告别“碎片化”管理：构建企业六大内控闭环（完善管理闭环）

来源：冯萌博士 阅洲内控与风险管理

告别“碎片化”管理

构建企业六大内控闭环

一、“碎片企业化”内控——企业问题“症状解”

随着我国企业管理者内控意识的逐步提升，很多企业也开始逐步制定各类内控措施。然而，我国企业仍然普遍地、显著地存在内控体系各环节间相互脱节的问题。内控体系“碎片化”，已成为困扰我国企业管理水平持续升级的重要因素。企业内控“碎片化”通常表现为：

1. 似乎企业所有的业务领域都得到了管理，但仍会在关键环节出现问题；
2. 看似当前已经解决的问题，在后续期间仍然重复出现；
3. 解决一个问题，却会出现另外一个甚至更严重的问题；
4. 流程似乎健全，但无法得到理想的流程输出结果；
5. 企业各部门在实现了专业分工的同时，却莫名导致了严重的管理割裂；
6. “意料之外”的问题频繁发生。

彼得·圣吉在《第五项修炼》里提到，问题的解决方案既有“根本解”，也有“症状解”——“症状解”能迅速消除问题的症状，但只有暂时的作用，而且往往有加深问题的副作用，使问题更难得到根本解决。而“根本解”是解决问题的根本方式，只有通过系统思考，看到问题的整体全貌，才能发现“根本解”。

闭环式管理由平衡计分卡创始人罗伯特·卡普兰和戴维·诺顿在《闭环式管理：从战略到运营》一文中提出。概言之，闭环管理通常指企业管理中有规划、有布置、有落实、有检查、有反馈、有改进的一个闭合环式管理。

相对于“碎片化”，“闭环”会体现出系统、周全、动态性、以终为始的特点。从“碎片化”内控向“闭环”内控的转变，本身就是从“症状解”向“根本解”的过渡。企业内控体系的有效建立，需要基于“全局化”视角，在设计过程中着力构建一系列重要“闭环”。

二、内控闭环——企业问题“根本解”

（一） 告别“控制重点碎片化”——建立“战略管理与内控体系闭环”

企业出现“控制重点碎片化”问题的典型现象包括：

1. 内控体系忽视企业发展阶段和当前重点工作目标；
2. 片面追求内控体系全覆盖、甚至照抄其他企业成熟制度流程。

例如一家企业，其核心战略是同行业并购，然而其看似完善的制度流程体系（人事、行政等规范制定得非常详细）中却未见投资管理相关内容，这将直接制约投资管理活动的开展。

企业的各项活动、资源投入，都应该紧密围绕企业的整体战略展开，内部控制体系的搭建也是如此：企业内控体系应根据并分解企业整体战略制定控制目标，识别可能威胁目标实现的主要风险，进而根据风险评价结果制定相应的控制措施，且控制措施的实施和输出又可支持战略目标的实现。“战略管理与内控体系闭环”应该表现为：

1. 识别重点管理范围：企业通过战略分解形成企业核心业务内容，公司内控体系应该全面涵盖并支撑核心业务的开展。在公司运营过程中，重要的业务事项应能找到对应制度流程、而制度流程能够有效反映业务事项内的重点管控内容。
2. 突出重点风险：企业应从战略视角来识别和评价各类风险，即以各类风险对战略目标的影响程度来判断风险等级。

实现“战略管理与内控体系闭环”，一方面，企业应规范执行各项战略管理工作（发展战略和规划、投融资计划、年度经营目标、经营战略等）；另一方面，企业需打通战略管理工作与内控工作之间的接口，紧密围绕企业战略重点业务内容开展职责梳理，制度流程设计、风险评价等工作。

图示：战略管理与内控体系闭环

（二）告别“风险识别碎片化”——建立“全面风险识别闭环”

全面的风险识别是有效制定控制措施的前提，而“风险识别碎片化”则表现为企业欠缺系统的风险识别能力，终难免出现“风险死角，挂一漏万”。

例如，在2018年长安信托刘佳宇案中，刘佳宇首先按公司要求把做好的合同交至公司合规部审核后盖章，他拿到盖好章的合同后，将里面约定投资范围限制性条款的那一页抽出来，然后替换为私自更改的一页，把原合同中投资范围限制性条款“不包括中小企业私募债”更换为“中小企业私募债”，并删除了这句话下面的三段关于证券评级方面的限制，把整页的行距加大，把这份更换后的合同直接寄给执行方华泰柏瑞。华泰柏瑞盖完章后又寄给刘佳宇，他又把原来不允许投资私募债的那一页换回，拿到公司存档。整个过程长安信托业务及合规等部门并未察觉。事后，刘佳宇与资金掮客伪造虚假的资产估值表提供给长安信托以掩盖资金实际投资方向。

图示： 长安信托刘佳宇案中各方关系

可见，在整个流程中，长安信托已采取了一系列控制措施（如由合规部门对合同草案进行审核等），但未能充分识别在已用印合同与合同对手交接阶段的风险，使得刘佳宇利用与华泰伯瑞在合同交接过程中“单线联系”的机会成功实施了舞弊。（详细内容请参看《长安信托现“内鬼”，“阴阳合同”瞒天过海，违规操作获利千万》（宋志强、王家兴））

企业实现“全面风险识别闭环”，一般可以从如下三个角度展开：

1. 从风险源的角度，风险识别应该涵盖各类主要风险源，例如《中央企业全面风险管理指引》中所归纳的战略风险、财务风险、市场风险、运营风险、法律风险五大类风险。
2. 从业务流的角度，风险识别应该实现“全流程”以及“流程端到端”，即应针对所有主要流程进行风险识别，而在具体流程层面，风险识别应涵盖“端到端”。
3. 从风险事件处置角度，应完善事前风险预判、已发生风险事件剖析总结等具体管理活动。

图示：全面风险识别闭环

（三）告别“人员因素碎片化”——建立“流程、职责、素质及‘权责利’闭环”

“人员因素碎片化”是指企业在内控体系中对“人”的因素缺乏系统考虑，通常的表现形式为：

1. 流程与职责缺乏匹配，流程中各项工作的职责归属不清。例如一家企业耗费巨大精力完成了流程设计，但因为部分关键职能在相邻部门间纠缠不清，而最终导致流程管理收效甚微。
2. 岗位与人员素质缺乏匹配。如果各岗位上人员的专业素质无法支撑对应岗位职责，那么即使流程清晰、职责明确，也无法形成有效的管理绩效。某董事长认为企业长期存在的各部门分散采购的情况已经导致采购失控，为实现集中采购拟大幅度增加采购部门的采购范围，却因为采购部门缺乏熟悉各业务条线具体采购需求的专业人员配备，一旦集中采购即可能产生巨大的技术风险（采购结果无法有效满足使用部门需求），最终导致企业迟迟无法真正实施集中采购。
3. 部门/岗位 “权责利”三者不对等，可能导致人员行为的严重异化。例如，在“有权无责”的情况下，人员可能过度冒险；而在“有权责但无利”的情况下，人员则会缺乏激励，工作懈怠。

针对上述问题，企业应建立“流程、职责、素质及‘权责利’闭环”，其关键要素包括：

1. 流程步骤通常应明确针对具体业务事项的操作步骤，同时需要明确各操作步骤所对应的部门/岗位职责。
2. 根据流程、职责的要求，应明确各具体岗位人员的专业胜任能力。在企业实际操作中，则体现为业务部门、制度流程管理部门与人资部门应充分配合，确保部门/岗位职责与人员招聘要求、培训以及考核筛选要求内在一致。
3. 对于具体部门和岗位，应根据其职能，实现“权、责、利”对等，即拥有具体的业务权限，则必须承担对应的责任，同时享受对应的利益。在企业具体操作中，则体现为针对特定部门和岗位的权限、绩效和考核机制。
4. 从动态发展的角度上看，则表现为企业依据流程要求不断调整人员结构/素质的动态过程。

图示：流程、职责、素质及“权责利”闭环

综上，两个企业具备完全相同的业务流程，但可能因为执行人员自身的差异而产生完全迥异的执行结果。反言之，具备相同胜任能力的人员，也可能在不同的流程设置中对企业发挥完全不同的价值。例如，在有的企业中，财务专业人员会在项目立项、成本核算、合同签订等关键业务活动中提供非常有价值的输入，而在另一些企业，则仅仅是一个操作层面的“账房先生”，价值差异显而易见。

（四）告别“时间维度碎片化”——建立“事前、事中与事后管控闭环”

“时间维度碎片化”是指企业内控体系在时间维度上形成割裂，典型表现为：

1. 只有当出现了问题时，企业才会着手解决，缺乏针对问题的预判；
2. 企业只会用最直接的方式解决眼前已经出现的问题，不考虑当前的解决方案是否能够在长期内有效，更不考虑与企业长期发展相伴的各类变化因素。

例如，很多企业领导发现应收账款收不回来了，就责成对应销售人员去催；发现车间现场脏乱，就马上责令车间人员去清扫。事实上，降低应收账款收回难度更根本的方法应该是在销售前加强对客户的信用风险评估，在销售过程中加强对客户的监控，以及销售后对账期的跟踪控制；而解决车间脏乱问题，则需要明确车间相关人员的工作职责、制定与车间清扫有关的工作计划并且加强现场检查。

在企业，无论是常规工作事项，还是“一事一议”的非常规事项，都应该建立涵盖“事前、事中与事后管控闭环”的闭环，做到“计划先行、持续跟踪、事后评价反馈”。

以企业财务管理为例：

1. 事前规划：在企业制定各项工作计划时，充分考虑财务预测及财务绩效期望。
2. 事中控制：财务职能应持续关注财务事项规范性、同时不断将财务执行情况与事前计划进行比对并进行偏离分析及管理。
3. 例如：在工程项目工程款支付过程中，财务职能应对：
4. a.该工程项目是否属于经规范立项审核的项目；
5. b.相应款项支付是否经过专业部门的量价确认、相关原始凭证是否完整规范；
6. c.所支付款项是否在适用资金预算范围（资金预算的制定同时要与整体工程预算存在合理的勾稽关系、对应合理性，这也是财务职能需要进行专业关注的事项）之内、如存在预算外支付是否经过预算外管理流程。
7. 事后评价与反馈：应从财务指标的角度，对业务执行情况进行客观及时的反馈。

图示：事前、事中与事后管控闭环

另一方面，有一些控制措施本身在建立过程中即需要“时间”变量的持续积累，比如高质量供应商库的建立，短期内往往难以解决，通常只能基于持续积累，在长期内逐渐积累形成。

（五）告别“流程衔接碎片化”——建立“流程衔接闭环”

企业出于专业分工、职能归口等考虑，会在企业架构中设置各类专业部门/岗位。但实际操作中，这种设置却极易出现“部门墙”、“流程断点”，导致业务流/信息流被切断，对企业整体经营效率产生巨大影响。

一家企业的财务部门职责中包括合同审核，然而，财务部门拿到合同时，常常既不知道这份合同前期履行了什么程序，也不清楚财务审核之后合同还将履行什么程序，财务部门只能基于自己的判断确认审核范围和审核重点，审核效果大打折扣。

某药企在研发过程中，“中试”阶段需要使用特定研究相关设备，但由于采购部门未及时启动对应设备采购工作，导致在前期研发工作完成后无法及时推进至“中试”阶段，严重影响研发工作进度。

管理流程需要进行紧密衔接，但经常被忽略的典型例子包括：

1. “设备采购流程”与“设备资料档案流程”脱节，导致设备资料遗失、查阅混乱等问题；
2. “采购验收流程”与“供应商评价流程”脱节，导致供应商缺乏有效评价、供应商整体质量低下等问题；
3. 各类业务管理流程与“合同管理流程”脱节，导致合同评审缺失、合同评审效率低下等问题；
4. 业务职能与法务及财务职能脱节，如财务付款阶段，未明确规范规定不同业务应提交的单据，影响执行效率；对持续性多笔付款又缺乏跟踪（如研发外包进度付款），甚至出现重复付款。

建立“流程衔接闭环”，企业应该做到：

1. 在企业层面制定完整的流程体系框架，确保相关流程间能够相互支撑。如企业拟制定供应商评价流程，则需要为此流程设置能够输出供应商表现数据的配套流程（如采购验收流程输出供应商供货验收合格率数据）。
2. 在具体部门/岗位层面，明确流程间的衔接接口。如在财务支付流程层面，应明确各类可能产生款项支付需求的流程的输出要求，如应形成的记录、应获取的原始凭证、应获得的管理层授权等。

图示：流程衔接闭环

（六）告别“内控执行碎片化”——建立“内控体系落地闭环”

“内控执行碎片化”是指企业缺乏对制度流程自身的系统管理，导致制度流程实际落地执行效果大打折扣，甚至流于形式，其典型表现形式有：

1. 成文制度流程发布之后，无强有力的宣贯手段，员工实际掌握情况也无有效的反馈手段；
2. 成文制度流程发布之后，对制度流程的执行效果无有效的反馈手段；
3. 对成文制度流程自身缺乏有效的维护机制，要素缺失、版本混乱。

针对这些问题，企业必须克服“制度主要发布了就一定会得到执行”的错误观点，构建“内控落地闭环”。“内控落地闭环”的关键因素包括：

1. 围绕成文制度流程的维护管理机制，如制度流程的分类、分级、要素、归口部门、版本、发布、修订、生效等工作内容；
2. 成文制度流程发布后的培训、宣贯工作机制，包括针对员工的制度流程培训、答疑等工作内容；
3. 员工对成文制度流程掌握情况的反馈、考核机制，如员工制度流程掌握情况测试、反馈及结果考核等工作内容；
4. 成文制度流程执行效果反馈机制，包括制度执行意见/建议反馈、内控评价等工作内容。

图示：内控体系落地闭环

结 语

企业自身是一个复杂的系统，为了真正提升企业管理水平，企业内控体系也必须具备系统化、动态化的特征。企业内控本身是一个渐进的过程，初期通常会呈现“碎片化”的特征，但从长期来看企业不能止步于“碎片化”，而必须不断努力建立内控闭环，才能从根本上发挥内控体系的价值、提升自身核心竞争力、支撑企业战略目标的实现。