中国企业内控现状分析

自上世纪90年代以来,伴随着经济的发展和改革开放的深入,我国企业逐渐开始重视内部控制和风险管理对企业运营的积极作用,这一方面是随着公司规模的日益扩大,出于应对日益激烈的市场竞争和满足业务扩张的需要,另一方面,其动力主要来源于国内外各种监管机构的要求。而目前,中国企业的内控水平差异化非常大,既有管理水平高,内部控制工作在国际上也处于领先地位的公司,也有内部控制基本缺失,管理还处在非常原始状态的公司。基于对中国企业的长期观察,我们认为中国企业从内控水平看,可以分为三个层级:

第一层级:中国在海外的上市公司,特别是美国、日本、香港上市公司,以及银行业

美国制定有《萨班斯-奥克斯利法案》,其404条款要求上市公司每年针对与财务报告相关的内部控制进行自我评价,并且需要由审计师出具验证意见。日本的《金融商品交易法》(称为“日本版萨班斯-奥克斯利法案”)也有类似要求。香港的《企业管治常规守则》和《香港联合交易所有限公司证券上市规则第21项应用指引》要求券商对将要上市的发行人的内部控制进行专项检查。因此,在海外上市的公司为了满足监管地的要求往往都建立了相对完善的内部控制体系。他们的成功实践对于现代企业制度的建立以及企业内部控制体系的建立都起到了先锋和表率作用。可以说,资本的“一视同仁”以及证券市场对不及格者“用脚投票”的机制,再加上日益明确的监管罚则(特别是海外市场)以及管理者自身意识的提升,使得海外上市公司内控整体水平普遍高于非上市公司。

然而,这类企业虽然具备相对完善的内部控制体系,但其内部控制体系一般侧重财务报告的真实准确性目标,对保证企业战略制定和实施、经营效率及效果、资产安全完整及法律合规目标关注不足,也缺乏完善的风险评估和应对体系。而银行业由于其行业的特殊性和高风险性,行业监管规定多、检查勤,因此其内部控制水平一般较高。

第二层级:中国内地上市公司及非上市大中型企业

上交所和深交所虽然相继出台了《上市公司内部控制指引》,但是一直以来还停留在上市公司自愿执行的层面。虽然上市公司普遍公布了内部控制自评报告,但是出具了针对内部控制的审计报告的公司尚在少数。因此,中国内地上市公司的内部控制水平总体上要低于中国在海外上市的公司的水平。但是基于监管要求和企业发展的需要,大部分企业已经着手开始内部控制建设。

在非上市公司中,我们注意到,企业在达到一定的规模(分子公司数量多、跨区域经营、跨产业经营)之后,由于其管理分散、难度大,最高管理层不易掌握下属企业的业务和财务信息,往往会出于自身的需要,提出内部控制的需求。因此,明显的,大中型企业开展内部控制工作相对较早。然而,由于缺乏外部监管要求,非上市企业的内部控制水平完全取决于其最高管理者的理念和意愿,因而既有内控水平非常高的企业,也有内部控制还处于初级阶段的企业。

第三层级:非上市的中小型企业

非上市的中小型企业的内部控制总体表现非常薄弱。这是由于,一方面,非上市的中小型企业规模一般较小,管理者往往可以通过集权化的管理严格控制企业的所有业务,因此企业一般是通过几个关键管理人员来管理企业,而没有把内部控制作为管理企业的关键。另外一方面,非上市的中小型企业往往还在为生存而努力,主要关注于盈利指标,对于不能马上见到经济成效的内部控制工作往往并不感兴趣。

海外上市公司内控存在的典型问题

以“合规”为终极目标,内控建设流于形式

这个问题主要表现在以下三个方面:

第一,为了实现内控体系建设的一步到位或“多快好省”地实现“合规”的目标,某些企业直接抛弃固有的管理基础而照搬所谓标杆企业的成功经验,导致内控建设与企业实际相脱节,后续落实及推广工作难以开展。

第二,按照合规要求,企业的内部控制偏重财务报告的真实、准确,而忽略了其它的管理目标。例如:关注了投资的计价及减值准备等会计相关控制,但是忽略了投资决策的科学性等问题;关注了应收账款的记录、对账、账龄分析、减值准备等控制,而忽略了客户信用管理等前端的控制。因此,内控对企业的价值未能全面展现,逐渐被认为仅是监督检查的工具。

第三,某些企业虽然花费大量的人力、物力完成了包括控制活动梳理、流程文档完善、控制有效性评估等内控建设的基础工作,满足了合规的目的,但事实上,管理层对内部控制并没有深入的理解,不能从业务出发识别风险,进而考虑控制活动的恰当性。这往往造成企业的内部控制永远跟不上业务的发展,每年由外部顾问或者审计师进行内部控制检查时,都会发现由于新增业务或者业务变化而造成的新的控制缺失。

缺乏明确的风险管理理念及风险管理体系

管控企业风险需要在企业内部树立明确的风险管理理念并建立有效的风险管理体系。在开放的市场经济环境下,风险无处不在。法律风险、市场风险、信息风险、投资风险、经营风险、财务风险等等,时时威胁着企业的生存和发展,稍有不慎,企业经过多年努力形成的成果就会被风险摧毁。

海外上市公司的财务相关的内部控制体系比较完善,但是这些控制仍然主要是针对工作细节的控制,高度不足。企业应该以风险为导向开展内部控制工作,尽快建立健全企业风险管理体系,通过控制程序和对程序的有效执行,洞悉风险因素的所在,并通过风险预警、风险识别、风险评估、风险分析、风险报告等措施,全面防范风险、应对风险、控制风险和化解风险,而不仅仅是关注某些具体的控制活动。

而有些企业虽然已经开展了风险管理工作,但是其对风险管理的认识往往还停留在对某个具体风险的管理,例如期货风险管理等。这些公司通常仅是为了满足“合规”的目标完成了控制活动的梳理,却仍未能站在战略的角度上关注风险,风险意识不强,风险分析和应对的能力不足。

内地上市公司及非上市大中型企业内控存在的典型问题

内地上市公司及非上市大中型企业更多的是出于自身的管理需求开展了内部控制工作,因而,其工作目标更加现实,往往更加关注业务领域,特别是本企业的特性强、风险高的业务领域的内部控制工作。但这类企业中同样存在着一些问题。

内部控制工作缺乏规划和体系

内地上市公司和非上市的大中型企业往往是基于自身需求开始内部控制工作的,很多企业是自己摸索着开始内部控制的建设。而由于内部控制相关知识很新,可以借鉴的企业又并不多,因此,很多企业的内部控制工作还停留在制度建设阶段,工作重点还是“头痛医头,脚痛医脚”,缺乏一套完整的体系规划,导致内部控制工作存在盲点,并且不能前瞻性地解决问题。

基层员工参与内控的积极性不足

控制环境是公司风险管理及内控体系所有其它构成要素的基础,为其它要素提供约束和结构。控制环境受到公司的历史和文化的影响。它包含许多要素,包括公司的道德价值观、员工的胜任能力和公司管理层管理风险的理念以及如何分配权力和职责等。一个有效的控制环境,首先依赖于员工对其职责和权利的理解,及其按职业道德要求行事的决心,简而言之,就是其参与内控活动的胜任能力与积极性。然而我们发现,很多民营企业,虽然管理层已经开始有意识地构建和完善内部控制体系,但是基层员工的参与并不积极。

造成上述问题的主要因素与民营企业的特点有很大的关系。

首先,集权化管理及“任人唯亲”的机制导致员工归属感不强,大多数员工认为企业的日益发展壮大给自己带来的薪酬增长与发展空间有限,内控体系的完善与自己关系不大;其次,一些民营企业存在过度宣扬创业者及领导者的现象,基层员工及中层管理者认为只需要跟着“老板”的路子走就没错,逐渐丧失了对风险的判断能力;第三,民营企业工作强度普遍较大,而严格的绩效考核以及相对于国有及外资企业偏低的待遇导致员工专注于埋头苦干;最后,民营企业对员工缺乏诚信是一个不容忽视的现象。民营企业主拖欠、私扣员工工资、不签劳动合同、有合同却不遵守、承诺的奖励不兑现等成为常有的现象,这些给民营企业的经营者带来极大的收益的同时,却给民营企业的员工带来了极大的心理伤害,进而损伤了基层员工参与内控的积极性。

基层员工参与内控的积极性不足往往还与企业最高管理者的带头作用有关。部分企业的最高管理者本身就不遵从内控制度,这在基层员工看来,代表管理者对内控的不重视,因此,也就不会有参与内控工作的积极性。

绩效考核注重短期业绩,导致内部控制失效

绩效考核是一项系统工程,涉及到战略目标体系及其目标责任体系、指标评价体系、评价标准及评价方法等内容,其核心是促进企业获利能力的提高及综合实力的增强,其实质是做到人尽其才,使人力资源作用发挥到极致。绩效考核实施的关键在于将长期与短期的经营目标相结合,将考核与沟通相结合。

但是在我国的民营和国有企业中均存在绩效考核过于注重短期业绩及业务考核主要关注收入、利润等财务指标,从而导致内部控制失效的情况。

其一:过于激进的业绩指标和巨额的绩效奖金容易导致管理层舞弊。

在某些企业,业绩指标与企业实际相脱离,为了能够完成过高的业绩指标,企业的管理人员在利润和控制发生冲突的时候,会形成集体性失语,造成内部控制失效。在我们的工作中,就发现某些企业的人员无视国家的法律法规,违规开展业务,或者进行不合法的“避税”。因此,面对巨大经济利益的诱惑,内部控制在这些领域被人为地放弃了。

其二:短期绩效考核导致企业仅关注短期利益,对企业长期发展的积累不足。

企业领导者围绕考核指标开展工作、安排资源是无可置疑的。如果企业的绩效考核主要关注短期绩效指标,那么必然导致企业的资源都投入到短、平、快的项目中。除非企业的领导者对企业具有高度的责任感和使命感,大多人会放弃那些可能对企业长期发展有促进作用但短期内看不到回报的项目。

某民营制造企业,每半年对组织结构进行一次大规模的调整,对中层管理人员的考核以季度及半年度为周期,如在此期间不能完成业绩指标,则面临被调岗,甚至解职的危险,因此在该企业急功近利的风气非常严重。例如,采购部门的考核目标是努力降低采购成本和提高供应及时率,因此采购部门不会关注关键原材料的质量稳定性,而仅以质检合格为目标,但通常该厂电子产品的使用寿命需要达到5年左右;再者以上述短期考核目标为出发点,采购部门不会着力培养与后备供应商的关系,一旦公司的既有供应链出现问题,则后续的排产、发货都会受到严重的影响。

公司治理结构不完善

良好的法人治理结构可以使所有者、经营者和债权人等利益相关团体相互制衡,是内部控制实施的基本前提。然而非上市公司的治理结构普遍存在着所有者监管缺位的致命缺陷。按照《公司法》的要求,董事会作为一个较高层次的监督和决策机构,应当与经营者形成一种相互辅助、相互牵制的制衡机制。虽然很多非上市公司满足了组织结构的形式要求,但是总经理由董事长或执行董事兼任,与经营者职能重叠,造成董事会与经理之间的权利制衡机制失效。这些缺陷导致控股股东享有对企业的实际控制权,企业也就成为控股股东追求小团体利益的温床,、无效浪费等现象自然就产生了。

财务基础较为薄弱,财务分析不足

某些非上市公司的财务管理还处于初级阶段,这种现象在非上市的民营企业尤为突出。由于这些企业基本是从粗放经营发展而来,追求利润和现金流,追求规模扩张是其第一要务。再加上大多数民企管理者在创业初期均是运营、管理一手抓,其对公司境况可谓了如指掌,这种先天的自信,导致这些企业从一开始即缺乏有效的财务管理。而对于某些国有企业,在管理者的固有观念里,财务管理的主要工作还局限于“整理会计凭证,编制财务报表”,“重记录,轻分析”的现象十分严重。

财务基础薄弱的表现在于:

其一:企业自上而下财务观念淡薄,整体管理水平落后,财务工作人员素质不高。

在非上市公司中,部分管理者文化素质不高,不具备现代化的经营管理理念。素质相对较高的高科技企业管理者,又普遍存在着长于技术而拙于管理的现象。很多管理者缺乏财务管理的意识,对企业财务管理的认识还停留在“记账”、“算账”上,存在着不依法建账、财务职责分工不清、突击做账、未按权责发生制核算、会计凭证不健全等现象。这势必会造成企业财务管理的无章、无序和混乱状态,导致暗箱操作盛行,企业信息失真,给财务工作埋下隐患。更为严重的是一些企业的财务主管人员也不具备相应的专业素质。在民营企业由于家族式管理,有些企业由管理者本人的亲属担任会计、出纳,甚至出现出纳人员领导财务工作的现象,而在一些监管机制不健全的国有企业,“任人唯亲”而非“任人唯贤”也在一定程度上存在。

其二:从财务管理环境的内部构建方面来看,非上市公司的财务核算制度不健全,财务监督控制机制薄弱。

企业的财务管理环境包括外部环境和内部环境两个方面,外部环境的构建主要依赖于政府政策的制定和相关机构的支持,而内部环境的构建则主要取决于企业自身的制度建设。我们发现,非上市公司在自身财务制度建设方面存在的主要问题体现在:(1)没有建立严格的财务核算制度,会计资料的真实性和完整性值得怀疑,包括账实核对、账证核对、账账核对在内的会计核算程序并不能得到保证,从而严重影响到会计资料的真实性和可靠性,进而使财务信息失去应有的经济价值;(2)内部控制和监督机制不完善。很多民营企业财务上的内部控制要么形同虚设,要么就根本没有设置。对会计职责的分工不明确,混岗现象普遍,即使是一些大型企业的会计职能分工明确,但没有严格的内部控制和审核程序,也无法形成对财务的严格管理,很容易造成资产的内部盗用和流失;(3)会计制度及会计体系不健全,大多数非上市公司缺乏完善的会计手册定义公司的会计政策、常规及非常规的会计处理、会计岗位职责描述及期后调整事项等重要内容。

其三:财务管理效能低下。

一些非上市公司虽然也会借助外部咨询顾问的力量确保会计信息的合法、公允和准确,但是在财务管理,特别是资金管理方面,仍然存在着显著的不足。例如:(1)对内对外资金管理不善,致使资金呆滞甚至流失。由于缺乏对客户经济实力的调查和信用的了解,草率发货,产生大额货款的长期挂账,催款无门。在销方面,企业大多缺乏统一指挥和计划,造成材料物资超储、成品库存积压严重,而且这些不良资产长期挂账,导致账实不符、财务状况虚假;(2)不注重日常现金流量的管理,营运资金波动大。很多民营企业缺少资金使用的长、中、短期计划,缺乏现金流量管理观念。特别是在经济繁荣时,企业可选择的机会多的时候,更容易忽视财务管理,盲目扩大生产规模,财务管理中存在的问题隐匿在盈利光环下。此外,许多企业在扩大规模新增固定资产时,动用日常周转的流动资金,压缩了营运资金,使资金紧张愈加突出,进而导致经营资金周转不灵,使企业无法正常运作。

信息系统常见的内部控制问题

对IT内控认识不足或存在偏差

对IT内控重要性认识不足 一些企业高级管理层对IT内控规划、风险控制缺乏细致的考虑。不少高层认为IT内控只是CIO或者IT部门的事,离自己很远。其不但不明白IT内控是怎么回事,更缺乏主动去了解的意识。

对IT内控的收益认识不足 部分企业,尤其是规模相对较小的企业,认为IT内控只会增加企业的人力和物力成本,无法给企业带来有效的价值或收益,因此面对IT内控建设的成本投入,望而却步。

IT内控流于形式 一些企业由于外部合规因素驱使,建立了IT内控体系,但尚未意识到IT内控对实现企业业务目标的促进作用,仍然采取比较被动的态度,把及时补齐外部审计师所要求的控制证据当成了IT内控的全部,内控彻底沦为一种形式和负担,丧失了其本身所应体现的真正价值。

未能建立完善的IT内部控制体系

缺乏IT内控实践指导和经验 很多企业已经意识到IT内审的重要性,但是苦于IT基础太差、缺乏相关经验和资源而不得不暂时搁置。也有一些企业虽有提升IT内控能力的意愿和规划,但却不知道从何做起。

许多CIO表示,不但缺乏实践经验,更缺乏实施起步的指导方向。虽然近年来与IT内控相关的COBIT、ISO20000等框架标准脍炙人口,但这些标准引入国内的时间不长,国内企业对其研究和吸收不足,许多CIO对这些框架和标准如何与国内企业特点相结合更是缺乏实践经验。

IT内控组织与职能不健全 一些企业已经建立了内控部门,但只专注经营风险和财务风险,忽略了IT风险,没有设置专门的IT内控岗位。也有一些企业虽建立了IT内审部门,但归属和报告关系不明确,IT内审既涉及审计又涉及IT日常运营,缺乏独立性,且在与业务部门协调方面缺乏能动性和影响力。

IT内控人员的知识结构有待完善 不少企业的IT内控人员是从IT部门转过来的,或者外部招聘的IT背景人才。但IT内控人员的企业业务知识相对贫乏,导致IT人员与业务部门人员的合规“对话”非常困难。而实际上,IT内控对人员的素质和能力要求相对较高,它不仅要求IT内控人员懂IT,还要求其懂业务、懂控制,绝大多数企业中缺乏这样的复合型人才。

IT内控缺乏持续性 一些公司把IT内控当成一个项目,经过半年或一年的努力,所有的流程都经过了梳理并文档化,每个人的分工、权限都被明确,于是项目一结束,项目组解散,IT内控也被束之高阁。如果缺乏有效的持续性内控管理机制来进行监督、审计、改进和完善,IT内控则必将前功尽弃。

IT治理不完善

IT分工不明确 作为业务支撑部门和传统意义上的成本费用部门,IT部门规模通常是被严格控制的,所以人手相对紧张。再加上一些企业IT管控本身就不够规范,人员兼职现象严重,相对赋予工作权限过多,同时又缺乏有效的审计与监控,导致相应的IT风险较高。而这种现象在国内公司里比比皆是。

缺乏完善的IT内控文档 有些公司在IT内控方面已经落实部分工作,但工作成果只是散乱的一个个表单,未进行有效的梳理和评估以形成完善的流程文档和控制文档,造成文档和知识管理缺陷,在面临外部检查或知识转移的时候措手不及。