深度:一文读透企业内部控制的前世今生(下)
一、内部控制的前世
1、内部控制的由来
2、内部控制设计的初衷
3、内部控制理论的历史发展
(请参见上期文章)
二、内部控制的今生
我们以新世纪为一个标志点,把2000年之后至今的内部控制发展阶段,称其为内部控制的今生。
1、21世纪初的系列财务造假案
2001年,新千年伊始,对于美利坚合众国来说,可谓流年不利、祸不单行,先是遭受了在美国本土历史上影响力最大的911恐怖袭击,对美国政治和经济各个领域造成了极大的影响。紧接着又发生了以安然事件为代表的一连串大型公众公司财务造假的事件,重创了美国资本市场和全球投资者的信心。
2000年,安然公司位列世界500强第7位,曾一度是全球最大的能源交易商,对于这样一个巨无霸企业,突然在2001年宣布破产,让所有人始料未及。安然的股票价格也从最高每股将近100美金跌至26美分,让手中掌握大量安然股票的机构投资者和普通投资者血本无归。
投资者不禁追问,这么个庞然大物发展到这么严重的破产事件,为什么前期一点征兆都没有,财务数据为什么没有一点反应?实际上,安然从1995年开始由于投资的连续失误导致公司的业绩一路下滑,公司的管理层为了稳定投资者信心和股价、兑现管理层的绩效奖励,采取了铤而走险的做法:通过虚增收入和关联交易等手段对损失进行掩盖,用造假的财务数据粉饰财务报表,并买通了其外部审计机构-安达信会计师事务所(Arthur Andersen)对其出具了无保留意见的审计报告。安达信作为当时全球五大会计师事务所之一,由于在此次安然事件中扮演了帮凶的角色,安然事件发生后,安达信也跟着安然的破产而倒闭了。
安然事件的出现,也凸显了美国社会的“数字迷恋”程度,认为只要通过研究企业报表就可以掌握一家企业的经营情况,这种迷恋来自第二次世界大战中,美军通过精确的数字计算从而在战争中取得的最优化作战胜利。战争结束后,数字化的管理模式传入了企业管理领域,助推了几个大型企业的崛起,让美国人陷入一种认为可以通过数字看到一切、洞悉一切、掌握一切的幻象中,著名的质量管理专家戴明更是说出了“除了上帝,任何人都应该用数据说话”的名言。所以,安然公司虽然过去这些年经营一直滑坡,但利用财务数据造假粉饰报表的手段也撑了超过半个时代而没有被人察觉。
另外,造成安然接连出现失误而业绩大幅下滑的原因还包括安然的激进的企业文化。在安然,经营者追求的目标就是“高获利、高股价、高成长”。安然公司的主管们建立了以盈利增长为核心的文化,安然鼓励的是不惜一切代价追求利润的冒险精神,用高盈利换取高报酬、高奖金、高回扣、高期权。安然事件从外部和表面上看是内部控制出现漏洞,导致财务报表没有真实反映公司的实际经营成果,从本质上看还是败在了从战略到投资、从经营到文化的风险管理失效和失衡上。
安然事件发生后,众多美国全球知名公司都接连被爆出财务造假的事实,包括世通、施乐、默克、强生、IBM、思科、摩根大通等,其中部分公司也申请了破产保护,世通的破产规模更是超越了安然公司。
2、萨班斯法案(Sarbanes-Oxley Act)的出台
2002年,美国国会称这一系列的财务造假丑闻“彻底打击了投资者对美国资本市场的信心”,为了挽回全球投资者的信心,国会的参议院和众议院联合以最快的速度起草并提交了萨班斯法案,最后法案由时任总统布什签署生效,布什称其为:自罗斯福总统(颁布了证券法)以来美国商业界影响最为深远的改革法案。
萨班斯法案中明确提出对于公众公司建立和保持内部控制有效性方面的强制要求,提高企业财务报告和审计的质量和透明度。如其中的302,404,906条款都是和内部控制紧密相关的内容,并且制定了非常严苛的惩罚条件,这也是让所有公司管理层都特别重视的原因之一,篇幅原因我们就不展开说明了。
在执行过程中,美国证券交易委员会(SEC)唯一推荐使用的就是我们前面提到的COSO在1992年发布的《内部控制-整合框架》,同时萨班斯法案的404条款最终细则中也明确表示COSO内部控制框架可以作为评估企业内部控制的标准。这让COSO的内控框架名气大增,对其发展成为全球内部控制框架权威参考文件起到了巨大的推动作用。
从全球范围来看,除了COSO的内部控制框架,各个国家其实都发展出了相关的内部控制相关文件,如英国的Turnbull、加拿大的COCO、南非的King、日本、韩国等等。中国香港颁布的《公司管治常规守则》中,也明确要求了关于内部控制的内容。上面这些提到的内控框架中有一部分是参考采用了COSO的内控五要素框架,有些则没有。
3、中国内部控制体系建设
2008年,在前期国家各部委和部门发布的内部控制文件的基础上,中国财政部参考了COSO的5要素内控框架,经过几年的调研起草,联合证监会、银监会、保监会、审计署等5部委发布了《企业内部控制基本规范》。2010年,又出台了18项具体业务的《企业内部控制应用指引》和《企业内部控制评价指引》及《企业内部控制审计指引》,标志着中国企业内部控制进入标准化、常态化的发展阶段,我们也将这套文件称作中国版萨班斯(C-SOX)。其实,财政部在正式出台这些文件之前就发布过不止一版征求意见稿。2006年,我们协助青岛啤酒建立内部控制体系时,就是参考的其征求意见稿文件。
2010年内部控制体系文件发布后,由于境内外同时上市的企业在赴海外上市时,经历过一次内部控制的审核历练,所以这些企业被作为第一批按照中国模式要求建立内部控制体系,并逐年扩展到国内主板上市公司和非上市大中型企业。
2010年后,在中国执业的会计师事务所及相关咨询公司迎来了一波由于内部控制监管要求推动的业务增长期。2012年,财政部和国务院国资委联合发文,推动中央企业用两年时间建立覆盖全集团的内部控制体系。2014年,财政部又出台了《行政事业单位内部控制规范》,要求所有党政机关和事业单位建立健全内部控制体系。至此,中国的内部控制体系建设全面铺开。
4、2013年COSO内部控制框架的更新
时隔20年后,COSO对其第一版发布的具有国际影响力的内部控制框架进行了更新。针对原有5要素的立方体框架没有做根本性调整,只是对更新文件采用了国际通行的要素加原则的书写方式,详述了企业内部控制的5个要素20个原则以及82个关注点。
由于中国在推行2008及2010年财政部发布的内部控制框架,所以尽管财政部引进并组织翻译了COSO2013年的更新文件,在中国企业界并没有引起更多的关注。财政部也解释称在起草中国内控文件时,新版COSO内控框架的更新内容已在考虑范围之内,因此中国的内部控制文件无需更新。
5、东西方对内部控制体系的理解差异
根据这么多年协助企业实施中外企业内部控制框架的经验,结合自己的思考,我们来分析下中国的内部控制体系和西方的内部控制体系到底有什么差异?
首先,我们通过上篇和这篇文章的讲解,我们能够看得出来,西方内部控制的发展历程,从牵制到财务、审计到控制,从安然事件到萨班斯法案,有一个显著的特点,这些要求就是为了使企业达到内部控制设计时的一个最基本的目标-财务报告目标。企业建立内部控制的体系首先保证财务数据的真实性和可靠性,但是财务数据是否真实可靠,不仅仅和财务部门相关,很多有价值的数据都是在运营中生成,和业务紧密相关。从这点出发,内部控制又向业务端进行了延伸,所以在执行萨班斯内部控制项目时,虽然有些内容是与运营和合规目标相关,但也是以财务的视角进行的审视。
从西方的投资者角度而言,财务报告可以说是其判断一个企业是否具有投资价值的最重要的依据材料,所以监管机构必须以一种强制要求的形式使企业保持有效的内部控制来更好的保护投资者。对于监管机构来说,这就是最核心的目的。所以,对于一个美国上市企业,事务所要给出内部控制是否有效的结论,需要按照财务报表划定范围,对重要的业务循环进行大量的抽样测试,合理保证从业务端到会计科目的数字是准确可靠的。
而中国的内部控制体系,与西方不同的是,我们投入了大量的精力,发布了十几项具体的业务内部控制指引,虽然我们采用的是比COSO更全面的五目标体系,但实际执行的过程中,我们的目标定位从财务报告目标转向了具体业务控制。
坦白讲,这样的一个变化是有利有弊,从我们分析安然的案例看,导致安然破产的根本原因是业务风险控制出了问题,而后通过会计造假进行的掩盖,这样来看,财务报告的真实可靠并不代表业务风险控制的好。所以中国的内控体系从财务报告转向业务,应该是更接近风险的本源,这是有利的一面。
不利的一面是什么呢?前些年西方的内部控制体系推行过程中,为了达到财务报告真实可靠的目标,积累了一套最佳实践,所有的工作都是冲着这个目标来的。现在我们的目标转向了业务控制,目前并没有一套成熟的最佳实践明确的告知,在各个业务角度来看,怎么叫好?怎么叫不好?怎么评价?怎么审计?怎么叫合规?工作量到底有多大?在这些问题没有被明确的定义之前,企业搭建一个内部控制体系的灵活度会非常大。反应的直接一点,这些不确定性会造成咨询机构在市场上乱开价、乱竞争的现象。前些年,国内的一些海外上市的公司需要花费上千万完成内部控制体系的建设,而这几年,国内的上市公司甚至花几万都能有机构愿意协助,就是上面提到的这些原因。其实这些,并不利于企业内部控制体系的真正落地和发展,妨碍了企业真正掌握和理解这套体系的价值和精髓所在。
为了让大家看得更直观,我绘制了如下的一张图来表达:
三、内部控制的未来
我们用了两篇文章的篇幅介绍了内部控制的前世今生,以及目前国内实施内部控制过程中存在的一些问题,目的是让大家可以从一个更全面的角度认识企业内部控制。目前看来,企业还远远没有认识到这套体系可以带来的价值。根据我这些年和数十家中国的大中型企业的深入接触的感受,中国企业的平均管理水平真正做到现代化、科学化和精细化的程度还有很大一块距离,而企业内部控制这套体系提供了一个全视角的控制要素集合,对完善企业现有管理要素有非常积极的作用。
1、一套成系统的规则体系
企业内部控制体系中包含了关于审批、授权、关键控制点设置等一整套和公司制度、流程相结合的要求,不仅强调制度的设计,也强调制度的执行,这实际是在帮助企业建立一套规则体系。而以这套规则体系来看中国的很多企业的管理,都不合格。对于部分管理活动而言,有的企业是没有规则,有的是规则本身设计不具操作性,有的是有规则不执行,无论哪里存在灰色地带,哪里就有可能成为管理缺陷和业务失控的区域。企业内部控制其实是要帮助企业建立一套“有法可依、有法必依、执法必严、违法必究”的管理机制。
2、一套企业管理的基本功体系
我经常和企业交流,中国发布的内部控制体系文件,提供的是一套企业管理控制的最低标准、及格标准,并不是最高要求,但是最低标准是底线、是基本功,对于企业来说是不可或缺的,无论是初创型企业还是大中企业,越早接触越好,越早融入管理体系越好。
前段时间写了一篇关于中兴事件的案例分析文章,我说中兴事件暴露了中国企业管理软实力的脆弱性,而提升软实力最重要的是要把企业管理的基本功打好,企业内部控制提供了一个很好的建立企业基本功的方法和路径,是一个很好的切入点。
3、一套精细化的管理体系
前些年有一本比较火的书叫《细节决定成败》,中国企业也曾经刮过一段时间的精细化管理、精益化管理的变革思潮。由于中国特殊的文化背景,中国企业实现精细化管理的路途不会非常平坦,管理界说,你所忽略的细节,你的敌人会告诉你。中航油事件陈九霖先生回忆说:魔鬼都藏在细节里!所有这些,都告诉我们企业管理要横到边、纵到底、360度无死角才能保证企业发展处在可预期和可控范围内。企业内部控制体系和所有业务融合并提出具体的控制规则,从这一点来说,企业内部控制体系可以作为建立和完善企业精细化管理的一套工具在企业实施。我们不仅在尖端的技术领域需要核心竞争力,在管理领域也需要形成自己的核心竞争力,而这,涉及更广泛的中国企业。
很多同仁询问何时能讲一下具体各个业务如何进行内部控制体系建设,我们先让大家从大背景和宏观把握内部控制,各个业务板块属于操作层面,市面上有很多材料可以参考,等日后有时间再展开细节!
经典阅读:
ISO31000:2017《风险管理原则与指南》送审版先睹为快