运营信息:人力资源、研究与开发、新业务开发、销售、采购、制造、存货、信息系统、安全生产、环境保护、职业健康
……• 人的资源
除信息资源之外,最重要的就是人的资源了。纵有千般美妙绝伦的想法和方案,如果没有团队去经营管理,没有人手去推动落地,都是白搭。而且人这一资源相比于其他资源,最大的特征是有主观能动性,其不仅是因变量,大多数情况下还是个自变量,还可以利用信息、财、物资源创造更多的产出。人的资源如此重要,所以向老板要人手是内控部门负责人必须要学会和精进的技能之一。
我们需要解决的基本问题是投入产出比的问题,基本的“套路”就是让老板觉得“你所要的”值“你所能给的”。老板心里都有杆秤,不断在衡量投入、产出是否对等,亏了还是赚了。你得思考老板在意的是什么,老板想要的是什么,有什么是你能给的,有什么是只有你能给的;再思考老板为他想要的愿意付出什么,给你几个人,几个什么样的人。
我们公司曾经有一个很重要的并购项目,集团总部特意从海外派了一位负责该并购项目的项目总监A过来。项目前期,我们有个小团队参与其中。后来,项目总监A决定向事业部总经理B要人。接下来的一幕,A在以后的几年里讲了一遍又一遍。
A:老板,我想从您这儿要一两个人过去。
B:(一边打字一边头也不抬地说)可以呀!说,你想要谁,我都可以给。
A:那我要C。
B:(停住手,抬起头,说)这个不行,除C之外都行。
A:那这样,您另外给我一个人。还有,C一周去四天。
B:(盯着他,思忖着说)可以。但是C只能一周去三天,最多两个月。
……
从这个例子里,我们可以看到A的“精明算计”,也可以看出B对项目和对C这个人的看重。A、B双方博弈的结果就是取个中间值。
人这一资源的衡量指标除了数量,更重要的是质量。质量的控制点在于选、用、育、留四点。人员的选聘是人的初始化,决定框架。人员的任用就是充分利用人的差异与偏好,把合适的人用在合适的地方,并考虑人的欲望与成长需求,拟订人的成长与发展计划。再就是人员的完善升级,即人员的培养和训练,其不仅要关注专业技术层面的培养,还要关注思维方式和视野方面的培养。最后是如何留人,留住有用的、想留的人,淘汰不合适的人。人力资源管理是管理学的一个分支,远不是一段话所能概括的,限于本书的篇幅不作展开,仅就选人育人略作阐述。
关于内控人员的自我修炼,可参看拙作《内控总监工作笔记》的第十一章“内控人的金刚钻”中的阐述。此处只提示两点。
一、从见识入手。人的见识决定了人的认知层次,人的认知层次决定了思维方式和行为准则,也决定了工作和生活的高度。一个有见识的人,通常都会具备良好的个人素质,既通情达理也遵守规矩,更会时刻在意周围的环境,尊重别人的感受,考虑做事的后果。一个人的见识,决定了这个人能看多远,决定了这个人最终能走多远。见识的高低,取决于我们的环境和对不断突破自己现有眼界的追求。勤奋上进、虚怀若谷和心怀远方的人的见识,会随着时间的沉淀,变成他们构建人生智慧、获得幸福和成功的阶梯。提高自己的见识和认知,追求个人的意义和幸福感,才是迈向成功的基石。
二、从自我控制入手。内控人员得是个对自己有要求的人,即富有责任感、有企图心的人。内控的工作内容以项目制为主,例行的、重复的、简单的工作内容很少,内控人员必须充分调动自己的主观能动性,主动发现问题,想办法解决问题。在一个眼睛里看不到活儿的人看来,内控部门可以很闲,甚至没有存在的必要。于项目化的工作而言,每一个内控人员都是一个项目经理,会涉及目标、时间、成本、质量、人力资源等方面的管理,协调各方资源控制过程以达成预定的项目目标是必需的技能。技术、工具和方法是一部分,责任心是另一部分,也是最重要的部分。• 物质资源
物质资源包括硬件和软件两方面。
一方面是硬件。一是办公地点。其实,我很喜欢开放的工作环境,喜欢和大家打成一片,这也是了解和融入职能部门的重要渠道。但是不得不承认,独立的办公室有时候是身份和地位的“象征”。二是独立的、自有的打印机、复印机等办公设施。我不推荐内控人员使用公用的甚至是租用的打印机,以避免不必要的解释和泄密的风险。三是计算机。对我们现在必不可少的办公工具——计算机来说,内控人员需要相对高配的计算机,包括处理器、硬盘、存储及其配套的最新版本的办公软件等。
另一方面是软件。一是必要的管理软件,如OA办公系统、管理信息系统(如ERP、SCM、CRM、PLM等)、报表系统、Cloud、SaaS服务等。另外,近些年陆续有风险管理软件或内部控制软件面市,内控人员也可以适当地谨慎使用。二是适当的培训与成长计划,包括提供相应的预算、制订职业发展计划、关注团队建设等。认可
根据马斯洛需求理论(如图1-1所示),人人都希望自己有稳定的社会地位,希望个人的能力和成就得到社会的承认。每个人都希望有地位、有威信,受到别人的尊重、信赖和高度评价。马斯洛认为,尊重需求得到满足,能使人对自己充满信心,对社会满腔热情,体验到自己活着的用处、价值。图1-1 马斯洛需求理论
对内控工作而言,获得顶层的认可,不仅意味着尊重需求的满足,更是获得顶层资源支持的必要条件之一。从顺应人的本性而言,人们总是倾向于喜欢与自己观点一致的人或事,哪怕理智告诉他们这对目标有害无益。“我知道你说的都对,但你说话的样子让我讨厌。”是最糟糕的情形。
引用猎豹移动董事长兼CEO傅盛先生的话,我们应“先了解一下老板是个什么物种”。
在工作场合,所谓老板,不管是CEO或部门管理者,他越优秀,就越不应该是一个人格意义上的人,而是一个职位意义上的人。
第一,他未必比你聪明,但一般情况下,他的见识和判断比你强。他的信息渠道优于你,信息质量和数量超过你,犯过的错误也比你多,应付过的复杂考验、见过的大场面可能也比你多。
第二,你的老板会犯错,但他做对的概率比你大。你没有到他的层级,你很难想象他拿到的信息和判断的依据。从概率来说,他做出正确判断的概率肯定比你大。
第三,他很忙,但对于重要的事情他比你更有时间。每个人都天生认为自己很重要。如果你觉得老板不理你,可能是你表达的东西他认为不重要,或者你没有让他觉得重要。这还是沟通的问题。
第四,他的职位要求比你高,所以你认为重要的事情他往往不在意。经常会有人说:“你怎么不理解我?”我说:“你理解我吗?你那点小委屈在我面前光哭诉就要半小时,我哪有那么多时间?”所以要找到核心点,不要上来就讲感受,要学会反向理解和思考。
第五,老板不是神,很多情况他不知道。最好的办法就是把问题讲出来。有人可能会想,讲出来后,我不成了搬弄是非吗?这是你太低估老板的判断力了。不要忌讳说问题。你把信息告诉他后,他自有自己的判断。
第六,他是资源的汇聚,说服他就能充分放大你的能量。老板本质上是个资源的汇聚体。你说服他,你的能量就可以放大好多倍。如果你认为放大能量不重要,只想安静地做一个员工,那么你在公司体系下很难做出有效输出。
了解老板的基本情况之后,我们接下来就要了解怎么与老板有效地沟通,获得老板的认可与支持。正如《内控总监工作笔记》中提到的,内控系列岗位的核心能力之一便是“与上级相处轻松自如”,尤其是内控部门的负责人。所谓与上级相处轻松自如,主要表现在以下四个方面:
一、在高级管理人员面前能轻松应付,建立良好的沟通关系;
二、理解高级管理人员思考和工作的方式;
三、能和高级管理人员有共同的想法并回应他们的要求,进而确定最佳的做事方式;
四、能巧妙地提出一些积极、有效的方案。
下面我们依照这四方面的能力探讨获取顶层资源支持的途径,从建立沟通开始,针对不同的领导风格确定回应的方式,理解高级管理层的思考和工作方式,就其关注点提供恰当建议,推动落地执行,打造良性循环。• 轻松应对,别紧张
大多数人都有面对老板紧张到手脚都不知道怎么摆的时候。在电梯里偶遇,会觉得电梯“爬”得无比慢,电梯里的气温似乎都瞬间升高了几度;为了打破沉默,可能还慌不择言地闹笑话,恨不得有“撤回键”,把刚说的话给撤回来。
首先,我们得认清自己有紧张情绪这个事实。紧张是人的本能,是在人的进化中逐渐保留下来的。遇到大事件、大人物的时候,我们的身体会分泌肾上腺素,从而让我们的呼吸加快,心跳与血液流动加速,瞳孔放大,为身体活动提供更多的能量,使反应更加快速。
最重要的是不要把老板看得有多重要、高不可攀,其实老板和我们一样,说说天气,谈谈热点,夸夸衣着、打扮、气色,时间很快就“飞”过去了。要积极主动,在聊天前做好准备,包括心理建设和心理准备,真诚、不卑不亢、充满自信。
另外,做人要简单,身要正,心要公。勇于让老板看到真实的自己。坦诚的人,无惧。当你做好心理准备,酝酿好情绪,遇到老板时能比较迅速地切换场景,攒个落落大方的整体印象总是没问题的。• 确定风格,多回应
猎豹移动董事长兼CEO傅盛在谈到沟通时说:“用沟通可以解决80%的问题。”绝大部分工作问题,不是来自技能本身,而是来自沟通。沟通难,难就难在它不以你说了什么为标准,而是以对方懂了多少为准绳。“我们都在使用同一种语言,我们都在同一间办公室工作,我们都在实现同样的目标,可我们之间的沟通却如此之难!”你是不是也有这样的感慨?随便在网上搜索一下,或者随便在书店逛上一圈,我们会发现有关沟通的文章、书籍乃至培训课程比比皆是,但是组织管理中的沟通问题还是没有得到解决。沟通,依然是一个问题!
先放下跨国公司经常挂在嘴边上的“文化差异”不谈,单看本土公司的内部,同样的一句话依然会得到人们不同的解读;同样的办公环境依然不能打破人们内心的隔膜;当然,所谓共同的目标,有时还仅仅是管理者们心中的“愿景”,与员工和伙伴们眼前的追求几乎毫无关联。这样你就能理解管理层对顺畅沟通的渴望了。所谓沟通,不仅要“沟”,还要“通”。
在沟通中,说具体问题是最关键的,老板有他的判断。说服老板不容易,但很值得,要多花时间。老板作为一个资源体,能有时间和你交流,非常难得。很多时候,可能就是几句话就能解决你的很多问题。
千人千面,老板的风格各不相同。有的人喜欢听人娓娓道来,有的人则倾向先听结果再听过程;有的人喜欢事无巨细,有的人则倾向抓大放小;有的人喜欢听口头汇报,有的人则倾向看书面报告;有的人喜欢看Word版报告,有的人则倾向看PPT报告……最有效的方式就是风格“对路”。
著名心理学家威廉·莫尔顿·马斯顿博士于1928年在其著作《正常人的情绪》一书中提出了DISC模型。他采用四个典型的人格特质因子,将人分为四种:“Dominance(领袖型)”“Influence(社交型)”“Steadiness(支持型)”“Compliance(思考型)”。这四类人格的老板对应的特质不同,沟通中需要关注的要点也不同,可以应用一些小技巧,如表1-2所示。
内控人员应多给老板回应。虽不至于早请示晚汇报,但也要经常在老板面前露面,汇报项目推进的进度、计划、方案,不要等到老板问时才匆忙准备。对老板关心的事、重要的事、紧急的事,要勤汇报;对日常事务、重要性不同的事务,要定期正常汇报。《演讲的本质》中提到,如果跟随政治家一天,你会发现他们说的话大多数都是重复的,只不过换不同的场合加一些不同的点缀而已。其实无论是管理层还是内控人员,我们要表达的核心内容并不多,只不过是在不同的情境下表现的形式不同而已。所以,弄清楚管理层真正关心的、表达内控想要的和想做的并不难。
对内控人员来说,找到适合高级管理层的不同沟通风格,找不同的机会多汇报,让他们了解自己的立场和计划,无疑是基本的工作内容。
如果老板都不知道你在想什么、要什么、目的是什么、预期结果是什么,谈什么支持呢?表1-2 DISC特质及沟通注意点• 理解老板,能引导
要充分理解老板说的话,因为这可以让你学到更多。老板对你完成个人目标和个人成长起十分重要的作用,这是一个事实。他的信息和见识一定远远大于绝大部分员工。
理解老板的想法、做法和处理风格,了解其关注点。这里所说的并不是让内控人员有事无事聚集起来,天天坐在那儿琢磨高级管理层的意思,而是要关注老板的关注点,理解老板的处境,理解老板处理问题的方式。
不要用简单的战术问题去和老板的战略意图“作对抗”。每个一线员工肯定有更多的细节执行方面的知识,这样的知识,老板不一定不知道。如果你拿着这些来反驳老板,就会陷入两个不同层级的讨论,这样的讨论得不出有效结果。我们应该反过来理解,老板为什么这么说?他的意图是什么?他看到了什么趋势?我们应如何消化与应对?毕竟老板拥有的信息量更大,有更大概率做出更准确的判断。
有时候,老板也会拍脑袋做出一些让我们觉得是错误的决定。对此怎么办?向上谈判的时候,不谈对象,关键在于站在老板的角度看待整个事件,找出核心问题,并以此为出发点准备支撑整个谈判的资料、数据和信息,我们能给老板带来哪些好处,又有什么风险?
内控人员不仅要能出色地完成部门职责,更要能引导高管的需求和关注点。内控人员要有思想、真执行,能够将高层的思想消化吸收、举一反三,甚至能将高层不完善的思想进一步思考得更加周全,执行得更加彻底并注重细节。
当变革和转型已成为常态、成为决定性变量时,企业最需要的是具有变革意识的领导者,能改变旧有的思维模式和行为模式。这一切首先需要领导者转变思想,并指导组织成员提升专业知识和技能。
内控起着承上启下的作用,需要融会贯通,对上承接高层改革思想,对下指导具体改善。内控人员一方面必须具备变革意识,另一方面要具备专业能力。一个主意、一个流程、一个表单、一个工具、一个顺序的改变都是管理创新。人们往往忽略微小的改善,同时又认为创新高不可攀。如果我们重视“微改善”,从小事做起,创新自然水到渠成。俗话说:不积跬步,无以至千里。丰田的精益生产模式就是经过几十年的渐进改变积累而成的。
内控人员应了解并管理老板对内控的期望。例如,内控到底是做什么的?例行工作的会签是由附和签字承担责任的人来做,还是由协调整个组织的经营管理活动使之更加合法合规、简单高效的人来做?
具体到工作方法上,内控人员应尽量避免以单选题的方式展开讨论,要提供备选方案以减小老板说“不”的概率,同时也要让他感受到你的客观和开放的心态。每一次谈判都是与老板加深理解、巩固信任关系的好机会。• 巧提方案,重执行
在合适的时机提出合适的方案和计划,见机行事,永远不会错。很多时候,方案也许没错,但不是合适的时机,也会导致失败。在行业周期的上升期,谈成本控制是不合适的,但谈市场开拓就是合适的;在行业的成熟期,谈市场开拓的意义不大,谈成本控制则恰逢其时。
时机对了,接下来便是执行,这是把企业战略蓝图转变为现实的唯一路径,在大多数情况下,一家公司与它的竞争对手之间的差别就体现在双方执行能力的差距上。企业执行力怎么样,取决于职能部门的落实,除了一些大的项目,日常工作中的人、财、物资源大多掌握在各个部门经理手上,高管手上反而没有多少资源。
内控部门提供的方案要灵活,如可以模块化,安排不同的组合和模式,让老板做选择题、改错题而不是填空题。有方案必有执行计划,内控人员应为老板勾勒一幅清晰的蓝图。同时,方案还必须有利于聚合各方利益和力量。把各方可资利用的力量都整合进来,让大家一起推动与执行。
有一种成本叫沉没成本,沉没成本是什么?沉没成本是指已经发生的,不能由现在或将来的任何决策改变的成本。人们在决定是否去做一件事的时候,往往不仅看这件事对自己有没有好处,而且看过去是不是已经在这件事情上有过投入。例如,某个周末,你去电影院买了张电影票看电影,结果发现电影并不好看。如果你是理性的,那在做决策的时候就不应该考虑“沉没成本”,而应该中途退场去做别的事情。这是一种明智的选择,因为你用这个时间去做别的事情,可能可以获得更大的收益。但实际上,大多数人会忍着看完,因为想着钱也花了,来也来了,就看看吧,这就是基于沉没成本而进行的继续投入。所以,人们总是更在意自己有投入的事情。内控人员可以利用这样的心理抓住更多的人先行“投入”。
我在读研一时曾经花十五块钱从毕业的学姐手上买下一辆二手的自行车,然后抱怨锈迹斑斑、铃铛声音太难听、骑起来太费劲,等等。后来花280元买了一辆新车,虽然车后圈都曾经被骑得变了形、拧了麻花,但我依然认为那辆新车不错。现在想来,这两辆车后来不见得真有多大本质的差异,而是因为已经花了那么多钱,所以自己必须相信新车比那十五块钱买来的二手小破车要棒才行。
当然,了解沉没成本,并不意味着可以用其大肆“忽悠”人,还是要形成真正能落地的行之有效的方案。画的饼永远解不了饥,指望因梅子而产生的条件反射产生唾液永远止不了渴。
不同性别的人在沟通方面的诉求与特点也不同。男性更希望发言,女性更希望有人倾听。一般来说,男性沟通的重点在于自我表达,别人听不听无关紧要,一旦将自己想说的话说出口,他就心满意足了。女性则极其关注信息的接收者。在争论中,她们的主要愿望不是像划清单一样提出自己的所有观点,而是希望得到倾听、理解和认可。女性会在争论中不断提出要求回答的问题,而男性则是提出一个又一个言之凿凿的“诊断”。
除此之外,还有成本效益原则。请永远别忘记这一原则。这里所说的成本和效益不仅包括有形的,还包括无形的、隐形的,如时间的耗费与节省、名誉的损失与提升、潜在风险的暴露与防范等。
做任何事情都是有资源约束的。管理学、经济学研究的就是把资源的利用效率最大化。内控部门想得到的资源支持意味着成本,效益则是利用所得到的资源获得的产出。能说服人的最好筹码莫过于效益大于成本。任你说得天花乱坠,回头一算对我没好处的事,我也不会干。
以上所提的均是手段,最终目标应该落在为客户提供价值上。请注意,内控部门的工作是为客户提供价值,而不是为某个高管或某些高管谋取利益。第三节 顶层关系维护
内控的顶层关系维护可以从以下方面入手。
首先,内控部门要让老板觉得有价值,有为才有位。
对内控价值的解读,每个组织、每个老板都不一样。内控部门的存在,有的是为了满足公司的监管要求,有的是为了满足运营需要,有的是看上去其他公司的内控很好用我也搞一个,有的是因为别的公司有我们公司不能没有……这一点可从招聘内控系列岗位的岗位职责和任职资格中得以验证。
无论是出于什么需求,内控部门的存在都是有原因的,也是管理层认为的初始价值所在。达成初始价值预期的过程,也是定义内控价值的过程。内控要做成什么样、可以做成什么样、实际上是什么样,不是一蹴而就的,甚至不是可以规划的,而是一个项目一个项目做出来的,是一步一步走出来的。只有有所作为,才能定义你在组织中的地位、你的影响力和你的价值。否则,即使有职级、职位,那也是虚的,盛名之下,其实难副。
正如前文所言,因为企业的发展目标是为客户提供价值,所以内控的目标也应该落在客户价值上。内控部门应发现企业内外的改善空间,找到体验与管理的结合点,让客户的体验越来越好;以客户为中心找到客户真正想要的,再把自己的长项做得更加优秀,拉大与竞争对手间的差距,让其更加无法超越。
我们可以将整个营销过程看成一个价值感测、价值创造和价值传递的过程,其中价值感测过程的目的是发现新价值的机会;价值创造过程则研究如何有效地形成和塑造更多有前景、有新价值的市场供应品;价值传递过程涉及如何运用企业或营销组织的资源基础和能力,更有效地将价值传递给最终顾客。顾客感知价值的核心是顾客所获得的感知利益与因获得和享用该产品或服务而付出的感知代价之间的权衡,即利得与利失之间的权衡。内控要做的是有效地保证企业实现为客户提供价值的过程。
其次,内控人员和管理层之间要相互理解、信任、尊重、欣赏。
美国通用电气公司(GE)有一条著名的审计理念:我们帮助董事长、总经理想问题,做董事长、总经理想做的事。“为什么有些老板对做内控不积极?因为他们怕‘革’了自己的命!”著名内控专家、复旦大学李若山教授一语道破了内控制度在部分企业迟迟无法真正实施的原因。目前,我国企业往往在制定内控制度的时候很积极,但在具体实施时就几乎全部搁浅,而且,企业的内控自我评估报告千篇一律。
真正关心内控的人有两类,一类是股东。民营企业的老板通常比国有企业的老板更加重视内控,因为他们既是企业的管理者,也是股东,会从股东的利益出发看问题。他们很清楚:内控做不到位,受损的是自己和其他股东的利益。另一类是刚上任的管理者。因为他要介入固有的利益格局,所以需要通过内控打破利益格局;当然反之亦然,打破利益格局才能真正导入内控,因为一个企业的流程实施久了,就会产生部门利益甚至是个人利益的纠葛。
在参加一个内控相关的沙龙活动时,有人问了我一个问题:“如
试读结束[说明:试读内容隐藏了图片]