内部控制在中国的大行其道,是源自美国的SOX法案通过后,对资本市场的规范。中国首先要求实施的也是在资本市场或想要进入资本市场的企业。
这么多年内部控制在很多上市公司、拟上市公司、国有企业、行政事业单位都有推广实施,但效果如何,相信这些实施了内部控制的企业内部人员都经过了一个充满期待,到疑惑,到失望,最后到看淡的过程。
咨询公司进场3个月 ,访谈几十人,测试N个流程,发现了几十上百个缺陷,列出了长长的整改清单,还给企业交出了漂亮的内控制度汇编或者说操作手册。
看上去一切都很圆满,但是现实却相当的骨感。
你可能会发现重新梳理形成的内控制度汇编或操作手册,大部分还是公司原先已有的工作方式和流程的文字化,而新增加的一些控制措施,可能也无法执行。
这还不算,有不少股民还会发现,那些上市公司竟然可以发生几十亿的关联方资金占用、担保未经审批导致公司负债暴增、公司可以出现300亿的货币资金会计差错等等事项,每一个都在摧毁股东的价值。
而这些上市公司,要么在上市的时候已经经过了内部控制体系建设,且被认定为体系运行正常,不会出现重大差错,要么就是上市很久的老企业,每年也要对内控进行测试,绝大部分的测试结果也是没有任何问题。
那为什么企业内控体系被测试为没任何问题,却出现这么多风险问题呢?
除了当初实施团队没有深入了解公司业务,可能形成的内控体系不贴合公司实际外,其实,还有一个关键点,
它决定了内部控制是否有效,但是却被很多人忽视,在实施内控体系建设时可能轻描淡写的一带而过。
就算你内控的措施设计非常贴合企业,具有可操作性,如果这个关键点没做好,内控的效果绝对是大打折扣,尤其是对上市公司而言。
这个关键点,就是公司的顶层设计是否能保障内控的有效实施。
顶层设计,主要是指公司的治理结构,这里面主要是三会一层的运行机制。
三会是指股东会、董事会、监事会,一层是指公司的执行机构。按照现代企业管理理论,公司股东会是最高权力机构,董事会由股东大会选举产生的,对公司的发展目标和重大经营活动做决策,维护出资人利益,是公司决策机构。监事会是公司的监督机构,对公司的财务、董事和经营者进行监督。
而执行层是由董事会聘任的,具体执行董事会的决策。
这个三会一层的运行机制,其实是属于五部委发布的《内部控制基本规范》中第二章内部环境中的内容。而在实际经济活动中,要履行好上图所示的三会一层之间的关系,几乎很难。
很多公司,大股东会担任董事长,并兼任总经理,形成一股独大,一人身兼“三会”中的头把交椅,谁能约束他?监事会敢吗?监事会的监事敢监督的话,他可能就当不了监事了。
还有一些公司大股东可能没有去担任董事长、总经理等职务,但是却在任命上具有绝对话语权,董事会和经理层,包括监事会,可能都是听命于大股东。
在大股东利益和其他中小股东利益有冲突时,监事会无法做好监督工作,大股东就能“为所欲为”,所以可以看到上市公司里,那些出现违规事项的公司,违规的事项几乎都与大股东的所作所为有关系,因为没有机构能约束它。
这种情况下,内控体系怎么能运行良好呢?怎么去合理保证基本的合规性目标呢?有些人认为,《内部控制基本规范》中已经说明了,内控只是合理保证,所以出了问题也不能怪内控没设计和执行好。
那就又要反过来问一句,什么情况下,算没有做到合理保证呢?合理不合理,中间的灵活性太大,如果几十亿的关联方非经营性占用、违规担保、300亿的会计差错的背后,也是内控做到了合理保证,那么不合理的保证会是怎样的一番景象?
回到现实中。
三会一层要运行良好,在机制设计上,就是会去限制大股东的权利,这可是老虎的屁股,谁敢摸?做内控咨询的团队敢吗?不敢,他要敢的话,这个咨询他还想不想干了。
所以很多团队在这方面,只是笼统的一带而过。
由此,就埋下了祸根。
但是,这个问题光靠内控体系的搭建能解决吗?其实解决不了,我们换个思路,就算内控体系中,对三会一层的运行机制,设计非常完美,但是大股东的权利在这里,他完全可以凌驾于内控之上,管你怎么设计呢。
所以这个问题,其实又不属于内控能解决的问题,这可以说是A股市场老大难的问题,被诟病多年的问题。
在这样的环境下,那上市公司内控运行的效果可想而知。作为咨询机构,其实也很难在个体企业有所作为,只能是委婉的引导,不行的话就直接作罢。
所以这个关键点被忽视,也有一丝有意为之、无可奈何的意思在里面。
当然,并不是说,内控就毫无意义,我们不能总是纠结在很难改变的一个点上,要改变这个本质上的、根源上的问题,资本市场的制度体系、公司的治理机制等都需要时间来完善。同时我们应该乐观的看到,完善已经是在路上了。
另外,如果内控能够与企业实际业务贴合紧密,那么内控还是能够在防范业务风险方面有所作为,在防范风险这点上,相信不论是大股东还是小股东,目标都是一致的。
