山亦萌

 

  某国际体育集团财务部总监  CMA

 

  本文整理自“IMA管理会计大咖云讲堂”

  

       01.什么是内控?

 

  国家法律法规、军队纪律约束、学校校规校训,这些其实都是内控的具体体现。对于企业内部控制,国资委、证监会、五部委等都做了相关规范定义,并发布了指引。上海证券交易所、深圳证券交易所,以及中国香港和中国台湾地区也都有针对上市公司内控的相关指引。世界范围内最著名的就是美国的萨班斯法案(Sarbanes-Oxley Act,简称SOX)。国际内部审计师委员会(Institute of Internal Auditors,简称IIA)对于内控的定义是,确保组织达到运营效率和效果,财务报表的可信赖,符合法律、法规及政策等目标的过程。对于一个组织来说,内控包含了与控制风险相关的所有事情。

 

 

  我国各内部控制指引中,对于内部控制的定义有类似表述:为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排;遵守国家法律、法规、规章及其他相关规定;提高公司经营的效益及效率;保障公司资产的安全;确保公司信息披露的真实、准确、完整和公平。

 

  企业在经营发展中会遇到各式各样的风险,了解如何应对是很重要的。很多企业由于各种风险没有得到有效控制,导致了严重后果,比如客户集中、应收管理失效、盲目多元化、金融危机催化资金链断裂,导致企业倒闭;一味降低成本,对品质疏于检测,管理存在巨大风险,危机处理不当,致使企业破产;不了解国际商业规则,损失市场,被迫改换行业二次创业;管理层忽视信息反馈,技术导向不能满足市场需求,产品规划战略不统一,最终企业被收购;外汇对赌,对杠杆式外汇买卖合约的风险评估不足,企业被迫更名,产生减值影响。

 

  墨菲定理告诉我们,如果事情有变坏的可能,那么不管这种可能性有多小,它总会发生;没有人是主观想犯错误,但是客观上造成了这样的现实;如果不控制企业所面临的风险,损失会很严重;已知风险下的一些严重损失可以预见,但不是所有风险都能预见,所以需要尽可能地加强内控,对风险进行控制,把损失降到最低。相关的方式方法在企业中很常见,如通过信息系统、制度规范、流程管理等来规避或降低风险。企业文化是比较容易忽视的,它实际上是非常重要的组成部分,如果这部分风险没有管控好,会导致其他风险管控的失效。

 

  02.什么是SOX?

 

  2001年,安然、世通等世界知名企业曝光财务丑闻事件,使得整个资本市场的信心受到严重打击,投资者损失惨重。为了解决投资者信心的问题,当时美国众议院金融服务委员会主席萨班斯和参议院银行委员会主席奥克斯利作为主要的发起者,提案了萨班斯法案。该法案于2002年6月由时任总统布什签署正式生效。

 

  该法案认为,暴露的丑闻问题更多是由企业内部控制失效导致的,此前对于上市公司的要求更多的是财务报告方面,现在则要求企业更关注内部控制。因此,它的第404节要求公司年报中必须声明,管理层有责任建立和维护适当内部控制;管理层就公司内部控制和财务报告程序的有效性评价;外部审计师对管理层的内部控制报告出具审计意见。第302节要求CEO和CFO在季度和年度报告上签字,声明相关的内控程序是有效的。同时,法案指定建立了美国公众公司会计监督委员会(PCAOB)。PCAOB在审计准则第5号中指定,选用了美国反欺诈性财务报告委员会管理组织(COSO)作为上市公司风险管理框架。在当时的背景下,COSO首先提出了两个框架,分别是企业风险管理框架和内部控制框架。而COSO的三个目标、五大元素、17项原则也为内部控制体系搭建提供了指导。

 

  有统计数据显示,从2011年3月起,在美国上市的200多家中概股均不同程度遭遇做空机构挑战的情况,其中不乏比较著名的做空机构如浑水、香橼,他们专门调查中概股公司的管理漏洞,包括一些舞弊、欺诈的事件等,通过做空来获利。这些事件比较典型的案由其实就是由于公司内控制度、内控架构不完善,导致财务报表以及一些信息披露出现问题,而被对方进行质疑,进而导致股价受到严重影响,一些公司甚至会面临法律诉讼。在这样的情况下,想要挽回相关损失就要付出代价,聘请好律师、与所有股东沟通解释等,产生很大成本。这样的行为在美国涉及法律法案,惩罚会非常严重,甚至关联审计师也会受到一定惩罚。所以,在美国的中概股如果没有做好内控管理,就属于违规违法,对于公司高管和审计师,甚至对整个企业都将是灾难。

 

  03.内控和SOX的关系

 

  萨班斯法案是内控的一部分。这里以采购和销售环节为例,从采购环节来看,萨班斯法案关注的是,是否有采购审批;采购金额是否与审批一致;采购入账是否及时;账实是否相符。而内控还要更多关注采购是否必要;采购价格是否合理;采购品的质量如何;采购预算是否合理。从销售环节来看,SOX关注的是销售确认的依据、销售金额的准确性、销售数据的完整性、账实相符;而内控则还要更多关注价格调整的合理性、回款效率、折扣优惠审批,以及客户的背景调查等。与控制行为与财务报表有关的才与SOX相关,其他的部分则可能并没有被关注。对于一个企业来说,内控除了财务报告相关,还要更多地关注运营层面和治理层面。

 

  04.如何做好内控?

 

  很多时候,企业的寿命与内控息息相关。企业不论大小都有内控管理,只是有的企业没有把内控系统化、制度化、书面化。

 

  1.内控管理的重要性

 

  内控管理的好坏与企业的长足发展息息相关。做好内控可以满足财务报表的准确性和完整性,满足外部合规要求,提升企业经营活动效率和管理能力,对企业的持续增长和传承扩大具有积极意义。这是实现“人”治到“法”治的重要工具。

 

  作为管理层,首先要通过制度去管理,做标准化,控制已知风险和预判风险,最重要的是以身作则,并建立文化。这被称为“上层的声音”,需要向下传递这种价值观,企业所有员工照此执行,并承担相应责任。作为员工,要确保完成工作的同时,以更好的流程提高效率,同时反馈监督企业中的舞弊事件,提示管理层相关运营风险;作为治理层,要提供好的内部控制环境,告诉管理层和员工企业的价值观,如何发展,以及未来战略。通过这种方式帮助管理层和员工实现个人目标,让每一个人与企业共同成长,从中获益,实现多赢。

 

  2.如何做好内控管理

 

  内控管理的第一步是借鉴同行经验,学习相关理论,并结合企业自身情况“立规矩”。在执行内控时往往会遇到阻力,因为大家习惯了以前的操作流程,直接下达新指令和要求会有工作量增加的感觉,容易遭到排斥。因此,管理层在下达相关制度和指令政策时,一定要与员工沟通清楚,这是企业治理层面和管理层面的考量,让员工能理解和执行,而不要去挑战管理层的决策。之后是“行规矩”,管理层向下推行相关制度后,员工作为内控执行者要向上反馈,这样管理层才会知道制度流程是否需要调整。最后是“管规矩”,业务人员、财务部门、管理层、审计部门、审计委员会作为层层防线,确保内控管理的落实到位。

 

  内控一定要设置好三道防线。第一道防线是业务人员,要按照制度执行;第二道防线是财务和内控人员,其中财务部门是惠及所有部门业务信息的重要部门;第三道防线是管理层、审计部门和审计委员会。

 

  3.内控管理实践经验

 

  财务信息普遍被认为是唯一能够客观体现企业运营状况的重要信息。很多相关指引都针对上市公司,使用者是一些投资者,但内控实际上是企业自身的内部控制,这就可能存在矛盾点。市场监管部门出台统一监管标准,但企业在执行时会有很多问题。企业为了市场合规,有时候可能会损失一部分效率,往往会让业务部门反感。内控是为了控制风险,但不可能把所有风险都消灭。COSO企业风险管理的定义中提到,企业要有自身的风险评估,哪些风险不可以有,哪些风险可接受,就像不同人对待投资的不同态度,也就是风险偏好不同。

 

  比如,一家上市公司A在做内控审计时,审计师提出意见指出,有些库房的相关管理审批手续不全,按照规定需添加审批签字环节。管理层为了达到合规,做了内部的流程调整,但当销售人员急着把货物交给客户,以保证获得销售收入、增加现金流时,想让产品出库需要层层审批,无法达到客户要求。销售可能直接向库管部申请先出货再补手续,但库管人员则表示不能违反制度,必须先通过层层审批。这就是内外需求的一个矛盾点,管理层在确立制度时仅考量了向外合规,忽略了企业自身业务及风险特点。对于公司A的来讲,首先应判断这种情况发生的频率,现有层层审批的方式是否真的合适,如果是个别情况是否有应急机制。

 

  做内控也要有灵活度。从内控机制上,可以将一些权力下放到相应部门和相关职能人员,但权力和风险偏好也应对应,以此来减少审批环节。同时要规范相关管理人员的行为,确保在审批时清楚底线和审批原则。而企业审计部也要定期核查相关部门领导是否按照制度执行审批。内控要根据企业管理层的需求和自身特点灵活使用,否则可能会背离内控的另一个目标,提高企业的运营效率。对于管理层来说,不单要“管” ,更要“理”。