安全与效率是任何一个组织都必须面对的基本矛盾,企业整体风险管理与内部控制常也被视为一个专有的体系来对待。现实中,企业需要面对自外部意外、专业性意外、人为性意外等诸多方面的风险。因此,在流程设计时,必须考虑必要的内部控制措施。这里,我们主要探讨应对人为性意外的内控,也就是应对个人、部门、公司直接博弈意义层面的内控,针对的是工作中的利益冲突与工作懈怠。
流程活动常被分为增值性的活动与不增值的活动。其中,出于内控考虑的活动就包含在在不增值的活动中。虽然那些必要的内控活动不能再产品意义增值,但对组织有很大价值。很多时候,因为内控过度导致人们对流程活动中过繁的控制环节多有抱怨,但是,现实中企业疏于内控的情况同样也很多。
企业整体层对安全与效率矛盾的定位是内控具体措施设置的引领性原则。然而,很多企业在安全与效率关系上并没有清晰的定位,同时也不能全面系统地掌握方方面面可能存在的风险,在内控上只是依靠感觉,或是模仿其他企业做法,这就不免出现随意性强、执行效果差的内控措施。针对这类情况,我总结了如下几条指导原则:
1.最小必要性原则
着眼于内控的流程活动虽对组织安全有价值,但它毕竟有成本,且不能直接为产品或服务创造增值。因此,在满足组织风险偏好基础上,内控活动应该是越少越好。从外在看,各行业市场竞争越来越激烈,客户诉求的响应也越来越高,这要求企业必须尽量多地将资源投入到创造增值的“刀刃”上。
当谈及内控活动最小必要性原则时,多层审批容易首先被联想到的。其实,多层审批本身无所谓好坏,问题往往出在“形式主义”和“拖下水主义”上。最典型的表“形式主义”,就是在多层审批中,把相关部门层级尽数纳入,此时考虑的已经不是流程本身,而是组织伦理与象征性。若把某个层级节点的管理者排除在外,仿佛有犯政治错误的嫌疑,所以还是尽数纳入吧!“拉下水主义”则是把尽量多的相关岗位拉入审批,名义上是求稳妥,实则是为了万一出现问题好让大家一块抗,另外还可防止这些人如果身在事外而可能的抨击。
组织本身的层级与不合理多层审批有非常大的关系,因为它影响的不仅仅是某个流程,而是几乎所有流程。所以,组织应该尽量控制纵向层级数量。换个角度看,层级问题实质是授权问题。要层级减少,授权就要尽量下移。但授权是有条件的,就是组织基础管理机制与人员匹配度。当基础管理机制缺失、全员归属感很弱时,往下授权不仅实施困难,而且是风险很大。相反,如果企业基础管理扎实、人心归属感强,向下授权就变得相对容易,比如OPPO这个公司。当前,OPPO的部长级的管理者,普遍都是80后、85后,他们大多是一毕业生就进入公司,管理经验不一定特别丰富,但他们归属感很强,所以在很多方面,企业授权都是下放到了部长层级。
2.内控离线化
凡事有事前、事中、事后三个阶段,在任何一个阶段都有设置内控措施的空间。也就是说,内控措施在三个阶段内都具有可运筹性。在现实中,在没有经过全面运筹以“自然态”运行的流程中,人们总是把内控措施内置到“事中”。这是最直接的方式。但无数经验告诉我们,内置方式对事情本身的效率影响很大。所以,应该把目光从事中扩展到事前与事后,以更全局性的视野来寻找最优方案。
如果把事中措施就看作是在线措施,那么事前与事后的内控措施就是离线措施了。相对在线措施,离线措施具有不占用事中时间,且时间相对充裕的优势。标准对企业业务既能起到指导的作用,也能起到约束的作用,而且企业中的很多业务是有标准可循的。要做好内控,关键是标准要具有相对的可分离性。就是说,在具体事件前来临之前,可以先定好标准。比如一次招标活动,可以事先花些功夫分析招标可能面临的风险,如邀标时应先有标准来保证竞标供应商的资质底线及他们之间是否真正形成了竞争关系。这些标准就像是一个筛子,能提前消除一些风险。事后控制的主旨是保持“秋后算账”的可能性,形成一种威慑机制。统计分析、举报、审计等手段都可以算做事后内控措施。让事后内控措施发挥作用,流程本身的透明度、可返溯性(即保留事情的证据链)很重要。实现流程透明化、全程可返溯性,IT支持是不可忽视的基础。
3.成本意识
成本意识,即投入产出比意识。内控措施本身是要有成本付出的,它与减少被控事件的可能损失形成投入产出比关系。投入产出比是判断某种内控活动是否值得去做的核心指标。从这个角度往往可以找到突破传统认知以优化业务流程的机会。华为早年的因质量问题被客户退货的设备,要先退到各地代表处,然后再运到深圳总部进行处理。后来经过计算分析,华为发现退货成本高于最后退货处置收益,于是修改了流程,由各地代表处就地处理退货设备,这样节省了以物流成本为主的大量退货成本。这种改变其实就是砍掉了基于内控的活动而节约了成本。
4.组织制衡
组织制衡是指在组织分工与流程设计中,有意识地分割不同部门之间的权责,从而使他们形成互相监督、互相制约的关系。企业内最众所周知的组织制约关系是会计与出纳之间的关系。对于组织制衡,前文已有论述,此处简略。
5.系统化围剿
控制风险、保证安全是一个系统性的工作,任何一个单一的内控手段都做不到一劳永逸,只有系统化、多维度、多点的“围剿”才能形成“1+1>2”的内控环境。大体而言,只有通过企业治理结构、组织分工、体系建构、资源匹配度、个体裁量空间控制、责任强化、过程透明化、审计等等立体型“围剿”,才能形成一个真正系统化的、稳定的内控体系。
