从五个要素分析企业内部控制存在的问题
企业应该如何制定规则控制内部风险?中欧国际工商学院会计学教授、EMBA学术副主任、CFO课程学术总监苏以“危机中的企业与企业中的危机”为主题,就企业领导者如何在日益复杂的外部环境中加强内部控制、有效管理风险、提升经营业绩进行了深入讲解。
COSO是美国的一个舞弊调查机构,它延伸到内部控制,提出了内部控制的框架。COSO最基本的内部控制框架是所谓的“三个目标和五个要素”。三个目标,一个是高效和有效地使用公司的资源,后两个目标是COSO增加的-财务报表和合规性。在三个目标中,形成了从底层到顶层、从基础到高端的五大要素。
第一,控制环境。控制环境就是建立企业文化,让老实人得到重用。企业文化是看不见摸不着的,但是它的影响是非常大的。做管理就是在企业里形成一个小环境,让每个人都愿意展现自己光明阳光的一面,尽量压抑自己消极不光彩的事情。两年前,美国有一个团队做了一个研究,对美国财富500强的大公司说,请给我一个名单。去年你们公司有多少人失去了管理团队?上市后告诉我有多少人,如果可能的话公司会想办法留住他们。他一个一个地问这些人。很多人给出的理由是什么?我看到办公室很多同事在工作中用公司的电话谈私事,或者用公司的信封发私人信件。我不想和这些人做同事。这告诉我们一个道理。企业文化最重要的功能就是把价值观相同的人聚集在一起,把不认同这种价值观的人赶出公司。久而久之,留在公司的都是价值观一致的人。
公司是由人组成的,所以好的公司文化必须从建立和招聘最合适的人开始。招聘员工其实风险很大。因为环境诚信度有问题,如何保证这些人诚实可靠就很关键了。运营后要建立各种机制、机构、董事会、审计委员会,形成一定的业务风格和管理风格;很多时候,一把手决定了这个企业的风格,很多风格一旦形成就很难改变。在没有宗教信仰的环境中,防范风险比在其他环境中更难。
第二,风险评估。风险是未来会发生的一种可能性,在它发生之前发现它是非常困难的。风险有多种分类。一是内部风险,自己做事就能解决的风险;二是外部风险,市场环境突变,自然灾害等;存在固有风险和剩余风险。
风险识别的关键是看每个风险发生的可能性有多大。损失有多大?如果损失可能非常大,发生的概率非常高,最好的办法就是我们不做。我造成的风险可能会很大,但发生的概率不会太高。我能怎么做呢?转移,一种方式是买保险,(转移)一部分(风险)给他人;然后找个人一起创业,一起分享。如果发生的概率相当高(但损失不会太大),最典型的问题就是产品的质量问题,对策就是加强质量控制措施,减少不良频率的发生。如果我采取预防措施,成本可能得不偿失。
当你真正确立了风险的概念后,你的行动就变得完全不同了。日本福岛地震中两家公司的表现(中)告诉你要有风险意识。今晚没人会回家。我立刻发现,世界上有一种东西,只产于日本福岛。不管和我们公司有没有关系,全世界都去找,不惜任何代价买。一夜之间,整个公司都扑向它。第二天工作全部做完,现在回去睡觉,大家就等着数钱吧!道德上有点不好,但在商业敏感度上绝对厉害。第二个例子是,上海汽车在福岛地震第二天上午9点召开应急小组办公会。董事长只问了一个问题:如果福岛地区不恢复生产,上海汽车生产还能持续多久?因为汽车的许多零件都是日本制造的。全公司立即上报,半年。第二个问题是,继续查备件界有没有替代品。一个接一个,据报道,世上万物皆有替代品。再问一句,能用吗?我不能。因为所有的汽车零部件都要经过一个认证过程,那么认证过程有多长呢?最短时间9个月。董事长表示,从今天起,全公司全力以赴解决认证问题,半年内必须解决认证。为了风险防范,公司一出事就马上想到会受到什么影响,一天都不能耽误。
对风险还是有些想法的。首先是是否应该避免风险。你要想清楚,做生意本质上是冒险。成功的企业家愿意承担风险,不愿意承担风险的人不可能成功。但我们永远会想清楚,企业需要承担风险,但必须只承担自己能承担的风险,绝不承担自己不能承担的风险。举个例子,我说我拿出1的硬币跟你玩,你在我转头的时候给我5块钱,我转头的时候给我5块钱。挺好玩的。我们玩吧。我会说,正面朝上你给我5亿,反面朝上我给你5亿?你想玩吗?这个时候,你不会去想如果我今天赚了5亿,晚上怎么花这笔钱。你想到的第一件事就是万一我输了,我去哪拿5亿回来给这家伙?我能冒这个险吗?我刚刚做到了。如果成功了会有多大的好处?
企业承担风险,影响生死的风险就是决策。中国人常说,多疑的人不需要多疑,这很虚伪,因为在现代商业社会,多疑的人是不负责的,最好的是我不给你任何犯错的机会。所以我在每个公司都是独立董事,做风控和内部管理的我只给你八个字,相对独立,欢迎合理。
我们鼓励创新。创新等于冒险吗?是不是一旦进行创新和风险控制,就会很差?越是创新的公司,越是使用控制权。其实创新和控制并不矛盾。为了真正创新和有效,我们不应该像无头苍蝇一样到处扔钱。这不是创新。
如果你面临以下选择,一个是牺牲核心员工消除重大风险,一个是保护核心员工却可能留下重大风险,你选择哪个?保护核心员工和消除重大风险哪个更重要?消除重大风险。首先,堵上风险。不管涉及到谁,后面再说。如果我们再受委屈,刀一定要砍。理论上讲,风险防范是第一位的,保护核心员工是第二位的;但是真正让你这么做的人看起来是那么的无辜。现在你要冒一点风险先杀了他。你能做到吗?如果你做不到,临阵退缩,你觉得这个人有罪吗?是否应该受到惩罚?这些都是实际风控中非常实际的问题。当你遇到这些令人困惑的(问题)时,很多人往往会觉得自己做不到,其实自己做不到。如果风险真的爆发,整艘船很可能会沉。让我们考虑一下。这个被误伤的男人会怎么样?你会反感吗?电影里的“007”真的很高贵。我毫无怨言地回到警察总部,我想继续战斗。实际工作中没人能做到。如果没人能做到呢?这使我们产生了以下问题:如果这些人被证明确实是被冤枉的,他们是否应该,而且他们是否能够复职?基本规则是,就算杀了他也不能把他带回来。
为什么?告诉你一个简单的例子。几年前雷诺发生了一件事。一位副总裁向竞争对手举报并曝光了另一位副总裁的商业机密信息,并出示了证据。公司董事会大怒,解雇了所有副总裁及其员工。一年后,事实证明举报是阴谋报复,被诬告的副总再次被开除。(委屈的)副总要求回公司,雷诺(说)多少钱可以商量,回来没有商量的余地(余地)。为什么?不仅心态变了,还要想清楚。当时公司经历了非常剧烈的政治变动,那一行的人都被调了出去。现在如果带回来,公司就不得安宁了。他会回来(整顿)以前惹他的人,大家都往后退。这家公司折腾不起,所以(所以)回不来。你要想清楚,个人对于公司永远是次要的。
第三,控制活动。有许多控制活动的措施。在一个公司里,所有的库存采购和所有的采购都是进来的。如果十天内没有人来收,总经理的电脑上会亮起红灯。(他)会立即检查是谁提出购买请求的。购买的原因是什么?批准的理由是什么?为什么买了十几天都没用?资金成本谁来承担?这个(制度)建立起来以后,类似的错误就不会再犯了。公司不怕犯错误,最怕犯重复性的低级错误,这是公司不能容忍的。
要建立一个控制系统,有些事情是非常重要的:
一个是区分不相容岗位,也就是遵循一个基本原则——两个人做一件事比一个人单独做更安全,因为两个人有一个监督和约束。有些工作是一个人做不了的,比如会计和出纳。我给你举个例子。这就是企业担保的作用。这个环节涉及到几个管理环节。我把它们列在1,2,3,4,5,6,7。至少有七个功能,必须由不同的人来完成。现在不相容的岗位分了,做出来之后还是会有问题。风险在哪里?不相容的职责在什么情况下分开,最后出了事?勾结在所有的控制措施中,最怕的就是勾结。如何解决合谋的可能?这是每个公司都为之绞尽脑汁的事情。一些小企业,一些老板,都会有一些私人秘密。有老板说我的独门秘笈是,今天出纳不在,会计在的时候,你要注意。收银员已经反映过几次了。你上班经常走出来,会计一听就讨厌出纳。(但是)当他们两个说的很清楚很透彻的时候,(老板)就会很惨,所以不是控制,是权谋。也有人说我的基本原则是这两个人一定不能是一男一女,尤其不能年龄接近,不能是同一个镇的,不能(毕业)同一个学校等等,这样你们两个共同点越少越好。如何解决合谋问题一直是个谜。关键岗位必须强制连续休假10天以上,休假期间必须有人补岗。比如,这些搞垮新加坡英国银行的人,都有一个共同点。他们工作非常努力,已经几年没有休假了。他怎么能休假呢?当他休假的时候,所有的都会暴露。
二是明确岗位责任。我反复强调,一定要有书面的岗位责任承诺书,每年要签一次,带来两大好处。第一个好处是每年重新检查每一个岗位,提醒他的责任。虽然是套路,但至少是个提醒。第二,事情一旦上了法庭,就是一个具有法律约束力的文件,也就是说,你承诺了你必须履行这个责任。如果你没有做到这一点,你必须承担法律责任。岗位责任承诺书基本大公司都是要你签字的,但是岗位责任承诺书本身是要经过认证和复核的,最怕你没有准确描述。
三是工作流程图,把每一步都写在纸上,先做什么,后做什么。比如供应商选择,在每个公司都是一件非常非常讨厌的事情。为什么?因为很多工作流程都是非正式的,一旦非正式的东西写在纸上,就会发现没完没了的争吵。遇到类似的问题,四个部门的头头凑在一起,这个事情就搞定了。一旦流程图失败,我必须先去找他,我用流程去做。四个人都跳起来说,这怎么行?如果我同意,你们三个可以在几分钟内否决我。我什么意思?现在我连看他们三个不同意什么的机会都没有?流程一旦确定,谁有权做什么,因为涉及到不同部门的利益,涉及到责任的重新划分,这是一个非常大的麻烦。
第四,信息与沟通。现在是信息时代,让信息在企业中发挥好作用极其关键。对于信息控制来说,重点是让人们在正确的时间获得正确的信息。这句话说起来容易做起来难。现在每个企业或多或少都有自己的信息系统,但是每天产生的信息量。起到什么作用?企业里没几个人说清楚。企业对联系人信息的授权在大多数企业中并不精确。因为信息系统里很多看不见的东西,只要有人有机会打补丁,后果不堪设想。有的补丁丢一些,有的补丁带来的损失很大。
上海有一家法资超市,欧尚超市。有一个年轻人负责计算机系统。每天结束业务后,他把业务数据汇总统计发送到法国总部,这就注定了他每天下班都落后于别人。有时他饿了。一天晚上,当他饿了,他去超市买面包。我在工作,我拿了一条面包吃。万一数量是电脑数错了,我要负责。他吃了一条面包,在上面贴了一块补丁。当他完成时,他发现这很简单。当他饿的时候,他去前面吃面包。一天,一个装卸工是他的朋友。你饿了吗?你想要一些面包吗?请自便。你怎么会有这种能力?我向你保证没有问题。怎么发生的?说实话,我在电脑上打了补丁,没人能看到。那个人比他更细心。他可以拿面包,钱也可以!他错了。我拿不到钱。都在收银台。他说别管了,我管收银员,你管电脑,这个人买通收银员。他招了20多个收银员,在电脑上打了个补丁。(后来)法国总部发现这个分店每天的营业额不如以前了,好几个人都找不出来。后来一个法国的人,一个偶然的机会,拿起收据一看就知道有话费扣了,几个月就(他们)拿了200多万。超市是一个很薄的行业,一个店拿走200多万是一个非常大的数字。
电脑系统被篡改是非常危险的,但是如果用得好,有时可以帮你控制它。毕竟电脑是无情的。我有个学生经营星巴克咖啡。他说有一家店总怀疑有问题,因为这家店的营业收入和消费都不好意思,总有问题。后来仔细分析,发现两家店串通一气。我们账户里只有3杯,我给了你5杯。最大的可能是每次收银机出来,要想做手脚,必须比平时呆的时间长。他算了一下这家店收银行为一次超过多少秒,和其他分店有区别吗?经过分析,很明显这家公司肯定有问题。电脑告诉你的不可能是假的。收银机上偷偷装了摄像头,一查就发现了,电脑可以帮你把握风险。这就是信息的质量。
第五,监控。监控是最后一关,就像足球场上的守门员绕过你进了一个球,所以所有的公司领导都要想尽办法让你知道你承担最后的责任。很多人都没有意识到我有多大的责任。企业领导最后一般用什么手段做监控?签名。但是太多人签的太随便了。
我曾经在一家大企业做独立董事,我受不了。我说签名太随意了。开董事会的时候,我要求董事会给我一个授权。我的要求太冠冕堂皇了,谁也没有理由拒绝。董事会一致同意给我这项授权。我召集了负责风控的人进行授权。我说现在(我)已经被董事会正式授权允许我查监控。现在你只听我的,不听别人的。你在做什么?我呢,随机抽取了去年公司董事长总经理的100个签名,做了一个清单。我要做的就是找到这个人,说,你去年签了几号?现在请告诉我你当时有什么证据?有什么理由相信你的签名是负责任的?被问的人十有八九不知所措。我把所有的调查结果整理成一个表格,摊在董事会的桌子上。我说这是我们公司的招牌。我这样做是为了提醒以后很多人签名。
同时,我还要做一件事,减少公司签名的数量,特别是防止几个人一起签名。几个人的联合签名是集体负责,实际上没有人负责。一方面减少签名数量,另一方面每个签名的人都要让他知道你承担什么责任。
签名意味着三件事。第一件事是你有所有需要签字的证据;第二,你明白签字后可能产生的后果;第三,你愿意承担你签字带来的一切责任。所以一个公司要建立一种文化,让签字人知道签字意味着三件事。如果你没有想清楚这三点,就千万不要签字。从这个角度来看,监测发挥了作用。
现在企业很多工作其实都是中介做的。如何利用好中介的力量来帮助你?比如审计师在法律上有责任出具独立的审计意见,但(这)并不妨碍你要求他们帮你一个忙。我去很多公司,对审计人员说,我知道你没有法律责任,但是就算你帮我一个忙。什么忙?首先,如果你看下面,你会看到许多不同的地方。请帮助我观察我下面的人在做什么。就算他们在说闲话,也请帮我听听下面的人关心什么。有什么问题吗?第二,请告诉我,我下面的人是无能的?你做得好吗?有什么好处?好处是审核费不增加一分钱,但是你得到了一些你想要的额外信息。你要尽力去想企业的所有中介服务。你能要求他提供更有价值的服务吗?
内控最大的恐惧是什么?最怕的就是制度形成,装订成册,锁在抽屉里,从此无人问津。这才是最可怕的。所以每个企业都要保证制度会跟进。这时候很多公司都想有一套措施来保证系统的缺陷能够及时上报。所谓缺陷,就是设计缺陷和执行缺陷。有一家大型集团公司采用的是各分公司自行上报的方式。你今年内控有几个设计缺陷,然后找总集团审计部调查,两个数字分别在这里汇报给董事长。这是奇耻大辱,几年后每个分公司想上报内控结果的时候都害怕。你一定有办法让下面的人不敢掉以轻心。
网上调查很多企业内部控制的执行情况,最难的是什么?绝对的第一名是第一号诈骗。这是中国特有的问题。新加坡曹出事后,我们一开始想要一点面子,该不该让证监会调查?新加坡交易所断然拒绝,说我们应该调查,而不是中国。经过他的调查,形成了一份200多页的调查报告,调查的第一个结论让大家大吃一惊。第一个结论是曹的内部控制体系是世界一流的。他专门花了几百万美元请安永设计了一套完整的内控(体系)。而且他知道中国人比较善解人意,比较重关系,关键岗位有两个,一个是风控官,一个是交易员。(这个)两个位置专门让外国人来填,两个澳洲外国人好没心没肺。但是,这么好的制度竟然会出这么大的漏洞,下面的结论很简单。这个系统控制了除陈九霖以外的所有人。换句话说,再好的制度,只要有一个人能置身事外,就是废纸。一个好的系统覆盖所有人和所有业务环节,这是一个非常明显的事实。销售货款、销售和采购是所有制造企业中最大的风险。销售和采购恰恰是两个阶段。采购的人在公司是孙子,在别人家是爷爷。做业务员在公司是爷爷,在别人家是孙子。有很多潜在的好处。业务员能不能说我可以晚一点付款?我最怕的是你给他的工资明显低,那个人还天天在阳光下上班。十有八九肯定有补偿机制在里面。
内部控制,如果你的老板不是很主动的想做,我劝你千万不要做,因为没有真正高层的决心和热情是做不到的。因为这件事涉及到对他影响最大的两件事。第一件事,利益格局;第二件事是成本。所谓利益格局,就是企业间任何现有制度的变化,通常都会触动一些人的奶酪。你不知道奶酪在哪里,无形中就会伤害到一些人的利益。比如采购制度的改变,供应商的选择,特别是一些公司推行集中采购的时候,团购往往会遇到莫名其妙的障碍。这个障碍就是你动了别人的奶酪。
公司内部控制最常见的现象就是公司老板推新的控制系统,部门经理会说,老板,我同意,我们公司确实需要新的控制系统。我从心底里赞同这个控制体系,但是我害怕今年的业绩完不成。个人觉得业绩完成没关系,新系统要推。老板一听就急了,董事会答应了。老板,你不可理喻。你推动制度,取得成效,太难了。这个怎么样?我知道演出已经答应并宣布了。今年我会全力以赴先把业绩做好。这个系统明年会被大家推广。这句话之后老板会说什么?老板说,看来只能这样了。明年会推吗?十有八九没人会提。如果一个新的制度推行下去,如果不提前估计阻力,十有八九后果会很重。
第二是收入和成本。你能防范的风险只是一种可能性,但你所花费的成本却是实实在在的数字。很多人说我有必要花钱。因为你说的风险从来没有发生过?如果你没有准备好,你就做不到。
第三是控制和效果。控制程序越多,越不舒服,越不方便,节奏越慢。想高效,能做到吗?这个东西有时候很微妙,有时候一个离奇的想法很可能被证明是正确的。恒大许家印当时就投了(买足球队)。结果,只有一票就够了。许家印不管董事会其他成员,都做得很棒。按照正常的风险控制程序,许家印的足球(右)是任何情况下都不能买的。公司现在买是利好还是利空?它看起来可能是积极的。换句话说,如果你严格按照程序来做,风险控制不一定能让你做出最有利的决定。它的主要功能是避免危险的决定,但它不能帮助你形成最有效的决定。从根本上说,企业赚钱是靠生产好的产品和服务,而不是靠好的风险控制。所有企业的一切行为都要为企业创造价值。如果风险控制不能带来业务的提升和价值的增加,所有的控制(行为)都不应该存在。所以在风险控制上一定要有经营理念。
本质上,风控是一个很不舒服的工作。为什么?风险控制基本上是一个成本中心。什么是成本中心?花的钱看得见,但真正的价值未必看得见。所以这个行业的人很担心,最终的风险控制是公司里大大小小的事情,什么都不发生,但是如果公司什么都不做,公司会问这些人怎么办。
我给你举个例子。现在外面有H7N9。人得了这种病,禽流感肯定要人命。相信我,你花500块钱买这个药,一年真的不会得这个病。现在我问你一个问题,你会欣赏我吗?100%不会。因为一年后,张三、李四、王五没有生病。这里最大的问题是,我们永远无法证明我们吃了我的药不会生病或者不会生病。如果企业没有足够的雅量,很多时候,成本压力大的时候,就会不愿意在这方面投入;(但是)当你真正看到摘下来的效果时,通常已经晚了。