曲突徙薪,防患未
——企业内部控制浅谈
执笔人:罗杰明 张宝霞 韩晓静
 
  去年的新加坡中航油事件,对国内外相关各方都产生了巨大冲击和深远的影响,对我国海外上市公司产生的负面影响,严重损害了海外上市公司尤其是大型国有企业的形象。震惊之余,人们不免要猜测并思考事件背后的原因,联系到近年来发生在国际国内企业的一些事件,如国内“银广厦”的轰然倒塌,红极一时蓝田和东方电子的衰败、成都红光的造假舞弊案等。这些企业是昔日在股市呼风唤雨的“绩优”龙头,随着证券市场的完善、法律法规查处力度的加大,人为编织的美丽光环渐渐褪去,庐山真面目逐渐显露。而在国外,从安然开始,假账丑闻象多米诺骨牌一样击倒了世通、安达信等世界著名的企业。这些事件不禁让我们深思:是什么原因使这些明星企业陷入绝境?企业要改变现状最紧迫的事情是什么?
  去年的新加坡中航油事件,对国内外相关各方都产生了巨大的冲击和深远的影响。其负面影响,严重损害了我国海外上市公司,尤其是大型国有企业的形象。联系到近年来发生在国际国内企业的一些事件,如国内“银广厦”的轰然倒塌、蓝田绩优神话的骤然终结,以及成都红光的造假舞弊案等等,震惊之余,人们不免要猜测并思考事件背后的原因。这些企业是昔日在股市呼风唤雨的“绩优”龙头,随着证券市场的完善、法律法规查处力度的加大,笼罩在他们头顶的人造美丽光环渐渐褪去,庐山真面目逐渐显露出来。而在国外,从安然开始,假账丑闻象多米诺骨牌一样击倒了世通、安达信等世界著名的企业。这些事件不禁让我们深思:是什么原因使这些明星企业濒临绝境?企业要改变现状最紧迫的事情是什么?  
  通过对类似案例的分析,我们得出的结论是,这些事件的发生与企业的内控机制、内控管理有着密切的联系。正是内控各个方面问题的堆积最终导致了这些企业走向衰败。
 
  一、当前我国企业内控普遍存在的问题
  我们通过多个案例研究发现,中国企业在内部管理控制方面普遍存在的主要问题是:
  1、内部控制意识薄弱,内控制度不健全。有相当一部分企业尚未认识到内控对于企业经营管理的重大意义,未制订成文的内控制度;还有一部分企业尽管建立了严格、成文的内控制度,但事实上却难以实施。
  2、法人治理结构不完善,内控组织虚置。我国很多上市公司仅具有现代企业的外壳,并没有构建现代企业的运行机制;股东会、董事会、审计委员会和管理者的权限和责任存在错位。
  3、组织机构设置不合理,职责不清,责任不明。尤其是一些国有企业在机构设置上往往存在着一些谁都可以管、谁都可以不管的区域,出了问题以后常是互相推诿,最终不了了之,无法追究责任。此外,不相关机构、岗位尚未分离的现象仍然存在。
  4、人力资源管理体系不完善。有些国有企业还存在因人设岗、在雇用人员时依然可以凭借私人关系等现象。公司内部也没有形成有效的业绩考评及晋升制度,人力资本利用不足。即使设立了完善、良好的人力资源管理制度,也没有达到应有的效果。
  5、执行力不强。在企业执行力不强已成为普遍问题,管理者的级别往往影响着制度执行的范围和力度;制度制订不科学,执行前紧后松、缺乏跟进,沟通不足,监督不力;国企用工机制也导致员工缺乏危机感,奖励容易处罚难,这些因素都大大削弱了执行力。
  6、在会计控制方面,企业往往将财务与会计合署办公。将服务对象和灵活性程度不同的两项工作合并一处,导致两者服务对象模糊;而且财务灵活性干扰了会计的公允性。此外,由于会计人员兼做财务,会计人员力不从心,既影响会计信息质量又导致财务管理乏力。财、会不分也违背了不相容职务分离原则,极易导致基于财务收支需要而捏造会计信息,产生管理舞弊现象。
  7、在内部审计方面,企业普遍存在浓厚的行政命令色彩。在这种情况下组建起来的内部审计组织无法在地位上实现超然独立,其工作范围大大受限,也很难赢得威信,内部审计结果并不能客观反映真实情况,系统形同虚设。
  我国企业内部管理方面存在的上述问题,使企业内控不能成为企业生产经营活动中自我调节和自我制约的内在机制。经营的失败、会计信息的失真、违法违纪行为时有发生。但是,经济发展的国际化趋势和我国市场经济的不断完善,使得企业必须提升管理水平,否则其生存将面临巨大挑战。简言之,得控则强、失控则弱、无控则乱、不控则败。
  目前内控已成为当前学术界和实务界研究的热点问题。一是相关法律法规等外部因素的强制性安排,如美国针对所有在美上市的企业而颁布的SOX法案,就对企业内控提出了近乎苛刻的要求;二是越来越多的企业意识到要使企业达到合规与效率的双重目标,并在激烈的市场竞争中胜出,就必须加强内控管理。
  基于我国目前大部分企业内控制度不严或执行不力的现实,如何进行有效的内控体系设计是企业内控研究的难点与最终落脚点。
 
  二、企业内控的法律基础
  2001-2002年美国安然和世界通信事件,投资人对上市公司财务报告出现空前的信任危机,导致2002年7月美国萨班斯-奥克利斯法案(Sarbanes-Oxley)出台。SOX法案被布什称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”。该法案要求所有在美国证券交易委员会注册的约14,000家上市公司都必须符合SOX法案的要求。被称为美国有史以来对上市公司要求最严格、需要彻底遵守的公司治理规则。
  SOX法案对内控的要求,主要体现在其细致周密的条文中。该法案的基本目标是:“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。”
  SOX法案不仅仅是一种新的财务规则和要求,更引发了企业全方位的管理变革,它影响的不仅仅是企业的财务部门,而是所有的管理领域。企业要遵循SOX法案,就意味着:企业要对其流程进行重组或构建,并运用新的技术手段和工具构建新的系统,提高管理流程的透明度,以确保企业在战略管理过程中,增强内部控制并促进沟通。这对企业的战略执行及绩效的提升,都具有不同寻常的意义。
  外部审计师在遵循SOX法案和美国上市公司会计监管委员会(PCAOB)的规定执行和评估上市公司的内部控制过程中,美国专门研究内部控制问题的COSO委员会的《内部控制整体框架》已经成为公认的内控标准。COSO《内部控制整体框架》是在1992年由COSO委员会发布的,并在1994年进行了增补。为了有效遏制企业不正当行为及虚假会计信息的发生,COSO报告提出了由“五个要素”和“三个目标”组成的内部控制的整体框架,形成了迄今为止对内部控制最全面、最具权威的COSO模型。
  COSO报告把内部控制系统化,将内控目标定位于:取得经营活动的效果和效率,确保财务报告的可靠性和遵循相关的法律法规。该报告强调内部控制是企业经营过程的一部分,要与经营过程结合在一起,而不是凌驾于企业的基本活动之上,它使经营达到预期的效果,并监督企业经营过程的持续进行。COSO报告还强调企业内控环境的建设。控制环境是一种氛围,塑造企业文化,影响企业员工的控制意识,影响内部成员实施控制的自觉性,决定其他控制要素能否发挥作用,是内部控制其他要素作用的基础。控制环境直接影响到企业内部控制的贯彻和执行以及企业经营目标及整体战略目标的实现。
  同时,COSO报告强调“人”的重要性。内控受企业的董事会、管理阶层及其他员工影响,通过企业之内的人所做的行为及所说的话而完成。反过来,内部控制影响着人的行为。
  从我国2001年颁布的《内部会计控制基本规范(试行)》来看,企业内部控制的内容有向美国COSO报告靠拢的趋势,主要表现为:
  1、目标范围从会计领域向整个管理领域扩展,企业的外围环境、文化理念、经营哲学、管理者素质越来越受到重视,体现了COSO报告关于控制环境的要求。
  2、强化风险控制系统的建立,强调风险管理。这与当前企业忽视风险控制、造成巨大的隐患甚至损失有关。这个基本规范在很大程度上促进了公司治理结构的完善。
  随着国家法制的健全,适合中国企业情况的内控法规必将出台,即将为我国企业加快改善和提高管理水平,提出时间表。
 
  三、内控在实际管理中应该起到的作用是什么

  我们不妨来回顾中航油案例:
  “2004年的新加坡中航油事件反映出尖锐的企业内控问题:从中航油2002年年报来看,当年的投机交易盈利,2002年下半年,中航油开始进行石油期权交易,到年底也获得了明显收益。如果能够利用内控的约束机制,正确识别机会与风险,尤其在公司赚取了大量利润的同时,应该清醒的认识到可能产生的巨大风险。但是,在主观上,中航油的决策者风险意识淡薄,判断、控制和驾驭风险的能力明显偏弱。
  中航油设计了很完善的《风险管理手册》,手册规定了相应的审批程序和各级管理人员的权限,通过联签的方式来降低资金使用的风险。还规定了损失超过500万美元,必须报告董事会,并立即采取止损措施等。中航油采用当今世界上最先进的风险管理软件系统将现货、纸货和期货三者融合在一起,进行全盘监控。同时,建立了三级风险防御机制,通过环环相扣、层层把关的三个制衡措施来强化公司的风险管理,使风险管理日常化、制度化。
  而客观上,公司风险管理手册中的止损程序并未得到应用,并且明显缺乏风险补救措施。这从其母公司中航油集团处理危机的几个细节可以得到反映:‘中航油集团2004年10月3日就开始了解到事件的严重性。当时的账面亏损为8,000万美元,如果那时集团决定斩仓,整个盘位的实际亏损可能不会超过1亿美元。然而,集团领导大部分在休假。9日,新加坡公司正式向集团提出书面紧急请示。如果当时斩仓,实际亏损应为1.8亿美元。然而直到16日,集团才召开党政联席会议。’
  中航油事件致命原因,是个人权力过大,缺乏对个人权力有效制约和监管,导致内控失灵。决策者风险意识淡薄,制度得不到执行,内控未能起到应有的约束力。”
  透视中航油事件,我们得到的启示是:建立企业内控体系的目标和作用,仍然是防患于未然。内控的功能与作用,体现在细节控制和风险管理、多元主体控制、全程监督评价和全员管控几个方面。
  1、从细节控制到风险管理,实施全范围控制
  几乎所有的企业都建立了自己的内部管理制度,这些制度涵盖了大到投融资、小到差旅费报销等方面,从企业制度建设水平可以知微显著。但某些企业的管理层狭隘的认为,这些制度的执行就是内控的所有内容。
  实际上,内控已经超越了传统意义的会计控制,包含了日常管理的多个方面。但是,由于有限的管理资源和可观的控制成本,使得企业的精力不能放在所有的细小事务上。
  随着新的企业风险管理理论的成熟,为了应对来自理论界与实务界的挑战,美国COSO委员会于2004年10月发布了《企业风险管理框架》(简称ERM),确立了内控向企业风险管理发展的合理性。ERM框架要求董事会与管理层特别重视可能产生重大风险的环节,且将风险管理作为内控的最主要内容。
  2、由多元主体构成的牵制系统,实现监督功能
  我国现行《独立审计基本准则》一般准则第5条指出,建立健全内控制度是被审单位管理当局的责任。《内部会计控制规范-基本规范》第5条规定,单位负责人对本单位内部会计控制的建立健全及有效实施负责。上述法规将内控主体定义为单元主体。
  而在现代企业制度下,所有权与经营权的分离,导致了经营管理者实质性拥有了企业控制权,所有者本身需要对管理者进行控制,管理者本身就是内控的对象。如果管理者是内控的单一责任主体,负责内控的设计与执行,并对内控的执行情况加以认定与评估,“既当运动员,又当裁判”,势必会滋生滥用职权、牟取私利、独断专行等现象,以至于内控失灵。中航油新加坡公司虽然有健全的内控和风险管理制度,但是事件的核心人物能够亲自操盘,而其本人又是内控的责任主体,没有其他主体对其实施牵制。
  假设由董事会来承担内控的责任,进行多元控制,就能保证内控实施力度。这也正是ERM框架中所要求的:ERM框架使董事会在企业风险管理方面扮演更加重要的角色,承担总体责任,并且要求其变得更加警惕。企业风险管理的成功与否在很大程度上依赖于董事会,组织的风险偏好需要由董事会来批准。
  外部机构对企业内控也具有一定的鉴定作用,并提出建议。
  内控主体应从单元主体向董事会、管理者以及CPA多元主体转变。董事会全面负责内控,管理层负责其具体有效的执行,CPA对内控进行再评价,这样就达到了多元牵制来实现控制的目的。
  3、全程监督评价
  有效的内控是全过程的,包含事前控制、事中控制和事后控制三个阶段,每个阶段都不能忽视。事前控制能起到防患于未然的作用,当然这是最理想的,但由于内控本身局限性及固有风险的存在,并不是所有的风险都能在事前、事中得到有效控制。
  因此内控是依靠全程监督的内部审计机制来保障实施的。内部审计是企业自我独立评价的一种活动,具有得天独厚的优势。它本身在企业中不直接参与相关的经济活动,处于相对独立的位置,但同时又处在各项管理活动中,对企业内部的各项业务比较熟悉,对发生的事件全部过程比较了解。在ERM框架中,内部审计人员在监督和评价成果方面承担重要任务。公司的内部审计,应向审计委员会报告工作,接受审计委员会的业务指导,并直接对董事会负责,任何重要的审计决策由审计委员会提出方案,并经董事会批准。这既保证了公司内部审计的相对独立性,又保证了其权威性。在这样的前提下,内审部门通过对内控的审查和评价,可以从中找出控制薄弱点,发现内部控制不尽完善和执行无力之处,进而提出改进意见和措施,以监督其他控制政策和程序的有效执行。
  4、对基层、中层、高管进行全员管控,高层对内控承担主要责任
  组织中的每个人都对内控负有责任,同时要接受内控体系的监控。决策者对内控体系负有根本的责任,并且享有该系统的所有权。决策者是通过高层管理人员并发布指令、评估高层人员管理效率的方式来履行该责任的。高层管理人员将建立更具体的内控政策和程序的责任,并按部门的功能分派给有关人员。
  一个表面看起来制度明确、组织健全、人员齐备、技术先进的内控或风险管理体系,它在实际运行中能否有效管理风险和防止重大损失的发生,关键在于高层领导在这个体系中所发挥的作用。这不仅因为高层是内控的首要责任主体和最基础的推动力,更重要的是高层本身所拥有的控制权力。因此高层领导必须纳入到以相互检查和权力制衡为基本原则的整个内控体系中,成为控制和约束的重要对象。否则,高层领导将具有超越内控约束的特殊权力,从而导致整个内控或风险管理机制形同虚设,从根本上丧失有效性。  
  

  此外,内控体系建设的同时还要重视对意外事件的补救措施。决策者和管理者识别风险的能力不同,对待风险的态度不同,回避风险的能力不同,都可能有截然相反的结果。因此必须建立补救措施,全面考虑公司存在的潜在风险,对由内控失败或决策失误可能导致的不良后果,加以事中控制、事后弥补。
  很多案例说明,损失并非在一夜之间发生。一旦公司的控制失效,公司必须利用补救措施,亡羊补牢,才能将损失尽可能的降低。董事会和管理者应站在战略目标的高度重新审时度势,制定适合时宜的政策方针,减少决策失误产生的不利影响。企业内控不仅要通过建立内部牵制力量来控制风险,还要重视防微杜渐和出现意外,“千丈之堤,以蝼蚁之穴溃;百丈之屋,以空隙之烟焚。”
 
<完>