正略钧策管理咨询 顾问 王丹青 建立内部控制制度,是现代企业加强经济管理,提高效益,保护财产安全,实现经营方针和目标的有效工具和手段。这几年,经济环境的变化给很多企业都敲响了警钟,于是,很多企业把管理创新的视角转向了内部控制体现的建设和完善。 我国企业的内控建设状况和国家政策 从国际上看,内部控制体系的相关标准与政策法规最早来源于美国。自其上世纪80年代成立以来,COSO委员会(Committee of Sponsoring Organizations Of The TreadwayCommission)一直致力于内部控制标准的制定,引导和代表着内部控制的发展趋势。1992年,COSO提出了《内部控制——整合框架》(1994年进行了增补)。COSO内部控制框架被广泛的选择作为构建和完善内部控制体系的标准,也是美国证券交易委员会惟一推荐使用的内部控制框架。而且,美国政府于2002年7月颁布的《上市公司会计改革和投资者保护法》,对上市公司进一步完善公司法人治理和财务报告等内部控制制度提出了更高的要求。美国《萨班斯法案》对赴美上市公司内控提出近乎苛刻的要求。 从内控体系在国内的演变历程看,2006年,我国公布了《新会计准则》,同时新《公司法》、《证券法》和《物权法》等重要法律也进行了修改。所有这些外部环境的变化,都要求公司强化法人治理结构,高度关注企业风险,加强内部控制。从法人治理结构层面的内控环境营造到公司各级规章制度中的内控功能,都将内部控制体系作为规范公司经营行为的重要手段。 与之相对应,2006年5月,深圳证券交易所发布了《上市公司内部控制指引(征求意见稿)》。2006年6月,上海证券交易所也发布了《上海证券交易所上市公司内部控制指引》,并规定从2006年7月1日起施行。从而是内控体系的建设成为上市公司的必修课,并将其作为规范上市公司行为、监管上市公司业务的重要手段。 2008年,财政部、证监会、审计署、银监会、保监会等五部委又联合发布了《企业内部控制基础规范》,首先要求上市公司在2009年7月1日前,必须建立企业内部控制体系,鼓励非上市的其他大中型企业参照执行。由此,内部控制体系的建设工作被提到了前所未有的高度,在政策和法规层面,均成为对相应企业的重要指导规范。 由于我国企业自身对于内部控制体系建设的不同理解,在和一些企业家的沟通交流中,笔者了解并感觉到,很多的企业经营者仍将内部控制体系的建设,仅仅视为满足监管部门管控需要的一项工作,并没有给予充分的重视。一方面,上市公司受制于相关监管政策的制约,必须进行相应的内部控制建设。但是,相关的内部控制体系也仅仅是"走走形式"、应付各类的检查,并没有真正的起到内部控制体系在有效降低公司运营风险方面的重要作用。另一方面,更多的非上市公司则根本没有建立自身的内部控制体系,即便那些按照国家的相关要求,制定了内部控制体系的企业,也有很多的企业仅将内部控制体系建设作为公司管理层面的"政绩工程",并没有将内部控制体系很好的应用到企业的日常管理中去。 当然,尽管大量的企业没有认识到内部控制体系的价值,但是仍有一些企业很好的应用着内部控制体系,按照相关的要求和自身的管理需要,不断地优化与完善自身的内部控制体系。而正是这些企业深刻的理解到了内部控制体系,对于自身业务发展的重要意义,对于内控体系的建设也从早期的被动,转变为今日的积极主动。 因而,笔者认为:无论是从我国安防行业的现状,还是从我国安防企业的实际需求,内部控制体系的建设都将是我国安防企业实现管理提升的新契机。我国的安防企业,在满足相应的监管需要的同时,通过内控体系建设的项目,完全可以为企业自身提供更多深层次的价值,获得管理能力的全方位提升,实现真正的内部能力成长,保证企业的长期稳定发展,进而满足企业家对于有效地降低企业经营风险的诉求。 内部控制体系建设的必要性 我国的安防企业受到经济环境变化的影响,面临着战略转型和产业转型,在愈发激烈的市场竞争环境中,企业的运营风险客观上也相应增大,因而对企业内部控制体系也提出了相应的要求。 就外部市场来看,安防行业遇到了前所未有的供需状况变化,市场在蓬勃发展的过程中,蕴藏着比以往更多的风险、充满着比以往更多的挑战。这使得企业必须积极应对才能生存下来。就企业内部经营来看,很多企业经历了一段时间的快速发展之后,积累了很多突出的矛盾和问题,重要的业务环节也存在着大量潜在的风险,而且对于追求规模经济和产品创新的安防企业来说,也面临着管控模式不断优化的挑战。因而,我国的安防企业需要高度重视企业所面临的战略风险、经营风险,在战略层面、内部管理领域进行适时地调整,而内部控制将有效地帮助企业降低风险、安度难关。 而且,深受市场需求周期影响的我国安防企业,也应该在本轮经济大调整中勤修内功。虽然不同的企业在这场经济危机面前所受到的影响程度是不同的、所面临的问题也是不同的,但是由于未来我国产业结构调整的可预期性,以及这次世界经济危机发展的不确定性,都将深刻的改变我国的安防行业。因此,我国的安防企业也必须以生存为前提,在大调整中不断地提高自身的风险应对能力,以保证企业长期、稳定地发展。因而,内部控制体系的建设就显得尤为必要。 首先,安防企业构建内部控制体系是国家政策和相关监管部门的要求。国家在相关政策层面上,要求企业进行内部控制体系建设,尤其是对于大量的已经上市和准备上市的企业以及国资系统的大中型企业,更是通过出台一系列的方针政策,从宏观层面全面的指导与推动企业内部控制体系的建立。 其次,安防企业构建内部控制体系是行业调整与竞争态势的要求。近一段时间,在北京奥运、"维稳"压力等大量市场需求的带动下,我国的安防行业实现了快速的发展,正经历着难得的发展期,不仅国内的安防企业如雨后春笋般大量涌现,而且大量的外资巨头也不断涌入"攻城略地"。我国的安防企业面临着愈发复杂的外部市场环境和愈发激烈的竞争态势,如何能够有效地控制与规避风险,已经成为企业在行业立足与发展的过程中,无法回避的问题,因而,我国的安防企业构建内部控制体系也"正当其时"。 再次,安防企业构建内部控制体系是企业自身发展的要求。随着我国安防企业规模和业绩的不断提升,许多志存高远的企业对内部的管理提升也有了相应的要求和需求,而建立一套系统、完善的内部控制体系,则更是管理科学化与专业化的重要手段。因此,从企业自身管理水平提升、确保长期稳定持久经营的角度出发,我国安防企业构建内部控制体系也可谓是"未雨绸缪"。 因而,随着我国安防产业的不断成熟,安防企业的不断发展,为系统的控制外部市场与内部发展所带来的一系列风险,中国的安防企业有必要依托自身的实际情况,推动内部控制体系的建设。 内部控制体系建设所存在的问题和解决途径 目前,加强内部控制体系建设,正成为大势所趋,虽然经过几年的努力,许多上市公司逐步建立起了一套较有效运行的内部控制体系,基本满足了上市地法律法规要求,但同时也暴露出来一些突出问题,使内部控制体系的建设走了一些弯路。 一、对于内部控制体系的重要性和战略性缺乏认识 现阶段,很多企业的内部控制体系,仅仅从操作层面进行考量。在构建过程中及早的落脚于制度、流程、关键风险点控制层面的问题。而实际上,内部控制体系的建设,一定要建立"战略导向"的内部控制体系。 首先,是战略上"做什么、不做什么?",对于企业来说,结合环境的动态业务规划可以帮助企业准确把握内控建设的核心环节;其次,是战略实施的路径,明确企业在未来3-5年内采取的分阶段战略措施,对于企业正确地规划内控建设的节拍至关重要;其三,在内部环境方面,从运营能力、成长能力、无形资产和重要资源四个方面分析和总结企业的竞争力状况,有助于明确企业核心竞争力的提升方向。关注战略的指引,就像为企业内部控制体系找到了方向,为企业内部控制体系塑造了灵魂。 二、对于内部控制体系缺乏全面的了解 很多企业对内部控制体系缺乏全面、系统的认识,并不知道这个体系所包含的全部内容,因而,也会如盲人摸象一般不得其所。或者,因为相关的认识仅仅在某几个维度上,并没有形成对于内部控制体系全貌的理解和应用,从而不能很好的应用内部控制体系支持企业的日常运营和风险控制。 一般来讲,内部控制体系分为控制环境、风险评估、控制活动、信息与沟通、监督等五个维度的内容。而,每个维度具体又包括如下方面的内容: 控制环境:控制环境是内部控制整体框架的基础。人是诸多环境因素中具有决定性的因素。人的品行操守、道德价值观以及能力,管理层的管理哲学、管理理念即使构成环境的重要因素,又与环境相互影响、相互作用。 风险评估:在变化万端的环境中,任何企业都会面临各种各样的风险,而对风险的了解和估定是必须的,建立可操作的风险评估机制,发现、甄别、分析、管理、控制风险也是必须的。 控制活动:控制活动就是制定控制的政策和程序。帮助管理层确保管理方针得以贯彻执行。其目标是经风险评估确定的管理和控制风险措施能够有效落实。控制活动的内容包括职能分离、实物控制、信息处理控制、业绩评价等。 信息与沟通:内部控制活动必须要有信息与沟通系统的支持。在执行、管理和控制经营过程中,部门之间、层次之间、内部外部之间,能否顺畅传递信息、有效的沟通,是决定目标实现和员工履行职责的必要条件。 监督:内部控制的过程必须加以恰当的监督,通过监督对内部控制质量进行评估。对偏差加以修正。而且,监督应具有独立性,有时发现内部控制中出现的问题,甚至可直接报告最高层。 三、内部控制体系的建设缺乏系统性和专业性 有些企业认为内部控制体系的建设,无外乎是制度流程的优化和梳理,提炼和分析风险点而已。而实际上,内部控制体系的建设是一项系统的工程,最好与外部的专业机构合作,从而构建完备、有效、规范、系统的内部控制体系。专业的内部控制体系建设,可以分为如下几个阶段: 第一阶段:企业战略的梳理:通过企业战略的梳理与识别,明确企业的发展方向与业务特点,以此为基础可以进一步明确企业战略对于内控建设的要求;针对企业的发展诉求,以及产品特点,确定企业经营风险的主要类别,进行针对性的设计与规划。 第二阶段:企业运营环境的分析:根据内部控制体系的需要,通过资料研读、人员访谈、问卷调研、跟踪分析等各种方式,以核心产品、关键业务模块为重点对现有的内部管理体系进行全面系统的评估分析,明确企业经营现阶段的经营管理现状,汇总企业经营风险的分布情况,确定内部控制体系建设重点。 第三阶段:内部控制体系的设计:以企业战略为指导、以运营环境的分析评估结果为基础,围绕内部控制框架的控制环境建设、风险识别、控制活动、信息与沟通、监督等五个方面的具体要求,设计公司级的内部控制体系。 第四阶段:内部控制体系的建设:流程级和IT级内部控制体系的建设,这是内部控制体系建设的核心环节。把通过战略梳理确定的关键风险区域归结成流程地图,对现有的流程进行描述,并找到这些流程中的风险点、现有的控制措施以及控制的缺失,从而制定内部控制措施、风险控制目标等,最终构建起系统完善的内部控制体系。 四、内部控制体系的执行流于形式 很多企业认为内部控制体系的建设是一劳永逸的,通过一次全面系统的内部控制体系建设,就可以在很长的一段时间里解决一切问题。从而导致企业不注重内部控制体系的执行,使之流于形式,使内部控制体系的价值得不到真正的发挥。 内部控制体系不仅需要认真的执行,而且内部控制体系也是需要不断的固化与优化的。一方面,通过建立完善的公司制度流程体系,实现内部控制体系的固化。以制度流程的形式建立企业内部控制的体系文件,包括内部控制的全部模块,并在此基础上形成持续的优化机制。另一方面,对已经设计完成的公司级内控、流程级内控以及IT级内控进行跟踪测试。通过这样的方式,发现运行中存在的缺陷与问题,并提出相应的整改意见与建议,进行弥补内控体系的运行缺陷,实现企业内控的进一步优化,为企业的实际经营提供支持。 综上,在复杂多变的市场环境中,我国的安防企业应该充分利用好内控体系建设的契机,从企业战略的高度着眼,从企业经营的需要出发,全方位的实现运营风险的控制,为企业的管理水平带来全面的提升,为企业的发展奠定坚实的基础。