企业内部控制的实施困境及路径选择
无论是以蓝田股份和银广夏为代表的上市公司,还是三九集团、中航油集团等大型国有企业集团,抑或是南方证券等金融机构,它们的毁灭或危机无不成为失控的“标本”。这些曾经辉煌的企业,并非毫无管制的烂摊子,有的甚至还建立了全面、系统的内控制度,但其关键环节的风险却并未得到有效控制。问题到底出在哪里呢?
我国企业内部控制实施的主要缺陷
随着内部控制思想的深化和各主管部门监管措施的强化,我国企业已经普遍认同并重视内部控制,并将其作为企业发展中的重大问题来考虑,但受文化观念、思维模式和基础条件的限制,企业的内部控制仍然存在以下问题:
(一)部门分割,政出多门,导致控制体系缺失
内部控制在于业务全过程和全员的风险控制。一方面,风险的识别和评估必须得到各部门全过程的参与,另一方面内控作用的主体也是业务各环节的部门和人员。因此,内部控制设计和实施的整体性决定了内部控制的效率和效果。我国企业的组织结构总体是沿用资源特性和属性进行横向分割设计的,不可避免地形成了部门割据、利益纷争的特征。各部门对内部控制的理解、执行都无不打上部门利益的烙印。例如,关系到企业竞争能力和运营效率的企业产品成本控制,不仅在于财务部门核算的控制,还在于设计、采购、生产、库管、销售各环节的共同控制。而设计部门的业务取向在于产品的质量和功能的实现;采购部门的业务取向在于完成生产需求,熟悉的供应商、便利的采购方式成为业务的首选;生产部门的业务取向在于安全完整地完成产品的生产,对业务效率、产品成本鲜有考虑;销售部门的业务取向在于产品的销售和推于,价格策略、赊销和销售折扣成为其业务的首选。上述部门的立场和利益无不和内控的最终目标相背离,财务部门对企业生产和结果核算,只能是对运营过程事后的反映,成本控制已是“无力回天”。
(二)整体性不足,高度不够,导致控制效果不佳
我国企业内部控制普遍缺乏整体性,主要表现在内部控制的制定、主体内容和方式都带有部门色彩。目前,企业内控主要由内审部、风险管理部或财务部主导。内审部的职责和功能主要在于业务和风险的核查监督,内审部门主导的内部控制带有事后评价和核查的色彩,缺乏事前和事中控制,从而背离了全面内部控制的初衷。财务部门主导的内部控制偏重于财务效果和运营效率风险,而对于业务过程本身的业务属性关注不够,使得内控体系给业务带来影响和冲突,甚至最终导致与营运效果相背离。风险管理部门的职责在于全面监控企业的总体风险,并对重点业务和环节进行风险监控。由风险管理部门主导的内部控制对于总体业务风险能够从体系上把握,但对于业务关键点和控制点的认识却不及其他具体业务部门明晰,其内部控制的现实性、可操作性都受到很大挑战
(三)流于形式,疏于执行,导致内控形同虚设
许多企业对于内部控制的理解是片面的认为内部控制就是制定各种各样的制度和手册,企业追求形式的动力远远大于内控实施的需求,不愿意实质性地改变企业管理和运营的模式、过程和方法。更加可怕的是,一旦蒙上内控的外衣而行无控之实,更会加大失控的潜在威胁。中航油新加坡公司的悲剧不是没有内部控制体系和制度造成的。中航油聘请安永会计师事务所为其制定了《风险管理手册》和《财务管理手册》,公司曾经以拥有这样一套“与国际接轨”的风险管理制度为荣。根据《风险管理手册》规定,中航油设有7人组成的风险管理委员会,风险控制为五级制:交易员—风险控制委员会—内审部交叉检查—首席执行官—董事会,层层上报。每名交易员损失20万美元时要向公司风险管理委员会汇报;累计损失达35万美元时要向首席执行官汇报,得到其同意才能继续;任何导致50万美元以上损失的交易将自动平仓。但是,中航油最终高达5.5亿美元亏损额的事实却无情地戳穿了中航油的“内控谎言”。
完善内部控制的路径选择
(一)寻找适合的方式—中国特色的“希金森小船”是最佳选择
盟军1944年6月在诺曼底登陆成功很大程度上要归功于一种极富特色的战略登陆快艇。但这种快艇并不是军方认为功能齐全、安全系数高的军用船舰,而是由民间造船师安德鲁·杰克逊·希金森设计制造的、适宜采矿者和狩猎者在路易丝安那的沼泽地中使用的简易的小木船。
企业内部控制向何处去?美国《萨班斯奥克斯利法案》要求的全面而苛刻的内控,因为其不切实际的大而全、强制要求花费巨大已为企业界诟病。在中国市场环境尚不健全的前提下,兼之“上有政策、下有对策”的“政策应对”思维,如果照搬美国内控模式,就很有可能陷入不切实际的形式主义泥潭,不但无端增加企业运营成本,而且最终会影响内控的严肃性和有效性。在中国,不同所有制的企业运营模式不同,价值取向迥异,企业控制方式和方法也不尽相同;不同行业的企业、同一行业不同阶段的企业、同一行业同一阶段不同规模的企业面临的运营风险、人员风险都不相同,这些不同注定了企业内控的模式、方法和机制的差异。中国企业的内控更需要适合登陆中国的“希金森小船”。合适的才是最好的。
(二)确立制度的安排—法人治理和内部控制的结合
内部控制是企业各阶层的利益均衡,在逐渐成熟的市场机制中,在所有权和经营权相分离的前提下,内部控制必须由企业管理层在高度压力、动力的前提下才得以展开和实施。内部控制只有作为企业的一项制度,而不是一个运动,才能持续、有效地达到控制的效果。
作为一项制度安排,企业应将公司治理与内部控制有效对接。在公司治理结构的框架内解决对董事会和总经理的控制、监督和激励问题;在内部控制的框架下解决对总经理以下的业务执行部门和岗位的控制和激励问题(李连华,2005)。具体来说,企业可以在董事会下设立审计委员会,明确审计委员会对总经理的控制、监督和激励。我国相当一部分企业的监事会在监督方面也起了重要作用,通过监事会可以对董事和总经理实施监督与控制。在此前提下,内部控制相关部门如企业内部审计部门、风险管理部门等的定位也涉及到内控的切实制度安排问题。强化内部控制的职能、提高内部控制的地位,理想的模式是将企业内控相关部门直接隶属治理中的审计委员会或监事会。鉴于企业人员管理和业务内容影响和治理发展的现实,阶段性地将企业内控部门业务由治理委员会指导,人员和业务由总经理管理,不失为一项过渡性的制度安排。
(三)强化制度的执行—业务流程和风险管理的契合我国企业缺少的不是制度和政策,缺少的是统合观念下的风险辨识和风险规范制度的实施,缺少的是让制度得以执行的具体方法。流程管理实质就是按照业务发展和运行逻辑关系进行工序安排,以保证产品和操作过程的规范和可复制性,从而提高功效和效果(质量)。内部控制设计需要借鉴和运用流程设计原理,进行业务运行逻辑关系的梳理;同时,按照资源的稀缺程度和资源数量要求分析出业务流程的关键点,根据企业经验和实践,找出关键点中财务影响最突出、错弊频率最高的业务点即风险点作为控制点。针对各种错弊和失误,在此控制点中制定出相应的措施和方法,以减少其发生的概率和损失。这样,在业务实施的过程中自觉将业务风险加以控制和防范,内部控制的思想和各种要求都在各项业务和管理过程中得以实现。习惯成自然,企业在没有规范流程和防范风险系统的运行模式时,实施内部控制将是一个从思想到方式的变革,甚至会产生强烈的阵痛。然而,随着内控过程对风险的规避和化解,企业的利益得以保障,企业各层次将逐渐接受以内控流程模式实施业务运营。当企业反复运行并遵从内部控制流程时,风险管理就会成为企业的习惯。因此,以流程为模式的内部控制可以有效保证企业风险管理被长期、习惯地遵从。