在實務中,經常會有企業的管理層特別是高管,抱怨內部控制體系就是增加一堆表格和籤字,但卻沒有人能解釋為什麼要籤字;同時,企業管理層真正希望解決的問題,卻幾乎沒有觸及到。
造成這種局面的直接原因就是缺乏對風險層次的清晰認識,進而導致在內部控制建設過程中只局限在操作性的業務流程層面,而忽略了或者無法將針對戰略性風險和戰術性風險的控制措施落實到位。
戰略性風險的主要控制措施是完善決策機制和企業定位,常見的內部控制措施包括決策程序、決策標準和決策能力的建設。企業戰略目標的涉及面從抽象到具體可以包括願景、定位、規劃和產品,因此,對戰略風險的管控措施更多是從資產組合、決策/定位和培養競爭優勢等著手。
戰略性風險的內部控制建設成果可以體現在公司治理文件、集團管控模式、企業的戰略定位和商業模式等載體中。
戰術性風險的主要控制措施就是完善管理機制,常見的內部控制措施包括崗位設置、預算管理、運營分析、績效管理和預警機制等。
其建設成果可以體現在崗責體系、流程體系/價值鏈(即一級流程)和基本管理制度等載體中。
操作性風險的主要控制措施是作業動作,常見的具體措施包括不相容職責分離、授權/審批、查證/核對/覆核、財產保護和會計系統控制等。
其建設成果可以體現在權限指引、具體管理制度、標準操作流程(對流程體系的細化和分解)和業務表單等載體中。
在企業管理中,這三個層次的管理活動是層層推導的,因此,同樣的戰略定位可能因為不同的策略而需要不同的管理機制和業務流程,進而需要不同的控制措施。
比如,同樣以創新戰略作為戰略性風險的控制措施,索尼公司將研發團隊分為三個小組,第三組的任務就是淘汰前面兩組的產品;而3M公司則鼓勵員工利用20%的工作時間和公司的資源去做自己的發明創造。兩者落實戰略的管理機制不同,對應的流程活動和控制措施也將大相逕庭;但兩者最終都在市場上取得了成功。