文/王鹏
一、内部控制的含义
内部控制,俗称内控,可能很多人对这个词还十分陌生,并不知道内控为何物,他是怎么产生的。的确,由于内控产生的时间较晚,专业性较强,所以从社会认知层面不及会计、财务、企业管理,甚至审计等专业领域让大家已经熟悉和了解。内控在中国应该算是个舶来品,最早产生在美国,现在已经在世界各国扎根发芽,快速成长,并且逐渐本地化。
内部控制的含义是什么呢?
根据美国COSO委员会的定义,内部控制是为达到目标提供合理保证而设计的过程。具体来说,是为了达到提供可靠财务报告、遵循法律法规和提高经营效率效果等目标,受到企业董事会、管理层和其他人员的影响,旨在为实现下列分类目标提供合理保证: 经营的效果和效率;财务报告的可靠性;遵从适用的法规。
在中国由财政部等五部委颁布的《企业内部控制基本规范》中定义内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
二、内部控制产生的背景
应该说,内控的产生是由一系列风险事件的爆发,并由政府监管部门颁布法令和政策强制企事业单位规范执行的管理体系。
首先,让我们回顾一下这些事件和历程。
2001年12月,美国最大的能源公司——安然公司因财务欺诈事件申请破产保护,2002年6月美国世界通信公司因会计丑闻事件申请破产保护。一系列的重大事件彻底打击了美国投资者对美国资本市场的信心,而且在世界范围掀起轩然大波。为了改变这一局面,督促企业加强内部控制,以保证财务报告的真实性,美国国会和政府于2002年7月加速通过了《萨班斯—奥克斯利法案》(简称《萨班斯法案》),该法案的另一个名称是“公众公司会计改革与投资者保护法案”,要求美国本土及海外企业执行。从此,内控在美国率先登上历史舞台。
本世纪初,在中国也出现了银广厦、蓝田股份等虚假财务报告事件。2008年财政部、证监会、国资委、审计署、银监会、保监会五部委联合发布了《企业内部控制基本规范》。2010年以上五部委又发布了《企业内部控制配套指引》。至此,标志着适应中国企业实际情况、融合国际先进经验的中国企业内部控制规范体系建成。中国企业开始从单一的财务报告内部控制步入规范的全面内部控制阶段。这套体系要求2011年国内外同时上市的企业率先执行,2012年国内上市公司执行,并鼓励其他大中型企业提前执行。
无论是安然、世通还是银广厦、蓝田股份,这些企业的失败全部源于虚假财务报告事件,但值得我们深思的是,企业的运营是一个循环互动的完整体系,前端决定后端,虚假财务报告只是表象,内部控制的失效才是根本。
在过去,人们通常认为企业内部控制属于财务管理范畴,其实不然,企业内部控制就像一张网,覆盖着企业的全部,包括全方位、全时段,是以全面风险管理为导向的内部控制。良好的公司治理是内部控制的必要条件,董事会代表广大股东的利益,对内部控制负全责。相对于企业管理和运营,内部控制又是一条线,串起各项管理制度,打通各项业务流程,内部控制能够让管理和运营更加有效。
五个要素:(1)内部环境。(2)风险评估。(3)控制活动。(4)信息与沟通。(5)内部监督。其中,内部环境主要涉及治理结构、组织机构设置及权责分配、发展战略、内部审计、人力资源、社会责任、企业文化等,是企业实施内部控制的重要基础。
图示:公司治理结构和内部控制的融合
三、企业内部控制基本规范及指引的核心内容
在我国,关于内部控制最权威的政策文件是由财政部、证监会、国资委、审计署、银监会、保监会五部委联合发布的《企业内部控制基本规范》和《企业内部控制配套指引》。
《企业内部控制基本规范》的核心内容是五个目标、五个原则和五个要素。
五个目标:(1)企业经营管理合法合规。(2)资产安全。(3)财务报告及相关信息真实完整。(4)提高经营效率和效果。(5)促进企业实现发展战略,这是内部控制的最高目标。
五个原则:(1)全面性原则。(2)重要性原则。(3)制衡性原则。(4)适应性原则。(5)成本效益原则。其中,全面性是指内部控制涵盖企业经营管理所有方面,不能出现空缺和盲区,是全员的内部控制,而非领导和某些部门的事。
《企业内部控制配套指引》包含三大类18项应用指引和评价指引、审计指引。应用指引包含由组织架构、发展战略、人力资源、社会责任、企业文化五项组成的内部环境类;由资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告九项组成的控制活动类;由全面预算、合同管理、内部信息传递、信息系统四项组成的控制手段类,为企业建立内部控制体系提供了必要的指导。
四、内控管理体系建设的必要性
内控源于风险,风险之于企业,是与生俱来的。在当今复杂的商业环境中,每个企业都面临众多的风险因素,不仅是火灾、财产损害、业务中断、盗窃及产品责任等传统风险,还包括市场风险、运营风险、人力资源风险、恐怖主义和影响企业创新的规则等不断涌现的风险因素,企业的声誉也受到不同风险因素的威胁。
企业就像一条船,需要一个载体支撑这条船,这个载体就是企业的全面风险管理。风险管理已经成为企业管理中的重要内容,风险管理机制更是企业管理体系的关键组成部分,而风险管理最有效的手段是如何更好的控制风险。因此,风险和内控的正在不断整合,这种整合现在已经形成一个新的名词和领域:风险管控,简称风控。
随着企业的成长,规避风险,提高综合管控能力的自身要求已经逐渐取代外部监管的压力,成为企业快速发展过程中的迫切需求。为了顺利实施企业发展战略,高效安全完成战略目标,在复杂多变的市场竞争中立于不败之地,企业需要推进全面风险管控体系建设。
风险及内控管理体系建设不仅是响应财政部、国资委等监管机构的要求,同时是资本市场的要求,更是企业自身发展的要求,其必要性主要体现在以下几个方面:
早在2002年萨班斯法案颁布,中国在美上市的企业就开始面临国际资本市场对上市企业内部控制和风险管理水平的严格要求。
国资委2006年6月发布了《中央企业全面风险管理指引》,明确要求央企建立全面风险管理体系。2008年11月国资委又印发了《关于2009年中央企业开展全面风险管理工作有关事项的通知》,指出在当前国际金融危机不断蔓延加剧的形势下,央企应当充分认识当前和今后一段时间内市场环境变化对企业经营管理的持续影响,积极主动应对各种风险;要把各种风险管理工作摆在日常经营管理的重要位置,主要负责人亲自抓;组织集团及所属企业深入开展全面风险管理工作,层层落实,确保企业持续稳定健康发展。
2008年5月,财政部、证监会、国资委、审计署、银监会、保监会五部委又联合印发了《企业内部控制基本规范》,要求上市公司2009年7月率先执行,并鼓励非上市的大中型企业执行。
图示:财政部、证监会、审计署、银监会、 保监会五部委发布企业内部控制基本规范框架
一系列政策法规紧锣密鼓的出台,标志着在中国上市的企业也全面进入风险与内控体系建设阶段。如今,无论在美或在国内上市的企业,都需要通过各级监管机构对内控能力的全面评估检查,不能通过审查的企业将在公司价值、融资成本等方面蒙受重大损失,甚至遭到资本市场无情的淘汰。
风险管控能力越来越成为国内外资本市场衡量企业公司治理水平的重要依据,对企业的举债能力和融资成本有很大的影响。
据某国际调查机构的数据,三个利润率相同的企业由于其报告在SEC通过的情况不同,其在股票市场上的表现也有较大差异。两年都通过的企业其股票价格有27%的上涨可能;第一年没过但第二年通过的企业其股票价格有25%的上涨可能;两年都没通过的企业其股票价格有5%的下降可能。
经营管理和风险防范是“一个硬币的两个侧面”,企业的战略决策就是在决策风险,企业的经营管理就是在管理风险。在企业发展过程中,随着规模的扩大、地域的延伸、子公司数量增加,企业需要应对的风险将呈现指数倍增加,要做到“基业常青”,就必须怀着危机感和紧迫感,推进全面风险管控体系建设。
全面风险管控体系建设是一项系统工程,是用系统的、动态的方法进行风险控制。按照风险管理基本流程,通过风险识别、风险评估、风险应对、风险运行监控、风险报告、持续改进等环节,形成体系化、闭环的风险管理。并通过内部控制体系的建设可以巩固已有内控成果,保护已有投资;提高内控执行力,推动公司精细化管理水平;增强工作透明度和信息反馈速度,提升各级领导的管控能力;提升内控工作效率和质量,降低总体内控成本;全面应对监管要求,提升内控工作与全面风险管理水平。加强信息披露,提升公司的形象和加强投资者的信心。企业在进行全面风险管理体系建设的同时,要切实考虑体系落实和重点突出等相关问题,并在风险管理体系运营的过程中进行全时监控和持续改进。
国际通用的COSO理论框架的不断完善恰恰诠释了以上由内控到风控的演变过程。
图示:由COSO内控框架到COSO风险管理整合框架
五、内控体系建设给企业带来的价值分析
内控体系建设会给企业带来的全面提升,因为通过内控及管理体系的巩固与实施可以推动企业的风险管理及内控管理工作更加规范、高效,对业务的指导意义更加明显,进而推动整个企业的管理水平不断提升,为企业创造更好的内部经营环境。风险及内控体系建设现在一般是通过专业的咨询公司经过管理咨询后帮助企业完成,应该说,内控体系建设对企业带来的价值还是蛮大的。
内控体系建设给企业带来的价值具体体现在以下几个方面。
第一、巩固内控工作的已有成果,保护已有投资
经过咨询公司管理咨询后的内控管理体系可以提供成熟的风险及内控管理方法论,可以将公司花费大量投资梳理出来的风险要素、内控规范、业务流程、控制活动等系统化,通过内控落地和流程优化可以强制内控规范的执行,并保证风险与内控体系的落实,避免由于制度与执行的脱节导致内控工作流于形式、风险意识逐渐淡化、内控成果无疾而终,保护已有工作成果和投资。
第二、提高风险及内控执行力,推动公司精细化管理水平
通过内控及管理体系的建设可以更好地明确风险及内控目标,分解和落实风险控制责任,突出工作重点,强化监督考核,从而更好地贯彻领导的管理思路,提高风险及内控的执行力。通过明确每一个部门、每一个员工的工作目标,将责任明确到具体岗位和责任人,实现各级机构在执行风险及内控工作上的规范和统一,以及控制责任的具体落实,从而可以最大程度地激发员工的工作动力和积极性,又可以实现风险、内控与日常业务管理紧密结合,缺陷实时整改。通过将风险活动落实到日常管理工作上,以潜移默化的方式实现公司治理的长效改善。这些功能对于进一步落实日常化管理工作,乃至提升全员的风险意识,促进公司的精细化管理水平有重要的推动作用。
第三、增强工作透明度和信息反馈速度,提升各级领导的管控能力
内控及管理体系的建设能实现对风险管理及内控管理的计划、任务分派、执行、反馈、整改等工作的全过程管理,能够全面、准确、一致地反映风险及内控工作的实际情况。如果再借助信息化的支撑可以改变传统方式的人工中转、统计、汇报,各级领导能够实时监控风险工作进度,实时查看全公司以及各单位风险评估及内控检查结果,实时了解各单位各类缺陷情况,从而迅速做出指示与决策,极大地提升了管控能力。
第四、加强信息披露,提升公司的形象和加强投资者的信心
通过内控及管理体系的建设,可以更好地支持企业内控,实现更及时准确的信息披露,提升公司的形象和加强投资者的信心,从而使企业在股票市场上的表现更好。
作为一家上市的企业,面临多种监管与披露要求。截至目前,监管机构都对上市公司内部控制提出了具体规定,其中美国《萨班斯法案》404条款以及上海、深圳联交所《上市公司内控指引》均要求公司出具内部控制评估报告,外部审计师出具内部控制审核报告。通过内控及管理体系建设的管理咨询成果,可将满足不同监管要求的控制点分别进行标识,辅助公司有效、按时、保质的完成有关披露工作,全面应对监管要求。
作者介绍:王鹏
管理咨询工程硕士、CIA (国际注册内部审计师)、CISA (国际注册信息系统审计师)。2016年加入和光咨询,现任华信集团旗下和光投资咨询(北京)有限公司业务副总裁。