|
设计企业内部控制机制,是否只是为了应对外部压力、满足形式上的需要,如应付监管机构、向股东交代、给社会各界看;强化内部控制是否是企业经营管理的需要?答案似乎显而易见:内部控制当然既要保证满足外部要求,也要保证企业正常运营。然而,现实社会中的情况远非如此简单与理想化。
我们知道,《SOX法案》404条款要求的内部控制建设及有效性审计,是针对财务报告的。从UT斯达康公司和亚信公司的年度报告中读到的针对内部控制的审计意见,无论肯定含义还是否定含义,都只是针对财务报告的编制和公布。换句话说,都只是针对生产经营结果的财务表述和信息披露,而不是针对生产经营和管理本身。然而,在COSO内部控制框架文件中,透明可靠的财务报告只是企业内部控制系统的三大主要目标之一。
可以这样说,作为着眼于保护社会公众利益的证券监管机构,不论是美国的SEC还是中国的证监会,最关注的当然是与证券市场正常运转密切相关的公司财务信息披露质量,因为财务信息披露影响到投资人(包括现实投资人和潜在投资人)、其他利益相关者的决策行为和后果;而对于公司的现实投资人、经营决策者、管理层以及员工来讲,实现透明可靠的财务报告只是内部控制的第一级基本目标。
一句话,满足《SOX法案》404条款的要求,只不过是建立内部控制机制的一部分,而不是全部。更何况,上市公司以至公众公司,只是全社会中所有企业中的一小部分。对于更多的非上市、非公众企业来说,内部控制的目标当然就更不仅仅限于透明可靠的财务信息了。
如是观之,既使得到了外部审核和评价的肯定意见,并不意味着公司内部控制机制就一定是令人满意的!更为重要的内部控制目标,在于有效率和有效益的经营、循规守法和保护企业财产安全。
这样,对公司至少提出了两点要求。
首先,设置必要的内部控制部门,给予适当的职位和必要的职权,特别要注意内部控制部门‘空化’问题,不要让内部控制部门成为摆设品。
其次,人员配置和制度设计要匹配,绝对避免身兼具有角色冲突性的多个职务;同时要注意,在人员配置时应避免关系密切人员或者利益密切人员进行相互监督;应最大可能地预先控制经理人道德风险漏洞。
|
|