1、浅谈如何提高企业内控制度执行力【摘要】 内部控制制度对于提高企业管理水平和竞争力意义重大,企业的做大做强,与执行力建设有着直接的关系,而提高企业管理中的制度执行力建设又是其中的关键。目前,在企业内部,普遍存在内控制度执行不力现象,制度执行力建设,要在深入分析调研的基础上,制定科学规范的规章制度,并将强制性的制度升华到文化层面,加强信息沟通,提高员工的主动性和积极性,实现制度的有效执行。本文结合工作实际,对如何提高企业内部控制制度的执行力进行了一些探讨。 【关键词】 企业 内部控制 执行 “内控”已经成为当今企业管理职业中的关键词之一,尤其是美国萨班斯奥克斯法案 (Sarbance-Oxley
2、Act)的实施,更是把内控推到了一个崭新的阶段。内控制度概念的科学性、框架内容的完整性和关键控制条款的可操作性成为了学界、业界包括各国政府的关注重点。事实上包括控制环境、控制活动、风险评估、信息与沟通、监控等要素在内的 COSO 框架已经相对完善,在 COSO 内控框架中就大有文章可做,若过多地关注概念上的争辩、内容上的“创新”更像是一种文字游戏,从而偏离了建立健全内部控制的初衷,无益于企业管控目标的实现。 一、内控制度执行的前提是要建设系统性、针对性的制度体系 内控制度执行的前提是要做到“有法可依” ,换言之,就是要先解决内控制度的缺失问题。近些年来,国务院的有关机构出台了许多关于内控的部门
3、规章。如财政部先后颁布了内部会计控制规范基本规范(试行) 、 内部会计控制规范货币资金(试行) 等一系列内部控制规范;国资委也陆续下发了国有企业内部控制条例 、 国有企业内部审计条例 、 金融机构内部控制指导意见等内部控制指导文件。作为部门规章颁布的这些内控制度适合于任何公司,制度条文的原则性和概括性相当强,显而易见,制度条文只能关注内控中普遍性的问题。特别需要强调:如果每个企业简单的“复制”政府部门颁布的制度条文是一种失效的制度“建设”路径。因为现实中,每个企业尽管需要依据内部控制制度的基本要求和原则为导向,但是更要根据自身的实际情况和特点,明确关键控制点和控制环节,制定适合自身需要、特定经
4、营环境的内部控制制度。 在每个企业内控制度的具体建设中,首先必须实现内控制度与公司战略、公司治理与组织结构设计的融合。内部控制制度的整体结构不能仅仅局限在业务层面,而忽略了公司层面,尤其是应该包括公司治理层面。一般来说,在管理体制上,公司组织结构可划分为战略规划型、战略控制型和财务控制型三种模式,比如在战略规划型模式下,总部大量参与业务部门的战略开发、拓展和监督,集团总部积极参与下属业务部门的战略开发,但是总部只是在运营结果出现较大偏离时才正式做出反应,控制程序灵活。而财务控制型模式下,战略开发的责任和权利全部交给下属单位,总部原则上不检查战略计划,只是管理下属单位的主要财务指标(如投资回报率
5、) ,实际上是实行资产投资管理。显然,公司管理模式的差异必然对内部控制制度的建设具有不同要求。 其次,目前内控制度主要关注的是单一法人企业,但是现实中的企业更多的是包含多层股权结构、多级法人治理的集团企业。对于集团企业的投资、融资、业务经营、现金集中、信息无纸化等方面的内控较之单一法人企业具有太多的复杂性,尤其是当集团内控与子孙公司治理发生摩擦、碰撞的时候,内控制度建设的挑战性更强。而且,内控制度面临组织扁平化、职能管理渗透化、流程简洁化、业务外包化等新的管理变革时,还要关注内部控制制度与这些变革的有序对接。比如不少企业内控制度仍然是完全按照职能部门制定的,这就不是企业流程的观念。 再次,从制
6、度上讲内部控制的目标应该同时包括“为了合理的保证经营的效果性和效率性;财务报告的可信性;对法律和规章制度的遵循性” (COSO 报告) 。就业务层次的内控而言,我们发现不少企业设计的内控目标主要也囿于财务报告可靠性而忽略运营效果(效率)和合规性目标,这不仅使得内部控制制度仅仅限制在财务会计部门,成为一种纯粹的会计控制,使内控制度无法延伸到整个企业的各个流程内部,难以演变为一种管理文化,而且使内控制度单纯为控制而控制,强调“他律”的概念,并未考虑与“自律”的业绩管理的结合问题。 最后,必须关注内部控制日益向全面风险管理(ERM)发展的客观态势。根据 COSO 的 ERM 框架, “全面风险管理是
7、一个过程。这个过程受董事会、管理层和其他人员的影响,并从企业战略制定开始一直贯穿于企业的各项活动中,用于识别那些可能影响企业的潜在事件,使之在企业的风险偏好之内,从而合理确保企业取得既定目标” 。国资委制定并下发的中央企业全面风险管理指引 ,要求企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系(包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统) ,从而为实现风险管理的总体目标提供合理保证的过程和方法。我们十分欣赏这些 ERM 对公司治理、战略、运营的多维视角分析,融内部控制于
8、风险控制之中,彻底体现了“全面”的真正含义。但是这些 ERM框架毕竟还只是框架,离可操作的企业管控制度还有相当距离。每个企业在设计内控制度时,除了要遵循 ERM 框架结构外,还要符合 SMART 原则的要求,即内控制度必须是:明确可行的(Specific) 、可以计量的(Measurable) 、可以达成的(Attainable) 、与责任相关的(Related)以及具有明确的时间限制(Time-bound) ,因此必须确保内控制度条款上内容的针对性和可操作性。 二、内控制度执行最为关键的是构造一种对制度敬畏的公司管理文化 随着市场经济的发展,企业的内部制度管理与企业文化对于企业盈利的作用越来
9、越大。现阶段加强企业的内控非常重要,而财务内控是企业搞好财务工作,提高经济效益的前提和基础。所以,在当前复杂多变的商业环境中,企业更要注重自身的财务内控管理,通过建设完善的财务内控制度,加强财务内控执行力度,配合外部的监督审计,以此协助企业自身拟定最佳的策略以及营运方面的决策。我们必须强化制度的力量,强调内控制度对公司上下包括公司最高决策者在内的每个成员的威慑力。因此,要注意到探讨如何培养对制度的敬畏和对流程的呵护,比之探讨内控的概念、内控的内容要素显得更加重要。如何“循规蹈矩”似乎成为了内控领域更为有趣、更为重要的话题。比如前些年发生的,至今仍受各界关注的“中航油事件” ,对此进行阐释再好不
10、过了。它因石油衍生品交易,总计亏损 5.5 亿美元,严重资不抵债,申请破产保护,从而成为自从 1995 年巴林银行事件之后,震动新加坡金融市场最大的公司丑闻。此事立刻在各界引起了巨大的反响,质疑声中纷纷探究事情的成因:作为全球透明度较高的新加坡资本市场,向来以严格监管著称,在其市场挂牌交易的公司能出这么大的事情,难道是因为中航油的风险控制体系缺失和内部监督机构缺设吗?答案是否定的。中航油有著名的安永会计师事务所为其量身定做的风险管理手册和财务管理手册 ,这些制度和相关的措施都已经董事会批准执行,而且受到集团公司的高度赞誉。 “制度明确规定了公司正常运营的相应审批程序和各级管理人员的权限,并且通
11、过联签的方式降低资金使用的风险一方面中航油采用了世界上最先进的风险管理软件系统,将现货、纸货和期货三者融在一起,能够进行全盘监控;另一方面建立三级风险防御机制,通过环环相扣、层层把关的三个制衡措施来强化公司的风险管理” 。针对石油衍生品业务,中航油设有资深交易员、风险管理委员会、内审部(交叉检查) 、总裁(CEO)和董事会等组织机构,对于各级组织的相应权限,制度明确规定了“每名交易员亏损 20 万美元时,要向风险管理委员会汇报,亏损额达 37.5 万美元时,向 CEO 汇报,亏损 50 万美元时,必须斩仓” 。但是事实上,所有的这些设计和内控制度都失灵了。从交易员,风险管理委员会成员到总裁,似
12、乎都忘记了自身的职责权限和公司制度的存在;同时,相应的监控机制、环环相扣的组织制衡设计、风险管理软件系统等亦统统瘫痪,终于酿成公司巨亏 5.5 亿美元而申请破产保护。也可以说,不是因为内部控制和风险控制制度的缺失和组织机构的缺失酿成了中航油事件,造成其巨额亏损最主要的原因是缺乏制度的执行力、缺少执行者对制度的敬畏和呵护。从这点来讲,梳理流程、界定授权、评估风险、确定关键控制点等等内控制度的设计即使再完善,当面临着公司治理的缺失、经营团队的自负时都显得无能为力。因此,内控更为关键的是一种制度执行或执行文化,我们要强调制度对公司上下包括公司最高决策者在内的每位成员的威慑力,强调公司每位成员对制度的
13、敬畏和遵循。 与此同时,理论上存在“内部控制”和“公司治理”的关系是“彼此独立”或“相互交融”的纷争。由中航油事件已经表明,割裂内部控制与公司治理的内在联系是不现实的,也是无益的。中航油的问题既是内部控制的失灵,也是公司治理机制缺失的结果。我们认为内部控制制度的执行力、对公司制度的敬畏首先依赖有效的公司治理,依赖于公司高管对内控制度的表率作用。 三、信息披露是内控制度的首要条款,对于信息虚假、信息迟缓、信息误导的行为必须严刑峻法 信息真实披露很重要,这是设计和执行内控制度首先所必须考虑的。COSO 委员会的风险管理框架构成要素之一就是信息与交流,确保为实现企业目标的真实信息及时在组织的各个层级
14、交流与反馈,使内控诸环节运行有了判断的依据,从而有效地管理风险。 新加坡检方对中航油总裁陈久霖的指控,以及法院最终对其的判决也主要是因其采取了不正当的手段,如制作虚假的 2004 年度年中财务报表、在 2004 年第三季度的财务报表中故意隐瞒巨额亏损、违背公司法规定的董事职责、不向新交所汇报公司实际亏损、欺骗德意志银行和诱使集团公司出售股票等方面,欺骗投资者,欺骗交易相对人,扰乱金融交易秩序,严重破坏了正常的交易规则。可以看出,使陈久霖获罪的不正当手段又主要集中于编造、披露虚假信息,蓄意进行信息误导,而并不是如有些媒体所报道的那样陈久霖获刑是因为管理失误、经营亏损,给公司造成了严重的损失所致。
15、惋惜的是,陈久霖仍没有认识到如实、及时披露信息的要义,事后在多种场合,经常总结表述其失败的原因是“授权太多,太相信别人,如果授权不多,就不会亏损,也就不会出这么大的事情了” 。伴随着长叹,接下来往往是“如果再给我两亿美元作保证金,就能成” 。相比之下,制度的权威和力量、市场最基本规则的约束在陈久霖面前似乎依旧显得苍白无力。在听到法院判决其 4 年 3 个月监禁,并处 33.5 万新元的罚款后,强势总裁仍是以一副历经风雨、游刃有余的姿态说“几年后见” 。足见陈久霖本人直至入狱仍然没有意识到其获刑的真正原因是隐瞒事实、披露虚假信息。可见如何保证如实、及时披露信息,应该是设计和执行内控所应该考虑的首要问题。同时通过反思安然、世通和中航油等颇具影响的事件,可以看出对于信息虚假、信息迟缓、信息误导的行为,法律绝不应该给予姑息与纵容。 总而言之,内控制度执行力实质是一种企业文化执行力文化,它的内涵是知行合一。一旦企业目标和制度制定,全员参与,积极执行。根据企业执行力建设目标,建立定期督查制度,建立从上而下的督查机制,并根据执行力提升情况进行奖惩,真正把执行力工作落到实处。只有这样,企业才能在错综复杂的市场环境中立于不败之地。 【参考文献】 1 艾尔弗雷德D钱德勒:战略与结构M.麻省理工学院出版社,1962. 2 蒋巍巍:这样执行最高效M.电子工业出版社,2013.