最近拜读了锐思高垚博士原创的一篇《【观点丨高垚】内控是把双刃剑,不是所有企业都需要! 》 的大作(以下简称“高博文”),其中重点提及了“信任”、“成本”等关键词,并且对“企业是否需要内控”这一深刻命题进行了讨论,得出了“并不是所有的企业都需要内控”的核心结论。
高博文的开篇提到“前段时间有一个朋友问我,他们公司准备开展内控建设,具体该怎么做?我问他公司成立多久了,他说6个月。我问他现在公司多少人了,他说7,8个人。于是我立马打消了他的念头:你们公司还处于初创期,这个时候需要的不是内控,而是信任;如果一个初创的团队连相互间的信任都没有,还需要内部控制来相互制衡,那么你们公司也走不长远。”——综合全文内容,这段文字应该体现了高博文的中心思想,核心观点包括:1)公司成员间的信任与内控是互斥的概念;2)内控的主要(即使不是全部)内核在于“相互制衡”;3)特定特征的企业可能因为“搞内控”而“走不长远”。
先抛开高博文本身的观点正确与否不说,关于内控与信任的关系、内控与企业特征(如企业规模大小、是否处于创业阶段、家族化程度高低等)以及内控实施成本的关系,在理论界和实务界确实多有争议,我也借这个机会,谈谈个人看法,并与高博士及各位专业同仁商榷,商榷邮箱ken.feng@zentc.com。
一、先说说企业内控本身
1992年,COSO委员会提出“内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”
我国《企业内部控制基本规范》第三条提出:“本规范所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。”
基于上述内控定义和COSO 五要素(内部环境、风险评估、控制活动、信息与沟通、内部监督),我们能够提炼出的内控内核至少包括:1)以企业目标为出发点、由企业全员参与的、合理保证目标实现的过程;2)内控的功能在于实现风险管理,要求企业有意识地去识别/评价风险并根据评价结论设置控制措施(这里包括根据风险评价结论采取“接受风险”策略,而不采取专门控制措施的情形),控制措施的具体选择则由企业根据自身风险承受能力、风险偏好等因素酌情判断。
综上,笔者认为高博文中着重强调的“相互制衡”(在具体操作层面集中表现为“授权”、“职责划分”及“不相容职责分离”,其中“授权”及“职责划分”同时涵盖了确保业务执行力的功能)只是内控体系下一类常见控制手段,甚至不是必须正式制定的内控措施。例如在人数很少的企业,企业成员完全可能在日常工作中通过相互直接观察就实现满意的相互制衡,无需再专门设置正式的制衡机制。
在《企业内部控制基本规范》 第四条中所提出的“制衡性原则”,也在考虑重要性原则/成本效益原则的同时,非常明确地提出了“兼顾运营效率”。
高博文中所述的“如果一个初创的团队连相互间的信任都没有,还需要内部控制来相互制衡,那么你们公司也走不长远”、“企业所有者面对信息不对称和委托代理机制,必须采取一个有效的制衡制约机制来防范和协调个人利益与公司利益的矛盾,这就产生了内部控制”,这样的表述几乎将内控等同于(相互)“制衡”,显然混淆了目的和手段。
二、内控与企业特征的关系
毋庸置疑,内部控制作为企业管理风险的技术手段,其具体形式/重点当然因企业的行业/发展阶段/所有制特点等因素的不同而不同。但在必须有效管理风险这一点上,各类企业则完全一致。
处于创业初期的企业,其内控体系往往存在不稳定的特点,这非常正常。常见的原因包括:1)战略初期,经营目标本身也不一定非常明确;2)业务模式本身在不断摸索当中,究竟存在什么重大风险,企业自己也在摸索;3)即使对已识别的风险,究竟该怎么制定控制措施,企业也需要不断试错。正因如此,创业初期企业必须关注并持续管理自身面临的各类风险。风险是客观存在的,不会因为企业处于创业期就会自动网开一面——诸如包括资金链风险、知识产权风险、税务风险、股权争议风险在内的各类风险,已让大量创业初期企业折戟沉沙。高博文中,除了后文将要讨论的“效率风险”/“生存风险”,对于创业初期的企业的具体风险讨论基本集中于“资产安全风险”,而且提出“因为公司的人员有限,管理幅度小,每个人做什么大家都充分了解,所以也并不需要额外的制约机制来防范”。由于这段表述本身逻辑漏洞太过明显——比如:如果对一家初创的野生动物园来说,除了“资产安全”,肯定还要考虑“猛兽伤人”风险;“资产安全风险”也不都是由于公司人员的行为“不被其他成员了解”而引发,也可能是发生了意外火灾或者城市内涝——笔者更愿意相信这是由于高博文篇幅所限未展开讨论所致。
笔者有位童年伙伴,从2014年开始与2位朋友合伙开了一家淘宝店主攻妇婴服装,生意蒸蒸日上,然而在2015年,其中一位合伙人私自挪用账上资金逾20万,友尽不说公司几乎停摆。事件平息之后,合伙人修改了资金转账规则——超过一定限额资金,每位合伙人分别掌握几位密码,付款时都到现场按顺序输入密码,且银行账户资金流水信息手机短信自动发给每位合伙人,这一规则沿用至今。
高博文中对创业初期企业“生存”、运营“效率”的强调(引原文:“此时管理者考虑更多的是企业如何生存下来,即如何在市场环境的剧烈变化中快速做出调整,所以这个时候效率高于一切”),笔者认为可以理解为高博士将此类风险(表现为由于执行效率低下等原因导致丧失商机/市场份额等后果)评价为重大风险,在此基础上的推导应该是:1)创业初期企业需要对此类风险进行重点管控;2)具体控制措施的设计要尽可能减少对时间的消耗。同时,将此类风险评价为重大也并不代表创业企业不需要关注其他风险(如前文所述)。但高博文据此得出“对初创期的企业来说,内控基本不需要”的结论,不符合逻辑。
另一方面,无论在企业初创期还是在家族企业,具有前瞻性的风险预判并采取措施都是有价值的。由于在企业发展过程中缺乏对各类风险的有效预判及处置、导致严重后果的典型案例不胜枚举。
在2011年胡懂志诉原大中电器创始人、国美电器时任董事会主席张大中一案中,大中电器初期融资协议及后续履行程序的不规范不完备性是本案法律纠纷产生的主要原因。胡懂志起诉的事由是,1987年其与张大中签订的一份《张大中与胡董(懂)志合作协议》,《合作协议》约定:由原告“胡董(懂)志投资人民币三千元”,“大中电器支付全部利润的百分之十五于(予)胡董(懂)志”,“利润根据资金周转情况发放”。按照胡懂志的起诉请求,其向一中院起诉的第一被告人是张大中,第二被告人是北京市大中电器有限公司,胡懂志要求张大中向其支付合作利润7000万元。
在“真功夫”,蔡达标潘宇海的股权平分结构及战略思维所存在的重大分歧,为后来夫妻反目、公司内无休无止的内斗埋下了伏笔。
进入2000年后,中国联想要进军国际市场,但沿用18年的英文标识“Legend”已在多个国家被抢先注册,2003年4月,联想集团在北京正式对外宣布启用集团新标识"Lenovo",用"Lenovo"代替原有的英文标识"Legend",并在全球范围内注册,代价不菲。
三、内控与信任的关系
从整体上看,笔者认为内控和信任绝非两个互斥的概念,具体表现为:1)信任是企业内控体系运转的基础;2)与信任有关的风险,应该纳入内控体系的管理范畴。缺乏对于信任的有效管理,本身就是一类典型的企业内控缺陷。
企业作为“一系列契约的集合”,各个主体的合作必须建立在一定的信任基础之上。在企业具体岗位层面,在企业能够监控的活动范围之外,至少隐藏着两方面的信任:1)你能做好(专业能力);2)你愿意做好、不会胡来(职业操守)。
在企业成员间完全不信任的前提下,企业内的任何一项活动都将付出极其高昂的监督成本,这种情况下企业内控确实是不存在的,因为企业本身就不可能存在。在企业运营必须存在信任的条件下,内控体系需要将信任因素纳入其管理范畴,具体体现在:
在企业日常运营层面,对特定人员更多的信任通常意味着更多的授权、更少的复核/检查/监督。从严格意义上说,信任在降低业务执行成本的同时,可能导致相对更高的风险后果(存在“对方实际上不能够信任”的概率,比如诸葛亮信了马谡,失了街亭)。对于任何特定人员的信任程度,都可以视为是企业基于上述关系(执行成本vs.风险后果)进行评价的结果。将“信任”或者“不信任”绝对化,都属于文字游戏。
信任本身与“亲兄弟明算账”也不矛盾。笔者所接触的若干家族企业,对特定家族成员的业务授权都限定在一定的业务领域之内,如一类原材料的采购,一个区域的销售渠道管理。而在具体业务中,无论前端业务放手得多么彻底,但在重大合同签署、资金支付等环节,企业实际控制人还是要亲力亲为的。
笔者认为,内控不存在所谓“人不可信”的基本假设(见高博文),而是在“风险导向”视角下,内控需要充分考虑人的道德风险(如COSO2013版框架原则#1-组织明确承诺将遵从职业操守及道德规范;原则#8-组织在评价威胁组织目标实现的风险时,考虑潜在的舞弊。详细分析请参看笔者拙文《最新2013年COSO框架“17条核心内控原则”:分析与应用》),并且通过一定的控制措施使信任本身具备基础。从实践的角度,对信任基础的管理来自事前评价、事中强化和事后反馈。
围绕信任的事前评价。企业选人时常见的履历考察、熟人推荐、面试沟通,都可以视为企业对特定人员是否应该信任的评估程序。即使在家族企业中,对亲戚的选用及具体职责的分配,想必也要充分评估特定亲戚的“亲情基础”(直系/旁系)和“品行秉性”。笔者所接触的一家企业,要求应聘财务人员必须会说正宗本地方言,以便对其家庭背景“知根知底”。高博文里引用了“用人不疑”、疑人不用”,但“疑人”就“不用”,不正是体现了这种用人前的信任基础风险评价思维吗?
围绕信任的事中强化。大量企业持续实施的在岗职业操守宣贯等文化建设工作,就是强化信任基础的一类管理实践。笔者接触的另一家民营企业,实际控制人每个季度都要开一次高层恳谈会(请注意这个“恳”字),会上与企业中包括家族成员在内的企业骨干充分交流谈心,强调创业之艰辛、对在座各位感情之深厚、并同时听取意见。笔者认为这就是实际控制人在夯实信任基础的一种努力。
围绕信任的事后反馈。在既定信任关系的基础上,特定人员“是否应该继续被信任”本身就是一个不断得到评价的过程。企业广泛采取的内部审计、沟通、业绩评价等操作,即是在事后对这种评价的现实管理操作。这些管理操作所反馈的经营业绩、工作规范性以及在一些重大事项上的工作表现等,都是企业调整对特定人员信任程度/范围的决策依据。例如,2011年2月,阿里巴巴B2B平台供应商欺诈案曝光之后,CEO卫哲、COO李旭晖引咎辞职。
综上,关于内控和信任的关系,可以用“内控≠不信任”和“信任≠不控制”进行概括总结。
围绕上述观点,我国《内控基本规范》中的相关内容如下:高博文提出“作为一种手段,内部控制的实施成本是非常高的”,内控的高成本应该就是高博文所用的比喻“双刃剑”中可能伤到自己的那个“刃”。
从商业决策的角度,单纯讨论成本本身的高低没有太大意义,内控成本必须结合内控收益来讨论,内控收益又取决于通过控制措施降低风险的程度(控制措施的有效性)以及风险本身的重要性(发生概率与发生后的后果严重性)。分析重点在于:1)收益是否大于成本;2)收益一定的前提下如何减低成本;3)在成本一定的前提下如何提高收益。在具体的内控操作中,对这些事项进行科学有效的评估恰恰是企业内控人员/外部专家必须根据企业实际情况认真求证、审慎判断和谨慎取舍的内容。比如,为了防范伪钞,煎饼摊可以买一台先进的验钞机,也可以选择目测“查水印”、手工“摸质感”。从财务角度,前者成本无疑高于后者,但前者控制效果通常也会优于后者,如何选择,见仁见智。
至于高博文中所提出的三个“必须”(即“企业管理者为了保证内控这一手段的有效性,必须在原本简单的流程中追加很多的控制性活动,从而降低了业务的效率;必须增加额外的复核、检查、监督人员,从而增加了人员的成本;必须建立部门和岗位的分立和制约,从而降低了公司的市场反应速度”),不仅显得相当教条,而且正是在内控实践中应该尽量避免的“过度控制”(包括针对非重大风险采取过于严格的控制策略、设置风险管理效果甚微的冗余控制措施等)及“形式化控制”(形而上的、或如“只有xx样的内控才算是内控”之类的观点)倾向。
以观察到的一些企业“内控高成本”(比如企业在美国公开市场上市、需要满足SOX法案苛刻的内控合规要求)得出另一些企业“不需要搞内控”的结论,存在着显而易见的逻辑谬误。好比,天气寒冷,有人穿高档羽绒服御寒,而高档羽绒服的价格很多人无法承担,应该得出的结论应该是“不是每个人都适合穿高档羽绒服”(可以考虑穿破棉袄),而不是“不是每个人都适合穿衣服”或者“不是每个人都需要御寒”。衣服类型是可以选择的手段,而御寒是源自生理需求的目的。五、任何企业都需要内控,但必须注意具体内控措施的选择为了说明标题观点,笔者选择前文已经提及的笔者所在小区煎饼摊作为示例。选择理由是此煎饼摊具有如下特征:1)规模迷你,就两个人;2)家族管理,夫妻老婆店;3)相对于“黄太吉连锁”,煎饼摊可以牵强地理解为初创阶段。基于内控体系(仅引入部分核心要素)的简单分析如下:综上,笔者认为,任何所有制、任何发展阶段的企业,为了实现其自身长期良性发展的目标,都需要建立相应的内控体系,且内控体系的具体形式特征应该符合企业的实际情况(例如,在并没有建立董事会的企业,与董事会相关的很多内控操作就应被视为“不适用”)。
《企业内部控制基本规范》第二条:本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。
一门实践性极强的管理工具体系(正如高博文中也明确提出了“内部控制是一种建立有效的内控体系需要非常强的专业能力,当前中国企业确实存在高博士文中“很多企业将内控作为了管理的目的,为内控而内控”的情况,但笔者同时认为“企业可以不需要内控”的观点作为另一个极端,其危害性不亚于“为内控而内控”。
内控作为一门实践性极强的管理工具体系(正如高博文中也明确提出了“内部控制是一种管理的手段,而不是管理的目的”),完全没有必要对其陷入概念之争。当有客户抱着开放心态求教内控问题时,笔者建议专业人士不要简单地给出“您的企业需要内控或者不需要内控”或者“您的企业有信任就够了”之类的结论。专业人士不妨和客户坐下来细细交流一下客户企业的经营目标、业务现状、财务状况、人员配置以及所面临的管理难点等具体内容,进而梳理出一些典型风险进行专业探讨,这样可能更有助于专业价值的传递。
(感谢张烨星先生、王海军先生对本文的宝贵意见。本文文责由作者自负。转载请注明作者及出处。)
本文作者:冯萌 博士
上海阅洲咨询创始合伙人、首席培训师、国际注册内控师
南京大学会计学学士、复旦大学管理学院会计学博士,师从著名教授李若山。曾服务于德勤华永会计师事务所专业技术部。冯萌博士的风控咨询服务善于从特定企业实际出发,构造适合企业自身特色的风控体系,从根本上提升企业管理品质。目前已积累了超过200场现场培训经验,为超过100家企业成功实施财务/风险管理/内部控制培训。冯萌博士的培训注重案例教学与实践分享,深入浅出,生动活泼接地气,受到逾万名学员的广泛好评。
冯萌博士主讲的内部控制和风险管理课程将于2018年元月开班,对课程或国际注册内部控制师证书感兴趣的,可点击“阅读原文”或公众号后台留言,获取相关资料!
本公众号相关内控文章:
采购-付款业务中的舞弊风险预防
销售-收款业务中的舞弊风险预防
莫让风控体系成摆设
不得不防的内控“阿喀琉斯之踵”——农行39亿元票据案评析
内部控制十大漏洞
【内控连载23】“三无”财务总监的高薪秘密何在?
内控连载22:“螺丝钉”为何会生锈? ——5000万元资金挪用舞弊案的思考
内控连载21:我国企业内部控制建设若干问题思考
内控连载20:读《杜拉拉升职记》向500强外企学内控 之内控执行策略
内控连载19:企业授权审批体系的有关问题及实施路径
内控连载18:企业内部控制体系建设路径及启示(实操案例)
内控连载17:招标采购过程中的内部控制
内控连载16:(案例)药企GSK受贿门事件,暴露行业潜规则
内控连载15:采购业务主要风险点及应对
内控连载14:采购业务内控漏洞识别及应对(2)
内控连载13:采购业务内控漏洞识别及应对(1)
内控连载12:企业内部控制规范体系建设中的十大误区及防范
内控连载11:中国企业内控常见漏洞
内控连载10:销售业务主要风险点及内控要点
…………