邱燕娜
企业内部控制作为公司治理的关键环节和经营管理的重要举措,在企业发展过程中具有举足轻重的作用。特别是对上市公司来说,内部控制不仅关系到上市公司的质量和自身发展,更重要的是关系到广大投资者的利益,关系到资本市场的健康发展。
解开法规遵从的困惑
《基本规范》的发布和执行,标志着中国企业内部控制规范体系建设取得重大突破。但是《基本规范》的遵从,却给我国上市公司带来不少的烦恼。这烦恼主要是因为目前《基本规范》还存在两个困惑。
困惑1:指引未出怎么办
尽管出于监管的需求,美国萨班斯法案主要是要求上市公司财务报表的真实性,但是为了保证法案的有效性,还出台了非常详细的指引。虽然在发布《基本规范》时,财政部副部长王军指出,要逐步建立一套以基本规范为统领,以评价指引、应用指引和内部控制鉴证指引等配套办法为补充的内控标准体系,但是直到现在,这些指引尚未出台。这也正是天士力的困惑。“现在无从判断指引到底什么时候出来。”一位不愿意透露姓名的业内资深人士这样说。很多上市企业对《基本规范》尚处于观望状态,期望进一步的指引出来以后再行动。
与美国萨班斯法案相比,我国的《基本规范》所涉及的范围远远大于美国萨班斯法案。“按照普华、德勤的说法,美国萨班斯法案有9个内控关键控制点,而我国的《基本规范》则有17类业务内部控制关键控制点。”深谙美国萨班斯法案,并且做过很多相关咨询工作的日立咨询中国公司IT总监江玮介绍说。
但是,江玮指出,无论是萨班斯法案还是《基本规范》,参照的都是COSO框架。所以,企业可以先参照COSO框架的需求来梳理业务流程。其实,现在很多IT厂商已经意识到了这一点,比如说,用友软件在其新推出的内控与风险管理解决方案NC 5.5中,就涵盖了COSO内控与风险管理框架。
与此同时,IDS Scheer中国企业风险内控与合规管理咨询总监彭炎认为,《基本规范》到底该执行到什么程度,可参照美国萨班斯法案看出来。值得一提的是,IDS Sheer在国外已经帮助很多在美上市的企业通过流程管理来实现萨班斯法案的遵从。
困惑2:时间紧迫怎么办
尽管《基本规范》将于2009年7月1日在上市公司执行,但是事实上,《基本规范》对2009年的年报并没有提出需求,上市公司只要在2010年的年报中体现出《基本规范》的要求就可以了。所以说,如果在2009年7月1日前指引能够出来,那么企业仍然有一年多的时间来准备;而如果指引没有出来,那么针对目前相对比较粗放的规范遵从起来也比较容易。
彭炎指出,不管怎么说,企业的人力、精力有限,内控管理能力的提升不可能一蹴而就,企业可以把目标定得高一点,但是要考虑到实现这个目标要有一个过程,可以先做一个框架,先规范化财务报表,然后在内控管理水平提高以后再作经营管理方面的细化。因此,江玮认为,企业在内控管理信息化建设过程中,应该采取循序渐进的做法,总体规划,按照紧迫性、重要性的不同分步实施。
不能为遵从而遵从
萨班斯法案的遵从是一个非常复杂的工程,而且需要耗费大量的人力和财力。据了解,通用电气公司为满足萨班斯法案而完善内部控制系统的花费高达3000万美元。高昂的合规成本导致包括华晨在内的我国一些在美上市公司选择了退市,也使得德勤、普华永道等一批提供相关咨询的会计师事务所业务非常红火。江玮说,萨班斯法案遵从的成本很高,确实有点让人怨声载道。股民当然不希望上市公司造假,但是假设一个年利润只有500万元的企业,却要花费2000万元来遵从法规,这个企业将从一个本来盈利的公司变成一个亏损的公司,这同样也是股民不愿意看到的。所以江玮指出,上市公司在遵从《基本法规》的时候要避免舍本逐末。
与此同时,江玮指出,如果企业的内控管理完全是为了应付上市公司的合规要求,那么内控管理带来的效果往往不会很明显。但是,如果企业不是应付合规,而是真正为了减低风险和成本,那么内控管理信息化建设能够起到立竿见影的作用。
彭炎非常认可这种观点。他指出,企业在引入第三方咨询机构将内控体系建立起来以后,要充分考虑如何将这个体系运作起来。他说,过去无论是国内和国外,都有一些企业在体系建立起来后,只是形成了一个像书一样厚的文档,而缺乏执行力和可操作性。这是非常不可取的。因为内控体系每年都要接受审查,如果这样做,第二年企业还要再花很多钱来请咨询公司来做咨询。
所以,企业在遵从法规过程中所形成的内控体系,需要通过一个载体传承下来。如果企业将内控体系和内控流程通过IT系统支撑起来,定期记录执行结果,并且通过ERP、OA等系统进行自动检查,就能大大提高自控执行力,而且可以减少聘请第三方咨询的成本,同时还能保证内控管理的持续性。
用友公司高级副总裁、集团与行业解决方案事业本部总经理李友认为,企业的内控与风险IT建设可以分成三个步骤来走:第一步,合规,此时企业管理者要对企业的一些经营管理信息做到心中有数,在IT建设上来说这是一个信息平台的建立和透明化的过程;第二步,关键过程控制,也叫融入管理的过程,将控制点和业务系统更完美地整合在一起;第三步,真正让内控为企业战略提供支持,在IT建设层面上,要以战略为主要导向,绩效管理、预算管理此时成为重要的IT建设内容。
北京慧点科技开发有限公司(简称慧点科技)已经帮助华能国际、中海油、中国铝业、南方航空、广深铁路、中国移动等多家在美上市公司通过IT系统来实现萨班斯法案的遵从。慧点科技副总裁、风险管理与控制事业部总经理韩国权指出,慧点科技在为南方航空、广深铁路和中国移动做GRC(企业治理、风险管理和合规审查)项目的时候,发现我国IT内控业务出现了一个分水岭——企业的内控需求已经从原来的以满足美国萨班斯法案的遵从,转变到现在以自身内控需求为主;从原来的以财务控制为主,发展到现在开始重视全业务的控制。
要学会取经
韩国权指出,对大部分尚未行动起来进行《基本规范》遵从或者加强内控管理的企业来说,光靠第三方咨询和理论是远远不够的,最好去那些内控做得比较好的企业那里取经,特别是同行业或者类似的企业。因为《基本规范》和美国萨班斯法案采用的都是COSO框架,所以,一些在美上市企业的合规乃至内控经验对他们来说非常具有借鉴意义。
作为纽约、香港和上海三地上市的企业,中国铝业股份有限公司(以下简称中国铝业)一方面因为要遵从萨班斯法案,另一方面要满足于企业自身的风险管控需求,在内控管理方面积累了丰富的经验。早在三年前,中国铝业就决定采用内部控制管理系统来更好地让内控管理落地。如今,内控管理的信息化已经成为中国铝业内控管理的发展需要和有效保障。
那么,作为先行者的中国铝业在选择和应用内控管理软件上的经验能给目前亟待加强内控管理以及内控管理信息化的企业带来哪些借鉴呢?中国铝业内审部副总经理戴锡宝在接受媒体采访时指出,企业在进行内控管理时要从企业的实际情况出发,不可盲目模仿、复制;在应用内控软件系统方面,应该注意以下三个问题:
首先,要对系统所能带来的效果非常了解。
其次,要充分考虑系统能否真正在企业落地。企业应该充分认识到内控软件对企业的管理理念、人员素质及管理水平都有一定要求。企业要在内控管理确实对IT系统提出了需求,并达到了一定的管理水平和实力后,再考虑进行相关的系统实施。
最后,力争使系统真正发挥作用。内控管理系统的实施上线是一项需要全员参与的项目,需要占用大量的时间和精力,只有下决心、下功夫才能达到预期效果。
不仅仅上市公司要借鉴在美上市企业萨班斯法案遵从的经验,韩国权指出,即使不是上市公司,也可以参照美国萨班斯法案的要求来建立自己的内控体系,重新梳理企业内部的业务流程,改变以往条块分割的业务流程,建立起从整个集团出发的业务流程框架。
财政部综合处处长、内控标准委员会专家成员胡兴国说,面对国内外风险多变的市场环境和激烈的竞争,企业必须苦练内功,强化内控,防范风险,才能保证自己立于不败之地。李友在用友推出其内控与风险管理解决方案NC 5.5时也发现,受全球性金融危机的影响,很多非上市企业都加强了内控的意识,希望能够借助IT系统来加强内控管理。