一、内部控制目标
1.不同内部控制目标体系的比较
在我国内部控制规范体系中,内部控制建设目标可以归纳为:战略目标、经营目标、合规目标、资产安全目标和财务报告目标等五个目标。
同时,COSO在《企业风险管理整合框架》(以下简称ERM)中将风险管理的目标分成四类,即战略目标、经营目标、报告目标和合规目标。
比较上述三大体系的目标,可以发现我国内部控制体系目标有如下特点:
第一,整合了IC和ERM框架。我国的内部控制目标是综合IC和ERM框架的要求,对企业实施内部控制体系提出了更高要求。
第二,强调资产安全目标。我国的基本规范之所以强调资产安全目标,并单独作为一个内部控制目标,主要是因为国有资产的增值保值是我国特有的国情。
第三,没有强调非财务报告目标。IC2013更新了原有IC中的财务报告目标,采用了ERM中的报告目标,拓宽了报告的外延范围,强调合理保证非财务报告和内部管理报告等信息的真实完整。
因此,我国内部控制体系实际上约等同于ERM。但是,IC强调“确定目标”是“内部控制的前提条件”(即“目标既定论”),而不属于内部控制本身;ERM强调“应用于战略制定并贯穿于企业之中”(即“目标设定论”),并体现在其风险管理八要素中的目标设定、事项识别等要素中。所以,不能简单将全面风险管理的八要素视为内部控制五要素的细分。
2.内部控制目标的实务分类
从内部控制实务的角度看,IC的报告目标可以拆解为财务报告目标和非财务报告目标。其中非财务报告目标可以作为信息与沟通要素融入到相应的战略目标、经营目标和合规目标中。
同时,资产安全目标也可以拆解为两部分,即“用于保护资产安全且与财务报告可靠性目标相关的控制”和“其他资产安全相关的控制”。对于前者可纳入财务报告目标的内部控制建设中;对于后者则可纳入经营目标的内部控制建设中。
经过上述重分类后,从建设和实施的角度,可以将内部控制建设目标界定为:财务报告目标、合规目标、经营目标和战略目标等四个目标。其内涵各不相同,因此梳理和确定上述具体目标体系的方法也不尽相同。
3.从一般内部控制目标到具体内部控制目标
内部控制建设是否能体现企业的特色,关键就在于内控建设是基于一般内部控制目标开展的,还是基于具体内部控制目标开展的。如果是基于一般内部控制目标开展,则会围绕部门职责和流程来进行风险评估,建设成果可能很丰富,但因为没有深入业务,对经营效率和效果以及战略提升的帮助并不很大,因而无法让企业高管层满意。
基于具体内部控制目标的建设,则是以企业KPI为核心,构建绩效指标体系,并对指标体系进行风险评估,进而优化流程。在据以绩效指标进行风险评估时,往往会发现很多基于职能和流程无法发现的风险,例如在对销售指标进行风险评估时,可能会发现销售人员的销售技巧不足导致业务开发业绩不达标。
二、控制风险
《中央企业全面风险管理指引》及其相关评价规定则进一步将风险划分为战略风险、财务风险、市场风险、运营风险和法律风险五大类,并且每大类内部又分解为一级、二级和三级风险。
以销售活动为例:
解决这个困境的方法就是在原有条块横向分割的基础上,再按风险影响的涉及面纵向划分为:战略性风险、战术性风险和操作性风险三个层次。
仍以销售活动为例,销售不足为战略性风险;授信不足或过高为战术性风险;授信审批没有按照要求执行则为操作性风险。构建自上而下的风险指标体系即符合企业目标管理、绩效管理和流程管理的原理,又能通过追踪至操作性风险来检查是否所有战略性风险和战术性风险都已得到有效控制。
实务中,可以将原有的横向风险清单作为索引工具,这样既便于合规性检查,又便于员工按图索骥,理解相关风险的具体控制措施及其在整个业务循环中的前后配合协调工作。
三、控制措施
1.控制措施的具体内容
在实务中,经常会有企业的管理层特别是高管,抱怨内部控制体系就是增加一堆表格和签字,但却没有人能解释为什么要签字;同时,企业管理层真正希望解决的问题,却几乎没有触及到。
造成这种局面的直接原因就是缺乏对风险层次的清晰认识,进而导致在内部控制建设过程中只局限在操作性的业务流程层面,而忽略了或者无法将针对战略性风险和战术性风险的控制措施落实到位。
战略性风险的主要控制措施是完善决策机制和企业定位,常见的内部控制措施包括决策程序、决策标准和决策能力的建设。企业战略目标的涉及面从抽象到具体可以包括愿景、定位、规划和产品,因此,对战略风险的管控措施更多是从资产组合、决策/定位和培养竞争优势等着手。
战略性风险的内部控制建设成果可以体现在公司治理文件、集团管控模式、企业的战略定位和商业模式等载体中。
战术性风险的主要控制措施就是完善管理机制,常见的内部控制措施包括岗位设置、预算管理、运营分析、绩效管理和预警机制等。
其建设成果可以体现在岗责体系、流程体系/价值链(即一级流程)和基本管理制度等载体中。
操作性风险的主要控制措施是作业动作,常见的具体措施包括不相容职责分离、授权/审批、查证/核对/复核、财产保护和会计系统控制等。
其建设成果可以体现在权限指引、具体管理制度、标准操作流程(对流程体系的细化和分解)和业务表单等载体中。
在企业管理中,这三个层次的管理活动是层层推导的,因此,同样的战略定位可能因为不同的策略而需要不同的管理机制和业务流程,进而需要不同的控制措施。
比如,同样以创新战略作为战略性风险的控制措施,索尼公司将研发团队分为三个小组,第三组的任务就是淘汰前面两组的产品;而3M公司则鼓励员工利用20%的工作时间和公司的资源去做自己的发明创造。两者落实战略的管理机制不同,对应的流程活动和控制措施也将大相径庭;但两者最终都在市场上取得了成功。
2.将控制措施嵌入管理过程
法约尔在管理史上首先研究并定义了管理的要素,包括:计划、组织、命令、协调和控制。所以,内部控制不是抛开原有的管理体系另起炉灶,而“是管理过程的一部分”。
内部控制建设最直观的成果就是内部控制手册,其核心内容是风险控制矩阵和流程图等。
正确理解内部控制手册的使用应当包括两个层面。
第一,内部控制手册使用者主要是内部审计人员和外部审计师,供其在内控自我评价和内控审计鉴证时快速确定关键控制点;
第二,在内部控制手册完成后,企业需要将风险控制矩阵中的控制措施,更新到原有的制度和流程文件中去,并且以划线标注或编号标注等方式体现出哪些是控制措施。对于非内部审计部门而言,内部控制手册在日常工作中,只能作为一种索引工具使用。
随着《企业内部控制基本规范》的发布和推行实施时间的逼近,中国上市公司对内部控制重要性的认识已经有了“飞跃”,但是对于如何实现有效的内部控制,仍缺乏清晰的标准,也还没有形成成熟的风险管理文化和管理体系。
痛点一:量化
金融危机及其衍生的全球经济衰退的一个“正面”价值就在于企业较之以前空前重视风险管理和内部控制,但企业成本在可控的范围内找到量化风险的管理架构和工具是目前企业普遍的困惑。
正如资本市场风险顾问公司创始人兼总裁LeslIERahl所言:“如果说我们要从这次金融危机中吸取经验教训的话,那就是不可小觑复杂性、不透明性、杠杆和非流动性。当作出资本评估时,这些变量并未计算在内。”
由于风险管理本身是从金融业衍生出来的,全球包括中国在内的金融机构在风险管理上都较之企业先进,目前一些银行提出可以凭借自身在风险管理上的优势为企业伙伴的风险防控提供咨询服务,帮助企业规避部分风险。对此接受本刊采访的专业人士均表示,在资金管理业务上银行与企业间的确有广阔的合作空间,但企业所面临风险的广度和量化的难度不能与金融机构同日而语。全球性的商业咨询和内部审计专业机构——甫瀚公司董事总经理兼大中华区总裁刘建新表示,金融业本身的风险相对企业来说是比较容易量化的。金融业对企业风险的把握主要是从资金运作、存贷的比例和评估企业的信贷程度的层面,而从企业的角度看,风险其实还有很多方面的内容,包括供应链的风险、买卖的风险、价格的风险等。其中很多风险量化起来比较困难。据刘建新介绍,风险管理在近5到10年来已经运用到企业里面。“企业本身在过去没有框架和理论去评估它自身风险在哪里的时候,其运作是以盈利为主的,而现在的企业要面对投资的风险或者是供应商的风险,是否有相应的决策和控制活动,甚至一些体系去应对和量化这些风险就变得非常重要。”
《企业内部控制基本规范》自颁布以来在国际上被称为是“中国的‘萨班斯法案’”,这个评价是相当高的。专家因此表示,按照规范的系统性改造和提升,会给很多中国企业的公司治理带来整体性的改善。
中国社会科学院世界经济与政治研究所公司治理研究中心主任鲁桐对此评价说,从风险内控来说,银行业有其特殊性,可以借鉴,但不能因循。企业现在也有了财政部等五部委发布的内控架构,而且有与之配套的具体实施指引。“这些对企业来说都是量化和考量风险的依据和方向,但的确还需要很多细化的工作,这方面很多公司是比较茫然的。”
痛点二:分权
业内人士认为,虽然公司治理可以设定许多标准和基本规范,但实际上对目前国内快速发展的民营企业来说,最大的挑战仍然是如何将个人与公司分开。“这的确很难做到。往往当一个小公司快速发展到一个上市公司层面时就需要有其他股东的参与,但这对之前的创始人或者是将来的经营者来说都是一个巨大的挑战。”刘建新坦言。
很多创业阶段的高科技公司的董事会只有三个人,董事会和经理层的高度合一可以帮助公司实现严密的控制和很强的执行力,但鲁桐仍然呼吁准备创业板上市的公司,应该对自己的公司治理体系做一个很好的反思和改造。“无论采取什么形式,公司治理的理念和架构都是需要的,关键要实现权力之间的制衡。即使创始人既是董事长又是总经理,也需要一些独立的人士加入到董事会的团队中,这还是必要的。董事会虽然小,也要坚持对公众透明,也要履行好受托责任。这样它今后的路才能走得更稳。”
“其实有生意有企业的地方都有内控,生意人有一种自觉的意识去控制。区别只是在于是否拥有理论的框架。”刘建新表示,上规模的公司应该有更加透明的体系去做内控,企业在从小到大的跨越里,最主要的改变还是在理念、认识、分权机制等问题的处理上。在组织架构、放权、风险机制等一系列的控制和风险机制上,本土企业和成熟的跨国公司相比还有比较大的差距。
痛点三:短视
对于目前上市公司年报中披露的公司内部治理相关内容并不被投资人和分析机构看重的原因,鲁桐分析,这种现象在中国发生也并不奇怪。因为中国的分析师,包括中国的机构投资者的投资周期相对比较短。“你看市场波动就可以知道大非、小非都是比较频繁地在换股、交易。因为他们对于收益的短视,就会影响到他们的关注点的不同。当然还有一个客观原因,我们过去对内控状况的披露也不太够,没有足够重视。”
企业应该根据发展的不同阶段投入相应合理的资源进行内部控制的改造和提升。“实际上,一个年销售收入只有3000万元的公司却有一个大规模的董事会也是不现实的。但企业必须意识到内控是只有起点没有终点的。”鲁桐特别强调道。随着企业的成长会不断有新的风险出现,关键是要有一个基本的架构,从控制环境、控制程序、体系、人员的配置、IT的应用等方面来审视风险。这些环节在不同的时期侧重点也不一样。不同行业的企业也有其具体要求,因此着眼点也不太一样。随着企业内部环境的变化,外部的风险也在不断变化。这套体系能对内外部的风险有很好的适应性和控制力是更重要的。金融危机及其衍生的全球经济衰退的一个“正面”价值就在于企业较之以前空前重视风险管理和内部控制,但企业成本在可控的范围内找到量化风险的管理架构和工具是目前企业普遍的困惑。
新规将在今年7月1日实施,但目前各个企业进度差异巨大。据鲁桐介绍,有些企业改造得相当快,特别是A+H股的企业以及那些已经在纽交所或者纳斯达克上市的企业,他们已经到海外上市了,有些本身已经符合美国“萨班斯法案”的严格要求,因此按照新的规范再改造起来就相对比较容易。7月1日这个时间点对大多数内地企业来说是比较有压力的。一些比较规范、规模比较大的公司,有资源和能力在合规性上做很多的工作,而许多规模小且不规范的公司实际上还没有能力做这件事。
虽然内部审计在企业公司治理环节上会起到非常重要的职能,但事实上内控审计行业在中国还处在启蒙阶段。目前内部的审计报告还是附属于总经理和财务部的职能。问题是如果内部审计从公司治理架构上没有到相当高的层面就不能发挥其应有的作用。
痛点四:独立性
此外,在国际上已经有了内部审计的准则,中国也已经引进了,而且本土化了中国的内审责任,但要符合内审要求,必须要有专业的准则去遵循,而且专业人员也要取得相关的认证。但现在的状况并不是每一个从事内审的人员都有认证的资格,也没有准则要求他们必须去参考。目前关于企业内控的培训市场需求量是非常大的,这也从一个侧面说明了内审专业人才短板的现实。