提起内控(Internal Control)大家最多想到的是企业风险内部控制、企业审计等,企业内部腐败审计等,大家往往认为这个是财经的内控职责,与流程工作没有太多的交集。内部风险控制,国家在法律层面出台过《企业内部控制基本规范》,对一些上市公司提出了内部控制,还有很多公司也根据COSO的标准建立自身的内控体系。内控体系基于流程角度的建设与控制因篇幅不在这里展开。该文章主要是介绍在应用落地,怎么使用KCP、CT及SACA这些工具。
KCP:Key Control Point,关键控制点。
指的是流程中关键的活动单元。该活动对流程目标的达成,业务风险的控制起着至关重要的因素。一个业务流程的节点很多,作为业务管理者不能对每个活动都进行管控,识别出来的KCP,如果能控制,那么业务达成、风险控制就基本能控制。
KCP的制定人:
KCP是业务部门识别,由流程Owner发布。根据流程运行现状(流程是能基本映射业务),定期通常是半年更新一次。过去定义为KCP,有些经过一段时候改进和控制之后,有可能不再是KCP,有些新问题会涌现出来成为风险的新KCP。如客户的重复付款问题,在过去不断出现而且金额较大,成为了一个KCP,但通过IT手段的控制后杜绝了该问题,在新半年评估后就不是一个KCP。
KCP的数量:
KCP的数量按照业务复杂程度及风险控制现状进行识别,KCP的识别应在Level 1流程下属流程进行,建议一个Level 1流程的KCP数量不超过20个。
KCP的制定原则:
制定KCP主要可从以下几方面着手:
1、紧盯资金流重要节点;
2、紧盯与合作伙伴(供应商、客户)接口;
3、紧盯业务增值流程;
4、KCP控制成本与业务成本相比,不能太高,否则业务就没有存在的必要。
与资金流有关的风险节点往往可以借助财务、制造、物流等IT系统进行识别,如应接待费过高、应收账款、库存周转率等表象问题,通过表象问题分析背后的流程风险点,或定位为KCP。紧盯与合作方接口问题则是更多避免接口纠纷,以确保风控及业务开展顺利。
流程内控问题制定不是一层不变,风险控制也不能面面俱到,也要保持业务相应的灵活性。流程内控原则应是协助管理者识别及改进已经出现的或者潜在的风险,保证企业航行在正确的轨道。
举例:
一个企业财务存在向供应商重复付款现象,这个是典型的被认为是内控事件。我们是看到损失,但这个究竟是不时风险有待考证,如果损失对比业务收入微不足道,而且不存在系统性风险,则可不认为这个是关键控制点;过时这个金额较大,且发生频次较高、引起的是系统性的风险,则认为这个可作为一个KCP。
KCP的实例:
KCP没有太深奥与复杂,它是面向一线业务使用的,用简单清晰的语言把事情表述清楚。如下:
CT(Compliance Test)测试应用例行季度进行,用于业务单位对照KCP表对样本进行自检,通常有几个原则:
一、选取一定的样本量,样本量的选择及数量由流程Owner决定并发布;
二、测试者在规定时间内,对各样本量参照KCP进行自行测试,测试结果分为符合、不符合、NA;
三、不同地区、不同纬度的流程遵从性从上述测试结果中获得‘ ;
四、对于不符合项目,发出整改通知,限期整改;
五、需要IT系统来支撑更方便;
SACA(Semi-Annual Control Assessment)顾名思义就是半年控制评估,一年进行2次,分为春季SACA和秋季SACA,SACA主要是流程Onwer回顾半年内控工作的开展事实情况,通过打分的形式,0-5分,分为极不满意,不满意、合格、满意、非常满意5个级别。具体实施如下:
一、SACA Questionnaire/SACA问卷。问卷由内控的几个控制环境、风险评估等维度进行;
二、由流程Owner或者PC(Process Control)进行回答;
三、业务方根据答卷对本流程执行情况给出自评分数及等级,流程在不同地区、样本按照权重收敛汇总层层的流程SACA分数;
四、SACA不单是答卷,还会以SACA补充问卷形式,通常使用流程KCP让业务单元进行自评。
五、后期是每层组织需要准备SACA报告(PPT形式),按层进行汇报,集团型组织,最终形成全球报告,向集团汇报;
内控工作与流程结合是成熟流程型组织的工作之一。而KCP在流程内控中扮演了重要的角色。流程内控有防治内部腐败、但并不是流程内控的目的,而是为了企业内部能及时发现自身问题不断持续改进,消除企业运作风险。
