作者:于小镭
出版社:机械工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
企业内部控制基本规范实务指南与讲解试读:
前言
财政部、证监会、审计署、银监会、保监会于2008年6月28日联合发布了我国第一部《企业内部控制基本规范》,这是我国继实施与国际接轨的企业会计准则和审计准则之后,在会计和审计领域推出的又一与国际接轨的重大改革,这部规范的推出,意味着中国企业内部控制规范体系建设正在向国际标准靠拢。该基本规范将于2009年7月1日起首先在上市公司范围内施行,并鼓励其他非上市的大中型企业执行。《企业内部控制基本规范》的实施对于加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益具有重要意义,在当前因美国次贷危机所引发的全球金融危机对实体经济的影响逐步显现的背景下,具有特殊的现实意义。同时,该规范的实施将给我国各类大中型企业带来脱胎换骨的影响。这个被称为“中国版 SOX”的规范,被无数人寄予了期望,未来五年内,基本规范及其配套应用指引的实施将对中国的上市公司、金融机构和大中型企业的规范化运作带来实质性推动,同时,对于企业加强经营管理以及中国资本市场的持续健康发展具有重大影响。
这套企业内部控制规范适用于中国企业的内部控制体系,它借鉴了COSO报告五要素框架和风险管理八要素框架。企业的内部控制,应该贯穿于企业经营活动的决策、执行和监督的始终,涵盖企业各种业务和事项。企业每一项经营活动,从工作的效率性及风险的控制性来讲,都应强调过程控制,包括宏观上公司治理结构的确立、机构设置及权责分配、人力资源政策、企业文化等,也包括微观上企业股东会和董事会的决策程序,经理层及员工的执行程序和要求,监事会、内部审计委员会的监督程序,员工奖励计划,以及违反公司内部控制体系的罚则,等等。
企业内部控制标准体系主要包括基本规范、具体规范和应用指南。
基本规范规定内部控制的基本目标、基本要素、基本原则和总体要求,是制定具体规范和应用指南的基本依据,在内控标准体系中起统驭作用。
具体规范是根据基本规范,对企业办理具体业务与事项从内部控制角度做出的具体规定。
应用指南是根据基本规范和相关具体规范制定的详细解释和说明,主要是为某些特殊行业、特殊企业、特定内控程序提供操作性强的指引。
基本规范分为7章,共50条,各章分别是:总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。此次基本规范的发布,标志着中国企业内部控制规范体系建设取得了重大突破。
该基本规范的一大突破是科学界定了内部控制的内涵,强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于树立全面、全员、全过程控制的理念。基本规范强调,内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
该基本规范还有机融合了世界主要经济体加强内部控制的经验,提出了企业建立与实施有效内部控制的要素,即构建以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。
此外,该基本规范还开创性地建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制,要求企业实行内部控制自我评价制度,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系;国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告。
本书主要是根据《企业内部控制基本规范》,并结合有关法规,对企业内部控制的基本目标、基本要素、基本原则和总体要求进行了由浅入深、通俗易懂、极为系统的阐释,同时结合大量企业内部控制案例,详细剖析了企业内部控制基本规范的思路与实践技巧。本书是各类上市公司、各类大中型企业、证券公司、各类银行和保险公司的财会人员、管理人员,以及财经院校师生学习了解企业内部控制规范的必备指南。
本丛书的出版,得到了机械工业出版社华章分社领导和编辑的大力支持和协助,在此深表谢意。
本丛书由中企港资本服务集团、中审亚太会计师事务所、中企汇金投资(基金)管理有限公司总策划,由财政部、首都经贸大学、厦门大学、河南财经学院、中审亚太会计师事务所、中企港资本服务集团的专家、教授、博士组成的企业内部控制基本规范丛书编写组共同编写。参加《企业内部控制基本规范实务指南与讲解》一书编写的有:徐兴恩、李书锋、许江波、常叶清、李凯、王洁、李志林、梁惠明、王彭生、徐迎静、于小镭。本书由于小镭博士任主编、徐兴恩教授任副主编。
在本丛书编写过程中,尽管我们力争做到全面考虑、结构严谨、准确表达准则思想内容和操作方法,但限于我们的水平,难免存在这样或那样的不足,恳请各位同仁不吝指正,以便进一步充实和完善本书的内容。“企业内部控制规范丛书”编委会2008年12月于北京第一章 总则《企业内部控制基本规范》(以下简称规范)第三条中明确界定了内部控制的内涵和目标,规范第三条明确指出:“内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。”同时,规范第四、第五条还规定了内部控制的原则及内部控制的要素。企业建立与实施有效的内部控制,应当具备五个要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。第一节 企业内部控制概念与目标一、企业内部控制概念的产生、内容及其演变
市场经济是一种通过市场主体,运用现代市场机制来配置社会资源的经济制度。市场经济自其产生以来,尽管经历过不同的经济发展周期,每次发展周期都不同程度地发生过经济危机,但在每一次经济危机之后,相关的市场经济制度都得到了发展与完善。经济就是在无数的经济发展周期中得到迅速发展的。纵观近现代经济发展的历史,相对于其他经济制度而言,市场经济制度仍然是一种具有较高效率的社会资源配置的制度。
在现代市场经济体系中,经济运行主要涉及市场主体、市场中介和市场场所等相关要素。商品市场需求通过市场以商品价格的形式表现出来,而市场供给方主要通过供给方对商品价格信息进行竞价,获得合约方便提供商品,为了确保市场能公开、公正和高效率运行,市场交换要通过商品交换场所,如消费品市场(商场)、生产资料市场等进行,还要有维持市场有序运行的监管机构并提供相应市场交换规则,以及为提高市场运行效率的各种中介机构,如律师事务所、会计师事务所等。现代公司制度,作为企业的组织形式构成了现代市场经济发展的细胞,它是市场运行的主体,是商品供需方的载体。当市场经济由单纯的商品经济向发达的金融经济发展时,其市场运行产品也由实体的商品向金融产品乃至于衍生金融产品发展,伴随着现代互联网技术的发展,其市场表现形式(资本市场、互联网市场)、市场运行的速度也发生了很大的变化,其交易规则也变得愈来愈复杂了,市场主体所面临的风险也越来越大。作为市场主体的现代公司制度,也由最初的无限责任公司发展到有限责任公司和股份有限责任公司,原来以追求利润为唯一目标的公司,也发展到成为了一组利益相关者(投资人、债权人、职工等)契约的结合体。企业内部控制制度最初仅作为查弊纠错的一项管理制度,逐渐演化为规范公司行为,防范经营风险、提供经营效率的制度安排。
内部控制制度按其时间先后次序,根据其内容发展,可以将其划分为:内部牵制阶段、内部控制制度阶段、内部控制结构阶段和内部控制整体框架等四个发展阶段。
第一发展阶段:内部牵制阶段
在20世纪70年代以前,企业为了确保账目之间相互核对,确保财务报表的可靠性,所以产生了不相容岗位相互分离控制的思想,这就是内部牵制思想。内部牵制思想是企业内部控制最初的朴素思想,其主要特点是以任何人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。
内部牵制思想基于这种设想:同一流程由分工不同的人掌握后,错误概率比由一个人把持时的错误概率要低,而且他们合伙舞弊的可能性也更低。因此,企业各部门之间,或同一部门不同岗位之间,通过设置互相牵制的岗位,运用实物牵制、机械牵制、人员牵制等方式对企业进行控制。内部牵制阶段的主要目的是实现企业提供的财务报表准确,确保企业资产安全。
内部控制不仅能提高财务会计报表的可靠,而且有利于防止舞弊行为,提高企业的经营效率,于是内部控制发展进入了第二发展阶段。
第二发展阶段:内部控制制度阶段
进入20世纪70年代,人们逐渐发现通过建立两种内部控制体系,即内部会计控制体系和内部管理控制体系,一方面可以确保资产安全、检查会计数据的准确性和可靠性;另一方面可以提高经营效率、促使相关人员遵守既定的管理方针。
1949年,美国会计师协会的审计程序委员会在《内部控制,一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中,把内部控制定义为:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产、检查会计信息的准确性,提高经营效率,推动企业执行既定的管理政策。”1958年10月,该委员会发布了《审计程序公告第29号》,将内部控制划分为内部会计控制和内部管理控制。内部会计控制包括组织规划的所有方法和程序,这些方法和程序与财产安全和财物记录可靠性有直接联系。这些控制包括授权与批准制度、从事财务记录和审核与从事经营或财产保管职务分离的控制、财产的实物控制和内部审计。内部管理控制包括组织规划的所有方法和程序,这些方法和程序主要与经营效率和贯彻管理方针有关,通常只与财务记录有间接关系,这些控制一般包括统计分析、工作节奏研究、业绩报告、员工培训计划和质量控制。
内部控制阶段,表明人们对内部控制认识范围扩大了。企业建立内部控制的目的由确保企业资产安全和确保财务信息可靠性向提高企业经营效率发展,但这时关注企业内部控制的人员主要还是外部审计人员。随着企业内部控制的发展,审计人员为了降低审计风险,提高审计效率,审计的重点也由详细审计和抽样审计向以企业内部控制制度为基础审计发展。通过审计企业内部控制制度的有效性来降低审计风险。
第三发展阶段:内部控制结构阶段
进入20世纪80年代,企业作为利益相关者契约结合体的认识有了进一步的发展,强调企业的社会责任在企业发展过程中的重要性,于是对企业内部控制的研究也有了进一步的发展。人们发现内部会计控制与管理控制体系之间是相互联系的,是不可分割的部分,于是提出了内部控制结构的概念。1988年,美国注册会计师协会发布了《审计准则公告第55号》,该公告首次以“内部控制结构”代替“内部控制”,认为“企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”,内部控制结构具体包括三个要素:控制环境、会计系统和控制程序。控制环境 反映董事会、管理者、投资人和其他利益相关者的态度和行为。包括管理哲学和经营作风、企业社会责任、企业组织结构等。会计系统包括会计确认、计量、记录和报告等程序及相关内容,其目的是通过会计系统的运行,为外部信息使用者提供相关性和可靠性的财务报表信息,同时,通过会计系统确保企业资产安全、反映经营管理者的受托责任。控制程序指管理当局所制定的政策和程序,用以保证实现一定的目的。包括经济业务和活动的批准权、充分的凭证和账簿记录,资产和记录的控制以及业务的审核等。
控制环境理论认为“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”,并且明确了内部控制结构内容为控制环境、会计制度和控制程序三个方面。
第四发展阶段:内部控制整体框架阶段
进入20世纪90年代,社会经济环境发生了巨大变化。世界经济一体化、经济全球化成为世界经济发展主流,石油危机、金融创新与金融危机、世界经济危机此起彼伏,企业所面临的风险愈来愈大。于是,如何通过加强企业内部控制,确保企业利益相关者利益成为企业的重要任务,社会各界对企业内部控制的认识逐步统一起来。在这样的历史背景下,美国提出了内部控制整体框架,经过本世纪初的发展又形成了《企业风险管理整合框架》,引领全球内部控制与风险管理的发展方向。二、关于COSO报告
COSO是特雷德韦委员会(Treadway Commission,即反欺诈财务报告全国委员会,National Commission on Fraudulent Financial Reporting)下属的发起人委员会(Committee of Sponsoring Or ganizations)的简称。特雷德韦委员会由美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际财务经理协会(FEI)、内部审计师协会(IIA)和管理会计师协会(IMA)等5个组织于1985年发起成立。1987年,特雷德韦委员会发布一份报告,建议其发起组织共同协作,整合各种内部控制的概念和定义。1992年,COSO发布了著名的《内部控制—整合框架》(Internal Control—Integrated Framework),成为内部控制领域最为权威的文献之一。之后,由于安然事件和安达信事件的影响,美国国会出台了《萨班斯—奥克斯利法案》,法案对美国《1933年证券法》、《1934年证券交易法》做了不少修改,并在会计职业监督、公司治理、证券市场监督等方面做出了许多的规定。为满足新形势发展的需要,2003年7月,COSO发布了《企业风险管理—整合框架(征求意见稿)》,经过一年多的意见反馈、研究和修改,于2004年9月发布了最终的文本。
企业整体框架将内部控制定义为:“一个由企业的董事会、管理层和其他人员实现的过程,旨在为下列目标提供合理保证,第一,财务报告的可靠性;第二,经营效果和效率;第三,符合适的法律和法规。”而企业风险管理框架发展为:“企业风险管理就是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目的实现提供合理保证。”
在企业整体框架下,企业内部控制的目标在于确保财务报告的可靠性、确保企业经营效果和效率、确保企业法律和法规的贯彻执行。而企业风险管理框架将企业内部控制目标设定为:战略目标—高层次目标,与使命相关联并支撑其使命;经营目标—有效和高效率地利用其资源;报告目标—确保报告的有效性;合规目标—符合适用的法律和法规。
企业控制结构分为五部分:控制环境、风险评估、控制活动、信息与沟通和监督与评价。企业风险管理的构成要素包括:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动等。(1)内部环境。内部环境包括组织的基调,它为主体的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境。(2)目标设定。必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。(3)事项识别。必须识别影响主体目标实现的内部和外部事项,区分风险和机会,使机会能够被反馈到管理当局的战略或目标制订过程中。(4)风险评估。通过考虑风险的可能性和影响对其加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。(5)风险应对。管理当局选择风险应对—回避、承受、降低或者分担风险—采取一系列行动以便把风险控制在主体的风险容限和风险容量以内。(6)控制活动。制订和执行政策与程序以帮助确保风险应对得以有效实施。(7)信息与沟通。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。(8)监控。对企业风险控制进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或两者结合起来完成。
COSO报告的内容由整体框架到风险管理体现了人们对企业内部控制认识的深化,它表明由于企业经营环境的变化,促使人们必须通过企业内部控制制度的建设,来识别企业经营中所面临的风险、采取应对风险的措施、提高企业抵御风险的能力,为实现企业发展战略服务。三、关于我国企业内部控制制度建设的发展
我国企业内部控制的最初表现从加强企业会计监督角度来加强企业内部控制。因此,企业内部控制也主要局限于企业的会计控制。1996年中国注册会计师协会发布《独立审计具体准则第9号—内部控制与审计风险》,旨在通过加强对企业内部控制建设来评估审计风险。之后,国务院各部委根据自身行业的要求对各行业制定了一些相关的内部控制规范。例如,中国人民银行1997年发布的《加强金融机构内部控制的指导原则》和2002年颁布的《商业银行内部控制指引》;中国证券监督管理委员会2001年发布的《证券公司内部控制指引》;财政部2001年6月发布的《内部会计控制规范—基本规范》和《内部会计控制规范—货币资金》,2002年颁布的《关于企业实行财务预算管理的指导意见》;国务院国有资产监督管理委员会2004年发布的《中央企业发展战略和规划管理办法》,以及上海证券交易所2006年发布的《上海证券交易所上市公司内部控制指引》等。
2005年6月,在财政部、国资委和证监会联合上报的《关于借鉴〈萨班斯法案〉完善我国上市公司内部控制制度的报告》上做出批示,同意“由财政部牵头,联合证监会及国资委,积极研究制定一套完整公认的企业内部控制指引”。2006年7月15日,财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会,许多监管部门、大型企业、行业组织、中介机构、科研院所的领导和专家学者积极参与,为构建我国企业内部控制标准体系提供了组织和机制保障。据国家有关法律法规,我国财政部会同中国证监会、国家审计署、中国银监会、中国保监会于2008年6月28日制定并发布了《企业内部控制基本规范》,自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。我国现行的内部控制制度包括《企业内部控制基本规范》和《企业内部控制指引》。四、企业内部控制的目标
企业内部控制目标设置是实现企业进行事项识别、风险评估和风险应对的前提。内部控制目标由起初的查错防弊以确保财务报告的真实性,到合理保证企业资产安全、提高经营效率效果,保证相关政策法规得以有效执行,再到促进企业实现发展战略。因此,概括起来,现代企业内部控制的目标由战略目标、经营目标、报告目标和合规目标构成。(1)战略目标。企业战略目标是指关系企业生存与发展的重大、长远、重要的使命和愿景的描述。企业战略目标要求企业描述企业的社会责任、企业营利的目标、企业管理水平和公司治理水平、企业的行业竞争地位等。企业战略目标是企业制定其他目标的前提,其他相关目标制定必须满足企业战略目标发展的要求。从公司层面来看,企业战略目标一般是由董事会提出与论证,经股东大会通过。
企业战略目标是统领企业发展的方向,而内部控制则需要为实现企业战略目标提供组织和制度的保障。(2)经营目标。企业经营目标服从于企业战略发展目标,它是由企业管理层根据董事会战略目标决策所制定的经营目标。因此,企业内部控制经营目标体现在资产安全和提高企业资产经营效率与效果上。(3)报告目标。现代企业作为委托代理契约结合体,必须定期为委托人提供相应的财务报告,以反映经营管理者的受托责任。企业财务报告信息质量的高低,直接影响信息使用者的决策,因此,应建立健全企业内部控制,确保企业提供真实可靠的财务报告。(4)合规目标。市场经济是法制经济,为了确保市场经济各主体在一定法律法规条件下运行,企业必须遵守相应的工商、税务、环境、价格、员工福利以及国际贸易等相关法律法规,因此,企业内部控制要求确保企业外部相关法律法规的执行。同时,随着企业规模的扩大,为了提高企业的整体经济效率与经营效果,企业会根据自身发展的需要,制定相应经营措施和管理规则,这些企业经营政策同样要求各层级和各部门执行,因此,内部控制的目标还要求企业董事会和经营管理层所制定的相关制度能得到有效贯彻执行。第二节 企业建立和实施内部控制规范的必要性
现代企业内部控制的产生与发展是为提高企业财务报告质量、确保企业资产安全和提高企业经营效率而产生的,它伴随着世界经济一体化和全球化的发展而不断得到发展。企业内部控制构成了企业制度建设的重要组成部分。
1.企业治理会计信息失真、提高财务报告信息质量需要企业内部控制规范
现代企业的性质是由投资者、债权人、供应商、顾客等利益相关者组成的契约结合体。现代企业实行所有权与经营权的分离,投资者与经营管理层之间形成一种委托代理关系,其中投资者构成企业的委托方,经营管理者构成企业受托方。按照现代企业制度的安排,受托方对自己受托的资产经营情况,必须通过向委托方提供相应的财务报告信息,解脱其受托责任。而作为现有的投资者或者潜在的投资者以及其他外部利益相关者也必须通过运用财务报告提供的信息据以做出投入、持有或退出等经营决策。因此,提高财务报告信息质量,就成为利益相关者共同关注的焦点。在受托人与委托人之间存在信息不对称情况下,为了确保受托人所提供的财务报告信息的真实可靠的,必须通过一整套制度安排来实现。在这套制度安排中包括:首先,建立一套报告信息的制度,即要建立一套会计准则,它是企业据以编制财务报告的会计制度;其次,企业必须建立符合会计准则的内部控制制度;最后,受托方所提供的财务报告必须经过具有独立性的第三方,即审计方进行审计,并对企业是否或者已建立的内部控制制度实施是否有效做出判断。由此可以看出,企业内部控制制度对于确保会计信息质量具有重要的作用。
会计信息失真曾是许多国家在发展资本市场初期难以治愈的顽症。进入21世纪,中国在经过近三十年的改革开放后,企业基本制度的建设得到了长足的发展,但随着旧体制影响的逐渐消退和市场经济发展的相对成熟,经营风险的危害性和风险管理的必要性已经凸现在我国企业面前,不少企业因内部控制不严、管理不善而倒闭或陷入困境,前有“郑百文”、后有“银广厦”、“中航油事件”等。这些事件的发生,表明了我国企业内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。
治理会计信息失真需要综合治理。首先要建立一套能满足经济发展需要的会计准则制度,其次企业内部要有一套内部控制制度确保企业会计准则能够被遵守执行。为此,国家必须通过立法强化企业内部控制,内部控制日益成为企业进入资本市场的“入门证”和“通行证”。
2.确保企业资产安全可靠,提高企业经营效率需要企业内部控制规范
经济健康发展迫切需要加强内部控制。内部控制作为公司治理的关键环节和经营管理的重要举措,在企业发展壮大中具有举足轻重的作用。
在现代企业发展中,企业所实行的专业化分工,提高了生产经营的效率。为了满足专业化分工的需要,企业必须设立不同的岗位和部门,通过相互协作完成生产经营任务。随着企业规模的扩大和内部职能部门的增多,客观上需要企业内部协调一致,节约资源,防止工作差错和舞弊,提高经营效率。但从我国企业现实情况看,许多企业管理松弛、内控弱化、风险频发,资产流失、营私舞弊、损失浪费等问题还比较突出。为了提高企业的经营效率,客观上要求企业建立包括组织机构、业务流程在内的,具有自我控制和自我调节功能的管理机制。首先,企业应对不相容职务,比如财务部门的出纳与会计等类似岗位,分设不同的岗位,形成相互牵制。其次,企业需要建立决策机制与执行机制相互配合的内部控制制度。最后,按照现代企业制度的要求建立决策权、执行权与监督权相统一协调的公司治理结构,确保资产安全和经营效率。
在我国,为了引导企业进一步加强内部控制,于1999年修订的《会计法》,第一次以法律的形式对建立健全内部控制提出原则要求,财政部随即连续制定发布了《内部会计控制规范—基本规范》等7项内部会计控制规范,财政部、证监会、审计署、银监会、保监会于2008年6月28日联合发布了我国第一部《企业内部控制基本规范》,这是我国继实施与国际接轨的企业会计准则和审计准则之后,在会计审计领域推出的又一与国际接轨的重大改革。该基本规范将于2009年7月1日起首先在上市公司范围内施行,并鼓励没有上市的其他大中型企业执行。
随着市场经济的发展和企业环境的变化,单纯依赖会计控制已难以应对企业面对的市场风险,会计控制必须向风险控制发展;同时,各部门之间的内控要求也有待于进一步协调,以便为进行内部控制的自我评估和外部评价提供统一标准。因此,统一的、以风险控制为主要目标的内部控制规范的建立正越来越多地被提到企业经营管理的日程上来。
3.市场国际化、经济全球化的趋势促使企业建立健全企业内部控制规范
市场是商品经济发展的必然产物。市场的国际化,源于国际贸易。第二次世界大战之后,经济发展国际化趋势成为世界经济发展的必然结果。发达国家与发展中国家、发达国家与发达国家之间、发展中国家之间相互开展贸易,相互之间进行直接投资。例如,波音飞机就是由美国生产的发动机、印度生产的软件、马来西亚生产的轮胎、我国生产的座椅等组装而成。
伴随着生产与贸易的国际化,金融国际化也成为了一种必然趋势。中国的公司到美国的纳斯达克上市,到纽约证券交易所上市,到欧洲发行债券成为获取国际资本的重要手段。随着企业在世界各国上市,根据各国证券监管部门的要求,各上市公司公司的财务状况、公司治理和内部制度等方面也要受到监管。
国际资本市场大力强化内部控制。安然、世通等财务舞弊和会计造假案件的发生,巴林银行倒闭案的发生,严重冲击了美国乃至国际资本市场的正常秩序。由美国次级债所引发的全球性金融危机使美国的经济危机向全世界蔓延,引发了整个世界经济发展的调整与震荡。这表明在经济全球化的过程中,经济的不确定性对企业产生的风险越来越大。为了强化企业抗风险能力,必须加强企业内部控制。
综上所述,建立和实施企业内部控制规范,是经济社会发展的迫切要求,是新形势下监管部门落实科学发展观、服务企业改革与发展的重要举措。第三节 企业建立和实施内部控制的原则
建立健全完善的内部控制制度,有利实现企业内部控制的目标。为此,企业在建立与实施内部控制时,应当遵循全面性、重要性、制衡性、适应性和成本与效益对比等原则。
1.全面性原则
即内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。
现代企业制度建立了由董事会和股东会掌握决策权、由经营管理层执行经营权、由监事会执行监督权的相互分离和相互制约的制度安排。在这种制度框架下,企业又按生产经营管理的需要,建立了相应的营销、研发、生产、财务、人事等生产经营管理系统。而在每个子系统中又分为不同的岗位,例如,在财务部门分为会计主管、出纳、会计等岗位。内部控制建设全面性原则要求:(1)内部控制制度与公司治理相联系。内部控制制度必须将公司的决策权、执行权和监督权有机结合起来。(2)内部控制制度必须贯彻到营销、研发、生产、财务、预算等价值链之中。(3)每一个部门之间的不相容岗位之间也必须建立相应的内部控制制度。
2.重要性原则
内部控制应当在全面控制的基础上,关注重要业务和高风险领域。
在企业经营管理过程中,各生产经营环节之间相互联系,但各自所面临的风险程度是不同,这就要求在内部控制的建设过程中,关注重要业务和高风险领域。例如,在决策权、经营权与监督权之间,决策权关系到企业发展方向,它所承受的风险最大。因此,企业内部控制应关注如何建立起科学的决策程序,确保企业决策权的正确运用。重要性的判断还需要职业判断,其重要性程度也需根据行业特点的变化而变化。例如,银行业中,银行发放贷款前对于客户资信情况要进行调查,银行发放贷款后,收回贷款本息成为重要的事项,银行应加强对贷款的管理。
3.制衡性原则
内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
没有制约的权力必然产生腐败。企业内部控制制度的核心就是通过建立相应机构对企业的权力进行制约,确保企业各部门之间相互依赖和相互制衡,以确保企业的高效运营。
4.适应性原则
内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
作为利益相关者契约结合体,由于各企业所处行业不同,各行业所面临的风险各异,企业在不同的发展阶段所面临的情况也有很大差别,这就要求企业在建立内部控制制度时,应与企业所处的行业、业务范围、竞争状况和风险水平、企业发展的不同阶段相适应,确保企业内部控制目标的实现。
5.成本效益原则
内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
任何一种制度的建立总会发生一定的成本,同时,它也将产生一定的效益,内部控制度的建立也不例外。这样企业在建立和实施内部控制过程中时,应权衡实施成本与预期效益,实现以最小的成本获得最大的预期收益。第四节 企业内部控制的框架与体系
根据企业内部控制标准委员会所达成的共识,我国企业内部控制制度体系的基本目标为:总结我国经验,借鉴国际惯例,有效利用国际国内资源,充分发挥各方面积极作用,通过3~5年的努力,基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体的内部控制制度体系,以及以监管部门为主导、各单位具体实施为基础、会计师事务所等中介机构咨询服务为支撑、政府监管和社会评价相结合的内部控制实施体系,推动公司、企业和其他非营利组织完善治理结构和内部约束机制,不断提高经营管理水平和可持续发展能力。
根据这一目标,建设一套控制标准体系和评价体系建设是内部控制体体系的重中之重,因为它既是内控体系建设的基础,又是适应证券监管的迫切需要。控制标准体系主要包括基本规范、具体规范和应用指南。
基本规范规定内部控制的基本目标、基本要素、基本原则和总体要求,是制定具体规范和应用指南的基本依据,在内控标准体系中起统驭作用。
具体规范是根据基本规范,对企业办理具体业务与事项从内部控制角度做出的具体规定。
应用指南是根据基本规范和相关具体规范制定的详细解释和说明,主要是为某些特殊行业、特殊企业、特定内控程序提供操作性强的指引。基本规范共七章五十条,各章分别是:总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。此次基本规范的印发,标志着中国企业内部控制规范体系建设取得了重大突破。该基本规范一大突破是科学界定了内部控制的内涵,强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于树立全面、全员、全过程控制的理念。基本规范强调,内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。该基本规范还有机融合了世界主要经济体加强内部控制的经验,提出了企业建立与实施有效内部控制的要素,即构建以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。此外,该基本规范还开创性地建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制,要求企业实行内部控制自我评价制度,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系;国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告。具体规范涉及财务报告内部控制和其他方面的控制(如对符合企业经营目标的控制)。
应用指南是根据基本规范和相关具体规范制定的详细解释和说明,主要是为某些特殊行业、特殊企业、特定内控程序提供操作性强的指引,主要包括:《企业内部控制评价指引》、《企业内部控制应用指引》和《企业内部控制鉴证指引》等。《企业内部控制评价指引》要求,企业应当根据《企业内部控制基本规范》和本评价指引,结合本企业的实际情况,制定内部控制评价办法,明确内部控制评价的原则和内容、程序和方法,以及报告形式等相关内容,确保内部控制评价工作落到实处。
目前制定的《企业内部控制应用指引》中的20多项指引,主要包括组织架构、企业发展战略、人力资源、企业文化、社会责任等指引;按照资金流,则主要划分为资金、研发、工程项目等指引;按照物流,可分为采购、销售、存货、固定资产、投资等指引;按照信息流,可分为全面预算、合同、内部报告、信息系统等指引,按照特殊行业,则分为银行业、保险业、证券业等具体指引。第五节 企业内部控制的外部审计
为了保护投资者的利益,解除企业经营管理者的受托责任,要求企业的财务报告必须经过注册会计师的审计。现代审计目标是注册会计师通过执行审计工作,对财务报表发表审计意见,即财务报告是否按照适用的会计准则和相关会计制度的规定编制;财务报表是否在所有重大方面公允反映被审计单位的财务状况。因此,审计是提高财务报告信息质量的一项重要制度安排。
由于注册会计师是以超然的独立的第三者身份,对被审计单位财务报表合法性、公允性发表意见,因此,经注册会计师审计后而签发的审计报告具有鉴证作用,得到政府及其各部门和社会各界的普遍认可。政府有关部门,如财政部门、税务部门,企业股东及债权人主要依据注册会计师提供的审计报告来判断企业财务报表是否合法和公允,是否公允地反映了财务状况和经营成果,并据以进行投资与信贷决策。
正由于审计的独立性和专业知识的权威性,因此,审计具有鉴证作用。也就是说如果企业的财务报告经注册会计师审计后,审计师会提出具有权威性的专业报告,这种报告值得人们信赖,人们可以据此正确判断企业的经营的情况并做出相关的决策。内部控制制度与企业的财务报告息息相关。这是因为,确保企业财务报告信息质量既是内部控制的目标之一,也是审计所需达到的目标。因此,企业内部控制制度建设的有效性与否可以通过审计活动来实现。随着我国内部控制制度的建立与完善,要求在企业在经营过程中进行贯彻执行。但由于存在信息不对称,企业是否真正贯彻了企业内部控制制度,内部控制制度是否运行有效,还需由具有独立性和专业性的审计部门通过测试,并对企业内部控制运行的有效性进行评价,并提供相应的审计报告。第二章 内部环境《企业内部控制基本规范》(以下简称规范)第五条中明确界定了内部环境的主要构成内容,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策和企业文化等。规范第11~19条对相关内容做了原则规定。作为企业实施内部控制的基础,内部环境的极端重要性显而易见,它从根本上决定着企业内部控制的有效性和效率。第一节 公司治理的内部控制一、公司治理的内部控制目标(一)公司治理与内部控制的内涵和相互关系
公司治理是所有者和债权人用来控制和要求经营者对受托资源履行相关责任时,进行的一系列制度安排。通过一套包括正式或非正式的、内部和外部的制度或机制来协调公司与所有利益相关者间的利益关系,以促进公司决策的科学化,从而维护利益相关者的利益。
公司治理和内部控制是不可分割的,需要将内部控制纳入公司治理路径之上,否则将形成内部控制的盲区和弱控区,使内部控制失效问题无法从源头上得到解决。内部控制在实质上是实现企业目标的途径和方法,实现公司治理与内部控制的有机结合,才能从根本上解决控制问题。
公司治理的内部控制是最高层次的内部控制,是通过治理结构的设计,由公司治理主体(企业关键资源提供者)实施权责配置、制衡、激励与约束、协调等功能,促使管理人员更好地履行责任。公司治理的内部控制是由股东大会、董事会和经理层构成的内部权力机构的权力分配及其相互制衡机制,其关键点在于明确划分股东、董事会和经理层各自的权力、责任和利益,形成三者之间的权力制衡关系,最终保证企业规章制度的有效执行和企业目标的实现。企业的所有者(以股东为首的利益相关者)选举董事组成董事会来监督公司的经营管理活动。
很显然,“公司治理”、“内部控制”及相应的“组织结构”(机构设置),在内涵和外延上都不免存在一定程度的交叉。例如,内部审计机构,它既是企业的组织结构的重要组成部分,又是内部控制的重要组成部分,当然也是公司治理的必要内容。然而,并非每个部门都有这种特点,某些组织机构与内部控制的交叉相对就少一些,例如公司的研究开发部门等。(二)公司治理的内部控制目标
公司内部控制的目标已在本书第一章中阐述过,公司治理内部控制的目标与规范第三条中规定的“内部控制的目标”是一致的,前者是后者在公司治理过程中的具体体现。公司治理内部控制旨在通过治理结构的设计,实现内部控制和公司治理的相互融合,形成股东、董事会和经理层的分工与制衡,化解矛盾、凝聚力量,防范经理人的道德风险和逆向选择,制衡大股东行为,保证企业健康有效运行和可持续发展。对此,可做如下概括。
1.抑制经理人舞弊或防范道德风险
根据委托代理理论,代理问题存在于企业内部的每一个层次上,代理关系虽然可以降低经营成本,但增加了代理成本。为了解决代理问题,就必须建立一个健全的治理结构,以实现企业目标,保护以股东为首的利益相关者的权益,降低代理成本。
管理层为了追求自己的私利,会冲破自己的职业道德防线做出逆向选择,甚至会产生经理人员舞弊,损害股东和其他利益相关者利益的行为,其具体表现为:(1)在职消费膨胀。例如用公款建设或购买更大更好的住房,公车私用,公款私存,用公款支付国内外旅游费用,用公款吃喝娱乐等。(2)侵占和转移企业资产。一些经理人把企业资产转移到由自己或其亲朋好友开设的公司,或通过关联交易转移利润,还有一些经理人员利用职务之便贪污、私分企业资产等。(3)高额薪酬。表现为经营管理人员和员工工资、奖金、集体福利等收入增长过快,超过企业成长速度,侵占企业利润。(4)经营短期行为。一些企业经营管理者的经营决策行为短期化,不考虑企业长期利益和发展,而是把经营决策限定在经营者可预见的,能够使自己的业绩、地位、利益最大化的时间范围内。(5)信息披露失真、报喜不报忧,甚至搞“暗箱操作”。一些经营业绩较差的企业经营者指使财务人员做假账,以掩盖企业的真实经营业绩,为自己谋取利益。(6)盲目扩大公司规模。表现为过度投资或恶性增资,造成资产使用的低效率,并可能导致企业陷入困境。
针对上述情况公司治理的内部控制目标之一就是治理主体对经营者实施监督和激励,例如董事会通过客观评价公司的经营绩效来判断经理层的经营管理是否有效,抑制经理人腐败行为,防范道德风险和逆向选择。
2.化解矛盾,凝聚力量,保证投资回报,实现价值增值与企业的可持续发展
利益相关者理论认为,公司不仅要维护大股东利益,还应该考虑中小股东、员工、经理、债权人、供应商,以及客户的利益,履行企业社会责任等。股东权益是股东基于其对公司的投资依法享有的权利和利益,只有维护了股东的基本利益,才可能维护其他利益相关者的利益。股东利益仍然是对代理问题进行分析的首要问题。但目前大股东利益侵占企业利益或侵占其他利益相关者权益的问题时有发生,主要表现为:(1)获取超额控制权。大股东通过金字塔形股权结构,投入少量现金,获得远远超过现金投资比例的控制权。(2)转移企业资产。大股东利用掌握的控制权,将公司资产转移。(3)分化企业发展机会。大股东获得某一企业控制权后,为了某种特殊利益,有时会分化该企业的发展机会。(4)窃取企业利润。大股东通过担保、关联交易等形式,占用或窃取公司利润。(5)委派不适当的高层管理人员。大股东委派不称职的高层管理人员,导致企业管理混乱。(6)大股东置小股东和债权人的利益于不顾,不分红或少分红,长期拖欠大量债务。
针对上述情况,公司治理的内部控制的第二个目标就是需要协调大股东与中小股东、股东及其他利益相关者之间的利益关系,形成股东、董事会和经理层三者的权力制衡机制,减少代理问题带来的矛盾,化解各利益相关者之间的利益冲突。凝聚各方力量,保护投资者的投资回报,从而实现企业健康有效运行和可持续发展,才会使董事会和经理人在制定规则时能兼顾利益相关者权益。【案例2-1】史密斯先生是一家中外合作企业外方的董事长兼首席执行官(CEO),每年都要来中国,以前他来中国的所有费用都由公司报销。公司新的首席财务官(CFO)上任后不久,董事长又来到中国,在中国旅游、购物、聘用翻译,花了大约两万多美元。回国以后他去报销,公司的CFO详细了解了这些开支具体情况后,委婉地告诉他不能报销。根据董事会的规定,董事长报销要由审计委员会主席批准,而CFO是审计委员会主席。从此以后,公司给董事长定了规矩:第一,与公司业务无关的费用不能拿到公司报销,要自己负担;第二,翻译是为公司工作的,不能让翻译为自己服务,如果请翻译就要自己付费。那么,对董事长和首席执行官的约束是否符合公司治理内部控制的目标呢?
点评
本案例中,新上任的CFO遇到了在常人看来很棘手的问题,但他的反应和处理开创了一个很好的工作局面。应该说,在原来对CEO报销问题的处理中,不符合公司治理内控目标,不仅CEO本人成了内控的盲点,还有可能把这个盲点扩大,成为盲区。新上任的CFO利用有利时机,改变了原来的做法,很好地贯彻了内控要求,维护了公司利益。
公司治理目标的实现有两条主要路径:一是依靠科学合理的公司治理结构与机制;二是实施切合公司实际情况的行之有效的管理控制。对此,将在本章下文述及。二、公司治理结构与机制
规范第11条对公司治理结构与机制明确做出规定:“企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。”同时,本条目其他几款还对股东大会、董事会、监事会、经理层的职责权限做出了原则规定。
在现代公司治理结构中,股东(大)会享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权;董事会对股东(大)会负责,依法监督企业、董事、经理和其他高级管理人员依法履行职责;经理层负责组织实施股东(大)会、董事会决议事项、主持企业的生产经营管理工作。在这种公司治理结构与机制中,行使企业经营决策权的董事会属于核心地位,也是内部控制有效性的关键。因此,本书将重点说明董事会的相关问题。(一)董事会的功能及其有效性的判断
董事会是一个受托责任主体,董事会受利益相关者委托管理企业,由不少于法定人数的董事组成,是代表企业行使法人财产权的会议体或组织,是企业法人的决策机构和监督机构。董事会是治理型内部控制的重要组织形式,是一种减少代理链条,降低代理成本的选择。一个积极主动的董事会对于内部控制是非常重要的。
1.董事会的功能
20世纪90年代以前,在跨国公司中,人们认为董事会是首席执行官(CEO)战略决策的顾问。从90年代开始,大型公司的欺诈行为使得股东们对“橡皮图章式”的董事会越来越不满,建立负有更大责任的董事会的呼声不断增强,董事会的职责开始拓展到内部控制和战略管理领域,形成了四项基本功能,即制定战略、确定政策、监督管理者和承担责任。但在具体实践过程中,董事会的活动差异很大。一个极端的情形下,董事会只是任命CEO并赋予其充分权力,而将干预维持在最低限度,而另一个极端,董事会则把自己看做是最高管理者,提出或批准所有重要决策。规范中规定董事会的主要功能则是对股东大会负责,即承担责任,同时,依法行使经营决策权。
随着外部环境和公司绩效的变化,董事会结构发生了变化,这一变化又使董事会对企业战略有了更多的参与。福特和强生等国际知名大公司,经过了百年的历史之后,股东已经换了,员工已经换了,产品也换过了不知多少代、多少种了,组织的创建者及其后任的领导者们也早已不在了,使这些公司屹立不倒的原因除了品牌之外还有什么呢?这些企业成功的秘诀在哪里呢?以董事会为核心的一套制度、管理和运作规则体系可能是这些企业共有的特性,也是企业得以长期稳定发展的根本原因,优秀的企业必然有一个有效的管理团队和有效的董事会。
2.董事会有效性的判断
如何从制度上保证董事会有足够的激励并约束董事会来监督经理层,防止它与经理层合谋,董事会是否真正发挥了其应有的功能,通常须借助以下几个标准进行判断。(1)权责分明,建立制衡与问责制度。内部牵制是内部控制发展的最初阶段,但其“不相容职务相分离”的思想作为内部控制的核心却一直沿用至今,内部控制在此基础上遵守相互牵制、相互制衡的原则,通过进一步细化控制程序来实施监督。公司治理与内部控制都应遵循相互牵制、相互制衡的原则,经理层和董事会的职权要适度分离,如果董事会和经理层由同一些人担任,或者董事会被内部人控制,将会使决策权、执行权和监督权集于一身,那么治理层面的控制就可能流于形式。董事会是公司治理的核心,也是内部控制的核心,要避免董事会与经理层职务的过多重叠,建立健全董事责任追究与免责机制,保证决策的及时正确,并要将风险责任落实到个人,明确奖罚责任,消除控制中的薄弱环节。(2)建立并实施独立董事制度。董事分为两种类型,即执行董事和非执行董事。执行董事同时又是本公司的内部行政人员,通常是公司的高级经理。非执行董事又分为外部董事、独立非执行董事或独立董事。其中,独立董事是指除了董事身份外与公司没有任何其他契约关系的董事。他们既不是公司的雇员及其亲属,不是公司的供货商、经销商、资金提供者,也不是向公司提供法律、会计、审计、管理咨询等服务的机构职员或代表,不存在任何可能影响其对公司决策独立判断的关系,也不受其他董事的控制和影响。设置独立董事的目的是为了避免“内部人控制”问题,防止拥有控制权的内部人(大股东、经理人)利用公司资源为自己谋利益。把独立董事引入公司治理能够提高董事会实现低成本监控的有效性,而且可以降低高层管理者合谋和损害股东利益的可能性。独立董事由于不依附或受制于任何利益集团,有利于增强董事会的独立性;独立董事可以为企业带来新信息、新思想、新技能,对企业经营风险、财务风险、违规行为提出警示,对经营战略、投资、预算等提出独立、客观的建议,对管理控制运行效果做出评价;他们还可以考核经理层绩效,监控经营者的不当行为,增加信息透明度,提高董事会决策的科学性和公平性,提高企业社会责任和道德意识,保护中小投资者的利益。因此,独立董事被股东和公众认为是企业绩效与道德的护卫者。但是,独立董事要保持独立性就必须与企业保持一定的距离,而有效率的监督又要求独立董事对企业尽可能了解,但接近经营者和各层次员工又会对独立性产生不利影响,两者之间有一个“分寸”的把握问题。要关注独立董事的“经济人”行为,而权责的不对称必然导致独立董事制度效率降低。独立董事的薪酬来自企业,如果让独立董事保护中小股东的利益,而又不与自身利益相冲突,难以达到帕累托最优,这是独立董事制度实施中要注意的。(3)关注“内部人控制”。委托代理关系中要关注“内部人控制”,而相应的解决方法是让更多的外部人参与到内部控制中来。董事会中要有除控股股东之外的其他利益相关者代表,以改善企业决策水平和监控质量。小股东出于搭便车的心理,缺乏监督经营者的积极性。在治理型内部控制中,需要有更多的利益相关者参与到内部控制之中。例如,主要债权人或其代表加入董事会,有利于加强对资金流向的监督,促使资金得到充分合理的利用,从而保护股东之外的投资者的权益;重要客户董事的加入,有利于维护客户权益等。(4)建立内部审计制度。内部审计制度是内部控制的一部分,发挥着风险监控、内部控制和公司治理的作用,它包括审计委员会和内部审计机构。在董事会中设立审计委员会,并建立常设的内部审计部门,通过独立性建设,可以保证和提升内部审计效率。内部审计机构为管理当局和审计委员会服务,其使命将从“审计师实施审计”向“审计师帮助创建程序,以期达到组织成功所需的内部控制”的方向发展。(5)完善的信息传递与披露制度。内部控制要保证信息沟通渠道顺畅,解决委托人与代理人之间的信息不对称问题,及时、准确地将经营成果、财务状况、现金流量、重大风险、内部控制执行等情况报告给董事会;要保证信息的真实、完整性,完善信息披露制度,充分利用企业内部、外部信息;实施有效的举报制度,确保与最佳内部控制实践之间的偏差能够控制在一个合理的范围之内。例如,有些公司的审计委员会成员可以进入举报邮箱,从中获得重要信息,这样有利于提高董事会的治理效率。【案例2-2】中企公司出台了一项收购计划,为了完成这次收购计划,公司花费近千万元,这对公司来说是很大的一笔支出。根据市场分析,这项计划风险很大,可能给公司带来巨大的损失。该公司的一位外部董事担心,收购一旦失败,作为董事可能会因为没有尽责而被股东投诉。他更为担心的是近两个月来,公司董事长已经取消了所有的董事会会议,董事长不是通过董事会,而是自己决定了这项计划。这位董事建议与他共事的部分外部董事召开会议,并要求不能有内部董事出席。结果没有一个外部董事接受他的邀请,并有外部董事把他的建议通报给了公司董事长。这位董事随后收到了公司法律顾问给他的一封信,控告他企图召开“秘密”会议,之后又被告知不会再被提名担任董事之职。
点评
这位外部董事为什么被罢免?这家公司的董事会还有效吗?本案例中有以下三个关键点值得关注:其一,外部董事的做法符合法律要求并无不当或越权之处,不仅如此,这种行为既有利于保证重大决策的正确性,也有利于其免责,因而还是应当鼓励的;其二,这位外部董事的命运也正是其他几位外部董事拒绝接受其邀请的原因,其真实原因自然是伤害了董事长的感情并有可能妨碍其决策,至于法律顾问信中所指显然是“莫须有”的;最后,外部董事流于形式,外部董事连参加会议的机会都没有,董事会显然也成了空壳,徒有其名,这家公司的董事会实际上是无效的。遗憾的是案例中的外部董事的情况并非杜撰或罕见。(二)董事会的信息与沟通
董事会的所有成员不可能像经理层那样了解企业经营状况,其决策依赖于由经理层提供的相关信息。衡量董事会效率的最重要的标志就是董事会及其专门委员会的信息质量。但是,如果董事得到的信息全部来自管理层,就可能存在信息不对称风险。有些企业管理层对独立董事进行信息封锁,使他们在开会之前一两天才收到财务数据等,导致独立董事无法有效地履行监督职责。例如,某公司独立董事对其在董事会会议中对于管理层的提议只能做出这样无奈的解释:“我们既没有建议也没有评价,因为对公司的策略一无所知。在仅仅几十分钟的时间里,我们被迫批准一项管理层研究了几个月的计划,这既不科学,也不可能。”可见,只有在董事与经营者之间能够畅通地交流信息的情况下,董事会才具备监督和决策能力。董事会成员也需要公司治理信息,如董事会自身的运行状况、经理人职责履行情况、利益相关者对公司的评价等。(三)董事会的规模和结构
1.董事会规模
董事会规模被认为是影响财务信息质量的一个重要因素。组织理论认为,大型组织需要花费更多的时间制定决策,董事会规模过大时,董事之间的交流、沟通会受到阻碍,效率会降低。虽然董事会的监督能力随着数量的增加而提高,但是协调和组织过程中的损失将超过董事数量增加所带来的收益。因此,利普顿(Lipton)建议把董事会的规模限制在10人以内,最好是8~9人。詹森(Jensen)等在分析现代公司内部控制机制失败问题时也指出,董事会规模过大,公司更容易被CEO所控制,并且董事会的有效性和监督能力都下降,相应的财务信息质量不可能提高,董事会规模过大是治理失败的原因之一。
2.董事会构成
董事可以分为内部董事(公司雇员)和外部董事(非公司雇员),外部又可以分为独立外部董事和关联外部董事。独立董事制度是财务报告内部控制的重要组成。独立董事的存在有利于制衡大股东,防止大股东利用其控股地位做出分割中小股东利益的行为;还有利于加强对经理人员的监督,防止内部人控制,而且独立董事一般都是管理、经济、法律、会计等方面的专家,从而有可能提高财务报告质量。独立董事的最低数量要求也是关注的焦点,外部董事比例越高,董事会监督能力越强。在过去的40年中,美国大公司的董事会构成发生了重大的变化,大部分的董事会席位已被外部董事所控制。
董事会的独立性影响着董事会治理绩效和其委托人的利益,如何保障和促进董事会独立性,成为董事会建设的焦点。引入外部独立董事是保障董事会独立性的重要手段,可以形成对内部人的有效制约,维护所有者权益。独立董事与执行董事的差异在于独立董事的独立性,这种独立性决定了董事在董事会及其公司中的地位、职责和治理作用。在现实中,独立董事的问责制度弱化,主要由公司管理层或大股东推荐董事,这可能导致董事会的内部人控制问题;独立董事职权规定过于简单,难以有效行使监督权、否决权;独立董事的个人收益与企业绩效没有直接联系,从而缺乏监督动力。一位长期担任独立董事的人士认为:“董事会权力分配不均,运行不力。内部董事过于坚持传统和个人意见,外部董事缺乏必要的信息来源。董事会的两个核心职能是监督长期战略和聘任、考核与激励高层管理人员,而这些职能已经变质。总之,难以独立行权,让签字就得签,因为是大股东把我请来的。”【案例2-3】在微软公司董事会的10个成员中,只有2个管理层的成员是执行董事,一个是比尔·盖茨,另外一个是史蒂夫·鲍尔默—微软现在的CEO,其余的8个人都是独立董事。独立董事与公司没有业务往来,只作为公司的董事而存在,即便是一个董事的配偶、子女和其他亲属在公司工作也应披露。选择董事的时候,微软公司注重其背景的多样性,8位独立董事中,有两位是根据美国证券法规定有资格被称为财务专家的,一位是摩根大通的前首席财务官,另一位是AT&T公司的首席财务官,这是为了让董事会成员有足够的财务知识;一位哈佛商学院的教授;一位原美国劳工部长(负责劳工关系);来自宝马公司的赫尔穆特·庞克(Helmut Panke)是美国本土之外的成员,选择他的目的是为董事会带来有价值的全球视点。据此判断,微软公司的董事会结构显然是出于公司内控的需要而确立的,有助于监控经理层,是一种合理的结构安排。外部董事占据了董事会的绝大比例,董事会成员的知识结构与职业背景合理互补,充分保证了决策的超然独立和正确性,这种结构的潜在问题和关键因素在于外部董事对于公司的忠诚度和敬业精神。(四)董事会所属专门委员会
董事会下设职务细化的专门委员会,其设置依据董事会的规模、性质而有所差异。但一般来说,专门委员会不宜过多,因为过多地设立委员会会造成交流过滤以及权力的层次性,权力膨胀的专门委员会可能取代董事会。有效的董事会将重大事项交给全体董事决定,而专门委员会只是做辅助工作或完成专项任务。董事会所属专门委员会通常包括战略委员会、薪酬委员会、提名委员会、审计委员会等。其中,战略委员会对战略控制具有积极的影响,审计委员会对内部控制的设计和运行具有重要影响。审计委员会一般由董事会聘请独立董事组成,成员主要为财会专家、其他专业人员(如法律、工程技术人员等)。审计委员会并不是要取代财务负责人或者内部审计人员,独立的审计委员会是实现权力制衡的关键。(五)董事会及其成员的权利、义务和职责
董事在公司权力结构中具有特定的法律地位,需要承担特定的法律责任和义务。董事的义务通常分为勤勉义务和诚信义务。勤勉义务指的是董事有义务对公司事务付出适当的时间和精力,定期参加董事会议,关注公司经营,并以维护股东和公司最佳利益为原则履行职责。董事们要了解关键的公司治理问题、利益相关者以及对利益相关者的责任。诚信义务要求董事在改造责任时必须诚实且合理地相信其行为符合企业最佳利益,在个人利益与公司利益发生冲突时,保持应有的公正性。为保证董事会职能发挥,董事会一般要履行如下职责:(1)作为代表股东的常设机构,向股东大会报告工作。(2)对全体股东负责,执行股东大会决议。(3)制定公司战略、宗旨和使命。(4)做出公司的重大决策,决定公司的经营计划和投资方案。(5)负责对公司财务进行审核与控制。(6)制定公司的基本规章、制度,并监督其执行。(7)对管理层的行为与董事会决议执行情况进行有效控制。(8)管理公司信息披露事项。(9)听取公司董事长/总经理的工作汇报并评价其绩效。(10)法律、法规或公司章程规定以及股东大会授予的其他职权。(六)董事的管理经验与知识结构的控制
董事的知识结构是其改造职责的基本条件之一,丰富的管理经验有助于董事实施监督和做出决策。董事应具备市场、设备和管理经验,具有行业、财务、客户、管理控制、法律方面的基础知识,具备风险判断、战略规划等方面的能力,但董事的经验与知识结构不是决定董事会效率和效果的唯一变量,只有当董事会凝聚成为一个整体,并客观地运用共同的判断力时,董事们才能更好地发挥作用。
1.关注要点
董事应具有足以履行其职责的知识和经验,具体包括:董事应拥有足够的知识、行业经验,以有效地开展工作。董事会专门委员会的人员配备应足以处理专业性、重大性事务。
2.主要措施和程序(1)公司应在公司章程中规定董事的任职资格。(2)公司慎重地选择董事以及各专门委员会成员的人选,董事在股东会投票表决选举产生,董事应具有丰富的知识和经验,独立董事应具有较高的威望,能为董事的监督提供质量保障。(3)公司对董事会及专门委员会的会议议程进行规定,保证与议题相关议案、文件等能够提前送达相关人员,使其有足够的时间了解议案并做出正确判断。
3.对应的实证记录(1)董事会成员履历。(2)监事会成员履历。【案例2-4】2007年1月,宝钢集团(《财富》世界500强第307位)宣布,徐乐江接替谢企华出任集团的董事长。宝钢集团是国资委19家试点企业之一,股份公司上市后就按照上市公司要求的治理结构运作,引进了外部董事。现在,国有股东作为出资人的概念越来越强了,开始按照市场经济的契约机制和委托机制来办事。国资委派出董事,他们代表国资委,很清晰。新加坡航空公司的董事长周俊成,香港利丰集团的董事长冯国经,都是国资委请来的,他们的身份与国有一点没关系,他们都有自己的家族公司,但是也都担任他们政府公司领导。现在,在宝钢的9人董事会中,除了来自内部的4位董事(董事长、副董事长、总经理和职工董事),另外5个董事没有一个从事过钢铁行业。但是,他们有丰富的市场经济经验,所以对公司投资项目回报的判断非常敏锐。这些外部董事也使公司的治理更规范、更透明。同时,董事会的决策权和经营者的执行权严格分开了。董事会下设几个委员会,如薪酬委员会、审计委员会、常务委员会等。董事会是票选制,董事长也只有一票。
宝钢董事会的结构和董事的经历对于其他上市公司和拟上市公司都有很大启发。现代企业制度的建立,特别是现代法人治理结构的建立和完善,对中国未来的企业经营意义深远,这无论是对国有企业还是民营企业都一样。不要给企业治理贴标签,说这是社会主义,那是资本主义,其实它是人类在经济行为里摸索出的一套共同的管理方法,这一点是共通的。(七)董事会与监事会独立性控制措施
1.关注要点
董事会和监事会独立于管理层,可以对管理层的决策提出建设性的必要的质疑。具体包括:(1)对管理层决定(如经营决策、重大交易)进行推断并提出质疑,对前期经营结果进行质询(如预算执行差异)。(2)有权询问和详查公司的经营活动,提出不同观点,并在认为必要时采取适当的行动。
2.主要措施和程序(1)公司董事会的构成及独立性符合《中华人民共和国公司法》(以下简称《公司法》)要求。根据公司章程,决定公司董事会组成。公司的独立性非执行董事由董事会提名,并由股东大会选举产生。公司董事会向股东大会负责,按照公司章程、公司董事会工作手册履行对管理层战略决策、重大交易、预算执行差异质疑等职责。(2)公司董事会参与讨论决策有关重大事项,并以其丰富的专业知识和经验,就公司规范动作和有关经营工作提出意见,发表独立意见。(3)董事会每年至少召开3次例会,且经1/3以上董事或者监事会、董事长提议均可召开临时董事会会议。(4)公司董事会下设审计委员会,审计委员会以独立董事为主组成,审计委员会主任委员由董事会从独立董事中提名产生。(5)监事会应包括比例不低于1/3的公司职工代表,监事会每六个月至少召开一次会议,监事可以提议召开临时监事会会议。(八)董事会所属专门委员会在内部控制中的作用
1.关注要点
建立董事会专门委员会,以特别关注和处理相关重要事件,他们的专业和资历能够使其有效地处理相关的重要问题。
2.主要措施和程序(1)公司董事会一般至少要下设审计委员会、薪酬委员会,其他的根据公司实际情况设置,比如战略委员会、提名委员会等。(2)董事会的专门委员会全部由董事组成,其中审计委员会主要由公司独立董事组成,并由其中一位担任主任委员,其中至少有1名具有会计审计或相关财务管理专长的成员。薪酬委员会的成员中独立非执行董事应占多数,并担任主任委员。(3)董事会专门委员会的主要职责是为董事会进行决策提供支持。专门委员会的董事,往往会分别侧重研究某一方面的问题,并为公司管理水平的改善和提高提出建议,但不对提案本身做出决定。
3.对应的实证记录
各专门委员会会议记录。(九)董事会及其所属委员会应及时充分地获得信息
1.关注要点
管理层须向董事会、审计委员会和监事会及时充分地提供信息,以便其及时监督管理层的目标和战略、公司的财务状况和经营,以及重大协议的条款等。具体包括:(1)董事会定期收到关键信息,例如,财务报告、主要的市场变化趋势、重大合同和谈判信息。(2)董事相信其得到了适当的信息。
2.主要措施和程序(1)公司制定公司董事会工作手册,规定董事会全体董事有权获得为履行职责所需的公司信息。公司董事会秘书,负责协调董事会和各委员会对所需信息的收集工作。公司定期向董事会成员提供日常信息、如快报、经营月报等。(2)董事会每年至少召开3次例会,董事会例会议程的议案和文件至少在会议召开前7个工作日送达各位董事。除上述例会外,经1/3以上董事或者监事、董事长提议,可以召开临时董事会会议。临时董事会的议案和文件至少在会议召开前3个工作日送达各位董事。(3)审计委员会定期从公司管理层和法律顾问等有关方面了解可能对公司财务报告产生重要影响的法规遵循事项的更新信息。(4)公司对外信息披露遵循《公司信息披露控制和披露程序的原则》,董事会秘书负责会同公司有关部门,做好对外信息披露工作。
3.对应的实证记录(1)董事会成员收到的信息记录。(2)审计委员会成员收到的信息记录。(十)获知和调查不正当行为
1.关注要点
为董事会或审计委员会提供充分、及时的信息,以便及时获知敏感信息,调查不当行为,例如:重大的法律诉讼、监管机构调查、贪污、挪用公款、滥用公司财产、违反内部人员交易法规、非法支付等。具体包括:(1)存在告知董事会重大问题的程序。(2)及时沟通信息。
2.主要措施和程序(1)公司建立并不断完善出现紧急事项时召开董事会会议的机制和重大事件汇报的程序,即危机处理程序。(2)审计委员会建立相关程序,接收、保留及处理公司获悉的有关控制与企业风险管理或审计事项的投诉;接收、处理员工有关会计或审计事项的投诉或匿名举报,并严格保密。(3)审计委员会定期向董事会汇报,汇报事项包括有助于董事会及时了解可能影响公司财务状况及经营业务的重要问题。
3.对应的实证记录
对应的实证记录主要为会议记录。(十一)确立公司管理层的诚信和道德价值观念
1.关注要点
建立公司管理层的诚信和道德价值观具体包括:(1)董事会/审计委员会充分参与、评价高层的有效性(诚信和价值观)。(2)董事会采取行动以保证适当的高层基调。(3)董事会明确强调管理层应该遵守的行为准则。
2.主要措施和程序(1)公司董事会对高级管理人员遵守诚信与道德价值观规范的情况进行监督,并授权公司总裁负责实施和监督规范的遵守情况。(2)公司管理层定期对高级管理人员诚信与道德价值观规范的充分性和有效性做出评价,并根据评价情况和董事会的要求做出修改。(3)监事会按照《公司法》及《公司监事会组织和议事规则》、公司章程,行使对包括董事在内的公司高层管理人员进行诚信与道德价值观规范遵守情况的监督。
3.对应的实证记录
主要包括管理层遵守诚信与道德价值观规范评价报告。【案例2-5】郑百文(股票代码600898)公司曾是国内上市较早、设置独立董事较早的公司之一,公司的治理结构在形式上是基本完善的,但同时也是较为典型的“问题上市公司”。由于改制不彻底,运作不规范等诸多原因,独立董事制度发挥作用的效果并不明显。公司董事会成员中不少被证明为“人情董事”、“花瓶董事”,即只要大股东和董事长感觉满意,便可以进入董事会,在独立董事实质上“缺失”的情况下,大股东行为对公司治理和经营管理产生着举足轻重的影响。因此,公司实际上被大股东和内部人操纵,侵害其他利益相关者权益的现象时有发生。在这种特殊体制下,河南某大学外语系的一位教授,被经过重组的郑百文公司聘为四位(超标准)独立董事之一。公司给独立董事开出年收入至少十几万元的津贴,还为董事会成员(含独立董事)和董事会秘书购买了责任保险,一旦在行使职权的过程中产生过失、决策失误,将由保险公司负责赔偿损失。因为公司舞弊,前面提到的独立董事,因失职、涉嫌参与舞弊而被处罚款10万元。
点评
本案例中,作为独立董事缺乏必要的专业背景,又由于“拿人家的手软”自然难以独立地发挥作用,成为真正意义上的“花瓶董事”,而郑百文聘请独立董事的初衷也未必是要其发挥什么独立监督的作用,这从其选聘独立董事的条件和给出的待遇可以做出判断。现阶段我国上市公司都按要求配齐了独立董事,如何发挥其应有的作用将是进一步关注的重点。(十二)审计委员会的控制责任和风险
规范第13条规定:企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业道德操守和专业胜任能力。
有效的审计委员会应具备如下特征:(1)由独立董事组成,具有客观独立性。(2)具有专业胜任能力,其成员了解会计、审计和内部控制,具有批判性思维。(3)权责结构明晰,直接听取内部审计师、外部审计师的报告,获取举报信息。(4)处于领导地位,有权决定内部审计主要的任免和内部审计预算的审批,积极、主动、强有力且具决定性。(5)具有前瞻性的方法,使用分析性复核方法,应用风险评估技术等。
审计委员会不能代替审计人员执行重要的审计程序,然而,审计委员会必须对审计人员的工作质量进行评价。如审计委员会应对参与审计活动的审计师的独立性和胜任能力进行评价和监督,审计委员会应查阅会计师事务所和内部审计部门的质量控制报告,对取得的审计报告的质量、财务报告和内部控制讨论的质量进行评价。审计委员会是改善公司治理的关键机构,审计委员会的成员必须有充足的时间和丰富的经验来履行他们的职责。审计委员会要在公开报告中阐明自己应负的责任,其成员不应轻易地逃避责任。第二节 管理控制
管理控制是指企业管理者实施战略、考核绩效、协调企业内部各类业务、各个业务流程,进行任务控制,促使相关部门和人员统一行动共同追求企业管理目标的过程。一、组织机构设置与权责分配
规范第14条规定:企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。(一)组织机构设置
1.组织结构的内控要求
组织机构的设置受制于企业特定的组织结构。组织结构不应该太简单以至于不能有效地监控公司的业务活动,也不应该太复杂,以致阻碍了信息的顺畅流动。行政人员应该完全理解他们的控制责任,并且拥有与他们的职位相称的经验和知识。
适当构建公司组织结构,以便其具备提供管理活动必要信息流的能力。具体包括:
• 考虑公司经营业务的性质,公司的组织结构应适当集中或分散。
• 组织结构有利于信息的上传、下达和各业务活动间的流动。
确定适于企业实际情况的合理的组织结构,其主要措施和程序是:(1)公司按照《公司法》的要求,参照行业内标杆企业的通行做法,结合公司实际,建立规范的法人治理结构(包括股东大会、董事会、监事会和总裁负责的管理机构),即建立起所有权、经营权分离,决策权、执行权、监督权分立,股东会、董事会、监事会并存的法人制衡管理机制。(2)公司组织机构编制管理遵循“有利于加强经营管理,建立信息畅通、反应灵活、适应公司发展和市场环境变化的运行机制”的原则。
2.企业组织机构的设置原则(1)目标导向原则。企业有自己的经营战略和经营目标,企业的组织机构是为实现其战略目标服务的,因此,组织机构的建立,首先要考虑的是这种组织机构设置是否能够保证企业最终战略目标的实现。凡是有利于目标实现的部门、机构及岗位,应当考虑设置;与目标实现无关的部门、机构及岗位,就不应该设置。(2)简洁高效原则。企业在设置组织机构时,应当分析控制环境、资源条件、业务流程、控制要求等,使组织机构尽可能精干高效,结构力求严密而简化,谨防机构庞大、人浮于事。在完成同样职能的前提下,使组织机构的层次和人员最少,命令和报告路线最短,成本最低,效率最高。由于企业的规模有大有小,产品服务各不相同,技术含量和员工素质有高有低,市场的范围有宽有窄等,所以必须按照自己的特点设置机构,使机构设置符合企业独特的需要。(3)权责匹配原则,也就是权力与责任相当。权力和责任必须划分,避免权责不清,有责无权或有权无责,否则就会抑制相关部门和人员的主动性和创新性。(4)内部牵制原则。组织机构的设置过程,从本质上讲是一个权力与责任的分配过程。委托代理、激励约束、内部制衡等问题的解决,都要落实到组织机构上来。因此,组织机构的设置,必须研究不相容职务的分离,业务执行机构和监督机构的分离,业务流程的有意分割,有利于防止错误与舞弊。(5)信息沟通原则。信息已成为现代企业的重要资源,在组织内部各部门之间信息沟通显得十分重要。通过信息流通,数据共享,可以提高经营和决策效率以及企业竞争力。因此,在组织机构设置中,如何有效地沟通各部门来自内外部的信息,是必须重视的问题。(6)分工协作原则。现代企业因为规模庞大,内部专业分工很细,而欲做到实现部门或企业的目标,必须在分工的基础上共同协作完成。如果不能步调一致,目标就难以实现。组织与组织之间、部门与部门之间,不能“老死不相往来”。所以分工越细,协作越重要。(7)统一指挥原则。就是一个组织和组织内部成员,只能听从一个上级的指令,严禁多头指挥。不然就成为“九头鸟”,就会指挥混乱,使下级无所适从。
3.企业组织机构设置形式(1)直线制组织机构。这种组织机构是一种典型的高度集权的组织形式。有两个或两个以上的管理层次,各层次之间是垂直的领导关系。这种组织机构的内部控制特点是:控制线路明确,控制力度大;信息反馈滞后,控制过程比较长;控制效率与企业规模成反比;对高层管理者的权力监督不易实现。因此,除家族式小企业外,现代企业一般不采用这种组织形式。(2)直线职能制组织机构。这种组织机构也是高度集权的垂直领导形式。但在每一个管理层都设置了具有参谋和决策辅助作用的职能部门,它们为实现组织的计划和目标提供咨询和保证,这种组织机构的内部控制特点是:信息处理能力强,控制能力提高;控制部门增加,控制效率也相应提高。其结构如图2-1所示。图2-1 直线职能制组织机构示例(3)事业部制组织机构。这是一种分权制的组织形式,在这种组织机构形式下,根据企业经营战略的要求,按照产品、地区或者客户等来划分,设置拥有独立经营管理权力的部门。企业最高领导层保留重大人事和财务控制等权力,把一部分经营管理权下放到事业部,并通过各类指标对其进行业绩考核与评价。
事业部制是一种分权形式,它的控制特点是:上层管理者对事业部的控制力度降低,事业部具有部分控制权,事业部自身的控制效率比较高,其结构如图2-2所示。(4)矩阵式组织结构。这种组织结构是把直线式的纵向领导系统和按工程项目或业务项目划分部门的横向管理系统结合起来的、纵横交错的管理组织形式。它是一种短期性的组织结构,常与其他组织结构形式配合使用。矩阵式组织结构的特点是;多头领导,控制路线模糊,控制权分散,控制效率的高低取决于横向与纵向的权利分配和配合,其结构如图2-3所示。图2-2 事业部制组织结构示例图2-3 矩阵式组织结构示例(5)委员会或领导小组。委员会或领导小组是一种常见的组织形式,按照时间分可以分为常设委员会和临时委员会:常设委员会如审计委员会、预算委员会等;临时委员会如验收委员会、清查盘存委员会等;临时委员会在它的任务结束时即行解散。按照职能分可以分为直线式和参谋式委员会:直线式委员会如董事会,它的决定下级必须执行;参谋式委员会主要为直线式委员会提供建议,不具有实权。
委员会的优点是:可以充分发挥集体智慧,避免个别领导人的决策失误;少数服从多数,可以防止个人滥用权力;在委员会中地位平等,有利于调动成员的积极性。缺点是:做出决定的时间比较长;万一决策失误,由集体负责,个人责任不清;在议事中有可能出现折中调和,也有可能由某一特殊成员所把持而形同虚设。【案例2-6】本案例将选择分属于10个国家同一行业的10家企业进行治理结构和机构设置的比较,以探讨公司治理的趋同性并从中借鉴有益的经验。这10家企业,分属10个国家,同属信息与通信业(ICT),分别是芬兰诺基亚、美国微软、德国西门子、日本索尼、法国电信、澳大利亚电信、韩国电信、意大利电信、英国移动、加拿大北电网络。之所以选择信息与通信行业,是因为这个行业的公司治理变革相对较快,信息披露也相对充分。之所以选择不同国家的企业,是为了便于比较了解各国公司治理中共同性、均势性的做法。从规模看,除韩国电信、意大利电信外,其他8家都是500世界强企业。2002年,销售额平均为328亿美元。从效益上看,2002年,有6家盈利,平均为32亿美元。有4家亏损:意大利电信、法国电信、英国移动、加拿大北电网络。这10家企业的治理机构的设置,可以分为主流型和非主流型两种。主流型指设有股东大会、董事会、经营班子,而且股东大会领导董事会,董事会领导经营班子。这10家企业中,诺基亚、英国移动、澳大利亚电信、微软、北电网络、西门子和法国电信等7家企业,属于这种类型。非主流型指设有股东大会、董事会、监事会、经营班子,而且股东大会领导董事会、监事会,董事会领导经营班子,董事会、监事会之间并不存在领导与被领导的关系。这10家企业中,只有索尼、韩国电信、意大利电信等3家企业,属于这种类型。通过上述比较,我们认为:第一,一个企业治理机构的设置事关治理效率;第二,在治理结构上共性多于个性,内部机构的设置正是体现个性的关键所在。美国杜邦公司
美国杜邦公司是世界上最大的化学公司,已有近200年的历史。这200年中,尤其是21世纪以来,企业的组织机构历经变革,其根本点在于不断适应企业的经营特点和市场情况的变化。杜邦公司所创设的组织机构,曾成为美国各公司,包括许多著名大公司的模式,并反映了企业组织机构发展演变的一般特点。
成功的单人决策及其局限性
历史上的杜邦家族是法国王室的贵族。整个19世纪,杜邦公司基本上是单人决策式经营,这一点在亨利这一代更为明显。在公司任职的40年中,亨利以其军人严厉粗暴的铁腕统治着公司。他实行的一套管理方式,被称为“恺撒型经营管理”。这套管理方式无法传喻,也难以模仿,实际上是经验式管理。公司的所有主要决策和许多细微决策都要由他亲自制定,所有支票都得由他亲自开,所有契约也都得由他签订。他一人决定利润的分配,亲自周游全国,监督公司的几百家经销商。在每次会议上,总是他发问,别人回答。他全力加速账款收回,严格支付条件,促进交货顺畅,努力降低价格。亨利接任时,公司负债高达50多万美元,但亨利后来却使公司成为行业的首领。
在亨利的时代,这种单人决策式的经营基本上是成功的。这主要是因为:①公司规模不大,直到1902年合资时资产才2400万美元;②经营产品比较单一,基本上是火药;③公司产品质量占了绝对优势,竞争者难以超越;④市场变化不甚复杂。这些方面是单人决策的特定前提,也是其局限性所在。
集团式经营的首创
后来,当公司濒临危机、无人敢接重任、家族拟将公司出卖给别人的时候,三位堂兄弟廉价买下了公司。三位堂兄弟不仅具有管理企业的丰富知识,而且具有在铁路、钢铁、电气和机械行业中采用先进管理方式的实践经验,有的还请泰罗当过顾问。他们果断地抛弃了“亨利将军”那种单枪匹马的管理方式,精心设计了一个集团式经营的管理体制。在美国,杜邦公司是第一家把单人决策改为集团式经营的公司。
集团式经营是主要的特点是建立了执行委员会,隶属于公司最高决策机构董事会之下,是公司的最高管理机构。在董事会闭会期间,大部分权力由执行委员会行使,董事长兼任执行委员会主席。1918年,执行委员会有10个委员、6个部门主管、94个助理,高级经营者年龄大多在40岁上下。
充分适应市场的多分部体制
杜邦公司在第一次世界大战中的大幅度扩张,以及逐步走向多角化经营,使组织机构遇到了严重问题。每次收购其他公司后,杜邦公司都因多元化经营遭到亏损。除了战后出现的通货紧缩之外,这种困扰的出现主要是由于公司的原有组织对成长缺乏适应力。1919年,公司的一个委员会指出:问题在于过去的组织机构没有弹性。经过周密的分析,杜邦公司提出了一系列组织机构设置的原则,创造了一个多分部的组织机构,如图2-4所示。图2-4 杜邦公司组织结构
在这种形式的组织机构中,自治分部在不同的、明确划定的市场中,通过协调从供给者到消费者的流量,实现生产销售一体化,使生产和市场需求建立密切联系。这些以中层管理人员为首的分部,通过直线组织管理其职能活动。总部的高层管理人员在大量财务和管理人员的帮助下,监督这些多功能的分部,用利润指标加以控制,使它们的产品流量与需求波动相适应。
由于多分部管理体制的基本原理是政策制定与行政管理分开,从而使公司的最高领导层摆脱了日常经营事务,把精力集中在考虑全局性的问题上,研究和制定公司的各项政策。
点评
此案例表明,根据时代和环境的变迁,不断更新组织机构形式并充分考虑与最高领导个体素质的适应性正是杜邦公司成功的秘诀所在。
4.权责分配
根据公司的目标、经营职能和监管要求,分配职责和授权,包括信息系统的职责和变化的授权。具体包括:
• 职权和职责被授予公司内的员工
• 决策的责任与其职权和职责相对应,有岗位描述,至少有管理和监督人员的岗位描述,包括具体的与控制有关的责任的表述
• 对员工进行授权和分配职责时,应充分考虑适当的信息
主要措施和程序主要是:(1)公司根据经营目标、职能和监管要求,颁布公司职能部门职责范围,明确公司各职能部门的职责。(2)公司在明确管理层、部门职责的基础上,组织实施员工岗位职责描述,将职责分解到具体岗位;同时公司编制授权体系和权限指引,更好地落实分级授权制度。通过岗位职责描述和权限指引,公司对职责权限进行适当分配。(3)公司规范信息系统的授权,由管理相关信息系统的职能部门、下属公司根据不同的职责分别设置和维护用户授权。
5.组织结构和企业机构的适应性调整
组织结构及其决定的企业机构不是一成不变的,须随着环境的变化而变化,比如管理人员应定期根据变化的业务或行业环境来评估公司的组织结构。为此,公司须制定机构编制管理办法,明确人事部门为公司机构编制业务归口的管理部门,下属公司人事部门为本单位机构编制管理的范围。同时,管理部门根据公司经营或发展战略的需要,以及外部环境的变化评价现有组织结构的合理性,提出改进建议并报上级审批机构。编制调整,需要进行充分调研论证,按照规定程序经审批后实施。(二)关键岗位的人员控制
1.人员控制概述
人员控制是指能够使员工专业、敬业并且自觉地做好工作的一系列控制方法。人员控制有四个基本功能:使员工清楚企业目标和行为标准,知道企业期望员工做什么;确保员工具备胜任其工作岗位所需要的所有能力(经验和才智)和资源(如信息和时间);防止员工发生错误、舞弊、贪污、偷懒行为;促使员工进行自我控制、自我监督。
人员控制的理论基础主要是人性假设,主要包括“经济人”假说、“社会人”假说、“自我实现人”假说,以及“复杂人”假说等。
人员控制程序主要包括依据一定标准挑选和任命员工、培训、职位设计(授权控制、职责分工与牵制),以及提供必要的资源等。【案例2-7】2006年1月,张某被聘为某公司的会计,同时担任某项目部出纳。这违背了不相容职位相分离的原则,也就为其非法挪用公款提供了便利。2006年6月,张某以差旅费等名义,先后多次假冒领导签字报销费用6万余元,竟然无人对此进行审核,使其未被发现而蒙混过关。同年8月,张某又伪造公司总经理签名,虚报施工费6万元。此后不到两年时间里,张某用同样的方法挪用公款总计近100万元。此案中,张某的犯罪除因其道德沦丧、法律观念淡薄等主观原因之外,更重要的是企业缺乏相互牵制,相互监督的制度,而支付审批环节也缺乏正常的审批程序。张某伪造总经理的签字审批,再交由部门经理跟从审批,显然违反了正常的审批过程,却没有人对此提出质疑,给张某犯罪提供了机会,这无疑是人员控制的一大失败。
2.关键岗位人员种类及胜任能力
人员控制中要特别重视关键岗位的控制,关键岗位的人员主要有最高财务管理人员(包括财务副总经理、总会计师、财务总监、首席财务官)、关键业务环节的人员、内部审计人员等。
胜任能力因为职位的不同而具有不同程度上的差别。胜任能力是分层次、分等级的,同样的一项胜任能力,对不同职位也有不同的要求。胜任能力是由学习等方式逐渐发展起来的,即胜任能力具有可培养的性质。胜任能力并不一定是与生俱来的,它可以经过个体后天的学习和实践而得到培育和强化。专家的研究表明,胜任能力的获得是需要时间的,是在个体的发展过程中逐渐培养出来的。
3.最高财务管理人员的控制(1)财务副总经理。财务副总经理是对企业财务管理、会计信息,甚至对内部审计负有责任的高级管理人员,财务副总经理由企业总经理提请聘任或解聘,主要是对经营者负责。在不同的企业,财务副总经理的责任可能不同,但一般包括:融资、投资管理;财务报告、税务处理;重大财务战略规划;风险管理等。有些企业的财务副总经理还负责对管理信息系统进行管理,而有些企业则专门设置信息主管(CIO)来管理。(2)总会计师。我国一些大中型企业中设置总会计师,其职责、权力与财务副总经理相同。(3)财务总监。财务总监因企业、规模、行业等的不同,其委派形式、承担的义务和拥有的权力不完全相同,从委派主体分类,财务总监有三种形式:一是企业外部所有者(股东)向企业派出的、负责监督企业财务活动,即外部委派的财务总监;二是企业或企业集团董事会委派的,并与所在单位的经营者联签,以达到会计控制的目的;三是企业内部经营者委派的财务总监,对经营者负责。有些企业只有财务总监,没有财务副总经理或总会计师,这些企业的财务总监实则为财务副总经理或总会计师,履行财务副总经理的职责。一般意义上讲,财务总监为所有者层次财务组织的代表,对经营者层次财务组织实施监控,但不干涉经营者的经营自主权。财务副总经理或总会计师服务于企业的高级管理者,直接对企业经营者负责,属于经营者财务组织范畴;财务总监直接对委派方负责,属于所有者财务组织范畴。
所有者委派的财务总监有两种身份选择:一种是进入企业董事会或决策层,直接参与重大财务决策;另一种是进入监事会,主要行使监督检查权。而在决策权与监督权的定位上,财务总监也有两种选择:一种是只有监督权、联签审批权;另一种是既有监督权又有决策权。从我国目前实践情况来分析,财务总监在资金控制、维护委派方利益方面发挥着重要作用。(4)首席财务官。在跨国公司,通常建立首席首席财务官(CFO)制度。首席财务官是公司的高级管理人员,与首席执行官(CEO)、首席运营官(COO)构成公司管理团队的“三驾马车”。首席首席财务官主要从事融资、投资业务,并对财务报告、内部审计负责,是公司连接资本市场的重要纽带,有些企业的首席财务官同时也是管理信息系统的最高管理者。(5)最高财务管理人员的能力控制。其能力分为核心胜任能力和相关胜任能力。核心胜任能力直接影响到其是否能胜任其职能,而相关胜任能力则非必备能力,它是一般管理人员所需具备的基础、特殊工作环境所需的能力或为履行职责起锦上添花作用的能力。有些相关胜任能力是每个胜任工作的人必须具备的,而与其履行的职能无关,如自我提高能力、创新能力等。
总体而言,相关胜任能力是核心胜任能力的必要补充。从最高财务管理人员职能出发,我们可以抽象出与之相关的核心胜任能力,如表2-1所示。表2-1 最高财务管理人员的核心胜任能力
最高财务管理人员要胜任其角色,还必须具备恰当的专业知识、能力以及职业价值观。其中专业知识主要包括:战略管理、公司治理、财务战略、财务报告、成本管理、风险管理、购并与重组、税收筹划、价值管理与全面预算、审计与内部控制、财务分析与预测、财务信息系统与ERP、经营责任与资产管理等方面的知识。此外,还包括行业知识、经济法、经济学、统计学、国际商务、组织行为学、外语、信息技术等相关知识。能力和技能主要包括:沟通及协调能力、领导能力、系统分析能力、问题解决能力、团队建设能力等。此外还包括灵活性、创造性、适应性、鉴别力等相关能力。职业价值观是使职业会计师成为一名职业人士的态度,它包括与职业行为相关的行为原则。国际会计师联合会(IFAC)认为,职业会计师最重要的职业价值观在于其职业道德,认为企业界的职业会计师应遵循如下基本原则:诚信、客观、具备职业能力和尽职、保密、职业行为合规。【案例2-8】某公司同时设有财务副总经理、财务总监、副总会计师,而且该副总会计师任职多年,但“总会计师”一职长期空缺,董事长称这种人事安排有特殊考虑但未详细解释。实际运行过程中,财务副总经理、财务总监和副总会计师之间时有交叉和不协调的现象,而且这种情形并不少见。笔者认为,董事长的特殊考虑无非是相互牵制,牢牢把握财务控制权,同时也表现出对上述财务高管中的一位或多位的人品或能力缺乏足够的信任。但这种安排显然影响了工作效率,较为理想的方案应该是:撤销副总会计师职位,保留财务总监职位或者同时撤销副总会计师和财务总监职位,另行选拔德才兼备、足以信任的人担任总会计师。
4.关键业务环节的人员
企业关键业务环节的人员包括重要环节的管理人员和业务操作人员,这些重要环节的人员安排是管理控制的重点,需要考察其专业能力、职业道德、工作之外的行为表现,还应适时进行岗位轮换、职位更换等。通过财会人员统一管理,实行财会人员委派制或者向分支机构委派财务总监,实现控制目标,这是对分支机构实施会计控制较为普遍的控制形式。例如,海尔公司在组织机构整合中,取消各事业部的财务处,集团总部成立资金流推进本部,对各事业部及分厂、海外子公司的财会人员实行委派制,推行财务代理制。
5.内部审计人员
由于内部审计的对象是风险管理、内部控制与治理程序,提供的服务与传统审计对象完全不同,因此对内部审计人员胜任能力的要求较过去有所变化。内部审计师必须具备的素质是:多面手,具备大局观,对整个组织的价值具有前瞻性考虑;置身其中,参与和了解公司各项业务,能发现问题并及时提出解决措施;精通技术,能应用专业技术知识控制风险,改进控制和治理过程的效果;提供确认、培训和咨询服务的顾问,在风险管理、控制和改进公司治理的效果方面发挥领导作用。内部审计人员还必须具备处理人际关系的能力和技巧。
6.对特殊状态下或不良嗜好的关键人员的关注
企业要特别关注处在特殊状态下的一些关键人员,这些人员由于存在巨大压力,有可能进行舞弊。这些特殊状态包括:家庭负担过重,员工收入无法弥补;员工有特殊嗜好,例如赌博、挥霍成性、与人攀比、为异性支付消费款等;员工负有较多个人债务,无法偿还;个人经营资金短缺或投资失败;处于特殊情境中的人,如恋爱、亲人亡故等。企业需要在舞弊尚未发生前,采取一系列综合措施及时发现处于这些特殊状态下的人员,将这些人员可能造成的潜在舞弊风险降到最低水平。【案例2-9】26岁的李某自20×2年起在某加油站工作,20×3年4月起,李某开始担任记账员,负责该加油站的库存商品、加油结存、贷存卡条、加油票等方面的记账工作。其男友高某得知她可以利用两家加油站的加油本通用的机会套取公款,便心生歹念,唆使李某套取公款用于炒股。在20×3年4月至20×4年1月间,李某利用其负责与另一家加油站结算油款并进行登记账目的工作便利,在与对方结算时擅自虚构加油数量不记账,以此方式套取现金5.8万元。其中5万元交给高某用于炒股经营,另0.8万元用于消费。20×4年6月,李某、高某挪用资金的行为暴露,受到了应有的法律惩罚。该案例表明,若对特殊状态下的关键人员关注不够,企业必将因此而蒙受损失。
7.关键岗位人员控制措施评价(1)关注要点。公司业务活动的职责和期望是否明确传达给负责这些活动的管理人员。(2)主要措施和程序。公司对关键管理人员均制定了岗位职责规范;公司对关键管理签订目标责任书,人员实施岗位绩效考核,与其收入挂钩;公司将各种岗位职责以文件的形式公开下发到各单位。(3)对应的实证记录。关键职位岗位职责描述、目标责任书、绩效考核报告。
8.关键管理人员的知识和经验保障(1)关注要点。关键管理人员是否具备执行相关职责的知识和经验。具体包括:管理人员技能素质满足要求,具备执行其业务必备的知识,经验并接受适当培训。(2)主要措施和程序。制定公司经营管理者职务竞聘的相关规章制度,选人用人机制以及任命程序,与市场配置相结合,确保管理人员的技能素质满足要求,具备执行其业务必备的知识、经验。
制定公司关于选拔领导人员实行任前公示的办法,通过公司内部刊物、内部网络等发布公告或召开会议的方式,对经营管理者实行任前公示,增加选拔任用的透明度。
注重对经营管理者的培养,通过针对性培训轮岗交流、基层锻炼等形式提高管理者素质。(三)企业内部管理手册的编制
规范第14条中规定:企业应当通过编制内部管理手册,使全体员工掌握内部机构设置、岗位设置、流程等情况,明确权责分配,正确行使职权。
企业内部管理手册担负着明确目标、统一思想、明晰权责、协调行动、提高效率等重要功能,当然也是加强企业内部控制的重要手段。内部管理手册的编制过程,实际上也是发现问题、分析问题和协调解决问题的过程,是企业内部机构设置、岗位权责和业务运转程序的“法规”形式的约束,也是内部控制质量和工作效率的保障。
在内容上,内部管理手册至少包括以下内容:公司概况;组织结构及内部机构设置;机构职权责任描述及其负责人的任职条件及定员要求;各主要管理岗位的统一描述(职责、权限任职条件、奖惩激励等);主要业务流程及相应的逻辑关系;例外管理原则及预案;有关案例等相关内容。
内部管理手册的编制应体现全面性、系统性、科学性、可靠性、稳定性及环境适应性等原则。编制过程中应从岗位到机构,从个人到集体,由点到面不断细化、不断协调,不断修正,就主要问题达成高度共识,由最高管理当局进行权威发布,并对实施过程中发现的问题及时收集与反馈。同时,根据实施效果和客观环境的变化定期修正。【案例2-10】以下是时代日用品(集团)公司的公司业内部管理手册的目录,由此可以了解其一般内容,以供参考。目录一、编制说明与体例二、公司概况(含发展规划、核心经营理念等)三、内部机构设置(图示)四、公司经营领导班子五、公司主要经营部门职能六、主要业务流程(图示)七、公司人力资源政策八、公司岗位责任规范(从总经理到普通员工分类详列)九、公司治理结构与制度1.董事会议事规则2.监事会议事规则3.董事会审计委员会议事规则4.董事会发展战略委员会议事规则十、公司内部控制体系(组织领导、内控机构、制度体系与流程)十一、公司内部管理制度汇编(财务、计划、合同、内部审计、劳动人事、质量、安全、技术、采购、信息披露等)十二、公司风险管理体系十三、公司危机应对预案十四、公司例外管理与特别授权十五、企业文化(公司标示、厂旗、厂歌、口号、企业精神等)十六、企业文化活动集锦(图片)二、内部审计
规范第15条规定:企业应当加强内部审计工作、保证内部审计机构设置、人员配备和工作的独立性。同时规定:内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督审查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。(一)内部审计目标与作用
1.内部审计及其特征
随着企业管理和审计业务的发展,现代内部审计从20世纪50年代的“内部检查者”,转变为从事复杂的计算机审计、经营审计以及为管理层和董事会提供专门研究报告的部门。2002年8月,美国纽约证券交易所要求所有上市公司必须建立内部审计机构,至少要保证有专门的内部审计人员。
在中国,内部审计也受到重视,国家审计署早在20世纪80年代就要求国有单位设立内部审计机构,中国证券监管机构于2002年建议上市公司建立内部审计制度。
内部审计的特征主要包括:(1)独立性和客观性。能够自由地决定审计或保证服务的范围,同时做到无偏见地为各类当事人服务。(2)保证与咨询。为企业风险管理、控制或公司治理提供以独立评估为目的的、客观的检查证据。保证服务包括风险分析、控制分析、业绩评价、合规性、信息安全与可靠、经营效率主体、符合性测试等,咨询则是为增加企业价值和改善企业经营提供咨询或顾问的活动。(3)增加价值。内部审计参与企业价值创造活动,在参与过程中显示其价值创造的贡献,从而使管理层、董事、股东了解其存在的必要性和重要性。(4)系统化和规范化的方法。审计程序和方法需要与经营管理和公司治理过程有效结合才能挖掘出内部审计师的潜力,只有获得充分有力的审计证据,才能发表审计意见或对业务提出改进建议。(5)为促进组织目标的实现而服务。内部审计关注组织整体层次的活动,与企业的核心业务流程和关键成功因素联结在一起,为促进组织目标的实现发挥作用。
2.内部审计的目标
几十年来,内部审计目标经历了多次演变。美国内部审计师协会在1957年《内部审计师职责说明》中指出,内部审计的主要目标是通过提供目标分析、评价、建议以及对经营活动提出中肯意见,帮助管理人员有效地解除自己的责任。
1979年,国际内部审计师协会(IIA)发布的《内部审计实务标准》认为,开展内部审计的目标是:评价内部控制的适当性和有效性、评价实现经营目标情况、评价资源的节约和胡诌使用。1993年,国际内部审计师协会修订的《内部审计实务标准》中提出的目标是:保证数据的真实与完整、经济活动符合政策法规、保护资产、有效利用资源、评价经营目标实现程度、对外部审计师业绩序评估等。到了2001年,国际内部审计师协会指出,内部审计的目标在于增加价值并改进组织的经营,它通过一套系统、规范的方法评价和改进风险管理、控制和治理的有效性,以帮助组织实现目标。
3.内部审计的作用(1)为管理层服务的控制。国际审计组织在《利马宣言》中指出:审计本身不是目的,而是控制系统不可分割的部分。审计既要评估内部控制本身有无缺陷,又要核查内部控制是否得到有效的贯彻;通过检查内部控制,挖掘隐患,及时提醒管理人员控制或防范风险。内部审计对企业风险管理加以评估,关注内部控制领域中的风险,评价控制标准的适当性,检查是否存在薄弱环节;管理层合作,制定适当的评价标准,组织实施内部控制或风险自我评估,提高内部控制效率、降低控制成本。(2)为管理层和治理主体服务的风险管理。国际内部审计师协会认为,内部审计应帮助组织发现并评价重要的风险因素,帮助改进风险管理与控制体系。内部审计关注的风险主要有:财务和经营信息不足,政策、计划、程序、法律和标准贯彻失败,资产流失,资源浪费和无效使用,不能达到目标等。内部审计通过风险监控开展风险管理。(3)为治理主体的治理服务。国际内部审计师协会指出,健全的公司治理是建立在四个主要条件的协同之上的,这四个主要条件是:董事会、管理层、内部审计师和外部审计师。这四个部分是公司治理的基石,要充分考虑公司治理四个群体的作用。内部审计以多种方式扮演“前线运动员”的角色,为治理活动参与者提供关键的信息。在实务中,制约审计委员会有效性的主要因素之一是信息的数量和质量。除了正常的审计报告外,内部审计帮助审计委员会建立信息系统,帮助审计委员会对风险、控制及财务报告系统进行分析,执行特殊项目调查;监督举报活动的有效性;评估公司是否实现了其内部和外部的报告目标;评价财务报告质量,评价季度报告控制以及季度报告可靠性;将评估结果及时报告审计委员会。内部审计对高管层基调建设状况的评价,有助于减少管理层舞弊和道德风险。【案例2-11】美国世界通讯公司(简称世通)舞弊事件是由公司的三名内部审计人员在超越了授权范围以后进行追查发现的。审计人员顶住了首席财务官苏利文的压力,将舞弊行为公开。这三名内部审计人员是:内部审计部副总经理辛西亚·库柏、擅长电脑技术的内部审计师摩斯以及内部审计部高级经理,辛西亚的助理史密斯。根据世通公司的职责分工,内部审计部只负责经营审计,从事业绩评估和预算控制,财务审计外包给了会计师事务所。2002年3月初,辛西亚从世通无线通信业务的负责人帕克那里得知一笔坏账准备被苏利文要求冲回,以提升公司对外报告盈利的消息。这件事引起了辛西亚对会计事项处理的怀疑,在审计委员会的支持下,辛西亚要求将内部审计的范围由经营审计秘密扩展到财务审计,具体工作由摩斯负责。审计小组发现了无法解释的巨额资本性支出,2001年前三个季度,世通对外披露的资本性支出中,有20亿美元没有纳入当年度的资本性支出,也没有获得任何授权,这一严重违反内部控制的做法,使辛西亚和摩斯怀疑世通可能将经营费用转作资本性支出,以此增加利润。但有关证据存放在公司会计信息系统之中,必须经过苏利文的批准才能进入。他们秘密进入了计算机系统,利用信息部安装和测试新系统的机会,获得了自由进出计算机会计系统的机会,将重点放在“内部往来”业务,收集了经营费用“包装”成资本性支出的直接证据,金额达20亿美元。此事引起了苏利文的注意,他是参与舞弊的人员之一,苏利文要求立即终止关于资本性支出的审计,辛西亚担心苏利文可能采取行动掩盖舞弊行为,便及时向审计委员会主席报告,在审计委员会的支持下,审查范围扩大了。审计人员发现,通过将支付给其他电信公司和网络公司的线路成本38.5亿美元由经营费用转作资本性支出,世通公司虚增了公司对外报告的利润,隐瞒了公司当年的巨额亏损。丑闻曝光后,公司于2002年7月21日被迫申请破产保护,当月即被证券交易所摘牌,美国司法当局则以欺诈罪逮捕了苏利文。
点评
本案例充分说明,内部审计在公司治理和内部控制方面具有独特而不可或缺的作用,也表明了内部审计尚存在较大的业务发展空间。(二)内部审计活动
内部审计活动要受到审计模式、审计章程和审计人员等的因素的影响,限于篇幅,仅对其中的内部审计模式略作介绍。内部审计模式主要有六种类型:其一、内部审计由财会部门负责;其二、最高财务管理人员领导内部审计;其三,由股东领导;其四,内部审计对监事会负责;其五,内部审计对董事会负责;其六、内部审计向审计委员会报告。
无论采用哪种方式,审计活动通常都要由管理层提出审计计划,然后提交由董事会或审计委员会审核批准。
内部审计的活动主要包括风险分析、信息系统的安全和可靠性测试、控制有效性测试、经营审计、符合性审计、舞弊审计和提交内部审计报告等。
1.风险分析
企业需要系统的过程来识别风险,从而控制不利结果的出现。例如,在产品进入市场之前进行市场调查、客户分析、新产品的成本分析,判断新产品不能满足市场需要的风险;评价高管层基调建设情况,分析公司治理风险等。审计人员不可能对企业的每一个事项进行审查。
2.信息系统的安全和可靠性测试
企业的大部分信息都保存在计算机系统里,且有一部分信息打印存档。许多企业的经营系统已经通过企业资源规划系统(ERP)紧密结合起来,要求经常测试计算机信息系统。内部审计人员利用各种技术来定期执行信息安全性测试、确保信息系统的案例和可靠性。
3.控制有效性测试
一个独立的、客观的内部审计部门通过对风险管理过程、内部控制和经营有效性的独立评估来帮助管理层。内部审计人员通常也对控制文件的有效性进行测试,这些控制文件可以为内部控制的质量提供保证。内部审计人员关注业务流程是否有效执行,也关注银行存款余额调节或订购单处理是否合理等。【案例2-12】甲公司是一家在海外上市的外商独资企业,公司稽核室(审计部)是遵循上市地法律设置的,直属董事会下审计委员会领导。根据审计计划对采购业务的控制测试,按照请购单—订货单合同评审—验收单—卖方发票—付款凭单—付款凭证及卖方对账单等内部控制流程进行。内部审计人员从请购单询比价—选择供应商—合同评审—合同的签订出发,对原始单据进行测试,发现以下问题:①在询价、比价的过程中,采购员要求各供应商报价的产品规格、型号不一致,从而使得比价的作用不能发挥,导致该采购员确定的供应商的产品价格最高;②该采购员在合同报告中没有说明供应商提供增值税发票的要求,从而使得供应商以偷漏税款的方式降低报价,没有全面真实地反映实际情况,误导了主管的审核、批准行为;③签订合同时,原合同中的供应商名称变成了没有法人资质的二级代理商,该二级代理人不具有一般纳税人资质,为企业以后对卖方发票的抵扣不足留下隐患;④抽查该采购员所签合同,供应方发票没有要求17%的增值税发票的规定(公司是外企,购买国内设备享有退税政策);⑤审计部门电话和网上询价发现,此采购员所选供应商价格比同类厂家价格高出近10万元。通过发放调查表,了解生产部门情况,反馈意见显示,所购八台设备经常出现跑、冒、滴、漏现象,其中五台已返还供应商维修,有两台在仓库,现在使用的只有一台。在检查验收单、卖方发票、付款凭证及卖方对账单时发现:①采购入库的过程中采购员违反公司物品验收管理制度规定,没有通过仓库保管员验收,就分三次在三个星期日把原材料直接送到生产部门使用;②由于供应商是小规模纳税人,开具给公司的增值税发票只能抵扣3%的税款,14%的进项税额不能抵扣,金额合计约6万元;③由于公司与供应商的对账工作一直未开展,同时卖方的付款由采购处负责,采购员一直未提交财务部处理增值税发票,近一万元的进项税额超过税法规定的抵扣时效,又造成公司的税款损失。从采购作业制度来看,请购单、订购单合同评审、验收单、卖方发票,付款凭单、付款凭证及卖方对账单等内部控制流程已经相当完善,但在执行过程中,由于部分采购人员为谋求个人利益给公司造成了损失。针对发上情况,内部审计人员建议:①采购人员应做到货比三家;②采购过程增加透明度,加强责任心,提高采购员自身素质;③严格仓库验收入库手续,所有采购必须经验收才可领用;④财务部门加强与卖方的对账工作;⑤把对供应商的付款职能由采购处划归财务部控制;⑥建立对重要岗位定期轮换制度。采购流程审计引起了管理层的高度重视,立即进行了整改并落实了责任人和整改期限,同时要求财务部每半年对所有往来账核对一次。通过这些措施,为公司减少了近10万元的损失,同时也使公司内部控制得到改善,受到了公司董事会和管理层的认可。
点评
该案例中的内审机构发现问题及时,实施控制有效,改进建议具体可行,由此进入了“在工作中建立权威,靠权威推动工作”的良性循环。
4.经营审计
经营审计是对企业经济活动的效率、效果和经济性所作的评估。经营审计不局限于复核会计记录,其目的在于评估业务活动的质量和效率,识别改进的机会并为改进提供意见。审计人员、管理人员和审计委员会将经营审计目标建立在风险分析与企业发展机会联系的基础上,风险越高,所接受的审计就越多。例如,审计人员若发现分支机构有较高的坏账率,则要检查控制环节以确定其是否存在缺陷。
经营审计强调内部审计更多地参与并实施双向互动,要求审计人员关注业务、关注现场。鉴于审计成本的约束,企业难以长期配置各专业领域的审计师,遇到综合性强的审计项目时,可采取跨专业使用其他部门审计师的方式。但如何保证其他部门审计师的独立性,是审计部门借用外力时要注意的。同时,审计部门大量参与各种经营审计,尤其是采购价格鉴证、投资项目尽职调查、管理程序改进等,在审计之后仍可能出现失误或发生问题,此时划分责任成为审计实务中的一个难点。当出现需要业务部门决策的疑难问题或敏感事件时,业务部门转嫁决策责任,审计部门的风险就会增大,这也是审计人员要注意的。
5.符合性审计
符合性审计是一种针对经营活动和会计处理是否与管理政策以及相关法律法规一致的审计,例如法律法规的符合性、公司政策的符合性、经营目标实现的符合性审计等。符合性审计可以改善经营效率并为企业遵守相关法律法规提供保证,能够增加企业的价值。
6.舞弊审计
舞弊审计针对企业内部舞弊行为进行检查,是内部审计的重要内容。审计人员分析可能存在的舞弊并执行相关调查。例如,企业某些环节、部门或业务单元的管理者、员工可能违反制度规定,出现截留收入、贪污挪用公款、财务报告造假等舞弊问题。
7.内部审计报告
审计结束后,审计部门应与企业管理层一起讨论审计结论,研究审计人员是否忽略了某些重要的审计领域,对审计意见是否存在误解。管理层可能会提出一些改进意见,这些改进意见应当包括在审计报告中。内部审计报告的去向有两个:向管理当局报告向管理当局提交的报告应包括所有的审计活动,包括质量保证、人力资源开发咨询,准备向审计委员会提交的内容,以及与管理当局的沟通结果等。给管理当局的报告应该在审计委员会的会议召开之前完成,以便对相关内容进行再处理。向审计委员会报告内部审计的角色之一就是帮助审计委员会实现其监督职能,向其提供审计信息,包括内部控制测试报告、重要事项的总结、审计部门的现状等。内部审计人员通过以下方式来实施这一功能:一是检查财务报告、内部控制的质量,提供相关信息;二是在重大会计问题上提供独立意见;三是对经营效率以及经营活动是否遵守了管理方针提供反馈信息。三、人力资源政策
规范第16条强调:“企业应当制定和实施有利于企业可持续发展的人力资源政策。”同时,明确了人力资源政策应当包括的五项内容:员工的聘用、培训、辞退与辞职;员工的薪酬、考核、晋升与奖惩;关键岗位员工的强制休假制度和定期轮换制度;掌握国家秘密或重要商业秘密的员工离岗的限制性规定以及有关人力资源管理的其他政策等。(一)员工的聘用、培训、辞退与辞职
一流的企业需要数量充足的一流员工队伍。员工的聘用既要有明确的素质标准要求,又要有客观公正的录用程序。从员工基本素质考虑,主要应在道德品质、专业技能、协作精神和沟通能力等方面设置明确的标准,在录用程序上必须以标准化、程序化的评估模式,确认基本资格并进入相应的考核、测试程序。员工录用必须坚持“择优录用、宁缺勿滥、公正公开”的基本原则。
培训是另一条能够帮助企业确保员工做好工作的途径。通过培训,企业能够告诉员工许多有用的信息:企业期望员工做什么,期望员工达到哪些目标,以及员工如何能够更好地完成自己的任务。培训还会对员工产生积极的激励作用,因为员工可以从培训中感到获得了更多的能力,对其工作有了更好理解,能够有效提高员工干好本职工作的积极性。
培训不仅可提高员工的技能,而且可以提高员工对企业文化和自身价值的认识,使员工对自身工作目标,公司的控制目标和控制标准有更好的理解,从而能够更好地规范自己的行为。此外,培训有利于个人得到充分发展,对其形成激励作用,形成对培养忠诚度的合力。
员工的辞退与辞职必须符合有关法律、法规的规定,并力求保持员工队伍的稳定性。(二)员工的薪酬、考核、晋升与奖惩
员工的薪酬是稳定队伍和保证相应素质的根本条件,晋升和奖惩则是最有效的激励手段,有活力的、成功的企业都会充分地利用上述条件和手段,而实施奖惩、晋升和兑现薪酬政策的前提则是有效的考核。考核具有以下多方面的功能:一是作为奖惩的主要依据;二是便于通过考核全面地了解员工;三是使员工能够正确地评价和了解自己;四是为员工今后的发展提供依据;五是有利于营造健康的工作环境和企业文化。要发挥考核的上述作用,要求企业建立科学实际,具有可行性的考核指标体系和具体办法。有效的考核评估体系方法具备以下特征:
• 准确地测评出每个员工的工作业绩和行为
• 准确识别一个员工的缺点或不足
• 能够有效地激励员工发扬成绩,克服缺点
• 便于及时反馈测评结果,让他们知道自己的问题
• 有连续性的记录,便于员工的晋升、调动【案例2-13】许继集团有限公司(股票代码000400)是一家以生产继电器为主的机械企业,1985年以来,企业采取了一系列深化内部改革的措施,全面提高企业素质,走出了一条持续、快速发展之路。许继集团的“量化动态的人事管理”获得国家级企业管理现代化创新成果认定。“量化动态的人事管理”就是以解放和发展生产力、增加企业市场竞争力为目的,坚持管理科学中人本管理的原则,坚持量化考核与动态管理相结合的办法,改变国有企业存在的僵化、封闭、人浮于事的人事管理体制。量化考核,就是把企业经营者、各级管理者的考核标准具体量化,定性和定量相结合,突出量化考核。动态管理,就是企业经营管理者的聘用、淘汰、上岗、下岗、分配上的上下浮动及人才开发机制都是动态的。动态与静态是统一的,在相对稳定的基础上,使企业经营管理者及员工队伍处于一个优胜劣汰的竞争上升趋势。通过这些措施,形成一个开放型的、竞争型的、适应市场经济的人事管理体制。量化动态人事管理主要包括四个体系:动态的人事聘用体系、量化的人事考评体系、多层次的人才开发体系、员工激励体系。市场竞争需要高效精干、反应灵敏、决策准确、指挥有力的领导体制,从1985年开始,许继大幅精简中层管理人员,对下属部门和单位除销售公司外实行单一领导负责制。每个单位一般只设一个正职,不设副职,也不设助理等虚职。许继的企业规模扩大了,员工人数也由2000人增加到4000多人,但中层经营管理者职责明确,功过分明,减少了内耗和推诿、扯皮,极大地提高了工作效率。例如:许继变压器公司和许继电源有限公司,是许继下属规模较大的两个子公司,都只设一名经理。他们以高度的敬业精神,统筹协调各自公司的生产经营、产品开发和市场开拓等项工作,近几年这两公司分别以年均50%和45%的速度迅速发展壮大,1998年销售收入均超亿元,人均销售收入超过100万元,人均利润超10万元。这两个公司的经理也分别被评许继集团的劳动模范与“许继功臣”。1985年以来,先后有100名中层经营管理者在竞聘中下岗,60多名普通员工被聘任中层经营管理者,真正体现了“平者让、优者上”的原则。(三)关键岗位员工强制休假制度和定期岗位轮换制度。
关键岗位的内涵已如前文所述,要求这些岗位的员工强制休假,一方面体现了企业对关键岗位员工的人文关怀,实为一种特殊的激励,有助于激发他们对企业认同感,坚定忠诚于企业的信念;另一方面则有助于保证关键岗位员工的工作效率,减少失误、降低成本,也有利于队伍稳定。
关键岗位的员工应定期轮换岗位,其积极意义主要是:其一,符合内部控制的要求;其二,激发员工的创业激情,克服厌倦情绪,提高工作效率;其三,员工的多岗多能有利于企业人力资源的有效配置。(四)掌握国家秘密或重要商业秘密的员工离岗的限制性规定
某些员工由于工作岗位的特殊和便利,掌握着国家的一些秘密或重要的商业秘密,这些人员若离职离岗后失去应有的限制,就有可能泄漏有关秘密,给国家或企业造成损失。因此,公司对这些员工的管理负有重要的社会责任。对其离职离岗应该做出限制性规定并依据国家法律法规在劳动合同,或其他契约性文件中做出明确规定,如限制离职离岗的时间,设置离岗的条件并规定离岗后的承诺事项等。(五)有关人力资源的其他政策
结合企业实际情况,对本企业特有的或非常规的人力资源政策做出针对性的设计和规定。(六)企业人力资源政策的评估和控制
1.关注要点
招聘、培训、晋升和员工薪酬的政策及程序,具体包括:①现有人力资源政策和程序可以招聘到合适的人员,能够培养出可信赖的优秀员工,能够支持有效的内部控制与企业风险管理体系;②对合适人员招聘和培训的水平应是适当的;③当正式的政策和实行文件不存在时,管理层应相互沟通期望雇用什么类型的人才或直接参与招聘活动。
2.主要措施和程序(1)公司通过与员工签订劳动合同的形式确立劳动关系,并依据《中华人民共和国劳动法》和《公司劳动合同管理办法》等管理规定对员工实施必要的管理。人事部门通过组织开展竞聘或招聘活动,对关键岗位和紧缺人才进行选拔。招聘程序一般包括资格初审、专业知识和素质测评、用人部门审核、主管领导审核等必要程序。(2)公司针对管理层、高级管理人员、中层及以下管理人员、操作人员分别制定考核制度,形成较为系统、规范的绩效考核评价体系,对员工履行职责、完成任务的情况实施全面、客观、公正、准确的考核,并以此作为确定员工薪酬、奖惩及作用的依据。(3)公司制定“公司员工培训工作规定”等相关规章制度,每年制定并下达培训工作计划,有针对性地组织业务和知识培训,确保员工技术素质和业务能力达到岗位要求。(4)公司制定“公司绩效考核办法”等制度,建立内部薪酬激励和约束机制,调动员工的积极性和创造性,增强公司的市场竞争力。(5)根据公司总体战略,公司每年对包括招聘、培训、考核、薪酬、职务晋升等制度在内的人力资源政策进行调整,使之能够有效地支持公司战略的实施。四、员工培训及教育
规范第17条规定:“企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。”(一)员工培训及教育的目标
员工培训及教育的根本目的在于提高员工的综合素质,并通过对员工素质的控制实施企业内部控制,其具体目标是:
• 理解和认同公司的企业文化和发展战略
• 熟悉公司的各项规章制度和岗位职责
• 改善员工的工作态度,增强团队精神和工作热情
• 提高员工的职业道德意识和对企业忠诚尽责意识
• 提高员工的岗位任职能力和工作绩效
• 提升员工的知识水平和综合素质
• 发挥员工潜能,促进企业发展(二)员工培训的主要内容
员工培训内容主要包括企业概况和文化背景、职业道德和企业规章制度、岗位专业技术和技能、文化知识以及某些方面的特殊知识等。【案例2-14】汇银公司的三级培训体系如表2-2所示,请据此分析借鉴其可取之处并指出可能存在的问题。表2-2 汇银公司三级培训体系表2-2中给出了以下积极信息:该企业对员工培训较为重视,确立了三级培训体系,提供了有计划、有分工、有基本的条件保障,三级培训任务的划分也基本合理。可能存在的问题是:培训计划尚不够翔实,二、三级培训明显较弱,存在着流于形式或质量不能保证的可能性。问题的关键在于教材和师资的规范和保障。(三)员工教育培训的方式
根据培训目的之不同,可采取灵活多样的教育培训形式,主要包括:为提高中高级管理人员素质的专门培训,可采取走出去(短期离岗进修)、请进来(听取专家讲座等)的形式;新员工的岗前培训;在职员工的岗位跟踪培训;公司对个别员工所进行的不定期专门培训等。【案例2-15】美国摩托罗拉公司十分重视人员素质控制,尤其是关注管理者的素质,所以,他们为选拔管理者明确规定了许多素质标准。例如,对副总裁候选人的素质要求是:①个人道德素质高;②在整个大环境下,能够有效管理自己的人员;③在执行总体业务目标时,能够执行得好,这意味着成本低、速度快、效果好;④有创新意识、创新精神和创新能力。以上四个方面都须具备且较为平衡。与此同时,总监、部门经理等都规定有相应的就职要求。摩托罗拉还有许多针对领导素质的培训和职业道德培训,包括对他们进行跨国性的培训,这是该企业经营业务的客观要求。
点评
通过该案例,我们应当受到如下启示:其一,人员素质控制的关键在于素质标准的具体化;其二,人员素质标准具有层次性;其三,应充分考虑人员素质标准与其岗位的匹配性。(四)关于全体员工诚信和道德价值观的教育与实施
1.关注要点
管理层应该向员工传达诚信与道德价值观规范,并且必须不折不扣地执行。员工应该知晓和理解这些规定。管理层应该在言谈和行动中表现出对诚信与道德价值观规范一丝不苟的遵循,具体包括:①诚信与道德价值观规范是完善的,涉及的方面包括利益冲突、非法或其他不当付款、泄露公司商业机密、反不正当竞争、内幕交易等;②诚信与道德价值观规范应定期由所有员工确认;③公司对诚信与道德价值观规范进行有效的宣传推广,如果不存在书面的诚信与道德价值观规范,公司文化要强调诚信与道德价值观规范的重要性可以在职工会议、面谈或处理日常工作中进行口头的强调;④员工应知晓什么是可接受的,什么是不可接受的,以及当遇到不当行为时应该采取的行动。
2.主要措施和程序(1)建立并推行高级管理人员的诚信与道德价值观规范。一是制定公司高级管理人员诚信与道德价值观规范,并使其与公司章程,企业精神、宗旨、企业核心经营管理理念一起成为公司各层管理人员(包括董事会),特别是高级管理人员的主要道德准则;二是制定公司高级管理人员诚信与道德价值观建设制度,将对高级管理人员诚信与道德价值观规范的宣传作为诚信与道德价值观建设的重要工作内容。公司将诚信与道德价值观建设列入公司高级管理人员的培训内容,通过印发学习资料、利用公司内部刊物,利用内部网络平台或开设诚信与道德价值观建设学习专栏等多种形式开展培训学习。新提升聘任的高级管理人员要及时学习公司诚信与道德价值观规范,公司每年组织高级管理人员签订“诚信与道德价值观规范确认书”,并将签订的确认书报企业文化部门。(2)建立并推行员工诚信与道德价值观规范。一是制定《公司员工诚信与道德价值观规范》,与公司文化建设规划一起成为适用于全体员工的诚信与道德价值观规范。二是制定《公司员工诚信与道德价值观建设制度》,把对员工诚信与道德价值观规范的宣传作为公司诚信与道德价值观建设的重要工作内容。(3)对员工遵守诚信与道德价值观规范的实际情况进行监督和考核。公司审计部门和人事部门根据公司管理层的授权,对公司员工遵守诚信与道德价值观规范的情况进行监督。员工违反诚信与道德价值观规范的任何行为,除依照国家法律、上市地监管规则进行处理外,公司可以根据有关公司制度规定对其处分直至解除劳动合同。(五)加强对教育培训工作的管理
为了确保教育及培训的实际效果,仅有投入是不够的,还必有加强对这项工作的管理,使之形成有效的培训体系与制度,包括对培训教师、培训教材、培训管理主体、培训档案的管理以及对培训计划、组织、指挥、协调与控制等培训过程的管理。五、企业文化
规范第18条规定:“企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信,爱岗敬业,开拓创新和团队协作精神,树立现代管理理念,强化风险意识。”同时要求董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。(一)企业文化的内涵
企业文化是融企业经营理念、企业精神、经营者及员工素质于一体的人文氛围的集合,它是企业在较长期内逐步培育提炼而形成的。其内涵极为丰富,如价值观,责任感、经营理念、企业精神、员工人文素质等。企业文化具有全面性、系统性和连续性特征。(二)企业文化的功能
企业文化的形成过程,如同发现水源和掘井的过程。一种特定的企业文化一旦形成,便会持续不断地发挥其巨大潜能,恰似用之不竭的涓涓清泉。具体讲,企业文化的功能主要表现在:
• 凝聚人心,形成共识,有利于经营目标的实现
• 提供强大的精神动力,帮助企业一次次渡过难关,促进企业长盛不衰
• 富有特色的企业文化成为一种无形的控制与管理,成本低、效果好
• 激发潜能,实现企业增值【案例2-16】某企业具有较长的经营历史,曾荣获不少荣誉,员工对企业认同感、依赖感都比较强。然而,在改革大潮中,企业陷入了巨大的困境。企业最高领导坚信:“人在阵地在”,只要员工心不散,总能找到出路,他还引用管理学家彼得·德鲁克的名言,称英语单词“管理”的第一个字节就是“人”(man),且是堂堂的男人,只要大家能齐心协力,众志成城,企业就一定能够渡过难关,并表示“我和领导班子全体成员愿意与大家并肩战斗到最后的一刻,当然是取得胜利的一刻,为了昔日的荣誉和更加美好的明天”。他的这几句话极大地鼓舞了全厂上下的斗志,接下来集中精力实施了问计于民的“金点子工程”,即有奖征集帮助企业走出困境的“金点子”,并设立“企业发展重大贡献奖”。可以想象,这个企业终于在不太长的时期内走出了困境,重新焕发了生机。
点评
该案例中,企业的重生有赖于一种精神、信念及其支配下的凝聚力,而这一切正是重视“企业文化”建设所得到的回报。(三)企业文化建设的原则
经验表明,企业文化建设应遵循以下几项基本原则:(1)整体性原则。企业文化建设必须要进行整体规划,并采取整体推进、全员参与的战略,这是由企业文化的全面性、连续性等特征所决定的。(2)特色原则。企业文化的建设必须紧密联系企业的历史、现状等实际情况,在企业文化的丰富内涵中合理取舍,确定最适于本企业实际情况的部分,认真加以提炼,加以总结,最终形成富有本企业特色的企业文化,这样的企业文化才有生命力,才会发挥其应有的功能。(3)引领原则。企业文化不可能完全自发地形成,离不开企业领导、经营管理者的有效示范和引领。否则,企业文化的建设必将是事倍功半。(4)循序渐进原则。企业文化的建设不可能一蹴而就,循序渐进、由点带面、不断积累、不断完善、不断发展是企业文化建设的必由之路。(四)企业文化建设的主要路径(1)确立企业文化建设的总体目标,实施相应的工程计划和管理,企业主要领导挂帅,专人负责,保证基本的投入。(2)营造浓厚的企业文化建设氛围,广泛利用领导讲话平台和各种媒体、专栏,造就良好的企业文化建设环境。(3)广泛开展经常性的企业文化活动,寓教于乐“润物细无声”,把各种活动有意识地纳入企业文化建设的大局中去。(4)走出去、请进来,大胆引进、借鉴、创新企业文化建设的新形式、新渠道,在创建中不断积累经验,并定期总结,固化成熟的创建成果,使之不断深入人心,转变为企业文化的核心要素。第三章 风险评估
规范第20条规定:“企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。”本章内容主要包括控制目标的设定、风险识别、风险分析和风险应对。第一节 风险评估的目标设定一、目标与风险的关系
企业内部控制的目标是风险评估的前提。也就是说,风险评估之前,必须事先设定不同层次的相互关联和内在一致的目标,只有这样,管理层才能识别实现这些目标的风险,并采取必要的措施来管理风险。因此,目标设定是管理过程的一个关键部分。尽管它不是内部控制的构成要素,但它却是内部控制的前提。目标和风险常为彼此的“镜子”。实现目标过程中的不确定性就是相应的风险。【案例3-1】过程控制失控,企业遭受损失,以不确定性为特征的“风险”就转化成了“目标”不能实现的现实。表3-1显示了部分企业过程控制失控所带来的损失及未曾评估的风险。表3-1 风险损失二、目标的种类
内部控制的目标服务于企业的四个目标,即战略目标、经营目标、财务报告目标(以下简称财务目标)和合规目标,企业的各个层级都要保持同样的四个目标。其中,战略目标与其他三个目标势必有所交叉,因为后者本身就是前者的具体体现。同样的道理,经营目标、财务目标和合规目标都可以派生出更为具体的目标。主体层次的目标与针对各种业务活动(例如销售、生产、采购等)的更加具体的目标相互关联、整体一致。
1.经营目标
经营目标关系到主体经营的有效性和效率,包括业绩和盈利目标,以及保持资源免受损失。经营目标关系到实现企业的基本使命,它包括相关的经营与目标,致力于促使企业在向其终极目标迈进过程中提高有效性和效率。经营目标需要反映企业运营所处的特定的经营环境、行业环境和经济环境。例如,这些目标往往会涉及质量方面的竞争压力,缩短产品进入市场的周期或者技术的变革。一套与子目标相关联的清晰的经营目标和战略是成功的根本,它们提供了企业投放其资源的焦点。如果一个企业的经营目标不明确或考虑不周,其资源就有可能投错方向。
2.财务目标
这类目标关系到编制可靠的公开财务报表,包括防止虚假的公开财务报告。它们主要是由外部要求所导致的。换言之,财务目标致力于编制可靠的公开财务报表,包括中期和简要财务报表,以及来自这些公开披露的报表的选定财务数据,如盈余公告。企业需要实现财务目标,以履行对外的义务。同时,可靠的财务报表是获得投资者或债权人资本的先决条件,而且对于获得特定合同或与特定供应商进行交易也是至关重要的。投资者、债权人、客户和供应商通常依靠财务报表来评估管理层的业绩,并将其与同行业和备选投资方案相对比。
3.合规目标
这类目标关系到遵循适用于该企业的法律和法规,它们取决于外部因素,如环境法规等。企业开展活动必须符合适用的法律、法规,而且通常会对此采取具体的行动,这些规定可能关系到市场、定价、税收、环境、员工福利和国际贸易等因素。这些法律、法规,确立了企业融入其合规目标之中的最低行为准则。一个企业遵守法律、法规的情况将对其社会声誉造成重大的影响,当然包括正、负两个方面。【案例3-2】2001年国内某著名电器公司为实现海外发展战略,提高国际市场竞争力,将某种品牌的彩色电视机交美国AP公司在美国销售。AP公司曾多次以质量问题或货物未收到为由,拒付、拖欠货款或仅支付少量货款。2003年底,这家著名的电器公司仅在AP公司一家的应收账款就高达44.6亿元人民币。为此,公司专门成立了AP项目管理小组,专职进行对账、索要货款工作,然而在尚未取得确定结果的前提下,2004年初经公司高管人员与AP公司简单交涉后,又继续发货300多万美元。据此可以判断,该公司未曾设置具体而清晰的内控目标,从而使高管人员有了决策的随意性,其潜在的问题则是加大了本已显现的风险,给企业造成巨额损失。三、控制目标的设置
目标的设定,既可能是一个高度复杂的过程,也可能是一个非正式的过程。目标既可以明确地陈述,也可以隐含地表达,例如“保持过去的业绩水平等”。在企业整体层次,目标通常通过企业的使命和价值观陈述来体现。它们与企业的优势和劣势以及机会和威胁的评估一起,形成一个总体战略。一般来讲,战略计划常被表述得比较宽泛,主要针对较高层次的资源配置和优先领域。
战略目标设定后,就可以针对各种业务经营活动设定更加具体的子目标,这些子目标涉及生产、销售、融资等各个方面。通过各层级目标的设定,企业就可以识别出成功的关键因素。要想实现目标,就必须正确处置这些关键因素,进行相应的风险控制,使之按既定目标运行。一个企业、一个业务单元、一个职能部门甚至一个人都存在关键成功的因素。控制目标的设定,使管理层能够通过关注关键成功因素来确定业绩的衡量标准。
以企业主要业务为例,基于不同业务种类的内控目标可分别设定如下。
1.销售与收款业务(1)经营目标。通过规范销售与收款流程以及适当授权,确保产品销售与收款业务按规定程序进行,实现预期经营目标。(2)财务目标。确保销售与收款业务及其相关会计账目的核算真实、完整、规范,防止差错和舞弊,保证财务报表能够合理揭示产品销售业务发生的折扣与折让。(3)合规目标。保证销售业务及其税金的处理符合国家有关法律、法规以及公司的规定。
2.采购与付款业务(1)经营目标。通过规范采购业务流程,确保采购业务按规定程序和适当授权进行,实现预期目标。(2)财务目标。确保采购与付款业务及其相关会计账目的核算真实、完整、规范,防止差错和舞弊;保证账实相符,财务会计报告能够合理揭示采购业务享有的折扣、折让。(3)合规目标。保证采购及付款业务,相关采购、招标合同等符合国家有关法律法规。确保付款、与采购相关的货币资金管理符合中国人民银行等国家有关部门的法规要求。
3.生产进度管理业务目标(1)保证对客户交货期的达成率符合公司预定的目标。(2)避免因推迟交货而导致的客户投诉、主要客户流失等问题。(3)避免因达不到交货期导致的违约、罚款、赔偿、法律诉讼。
4.生产过程管理及成本核算业务目标(1)通过规范生产管理及核算业务流程,确保生产成本计量、核算按规定程序和适当授权进行,实现预期目标。(2)保证产品成本及有关存货的计价真实、合理、规范,保证生产成本及费用支出经济、合理。(3)保证生产管理及费用的归集、分配、摊提等符合国家会计准则、会计制度等规定。
5.生产安全控制目标(1)通过生产安全控制,使公司的生产活动顺利进行。(2)保证公司的生产过程符合国家相关的法律法规。(3)确保员工的人身安全、公司财产安全。
6.固定资产管理业务(1)经营目标。确保资产完整地保存及使用,价值得到公允反映,达到预期资产管理目标。(2)财务目标。对固定资产的历史记录完整,及时准确地计提折旧,公正地反映固定资产价值。(3)合规目标。完好地保存所有资产的原始凭证和产权证书,确保拥有所记录资产的所有权。确保固定资产管理业务符合国家有关部门关于资产使用和转让的规定,使相关业务符合法律要求。
7.货币资金管理业务(1)经营目标。通过规范货币资金管理业务流程,确保货币资金管理业务按规定程序和适当授权进行,达到预期管理目标。(2)财务目标。确保落实管理责任,实现有效监控,防止差错和舞弊,保证货币资金安全,提高资金使用效率;确保货币资金核算真实、准确、完整,会计报表对货币资金的信息披露恰当充分。(3)合规目标。符合当地有关金融机构对资金管理的规定,(上市公司)遵守上市地监管机构的要求。确保货币资金管理业务符合中国人民银行等国家有关部门和公司的相关规定。
8.关联方交易业务(1)经营目标。按照公平合理的定价原则和交易方式实现交易,确保关联交易规范进行,防止非正常利润转移,确保资产安全完整,达到预期经营管理目标。(2)财务目标。确保关联交易数据真实、准确、完整、及时,确保对恰当关联交易的信息披露实现有效监控,防止差错和舞弊,防止利用关联交易进行财务数据造假。(3)合规目标。符合当地政府相关机构对关联方交易管理规定,(上市公司)应遵守上市地监管机构的要求。确保关联方交易业务符合国家财政部会计准则及国家有关部门的要求,防止因重大关联交易不合法导致违法、违规行为。
9.对外担保业务(1)经营目标。保证担保业务规范,防范和控制或有负债风险。(2)财务目标。保证担保业务的真实、完整和准确,满足信息披露的需要。(3)合规目标。符合国家有关担保规定和上市地监管机构的要求。主合同担保合同符合合同法等国家法律法规和公司内部制度。
10.对外投资业务(1)经营目标。通过规范对外股权投资(以下简称投资)业务流程,确保投资业务按规定程序和适当授权进行,实现预期投资目标。(2)财务目标。确保投资业务会计核算真实、准确、规范,防止出现差错和舞弊;保证财务报表能够合理揭示投资成本及其收益。(3)合规目标。确保投资业务符合我国的会计准则、会计制度以及与投资有关的法律、法规以及公司的规定。
11.研发业务(1)经营目标。按照高效的研发流程管理制度,使研发业务按规范进行,减小研发成本,有效配置研发业务资源,提高研发业务效率,确保研发对公司经营的支持,达到预定经营管理目标。(2)财务目标。根据研发流程,有效管理研发业务,不断挖掘研发成本下降空间,确保相关财务数据真实、完整、客观地反映研发成本。(3)合规目标。符合所在地法律法规对研发管理方面的规定,以及政府及相关机构对研发管理的政策,遵守研发过程中相关知识产权的规定。研发产品不能是国家明令禁止的产品,确保研发业务符合国家法律法规。
12.人力资源管理业务(1)经营目标。通过规范人事管理业务流程,为实现企业战略目标提供充足的人才供给,建立合理的分配机制与绩效考核,最终达到预期经营管理目标。(2)财务目标。确保人事管理业务各项费用支出合理,确保绩效考核与薪资设计完整、规范、合理,防止差错和舞弊。(3)合规目标。符合国家相关法律、法规,按国家劳动和社会保障规定执行公司的相关社保、福利政策,确保公司人事局面稳定。有效遵守当地政府的相关人事政策,使公司在合法的情况下经营,不至于因人事制度而受到政府有关部门的处罚。第二节 风险识别一、风险管理概述(一)风险及其种类
风险的核心内涵是事件未来结果的不确定性。换言之,只要某项活动未来结果有两种或两种以上,就有风险。具体讲,风险是指事件客观存在的不确定性,即在一定条件下和一定的时间内可能发生各种结果的变动程度。2006年6月6日,国有资产监督管理委员会发布的《中央企业全面风险管理指引》指出:“企业风险是指未来的不确定性对企业实现其经营目标的影响”。例如,企业从事某项投资,目标是为了取得期望比例的投资回报,但能否如愿以偿,受制于多种因素,具有若干结果的不确定性,这就是投资决策者所面临的风险。一般来讲,风险与机遇并存,风险也与回报密切相关。风险可以按照不同的标准分类(1)按照风险的影响范围可以分为系统风险和非系统风险。前者指使所有企业都受影响的风险,例如,财政货币政策、利率、汇率、税率的调整,以及自然灾害,战争等风险;后者又称特定风险,这类风险仅对特定企业有影响,如新产品开发投资失败、发生重大事故、重要人事更迭等。(2)按照风险来源的空间范围,可分为内部风险和外部风险。前者主要包括人力资源因素、管理因素、财务因素、安全环境因素等;后者则指客观经济因素,法律因素、社会因素、科学技术因素和自然环境因素等。(3)按照风险的性质及其与控制目标的对应关系,可分为经营风险、财务风险和合规风险。(二)风险管理目标与要素《企业风险管理—整体框架》给出了风险管理的四类目标和八个要素。四类目标是战略目标,经营目标、财务目标及合规目标;八个要素则是指内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通以及内部监督。我国最近公布的规范则采用了其中的五个要素,即内部环境、风险评估、控制活动、信息与沟通以及内部监督。
本书第二至第六章将分别阐述这五大要素。风险管理的目标与要素事实上也同时涵盖了风险管理的主要内容。(三)风险管理的重要性
美国史蒂文J.鲁特认为:“风险管理是一切决策工作和过程不可或缺的组成部分,它应该被融合到目标确定、战略规划、进入或退出市场、履行合同、制定政策、实施资本资产项目、实施或修订信息系统、调整公司结构、融资、研发投入、管理工作和程序等各个环节中。”由于客观环境的变幻莫测和人们知识经验的局限性,使得任何一个企业在本质上都是一个风险型组织,企业经营者时刻要面临着各种各样的风险,如企业常见的信用风险、投资风险、筹资风险、法律风险和信息风险等。现代企业越来越深刻地认识到了风险管理的极端重要性,不少企业为此专门建立了风险管理组织,通过卓有成效的风险管理,取得了应有的积极效果。古人云:“预则立,不预则废。”既有足够的风险意识和清醒的预测,又有精心准备前提下的冒险精神,才是成功的企业经营者的必备素质。广东核电集团的风险防范
中国广东核电集团有限公司(以下简称中广核集团)为加强风险防范,保障战略目标的顺利实现,借鉴国务院国有资产管理委员会《中央企业全面风险管理指引》,将风险管理作为重点工作之一,积极推进全面风险管理体系建设,取得了成效。
全面开展风险评估诊断,明确所面临的重大风险
在进行风险调研的基础上,中广核电集团专门成立了全面风险管理体系建设工作领导小组和工作推进小组,精心组织,深入开展访谈和风险辨识,设计风险评估模型,组织填写并回收调查问卷共计240多份,收集风险初始信息9474条,辨识出风险事件517个,最终在集团公司层面归集为13大类、35种风险。在此基础上,通过进一步从风险的影响程度、风险发生的可能性和管理改进的迫切性三个维度对所收集的风险信息和调查结果进行统计、分析、评价,绘制出集团风险图谱,经过集团风险管理领导小组确认,明确了需要重点防范的9大类重大风险。
制定重大风险管理策略和措施,加强重大风险管理
针对评估辨识出的重大风险,推进小组对集团高层领导、集团公司顾问和相关专家、重要管理骨干等进行访谈,共计78人次,初步掌握重大风险管理现状,并将战略、资金和核电工程建设三个方面重大风险的管理作为突破口,对与其相关的管理制度和流程进行梳理、分析,进一步明确管理上的薄弱环节和不足之处,提出了相应的管理策略的应对措施。在战略风险管理方面,通过对战略管理流程的分析,从战略研究、战略制定与决策、战略执行、战略控制与评价四个方面提出了相应的管理目标和控制措施。在资金风险管理方面,运用蒙特卡罗模型量化分析,提出了集团资金风险的承受度和管理策略及控制措施。在工程风险管理方面,紧密结合岭澳二期工程进展,选择“设备分包采购风险”、“常规岛应用半速机带来的技术改进风险”、“采用DCS技术的风险”作为管理突破口,针对其关键业务环节设计了29个风险监控指标,制定了28项风险预警标准,建立了相应的风险监控报告和预警机制。
出台《集团全面风险管理制度》及相关流程,明确风险管理目标、内容和方法
按照《中央企业全面风险管理指引》的有关规定,中广核集团结合自身的经营发展实际情况,制定并颁布了《中广核集团全面风险管理制度》,并编制了风险评估、风险策略制定及修订、风险监控及预警流程,明确集团风险管理的目标、原则、内容和方法。
提出了集团全面风险管理职责方案,明确各相关单位全面风险管理工作职责
中广核集团公司根据公司自身治理结构的特点和实际情况等因素,制定了中广核集团全面风险管理职责方案,建立了由全面风险管理领导小组、领导小组办公室和推进小组、审计部和其他业务部门组成的全面风险管理体系,明确了在全面风险管理体系中决策层、管理层和集团公司各部门、各相关单位的风险管理职责、重大风险监控的内容及指标,并将风险管理体系的建设及执行情况纳入经营业绩考核之中。
修订相关制度,把全面风险管理融入日常管理工作
为了使全面风险管理真正融入集团日常管理的每个环节,把《集团全面风险管理制度》的要求落实到每个管理流程,在全面风险管理体系建设中,中广核集团公司坚持将全面风险管理与现有管理体系充分融合,在落实部门风险管理职责基础上,通过与业务部门的充分沟通,对集团战略管理制度、集团计划管理制度、集团核电工程管理制度、集团筹资管理制度、集团投资管理制度、集团合同采购与招投标管理制度等十多个制度开始进行修订,将全面风险管理的要素落实到现有管理制度程序中,完善、提升了集团现有管理制度。资料来源:引自中国广东核电集团有限公司,中广核集团全面风险管理体系以建设,http://www.sasac.gov.cn,2007-01-11,以吴秋生等整理和修改稿为据。二、风险识别的基本方法
风险识别是指对企业所面临的潜在风险进行判断、归类以及鉴定风险性质的过程。也就是说要通过风险识别,判明企业面临或隐含着哪些风险,这些风险的致因是什么,如何类别,有哪些特点等。同时,把识别的影响目标实现的风险向管理当局反馈,这是一个连续的过程。风险识别是风险评估的基础,风险识别较多地采用定性的方法,常用的风险识别方法主要包括以下几种。
1.调查法
调查法一般适用于年度或较长间隔期的风险识别。调查前应认真做好准备工作,提前设计好调查问卷或调查表,载明调查的时间、地点、对象等。调查表可以采用事实陈述的方式,或是针对问题提问的方式并在调查表中设计具体的标准。准备妥当后,就要严密组织现场调查、收集调查问卷或调查表,尽可能地保证问卷回收数量,在此基础上形成调查报告。调查法可以获得第一手的可靠资料且调查表可以反复使用,其缺点在于初次设计调查表或问卷时耗时费力,调查过程成本较高。
2.事故树法
事故树法,又称故障树法,其本质上属于定量分析方法,但也可以做定性分析。采用事故树法,是由某一风险事项出发,运用逻辑推理的方法推导出引发风险的原因。从顶上事件(风险事件)—中间事件—基本事件进行事故树的结构图分析,从而发现风险源。
3.流程图法
这是一种常用的识别企业潜在损失的系统方法。它将风险主体按照生产经营过程和内在的逻辑关系绘制成流程图,并针对流程中的关键环节和薄弱环节识别风险。流程图可以是实物形式的,也可以是价值形式的,繁简不一,根据实际需要来确定。流程图通常配有解释表,用来具体证明各流程体系发生的风险的种类,可以直观地反映容易发生风险的流程及其对其他流程的影响。
4.组织结构分析法
这种方法利用组织结构简图分析确定出风险所在区域,需要画出企业或部门的整体结构图,寻找部门之间是否存在重复性、依赖性,也可在组织结构图上标注出该部门的原料供应量、收入、利润等指标,管理人员可以清楚地看到各部门的责任和风险,也可借鉴战略地图来对风险进行描述。
5.风险清单分析法
该方法是美国风险和保险管理学会开发制定的。风险清单列示了已识别的常见的企业风险,如故障、员工疏忽、员工欺诈行为、契约与专利权的失效,存货短缺、破产、经济波动、流行病、疾病、替代成本上升、配套成组部件的遗失、档案受损造成的权利丧失、管理失误等。风险清单分析法的实质,是凭借经验形成的清单,作为企业的可对照镜子,核对自身是否存在相应的风险。很显然,这种方法可大大节约风险识别成本,但其局限性也是显而易见的,那就是容易忽略掉某些不常见的特殊风险。
6.财务报表分析法
这种方法的基本原理是借助于财务报表中的历史数据计算出相关指标值并与经验数据相对照,从而发现风险及其程度。这种方法具体包括趋势分析法,比率分析法、因素分析法和模型分析法等。(1)趋势分析法。根据企业连续期间的财务报表数据,比较前后期间同一项目的增减变化幅度和方向,揭示出当期该项目合理的增减变化幅度和方向,借以识别是否存在风险事件。(2)比率分析法。根据同期的财务报表数据,就相关数据进行计算,得出评价比率并与同行业的参照值进行比较,借以分析企业是否存风险事件。(3)因素分析法。固定非被测因素,测量被测因素对风险事故的
试读结束[说明:试读内容隐藏了图片]