《企业内部控制基本规范》于2008年出台后,目前又相继出台了《企业内部控制评价指引》(征求意见稿)和15个《企业内部控制应用指引》(征求意见稿),笔者拟对征求意见稿进行相关探讨。
一、企业内部控制评价指引
一是指引的总则中应明确提出“评价企业内部控制的有效性是董事会的基本职责”。需要说明的是《企业内部控制基本规范》(以下简称《规范》)是指引的制定依据,其适用对象是大中型企业,《规范》在第11条明确将企业的管理层表述为“股东(大)会”、“董事会”、“监事会”和“经理层”,因而指引中第3条“企业主要负责人”可直接明确为董事长。这里所说的职责,包括:经理层应定期向董事会提供关于内部控制制度建立并落实情况的报告,董事会需要对此报告进行分析、审示,每年至少进行一次全面的年度评价;董事会对企业内部控制的有效性提出自己的观点,并明确表明对内控的所有重要方面已作充分考虑,并反映了到年度报告批准时的最新情况。二是指引中应明确评价的范围。被董事会评价的内部控制应包括所有控制,如内部财务控制、操作控制和合规性控制等,指引中的第6、7和8条实际上反映内部控制的几个方面,可合并描述。同时要求内部控制评价“以内部环境为基础”,“以生产经营活动为重点”,值得商榷。如研发企业的重点就不是生产经营。三是为增强指引的指导性,可增加董事会在内控评价时需要考虑的问题,如企业面临的重大风险,这些风险的发现、评估以及管理等;相关内部控制系统对重大风险的控制能力;内控中重要缺陷的防范措施;内部控制系统中需要进一步监管的方面。四是内部控制评价报告的内容,需增加:(1)自上年评价以来重大风险性质与内容的变化情况,以及企业应对风险的能力;(2)经理层向董事会(或下属专业委员会)汇报内控情况的次数和主要内容及其对持续评价内控状态和有效管理风险所起的作用;(3)存在一个或多个内部控制重大缺陷的,应说明这些缺陷的影响。五是指引中应明确规定如果董事会未对企业内部控制的有效性进行评价,应披露原因。同时,若企业的合伙企业和联营企业没有执行本指引,也应披露。
二、绩效考评方面的应用指引
《规范》在第28条将绩效考评控制作为企业内部控制的一项重要内容,同时在第35条提出“绩效考评控制要求企业建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考核结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据”。可以看出,《规范》强调的绩效考评重点在于管理和操作层面。对这两个层面的绩效考评控制,需要建立有关指引对这些要求具体化,以方便企业运用,建议有关部门将此纳入制定项目。笔者认为企业绩效考评控制应重点关注决策层的绩效考评,即董事会的绩效考评,这对提高企业治理水平、实现企业绩效目标有着重要意义。
建立反映董事会绩效考评控制的指引,不仅是企业的现实需要,同时这一做法也与国际趋同。借鉴国外的做法,我国的指引在这方面应明确规定企业董事会应对企业董事会本身、董事会下属的各重要专业委员会,以及各位董事的绩效进行年度评价,评价程序由董事长确定,评价结果应成为人员任免的依据。对董事会要重点考评:设定的绩效目标是否达到;对公司战略检测与发展所作的贡献;为确保公司风险管理稳健高效所作的贡献;董事会内外关系处理是否有效,董事会成员的知识能力结构是否有利于实施今后的战略以使公司绩效最大化;董事会应对重要事件和危机问题的方式和能力;董事会与管理层、职工的沟通情况等。对董事长的考评,还应包括:对董事会是否实施了有效的领导;与股东的关系和沟通是否实施了有效的管理;董事会内部的关系和沟通是否富有建设性等。对非执行董事,要重点考评:在制定公司战略时相关知识与经验的贡献程度,以及其知识更新情况;出席董事会有关情况的考评,包括出席率、会前准备是否充分;对企业管理情况的了解程度,是否投入了充分的时间调查研究,对相关决策的熟悉程度;与董事会其他成员、相关部门负责人的关系状况,是否相互信任、尊重、沟通和合作等。
三、企业内部控制的其他应用指引
一是社会责任指引中,应明确提出董事会成员中应有懂得环保专业知识的人员,负责处理环保事务,并创造条件推行环保审计。对要求企业定期发布的社会责任报告,应规定基本内容,如企业经济活动对环境的影响,企业经济活动对社会的影响等。二是企业文化指引中,应明确将强化企业的风险意识作为企业文化建设的核心内容之一。要求企业应将风险管理根植于企业的价值与文化中,方法包括:整合个人目标与组织目标,员工的工作手册中要明确风险管理责任,风险管理与员工奖惩挂钩等。该指引的第二章关于企业文化的培育部分,其内容要充分考虑企业组织特点、目标任务的性质和面临的环境稳定程度,不可千篇一律要求“加大投入”。建立符合企业自身特点的文化理念是关键,不同的文化理念,其培育方式上虽有共同点,但差别较大。三是发展战略指引中有几点值得商榷。(1)该指引中第15条“企业应当……以适当的形式披露发展目标和战略规划,增强投资者特别是战略投资者对企业发展的信心和关心度”,笔者认为欠妥。建立企业内部控制应用指引应把确保财务报告真实可靠作为建立内部控制应用指引的首要任务。如果把信息披露的目标定位于增强投资者的信心和关注度,容易诱导企业提供虚假信息。应用指引的制定者应站在监管者的角度,要求企业提供全面、相关、可靠的信息,以方便投资者特别是战略投资者决策,维护利益相关者的利益。(2)该指引第14条的基本含义是企业发展战略应当保持相对稳定,只有外部环境发生重大变化或内部条件发生重大变化时,才能作战略调整。笔者认为不够全面,战略实施中还存在战略漂移(stragegydrift)的情形,在此情形下,无论是外部环境还是内部条件均无重大变化,但企业必须作战调整。
