按照不相容任务原则,作为第三方出现的审计机构,不能参与、决定任何日常的具体操作,即不能又是裁判又是运动员。但问题在于,企业及监管方都没有意识到这样的冲突及从而导致的潜在风险。
文/ 邢帆
6月30日,德勤公布的最新调查报告显示,2009年由于金融危机导致经济形势急转直下,被调查的中国上市企业中超过80%的企业强调已加强了监督管理,但在被调查对象中,有一个数字显得突兀而惊人,与之前的超过80%相对应的是,仅约17.65%的企业落实了内部控制考核工作。也就是说尽管本土企业在意识上已经将警惕内控风险提上日程,但真正落实下来却并不顺利。
为什么这么多的企业对于落实内控考核感到力不从心?有企业对记者表示,“中国萨班斯”虽然很早就被提出,但《企业内部控制基本规范》的难产,让本就对内控不明就里的企业心里打鼓。以目前的形式想要复制国外的做法很难,因此很多企业开始寄希望于“外包”,而依靠第三方来全权打理企业内部审计是不是就能让企业高枕无忧呢?对于这一说法,华宝兴业基金管理有限公司长期从事内控审计风险管理的管理部经理施施乐颇有微词。他提醒,企业在进行财务审计时,一定要与第三方划清权责,警惕权力之争带来的人为风险。
东西方的冲突
简单的说,财务内部控制审计的目的是通过全面审查财务内部控制体系,进而发现企业内部的财务管理问题。但这样的制衡体系放入东方的管理语境中,则会出现理解上的偏差或误区。 “坦率来讲,这些概念都是西方管理学的技术,是舶来品,与东方的经营理念存在一定出入。”施施乐说:“本土企业管理层的教育背景不同、为满足本土企业治理的需要,这些概念常常会有不同的阐述。表面是沟通问题,背后则多少存在权力分配博弈的味道。”
传统意义上的企业对于人、财、物管理合在一起才是企业内部控制。它是确保公司正常运转的体系,与企业方向性的决策机制没有直接关系。所以“内部控制”不是一个部门可以做的事,企业设立“内控部”只是一个牵头部门,一个管理工具而已。正因为是工具,往往受制于不同部门的操控,一旦发生协调不利,产生权力分歧,其概念就会被人为误读,造成理解上的偏差。而这些情况在西方企业管理体系中发生的概率极低。
除了观念上的不同,基于本土企业对“内控管理”认识上的偏颇,在日常沟通中,往往会有意无意地混淆内外部审计的概念。“传统外部审计是监管机构、股东、第三方对企业财务健康状况的一种体系外的监督。”施施乐说:“内部审计则是企业内部控制体系的一部分。它向管理层负责,有的甚至可以直达董事会。它的责任是对企业内部既定制度、流程等机制的有效性进行检验。会计师事务所做的是针对外部审计的内容,而不应该涉及企业内部管理。而内控则是针对企业内控体系的考察。换句话说,倘若要求会计师事务所出具评判结果(作裁判),就不应该允许其对企业内部流程的建立提出建议(作运动员)。即按照不相容任务原则,作为第三方出现的审计机构,不能参与、决定任何日常的具体操作,即不能又是裁判又是运动员。但问题在于,企业及监管方都没有意识到这样的冲突及从而导致的潜在风险。”
以基金行业为例,监管部门关心的是行业整体的风险以及防范舞弊。但传统监管部门可以得到的信息只是外部审计(财务审计)提供的对财务报表的核实情况,这令证监会感到不安。对此,施施乐不无遗憾地解释:监管部门的确做过多次努力。早在2002年证监会就颁布实行了“督察长”制度,目的在于不断设法强化督察长在公司中的地位和对证监会的直属关系;随后,2005年与安永会计师事务所一起发布了《内部控制季度报告》,让基金公司按季度自己汇报几个关键的内部控制点情况;最后,又在2006年提出要会计师事务所在财务审计的同时出具企业《内部控制情况报告》。“这时候的情况实际上可以解释为:让一个以谨慎为生的第三方用短短两周时间,和一份没有标准的报告来对基金公司内部控制的有效性作出评价,暂且放下这一评论的真实性及效力不谈。更为严重的是,这一系列举措事实上已经进一步混淆了财务审计和内部审计的职责范围,这让金融业的审计工作深陷泥潭。”施施乐对这一现象的解释可谓一语中的。
会计师事务所的对策
企业为了适应风险管理,希望监管部门提出要求;而监管部门为了防范风险,让第三方出面来做内部审计;既然是业务,没有理由不做。所以既便如此,会计师事务所还是支持监管部门的要求,在收费水平能够得到相应体现的前提下,愿意出具《内部控制情况报告》。
可见,当客观审计遇到主观权力,再现实的问题也要让步,再清晰的思路也会模糊。在记者的一再追问下,常年从事内控审计工作的施施乐透露,面对这样一种情况,即使有一个及其简单的行业,会计师事务所其实也无能为力。对企业的内部控制作出评价已经远远超出了会计师事务所在传统意义上的经营范围和生存之道,这给会计师行业带来了新的无法覆盖的风险。用多大的监管成本来确保被监管的行业不发生系统性问题或者过大的舞弊个案,这根本就是监管部门的责任和应该考虑的问题。而现在,这个问题被简单地丢给了会计师事务所。
施施乐介绍,传统的所有非财务审计的业务,会计师事务所是放在其咨询业务部门的,而且要用防火墙制度,即不能又做审计又做咨询。但监管部门的这个要求与防火墙制度又恰恰是冲突的。目前,基金公司的《内部控制情况报告》没有模板、没有固定工作量,因此就让财务审计团队兼而为之。但SOX的应用则必然要动用到事务所的专门咨询部门。届时,会不会建立SOX咨询与非SOX咨询之间的第二个防火墙,我们不得而知。但事实上这样一种无限制的设立风险——规避风险之间的循环本就是不正常的。
在采访中,记者总结出企业在处理财务审计时有两种较为常见的做法:第一,即听从会计师事务所的建议,在企业内部设立COO,掌管运营大权,向审计单位解释流程。这是正常顺序。第二,也是施施乐认为可行性比较高的方式 “日常管理+风险管理”体系,筛选业务骨干,在企业管理体系中建立风险联络人,一旦审计过程中发现问题,就要向风险联络人问责。指导企业自己修改问题,并请职业经理人对审计效果进行评估,杜绝会计师事务所即审计又咨询的现象,力求划清外部审计与内部审计的职责,将会计师事务所不该承担的风险降至最低。
中国SOX请把好脉
谈及中国SOX,施施乐表示,这和证监会在基金公司做的事情是一样的。惟一的差别在于,中国SOX要覆盖更多的行业,因此难度更大。“内部控制的风险管理重点是根据业务的发展不断变化的。这只有企业自己最清楚,监管部门需要及时找到关键点,进行‘把脉’”。施施乐说:“如果连监管部门都没法及时跟上这个节奏,怎么指望一个第三方能用一个固定的模板把这些问题都给查出来呢?这就好比在用一个过期的杀毒软件。市场上的诟病会层出不穷,不会简单重复,如果一直盯住老问题不放,结果是病毒库做得越大、越复杂,就越浪费计算机资源。”
可见本土企业面对内控所表现出的不作为,除了长时期的历史问题,更多的则是对权责的推诿和对利益的迷茫。这也从一个侧面烘托出内控审计的特征:更讲究“人治”。“如果SOX能够促进企业有条理地整顿内部制度,当然是件好事。但我个人担心这只是又提供了一份拿来抄好就放在书架上的样子货。”施施乐不无忧虑地说,“企业提高内部控制,不如先提高公司治理,让船长们在掌舵的时候真正考虑到船东、船员、客人这些利益获得者。当公司治理完善后,船长自然会去挑选好的大副和二副,不用找外部专业人员来望、闻、问、切。”
应变是创业板重点
众所周之,创业板上市企业主要集中在高科技行业或者生产型企业,所处行业不如主板宽泛,因此对于这些企业的内控审计方法,很多企业表示思路更为混乱。而施施乐却认为,目前摆在创业企业面前最关键的任务并非是盲目完善内部控制体系,而是如何适应快速变化的市场环境。
施施乐解释,内控管理对流程的把握还是越细越多才好。但方法总是跟不上变化,如果在任何一个细节处理上缺少监管,都会出现问题。比方说,对于大型集团型企业来讲,信息从集团到达分子公司时由于人为因素会产生消耗,而再到业务部门时,业务人员是不会花时间搞清楚审计的细节到底是怎么回事的。这种不求甚解的恶性循环到最后就是人为造成的问题被掩饰,而这一切过程很有可能都是非故意、不经意间造成的。
创业板企业有没有可能遇到这样的问题呢?“我举一个简单的例子。”施施乐说,“有一家大型连锁餐饮企业,一度被成为连锁餐饮业内的典范,他们的市场做得非常好,收入、利润曾经都很高。但上市之后迫于规范流程的要求,将流程都固定下来了。但所谓过犹不及,流程固定搞成流程僵化,结果市场情况急转直下,这其实就是一个失败的案例。”他进一步解释,从财务的角度来看,如果内控管理要通通按照一个模板去套,结果就是流程固定程度越高,强化的效果越好,企业生存前景反而越暗淡。
与此同时,内控的效果还要看企业曾否下决心将这一举措长久、持续地进行下去。对于大型企业来说,其优势在于决策者的决心往往更强一些,企业高层水平比较高,推动性高,执行力强。反之,中小企业则要警惕决策层执行力弱的问题。辩证的来理解,大型企业流程多,因此推行时间比较慢,审计过程更繁琐;而中小企业则占尽船小好调头的优势,可借力内控梳理内部流程。
可见,创业板企业首先要解决站住脚的问题,要先具备生命力。而从监管部门的角度来说,是要利用监督机制,看住关键的那条“红线”。所谓关键那就不可能面面俱到,这就是取舍之间的博弈。