中国版萨班斯系误读

　　2010年4月26日,财政部会同证监会、审计署、银监会、保监会联合发布《企业内部控制配套指引》(以下简称“配套指引”),各界对于内控话题的热度持续升温,而在未来的几年里,中国所有上市公司的CFO都将面临内控建设的考验。五部委联合发布的《企业内部控制基本规范》和《企业内部控制配套指引》(以下简称“内控规范体系”),突破了我国传统的将内部控制局限于会计与审计的局面,将内部控制嵌入公司治理并融入生产、人

　　接受采访的各方人士一致认为,《内控指引》的出台明确了各方的责任,本土CFO们应当利用这个契机,借助这部有着国家级高度的“内部控制规范”完成之前可望不可及的整体运营风险的源头控制。

　　“中国版萨班斯”是误读

　　在财政部财政科学研究所研究员杨小舟看来,“内控规范体系”有如以下几点令其印象深刻:体系完整、层次较高、体现中国特色、定位准确。曾在清华同方任CFO多年的杨小舟进一步提到,关于企业的内部控制,不同的人其实有不同的理解,可以分成三个层次或三种观点:第一种观点认为内部控制主要是指与财务报告相关的内部控制;第二种观点认为,不管叫做内部控制也好,风险管理也好,都是指对企业各种各样经营风险进行的(包括公司层面、运营层面和操作层面的业务与财务风险)管控;第三种观点将公司治理的目标、治理风险也纳入内部控制的范畴,这是一种最宽广的内部控制概念。对于不同层次的内部控制,各国的政府机构或研究机构、咨询机构都发布了不同的控制框架。例如,美国的“萨班斯法案”(全称为“公众公司会计改革和投资者保护法案”),强调的是与财务报告相关的内部控制的有效性,目标是为了促使企业的财务报告按照美国GAAP编制,以确保企业财务报告的可靠性。美国COSO2004年发布的“企业风险管理整合框架”,实际上是第二个层次的内部控制。至于第三个层次上的内部控制,系统性的观点少,但实务中不少企业是这么做的。一个公司的治理结构是不是完善,最根本的判断标准,还是看是否有利于企业战略层面的风险管理,是否有利于企业经营战略和长远目标的实现。“了解这一点非常重要,否则我们对于企业内部控制的深入讨论就缺乏一个共同的基础。'中国版萨班斯’的说法是一种明显的、重大的误读和误解。'内控规范体系’无论是从目标、要素,还是指引所规范的内容上看,至少是第二层次的内部控制概念。”

　　对此,普华永道北京风险管理及内部控制合伙人季瑞华解释,“中国版萨班斯”的说法,主要是由于中国的基本规范和美国的“萨班斯法案”同样有要求上市公司对其内部控制进行自我评价以及需要外部审计师进行独立审计。但中国基本规范和美国“萨班斯法案”的侧重点和其他方面都不尽相同,因此不应该一概而论。

　　而身为中国会计学会企业内部控制专业委员会委员的杨小舟认为,“内控规范体系”在很多方面都体现出了中国特色。例如,在《基本规范》第二章中强调了公司治理结构完善对内部控制的重要性,有些经营层面上的风险,根源还是在治理结构、治理机制的不完善上。再如,基本规范第37条指出,企业应当建立重大风险预警和突发事件的应急处理机制等。这些都反映出“内控规范体系”既借鉴吸收了国际先进的风险管理理论,也考虑并体现出了中国企业风险管理的实际。

　　从2001年6月开始,财政部就陆续发布了《企业内部会计控制-基本规范》,以及一些内部会计控制具体规范(如货币资金等)的征求意见稿。但这些征求意见稿之所以没有得到企业应有的重视,其中重要的一个原因是企业的内部控制机制或体系是一个完整的系统,将内部控制分成会计控制和管理控制,无异于将“美玉击成碎片”。而此次“内控规范体系”很好地解决了这一问题。特别值是一提的是,为了促进内控规范体系的有效实施,内部控制审计指引指出,注册会计师不仅应当对企业财务报告内部控制的有效性发表审计意见,同时还应当对企业财务报告审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告增加描述段予以说明。这可以说是中国内部控制规范体系的一个创造,体现出规范制定者的务实态度和高超的解决现实问题的能力。

　　德勤北京企业风险管理服务合伙人谢安在采访中也表示,“配套指引”的制定充分考虑了中国国情,涉及内部控制建设、评价和审计的全面指导。谢安指出,“配套指引”并未体现行业特点和企业规模,通用性强,是各企业均可以参照执行的。但企业在实施过程中,必须结合自己的实际情况来执行,而不能生搬硬套;应加强针对配套指引的培训。中国企业,除一些已经同时在有监管要求的境外资本市场上市的公司,其他公司对本公司如何切实加强内控的认识差异很大,因此加强培训是必要的。此次“配套指引”的出台,让谢安印象最为深刻的是:第一,有明确的时间表,境内外同时上市的,2011年1月1日起开始实施,仅在境内主板上市的,2012年1月1日起开始实施;第二,实施配套指引的企业,应当报送或披露年度内部控制评价报告和审计报告,显示了监管层的决心和力度。

　　上海汽车集团股份有限公司CFO谷峰认为,《企业内部控制配套指引》的出台,应该说是企业所热盼的,因为之前的《企业内部控制基本规范》只是提出了一个有关内部控制的框架概念,着重对内部控制的各个组成要素进行了解释,但是并没有针对具体的业务领域应该设置怎样的内部控制提出指导意见,也未对企业应该如何开展内部控制评价提出要求。“配套指引”明确了内部控制评价指引,内部控制审计指引以及18项具体的应用指引,这对企业建立健全内部控制体系,规范开展内部控制评价,将产生巨大的指导作用。

　　内控动力:内部还是外部?

　　“内控也好、风险管理也好,其目的都是为了管理好企业经营过程中可能遇到的各种各样的风险,使企业能够持久、健康地发展,从而为股东、为社会创造更多价值。因此,从原理上来说,建立和健全内部控制的动力,毫无疑问应该来自企业的内部。”杨小舟坚持认为内控的动力来自于企业内部。

　　而中国社科院公司治理研究中心主任鲁桐则认为,这应该是市场的基本要求,做收益的话不控制风险这是很悬的事情,有争议就应该有控制。在2008年《企业内部控制基本规范》推出来后,本来2009年7月1日要在所有上市公司推行,后来财政部也发现内控不是一两天建成的,就把时间表推了,到了2010年觉得不能无限推下去,所以今年内无论如何要在上市公司推行,两地同时上市的公司动得比较早,可能基础也比较好,问题不太大。问题大的是规模不是很大的小公司,推行起来在时间、人力、财力等方面都不太足,所以鲁桐认为内外两方面的压力都会有,企业自身也是有这方面的渴望。

　　谢安的观点是,从近几年接触的企业完善内部控制的实践来看,最初的动力多来自于外部的监管要求,但企业在开展这项工作的过程中逐渐认识到,内控有助于实质性地提升企业的管理基础,因此动力慢慢地由外部监管转化为内部的管理需求。“近期我们越来越多地看到,一些未被监管的企业,出于管理和运营的需要,也在积极探索完善内部控制,这是一个可喜的现象,也正是内控的真正使命所在。”

　　内控成本的辩证观

　　成本问题曾经让美国“萨班斯法案”饱受非议。在我国企业内控建设中,同样存在成本问题。

　　对此鲁桐表示,“基于我们对上市公司的调查,能够建立完整的内控体系需要三年的时间,内控不是短期内就能见效的,实际上有不同的阶段,我们观察到三年是必要的,每年都要特别重视,要有很多的投入,内控成本确实比较大,从硬件到软件,再到人员。”除了要改造信息系统,还要对风险进行测试,测试需要很多人员来参与,一年测一次周期也比较长。而且各个行业的内控是不一样的,并不是说有一个菜单和一个方法大家就都可以用,实际上每个行业、每个公司自己的业务特点都不同,内控的侧重点和所要花的时间、精力、成本都不一样,虽然有这么多配套指引和规范,但是每一家的情况都是各种各样的。

　　甫瀚咨询公司董事总经理兼大中华区总裁刘建新认为,内控是管理体系的转变,管理体系体现企业的政策、信息数据,在建立体系的时候要从企业战略到流程,建立相应的组织和信息系统数据,这是内控当中的一部分,建立这个体系的成本会涉及到由于对人员的聘用、组织结构的调整、考核机制的改变而产生的外部费用。

　　普华永道中国北部审计部主管合伙人杨伟志也非常认同“具体情况具体分析”。他强调,“配套指引”要逐步实施,要有充分准备,两地上市的企业在某个程度上有一定的基础,企业基础的不同决定了内控建设成本的差异,所以成本多少很难一概而论。“企业要充分体会到,这个要求对企业价值的提升,而不是单纯以合规为目的。如果认真做,价值远远高于付出的成本。”

　　内部控制演变为“控制内部”?

　　《企业内部控制应用指引》对企业提出了包括财务报告和非财务报告风险管控的要求。同时,《企业内部控制评价指引》要求企业的评价工作包括内部控制的设计与运行,以及涵盖企业及其所属单位的业务和事项,并在全面评价的基础上关注主要业务单位、重大业务事项和高风险领域。《首席财务官》杂志在大量采访中观察到,现在企业内控存在一个误区,往往会演变成“控制内部”,也就是应该控制业务风险却专注于各项成本与费用的控制。

　　“这是对内控的片面理解。内部控制应该是渗透在企业运营的方方面面,而不仅仅是成本与费用的控制。控制业务风险也只是内控的一个方面,应该说企业开展内部控制工作,应该以风险为导向,对于那些风险高的领域,应该花更多的时间和资源去进行管理和控制。”在谢安看来,积极完善的内部控制不仅有助于企业降低成本费用,同样有助于企业把握业务机会,有效控制业务风险,提升企业整体运营水平。

　　杨伟志认为,之所以会出现这样的误区,主要是在于设定内控时缺乏整体目标。如果具体的事情没有总的方向,那么每个部门按自己的理解和看法去行动时,就缺乏对整体方向的把握。“内控应该是从上而下,全面覆盖。从整个企业所追求的发展目标,然后再具体落实到各个层面,如果做得好,内控成本不会浪费,会很有效。”

　　季瑞华补充道,“内控建设里最关键的步骤是培训。其中一个目的就是把常见的误区说清楚。假如企业不去考虑自身的经营风险,而仅仅抱着合规的心态去做内控,那很有可能会过于关注细节,而非关注业务风险。”

　　对于业务风险的关注,刘建新也表示,“尽管大部分公司管理层内部控制的意识比往年大幅度提高,也主动地对内部控制和运营流程进行了梳理工作,却往往忽视了最为重要的一个环节——风险管理'先行’。仅停留于对现有内控的梳理是不够的,要对风险做到事先排察、'未雨绸缪’。一些管理层对内部控制和风险管理的认识尚不全面,往往认为'有比风险管理更加重要的事情等着要做’,比如大幅提升销售业绩。然而却忽略了风险的后果已经在这场金融危机中显露无遗。企业必须对现有的控制环境加以全面评估,有针对性地找到最重大的风险,才能有的放矢地完善风险控制体系,推动企业实现目标。”

　　谷峰也十分认同上述观点。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略,是贯穿企业经营管理的全过程,不能片面地将“内部控制”理解成“控制内部”。

中国版萨班斯系误读

　　2010年4月26日,财政部会同证监会、审计署、银监会、保监会联合发布《企业内部控制配套指引》(以下简称“配套指引”),各界对于内控话题的热度持续升温,而在未来的几年里,中国所有上市公司的CFO都将面临内控建设的考验。五部委联合发布的《企业内部控制基本规范》和《企业内部控制配套指引》(以下简称“内控规范体系”),突破了我国传统的将内部控制局限于会计与审计的局面,将内部控制嵌入公司治理并融入生产、人

　　接受采访的各方人士一致认为,《内控指引》的出台明确了各方的责任,本土CFO们应当利用这个契机,借助这部有着国家级高度的“内部控制规范”完成之前可望不可及的整体运营风险的源头控制。

　　“中国版萨班斯”是误读

　　在财政部财政科学研究所研究员杨小舟看来,“内控规范体系”有如以下几点令其印象深刻:体系完整、层次较高、体现中国特色、定位准确。曾在清华同方任CFO多年的杨小舟进一步提到,关于企业的内部控制,不同的人其实有不同的理解,可以分成三个层次或三种观点:第一种观点认为内部控制主要是指与财务报告相关的内部控制;第二种观点认为,不管叫做内部控制也好,风险管理也好,都是指对企业各种各样经营风险进行的(包括公司层面、运营层面和操作层面的业务与财务风险)管控;第三种观点将公司治理的目标、治理风险也纳入内部控制的范畴,这是一种最宽广的内部控制概念。对于不同层次的内部控制,各国的政府机构或研究机构、咨询机构都发布了不同的控制框架。例如,美国的“萨班斯法案”(全称为“公众公司会计改革和投资者保护法案”),强调的是与财务报告相关的内部控制的有效性,目标是为了促使企业的财务报告按照美国GAAP编制,以确保企业财务报告的可靠性。美国COSO2004年发布的“企业风险管理整合框架”,实际上是第二个层次的内部控制。至于第三个层次上的内部控制,系统性的观点少,但实务中不少企业是这么做的。一个公司的治理结构是不是完善,最根本的判断标准,还是看是否有利于企业战略层面的风险管理,是否有利于企业经营战略和长远目标的实现。“了解这一点非常重要,否则我们对于企业内部控制的深入讨论就缺乏一个共同的基础。'中国版萨班斯’的说法是一种明显的、重大的误读和误解。'内控规范体系’无论是从目标、要素,还是指引所规范的内容上看,至少是第二层次的内部控制概念。”

　　对此,普华永道北京风险管理及内部控制合伙人季瑞华解释,“中国版萨班斯”的说法,主要是由于中国的基本规范和美国的“萨班斯法案”同样有要求上市公司对其内部控制进行自我评价以及需要外部审计师进行独立审计。但中国基本规范和美国“萨班斯法案”的侧重点和其他方面都不尽相同,因此不应该一概而论。

　　而身为中国会计学会企业内部控制专业委员会委员的杨小舟认为,“内控规范体系”在很多方面都体现出了中国特色。例如,在《基本规范》第二章中强调了公司治理结构完善对内部控制的重要性,有些经营层面上的风险,根源还是在治理结构、治理机制的不完善上。再如,基本规范第37条指出,企业应当建立重大风险预警和突发事件的应急处理机制等。这些都反映出“内控规范体系”既借鉴吸收了国际先进的风险管理理论,也考虑并体现出了中国企业风险管理的实际。

　　从2001年6月开始,财政部就陆续发布了《企业内部会计控制-基本规范》,以及一些内部会计控制具体规范(如货币资金等)的征求意见稿。但这些征求意见稿之所以没有得到企业应有的重视,其中重要的一个原因是企业的内部控制机制或体系是一个完整的系统,将内部控制分成会计控制和管理控制,无异于将“美玉击成碎片”。而此次“内控规范体系”很好地解决了这一问题。特别值是一提的是,为了促进内控规范体系的有效实施,内部控制审计指引指出,注册会计师不仅应当对企业财务报告内部控制的有效性发表审计意见,同时还应当对企业财务报告审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告增加描述段予以说明。这可以说是中国内部控制规范体系的一个创造,体现出规范制定者的务实态度和高超的解决现实问题的能力。

　　德勤北京企业风险管理服务合伙人谢安在采访中也表示,“配套指引”的制定充分考虑了中国国情,涉及内部控制建设、评价和审计的全面指导。谢安指出,“配套指引”并未体现行业特点和企业规模,通用性强,是各企业均可以参照执行的。但企业在实施过程中,必须结合自己的实际情况来执行,而不能生搬硬套;应加强针对配套指引的培训。中国企业,除一些已经同时在有监管要求的境外资本市场上市的公司,其他公司对本公司如何切实加强内控的认识差异很大,因此加强培训是必要的。此次“配套指引”的出台,让谢安印象最为深刻的是:第一,有明确的时间表,境内外同时上市的,2011年1月1日起开始实施,仅在境内主板上市的,2012年1月1日起开始实施;第二,实施配套指引的企业,应当报送或披露年度内部控制评价报告和审计报告,显示了监管层的决心和力度。

　　上海汽车集团股份有限公司CFO谷峰认为,《企业内部控制配套指引》的出台,应该说是企业所热盼的,因为之前的《企业内部控制基本规范》只是提出了一个有关内部控制的框架概念,着重对内部控制的各个组成要素进行了解释,但是并没有针对具体的业务领域应该设置怎样的内部控制提出指导意见,也未对企业应该如何开展内部控制评价提出要求。“配套指引”明确了内部控制评价指引,内部控制审计指引以及18项具体的应用指引,这对企业建立健全内部控制体系,规范开展内部控制评价,将产生巨大的指导作用。

　　内控动力:内部还是外部?

　　“内控也好、风险管理也好,其目的都是为了管理好企业经营过程中可能遇到的各种各样的风险,使企业能够持久、健康地发展,从而为股东、为社会创造更多价值。因此,从原理上来说,建立和健全内部控制的动力,毫无疑问应该来自企业的内部。”杨小舟坚持认为内控的动力来自于企业内部。

　　而中国社科院公司治理研究中心主任鲁桐则认为,这应该是市场的基本要求,做收益的话不控制风险这是很悬的事情,有争议就应该有控制。在2008年《企业内部控制基本规范》推出来后,本来2009年7月1日要在所有上市公司推行,后来财政部也发现内控不是一两天建成的,就把时间表推了,到了2010年觉得不能无限推下去,所以今年内无论如何要在上市公司推行,两地同时上市的公司动得比较早,可能基础也比较好,问题不太大。问题大的是规模不是很大的小公司,推行起来在时间、人力、财力等方面都不太足,所以鲁桐认为内外两方面的压力都会有,企业自身也是有这方面的渴望。

　　谢安的观点是,从近几年接触的企业完善内部控制的实践来看,最初的动力多来自于外部的监管要求,但企业在开展这项工作的过程中逐渐认识到,内控有助于实质性地提升企业的管理基础,因此动力慢慢地由外部监管转化为内部的管理需求。“近期我们越来越多地看到,一些未被监管的企业,出于管理和运营的需要,也在积极探索完善内部控制,这是一个可喜的现象,也正是内控的真正使命所在。”

　　内控成本的辩证观

　　成本问题曾经让美国“萨班斯法案”饱受非议。在我国企业内控建设中,同样存在成本问题。

　　对此鲁桐表示,“基于我们对上市公司的调查,能够建立完整的内控体系需要三年的时间,内控不是短期内就能见效的,实际上有不同的阶段,我们观察到三年是必要的,每年都要特别重视,要有很多的投入,内控成本确实比较大,从硬件到软件,再到人员。”除了要改造信息系统,还要对风险进行测试,测试需要很多人员来参与,一年测一次周期也比较长。而且各个行业的内控是不一样的,并不是说有一个菜单和一个方法大家就都可以用,实际上每个行业、每个公司自己的业务特点都不同,内控的侧重点和所要花的时间、精力、成本都不一样,虽然有这么多配套指引和规范,但是每一家的情况都是各种各样的。

　　甫瀚咨询公司董事总经理兼大中华区总裁刘建新认为,内控是管理体系的转变,管理体系体现企业的政策、信息数据,在建立体系的时候要从企业战略到流程,建立相应的组织和信息系统数据,这是内控当中的一部分,建立这个体系的成本会涉及到由于对人员的聘用、组织结构的调整、考核机制的改变而产生的外部费用。

　　普华永道中国北部审计部主管合伙人杨伟志也非常认同“具体情况具体分析”。他强调,“配套指引”要逐步实施,要有充分准备,两地上市的企业在某个程度上有一定的基础,企业基础的不同决定了内控建设成本的差异,所以成本多少很难一概而论。“企业要充分体会到,这个要求对企业价值的提升,而不是单纯以合规为目的。如果认真做,价值远远高于付出的成本。”

　　内部控制演变为“控制内部”?

　　《企业内部控制应用指引》对企业提出了包括财务报告和非财务报告风险管控的要求。同时,《企业内部控制评价指引》要求企业的评价工作包括内部控制的设计与运行,以及涵盖企业及其所属单位的业务和事项,并在全面评价的基础上关注主要业务单位、重大业务事项和高风险领域。《首席财务官》杂志在大量采访中观察到,现在企业内控存在一个误区,往往会演变成“控制内部”,也就是应该控制业务风险却专注于各项成本与费用的控制。

　　“这是对内控的片面理解。内部控制应该是渗透在企业运营的方方面面,而不仅仅是成本与费用的控制。控制业务风险也只是内控的一个方面,应该说企业开展内部控制工作,应该以风险为导向,对于那些风险高的领域,应该花更多的时间和资源去进行管理和控制。”在谢安看来,积极完善的内部控制不仅有助于企业降低成本费用,同样有助于企业把握业务机会,有效控制业务风险,提升企业整体运营水平。

　　杨伟志认为,之所以会出现这样的误区,主要是在于设定内控时缺乏整体目标。如果具体的事情没有总的方向,那么每个部门按自己的理解和看法去行动时,就缺乏对整体方向的把握。“内控应该是从上而下,全面覆盖。从整个企业所追求的发展目标,然后再具体落实到各个层面,如果做得好,内控成本不会浪费,会很有效。”

　　季瑞华补充道,“内控建设里最关键的步骤是培训。其中一个目的就是把常见的误区说清楚。假如企业不去考虑自身的经营风险,而仅仅抱着合规的心态去做内控,那很有可能会过于关注细节,而非关注业务风险。”

　　对于业务风险的关注,刘建新也表示,“尽管大部分公司管理层内部控制的意识比往年大幅度提高,也主动地对内部控制和运营流程进行了梳理工作,却往往忽视了最为重要的一个环节——风险管理'先行’。仅停留于对现有内控的梳理是不够的,要对风险做到事先排察、'未雨绸缪’。一些管理层对内部控制和风险管理的认识尚不全面,往往认为'有比风险管理更加重要的事情等着要做’,比如大幅提升销售业绩。然而却忽略了风险的后果已经在这场金融危机中显露无遗。企业必须对现有的控制环境加以全面评估,有针对性地找到最重大的风险,才能有的放矢地完善风险控制体系,推动企业实现目标。”

　　谷峰也十分认同上述观点。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略,是贯穿企业经营管理的全过程,不能片面地将“内部控制”理解成“控制内部”。