企业内外部环境总是存在各种不确定性,且企业自身管理能力并非完美无缺,因此,企业在经营过程中会遇到各种各样的风险。内控是企业风险管理的必要环节,是为实现企业经营目标而提供的一种过程保障。
做好内控既需要通过风险识别找到控制什么,也需要通过管理制度与流程明确如何控制。风险因其发生的时间、空间、涉及的核心人员等不同,所使用的控制方法也不同。任何内部控制政策和措施的制定都应基于企业的自身需求。从一般方法上讲,内控可分解为监控与控制两个方面。当监控与控制协调且平衡地运行时,内控才可能更加高效地实施,且对企业经营目标的实现形成正向推动。
“控制”是由有关人员直接去控制风险,根据业务指引按照合规程序执行相关业务流程,此处的有关人员主要包括柜员、业务操作人员、执行人员、决策人员等。“监控”是对风险因素是否超过阀值、控制层面的履行情况是否正常、各职位人员是否尽职等进行监督,参与监控的部门有风险管理部门、审计部门、与业务经营决策环节同步进行的监事会、风控委、首席风险官、监理等。一般来说,总部相关部门侧重监控职能,各决策层和业务层的经营行为融入了控制风险的职责。
如果将经营管理比喻成汽车行驶时的动力系统,那么内控管理就是制动系统。踩下油门,车就会加速;转动方向盘,车的方向就会改变;踩下刹车,车就会减速或停止。我们再进一步将内控管理做一个分解比喻。汽车的仪表系统、镜像系统为内控管理的“监控”服务,这些系统可以显示或提醒驾驶者关于部分路面情况、车辆自身情况是否正常的信息。制动系统为内控管理的“控制”服务,当发现异常情况时,驾驶者果断制动,规避风险或减小风险可能带来的损失。
监控与控制应当协调且平衡地运行。如果监控的角度不对、力度不足,很有可能无法及时发现潜在的风险已经临近,未能及时采取相应的控制措施。如果监控的内容事无巨细,所需要的成本必然非常高昂,成为企业经营的沉重负担,耗用过量的经营资源,妨碍经营目标的实现。
监控点应该是对企业经营具有重要影响的风险点,监控范围和力度应综合考虑企业经营成本和潜在风险所带来危害的大小,而且监控与控制之间应具备非常畅通的传递机制。监控得到的内容必须准确、及时地传递给控制执行人,以便控制执行人非常明确潜在风险的重要性和发展状态,从而能采取相应的控制措施。控制是否过头,是否对企业经营造成了更多束缚,在很大程度上有赖于对监控的重视和合理利用。不懂得合理利用监控,一味担心风险发生,只是强调严格控制,可能会成为企业创新与高效运作的绊脚石。
相关拓展: