内部控制系统对于企业来说,就象人体的免疫系统一样。近年来发生的三鹿集团奶粉事件、中航油的金融衍生工具投机事件、南方航空的委托理财事件、国储局的铜期货投机事件,直至最近发生的光大证券乌龙事件等都是内部控制缺失的表现。引发了公众对国家危机应对体制、社会道德和企业责任等问题的讨论和反思。
上述企业都是大型国有控股企业,都有相对完善的管理制度,但是为什么还会出现管理失控的问题?结合内部控制评价方法,从控制环境、风险评估、控制活动、信息与沟通、监督等五个方面对这些失败案例进行系统分析和总结。
一、内部环境
内部环境是企业实施内部控制的重要基础,包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化、诚信与道德观等多方面内容。一个组织的内部环境对企业内部控制的执行和效果有着显著而关键的基础性影响。
上述大型集团公司不是没有相应的控制系统,而是由于存在内部控制环境中的缺陷导致会计控制系统和管理控制系统失效。这些问题主要是:一是相关领导层职业道德和诚信缺失;二是授权不当,权力集中在少数人手中;三是举报机制不健全,难以向集团总部反映问题;四是监督机制和责任追究制度不健全,作弊者没有压力。
由此可见,内部控制系统设计的重中之重是要弥补当前控制环境中存在的缺陷。沃顿商学院的威廉·劳弗认为“在所有导致企业犯罪的因素中,没有任何因素能比最高管理层纵容、甚至是促成一种允许它存在的文化更为严重的了”。有正确道德价值观和高度社会责任感的高管层必然会带来整个组织正确的发展方向。我们要将职业道德修养和专业胜任能力作为聘用员工的重要标准,设置科学合理的公司治理结构,充分发挥内部审计和监督的作用,必然会为整个组织打下一个良好的内部控制基础。
二、风险评估
是指要求企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,并合理确定风险应对策略,这是企业实施内部控制的重要环节。内部控制基本规范中第二十条至第二十七条分别从风险识别、风险分析和风险应对这三个步骤来说明如何实现对风险的有效控制。要求我们采用一些科学的方法和工具从定性和定量的角度来识别风险,并且综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,从企业总体层面上把握分散于企业各层次及各部门的风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。
三、控制活动
是指企业根据风险评估结果,采取相应的控制措施来将风险控制在可接受的程度之内,这是企业实施内部控制的重要手段。控制活动类的九个应用指引在主要业务与事项的原则上提出了控制的目标和具体要求,是建立健全企业具体业务活动内部控制所提供的指引。控制活动执行的好坏,直接影响控制系统的效果和效率。在中航油出事之前曾被评为2004年新加坡最具透明度的上市公司,中航油成立有风险委员会,还曾聘请安永会计师事务所编制了公司的《风险管理手册》和《财务管理手册》。虽然有一系列的控制制度,但是在实际操作中并未执行,造成后来出现巨额期货亏损。2013年8月光大证券发生的“乌龙事件”,证监会新闻发言人说,“光大证券乌龙交易事件暴露了光大证券在内部控制、风险管理、合规经营等方面存在很大问题。乌龙指事件发生后,光大证券及其事件相关人员在考虑对冲风险、调剂头寸,降低可能产生的结算风险时,采取了错误的处理方案,构成内幕交易、信息误导、违反证券公司内控管理规定等多项违法违规行为”。
内控制度设计和执行上的一个小缺陷有可能导致企业出现重大风险损失,尤其对于特别风险业务,需要有这个组织内所有相关业务流程的审批程序,不能只听从最高领导人的指示,使制订的管理制度流于形式。我们一定要有这个意识,不能为了追求工作效率,而一味简化工作流程,虽然业务流程增长,会影响到组织的工作效率,但是,为了防范有可能出现的重大风险,有时牺牲工作效率是必须的。
四、信息与沟通
从某种程度上这可以看作是内部控制的神经系统,它要求企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。正确的信息与沟通,一是可以提供充分准确的信息资料,用于公司正确决策;二是整个组织统一思想、行动一致的工具;三是可以在组织成员之间建立良好的内部人际关系。要达到好的沟通效果,必须要有发送、传递、接收和反馈四个闭环管理,如果只有发送和传递,没有接收或反馈,那么即使有问题也不会再有人反映,久而久之,积少成多,终将酿成大错。
五、内部监督
是指企业应对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进,这是企业实施内的重要保证。内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。专项监督是指在企业发展战略、组织结构、经营活动、业务流程,关键岗位员工等发生较大调整或变化的情况下,对内部控制的某些方面进行有针对性的监督检查。中航油事件最为重要的一个原因是内部监督未到位,集团总部派出的两任财务经理被随意更换,其从事场外期权交易没有在财务报告上披露,也未向集团公司报告,而集团公司长期未对其进行审计,任其作为。南航集团几十亿的委托理财业务集中于公司2-3个人的运作,企业决策层、党委、内部审计监管没有跟上,虽然不能肯定存在管理层纵容,但是可以肯定地说是对重大投资监控不到位。这些惨痛的教训,无一不说明了对于整个企业来说,有一个完善的制度不等于有了好的执行效果,目前执行较好也并不等于未来会执行到位,因此,监督是管理过程持续最长的一种功能,用来确保公司内部控制制度持续有效执行。
内部控制知易行难,从人的本性来说,谁都不愿被牵制和管控,因此,内部控制管理的压力是来自于外部而非组织内部,内部控制的实施远比想象中的复杂和困难。如何将内部控制的要素、理念、框架、结构与企业的实际经营活动结合起来,将内控的设计、评价、改进真正落实,是一项长期而艰巨的任务。引用前高盛CEO亨利·保尔森的用人与制度制约之哲学:“你不能仅靠规则,最重要的是要拥有诚实的、有能力的商业领袖。但要把他们置于一个系统,有足够的检查和平衡,就可以得到最佳结果”。