一、内部控制建设是一个循序渐进的过程
企业内部控制建设的第一个阶段是“监督管理阶段”。在这个阶段,企业还没有系统的内控制度体系,还停留在以人管人、以人监督人的阶段。这个时候企业发生了经营、资金、市场等风险状况时,往往采取的是“救火”的方式去解决问题,即哪里着火了就去救哪里,缺乏系统的、全面的制度体系建设。这一阶段强调的是对关键风险的监督,即对已经发生的或可以预见将要发生的风险点进行监督管理。我公司目前应该也是处于对关键风险进行监督管理的阶段,通过近半年来各部门对流程制度的编制和整理,我公司也基本搭建起了初步的流程制度体系框架,对其中的一些风险点也有了一些认识和防范。但是总体而言,仍然处于看火救火,缺乏系统管理的层次上。
企业内部控制建设的第二个阶段是“融入管理阶段”。在这个阶段,强调的是对运营过程的管理,即所谓对关键过程的控制,将内部控制的思想体现在运营过程管理活动中,实现日常化、体系化的风险管理。它与上一阶段不同的是,不再强调“着火”这个结果,而是强调通过各岗位人员规范化操作避免“火灾”的发生,因此更强调经营过程的合规性。目前我公司正在推行的生产部门二次革新、内部审计活动,也是往这个方向发展的一个体现。而通过阅读《企业内部控制应用指引》也可以发现,其中的内容也是引导企业建立有效内控制度,也是强调的对企业运营过程的规范。它其实也在告诉我们,如果做一件事情它的每个步骤和重要环节都是合乎规范的,那么这件事情的结果至少不会出太大的偏差;如果其中一些步骤是不合规的,那事情的结果就有可能蕴藏巨大的未知风险。比如最近我公司发生的某销售人员挪用房租的事件,仔细分析事件的整个过程,会发现其中经过的很多环节都是因为贪图一时方便或其他人为原因而没有按规范流程操作,因此埋下了重大的隐患,不得不引起我们的重视和反剩因为风险的始作俑者的一个重要行为特征是,他总是千方百计地找出种种理由阻扰正常流程按规范操作,总是在不断强调特殊原因从而绕过流程制约,最终达到自己的目的。
企业内部控制的第三个阶段是“提升管理阶段”。在这个阶段,企业已经达到一定规模,并且内部控制体系已经有了相当的基础,这时企业就可以以战略为核心、以集团管控为手段、以实现稳健运营为目标,进行全面综合的风险管理。这个阶段的重要特点是,内部控制要充分体现企业集团战略,将内部控制以战略为核心贯彻到集团的各个事业部、体系或子公司中,并且建立风险预测、评估和应对过程管理系统等更高级管理手段,对企业所有运营过程进行信息整合和分析。