发展战略内部控制设计实务
发展战略内部控制设计实务(上)
目前,理论与实务界对发展战略内部控制设计这个概念还没有统一的定义。笔者认为,可将发展战略内部控制设计定义为:在遵循国家和企业发展战略相关法规制度的基础上,以国家监管部门制定的内部控制规范及其应用指引为依据,结合企业组织架构的实际情况,用系统控制的技术和方法,构建企业自身发展战略内部控制体系的动态过程。简单说,发展战略内部控制设计,是发展战略内部控制建设的首要环节。
设计范围与流程
根据《企业内部控制应用指引第2号———发展战略》(以下简称《二号应用指引》)的界定,发展战略内部控制的设计范围包括长远发展目标和战略规划两个方面。中天恒3C框架认为,长远发展目标确定企业发展方向和未来预期达到的目标,而战略规划则是实现战略目标的路径,即通过什么路径实现长远目标。
目标与规划是发展战略相辅相成的两个方面。没有目标就谈不上战略;而光有目标没有规划,目标就无法落地,就无法实现。战略决定了企业长远发展的方向和目标,以及为实现方向和目标所需要采取的步骤、方法和措施。因此,企业制定和实施发展战略具有十分重要的意义。
发展战略内部控制设计是个复杂的系统工程,其基本流程包括设计准备、设计实施、试行及完善等。中天恒在内部控制设计实践中,将收集资料和了解情况、现状流程描述、进行风险评估、寻找控制点,确定控制措施、明确控制责任、完善控制证据、编制内部控制文档、设计内部控制手册、制度优化等内部控制设计流程,高度概括为描述现状、风险评估、设计控制三个关键方面。这三个方面同样适用于发展战略内部控制设计。不过,根据发展战略内部控制设计操作的需要,在基本流程的基础上,还应该有多层次的具体流程,每个具体流程还需要明确工作内容、方法、步骤以及相应的表单等,同时突出发展战略内部控制设计的特色。
描述现状
要构建与实施发展战略内部控制,企业要在认真学习领会国家法律法规的基础上,对内部发展战略的现状进行仔细梳理。笔者认为,梳理发展战略现状的工作主要包括:
1、梳理描述制度文件。这是指梳理发展战略方面的内部管理制度或相关文件。企业应重点关注有无发展战略方面的相关制度;如有,是否完善、是否执行;有无具体可控的操作文件或表单等等。
2、梳理描述现状的业务流程。一般而言,企业的战略管理体系分为战略制定、战略实施和战略控制三个组成部分,也是三个基本环节。该体系直接影响到战略的执行力度、准确性以及战略绩效。
战略管理首先要解决的是战略制定问题,即明确企业发展的长远目标以及如何实现这个目标;其次是实施战略,即将战略转化为行动,通过行动实现战略目标;第三个环节就是战略控制。战略控制就是对战略实施过程进行实时监控,对战略实施过程中出现的偏差及时进行纠正;同时,对实施过程中反映出来的战略本身存在的问题以及由于企业内外部环境变化而导致的战略本身的不适应,适时地对战略进行修正和调整,以保证企业始终朝着正确的方向前进,最终实现战略目标。在实际操作中,战略控制都需要经过从标准制定到战略调整的过程。
企业要梳理发展战略现行的业务流程到底怎么样,包括哪些环节,是否能有效控制发展战略风险,并要将发展战略方面的现状业务流程用图表的形式描绘出来。
3、确定业务流程目录。根据发展战略的实际情况,确定发展战略的业务流程目录。这可为企业构建与实施发展战略内部控制界定边界。企业不同,发展战略的业务流程目录肯定也不一样。不管怎么不一样,发展战略业务流程可简单分为发展战略制定和实施两个主要阶段。
本阶段设计工作成果是编制《发展战略内部管理制度或相关文件情况表》、《发展战略流程目录》、《发展战略业务流程图、表》等。
风险评估
发展战略风险包括机会和损失威胁两方面的不确定性。发展战略风险具有五个方面的主要特征:一是客观性。发展战略风险是客观存在的,并不以人的意志为转移。二是突发性。发展战略风险的发生往往是偶然的,具有极大的随机性,并且实际发生的时间很短,以致让人在尚未意识到时就已经处于风险状态之中。三是多变性。发展战略风险本身具有极强的不确定性。四是无形性。尽管人们能够意识并且感觉到发展战略风险的存在,但是却又无法精确地将其描绘出来,想要对它进行定量的预测和考察则更加困难。五是对称性。发展战略风险具有双重的影响,一方面,它会对企业的正常发展产生不利影响,因而人们唯恐避之不及;另一方面,它又隐藏着获利的可能,所以才有人愿意去冒险。发展战略风险越大,往往获利也就相应越高。
发展战略风险评估,是指在战略实施过程中,企业检查战略基础,评价实施战略后企业的绩效,把它与预定的战略目标与绩效标准相比较,发现战略差距,分析产生偏差的原因,纠正偏差,促使企业战略实施能够更好地与企业当前所处的内、外环境及目标协调一致,使战略得以实现。
发展战略风险评估的基本程序:一是识别发展战略风险,并进行具体描述;二是分析发展战略风险,编制发展战略风险分析表;三是评价发展战略风险,编制发展战略风险评价表;四是确定发展战略风险应对策略;五是提出发展战略重大风险解决方案。
在实践中,发展战略风险分析及其评价是合在一起进行的。而是否制定发展战略重大风险解决方案,要看企业的实际需要,也可以在发展战略内部控制设计完成后单独进行。
本阶段设计工作成果是编制《发展战略风险及其描述表》、《发展战略整体层面风险清单》、《发展战略风险分析表》、《发展战略风险评价表》、《发展战略风险应对策略表》、《发展战略风险解决方案》等。
1、识别并描述风险。评估发展战略风险,首先要把发展战略具体风险识别出来,然后整理出整体层面的风险。发展战略具体风险是多种多样的,因企业的不同而不同。
关于发展战略风险,按照《二号应用指引》的要求,在评估发展战略风险时,设计人员至少应当关注下列风险:缺乏明确的发展战略或发展战略实施不到位,可能导致企业盲目发展,难以形成竞争优势,丧失发展机遇和动力;发展战略过于激进,脱离企业实际能力或偏离主业,可能导致企业过度扩张,甚至经营失败;发展战略因主观原因频繁变动,可能导致资源浪费,甚至危及企业的生存和持续发展。
中天恒认为,《二号应用指引》描述的发展战略三个方面风险并不是发展战略风险的全部,而是发展战略中面临的重要风险。中天恒在实践中意识到,企业在发展战略方面面临着一系列的风险,比如:企业没有明确的发展战略,或者战略不明确;制定的战略本身不科学,与企业的实际情况或者环境不符,或者确定的目标过高,导致战略难以实现;制定的战略不完整,仅有目标没有规划,或者只有总战略没有具体的子战略或职能战略;战略实施不到位;战略实施过程中没有实施有效的控制;当环境发生重大变化导致原有战略无法实现时,没有及时调整战略,或者战略调整过于频繁,等等。
笔者认为,识别战略风险主要应识别以下风险:按战略风险的内容,可以将其来源构成分成四个部分:运营风险、资产损伤风险、竞争风险、商誉风险等;按企业内、外部系统的层次特征,将战略风险总体划分为两个层次:产业风险和企业风险;按过程划分,战略风险按其过程可以分为:战略选择风险、战略实施风险等。
在发展战略内部控制构建与实施过程中,企业应根据《二号应用指引》中有关发展战略风险的提示,结合发展战略的实际情况,识别并具体描述发展战略方面存在的风险,以便完善发展战略的内部控制,以有效地控制发展战略风险。
笔者认为,发展战略具体风险的描述因所识别风险的不同而不同,将具体发展战略风险与发展战略流程结合是个比较好的做法。按照企业内部控制配套指引的规范要求,中天恒3C框架研究编制了《发展战略风险及其描述表》等模板或工具。
2、分析风险。发展战略理风险分析的内容很多,一般应从成因和结果两个方面进行,并编制发展战略风险分析表。
发展战略内部控制设计实务(下)
续上期
3、评价风险。发展战略风险评价应从可能性和影响程度两个维度进行。企业应根据评价结果进行风险排序,划分风险等级,并编制发展战略风险评价表。
4、选择风险应对策略。应对战略风险,简单说,就是企业对战略风险的控制策略和模式选择。战略控制的主要策略包括:
(1)市场控制。当企业或组织利用竞争性价格来评估组织的产出和生产率时就会产生市场控制方法。
(2)制度控制。制度控制是企业或组织利用规则、政策、权威层级、书面文件、标准、其他机制来使组织内的行为标准化,以及由此来进行业绩评估。
(3)团队自我控制。团队自我控制即使用社会化手段,如公司文化、共享价值观、承诺、传统、信念来控制团队的行为。
战略控制的主要模式选择包括:正式战略控制模式和非正式战略控制模式。
正式管理控制系统一般是指在企业或组织内,依据明文规定的制度、政策、程序并通过正式的组织结构来贯彻管理目标和控制组织行为。正式控制系统包括:管理模式和文化子系统、奖励子系统、协调方式子系统、沟通渠道子系统、基础结构子系统、控制过程子系统。
非正式战略控制模式中,企业或组织的行为不是靠制度和程序决定,而是由人与人之间的关系决定的。非正式管理控制系统往往伴随着正式管理控制系统的出现而出现,是对正式管理控制系统的必要补充。
企业应对战略风险,应根据风险评价的结果,针对不同等级风险选择相应的战略风险应对策略。不同等级的战略风险采取的应对策略不一样,一般有规避、降低、转移、接受等策略。不论选择哪种策略应对发展战略风险,企业都需要编制发展战略风险应对表。
5、编制风险数据库或风险图谱。企业应依据发展战略风险评估的结果编制发展战略层面的风险数据或绘制风险图谱。发展战略风险数据的基本要素包括业务流程、风险描述、风险分析、风险排序、应对策略、剩余风险等。此外,企业也可以加上内部控制设计完成后的控制措施、控制部门或岗位等等。
发展战略内部控制设计程序
设计发展战略控制,就是在评估发展战略风险的基础上,对发展战略内部控制进行设计的过程,是发展战略内部控制设计的关键环节。
发展战略内部控制设计基本程序包括:确定发展战略关键控制点;明确发展战略控制目标;提出发展战略控制措施;设计发展战略控制证据;完善发展战略相关制度;绘制发展战略控制流程图;编制发展战略控制矩阵。
本阶段设计工作成果是编制《发展战略控制控制要点及关键控制表》、《发展战略内部控制目标表》、《发展战略内部控制措施表》、《发展战略控制证据表》、《发展战略制度完善建议表》、《发展战略控制流程图》、《发展战略控制矩阵》等。
1、确定关键控制点。
发展战略内部控制到底要控制什么?理论界认为,根据战略活动对企业影响的要素,发展战略内部控制主要包括定位控制、增长控制、质量控制和文化控制。发展战略内部控制中的定位控制主要包括战略定位和边界控制,这里的边界又包括横向边界和纵向边界。增长控制,主要是对增长速度的控制。这包括两方面内容:一方面,从财务角度看,增长并不是总能带来价值增长,过快的增长反而会使得企业的资源变得相应紧张,当增长超出企业所能运筹的财务资源极限时,快速增长很可能导致企业破产;另一方面,增长太慢的企业,由于其价值创造达不到市场预期,要么成为收购者们的猎物,要么经受不住市场的竞争而被同类企业挤垮。质量控制主要关注企业控制能力。发展战略内部控制的效果决定着企业与市场以及同类企业之间的替代关系,决定着企业质量的优劣。文化控制作为战略内部控制的一部分,在不同文化影响下,内部控制实践会产生差异。文化控制的对象主要是跨国企业经营中的文化风险。
企业在构建与实施发展战略内部控制过程中,要针对发展战略风险评估的结果,确定发展战略的一般控制点和关键控制点,并编制发展战略控制要点表。确定发展战略的一般控制点和关键控制是件很困难的事,要根据企业实际情况确定。同时也会因人们的专业判断而不同。《企业内部控制应用指引第2号——发展战略》(以下简称《二号指引》)重点对发展战略的制定、发展战略的实施等环节进行规范。根据《二号指引》的要求,结合自己的内部控制与风险管理设计实践,中天恒管理咨询公司研究编制了《发展战略控制要点及关键控制表》等模板或工具。
2、设计控制目标。战略内部控制的目标是公司内部控制存在及存在形式的根本,也是建立战略内部控制体系以及进行战略内部控制构建、评价和考核的指导原则与参照物。战略控制目标所具有的特征是:可衡量,且有时限的约束;稳定性和动态性相结合;所有目标一致,同时可以区分主次和轻重等特征。
中天恒3C框架认为,发展战略控制目标就是要保证发展战略合法、安全、有效、可靠,从而有效控制因为发展战略因素可能给企业带来的风险。这些风险包括:企业缺乏明确的发展战略或发展战略实施不到位,可能导致企业盲目发展,难以形成竞争优势,丧失发展机遇和动力;或者,发展战略过于激进,脱离企业实际能力或偏离主业,可能导致企业过度扩张,甚至经营失败;或者,发展战略因主观原因频繁变动,可能导致资源浪费,甚至危及企业的生存和持续发展等方面的风险。实际工作中,发展战略内部控制目标应根据识别出来的发展战略可能存在的具体风险来设计,不能固定化、模式化。
企业无论是使用时间序列分析法、相关分析法、盈亏平衡分析法还是决策矩阵法来设定发展战略控制目标,都要遵循一定的原则:(1)平衡原则。在制定战略内部控制的目标时,需要注意两种平衡,即,不同目标之间的平衡、近期需要和远期需要之间的平衡。(2)多方案原则。由于客观环境变化的不确定性、预测的不准确性,在制定发展战略控制目标时,应制定多种方案。此外,还有系统性原则。
3、设计控制措施。企业在构建与实施发展战略内部控制过程中,要强化对发展战略控制点尤其是关键控制点的风险控制,并采取相应的控制措施。发展战略控制措施要与发展战略相融合,并嵌入到发展战略流程当中。发展战略总体方面的控制措施是重要的,但更重要的是针对关键控制点采取具体的控制措施。中天恒管理咨询公司认为,发展战略控制措施主要包括以下内容:
(1)董事会要组织研究公司的长远发展战略,根据需要成立战略委员会。
(2)战略委员会主要负责对公司长期发展战略和重大投资决策进行研究并提出建议。
(3)战略委员会由三至七名成员组成,战略委员会委员由董事会选举产生,任期由董事会决定。
(4)战略委员会应该制订明确的议事规则,明确其主要职责权限、任职资格、运作程序等内容。
(5)战略规划部是公司独立的部门,只对总裁负责。
根据《二号指引》要求,结合自己的内部控制与风险管理设计实践,中天恒管理咨询公司研究编制了《发展战略控制措施表》等模板或工具。
4、发展战略内控涉及文档、底稿、表单等证据。为了发展战略能够有效实施,需要制定必要的表单,并作为发展战略制度的附件,为发展战略过程留下控制证据。发展战略相关文件资料很多,包括调查研究报告、预测分析数据、发展目标制定流程单、战略规划制定流程单、战略委员会工作记录表、战略方案审议批准流程单、年度工作计划、战略宣传效果分析报告、战略调整决策流程表单等。
5、优化控制制度。企业需要建立一系列制度体系和机制保障,促进发展战略的作用得到有效发挥。发展战略控制制度不是独立建立的一套新制度,而是将内部控制思想嵌入到发展战略制度中去。发展战略制度应制定多少个,内容包括哪些,因企业的不同而不同。
不论发展战略控制制度采取什么样的形式,企业都应认真学习领会《企业内部控制基本规范》以及《二号指引》等法律法规的精神实质和原则要求,并以此为起点构建和实施发展战略内部控制。《二号指引》界定了发展战略的定义,描述了发展战略中的风险,明确了发展战略的制定与实施等方面的控制措施,对优化企业发展战略制度具有重要意义。
6、绘制控制流程图。一般而言,《发展战略内部控制流程图》多为一般业务流程图,并未标注发展战略风险点和控制点。中天恒3C框架主张,企业绘制《发展战略控制流程图》,要根据发展战略流程、风险点、控制点及其相关的控制措施,结合具体单位的实际情况来进行。特别要强调的是,企业应把发展战略内部控制流程和发展战略流程整合在一起,并在图上标示风险点和控制点。
7、编制控制矩阵。发展战略控制矩阵是对发展战略流程图中的风险点、控制措施和控制证据等的详细说明与描述,是发展战略内部控制设计结果的集中体现,也是内部控制管理手册的重要组成部分,实际上是以上各项工作的综合体现。根据《二号指引》的要求,结合自己的内部控制与风险管理设计实践,中天恒管理咨询公司研究编制了《发展战略控制矩阵》等模板或工具。 (完)