邱燕娜

企業(yè)內(nèi)部控制作為公司治理的關(guān)鍵環(huán)節(jié)和經(jīng)營管理的重要舉措,在企業(yè)發(fā)展過程中具有舉足輕重的作用。特別是對上市公司來說,內(nèi)部控制不僅關(guān)系到上市公司的質(zhì)量和自身發(fā)展,更重要的是關(guān)系到廣大投資者的利益,關(guān)系到資本市場的健康發(fā)展。

解開法規(guī)遵從的困惑

《基本規(guī)范》的發(fā)布和執(zhí)行,標志著中國企業(yè)內(nèi)部控制規(guī)范體系建設(shè)取得重大突破。但是《基本規(guī)范》的遵從,卻給我國上市公司帶來不少的煩惱。這煩惱主要是因為目前《基本規(guī)范》還存在兩個困惑。

困惑1:指引未出怎么辦

盡管出于監(jiān)管的需求,美國薩班斯法案主要是要求上市公司財務(wù)報表的真實性,但是為了保證法案的有效性,還出臺了非常詳細的指引。雖然在發(fā)布《基本規(guī)范》時,財政部副部長王軍指出,要逐步建立一套以基本規(guī)范為統(tǒng)領(lǐng),以評價指引、應(yīng)用指引和內(nèi)部控制鑒證指引等配套辦法為補充的內(nèi)控標準體系,但是直到現(xiàn)在,這些指引尚未出臺。這也正是天士力的困惑?！艾F(xiàn)在無從判斷指引到底什么時候出來。”一位不愿意透露姓名的業(yè)內(nèi)資深人士這樣說。很多上市企業(yè)對《基本規(guī)范》尚處于觀望狀態(tài),期望進一步的指引出來以后再行動。

與美國薩班斯法案相比,我國的《基本規(guī)范》所涉及的范圍遠遠大于美國薩班斯法案?！鞍凑掌杖A、德勤的說法,美國薩班斯法案有9個內(nèi)控關(guān)鍵控制點,而我國的《基本規(guī)范》則有17類業(yè)務(wù)內(nèi)部控制關(guān)鍵控制點。”深諳美國薩班斯法案,并且做過很多相關(guān)咨詢工作的日立咨詢中國公司IT總監(jiān)江瑋介紹說。

但是,江瑋指出,無論是薩班斯法案還是《基本規(guī)范》,參照的都是COSO框架。所以,企業(yè)可以先參照COSO框架的需求來梳理業(yè)務(wù)流程。其實,現(xiàn)在很多IT廠商已經(jīng)意識到了這一點,比如說,用友軟件在其新推出的內(nèi)控與風險管理解決方案NC 5.5中,就涵蓋了COSO內(nèi)控與風險管理框架。

與此同時,IDS Scheer中國企業(yè)風險內(nèi)控與合規(guī)管理咨詢總監(jiān)彭炎認為,《基本規(guī)范》到底該執(zhí)行到什么程度,可參照美國薩班斯法案看出來。值得一提的是,IDS Sheer在國外已經(jīng)幫助很多在美上市的企業(yè)通過流程管理來實現(xiàn)薩班斯法案的遵從。

困惑2:時間緊迫怎么辦

盡管《基本規(guī)范》將于2009年7月1日在上市公司執(zhí)行,但是事實上,《基本規(guī)范》對2009年的年報并沒有提出需求,上市公司只要在2010年的年報中體現(xiàn)出《基本規(guī)范》的要求就可以了。所以說,如果在2009年7月1日前指引能夠出來,那么企業(yè)仍然有一年多的時間來準備;而如果指引沒有出來,那么針對目前相對比較粗放的規(guī)范遵從起來也比較容易。

彭炎指出,不管怎么說,企業(yè)的人力、精力有限,內(nèi)控管理能力的提升不可能一蹴而就,企業(yè)可以把目標定得高一點,但是要考慮到實現(xiàn)這個目標要有一個過程,可以先做一個框架,先規(guī)范化財務(wù)報表,然后在內(nèi)控管理水平提高以后再作經(jīng)營管理方面的細化。因此,江瑋認為,企業(yè)在內(nèi)控管理信息化建設(shè)過程中,應(yīng)該采取循序漸進的做法,總體規(guī)劃,按照緊迫性、重要性的不同分步實施。

不能為遵從而遵從

薩班斯法案的遵從是一個非常復(fù)雜的工程,而且需要耗費大量的人力和財力。據(jù)了解,通用電氣公司為滿足薩班斯法案而完善內(nèi)部控制系統(tǒng)的花費高達3000萬美元。高昂的合規(guī)成本導(dǎo)致包括華晨在內(nèi)的我國一些在美上市公司選擇了退市,也使得德勤、普華永道等一批提供相關(guān)咨詢的會計師事務(wù)所業(yè)務(wù)非常紅火。江瑋說,薩班斯法案遵從的成本很高,確實有點讓人怨聲載道。股民當然不希望上市公司造假,但是假設(shè)一個年利潤只有500萬元的企業(yè),卻要花費2000萬元來遵從法規(guī),這個企業(yè)將從一個本來盈利的公司變成一個虧損的公司,這同樣也是股民不愿意看到的。所以江瑋指出,上市公司在遵從《基本法規(guī)》的時候要避免舍本逐末。

與此同時,江瑋指出,如果企業(yè)的內(nèi)控管理完全是為了應(yīng)付上市公司的合規(guī)要求,那么內(nèi)控管理帶來的效果往往不會很明顯。但是,如果企業(yè)不是應(yīng)付合規(guī),而是真正為了減低風險和成本,那么內(nèi)控管理信息化建設(shè)能夠起到立竿見影的作用。

彭炎非常認可這種觀點。他指出,企業(yè)在引入第三方咨詢機構(gòu)將內(nèi)控體系建立起來以后,要充分考慮如何將這個體系運作起來。他說,過去無論是國內(nèi)和國外,都有一些企業(yè)在體系建立起來后,只是形成了一個像書一樣厚的文檔,而缺乏執(zhí)行力和可操作性。這是非常不可取的。因為內(nèi)控體系每年都要接受審查,如果這樣做,第二年企業(yè)還要再花很多錢來請咨詢公司來做咨詢。

所以,企業(yè)在遵從法規(guī)過程中所形成的內(nèi)控體系,需要通過一個載體傳承下來。如果企業(yè)將內(nèi)控體系和內(nèi)控流程通過IT系統(tǒng)支撐起來,定期記錄執(zhí)行結(jié)果,并且通過ERP、OA等系統(tǒng)進行自動檢查,就能大大提高自控執(zhí)行力,而且可以減少聘請第三方咨詢的成本,同時還能保證內(nèi)控管理的持續(xù)性。

用友公司高級副總裁、集團與行業(yè)解決方案事業(yè)本部總經(jīng)理李友認為,企業(yè)的內(nèi)控與風險IT建設(shè)可以分成三個步驟來走:第一步,合規(guī),此時企業(yè)管理者要對企業(yè)的一些經(jīng)營管理信息做到心中有數(shù),在IT建設(shè)上來說這是一個信息平臺的建立和透明化的過程;第二步,關(guān)鍵過程控制,也叫融入管理的過程,將控制點和業(yè)務(wù)系統(tǒng)更完美地整合在一起;第三步,真正讓內(nèi)控為企業(yè)戰(zhàn)略提供支持,在IT建設(shè)層面上,要以戰(zhàn)略為主要導(dǎo)向,績效管理、預(yù)算管理此時成為重要的IT建設(shè)內(nèi)容。

北京慧點科技開發(fā)有限公司(簡稱慧點科技)已經(jīng)幫助華能國際、中海油、中國鋁業(yè)、南方航空、廣深鐵路、中國移動等多家在美上市公司通過IT系統(tǒng)來實現(xiàn)薩班斯法案的遵從?；埸c科技副總裁、風險管理與控制事業(yè)部總經(jīng)理韓國權(quán)指出,慧點科技在為南方航空、廣深鐵路和中國移動做GRC(企業(yè)治理、風險管理和合規(guī)審查)項目的時候,發(fā)現(xiàn)我國IT內(nèi)控業(yè)務(wù)出現(xiàn)了一個分水嶺——企業(yè)的內(nèi)控需求已經(jīng)從原來的以滿足美國薩班斯法案的遵從,轉(zhuǎn)變到現(xiàn)在以自身內(nèi)控需求為主;從原來的以財務(wù)控制為主,發(fā)展到現(xiàn)在開始重視全業(yè)務(wù)的控制。

要學(xué)會取經(jīng)

韓國權(quán)指出,對大部分尚未行動起來進行《基本規(guī)范》遵從或者加強內(nèi)控管理的企業(yè)來說,光靠第三方咨詢和理論是遠遠不夠的,最好去那些內(nèi)控做得比較好的企業(yè)那里取經(jīng),特別是同行業(yè)或者類似的企業(yè)。因為《基本規(guī)范》和美國薩班斯法案采用的都是COSO框架,所以,一些在美上市企業(yè)的合規(guī)乃至內(nèi)控經(jīng)驗對他們來說非常具有借鑒意義。

作為紐約、香港和上海三地上市的企業(yè),中國鋁業(yè)股份有限公司(以下簡稱中國鋁業(yè))一方面因為要遵從薩班斯法案,另一方面要滿足于企業(yè)自身的風險管控需求,在內(nèi)控管理方面積累了豐富的經(jīng)驗。早在三年前,中國鋁業(yè)就決定采用內(nèi)部控制管理系統(tǒng)來更好地讓內(nèi)控管理落地。如今,內(nèi)控管理的信息化已經(jīng)成為中國鋁業(yè)內(nèi)控管理的發(fā)展需要和有效保障。

那么,作為先行者的中國鋁業(yè)在選擇和應(yīng)用內(nèi)控管理軟件上的經(jīng)驗?zāi)芙o目前亟待加強內(nèi)控管理以及內(nèi)控管理信息化的企業(yè)帶來哪些借鑒呢?中國鋁業(yè)內(nèi)審部副總經(jīng)理戴錫寶在接受媒體采訪時指出,企業(yè)在進行內(nèi)控管理時要從企業(yè)的實際情況出發(fā),不可盲目模仿、復(fù)制;在應(yīng)用內(nèi)控軟件系統(tǒng)方面,應(yīng)該注意以下三個問題:

首先,要對系統(tǒng)所能帶來的效果非常了解。

其次,要充分考慮系統(tǒng)能否真正在企業(yè)落地。企業(yè)應(yīng)該充分認識到內(nèi)控軟件對企業(yè)的管理理念、人員素質(zhì)及管理水平都有一定要求。企業(yè)要在內(nèi)控管理確實對IT系統(tǒng)提出了需求,并達到了一定的管理水平和實力后,再考慮進行相關(guān)的系統(tǒng)實施。

最后,力爭使系統(tǒng)真正發(fā)揮作用。內(nèi)控管理系統(tǒng)的實施上線是一項需要全員參與的項目,需要占用大量的時間和精力,只有下決心、下功夫才能達到預(yù)期效果。

不僅僅上市公司要借鑒在美上市企業(yè)薩班斯法案遵從的經(jīng)驗,韓國權(quán)指出,即使不是上市公司,也可以參照美國薩班斯法案的要求來建立自己的內(nèi)控體系,重新梳理企業(yè)內(nèi)部的業(yè)務(wù)流程,改變以往條塊分割的業(yè)務(wù)流程,建立起從整個集團出發(fā)的業(yè)務(wù)流程框架。

財政部綜合處處長、內(nèi)控標準委員會專家成員胡興國說,面對國內(nèi)外風險多變的市場環(huán)境和激烈的競爭,企業(yè)必須苦練內(nèi)功,強化內(nèi)控,防范風險,才能保證自己立于不敗之地。李友在用友推出其內(nèi)控與風險管理解決方案NC 5.5時也發(fā)現(xiàn),受全球性金融危機的影響,很多非上市企業(yè)都加強了內(nèi)控的意識,希望能夠借助IT系統(tǒng)來加強內(nèi)控管理。