内部控制为谁做、由谁管.docVIP

内部控制为谁做、由谁管 中国内部控制究竟应该怎么做系列 目前，内部控制试点单位正在开展内部控制体系建设工作，但内部控制究竟是为谁做，该由谁管，很多企业在实施过程中，遇到不少困惑。要解开这些困惑，我们就必须了解内部控制的由来和现状。 1992年，美国HYPERLINK /view/1256960.htm \t _blank虚假财务报告委员会下的发起人委员会（COSO）根据多年对虚假财务报告的研究成果，提出的内部控制解决方案。随后，这一方案被美国证监会认可，成为上市的监管要求和制度。从本质说，这是一套以守法、合规和效率为标准，提倡上市公司遵纪守法、不弄虚作假的要求体系。 然而现实总是残酷的，安然事件使这一套监管要求备受质疑（美国的老百姓思考问题的方式很简单，自己炒股上当受骗损失，就是监管机构没监管好，所以，证监会有义务替老百姓想办法），于是美国证监会想到了“乱世用重典”的道理，颁布萨班斯·奥克斯利法案，其意图就是：如果上市公司再敢造假，“嘿嘿，小样儿，我就把你们关进监狱，让你们吃不了、兜着走”。 随着对安然事件的深入研究和反思，美国的研究者都发现了相同的事实，即使有了严刑峻法，还是无法杜绝财务造假。要彻底解决这个问题，必须消除企业造假的诱因，即：避免上市公司不盈利或股东回报太低的情况发生。也就是说，要使上市公司有盈利和良好的股东回报，才能根治财务造假行为，保证企业的良性发展，企业就必须关注生存环境和面临的风险。 于是COSO提出了风险管理，不得不承认这是一个大胆的想法，直至2008年反思本次金融危机的原因时，几乎所有经济、金融、管理领域的专家都承认，在风险面前，我们幼稚得像孩子；对风险的理解，我们少得可怜。因此，美国证监会提倡风险管理这种原则导向式的监管要求，并延续至今。目前，全人类都还没有足够的知识和能力实施完善的风险管理，于是，监管要求成为企业未来发展的方向和指引。 因此，这种对风险管理的监管要求和以前的内部控制要求有根本的不同。以往的监管要求，都是监管机构要求企业必须守法，财务真实可靠，经营有效率；而这种风险管理导向的监管要求，首先要求企业关注自身的良性发展和盈利水平，使企业健康发展。这使监管要求第一次和股东的利益保持一致。 了解这些背景后，反观中国的内部控制体系，很容易看出，中国内部控制是融合了美国内部控制与风险管理要求的制度体系，这使得我们的内部控制体系既具备守法、合规的基础制度要求，也包含经营的效率和效果的管理水平评价，更包含风险管理的要求。 这代表中国内部控制既包含对财务报告体系、法律管理和企业经营活动等企业正常经营活动的具体要求，也包含战略管理、企业文化等控制环境的要求，还提出要管理各种风险。其中，日常经营活动的内部控制完全可以由企业的CEO、总经理或其他高级管理人员负责并实施；战略管理、企业文化，及管理各种风险等活动则必须由企业的最高决策层负责实施（董监事会）。因此，中国内部控制既是为监管机构维护广大股民利益而做，也是为股东利益最大化而做，要兼顾两个方面。很遗憾，目前我几乎没有看到一个企业在实施兼顾两个方面的内部控制。必须提醒的是，忽略任何一个方面实施内部控制，都将面临失败（我们将在以后的内容中，讨论为什么会失败）。 从这些监管要求看出，国内的上市公司不能按照传统思维，把内部控制简单的理解成财务报告真实性、合法性，进而让企业的财务部门或审计部门来负责： 1、财务部门负责内控的不足：由于战略是由企业最高管理层制定的，财务部门显然没有权限负责企业战略的内部控制；即使是销售、生产、采购的内部控制流程，由于这些部门都是企业的命脉，财务部门也很难对其进行内部控制，这些都是财务部门负责内部控制实施的天然障碍和缺陷； 2、审计部门负责内控的不足：由审计部门负责实施内部控制，同样也会面临审计无权控制企业战略的困境；并且如果由审计部门建立内部控制流程，再由审计部门检查自己设置的内部控制流程是不合适的。就像是学生写完作业后，自己给自己打分一样，起不到检查的效果。 所以，中国内部控制肯定不是企业内部某个部门就能够负责的，需要企业高层的支持。而这高层是谁，就应该取决于企业的实际状况。 在国有企业内，CEO或总经理是企业的高级管理层，但企业的战略是由董事会的战略管理委员会决定，因此，内部控制体系的最高负责部门应该是董事会或监事会，考虑到（为）避免制订战略的人决定战略管理的内部控制，最好由监事会或董事会成员中非战略管理委员会、非审计管理委员会成员的人负责。并且，由于内部控制的多项要求，内部控制委员会成员中必须有财务管理人员和熟悉企业自身行业、懂战略管理的人员。这样的一个内部控制委员会才有能力胜任内部控制的监管要求，财务总监、审计经理和战略管理部门负责人都可能是内部控制委员会的骨干力量。 在民营上市公司，由于通常CEO就是大股东，企