说起这个《企业内部控制基本规范》,我可真是有一肚子话想说。刚开始接触这玩意儿的时候,我也是一头雾水,觉得条条框框的,麻烦!公司里要正儿八经搞这个,我也有幸参与了一把,才慢慢摸到点门道。
从哪儿开始下手?
第一步,肯定是先吃透精神。 我记得当时我们头儿弄来一堆文件,就是那个《企业内部控制基本规范》和配套的指引啥的。我们几个人就坐一块儿,先是自己闷头看,看完再一起讨论。那会儿看那些文字,感觉都差不多,有点晕。但是没办法,硬着头皮也得往下啃。我们主要就是想弄明白,这玩意儿到底想让我们干核心是
第二步,对照自家情况,摸底。 文件看了个七七八八,大概知道它说的是要有啥“内部环境”、“风险评估”、“控制活动”、“信息与沟通”、“内部监督”这几大块。然后我们就开始琢磨,咱公司现在是啥样?我们那时候是真刀真枪地去梳理。比如这个“内部环境”,我们就去看公司的组织架构是不是清楚,各个部门的职责权限是不是明确,有没有啥互相扯皮的地方。还有人力资源政策,是不是能激励员工好好干活,而不是混日子。企业文化这东西虽然虚,但也得琢磨琢磨,是不是大家都认同一个好的方向。
第三步,重点来了,风险评估。 这是个大头。我们当时的做法是,把公司主要的业务流程都画出来,从采购、生产、销售到财务、人事,一个一个过。然后就开会,各部门的人都来,大家一起“头脑风暴”,琢磨每个环节可能会出啥幺蛾子。比如说,采购环节,是不是可能有人吃回扣?生产环节,是不是有质量不过关的风险?财务那边,做假账的风险有没有?就这么一点点地把风险给找出来,列个大清单。现在回想起来,那段时间天天开会,真是熬人,但也确实把家底给摸了个遍。
第四步,针对风险点,设计控制活动。 找到风险了,总不能放着不管?就得想招儿!比如,针对采购吃回扣的风险,我们是不是可以搞个供应商比价制度,或者审批权限再往上提一级?针对财务做假账,是不是可以加强复核,或者搞个不相容岗位分离?这些具体的招数,就是所谓的“控制活动”。我们那时候也是一个风险点一个风险点地去设计应对措施,尽量让这些措施既能管用,又别太复杂,不然大伙儿执行起来也费劲。
第五步,信息与沟通,还有监督。 规矩定好了,措施也有了,得让大伙儿都知道,不然就是白搭。所以我们就开始搞培训,发文件,开宣讲会,反正就是想方设法让每个员工都明白,自己该干不该干哪些红线不能碰。这就是“信息与沟通”。然后,光说不练假把式,还得有“内部监督”。我们主要是通过内部审计部门,定期或者不定期地去抽查,看看这些规矩是不是真的落实到位了,有没有走样变形。发现问题就赶紧纠偏,还得追究责任。
形成文件,持续改进。 这一套东西弄下来,得形成书面的制度和流程,不然口说无凭,时间长了就忘了。这玩意儿不是一次性的买卖,市场在变,公司业务也在变,风险点也会跟着变。还得定期回头看看,哪些不合适了,哪些需要调整,不断地去完善。我们当时就定了个规矩,每年都要重新评估一次风险,更新一下控制措施。
整个过程下来,真是扒了一层皮。但搞明白了这些,再回头看公司的那些流程、审批,就顺眼多了,知道它为啥这么设了,不是瞎折腾人。这内部控制,就像汽车的刹车和方向盘,平时可能觉得碍事,关键时候可是保命的!我这实践经验,希望能给大伙儿一点启发。
还没有评论,来说两句吧...