案例五 远洲集团内部控制体系构建案例研究
摘 要:本文首先介绍远洲集团结合所从事行业特征和自身特点制定了自己的愿景、战略目标及内部控制目标。在此基础上,远洲集团将COSO企业风险管理框架、管理控制系统理论、供应价值链管理理论、SCOR供应链运作参考模型、平衡计分卡原理、ISO9001全面质量管理、5W2H有效作业法则等多种管理理论与集团4R执行工具耦合,确定了远洲集团内控体系的设计思想。在集团内控建设总体要求下,结合集团多年积累的管理实践,对包含内部控制分层治理、战略管理内控框架、职能系统内控框架、经营单元内控框架等的集团内部控制体系进行了设计。在内控实体方面,根据内控框架设计了包括制度规范体系、经营业务流程、职能管理业务流程、SOP标准作业、信息与沟通表单等实质内容。在内控建设程序层面,总结提升了包括设计步骤、流程规划技术、流程图设计规范、SOP标准作业设计技巧、信息化表单设计原则等在内的内控建设方法和工具。远洲集团在内部控制建设过程中注意总结提升,逐步形成了《远洲内控建设方法指南》、《酒店业内部控制手册》、《资金管理内部控制手册》等内部控制文件。案例的最后总结了远洲集团内控体系特色。
关键词:内控体系设计思想 内控建设方法 内控体系特色
一、远洲集团概况
1987年远洲集团创办浙江台州第一家民营加油站,至1997年形成7家连锁加油站规模。1998涉足高端酒店投资与经营,2000年开始进入房地产开发市场。截至2011年底,拥有自主产权酒店12家、输出管理酒店一家,形成以高端酒店为核心、生态农业和酒店式物业管理为两翼的商业生态链发展模式,同时以房产开发和石化贸易为辅助产业的集团企业。
远洲集团系“全国民营企业500强”企业,旗下各酒店均是美国饭店协会会员,2010年荣获“中国最佳酒店管理集团”称号。2011年,通过国家工商行政管理局行政认定,获得酒店服务业“中国驰名商标”殊荣。
1997年亚洲金融风暴期间,收购已建待开业的浙江台州第一家四星酒店;2004年非典时期,收购江西省九江市宾馆并改建为江西省首家挂牌五星酒店;2007年爆发金融危机,收购大连瓦房店市已建待装修的首家五星酒店;2011年并购了江西星子温泉五星酒店、江苏淮安五星酒店,投资建设上海远洲旗舰五星酒店、九华山温泉五星酒店。远洲集团利用金融危机以来市场相对低迷的发展机遇,通过收购兼并、输出管理等扩张战略,取得总资产年均增长率38%、净资产年均增长率67%的骄人业绩,如下图1[1]所示。
图1 远洲集团2007-2011年主要财务指标增长趋势图
二、远洲集团内部控制建设概况
2010年9月,远洲集团总裁办公会召开内控体系建设第一次专题会议,决定系统化建设内控管理体系,成立内控建设领导小组。
2010年10月,远洲集团董事长卢诚带领集团高管团队和下属子公司总经理,参加南京大学李心合教授专题培训《公司内部控制建设》。
2010年11月18日,发布远字〔2010〕.20-21号《关于下发内部控制体系建设实施方案的通知》文件,明确内部控制体系建设的指导思想和原则、内部控制体系建设总体安排、内部控制体系建设管理团队,成立集团内控建设指导小组。
2010年11月,组织专题培训《内部控制环境建设》,内控建设领导小组研讨确认“双向推进”、“协同建设”的内部控制建设策略。内控建设指导小组在集团ERP信息管理系统开通“内部控制建设专题窗口”,建立集团内部控制建设管理平台(内控管理流程)和内控建设学习交流平台[2]。
2010年12月上旬,内控指导小组进驻远洲国际大酒店,开始试点研发内控体系建设方法。远洲国际大酒店发布国大字〔2010〕.20-09号《关于成立国际大酒店内控导入小组的通知》,成立远洲国际大酒店内控导入小组。
2010年12月中旬,远洲集团聘请的内控建设顾问入驻指导。
2011年2月,集团年度工作会议安排《国际内部控制理论与实务》专题培训,召开集团内控全面推进分工与计划会议,明确了各业务、职能系统的内控建设责任和具体工作计划。
2011年2月,远洲酒店管理公司成立SOP标准化建设小组,远洲石化公司成立内控(标准化)项目建设管理小组。
2011年3月,内控指导小组发布研发成果《内控框架设计与流程设计指导书》第一版。2011年5月,内控指导小组总结内控建设实践,修订发布《内控框架设计与流程设计指导书》第八版。
2011年7月,在集团半年度会议上由集团董事长作《远洲战略及内控环境建设》专题演讲,同时内控领导小组作内控建设实务专题培训。
2011年8月,下发远字〔2011〕.10-12号《关于调整集团内控领导小组及内控职责分工的通知》,将内控指导小组合并入内控领导小组,明确内控领导小组职责、权限及内控建设职责分工、监督与激励机制。
2011年8月,内控领导小组在《内控框架设计与流程设计指导书》第八版基础上,修订发布《远洲内控建设方法指南》第一版,同年10月修订发布第三版。
2011年9月,下发远字〔2011〕.10-14号《关于成立集团制度管理委员会的通知》,统筹集团制度管理体系建设,配合推进内控建设。
截至2011年底,远洲集团内控建设完成了内控导入培训、内控建设方法研究并形成《远洲内控建设方法指南》,完成内部控制战略和环境建设、内控框架体系设计、集团组织结构调整、授分权体系优化、各职能系统内控框架设计及试点单元内控设计,完成酒店业内部控制手册、SOP标准手册和资金管理内部控制手册初稿。建设过程如图所示。
2012年内控建设计划重点是完成制度梳理和制度体系规范、核心业务流程设计及集团内控手册汇编初稿。
2013年计划试运行集团内控手册,建立完善内控监督评价体系,并进一步修订完善内控体系。
图2 远洲集团内控建设流程
三、远洲集团愿景、战略目标及内部控制目标
(一)公司愿景
远洲集团愿景:成为倍受尊重的行业领先者!
远洲酒店愿景:成为中国特色高星级连锁酒店的领跑者!
远洲房产愿景:致力于成为中国受人尊敬的房地产运营商,为客户创造性价比最高的生活空间!
远洲商贸愿景:成为中国知名的商贸物流服务运营商!
(二)公司战略目标
以泛长三角、环渤海为主,旅游资源及国家战略发展区域为辅的成长型二三线城市区域内,拥有具备独立经营权的30家高星级连锁酒店及旅游度假精品酒店,打造长三角最大的酒店绿色食品产业基地,拥有至少一家上市公司,实现资产与销售的双百亿元规划。
(三)远洲内控体系建设目标
建立从愿景到战略目标,管理控制系统和风险管理要求一体化,业务活动和作业操作标准化,系统完整、便于执行的可复制管理控制系统,如下图所示。
图3 远洲集团内控体系建设目标
1.战略一致性。运用平衡计分卡、SMART原则等目标管理理论,将战略目标逐步分解为战略规划、年度预算、工作计划,直至具体的业务目标。在业务目标指引下进行风险评估、控制活动、业务流程及作业标准、表单设计。
2.体系完整性。借鉴SCOR供应链运作参考模型及ISO9001全面质量管理要求,以“战略一致性”的目标体系为指引,将内部控制五要素、PDCA持续改进思想“嵌入”业务流程之中,而非“外置”在流程体系之外。实现内部控制体系从战略到执行、从管理到业务无断点连接,确保业务流程、作业标准及表单之间的信息交换集成一体。
3.端到端管理。运用信息化系统设计原理,流程体系中业务流程、表单必须有明确的需求输入点和活动结果输出点,并与其他流程模块或作业相连接,PDCA持续改进思想贯穿于所有过程。业务流程与信息支持系统无缝对接,包括企业内部及企业与供应商、顾客之间的信息整合。
4.管理可视化。每个流程、责任岗位、作业程序和数据要素必须被清楚地界定,运用5W2H法则和4R执行工具,评价流程图、作业标准等具体活动是否有价值、责任清晰、有效率、有效果并可执行。由简单、流程化的业务模块和制度管理体系为基础的管理模块组成内控管理体系,尽量减少增加成本和管理难度的复杂活动,管理目标、业务活动必须非常清晰并易于理解应用。
(四)内部控制目标体系
1.总体目标
(1)符合集团战略发展要求
(2)满足集团风险管控要求
(3)适合集团上市规范要求
2.具体目标
(1)遵守集团经营管理准则:合法经营、规范管理
(2)保证企业经营的效果和效率
1)在安全基础上追求效益
2)在效益基础上追求效率
(3)保证企业财务报告真实完整、准确可靠
3.内控目标体系图
图4 远洲集团内控目标体系
四、远洲集团内控体系的设计思想
(一)企业风险管理—整合框架
1.基本内容
内部控制,是指由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动:
(1)企业战略;
(2)经营的效率和效果;
(3)财务报告及管理信息的真实、可靠和完整;
(4)资产的安全完整;
(5)遵循国家法律法规和有关监管要求。
企业风险管理—整合框架认为“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”企业风险管理—整合框架拓展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。尽管风险框架不打算、也的确没有取代内部控制框架,但风险管理—整合框架涵盖了内部控制框架。
风险管理框架包括了八大要素:控制环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息沟通、监控。企业风险管理并不是一个严格的顺次过程,一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程,在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成要素,目标体系、内控要素与业务活动过程是一体化的互动关系。因此,企业风险管理整合框架强调:
(1)强调“软控制”的功能。相对于以前的内部控制而言,内部风险整合框架更加强调那些属于管理文化层面的软性管理因素。
(2)强调内部控制应与企业的经营管理过程相结合。框架认为,经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。内部控制是企业经营管理过程的一部分,与经营过程结合在一起,而不是凌驾于企业的基本活动之上,它使经营达到预期的效果,并监督企业经营过程的持续进行。不过,内部控制只是管理的一种工具,并不能取代管理。
(3)突出强调信息系统的作用。框架认为,完备的信息处理系统是实现内部控制目标的重要保障,信息系统不仅处理企业内部产生的经营信息,而且也处理来自企业外部的各类经济、法律或行政信息。
(4)明确对内部控制的“责任”。COSO框架明确地阐述了内部控制的制定与实施的责任问题。框架指出,不仅仅是董事会、管理人员、内部审计人员,组织中的每一个人都对内部控制环节负有责任。
(5)强调内部控制的分类和目标。目标的设定虽然不是内部控制的组成要素,但却是内部控制的先决条件,也是促成内部控制的要件。框架将内部控制目标分为3类:与营运有关的目标、与财务报告有关的目标以及与法令的遵循性有关的目标等。这样的分类高度概括了企业控制目标,有利于不同的人从不同的视角关注企业内部控制的不同方面。
(6)内部控制只能做到“合理”保证。框架认为:不论设计及执行有多么完善完整,内部控制都只能为管理阶层及股东达成企业经营目标提供合理保证。而目标最终是否达成,还受内部控制本身的限制性制约等条件。
2.应用实践
内部控制环境直接制约内部控制建设和实施的效果,因此远洲集团在内控建设过程中更多地关注对高管的战略、内控环境培训。在内控体系设计过程中将内部控制要求有机地整合入管理控制系统,应用PDCA循环的持续改进工具和5W2H作业活动法则,将战略目标、管理控制目标和内控目标整合入业务流程,以目标体系为导向进行风险评估并确定风险源、风险点,再考虑应采取的控制活动和监督机制。因此,目标体系、内控框架、管理活动和业务过程实质上是不可分割的一体化关系。
(二)管理控制系统
1.基本内容
管理控制介于战略制订和任务控制之间,如下图所示:
图5 管理控制系统
内部控制与管理控制之间是什么关系?从现行的国内外有关“内部控制”的经典定义看,或明示或暗示,都认为内部控制包括管理控制。这种对内部控制的定义,既限制了管理控制理论的探讨和发展空间,反过来也制约了内部控制理论的推广和实施。
首先,现在的有关“内部控制”的概念存在着控制目标与控制程序两者的着眼点不一致的重大缺陷。具体而言,内部控制的目标被界定为“合理保证经营的有效性、财务报告的可靠性、适用法律法规的遵从性”;而内部控制过程的落脚点则是对风险的控制,并不能够直接达成经营有效性的目标。
其次,基于企业风险管理—整合框架的定义,管理控制和风险控制有两个共同点:第一,都以既定战略目标为先决条件,管理控制是决定如何落实战略目标的过程,风险控制是对影响战略目标实现的风险的控制。第二,有共同的控制活动,某些控制活动既可实现管理控制目标,也可实现风险控制目标。但是,管理控制与风险控制之间也有很大的不同,具体表现在:
(1)从管理学角度讲,管理工作有五项基本作业:制订目标、组织工作、激励和沟通、衡量考核、人员培养,管理控制有3个环节:建立标准、测量偏差、采取措施纠正偏差。管理控制是决定如何落实企业战略的过程,是企业运营管理的明线。而风险控制的目标是将影响既定目标达成的风险控制在可接受水平,是企业运营管理的暗线。管理控制和风险控制从一明一暗这两个方面保证了企业目标的实现。
(2)达成目标的方式不同。管理控制是业绩目标导向的,内部控制是风险管理导向的,风险控制目标只在于是否有效减少控制薄弱环节、是否有效管理风险对目标达成的损害程度。
(3)评价标准不同。管理控制的评价标准是业绩,而内部控制认为风险总是存在的,因此“勤勉尽责”和“应尽关注”成为评价标准,有关风险控制的记录和保存成为最重要的风险控制措施。
2.应用实践
内部控制是管理控制系统的核心主干内容,应将内部控制系统“嵌入”企业管理控制系统之中,而非“外置”在企业管理控制系统之外。管理控制系统是设定业务目标、设计业务流程和业绩评价标准的明线,内部控制是有效管理业务过程风险的暗线。设计业务流程和控制措施时既要满足管理控制的业绩目标要求,又要满足内部控制的风险控制要求。
(三)供应价值链管理理论
1.供应链管理图
图6 供应链管理体系
2.应用实践
在设计经营单元管理控制系统时,依据价值链理论,首先从客户需求和提升核心竞争能力出发识别核心业务活动流程,其次依据供应链运作参考模型SCOR和全面质量管理PDCA持续改进思想,将业务流程、管理流程以及相应的作业标准、表单整合为层次清晰、闭环管理的内控体系框架[3]。
(四)供应链运作参考模型SCOR
1.什么是SCOR模型?
流程参考模型通常包括一整套流程定义、测量指标和比较基准,以帮助企业开发流程改进的策略。SCOR(Supply-Chain Operations Referencemodel)是由国际供应链协会(Supply-Chain Council)开发支持的标准供应链参考模型,是供应链的诊断工具,它涵盖了所有行业。SCOR模型主要由4个部分组成:供应链管理流程的一般定义、对应于流程性能的指标基准,供应链“最佳实践”(best practices)的描述以及选择供应链软件产品的信息[4]。
SCOR(供应链运作参考)模型把业务流程重组、标杆比较和流程评测等著名的概念集成到一个跨功能的框架之中,其应用过程如下图:
图7 SCOR(供应链运作参考)应用图
2.SCOR模型结构
SCOR模型按流程定义可分为3个层次,每一层都可用于分析企业供应链的运作。在第三层以下还可以有第四、五、六等更详细的属于各企业所特有的流程描述层次,这些层次中的流程定义不包括在SCOR模型中。SCOR模型的第一层确定了企业竞争性能目标的基础。
SCOR以流程为中心的供应链管理示意图。
图8 供应链管理示意图
3.SCOR模型的4个层次
图9 供应链运作参考模型的四个层次
SCOR的四层结构在供应链管理上的特征:
第一层:提供一个广泛的对计划、外购、制造、发送过程类型的定义,是一个企业建立供应链目标的起点。
第二层:定义了核心流程目录,企业可以从这些核心流程选择适合自己需要的,构造实际的或理想的供应链。
第三层:为企业提供提高供应链绩效所需要的计划和设置目标的信息。
第四层:实施的具体方法和工具。因为每一个企业的个案是不同的,所以没有固定的要素。
4.运用SCOR模型建立内控框架模型
远洲集团的内部控制体系建设是以客户为导向、以流程为主干、以管理控制为基础结合内控要素设计的,其内在本质与供应链运作参考模型SCOR具有共通之处。因此,远洲集团借鉴供应链运作参考模型SCOR的思想,提出内控体系设计的4层架构模型,如下图10所示。
图10 基于SCOR模型的内控体系设计四层架构模型
设计说明:
(1)内控4层结构设计必须遵循自上而下的原则,以保证统一性和完整性。
(2)内控设计与实施是一个互动过程。第一层至第四层从设计到定型是一个互相作用并修改的过程。在设计第三层时可能会发现原设计的第二层存在缺陷并修改第二层,在设计第四层时也有可能发现第三层存在缺陷并导致修订第三层、第二层。同样的,因第二层被修改,也可能导致第三层以下流程也需要修改。
(3)第1层——最高层(控制框架),主要界定控制目标体系和核心业务范畴,配套制度为公司章程、基本管理制度。
(4)第2层——配置层,主要是依据平衡计分卡原理,将第一层的目标体系和核心业务具体化并形成流程规划,通过流程规划明确流程层级关系及流程与流程之间的关系。配套制度一般为基本规范、管理办法。
(5)第3层——流程要素层,主要是依据管理控制系统和风险控制要素,实现战略执行和风险控制的管理过程,表现形式主要是业务流程图。
(6)第4层——实施层,主要包括作业标准、表单等业务执行工具,该层设计质量将影响信息沟通与监控的质量水平。
(7)内部控制体系设计一般只包括三层即框架体系、流程模块、业务流程。最后一级实施层即操作标准和表单设计,这是由业务管理部门根据实际需要以及ERP信息化规范要求进行设计并整合到内控体系当中去的,设计时应同时满足管理控制、内部控制、ISO9001、管理制度规范体系等各方面的要求。
(五)平衡计分卡原理
平衡计分卡以组织战略为导向,寻找能够驱动战略成功的关键成功因素,并建立与之具有密切因果联系的指标体系来衡量战略实施过程的状态和采取必要的修改以维持战略的持续成功,其工作原理是通过在4个常常冲突的衡量标准中实现平衡而发挥作用,将管理层制订的战略与运作层面的活动整合起来。
1.平衡计分卡4个维度
(1)财务角度——目标是解决“股东如何看待我们?”的问题
它主要考量管理者的努力是否对企业经济收益产生了积极的作用,因此是其他3个方面的出发点和归宿。财务指标主要包括收入增长指标如销售额、利润额、成本减少或生产率提高指标,资本利用率或投资战略指标等,由于财务数据是有效管理企业的重要因素,因此财务目标大多是管理者优先考虑的目标。
(2)顾客角度——目标是解决“顾客如何看待我们?”的问题
“顾客满意度的高低是企业成败的关键”,因此现代企业的活动必须以客户价值为根本出发点,以顾客角度,从时间(交货周期)、质量、服务和成本几个方面来关注市场份额以及顾客的需求和满意程度,以此来管理企业。顾客指标体现了企业对外界变化的反映,主要包括市场份额、客户保留度、客户获取率、客户满意度、客户利润贡献率、送货准时率、产品退货率、合同取消数等。
(3)内部业务流程角度——目标是解决“我们擅长什么?”的问题
它反映企业内部效率,关注导致企业整体绩效更好的,特别是对顾客满意度有重要影响的过程、决策和行动。主要指标有:(1)评价企业创新能力的指标,如新产品开发所用的时间、新产品销售额在总销售额中所占的比例、所耗开发费用与营业利润的比例等;(2)评价企业生产经营绩效的指标,如产品生产时间和经营周转时间、产品和服务的质量、产品和服务的成本等;(3)评价企业售后服务绩效的指标,如企业对产品故障的反应时间和处理时间、售后服务的一次成功率、客户付款的时间等。
(4)学习与成长角度——目标是解决“我们是在进步吗?”的问题
它将注意力引向企业未来成功的基础,涉及人员、信息系统和市场创新等问题,评估企业获得持续发展能力的情况。
平衡记分卡是根据指标彼此间的“因果关系”而形成相辅相成的链条关系,并以兼顾4方面的“平衡”来追求组织的整体效益和健康发展,如下图所示。
图11 平衡记分卡四个维度
尽管平衡计分卡的指标各有特定的内容,但彼此并非孤立、完全割裂,而是既常常冲突对立又密不可分的。学习维度、流程维度、客户维度、财务维度所组成的平衡计分卡,既包含结果指标,也包含促成这些结果的先导性指标,并且这些指标之间存在因果关系,这种内部逻辑关系,其根本是投资者需要的财务角度,平衡计分卡以股东价值最大化目标为起点,推导出股东价值最大化的保证目标,即客户需求满足程度目标、员工胜任及成长目标、内部业务流程运作水平目标,以四个维度目标为基础,分析企业的核心能力和核心业务流程,以及资源配置的管理要求。
平衡计分卡是非常实用的战略执行工具。结合管理控制系统理论和SMART目标设计原则,我们将战略目标分解成量化的核心业绩指标,编制形成产业、职能战略目标和核心管理指标,再确定业务单元、职能部门的业务目标体系和核心价值,层层分解形成业务流程、作业标准的具体目标和考核指标,指导包含业务活动分析、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等风险控制要素在内的流程设计。应用过程如下图所示。
图12 远洲集团平衡记分卡应用图
(六)全面质量管理ISO9001
1.基本理论
ISO是世界上最大的国际标准化组织,负责除电工、电子领域之外的所有其他领域的标准化活动。ISO宣称它的宗旨是“在世界上促进标准化及其相关活动的发展,以便于商品和服务的国际交换,在智力、科学、技术和经济领域开展合作”。
ISO标准鼓励组织在建立、实施质量管理体系以及改进其有效性时采用过程方法,通过满足顾客要求,增强顾客满意度。
为使组织有效运作,必须识别和管理众多相互关联的活动。通过使用资源和管理,将需求输入转化为结果输出的活动。通常,一个过程的输出可直接形成下一个过程的输入。组织内诸过程的系统应用和相互作用及其管理,可称为“过程方法—PDCA循环”。
PDCA循环是能使任何一项活动有效进行的一种合乎逻辑的工作程序,特别是在质量管理中得到了广泛的应用。P、D、C、A 4个英文字母所代表的意义如下:
(1)P(plan)——计划。包括方针和目标的确定以及活动计划的制订(内控要素:目标设定、事项识别)。
(2)D(do)——执行。执行就是具体运作,实现计划中的内容(内控要素:风险识别、风险应对、控制活动)。
(3)C(check)——检查。就是要总结执行计划的结果,明确效果,找出问题(内控要素:信息与沟通、监控)。
(4)A(act)——行动(或处理)。对总结检查的结果进行处理,成功的经验加以肯定,并予以标准化,或制定作业指导书,便于以后工作时遵循;对于失败的教训也要总结,以免重现。对于没有解决的问题,应提给下一个PDCA循环中去解决(内控理论:内控是一个过程)。PDCA持续改进图示如下。
图13 PDCA持续改进图
2.ISO 9001与内部控制的整合基础
(1)都要遵守合法性要求。
(2)都是为达成企业经营管理目标提供合理保证。
(3)基本架构都以实现业务目标的相关流程或作业为基础,规划完整的控制制度,并通过管理闭环(PDCA)强调持续改善及过程管理。
(4)重视建立公司组织架构及明晰管理权责。
(5)重视业务流程和作业程序的标准化。
(6)需要建立书面制度。
(7)定期监督检查,并针对偏离目标行为采取纠正措施。
(8)管理层对制度建立健全及执行有效性负有最终责任。
3.ISO9001条款整合为COSO内控要素
ISO9001分别从管理职责、资源管理、产品实现、测量分析和改进等角度,判断内部控制系统的设计是否完整、合理和有效,其要求从本质上与COSO内控框架是相似的,两者共同点比较见下表:
表1 ISO9001条款整合为COSO内控要素共同点
续 表
4.ISO 9001与内部控制的制度整合
(1)成立集团制度管理委员会
集团制度管理委员会隶属于集团董事会,系制度建设常设机构,其主要职责有:
1)统筹集团制度管理体系建设:
①确定集团规章制度结构体系及分类;
②确定规章制度管理模式及审批权限;
③审定制度审批流程。
2)审核集团组织架构设计及其职能划分,并报集团董事会审批;
3)审定职能部门的功能定位、职责范围及一般授权,提交总裁办公会议审议通过;
4)指导经营管理团队制订制度建设规划,并监督规划执行;
5)组织、审定集团级管理制度(包括集团下属各产业重要的基本管理制度及根据授分权体系规定应由集团审批的制度);
6)协调、裁定制度建设争议。
(2)建立健全制度体系管理规范
建立《远洲集团规章制度建设管理基本规范》,是按照精细化的管理要求,解决集团范围内规章制度建设内容不统一、程序不规范、管理不到位等问题,使集团各个层面的制度建设和管理工作既做到总体的系统化和一致性,又充分体现各单位、各行业的管理实际和特点,保持局部的个性化和适应性,其目的是为了加强集团规章制度的管理工作,建立完善的规章制度体系,实现规章制度制定、修改、废止等工作的程序化和规范化,保持规章制度的充分性、有效性和适宜性,促进集团的科学化管理。
企业规章制度一般都是以单体文件的形式存在,但是各单体制度之间相互关联、彼此影响,共同构成一个内在的有机联系的系统,这就是规章制度体系,可简称为“制度体系”。规章制度体系类似于国家法律体系,也要根据效力范围不同划分成不同的层级制度:
1)公司章程
是指对公司的宗旨、组织原则和经营管理方法等事项的规定。包括公司章程、章程修订案、投资性合作协议框架等。
2)管理纲要
是指集团公司、管理公司或集团职能系统的原则性规定。具体名称有× ××公司基本法、×××管理纲要、×××基本管理制度等。
3)管理制度
是指对公司生产经营管理某一方面(一般为第一级流程)的政策和程序性规定。具体名称有×××管理制度、×××政策与程序(酒店业)、×××基本规范等。
4)管理办法
是指对公司生产经营管理某一方面(一般为第二级流程)的具体规定。具体名称有××管理办法、××管理规定、××具体规范等。
5)实施细则
是指为实施上述章程、纲要、制度、办法的具体规定。
6)指导意见(指引)
是指对公司生产经营管理某一方面的操作性规定。
在整合ISO9001文件体系和企业管理制度体系时,要以内部控制框架的四层结构为基础、制度文件效力范围为依据,将企业管理制度予以分类。按照规章制度的业务性质和《远洲集团规章制度建设管理基本规范》规定,确定ISO9001文件体系层次、制度体系层次和内控框架层次的对应关系:
第一层,ISO9001的管理手册、制度体系的纲领性文件,对应内部控制框架第一层的“框架体系”:是集团及各子公司制定各项基本管理制度和具体管理规章的指导性文件,是集团经营管理的基本政策,其制定和管理按照《公司法》和监管部门有关规定执行。
第二层,ISO9001程序文件、制度体系的基本管理制度,对应内部控制框架第二层的“流程模块”:是跨部门性质的规范文件,是集团及各权属单位在经营管理宏观方面进行内部控制的制度依据。程序文件、基本管理制度的制定、重大的修改和废止须经总裁办公会审批、董事长核准,非重大修改须经总裁办公会批准、报董事长备案。重大修改指根据法律法规或公司实际情况,对规章制度的实质内容产生根本性变化的修改。
第三层,ISO9001的作业指导书和职位说明书、制度体系的部门规章及业务管理制度,对应内部控制框架第三层的“业务流程”和第四层的“操作标准—作业标准(SOP)”。为各部门或单位的操作流程规范,是在基本管理制度的基础上,对相应组织机构的主要职责、岗位设置、岗位责任、业务流程和操作标准等的具体说明。其制定、修改和废止须经总裁/总经理批准。不同部门规章发生矛盾冲突的,由总裁/总经理办公会裁决。
第四层,ISO9001的表证单书、制度体系的指导意见(指引)为执行各种文件的记录或表单,对应内部控制框架第四层的“操作标准——表单”。
ISO9001文件、制度体系和内部控制体系的整合关系如下图:
图14 ISO9001文件、制度体系和内部控制体系的整合关系
(3)内控表单与ISO 9001表单整合
1)内控表单与ISO 9001表单之间具有互补效果,能发挥控制功用。例如:ISO 9001表单“异常处理单”为依照ISO 9001标准所产生的对作业及系统异常分析的矫正控管表单,内控并没有规定得如此详细,也没有书面表单,因此当两种制度整合后,可以达到企业全面管控效果。
2)内控表单与ISO 9001表单之间具有重复性(但不冲突)。例如:ISO 9001与内控表单都有属于检查工作的《工作清单》和《检查表》等,彼此在表单文件上仅是命名及少部分格式有差异,两者的控制点并未冲突,因此可考虑择一使用。
3)内控表单与ISO 9001表单之间具有重复性,但在控制点上的要求不足或不相容。最常发生的是ISO 9001表单的要求,与内控规定的控制点不相容。因此在整合时应考虑内控观念而修正表单。例如,一般ISO 9001的存货管理表会较为简单,但内控的存货管理表则具有会计入账的控制点,包括存货依属性的不同而作完整的区分,比一般ISO 9001定义使用的表单要求严格得多。所以在系统整合后,应以内控表单作为主要的基础架构,并配合ISO 9001要求,加入表单版次与表单制式编号,成为同时满足两者要求的记录文件。
(4)内部稽核与内控监督整合
ISO9001与内部控制整合后,ISO的内部稽核作业与内控的监督检查合而为一,不再区分为ISO 9001稽核与内控稽核人员,统一执行单一作业。但因ISO 9001稽核员对财务会计面本来就不熟悉,反之内控稽核人员对于ISO 9001标准下的流程作业或品管程式的了解程度却显不足。因此,在稽核检查部门,应合理配置具有两种内部稽核专长的人才,妥善分配其熟悉的查核工作。
(5)PDCA应用方法
1)应用PDCA循环,检查内控框架和纲领文件、业务流程和管理制度设计是否完整,如果不完整则可能达不到系统管理、持续改进的目标。
2)应用PDCA循环检查有无完备的计划支持需求输出,检查有无充分的信息证据支持结果输出,如会议纪要、文档、表单、单据等,实现计划、执行、监督、改进的闭环管理。
(七)有效作业5W2H法则
1.5W2H法则内容
(1)why——为什么?为什么要这么做?理由何在?原因是什么?
(2)what——是什么?目的是什么?做什么工作?
(3)where——何处?在哪里做?从哪里入手?
(4)when——何时?什么时间完成?什么时机最适宜?
(5)who——谁?由谁来承担?谁来完成?谁负责?
(6)how——怎么做?如何提高效率?如何实施?方法怎样?
(7)how many——做到什么程度?成本多少?效益如何?
2.应用实践
设计业务流程图的作业活动或设计作业标准时,坚持5W2H作业法则,分别回答七个问题,可以得到:
(1)回答why,检验作业活动是否符合战略目标要求;
(2)回答what,明确作业活动价值,并提炼出目标体系和风险因素;
(3)回答where,明确作业活动范围及协同合作部门;
(4)回答when,明确作业活动的时间要求,达到高效执行目的;
(5)回答who,可以明确作业活动的责任岗位,并划分职责权限;
(6)回答how,可以明确应采取的最佳控制类型和控制方法;
(7)回答how many,可以判断是否符合成本效益原则。
五、远洲集团内控建设总体原则
(一)内控建设指导思想
按照上市公司内部控制规范的要求,借鉴国内外企业的内控建设经验,坚持“统筹规划、整体设计”的原则,以源头治理和过程控制为核心,以防范风险和提高效率为重点,对现有管理制度、职责分工和业务流程进行全面梳理,力求促进各项管理工作实现制度化、标准化、信息化,建立设计科学、简洁适用、运行有效的内部控制体系。远洲集团内部控制体系建设的指导思想和原则的主要内容是:
1.优先解决目前管理工作中的薄弱环节,使确立的内控体系能够广为接受、易于执行、行之有效。
2.坚持重要性原则,突出对重要单位、重要业务、重要流程和重要风险点的管理和控制,把企业的风险控制在合理水平。
3.集团公司统一组织、统一规划、统一标准、统一设计,分层实施内部控制体系。
4.试点先行、逐步推开。首先选择并做好试点部门、试点单位的工作,在取得成功经验的基础上,全面推开。
(二)内控设计原则
1.合法性原则
内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求,以及“合法经营、规范管理”的《集团管理纲要》总则要求。
2.整体结构原则
企业内部控制系统,必须包括控制环境、风险评估、控制活动、信息与沟通、监督五项要素,并覆盖各项业务和部门。换言之,各项控制要素、各业务循环或部门的子控制系统,必须有机构成企业内部控制的整体架构。
内部控制在层次上应当涵盖企业董事会、管理层和全体员工,在对象上应当覆盖企业各项业务和管理活动,在流程上应当渗透到决策P、执行D、监督C、反馈A等各个环节,避免内部控制出现空白和漏洞。
3.重要性原则
内部控制应当在兼顾全面的基础上突出重点,针对重要领域、重要业务、重要事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
4.相互牵制原则
在横向关系上,至少要由彼此独立的两个部门或人员办理,以使该部门或人员的工作接受另一个部门或人员的检查和制约;在纵向关系上,至少要经过互不隶属的两个或两个以上的岗位和环节,以使下级受上级监督,上级受下级牵制。不相容职务相互分离控制有以下几项内容:
(1)授权批准职务与执行业务职务相分离;
(2)执行业务职务与监督审核职务相分离;
(3)执行业务职务与会计记录职务相分离;
(4)财产保管职务与会计记录职务相分离;
(5)执行业务职务与财产保管职务相分离。
5.授权控制原则
授权控制原则,是指组织机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,企业单位应该根据各岗位业务性质,相应地赋予作业任务和职责权限,规定操作规程和处理手续,明确纪律规则和检查标准,要求做到事事有人管,人人有专职,办事有标准,工作有检查。授权体系包括:
(1)授权批准的范围。企业所有的经营活动一般都应当纳入授权批准的范围。
(2)授权层次。授权批准在层次上应当考虑连续性,要将可能发生的情况全面纳入授权批准体系,根据经济活动的重要性水平和金额大小确定不同的授权批准层次,保证各种管理层和有关人员有权有责。
(3)授权责任。被授权者应能够明确在履行权力时应对哪些方面负责,避免授权责任不清,出现问题又难咎其责的情况发生。
(4)授权批准程序。规定每一类经济业务的审批程序,以便按程序办理审批,避免越级审批和违规审批的情况发生。
6.成本效益原则
贯彻成本效益原则,即要求在实行内部控制花费的成本和由此而产生的经济效益之间要保持适当的比例,实行内部控制所花费的代价不能超过由此而获得的效益,否则应舍弃该项控制措施。
六、内部控制体系建设总体策略
(一)远洲集团内控建设模式
1.自主建设为主,引入外部专家为辅。
2.以现有管理制度、流程为基础,整合、优化提升内部管理控制体系。
3.依托集团自开发ERP信息系统,固化管理制度和管控流程,实现自动化管理和持续改善的内控建设目标。
(二)内控体系建设思路
图15 内控体系建设思路
(三)内控建设责任机制
1.各单位、各部门的主要负责人是内控体系建设的第一责任人,也是集团内控建设对口联系人。
2.按集团内控建设推进计划,分解落实年度内控建设计划,并纳入各业务单元、各部门负责人业绩考核。各单位、各部门须将内控年度建设计划分解纳入月报月计划4R业务运营体系。
3.各业务单元、各部门一把手考核年薪的25%直接与内控建设考核结果挂钩。
(四)内控建设策略
本着“积极稳妥,有序推进”和“分层次、分阶段”的原则,采取“双向推进[5]、协同建设”的策略方法,推进内控体系建设,分4个阶段开展内控建设工作:
第一阶段 准备阶段
1.完成相关运行机制、政策建设;
2.开展内控体系建设专题培训;
3.确定内控建设专家顾问候选人;
4.下发《远洲集团内部控制体系建设实施方案》;
5.确定资金管理中心、集团人力资源管理中心,以及临海远洲国际大酒店为试点单位,开始试点内控建设,研究内控建设方法;
6.设计内部控制建设ERP管理平台,并制订出台内部控制建设过程中的组织权限、义务与责任的管理流程。
第二阶段 实施阶段
1.内部控制建设诊断分析,全面梳理、摸清现有内控管理现状,从战略角度,评估、明确关键业务和关键风险点及控制措施;
2.流程优化,明确各产业、部门职责划分和授权管理,全面开展管理流程、业务流程描述;
3.总结试点经验,下发《远洲内控建设方法指南》;
4.试点单位内控体系在其他业务单元复制、优化;
5.编制完成与流程配套的表单,修订完善制度建设;
6.利用ERP技术对建立的内控流程、制度和措施进行固化;
7.编制完成《内部控制手册》。
具体实施过程中将分别集团总部管控层、业务单元层建设。
第三阶段 系统化测试和完善阶段
1.内部审计中心、外部审计机构对建立的集团和试点单位内部控制体系进行审计测试,并提出完善意见;
2.请专家组论证内控体系的完备性与可行性,聘请外部审计进行内控体系预评价审计,并根据论证和审计评价结果优化、完善业务流程和内控体系;
3.完成内控流程、制度和措施的ERP固化;
4.外部审计机构进行内控体系评价,并取得无保留意见评价报告。
第四阶段 运行维护阶段
建立常效机制,开始内控体系持续改进、优化活动,利用信息化成果强化对风险的自动控制,减少人工控制,优化自动控制和人工控制的相互制衡,确保内控体系的可靠执行和有效运作。
七、远洲集团内部控制框架设计
(一)内部控制分层治理思想
如果环境控制(主要内容有公司治理结构、组织设计和岗位配置、人力资源基本政策、管理哲学和经营风格、企业文化等)失效,再好的管理控制系统、业务交易系统也会失效。因此,在内部控制系统中环境控制最为重要。环境控制的设计、实施的管理责任,归属于董事会。
如果环境控制有效,但没有良好的流程为导向的管理控制系统(主要是核心价值清晰并能持续改进的管理体系、业务流程),业务交易系统的有效性将受损害。管理系统设计、实施的主要责任是管理团队。
业务交易处理系统(主要是具体的业务流程和作业标准)是由一线的员工执行的,因此员工承担业务交易处理系统是否正确执行的责任。
控制环境、管理系统和业务交易系统只有同时发挥作用,才能保证内控有效。
上述内部控制分层治理思想图示如下。
图16 内部控制分层治理示意图
运用上述内部控制分层治理思想,内控体系设计过程和责任分工见下图。
图17 基于内部控制分层治理思想的内控体系设计过程和责任分工
上图表示的内控建设职责分工描述如下:
1.董事会。负责发展战略目标设定、战略规划和公司治理、组织架构设置、管理纲要、基本政策和基本管理制度审批等控制环境建设。
2.总裁经营团队。负责组织架构设置方案拟订、核心指标设计、授分权体系审批、能力胜任模型审定、业绩评价机制设计以及配套的管理办法、实施细则等制度建设。
3.产业管理公司/职能部门。负责具体业务流程设计及配套制度拟定。
(二)内部控制体系设计
1.管理系统与内控要素关系
图18 管理系统与内控要素关系
内控体系设计是个自上而下的过程:
首先,根据企业战略和战略规划确定目标体系,再设计保证目标体系实现的组织结构(包括公司治理部分的组织定位、权限划分、组织机构和岗位设置、责任及权限分配),同时设计支持目标实现的企业文化、管理哲学、经营风格等基本政策,前述内容即形成内部控制5要素之一的内部控制环境内容,制度体系的基本管理制度要与控制环境要求相匹配。该阶段的主要工作成果是明确战略目标内容并分解形成目标体系、优化组织结构设计和职责分配及授分权体系、部门和岗位职责描述、建立胜任能力模型、配套的基本管理制度以及内部控制框架图。
其次,根据“目标体系”进行流程规划,流程规划要与上述的组织结构和部门职责、授分权体系匹配。该阶段的成果是流程规划体系表。
再次,进行业务流程设计,业务流程设计要依据目标体系进行风险评估,考虑满足管理指标要求和风险控制要求的具体措施,以及保证措施得到执行的信息与沟通方法、监控手段。业务流程设计必须符合内控设计思想,要与上述的部门和岗位职责及权限、岗位胜任能力模型以及相应的管理办法、实施细则等管理制度相匹配。该阶段的成果主要是业务流程图。
设计内部控制框架时,应区分战略管理、经营管理及职能管理的目标导向、风险内容和内控要素应用的差异性:
(1)战略管理层面,主要依据全面风险管理框架思想设计内控体系和工作流程,主要目的是控制战略风险。至少应包括愿景、战略设计与实施、投资决策、对子公司控制等关键业务流程。
(2)经营单元层面,主要采用内部控制框架思想和风险管理技术相结合的方法设计内控体系,主要目的是控制经营风险、财务风险。主要业务流程应包括销售及收款、采购及付款、资产管理等关键业务循环,以及合同管理、信息管理、检查评价、持续改进等管理循环。
(3)职能系统层面,主要依据内部控制框架思想设计内控体系,全面风险管理技术起辅助作用,主要目的是控制管理风险并支持实现战略、经营的内控目标。内容应包括职能系统横向上的业务协作流程和纵向上的管控流程。
2.战略管理内控框架设计
(1)设定战略目标及其分解的具体目标,管理层识别出可能影响目标实现的事项。
(2)根据风险可能产生的影响区分是风险还是机会,如是机会则设定利用机会的策略和工作流程,如是风险则进行风险评估。
(3)根据管理者风险偏好,对风险采取措施(规避、接受、减少和共担),并确定风险管理的主要工作流程。
(4)确定机会工作流程和风险管理工作流程的职责分工、权限分配及信息沟通程序。
(5)设计战略管理内控体系活动图。
(6)根据PDCA持续改进思想,检查战略管理内控体系活动图是否完整。
3.职能系统内控框架设计
(1)职能系统为什么存在?可以为其他系统及企业整体战略提供什么价值?具体目标有哪些?主要风险在哪些?应该从事哪些活动?……通过回答这些基本问题,确定职能系统在企业管理系统中的位置,确定流程活动边界和核心价值焦点,如人力资源管理焦点是“人岗匹配”(招聘人—培训人—考核人—发展人),资金管理的核心焦点是“资金运动”(资金筹集—资金营运—资金投放),以此确定关键控制活动内容。
(2)依据职能活动的主要目标和核心价值焦点,进行业务活动责任和权利的具体分工,建立系统内部及系统之间的信息流转和沟通程序。
(3)确定系统的主要工作流程以及各流程之间的输入和输出关系。
(4)确定系统的主要工作流程的产出指标、业绩指标,以及检查监督措施。
(5)绘制并形成完整的业务活动分析图。
(6)根据PDCA循环原理和目标体系为主线,分析管理总体框架设计是否科学、完整。
图19 集团资金管理组织架构及职责权限
职责边界说明:
(1)总体目标:保证资金安全、满足经营需求、低成本、运行高效。
(2)业务概述:债务资金筹集、使用、偿付过程的计划、方案决策以及实施。
(3)与投资管理部门责任关系(横向边界)。
1)资金管理中心。债务性资金筹集(如银行贷款、信托、发行债券等)及相关资源配置。特征是筹集资金需要到期偿还(债务)。
2)投资管理中心。资本性资金筹集(如引进战略投资者、IPO上市、收购兼并等)及相关资源配置。特征是筹集资金不需要归还(资本)。
(4)纵向边界职权划分如下表所示:
表2 纵向边界职权划分
4.经营单元内控框架设计
(1)内控框架设计过程如下(图20):
(2)参照ISO9001全面质量管理思想建立业务流程循环周期草图。
(3)根据平衡计分卡原理,分析愿景,确定核心指标和关键流程,如远洲酒店业的核心指标和关键流程提炼过程:
图20 内控框架设计过程
(4)根据行业特性确立基本的经营管理目标及对应的核心流程或作业点,如酒店业的基本管理目标是安全、舒适、效益,对应的核心流程或作业是安全管理流程、服务标准、品质标准等,并整合到流程总体框架草图。
(5)确定流程总体框架草图中核心流程的核心焦点,如人力资源管理焦点是“人岗匹配”(招聘人—培训人—考核人—发展人),资金管理的核心焦点是“资金”(资金筹集—资金营运—资金投放),根据PDCA循环原理和核心焦点为主线,绘制核心流程图,分析流程总体框架草图中核心流程设计是否科学、完整。
(6)分析明确PDCA循环在流程框架草图中的应用节点。
(7)整理现行的制度目录,对比分析设计的流程框架是否完整,并进行修订完善。(见附录3:制度整理优化过程案例)
图21 远洲酒店业核心指标和关键流程
根据上述的内控框架设计过程,将内控目标、内控五要素及基本的管理控制思想整合形成具有内在联系、互为因果的内控框架,见远洲酒店内控框架图。
图22 远洲酒店内控框架图
八、业务流程规划
步骤一:确定企业整体的流程框架
流程优化的第一步是依据企业的价值流走向确定企业整体的流程框架,以清晰企业应有的和理想的流程轮廓。该步骤主要有三项工作:
(1)组建以高层为主的流程规划团队,进行企业流程现状的调研、诊断与分析。流程规划最好是以讨论会的形式展开工作,因为讨论会最大的优点在于可以集成大多数人的认识与观点。
(2)在诊断与分析的基础上制订流程规划。
(3)在流程规划的基础上编写企业的《流程清单》,罗列企业的所有流程名称。
运用价值链分析法进行流程规划共分为三个重点操作步骤:
图23 运用价值链分析法进行流程规划的三个重点操作步骤
步骤二:主题(目标)流程选择
所谓的主题流程选择实质上就是选择优化的目标流程,应尽量选择核心流程、扯皮涉及的流程和“瓶颈”流程作为优化的方向和重点。
在平衡计分卡中将支持财务类与市场类目标的重点内部运营策略与内部的流程对接,从而获得企业的核心流程。如远洲战略(部分):
表3 远洲战略
选择哪些瓶颈流程要考虑以下几个方面:
(1)该流程中的问题或症状经常发生;
(2)该流程中的问题范围是清晰的;
(3)改进这个瓶颈流程有很大的成功概率;
(4)流程绩效没有达到的频率很高的流程;
(5)以前没有启动的流程,但已经影响企业的发展;
(6)经常扯皮的流程,影响企业文化的发展。
《瓶颈流程优化调查问卷》具体内容如下表所示:
表4 瓶颈流程优化调查问卷
将确定的主题流程与改进的瓶颈流程输入下表,详细阐述流程优化的目标:
表5 流程优化的目标
步骤三:流程规划分级
图24 流程规划分级
说明:
1.流程规划分级必须从前到后、自上而下,即从流程框架的计划点开始流程分解,前个流程从一级流程到二级流程、二级流程到三级流程,直至最底层的流程图中不再包含有子流程为止,然后再开始进行后续核心流程的分级过程。
2.每个子流程的开始点必须有需求输入点,比如是上个流程或作业的结果输出,子流程结束后必须有具体的输出结果,并成为下一个流程或作业的需求。
3.每完成一个流程分级,应同时更新流程目录、作业标准目录。
4.在流程分级过程中,涉及调用其他子系统流程的,应确认被调用的流程存在。
步骤四:流程现状评估
在该步骤中需要对选择的目标流程进行深入地分析,以便于清晰企业目前流程运行的现状,从而确定流程执行的薄弱和优势环节,并提出流程现状与流程标准的差距。进行流程现状评估主要目的是通过了解目前目标流程的现状与存在的问题,据此为依据对目标流程进行改进。目标流程现状评估需要了解以下7个最主要的信息:
1.明确流程范围和目的;
2.确认流程的边界;
3.确认现有流程运作模式;
4.理清每一个活动所属的部门,确认责任归属;
5.理清每个活动作业说明和决策点的细节;
6.确认流程的绩效目标和衡量方式;
图25 流程现状评估
7.收集流程在时间、成本、数量和质量要求方面的数据。
在完成目标流程深度调研后,需整理调研信息,将目标流程现状的调查记录以规范的文件展示出来,在这个环节上可做的工作有以下几个方面的内容:
1.通过绘制流程图展示目标流程现状。目标流程现状展示,最直观反映事实的就是流程图,它通过图表明流程的运行现状和成果。流程图的绘制需要注意以下几个事项:
(1)有明确定义的开端和结束;
(2)有输入必有输出,尽可能量化;
(3)做到对流程不熟悉的人,不需要任何解释就能轻而易举的读懂流程图;
(4)界定每一个活动的责任部门或岗位;
(5)采用标准的流程图符号。
2.通过罗列目标流程调研清单展示目标流程现状。目标流程调研清单主要是通过表单的形式,它除了有展示目标流程现状的功能外,还可以在后期流程改进时使用,它实际上是对目标流程现状的一个详细文字说明。
表6 目标流程调研清单
(1)根据流程设计的基本原则,分析每一个流程,并进行修订优化;
(2)根据内部控制与风险管理要求,分析每一个流程,并在流程图中补充完善风险点描述、关键控制点描述;
(3)根据上述的流程图、风险点和关键控制点描述,结合组织结构设计的功能划分,绘制与流程配套的权限指引表;
3.汇总流程分析表,展示目标流程现状。流程分析表也是展示目标流程现状的一个工具,它也能够固化和规范目标流程现状的信息,其内容主要包括:
(1)流程存在的问题;
(2)流程改进的措施;
(3)流程控制的措施。
下面是一个目标流程分析表的一个样式。
表7 目标流程分析表
4.整理收集的流程附件,并将其与目标流程现状的描述对接。在目标流程信息收集后会收集到相关的表单与制度文件,一般来说这些流程附件主要有以下几种类别:
(1)记录信息的表格;
(2)工作承接的传递单;
(3)操作规范;
(4)相关制度;
(5)总结报告。
对收集来的附件进行分类,并通过下表来表明附件与目标流程的关系:
表8 流程附件与目标流程关系图
步骤五:流程差距分析
基于现状评估得到的差距,需要结合流程规划和主题流程的要求,寻找薄弱环节或欠缺环节的解决方案,并为流程设计提供依据。流程差距分析要考虑一个极为重要的问题:我们是否拥有足够的能力来弥补流程的差距。
所以通过差距分析,我们可能得到两个结论:
1.现状与期望结果之间的差距大得难以弥补,我们现在的状态无法支持改进;
2.现状与期望结果之间的差距大得难以弥补,我们能够得到一个比较合理的投入产出回报。
对于后一种情况的处理方法就是继续进行优化,而前一种情况则可以暂时放弃,但仍然有必要明确延迟改进的时间表。
表9 流程差距分析表
步骤六:流程设计
在此步骤主要是依据前面流程差距分析的结果对流程进行优化与改进设计,设计出可操作的流程方案,此步骤有重要的产出成果,包括流程图、流程说明书、流程表单与相关制度等成果文件。
一般来说,在流程优化的整个过程中,流程差距分析与流程设计是其中的核心工作,尤其是在流程设计往往能体现出一个设计者的水平高低,即使是在管理咨询行业也是衡量咨询顾问水平高低的一个标志性技能。流程设计中有最基本的流程处理技巧,它主要包含以下7种方法:
1.横向集成:也即是减少部门之间的交接和直接协调活动,依据流程达到的绩效来划分流程活动的归属,即达到的绩效对哪个部门或岗位有最大的影响,则这些流程活动就应该属于那个部门或岗位,这样一来,也方便企业的绩效责任考核,也可以提高企业流程界限的划分依据。
2.并行工程:也即改变活动前后承接的观念,而转向许多活动同时开始操作,就如同电路中的并联,以并联为主,结合串联来提高耦合的效率。所以并行工程理论出现,对流程改进也提供了很好的理论基础。这样一来,流程的效率就大大改进了。
3.单点接触顾客:也即体现“一对一”的管理原则,面对流程客户的时候,最好是一个部门或一个岗位,而不是许多部门或岗位同时去面对同一个流程客户,这样可以提高客户接受产品、服务、信息的唯一性。
4.过程多样化:流程只是界定了一种工作方法,但在操作细节上很难标准化,所以在流程操作过程中,很多过程还需要尽量罗列和说明清楚,一边操作者不脱离流程要求。也即尽量考虑更多的操作细节,即使用不上,或者某些活动没太多的要求,但也可以尽量达到了流程的标准化程度。
5.减少控制环节:很多的流程都体现了活动的决策环节,从而降低了流程的运行效率,要加强控制的标准化,以及提高控制的效率。
6.IT技术的应用:主要通过引进先进操作系统来规范企业的业务和管理活动,或者是通过IT技术的开发达到优化企业业务和管理活动,以提高企业正常运转效率。
步骤七:流程运行规划
在完成目标流程的重新设计以后,管理者要确保设计后的流程在企业里实施,因此就需要对目标流程的新设计方案的实施进行规划,制订流程运行的计划;管理者要向新流程的执行部门进行流程培训,阐明流程的操作步骤与方法。
表10 远洲酒店业流程规划表(一级流程“采购与付款”部分)
九、内部控制业务流程设计
(一)内控设计一般步骤
1.确认所要进行的内控设计针对的内控目标是什么。
2.根据内控目标,识别公司层面的内外部主要风险并进行评估。
3.全面梳理业务流程的,锁定与确认内控目标相关的业务流程。
4.按照COSO框架提出的控制标准,对确认的主要风险提出控制要求,将梳理得出的业务流程(风险控制活动)与控制要求进行对比分析,提出整改建议。
5.对所确定的业务流程进行分析,确认业务活动中存在的风险,提出整改建议。
6.各项制度规章的完善和补充。
(二)业务流程设计原则
总结提炼企业发展的成功因素,将管理智慧、标杆经验沉淀到业务流程,创建内容先进科学、表现形式简单易懂、可复制的内部控制管理系统。
1.要从工作的目标而非工作的过程出发。
2.客户需求为导向,尽量剔除官僚化的业务活动和管理活动过程。剔除对内部客户和外部客户不增值的活动,使企业对内部和外部客户反应速度加快。
3.职责和权限划分清晰,没有重叠或空白,并符合相互牵制的内控原则。流程所有者明确[6],流程中涉及决策权限与解决责任应尽量靠近那些直接参与的职位。
4.流程层次关系清楚,最终结果为满足客户需求(产品、服务、信息)。流程图简单明了、符合逻辑,做到对流程不熟悉的人,不需要任何解释就能轻而易举地读懂流程图。
5.作业标准清晰、直观易懂,没有经验的人能在最短时间内学习操作。所有作业标准可以纳入相应的流程。尽可能使同一个人完成一项完整的作业过程,以便减少交接和重复工作。
6.在流程的关键点设置流程绩效(时间控制),确保流程的实施。
7.明确定义流程中各节点的相互关系。
8.表单作为流程运转载体,表单要素与流程活动协调一致。
9.在流程进程中设置流程质量监控机制。对于任何工作,在工作过程中发现质量问题比在工作完成后的返工成本要低得多。
(三)经营业务流程设计
流程设计目标:流程非常清晰并能被使用者轻松地理解和应用。
第一步:业务活动分析
1.收集与流程设计目标相关的现行政策与程序、管理制度、作业程序规定、表单等,并进行整理、分析,形成业务活动概貌。具体步骤如下:
(1)组建至少由3人组成的小组:具有丰富管理经验的一人、非常熟悉业务的一人、熟练掌握office操作及VISIO绘图技能的技术支持一人。通过讨论、研究等头脑风暴方法,辨识流程活动目标和活动过程。
(2)浏览企业所有政策与程序目录,把与流程设计内容相关的政策与程序汇集到一起。
(3)整理政策与程序,,务必将现行政策与程序内容全部整理干净,把每一个作业活动内容统一展示到VISIO的基本流程上。
(4)讨论分析各项业务活动的内在逻辑关系,如客户活动路线(如餐饮服务)、信息流活动路线(如会计信息采集、稽核、整理加工、输出)、物流活动路线(如采购申请、询价、审核、寻找供应商、签约、采购实施、验收),并依据内在逻辑关系整理作业活动。
(5)根据实际管理经验和业务实践经验,分析评估作业活动的完整性和合理性。
(6)依据业务活动管理目标、标杆企业经验,分析作业活动的先进性。
(7)进一步整理形成业务活动概貌图。业务活动分析图示如下:
图26 业务活动分析图
2.确认业务活动流程中需求输入点、结果输出点在流程框架体系中存在,确认方法是参阅流程目录,并与其他流程设计者及时沟通。
3.确认业务活动具备策划设计、执行、检查和总结、改进提高的管理要素,要确保活动过程的完整性。
示例:开夜床服务活动图(简图)
图27 远洲集团开夜床服务活动图
第二步:辨识活动目标
4.分析业务活动要实现的具体目标有哪些,并按照重要性排序,同时在业务流程图的“业务概述:业务目标”上概括记录。
5.一般情况下,任何一项具体的业务活动都涵盖了多个目标,而不同的目标由不同的具体作业来执行完成。比如:验收作业,这一过程就涵盖了采购的合法合规目标(供应商是否合法、采购行为是否合规)、资产安全目标(资产质量是否符合需要、采购数量是否合理)、食品安全目标(是否符合保证食品安全的品质要求)、客户满意目标(作业是否规范透明并让供应商满意)、防止舞弊目标(合同、采购申请单、验收单、发票等相互稽核)等等。
6.多个目标的确定过程,是通过与其他流程设计者沟通获得确认的,如资产成本控制目标是由“成本管理流程”设计者提供的、食品安全目标是由“安全风险管理流程”设计者提供的、客户满意目标是由“服务品质管理流程”提供的。
(1)目标设定过程图
图28 目标设定过程图
(2)目标设定SMART原则
1)SMART原则一S(specific)——具体明确的
所谓明确就是要用具体的语言清楚地说明要达成的行为标准。
示例:目标——“增强客户意识”。这种对目标的描述就很不明确,因为增强客户意识有许多具体做法,如:减少客户投诉,过去客户投诉率是3%,现在把它减低到1.5%或者1%。
2)SMART原则二M(measurable)——可衡量的
目标的衡量标准遵循“能量化的量化,不能量化的质化”。对于目标的可衡量性应该首先从数量、质量、成本、时间、上级或客户的满意程度五个方面来进行。如果不能衡量,可以将完成目标的工作进行程序化,通过程序化使目标可衡量。
示例:“为所有的老员工安排进一步的管理培训”。进一步是一个既不明确也不容易衡量的概念,到底指什么?什么叫“进一步”?
改进:在课程结束后,学员的评分在85分以上,低于85分就认为效果不理想。
3)SMART原则三A(attainable)——可实现性
可以制定出跳起来“摘桃”的目标,不能制订出跳起来“摘星星”的目标。
4)SMART原则四R(relevant)——相关性
目标的相关性是指实现此目标与其他目标的关联情况。如果实现了这个目标,但对其他的目标完全不相关,或者相关度很低,那这个目标即使被达到了,意义也不是很大。
示例:一个前台,你让她学点英语以便接电话的时候用得上,这时候提升英语水平和前台接电话的服务质量有关联。若你让她去学习六西格码,这一目标与提高前台工作水准这一目标相关度很低。
5)SMART原则五T(time-based)——时限性
目标特性的时限性就是指目标是有时间限制的,没有时间限制的目标没有办法检查,或检查评价的不公。
图29 目标管理SMART原则示意图
示例:前厅服务目标:客户满意度达到85%以上;保证客户的人身和财产安全;保证高效率接待;保证企业财产安全。
第三步:风险评估
7.风险评估有定性识别和定量识别两种,我们主要采用依据管理经验和业务经验为基础的定性识别方法。
8.在风险识别过程中,最好能调集企业积累的相关资料,如检查总结、解决具体问题的备忘录或会议纪要等,以完善根据经验定性识别风险的不足。
9.针对每一个具体的目标,分析执行过程可能导致目标偏离或目标不能实现的可能原因和源头,并确定风险源。
10.分析每一个风险源可能在什么区域、地点或作业环节出现,并确定风险点和涉及的流程名称、作业名称。
示例:前厅风险评估:
(1)预订信息的不准确,造成客人入住投诉;
(2)登记入住
1)房号、房卡操作不规范,造成房间重复入住。
2)客人证件未收取,无法保障客人住店的安全。
3)押金收取不规范,造成逃账。
4)房价、入住天数、客人未确认,造成客人投诉。
5)脏房给客人入住,造成客人投诉。
(3)退房后,住房状态处于在住中,结账操作不规范,造成酒店损失
(4)行李服务的不规范性,造成客人行李丢失
(5)突发事件处理的不合理
(6)商场服务的安全意识
战略规划风险评估图示如下。
图30 战略规划风险评估图
风险评估图示如下。
图31 风险评估示意图
第四步:控制活动设计
11.根据上述风险源、风险点分布分析,考虑可能采取的控制措施(需要关注管理哲学、经营风格、企业文化等环境控制要素设计控制活动),依据风险的重要性水平,运用专业判断,按照风险发生的可能性大小及其对企业影响的严重程度进行风险排序,确定应当重点关注的重要风险,结合风险成因、企业整体风险承受能力和具体业务层次上的可接受风险水平,确定风险应对策略。同时在业务流程图的“流程概述”中描述主要风险、关键控制点的内容,并按风险高低排序。
示例:前厅服务采取的控制措施
(1)预订员需根据预定单和客人重复确认。
(2)登记入住
1)员工房号的填写,房卡的发放必须和电脑核对
2)加强员工安全意识培训
3)严格按照财务制度押金收取规范执行,加强员工培训
4)入住登记单的填写培训;
5)客人入住时,一定要先通知客房把房间更改成干净房,才能转入住,并且加强员工的培训;
(3)加强员工退房结账操作培训
(4)规范行李的派送、领取、寄存,加强员工培训
(5)突发事件的处理是否符合权限要求,加强技巧的培训
(6)商场安全的培训
12.风险、关键控制点描述时应有序号,并互相对应。序号采用1、1.1格式。如目标1有两个风险,则该风险序号为1.1、1.2,如1.2风险有关键控制点,则该控制点序号也为1.2。
13.在流程图设计过程,明确每个控制目标的责任岗位、权限,如下表所示:
表11 每个控制目标的责任岗位、权限
14.检查PDCA四要素是否完整存在,并整理形成业务流程图控制说明表。
表12 现金业务流程图控制表
第五步:绘制流程图
15.使用约定的流程编码方法给流程名称编号;
16.确定流程所有者(即负责流程设计与执行检查的责任者);
17.使用标准的VISIO流程图绘制方法和约定的流程符号。
18.业务流程图一般采用垂直的跨职能流程图,但不需要跨多部门合作的业务活动可采用基本流程图(如餐饮服务管理)。
19.遵循5W2H法则分析流程作业:
(1)why?目的是什么?明确业务目标
(2)what?做什么?明确作业内容
(3)where?哪个部门做?明确流程活动的归口管理部门
(4)who?谁做并承担责任、谁指导、谁协助、谁决策?明确责任分工与权限分配
(5)when?什么时候做、什么时候完成?明确作业的开始时间及完成时间
(6)how to do?什么方法做?明确作业标准
(7)how many?结果如何?明确作业成果及表现形式
20.流程图中的作业,一般采用动宾结构描述,以不超过12字为限。如:提交采购申请、制订工作计划。
21.初步完成流程图绘制后,检查PDCA 4要素是否完整存在。
第六步:完善控制证据和控制过程
22.每一项作业流程涉及表单、作业标准规范的,应在该作业活动下紧附表单名称或作业标准名称,为信息与沟通提供合理保障,如;采购申请单、工作计划制订作业标准。
23.依据控制五要素框架思想,检查是否满足内部控制要求,同时在流程图中按约定符号标出风险点(高风险涂红色、中度风险涂黄色、低风险涂蓝色)、关键控制点。原则上风险点、控制点不超过3个。
24.完成流程图设计后,填制《岗位说明书》、《内部控制矩阵表》:
表13 岗位说明书
表14 内部控制矩阵表
25.同时,及时更新流程目录表、作业标准目录表,并与相关流程所有者沟通以保证完整性。流程目录、作业标准目录示例如下表:
表15 流程目录、作业标准目录
表16 流程、作业标准、表单目录表
续 表
(四)职能管理业务流程设计的特殊性
职能管理为主导的业务流程(如安全风险管理流程、服务品质管理流程)的设计过程具有特殊性,如安全风险管理流程设计过程。
1.根据PDCA管理思想和内控五要素框架,设计风险管理流程图如下。
图36 设计风险管理流程图
2.设计风险源、风险点分配表,格式如下:
表17 风险一览表
3.将风险源、风险点分配表中列示的控制活动整合到对应的业务流程。
4.编制《风险一览表》方法:一是参考星级酒店认定标准和相关的安全管理手册确定风险模块和风险源、风险点,二是将现行的有关风险管理的政策与程序内容进行整理、分析并充实到《风险一览表》,三是召集风险管理团队并邀请专家进行风险评估,完善风险识别、风险认定、控制措施及风险管理分配到业务流程的设计。
5.设计过程第(1)步是提供风险管理工具,第(2)—(4)点为风险控制设计过程。
(五)标准作业SOP设计方法
1.设计要求
(1)作业标准是一种程序,是流程下面某个程序中关于控制点如何来规范的标准作业程序。所谓的标准,就是尽可能地将相关操作步骤进行细化、量化和优化,细化、量化和优化的度就是在正常条件下大家都能理解又不会产生歧义。
(2)设计内容时必须以目标/目的为导向进行风险评估,设计最适合的操作。
(3)每一项作业标准很可能隐含多种目标,因此在设计内容前应充分了解并形成作业目标体系。
(4)具体内容简单明确,可操作性强,以能使具备专业知识和受过培训的工作人员理解和掌握为原则,追求条理化、标准化、形象化、简单化。
(5)作业标准设计重在使用者能清晰理解并正确应用,不过于追求表现形式的统一性,比如作业标准单、图片、视频、表格等表现方法都可以使用。
2.表头设计
标准作业单的表头需统一,要素包括作业名称、引用政策、参考文献、目标或目的、适用岗位、必备条件、制定单位、制定者、审定者、批准者、生效日期、总页码。
3.内容设计
(1)标准作业基本式(注重服务过程和服务结果)
一般直接面对客户作业,既关注服务过程细节,也关注服务结果,比如席间服务、入住接待服务等,内容设计时要求目标清晰,操作过程和结果标准的内容规范。
表18 标准作业格式
(2)标准作业扩展1(注重实现控制目的)
一般不直接对客,作业结果大多用于管理控制,比如验收作业、稽核作业。描述“作业标准”时强调控制程序、控制活动的具体手段、方法等内容。
表19 标准作业扩展1
续 表
(3)标准作业扩展2(注重服务过程)
直接面对客户服务,更关注服务过程细节,比如贵宾接待服务作业。描述“作业标准”时强调服务过程标准化。
(4)标准作业扩展3(注重操作结果)
比如餐饮摆台标准、物品摆放标准,这类活动过程一般不直接面对客户,但作业结果要展现给客户。因此,描述“作业标准”时可以采用看板、视频等表现形式。
表20 标准作业扩展3
(5)标准作业扩展4(注重作业程序)
技术操作过程细节多、技术要求多的岗位,强调操作过程的程序性,如电工操作、消防演习、卫生清洁、厨师加工作业等,作业质量根据作业程序是否规范来判断,以程序规范性判断结果可靠性。
(6)标准作业扩展5(注重标准差异化管理)
不同的客户或管理对象,可能存在管理标准的差异性,如酒店的温度、光照控制,在公共区域、餐饮、客房、办公等不同区域的控制标准是不同的,为便于管理可视化,可考虑设计成一览表形式(表单化)。再如不同岗位的服务员有不同的服务标准和管理标准,也可以设计各服务岗位管理标准一览表。
(7)标准作业扩展6(注重作业效率)
有些作业更关注有秩序的执行效率,比如消防演习、设施操作规程,可以考虑设计成连续式的看板。
4.设计方法
(1)收集、整理现行的政策与程序,按照业务活动过程进行分类排序,形成目录清单。
(2)对目录清单进行整理,删除重复的目录及其内容,如电话接听作业,很可能在前厅、客房、餐饮等各个服务部门的政策与程序中重复出现,可以整合保留一个;合并被分拆的作业,如将客房小整理、请勿打扰、清洁客人物品合并为开夜床作业标准。
(3)调集内控小组流程设计过程形成的作业标准目录,并与上述第2点整理的目录进行比对,确定需要设计的作业标准清单。
(4)依据内控框架的业务活动顺序,自上而下设计作业标准。
(5)设计作业标准时,首先判断需要采用的最佳内容表现形式(见上部分“内容设计”)。
(6)整理、提炼原政策与程序的内容,并结合实践经验修改,形成初稿。
(7)提炼具有远洲特色和竞争优势的作业活动,收集、借鉴标杆酒店的政策与程序,吸收其精华形成第二稿。
(8)召集经验人士(包括总监级、经理级和优秀的一线员工),对二稿进行讨论修改,形成第三稿。
(9)与内控小组一起讨论作业的目标、风险评估及控制活动设计,修改形成第四稿。
(10)将第四稿发给各个酒店,要求各酒店结合实践提出修改完善意见。
(11)由酒店管理公司汇总分析完善意见,并修改形成第五稿,并将第五稿提交审批。
(六)标准表单设计方法
1.表单定义
表单是指印制有规范表格格式的空白套打单据,在打印输出各类报表单据时,只需套用现有格式打印应当输出的数据。
内部控制系统的“表单”泛指信息载体,包括申请单、入库单、报销单、审批单等狭义表单,也包括计划书、会议纪要、财务报告、总结报告、信函等各种沟通工具产生的广义表单。
一个表单有三个基本组成部分:
(1)表单标签:定义采集数据的范围。包含了表单数据输入方式和输出方法。
(2)表单域:包含了文本框(让访问者自己输入内容的表单对象)、密码框(特殊的文本域,用于输入密码)、隐藏域(用来收集或发送信息的不可见元素)、多行文本框、复选框(允许在待选项中选中一项以上的选项)、单选框(需要访问者在待选项中选择唯一的答案)、下拉选择框(允许用户在一个有限的空间设置多种选项)和文件上传框(访问者可以通过输入需要上传的文件的路径或者点击浏览按钮选择需要上传的文件)等,用于采集用户的输入或选择的数据。
(3)表单按钮:包括提交按钮、复位按钮和一般按钮;用于将数据传送到服务器或者取消输入,还可以用表单按钮来控制其他定义了处理脚本的处理工作。
2.设计原则
(1)表单设计需符合信息化的数据采集、汇总和加工规范。
(2)实现基本的内部信息沟通流程化管理。
(3)建立动态表单的实体模型,并创建数据库表。
(4)实现动态表单的定义。
(5)关注业务目标。表单标准化的目的,是为了更精细地达到活动控制要求,应将控制细节设计为表单要素。
(6)必要、简单,并详细说明数据输入方式、输出对象。
(7)减少信息迷惑,表单指引或说明务必明确而直接。
(8)防止用户理解或执行错误,关键要素在提交前检测校验。
(9)提供反馈。如发生非法使用,系统应有提示信息。
表21 《付款申请单》设计
说明:
1)“流程启动者”为财务部人员的,“部门负责人审核”自动跳过。
2)付款单位。由系统设定远洲控股公司、远洲集团股份有限公司、浙江远洲商业公司等共享《付款申请单》ERP流程的单位。
3)付款方式。由系统设定的方式有:现金、支票、电汇、银行汇票、商业汇票、银行本票、委托收款、托收承付、信用卡、信用证、其他。如选择“其他”,必须由手工填写具体的付款方式。
4)付款类别(取自“总部财务审批权限授权书”)如下:
①投资款、广告捐赠赞助、资金拆借、集资款利息。董事长审批。
②固定资产购置、预算外支出、超预算支出、顾问费用。有“合同”或“批准文件”的,财务负责人审批即可,否则需董事长审批。
③应付款项。有合同且30万元以下的,“财务负责人”审批。否则由“付款单位”总经理审批。
④工资、福利支出。分管人力资源领导审批。
⑤培训费用。5000元以下由分管人力资源领导审批,5000元以上由董事长审批。
⑥宣传费用、爱心基金。由分管行政领导审批。
⑦非固定资产购置、审计评估中介费、公车费用、代付费用、财务费用、税金支出,由财务负责人审批。
5)“承诺发票到账日期”下拉选择有:(1)YY-MM-DD,从系统中点选;(2)已到;(3)自制凭证。
6)《付款申请单》审批完成后,由ERP自动发送给提交人、审核人、审批人以及出纳、会计。
十、远洲集团内控体系特色
(一)设计理念:整合多种管理系统为一体
内部控制贯穿于整个企业管理,与其他管理体系相辅相成、密不可分,是企业管理的重要组成部分。企业现有管理体系的设计、运行以及审核认证需要遵循已经发布的国家标准或行业标准。这些标准与企业内部控制规范体系的原则和要求并不矛盾。企业应当立足管理现状,全面梳理各项管理制度和管理体系,从管理体制、机制以及落实各级权利责任等方面,将内部控制的要求融入各项管理体系中,形成内部控制的长效机制,使内部控制真正为经营管理服务;应当从总体目标出发,将内部控制的要求纳入绩效考核体系以加强执行;可以利用信息技术固化业务流程,提高业务处理效率和信息共享水平,从而尽可能减少内部控制与其他经营管理体系的冲突。远洲集团在2010年开始研究集团内部控制体系模型时,调研到国内多数企业为控制而控制,导致控制设计不合理,出现控制过度或控制冗余,内部控制体系建设与管理体系运行发生冲突,内部控制、质量管理、制度管理等体系各自为政、管理成本居高不下等种种弊端。为此,集团确立了将内部控制体系融入多种管理体系的内控设计思想,主要有:
1.以全面风险管理框架为基础,结合平衡计分卡原理,设计以风险控制为主导、管理控制为目的、业务流程为导向的管理控制目标体系。
2.运用“供应链SCOR参考模型”建立端到端管理控制框架的思想。远洲集团创新运用“供应链SCOR参考模型”设计形成的内部控制框架,是以目标体系为指引、顾客服务为导向、业务流程为主干、标准作业为基础、信息表单为整合载体的内部管理控制系统,与“供应链SCOR参考模型”强调目标为导向的业务流程框架、流程规划、流程设计、作业活动支持的四层结构高度吻合,同时也与制度体系的基本制度、管理办法、操作细则、应用指引分层授权管理思想相匹配,具有层次清晰、体系完整的特点。
3.以“内部控制框架要素”建立管理控制活动的思想。“内部控制框架要素”思想遵循目标设定、事项识别、风险评估、风险应对、控制活动、信息沟通、监控并持续改进的管理控制设计过程,远洲集团将PDCA闭环管理思想整合到以“供应链SCOR参考模型”为范例建立的具体业务流程和作业活动过程,将目标体系、内部控制要素与业务活动过程一体化,内部控制系统成为管理控制系统最核心的组成部分,避免了目标管理、业务活动和管理活动分离的弊端。
4.以“顾客为中心”建立业务流程的思想。以往的组织结构是以企业内部功能来划分并以职能制度为主导支撑业务运营的。在以“顾客为中心(外部顾客、内部顾客)”思想下则以顾客类型、服务区段来划分,并设计相应的业务流程活动及配套的管理制度,更强调矩阵型组织满足顾客需求。
5.以“管理可视化”原则指导设计业务流程、作业标准及表单。强调管理过程、作业过程标准化和表现形式选择的多样化,具体表现形式(流程图、作业标准单、表单、看板、视频等)的选择必须以满足业务管理内容可理解、可实施为准则,保证了远洲集团管理控制系统具有易执行、可复制的管理优势。
6.建立4R月报月计划质询机制,将平衡计分卡的战略目标分解和指标考核、内部控制要素转化为简单易懂的执行工具,有力保障了内部控制管理系统的实施效果。
(二)组织保障:控制环境建设充分健全
1.2010年初,为完善集团内部监控系统,授权集团监事会指导监察审计部的业务工作,集团内部监督体系开始形成:监事会侧重于宏观监督(主要监督集团战略风险和高级管理者)、监察审计部侧重于中微观监督(主要监督经营风险和内部控制),集团财务中心侧重于微观监督(主要监督财务风险和集团资产运用安全)。
2.2010年10月,聘请南京大学李心合教授作专题培训《内控制度建设》,揭开了远洲集团内控建设序幕。次月,成立内部控制建设领导机构——内部控制领导小组,内部控制领导小组成员主要由集团各部门负责人担任。通过组织设计形式,明确了内部控制建设与实施的领导责任,是集团董事会和高级经营管理层。
3.2010年11月,组成由监事会牵头、业务骨干和浙江工商大学研究生组成的内控研发小组,研发远洲集团的内控体系和建设方法、工具。研发小组在考察中石油、中国核工业集团等具有十多年内控建设经验和研究中国建设集团、如家快捷酒店等多家企业内部控制建设成果的基础上,于2011年3月形成具有远洲特色的内部控制体系研发成果。
4.2010年12月开始,集团下属各业务单元在内控研发小组取得初步成果基础上,相继成立内控导入小组,在内控领导小组和研发小组支持下,开始探索经营系统内部控制建设的最佳实践。
5.2011年2月,集团召开年度工作会议,聘请国内首位国际内部控制师、中国内部控制协会负责人张玉作《国际内部控制理论与实务》专题演讲,正式将2011年确定为内部控制建设年。
6.2011年半年度会议,集团召开由集团高管、子公司总经理参加的内部控制环境专题会议,会议总结了集团发展历史及其经验,探讨了集团核心竞争力的构成要素、集团企业文化及管理哲学,以及集团发展战略目标和路径等重大内容,形成《远洲战略及内控环境建设》初稿。
7.2011年9月,为解决内控建设过程制度保障的滞后问题,集团董事会成立集团制度管理委员会,并在当年11月出台《企业规章制度建设与管理指南》(初稿),开始将日常制度建设纳入内部控制系统。
8.2011年12月,完成集团组织架构调整,将集团、事业部、子公司3层治理结构扁平化为集团、子公司两层结构,事业部转换为集团总部的业务运营管理中心,强化财务集权与经营分权相结合的集团管控模式,进一步明晰各机构职能、岗位职责及核心业务目标、权限。
9.2012年初,内控控制建设固化为4R月报月计划的重点工作事项,同时列入2012年度绩效考核指标体系。
10.2012年一季度,集团制度管理委员会颁布《远洲集团规章制度建设管理基本规范》,开始管理制度体系的规范、修订和完善工程。
(三)实施保障:4R业务运营体系
远洲集团的内部控制体系设计,整合了全面风险控制、供应价值链、全面质量管理、目标管理等成熟理论和领先理念。为保障内部控制能真正实施落地,集团采取了一系列保障措施,其中最有创新特色的是引入4R业务运营体系。
4R业务运营体系,主要目的是在完成战略规划并分解的基础上,解决计划执行过程中的普遍问题:
1.任务导向,没有明确目标,无目的行为造成的巨大浪费。
2.缺乏完整、科学的岗位胜任评估系统,职责和权限不清,人才专业能力和业绩贡献评估标准不统一导致执行不专业。
3.无配合、无检查、无流程、无标准的管理系统,导致管理效率低下。
4.缺少责任与商业人格意识的工作态度。
4R业务运营体系的核心思想是建立一个不依赖于能人的制度化执行系统,靠制度保证战略执行,“4R”取自四个英文单词的首个字母,概括了业务运营过程中最核心的4个要素:ready经营计划、responsibility关键职责、review业绩跟踪、result业绩评估,四者相互作用并形成计划P、执行D、检查C、改善行动A的闭环管理关系,如下图所示。
图37 4R业务运营体系
上述4R在实际执行过程中,存在的普遍问题及改进方法:
R1(ready经营计划):主要问题是计划目标设定不符合SMART要求,即目标没有量化没有可衡量的结果定义,改善方法是将“ready经营计划”重新定义为“结果定义results definition”,即要求设定计划目标时要有量化可衡量的、有完成时间节点的结果定义。
R2(responsibilitity关键职责):职责划分只是明确了要求,但如果没有将目标细化落实到明确的责任人和检查人,责任落地就难于保证。解决这个问题的改善方法是将“responsibility关键职责”重新定义为“一对一责任oneon-one responsibility”,在一对一责任定义中,每项有结果定义的工作事项都只有唯一责任人和检查人,同时要求责任人对承担事项作出完成时间、自我奖惩的责任承诺。
R3(review业绩跟踪):为便于执行层理解,远洲集团将“review业绩跟踪”重新定义为“过程检查review”,具体措施是:每一个责任岗位都有明确的检查人,每一项工作内容都有可供检查的结果证据(如会议纪要、实际收入、招聘到岗人数、顾客满意度等),重大事项责成COO(稽核检查官)即时跟踪进度完成情况,按重要性和成本效益平衡原则将目标事项进行分类并确定检查周期。
R4(result业绩评估):通过对经营业绩进行综合评价,奖优罚劣,以达到不断提升业绩的要求。但在实务中,大多数企业都将业绩评估集中于年终,缺乏全过程的业绩评估控制,导致的结果往往是执行业绩严重偏离计划目标,但因评估周期太长而导致责任追究复杂的困难。解决方法是将“result业绩评估”重新定义为“即时激励result”,即时激励周期,在远洲集团内部规定为业务评估激励为每周、管理评估激励为每月。
原“4R”经重新定义后,形成目标明确可衡量、责任到人、过程管理和及时激励的“围绕公司的战略目标,分配一对一责任,依靠结果的检查质询系统纠偏,用即时激励作驱动”管理过程,如下图所示:
图38 改进4R业务运营体系
上图是个高度概括的闭环管理系统,但缺乏统一有效的执行工具。因此,远洲集团依据“战略规划-目标设定-责任分配-计划—执行—检查—激励”的管理原理,设计形成4R业务运营体系的战略管理过程,如下图39所示。
图39 4R业务运营体系的战略管理过程
上图主要由四个部分组成:
(1)目标管理子系统,包括使命、远景、战略分析及目标体系,主要是依据平衡计分卡原理,将战略目标细化分解为财务目标、管理目标(流程和控制措施)、客户目标、学习与成长(团队)四个维度。
(2)人力资源管理子系统,包括人才规划、任职资格模型、授权体系、薪酬绩效体系等管理内容,目的是保证“学习与成长”人力资源管理目标落地,支持业务发展。
(3)计划执行管理子系统,即4R月报月计划制度,包括“策略分析”和“过程管理”之间的计划分解、计划执行质询/总结等内容。
(4)最后,为保证各项制度、计划能有效执行,需要创建良好的内部控制环境,在上图中重点强调关注的是结果导向、客户价值、商业人格、100%承担责任4个要素。
根据远洲集团内控体系建设目标之一“管理可视化”要求,集团将上述的4R业务运营体系的执行环节转化为4R月报月计划制度,将战略目标、业务目标、行动措施等内部控制要素和计划、执行、检查和纠偏的PDCA管理循环,以及平衡计分卡的财务指标、团队指标(人力资源)、管理指标、客户指标等考核指标有机结合在一起,实现了过程控制风险、实现经营目标的意图,并通过分层设立COO质询制度,保证偏离目标事项及时得到检查和纠正。月报月计划模板展示如下表所示。
表22 4R月报月计划模板
上述模板中,战略目标管理内容集中于“集团战略关注要点”、“部门战略关注要点”是战略分解过程,一般在年初时由各部门根据集团统一的战略部署提交部门战略关注要点和年度工作计划,经COO委员会评估确认后再制订年度工作计划,并分解为4R月报月计划。因此,“集团战略关注要点”、“部门战略关注要点”是评估目标计划设定是否符合战略发展要求的主要依据;“集团战略始终关注的结果”则根据平衡计分卡原理导出八大核心考核指标(考核指标可根据每年战略目标内容进行差别化设定);主表中“工作安排”、“结果定义”是4R体系中的R1“结果定义results definition”的具体化,“执行人”、“检查人”是R2“一对一责任one-on-one responsibility”的具体化,“过程节点和完成时间”是R3“review过程检查”的具体化,“奖惩承诺”是R4“result业绩评估”具体化。
远洲集团4R业务运营体系2010年开始全面运行,2011年根据内部管理需要进一步修订,其实施对内部控制建设方面的意义和效果有:
(1)远洲集团的内控体系是在管理控制系统基础上结合全面风险管理框架设计的。具体实现手段是通过将平衡计分卡基本原理整合为4R月报月计划的“集团战略关注要点”、“部门战略关注要点”、“收入结果”、“费用结果”、“团队成员”等简单直观、易于理解执行的表单项目(目标设定),并通过分层次、高频率的月度质询机制(信息与沟通、监控),及时发现问题(事项识别、风险评估),采取纠偏措施(风险应对、控制活动),基本实现了管理控制系统与风险管理过程合二为一的意图。
(2)远洲集团强调的诚信道德观、规范管理哲学和务实经营风格等内部控制要素,具体化为4R月报月计划的结果定义(需要有职业道德和商业人格为基础,及诚实信用品格)、完成时间节点(务实风格)、自我奖惩(责任到人的人力资源政策)等表单内容,内部控制环境建设的风险管理要素隐含于业务活动目标实现过程。
(3)内部控制建设与实施是一个持续改善和提高的过程,该过程需要有充分的信息与沟通、完善的监控机制支持。4R月报月计划提供了规范性的信息(工作事项、结果定义、完成情况)与沟通平台(支持资源),可以通过质询机制完成内部控制的持续监控要求(如计划目标是否符合战略目标、计划完成情况可反映任务执行结果、集团战略始终关注的结果可反映业绩状况)。
(四)体系科学:先进的ERP信息管理系统
2007年远洲集团开始ERP信息管理系统开发,2009年全面上线,至2011年底远洲ERP管理系统获得国家专利16项,荣获2011年度上海市优秀技术应用成果奖。远洲ERP管理系统全面实现多主体多组织多地点管理功能,支持远洲未来以连锁化经营、精细化管理方式进行跨地域快速扩张的发展需要,能够确保远洲管理模式的一致性。
远洲集团ERP管理系统利用虚拟价值链[7]的标准信息载体——表单、记录、记分卡等,可以有机整合战略实施管理、全面质量管理、内部控制等多种管理体系并实现一体化,降低多体系独立建设、独立运行的管理成本,提高管理效率和管理有效性。如下表示例:
表23 基于虚拟价值链的信息载体整合
远洲集团内控业务流程的表单设计,除必须满足信息化开发的标准要求外,同时还要满足内部控制的信息与沟通、ISO9000的证据格式、供应链的信息输入与输出、平衡计分卡的目标导向等管理要求。因此,远洲集团以全面风险控制框架为基础,整合战略管理、品质保障、管理控制等各种体系为一体的内部控制体系,是以信息化虚拟价值链为基础纽带完成的,内部控制的具体目标、控制政策及业务流程,通过制度管理、流程优化、流程固化等手段,转换为ERP信息管理系统的控制流程,提高了内控制度执行力,减少了内控实施过程中的人为影响,避免了制度管理体系、ISO9001全面质量管理体系、内部控制体系等各种体系各自为政、相互重叠又相互矛盾的弊端,表现出远洲集团设计的内部控制体系的独创性、先进性。
(五)监控完整:监事会为主导的监督机制
远洲集团在内控建设过程中,集中精力对内部控制环境进行了调整优化,成立了董事会下的内部控制领导小组和制度管理委员会,将集团、事业部、经营单元三层结构扁平化为集团、经营单元两层结构,修订发布《远洲集团规章制度建设管理基本规范》、《远洲集团管理纲要》、《远洲集团财务管理纲要》等基本政策文件,梳理了组织职责、权限和编制,完善了董事会领导下的制度体系和制度内容建设。
为提高内控监督的权威性和有效性,公司治理结构也作了较大调整,授权监事会指导监察审计部业务工作,在内控管理体制上形成了自成系统、分工协作的公司治理模式:
1.集团内控领导小组负责内控建设规划和指导,监督内控体系科学性;
2.集团制度管理委员会负责制度规划及统筹管理,监控制度体系完整性;
3.集团监事会主要监督集团重大事项和高管行为,重点是监督控制环境建设和战略管理风险;
4.监察审计部主要监督经营管理层及子公司的内部控制状况,重点是监督经营管理的内部控制健全性和经营风险;
5.集团财务中心负责日常财务检查,重点是监控财务风险和资产安全;
6.集团4R质询委员会负责计划统筹和执行结果质询,重点是监控经营管理的执行过程风险。
附录1:《远洲内控建设方法指南(V3)》目录
一、认识内部控制
(一)内控体系在管理系统中的地位
(二)远洲集团内控框架结构(总图)
(三)内控基本要素(风险控制框架)
(四)管理控制过程的PDCA思想
(五)作业活动的5W2H管理法则
二、内控体系设计原则(验收标准)
三、内部控制建设概述
(一)内控建设框架内容
(二)内控核心模块及建设分工
四、内部控制目标设计
(一)目标控制体系
(二)愿景分析到核心指标、关键流程示例
(三)分析战略目标并形成核心流程示例
(四)内部控制目标体系框架指引
(五)目标设定的SMART原则
示例1:目标管理SMART原则示意图
(六)控制目标实现过程(示例:财务中心—会计信息管理)
示例2:会计信息管理流程示例
五、内控框架设计
示例3:酒店业内部控制框架图
六、业务流程设计基础
(一)标准流程图常用符号使用约定
(二)流程图使用规范
七、流程设计方法与技巧
业务流程设计过程
第一步:设计业务活动过程及业务目标
第二步:风险评估并确定控制措施
第三步:整理岗位职责、权限分配并优化流程
示例4:重要设施设备抢修流程
八、作业标准(SOP)设计
(一)设计要求
(二)表头设计
(三)内容设计
1.标准作业基本式(注重服务过程和服务结果)
2.标准作业扩展1(注重实现控制目的)
3.标准作业扩展2(注重服务过程)
4.标准作业扩展3(注重操作结果)
5.标准作业扩展4(注重作业程序)
6.标准作业扩展5(注重标准差异化管理)
7.标准作业扩展6(注重作业效率)
示例:开夜床服务标准作业(部分)
(四)设计方法
九、标准表单设计
(一)表单定义
(二)设计原则
示例13:《付款申请单》设计
(三)设计方法
十、流程编号规则
(一)编号规则
(二)流程代码表
(三)流程名称编码示例
(四)作业标准编码规则
十一、参考学习文献
附录2:《资金管理内部控制手册》目录
第一部分 控制环境
一、目标框架
二、核心价值观
三、管理哲学(企业作风)
四、人力资源基本政策
(一)管理信条
(二)团队理念
(三)任职标准
(四)挑选程序
五、组织治理—组织结构与岗位职权
六、制度体系
七、授分权一览表
(一)资金核心业务责任分配
(二)资金核心业务权限分配
八、资金管理基本政策
(一)资金管理原则
(二)资金统一管理范畴
(三)筹资基本政策
(四)关键业务支付政策
第二部分 资金管理体系框架图
第三部分 业务流程
一、资金规划管理流程
二、资金计划管理流程
三、银行账户管理流程
四、客户管理流程
五、授信管理流程
六、融资文件审批流程
七、保证业务管理流程
八、担保管理流程
九、派生业务管理流程
十、存量资金管理流程
十一、资金调拨工作流程
十二、收支两条线管理流程
十三、偿债管理流程
十四、利息支付管理流程
十五、资金信息管理流程
第四部分 关键控制点一览表
第五部分 作业标准汇总
第六部分 标准表单汇总
附录3:制度优化整理案例
1.整理出现行的所有的制度目录,并按上述的流程作业体系进行分类。整理后的目录体系如下图:
2.业务类的制度按照销售与收入、采购与付款、经营服务等进一步分类,职能内容按照财务管理、人力资源管理、行政管理等进一步分类。前述分类应按照业务或职能活动发生的先后顺序排列。比如下述资产管理的制度,从原目录上看不出内在关系,但按照前述方法分析后就可以把图示的制度分为资产建造、资产管理两大类,并进一步梳理出不同制度之间的内在关系,如下图所示:
①原制度目录
1.项目申请程序
2.工程项目立项及报批手续
3.项目施工原则要求
4.功能区域变更、改造申请程序
5.工程部对外承包商监督制度
6.外聘施工队伍管理制度
7.外包工作、工程维修及招标监督机制
8.大型设备故障处理及计划性大修程序
9.设施设备交付验收程序设施设备年度验收程序
10.新增、改装及报废设备管理制度
11.设施设备使用不当处理程序
12.固定资产管理制度
13.酒店设备管理制度
14.工程仓库管理制度
15.工程部工具保管制度
16.工程物资管理制度
17.宴会厅、餐厅保养制度
18.酒店客房设备维护管理制度
上述制度目录存在的问题主要有:
(1)制度制订以部门为主,存在同是资产建设或资产管理的内容,被人为分割到各个部门,形成各自为政、制度之间相互重叠或矛盾冲突的现象。
(2)由于上述现象,将导致在资产管理活动中的相互扯皮、责任不清的管理结果。
(3)同属于资产建造或资产管理的制度散见于不同部门,没有形成有机统一的联系和整体直观的表现形式,难于被管理者和员工全面理解掌握,导致制度执行缺失。
②整理后的制度目录(分为项目、固定资产管理两类)
1.项目申请程序
2.工程项目立项及报批手续
(1)项目施工原则要求
(2)外包工作、工程维修及招标监督机制
(3)外聘施工队伍管理制度
(4)工程部对外承包商监督制度
3.设施设备交付验收程序设施设备年度验收程序
4.固定资产管理制度
(1)酒店设备管理制度
(2)工程仓库管理制度
(3)工程部工具保管制度
(4)工程物资管理制度
(5)酒店客房设备维护管理制度
(6)宴会厅、餐厅保养制度
(7)设施设备使用不当处理程序
(8)大型设备故障处理及计划性大修程序
(9)新增、改装及报废设备管理制度
(10)功能区域变更、改造申请程序
③整理后制度目录的内在关系
上述目录整理后形成的业务活动主要有两个:一是项目改造的申请、实施管理过程,二是固定资产申请购入、招投标、采购、验收等过程。涉及资产使用部门提出需求申请和负责项目实施管理、财务部门审核、总经理审批等职责权限分配与业务的分工协作,涉及的管理制度有工程部拟订的项目立项管理制度、财务部拟订的采购管理制度、集团酒店管理公司拟订的招投标管理制度、集团财务拟订的固定资产管理制度以及集团人力资源部拟订的授分权体系等各项管理制度内容。将上述集团、子公司各个部门拟订的管理制度进行整合并绘制流程图,如固定资产管理流程图(业务活动核心流程规划)。
图40 固定资产管理流程图
参考文献
[1](美)COSO.企业风险管理—整合框架[M].方红星王宏译,大连:东北财经大学出版社,2005.
[2]Robert N.Anthong.管理控制系统[M].刘宵仑朱晓辉译,北京:人民邮电出版社,2010.
[3]Peter F.Drucker.管理使命、责任、实务(实务篇)[M].王永贵译,北京:机械工业出版社,2007.
[4]比特网.供应链运作参考模型[EB/OL].http://www.sixbb.cn/article-744-1.html,2011-10-11.
[5](美)罗伯特·卡普兰,戴维·诺顿.上海博意门咨询有限公司译,平衡计分卡战略实践[M].北京:中国人民大学出版社,2010.
[6]狄振鹏.中层经理核心技能[M].北京:北京大学出版社,2006.
[7]国际内部控制协会.邱健庭、徐莉莉译.国际注册内部控制师通用知识与技能指南[M].北京:中国财政经济出版社,2009.
[8]秦杨勇.平衡计分卡与流程管理[M].北京:中国经济出版社,2008.
[9]龚杰,方时雄.企业内部控制——理论、方法与案例[M].浙江:杭州大学出版社,2006.
[10]财政部.关于印发企业内部控制规范体系实施中相关问题解释第1号的通知[S].2012-02-23.
【注释】
[1]数据来源于上海中磊会计师事务所出具的2009-2011年远洲集团审计报告。
[2]内控管理模块包括:工作计划、工作总结、月报月计划、计划调整申请、备忘录、会议纪要、制度审批、内控预算费用申请等;学习交流模块包括:专窗指南、通知公告、专题报道、学习园地、经验分享、内控工具箱等。
[3]内控框架设计方法参阅“七、远洲集团内部控制框架设计”。
[4]六西格玛论坛,比特网:供应链运作参考模型(Supply-Chain Operations Reference model,简称SCOR模型),http://www.sixbb.cn/article-744-1.html,2011-10-11。
[5]“双向推进”指同时启动集团战略流程梳理与控制环境建设、试点酒店临海远洲国际大酒店的业务交易流程梳理与管控流程优化两项工程。
[6]设置“流程所有者”目的是为了保证每个流程都有明确的流程维护责任者和流程运行协调者。比如贵宾接待流程,由总经办发起,涉及销售部、前厅接待、餐饮接待、客房安排、会务安排甚至娱乐安排等多部门协作,在合作过程中可能出现不同服务部门的计划安排、服务协同等冲突,需要明确牵头协调部门,此贵宾接待流程就可指定总经办为流程所有者。
[7]虚拟价值链,是指将实物价值链以信息的形式反映在虚拟的信息世界所形成的信息价值链。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
