随着的发布和推行实施时间表的逼近,中国上市公司对于内部控制重要性的认识已经有了“飞跃”,但是对于如何实现有效的内部控制,仍缺乏清晰的标准,也还没有形成成熟的风险管理文化和管理体系。在本刊对企业CFO及内控专业人士的访谈中发现,如下问题已经成为掣肘中国企业内控实施的“痛点”。
痛点一:量化
金融危机及其衍生的全球经济衰退的一个“正面”价值就在于企业较之以前空前重视风险管理和内部控制,但企业成本在可控的范围内找到量化风险的管理架构和工具是目前企业普遍的困惑。
正如资本市场风险顾问公司创始人兼总裁LeslieRahl所言:“如果说我们要从这次金融危机中吸取经验教训的话,那就是不可小觑复杂性、不透明性、杠杆和非流动性。当作出资本评估时,这些变量并未计算在内。”
由于风险管理本身是从金融业衍生出来的,全球包括中国在内的金融机构在风险管理上都较之企业先进,目前一些银行提出可以凭借自身在风险管理上的优势为企业伙伴的风险防控提供咨询服务,帮助企业规避部分风险。对此接受本刊采访的专业人士均表示,在资金管理业务上银行与企业间的确有广阔的合作空间,但企业所面临风险的广度和量化的难度不能与金融机构同日而语。全球性的商业咨询和内部审计专业机构——甫瀚公司董事总经理兼大中华区总裁刘建新表示,金融业本身的风险相对企业来说是比较容易量化的。金融业对企业风险的把握主要是从资金运作、存贷的比例和评估企业的信贷程度的层面,而从企业的角度看,风险其实还有很多方面的内容,包括供应链的风险、买卖的风险、价格的风险等。其中很多风险量化起来比较困难。据刘建新介绍,风险管理在近5到10年来已经运用到企业里面。“企业本身在过去没有框架和理论去评估它自身风险在哪里的时候,其运作是以盈利为主的,而现在的企业要面对投资的风险或者是供应商的风险,是否有相应的决策和控制活动,甚至一些体系去应对和量化这些风险就变得非常重要。”
自颁布以来在国际上被称为是“中国的‘萨班斯法案’”,这个评价是相当高的。专家因此表示,按照规范的系统性改造和提升,会给很多中国企业的公司治理带来整体性的改善。
中国社会科学院世界经济与政治研究所公司治理研究中心主任鲁桐对此评价说,从风险内控来说,银行业有其特殊性,可以借鉴,但不能因循。企业现在也有了财政部等五部委发布的内控架构,而且有与之配套的具体实施指引。“这些对企业来说都是量化和考量风险的依据和方向,但的确还需要很多细化的工作,这方面很多公司是比较茫然的。”
痛点二:分权
业内人士认为,虽然公司治理可以设定许多标准和基本规范,但实际上对目前国内快速发展的民营企业来说,最大的挑战仍然是如何将个人与公司分开。“这的确很难做到。往往当一个小公司快速发展到一个上市公司层面时就需要有其他股东的参与,但这对之前的创始人或者是将来的经营者来说都是一个巨大的挑战。”刘建新坦言。
很多创业阶段的高科技公司的董事会只有三个人,董事会和经理层的高度合一可以帮助公司实现严密的控制和很强的执行力,但鲁桐仍然呼吁准备创业板上市的公司,应该对自己的公司治理体系做一个很好的反思和改造。“无论采取什么形式,公司治理的理念和架构都是需要的,关键要实现权力之间的制衡。即使创始人既是董事长又是总经理,也需要一些独立的人士加入到董事会的团队中,这还是必要的。董事会虽然小,也要坚持对公众透明,也要履行好受托责任。这样它今后的路才能走得更稳。”
“其实有生意有企业的地方都有内控,生意人有一种自觉的意识去控制。区别只是在于是否拥有理论的框架。”刘建新表示,上规模的公司应该有更加透明的体系去做内控,企业在从小到大的跨越里,最主要的改变还是在理念、认识、分权机制等问题的处理上。在组织架构、放权、风险机制等一系列的控制和风险机制上,本土企业和成熟的跨国公司相比还有比较大的差距。
痛点三:独立性
虽然内部审计在企业公司治理环节上会起到非常重要的职能,但事实上内控审计行业在中国还处在启蒙阶段。目前内部的审计报告还是附属于总经理和财务部的职能。问题是如果内部审计从公司治理架构上没有到相当高的层面就不能发挥其应有的作用。
此外,在国际上已经有了内部审计的准则,中国也已经引进了,而且本土化了中国的内审责任,但要符合内审要求,必须要有专业的准则去遵循,而且专业人员也要取得相关的认证。但现在的状况并不是每一个从事内审的人员都有认证的资格,也没有准则要求他们必须去参考。目前关于企业内控的培训市场需求量是非常大的,这也从一个侧面说明了内审专业人才短板的现实。
痛点四:短视
对于目前上市公司年报中披露的公司内部治理相关内容并不被投资人和分析机构看重的原因,鲁桐分析,这种现象在中国发生也并不奇怪。因为中国的分析师,包括中国的机构投资者的投资周期相对比较短。“你看市场波动就可以知道大非、小非都是比较频繁地在换股、交易。因为他们对于收益的短视,就会影响到他们的关注点的不同。当然还有一个客观原因,我们过去对内控状况的披露也不太够,没有足够重视。”
企业应该根据发展的不同阶段投入相应合理的资源进行内部控制的改造和提升。“实际上,一个年销售收入只有3000万元的公司却有一个大规模的董事会也是不现实的。但企业必须意识到内控是只有起点没有终点的。”鲁桐特别强调道。随着企业的成长会不断有新的风险出现,关键是要有一个基本的架构,从控制环境、控制程序、体系、人员的配置、IT的应用等方面来审视风险。这些环节在不同的时期侧重点也不一样。不同行业的企业也有其具体要求,因此着眼点也不太一样。随着企业内部环境的变化,外部的风险也在不断变化。这套体系能对内外部的风险有很好的适应性和控制力是更重要的。
新规将在今年7月1日实施,但目前各个企业进度差异巨大。据鲁桐介绍,有些企业改造得相当快,特别是A+H股的企业以及那些已经在纽交所或者纳斯达克上市的企业,他们已经到海外上市了,有些本身已经符合美国“萨班斯法案”的严格要求,因此按照新的规范再改造起来就相对比较容易。7月1日这个时间点对大多数内地企业来说是比较有压力的。一些比较规范、规模比较大的公司,有资源和能力在合规性上做很多的工作,而许多规模小且不规范的公司实际上还没有能力做这件事。