“有控則強、失控則弱、無控則亂”。研究企業的興衰史,人們可以看到,但凡失敗的企業總能找到內部控制缺失的問題。正因如此,以“風險控制”為導向的內部控制體系建設在現代企業可持續發展的進程中扮演著越來越重要的角色。
然而“工欲善其事,必先利其器”,一個做手工或工藝的人,要想把工作完成,應該先把工具準備好。
那么在我國欲完善企業內控體系,企業應該先準備好那些保障體系和技術工具呢?
完善內控法律保障體系
企業內部控制體系作為一項可持續發展的系統工程需要有完善的法規體系作保障。而完善的法規體系框架需要包括四個層面的內容:一是國家大法;二是部門規章;三是行業協會的標準與指南;四是可參考借鑒的最佳實務案例。
有人形象地描述我國的內部控制法規體系建設現狀是:“站在外國巨人的肩上,上不著天,下不落地”。
其意思是,我國政府監管部門充分利用了后發優勢,在吸收借鑒美國《薩班斯-奧克斯利法案》(下稱“SOX法案”)和COSO內部控制框架的基礎上,出臺了《企業內部控制基本規范》及其配套指引,但內控方面的國家大法尚未出臺;與此同時,又缺乏能使《企業內部控制基本規范》落地的行業標準與操作指南。于是乎,企業為了節約成本,直接從第四個層面切入,學習借鑒其他企業的實務案例,甚至不惜照搬照套,以達到盡快構建本企業內控體系的目的。采用這種方式建成的企業內控 體系具有鮮明的個性,但明顯缺乏系統性和規范性。
筆者認為,構建完善的法規保障體系,有利于增強企業內控建設的權威性和強制約束力,也有利于行業協會研究、制定和盡快發布企業如何實施內控的標準、操作指南和技術方法,增強貫徹落實內控法規的可操作性,促使企業真刀實槍地開展內控體系建設。
構建內控信息化管理平臺
眾所周知,SOX法案404條款是實施過程中最難操作、最復雜、耗費成本最高的一個條款。該條款規定,在美上市企業建立內部控制體系,內部控制活動的記錄不僅要細化到像產品付款時間這樣的細節,而且對重大缺陷都要予以披露,要求對內控體系進程和文檔記錄進行有效的信息化管理,以實現自動化、一體化和可持續的合規報告。為了滿足SOX法案的嚴格要求,上市公司必須在信息存檔、披露和安全等方面構建新的系統,部署新的軟件和IT治理環境。這就是當年以SOX等為代表的法案,在美國IT業引發的狂熱、持久的法規遵從效應,也為美國IT業帶來了一批全球最有實力的買家定單的原因!我國《企業內部控制配套指引》中的18項應用指引分類為:5項內部環境類指引、9項控制活動類指 引和4項控制手段類指引。與國際內部控制協會(InternalControlIn鄄stitute,下稱“ICI”)發布的內部控制指標體系相比較,最大的區別在于,而ICI將控制環境定義為10大屬性,即:行為守則政策、企業道德價值觀、首席執行官的表率作用、組織架構、員工的勝任能力、特別授權與溝通、一般授權與責任制、內部審計、資產保護和既定的工作流程;將控制活動按照企業運營管理業務流程分為:支出、收入、生產/轉換、融資和對外財務報告五個業務循環周期;而控制手段則通過信息化管理手段來實現對內控流程中各項業務活動的控制,最終通過建立信息化管理平臺實現企業內部控制的目標。
企業內部控制是一個持續完善的過程,企業的信息安全、存檔、共享等也必將是一個永續的過程。構建內控信息化管理平臺,需要梳理企業運營管理業務流程,將風險點和關鍵控制點及其處理規則嵌入系統程序。所有這些要求離開內控管理軟件和信息數據平臺的技術支持,在手工環境下是難以實現。不過我國企業內部控制相關規范體系雖然也多處提及了“利用計算機和通信技術”、“利用信息技術”、“形成信息化管理平臺”等字眼,但由于缺乏具體落地實施的標準與操作指南,目前還無法讓國內的IT業嗅出實實在在的商機。
