作者简介:
对外经贸大学国际商学院教授、博士导师。兼任北京亚太华夏财务会计研究中心理事、北京会计学会常务理事。主要从事企业财务的研究,在集团公司财务、资本结构、财务政策、公司预算管理、财务体制等方面有所创建。是公司“经营者财务”学说的倡导者。
“内控”已经成为当今财会职业中的关键词之一,尤其是美国《萨班斯──奥克斯法案》(Sarbance-Oxley Act)的实施,更是把内控推到了一个崭新的阶段。内控制度概念的科学性、框架内容的完整性和关键控制条款的可操作性成为了学界、业界包括各国政府的关注重点。事实上包括控制环境、控制活动、风险评估、信息与沟通、监控等要素在内的COSO框架已经相对完善,在COSO内控框架中就大有文章可做,若过多地关注概念上的争辩、内容上的“创新”更像是一种文字游戏,从而偏离了建立健全内部控制的初衷,无益于企业管控目标的实现。
一、内控制度执行的前提是要建设系统性、针对性的制度体系
内控制度执行的前提首先是要做到“有法可依”,换言之,就是要首先解决内控制度的缺失问题。近些年来,国务院的有关机构出台了许多关于内控的部门规章。如财政部先后颁布了《内部会计控制规范──基本规范(试行)》、《内部会计控制规范──货币资金(试行)》等一系列内部控制规范;国资委也陆续下发了《国有企业内部控制条例》、《国有企业内部审计条例》、《金融机构内部控制指导意见》等内部控制指导文件。作为部门规章颁布的这些内控制度适合于任何公司,制度条文的原则性和概括性相当强,显而易见,它们只能关注内控中普遍性的问题。特别需要强调:如果每个企业简单的“复制”政府部门颁布的制度条文是一种失效的制度“建设”路径。因为现实中,每个企业尽管需要依据内部控制制度的基本要求和原则为导向,但是更要根据自身的实际情况和特点,明确关键控制点和控制环节,制定适合自身需要、特定经营环境的内部控制制度。
在每个企业内控制度的具体建设中,首先必须实现内控制度与公司战略、公司治理与组织结构设计的融合。内部控制制度的整体结构不能仅仅局限在业务层面,而忽略了公司层面,尤其是应该包括公司治理层面。同时,由于“组织追随战略”(钱德勒),公司的关键控制点和关键风险点随“低成本”、“差异化”不同,战略重点、业务特色的不同而量身定制,这也是实现内控制度体现战略意图最为关键的问题。一般来说,在管理体制上,公司组织结构可划分为战略规划型、战略控制型和财务控制型三种模式,比如在战略规划型模式下,总部大量参与业务部门的战略开发、拓展和监督,集团总部积极参与下属业务部门的战略开发,但是总部只是在运营结果出现较大偏离时才正式作出反应,控制程序灵活。而财务控制型模式下,战略开发的责任和权利全部交给下属单位,总部原则上不检查战略计划,只是管理下属单位的主要财务指标(如投资回报率),实际上是实行资产投资管理。显然,公司管理模式的差异必然对内部控制制度的建设具有不同要求。
其次,目前内控制度主要关注的是单一法人企业,但是现实中的企业更多的是包含多层股权结构、多级法人治理的集团企业。对于集团企业的投资、融资、业务经营、现金集中、信息无纸化等方面的内控较之单一法人企业具有太多的复杂性,尤其是当集团内控与子孙公司治理发生摩擦、碰撞的时候,内控制度建设的挑战性更强。而且,内控制度面临组织扁平化、职能管理渗透化、流程简洁化、业务外包化等新的管理变革时,还要关注内部控制制度与这些变革的有序对接。比如不少企业内控制度仍然是完全按照职能部门制定的,这就不是企业流程的观念。
再次,从制度上讲内部控制的目标应该同时包括“为了合理的保证经营的效果性和效率性;财务报告的可信性;对法律和规章制度的遵循性”(COSO报告)。就业务层次的内控而言,我们发现不少中国企业设计的内控目标主要也囿于财务报告可靠性而忽略运营效果(效率)和合规性目标,这不仅使得内部控制制度仅仅限制在财务会计部门,成为一种纯粹的会计控制,使内控制度无法延伸到整个企业的各个流程内部,难以演变为一种管理文化,而且使内控制度单纯为控制而控制,强调“他律”的概念,并未考虑与“自律”的业绩管理的结合问题。
最后,必须关注内部控制日益向全面风险管理(ERM)发展的客观态势。根据COSO的ERM框架,“全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响,并从企业战略制定开始一直贯穿于企业的各项活动中,用于识别那些可能影响企业的潜在事件,使之在企业的风险偏好之内,从而合理确保企业取得既定目标”。ERM框架有三个维度:第一维度是四个方面的企业目标,即战略目标(与整体目标一致)、经营目标(资源的使用效率)、报告目标(报告的可靠性)和合规目标(遵循法律法规的要求);第二维度是八个全面风险管理要素,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控;第三维度是涉及的领域和范围,全面风险管理过程应用于企业内部每个层级和部门,包括整个企业、各职能部门、各条业务线及下属各子公司。在企业空间范围内,相互交融的三个维度的风险管理,以企业诸目标为指引并且应用于目标自身的制定,涉及企业的各相关者和风险管理的完整要素内容。近期国资委制定并下发了《中央企业全面风险管理指引》,要求企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系(包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统),从而为实现风险管理的总体目标提供合理保证的过程和方法。我们十分欣赏这些ERM对公司治理、战略、运营的多维视角分析,融内部控制于风险控制之中,彻底体现了“全面”的真正含义。但是这些ERM框架毕竟还只是框架,离可操作的企业管控制度还有相当距离。每个企业在设计内控制度时,除了要遵循ERM框架结构外,还要符合SMART原则的要求,即内控制度必须是:明确可行的(Specific)、可以计量的(Measurable)、可以达成的(Attainable)、与责任相关的(Related)以及具有明确的时间限制(Time-bound),因此必须确保内控制度条款上内容的针对性和可操作性。
二、内控制度执行最为关键的是构造一种对制度敬畏的公司管理文化
我们必须强化制度的力量,强调内控制度对公司上下包括公司最高决策者在内的每个成员的威慑力。因此,要注意到探讨如何培养对制度的敬畏和对流程的呵护,比之探讨内控的概念、内控的内容要素显得更加重要。如何“循规蹈矩”似乎成为了内控领域更为有趣、更为重要的话题。比如前年发生的,至今仍受各界关注的“中航油事件”,对此进行阐释再好不过了。它因石油衍生品交易,总计亏损5.5亿美元,严重资不抵债,申请破产保护,从而成为自从1995年巴林银行事件之后,震动新加坡金融市场最大的公司丑闻。此事立刻在各界引起了巨大的反响,质疑声中纷纷探究事情的成因:作为全球透明度较高的新加坡资本市场,向来以严格监管著称,在其市场挂牌交易的公司能出这么大的事情,难道是因为中航油的风险控制体系缺失和内部监督机构缺设吗?答案是否定的。中航油有著名的安永会计师事务所为其量身定做的《风险管理手册》和《财务管理手册》,这些制度和相关的措施都已经董事会批准执行,而且受到集团公司的高度赞誉。“制度明确规定了公司正常运营的相应审批程序和各级管理人员的权限,并且通过联签的方式降低资金使用的风险……一方面中航油采用世界上最先进的风险管理软件系统,将现货、纸货和期货三者融在一起,能够进行全盘监控;另一方面建立三级风险防御机制,通过环环相扣、层层把关的三个制衡措施来强化公司的风险管理……”。针对石油衍生品业务,中航油设有资深交易员、风险管理委员会、内审部(交叉检查)、总裁(CEO)和董事会等组织机构,对于各级组织的相应权限,制度明确规定了“每名交易员亏损20万美元时,要向风险管理委员会汇报,亏损额达37.5万美元时,向CEO汇报,亏损50万美元时,必须斩仓”。但是事实上,所有的这些设计和内控制度都失灵了。从交易员,风险管理委员会成员到总裁,似乎都忘记了自身的职责权限和公司制度的存在;同时,相应的监控机制、环环相扣的组织制衡设计、风险管理软件系统等亦统统瘫痪,终于酿成公司巨亏5.5亿美元而申请破产保护。也可以说,不是因为内部控制和风险控制制度的缺失和组织机构的缺失酿成了中航油事件,造成其巨额亏损最主要的原因是缺乏制度的执行力、缺少执行者对制度的敬畏和呵护。从这点来讲,梳理流程、界定授权、评估风险、确定关键控制点等等内控制度的设计即使再完善,当面临着公司治理的缺失、经营团队的自负时都显得无能为力。因此,内控更为关键的是一种制度执行或执行文化,我们要强调制度对公司上下包括公司最高决策者在内的每位成员的威慑力,强调公司每位成员对制度的敬畏和遵循。
与此同时,理论上存在“内部控制”和“公司治理”的关系是“彼此独立”或“相互交融”的纷争。由中航油事件已经表明,割裂内部控制与公司治理的内在联系是不现实的,也是无益的。中航油的问题既是内部控制的失灵,也是公司治理机制缺失的结果。我们认为内部控制制度的执行力、对公司制度的敬畏首先依赖有效的公司治理,依赖于公司高管对内控制度的表率作用。
三、信息披露是内控制度的首要条款,对于信息虚假、信息迟缓、信息误导的行为必须严刑峻法
信息真实披露很重要,这是设计和执行内控制度首先所必须考虑的。COSO委员会的风险管理框架构成要素之一就是信息与交流,确保为实现企业目标的真实信息及时在组织的各个层级交流与反馈,使内控诸环节运行有了判断的依据,从而有效地管理风险。
新加坡检方对中航油总裁陈久霖的指控,以及法院最终对其的判决也主要是陈久霖采取了不正当的手段,如制作虚假的2004年度年中财务报表、在2004年第三季度的财务报表中故意隐瞒巨额亏损、违背《公司法》规定的董事职责、不向新交所汇报公司实际亏损、欺骗德意志银行和诱使集团公司出售股票等方面,欺骗投资者,欺骗交易相对人,扰乱金融交易秩序,严重破坏了正常的交易规则。可以看出,使陈久霖获罪的不正当手段又主要集中于编造、披露虚假信息,蓄意进行信息误导,而并不是如有些媒体所报道的那样陈久霖获刑是因为管理失误、经营亏损,给公司造成了严重的损失所致。惋惜的是,陈久霖仍没有认识到如实、及时披露信息的要义,事后在多种场合,经常总结表述其失败的原因是“授权太多,太相信人(交易员),如果授权不多,就不会亏损,也就不会出这么大的事情了” 。伴随着长叹,接下来往往是“如果再给我两亿美元作保证金,就能成”。痴迷于赌博心态的霸气依旧盛势凌人,虽然其已经历了这么大的事情,但是相比之下,制度的权威和力量、市场最基本规则的约束在陈久霖面前似乎依旧显得苍白无力。在听到法院判决其4年3个月监禁,并处33.5万新元的罚款后,强势总裁仍是以一副历经风雨、游刃有余的姿态说“几年后见”。足见陈久霖本人直至入狱仍然没有意识到其获刑的真正原因是说谎、隐瞒事实、披露虚假信息。可见如何保证如实、及时披露信息,应该是设计和执行内控所应该考虑的首要问题。同时通过反思安然、世通和中航油等颇具影响的事件,可以看出对于信息虚假、信息迟缓、信息误导的行为,法律绝不应该给予姑息与纵容。
总而言之,内控制度持续的执行力是“有法可依”(针对性和操作性强的制度建设)、“执法必严”(制度执行上的不折不扣),“违法重究”(违规、违法的严刑峻法)三个方面共同作用。
(北京工商大学会计学院研究生赵本阳也参与了本文写作) | 
