执行内控新规 对CFO既是挑战也是机遇
来源:首席财务官 作者:郭林 发布日期:2008/11/20 9:20:05 点击率:1004
        2008年6月28日财政部、证监会等五部委联合发布的《企业内部控制基本规范》(以下简称《基本规范》)以及相应指引的征求意见稿拓宽了内控的视野,突破了我国传统的将内部控制局限于会计与审计的局面,将内部控制嵌入公司治理并融入生产、人力资源、营销等环节的管理;拓宽了内控的目标,不仅要保证企业经营的合理合法、保护资产的安全、保证财务报告真实可靠,还将目标延伸到管理的效率和效果、服务于企业战略的实施;将内控关口前移,以事前的内部控制环境评价和风险评估为前提构建内部控制系统,将传统的查错纠弊式内控转化为事前防范和威慑与事中查错纠弊相结合的内控体系。

  企业内控控制和风险控制对企业实践将产生深远的影响。为探究企业财务应对内控新规更高要求的策略和具体执行措施,《首席财务官》杂志特别采访了致力于提供独立内部审计、商业风险咨询和技术风险咨询服务的国际专业机构甫瀚(Protiviti)公司执行董事北京分公司总经理王海瑛女士。

  新规新挑战

  《首席财务官》:内控新规出台的“新”,对企业和CFO来讲,具体体现在哪些方面?

  王海瑛:此次出台的内控新规是基于市场或整个经营环境对企业以及企业高管的要求而生,所以它的要求其实就是市场对企业文化、经营管理等要求的具体反映,具体表现在以下几个方面:

  时间要求:特别是上市公司,适用时间在2009年7月1日,时间非常紧迫。

  责任主体:其实是在董事会,而非CFO个体。要求企业从上到下都在内部控制工作中承担不同的责任。

  涉及范围:不仅仅是财务信息的可靠性,更是对管理信息质量、企业战略执行能力、资产安全性管理能力、经营效率和效果的要求。

  “软硬”兼需:不仅仅关注企业日常经营管理的“硬”指标,更关注内部控制的“软”因素,比如公司文化、沟通、管理层的正直品质等等。

  执行力:不仅仅关注制度本身的存在与否及其合理性,更关注执行制度的效果。

  从某种意义上讲,内控新规的出台对CFO既是挑战也是机遇。根据我们的经验,企业整体对内控的认识与接受,往往都要经历从被动接受到主动运用的过程。因此外在的法规需求可以给CFO增加了一个说服其他企业高管在初始年度构建内控工作团队的外在理由。

    由于知识结构的关系,一般而言,在企业中,财务部门的人员会对风险与内控有较早和深入的认识,财务部门也常常 “受此所累”,提起风险和内控,企业内部人员首先会想到由财务部门负责,似乎只与财务部有关,而事实上财务部能真正负责的是结果的准确性,造成风险或内控失败的源头往往在非财务部门。内控新规明确了各方的责任,对CFO来讲正好利用这个机会,完成以前很难推动的源头风险控制。

  基本规范的出台也意味着企业在内控方面需要面对更高标准的要求,对于那些内控机制尚未健全,甚至仍处于空白状态的企业而言,这可能会增加企业的管理成本。实际上,一方面在规范中已经体现了重要性和成本效益兼顾的考虑;另一方面,企业如果充分理解并运用好内部控制这一管理工具,给企业带来的收益或防范的风险损失将远远超过实施成本。

  《首席财务官》:对于企业和CFO来讲,面对新规出台,应该如何积极应对?您有什么建议?

  王海瑛:我认为首要的是树立正确的“内控观”。内部控制体系并不是一个独立于企业现有管理体系外的新东西,更不意味着对企业现有管理体系的否定。实际上,内部控制体系更应该扮演现有管理体系的“整合者”角色。内部控制体系应该融入到企业的文化中去,企业领导应该真正认识到内控的精神实质,才能积极推动企业内控的发展,并真正帮助企业实现价值的最大化。我们建议按照以下的步骤具体执行:

  评估现状。参照规范的内容对企业自身进行一个自我检查,看自己做到了哪一步,还有什么缺陷。充分理解企业现存的内部控制措施以及其中存在的内部控制缺陷,并对企业的业务流程进行全方位的梳理,这将为企业进一步建设和完善内部控制体系提供良好的基础。

  建立初步规划。由于基本规范不仅要求企业要像“萨班斯法案”那样财务报表合规,还包括对效率效果的合规、合法性、资产安全以及战略方面等五个目标全部要合规。因此,企业目前可以配合自身管理的需要去建立一个初步的规划,然后再逐步实现目标。

  建立有效的工作团队。企业应按照基本规范的要求,明确董事会、监事会以及各级管理层在内部控制中的责任,规范审计委员会以及内部审计职能的独立性。在此基础上根据自身情况搭建内部控制体系,建立内控团队,启动一系列内部培训,包括在企业内部对内控重要性的宣传,因为企业文化不是一朝一夕形成的。对于某些企业而言,如果执行内部控制标准过高,可以考虑将其业务外包,由专业中间机构提供服务,尽可能提高效率、减少成本。

  必须关注内控指引的建设与更新。由于基本规范对部分关键的标准和程序只提出原则性的要求,而具体的指引都还处于征求意见的阶段,因此企业一方面要关注现有政策内的明确要求(如证券交易所内控指引中提出的关注领域),另一方面需要时刻关注指引内容的变化与要求。在某种情况下,对政策要求的误判,可能会直接造成企业成本的增加,甚至浪费。

    “执行”优先

  《首席财务官》:据我们了解,目前在公司的内部控制实践中,内部控制部门与财务部门的归属关系各不相同,有的是内控部门向CFO汇报,有些则是内控部门独立于公司各部门之外,直接向董事会汇报。您认为,在新的规则下,内控的外延变得更加宽泛,企业内什么样的架构是比较合理的?

  王海瑛:新规对企业内部的相关架构提出了明确的要求:由董事会而不是董事长负责内部控制的建立健全和有效实施,并新增了监事会对内控内容的监督,而内控机构不再是有条件再设立,必须有专门部门负责。

  审计委员会变为必设机构,权力得到扩大。要求企业应当在董事会下设立审计委员会,并应当保证内部审计机构设置、人员配备和工作的独立性;内审机构对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。

  对于企业而言,一个完善的内控架构,不仅需要符合相关法律法规的要求,更重要的是要从自身的实际情况出发,充分考虑到效率、成本以及实际操作中的若干特性。探索出最适合自己的体系来。只有最适合自己的,才是最好的。

  在实践中,很多企业由于自身的种种原因,内部控制部门的职能设置各不相同。但重点在于,这个部门是否有效的执行了相应的职能,而不是这个部门应该被安置在什么样的位置、是否叫作“内部控制部门”。简单的说,问题的关键是如何实现内部控制的实质,而形式则是可以根据公司的实际情况各不相同的。

  《首席财务官》:采访中很多CFO表示,将传统的查错纠弊式内控转化为事前防范和威慑与事中查错纠弊相结合的内控体系是他们一直期待出现的局面,但在执行过程中遇到很多障碍和抵制,您认为,CFO该如何利用新规颁布的契机真正实现为企业风险预警的功能?

  王海瑛:目前在企业的经营管理中,存在三类较大的风险:一是战略失误,二是成本失控,三是两者兼而有之。如果企业能够建立起一个有效的内部控制体系,并认真贯彻执行,就可以在很大程度上遏制风险的发生;而如果企业只是为了应付监管的需要而进行内控,这样的内控只能是徒增成本,得不偿失。

  在风险预警、风险控制方面,我们建议CFO可以从建立健全的财务会计制度入手。健全的财务会计制度对于防范金融风险至关重要。在防范金融风险的全过程中,财务会计贯穿始终,是防范金融风险不可或缺的环节。而本次《基本规范》的一个特点就在于对企业会计审计制度的强调和重视。《基本规范》要求企业应当在董事会下设立审计委员会,审计委员会负责人应具备相应的独立性、良好的职业操守和专业胜任能力;内部审计机构对检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告,对发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告;要求企业依法设置会计机构,配备会计从业人员,大中型企业要设置总会计师,而且设置总会计师的企业,不得设置与其职权重叠的副职。

    企业应该根据《基本规范》、《企业财务通则》、《企业会计准则》及其他有关法律法规的要求,从自身的实际特点出发,制订相应的内部财务会计、审计制度,同时严格的将这些制度付诸于具体执行,充分发挥财务会计的监督作用,才能有效的降低金融风险,同时提高自身的经营效率。

  强化信息技术安全。近期一系列金融机构中所发生的金融欺诈案例都在提醒我们,强化IT系统安全对于防范欺诈风险的重要性。 随着全球信息技术的快速发展与各行各业信息化的不断深入,信息科技在企业中的应用越来越广,与此同时,由技术问题引发风险造成损失的可能性也在不断加大,这也对信息技术审计提出了更高的要求。

  本次《基本规范》强调了企业要建立与其经营管理相适应的信息系统,使得内部控制流程能够和信息系统实现有机结合,从而达到对相关流程的自动控制,以便进一步减少或消除人为操作因素所带来的风险。同时,企业也应该采用先进、完善的信息技术手段,如加强人员权限和密码管理、严格监控数据输入、对所有操作进行详细记录和备份,以确保技术系统的安全运行。

  建立风险预警和突发事件应急机制。任何危机或风险都不会是突然爆发的,之前一定会出现某种先兆,对于金融危机和金融风险而言,通常事先都会出现某些经济、金融指标的异常和恶化。所以防范、控制金融风险的一个重要手段就是密切监控这些金融指标,通过对异常动向的及时发现、反馈达到风险控制的目的。

  根据《基本规范》的相关要求,企业要全面系统地收集所有信息,及时进行风险评估,并采取适当的风险应对策略,比如购买保险、及时放弃或停止相关活动以减少或避免损失等,实现对风险的分散和有效控制。

  严格执行风险管理制度。相对于制订严格的风险管理制度,将这些制度严格的落实到企业实践中才是更为重要的。如果没有良好的执行,再完善的制度也起不到任何作用。除了制定制度之外,企业管理层应该在制度的执行上进行更加严格的监督,才能真正实现风险控制的目的。