AMT的集团内部控制体系产品正是基于上述思路设计。
第三,推进方式问题
有的公司领导把内控体系建设任务下达给审计部、企管部或法律部,让这些部门自己去推进,结果处处碰壁,部门间协调起来困难重重,体系建设进度一拖再拖,成果质量不符要求。
其实,内控体系建设必须要把握好以下原则:“高层重视、全员参与、考核纳入、逐步推进、分布实施。”笔者2011年在江西省某大型试点上市公司的内控体系建设项目经验值得借鉴:
(1)成立内控体系建设领导小组,由董事长、总经理分别任组长及副组长,各副总为成员;下设项目办公室,由总经济师任办公室主任,成员由各部门经理组成,其中审计部经理为组织者,协调各项工作。
(2)通过邀标方式选择了知名度高、专业实力强、经验丰富的咨询公司,提供全程咨询、技术辅导及成果检核服务。
(3)公司总部每个部门抽调2-4名人员,各试点子公司分别抽调5-7名人员,合计抽调100多名人员配合内控体系建设。(实际建设工作中有更多人员配合,几乎实现了全员参与)
(4)建立了内控体系建设考核方案,对各部门及试点子公司进行考核。每月由项目办公室、咨询团队进行评分。综合排名前三的部门进行公开表扬,增加5%-10%年终奖比例,排名最后的部门进行批评,扣减5%年终奖比例。
(5)配合咨询团队制定了详细的工作计划,稳步推进内控体系建设。每周五下午三点开例会,咨询团队及各部门经理进行进度报告、成果检核、问题研讨。咨询团队深入到每个部门进行手把手辅导,对各部门工作成果进行检核,反复修订。
(6)内控体系建设初步完成后,分别召开了专家评审会、经理会、董事会对成果进行检核。
(7)制定了两年的内控体系分布实施工作计划,先选择三个部门及一个子公司试行三个月,第四个月对试行中发现的问题进行集中调整,然后再全面推广到所有部门及子公司,并在后续不断改进。
三、为什么有些企业建设不好全面风险管理体系
全面风险管理体系可谓是内控体系的升级版,内容比内控体系更丰富。很多企业建设全面风险管理体系遇到了与建设内控体系极为类似的问题,最终成果华而不实,难以落地,没有价值感,主要原因如下:
第一,理念问题。这一点跟内控体系建设类似,不再赘述。
第二,方案问题。目前很多咨询公司的方案仍是传统方案,基本上是根据06年《中央企业全面风险管理指引》设计,主要包括风险现状诊断、全面风险识别与评估、风险应对策略设计、风险管理组织建设、流程梳理及风控矩阵编制、全面风险管理报告编制、全面风险管理手册编制等。这种方案很符合指引要求,但存在以下弊端:
(1)没有以战略分解作为出发点设计方案,最终成果可能与战略不匹配。与传统内控体系方案的问题类似,不再赘述。
(2)没有设计全面风险管理工作规划。公司既然可以制定战略规划、产品规划、人力资源规划、营销策略规划等,全面风险管理也应当制定工作规划,以“体系搭建、稳步推进、高效融合、能力提升、行业标杆”为基本思想,设计未来五年的全面风险管理工作规划。
(3)没有融入集团管控思想,风险管理组织建设仅有横向的三道防线(各部门为第一道防线、风险管理部及风险管理委员会为第二道防线、审计部及审计委员会为第三道防线),没有纵向母子公司间的风险管控条线(风险总控条线、人力资源风险管控条线、财务风险管控条线、营销管理风险管控条线、生产管理风险管控条线等);没有明确各部门的风险管理职责,编入部门及关键岗位的职责说明书。
(4)没有把风险预警体系建设作为重中之重,这才是全面风险管理体系最具价值的内容。传统方案一般只设计财务相关的预警指标,其实外部环境、战略、人力、生产、研发、销售、财务、存货、信息等各个方面都可以设计预警指标。
(5)全面风险管理信息系统不实用。目前国内有全面风险管理信息系统产品的咨询公司或IT公司不超过五家,据笔者从客户处了解,这些产品都过于技术化,看起来很先进,用起来不实用,对操作者的风险管理知识要求较高,而且耗费较多人力成本。
对此,笔者去年设计了一个新的全面风险管理信息系统框架,旨在“让不懂风险管理的人也能通过这套系统进行风险管理”,并且利用“流程引擎+BI+知识管理”驱动技术,实现全面风险管理信息系统与ERP及其他信息系统的数据交换及流程监控,实现真正的全程监控、自动预警、风险跟踪等真正有价值的功能。
第三,推进方式问题。这一点跟内控体系建设问题类似,不再赘述。