内部控制——企业可持续发展的基石对于中国企业来说,2009年是一个值得谨记的年份:中国经济经历了高速发展的“黄金六年”之后,遇到了经济大周期的拐点。在和很多企业家交流的过程中,笔者深刻地感受到,经济环境的变化的确给很多企业敲响了警钟:没有能够一直长盛不衰的市场环境,任何企业都可能遇到来自宏观大环境和微观小环境的挑战。而中国企业在面对这些挑战的时候,缺少的不仅仅是勇气,还有战胜困难的机制和能力。从2004年中航油投资金融衍生品失败,到去年的三鹿奶粉事件。近年来,中国企业的经营风险越来越多地暴露出来。企业内部控制已经越来越受到中国企业家的重视,同时也成为监管部门的重要管控手段之一。一、内控体系建设会成为必需品吗?几年前,企业家们遇到最多的困惑是如何才能快速地发展,“快一点、再快一点”是很多企业面对各种增长诱惑时的唯一可行选择。增长既需要速度,更需要质量。如果说企业战略可以保障企业有正确的发展方向,那么内部控制则可以保障企业在前行的道路上不摔跟头。随着市场经济各项建设渐趋完备,新的游戏规则正在确立,其中最为重要的一点便是对企业风险与内控的要求在逐步加强,而企业市场竞争环境的日益复杂化,客观上也要求企业及其决策者能够关注风险管理。的确,中国需要在发展中解决经济结构优化的问题,但是这种增长一定不再是粗放的无序增长,无论是中国经济发展到今天这个特定阶段还是中国企业发展到今天这个特定水平,都会更加关注增长所代表的质量。因此,加强企业内部控制体系建设可以说是应运而生!我们有理由关注,内部控制体系建设究竟会成为企业经营的奢侈品还是必需品呢?事实上,很少有企业会把内控体系作为企业核心的竞争力!即便是最早意识到这个问题的企业,也都是出于极其偶然的原因:石油行业的人们一定会清晰地记得,在2003年到2005年里,中国的石油行业一直处于多事之秋。有两件事情最终对这个行业造成了非常深远的影响:一件是2003年发生的“12.23”重庆开县川东钻探公司井喷特大事故,事故夺走243人的生命;另外一件是中航油新加坡公司发生的投资金融衍生品出现的巨亏事件,最终造成了一颗冉冉升起的新星,中航油新加坡公司总裁陈久霖黯然陨落。在后来对事情的进一步剖析中,发现内控体系建设和执行控制的缺失才是最大的诱因。这样两件看起来风马牛不相及的事情,但却在撩动更多人的神经,促使他们深入思考:企业的内控体系究竟会怎样影响着它的生存和发展?于是,很多企业把管理创新的视角转向了内部控制体系的建设和完善。也许一位企业管理者的话可以当作内控体系必将成为企业管理核心竞争力的注脚:“我们公司是最早意识到内控体系建设重要性的企业之一,企业做大之后,要及时从人治转到法治,很多方面要同步进行提升,否则一定会出问题。现在我们遇到的问题,相信未来一段时间,其它企业也会陆续遇到,我们今天所进行的探索,以及积累的在内控建设方面的经验,以后他们也会逐步使用到。也许现在内控体系建设这个领域在国内还很生僻,但我相信,要不了多久,内控体系建设将会成为更多企业和企业家的选择。”果不其然,2006年,中国公布了《新会计准则》,同时新《公司法》、《证券法》和《物权法》等重要法律的修改。都要求公司从法人治理结构层面的内控环境营造到公司各级规章制度中的内控职能都需要进一步加强和完善,规范公司的经营行为;2008年,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基础规范》,首先要求上市公司在2009年7月1日前,必须建立企业内部控制体系;对内部控制的要求在国有企业及其其它类型企业中逐步推进。当内控体系建设正在成为上市公司的核心竞争力,成为国有企业的核心竞争力,成为民营企业的核心竞争力的时候,我们看到了内控体系建设的春天正在到来。无论是中航油新加坡投资衍生品事件还是最近的三鹿事件,都给中国的企业家们敲响了警钟,企业走得慢一些会面临被竞争对手超越的问题,但是如果不关注风险控制的话则可能面临企业生存的问题。内部控制体系建设正在从过去的可有可无变成现在的不得不建。二、内控建设“外因是急、内因是本”我曾经在谈到中国企业海外并购的时候提出过一个观点:中国企业可以有选择地进行海外并购,但绝对不要因为所谓的人民币升值或者企业价值低估而去进行并购。这就好像你可以去谈朋友结婚但是绝对不要因为年龄大了而不得不去结婚。坦率地讲,对于推进企业内控建设,我也是有着这样的担心:会不会因为政府有关部门的强力推动,让很多企业忘记了推动内控建设的根本,只顾上满足一些合规性的要求了,最后劳命伤财却没有收到什么效果!对此,我对企业家们有一个忠告:企业可以因为财政部等相关部门的要求而去加紧推进内控建设,但是,绝对不要“为建而建”。内控建设中“外因是急”,但是“内因才是本”。有三类企业应该借着推进内部控制体系建设的东风,真正关注企业的风险管理,完成企业的核心竞争力建设。首先,是面临战略转型和产业转型的企业,这些企业的运营风险客观上会相应增大,对企业风险管理也会提出新的要求。一种情况是很多企业经历了一段时间的快速发展之后,积累了很多突出的矛盾和问题,需要在战略层面进行适时地调整,才能转危为安;还有一种情况是企业所处的产业遇到了重大的转折,供需状况的变化使得企业必须积极应对才能生存下来;还有一种情况是企业正处于集团化转型的关键阶段,管控模式也面临大的转变,是否能够实现规模经济将决定企业未来的发展。所有这些处于重大转型期的企业,战略风险尤其需要关注,千万不能走错,所以内部控制和风险管理便是帮助企业度过难关的诺亚方舟。其次,是自身业务结构存在重大缺陷或者资源与能力存在重大劣势的企业,这些企业要么是业务布局不够合理,重要的业务环节存在较大风险。要么是资源与能力方面存在重大不足,使得企业的持续发展能力严重不足。这些企业,如果不能在内部控制上进行重点建设,这些缺陷和劣势在外部环境出现重大变化的时候,便会成为企业的致命毒药。最后,是深受经济周期影响的企业,应该在大调整中勤修内功,磨刀不误砍柴工。不同的企业在这场经济危机面前所受到的影响程度是不同的,例如出口导向型的企业和融资约束型的企业,受到危机的负面影响就会更大一些。这场危机对世界经济的影响是深远的,对一些行业的影响也会在未来持续较长一段时间。因此,这些行业内的企业必须打消侥幸心理,在大调整中首先是活下来,然后才是更好地发展。三、国内企业推进内控建设的“五宗罪”尽管是必需,但中国企业在内控建设方面的意识和积累毕竟还很薄弱,具体到推进企业内部控制的时候,往往会非常困惑。首先,当前中国企业对风险管理、对内部控制的认识还是比较浅显,要么理解成财务控制,要么理解成审计手段,很多企业都是在经营风险暴露之后才开始关注到这个问题。国内企业在风险管理集中存在五个方面的问题:一是风险管理意识薄弱。由于风险管理意识淡薄,片面追求发展速度,制定不切实际的目标或盲目扩展投资,使企业承受无谓的风险。二是公司治理结构存在缺陷。因为公司治理结构不规范,不能有效制衡管理层的强大权力,董事会没有或者不能负起监督管理层的责任。三是管控模式不合理。企业管控模式不合理,便无法有效控制企业风险。组织结构设计不合理,便不能建立有效的内控和相互制衡的机制。四是风险管理组织不健全。缺乏包含决策、管理和具体执行层在内的完整的风险管理组织。内部审计限于财务报表审计和经济责任审计,缺乏对风险管理情况的检查和监督。五是风险管理体制不健全。缺乏系统的成套风险管理体制,识别影响企业达标的风险进行监控及管理。没有将风险管理的手段和内控程序融入到管理与业务的制度与流程中。因此,做好内控首先需要有一个正确的内部控制理念。企业对内控的重视程度和主动程度决定了风险管理、内部控制的水平。其次,还要有具体的步骤和措施来进行内控建设,包括内控组织的建设、公司级内控风险的识别、流程风险识别、控制活动、措施等,要形成一个体系。制定工作规划,并扎实推进。四、推进企业内控建设的“四项基本原则”企业推进内部控制体系建设,必须从始至终贯彻四项基本原则:第一,一定要建立“战略导向”的内部控制体系。传统的内控建设高度关注风险,战略导向的内控建设则关注企业战略导向与风险控制的平衡。图一:战略导向的内控体系建设示意图首先,是战略上“做什么、不做什么?”,对于企业来说,结合环境的动态业务规划可以帮助企业准确把握内控建设的核心环节;其次,是战略实施的路径,明确企业在未来3-5年内采取的分阶段战略措施,对于企业正确地规划内控建设的节拍至关重要;其三,在内部环境方面,从运营能力、成长能力、无形资产和重要资源四个方面分析和总结企业的竞争力状况,有助于明确企业核心竞争力的提升方向。关注战略的指引,就像为企业内部控制体系找到了方向,为企业内部控制体系塑造了灵魂。第二,一定要明确重点建立“核心导向”的内部控制体系。内控体系建设,既要严格按照财政部《基础规范》的要求进行,在实施中又要抓准重点,关注核心模块的建设。第三,一定要建立“深浅适度”的内部控制体系。内控体系建设,不能一味地求全责备,而是要结合企业的实际情况。在不同的阶段,根据企业的资源与能力,进行阶段性的安排。力争把企业的内控精力用在最为关键的地方。第四,一定要“内外结合”建立企业内部控制体系。内控体系建设,是一个全新的市场,但不是一个全新的专业领域,只不过国内企业还缺少相应的经验。因此,企业在首次建设企业内部控制体系的过程中,要善于借力,充分发挥专业化知识的优势,先学习,再提高,最后的目标是形成企业自身的内部控制管理和持续优化能力。四项基本原则,既是企业推进内部控制建设的出发点,也是重要的指导思想和实践原则。五、推进企业内控建设必须“求真务实”从央企和上市公司开始强制性要求加强内控到在更大范围内逐步展开,内部控制体系建设正在成为一个大的市场。笔者从2006年财政部着手起草《企业内部控制基本规范》时,就开始关注内部控制的经验积累和方法论形成。从中央企业,到美国上市公司,再到中国上市公司的内控体系建设实践,形成了对于内控建设的系统思考。在我看来,企业推进内部控制最好分四个阶段进行。第一个阶段就是对企业的战略进行识别。当前中国企业大多数都还没有建立起内部控制体系,通过对企业战略的梳理,包括集团管控、业务特点以及业务环境等的识别,可以明确企业战略对内部控制体系建设的要求是什么。根据企业的战略,了解企业内部控制的特点,风险集中体现在哪些区域。然后进行针对性地规划,确定内部控制体系建设的重心。第二个阶段就是在企业战略目标的指导下,围绕内部控制的控制环境建设、风险识别、控制活动、信息与沟通、监督等五个方面的具体要求,设计公司级的内部控制。例如,在COSO框架的控制环境要素中,重点关注的包括道德准则、企业文化、人力资源等。这些内容属于整个企业的大环境,我们把它放在一个模块里来建设。通过对风险的识别,发现上述几个方面存在的问题,并通过对公司内部控制管理的测试,全面解决这些问题。第三个阶段就是流程级和IT级内部控制体系的建设,这是内部控制的重点,也是难点。把通过战略梳理确定的关键风险区域归结成流程地图,对现有的流程进行描述,并找到这些流程中的风险点、现有的控制措施以及控制的缺失,从而制定内部控制措施、风险控制目标等。对于IT(信息系统)而言主要关注的是一般性控制缺陷,例如安全性的缺陷、硬件管理的缺陷等。通过流程级和IT级内部控制体系的建设,要形成企业的风险控制矩阵,系统性地发现风险并制订相应的控制措施。前三个阶段主要针对公司内部控制的设计缺陷,比如公司没有战略、或者缺失流程、或者流程不合适存在风险,这就通过上述过程解决。但是我们发现,有很多企业所面临的风险不是由于设计缺陷造成的。它有制度、有流程,只是没有去严格地执行。所以需要进行第四个阶段。它主要有两项工作,一是要生成一套内部控制的体系文件,包括控制环境等多个子模块,并在此基础上形成一个持续优化的机制。二是对之前提到的公司级内控、流程级内控以及IT级内控进行跟单测试,通过测试发现运行缺陷,并针对内控建设的基本要求提出整改意见。不仅流程要整改,制度要整改,组织、文化也要整改,管理要系统提升。通过一到两次的测试,弥补内控体系运行的缺